Distribusi Responden Bukan Penderita Penyakit Diabetes Mellitus
20121010_KeamananKomputer04_SNI27001
-
Upload
agustina-luvkitty -
Category
Documents
-
view
212 -
download
0
description
Transcript of 20121010_KeamananKomputer04_SNI27001
Penerapan SNI 27001 untuk Keamanan Informasi
Melwin Syafrizal
Object
• Cyber Crime
• Keamanan Informasi
• Tata Kelola Keamanan Informasi (Kaminfo)
• Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data DiplomaBk
Data rahasia
Indonesia dimiliki
oleh AS.
Wikileaks memuat
data tsb. di situs
staBc.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo
• Informasi adalah aset yg rawan terhadap – Pencurian – Modifikasi
• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi
Keamanan Informasi
Keamanan Informasi
Terjaganya informasi dari ancaman dan
serangan terhadap:
• kerahasiaan (confiden'ality) • keutuhan (integrity) • ketersediaan (availability) • nirsangkal (non repudia'on)
Aspek Keamanan Informasi • Kerahasiaan (confiden'ality): pesan hanya bisa terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima Bdak berubah
• Ketersediaan (availability): pesan dapat tersampaikan ke penerima
• Nirsangkal (non repudia'on): pesan terkirim Bdak dapat disangkal oleh pengirimnya
Gangguan Keamanan
• Ancaman – Manusia – Alam
• Serangan – Interupsi: Denial of Service (DoS) – Intersepsi: Packet Sniffing – Modifikasi: TCP Hijacking, Virus Trojan – Fabrikasi: Packet Spoofing
Ancaman
Berasal dari:
• Manusia
• Alam
Ancaman dari Manusia
• Staf internal – Mencatat password
– Meninggalkan sistem tanpa logout
• Spy – Menyadap data
• Yang ingin tenar – Menginginkan perhaBan publik
• Yang ingin coba-‐coba
Ancaman dari Alam
• Temperatur: panas /dingin yg ekstrim
• Kelembaban atau gas yang ekstrim: kegagalan AC
• Air: banjir, pipa bocor • Organisme, bakteri, serangga
• Anomali energi: kegagalan listrik, peBr
Serangan • Interupsi: Denial of Service (DoS) • Intersepsi: Packet Sniffing
• Modifikasi: TCP Hijacking, Virus Trojan
• Fabrikasi: Packet Spoofing
Denial of Service (DoS)
• Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fikBf
• Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar
Distributed DoS
Packet Sniffing
• Mendengarkan dan merekam paket yg lewat pada media komunikasi
Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer.
• Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan
• Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games soYware.
• Masuk ke sistem • Mengakses file system
• Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing
• Mengubah alamat pengirim paket untuk menipu komputer penerima
Contoh: Man-‐in-‐the-‐middel-‐a[ack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
Man-‐in-‐the-‐middel-‐a[ack
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan • Pengamanan akses
– Pengawasan Personil: penjaga & CCTV – Perangkat kontrol akses personil: kunci, security access card & perangkat biometric
Pengamanan Logik (1)
• OtenBkasi user • Otorisasi user • Enkripsi • Tanda Tangan dan SerBfikat Digital • Firewall
Pengamanan Logik (2)
• DeMilitarized Zone (DMZ)
• Intrusion DetecBon System (IDS)
• Server • Client • Code/script
OtenBkasi
• Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali
• Password ExpiraBon: password harus diubah jika telah melewaB batas waktu
• Password Complexity VerificaBon: – Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
– Tidak sama dengan kata-‐kata sederhana
Otorisasi
Pemberian hak akses thd resource
• Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess
• Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi
Symmetric
• Data EncrypBon Standard (DES) • Blow Fish • IDEA Asymmetric
• RSA • Merkle-‐Hellman Scheme
Tanda Tangan Digital
SerBfikat Digital
Firewall
DeMilitarized Zone
Intrusion DetecBon System
Tata Kelola Kaminfo
Landasan Hukum
• Undang-‐undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang:
“Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Komponen SNI 27001
1. Kebijakan Keamanan 2. Organisasi Keamanan 3. Pengelolaan Aset 4. Keamanan Sumber
Daya Manusia 5. Keamanan Fisik &
Lingkungan 6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses 8. Akuisisi,
Pengembangan & Pemeliharaan Sistem Informasi
9. Manajemen Insiden Keamanan
10. Manajemen Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
Plan
Do
Check
Act
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009
• Fungsi: sebagai indikator penerapan keamanan informasi secara nasional
Ruang Lingkup
1. Kebijakan dan Manajemen Organisasi 2. Manajemen Resiko 3. Kerangka Kerja 4. Manajemen Aset Informasi 5. Teknologi
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata kelola
2. Menggunakan Indeks KAMI sebagai alat ukur 3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan InformaBka
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model IntegraBon (CMMI): 0. Pasif 1. ReakBf 2. AkBf 3. ProakBf 4. Terkendal 5. OpBmal
CMMI: 5 Tingkat Kematangan Level 5
Ini@al
Level 1
Processes are unpredictable, poorly controlled, reac@ve.
Repeatable
Level 2
Processes are planned, documented, performed, monitored, and controlled at the project level. OJen reac@ve.
Defined
Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organiza@onal (Organiza@on X ) level. Proac@ve.
Managed
Level 4
Processes are controlled using sta@s@cal and other quan@ta@ve techniques.
Op@mized
Process performance con@nually improved through incremental and innova@ve technological improvements.
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on-‐site assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola • Pengelolaan Resiko • Kerangka Kerja • Pengelolaan Aset • Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
• Instansi pemerintah: – memiliki sistem elektronik yg perlu diproteksi dg penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi
• Akademisi: – memiliki SDM yg unggul – perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam • Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
• Klinik konsultasi
Technology
• Sistem elektronik di pemerintah sbg obyek asesmen
• Aplikasi indeks kaminfo berupa spreadsheet
• Panduan penerapan indeks kaminfo
Terima kasih
Tugas
• Ditulis di kertas A4 • Suatu cerita / history tentang kejadian
keamanan komputer (real atau fiktif) • Pada cerita menggambarkan dampak/
akibat yang ditimbulkan serta proses (kronologis) kejadian atau tools / teknik yang digunakan.