Penerapan SNI 27001 untuk Keamanan Informasi
Melwin Syafrizal
Object • Cyber Crime • Keamanan Informasi • Tata Kelola Keamanan Informasi (Kaminfo) • Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data DiplomaBk Data rahasia Indonesia dimiliki oleh AS. Wikileaks memuat data tsb. di situs staBc.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo • Informasi adalah aset yg rawan terhadap – Pencurian – Modifikasi
• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi
Keamanan Informasi
Keamanan Informasi Terjaganya informasi dari ancaman dan serangan terhadap: • kerahasiaan (confiden'ality) • keutuhan (integrity) • ketersediaan (availability) • nirsangkal (non repudia'on)
Aspek Keamanan Informasi • Kerahasiaan (confiden'ality): pesan hanya bisa terbaca oleh penerima yang berhak • Keutuhan (integrity): pesan yang diterima Bdak berubah • Ketersediaan (availability): pesan dapat tersampaikan ke penerima • Nirsangkal (non repudia'on): pesan terkirim Bdak dapat disangkal oleh pengirimnya
Gangguan Keamanan • Ancaman – Manusia – Alam
• Serangan – Interupsi: Denial of Service (DoS) – Intersepsi: Packet Sniffing – Modifikasi: TCP Hijacking, Virus Trojan – Fabrikasi: Packet Spoofing
Ancaman Berasal dari: • Manusia • Alam
Ancaman dari Manusia • Staf internal – Mencatat password – Meninggalkan sistem tanpa logout
• Spy – Menyadap data
• Yang ingin tenar – Menginginkan perhaBan publik
• Yang ingin coba-‐coba
Ancaman dari Alam • Temperatur: panas /dingin yg ekstrim • Kelembaban atau gas yang ekstrim: kegagalan AC • Air: banjir, pipa bocor • Organisme, bakteri, serangga • Anomali energi: kegagalan listrik, peBr
Serangan • Interupsi: Denial of Service (DoS) • Intersepsi: Packet Sniffing • Modifikasi: TCP Hijacking, Virus Trojan • Fabrikasi: Packet Spoofing
Denial of Service (DoS) • Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fikBf • Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar
Distributed DoS
Packet Sniffing • Mendengarkan dan merekam paket yg lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer. • Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan • Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games soYware. • Masuk ke sistem • Mengakses file system • Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing • Mengubah alamat pengirim paket untuk menipu komputer penerima Contoh: Man-‐in-‐the-‐middel-‐a[ack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
Man-‐in-‐the-‐middel-‐a[ack
Pengamanan Fisik • Pemilihan Lokasi • Konstruksi bangunan • Pengamanan akses – Pengawasan Personil: penjaga & CCTV – Perangkat kontrol akses personil: kunci, security access card & perangkat biometric
Pengamanan Logik (1) • OtenBkasi user • Otorisasi user • Enkripsi • Tanda Tangan dan SerBfikat Digital • Firewall
Pengamanan Logik (2) • DeMilitarized Zone (DMZ) • Intrusion DetecBon System (IDS) • Server • Client • Code/script
OtenBkasi • Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali • Password ExpiraBon: password harus diubah jika telah melewaB batas waktu • Password Complexity VerificaBon: – Panjang minimum – Kombinasi alfabet, nomor dan tanda baca – Tidak sama dengan kata-‐kata sederhana
Otorisasi Pemberian hak akses thd resource • Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus • Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess • Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi Symmetric • Data EncrypBon Standard (DES) • Blow Fish • IDEA Asymmetric • RSA • Merkle-‐Hellman Scheme
Tanda Tangan Digital
SerBfikat Digital
Firewall
DeMilitarized Zone
Intrusion DetecBon System
Tata Kelola Kaminfo
Landasan Hukum • Undang-‐undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) • Surat Edaran Menteri KOMINFO No. 05/SE/ M.KOMINFO/07/2011 tentang: “Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi • SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Komponen SNI 27001 1. 2. 3. 4.
Kebijakan Keamanan Organisasi Keamanan Pengelolaan Aset Keamanan Sumber Daya Manusia 5. Keamanan Fisik & Lingkungan 6. Manajemen Komunikasi & Operasi
7. Pengendalian Akses 8. Akuisisi, Pengembangan & Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan 10. Manajemen Keberlanjutan Bisnis 11. Kesesuaian
Manajemen Keamanan
Plan Act Check
Do
Indeks Kaminfo • Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009 • Fungsi: sebagai indikator penerapan keamanan informasi secara nasional
Ruang Lingkup 1. 2. 3. 4. 5.
Kebijakan dan Manajemen Organisasi Manajemen Resiko Kerangka Kerja Manajemen Aset Informasi Teknologi
Maksud dan Tujuan • Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola 1. Merujuk pada panduan penerapan tata kelola 2. Menggunakan Indeks KAMI sebagai alat ukur 3. Melaporkan hasil pengukuran kepada Kementerian Komunikasi dan InformaBka
Level Indeks KAMI • Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model IntegraBon (CMMI): 0. Pasif 1. ReakBf 2. AkBf 3. ProakBf 4. Terkendal 5. OpBmal
CMMI: 5 Tingkat Kematangan Level 5 Op@mized
Process performance con@nually improved through incremental and innova@ve technological improvements.
Level 4 Managed Level 3 Defined Level 2 Repeatable
Processes are controlled using sta@s@cal and other quan@ta@ve techniques. Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organiza@onal (Organiza@on X ) level. Proac@ve.
Processes are planned, documented, performed, monitored, and controlled at the project level. OJen reac@ve.
Level 1 Ini@al
Processes are unpredictable, poorly controlled, reac@ve.
Pemeringkatan Kaminfo • Pengelompokan instansi berdasarkan level indeks kaminfo • Tahun 2011: evaluasi terhadap Kementerian/ Lembaga dg self assessment • Tahun 2012: evaluasi dengan self dan on-‐site assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola • Pengelolaan Resiko • Kerangka Kerja • Pengelolaan Aset • Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi • Instansi pemerintah: – memiliki sistem elektronik yg perlu diproteksi dg penerapan indeks kaminfo – tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi
• Akademisi: – memiliki SDM yg unggul – perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match Pemerintah & akademisi berkolaborasi dalam • Seminar • Bimbingan Teknis • Asesmen • Pemeringkatan • Klinik konsultasi
Technology • Sistem elektronik di pemerintah sbg obyek asesmen • Aplikasi indeks kaminfo berupa spreadsheet • Panduan penerapan indeks kaminfo
Terima kasih
Tugas • Ditulis di kertas A4 • Suatu cerita / history tentang kejadian keamanan komputer (real atau fiktif) • Pada cerita menggambarkan dampak/ akibat yang ditimbulkan serta proses (kronologis) kejadian atau tools / teknik yang digunakan.
