Tentang Sistem Manajemen Pengamanan Informasi
Subdit Tata Kelola KI
Direktorat Keamanan Informasi
Yogyakarta, 24 Mei 2017
1
Jakarta, 20 April 2017
SOSIALISASI PERMENKOMINFO NOMOR 4 TAHUN 2016
TOWARD BETTER AND CLEAN CYBER ENVIRONMENT
Latar
BelakangMeningkatnya risiko dan insiden keamanan
informasi dalam melakukan penyelenggaraan
sistem elektronik1
2
3
Perlunya pengamanan terhadap sistem
elektronik yang memiliki data dan
informasi yang bersifat strategis
Perlunyan upaya peningkatan trust (tingkat
kepercayaan) masyarakat terhadap
penyelenggaraan sistem elektronik untuk
pelayanan publik
Ransomware
Serangan Siber
Dunia
Web Defacement
Laporan Insiden pada instansi
pemerintah
8
Urgensi Penerapan SMKIPembocoran rahasia ataupunmodifikasi data secara tidak sah baiksengaja maupun tidak disengaja dapatmemiliki konsekuensi hukum
Kesalahan handling terhadap data(terutama terkait pelanggan) dapatmerusak reputasi organisasi yang perluwaktu lama untuk pemulihannya
Globalisasi dan komputerisasi (bahkansmartphonisasi) menyebabkanpencurian data semakin mudahdilakukan
Dasar Hukum Permenkominfo
No 4 Th 2016
Amanat
PP PSTE pasal 20 ayat (4)
UU ITE Pasal 15 ayat (1)
Dasar Hukum (2)
UU ITE Pasal 15 ayat (1)
• “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya”.
PP PSTE
Pasal 19
• “Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik sebagaimanamestinya”
PP PSTE Pasal 20 ayat (2)
• Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian”.
Dasar Hukum (3)
UU ITE
Pasal 20 ayat (3)
• “Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem lektronik wajib mengamankan data dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum atau Instansi Pengawas dan Pengatur Sektor terkait.”
PP PSTE
Pasal 20 ayat (4)
• “Ketentuan lebih lanjut mengenai sistem pengamanan sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri”.
Asas dan Ruang Lingkup
Ruang Lingkup:
PSE untuk Pelayanan
Publik
Asas:Risiko
PSE Pelayanan Publik:
1. Instansi Pemerintah
2. Instansi Swasta
Definisi PSE untuk
pelayanan publik
(Pasal 2)
institusi penyelenggara negara yang terdiri dari lembaga negara dan/atau lembaga pemerintahan dan/atau Satuan Kerja Penyelenggara di lingkungannya
korporasi berupa Badan Usaha Milik Negara dan/atau Badan Usaha Milik Daerah dan/atau Satuan Kerja Penyelenggara di lingkungannya;
lembaga independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya
badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara
15
Definisi Instansi Pengawas dan Pengatur
Sektor
Instansi Pengawas dan Pengatur Sektor adalah
instansi yang bertugas mengawasi pelaksanaan tugas
sektor dan mengeluarkan pengaturan terhadap sektor
tersebut
misalnya :
1. Bank Indonesia adalah IPPSbagi sektor transaksipembayaran
2. Kementerian Komunikasidan Informatika adalah IPPSbagi sektor telekomunikasidan TIK
16
Kategorisasi Sistem Elektronik
No SistemElektronik
Penetap Kategori
1 Strategis Menteri + Rekomendasi IPPS
2 Tinggi Menteri
3 Rendah Menteri
Kategorisasi SE berdasarkan 10 kriteria
No Karakteristik SE A=5 B=2 C=1
1 Nilai investasi sistem elektronikyang terpasang
A. > 30 miliar rupiah B. 3 miliar rupiah -30 miliar rupiah
C. <3 miliar rupiah
2 Total anggaran operasionaltahun berjalan yang dialokasikanuntuk pengelolaan SistemElektronik
A. >10 miliar rupiah B. 1 miliar rupiah -10 miliar rupiah
C. <1 miliar rupiah
3 Memiliki kewajiban kepatuhanterhadap peraturan atau standartertentu
A. Peraturan atau standar nasional dan interna-sional
B. Peraturan atau standar nasional
C. Tidak ada peraturan khusus
4 Menggunakan algoritma khususuntuk keamanan informasidalam sistem elektronik
A. Algoritma khusus yang diguna-kan negara
B. Algoritma standar publik
C. Tidak ada algoritma khusus
5 Jumlah pemilik akun yangmenggunakan Sistem Elektronik
A. > 5000 pemilik akun
B. 1000 - 5000 pemilik akun
C. < 1000 pemilik akun
Kriteria Kategorisasi Sistem Elektronik
No Karakteristik SE A=5 B=2 C=1
6 Data Pribadi yang dikelola SistemElektronik
A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya
B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha
C. Tidak ada Data Pribadi
7 Tingkat klasifikasi/kekritisan data yang ada dalam Sistem Elektronik
A. Sangat rahasia B. Rahasia dan/ atau terbatas
C. Biasa
8 Tingkat kekritisan proses yang adadalam Sistem Elektronik,
A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik
B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung
C. Proses yang tidak berdampak bagi kepentingan orang banyak
9 Dampak dari kegagalan SistemElektronik
A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara
B. Tidak tersedianya layanan Publik atau proses penyelengga-raan negara dalam 1 (satu) provinsi atau lebih
C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/kota atau lebih
10 Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik
A. Menimbulkan korban jiwa
B. Terbatas pada kerugian finansial
C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial
Kriteria Kategorisasi Sistem
Elektronik
Kategorisasi Sistem Elektronik
Total Bobot nilai 36-50 16-35 10 – 15
KETENTUAN PENILAIAN
Kategori Sistem Elektronik STRATEGIS TINGGI RENDAH
SE
BANK
UMUM
SE
PEMDA
BEKASI
(PERIZINAN)
SE
TELKOMSEL
SE
RUMAH
SAKIT
SE
HOTEL
SE
ISP ( KECIL DAN
SEDANG)
SE
ATM BERSAMA
(ex: artajasa
SE
LPSE PROVINSI
SE
e-ticketing
garuda
SE
tv kabel
SE
ATC
SE
e-KTP
Nasional
SE
e-KTP
di Kab
SE
websit
e
inform
SE
SPSE
KAB/K
OTA SE IDX
SE
JARDIK
NAS
SE
RTGS
SE
VOUC
HER
LISTRI
37 17 37 18 15 16 37 26 37 34 39 40 22 12 22 40 25 43 36
Standar Manajemen Pengamanan
Informasi
Penyelenggaraan Sistem Elektronik
Contoh Website
Manfaat Sertifikasi
Membantu organisasi
terkait dengan kesesuaian terhadap
kebutuhan standar
keamanan informasi yang
sudah best practice
Meningkatkan reputasi positif
organisasi
Meningkatkan kepercayaan masyarakat
terhadap layanan publik
yang diselenggarakan terjamin tingkat
keamanan, kehandalan dan
terpercaya.
Meminimalkan risiko keamanan
informasi melalui proses
manajemen risiko yang
sesuai dengan best practices.
“Information Security is not a cost, but an investment”
Tenaga Ahli Penerapan SMPI
Ketentuan lebih lanjut diatur dengan Peraturan Menteri
TA Internal &
TA Eksternal
Sistem Elektronik Strategis
harus menggunakan Tenaga Ahli yang WNI
Lembaga Sertifikasi
Ketentuan lebih lanjut mengenai Auditor diatur dengan
Peraturan Menteri
Syarat Lembaga Sertifikasi
Tata Cara Sertifikasi
Penilaian Mandiri
Pembinaan
Menteri dapat membina:
Pengawasan
Menteri dapat mengawasi: 1x setahun atau sewaktu-waktu
Metode Pengawasan
Sanksi Administratif
Berlaku : April 2018
Ketentuan Peralihan [1/2]
Wajib
memiliki
sertifikat
dari SE
beroperasi
Ketentuan Peralihan [2/2]
Menteri dapat menunjuk:
Apabila belum ada Permen tentang TA & Auditor SMPI
serta belum ada LS yg terdaftar
Bagan Alir Proses
PSE PenilaianKategorisasi SE
SES & SET SER
PSE melakukan penerapan SNI
ISO/IEC 27001
TA Internal/Eksternal(LK SMPI)
PSE diaudit oleh Auditor Eksternal
dari Lembaga Sertifikasi SMPI
LS menerbitkan sertifikat SNI
ISO/IEC 27001
LS melaporkan PSE yang sudah
mendapatkan sertifikat kpd
KOMINFO
Hasil Kategorisasi SEdilaporkan secaratertulis kpd DirjenAptika up Dir KI
Menteri MenetapkanKategorisasi SistemElektronik
PSE melakukan Penilaian
Mandiri dengan menggunakan indeks KAMI
Hasil PM Indeks KAMI dilaporkan
kpd Menteri minimal 1x setahun
Infografis Hasil Pemeringkatan Indeks KAMI
KOMINFO 1. Regulator2. pembinaan &
pengawasan
Daftar Lembaga Sertifikasi, Lembaga Konsultan, Auditor,
dan Tenaga Ahli dapat dilihat pada whitelist Kominfo
Hasil Pendaftaran
SMPI
LS
• BSI Group Indonesia
• TUV Nord
Auditor
• AU-1-2016-0001
• AU-1-2017-0002
• AU-1-2017-0003
Tenaga Ahli
• IM-1-2016-0001
Lembaga Konsultan
• Catur Daya Solusi
alamat website: www.smpi.kominfo.go.id
Terima Kasih
Subdit Tata Kelola Keamanan Informasi
Direktorat Keamanan Informasi
Telp/Fax: 021-3845786, email :[email protected]
sistem manajemen pengamanan informasi