persyaratan perangkat lunak 20141118_18november2014
Post on 08-Jul-2015
241 Views
Preview:
DESCRIPTION
TRANSCRIPT
Rancangan Peraturan MenteriPersyaratan Perangkat Lunak
DR. Hasyim Gautama, CISM, ISMS-LA
Direktorat Keamanan Informasi
Direktorat Jenderal Aplikasi Informatika
Bogor, 18 November 2014
Landasan Hukum
Peraturan Pemerintah No. 11 Tahun 2008 tentangPenyelenggaraan Sistem dan Transaksi Elektronik (PSTE) pada Pasal 7: Perangkat Lunak
(1) Perangkat Lunak yang digunakan oleh PenyelenggaraSistem Elektronik untuk pelayanan publik wajib:a. terdaftar pada kementerian yang menyelenggarakan urusan
pemerintahan di bidang komunikasi dan informatika;
b. terjamin keamanan dan keandalan operasi sebagaimanamestinya; dan
c. sesuai dengan ketentuan peraturan perundang- undangan.
(2) Ketentuan lebih lanjut mengenai persyaratan PerangkatLunak sebagaimana dimaksud pada ayat (1) diaturdalam Peraturan Menteri.
Asas dan Ruang Lingkup [1/2]
Penerapan Perangkat Lunak Sistem Elektronik terhadap Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas risiko.
Ruang lingkup Perangkat Lunak SistemElektronik mencakup semua kode yangdikembangkan atau dimodifikasi dalam rangkauntuk menciptakan perangkat lunak.
Asas dan Ruang Lingkup [2/2]
Persyaratan Perangkat Lunak Sistem Elektronik
terbagi 2 (dua) meliputi:
Persyaratan Administrasi; dan
Persyaratan Teknis.
Persyaratan Administrasi
1. Pengembang;
2. Nama perangkat lunak;
3. Versi;
4. Jenis layanan;
5. Rentang jumlah pemakai;
6. Siklus hidup produk perangkat lunak yang meliputi: masaketersediaan di pasaran (General Availability), Pemberitahuanmasa berakhirnya produk (End of Life Announcement), masaterakhir pemesanan (Last Order Date), masa berakhirnyaproduk (End of Life), masa dukungan layanan pemeliharaan(Maintenance Support), dan masa berakhirnya dukungan (Endof Support)
7. Berbasis web atau desktop; dan
8. Sistem Operasi yang didukung.
Persyaratan Teknis
Persyaratan Teknis dalam Peraturan Menteri ini mengacu pada standar The Open Web Application Security Project (OWASP) Application Security Verification Standard(ASVS)
Level Persyaratan Teknis
Level 3
Level 2
Level 1
Area Persyaratan Teknis
1. Otentikasi
2. Manajemen Sesi
3. Kontrol Akses
4. Validasi Input
5. Kriptografi pada Verifikasi Statis
6. Penanganan Errordan Pencatatan Log
7. Proteksi Data
8. Keamanan Komunikasi
9. Keamanan HTTP
10. Kontrol Kode Berbahaya
11. Logic Bisnis
12. Berkas dan Sumber Daya
13. Aplikasi Mobile
Contoh Persyaratan Teknis
Sistem Elektronik berdasarkan asas Risiko dalam
peraturan perundang-undangan terbagi menjadi:
SE Strategis
SE Tinggi
SE Rendah
Kategorisasi Sistem Elektronik
Kewajiban PSE
Penyelenggara Sistem Elektronik wajib melakukan pendaftaran dengan menyerahkan kelengkapan Persyaratan Administrasi Perangkat Lunak
Penyelenggara Sistem Elektronik wajib menggunakan Perangkat Lunak yang level Persyaratan Teknisnya sesuai dengan risiko Sistem Elektronik
Sebagai bagian dari sertifikasi SistemManajemen Pengamanan Informasi
Kesesuaian Persyaratan
Level 3
Level 2
Level 1
SE Strategis
SE Tinggi
SE Rendah
Audit
Setiap Perangkat lunak yang digunakan untuk Pelayanan Publik harus menjalani proses audit
Audit dilakukan oleh Auditor Perangkat Lunak yang ditetapkan oleh Menteri
Menteri menetapkan daftar Auditor Perangkat Lunak
Ketentuan lebih lanjut mengenai Penetapan Auditor Perangkat Lunak diatur dengan Peraturan Menteri.
Tata Cara Audit [1/2]
Auditor melakukan audit Perangkat Lunak terhadap Persyaratan Teknis
Auditor Perangkat Lunak harus menyerahkan hasil audit kepada Menteri
Berdasarkan hasil audit sebagaimana dimaksud pada ayat (2), Menteri c.q. Direktur Jenderal menetapkan level Persyaratan Teknis Perangkat Lunak.
Tata Cara Audit [2/2]
Penetapan Level Persyaratan Teknis Perangkat Lunak sebagaimana dimaksud pada ayat (3) paling lambat 14 (empat belas) hari kerja setelah hasil audit dinyatakan lengkap
Menteri c.q. Direktur Jenderal menyusun daftar Hasil Penetapan Level Persyaratan Teknis Perangkat Lunak (“Trusted List”)
Pengawasan
Menteri melakukan pengawasan terhadap Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik
Pengawasan dilakukan secara berkala 1 (satu) tahun sekali atau sewaktu-waktu melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.
Ketentuan mengenai pengawasan atas penyelenggaraan Sistem Elektronik dalam sektor tertentu wajib dibuat oleh Instansi Pengawas dan Pengatur Sektor terkait setelah berkoordinasi dengan Menteri.
Pengawasan
Sanksi administratif pada RPM ini dapat berupa:
teguran tertulis;
dikeluarkan dari “Trusted List”
Dapat juga mengakibatkan dicabutnya sertifikasiSistem Manajemen Pengamanan Informasi(SMPI) yang dimiliki oleh Penyelenggara SistemElektronik
top related