Rancangan Peraturan MenteriPerangkat Lunak Sistem

Elektronik

DR. Hasyim Gautama, CISM, ISMS-LA

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi

InformatikaBPRTIK, 13 Agustus 2015

Landasan Hukum

Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) pada Pasal 7: Perangkat Lunak(1) Perangkat Lunak yang digunakan oleh

Penyelenggara Sistem Elektronik untuk pelayanan publik wajib:a. terdaftar pada kementerian yang

menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika;

b. terjamin keamanan dan keandalan operasi sebagaimana mestinya; dan

c. sesuai dengan ketentuan peraturan perundang- undangan.

(2) Ketentuan lebih lanjut mengenai persyaratan Perangkat Lunak sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Menteri.

Asas dan Ruang Lingkup [1/2]

Penerapan Perangkat Lunak Sistem Elektronik terhadap Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas risiko.

Ruang lingkup Perangkat Lunak Sistem Elektronik mencakup semua kode yang dikembangkan atau dimodifikasi dalam rangka untuk menciptakan perangkat lunak.

Daftar Isi RPM

Bab I : Ketentuan Umum Bab II : Asas dan Ruang Lingkup Bab III : Persyaratan Bab IV : Sistem Elektronik Bab V : Penerapan Persyaratan Perangkat

Lunak Sistem Elektronik Bab VI : Audit Bab VII : Tata Cara Audit Bab VIII : Periode Audit Bab IX : Pengawasan Bab X : Sanksi Bab XI : Ketentuan Peralihan Bab XII : Ketentuan Penutup

Asas dan Ruang Lingkup [2/2]

Persyaratan Perangkat Lunak Sistem Elektronik terbagi 2 (dua) meliputi:

Persyaratan Administrasi; dan Persyaratan Teknis.

Persyaratan Administrasi

1. Pengembang;2. Nama perangkat lunak;3. Versi;4. Jenis layanan;5. Rentang jumlah pemakai;6. Siklus hidup produk perangkat lunak yang meliputi:

masa ketersediaan di pasaran (General Availability), Pemberitahuan masa berakhirnya produk (End of Life Announcement), masa terakhir pemesanan (Last Order Date), masa berakhirnya produk (End of Life), masa dukungan layanan pemeliharaan (Maintenance Support), dan masa berakhirnya dukungan (End of Support)

7. Berbasis web atau desktop; dan8. Sistem Operasi yang didukung.

Persyaratan Teknis

Persyaratan Teknis dalam Peraturan Menteri ini mengacu pada standar The Open Web Application Security Project (OWASP) Application Security Verification Standard (ASVS)

Mencakup 13 area persyaratan dengan total 168 persyaratan

Area Persyaratan Teknis

1. Otentikasi2. Manajemen Sesi3. Kontrol Akses4. Validasi Input5. Kriptografi pada

Verifikasi Statis6. Penanganan

Error dan Pencatatan Log

7. Proteksi Data8. Keamanan

Komunikasi9. Keamanan HTTP10.Kontrol Kode

Berbahaya11.Logic Bisnis12.Berkas dan Sumber

Daya13.Aplikasi Mobile

Level Persyaratan Teknis

Level 3

Level 2

Level 1

168 persyaratan

49 persyaratan

118 persyaratan

Contoh Persyaratan Teknis

Sistem Elektronik berdasarkan asas Risiko dalam RPM Sistem Manajemen Pengamanan Informasi terbagi menjadi:

SE Strategis

SE Tinggi

SE Rendah

Kategorisasi Sistem Elektronik

Kewajiban PSE

Penyelenggara Sistem Elektronik wajib melakukan pendaftaran dengan menyerahkan kelengkapan Persyaratan Administrasi Perangkat Lunak

Penyelenggara Sistem Elektronik wajib menggunakan Perangkat Lunak yang level Persyaratan Teknisnya sesuai dengan risiko Sistem Elektronik

Kewajiban ini merupakan bagian dari sertifikasi Sistem Manajemen

Pengamanan Informasi

Kesesuaian Persyaratan

Level 3

Level 2

Level 1

SE Strategis

SE Tinggi

SE Rendah

Kategorisasi SE Level Persyaratan PL

Audit

Setiap Perangkat lunak yang digunakan untuk Pelayanan Publik harus menjalani proses audit

Audit dilakukan oleh Auditor Perangkat Lunak yang ditetapkan oleh Menteri

Menteri menetapkan daftar Auditor Perangkat Lunak

Ketentuan lebih lanjut mengenai Penetapan Auditor Perangkat Lunak diatur dengan Peraturan Menteri.

Tata Cara Audit [1/2]

Auditor melakukan audit Perangkat Lunak terhadap Persyaratan Teknis

Auditor Perangkat Lunak harus menyerahkan hasil audit kepada Menteri

Berdasarkan hasil audit sebagaimana dimaksud pada ayat (2), Menteri c.q. Direktur Jenderal menetapkan level Persyaratan Teknis Perangkat Lunak.

Tata Cara Audit [2/2]

Penetapan Level Persyaratan Teknis Perangkat Lunak sebagaimana dimaksud pada ayat (3) paling lambat 14 (empat belas) hari kerja setelah hasil audit dinyatakan lengkap

Menteri c.q. Direktur Jenderal menyusun daftar Hasil Penetapan Level Persyaratan Teknis Perangkat Lunak (“Trusted List”)

Pengawasan Menteri melakukan pengawasan

terhadap Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik

Pengawasan dilakukan secara berkala 1 (satu) tahun sekali atau sewaktu-waktu melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.

Ketentuan mengenai pengawasan atas penyelenggaraan Sistem Elektronik dalam sektor tertentu wajib dibuat oleh Instansi Pengawas dan Pengatur Sektor terkait setelah berkoordinasi dengan Menteri.

Sanksi

Sanksi administratif pada RPM ini dapat berupa: teguran tertulis dikeluarkan dari “Trusted List”

Dapat juga mengakibatkan dicabutnya sertifikasi Sistem Manajemen Pengamanan Informasi (SMPI) yang dimiliki oleh Penyelenggara Sistem Elektronik

Terima Kasih