Rancangan Peraturan MenteriPersyaratan Perangkat Lunak

DR. Hasyim Gautama, CISM, ISMS-LA

Direktorat Keamanan Informasi

Direktorat Jenderal Aplikasi Informatika

Bogor, 18 November 2014

Landasan Hukum

Peraturan Pemerintah No. 11 Tahun 2008 tentangPenyelenggaraan Sistem dan Transaksi Elektronik (PSTE) pada Pasal 7: Perangkat Lunak

(1) Perangkat Lunak yang digunakan oleh PenyelenggaraSistem Elektronik untuk pelayanan publik wajib:a. terdaftar pada kementerian yang menyelenggarakan urusan

pemerintahan di bidang komunikasi dan informatika;

b. terjamin keamanan dan keandalan operasi sebagaimanamestinya; dan

c. sesuai dengan ketentuan peraturan perundang- undangan.

(2) Ketentuan lebih lanjut mengenai persyaratan PerangkatLunak sebagaimana dimaksud pada ayat (1) diaturdalam Peraturan Menteri.

Asas dan Ruang Lingkup [1/2]

Penerapan Perangkat Lunak Sistem Elektronik terhadap Penyelenggara Sistem Elektronik untuk Pelayanan Publik berdasarkan asas risiko.

Ruang lingkup Perangkat Lunak SistemElektronik mencakup semua kode yangdikembangkan atau dimodifikasi dalam rangkauntuk menciptakan perangkat lunak.

Asas dan Ruang Lingkup [2/2]

Persyaratan Perangkat Lunak Sistem Elektronik

terbagi 2 (dua) meliputi:

Persyaratan Administrasi; dan

Persyaratan Teknis.

Persyaratan Administrasi

1. Pengembang;

2. Nama perangkat lunak;

3. Versi;

4. Jenis layanan;

5. Rentang jumlah pemakai;

6. Siklus hidup produk perangkat lunak yang meliputi: masaketersediaan di pasaran (General Availability), Pemberitahuanmasa berakhirnya produk (End of Life Announcement), masaterakhir pemesanan (Last Order Date), masa berakhirnyaproduk (End of Life), masa dukungan layanan pemeliharaan(Maintenance Support), dan masa berakhirnya dukungan (Endof Support)

7. Berbasis web atau desktop; dan

8. Sistem Operasi yang didukung.

Persyaratan Teknis

Persyaratan Teknis dalam Peraturan Menteri ini mengacu pada standar The Open Web Application Security Project (OWASP) Application Security Verification Standard(ASVS)

Level Persyaratan Teknis

Level 3

Level 2

Level 1

Area Persyaratan Teknis

1. Otentikasi

2. Manajemen Sesi

3. Kontrol Akses

4. Validasi Input

5. Kriptografi pada Verifikasi Statis

6. Penanganan Errordan Pencatatan Log

7. Proteksi Data

8. Keamanan Komunikasi

9. Keamanan HTTP

10. Kontrol Kode Berbahaya

11. Logic Bisnis

12. Berkas dan Sumber Daya

13. Aplikasi Mobile

Contoh Persyaratan Teknis

Sistem Elektronik berdasarkan asas Risiko dalam

peraturan perundang-undangan terbagi menjadi:

SE Strategis

SE Tinggi

SE Rendah

Kategorisasi Sistem Elektronik

Kewajiban PSE

Penyelenggara Sistem Elektronik wajib melakukan pendaftaran dengan menyerahkan kelengkapan Persyaratan Administrasi Perangkat Lunak

Penyelenggara Sistem Elektronik wajib menggunakan Perangkat Lunak yang level Persyaratan Teknisnya sesuai dengan risiko Sistem Elektronik

Sebagai bagian dari sertifikasi SistemManajemen Pengamanan Informasi

Kesesuaian Persyaratan

Level 3

Level 2

Level 1

SE Strategis

SE Tinggi

SE Rendah

Audit

Setiap Perangkat lunak yang digunakan untuk Pelayanan Publik harus menjalani proses audit

Audit dilakukan oleh Auditor Perangkat Lunak yang ditetapkan oleh Menteri

Menteri menetapkan daftar Auditor Perangkat Lunak

Ketentuan lebih lanjut mengenai Penetapan Auditor Perangkat Lunak diatur dengan Peraturan Menteri.

Tata Cara Audit [1/2]

Auditor melakukan audit Perangkat Lunak terhadap Persyaratan Teknis

Auditor Perangkat Lunak harus menyerahkan hasil audit kepada Menteri

Berdasarkan hasil audit sebagaimana dimaksud pada ayat (2), Menteri c.q. Direktur Jenderal menetapkan level Persyaratan Teknis Perangkat Lunak.

Tata Cara Audit [2/2]

Penetapan Level Persyaratan Teknis Perangkat Lunak sebagaimana dimaksud pada ayat (3) paling lambat 14 (empat belas) hari kerja setelah hasil audit dinyatakan lengkap

Menteri c.q. Direktur Jenderal menyusun daftar Hasil Penetapan Level Persyaratan Teknis Perangkat Lunak (“Trusted List”)

Pengawasan

Menteri melakukan pengawasan terhadap Perangkat Lunak yang digunakan oleh Penyelenggara Sistem Elektronik

Pengawasan dilakukan secara berkala 1 (satu) tahun sekali atau sewaktu-waktu melalui pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan.

Ketentuan mengenai pengawasan atas penyelenggaraan Sistem Elektronik dalam sektor tertentu wajib dibuat oleh Instansi Pengawas dan Pengatur Sektor terkait setelah berkoordinasi dengan Menteri.

Pengawasan

Sanksi administratif pada RPM ini dapat berupa:

teguran tertulis;

dikeluarkan dari “Trusted List”

Dapat juga mengakibatkan dicabutnya sertifikasiSistem Manajemen Pengamanan Informasi(SMPI) yang dimiliki oleh Penyelenggara SistemElektronik