KEBIJAKAN DAN REGULASI KEAMANAN INFORMASI Disampaikan pada Bimtek Relawan TIK, di Hotel Salak Bogor, 6 Juli 2011
Bambang Heru Tjahjono Direktur Keamanan Informasi
Agenda 1
Profil Direktorat Keamanan Informasi
2
Sekilas tentang Keamanan Informasi
3
Permasalahan Keamanan Informasi
4
Best Practices Keamanan Informasi
5
Diskusi
05/24/11
Tugas & Fungsi
(Permen- MenKominfo No. 17/Oktober-2010) Melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, serta pemberian bimbingan teknis dan evaluasi di bidang keamanan informasi. Bidang-bidang tugas (yang masing-masing dipimpin oleh Ka. Subdit): - Tata Kelola Keamanan Informasi - Teknologi Keamanan Informasi - Monitoring, Evaluasi &Tanggap Darurat Keamanan Informasi - Penyidikan dan Penindakan - Budaya Keamanan Informasi Direktorat Keamanan Informasi 2011
VISI, MISI, DAN TUJUAN DIREKTORAT KEAMANAN INFORMASI Visi Dit. Keamanan Informasi Terwujudnya pemanfaatan informasi yang sehat, tertib,aman, dan berbudaya,
Misi Dit. Keamanan Informasi Memelihara keamanan dan ketertiban dunia siber dalam rangka mewujudkan masyarakat informasi yang sejahtera.
Tujuan: • Menyusun kebijakan nasional di bidang keamanan informasi melalui kerjasama antar lembaga baik dalam maupun luar negeri • Membangun kemampuan teknis di bidang teknologi keamanan informasi • Menyelenggarakan penanganan insiden keamanan informasi nasional • Menyelenggarakan penegakan hukum bidang ITE • Membangun budaya keamanan di dunia cyber
Direktorat Keamanan Informasi 2011
5
05/24/11
Perumusan kebijakan&tatakelola -POLICY MAKER
Meningkatkan kepedulianAWARENESS
DIREKTORAT KEAMANAN INFORMASI
Penegakan Hukum (Law Enforcement) Dukungan Teknologi & Infrastructures
Pelaksanaan Kebijakan(Regulator
05/24/11
05/24/11
05/24/11
20 Security Best Practices (ITU) General IT Security
Spam, Spyware and Malicious Code Financial Services Security
Security Awareness
E-mail Security
Cyber Security and Networking
Risk Management
Media and End User Device Security
Security Metrics
Wireless Networks
Incident Management, Monitoring and Response
Network Security and Information Exchange Electronic Authentication and Personal Identification Electronic Signatures
Web Security Mobile Device Security
Operating System and Server Security
Radio Frequency Identification (RFID) Security
Security Policy
Planning, Testing and Security Management
Sumber : ITU & Modified Presentasi CA -2011
05/24/11
Ruang Lingkup Keamanan Informasi
Tony Rutkowski,
[email protected] Rapporteur, ITU-T Cybersecurity Rapporteur Group EVP, Yaana Technologies Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and Policy (CISTP)
HISA Framework Hogan Information Security Architecture Framework Organization Individual Country Certification Compliance
Business / Goverment
ICT InfoSec Governance/ Risk Management
Care
People
Threat
Process
Vulnerability
Technology
Asset
Confidentiality
Prevention
Integrity Availability
Detection Response Administrative
Sumber : Hogan –Presdir Unipro
Physical Technical
05/24/11
05/24/11
05/24/11
Security Landscape (Cyber Range Attack from Individual, Corporation to Country)
• Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS, DDOS, etc) • Account Hijack • Spam, Phishing • Identity Theft • Web Defaced • Data Leakage/Theft • Web Transaction Attack • Misuse of IT Resources • Cyber Espionage • Cyber War Sumber : Presentasi CA –Modified
Ancaman Keamanan Informasi
19
Sumber : Presentasi Iwan S-Bank Indonesia 2008
05/24/11
Best Practices - Inisiatif Information Security Amerika Serikat
1. White House 2. NIST 3. DoHS
4. DoD 5. CERT
Negara Lain 1. Infocomm Development Authority (IDA) of Singapore 2. CyberSecurity Malaysia, under Ministry of Science, Technology and Innovation (MOSTI) 3. Cyber Security Operation Center (CSOC), Australian Department of Defense. 4. National Information Security Council of Japan.
Lembaga Internasional 1.ITU International Telecommunication Union 2.ISO/IEC – International Standard Organization 3.ISF – Information Security Forum 4.BSA- Business Software Alliance
Lesson Learned Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi yang merupakan bagian dari arsitektur enterprise
05/24/11
SNI-ISO 27001 Sistem Manajemen Keamanan Informasi
Sumber ISMS – ISO 27001
1. 2. 3. 4. 5. 6. 7. 8.
Kebijakan Keamanan Informasi Organisasi Keamanan Informasi Pengelolaan Aset Keamanan Sumber Daya Manusia Keamanan Fisik dan Lingkungan Manajemen Komunikasi dan Operasi Pengendalian Akses Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan Infomasi 10. Manajemen Keberlanjutan Bisnis • Kesesuaian (Compliance).
23
05/24/11
“Security Transcends Technology”
Diskusi Road-Map Keamanan Informasi LEMBAGA - Pembentukan Direktorat Keamanan Informasi Ditjen Aptika (sebagai Regulator di tahun 2011) - IDSIRTII dan ID-CERT untuk Tanggap Darurat Insiden Keamanan Informasi - Rencana Pembentukan pengelola Certificate of Authority/Government Public Key Infrastructure - Wacana Pembentukan National Information Security Centre
DUKUNGAN KEBIJAKAN&TEKNIS - UU-ITE, UU- KIP, UU-Telekomunikasi, RUU-Konvergensi, RPP-PITE - Penyusunan Arsitektur TIK & Keamanan Informasi Nasional - Penetapan Standard Tata Kelola Keamanan Informasi Nasional di instansi Pemerintah - Pemetaan (Pemeringkatan) Indeks Keamanan Informasi Nasional
SUMBER DAYA MANUSIA - Peningkatan Kepedulian akan pentingnya Keamanan Informasi Nasional - Pelatihan tenaga-tenaga bersertifikasi dibidang Keamanan Informasi
Roadmap Keamanan Informasi ???
???? 2014
2015 2013
????
?????
2011 ??????
2012
????? 28
Bambang Heru Tjahjono Direktur Keamanan Informasi
[email protected]
TERIMA KASIH
