Rancangan Peraturan Menteri
TIM PENANGANAN INSIDEN KEAMANAN INFORMASI Aidil Chendramata Direktorat Keamanan Informasi
Direktorat Jenderal Aplikasi Informatika 2015
Dasar Hukum
(1)
UU ITE Pasal 15 ayat 1 –
Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya.
–
Ketentuan Umum: Penyelenggaraan Sistem Elektronik adalah pemanfaatan Sistem Elektronik oleh penyelenggara negara, Orang, Badan Usaha, dan/atau masyarakat
PP 82 tahun 2012 Pasal 20 ayat 2 –
Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian
Dasar Hukum
(2)
PP 82 tahun 2012 Pasal 20 ayat 3 –
Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.
Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.
Identifikasi Sektor Strategis dalam Lingkup Keamanan Informasi a. pemerintahan; b. energi dan sumber daya mineral; c. transportasi; d. keuangan; e. perdagangan; f. hubungan luar negeri; g. kesehatan; h. ketahanan pangan; i. pertahanan; j. sektor lain yang ditentukan oleh peraturan perundang-undangan.
Maksud dan Tujuan Kebijakan Permen 1) Membuat tersedianya titik pusat koordinasi bagi penanggulangan dan pencegahan ancaman keamanan informasi pada penyelenggara sistem elektronik. 2) Meningkatkan efisiensi dan efektivitas memulihkan dari insiden keamanan dan meminimalkan kehilangan atau pencurian informasi dan gangguan layanan. 3) Meningkatkan efisiensi dan efektivitas kerja sama dan koordinasi antar organisasi di tingkat regional, nasional maupun internasional 4) Menyediakan acuan bagi pengembangan kebijakan, tata kelola dan kelembagaan bagi penanggulangan dan pencegahan ancaman keamanan informasi 5) Tersedianya data base insident keamanan informasi
PENGERTIAN Tim Penanganan Insiden Keamanan Informasi (TPIKI) adalah unit atau sekelompok orang yang bertugas dan bertanggung jawab menangani Insiden Keamanan Informasi dalam ruang lingkup yang ditentukan terhadapnya
Lingkup Kebijakan TPIKI Nasional ●
Jenis TPIKI;
●
Tugas dan Konstituen TPIKI;
●
Ketentuan Penerapan TPIKI;
●
Layanan TPIKI;
●
Sumber Daya Manusia TPIKI;
●
Mekanisme Kerja TPIKI.
Jenis TPIKI
TPIKI ● TPIKI ● TPIKI ● TPIKI ●
nasional; sektoral; organisasi; khusus.
CSIRT Nasional Country Coordinator
CSIRT Khusus
CSIRT Sektor
CSIRT organisasi
CSIRT organisasi
CSIRT organisasi
CSIRT Energi
CSIRT Perbankan
CSIRT organisasi
CSIRT Sektor
CSIRT regional
CSIRT organisasi
CSIRT organisasi
CSIRT organisasi
CSIRT organisasi
Tugas TPIKI Nasional ●
●
● ●
● ●
●
● ● ● ●
●
menyediakan layanan-layanan TPIKI sesuai dengan kebutuhan penanganan Insiden Keamanan Informasi nasional; menyediakan sarana dan prasarana yang diperlukan untuk tersebut dalam Pasal 6 butir a yang meliputi tetapi tidak terbatas pada operasional layanan pada pusat data, informasi, koordinasi, dan pemantauan; menyediakan tenaga ahli untuk mendukung layanan; merumuskan kebijakan, sistem prosedur, pedoman atau panduan, acuan, dan ketentuan untuk mendukung tersebut dalam Pasal 6 butir a; menerima pendaftaran TPIKI; membangun dan mengelola informasi dan pengetahuan Insiden Keamanan Informasi di tingkat nasional untuk dimanfaatkan bersama oleh semua yang memiliki kepentingan sesuai peraturan perundang-perundangan; membangun dan mengelola sistem dan mekanisme pencatatan ancaman dan Insiden Keamanan Informasi oleh TPIKI yang terdaftar; melakukan pembinaan terhadap TPIKI yang terdaftar; melakukan koordinasi terhadap semua TPIKI; melakukan koordinasi di tingkat internasional; melakukan tugas-tugas lain sesuai dengan peraturan perundang-undangan.
Tugas TPIKI Sektoral ●
●
● ●
●
● ●
●
●
menyediakan layanan-layanan TPIKI sesuai dengan kebutuhan penanganan Insiden Keamanan Informasi di tingkat sektor; menyediakan sarana dan prasarana yang diperlukan untuk tersebut dalam Pasal 7 butir a yang meliputi tetapi tidak terbatas pada operasional layanan pada pusat data, informasi, koordinasi, dan pemantauan; menyediakan tenaga ahli untuk mendukung layanan; merumuskan kebijakan, sistem prosedur, pedoman atau panduan, acuan, dan ketentuan untuk mendukung tersebut dalam Pasal 7 butir a; melakukan koordinasi terhadap semua TPIKI yang berada di ruang lingkup sektornya; melaporkan kejadian insiden kepada TPIKI nasional; melakukan pembinaan terhadap TPIKI dalam ruang lingkup sektornya; memberikan bantuan yang diperlukan TPIKI yang berada dalam ruang lingkup layanan dan koordinasinya; melakukan tugas-tugas lain sesuai dengan peraturan perundangundangan
Tugas TPIKI Organisasi ●
●
● ●
●
●
●
●
●
menyediakan layanan-layanan TPIKI sesuai dengan kebutuhan penanganan Insiden Keamanan Informasi di organisasinya; menyediakan sarana dan prasarana yang diperlukan untuk tersebut dalam Pasal 8 butir a yang meliputi tetapi tidak terbatas pada operasional layanan pada pusat data, informasi, koordinasi, dan pemantauan; menyediakan tenaga ahli untuk mendukung layanan; merumuskan kebijakan, sistem prosedur, pedoman atau panduan, acuan, dan ketentuan untuk mendukung tersebut dalam Pasal 8 butir a; melakukan koordinasi terhadap semua TPIKI yang berada di ruang lingkup organisasinya; melaporkan kejadian insiden kepada TPIKI sektor dan/atau TPIKI nasional; melakukan pembinaan terhadap TPIKI dalam ruang lingkup organisasinya; memberikan bantuan yang diperlukan TPIKI yang berada dalam ruang lingkup layanan dan koordinasinya; melakukan tugas-tugas lain sesuai dengan peraturan perundangundangan.
Ketentuan Penerapan TPIKI ●
● ●
● ●
●
Setiap Penyelenggara Sistem Elektronik Kritis wajib membentuk TPIKI organisasi. TPIKI organisasi harus berkoordinasi dengan TPIKI sektor. Instansi Penyelenggara Negara maupun institusi lain yang memiliki tugas dan tanggung jawab pengawasan pada sektor tertentu wajib membentuk TPIKI sektor. TPIKI sektor harus berkoordinasi dengan TPIKI nasional Kewajiban penerapan TPIKI sebagaimana dimaksud dalam Pasal 11 dan Pasal 12 wajib mengacu kepada ketentuan Standar Nasional Indonesia (SNI) dan sesuai dengan peraturan perundang-undangan. Kewajiban penerapan TPIKI merupakan bagian dari sertifikasi Sistem Manajemen Pengamanan Informasi.
Layanan TPIKI ●
Layanan proaktif;
●
Layanan reaktif;
●
Layanan manajemen kualitas.
Layanan TPIKI Layanan Pro aktif; ●
● ●
● ●
● ●
penyebaran informasi yang berkaitan dengan Keamanan Informasi; layanan pendeteksian serangan; pemberitahuan atau peringatan terkait ancaman dan Insiden Keamanan Informasi; pengamatan kemajuan teknologi; konfigurasi dan pemeliharaan alat bantu aplikasi dan infrastruktur Keamanan Informasi; pengembangan alat bantu Keamanan Informasi; audit dan evaluasi Keamanan Informasi.
Layanan TPIKI Layanan Reaktif; ●
●
●
●
layanan pemberi peringatan terkait dengan Insiden Keamanan Informasi; penanganan Insiden Keamanan Informasi yang terdiri dari analisis, tanggap di lokasi, dukungan, dan koordinasi tanggap insiden; penanganan kerawanan yang terdiri dari analisis, tanggap, dan koordinasi kerawanan; penanganan artifak yang terdiri dari analisis, tanggap, dan koordinasi artifak.
Layanan TPIKI Layanan Manajemen Kualitas ; ●
analisis risiko;
●
keberlangsungan kegiatan organisasi;
●
perencanaan pemulihan bencana;
●
konsultasi Keamanan Informasi;
●
pembangunan kewaspadaan;
●
pendidikan dan pelatihan;
●
evaluasi dan sertifikasi produk..
Sumber Daya TPIKI ●
●
TPIKI wajib menyediakan tenaga ahli yang memiliki kompetensi di bidang Keamanan Informasi. Tenaga ahli sebagaimana dimaksud pada ayat (1) mengacu pada Standar Kompetensi Kerja Nasional Indonesia (SKKNI) dan sesuai dengan peraturan perundang-undangan .
Mekanisme Kerja TPIKI ●
●
●
●
●
●
TPIKI harus mengikuti mekanisme kerja sesuai dengan pedoman penyelenggaraan TPIKI. TPIKI dapat menambahkan mekanisme kerja sesuai dengan kebutuhan tertentu. TPIKI wajib memberikan laporan tentang kejadian dan Insiden Keamanan Informasi dalam ruang lingkup tugas dan tanggung jawab kepada pimpinan organisasinya, kepada TPIKI sektor, dan kepada TPIKI Nasional sesuai dengan mekanisme kerja dan peraturan perundangperundangan. TPIKI sektor wajib menyediakan fasilitas dan mekanisme kerja untuk menerima laporan dari TPIKI yang berada dibawah pengawasannya. TPIKI sektor menerima laporan kejadian dan Insiden Keamanan Informasi langsung dari Konstituen apabila organisasi tersebut belum memiliki TPIKI organisasi. TPIKI nasional menerima laporan kejadian dan Insiden Keamanan Informasi langsung dari Konstituen apabila organisasi tersebut belum memiliki TPIKI organisasi dan sektor tersebut belum memiliki TPIKI sektor.
Jenis Laporan Jenis laporan kejadian dan Insiden Keamanan Informasi, sesuai dengan tingkat risiko dikelompokkan menjadi: ●
●
●
Sangat Segera, digunakan untuk kejadian dan insiden yang berdampak sangat besar, luas dan/atau strategis; Segera, digunakan untuk kejadian dan insiden yang berdampak luas; Biasa, digunakan untuk kejadian dan insiden yang berdampak pada sebagian kegiatan organisasi.
Jenis Penanganan Laporan Jenis penanganan kejadian dan insiden Keamanan Informasi, sesuai dengan tingkat risiko dikelompokkan menjadi: ●
●
●
prioritas 1 dilakukan terhadap laporan berklasifikasi sangat segera. Penanganan dilakukan dengan koordinasi dengan TPIKI nasional dan TPIKI sektor; prioritas 2 dilakukan terhadap laporan berklasifikasi segera. Penanganan dilakukan dengan koordinasi dengan TPIKI sektor; prioritas 3 dilakukan terhadap laporan berklasifikasi biasa. Penanganan dilakukan dengan koordinasi dengan TPIKI organisasi.
TERIMA KASIH
