ANALISIS PENAGGULANGAN NILAI PRAKTIKUM DI LABOLATORIUM TEKNIK INFORMATIKA UNIVERSITAS PASUNDAN DENGAN ISO 27001 (Studi Kasus : Manajemen Kejadian Keamanan Informasi)
TUGAS AKHIR Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung
oleh :
Deri Tri Yustira NRP.10.304.0045
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNIK UNIVERSITAS PASUNDAN BANDUNG SEPTEMBER 2016
i
LEMBAR PENGESAHAN LAPORAN TUGAS AKHIR
Telah disetujui dan disahkan, Laporan Tugas Akhir, dari : Nama : Deri Tri Yustira Nrp : 10.304.0045 Dengan judul : “ANALISIS PENANGGULANGAN NILAI PRAKTIKUM DI LABOLATORIUM TEKNIK INFORMATIKA UNIVERSITAS PASUNDAN DENGAN ISO 27001 “ (Studi Kasus : Manajemen Kejadian Keamanan Informasi)
Bandung, 22 September 2016 Menyetujui,
Pembimbing Utama,
(Doddy Ferdiansyah, ST, M.T.)
Pembimbing Pendamping,
(Ferry Mulyanto, S.T.M.KOM)
LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR Keamanan Teknologi Informasi saat merupakan hal yang sangat penting untuk melindungi data Saya menyatakan dengan sesungguhnya bahwa : 1. Tugas akhir ini adalah benar-benar asli dan belum pernah diajukan untuk mendapatkan gelar akademik, baik di Universitas Pasundan Bandung maupun di Perguruan Tinggi lainnya 2. Tugas akhir ini merupakan gagasan, rumusan dan penelitian saya sendiri, tanpa bantuan pihak lain kecuali arahan dari tim Dosen Pembimbing 3. Dalam tugas akhir ini tidak terdapat karya atau pendapat orang lain, kecuali bagian-bagian tertentu dalam penulisan laporan Tugas Akhir yang saya kutip dari hasil karya orang lain telah dituliskan dalam sumbernya secara jelas sesuai dengan norma, kaidah, dan etika penulisan karya ilmiah, serta disebutkan dalam Daftar Pustaka pada tugas akhir ini 4. Kakas, perangkat lunak, dan alat bantu kerja lainnya yang digunakan dalam penelitian ini sepenuhnya menjadi tanggung jawab saya, bukan tanggung jawab Universitas Pasundan Bandung
Apabila di kemudian hari ditemukan seluruh atau sebagian laporan tugas akhir ini bukan hasil karya saya sendiri atau adanya plagiasi dalam bagian-bagian tertentu, saya bersedia menerima sangsi akademik, termasuk pencabutan gelar akademik yang saya sandang sesuai dengan norma yang berlaku di Universitas Pasundan, serta perundang-undangan lainnya .
Bandung, 22 September 2016 Yang membuat pernyataan,
Materai 6000,-
( Deri Tri Yustira ) NRP. 10.3040.045
i
ABSTRAK Keamanan Teknologi Informasi saat merupakan hal yang sangat penting untuk melindungi data dan informasi dari gangguan dan ancaman. Keamanan secara umum dapat diartikan sebagai kondisi terbebas dari ancaman atau bahaya. Laboratorium teknik informatika merupakan tempat praktek dalam menunjang kegiatan belajar mahasiswa terhadap mata kuliah yang diambil oleh mahasiswa dalam mendukung kegiatan perkuliahan. Nilai praktikum merupakan informasi yang disimpan dan diserahkan pada dosen program studi yang bersangkutan untuk menentukan kelulusan terhadap mata kuliah yang diambil. Kerusakan dan kehilangan atau berubahnya nilai oleh serangan Hacker merupakan hal yang harus dihindari. Perlindungan pada infromasi ini dilakukan untuk memenuhi aspek keamanan informasi. Aspek keamanan informasi ini harus diperhatikan dan dikontrol untuk diterapkan dan dapat menjamin keamanan informasi nilai praktikum. Untuk meningkatkan keamanan informasi maka harus memiliki pedoman atau acuan yang dilaksanakan untuk menjamin keamanan informasi yang lebih baik. Maka dari itu perlu diterapkan Standar keamanan informasi ISO/IEC 27001 sebagai pedoman untuk menanggani sebuan permasalahan, sehingga informasi dapat selalu terjaga. Kata Kunci : Informasi, Keamanan, Laboratorium, Standar kemanan ISO/IEC 27001, Hacker, Dosen Program studi.
ii
ABSTRACT Information Technology Security moment is very important to protect the data and information of the disturbances and threats. Security in general can be interpreted as a condition free from the threat or danger. Laboratory informatics engineering is the practice in supporting learning activities of students to courses taken by students in support of the lectures. A practical value of information stored and delivered to the faculty study program in question to determine the graduation of the courses taken. Damage and loss of or change in value by Hacker attack is something that must be avoided. Protection in this infromasi done to fulfill aspects of information security. This information security aspects must be considered and controlled to apply and can ensure information security lab values. To improve the security of the information it needs to have guidelines or reference implementation to ensure better information security. Thus the need to apply the information security standard ISO / IEC 27001 as a guideline in order to tackle the problems sebuan, so that the information can always be maintained. Keywords: Information, Security, Laboratory, security standards ISO / IEC 27001, Hacker, lecturer study program.
iii
KATA PENGANTAR
Ucapan dan rasa syukur penulis layangkan kehadirat Ilahi Robbi, yang telah berkenan menguatkan penulis untuk
membuat Laporan Tugas Akhir Dengan Judul “Analisis Keamanan
Informasinilai Praktikum Di Labolatorium
Teknik Informatikauniversitas Pasundan Dengan Iso
27001” Adapun penulisan laporan ini bertujuan untuk memenuhi salah satu syarat kelulusan Program Strata 1 di jurusan Studi Teknik Informatika Universitas Pasundan. Penulis menyadari laporan ini dapat terwujud berkat bantuan dan dorongan dari berbagai pihak. Maka pada kesempatan ini penulis sampaikan terima kasih yang sebesar-besarnya atas segala bantuan yang penulis terima baik secara moril maupun materil, sehingga penulis dapat menyelesaikan laporan ini kepada : 1.
Allah SWT, atas anugerah serta rahmat-Nya sehingga penulis mampu menyelesaikan Tugas Akhir ini
2.
Kedua pembimbing, Bapak Doddy Ferdiansyah,ST,MT dan Bapak Fery Mulyanto,ST, M.KOM yang telah membimbing penulis dalam menyelesaikan tugas akhir ini.
3.
Kepada Orang Tua dan keluarga yang selalu memberikan motivasi serta do’anya dalam pembuatan tugas akhir ini.
4.
Kepada teman-teman seperjuangan Universitas Pasundan Bandung yang tidak bisa semua penulis sebutkan satu per satu. Tiada gading yang tak retak, tiada gelombang tanpa ombak, segala kesalahan merupakan
kelemahan dan kekurangan penulis. oleh karena itu, penulis harapkan kritik dan saran dari semua pihak demi perbaikan di masa yang akan datang.Akhir kata, semoga penulisan laporan ini dapat bermanfaat bagi penulis dan bagi perkembangan ilmu Teknologi dimasa yang akan datang.
Bandung,22 Septmber 2016
Penulis
iv
DAFTAR ISI
LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR .................................................................... i ABSTRAK .............................................................................................................................................. ii ABSTRACT ........................................................................................................................................... iii KATA PENGANTAR ........................................................................................................................... iv DAFTAR ISI ............................................................................................................................................v DAFTAR ISTILAH ............................................................................................................................. viii DAFTAR TABEL .................................................................................................................................. ix DAFTAR GAMBAR ...............................................................................................................................x DAFTAR LAMPIRAN .......................................................................................................................... xi DAFTAR SIMBOL ............................................................................................................................... xii BAB 1 PENDAHULUAN ................................................................................................................... 1-1 1.1 Latar Belakang ........................................................................................................................... 1-1 1.2 Identifikasi Masalah ................................................................................................................... 1-1 1.3 Tujuan Tugas Akhir ................................................................................................................... 1-1 1.4 Lingkup Masalah ........................................................................................................................ 1-1 1.5 Metodologi Tugas Akhir ............................................................................................................ 1-2 1.6 Sistematika Penulisan................................................................................................................. 1-3 BAB 2 LANDASAN TEORI ............................................................................................................... 2-1 2.1 Pengertian Cybercrime ............................................................................................................... 2-1 2.1.1 Pengertian Hacking ............................................................................................................. 2-1 2.1.2 Pengertian Hacker ............................................................................................................... 2-1 2.2 Pengertian Keamanan................................................................................................................. 2-2 2.3 Pengertian Informasi .................................................................................................................. 2-2 2.4 Pengertian Keamanan Informasi ................................................................................................ 2-2 2.5 Metode-Metode Keamanan Informasi ....................................................................................... 2-3 2.6 ISO/IEC 27001 (International Organization for Standarzitation)............................................. 2-3 2.6.1 Klausul Manajeman Kejadian Keamanan Informasi........................................................... 2-5 2.7 Pendekatan Iso/Iec 27001........................................................................................................... 2-6 2.8 Manajemen Risiko ..................................................................................................................... 2-7 2.8.1 Penilaian Risiko .................................................................................................................. 2-7 2.8.1.1 Identifikasi Aset ........................................................................................................... 2-8 2.8.1.2 Identifikasi Ancaman ................................................................................................. 2-10 2.8.1.3 Menentukan Kemungkinan Ancaman (Probability) ................................................... 2-10 v
2.8.1.4 Identifikasi Kelemahan............................................................................................... 2-10 2.8.1.5 Analisa Dampak (Impact Analysis) ........................................................................... 2-11 2.8.1.6 Menentukan Nilai Risiko............................................................................................ 2-11 BAB 3 ANALISIS RESIKO ................................................................................................................ 3-1 3.1 Kerangka Tugas Akhir ............................................................................................................... 3-1 3.2 Skema Analisis ........................................................................................................................... 3-2 3.3 Deskripsi Organisasi .................................................................................................................. 3-2 3.4 Struktur Organisasi Laboratorium Teknik Informatika .............................................................. 3-3 3.4.1 Deskripsi Wewenang dan Tangung Jawab.......................................................................... 3-4 3.5 Penyelenggara Praktikum ........................................................................................................... 3-4 3.6 Teknik Pengumpulan Data dan Wawancara .............................................................................. 3-4 3.6.1 Menentukan Keamanan ....................................................................................................... 3-5 3.6.2 Menentukan Kebijakan ....................................................................................................... 3-5 3.6.3 Kesimpulan Wawancara ...................................................................................................... 3-6 3.7 Analisis Teknologi Yang Digunakan ......................................................................................... 3-6 3.7.1 Perangkat keras (Hardware) ............................................................................................... 3-6 3.7.2 Perangkat Lunak (Software) ................................................................................................ 3-7 3.8 Analisis Ancaman ...................................................................................................................... 3-7 3.8.1 Kemungkinan Ancaman ...................................................................................................... 3-7 3.9 Analisis Kelemahan.................................................................................................................... 3-7 3.9.1 Kemungkinan Kelemahan ................................................................................................... 3-7 3.10 Identifikasi Aset ....................................................................................................................... 3-8 3.11 Identifikasi Ancaman (Threat Identification) dan Kelemahan (Vulnerability Identification) . 3-8 3.11.1 Kemungkinan Gangguan Keamanan (Probability of Occurrence) ................................... 3-9 3.11.2 Menghitung Nilai Business Impact Analysis (BIA) ........................................................ 3-10 3.11.3 Menetukan Nilai Risiko .................................................................................................. 3-11 BAB 4 REKOMENDASI..................................................................................................................... 4-1 4.1 Keamanan Laboratorium ............................................................................................................ 4-1 4.2 Rekomendasi Keamanan Informasi ........................................................................................... 4-1 BAB 5 PENUTUP................................................................................................................................ 5-1 5.1 Kesimpulan ................................................................................................................................ 5-1 5.2 Saran........................................................................................................................................... 5-1 DAFTAR PUSTAKA vi
DAFTAR ISTILAH Aset
Segala sesuatu milik organisasi yang memiliki nilai contoh: data base, file, aset perangkat lunak, aset fisik, aset yang tidak terukur (intangible)
Ancaman Keamanan
Berbagai model serangan terhadap keamanan informasi yang berupaya untuk mengakses tanpa hak ,
informasi
menghilangkannya atau merusak
Availability
Aspek Keamanan Informasi yang menjamin pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia atau komputer yang tentuny dalam hal ini memiliki otorisasi untuk mengakses informasi.
Confidentiality
Aspek keamanan infromasi yang harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu
Vulnerability Fasilitas Informasi
Kelemahan – kelemahan yang dimiliki oleh informasi. Fasilitas yang terkait dengan pemrosesan Informasi yang mencakup dokumen, perangat keras, perangkat lunak, infrastruktur, dan bangunan yang melindunginya
Informasi
Yang memiliki nilai sehingga merupakan sebuh aset yang perlu diamankan. Informasi tersebut dwadahi oleh fasilitas informasi
Integrity
Aspek keamanan informasi yang harus menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah informasi dari aslinya
Analisis Risiko
Kegiatan menganalisa suatu resiko untuk menentukan level resiko yang terjadi
Risk Assesment
Kegiatan penilaian resiko untuk menentukan nilai resiko yang dimiliki oleh suatu organisasi
Risk Management
Kegiatan mengelola resiko yang terdiri dari risk analysis, risk assesment, dan risk evaluation
Investigasi.
Penyelidikan, pemeriksaan, pengumpulan data informasi untuk membuktikan kebenaran dan kemudian menyajikan kesimpulan dari temuan penyelidikan
viii
DAFTAR TABEL Tabel 2.1 Nilai berdasarkan aspek keamanan [ IRS09 ] ...................................................................... 2-9 Tabel 2.2 Contoh Identifikasi Ancaman............................................................................................. 2-10 Tabel 2.3 Contoh Identifikasi Kelemahan .......................................................................................... 2-10 Tabel 2.4 Kriteria Nilai Bia ................................................................................................................ 2-11 Tabel 2.5 Contoh Matriks Risiko ....................................................................................................... 2-12 Tabel 2.6 Contoh Level Risiko .......................................................................................................... 2-12 Tabel 3.1Deskripsi dan Tangung Jawab............................................................................................... 3-4 Tabel 3.2 Perangakat Keras .................................................................................................................. 3-6 Tabel 3.3 Perangkat Lunak................................................................................................................... 3-7 Tabel 3.4 Analisis Ancaman ................................................................................................................ 3-7 Tabel 3.5 Analisis Kelemahan ............................................................................................................. 3-7 Tabel 3.6 Identifikasi Aset ................................................................................................................... 3-8 Tabel 3.7 Perhitungan Nilai Aset ......................................................................................................... 3-8 Tabel 3.8 Identifikasi Ancaman dan Identifikasi Kelemahan .............................................................. 3-9 Tabel 3.9 Kemungkinan Gangguan Keamanan .................................................................................... 3-9 Tabel 3.10 Nilai BIA .......................................................................................................................... 3-10 Tabel 3.11 Bobot Level Risiko Berdasarkan Probabilitas Ancaman ................................................. 3-10 Tabel 3.12 Bobot Level Risiko Berdasarkan Dampak Risiko............................................................ 3-11 Tabel 3.13 Matriks Level Risiko ........................................................................................................ 3-11 Tabel 3.14 Nilai Bia Aset .................................................................................................................. 3-11 Tabel 3.15 Nilai Risiko ...................................................................................................................... 3-12 Tabel 3.16 Level Resiko Terhadap Aset ............................................................................................ 3-12 Tabel 4.1 kontrol iso/iec 27001 ............................................................................................................ 4-1
ix
DAFTAR GAMBAR Gambar 1.1 Metodologi Pengerjaan Tugas Akhir................................................................................ 1-2 Gambar 3.1 Kerangka Tugas Akhir ..................................................................................................... 3-1 Gambar 3.2 Skema Analisis ................................................................................................................. 3-2 Gambar 3.3 Struktur Organisasi Laloratorium Teknik Informatika ..................................................... 3-3
x
DAFTAR LAMPIRAN
LAMPIRAN A.....................................................................................................................................A-1 LAMPIRAN B......................................................................................................................................B-1
xi
DAFTAR SIMBOL Nama Simbol
Deskripsi Tanda Panah yang menunjukan arah aliran dari proses satu ke proses lainnya
Connector Simbol untuk menujukan sebuah langkah proses atau operasi. Umumnya menggunakan kata kerja dalam deskripsi yang singkat an jelas.
Proceess Simbol untuk menunjukan bahwa dalam langkah yang dimaksud terdapat flowchart lain yang menggambarkan langkah tersebut lebih terperinci
Subprocess Simbol untuk menujukan keluar / masuk proses dalam lembar atau halaman yang sama
Connector (on page)
xii