Sosialisasi Aplikasi

Bandung,  11  Mei  2015    

INTAN  RAHAYU  Kasubdit  Budaya  Keamanan  Informasi  

INDEKS KEAMANAN INFORMASI

§  Indeks  KAMI  merupakan  aplikasi  yang  digunakan  sebagai  alat  bantu  untuk  menganalisa  dan  mengevaluasi  Tingkat  kematangan  penerapan  keamanan  informasi  di  sebuah  organisasi  berdasarkan  kesesuaian  dengan  kriteria  pada  SNI  ISO/IEC  27001  

§  Fungsi  :  Sebagai  indikator  penerapan  keamanan  informasi  secara  nasional  

§  Kementerian  Komunikasi  c.q  Direktorat  Keamanan  Informasi  Dirjen  Aptika  melakukan  pembinaan  kepada  Penyelenggara  Sistem  Elektronik  Layanan  Publik,  salah  satunya  dengan  mengimplementasikan  aplikasi  Indeks  KAMI.    

DASAR KEGIATAN

ᵜ  Undang-­‐-­‐-­‐undang  No.  11  tahun  2008  tentang  Informasi  dan  Transaksi  Elektronik  (ITE)  

ᵜ  Peraturan  Pemerintah  No.  82  tahun  2012  Tentang  Penyelenggara  Sistem  dam  Transaksi  Elektronik  

ᵜ  Surat  Edaran  Menteri  KOMINFO  No.  05/SE/M.KOMINFO/07/2011  tentang  :  “Penerapan  Tata  Kelola  Keamanan  Informasi  Bagi  Penyelenggara  Pelayanan  Publik”    

ᵜ  Surat  Dirjen  Aplikasi  Informatika  Nomor  :  156/DJAI/KOMINFO/04/2011  tanggal  4  April  2011  perihal  Rencana  Seminar,  Bimtek  Keamanan  Informasi.  

ᵜ  Surat  Direktur  Keamanan  Informasi  Ditjen  Aplikasi  Informatika  Nomor  :  61/DJAI.6/KOMINFO/04/2011  tanggal  1  April  2011  perihal  Rencana  Seminar  dan  Bimtek  Keamanan  Informasi.    

ᵜ  SNI  ISO/IEC  27001  Teknologi  informasi  –  Teknik  keamanan  –Sistem  manajemen  keamanan  informasi  –.  Persyaratan  

MAKSUD Ø  Memberikan  bimbingan  dan  pembinaan  tentang  Keamanan  

Informasi  bagi  Penyelenggara  Layanan  Publik  Ø  Mengetahui  tingkat  kesiapan  pengamanan  informasi  

Penyelenggara  Layanan  Publik  dan  pengamanan  unit  data  strategis  untuk  memperoleh  SNI  ISO/IEC  27001  Teknologi  informasi  –  Teknik  keamanan  –.  Sistem  manajemen  keamanan  informasi  –.  Persyaratan.  

Ø  Meningkatkan  kesadaran,  pemahaman  dan  penguasaan  sumber  daya  akan  pentingnya  keamanan  informasi  dalam  menjaga  kelancaran  dan  keberlangsungan  layanan  publik.  

Ø  Mengevaluasi  tingkat  kesiapan  pengamanan  informasi  di  Penyelenggara  Layanan  Publik  dan  pengamanan  unit  data  strategis  dalam  mencapai  Standard  Nasional/Internasional  

TUJUAN

Source: Gartner, Inc.

A Symtematic, Comprehensive Approach To Security

SNI  ISO/IEC  27001  :  2013  

(SMKI)  Bimbingan  Teknis:  

Kompetensi  

Asesmen:  -­‐  Mandiri    -­‐  Local  Assesor  -­‐  Lapangan  

 Pemeringkatn  

 dan  Klinik  Konsultansi  

 

METODOLOGI IMPLEMENTASI INDEKS KEAMANAN INFORMASI

Penilaian mandiri tentang Kategorisasi Sistem Elektronik Indeks KAMI dimaksudkan untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi (SMKI) kepada pimpinan Instansi

Area yang dievaluasi

Dashboard Aplikasi Indeks KAMI v 3.1 2015

Pembobotan dan Skoring

Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan sebagai: - Tingkat I - Kondisi Awal - Tingkat II - Penerapan Kerangka Kerja Dasar - Tingkat III - Terdefinisi dan Konsisten - Tingkat IV - Terkelola dan Terukur - Tingkat V - Optimal Untuk membantu memberikan uraian yang lebih detil, tingkatan ini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan.

Tingkat Kematangan

Dokumentasi Kerangka Kerja SMKI

Dokumentasi Kerangka Kerja SMKI

PP  PSTE  Sistem  Elektronik  adalah  serangkaian  perangkat  dan  prosedur  elektronik  yang  berfungsi  mempersiapkan,  mengumpulkan,  mengolah,  menganalisis,  menyimpan,menampilkan,  mengumpulkan,  mengirimkan,  dan/atau  menyebarkan    Information  Elektronik.    Sistem  Elektronik  mempunyai  komponen  Perangkat  Keras,  Perangkat  Lunak,  Tata  Kelola,  Tenaga  Ahli  dan  Pengamanan    

Sistem Elektronik

05/24/11

KATEGORI SISTEM ELEKTRONIK

Sistem Elektronik Definisi (draft) Dampak

SE Strategis sistem elektronik yang berdampak serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara.

Pertahanan dan Keamanan Nasional

SE beresiko Tinggi Sistem elektronik yang berdampak terhadap tercapainya tujuan organisasi.

Keberlangsungan Bisnis dari Organisasi tersebut

SE beresiko Rendah Sistem Elektronik yang tidak termasuk Sistem Elektronik Strategis dan Sistem Elektronik Tinggi.

Organisasi skala kecil

1.  Nilai  investasi  sistem  elektronik  yang  terpasang  2.  Total  anggaran  operasional  tahunan  3.  Kewajiban  kepatuhan  terhadap  Peraturan  atau  standar  4.  Penggunaan  algoritma  khusus  5.  Jumlah  pengguna  sistem  elektronik  6.  Data  pribadi  yang  dikelola  sistem  elektronik  7.  Tingkat  klasifikasi/kekritisan  Data    8.  Tingkat  Kekritisan  proses  yang  ada  dalam  sistem  elektronik  9.  Dampak  kegagalan  Sistem  elektronik  10.  Potensi  kerugian  atau  dapak  negatif  dari  insiden  ditembusnya  

keamanan  sistem  ekektronik  

Penilaian Kategori Sistem Elektronik

Jumlah Pertanyaan •  Tata kelola : 20 => 22 •  Pengelolaan risiko : 15 => 16 •  Kerangka kerja : 26 => 29 •  Pengelolaan Aset : 34 => 38 •  Teknologi : 24 => 26

Update Aplikasi indeks KAMI V2.3 ke v3.1

Tata Kelola

Apakah instansi anda sudah mengintegrasikan keperluan/persyaratan keamanan informasi dalam proses kerja yang ada?

Apakah instansi anda sudah mengidentifikasikan data pribadi yang digunakan dalam proses kerja dan menerapkan pengamanan sesuai dengan peraturan perundangan yang berlaku?

Pengelolaan Risiko

Apakah Instansi anda sudah menetapkan penanggung jawab manajemen risiko dan eskalasi pelaporan status pengelolaan risiko keamanan informasi sampai ke tingkat pimpinan?

Kerangka Kerja

Apakah tersedia proses untuk mengidentifikasi kondisi yang membahayakan keamanan infomasi dan menetapkannya sebagai insiden keamanan informasi untuk ditindak lanjuti sesuai prosedur yang diberlakukan?

Apakah organisasi anda sudah membahas aspek keamanan informasi dalam manajemen proyek yang terkait dengan ruang lingkup?

Apakah organisasi anda sudah menerapkan proses pengembangan sistem yang aman (Secure SDLC) dengan menggunakan prinsip atau metode sesuai standar platform teknologi yang digunakan?

Pengelolaan Aset

Apakah tersedia definisi klasifikasi aset informasi yang sesuai dengan peraturan perundangan yang berlaku? Peraturan terkait instalasi piranti lunak di aset TI milik instansi

Prosedur untuk user yang mutasi/keluar atau tenaga kontrak/outsource yang habis masa kerjanya.

Apakah tersedia proses untuk memindahkan aset TIK (piranti lunak, perangkat keras, data/informasi dll) dari lokasi yang sudah ditetapkan (dalam daftar inventaris)

Teknologi Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dirancang untuk memastikan ketersediaan (rancangan redundan) sesuai kebutuhan/persyaratan yang ada?

Apakah instansi ada menerapkan lingkungan pengembangan dan uji-coba yang sudah diamankan sesuai dengan standar platform teknologi yang ada dan digunakan untuk seluruh siklus hidup sistem yng dibangun?

intan.rahayu@kominfo.go.id