COMPANYLOGO

DUKUNGAN KEBIJAKAN SISTEM ELEKTRONIK PENERBITAN

SURAT REGISTRASI DOKTER

Aidil ChendramataDirektur Keamanan Informasi

24 April 2018

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Sumber: Survey 2017, APJII

COMPANYLOGO

Peningkatan Ancaman

Source: IDSIRTII

COMPANYLOGO

1. Undang-undang No. 19 tahun 2016 revisi UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)

2. Undang-undang No.14 tahun 2008 tentang keterbukaan Informasi Publik

3. Peraturan Pemerintah RI No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik

4. Peraturan Pemerintah RI No. 61 Tahun 2010 Tentang Pelaksanaan UU no 14 Tahun 2008 Tentang Keterbukaan Informasi Publik.

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

COMPANYLOGO

PeraturanMenteri

Undang-undang No.19/2016, revisi undang ITE No. 11/2008

UU No. 19/2016pasal 15 (1):

Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik (SE) secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik.

pasal 15 (2): PSE bertanggung jawab terhadap Penyelenggaraan Sistem Elektroniknya.

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

pasal 16 (1):a. menampilkan kembali IE/DE secara utuhb. melindungi ketersediaan, keutuhan,

keotentikan, kerahasiaan & keteraksesan

c. beroperasi sesuai prosedurd. dilengkapi dengan petunjuk penggunaan yg

dapat dipahamie. mekanisme berkelanjutan utk menjaga

pembaruan/petunjuk, kejelasan dan kebrtanggungjawaban.

Peraturan PemerintahPenyelengaraan Sistem dan

Transaksi Elektronik No. 82 Tahun 2012

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Penyelenggaraan Sistem Elektronik (PSE) secara aman dan andal meliputi pengaturan,:

a.Pendaftaran

b.Perangkat keras

c.Perangkat lunak

d.Tenaga ahli

e.Tata Kelola

f.Sistem Manajemen Pengamanan Informasi

g.Sertifikasi Kelaikan Sistem Elektronik

05/24/11

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan,menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.

Peraturan Menteri Tata Cara Pendaftaran

Sistem ElektronikNo. 36 tahun 2014

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Pasal 3Penyelenggara Sistem Elektronik (PSE) untuk Pelayanan Publik wajib melakukan pendaftaran

Pasal 5PSE yang wajib melakukan pendaftaran, yang memiliki:a. Portal, situs atau aplikasi online melalui internet yang dipergunakan untuk fasilitasi penawaran dan/atau perdagangan barang dan/atau jasa;b. SE yang didalamnya terdapat fasilitas pembayaran dan/atau transaksi keuangan lainnya secara online melalui jaringan komunikasi data atau internet;c. SE yang dipergunakan untuk pemrosesan informasi elektronik yang mengandung atau membutuhkan deposit dana;d. SE yang digunakan untuk pemrosesan, pengolahan, atau penyimpanan data yang terkait fasilitas yang berhubungan dengan data pelanggan untuk kegiatan operasional melayani masyarakat yang terkait dengan aktifitas transaksi keuangan dan perdagangan;e. SE yang dipergunakan untuk pengiriman materi digital berbayar melalui jaringan data baik dengan cara download melalui portal/situs, pengiriman lewat e-mail, atau melalui aplikasi lain ke perangkat pengguna.

PENDAFTARAN SISTEM ELEKTRONIK

Perangkat Keras

1. Memenuhi aspek interkoneksi dan kompatilibiltas2. Memperoleh sertifikasi kelaikan dari Menteri3. Mempunyai layanan dukungan teknis,

pemeliharaan dan purnajual4. Memiliki referensi pendukung bahwa perangkat

keras tersebut berfungsi sesuai dengan spesifikasinya

5. Memiliki jaminan ketersediaan suku cadangnya paling sedikit 3 tahun

6. Memiliki jaminan kejelasan mengenai kondisi kebaruan

7. Memiliki jaminan bebas dari cacat produk

Perangkat Lunak

1. Perangkat Lunak untuk PSE pelayanan publik wajib terdaftar di Kominfo

2. Wajib menyerahkan kode sumber pada instansi pemerintah (PL yang khusus dibuat utk instansi)

3. Bila kepentingan hukum menghendaki, dapat dilakukan pemeriksaan kode sumber PL

4. Ketentuan lebih lanjut diatur dalam Peraturan Menteri.

Tata Kelola PSE Pelayanan Publik

• Wajib menerapkan tata kelola yang baik dan akuntabel

• Wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan

• Wajib menggunakan Sertifikat Elektronik dan/atau Sertifikat Keandalan (pasal 41)

• Wajib menempatkan Pusat Data dan Pusat pemulihan Bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warganegaranya

• Instansi Pengawas dan Pengatur Sektor mengatur lebih lanjut mengenai Pusat Data dan Pusat Pemulihan Bencana serta tata kelola PSE di sektornya.

Pengamanan Sistem Elektronik(Permen No. 4 tahun 2016)

PSE Wajib:•Menyediakan rekam jejak audit untuk seluruh kegiatan PSE•Melakukan pengamanan terhadap komponen PSE•Memiliki & menjalankan prosedur pengamanan SE utk menhindari gangguan, kegagalan dan kerugian•Menyediakan sistem pengamanan mencakup prosedur & sistem pencegahan serta penanggulangan thdp ancaman•Jika terjadi kegagalan/gangguan SE yang berdampak serius, PSE wajib mengamankan data & segera lapor ke APH/Instansi Pengawas dan Pengatur sektor.

Peraturan Menteri Sistem Manajemen Pengamanan Informasi

No. 4 tahun 2016

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Asas dan Ruang Lingkup

Ruang Lingkup:PSE untuk Pelayanan

Publik

Asas: Risiko

PSE Pelayanan Publik:1. Instansi Pemerintah2. Instansi Swasta

Kategorisasi Sistem Elektronik

No Sistem Elektronik Penetap Kategori

1 Strategis Menteri + Rekomendasi IPPS

2 Tinggi Menteri

3 Rendah Menteri

Kategorisasi SE berdasarkan 10 kriteria

Kategorisasi Sistem Elektronik

Kriteria Kategorisasi Sistem Elektronik

Karakteristik SE A = 5 B = 2 C = 1

1. Nilai Investasi > 30 M 3M < B < 30 M C < 3 M

2. Total anggaran Operasional > 10 M 1M < B < 10 M C < 1 M

3. Kewajiban peraturan atau standar tertentu

Standar Internasional + Nasional

Standar Nasional Tidak ada

4. Penggunaan Algoritma khusus

Algoritma khusus Algoritma Standar Tidak ada

5. Jml Pemilik Akun A > 5.000 1.000 < B < 5.000 C < 1.000

6. Pengelolaan Data Pribadi (DP)

DP memiliki hubngn dgn DP lainnya

DP individu Tidak ada DP

7. Klasifikasi Kekritisan Data Sangat Rahasia Rahasia / terbatas Biasa

8. Tingkat Kekritisan Proses Berdampak langsung pada layanan publik

Berdampak tidak lsg layanan publik

Tidak berdampak

9. Dampak Kegagalan Layanan publik skala nasional dan membahayakan pertahanan negara

Layanan publik skala propinsi

Skala Kabupaten/Kota

10. Potensi Kerugian atau dampak negatif Insiden

Menimbulkan korban jiwa

Kerugian Finansial Tidak ada Kerugian

Contoh Kategorisasi Sistem ElektronikContoh

Penerapan Kategorisasi

Standar Manajemen PengamananStandar Manajemen Pengamanan

Contoh Evaluasi Teknologi Keamanan Informasi

Hasil Evaluasi Kelengkapan dan Kematangan

Standar Manajemen Pengamanan Informasi untuk semua kategori Sistem Elektronik:

• Pusat data dan pusat pemulihan bencana harus ditempatkan di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warga negaranya

Penempatan Pusat Data & Pemulihan

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

• Dalam penerapan Sistem Manajemen Pengamanan Informasi Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli Internal dan/atau Eksternal

• Dalam hal penerapan pada Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia

Tenaga Ahli

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

Lembaga Sertifikasi

Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri

Sertifikasi

Peraturan Menteri

Perlindungan Data Pribadidalam Sistem ELektronik

No. 20 tahun 2016

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

PP PSTE No. 82/2012, pasal (15)1. Penyelenggara Sistem Elektronik wajib: a. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya; b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut.

UU No. 19/2016, pasal 26:1.Penggunaan setiap informasi di media elektronik yang menyangkut data pribadi harus dengan persetujuan Orang yang bersangkutan.

2. Setiap Orang yang dilanggar haknya dapat mengajukan gugatan atas kerugian yang ditimbulkan;

Perlindungan Data Pribadi (1)

Permen No. 20/2016, pasal (1)1.Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

2. Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yg melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.

PP PSTE No. 82/2012, pasal 15:2. Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.

(3) Ketentuan lebih lanjut mengenai pedoman Perlindungan Data Pribadi pd ayat 2 diatur dalam Peraturan Menteri.

Perlindungan Data Pribadi (2)

Permen No. 20/2016, pasal 3;Perlindungan Data Pribadi dalam SE dilakukan pada proses: a. perolehan dan pengumpulan; b. pengolahan dan penganalisisan; c. penyimpanan; d. penampilan, pengumuman, pengiriman, penyebar- luasan, dan/atau pembukaan akses; dan e. pemusnahan.

Permen No. 20/2016;- pasal 9 (1) Perolehan Data Pribadi wajib berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.

- pasal 15 (2) Data Pribadi yang disimpan dalam Sistem Elektronik harus dalam bentuk data terenkripsi.

- Pasal 15 (3) Data Pribadi disimpan dalam jangka waktu sesuai peraturan perundangan IPPS

- Pasal 15 (3) Data Pribadi disimpan paling singkat 5 tahun, jika belum diatur dalam peraturan perundangan khusus.

Perlindungan Data Pribadi (3)

Kewajiban Penyelenggara Sistem Elektronik (PSE)

pasal 28;a. melakukan sertifikasi Sistem Elektronik sesuai dengan ketentuan peraturan perundang-undangan; b. menjaga kebenaran, keabsahan, kerahasiaan, dan relevansi serta kesesuaian dengan tujuan perolehan;c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik;d. memiliki aturan internal terkait perlindungan Data Pribadie. menyediakan rekam jejak audit;f. Dst.. Dst..

COMPANYLOGO

Direktorat Keamanan InformasiDirektorat Jenderal Aplikasi Informatika

aidil.chendramata@kominfo.go.id