Peraturan MenteriSistem Manajemen Pengamanan Informasi

Penentuan Klasifikasi/Kategori Sistem Elektronik

BSD, 4 Oktober 2017

Aspek Finansial Sistem Elektronik

• Nilai finansial suatu SE akan mempengaruhi bentuk pengamanan yang (seharusnya) diterapkan

• Semakin tinggi nilai dan keperluan finansial terkait operasional SE tersebut, semakin tinggi pula risiko yang ada:

– Tanggung jawab penggunaan anggaran

– Keterkaitan anggaran (investasi) dengan kebutuhan operasional/bisnis/fungsi

1. Nilai Invesatsi

• Nilai investasi sistem elektronik yang terpasang

A. Nilai > Rp.30 Milyar

B. Rp.3 Milyar < Nilai < Rp.30 Milyar

C. Nilai < Rp.3 Milyar

• Investasi terkait seluruh lingkup SE yang dievaluasi, termasukinfrastruktur atau lisensi perangkat yang terkait danmerupakan bagian yang tidak terpisahkan dari SE tersebut (SE tidak dapat befungsi tanpa komponen ini).

• SE yang telah mengalami perubahan (pemutakhiran, penambahan fitur), nilai investasi dihitung sejak awal.

2. Biaya Operasional

• Total anggaran operasional tahun berjalan yang dialokasikanuntuk pengelolaan Sistem Elektronik

A. Nilai > Rp.10 Milyar

B. Rp.1 Milyar < Nilai < Rp.10 Milyar

C. Nilai < Rp.1 Milyar

• Biaya operasional terkait seluruh lingkup SE yang dievaluasi, termasuk keperluan operasional/pemeliharaan infrastrukturatau lisensi perangkat yang terkait dan merupakan bagianyang tidak terpisahkan dari SE tersebut.

Regulasi dan Kepatuhan

• Regulasi dan/atau standar diterbitkan untuk suatu keperluan khusus, termasuk keselamatan dan keamanan

• Kepatuhan terhadap regulasi atau standar juga dapat ditetapkan dengan ancaman sanksi

• Regulasi dan standar yang berlaku internasional dapat berdampak luas terkait hubungan antar negara

• Jumlah dan ragam pengamanan berbanding lurus dengan banyaknya atau ketatnya penetapan regulasi atau standar

3. Kepatuhan

• Memiliki kewajiban kepatuhan terhadap peraturan atau standar tertentu

A. Peraturan atau standar nasional dan internasional

B. Peraturan atau standar nasional

C. Tidak ada peraturan khusus

• Contoh:

– Sistem identitas elektronik (paspor, eKTP)

– Sistem pembayaran antar negara (intermasional)

– Sistem pertukaran data antar negara – misal NSW, data wajib pajak

Pengamanan SE dengan Algoritma Tertentu

• Keamanan SE dapat menggunakan algoritma tertentu untuk mengamankan data

• Demi kepentingan nasional, Algoritma dikembangkan untuk memastikan independensi, kerahasiaan dan lingkup penerapan

• Algoritma yang bersifat umum dapat digunakan untuk SE yang memerlukan pengamanan khusus, yang diterapkan menggunakan perangkat yang tersedia secara umum

4. Keamanan Data dan SE

• Menggunakan algoritma khusus untuk keamanan informasi dalam sistem elektronik

A. Algoritma khusus yang digunakan negara (Misal algoritma yang disediakan oleh Lembaga Sandi, Sertifikat Digital yang disediakan KOMINFO)

B. Algoritma standar publik (Misal PKI, AES)

C. Tidak ada algoritma khusus

5. Jumlah Pengguna SE

• Semakin banyak pengguna yang diberikan akses ke SE, semakin tinggi risiko yang harus dikelola

– Meningkatnya risiko pihak yang melakukan hal yang mengganggu, baik sengaja ataupun tidak

– Tingkat layanan terkait pemenuhan kebutuhan pengguna

– Beban kinerja terkait kapasitas SE

• Jumlah pemilik akun (akun terdaftar) yang menggunakan Sistem Elektronik

A. Lebih dari 5000 pemilik akun

B. 1000 sampai dengan 5000 pemilik akun

C. Kurang dari 1000 pemilik akun

6. Data Pribadi

• Pengamanan data pribadi terkait dengan hak individu (yang dapat diatur secara ketat, termasuk melibatkan sanksi)

• Data pribadi yang terungkap tidak dapat ditarik kembali

• Data Pribadi yang dikelola Sistem Elektronik

A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya (Misal: data keluarga)

B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha

C. Tidak ada Data Pribadi

7. Keamanan Data Berklasifikasi

• Tingkat klasifikasi/ kekritisan data yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan Keamanan Informasi (merujuk pada Pedoman Tata Naskah Dinas Instansi Pemerintah Nomor 80 Tahun 2012)

A. Sangat rahasia

B. Rahasia dan/ atau terbatas

C. Biasa

• Untuk PSE yang memiliki aturan klasifikasi sendiri (tidak mengikuti Pedoman) dapat menyesuaikan tingkatan klasifikasinya

8. Kritikalitas Proses dalam SE

• Tingkat kekritisan proses yang ada dalam Sistem Elektronik, relatif terhadap ancaman upaya penyerangan atau penerobosan Keamanan Informasi

A. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik (Misal: Sistem Kliring Nasional, Distribusi Listrik, Sistem Token Prabayar PLN)

B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung (Misal: Sistem Pemesanan Tiket Transportasi Umum)

C. Proses yang tidak berdampak bagi kepentingan orang banyak

9. Ketersediaan SE

• Dampak dari kegagalan Sistem Elektronik

A. Tidak tersedianya Pelayanan Publik berskala nasional atau membahayakan pertahanan keamanan negara (Misal: BPJS)

B. Tidak tersedianya Payanan Publik atau proses penyelenggaraan negara dalam 1 (satu) provinsi atau lebih (Misal: Sistem Jaminan Kesehatan Pemerintah Daerah)

C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/ kota atau lebih

10. Dampak Kegagalan Keamanan SE

• Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik (sabotase, terorisme)

A. Menimbulkan korban jiwa (Misal: Sistem Pengatur Lalu Lintas Udara, Sistem Sinyal Otomatis Transportasi Masal)

B. Terbatas pada kerugian finansial (Misal: Toko Elektronik, SPSE)

C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial)

Penilaian Pilihan Evaluasi

A = 5 B = 2 C = 1