1 / 55

Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga

Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga. D R . Hasyim Gautama. Batam, 11 April 2012. Agenda. Cyber Crime Keamanan Informasi Tata Kelola Kaminfo Strategi Pelaksanaan. Cyber Crime. SMS Penipuan. Pembunuh Bayaran.

zarifa
Download Presentation

Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga DR. Hasyim Gautama Batam, 11 April 2012

  2. Agenda • Cyber Crime • Keamanan Informasi • Tata Kelola Kaminfo • Strategi Pelaksanaan

  3. Cyber Crime

  4. SMS Penipuan

  5. Pembunuh Bayaran

  6. Kasus Bocor Data Diplomatik Data rahasia Indonesia dimiliki oleh AS. Wikileaks memuat data tsb. di situs static.guim.co.uk

  7. Anonymous

  8. Urgensi Penerapan Kaminfo Informasi adalah aset yg rawan terhadap Pencurian Modifikasi Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi

  9. Keamanan Informasi

  10. Keamanan Informasi Terjaganya informasi dari ancaman dan serangan terhadap: kerahasiaan (confidentiality) keutuhan (integrity) ketersediaan (availability) nirsangkal (non repudiation)

  11. Aspek Keamanan Informasi Kerahasiaan (confidentiality): pesan hanya bisa terbaca oleh penerima yang berhak Keutuhan (integrity): pesan yang diterima tidak berubah Ketersediaan (availability): pesan dapat tersampaikan ke penerima Nirsangkal (non repudiation): pesan terkirim tidak dapat disangkal oleh pengirimnya

  12. Gangguan Keamanan Ancaman Manusia Alam Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing

  13. Ancaman Berasal dari: Manusia Alam

  14. Ancaman dari Manusia Staf internal Mencatat password Meninggalkan sistem tanpa logout Spy Menyadap data Yang ingin tenar Menginginkan perhatian publik Yang ingin coba-coba

  15. Ancaman dari Alam Temperatur: panas /dingin yg ekstrim Kelembaban atau gas yg ekstrim: kegagalan AC Air: banjir, pipa bocor Organisme, bakteri, serangga Anomali energi: kegagalan listrik, petir

  16. Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing

  17. Denial of Service (DoS) Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fiktif Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar

  18. Distributed DoS

  19. Packet Sniffing Mendengarkan dan merekam paket yg lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan

  20. Tools Packet Sniffer

  21. Virus Trojan Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games software. Masuk ke sistem Mengakses file system Mencuri username dan password

  22. Ilustrasi Virus Trojan Horse Principles of Infosec, 3rd Ed

  23. Paket Spoofing Mengubah alamat pengirim paket untuk menipu komputer penerima Contoh: Man-in-the-middel-attack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.

  24. Man-in-the-middel-attack

  25. Pengamanan Fisik Pemilihan Lokasi Konstruksi bangunan Pengamanan akses Pengawasan Personil: penjaga & CCTV Perangkat kontrol akses personil: kunci, security access card & perangkat biometric

  26. Pengamanan Logik (1) Otentikasi user Otorisasi user Enkripsi Tanda Tangan dan Sertifikat Digital Firewall

  27. Pengamanan Logik (2) DeMilitarized Zone (DMZ) Intrusion Detection System (IDS) Server Client Code/script

  28. Otentikasi Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali Password Expiration: password harus diubah jika telah melewati batas waktu Password Complexity Verification: Panjang minimum Kombinasi alfabet, nomor dan tanda baca Tidak sama dengan kata-kata sederhana

  29. Otorisasi Pemberian hak akses thd resource Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)

  30. Enkripsi

  31. Contoh Enkripsi Symmetric Data Encryption Standard (DES) Blow Fish IDEA Asymmetric RSA Merkle-Hellman Scheme

  32. Tanda Tangan Digital

  33. Sertifikat Digital

  34. Firewall

  35. DeMilitarized Zone

  36. Intrusion Detection System

  37. Tata Kelola Kaminfo

  38. Landasan Hukum Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang: “Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”

  39. Standar Keamanan Informasi SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

  40. Komponen SNI 27001 Kebijakan Keamanan Organisasi Keamanan Pengelolaan Aset Keamanan Sumber Daya Manusia Keamanan Fisik & Lingkungan Manajemen Komunikasi & Operasi Pengendalian Akses Akuisisi, Pengembangan & Pemeliharaan Sistem Informasi Manajemen Insiden Keamanan Manajemen Keberlanjutan Bisnis Kesesuaian

  41. Manajemen Keamanan Plan Act Do Check

  42. Indeks Kaminfo Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009 Fungsi: sebagai indikator penerapan keamanan informasi secara nasional

  43. Ruang Lingkup Kebijakan dan Manajemen Organisasi Manajemen Resiko Kerangka Kerja Manajemen Aset Informasi Teknologi

  44. Maksud dan Tujuan Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

  45. Penerapan Tata Kelola Merujuk pada panduan penerapan tata kelola Menggunakan Indeks KAMI sebagai alat ukur Melaporkan hasil pengukuran kepada Kementerian Komunikasi dan Informatika

  46. Level Indeks KAMI Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI): 0. Pasif 1. Reaktif 2. Aktif 3. Proaktif 4. Terkendal 5. Optimal

  47. CMMI: 5 Tingkat Kematangan Process performance continually improved through incremental and innovative technological improvements. Level 5 Optimized Level 4 Managed Processes are controlled using statistical and other quantitative techniques. Process Maturity Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X )level. Proactive. Defined Level 2 Repeatable Processes are planned, documented, performed, monitored, and controlled at the project level. Often reactive. Level 1 Initial Processes are unpredictable, poorly controlled, reactive.

  48. Pemeringkatan Kaminfo Pengelompokan instansi berdasarkan level indeks kaminfo Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment Tahun 2012: evaluasi dengan self dan on-site assessment keamanan informasi

  49. Hasil Pemeringkatan Kaminfo • Tata Kelola • Pengelolaan Resiko • Kerangka Kerja • Pengelolaan Aset • Teknologi & Kaminfo

  50. Strategi Pelaksanaan

More Related