materi i sosialisasi permen smpi yogya 24 mei 2017

Download Materi I Sosialisasi Permen SMPI Yogya 24 Mei 2017

Post on 21-Jan-2018

158 views

Category:

Government & Nonprofit

2 download

Embed Size (px)

TRANSCRIPT

  • Tentang Sistem Manajemen Pengamanan Informasi

    Subdit Tata Kelola KI

    Direktorat Keamanan Informasi

    Yogyakarta, 24 Mei 2017

    1

    Jakarta, 20 April 2017

    SOSIALISASI PERMENKOMINFO NOMOR 4 TAHUN 2016

    TOWARD BETTER AND CLEAN CYBER ENVIRONMENT

  • Latar

    BelakangMeningkatnya risiko dan insiden keamanan

    informasi dalam melakukan penyelenggaraan

    sistem elektronik1

    2

    3

    Perlunya pengamanan terhadap sistem

    elektronik yang memiliki data dan

    informasi yang bersifat strategis

    Perlunyan upaya peningkatan trust (tingkat

    kepercayaan) masyarakat terhadap

    penyelenggaraan sistem elektronik untuk

    pelayanan publik

  • Ransomware

  • Serangan Siber

    Dunia

  • Web Defacement

  • Laporan Insiden pada instansi

    pemerintah

    8

  • Urgensi Penerapan SMKIPembocoran rahasia ataupunmodifikasi data secara tidak sah baiksengaja maupun tidak disengaja dapatmemiliki konsekuensi hukum

    Kesalahan handling terhadap data(terutama terkait pelanggan) dapatmerusak reputasi organisasi yang perluwaktu lama untuk pemulihannya

    Globalisasi dan komputerisasi (bahkansmartphonisasi) menyebabkanpencurian data semakin mudahdilakukan

  • Dasar Hukum Permenkominfo

    No 4 Th 2016

    Amanat

    PP PSTE pasal 20 ayat (4)

    UU ITE Pasal 15 ayat (1)

  • Dasar Hukum (2)

    UU ITE Pasal 15 ayat (1)

    Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya.

    PP PSTE

    Pasal 19

    Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik sebagaimanamestinya

    PP PSTE Pasal 20 ayat (2)

    Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian.

  • Dasar Hukum (3)

    UU ITE

    Pasal 20 ayat (3)

    Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem lektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.

    PP PSTE

    Pasal 20 ayat (4)

    Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri.

  • Asas dan Ruang Lingkup

    Ruang Lingkup:

    PSE untuk Pelayanan

    Publik

    Asas:Risiko

    PSE Pelayanan Publik:

    1. Instansi Pemerintah

    2. Instansi Swasta

  • Definisi PSE untuk

    pelayanan publik

    (Pasal 2)

    institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya

    korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;

    lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya

    badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara

    15

  • Definisi Instansi Pengawas dan Pengatur

    Sektor

    Instansi Pengawas dan Pengatur Sektor adalah

    instansi yang bertugas mengawasi pelaksanaan tugas

    sektor dan mengeluarkan pengaturan terhadap sektor

    tersebut

    misalnya :

    1. Bank Indonesia adalah IPPSbagi sektor transaksipembayaran

    2. Kementerian Komunikasidan Informatika adalah IPPSbagi sektor telekomunikasidan TIK

    16

  • Kategorisasi Sistem Elektronik

    No SistemElektronik

    Penetap Kategori

    1 Strategis Menteri + Rekomendasi IPPS

    2 Tinggi Menteri

    3 Rendah Menteri

    Kategorisasi SE berdasarkan 10 kriteria

  • No Karakteristik SE A=5 B=2 C=1

    1 Nilai investasi sistem elektronikyang terpasang

    A. > 30 miliar rupiah B. 3 miliar rupiah -30 miliar rupiah

    C. 10 miliar rupiah B. 1 miliar rupiah -10 miliar rupiah

    C. 5000 pemilik akun

    B. 1000 - 5000 pemilik akun

    C. < 1000 pemilik akun

    Kriteria Kategorisasi Sistem Elektronik

  • No Karakteristik SE A=5 B=2 C=1

    6 Data Pribadi yang dikelola SistemElektronik

    A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya

    B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha

    C. Tidak ada Data Pribadi

    7 Tingkat klasifikasi/kekritisan data yang ada dalam Sistem Elektronik

    A. Sangat rahasia B. Rahasia dan/ atau terbatas

    C. Biasa

    8 Tingkat kekritisan proses yang adadalam Sistem Elektronik,

    A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik

    B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung

    C. Proses yang tidak berdampak bagi kepentingan orang banyak

    9 Dampak dari kegagalan SistemElektronik

    A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara

    B. Tidak tersedianya layanan Publik atau proses penyelengga-raan negara dalam 1 (satu) provinsi atau lebih

    C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/kota atau lebih

    10 Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik

    A. Menimbulkan korban jiwa

    B. Terbatas pada kerugian finansial

    C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial

    Kriteria Kategorisasi Sistem

    Elektronik

  • Kategorisasi Sistem Elektronik

    Total Bobot nilai 36-50 16-35 10 15

    KETENTUAN PENILAIAN

    Kategori Sistem Elektronik STRATEGIS TINGGI RENDAH

    SE

    BANK

    UMUM

    SE

    PEMDA

    BEKASI

    (PERIZINAN)

    SE

    TELKOMSEL

    SE

    RUMAH

    SAKIT

    SE

    HOTEL

    SE

    ISP ( KECIL DAN

    SEDANG)

    SE

    ATM BERSAMA

    (ex: artajasa

    SE

    LPSE PROVINSI

    SE

    e-ticketing

    garuda

    SE

    tv kabel

    SE

    ATC

    SE

    e-KTP

    Nasional

    SE

    e-KTP

    di Kab

    SE

    websit

    e

    inform

    SE

    SPSE

    KAB/K

    OTA SE IDX

    SE

    JARDIK

    NAS

    SE

    RTGS

    SE

    VOUC

    HER

    LISTRI

    37 17 37 18 15 16 37 26 37 34 39 40 22 12 22 40 25 43 36

  • Standar Manajemen Pengamanan

    Informasi

  • Penyelenggaraan Sistem Elektronik

  • Contoh Website

  • Manfaat Sertifikasi

    Membantu organisasi

    terkait dengan kesesuaian terhadap

    kebutuhan standar

    keamanan informasi yang

    sudah best practice

    Meningkatkan reputasi positif

    organisasi

    Meningkatkan kepercayaan masyarakat

    terhadap layanan publik

    yang diselenggarakan terjamin tingkat

    keamanan, kehandalan dan

    terpercaya.

    Meminimalkan risiko keamanan

    informasi melalui proses

    manajemen risiko yang

    sesuai dengan best practices.

    Information Security is not a cost, but an investment

  • Tenaga Ahli Penerapan SMPI

    Ketentuan lebih lanjut diatur dengan Peraturan Menteri

    TA Internal &

    TA Eksternal

    Sistem Elektronik Strategis

    harus menggunakan Tenaga Ahli yang WNI

  • Lembaga Sertifikasi

    Ketentuan lebih lanjut mengenai Auditor diatur dengan

    Peraturan Menteri

  • Syarat Lembaga Sertifikasi

  • Tata Cara Sertifikasi

  • Penilaian Mandiri

  • Pembinaan

    Menteri dapat membina:

  • Pengawasan

    Menteri dapat mengawasi: 1x setahun atau sewaktu-waktu

  • Metode Pengawasan

  • Sanksi Administratif

    Berlaku : April 2018

  • Ketentuan Peralihan [1/2]

    Wajib

    memiliki

    sertifikat

    dari SE

    beroperasi

  • Ketentuan Peralihan [2/2]

    Menteri dapat menunjuk:

    Apabila belum ada Permen tentang TA & Auditor SMPI

    serta belum ada LS yg terdaftar

  • Bagan Alir Proses

    PSE PenilaianKategorisasi SE

    SES & SET SER

    PSE melakukan penerapan SNI

    ISO/IEC 27001

    TA Internal/Eksternal(LK SMPI)

    PSE diaudit oleh Auditor Eksternal

    dari Lembaga Sertifikasi SMPI

    LS menerbitkan sertifikat SNI

    ISO/IEC 27001

    LS melaporkan PSE yang sudah

    mendapatkan sertifikat kpd

    KOMINFO

    Hasil Kategorisasi SEdilaporkan secaratertulis kpd DirjenAptika up Dir KI

    Menteri MenetapkanKategorisasi SistemElektronik

    PSE melakukan Penilaian

    Mandiri dengan menggunakan indeks KAMI

    Hasil PM Indeks KAMI dilaporkan

    kpd Menteri minimal 1x setahun

    Infografis Hasil Pemeringkatan Indeks KAMI

    KOMINFO 1. Regulator2. pembinaan &

    pengawasan

    Daftar Lembaga Sertifikasi, Lembaga Konsultan, Auditor,

    dan Tenaga Ahli dapat dilihat pada whitelist Kominfo

  • Hasil Pendaftaran

    SMPI

    LS

    BSI Group Indonesia

    TUV Nord

    Auditor

    AU-1-2016-0001

    AU-1-2017-0002

    AU-1-2017-0003

    Tenaga Ahli

    IM-1-2016-0001

    Lembaga Konsultan

    Catur Daya Solusi

    alamat website: www.smpi.kominfo.go.id

  • Terima Kasih

    Subdit Tata Kelola Keamanan Informasi

    Direktorat Keamanan Informa