20121010_KeamananKomputer04_SNI27001

Penerapan SNI 27001 untuk Keamanan Informasi

Melwin Syafrizal

Object

• Cyber Crime

• Keamanan Informasi

• Tata Kelola Keamanan Informasi (Kaminfo)

• Strategi Pelaksanaan

Cyber Crime

SMS Penipuan

Pembunuh Bayaran

Kasus Bocor Data DiplomaBk

Data rahasia

Indonesia dimiliki

oleh AS.

Wikileaks memuat

data tsb. di situs

staBc.guim.co.uk

Anonymous

Urgensi Penerapan Kaminfo

• Informasi adalah aset yg rawan terhadap – Pencurian – Modifikasi

• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi

Keamanan Informasi

Keamanan Informasi

Terjaganya informasi dari ancaman dan

serangan terhadap:

• kerahasiaan (confiden'ality) • keutuhan (integrity) • ketersediaan (availability) • nirsangkal (non repudia'on)

Aspek Keamanan Informasi • Kerahasiaan (confiden'ality): pesan hanya bisa terbaca oleh penerima yang berhak

• Keutuhan (integrity): pesan yang diterima Bdak berubah

• Ketersediaan (availability): pesan dapat tersampaikan ke penerima

• Nirsangkal (non repudia'on): pesan terkirim Bdak dapat disangkal oleh pengirimnya

Gangguan Keamanan

• Ancaman – Manusia – Alam

• Serangan – Interupsi: Denial of Service (DoS) – Intersepsi: Packet Sniffing – Modifikasi: TCP Hijacking, Virus Trojan – Fabrikasi: Packet Spoofing

Ancaman

Berasal dari:

• Manusia

• Alam

Ancaman dari Manusia

• Staf internal – Mencatat password

– Meninggalkan sistem tanpa logout

• Spy – Menyadap data

• Yang ingin tenar – Menginginkan perhaBan publik

• Yang ingin coba-‐coba

Ancaman dari Alam

• Temperatur: panas /dingin yg ekstrim

• Kelembaban atau gas yang ekstrim: kegagalan AC

• Air: banjir, pipa bocor • Organisme, bakteri, serangga

• Anomali energi: kegagalan listrik, peBr

Serangan • Interupsi: Denial of Service (DoS) • Intersepsi: Packet Sniffing

• Modifikasi: TCP Hijacking, Virus Trojan

• Fabrikasi: Packet Spoofing

Denial of Service (DoS)

• Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fikBf

• Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar

Distributed DoS

Packet Sniffing

• Mendengarkan dan merekam paket yg lewat pada media komunikasi

Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer.

• Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan

Tools Packet Sniffer

Virus Trojan

• Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan

Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games soYware.

• Masuk ke sistem • Mengakses file system

• Mencuri username dan password

Ilustrasi Virus Trojan Horse

Principles of Infosec, 3rd Ed

Paket Spoofing

• Mengubah alamat pengirim paket untuk menipu komputer penerima

Contoh: Man-‐in-‐the-‐middel-‐a[ack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.

Man-‐in-‐the-‐middel-‐a[ack

Pengamanan Fisik

• Pemilihan Lokasi

• Konstruksi bangunan • Pengamanan akses

– Pengawasan Personil: penjaga & CCTV – Perangkat kontrol akses personil: kunci, security access card & perangkat biometric

Pengamanan Logik (1)

• OtenBkasi user • Otorisasi user • Enkripsi • Tanda Tangan dan SerBfikat Digital • Firewall

Pengamanan Logik (2)

• DeMilitarized Zone (DMZ)

• Intrusion DetecBon System (IDS)

• Server • Client • Code/script

OtenBkasi

• Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali

• Password ExpiraBon: password harus diubah jika telah melewaB batas waktu

• Password Complexity VerificaBon: – Panjang minimum

– Kombinasi alfabet, nomor dan tanda baca

– Tidak sama dengan kata-‐kata sederhana

Otorisasi

Pemberian hak akses thd resource

• Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus

• Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess

• Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)

Enkripsi

Contoh Enkripsi

Symmetric

• Data EncrypBon Standard (DES) • Blow Fish • IDEA Asymmetric

• RSA • Merkle-‐Hellman Scheme

Tanda Tangan Digital

SerBfikat Digital

Firewall

DeMilitarized Zone

Intrusion DetecBon System

Tata Kelola Kaminfo

Landasan Hukum

• Undang-‐undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)

• Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang:

“Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”

Standar Keamanan Informasi

• SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

Komponen SNI 27001

1. Kebijakan Keamanan 2. Organisasi Keamanan 3. Pengelolaan Aset 4. Keamanan Sumber

Daya Manusia 5. Keamanan Fisik &

Lingkungan 6. Manajemen

Komunikasi & Operasi

7. Pengendalian Akses 8. Akuisisi,

Pengembangan & Pemeliharaan Sistem Informasi

9. Manajemen Insiden Keamanan

10. Manajemen Keberlanjutan Bisnis

11. Kesesuaian

Manajemen Keamanan

Plan

Do

Check

Act

Indeks Kaminfo

• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009

• Fungsi: sebagai indikator penerapan keamanan informasi secara nasional

Ruang Lingkup

1. Kebijakan dan Manajemen Organisasi 2. Manajemen Resiko 3. Kerangka Kerja 4. Manajemen Aset Informasi 5. Teknologi

Maksud dan Tujuan

• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;

Penerapan Tata Kelola

1. Merujuk pada panduan penerapan tata kelola

2. Menggunakan Indeks KAMI sebagai alat ukur 3. Melaporkan hasil pengukuran kepada

Kementerian Komunikasi dan InformaBka

Level Indeks KAMI

• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model IntegraBon (CMMI): 0. Pasif 1. ReakBf 2. AkBf 3. ProakBf 4. Terkendal 5. OpBmal

CMMI: 5 Tingkat Kematangan Level 5

Ini@al

Level 1

Processes are unpredictable, poorly controlled, reac@ve.

Repeatable

Level 2

Processes are planned, documented, performed, monitored, and controlled at the project level. OJen reac@ve.

Defined

Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organiza@onal (Organiza@on X ) level. Proac@ve.

Managed

Level 4

Processes are controlled using sta@s@cal and other quan@ta@ve techniques.

Op@mized

Process performance con@nually improved through incremental and innova@ve technological improvements.

Pemeringkatan Kaminfo

• Pengelompokan instansi berdasarkan level indeks kaminfo

• Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment

• Tahun 2012: evaluasi dengan self dan on-‐site assessment keamanan informasi

Hasil Pemeringkatan Kaminfo

• Tata Kelola • Pengelolaan Resiko • Kerangka Kerja • Pengelolaan Aset • Teknologi & Kaminfo

Strategi Pelaksanaan

People, Process & Technology

People: Pemerintah & Akademisi

• Instansi pemerintah: – memiliki sistem elektronik yg perlu diproteksi dg penerapan indeks kaminfo

– tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi

• Akademisi: – memiliki SDM yg unggul – perlu aktualisasi diri dg praktek kerja atau magang

Process: Link & Match

Pemerintah & akademisi berkolaborasi dalam • Seminar

• Bimbingan Teknis

• Asesmen

• Pemeringkatan

• Klinik konsultasi

Technology

• Sistem elektronik di pemerintah sbg obyek asesmen

• Aplikasi indeks kaminfo berupa spreadsheet

• Panduan penerapan indeks kaminfo

Terima kasih

Tugas

• Ditulis di kertas A4 • Suatu cerita / history tentang kejadian

keamanan komputer (real atau fiktif) • Pada cerita menggambarkan dampak/

akibat yang ditimbulkan serta proses (kronologis) kejadian atau tools / teknik yang digunakan.

20121010_KeamananKomputer04_SNI27001

Documents

Transcript of 20121010_KeamananKomputer04_SNI27001