bab iv implementasi sistem manajemen keamanan...

65
54 BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI Pada bab ini dibahas tentang kendali-kendali yang dipilih untuk diimplementasikan pada tahap awal Siklus Plan-Do-Check-Act implementasi Sistem Manajemen Keamanan Informasi PT.X berdasarkan analisis risiko dan pengukuran maturity level. 4.1 Tahapan Implementasi Proses perancangan dan implementasi Sistem Manajemen Keamanan Informasi PT.X menggunakan Model 6 Tahap sebagaimana terlihat dalam bagan di bawah ini. Gambar 4.1 Model 6 Tahap

Upload: phungngoc

Post on 06-Feb-2018

221 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

54

BAB IV

IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN

INFORMASI

Pada bab ini dibahas tentang kendali-kendali yang dipilih untuk diimplementasikan

pada tahap awal Siklus Plan-Do-Check-Act implementasi Sistem Manajemen

Keamanan Informasi PT.X berdasarkan analisis risiko dan pengukuran maturity

level.

4.1 Tahapan Implementasi

Proses perancangan dan implementasi Sistem Manajemen Keamanan Informasi

PT.X menggunakan Model 6 Tahap sebagaimana terlihat dalam bagan di bawah ini.

Gambar 4.1 Model 6 Tahap

Page 2: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

55

4.1.1 Penentuan Standar Acuan (Define the Policy)

Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S dipilih sebagai

acuan utama. Implementasi Sistem Manajemen Keamanan Informasi PT.X mengacu

pada standar ISO/IEC 17799 dan ISO/IEC 27001.

4.1.2 Penentuan Lingkup Perancangan dan Implementasi (Define the Scope)

Lingkup utama penelitian tugas akhir ini adalah Divisi Teknologi Informasi PT.X

yang meliputi: kebijakan dan prosedur, topologi jaringan komputer yang diterapkan,

dan lingkungan fisiknya.

• Kebijakan dan Prosedur

Kebijakan dan prosedur keamanan informasi di PT.X masih sangat

kurang.

• Topologi Jaringan Komputer

Gambar 4.1.2.1 Arsitektur Global Jaringan Komputer

Page 3: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

56

Divisi Teknologi Informasi menerapkan topologi jaringan komputer yang

merupakan kombinasi antara jaringan kabel dan nirkabel (wired&wireless

LAN).

• Lingkungan Fisik

Gambar 4.1.2.2 Lingkungan Fisik

Lingkungan fisik PT.X sangat rentan terhadap ancaman, khususnya dalam

kontrol akses. Kontrol akses akan dibahas lebih lanjut pada bagian kebijakan

dan prosedur.

4.1.3 Analisis Risiko METODE OCTAVE-S

Page 4: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

57

Gambar 4.1.3.1 Metode OCTAVE-S

Bagian ini telah dibahas pada bab sebelumnya. Hasil dari analisis ini adalah

perencanaan proteksi aset informasi dan rencana mitigasinya. Perencanaan proteksi

dan rencana mitigasi tercakup dalam standar ISO/IEC 17799 dan ISO/IEC 27001.

Gambar 4.1.3.1 Sinergi Metode OCTAVE-S dan ISO/IEC 17799

Page 5: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

58

4.1.4 Manajemen Risiko

Proses manajemen risiko yang berkelanjutan menggunakan Siklus PDCA pada

ISO/IEC 27001.

Gambar 4.1.4 Model PDCA

4.1.5 Pemilihan Kendali

Implementasi standar ISO/IEC 17799 dan ISO/IEC 27001 tergantung pada jenis

perusahaan dan primary objective-nya.

Gambar 4.1.5.1 Penggunaan Standar

Page 6: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

59

Menurut panduan tersebut, yang menjadi target utama implementasi sistem

manejemen keamanan informasi PT.X saat ini adalah peningkatan security

awareness...(3)

Gambar 4.1.5.2 Kendali Utama ISO/IEC 17799

Hasil analisis menunjukkan bahwa yang menjadi prioritas implementasi Sistem

Manajemen Keamanan Informasi PT.X saat ini adalah:

• Pembuatan kebijakan dan prosedur keamanan informasi.

• Penumbuhan security awareness.

4.1.6 Statement of Applicability

Penyusunan kebijakan dan prosedur keamanan informasi dan penumbuhan security

awareness mengacu pada evaluasi dan analisis terhadap Assessment Checklist

berikut ini:

Page 7: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

60

Tabel 4.1.6 Assessment Checklist

Keterangan:

Y (sudah ada/diimplementasikan)

T (belum ada/tidak diimplemtasikan)

? (tidak tahu/ragu-ragu)

3 SECURITY POLICY

3.1 Information Security

Policy

Petunjuk dan dukungan manajemen bagi keamanan informasi harus

ditetapkan dengan tegas.

3.1.1 Information Security

Policy Document

Development

Apakah sebuah dokumen kebijakan keamanan telah

disusun?

T

3.1.2 Information Security

Policy Document

Publication

Apakah sebuah dokumen kebijakan keamanan telah

diterbitkan dan disosialisasikan?

T

4 ORGANIZATIONAL SECURITY

4.1 Information Security

Infrastructure

Sebuah kerangka kerja manajemen harus disusun untuk memulai dan

mengontrol implementasi keamanan informasi dalam organisasi

4.1.1 Management

Information Security

Forum

Sudahkah sebuah forum (steering committee) dibentuk

untuk mengawasi dan membahas keamanan informasi?

T

4.1.2 Information Security

Coordination

Adakah proses untuk mengkoordinasikan implementasi

tindakan keamanan informasi?

Y

4.1.3 Allocation of

Information Security

Responsibilities

Apakah tanggung jawab dan peran untuk memenuhi

persyaratan (requirement) tercapainya keamanan

informasi telah didefinisikan dengan jelas?

T

4.1.4 Authorization Process

for Information Processing

Facilities

Apakah ada proses persetujuan manajemen dari sudut

pandang bisnis maupun teknis untuk mengesahkan

(otorisasi) fasilitas IT yang baru?

Y

4.1.5 Specialist

Information Security

Advice

Apakah kemampuan untuk menyediakan keamanan

informasi yang khusus (spesialis) telah dimiliki?

T

4.1.6 Cooperation Between Adakah penghubung (liason) kerja sama dengan personil T

Page 8: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

61

Organizations dan organisasi keamanan informasi eksternal termasuk

ahli keamanan industri dan atau pemerintah; provider IT;

dan pihak yang berwenang dalam telekomunikasi?

4.1.7 Independent Review

of Information Security

Apakah telah dilakukan review independen terhadap

praktek keamanan informasi untuk memastikan

kemampuannya beradaptasi, efektifitasnya, dan

kesesuaiannya dengan kebijakan tertulis?

Y

4.2 Security of Third Party

Access

Fasilitas IT dan aset informasi organisasi yang mengontrol akses pihak-pihak

ketiga (luar organisasi) harus dijaga keamanannya.

4.2.1 Identification of

Risks from Third Party

Access

Apakah resiko hubungan koneksi dengan pihak ketiga

telah dianalisa?

Y

Combating Risks from

Third Party Connections

Sudahkah tindakan keamanan telah diidentifikasikan

secara khusus untuk menangkal resiko hubungan dengan

pihak ketiga?

T

4.2.2 Security Conditions

in Third Party Contracts

Sudahkah persyaratan (requirement) keamanan disertakan

di dalam kontrak dengan pihak ketiga?

T

4.3 Outsourcing Keamanan informasi harus selalu dipertahankan bahkan ketika tanggung

jawab untuk menjalankan prosesnya telah diserahkan kepada organisasi yang

lain.

4.3.1 Security

Requirements in

Outsourcing Contracts

Sudahkah persyaratan (requirement) keamanan dari

pemilik informasi telah telah disebutkan dalam kontrak

antara pemilik dan organisasi outsource?

?

5 ASSET CLASSIFICATION & CONTROL

5.1 Accounting of Assets Penghitungan accounting yang tepat terhadap aset informasi organisasi harus

dilakukan

5.1.1 Inventory of Assets Sudahkah dibuat inventaris aset-aset utama yang

berkaitan dengan sistem informasi?

Y

5.2 Information

Classification

Klasifikasi keamanan harus digunakan untuk menunjukkan bahwa

perlindungan keamanan aset informasi memang dibutuhkan dan harus

Page 9: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

62

memperoleh prioritas.

5.2.1 Classification

Guidelines

Sudahkah disusun petunjuk klasifikasi keamanan untuk

perlindungan keamanan aset informasi dan yang

berindikasi diperlukan dan yang harus memperoleh

prioritas?

T

5.2.2 Information Labeling

and Handling

Sudahkah ada suatu proses untuk menandai informasi

yang memerlukan perlindungan keamanan?

Y

6. PERSONNEL SECURITY

6.1 Security in Job

Definitions

and Resourcing

Keamanan harus disebutkan pada tahap rekruitmen, termasuk dalam deskripsi

kerja dan kontrak, juga memonitor tugas individual.

6.1.1 Security in Job

Descriptions

Apakah tanggung jawab keamanan disebutkan dalam

deskripsi kerja pegawai?

Y

6.1.2 Personnel Screening

and Policy

Apakah ada saringan untuk lamaran pekerjaan yang

memerlukan akses ke informasi sensitif?

T

6.1.3 Confidentiality

Agreement

Apakah kesepakatan non disclosure diberlakukan untuk

tiap pegawai?

T

6.1.4 Terms and Conditions

of Employment

Apakah butir-butir perjanjian kerja menyertakan

tanggung jawab pegawai terhadap keamanan informasi

dan konsekuensi kelalaian untuk memenuhi persyaratan

(requirement) tersebut, termasuk setelah pekerjaan selesai

atau berhenti bekerja?

T

6.2 User Training User harus diberi pelatihan tentang prosedur keamanan dan penggunaan

fasilitas IT yang benar.

6.2.1 Information Security

Education and Training

Sebelum mereka diberi akses terhadap fasilitas IT,

apakah user telah diberi pelatihan tentang kebijakan dan

prosedur keamanan informasi, persyaratan (requirement)

keamanan, kontrol bisnis, dan penggunaan fasilitas IT

secara benar?

T

6.3

Responding to Security

Incidents and Malfunctions

Insiden yang mempengaruhi keamanan harus dilaporkan melalui saluran

manajemen secepat mungkin

Page 10: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

63

6.3.1 Reporting of Security

Incidents

Apakah ada pelaporan resmi dan prosedur penanganan

insiden untuk mengetahui tindakan apa yang harus

dilakukan terhadap laporan insiden yang diterima?

T

6.3.2 Reporting of Security

Weaknesses

Apakah user diminta untuk mencatat dan melaporkan

semua kelemahan atau ancaman keamanan terhadap

sistem atau jasa yang mereka temukan?

T

6.3.3 Reporting of

Software Malfunctions

Apakah user diminta untuk mencatat dan melaporkan

pada IT support jika ada software apapun yang tidak

berfungsi dengan baik?

T

6.3.4 Learning from

Incidents

Apakah ada mekanisme yang tersedia untuk memonitor

tipe, jumlah, dan kerugian karena insiden keamanan dan

malfungsi?

Y

6.3.5 Disciplinary Process Apakah ada proses sanksi formal terhadap pekerja yang

melanggar kebijakan dan prosedur keamanan?

?

7 PHYSICAL & ENVIRONMENTAL SECURITY

7.1 Secure Areas Wilayah aman fasilitas IT yang mendukung aktivitas bisnis yang kritis atau

sensitif.

7.1.1 Physical Security

Perimeter

Apakah ada proteksi keamanan fisik dilingkupi perimeter

yang telah ditetapkan, melalui penghalang- penghalang

yang ditempatkan secara strategis di seluruh organisasi?

Y

7.1.2 Physical Entry

Controls

Apakah semua pintu masuk semua wilayah aman

memastikan (kontrol) hanya pihak berwenang yang

memperoleh akses?

T

7.1.3 Securing Offices,

Rooms, and Facilities

Apakah keamanan fisik untuk pusat-pusat data dan ruang

komputer telah disesuaikan dengan ancaman yang

mungkin timbul?

T

7.1.4 Working in Secure

Areas

Apakah kontrol tambahan digunakan bagi personil atau

pihak ketiga yang bekerja di wilayah aman?

T

7.1.5 Isolated Delivery and

Loading Areas

Apakah wilayah ruang komputer atau pusat data yang

digunakan untuk mengirim dan me-load informasi benar-

benar tertutup untuk mencegah akses yang tidak sah?

T

7.2 Equipment Security Peralatan harus dilindungi secara fisik dari ancaman dan bencana alam.

Page 11: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

64

7.2.1 Equipment Location

and Protection

Apakah peralatan ditempatkan secara tepat untuk

melindunginya dari bencana alam dan akses tidak sah?

Y

7.2.2 Power Supplies Apakah peralatan listrik dilindungi dari “mati lampu” dan

masalah listrik yang lain-lain?

T

7.2.3 Cabling Security Apakah penataan kabel sumber listrik dan telekomunikasi

dilindungi dari sadapan atau kerusakan?

T

7.2.4 Equipment

Maintenance

Apakah telah ditetapkan prosedur untuk menjaga

peralatan IT secara benar, untuk memastikan bahwa

peralatan tersebut selalu tersedia dan dalam keadaan

baik?

Y

7.2.5 Security of

Equipment Off- premises

Apakah peralatan yang digunakan di luar lokasi, siapapun

pemiliknya, diberikan tingkat perlindungan yang sama

sebagaimana peralatan yang digunakan di dalam lokasi?

T

7.3 General Controls Informasi dan pemrosesan informasi harus dilindungi dari kebocoran,

modifikasi, atau pencurian oleh pihak yang tidak sah, dan kontrol harus

dilakukan untuk menekan kerugian atau kerusakan.

7.3.1 Clear Desk and Clear

Screen Policy

Apakah telah diterapkan kebijakan clear desk/clear

screen untuk menekan resiko akses tidak sah, kerugian,

atau kerusakan di luar jam kerja normal?

T

7.3.2 Removal of Property Apakah ada keharusan mendapatkan otorisasi manajemen

tertulis untuk membawa peralatan, data, atau software

keluar lokasi?

?

8 COMMUNICATIONS AND OPERATIONS MANAGEMENT

8.1 Operational Procedures

and Responsibilities

Tanggung jawab dan prosedur harus ditetapkan untuk manajemen dan operasi

semua komputer dan jaringan.

8.1.1 Documented

Operating

Procedures

Apakah prosedur pengoperasi (SOP) sistem komputer

benar-benar didokumentasikan untuk menjamin operasi

yang tepat dan aman?

T

8.1.2 Operational Change

Control

Adakah sebuah proses untuk mengontrol perubahan

fasilitas dan sistem IT, untuk memastikan kontrol yang

handal terhadap semua perubahan peralatan, software,

atau prosedur?

T

Page 12: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

65

Apakah tanggung jawab dan prosedur manajemen insiden

telah ditetapkan untuk memastikan respon yang cepat,

efektif, dan teratur dalam setiap insiden keamanan?

T

8.1.4 Segregation of Duties Apakah ada pemisahan tugas-tugas sensitif atau

wewenang sensitif? Hal ini untuk menekan peluang

modifikasi yang tidak sah, atau penyalahgunaan data dan

jasa.

Y

8.1.5 Separation of

Development

and Operational Facilities

Apakah fasilitas pengembangan dan operasional dipisah

untuk mengurangi resiko perubahan tak sengaja atau

akses tidak sah terhadap software operasional dan data

bisnis?

Y

8.2 System Planning and

Acceptance

Rencana dan persiapan berjangka bisa menjamin tersedianya kapasitas dan

sumber daya yang tepat .

8.2.1 Capacity Planning Apakah ada monitor proyeksi persyaratan (requirement)

kapasitas , dan persyaratan yang akan datang , untuk

menekan resiko overload pada sistem?

T

8.2.2 System Acceptance Apakah kriteria penerimaan sistem yang baru telah

ditetapkan, dan tes yang sesuai dilakukan sebelum

penerimaaannya?

Y

8.3 Protection from

Malicious

Software

Tindakan proaktif untuk mencegah dan mendeteksi munculnya software yang

merugikan bisa menjaga integritas software dan data.

8.3.1 Controls Against

Malicious

Software

Apakah tindakan pencegahan dan deteksi virus, dan

prosedur kewaspadaaan user telah diterapkan?

Y

8.4 Housekeeping Prosedur rutin harus diberlakukan untuk membuat backup salinan data,

mendaftar (audit-trail) berbagai peristiwa dan kesalahan jika perlu, juga

memonitor lingkungan tempat peralatan.

8.4.1 Information Back-up Apakah telah diberlakukan proses untuk membuat backup

salinan data bisnis dan software secara berkala untuk

menjamin bahwa semuanya bisa di-recover jika terjadi

kerusakan komputer atau kegagalan media?

Y

8.4.2 Operator Logs Apakah semua operator komputer diharuskan selalu T

Page 13: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

66

menjalankan log (membuat daftar otomatis) semua

langkah yang mereka lakukan?

8.4.3 Fault Logging Apakah sudah ada prosedur untuk merekam/menjalankan

logging fault (menyusun daftar kesalahan) yang

dilaporkan oleh user tentang masalah yang mereka

temukan pada komputer atau sistem komunikasi?

T

8.5 Network Management Keamanan jaringan komputer yang mungkin terhubung dengan komputer

diluar organisasion harus dikelola sehingga dapat menjaga/mengamankan

informasi dan melindungi infrastruktur pendukung.

8.5.1 Network Controls Apakah ada kontrol yang sesuai untuk memastikan

keamanan data dalam jaringan, dan perlindungan

terhadap jasa-jasa terkait, dari akses yang tidak sah?

T

8.6 Media Handling and

Security

Media komputer harus dikontrol dan dilindungi secara fisik untuk mencegah

kerusakan pada aset dan interupsi (yang tidak diperlukan) terhadap aktivitas

bisnis.

8.6.1 Management of

Removable Computer

Media

Apakah ada prosedur yang mengatur pengelolaan media

komputer yang bisa dipindah-pindahkan seperti tape,

disk, kaset, dan print out laporan?

Y

8.6.2 Disposal of Media Apakah terdapat proses untuk memastikan bahwa media

komputer dibuang secara aman ketika tidak lagi

diperlukan?

T

8.6.3 Information Handling

Procedures

Apakah ada prosedur untuk menangani perlindungan data

sensitif sehingga terjaga dari kebocoran ke pihak yang

tidak sah atau penyalahgunaan?

Y

8.6.4 Security of System

Documentation

Apakah dokumentasi sistem dilindungi dari akses yang

tidak sah?

Y

8.7 Exchanges of

Information and

Software

Pertukaran data dan software antar organisasi harus dikontrol untuk

mencegah

kerugian, modifikasi, atau penyalahgunaan data.

8.7.1 Information and

Software Exchange

Agreements

Adakah persetujuan formal termasuk escrow (perantara)

software jika diperlukan, tentang pertukaran data dan

software (elektronis maupun manual) antar organisasi?

T

8.7.2 Security of Media in Apakah kontrol diterapkan untuk pengamanan Y

Page 14: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

67

Transit pengiriman media komputer antar-tempat, dengan

meminimalkan kemungkinan (titik lemah) terjadinya

akses tidak sah, penyalahgunaan, atau kerusakan selama

pengiriman?

8.7.3 Electronic Commerce

Security

Apakah kontrol keamanan diterapkan untuk melindungi

elektronic commerce (pertukaran data elektronis, e-mail,

dan transaksi-transaksi on-line di jaringan publik seperti

internet) dari pencegatan atau modifikasi yang tidak sah.

T

8.7.4 Security of Electronic

Mail

Apakah kontrol diterapkan (bila perlu) untuk mengurangi

resiko bisnis dan keamanan yang berkaitan dengan e-mail

termasuk pencegatan, penyadapan, modifikasi, dan

kesalahan?

T

8.7.5 Security of Electronic

Office Systems

Apakah ada kebijakan dan petunjuk yang jelas untuk

mengontrol resiko bisnis dan keamanan yang berkaitan

dengan sistem office elektronik?

T

8.7.6 Publicly Available

Systems

Apakah ada proses otorisasi formal sebelum informasi

disampaikan kepada publik?

T

8.7.7 Other Forms of

Information

Exchange

Apakah ada prosedur dan kontrol untuk melindungi

pertukaran informasi melalui penggunaan voice,

faksimile, dan fasilitas komunikasi video?

T

9 ACCESS CONTROL

9.1 Business Requirement

for System Access

Kebijakan untuk penyebaran dan publikasi informasi harus memakai kontrol

akses ke layanan komputer dan data berdasarkan persyaratan bisnis.

9.1.1 Access Control

Policy

Apakah kontrol akses telah didefinisikan dan

didokumentasikan sesuai persyaratan bisnis?

T

9.2 User Access

Management

Prosedur formal diperlukan untuk mengont rol alokasi hak akses (terhadap)

layanan IT

9.2.1 User Registration Apakah ada prosedur registrasi dan deregistrasi secara

formal bagi user untuk memperoleh akses terhadap

semua layanan IT multi-user?

T

9.2.2 Privilege

Management

Adakah batasan dan kontrol terhadap penggunaan bentuk

atau fasilitas apapun dari sistem IT multi-user yang

memungkinkan user untuk melanggar kontrol sistem atau

Y

Page 15: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

68

kontrol aplikasi ?

9.2.3 User Password

Management

Apakah proses manajemen password resmi telah

dilakukan untuk mengontrol password?

T

9.2.4 Review of User

Access Rights

Apakah ada proses formal untuk meninjau hak akses user

secara berkala?

Y

9.3 User Responsibilities User harus diberitahu/disadarkan tentang tanggung jawab mereka untuk

menjaga efektifitas kontrol akses, khususnya yang berkaitan dengan

penggunaan password dan keamanan peralatan user.

9.3.1 Password Use Sudahkah user diajari praktek pengamanan yang baik

dalam pemilihan dan penggunaan password?

T

9.3.2 Unattended User

Equipment

Apakah semua user dan kontraktor diberitahu tentang

persyaratan dan prosedur keamanan untuk melindungi

peralatan tanpa awak?

?

Apakah semua user dan kontraktor diberitahu tentang

tanggung jawab mereka untuk menerapkan perlindungan

semacam itu?

?

9.4 Network Access

Control

Hubungan dengan layanan jaringan harus dikontrol untuk memastikan bahwa

user atau layanan komputer yang saling terhubung itu tidak melemahkan

keamanan layanan jaringan lainnya.

9.4.1 Policy on Use of

Network Services

Apakah ada proses untuk memastikan bahwa layanan

jaringan dan komputer yang bisa diakses user perorangan

atau dari terminal tertentu itu konsisten dengan kebijakan

kontrol akses bisnis?

T

9.4.2 Enforced Path Apakah ada kontrol terkait untuk membatasi rute antara

terminal user dengan suatu layanan komputer, ketika user

tersebut memiliki otorisasi untuk mengakses?

Y

9.4.3 User Authentication

for External Connections

Apakah hubungan yang dilakukan user jarak jauh melalui

jaringan publik atau non-organisasional memakai

otentikasi user untuk mencegah akses tidak sah terhadap

aplikasi bisnis?

T

9.4.4 Node Authentication Apakah hubungan yang dilakukan oleh sistem komputer

jarak jauh memakai otentikasi node untuk mencegah

akses tidak sah terhadap aplikasi bisnis?

T

Page 16: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

69

9.4.5 Remote Diagnostic

Port Protection

Adakah proses untuk mengontrol akses ke diagnostic

port yang dirancang untuk penggunaan jarak jauh, oleh

para petugas maintenance?

?

9.4.6 Network Segregation Apakah jaringan yang luas telah dibagi-bagi menjadi

domain-domain terpisah untuk menekan resiko akses

tidak sah terhadap sistem komputer dalam jaringan

tersebut?

T

9.4.7 Network Connection

Control

Apakah kontrol telah diterapkan untuk membatasi

kemampuan user melakukan koneksi, guna mendukung

persyaratan kebijakan akses dari aplikasi bisnis yang

melampaui batas-batas organisasional?

Y

9.4.8 Network Routing

Control

Apakah telah dilakukan kontrol routing terhadap jaringan

bersama melewati organisasi, untuk memastikan bahwa

koneksi komputer dan informasi mengalir sesuai dengan

kebijakan akses unit-unit bisnis?

T

9.4.9 Security in Network

Services

Apakah penyedia jaringan telah menjabarkan dengan

jelas tentang atribut-atribut keamanan yang digunakan

semua layanan, dan menetapkan implikasi keamanan

terhadap kerahasiaan, integritas, dan ketersediaan aplikasi

bisnis?

?

9.5 Operating System

Access Control

Akses terhadap komputer harus dengan tegas dibatasi hanya melalui

penggunaan:

Identifikasi terminal otomatis

Prosedur log on terminal

User ID

Manajemen password

Alarm bahaya

Terminal time out dan waktu connect yang terbatas

9.5.1 Automatic Terminal

Identification

Apakah identifikasi terminal otomatis diterapkan untuk

otentikasi koneksi ke lokasi tertentu (yang spesifik)?

Y

9.5.2 Terminal Logon

Procedures

Sudahkah dirancang prosedur untuk logging ke dalam

sebuah sistem komputer dengan meminimalkan

kesempatan akses tidak sah?

Y

Page 17: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

70

9.5.3 User Identification

and

Authentication

Apakah semua user memiliki user ID yang unik, yang

hanya digunakan oleh mereka saja, untuk memastikan

bahwa aktivitas mereka bisa ditelusuri?

Y

9.5.4 Password

Management

System

Apakah sistem manajemen password yang efektif

diterapkan untuk otentikasi user?

T

9.5.5 Use of System

Utilities

Apakah program sistem utility yang bisa digunakan untuk

mengabaikan kontrol sistem dan aplikasi telah dikontrol

secara ketat dan penggunaannya sangat dibatasi?

T

9.5.6 Duress Alarm to

Safeguard

Users

Berdasarkan asesmen resiko, apakah alarm bahaya

disediakan bagi user yang mungkin menjadi sasaran

intimidasi?

T

Apakah ada definisi tanggung-jawab tindak-lanjut alarm

bahaya?

T

9.5.7 Terminal Time-Out Apakah terminal-terminal di lokasi beresiko tinggi ada

set time out ketika sedang tidak aktif, untuk mencegah

akses orang-orang yang tidak berwenang?

T

9.5.8 Limitation of

Connection Time

Apakah ada limit waktu hubungan terminal dengan

sistem aplikasi yang sensitif?

T

9.6 Application Access

Control

Kontrol akses logika harus diberlakukan untuk melindungi sistem aplikasi

dan data dari akses tidak sah.

9.6.1 Information Access

Restriction

Apakah akses ke data dan fungsi sistem aplikasi dibatasi

sesuai dengan ketetapan kebijakan akses dan berdasarkan

persyaratan (requirement) individual?

T

9.6.2 Isolation of Sensitive

Systems

Apakah sistem aplikasi yang sensitif beroperasi di

lingkungan pemrosesan terisolasi telah sesuai dengan

identifikasi resiko?

T

9.7 Monitoring System

Access and Use

Sistem harus dimonitor untuk memastikan kesesuaiannya dengan kebijakan

dan standar akses, untuk mendeteksi aktivitas-aktivitas yang tidak sah, dan

untuk menentukan efektifitas tindakan pengamanan yang diterapkan.

Page 18: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

71

9.7.1 Event Logging Apakah ada event-logging (audit-trail) yang berisi

berbagai hal abnormal dan peristiwa berkaitan dengan

masalah keamanan dan digunakan untuk membantu

investigasi di masa mendatang dan memonitor kontrol

akses?

T

9.7.2 Monitoring System

Use

Apakah sudah ditetapkan prosedur untuk memonitor

penggunaan sistem untuk memastikan bahwa user hanya

melakukan proses-proses yang telah diotorisasi secara

jelas?

Y

9.7.3 Clock

Synchronization

Untuk memastikan akurasi audit-trail, apakah jam pada

komputer atau alat komunikasi telah disetel sesuai

dengan standar yang telah disepakati?

T

9.8 Mobile Commuting and

Teleworking

Ketika menggunakan mobile computing dan teleworking, organisasi harus

memerik peralatan atau lokasi.

9.8.1 Mobile Commuting Sudahkah kebijakan formal telah disusun, yang

menyebutkan resiko-resiko bekerja dengan fasilitas

mobile computing, termasuk pentingnya perlindungan

fisik, kontrol akses, teknik kriptografi, back up, dan

perlindungan dari virus?

T

9.8.2 Teleworking Apakah kebijakan dan prosedur telah disusun untuk

mengontrol teleworking, mencakup fasilitas yang ada,

lingkungan teleworking yang diajukan, persyaratan

(requirement) keamanan komunikasi, dan ancaman akses

tidak sah terhadap peralatan atau jaringan?

T

10. SYSTEMS DEVELOPMENT & MAINTENANCE

10.1 Security Requirements

of Systems

Untuk memastikan bahwa keamanan telah terbangun dalam sistem IT, maka

persyaratan (requirement) keamanan harus diidentifikasi, dijustifikasi,

disepakati, dan didokumentasikan sebagai bagian dari tahap penentuan

persyaratan (requirement) dari semua proyek pengembangan sistem IT.

Page 19: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

72

10.1.1 Security

Requirements Analysis and

Specification

Apakah sebuah analisa persyaratan keamanan

menjadi bagian dari tahap analisa persyaratan

(requirment) dari tiap proyek pengembangan?

T

10.2 Security in

Application Systems

Kontrol keamanan yang sesuai dengan standar industri yang berlaku,

berkaitan dengan praktek keamanan yang baik harus diterapkan dalam sistem

aplikasi untuk mencegah kerugian, modifikasi, atau penyalahgunaan data

user.

10.2.1 Input Data

Validation

Apakah data yang akan jadi masukan dalam sistem

aplikasi telah divalidasi sebelumnya untuk memastikan

bahwa data tersebut benar dan sesuai?

Y

10.2.2 Control of Internal

Processing

Apakah pemeriksaan validasi telah disertakan ke dalam

sistem untuk mendeteksi kerusakan yang disebabkan oleh

kesalahan dalam proses atau karena kesengajaan?

T

10.2.3 Message

Authentication

Apakah pemeriksaan otentisitas pesan telah

dipertimbangkan untuk aplikasi yang melibatkan

transmisi data yang bersifat sensitif?

Y

10.2.4 Output Data

Validation

Apakah data keluaran dari sistem aplikasi diperiksa

validasinya untuk memastikan bahwa data tersebut benar

dan sesuai?

T

10.3 Cryptographic

Controls

Untuk menjaga kerahasiaan, otentisitas, atau integritas informasi, sistem dan

teknik kriptografi harus digunakan untuk perlindungan lengkap terhadap

informasi yang dipertimbangkan terancam.

10.3.1 Policy on the Use of

Cryptographic Controls

Apakah manajemen telah menyusun sebuah kebijakan

penggunaan kontrol kriptografi, termasuk manajemen

encryption key dan implementasi yang efektif?

T

10.3.2 Encryption Apakah data encryption digunakan melindungi data

sensitif selama dalam transmisi atau dalam penyimpanan?

T

10.3.3 Digital Signatures Apakah tanda tangan digital digunakan untuk melindungi

otentisitas dan integritas dokumen-dokumen elektronik?

T

10.3.4 Non-repudiation

Services

Apakah layanan non-repudiation menggunakan

encryption atau tanda tangan digital tersedia ketika

T

Page 20: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

73

mungkin timbul sengketa?

10.3.5 Key Management Apakah tersedia sistem manajemen untuk mendukung

penggunaan teknik kriptografi, termasuk teknik kunci

rahasia dan teknik kunci publik?

T

10.4 Security of System

Files

Untuk memastikan bahwa proyek IT dan aktivitas pendukungnya

dilaksanakan secara aman, tanggung jawab untuk mengontrol akses ke file-

file sistem aplikasi harus ada dan dijalankan oleh user yang memilikinya, atau

kelompok pengembangan.

10.4.1 Control of

Operational Software

Apakah kontrol yang ketat diberlakukan terhadap

implementasi software pada sistem operasional?

T

Apakah semua data percobaan sistem aplikasi dijaga dan

dikontrol?

T

10.4.3 Access Control to

Program Source Library

Untuk mengurangi peluang kerusakan/perusakan program

komputer, apakah akses ke sumber program dikontrol

secara ketat?

Y

10.5 Security in

Development and Support

Environments

Proyek dan lingkungan pendukung harus dikontrol secara ketat untuk

menjaga keamanan software dan data sistem aplikasi.

10.5.1 Change Control

Procedures

Apakah prosedur formal untuk perubahan kontrol telah

diterapkan?

T

10.5.2 Technical Review of

Operating System Changes

Apakah sistem aplikasi ditinjau ulang ketika terjadi

perubahan pada sistem operasi?

Y

10.5.3 Restrictions on

Changes to Software

Packages

Apakah modifikasi terhadap software yang disediakan

oleh vendor dipersulit, dan jika modifikasi semacam itu

diperlukan, apakah kontrol yang ketat diberlakukan?

T

10.5.4 Covert Channels and

Trojan Code

Untuk mencegah terbukanya jalur gelap (covert channel)

atau kode Kuda Trojan, apakah organisasi: · membeli

program hanya dari sumber yang bisa

dipertanggungjawabkan · membeli program dengan kode

sumber yang bisa diverifikasi · hanya menggunakan

T

Page 21: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

74

produk yang telah dievaluasi · memeriksa semua kode

sumber sebelum digunakan untuk operasional ·

mengontrol akses dan modifikasi terhadap kode yang ter-

instal · menugaskan staf terpercaya di bagian sistem yang

penting

10.5.5 Outsourced

Software Development

Ketika dilakukan pengembangan software oleh pihak

lain, apakah ada tindakan rinci untuk melindungi

kekayaan intelektual proyek tersebut telah diatur sejak uji

pra-instalasi?

T

11 BUSINESS CONTINUITY MANAGEMENT

11.1 Aspects of Business

Continuity Planning

Rencana kesinambungan bisnis harus tersedia untuk menghadapi

halangan/gangguan pada aktivitas bisnis.

11.1.1 Business Continuity

Management Process

Adakah proses yang dikelola untuk mengembangkan/

mempertahankan keabsahan rencana kesinambungan

bisnis di seluruh organisasi?

Y

11.1.2 Business Continuity

and Impact Analysis

Apakah telah diberlakukan strategi untuk menentukan

pendekatan menyeluruh terhadap kesinambungan bisnis,

dan didukung oleh manajemen?

Y

11.1.3 Writing and

Implementing Continuity

Plans

Sudahkah proses perencanaan kesinambungan bisnis

mencakup identifikasi dan kesesuaian dengan semua

tanggung jawab dan prosedur emergency?

T

11.1.4 Business Continuity

Planning Framework

Apakah ada sebuah kerangka kerja untuk kesinambungan

bisnis yang dipertahankan untuk memastikan bahwa

semua tahapan rencana tetap konsisten?

T

11.1.5 Testing,

Maintaining, and Re-

assessing Business

Continuity Plans

Apakah rencana kesinambungan bisnis diuji secara

berkala untuk memastikan bahwa mereka tetap aktual dan

efektif?

T

12. COMPLIANCE

Page 22: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

75

12.1 Compliance with

Legal Requirements

Semua syarat yang relevan dengan masing-masing sistem IT harus

diidentifikasi dan didokumentasi.

12.1.1 Identification of

Applicable Legislation

Apakah semua persyaratan legal, peraturan, dan kontrak

ditentukan secara spesifik dan didokumentasikan untuk

masing-masing sistem informasi?

T

12.1.2 Intellectual Property

Rights

Apakah penggunaan materi dengan hak cipta sudah

sesuai dengan ketentuan legal, untuk memastikan bahwa

yang digunakan hanya software yang dibuat oleh

organisasi, atau yang telah memperoleh ijin dan

dikeluarkan oleh pengembang untuk organisasi?

T

12.1.3 Safeguarding of

Organizational Records

Apakah catatan organisasional yang penting disimpan

dengan aman untuk memenuhi persyaratan hukum

maupun untuk mendukung aktivitas bisnis yang penting?

Y

12.1.4 Data Protection and

Privacy of Personal

Information

Apakah aplikasi yang memproses data pribadi individu

sesuai dengan peraturan proteksi data yang diterapkan?

T

12.1.5 Prevention of

Misuse of Information

Processing Facilities

Apakah fasilitas IT yang digunakan hanya untuk tujuan

bisnis?

T

12.1.6 Regulation of

Cryptographic Controls

Apakah pendapat legal telah diminta untuk memperoleh

kesesuaian organisasi dengan hukum nasional dan

internasional tentang kontrol kriptografis?

T

12.1.7 Collection of

Evidence

Ketika suatu tindakan terhadap seseorang berkaitan

dengan hukum, apakan ketentuan pembuktian telah

diikuti agar memperoleh ijin, kualitas, dan kelengkapan

yang dikehendaki?

T

12.2 Reviews of Security

Policy and Technical

Compliance

Untuk memastikan bahwa sistem IT sesuai dengan kebijakan dan standar

organsiasional, maka harus dilakukan peninjauan kesesuaian secara berkala.

12.2.1 Compliance with

Security Policy

Apakah semua wilayah dalam organisasi melakukan

peninjauan berkala kesesuaian dengan kebijakan dan

standar keamanan?

T

Page 23: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

76

12.2.2 Technical

Compliance Checking

Apakah fasilitas IT diperiksa secara berkala untuk dilihat

kesesuaiannya dengan standar implementasi keamanan?

T

12.3 System Audit

Considerations

Kontrol terhadap sistem operasional dan peralatan audit selama dilakukan

audit sistem harus dilakukan untuk meminimalkan intervensi dari dan ke

proses audit sistem tersebut, dan untuk melindungi integritasnya dan

mencegah penyalahgunaan peralatan audit.

12.3.1 System Audit

Controls

Apakah audit dan aktivitas yang melibatkan pemeriksaan

terhadap sistem operasional direncanakan dan diatur

secara cermat?

T

12.3.2 Protection of System

Audit Tools

Apakah akses ke peralatan audit sistem telah dikontrol? T

Hasil analisis terhadap assessment checklist menunjukkan bahwa masalah

terbesar manajemen keamanan informasi PT.X saat ini adalah ketiadaan

kebijakan dan prosedur baku keamanan informasi.

4.2 Pengurangan dan Penghilangan Gap Pencapaian Maturity Level (ISM3)

Proses yang terpenuhi saat ini pada tiap level (%)

Level 1 Level 2 Level 3

General 50 50 50

Strategic 75 75 75

Tactical 75 75 30

Operational 80 80 40

Analisis terhadap gap ketercapaian maturity level yang diharapkan

menunjukkan bahwa aturan pada aspek tactical dan operational masih sangat

kurang.

Page 24: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

77

4.3 Penyusunan Dokumen Kebijakan dan Prosedur Keamanan Informasi

Berikut ini skema kebijakan dan prosedur yang menjadi prioritas untuk disusun

sebagai bagian dari implementasi Sistem Manajemen Keamanan Informasi PT.X :

Gambar 4.1.5.2 Skema Dokumen

Draft dokumen kebijakan keamanan informasi ini mengacu pada kebijakan yang

telah diterapkan oleh suatu perusahaan yang telah menerapkan sistem manajemen

keamanan informasi dengan maturity level 4 dan/atau 5. Draft dokumen kebijakan

(policy) dibatasi pada beberapa hal utamanya sedangkan draft dokumen prosedur

disusun secara detil.

Page 25: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

78

4.3.1 Draft Kebijakan Keamanan Informasi

A. Tujuan

• Melindungi aset informasi Perusahaan dari kemungkinan penggunaan,

penyebaran, perusakan, dan perubahan oleh pihak yang tidak bertanggung

jawab;

• Memberikan aturan tentang perlindungan dan standar Sekuriti Sistem

Informasi Perusahaan secara sah menurut peraturan dan hukum yang berlaku;

• Memberi arah yang jelas bagi implementasi sekuriti sistem informasi agar

sejalan dengan kebutuhan bisnis, peraturan dan hukum yang berlaku.

B. Lingkup

• Seluruh bentuk aset informasi Perusahaan, baik dalam bentuk database,

informasi elektronik maupun ingatan karyawan, serta aplikasi dan fasilitas

pengolahan data / informasi.

• Sekuriti sistem informasi meliputi seluruh proses sistem informasi

Perusahaan mulai dari perencanaan, pengembangan, implementasi,

pemeliharaan, dan proses peningkatan pengelolaan sekuriti.

• Lingkup pengendalian sekuriti sistem informasi meliputi :

1) Pengaturan Sekuriti Informasi;

2) Sekuriti Aset Informasi;

3) Sekuriti Sumber Daya Manusia;

4) Sekuriti Fisik dan Lingkungan Aset Informasi;

5) Sekuriti Komunikasi dan Operasi;

6) Kontrol Akses;

7) Sekuriti Dalam Akuisisi, Pengembangan dan Pemeliharaan Sistem

Informasi;

8) Manajemen Insiden Sekuriti Sistem Informasi;

Page 26: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

79

9) Manajemen Business Continuity;

10) Kepatuhan (Compliance).

• Pemahaman risiko terhadap implikasi sekuriti sistem informasi dengan

berpedoman kepada persyaratan, aturan, dan standar; sesuai dengan

ketentuan yang berlaku.

C. Kebijakan Umum:

• Pengembangan sekuriti sistem informasi di lingkungan internal dilakukan

melalui komitmen bersama dan dukungan manajemen terhadap forum

koordinasi dan management review, pengembangan kompetensi, dan

pengembangan kebijakan-kebijakan lain yang mendukung.

• Penerapan Kebijakan Sekuriti Sistem Informasi untuk :

o Melindungi Aset Informasi dari berbagai macam ancaman yang dapat

mengganggu kelangsungan bisnis Perusahaan;

o Minimalisasi risiko;

o Memaksimalkan Return of Investment dan pemanfaatan peluang

bisnis.

• Seluruh jajaran Manajemen Perusahaan dan pihak eksternal yang memiliki

ikatan kerjasama dengan Perusahaan, memiliki tugas dan tanggung jawab

serta kewajiban untuk menerapkan Kebijakan Sekuriti Sistem Informasi

dalam penggunaan dan pengelolaan sistem informasi sesuai tanggung jawab

dan kewenangannya.

D. Kerangka Kerja Sekuriti Sistem Informasi

• Informasi, sistem pengolahan data / informasi, jaringan, dan sarana

penunjang merupakan aset sistem informasi yang sangat penting bagi

Perusahaan.

Page 27: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

80

• Penerapan sekuriti sistem informasi untuk menjamin integritas data aset

informasi, sehingga dapat menjaga nilai kompetitif, cash flow, profitabilitas,

legal compliance, dan commercial image.

• Pada tahap awal penerapan sekuriti sistem informasi dilakukan dengan

melakukan assessment terhadap aset sistem informasi Perusahaan, meliputi :

o Penilaian risiko (Risk Assessment);

o Penilaian sekuriti (Security Assessment);

o Kepatuhan terhadap aspek Legal dan Regulasi;

o Persyaratan bisnis (Business Requirement).

o Keberhasilan penerapan sekuriti sistem informasi dapat dicapai

dengan menerapkan pemahaman yang sama, pengendalian,

monitoring dan evaluasi terhadap implementasi Kebijakan Sekuriti

Sistem Informasi.

E. Tanggung Jawab Pengelolaan Aset Informasi Perusahaan

• Unit Pengelola Teknologi Informasi bertanggung jawab atas pengelolaan

sekuriti dan sumber daya aset sistem informasi .

• Aset sistem informasi milik Perusahaan yang berkaitan dengan kegiatan

bisnis, meliputi:

o Database dan file data, Kontrak kerjasama, dokumentasi, hasil

penelitian, materi pelatihan, prosedur operasi, business continuity

plan, fallback arrangement, dan kronologis data audit;

o Aset software antara lain : software aplikasi, software system,

development tools, dan utilities;

o Aset hardware antara lain : Perangkat Komputer, Perangkat

komunikasi, media removable, dan Perangkat terkait lainnya, yang

digunakan untuk mengolah dan mengakses informasi Perusahaan;

Page 28: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

81

o Layanan: komunikasi, komputasi, dan sarana penunjang (UPS, AC,

Kabel);

o Sumber daya manusia termasuk data kualifikasi, keahlian dan

pengalaman;

o Aset intangible, berupa reputasi dan image perusahaan.

• Penanggung jawab atas aset seperti tersebut dalam ayat (2) pasal ini,

berkewajiban melaksanakan :

o Pemantauan terhadap informasi dan aset yang diolah melalui

identifikasi berdasarkan jenis klasifikasi informasi, sesuai aturan yang

berlaku;

o Pendefinisian dan evaluasi secara berkala terhadap pengendalian

akses dan klasifikasi informasi, mengacu kepada pengaturan terkait

pada kebijakan ini;

o Pemberian alokasi status kepemilikan (ownership) atas informasi

menyangkut :

Proses bisnis;

Rencana kegiatan dan program;

Aplikasi; atau

Dokumen data informasi.

Prosedur penggunaan aset sistem informasi disusun dalam aturan terpisah

oleh Unit Pengelola Teknologi Informasi, yang antara lain untuk :

Penggunaan e-mail, internet, dan intranet serta extranet;

Penggunaan perangkat secara mobile di luar perusahaan.

Page 29: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

82

Klasifikasi Informasi

(1) Klasifikasi informasi dalam Perusahaan diperlukan dalam pengelolaan aset

informasi secara tepat, jelas, dan terstruktur sesuai nilai dan peruntukannya.

(2) Setiap aset informasi perusahaan harus diklasifikasikan dalam 4 (empat)

tingkatan kepentingan menurut : nilai bisnis, kepastian hukum, sensitivitas dan

tingkat kekritisan, kerahasiaan, serta keamanan terhadap Perusahaan.

(3) Setiap bentuk aset informasi harus diberikan label klasifikasi sesuai hak

aksesnya dan persyaratan pada ayat (2) pasal ini, adalah sebagai berikut :

a. SANGAT TERBATAS ( ST ), untuk sistem informasi dengan klasifikasi

Sangat Terbatas;

b. RAHASIA ( RHS ), untuk sistem informasi dengan klasifikasi Rahasia;

c. PRIBADI ( PRIB ), untuk sistem informasi dengan klasifikasi Pribadi;

d. Internal Perusahaan ( IP ), untuk sistem informasi dengan klasifikasi

Internal Perusahaan.

4.3.2 Draft Prosedur Keamanan Informasi

Berikut ini adalah draft prosedur keamanan informasi yang diharapkan bisa

memenuhi kriteria pada ISO/IEC 17799 dan ISO/IEC 27001, serta menutupi gap

pencapaian maturity level yang diharapkan.

DRAFT PROSEDUR KEAMANAN INFORMASI

(best practice pada suatu perusahaan)

Page 30: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

83

I DEFINISI 1. Bentuk Informasi

Informasi dapat berbentuk tulisan (tertulis), elektronik (machine readable) dan ingatan karyawan

(mental information). Setiap bentuk informasi harus mendapatkan standard pengamanan

sebagaimana tercantum dalam ketentuan ini.

2. Informasi Tulisan (Tertulis)

Adalah semua bentuk informasi yang tercetak diatas kertas yang berupa tulisan tangan, cetakan,

bentuk simbol, cetakan komputer (computer print-out); materi cetakan diatas plastik

(transparancies dan slides); microfilm, foto dan cetakan dalam bentuk fisik yang lain.

3. Informasi Elektronik

Adalah informasi yang berada dalam sistem komputer baik digital maupun analog atau dalam

bentuk lain yang bisa terbaca oleh mesin (machine readable).

4. Informasi Ingatan (Mental Information)

Adalah informasi yang bersifat rahasia yang diberikan kepada karyawan Perusahaan dalam

rangka tugasnya. Setiap karyawan setidaknya harus mempunyai kesanggupan tertulis (Non

Disclosure Agreement) untuk tidak menggunakan dan menyebarkan informasi ini dimanapun dan

kapanpun tanpa seijin dari Perusahaan.

5. Pembuat Informasi (Originator) Karyawan Perusahaan yang menyiapkan naskah asli dari satu dokumen atau file.

6. Pemelihara Informasi (Custodian)

Manager atau administrator Perusahaan yang bertanggung jawab atas pengelolaan satu

kumpulan informasi.

7. Penyebaran Informasi (Disclosure)

Memberikan atau menunjukkan informasi kepada orang, organisasi atau system secara lisan

melalui presentasi dengan menggunakan transparancies, slides atau gambar, secara tertulis, dan

memberikan akses kedalam komputer atau menunjukkan data dari komputer melalui display.

8. Klasifikasi

Adalah proses penentuan indikator nilai, indikator kepekaan (sensitifitas) dan resiko terhadap

suatu informasi yang akan menentukan tingkat pengamanan yang diperlukan bagi informasi

tersebut. Klasifikasi informasi dibuat oleh Pembuat Informasi (Originator) atau Pemelihara

Informasi (Custodian).

9. Indikator

Adalah kumpulan petunjuk yang membantu Pembuat Informasi (Originator) dan Pemelihara

Informasi (Custodian) untuk menentukan klasifikasi suatu informasi, dokumen dan file.

10. Informasi Rahasia

Adalah informasi yang bernilai tinggi, peka dan bersiko besar bagi Perusahaan sehingga perlu

adalah satu usaha perlindungan.

Page 31: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

84

11. Tingkat Kebolehtahuan (Need to Know)

Adalah pedoman umum yang memungkinkan karyawan atau mitra kerja Perusahaan untuk

melihat, mendengar, merubah atau menghapus informasi rahasia sesuai dengan tugas dari

karyawan atau mitra kerja Perusahaan. Tingkat Kebolehtahuan ini merupakan dasar dari

pengamanan informasi bagi Perusahaan.

12. Account Adalah suatu tanda pengenal yang dipakai oleh sistem komputer guna membedakan satu

pemakai dengan yang lain secara unik. Account pada umumnya memerlukan suatu sekuen login

dimana para pemakai mengotentikasikan diri merekakepada sistem (misalnya dengan password).

13. User Setiap orang yang berinteraksi langsung dengan sistem komputer, atau sekelompok orang yang

melaksanakan suatu tugas atau fungsi bisnis, pelaku –pelaku yang bertindak atas dasar

kepentingan tertentu

14. User Account

Adalah suatu account yang dimiliki seorang karyawan dan digunakan dalam kinerja fungsi-fungsi

bisnis karyawan tersebut. User account biasanya tidak diberi hak-hak istimewa, serta merupakan

account dengan acces umum

15. Default

Hardware / Software yang dirancang untuk melakukan fungsi-fungsi spesifik dalam melayani atau

memberikan servis kepada clientnya atau bisa juga diartikan sebagai nilai asal/nilai dasar

16. Client / Server Adalah suatu sistem jaringan komputer dimana dalam jaringan tersebut terdapat komputer yang

berfungsi sebagai Server (yang melayani) dan Client (yang dilayani).

17. Virus Suatu program komputer yang sengaja dibuat untuk merusak pragram ,data dan device dalam

komputer, penyebaran virus ini bisa melalui disket maupun file yang dikirim melalui suatu jaringan

komputer

18. External Adalah Pihak atau organisasi yang berada diluar organisasi Telkom

19. Internal

Pihak atau organisai yang berada didalam organisasi Telkom

20. Local Area Network (LAN ) Suatu jaringan yang menghubungkan komputer-komputer dalam satu lokasi atau gedung

21. Wide Area Network (WAN)

Kumpulan beberapa LAN yang saling dihubungkan dalam suatu jaringan komputer yang cukup

luas jangkauannya

22. Operating System

Page 32: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

85

Software yang mengontrol jalannya operasi hardware tanpa user harus ikut mengoperasikannya.

Sistem operasi menyediakan platform dimana programprogram dan software aplikasi dapat

dijalankan.

23. Akses Kontrol

Proses yang membatasi akses kesumber daya sistem komputer hanya bagi user yang memiliki

hak akses, program, proses-proses dan sistem komputer lainnya.

24. Fire Protection

Adalah suatu sistem / perangkat yang berfungsi sebagai pengaman / pelindung dari bahaya

kebakaran

25. Environment Monitoring System (EMS) Perangkat / sistem yang digunakan untuk mengontrol dan mendeteksi suhu,asap, api, air dan

kelembaban ruangan komputer dimana hasil nya dapatsecara langsung dihubungkan dengan

perangkat komunikasi misalnya telepon, pager dll

26. Uninterruptable Power Suplay (UPS)

Perangkat / sistem yang berfungsi agar catuan yang berasal dari catuan utama (PLN) dapat selalu

stabil dan catuan kearah perangkat terjaga ketersediaannya (tidak teputus)

27. Password Serangkaian karakter yang digunakan untuk otentikasi atau untuk mendapatkan ijin akses sistem

28. Console

Perangkat yang merupakan bagian dari komputer yang berfungsi menampilkan data dalam bentuk

teks maupun grafik

29. Priviledges/Priviledge

Suatu cara untuk melindungi fungsis-fungsi sistem tertentu yang dapat mempengaruhi

sumberdaya dan keutuhan (integrity) sistem. System Manager yang memberikan priviledges

berdasarkan kebutuhan user dan memberikan batasan untuk melakukan akses ke sistem.

30. Cabling system

Sistem perkabelan yang menghubungkan satu perangkat dengan perangkat lainnya dimana

sistem ini disusun sedemikian rupa agar terjamin keamanannya serta mudah mengontrolnya.

31. Peripheral

Beberapa peralatan yang saling terkait satu dengan lainnya, Peralatan tersebut terdiri dari

processor, main board, memory, card, media penyimpanan data, power supply, cashing (kotak

pelindung).

32. Upgrade

Suatu kegiatan / usaha merubah atau mengganti Perangkat keras atau perangkat lunak dari satu

versi ke versi yang lebih tinggi dengan maksud untuk mendapatkan performance yang lebih baik

33. Quota

Jumlah besaran batas maksimal yang diberikan

34. Backup on Site / Off Site

Page 33: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

86

Adalah lokasi dan prasarana pengolahan data yang untuk sementara waktu digunakan untuk

menjalankan fungsi produksi sistem informasi oleh suatu unit pelayanan sistem informasi PT. X,

bila suatu pusat komputernya mengalami bencana. On Site artinya masih dalam ruangan yang

sama. Off Site artinya berada di tempat yang berbeda dari ruangan yang dipakai saat ini.

35. Domain Name Server ( DNS )

Adalah servis penamaan standard yang digunakan pada internet dan kebanyakan jaringan

TCP/IP.

36. File Transfer Protocol ( FTP )

Adalah protokol yang diigunakan untuk mendistribusikan atau menerima file/dokumen melalui

jaringan antar host atau host ke client

37. Hardware

Adalah sistem komputer yang terdiri dari peralatan mekanik, magnetik dan elektronik seperti CPU,

Disk Drive, Keyboard, Monitor dan lain-lain.

38. Software

Adalah program yang bisa digunakan untuk pengoperasian komputer.

39. Network Address Translation ( NAT )

Adalah pemindahan alamat jaringan.

40. Server

Adalah komputer yang memuat servis-servis yang disediakan untuk user yang dapat menjalankan

proses-proses dari client maupun server dalam waktu yang bersamaan, menyediakan layanan

jaringan, media penyimpan data dan pemindahan file/dokumen.

41. Transfer Control Protocol/Internet Protocol ( TCP/IP )

Adalah protokol yang digunakan untuk komunikasi antar komputer, sebagai standard untuk

transmisi data lewat network dan sebagai basis untuk standard protokol internal.

42. Port

Adalah alamat atau tempat dan service aplikasi dijalankan.

43. Router

Adalah perangkat pengatur lalulintas paket dan akses.

44. Proxy

Adalah suatu gerbang untuk menjelajah dunia internet.

45. Uniform Resources Locater ( URL )

Adalah protokol transmisi yang menunjukan spesifikasi nomor identifikasi internet yang digunakan

untuk berpindah dalam satu site ke site yang lain dalam internet.

46. Simple Mail Transfer Protocol ( SMTP )

Adalah protokol yang digunakan untuk mentransfer surat elektronik (email) antar komputer,

biasanya menggunakan Ethernet.

47. Remote Access

Adalah akses ke suatu jaringan sistem informasi dari luar jaringan internal.

Page 34: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

87

48. System

Adalah suatu metode untuk mengatur atau mengorganisasi penggabungan kerja dari perangkat

keras, perangkat lunak dan komunikasi data

49. Device

Adalah suatu perangkat yagn merupakan bagian dari komputer

50. Relational DataBase Management System Adalah suatu sitem management DataBase yang dibuat untuk mengatur DataBase relational.

51. DataBase

Adalah kumpulan file atau data yang teroraganisir.

52. DataBase Administrator Adalah orang yang bertanggung jawab terhadap design, management, evaluasi dan menjaga

performansi dari DataBase.

53. Client Adalah sebuah workstaion yang memiliki akses ke pusat file data, program dan peralatan melalui

server.

54. License

Adalah Ijin untuk memiliki/melakukan sesuatu yagn diberikan oleh instansi pemerintah atau

instansi yang lain.

55. User Guest

Adalah pemakai sementara.

56. Anti Virus Adalah suatu program yang didesign untuk mengidentifikasi dan menghapus atau membuang

virus pada komputer.

57. Zip Drive Adalah drive eksternal yang digunakan untuk memampatkan data untuk di backup.

58. Download

Adalah memindahkan data atau program dari pusat komputer ke peripheral komputer.

59. Upload Adalah memindahkan data atau program dari peripheral komputer ke pusat komputer.

60. Electronic Mail ( email )

Adalah pesan yang dapat dikirim atau diterima melalui saluran telekomunikasi antar

mikrokomputer atau terminal.

61. Junk Mail

Adalah surat elektronik yang berisi berita-berita sampah atau palsu yang disebarkan secara

berantai dan tidak bisa dipertanggungjawabkan kebenarannya.

62. Data

Adalah kumpulan informasi berupa angka-angka, karakter, signal elektronik dan lain-lain yang

bisa disediakan, disimpan dan diproses oleh komputer.

Page 35: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

88

63. Worm

Adalah sebuah program yang dapat menggandakan dirinya sendiri dan bercampur dengan fungsi

software atau menghancurkan informasi yang ada.

64. Hacker

Adalah user mikrokoomputer yang berusaha untuk mencari keuntungan dari akses yang tidak

diijinkan dari pemilik sistem komputer.

65. Portable Assets

Adalah aset sistem informasi yang dapat dipindah-pindah dengan mudah, seperti laptop/notebook

dan PC Workstation.

66. Public Area Adalah tempat yang menjadi milik umum.

67. Raise-Floor

Adalah lantai panggung.

68. SMP (Standard Maintenance Procedure)

Adalah prosedur standard untuk pelaksanaan maintenance.

69. SOP (Standard Operation Procedure)

Adalah prosedur standard untuk mengoperasikan suatu aplikasi.

II TANGGUNG JAWAB Bagian ini akan menjelaskan tentang tanggung jawab User (Pemakai), System Administrator/ System

Manager, Owners (Pemilik informasi/ data).

User (Pemakai)

User adalah seseorang yang diberi wewenang untuk menggunakan aset informasi dan

bertanggung jawab untuk :

1. Mematuhi syarat pengamanan aset informasi dan aplikasi sistem sekuriti seperti yang telah

ditentukan oleh Owner dan System Manager yang tertuang dalam Service Level Agreement

(SLA).

Page 36: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

89

2. Menggunakan peralatan pengolah aset informasi yang telah diijinkan dan hanya

dipergunakan untuk keperluan yang telah di setujui oleh pimpinannya.

3. Memastikan bahwa sistem, data dan password telah memenuhi persyaratan yang ditentukan

dan dilindungi dengan semestinya.

System Administrator/ System Manager Seseorang yang melaksanakan tugas untuk menjamin ketersediaan Sistem Informasi yang akan

digunakan atau diakses oleh pengguna dan bertanggung jawab untuk :

1. Membuat identitas/ pengenal dalam pemakaian sistem komputer yang lazim dikenal dengan

User-id serta melaksanakan administrasi untuk akses ke aset informasi dan menolak user

yang tidak mendapat ijin akses.

2. Melaksanakan pengamanan dan pengawasan terhadap aset informasi dan sistem informasi

sesuai dengan ketentuan pemiliknya.

3. Menentukan status operating sistem, aplikasi/ software dan menjamin keamanan

pengoperasiannya.

4. Memiliki/ memelihara daftar operating sistem, aplikasi/ software yang disetujui.

5. Memberikan penjelasan mengenai pengawasan, peraturan dan larangan kepada owner dan

user.

6. Melaporkan kepada pimpinan bila terjadi penyalah-gunaan atau pelanggaran.

Owner (Pemilik) Pejabat PT. X yang karena tugas dan tanggung jawabnya berwenang untuk membuat atau

menyampaikan keputusan dan menentukan dalam hal identifikasi, klasifikasi dan proteksi dari aset

informasi PT. X serta bertanggung jawab untuk:

1. Menentukan nilai serta pentingnya sebuah aset informasi.

2. Memastikan agar pengamanan dan pengawasan terhadap aset informasi dan sistem

aplikasi/software dilaksanakan sesuai dengan peraturan.

3. Memberitahukan persyaratan pengawasan dan proteksi kepada Unit Pengelola Sistem

Informasi dan user (pemakai).

III SEKURITI FISIK ASET SISTEM INFORMASI

Lingkungan dan pengendalian sarana fisik sangat dibutuhkan untuk membantu pengamanan Sistem

Informasi, hal ini dilakukan dengan adanya jaminan terintegrasinya secara fisik lingkungan Sistem

Informasi. Pada bab ini akan diberikan secara detail persyaratan dan prosedur keamanan secara fisik

ditinjau dari sisi eksternal dan sisi internal yang diterapkan di lingkungan sistem informasi.

Page 37: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

90

3.1 Pengamanan Fisik dari Aktivitas Pihak Eksternal Pengertian dari eksternal adalah personil diluar pegawai Unit Pengelola Sistem Informasi yang

mempunyai kepentingan baik langsung maupun tidak langsung, sehingga dapat berinteraksi dengan

asset yang dimiliki oleh Unit Pengelola Sistem Informasi. Hal-hal yang perlu diperhatikan untuk

melindungi aset fisik Unit Pengelola Sistem Informasi dari kepentingan eksternal meliputi ruangan

komputer, akses kontrol, perangkat komputer server, tempat penyimpanan media backup dan backup

site serta cabling system.

3.1.1 Ruangan Komputer Segala bentuk aset perusahaan yang berada dalam pengelolaan dan pengawasan Unit Pengelola

Sistem Informasi harus diberikan perlindungan dari pencurian, kerusakan dan penggunaan oleh yang

tidak berhak. Perangkat-perangkat penting perusahaan seperti komputer server dan alat penyimpan

data harus ditempatkan pada ruangan khusus dan dilengkapi dengan raise-floor.

Prosedur

Pintu masuk ruangan komputer harus selalu tertutup rapat.

Pihak eksternal yang akan memasuki ruang komputer harus seijin petugas Unit Pengelola Sistem

Informasi.

Wajib mengisi buku tamu pada saat datang atau meninggalkan ruangan.

Setiap peminjaman, pemindahan, pemasukan dan pengeluaran aset di ruang komputer harus

seijin petugas Unit Pengelola Sistem Informasi dan semua aktivitas harus tercatat dalam buku

log yang telah disediakan.

3.1.2 Akses Kontrol

Setiap Ruang Komputer harus dilengkapi dengan fasilitas akses kontrol untuk mengidentifikasi

kegiatan personil atau orang yang keluar masuk ruang komputer serta untuk mengamankan dan

melindungi aset perusahaan dimana aset yang ada berupa perangkat komputer, data dan sarana

penunjang lainnya yang sangat dibutuhkan oleh Perusahaan.

Prosedur

Pihak eksternal yang bermaksud untuk memasuki ruang komputer sebagai salah satu aktivitas

kegiatan rutinnya harus mengajukan surat permohonan resmi untuk meminta ijin penggunaan

Akses Kontrol ke pihak Manajemen Unit Pengelola Sistem Informasi.

Petugas dari pihak eksternal yang bertangung jawab dalam penggunaan Akses Kontrol harus

dicatat dan setiap terjadi pergantian petugas dari pihak eksternal tersebut harus

memberitahukan ke Manajemen Unit Pengelola Sistem Informasi.

Page 38: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

91

3.1.3 Perangkat Komputer Server.

Semua data dan informasi perusahaan tersimpan dalam perangkat komputer server, untuk itu perlu

dilakukan upaya dalam melindungi dan mengamankan server tersebut dari penggunaan yang tidak

berhak atau hal lain yang dapat menimbulkan terjadinya kerusakan sistem dan data. Upaya yang perlu

dilakukan dalam mengamankan dan melindungi mesin server ini adalah dengan menempatkan pada

ruangan yang mempunyai akses kontrol.

Prosedur

Pihak eksternal yang akan melakukan instalasi atau maintenance terhadap perangkat komputer

server sistem informasi harus seijin pengelola system informasi.

Kegiatan instalasi atau maintenance harus sepengetahuan petugas pengelola sistem informasi

dan harus dicatat dalam buku log kegiatan.

3.1.4 Tempat Penyimpanan Media Backup dan Backup Site.

Adalah tempat menyimpan data hasil backup yang tersimpan dalam suatu media backup baik yang

ada di tempat komputer itu berada (backup on-site) dan atau di luar area dimana lokasi tersebut yang

telah ditetapkan (backup off-site), hal ini dimaksudkan

untuk menanggulangi data operasional yang berada di lokasi Unit Pengelola Sistem Informasi rusak,

hilang atau terjadi kondisi force majeur. Untuk mengantisipasi hal tersebut, maka diperlukan suatu

tempat penyimpanan media backup yang memenuhi persyaratan suhu, kelembaban udara dan

pencahayaan serta menyediakan buku log untuk pencatatan keluar masuk media backup tersebut.

Prosedur

Mengisi buku log yang telah disediakan.

Pihak ketiga yang masuk ruangan penyimpanan media backup harus didampingi oleh petugas

dari Unit Pengelola Sistem Informasi.

Memberi label yang jelas pada media backup untuk mempermudah dalam pencarian dan

penyimpanannya.

Pihak eksternal dilarang mengambil atau memindahkan media backup tanpa sepengetahuan

petugas Unit Pengelola Sistem Informasi.

3.1.5 Cabling System Pengamanan terhadap perkabelan baik catuan listrik maupun jaringan komputer yang berada di

ruangan Unit Pengelola Sistem Informasi perlu dilakukan, untuk menjaga agar tidak terjadi hubungan

singkat (short circuit), kebakaran, salah letak jaringan atau terputusnya aliran listrik ke komputer

sehingga hal ini akan berdampak buruk terhadap kelancaran operasional.

Prosedur

Page 39: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

92

Instalasi sistem perkabelan harus ditaruh dibawah raise-floor dan ditata rapi agar tidak

mengakibatkan keruwetan dalam sistem perkabelan ini.

Memberikan label keterangan pada kedua ujung kabel untuk setiap kabel yang baru di install.

Pihak ketiga yang melakukan instalasi perkabelan harus seijin dan diawasi oleh petugas Unit

Pengelola Sistem Informasi.

3.2 Pengamanan Fisik dari Aktivitas Pihak Internal

Pengertian dari internal adalah semua personil Unit Pengelola Sistem Informasi yang berinteraksi

secara fisik baik langsung maupun tidak langsung terhadap aset yang dimiliki Unit Pengelola Sistem

Informasi. Pengamanan meliputi Ruangan Komputer, Akses Kontrol, Perangkat Komputer Server,

Ruang Penyimpanan Media Backup, Portable Asset, Air Conditioning, Cabling System, Fire Protection

dan Environment Monitoring System.

3.2.1 Ruangan Komputer

Segala bentuk aset perusahaan yang berada dalam pengelolaan dan pengawasan Unit Pengelola

Sistem Informasi harus diberikan perlindungan dari pencurian, kerusakan dan penggunaan yang tidak

berhak. Perangkat-perangkat penting perusahaan seperti komputer server dan alat penyimpan data

dapat ditempatkan pada ruangan khusus.

Secara umum ruangan komputer harus memenuhi kriteria :

a. Ruangan komputer tidak berada di lantai public area.

b. Lantai menggunakan raise-floor, atap tidak bocor dan lantai bebas dari banjir.

c. Pintu keluar masuk ruangan menggunakan akses kontrol dan harus selalu tertutup rapat.

d. Kaca dibuat permanen (tidak bisa dibuka tutup) dan tidak tembus sinar matahari langsung.

e. Ruang komputer harus bebas rokok.

f. Dilengkapi dengan sistem alarm, emergency lamp, Fire Protection System serta alat

monitoring lingkungan (suhu, kelembaban udara atau catu daya).

Prosedur

1. Setiap personil Unit Pengelola Sistem Informasi yang akan memasuki Ruang Komputer harus

menggunakan Akses Kontrol dan pintu harus senantiasa ditutup kembali.

2. Setiap orang yang berada dalam Ruang Komputer harus menaati peraturan yang sudah

ditetapkan oleh menajemen setempat.

3. Setiap petugas yang akan bekerja di Ruang Komputer harus berdasarkan prosedur yang

sudah disepakati serta berdasarkan SOP/SMP yang ada.

4. Setiap orang dilarang makan/minum di Ruang Komputer

5. Setiap orang yang memasuki Ruang Komputer harus membuka sepatu dan menggunakan

sandal/sepatu khusus untuk Ruang Komputer.

Page 40: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

93

3.2.2 Akses Kontrol

Setiap Ruang Komputer harus dilengkapi dengan fasilitas akses kontrol untuk mengidentifikasi

kegiatan personil atau orang yang keluar masuk ruang komputer serta untuk mengamankan dan

melindungi aset perusahaan dimana aset yang ada berupa perangkat komputer, data dan sarana

penunjang lainnya yang sangat dibutuhkan oleh Perusahaan. Untuk mencegah hal tersebut maka :

a. Secara berkala harus dilakukan maintenance dan pengecekan perangkat akses kontrol.

b. Data personil pada akses kontrol harus selalu yang terakhir.

c. Menyediakan perangkat komputer yang dedicated khusus untuk akses kontrol.

d. Perangkat komputer yang mengendalikan akses kontrol diberi password dan secara berkala

password diganti. Pengaturan password mengacu pada Manajemen Password Sekuriti

Sistem Informasi.

Prosedur

1. Kartu akses merupakan tanggung jawab pribadi dan tidak diperkenankan untuk dipinjamkan

kepada orang lain.

2. Masing-masing personil diberi priviledge akses ruangan sesuai dengan tugas dan wewenang

bagiannya masing-masing.

3. Jika terjadi perubahan data akibat dari adanya mutasi pegawai harus disertai dengan

permintaan dari pejabat yang bertanggung jawab terhadap sekuriti akses kontrol.

3.2.3 Perangkat Komputer Server Semua data dan sistem informasi perusahaan tersimpan dalam perangkat computer server, untuk itu

perlu dilakukan upaya dalam melindungi dan mengamankan server tersebut dari penggunaan yang

tidak berhak atau hal lain yang dapat menimbulkan terjadinya kerusakan sistem dan data. Upaya yang

perlu dilakukan dalam mengamankan dan melindungi perangkat komputer server ini adalah dengan

menempatkan pada ruangan yang mempunyai akses control serta mencantumkan identitas dari

masing-masing perangkat komputer server.

Prosedur 1. Setiap perangkat komputer server harus diberi label identitas.

2. Sebelum melakukan aktivitas yang berakibat pada perubahan konfigurasi komputer server

harus diadakan analisa terhadap dampak yang mungkin timbul.

3. Mendokumentasikan dalam buku log segala aktivitas yang telah dilakukan.

4. Petugas Unit Pengelola Sistem Informasi wajib mendampingi personil diluar Unit Pengelola

Sistem Informasi apabila akan melakukan suatu pekerjaan yang berkaitan dengan mesin

server.

3.2.4 Tempat Penyimpanan Media Backup dan Backup Site

Page 41: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

94

Adalah tempat menyimpan data hasil backup yang tersimpan dalam suatu media backup baik yang

ada di tempat komputer itu berada (backup on-site) dan atau di luar area dimana lokasi tersebut yang

telah ditetapkan (backup off-site), hal ini dimaksudkan untuk menanggulangi data operasional yang

berada di lokasi Unit Pengelola Sistem Informasi rusak, hilang atau terjadi kondisi force majeur. Untuk

mengantisipasi hal tersebut, maka diperlukan suatu tempat penyimpanan media backup yang

memenuhi persyaratan suhu, kelembaban udara dan pencahayaan serta menyediakan buku log untuk

pencatatan keluar masuk media backup tersebut.

Prosedur

1. Mengisi buku log yang telah disediakan.

2. Membuat berita acara keluar masuknya media backup dari tempat penyimpanan.

3. Penyimpanan media tape atau catridge ke lokasi off-site backup harus dilakukan oleh minimal

dua orang dengan sarana transportasi yang aman.

4. Selalu diadakan pengetesan rutin terhadap kondisi media backup.

5. Pada media backup harus dicantumkan identitas yang jelas untuk memudahkan

penyimpanan dan pencariannya.

3.2.5 Portable Aset

Merupakan perangkat penunjang operasional berupa komputer yang dapat dipindahkan secara

mudah, dimana perangkat tersebut berisi informasi atau data perusahaan, sehingga perlu adanya

suatu penanganan khusus, jika akan dipergunakan di luar lingkungan unit pengelola sistem informasi.

Prosedur

1. Untuk pengamanannya, maka data informasi yang terdapat di dalam computer tersebut harus

diamankan agar tidak dapat dipergunakan atau diakses oleh pihak yang tidak berwenang.

2. Untuk portable asset yang digunakan oleh perorangan, maka penanggung jawabnya adalah

pegawai yang bersangkutan.

3. Untuk portable asset yang digunakan secara bersama-sama, penanggung jawabnya adalah

Manajemen setempat.

3.2.6 Uninterruptable Power Supply ( UPS )

Perangkat komputer memerlukan catuan listrik yang cukup stabil dan juga tidak terputus

dari sumber listrik PLN atau genset untuk kontinuitas operasionalnya. Guna mengantisipasi

kelangsungan dan kestabilan catuan listrik tersebut, maka diperlukan adanya suatu sarana penunjang

lain berupa UPS. Pengamanan terhadap perangkat ini dapat dilakukan dengan cara:

a. Perangkat diletakkan pada suatu tempat yang aman dengan dilengkapi Air Conditioner.

b. Grounding sistem catu daya harus memenuhi persyaratan spesifikasi teknis perangkat

komputer.

Page 42: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

95

c. Harus dilakukan pemeliharaan secara rutin.

Prosedur

1. Keluar masuk ruangan tempat UPS bagi pihak eksternal harus dengan seijin petugas yang

bertanggung jawab terhadap operasional UPS serta didampingi petugas yang bersangkutan

dan harus mengisi buku log.

2. Dilengkapi dengan fasilitas untuk memonitor dan mengontrol kondisi UPS yang mudah

terlihat.

3. Apabila dalam melakukan maintenance diperlukan suatu pemutusan aliran listrik terhadap

UPS tersebut, maka harus ada ijin dari penanggung jawab Unit Pengelola Sistem Informasi.

4. Harus ada pemberitahuan terlebih dahulu kepada user, jika akan dilakukan pemutusan aliran

listrik dan waktu pelaksanaannya akan dilakukan diluar jam kerja.

5. Mengadakan pengukuran berkala terhadap sistem catu daya.

3.2.7 Air Conditioner ( AC )

Perangkat air conditioner dibutuhkan untuk mengkondisikan suhu ruangan computer sesuai dengan

yang dipersyaratkan oleh perangkat yang ada di dalam Ruang Komputer (server, storage, media

backup dan sebagainya). Untuk pengamanan air conditioner tersebut dapat dilakukan dengan cara:

a. Perangkat diletakkan pada suatu tempat yang aman.

b. Harus dilakukan pemeliharaan secara rutin.

Prosedur

1. Melakukan monitoring AC secara rutin.

2. Harus dilakukan pemeliharaan secara rutin.

3. Memasang alat pengukur suhu dan kelembaban pada setiap ruangan komputer.

3.2.8 Cabling System

Pengamanan terhadap perkabelan baik catuan listrik maupun jaringan komputer yang berada di

ruangan Unit Pengelola Sistem Informasi perlu dilakukan, untuk menjaga agar tidak terjadi hubungan

singkat (short circuit), kebakaran, salah letak jaringan atau terputusnya aliran listrik ke komputer yang

akan berdampak buruk terhadap kelancaran operasional. Instalasi sistem perkabelan harus ditata

rapih dan diletakkan dibawah raise-floor.

Prosedur

1. Setiap perkabelan harus memiliki label.

2. Penempatan dan penataan kabel harus sesuai dengan jalur telah ditentukan

3.2.9 Fire Protection

Page 43: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

96

Fire protection harus tersedia dalam suatu ruang komputer dengan spesifikasi khusus bagi perangkat

komputer yaitu bahan/material yang dipakai oleh fire protection harus menggunakan bahan/material

yang ramah terhadap lingkungan dan telah direkomendasikan oleh pemerintah Republik Indonesia

serta tidak mengakibatkan kerusakan pada komponen perangkat komputer.

Prosedur 1. Penempatan peralatan fire protection harus ditempatkan pada lokasi yang aman.

2. Pemeliharaan fire protection harus dilakukan secara rutin/berkala.

3.2.10 Environment Monitoring System ( EMS ) Perangkat yang digunakan untuk mengontrol suhu, asap, api, air dan kelembaban dalam ruangan

komputer, dimana hasil kontrol ini secara langsung dapat dihubungkan dengan fasilitas telepon.

Perangkat ini digunakan sebagai langkah pencegahan untuk menghindari terjadinya kerusakan

perangkat komputer beserta peripheralnya. Upaya yang dapat dilakukan dalam pengamanan

perangkat ini adalah dengan secara rutin memelihara kondisinya serta menempatkannya dalam suatu

tempat yang aman. Perangkat ini dipersyaratkan untuk dilengkapi guna menunjang operasional suatu

ruangan komputer.

3.2.11 Kelengkapan Kesehatan dan Keselamatan Kerja (K3) Petugas Unit Pengelola Sistem Informasi.

Kelengkapan K3 sebagai salah satu persyaratan yang harus dipenuhi dalam operasional

Unit Pengelola Sistem Informasi. Perlengkapan K3 standard minimal untuk suatu ruang komputer :

1. Baju dingin (jaket, sweater dan sejenisnya).

2. Perlengkapan P3K (Pertolongan Pertama Pada Kecelakaan).

3. Extra Voeding (makanan/minuman bergizi).

IV SEKURITI SISTEM INFORMASI Untuk menjamin kesinambungan, ketersediaan sistem informasi serta integritas, keamanan dan

kerahasiaan sistem informasi, maka diperlukan adanya perlindungan terhadap penggunaan seluruh

aset sistem informasi meliputi infrastruktur, aplikasi dan sarana penunjang dari segala macam

penyalahgunaan hak akses, penyingkapan data, modifikasi, manipulasi serta pengrusakan data.

Pengamanan sistem informasi ini harus memenuhi persyaratan Standard Sekuriti Minimum (SSM)

yang telah ditetapkan oleh PT. X.

Tingkatan Standard Sekuriti Minimum

Page 44: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

97

Semua komputer yang ada di lingkungan PT. X harus memenuhi Standard Sekuriti Minimum Sistem

Informasi. SSM sistem informasi di PT. X dibagi menjadi :

a. Dari Akses Fisik (Jaringan)

a. Tingkat 0 Tidak ada Sekuriti sistem informasi.

Tingkat 0 adalah sangat berbahaya dan beresiko tinggi.

b. Tingkat 1 Tingkat minimum untuk suatu sistem komputer yang berdiri sendiri (stand

alone PC) atau LAN yang tidak terhubung ke WAN (TelkomNet).

c. Tingkat 2 Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung

ke WAN (TelkomNet).

d. Tingkat 3 Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung

ke WAN (TelkomNet) dan juga langsung terhubung ke gerbang Internet

Internasional tanpa melalui Firewall.

b. Dari Akses Logik (Data)

a. Tingkat 0 Hanya bisa mengakses data milik pribadi di workstation yang

bersangkutan.

b. Tingkat 1 Bisa mengakses data yang bersifat umum melalui Intranet atau Sharing

File/Direktori yang dibuka untuk umum (public).

c. Tingkat 2 Bisa mengakses data setelah mempunyai user id melalui proses

pendaftaran user.

d. Tingkat 3 Bisa mengakses seluruh data corporate. Level ini hanya dimiliki oleh user

tertentu saja.

Prosedur pengamanan Sekuriti sistem informasi meliputi:

1. Sistem Operasi

2. Manajemen User

3. Manajemen Password

4. Database

5. Aplikasi

6. Data

4.1 Sistem Operasi Sistem Operasi selanjutnya disingkat O/S.

Prosedur Pengamanan Sekuriti Sistem Operasi

1. Setiap user yang akan mengakses sistem informasi harus memiliki user account.

2. Operating System yang digunakan di lingkungan perusahaan harus memiliki lisensi.

3. Operating System harus dapat memanage User dan Password.

4. Operating System harus dapat memanage File, Direktori, Devices dan Peripheral lainnya.

Page 45: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

98

5. Operating System harus memiliki security patch yang diakui oleh badan internasional.

6. Security Patch tersebut harus sudah terinstall ke dalam sistem komputer PT. X sebelum

sistem komputer tersebut dinyatakan produksi.

7. Operating System harus memiliki sistem audit yang bisa memantau dan merekam setiap

aktivitas user yang logon.

8. Operating System harus mampu mengatur batch proses agar dapat berjalan seefisien

mungkin tanpa mengganggu proses operasional lainnya.

9. Operating System harus mampu membuat roles, profile atau group sehingga mampu

mengelompokkan user sesuai tingkat kewenangan hak aksesnya.

10. Operating System harus mampu melakukan reset password untuk kondisi-kondisi tertentu.

11. Setelah selesai mengakses sistem informasi dan seluruh aktivitas selesai, user harus log off

dari sistem terkait.

12. Operating System harus memiliki mekanisme log off otomatis, jika user tidak ada

aktivitas selama kurun waktu tertentu:

a. Pengamanan terendah adalah dengan mengaktifkan screen saver dengan proteksi

password (password protection).

b. Untuk user yang memiliki kewenangan tertinggi diberlakukan log off otomatis bila

tidak ada aktivitas selama 5 (lima) menit berturut-turut.

13. Operating System harus dapat menghalangi setiap tindakan yang mencoba melakukan

reboot dari remote terminal (terminal lain yang tidak satu lokasi).

14. Operating System harus dapat membatasi user yang akses dari remote terminal.

15. Aktivitas pihak ketiga yang mengakses Operating System harus seiijin manajemen

SISFO/DIV TI serta dilakukan di lokasi milik PT. X dan berbatas waktu.

16. Prosedur upgrade versi terbaru dari suatu Sistem Operasi harus dievaluasi agar dampaknya

tidak mengganggu operasional aplikasi yang berjalan di Sistem Operasi tersebut.

Hal-hal yang perlu diperhatikan antara lain:

a. Aplikasi harus dapat berjalan pada O/S versi terbaru.

b. Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.

c. Harus dilakukan backup terlebih dahulu, baik sistem maupun data.

d. Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara aplikasi

harus tetap operasional.

e. Harus diketahui lama waktu yang dibutuhkan untuk upgrade.

f. Harus dilakukan penjadualan dalam melakukan upgrade .

g. Perlu adanya sosialisasi dalam hal knowledge.

17. Jika ada perangkat lunak yang diinstall ke dalam suatu O/S dan ternyata bertentang dengan

prosedur sekuriti, maka perangkat lunak tersebut harus dicatat dan dipertimbangkan untuk

Page 46: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

99

tidak digunakan. Jika terpaksa tetap dipakai, maka pengawasan terhadap penggunaan

perangkat lunak ini harus diperketat.

18. Berita acara serah terima instalasi/upgrade O/S harus dibuat setelah pekerjaan

instalasi/upgrade selesai dilaksanakan dan dilaporkan ke manajemen.

19. Backup terhadap O/S harus dilakukan pada saat setelah instalasi pertama kali, sebelum dan

setelah dilakukan upgrade, penambahan patch atau adanya perubahan di dalam O/S. Hasil

backup disimpan di lokasi on-site dan atau off-site.

4.2 Manajemen User

Merupakan proses pengaturan dan pengendalian hak akses serta otoritas user pada suatu sistem

komputer untuk melindungi sistem dari user yang tidak berhak atau berwenang. Pengaturan dan

pengendalian hak akses serta otoritas user ini dilakukan pada level O/S atau aplikasi.

DIAGRAM ALIR PROSES PEMBUATAN USER

Prosedur Manajemen User Prosedur manajemen user account

1. Penanggung jawab user account harus dapat diidentifikasikan.

2. Harus memperhatikan tingkat kebutuhan user yang sesuai dengan tingkat otorisasi dalam

mengakses sistem informasi.

3. Tidak boleh ada user account yang mempunyai priviledge setingkat superuser.

Page 47: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

100

4. Otoritas read only diberikan kepada user account lain yang akan mengakses data yang di-

share.

5. Harus tersedia user account untuk penggunaan sementara waktu dengan priviledge dan

waktu yang terbatas.

6. Penggunaan user oleh pihak ketiga harus tercatat dan seijin manajemen Unit Pengelola

Sistem Informasi terkait serta pemberian ijin aksesnya harus di lokasi milik Unit Pengelola

Sistem Informasi, ditemani oleh petugas Unit Pengelola Sistem Informasi dan berbatas waktu.

7. Mengaktifkan fungsi quota/limitasi/profile dalam pemakaian resource.

8. Hak akses user account harus dilakukan perubahan apabila yang bersangkutan mutasi.

Hak akses user account akan dihapus/dinonaktifkan permanen apabila :

1. Yang bersangkutan berhenti bekerja atau pensiun.

2. Terjadi perubahan jabatan dan perubahan wewenang.

3. Cuti untuk waktu yang lama, maka user account akan diaktifkan kembali setelah ada

pemberitahuan dari atasan yang bersangkutan.

4. Tidak menggunakan hak aksesnya lebih dari 90 hari berturut-turut akan dinonaktifkan untuk

sementara.

5. Setiap user account yang tidak aktif atau tidak dipakai selama 120 hari berturut-turut atau 30

hari setelah dinonaktifkan maka user account tersebut akan dihapus.

6. Berada dalam proses hukum.

7. Penghapusan/penonaktifan sementara dilakukan segera setelah informasi status user (poin 1

s.d 6) diterima.

8. Penghapusan atau penonaktifan hak akses Sistem Informasi dilakukan berdasarkan informasi

tertulis dari manajemen setempat yang mampunyai kewenangan untuk menentukan

menghapus atau menonaktifkan user, dan/atau berdasarkan permintaan tertulis dari pemilik

data/aplikasi.

Daftar user penerima hak akses beserta tingkat kewenangannya harus tersimpan di lokasi sistem

informasi terkait dan dievaluasi minimal 1 tahun sekali.

Prosedur Manajemen User System / Super User

1. Penggunaan superuser harus dibatasi, mengingat superuser memiliki akses penuh terhadap

sistem informasi terkait.

2. Tidak boleh ada user lain setingkat super user selain user root dan administrator (NT), field

(DEC).

3. Penanggung jawab user root adalah System Programming atau atas penunjukan manajer

Unit Pengelola Sistem Informasi setempat.

4. Aktivitas user yang akan login ke superuser harus dibatasi dan direkam.

Page 48: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

101

5. Penggunaan user root oleh pihak ketiga pada kondisi tertentu hanya diperbolehkan setelah

mendapat ijin tertulis dari pihak Manajemen Unit Pengelola SISFO/ DIV TI.

6. Penggunaan user root oleh pihak ketiga tersebut harus dibatasi waktu penggunaannya dan

pada saat penggunaannya harus diawasi oleh staf Unit Pengelola SISFO/ DIV TI.

7. Penggunaan user root oleh pihak ketiga tersebut hanya boleh dilakukan di lokasi PT.X (di

console terminal server) dan tidak boleh di lokasi remote.

8. Setiap kegiatan pihak ketiga dalam menggunakan user root harus dicatat dalam log book

khusus.

9. Sharing user root harus sepengetahuan Manajemen Unit Pengelola Sistem Informasi.

4.3 Manajemen Password

Merupakan metode pengamanan hak akses dari orang yang tidak berhak menggunakannya, artinya

password merupakan alat authentifikasi pada saat user masuk ke dalam sistem. Setiap user-id harus

memasukkan password sebelum masuk ke sistem. Password biasanya dibuat oleh Super-user /

System Administrator / System Programmer sebagai pemegang otoritas tertinggi pada sistem operasi.

Prosedur Manajemen Password untuk user biasa

1. Password hanya boleh diketahui oleh pemiliknya. Jika diketahui oleh orang lain maka harus

segera diganti.

2. Kesalahan user sampai batas maksimum dalam memasukkan password dapat

mengakibatkan user tersebut log out dari sistem dan dikenai lock (user tidak boleh lagi login

sampai dia memberitahukan ke pemegang otoritas sistem).

3. Penggunaan password oleh pihak ketiga harus seiijin manajer Unit Pengelola Sistem

Informasi terkait dan berbatas waktu kemudian sesudahnya harus segera diganti.

4. Metode Penulisan Password

a. Password harus memiliki panjang minimal 6 karakter.

b. Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan

non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih

dari 2 secara berurutan.

c. Password tidak boleh : blank (kosong), sama dengan user ID, nama atau inisial

pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja

atau yang terkait.

d. Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan

password sebelumnya.

e. Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh

karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya

password.

5. Metode Pengaturan Password

Page 49: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

102

a. Default password harus segera diubah manakala pemakai menggunakan

sistem/user ID untuk pertama kalinya.

b. Password harus memiliki expiration date dalam periode tertentu, tergantung kepada

tingkat resiko dari sistem informasi yang diakses.

i. untuk sistem informasi dengan resiko tinggi, minimal setiap 30 hari

ii. untuk sistem informasi dengan resiko menengah, minimal setiap 90 hari/3

bulan.

iii. untuk sistem informasi dengan resiko rendah, dibuat sesuai permintaan

kebutuhan.

c. Penggunaan kembali password yang sama harus diatur dalam suatu siklus,

misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh:

Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa

digunakan kembali setelah 4 kali perubahan dilakukan.

d. Untuk perubahan password, konfirmasi password lama harus dimintakan sebelum

pembuatan password baru.

6. Penyimpanan Password

a. Password pribadi harus diingat atau disimpan di tempat yang aman yang tidak dapat

diketahui oleh orang yang tidak berwenang dan tidak di “share” dengan orang lain.

b. Pada situasi dimana password harus di share, password harus disimpan dibawah

dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap

sistem.

c. File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca

dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.

d. Fasilitas reset password hanya boleh dilakukan oleh Super User setelah user yang

bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya,

alasan reset password serta jelas identitas pemilik user tersebut.

7. Setiap permintaan reset password didahului oleh proses autentifikasi user.

Prosedur Manajemen Password untuk user System/ Super User

1. Password hanya boleh diketahui oleh System Programmer/System Administrator/DBA serta

disimpan dalam amplop khusus yang disimpan oleh Manajemen Unit Pengelola Sistem

Informasi. Jika diketahui oleh orang lain maka harus segera diganti.

2. Khusus untuk aplikasi S dimana membutuhkan fasilitas untuk sharing user dan password

maka perlu mekanisme tersendiri yang diatur oleh manajemen Unit Pengelola Sistem

Informasi setempat.

3. Kesalahan user sampai batas maksimum dalam memasukkan password dapat

mengakibatkan user tersebut log out dari sistem.

Page 50: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

103

4. Penggunaan password oleh pihak ketiga harus seiijin manajer PUSKOM/SISFO terkait dan

berbatas waktu kemudian sesudahnya harus segera diganti.

5. Metode Penulisan Password

a. Password harus memiliki panjang minimal 8 karakter.

b. Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan

non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih

dari 2 secara berurutan.

c. Password tidak boleh blank (kosong), sama dengan user ID, nama atau inisial

pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja

atau yang terkait.

d. Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan

password sebelumnya.

e. Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh

karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya

password.

6. Metode Pengaturan Password

a. Default password harus segera diubah, jika user menggunakan sistem/user ID untuk

pertama kalinya.

b. Password harus memiliki expiration date dalam periode tertentu, tergantung kepada

tingkat resiko dari sistem informasi yang diakses.

i. untuk sistem informasi dengan resiko tinggi, minimal setiap 30 hari

ii. untuk sistem informasi dengan resiko menengah, minimal setiap 90 hari/ 3

bulan

iii. untuk sistem informasi dengan resiko rendah, dibuat sesuai permintaan

kebutuhan.

c. Penggunaan kembali password yang sama harus diatur dalam suatu siklus,

misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh:

Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa

digunakan kembali setelah 4 kali perubahan dilakukan.

d. Untuk perubahan password, konfirmasi password lama harus dimintakan sebelum

pembuatan password baru.

7. Penyimpanan Password

a. Password root/superuser sebaiknya diingat atau disimpan di tempat yang aman

yang tidak dapat diketahui oleh orang yang tidak berwenang dan tidak di “share”

dengan orang lain.

b. Pada situasi dimana password harus di share, password harus disimpan dibawah

dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap

sistem.

Page 51: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

104

c. File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca

dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.

8. Fasilitas reset password hanya boleh dilakukan oleh System Administrator setelah user yang

bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya, alasan reset

password serta user tersebut milik siapa.

4.4 Sekuriti database

Database memiliki tingkat sekuriti sendiri sehingga dengan demikian suatu database sistem informasi

memungkinkan untuk memiliki 2 atau lebih level sekuriti, yaitu sekuriti level O/S dan sekuriti level

database. Meskipun bisa saja sekuriti level O/S-nya diabaikan pada suatu sistem informasi yang

menggunakan topologi Client/Server (two-tier), dimana pada topologi ini user dapat langsung

mengakses database tanpa melalui level O/S-nya server database. Sehingga pada topologi

Client/Server ini sekuriti database benar-benar tergantung pada database itu sendiri (lihat Tabel).

Pada dasarnya O/S tidak akan melindungi data yang ada di database, sehingga database harus dapat

melindungi dirinya sendiri, untuk itu kemampuan suatu database dalam hal sekuriti harus menjadi

salah satu perhatian dalam pemilihan DBMS (Database

Management System).

Database juga memiliki manajemen user sendiri yang aturan dasarnya hampir sama dengan level O/S,

hanya saja untuk mengakses database memerlukan tools atau aplikasi tambahan sebelum user benar-

benar bisa mengakses. Untuk itu pembagian sekuriti pada database adalah tergantung dari topologi

yang dipakai.

Tabel Pembagian Sekuriti Berdasarkan Topologi

TOPOLOGI DESCRIPTION SECURITY LEVEL

One-tier

User dapat mengakses database hanya setelah login melalui user O/S dan user O/S tersebut memiliki hak untuk

mengakses database.

Sekuriti ada di level O/S dan Database

Client/Server (two-tier)

User database dapat mengakses data tanpa melalui level O/S, tetapi terminal user harus

memiliki tools/aplikasi untuk akses database.

Sekuriti ada di level Database

Three-tier

User tidak dapat langsung mengakses database, user hanya bisa mengakses data yang sudah

disediakan oleh aplikasi. Server Aplikasilah yang mengakses ke database.

Sekuriti ada di level Server Aplikasi dan

Database.

Page 52: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

105

Prosedur Implementasi Pengamanan Database

1. Database yang digunakan untuk aplikasi produksi haruslah database yang memiliki lisensi.

2. Password yang disimpan oleh database dalam bentuk tabel atau view harus dienkripsi oleh

database tersebut.

3. Pengaturan hak akses harus mengacu pada roles/privileges yang sudah ditentukan.

4. Tidak diperbolehkan ada user non-DBA memiliki roles/privileges DBA.

5. User-id dan password dari user O/S yang menginstall database harus aman dari penggunaan

oleh orang yang tidak berhak.

6. Default password hasil instalasi harus diganti sebelum database dinyatakan produksi.

7. Membuat profile untuk mengatur user, seperti kapan boleh login, kapan harus ganti

password, tabel mana yang boleh diakses dan sebagainya.

8. Mengaktifkan fungsi audit-trail yang ada di database. Fungsi ini perlu diperhatikan karena jika

aktif maka space disk akan selau bertambah besar. Sehingga mungkin hanya diaktifkan pada

saat database diakses oleh user yang memiliki priviledge yang tinggi.

9. Daftar user harus senantiasa dibuatkan reportnya setiap 3 (tiga) bulan sekali untuk keperluan

auditing license.

10. Akses database secara otomatis dari database lain harus sepengetahuan DBA masing-

masing database.

11. Perubahan yang terjadi pada level aplikasi harus senantiasa dilaporkan ke DBA untuk

diperiksa ada tidaknya pengaruh perubahan terhadap sekuriti database.

12. Proses upgrade database harus memperhatikan :

a. Aplikasi harus dapat berjalan pada DBMS versi terbaru.

b. Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.

c. Harus dilakukan backup terlebih dahulu.

d. Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara

aplikasi harus tetap operasional.

e. Harus diketahui lama waktu yang dibutuhkan untuk upgrade.

f. Harus dilakukan penjadualan dalam melakukan upgrade

g. Perlu adanya sosialisasi dalam hal knowledge.

13. Setelah selesai dilakukan instalasi/upgrade maka harus selalu dibuatkan Berita Acara

pelaksanaan kegiatan instalasi/upgrade dan dilaporkan ke manajemen.

14. Backup terhadap database harus dilakukan secara terjadwal

(Harian/Mingguan/Bulanan/Tahunan) baik backup secara fisik maupun logic sesuai

kebutuhan aplikasi yang mengaksesnya.

Page 53: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

106

15. Hasil Backup disimpan dilokasi onsite dan atau offsite untuk menghindari hal-hal yang tidak

diinginkan.

16. Prosedur restore database produksi harus mendapatkan ijin dari manajemen Unit Pengelola

Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.

4.5 Sekuriti Aplikasi

Akses terhadap aplikasi dibagi menjadi 3 level :

1. Administrator

Administrator memiliki otoritas tertinggi dalam mengatur, membuat dan mengawasi user dan aplikasi.

2. User

User memiliki hak akses dan otoritas terhadap aplikasi sesuai dengan kebutuhannya dan wewenang

yang diberikan oleh Administrator.

3. Guest

Guest memiliki hak akses paling minimum yang mungkin diberikan oleh aplikasi.

Prosedur sekuriti aplikasi

1. Setiap Aplikasi atau layanan Sistem Informasi yang akan produksi harus sudah melewati

pengujian sekuriti oleh unit pengelola Sistem Infromasi setempat dengan mengacu kepada

standard Sekuriti yang berlaku.

2. Administrator harus mencatat setiap aktivitasnya dalam manajemen user, meliputi :

a. Setiap penambahan dan penghapusan user account;

b. Setiap perubahan terhadap user account, misalnya menyangkut hak aksesyang

diberikan.

c. Setiap reset password yang dilakukan, harus atas permintaan user dengan identitas

user yang jelas.

3. Aturan aplikasi harus dibuat sebagai alat untuk membatasi kewenangan user dalam

menggunakan aplikasi.

4. Memberikan quota bagi user dalam menggunakan resource aplikasi.

5. User harus mempunyai profile sesuai dengan tingkat kewenangannya.

6. User harus memelihara passwordnya agar jangan sampai diketahui dan dimanfaatkan oleh

pihak lain.

7. Aplikasi yang digunakan harus memiliki lisensi.

8. Aplikasi yang terinstall di terminal user harus dijaga dari penggunaan orang yang tidak berhak

oleh pemilik/penanggung jawab terminal tersebut.

9. Default user aplikasi adalah no-access.

Page 54: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

107

10. Setiap usaha untuk login ke aplikasi yang gagal autentifikasinya direkam dan dilaporkan ke

manajemen. Selanjutnya user tersebut di-lock sampai ada permintaan resmi dari user yang

bersangkutan.

11. User Guest harus memiliki hak paling minimum dalam mengakses aplikasi.

12. File atau tabel yang berisi daftar user dan password harus dienkripsi.

13. Upgrade aplikasi harus memperhatikan :

a. Aplikasi harus dapat berjalan pada DBMS versi terbaru.

b. Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.

c. Harus dilakukan backup terlebih dahulu.

d. Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara

aplikasi harus tetap operasional.

e. Harus diketahui lama waktu yang dibutuhkan untuk upgrade.

f. Harus dilakukan penjadualan dalam melakukan upgrade .

g. Perlu adanya sosialisasi dalam hal knowledge.

14. Berita Acara hasil instalasi/upgrade aplikasi harus dibuat setelah selesai pekerjaan

installasi/upgrade aplikasi dan dilaporkan ke manajemen.

15. Backup terhadap aplikasi harus dilakukan setelah instalasi pertama kali juga sebelum dan

sesudah upgrade.

16. Hasil backup harus disimpan di lokasi onsite dan atau offsite.

17. Prosedur restore aplikasi produksi harus mendapatkan ijin dari manajemen Unit Pengelola

Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.

18. Prosedur tambahan untuk masing-masing aplikasi dituangkan dalam SOP/SMP tiap aplikasi.

4.6 Sekuriti data Data yang disimpan dapat berupa dokumen tertulis (hardcopy) maupun yang berupa dokumen

elektronik (softcopy).

Prosedur pengamanan untuk dokumen tertulis

1. Dokumen dikelompokkan dan disimpan dalam bentuk binder atau dibundel kemudian diberi

label dan disimpan dalam lemari yang terkunci.

2. Dokumen tersebut harus dijaga oleh manajemen terkait.

3. Dokumen tersebut harus mencantumkan siapa yang mengupdate terakhir kali, revisi yang

keberapa dan tanggal terakhir dibuat.

4. Jika dokumen tersebut digandakan, maka hasil penggandaannya harus ditandai

“UNCONTROLLED” artinya isinya sudah bukan menjadi tanggung jawab penyusun.

Page 55: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

108

Dokumen elektronik berupa file atau direktori, perlindungan terhadap file dan direktori pada suatu

sistem file sangat penting dalam menjaga kerahasiaan, ketersediaan dan keutuhan dari informasi yang

berada pada sistem.

Perlindungan yang berlebihan terhadap file atau direktori pada satu sistem file, meskipun dapat

menjaga kerahasiaan, ketersediaan dan keutuhannya namun menyebabkan system tersebut sulit

digunakan. Untuk hal itu perlu adanya keseimbangan antara aspek perlindungan sekuriti dan

kemudahan dalam pengoperasiannya.

Prosedur pengamanan untuk dokumen elektronik : 1. Dokumen yang disimpan secara elektronik hanya boleh diakses oleh authorized user.

2. Jika ada orang lain yang akan mengakses data tersebut maka pemilik data harus

mengamankannya dengan memberikan proteksi pada dokumen tersebut.

3. Data yang bersifat rahasia dan disimpan dalam suatu direktori tidak boleh dishare tanpa

password dan diberlakukan maximum allowed user (jumlah user maksimum yang mengakses

data dalam saat yang bersamaan).

4. Bila diperlukan untuk akses data, maka dapat diberlakukan pembatasan waktu akses (hanya

dalam jam kerja).

5. Terminal user harus dinon-aktifkan jika yang bersangkutan tidak ada ditempat.

6. Data rahasia disimpan dalam bentuk enkripsi file.

7. Pengiriman data yang sifatnya rahasia dari satu terminal ke terminal lain harus menggunakan

jaringan yang terpisah dari jaringan publik yaitu berupa jaringan tersendiri dan/atau

menggunakan perangkat lunak khusus. (misalnya dengan memanfaatkan fasilitas VPN-

Virtual Private Network).

8. Backup terhadap data diperlukan sesuai kebutuhan, jika data sudah dalam bentuk database

maka backup akan mengikuti prosedur pengamanan database, tetapi jika data tersebut ada di

sisi user maka user sendiri yang melakukan backup ke media lain (disket, ZIP Drive dan

sebagainya).

9. Prosedur restore dokumen elektronik harus mendapatkan ijin dari manajemen Unit Pengelola

Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.

10. Pemberian Data kepada pihak ketiga bisa dilaksanakan sesuai dengan yang diatur dalam

PKS serta dilengkapi dengan berita acara yang ditandatangani oleh yang menyerahkan, yang

menerima dan disetujui oleh pejabat yang ditunjuk berhak memberikan informasi.

11. Manajemen unit pengelola Sistem Informasi berhak menyetujui untuk menguji prosedur

pemberian data kepada pihak ketiga, jika prosedur pemberian data tersebut melanggar

sekuriti Sistem Informasi maka Manjemen berhak untuk mengajukan penolakan atau

mengeskalasi masalah ke manajemen di atasnya untuk diselesaikan.

Page 56: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

109

V ANTI VIRUS Perkembangan internet yang sedemikian cepat dan diiringi dengan pertumbuhan virus yang disebar

melalui jaringan internet oleh orang-orang yang tidak bertanggung jawab menyebabkan gangguan

pada operasional di lingkungan sistem informasi. Virus bagi sistem komputer merupakan ancaman

sekuriti yang sangat serius dan perlu selalu mendapatkan pengawasan. Tujuan utama penciptaan

virus adalah melakukan pengrusakan terhadap sistem komputer dan perangkat lunak aplikasi.

Untuk melindungi data, device atau peripheral lainnya yang tersimpan di terminal workstation maupun

yang ada di server, maka diperlukan pedoman pengaturan pengamanan sistem informasi dari

serangan virus. Kunci penyebab menyebarnya virus melalui akses jaringan yang ditimbulkan dari

unsur non teknis yaitu kesadaran user internal dalam mengamankan terminalnya masing-masing dan

kepatuhan dalam menjalankan prosedur serta pengrusakan oleh user eksternal melalui jaringan

global.

Prosedur Pengamanan Sistem Informasi dari Serangan Virus :

1. Penanggung jawab pengamanan sistem informasi di terminal user dari serangan virus adalah

masing-masing pemilik terminal, sehingga setiap user harus berusaha untuk menjaga

terminalnya dari serangan virus dengan melakukan pendeteksian terhadap segala informasi

yang di terima dari luar terminalnya (contoh informasi dari luar adalah e-mail, milis,

download/FTP dari Internet/Intranet, junk-mail, serta informasi yang diperolah melalui disket

dan media penyimpan data lainnya).

2. Setiap terminal user yang terintegrasi dalam suatu LAN harus memiliki Anti Virus dan

diaktifkan setiap terjadi interaksi dengan jaringan.

3. DIV TI menyediakan suatu sistem Anti Virus bagi terminal user yang terhubung ke jaringan di

server Anti Virus yang akan mengupdate secara otomatis ke terminal user dan diharapkan

dapat memproteksi sistem dari virus-virus baru yang sudah terdaftar di database Anti Virus.

4. Pengamanan terhadap terminal user selanjutnya tergantung kepada user yang bersangkutan

untuk mengaktifkan Anti Virus setiap terjadi interaksi dengan jaringan dan device lainnya.

5. Setiap Anti Virus mendeteksi adanya kegiatan virus di terminal maka user harus segera

mengusahakan pembersihan virus (cleaning), dan memastikan kembali bahwa data yang

diakses sudah bersih dari virus.

6. Jika user menemukan adanya varian virus baru yang tidak terdeteksi oleh sistem Anti Virus

yang disediakan server Anti Virus, user tersebut harus membatalkan transaksi yang

berlangsung dan informasi yang diterima tidak boleh diakses. Setelah itu user harus segera

melapor ke Help Desk untuk ditindak lanjuti.

Page 57: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

110

7. Install software sistem deteksi virus yang berfungsi untuk memfilter dan mengembalikan e-

mail yang mengandung virus sebelum sampai ke penerima. Sistem deteksi virus ini harus

selalu diupdate oleh penanggung jawab system anti virus (Unit Pelaksana Sistem Informasi).

Diagram alir dari proses pengamanan terhadap virus seperti diagram di bawah ini.

Diagram Alir Proses Pengamanan terhadap Virus

Spesifikasi minimum software anti virus :

1. Dapat diintegrasikan dengan paket Microsoft Office.

2. Dapat mendeteksi dan menangani virus e-mail secara dini (terintegrasi dengan aplikasi mail

client).

3. Mampu mendeteksi dan menangani virus yang menyebar melalui internet (download file).

4. Memiliki kemampuan updating data virus yang tersentralisasi.

5. Updating data virus dilakukan secara reguler dan mampu mengatasi laju perkembangan virus

komputer dewasa ini.

6. Seluruh Personal Computer dengan software antivirus yang sudah terinstalasi dijamin

memiliki data virus terdini.

Page 58: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

111

Alur proses updating anti virus :

1. Server Software Anti Virus dan sistem deteksi virus (yang diinstall pada Windows NT server)

mendapat update langsung dari vendor software bersangkutan melalui internet (biasanya

rutin setiap minggu atau apabila ditemukan varian virus baru yang berbahaya)

2. Client Software Anti Virus (yang diinstall pada Personal Computer) mendapatkan data virus

terbaru pada saat logon ke jaringan.

VI AKSES JARINGAN

Dalam sekuriti Sistem Informasi, akses terhadap sistem komputer melalui jaringan komputer baik itu

melalui LAN ataupun WAN diperlukan adanya suatu pengaturan khusus. Hal ini dilakukan untuk

memberikan perlindungan keamanan terhadap informasi yang terkandung di dalamnya. Sistem

keamanan jaringan komputer menjadi sangat penting jika akses jaringan tersebut sudah memasuki

jaringan komputer global (internet) yang berarti membuka jalan terhadap kemungkinan pihak-pihak di

luar sistem untuk dapat akses ke sistem komputer. Akses terbuka ini akan membuat kondisi sistem

yang lebih rawan terhadap ancamandan/atau gangguan.

Untuk menghindari ancaman atau hal-hal yang tidak diharapkan tersebut, maka perlu

dilakukan antisipasi dengan memperketat sistem sekuriti terhadap akses jaringan melalui penggunaan

perangkat sekuriti (security tools).

Untuk control akses jaringan internal (intranet), seluruh perangkat jaringan seperti router, switch, hub

dan lain-lain harus diatur dan dikendalikan oleh Manager Sekuriti. Perangkat tersebut harus

mengaktifkan kontrol akses untuk merekam dan memantau setiap aktifitas sehingga dapat

dipergunakan sebagai informasi untuk keperluan auditing. Tidak ada perangkat jaringan yang

terhubung ke jaringan baik LAN maupun WAN, tanpa persetujuan Manager Sekuriti terlebih dahulu.

Sedangkan untuk menjaga keamanan jaringan internal dari akses jaringan eksternal (internet), maka

seluruh akses ekternal harus dikendalikan dengan mengunakan filtering trafik. Konsep keamanan yang

paling umum digunakan untuk melindungi jaringan dari akses-akses luar yang tidak dikehendaki yaitu

dengan menggunakan firewall. Seluruh akses jaringan eksternal ke jaringan internal harus melalui

firewall. Disini harus dibuat adanya access list atau filtering untuk incoming dan outgoing packet dari

dan untuk tujuan-tujuan (destinations) yang spesifik atau penyediaan fitur NAT (Network Address

Translation). Fasiltas filtering yaitu filtering IP Address dan filtering protocol.

Page 59: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

112

Dengan diterapkan firewall ini yang ditempatkan antara jaringan intranet dengan jaringan internet,

diharapkan akan mencegah atau menghambat kemungkinan-kemungkinan pengrusakan sistem

komputer oleh pihak-pihak yang tidak bertanggungjawab.

6.1 Pengamanan akses pada server

Salah satu pengamanan terhadap akses Sistem informasi adalah dengan melakukan proteksi pada

Sistem Komputer yang ada, khususnya pada servis-servis yang terdapat di perangkat server. Servis ini

merupakan bagian dari Operating System yang dijalankan pada server tersebut.

Akan tetapi servis tersebut akan tetap dijalankan, walaupun tidak semuannya akan dipergunakan

karena merupakan standard dari Operating System. Untuk keamanan sistem informasi tersebut, maka

sebaiknya servis-servis ditutup jika memang tidak dipergunakan atau diperlukan.

Pada sistem protokol yang mempergunakan TCP/IP, servis-servis yang dimaksud adalah port yaitu

alamat tempat dari servis atau aplikasi dijalankan, yang terdiri atas :

Servis atau aplikasi Port

File Transfer Protocol (FTP)

21

Telnet

23

Simple Mail Transfer Protocol (SMTP)

25

Gopher 70

Finger 79

Hypertext Transfer Protocol (HTTP) 80

POP3 110

Network News Transfer Protocol (NNTP) 119

Prosedur

1. Pastikan fungsi-fungsi yang dibutuhkan atau yang akan dipergunakan pada server tersebut.

2. Tutup servis-servis atau port-port yang tidak dibutuhkan.

Page 60: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

113

3. Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu

servis yang masih aktif.

4. Aktifkan kembali servis baru tersebut.

Beberapa tools yang juga sering dipergunakan sebagai sistem proteksi pada server adalah dengan

TCP_Wrappers pada platform UNIX based, NetGate pada platform SPARC System, Internet Packet

Filter pada platform SunOS, Argus pada platform SunOS, Solaris dan SGI IRIX serta NOCOL pada

Platform Apple Talk Netware.

6.2 Router dan Switch Hub Router yang merupakan salah satu perangkat yang bekerja pada Network Layer dalam suatu jaringan

yang berfungsi sebagai pengatur rute yang optimal untuk melewatkan trafik. Router melewatkan paket-

paket data dan akses dari satu network ke network yang lainya dan membuat koneksi antar network

sebagai pintu gerbangnya , baik dari jaringan internal maupun jaringan eksternal. Pengaturan lalu-

lintas ini akan disesuaikan dengan table-routing yang diinginkan .

Sistem sekuriti pada router merupakan pengamanan awal dalam suatu jaringan internal, dimana harus

diketahui fungsi port yang dipergunakan di dalam router tersebut. Umumnya router memiliki 2 jenis

port, yaitu serial port dan ethernet port. Serial port digunakan point to point connection antar router dan

ethernet port digunakan untuk koneksi LAN.

Prosedur yang harus dilakukan dalam pengamanan akses pada router yaitu:

1. Membuat akses username dan password bagi administrator router yang diberikan hanya

kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.

2. Membuat Control access-list, yang terdiri dari :

a. IP Address yang akan digunakan oleh aplikasi tersebut.

b. IP Address user yang mengakses aplikasi tersebut.

c. IP Address user yang dimiliki oleh Mitra (didaftarkan di IP Filtering). d. Mengatur /mengarahkan jalur trafic.

3. Mengaktifkan encryption key pada administrator password router baik pada akses console

maupun akses telnet.

4. Membuat back up file konfigurasi, file security dan disimpan di tempat khusus. 5. Membatasi akses ke router hanya dari terminal / address tertentu.

6. Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.

7. Menentukan dan merahasiakan SNMP server community Read /Write pada system administrasi network.

8. Membatasi akses ke jaringan NMS hanya dari yang berhak.

Page 61: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

114

Switch Hub adalah perangkat LAN yang bekerja pada DataLink Layer yang berfungsi untuk menyaring

(filter), meneruskan (forward) dan mengalirkan (floods) setiap frame yang diterima ke tujuan masing-

masing , switch hub juga merupakan titik awal tersambungnya suatu terminal pada segment LAN.

Prosedur yang harus dilakukan dalam pengamanan akses pada Switch Hub yaitu:

1. Membuat akses username dan password bagi administrator switch hub yang diberikan hanya

kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.

2. Membua Virtual Local Area Network, yang terdiri dari :

a. Mengalokasikan port-port pada Hub tertuju pada segment IP tertentu .

b. Mengatur IP user pada segment tertentu.

3. Mengaktifkan encryption key pada administrator password Switch Hub baik pada akses

console maupun akses telnet.

4. Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.

5. Membuat back up file konfigurasi, file security dan disimpan di tempat khusus.

6. Menentukan dan merahasiakan SNMP server community Read /Write pada system

administrasi network.

6.3 Firewall

Firewall merupakan suatu instrumen utama yang dipergunakan untuk mengimplementasikan kebijakan

sistem keamanan jaringan komputer. Pada umumnya firewall diletakkan di antara jaringan internal

perusahaan (intranet) dengan jaringan eksternal (internet), firewall bertindak sebagai titik yang

digunakan untuk memonitor dan menolak lalu lintas jaringan pada tingkat aplikasi, sehingga dalam hal

ini firewall bertindak sebagai filter untuk menyaring akses dari eksternal terhadap informasi-informasi

dari internal perusahaan. Pada sistem security jaringan komputer PT. X dilakukan dengan

menggunakan sistem firewall berlapis baik di jaringan internal (intranet) yang mempunyai akses

kepada pelayanan pelanggan (seperti System Online Payment Point) maupun di jaringan eksternal

(internet).

Firewall dibangun untuk mencegah pengrusakan sistem informasi dari user eksternal yang memiliki

pengetahuan sistem security jaringan komputer dengan berbagai cara. Mekanisme yang umum

digunakan saat ini adalah menggunakan filter router, computer gateway, dan jaringan terisolasi (Virtual

Private Network).

Prosedur Interkoneksi jaringan eksternal yang tersambung ke jaringan internal tidak direkomendasikan tanpa

firewall. Pengoperasian firewall menjadi tanggung jawab administrator jaringan Intranet atau Internet

oleh masing-masing Unit yang mengelola jaringan Sistem Informasi yang terhubung dengan global

Internet. Prosedurnya sebagai berikut :

Page 62: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

115

1. Pastikan fungsi-fungsi atau servis-servis yang dibutuhkan atau yang akan dipergunakan

suatu aplikasi.

2. Pastikan waktu yang diperkenankan untuk mengakses data sistem informasi (opsional).

3. Membuka service / port-port yang dibutuhkan pada rule / aturan di firewall.

4. Pastikan IP Address internal yang akan digunakan pada suatu aplikasi daaan alokasi address

external jika aplikasi tersebut akan dipublikasikan ke internet.

5. Pastikan IP Address user yang diperkenankan mengakses suatu aplikasi.

6. Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu

servis yang masih aktif.

7. Aktifkan kembali servis baru tersebut.

8. Backup konfigurasi firewall.

6.4 Proxy

Secara teknis sistem sekuriti dengan menggunakan proxy merupakan suatu aplikasi yang berada di

antara firewall yang dapat melihat dua sisi jaringan, jaringan intranet dan jaringan internet.

Fungsi utama proxy ini hanyalah sebagai pengantar penyediaan pelayanan termasuk FTP, HTTP,

DNS dan SMTP. Proxy akan menangkap semua hubungan-hubungan untuk setiap internet protocol

dan melakukan pemeriksaan sekuriti pada berbagai layer dalam suatu protokol. Aplikasi proxy akan

melakukan beberapa tingkat pemeriksaan setiap isi dari paket-paket data yang dilewatkan. Akan

tetapi, karena proses ini akan memakai CPU yang cukup intensif, maka tingkat analisanya agar

dibatasi dan tidak dilakukan secara keseluruhan pada hubungan yang dienkripsi seperti Secure Socket

Layer (SSL)

Permintaan untuk pelayanan dari luar yang berasal dari suatu organisasi seperti web browser yang

menunjuk pada remote URL, ditangani oleh pelayanan proxy HTTP dan dituntun oleh basis operasi

firewall untuk akses ke dalam internet. Sebaliknya, trafik dari internet yang masuk ke dalam organisasi,

seperti e-mail, ditangkap oleh pelayanan proxy SMTP dan dituntun oleh basis operasi firewall untuk di

akses ke dalam intranet.

Prosedur

1. Harus mengetahui sifat dari aplikasi yang akan didaftar di proxy server tersebut.

2. Aplikasi tidak diperkenankan bersinggungan dengan internet, agar tidak didaftar di proxy

server

3. Setiap aplikasi yang berbasis web dan terhubung dengan internet harus terdaftar di proxy

server

4. Penamaan proxy harus mengikuti standar dari DIVMEDIA

6.5 Remote Akses

Page 63: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

116

Adakalanya user-user tertentu memerlukan akses ke jaringan Sistem Informasi saat berada di luar

jaringan internal atau suatu tempat yang tidak memiliki jaringan internal. Untuk memenuhi kebutuhan

tersebut, maka user akan mempergunakan fasilitas Remote Access Service (RAS) melalui akses

jaringan PSTN Sistem keamanan pada RAS ini harus terjamin dan telah mendapat pertujuan dari

kepala unit pengelola Sistem Informasi. Misalnya saja penempatan segmen jaringan perangkat RAS

yang harus terpisah dari segmen jaringan perangkat informasi yang ada. Ini berguna agar adanya

suatu filtering dalam mengakses jaringan internal yang ada.

Prosedur

1. Akses remote ke jaringan internal diberikan hanya kepada pegawai PT. X dan digunakan

untuk kebutuhan pengendalian operasional dan akses tingkat manajemen PT. X.

2. Untuk akses remote oleh pihak ketiga diberikan setelah mendapat ijin dari Ka Unit atau

pejabat pengelola Sistem Informasi serta mendapat persetujuan dari pemilik data.

3. Akses remote pihak ketiga tersebut harus melalui IP Filtering.

4. Pada perangkat Sistem Informasi yang dapat diakses secara remote, harus memiliki user

access-list yang memakai fasilitas tersebut.

5. Pada perangkat jaringan internal harus memiliki Control access-list yang memuat perangkat-

perangkat sistem informasi yang dapat diakses secara remote.

6. Harus dilakukan validasi keabsahan setiap user yang akses secara remote, baik itu pada

perangkat jaringan internal maupun eksternal.

6.6 Desktop Management

Merupakan suatu sistem yang dapat melakukan fungsi monitoring client, meliputi :

1. Penetapan pemakaian IP address bagi user

2. Trouble shooting gangguan Conflict IP.

3. Monitoring Asset Management client baik hardware maupun software.

4. Remote install software client seperti antivirus dan software aplikasi yang disepakati menjadi

kebutuhan user.

5. Penerapan DHCP Server pada tiap segment LAN.

Desktop management ini merupakan kebutuhan sistem security jaringan yang harus dijalankan oleh

user client dengan memenuhi ketentuan-ketentuan yang benar.

Prosedur

Untuk kelancaran operasional Desktop management perlu pengaturan prosedur baik di tingkat

administrator desktop management maupun di tingkat user /client, yaitu :

1. Tingkat administrator :

Page 64: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

117

a. Memberikan tingkat priviledge bagi para administrator desktop untuk melakukan

fungsi desktop management. Priviledge tertinggi diberikan kepada administrator

pusat yang memiliki kemampuan akses dan eksekusi sampai ke seluruh area dan

priviledge kedua diberikan kepada administrator SISFO Area yang hanya mampu

mengakses dan mengeksekusi untuk area lokal.

b. Melakukan instalasi software client Desktop Management di masing-masing

perangkat yang akan di monitor.

c. Mengatur wewenang user dalam melakukan perubahan konfigurasi baik software

maupun hardware di komputer masing-masing user (desktop management).

d. Mengaktifkan dan menon-aktifkan login user pada client.

2. Tingkat user :

a. Setiap melakukan perubahan konfigurasi baik software maupun hardware harus

dikonfirmasikan terlebih dahulu dengan administrator Desktop Management.

b. User harus mengaktifkan fungsi-fungsi pengamanan standar yang ada di masing-

masing PC yang dipakainya seperti :

i. Mengaktifkan Power-On-Password

ii. Mengaktifkan screen saver dengan password

Page 65: BAB IV IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN …digilib.itb.ac.id/files/disk1/638/jbptitbpp-gdl-rokhmanfau-31899-5... · Pada penelitian tugas akhir ini analisis risiko METODE OCTAVE-S

118

Peningkatan Security Awareness

Sebagaimana telah disebutkan di bagian sebelumnya, penyusunan dokumen

kebijakan dan prosedur serta security awareness menjadi prioritas awal dalam

implementasi Sistem Manajemen Keamanan Informasi PT.X. Berikut ini

rekomendasi praktis tahapan peningkatan security awareness manajemen dan

karyawan PT.X:

1. Manajemen menentukan aspek apa saja yang harus dilindungi keamanannya.

2. Pembuatan rencana program berisi alternatif-alternatif solusi keamanan yang

berhubungan dengan personel.

3. Implementasi program pada durasi waktu tertentu.

4. Mengevaluasi keberjalanan program dan hasilnya.