diskusi publik rpm perangkat lunak sistem elektronik_dr hasyim gautama
TRANSCRIPT
Rancangan Peraturan MenteriPerangkat Lunak Sistem
Elektronik
DR. Hasyim Gautama, CISM, ISMS-LA
Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi
InformatikaBPRTIK, 13 Agustus 2015
Landasan Hukum
Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) pada Pasal 7: Perangkat Lunak(1) Perangkat Lunak yang digunakan oleh
Penyelenggara Sistem Elektronik untuk pelayanan publik wajib:a. terdaftar pada kementerian yang
menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika;
b. terjamin keamanan dan keandalan operasi sebagaimana mestinya; dan
c. sesuai dengan ketentuan peraturan perundang- undangan.
(2) Ketentuan lebih lanjut mengenai persyaratan Perangkat Lunak sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Menteri.
Asas dan Ruang Lingkup [1/2]
Penerapan Perangkat Lunak Sistem Elektronik terhadap Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas risiko.
Ruang lingkup Perangkat Lunak Sistem Elektronik mencakup semua kode yang dikembangkan atau dimodifikasi dalam rangka untuk menciptakan perangkat lunak.
Daftar Isi RPM
Bab I : Ketentuan Umum Bab II : Asas dan Ruang Lingkup Bab III : Persyaratan Bab IV : Sistem Elektronik Bab V : Penerapan Persyaratan Perangkat
Lunak Sistem Elektronik Bab VI : Audit Bab VII : Tata Cara Audit Bab VIII : Periode Audit Bab IX : Pengawasan Bab X : Sanksi Bab XI : Ketentuan Peralihan Bab XII : Ketentuan Penutup
Asas dan Ruang Lingkup [2/2]
Persyaratan Perangkat Lunak Sistem Elektronik terbagi 2 (dua) meliputi:
Persyaratan Administrasi; dan Persyaratan Teknis.
Persyaratan Administrasi
1. Pengembang;2. Nama perangkat lunak;3. Versi;4. Jenis layanan;5. Rentang jumlah pemakai;6. Siklus hidup produk perangkat lunak yang meliputi:
masa ketersediaan di pasaran (General Availability), Pemberitahuan masa berakhirnya produk (End of Life Announcement), masa terakhir pemesanan (Last Order Date), masa berakhirnya produk (End of Life), masa dukungan layanan pemeliharaan (Maintenance Support), dan masa berakhirnya dukungan (End of Support)
7. Berbasis web atau desktop; dan8. Sistem Operasi yang didukung.
Persyaratan Teknis
Persyaratan Teknis dalam Peraturan Menteri ini mengacu pada standar The Open Web Application Security Project (OWASP) Application Security Verification Standard (ASVS)
Mencakup 13 area persyaratan dengan total 168 persyaratan
Area Persyaratan Teknis
1. Otentikasi2. Manajemen Sesi3. Kontrol Akses4. Validasi Input5. Kriptografi pada
Verifikasi Statis6. Penanganan
Error dan Pencatatan Log
7. Proteksi Data8. Keamanan
Komunikasi9. Keamanan HTTP10.Kontrol Kode
Berbahaya11.Logic Bisnis12.Berkas dan Sumber
Daya13.Aplikasi Mobile
Level Persyaratan Teknis
Level 3
Level 2
Level 1
168 persyaratan
49 persyaratan
118 persyaratan
Contoh Persyaratan Teknis
Sistem Elektronik berdasarkan asas Risiko dalam RPM Sistem Manajemen Pengamanan Informasi terbagi menjadi:
SE Strategis
SE Tinggi
SE Rendah
Kategorisasi Sistem Elektronik
Kewajiban PSE
Penyelenggara Sistem Elektronik wajib melakukan pendaftaran dengan menyerahkan kelengkapan Persyaratan Administrasi Perangkat Lunak
Penyelenggara Sistem Elektronik wajib menggunakan Perangkat Lunak yang level Persyaratan Teknisnya sesuai dengan risiko Sistem Elektronik
Kewajiban ini merupakan bagian dari sertifikasi Sistem Manajemen
Pengamanan Informasi
Kesesuaian Persyaratan
Level 3
Level 2
Level 1
SE Strategis
SE Tinggi
SE Rendah
Kategorisasi SE Level Persyaratan PL
Audit
Setiap Perangkat lunak yang digunakan untuk Pelayanan Publik harus menjalani proses audit
Audit dilakukan oleh Auditor Perangkat Lunak yang ditetapkan oleh Menteri
Menteri menetapkan daftar Auditor Perangkat Lunak
Ketentuan lebih lanjut mengenai Penetapan Auditor Perangkat Lunak diatur dengan Peraturan Menteri.
Tata Cara Audit [1/2]
Auditor melakukan audit Perangkat Lunak terhadap Persyaratan Teknis
Auditor Perangkat Lunak harus menyerahkan hasil audit kepada Menteri
Berdasarkan hasil audit sebagaimana dimaksud pada ayat (2), Menteri c.q. Direktur Jenderal menetapkan level Persyaratan Teknis Perangkat Lunak.
Tata Cara Audit [2/2]
Penetapan Level Persyaratan Teknis Perangkat Lunak sebagaimana dimaksud pada ayat (3) paling lambat 14 (empat belas) hari kerja setelah hasil audit dinyatakan lengkap
Menteri c.q. Direktur Jenderal menyusun daftar Hasil Penetapan Level Persyaratan Teknis Perangkat Lunak (“Trusted List”)
Pengawasan Menteri melakukan pengawasan
terhadap Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik
Pengawasan dilakukan secara berkala 1 (satu) tahun sekali atau sewaktu-waktu melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.
Ketentuan mengenai pengawasan atas penyelenggaraan Sistem Elektronik dalam sektor tertentu wajib dibuat oleh Instansi Pengawas dan Pengatur Sektor terkait setelah berkoordinasi dengan Menteri.
Sanksi
Sanksi administratif pada RPM ini dapat berupa: teguran tertulis dikeluarkan dari “Trusted List”
Dapat juga mengakibatkan dicabutnya sertifikasi Sistem Manajemen Pengamanan Informasi (SMPI) yang dimiliki oleh Penyelenggara Sistem Elektronik
Terima Kasih