JARING KOMUNIKASI SANDI
Berdasarkan Perka No. 14 Tahun 2010 • Jaring Komunikasi Sandi yang selanjutnya disebut JKS adalah keterhubungan antar Pengguna Persandian melalui jaringan telekomunikasi. • Pengguna Persandian adalah pejabat pada Instansi Pemerintah yang memanfaatkan Persandian. • Gelar Jaring Komunikasi Sandi yang selanjutnya disebut Gelar JKS adalah kegiatan membangun JKS yang dimulai dari kegiatan perencanaan, implementasi, dan evaluasi.
Gelar JKS Dilaksanakan melalui tahapan: a. perencanaan; b. implementasi; dan c. evaluasi.
Perencanaan 1.Instansi Pemerintah melakukan inventarisasi sumber daya yang ada di lingkungannya meliputi a. kelembagaan yang melaksanakan fungsi persandian; b. peraturan di bidang pengamanan informasi; c. pengguna persandian; d. sarana komunikasi antar pengguna persandian; e. sumber daya manusia sandi; f. peralatan sandi; g. media transmisi; dan h. anggaran. 2.Instansi Pemerintah dapat mengkonsultasikan hasil inventarisasi sumber daya kepada Lemsaneg untuk mendapatkan rekomendasi Gelar JKS
lanjutan … 3. Membuat Desain JKS terdiri dari: a. topologi komunikasi Pengguna Persandian; b. Peralatan Sandi yang digunakan; dan c. infrastruktur telekomunikasi yang digunakan. 4. Instansi Pemerintah menyusun kerangka acuan kerja dan rincian anggaran biaya 5. Gelar JKS berdasarkan perencanaan Gelar JKS Internal yang telah disusun.
Implementasi Instansi Pemerintah melaksanakan implementasi Gelar JKS Internal berdasarkan perencanaan Gelar JKS Internal yang telah disusun, meliputi kegiatan: a. penyiapan infrastruktur telekomunikasi yang digunakan; b. penyiapan kunci sistem sandi; c. penyiapan Peralatan Sandi; dan d. operasional Gelar JKS Internal.
Evaluasi Evaluasi Gelar JKS Internal meliputi kegiatan: a. penilaian kesesuaian antara implementasi dengan perencanaan Gelar JKS Internal; dan b. penilaian efisiensi dan efektifitas pemanfaatan JKS Internal.
Desain JKS (contoh) Bupati Wakil Bupati
Sekda
Inspektorat
Sekwan
DISKOMINFO SANDI STATISTIK Para Asisten
Para Kepala Dina & Badan Para Kepala Dinas Dan Badan
Kecamatan Kecamatan Kecamatan
Keterangan : • Kepala Dinas • Kepala Badan • Kecamatan
: 15 :5 :8
Desain Topologi JKS (contoh)
Kepala Daerah
Layanan/peralatan sandi yang dapat disediakan pada setiap pengguna:
Sebagai administrator Jaring Komunikasi
1) 2) 3) 4) 5)
DISKOMINFO SANDI DAN STATISTIK
Jaringan Aman
OPD 1
OPD 31
OPD 2
OPD 30
IP (PBX) Phone Secure PSTN Voice/Fax via IP Secure E-mail Database Server Collaboration (Secure Messaging, IM/Chatting) 6) Secure VPN-IP 7) Secure Radio (HT) 8) Secure GSM
PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI PADA PEMERINTAH DAERAH
kewenangan
Sub Urusan Persandian
KEWENANGAN URUSAN
PERSANDIAN
Pusat
Persandian untuk Pengamanan Informasi
Povinsi
Kab/Kota
Akreditasi dan Sertifikasi
BERDASARKAN
UU 23 TAHUN 2014
Analisis Sinyal
Penyelenggaraan Persandian untuk Pengamanan Informasi Provinsi
Kab/Kota
Penyelenggaraan persandian untuk pengamanan informasi pemerintah pusat
Penyelenggaraan persandian untuk pengamanan informasi pemerintah provinsi
Penyelenggaraan persandian untuk pengamanan informasi pemerintah kabupaten
Penetapan pola hub komunikasi sandi antar K/L, antara Pempusat dg Prov dan Kab/Kota
Penetapan pola hub komunikasi sandi antar perangkat daerah provinsi
Penetapan pola hub komunikasi sandi antar perangkat daerah kab/kota
Pusat
Pengelolaan Kunci Sandi
urusan
Persandian yang tidak berkaitan dengan Pelayanan Dasar GHJGK
UNDANG - UNDANG 23/2014 PEMERINTAHAN
DAERAH
PP 18 Tahun 2016 tentang Perangkat Daerah Persandian dalam PP 38/2007
Bergabung bersama dalam urusan otonomi daerah, pemerintahan umum, administrasi keuangan daerah, perangkat daerah dan kepegawaian sebagai sub bidang persandian sub sub bidang terdiri atas kebijakan, pembinaan SDM, pembinaan Palsan, pembinaan Sissan, pembinaan kelembagaan, pengawasan dan pengendalian (Wasdal) dan pengkajian
UU 23/2014 Persandian sbg salah satu urusan pemerintahan konkuren
PP 18/2016 tentang Perangkat Daerah
Urusan Persandian satu rumpun bersama dengan urusan Komunikasi dan Informatika, dan urusan Statistik [pasal 18 dan 40] Dalam memetakan besaran intensitas beban kerja urusan persandian, tidak berlaku faktor pengali [pasal 107]
PERAN ORGANISASI PERSANDIAN Partner
Konsultan
Admin
Pengelola
bagi Pemilik Informasi, untuk mengelola informasi-informasi berklasifikasi yang berada di lingkungan Organisasi keseluruhan.
Perubahan Paradigma & Arah Penyelenggaraan Persandian Di Daerah
TUGAS: Menyelenggarakan
persandian dalam rangka pengamanan informasi
Melaksanakan tata kelola persandian dalam rangka penjaminan keamanan informasi di lingkungan pemerinta daerah
Melaksanakan pengelolaan sumber daya persandian di lingkungan pemerintah daerah
Melaksanakan operasional pengamanan persandian di lingkungan pemerintah daerah
Melaksanakan pengawasan dan evaluasi penyelenggaraan persandian di lingkungan pemerintah daerah
KONSEPSI FUNGSI PERSANDIAN TUJUAN ORGANISASI Continuity FUNGSI PERSANDIAN Information Assurance KRIPTOGRAFI
Kontra Penginderaan
Fungsi Manajemen
Confidentiality Integrity Authentication Non repudiation Jamming Sterilisasi
1. Kebijakan/ Prosedur 2. Self Assessment 3. Binwas 4. Sosialisasi 5. Pengelolaan SDM/JKS 6. Koordinasi, dll
USER ORGANISASI Objek
Executive Level
INFORMASI (UU KIP) 1.Inf. Terbuka (I,A,N) 2.Inf. Dikecualikan ( C,I,A,N ) FASILITAS 1. Ruang Rapat 2. Ruang Kerja 3. Rumah Dinas
Proses 1. Pembuatan 2. Pengiriman 3. Penyimpanan 4. Pemusnahan
Managerial Level
Operational Level
PUBLIK Masyarakat Umum Pihak Ketiga
Penyediaan Analisis Kebutuhan Persandian Penyediaan kebijakan penyelenggaraan persandian
Koordinasi/ Konsultasi penyelenggaraan Persandian
Tata Cara Penyelenggaraan Persandian Daerah
Penyelenggaraan Persandian untuk pengamanan informasi milik pemerintah daerah
Pengawasandan evaluasi Penyelenggaraan Persandian
Penyelenggaraan operasional dukungan persandian
Pengelolaan sumber daya persandian di pemerintah daerah
Pengelolaan dan perlindungan informasi dengan pemanfaatan persandian
Penyediaan analisis kebutuhan penyelenggaraan
persandian untuk pengamanan informasi di pemerintah daerah
Penetapan Hasil identifikasi dan analisis pengamanan hubungan komunikasi
Analisis Kebutuhan Pengamanan Hubungan Komunikasi
Penetapan Hasil identifikasi dan analisis pengamanan hubungan komunikasi
PERKA LEMSANEG 14/2010 TTG PEDOMAN GELAR JKS HIMPUNAN PERATURAN SDM
• Komunikasi VIP (mis, antar anggota FORKOPIMDA)
DATA SUARA
• Komunikasi Antar OPD • Komunikasi Intra OPD • Komunikasi Provinsi – Kab/Kota
DOKUMEN
• Komunikasi Provinsi/Kab/Kota – Pemerintah Pusat • Atau pola hubungan komunikasi lainnya sesuai kebutuhan…
KENAPA? SIAPA? APA?
Ada Informasi terbatas/strategis/dikecualikan yang perlu dikomunikasikan Pihak yang terlibat dan berhak untuk terlibat dalam komunikasi Konten informasi yang dikomunikasikan
BAGAIMANA? Jenis komunikasi apa yang digunakan? Data / suara / dokumen atau kombinasi Berbasis hardware / software / hybrid
Penyediaan Kebijakan
Penyediaan kebijakan/ regulasi penyelenggaraan
persandian untuk pengamanan informasi di pemerintah daerah PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH PERKA LEMSANEG NO 10/2012 TTG PEDOMAN PENGELOLAAN INFORMASI PEDKA LEMSANEG NO 5/2016 TTG PEDOMAN KLASIFIKASI INFORMASI
Tata Kelola Persandian
Penyediaan Kebijakan Operasional Pengamanan Persandian
Penyediaan Kebijakan Pengelolaan Sumber Daya Persandian
Penyediaan Kebijakan Terkait pengawasan dan Evaluasi Penyelenggaraan Persandian
Pengelolaan dan perlindungan informasi dengan pemanfaatan persandian di pemerintah daerah PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH PERKA LEMSANEG NO 10/2012 TTG PEDOMAN PENGELOLAAN INFORMASI PEDKA LEMSANEG NO 5/2016 TTG PEDOMAN KLASIFIKASI INFORMASI
Fasilitasi penentuan tingkat kerahasiaan informasi berklasifikasi
Pengelolaan dan perlindungan informasi publik yang dikecualikan/informasi berklasifikasi
Penyelenggaraan Jaring Komunikasi Sandi (JKS) untuk pengamanan informasi berklasifikasi
Pengelolaan dan perlindungan informasi terbuka
Pengelolaan sumber daya persandian di pemerintah daerah
PERKA LEMSANEG 4/2016 TTG HARKAN PALSAN DAN APU HIMPUNAN PERATURAN SDM
Pengelolaan Sumber Daya Manusia (SDM) Pengelolaan Sarana dan Prasarana (Matsan, JKS dan APU) Pemeliharaan Sarana dan Prasarana
Penyelenggaraan operasional dukungan persandian untuk pengamanan informasi di pemerintah daerah
Jamming
Kontra Penginderaan
Assessment
Keamanan Sistem Informasi
PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH
Penyelenggaraan Security
Operation Center
PERKA LEMSANEG 6/2016 TTG PENGENDALIAN PERSANDIAN
Pengawasan dan Evaluasi penyelenggaraan pengamanan informasi melalui persandian di seluruh perangkat daerah
Pengawasan dan evaluasi yang bersifat rutin dan insidentil
Pengawasan dan evaluasi yang bersifat tahunan
Koodinasi dan konsultasi penyelenggaraan persandian untuk pengamanan informasi pemerintah daerah (antar daerah atau antara daerah dengan pusat)
Konsultasi
Koordinasi
periodik maupun subtantif
Studi orientasi
INGATLAH BAHWA : “KECHILAFAN SATU ORANG SAHAJA TJUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA” ;;;
(dr. Roebiono Kertopati)
TERIMA KASIH L E M BAG A S A N D I N EG A R A w w w. l e m s a n e g . g o . i d
By Lukman Nul Hakim, SE, MM Yogyakarta, Hotel Santika, 18-22 Mei 2015
“If youknow the enemyandknow yourself,
youneednotfear theresult ofahundredbattles. If you know yourself but not the enemy, for every victorygainedyouwill alsosuffer adefeat. Ifyouknowneithertheenemynoryourself, you will succumbineverybattle” Sun Tzu (544–496 SM), The Art of War, Special Edition
THERE ARE TWOTYPES OF ENCRYPTION ONTHATWILL PREVENTYOUR SISTER FROMREADINGYOURDIARYANDONETHATWILLPREVENTYOUR GOVERNMENT By Bruce Schneier
Agenda What is Information ? IT Security Versus Information Security
Best Practice dan Policy Keamanan Informasi Persandian sebagai Totalitas Keamanan Informasi Negara
3
WHAT IS INFORMATION ?
A NEW ERA IS ABOUT TO BEGIN
SUMBER INFORMASI YANG BERASAL DARI PUBLIK
Kebutuhan Informasi
Meningkat
Dampak Positif . / Pengolahan, penyampaian, dan penyimpanan informasi menjadi : . / lebih cepat dan mudah . / Kapan saja dan dimana saja . / Cost : Rendah (hemat)
. / Akses mendapatkan data menjadi : . / lebih mudah, cepat dan hemat . / Bisa kapan saja dan dimana saja . / Informasi datang dari seluruh dunia (penggunaan Internet)
antar Perangkat . / Konektifitas komunikasi menjadi sangat beragam dan lebih mudah
Perkembangan Teknologi Informasi & Komunikasi
Dampak Negatif × Tidak ada Filter Informasi × Penyalahgunaan Informasi × Mengabaikan security & privacy / lebih mementingkan speed dan Kemudahan × Memunculkan kerawanan terhadap Informasi sehingga menimbulkanCyber Crime (antara lain : virus, trojan, spyware, hacker, fraud )
× Perang INFORMASI / WARFARE
IT Security Vs Information Security
IT SECURITY
INFORMATION SECURITY
Teknologi
Cakupan lebih luas
Pengamanan Perangkat Jaringan (How) ?
What, Where, dan How ?
Pengamanan Aplikasi (How) ?
Segala bentuk Informasi (Digital dan Non Digital)
Pengamanan yg hanya fokus di TI (How) ?
Informasi yg menggunakan fasilitas TI dan Non –TI Termasuk fasilitas yg menyimpan informasi tersebut spt : Gedung Data Center, Call Center, Service Center, dll
Yang menjadi Obyek : Teknologi dan tools pengamanan informasi
Yang menjadi Obyek : -Struktur Organisasi -Kebijakan keamanan (security policy) -Prosedur dan proses -Tanggung jawab atau responsibility -Sumber Daya Manusia
I N F O R M A T I O N
What Is Information Security Y Y Y Y
S E C U R I T Y
The quality or state of being secure to be free from danger Security is achieved using several strategies Security is achieved using several strategies simultaneously or used in combination with one another Security is recognized as essential to protect vital processes and the systems that provide those processes
Y
Security is not something you buy, it is something you do
Y
Y
The architecture where an integrated combination of appliances, systems and solutions, software, alarms, and vulnerability scans working together Monitored 24x7
Y Y
Having People, Processes, Technology, policies, procedures, Security is for PPT and not only for appliances or devices
1. 2. 3. 4. 5.
Protects information from a range of threats Ensures business continuity Minimizes financial loss Optimizes return on investments Increases business opportunities
I N F O S E C
PEOPLE
C O M P O N E N T S
PROCESSES
TECHNOLOGY
5/10/2015
10
The Weakest Link in security is “People”
90% People
10%
Process
Technology
Risk, Threat and Best Practice Terhadap Informasi yang Berklasifikasi
W H A T I S R I S K
What is Risk? Risk : A possibility that a threat exploits a vulnerability in an asset and causes damage or loss to the asset.
Threat: Something that can potentially cause damage to the organisation, IT Systems or network. Vulnerability : A weakness in the organization, IT Systems, or network that can be exploited by a threat.
Perbandingan Aset Informasi dan Aset Nyata
Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)
Hubungan Resiko dan Asset Informasi Risiko ditentukan oleh nilai aset, ancaman dan kerentanan. Rumusnya adalah sebagai berikut : Risiko (Risk) = (Nilai Aset (Asset), Kerentanan (Vulnerability) )
R
=
A x
Ancaman (Threat)
T x V
Rp, US$, £, Kredibilitas
Risiko berbanding lurus dengan nilai aset, ancaman dan kerentanan. Jadi, risiko dapat meningkat atau berkurang dengan memanipulasi besar dari nilai aset, ancaman dan kerentanan. Ini dapat dilakukan dengan manajemen risiko. Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)
Metode Manajemen Resiko
Gambar 1 = Pengurangan Resiko, Gambar 2 = Penerimaan Resiko Gambar 3 = Pemindahan Resiko, Gambar 4 = Penghindaran Resiko
R I S K S High User Knowledge of IT Systems
& T H R E A T S
Systems & Network Failure
Theft, Sabotage, Misuse
Lack Of Documentation
Virus Attacks
Lapse in Physical Security
Natural Calamities & Fire
STATISTIK ATTACKING BULAN MEI TAHUN 2015
Sumber : www.zone-h.org
STATISTIK ATTACKING HARIAN DI BULAN MEI TAHUN 2015
Sumber : www.zone-h.org
MOTIVATIONS BEHIND ATTACKS
ANCAMAN DAN TANTANGAN DARI DALAM
HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE
Sumber : froofpoint research report 2015
HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE
Sumber : froofpoint research report 2015
HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE
Sumber : froofpoint research report 2015
HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE
Sumber : froofpoint research report 2015
HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE
Sumber : froofpoint research report 2015
Perlakuan dokumen instansi pemerintah
Perlakuan dokumen instansi pemerintah
Pemalsuan dokumen instansi pemerintah
What’s wrong? http://www.csoonline.com/read/030104/desk.html
Perlakuan terhadap dokumen instansi
ANCAMAN DAN TANTANGAN DARI LUAR
Sumber’s Ancaman
GLOBAL REGIONAL
HAM
Pasar Bebas T.I.K.
NASIONAL “Kesalahan dalam mensikapinya akan berujung pada Ancaman.”
33
GLOBAL INTERCEPT BY FIVE EYES SURVEILLANCE
United Kingdom, United State of America, Australia, New Zealand, Canada and Australia
Echelon Operation / Echelon System
SOCIAL NETWORK FACEBOOK MENGALAHKAN UPAYA CIA DLM MEMPEROLEH INFORMASI KHUSUSNYA YG MENYANGKUT KEGIATAN PERSONAL /INDIVIDU DLM WAKTU 60 TAHUN, NAMUN DGN FACE BOOK DPT DIKETAHUI INFORMASI MILYARAN PENDUDUK DUNIA TENTANG • PROFIL; • APA YANG SEDANG MEREKA LAKUKAN; • APA YANG SEDANG MEREKA PIKIRKAN SAAT INI DLM WAKTU 3 TAHUN
35
Penyadapan
Cyber Diplomacy, Government, Defence & Inteligence Bussiness / Private
IS IT SECURE ? Gadget/Tools
Internet connected
Strategic Communication Challanges :
Cases Study and Information Security Aspects
CASES STUDY DRekaman pembicaraan telp mantan Pres. B.J. Habibie – mantan Jaksa Agung Andi M. Galib (thn 1999) DOperasi GhostNet Maret 2009 : sebuah operasi pengintaian elektronik skala raksasa yang berbasis di China sukses menerobos sistem komputer pemerintah maupun pihak swasta di 103 negara termasuk Indonesia. Tujuan utama dari operasi tersebut adalah untuk memata-matai konten mengenai Dalai Lama, pemimpin Tibet yang berkonflik denganChina. DData-data bocor dari Hardisk Dikutip dari Press Association, 8 Mei 2009, data paling sensitif adalah prosedur peluncuran sistem pertahanan rudal AS. Hardisk ini mengungkap detail uji coba program militer THAAD (Terminal High Altitude Area Defence), sistem pertahanan untuk menembakhancur misil musuh. D 4 Juni 2009 Bocornya Hightly Confidential Sensitive Safeguard Location Nuclear of USA
Cases Study : D D D D D D D D D D
Kasus skimmer – BCA, BANK MANDIRI, BNI dst, 21 januari 2010. Kebocoran Laporan Pos Kotaraja Kopassus, 9 Nopember 2010 Kasus Wikileaks, Indoleaks 01 Desember 2010 Kasus Pencurian Data Delegasi Indonesia diKorea selatan 21 Feb 2011 diperkirakan rahasia projek militer Indonesia. Kebocoran Wikileaks tentang Indonesia : Penyalahgunaan Kekuasaan oleh Presiden SBY (Yudhoyono Abuse of Power), 11 Maret 2011 Bocoran Wikileaks “09JAKARTA1773” tentang Menteris sekutu USA, 25 Agustus 2011 Bocornya Email Pribadi Presiden Suriah Bashar al-Assad dan email milik istrinya Asma al-Assad, 15 Maret 2012 Bocor-nya Surat Sprindik kasus Hambalang Anas Urbangningrum, Februari 2013 Snowden Cases, Oktober 2013 Kebocoran Informasi soal-soal UN SMA yang ditempatkan pada pada google drive, April 2015
Dampak Positif :
Dampak Negatif : Defacing, merubah gambar, merubah Teks
AKIBAT/ DAMPAK: KEAMANANINFORMASIYANGLEMAH
RESIKO/KERUGIAN YANG TIMBUL : • • • • •
Kredibilitas bangsa/ Institusi Resiko kerugian finansial Resiko kerugian kerahasiaa n Resiko kerugian harga diri Dan lain-lain Untuk rahasia negara Apabila jatuh ke tangan pihak lain yang tidak berhak dapat membahayakan kedaulatan, keutuhan, keselamatan NKRI; serta dapat mengakibatkan terganggunya fungsi penyelenggaraan negara atau sumber daya nasional atau ketertiban umum.
SO HOW DO WE OVERCOME THESE PROBLEMS ?
NEEDS CRYPTOGRAPHY TO PROTECT THE INFORMATION ?
PERSANDIAN SEBAGAI TOTALITAS KEAMANAN INFORMASI NEGARA
3 (Tiga) Langkah pengamanan melalui “An Integrated Approach “ Physical Controls Facility protection, security guards, locks, monitoring, intrusion detection
Technical Controls Access control, “ENCRYPTION”, security devices, identification and authentication
Administrative Controls Polices, standars, guidelines, securityawareness training, screening personnel,
Government Data and Assets
Administrative, technical, and physical controls should work in a integrated manner to protect a Government’s assets.
CIA KONSEPTUAL transmission
Untuk menjamin keamanan Informasi terhadap ilegal akses terhadap informasi yang Confidentialilty
Untuk memastikan akurasi dan kelengkapan informasi untuk melindungi proses bisnis
Untuk memastikan bahwa informasi merupakan asset yang sangat vital, tersedia bila diperlukan
Implementasi Teknik Cryptografi/Crypto Analysis • • •
Aplikasi Kripto Simetrik banyak ditemukan di internet (freeware) seperti Folder Lock, TrueCrypt, CryptoLab, dll. Aplikasi Kripto ini dapat digunakan 3 macam fungsi yaitu enkripsi file/folder, enkripsi harddisk/flashdik, dan enkripsi virtual disk Aplikasi Kriptografi Simetrik buatan mandiri Lemsaneg yaitu Kriptosoft Pro.
a. Aplikasi TrueCrypt (Freeware)
b. Aplikasi Kritptosoft Pro (Aplikasi Mandiri Lemsaneg)
Aplikasi Kriptografi Asimetrik
Kriptografi asimetrik lebih dikenal dalam sistem Public Key Infrastructure (PKI) bisa dijumpai pada situs e-banking mandiri dengan penggunaan sertifikat digital dan token pin.
Aplikasi Kripto Asimetrik E-KTP
E-KTP juga menggunakan metode kripto asimetrik salah satu dengan penerbitan sertifikat digital yang ditanamkan di setiap chip e-ktp yang berfungsi sebagai otentikasi dan non-repudiation sehingga setiap penduduk hanya mempunyai satu ktp dan tidak dapat dipalsukan.
E-Procurement
•
•
SPSE merupakan aplikasi e-procurement yang dikembangkan oleh Direktorat eProcurement - LKPP untuk digunakan oleh LPSE di seluruh K/L/D/I. Aplikasi ini dikembangkan dengan semangat efisiensi nasional sehingga tidak memerlukan biaya lisensi, baik lisensi SPSE itu sendiri maupun perangkat lunak pendukungnya. SPSE dikembangkan oleh LKPP bekerja sama dengan: 1. Lembaga Sandi Negara (Lemsaneg) untuk fungsi enkripsi dokumen 2. Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk sub sistem audit
Membantu Proses Penegakan Hukum di Indonesia Encrypted Content Of Communication
Administrative State
HI1
Lawful Enforcement Agency
Network Operator HI3 Content of Communication
Lawful Enforcement Monitoring Facility
Dencrypted Content Of Communication
National Crypto Agency
Kebijakan Keamanan Informasi Berklasifikasi di Lingkungan Pemerintah Lembaga SandiNegara
53
Produk Hukum Kebijakan Keamanan Informasi 1. UUNomor11Tahun2008TentangInformasi danTransaksiElektronik 2. UUNomor14Tahun2008TentangKeterbukaan InformasiPublik 3. PPNo61tahun2010tentangPelaksanaanUUNo14Tahun2008TentangKeterbukaanInformasi Publik 4. PPNomor82Tahun2012TentangPelaksanaanInformasi danTransaksiElektronik 5. KeppresNomor103Tahun2001TentangKedudukan,Tugas,Fungsi,Kewenangan,SusunanOrganisasi, danTataKerjaLembagaPemerintahNonDepartemenSebagaimanatelahdiubahdenganPerpresNomor 64Tahun2005 6. PermenpanNomor80 Tahun2012TentangPedomanUmumTataNaskahDinas 7. KeputusanKepalaLemsaneg No. 10tahun 2012 tentangPedomanPengelolaandanPerlindungan Informasi yang Berklasifikasi Milik Pemerintah 8. StandarNasional Indonesia 27001 tentangStandarKeamananInformasi
Lembaga SandiNegara
54
DASAR KEBIJAKAN D Kebijakan adalah Dokumen acuan yg penting untuk audit internal dan resolusi perselisihan D Dokumen kebijakan dapat bertindak sebagai statement yang jelas tentang maksud manajemen D Kebijakan adalah fondasi yg penting pada program keamanan informasi yg efektif D Suksesnya program perlindungan sumber daya informasi tergantung atas hasil kebijakan, dan sikap manajemen kearah informasi yg “secure” pada sistem informasi Lembaga Sandi Negara
55
ATURAN DASAR UNTUK MEMBENTUK KEBIJAKAN
D Jangan pernah bertentangan dengan hukum yang berlaku D Diatur dan didukung dengan baik D Berkontribusi untuk suksesnya organisasi D Melibatkan end users pengguna sistem informasi D Memerlukan modifikasi dan perbaikan secara berkesinambungan
Lembaga SandiNegara
56
Lembaga SandiNegara
57
Contoh Kebijakan Keamanan Informasi Akses ke jaringan akan disetujui dengan memasukkan user ID dan password
Panjang password minimal 8 karakter
Password tidak menggunakan kata kata yang terdapat dalam kamus
Password harus terdiri dari kombinasi alfabet, angka, dan special karakter
Lembaga SandiNegara
58
Hirarki Penyelenggaraan Persandian di Kejaksaan Agung dan Kejati serta Kejari
KEJAGUNG RI Pembina Persandian Tingkat Kejagung
15 KEJATI
JKS EKSTERNAL
JKS INTERNAL KEJAGUNG
16 KEJATI
Tingkat Kabupaten /Kota
250 KEJARI
250 KEJARI
Tingkatan Strategi Perencanaan dan Pengembangan serta Pengelolaan JKS Internal dan Eksternal oleh Kejaksaan Agung RI berkoordinasi/berkonsultasi teknis kepada Pembina Teknis di Lemsaneg Tingkatan Pelaksana Perencanaan dan Pengembangan serta Pengelolaan JKS Internal oleh internal Kejaksaan Agung dan Kejati dapat melakukan sendiri dengan berkonsultasi kepada Kejagung & Lemsaneg
Contoh Pendekatan pengembangan Kebijakan Keamanan Informasi “The Ten-Step Approach”
Lembaga SandiNegara
60
HISA Framework
Hogan Information Security Architecture Framework Organization Individual Country Certification Compliance
Business / Goverment
ICT InfoSec Governance/ Risk Management
Care
People
Threat Vulnerability
Process Technology
Asset
Confidentiality
Prevention
Integrity Availability
Detection Response Administrative
Sumber : Hogan –Presdir Unipro
Physical Technical
Lembaga SandiNegara
61
Resume D Perkembangan Tehnologi Informasi dan Komunikasi akan terus berkembang dan berubah, maka terdapat tiga pendekatan untuk mempertahankan keamanan informasi di cyberspace, pendekatan hukum, pendekatan teknologi, dan pendekatan sosial budaya. D Pendekatan teknologi keamanan informasi dan Up date terhadap Teknologi keamanan informasi sangat mutlak dilakukan dalam mengatasi gangguan keamanan, mengingat tanpa pendekatan teknologi suatu jaringan akan mudah disusupi, diintersepsi atau diakses secara ilegal tanpa hak. D Peran dan fungsi persandian (teknik kriptografi) yang lebih multidimensional dan memiliki menjadi aktor kunci yang menjamin keamanan informasi dan proses penegakkan hukum di Lingkungan Instansi pemerintah khusus Kejaksaan Agung RI dan Kejati D Manusia menjadi unsur terlemah dan rantai “Security” diperlukan pola pembinaan secara terus menerus di Lingkungan Kejagung RI dan Kejati .
PENUTUP “ It is Just Another Never Ending Story “ “Keamanan yang hakiki” adalah sesuatu yang tidak akan pernah ada dalam jaring dunia maya/cyberspace. Karena apa yang dianggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) dari ancaman cyber attack (cyber terrorist, hacker, crackers, cyber crime) pada masa yang akan datang. Sehingga fenomena Cyber Intelligence akan terus menjadi sebuah kisah yang menarik yang tidak akan pernah berakhir ……. Dan itu menjadi tanggungjawab kita bersama …….
1
cnac6o
.
· ··
rn
tJI i
1i .c_:e,
:!.=
1e I
m rm
I
I
.
11nm;; ,
0 -i'l A}· -li r}- o. :J·
w
I
•
p
Aek Kanopan, 15 Maret 2017 Oleh: FAROSA, S.T.
Pengelolaan dan Perlindungan Informasi Urgensi Informasi & Urgensi Klasifikasi Informasi Tata Cara Klasifikasi Informasi Contoh Klasifikasi Informasi
Dasar Hukum
• Pengelolaan dan perlindungan informasi di lingkungan Pemerintah Daerah, dapat mengacu pada beberapa peraturan, yaitu :
UU No. 14 tahun 2008 ttg KIP, UU No. 11 tahun 2008 ttg ITE, UU No. 43 tahun 2009 tentang Kearsipan Permenpan & RB No. 80 Tahun 2012 tentang Pedoman Tata Naskah Dinas Instansi Pemerintah Permendagri 54 th 2009 tentang Tata Naskah Dinas di lingkungan Pemda Permendagri 35 th 2010 tentang Pedoman Pengelolaan Pelayanan Informasi dan Dokumentasi di lingkungan Kemendagri dan Pemda Perka Lemsaneg No. 10 Tahun 2012 tentang Pedoman Pengelolaan dan Perlindungan Informasi Berklasifikasi Milik Pemerintah.
APA ITU INFORMASI ?
UU Keterbukaan Informasi Publik No. 14 Tahun 2008 Informasi adalah : keterangan, pernyataan, gagasan, dan tandatanda yang mengandung nilai, makna, dan pesan. Baik berupa data, fakta, maupun penjelasannya yang dapat dilihat, didengar atau dibaca, yang disajikan dalam berbagai kemasan dan format sesuai perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non elektronik.
PENTINGKAH INFORMASI, MENGAPA ? Jika anda memahami musuh dan diri anda sendiri, maka anda tidak perlu mengkhawatirkan hasil dari ratusan pertempuran… (SunTzu)
Siapa yang menguasai informasi maka dia akan menguasai dunia (Alvin Toffler)
Era sekarang Informasi merupakan asset yang bernilai strategis
Bagaimana Perlakuannya? 1. UU No 23/2006 tentang Administrasi Kependudukan Setiap penduduk berhak memperoleh perlindungan atas data pribadinya. Instansi pelaksana pencatatan sipil yang dibentuk pemerintah kabupaten/kota wajib menjamin kerahasiaan dan keamanan data atas peristiwa kependudukan dan peristiwa penting. Data pribadi, seperti nomor kartu keluarga, NIK, tanggal/bulan/tahun lahir, keterangan kecacatan fisik/mental wajib dijaga kebenarannya dan dilindungi kerahasiaannya.
2.
UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
3.
UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
4.
PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
5.
PP No 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik
SIAPA ?
Pengelolaan Informasi Berklasifikasi
unit TU di Pimpinan/Pimpinan itu sendiri/Satuan Kerja Perangkat Daerah (SKPD), Unit Pengelola/Konseptor Naskah Dinas
JAMINAN YANG BISA DIBERIKAN PERSANDIAN DAERAH ? PEMBUATAN
PEMBERIAN LABEL
PENYIMPANAN
PENGIRIMAN
Untuk Naskah Dinas rahasia – kerahasiaan dg enkripsi Jaminan terhadap Electronic E-mail Untuk Arsip – digital (kerahasiaan dg enkripsi & keutuhan data dg hash function) Pengiriman – digital (kerahasiaan dg enkripsi jaringan & keutuhan data dg hash function) hardcopy (pengamanan fisik & personil)
MEMBANGUN JKS INTERNAL DI LINGKUNGAN PEMerintah DAerah
Pengelolaan Informasi Berklasifikasi 1.Pengagendaan surat masuk/keluar 2.Pemberian nomor, tanggal dan stempel 3.Pengiriman kepada tujuan 4.Pengiriman kepada tembusan 5.Pengarsipan
Pimpinan / Pencipta informasi
Tata Usaha
Kerawanan
Secure
Tata Usaha
Kerawanan Secure
Penerima Informasi
Urgensi Informasi & Urgensi Klasifikasi Informasi
Kenapa ada Klasifikasi MENGAPA ADA KLASIFIKASI INFORMASI Informasi? Pengklasifikasian informasi yang efektif akan membuat informasi mudah dimengerti serta mudah digunakan dan dipelihara
10
TERBUK A
INFORMA SI PUBLIK
DIKECU ALI-KAN
Pasal 9
DIUMUMKAN SERTA MERTA
Pasal 10
TERSEDIA SETIAP SAAT
Pasal 11
BERDASARKAN PERMINTAAN
Pasal 22
RAHASIA NEGARA
Pasal 6 ayat (3) huruf a
RAHASIA PRIBADI
Pasal 6 ayat (3) huruf b
RAHASIA BISNIS
Pasal 6 ayat (3) huruf c
KLASIFIKASI INFORMASI PUBLIK MENURUT UU 14 TAHUN 2008
DIUMUMKAN BERKALA
Prinsip-Prinsip Informasi Publik: Prinsip MALE (Maximum Access Limited Exemption) & Prinsip Harm Test
• Pada dasarnya seluruh informasi adalah terbuka dan dapat diakses oleh pengguna informasi publik • Pengecualian terhadap informasi harus dilakukan secara ketat dan terbatas • Pengecualian harus dilakukan dengan Undang-Undang yang didasarkan pada kepatutan dan kepentingan umum, seperti: UU Rahasia Dagang, UU Praktek Kedokteran dsb • Pengecualian dapat ditentukan dengan pengujian: – konsekuensi yang timbul jika informasi diberikan – Menutup akan melindungi kepentingan yang lebih besar daripada membuka
ASPEK DALAM INFORMASI Setiap informasi yang dikeluarkan oleh Badan Publik ataupun penyelenggara pemerintahan seharusnya mencakup aspek: NIR PENYANGKALAN INFO
KEOTENTIKAN INFO KETERSEDIAAN INFO KEUTUHAN INFO KERAHASIAAN INFO
Informasi yang disebarkan tidak dapat disangkal/dibantah bahwa memang benar informasi telah diterbitkan/dikirim Informasi tersebut yang disebarkan adalah oleh pihak yang berwenang menyebarkannya asli/original/benar dari pihak yang berwenang Informasi yang disebarkan tersedia dan dapat diakses oleh pihak yang membutuhkan. Informasi yang disebarkan isinya utuh ,tidak mengalami perubahan sedikitpun dari pihak yang tidak berwenang Informasi yang dihasilkan wajib dijaga keamanan dan kerahasiaannya serta hanya dapat diakses oleh pihak yang berwenang sesuai dengan peraturan perundang-undangan yang berlaku
Informasi publik dan dikecualikan Informasi yang dikecualikan
TAHAPAN MENGELOLA INFORMASI
Penetapan Informasi
Melakukan identifikasi, dan menetapkan klasifikasi informasi sesuai dengan nilai konten dan risiko/dampak yang ditimbulkan
Pengelolaan Informasi
Melakukan pengelolaan informasi sesuai dengan klasifikasi informasi yang telah ditetapkan
Perlindungan Informasi
Memberikan perlindungan informasi sesuai dengan kebutuhannya
Informasi yang DIKECUALIKAN informasi yang bersifat ketat dan terbatas dan memungkinkan dilakukan pembukaan dengan syarat dan kondisi tertentu yang diatur dengan UndangUndang.
JENIS : 1.INFORMASI TERBATAS, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak RENDAH. 2.INFORMASI RAHASIA, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak SEDANG. 3.INFORMASI SANGAT RAHASIA, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak TINGGI. Tingkat informasi yang tertinggi, sangat erat hubungannya dengan keamanan dan keselamatan Negara
SANGAT RAHASIA
RAHASIA BIASA
Identifikasi Informasi
Penentuan nilai Asset dari Informasi
Identifikasi Dampak yang ditimbulkan
Identifikasi tingkat Resiko
Penentuan Klasifikasi Informasi
TATA CARA KLASIFIKASI INFORMASI
1. Mengenali tugas pokok dan fungsi Unit Kerja 2. Mendata kegiatan yang dilaksanakan oleh Unit Kerja 3. Mendata informasi dan dokumen yang dihasilkan
IDENTIFIKASI INFORMASI
4. Mengenali ancaman terhadap informasi dan perkiraan frekuensi terjadinya ancaman
Penguatan Peraturan Perundang-undangan tentang Persandian negara
5. Membuat daftar jenis-jenis informasi dan dokumen
Berdasarkan kriteria tingkat kepentingan :
1. Tidak Penting
2. Kurang Penting
3. Penting
PENENTUAN NILAI ASSET DARI INFORMASI
4. Sangat Penting
1. Mengungkap rahasia pribadi 2. Mengungkapkan isi akta otentik yang bersifat pribadi dan kemauan terakhir ataupun wasiat seseorang 3. Terganggunya ketahanan ekonomi nasional 4. Terungkapnya kekayaan alam negara
IDENTIFIKASI DAMPAK YANG DITIMBULKAN
5. Tergganggunya kepentingan perlindungan hak atas kekayaan intelektual dan perlindungan dari persaingan tidak sehat 6. Dampak pada memorandum/surat-surat antar Badan Publik atau intra Badan Publik 7. Dampak pada penghambatan proses pengadilan 8. Ancaman pada pertahanan dan keamanan negara 9. Terganggunya hubungan luar negeri (UU No. 14 tahun 2008)
IDENTIFIKASI TINGKAT RESIKO
Dilakukan dengan menentukan Tingkat Ancaman dan Kemudahan Eksploitasi :
1. NIHIL 2. RENDAH 3. SEDANG
4. TINGGI
Apa itu Risiko?
Risiko dapat dipandang sebagai :
1. Sesuatu yang merugikan terjadi (risk of loss) 2. Suatu ketidakpastian (risk of volatility) 3. Sesuatu yang menguntungkan tidak terjadi (risk of lost opportunity)
21
Berdasarkan Nilai pada Matriks Tingkat Risiko : 1. Risiko tidak ada atau diabaikan : nilainya 0-1 (INFORMASI PUBLIK)
2. Risiko rendah : nilainya 2-4 (KLASIFIKASI TERBATAS)
PENENTUAN KLASIFIKASI INFORMASI
3. Risiko sedang : nilainya 5-7 (KLASIFIKASI RAHASIA) 4. Risiko Tinggi : nilainya 8-9
(KLASIFIKASI SANGAT RAHASIA)
Penentuan Klasifikasi Informasi (1) Penentuan Klasifikasi Informasi didasarkan pada nilai risiko suatu informasi. Estimasi risiko keamanan informasi yang digunakan adalah estimasi kualitatif dengan menggunakan skala kualifikasi atribut untuk menggambarkan besarnya kemungkinan terjadinya ancaman dan kemungkinan konsekuensi tersebut terjadi. Nihil / Diabaikan (N)
Identifikasi Informasi
Kemungkinan ancaman terjadi
Penilaian dampak
Kemudahan eksploitasi
N
R
S
T
N
R
S
T
N
R
S
T
N
R
S
T
1
0
1
2
3
1
2
3
4
2
3
4
5
3
4
5
6
2
1
2
3
4
2
3
4
5
3
4
5
6
4
5
6
7
3
2
3
4
5
3
4
5
6
4
5
6
7
5
6
7
8
4
3
4
5
6
4
5
6
7
5
6
7
8
6
7
8
9
Penentuan klasifikasi Nilai Aset
Peninjauan, Pemeliharaan, & deklasifikasi berkesinambungan
Rendah (R)
Sedang (S)
Tinggi (T)
Penentuan Klasifikasi Informasi (2)
NILAI ASET
KERENTANAN DAN ANCAMAN YANG RELEVAN
RISIKO
Ditentukan oleh PEMILIK INFORMASI
SKALA 1 – 4 1 : tidak penting 2 : kurang penting 3 : penting 4 : sangat penting
SKALA 1 – 9 0 - 1 : Risiko tidak ada atau diabaikan. Tidak ada dampak atau diabaikan, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi publik. 2 - 4 : Risiko rendah. Dampaknya terhadap Unit-unit Kerja dalam Instansi Pemerintah, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi terbatas. 5 – 7 : Risiko sedang. Dampaknya terhadap Instansi Pemerintah, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi rahasia. 8 - 9 : Risiko tinggi. Dampaknya terhadap Negara Republik informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi sangat rahasia
TINGKAT TINGKAT RISIKO
HIGH
MEDIUM
RISIKO
DAMPAK
NILAI
SANGAT RAHASIA
RAHASIA
4
3
TERHADAP INFORMASI
-
Membahayakan kedaulatan negara Membahayakan keamanan dan keselamatan negara Integritas wilayah Kesatuan Republik Indonesia Gangguan serius terhadap keamanan negara Dapat mengubah ideologi negara Rusaknya hubungan diplomatik Rusaknya sistem ketahanan perekonomian
-
Memiliki nilai yang penting bagi negara Memiliki nilai yang sangat penting bagi instansi pemerintah Mengganggu ketertiban umum Terganggunya fungsi penyelenggaraan negara Menimbulkan kerugian bagi negara atau sangat menguntungkan bagi suatu negara asing
25
TINGKAT TINGKAT RISIKO
RISIKO
TERHADAP INFORMASI (2)
NILAI
DAMPAK -
MEDIUM
LOW
Terbatas
2
-
-
biasa
1
-
Memiliki nilai yang penting bagi instansi Menghambat tugas pokok instansi Kerusakan asset bagi organisasi tinggi pengaruhnya bagi instansi Terganggunya penyelenggaraan instansi Menimbulkan kerugian bagi instansi pemerintah
Memiliki nilai yang tidak penting bagi instansi Kerusakan asset yang sangat kecil pengaruhnya terhadap instansi Tidak akan berpengaruh bagi instansi Kerusakan asset organisasi kecil
26
Hubungan Resiko dan Asset Informasi Risiko ditentukan oleh nilai aset, ancaman dan kerentanan. Rumusnya adalah sebagai berikut : Risiko (Risk) = (Nilai Aset (Asset), Ancaman (Threat) Kerentanan (Vulnerability) )
R = A x T x V Rp, US$, £, Kredibilitas
Risiko berbanding lurus dengan nilai aset, ancaman dan kerentanan. Jadi, risiko dapat meningkat atau berkurang dengan memanipulasi besar dari nilai aset, ancaman dan kerentanan. Ini dapat dilakukan dengan manajemen risiko. Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)
Tingkat Kalisifikasi Informasi Dapat ditinjau, dipelihara, dan di De-klasifikasi • Karena lingkungan dan keadaan selalu berubah, pemilik informasi harus meninjau klasifikasi informasi untuk memastikan bahwa perlindungan yang diberikan menggunakan biaya efektif dan sepadan dengan tingkat risiko. • Klasifikasi informasi menyebabkan aset informasi lebih mahal untuk ditangani, disimpan, dan ditransfer, sehingga pemeliharaan sangatlah penting untuk memastikan pengamanan informasi yang tepat. • Hal ini mungkin menyebabkan aset informasi yang diturunkan tingkat klasifikasinya (dide-klasifikasi) tidak lagi sensitif.
MEKANISME PERLINDUNGAN & PENGELOLAAN INFORMASI YANG DIKECUALIKAN/INFORMASI BERKLASIFIKASI DI BADAN PUBLIK PIMPINAN BADAN PUBLIK INFORMASI BERKLASIFIKASI
PPID
Pelaporan IB PPID
BACK OFFICE
FRONT OFFICE
SISTEM INFORMASI BERKLASIFIKASI
Informasi
Terbuka
Pengelolaan IB Pengelola Informasi
Sertifikasi Keahlian
Diajukan oleh PPID
Dapat diakses Publik
Peninjauan secara berkala Pimpinan Badan Publik Deklasifikasi Sebelum Masa Retensi Sesuai Masa Retensi Penundaan
Wajib tersedia setiap saat
Informasi yg wajib disediakan & diumumkan secara berkala Informasi yg wajib diumumkan secara serta merta Informasi yg wajib tersedia setiap saat
IMPLEMENTASI PERSANDIAN DALAM MENGAMANKAN INFORMASI
bukan hanya kirim terima informasi
menjadi ujung tombak dalam memberikan
jaminan keamanan informasi
Memberikan bukan hanya kesadaran bicara keamanan kerahasian informasi secara terus menerus dan berkesinambun gan
LET’S PRACTICE
TERIMA KASIH L E M BAG A S A N D I N EG A R A w w w. l e m s a n e g . g o . i d