Sistem Manajemen Keamanan Informasi dan Pengelolaan

Risiko

LPSE Provinsi Jawa Barat

Rakerna LPSE 2015

11 november 2015

Hasil Rakernas LPSE Provinsi 2015 di Banda Aceh

Deklarasi Sabang

Meningkatkan kesadaran dan komitmen terhadap keamanan informasi

Hasil Kesepakatan FGD Keamanan Informasi

Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

Sedang dirancang Peraturan Menteri Kominfo tentang Pendaftaran Sistem Elektronik dan Pengamanan Sistem Informasi bagi Penyelenggara Sistem Elektronik untuk Pelayanan Publik

Permen Kominfo tentang Pengamanan Informasi mengatur:

• Kategorisasi Sistem Elektronik;

• Standar Sistem Manajemen Pengamanan Informasi

• Penyelenggaraan

• Lembaga Sertifikasi

• Penerbitan Sertifikat, Pelaporan Sertifikasi dan Pencabutan Sertifikasi

• Penilaian Mandiri

• Pembinaan

• Pengawasan

• Sanksi

Penerapan Sistem Manajemen Keamanan Informasi di LPSE Provinsi Jawa Barat ISO 27001 : 2013

Information Security Management System (ISMS)

Informasi dan Keamanan Informasi Informasi adalah pengetahuan atau data yang bernilai bagi suatu organisasi. Bentuk Informasi: • Tercetak (Hardcopy)

• File elektronik (Hard disk, Flashdisk, CD/DVD, Tape)

• Film

• Percakapan (Conversation)

Keamanan Informasi adalah Penjagaan terhadap kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi. Keamanan informasi juga dapat mencakup otentikasi, dapat dipertanggungjawabkan (accountability), nirsangkal (non-repudiation) dan keandalan (reliability).

Tujuan Keamanan Informasi

Menjamin kelangsungan

proses dan fungsi layanan

Mengatasi gangguan operasi proses / layanan

dengan lebih cepat

Keamanan informasi berhubungan dengan seluruh metode dan alat kontrol yang ditujukan untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi

Keamanan Informasi Penting Diterapkan

Jika terdapat informasi berklasifikasi rahasia, penting,

atau berharga

Jika kebocoran, kerusakan dan ketidaktersediaannya

menimbulkan RISIKO yang berdampak besar bagi organisasi

Pengamanan informasi diawali dengan Klasifikasi Informasi dan Kajian Risiko terhadap gangguan kerahasiaan, keutuhan, dan ketersediaan informasi.

Pengelolaan Risiko

Mekanisme Pengelolaan Risiko

Identifikasi Aset

Indentifikasi Risiko (Ancaman,

Kelemahan dan Dampak)

Analisis Risiko Evaluasi Kontrol

yang Ada

Mengukur Risiko Sisa

Risiko bisa diterima atau tidak

Jika tidak, tetapkan Risk Treatment Plan

1. Identifikasi Aset

Klasifikasi Aset

Data dan Informasi

Software

SDM dan Rekanan LPSE

Hardware

Contoh Aset

• Gedung Kantor

• Server SPSE, Server Database, Server Mail

• Perangkat PC, Jaringan Internet

• Aplikasi SPSE, Protokol Komunikasi, Antivirus

• Administrator, Helpdesk, Verifikator

• Petugas Keamanan, Kebersihan, ISP

• AC di Data Center, Genset

• Informasi Rahasia (Dokmen Penawaran, Data Kepegawaian, Evaluasi Kompetensi, Hasil Audit, Password, topologi Jaringan dengan IP Address)

• dll

2. Identifikasi Risiko : Identifikasi Ancaman, Kelemahan dan Dampak

Gedung Kantor

• Ancaman : Bencana Alam

• Kelemahan : Kondisi geografis kantor di lereng bukit

• Dampak : Balai LPSE dan Server Utama mengalami kerusakan

Server SPSE

• Ancaman : Kerusakan Server

• Kelemahan : sistem grounding penangkal petir lemah

• Dampak : jika terkena petir, Server SPSE terganggu

3. Analisis Risiko : mengidentifikasi nilai Kemungkinan dari suatu Acaman dan menetapkan perkiraan Dampak yang ditimbulkan Ancaman tersebut

• Nilai Kemungkinan

Contoh Nilai kemungkinan

• Bencana Alam : sangat rendah, karena > 5 tahun belum pernah terjadi bencana

• Gangguan Listrik : tinggi, karena hampir setiap bulan terdapat gangguan listrik

• Jaringan Internet : rendah, karena selama rentang 5 tahun baru terjadi 2 kali gangguan internet

Tingkat Frekuensi Kejadian

Sangat Rendah Ancaman terjadi sekali dalam waktu >5 tahun

Rendah Ancaman dapat terjadi sekali antara 1 – 5 tahun

Menengah Ancaman mungkin terjadi 1-6 kali setahun

Tinggi Ancaman mungkin terjadi rata-rata 2-4 kali sebulan

Sangat Tinggi Ancaman terjadi minimum setiap hari

4. Nilai Dampak Risiko

Nilai Dampak

Jenis Dampak Tidak Siginifikan Kecil Menengah Besar Sangat Besar

Gangguan LPSE Sistem tidak berfungsi kurang <30 menit

Sistem tidak berfungsi antara 30 - 60 menit

Sistem tidak berfungsi > 1 jam – 6 jam

Sistem tidak berfungsi > 6 – 24 jam

Sistem tidak berfungsi lebih dari 24 jam

5. Nilai Risiko

KEMUNGKINAN (Likelihood)

DAMPAK (Impact)

Tidak Siginifikan Kecil Menengah Besar Sangat Besar

Sangat Rendah Rendah Rendah Menengah Menengah Tinggi

Rendah Rendah Rendah Menengah Tinggi Tinggi

Menengah Rendah Menengah Tinggi Tinggi Sangat Tinggi

Tinggi Menengah Menengah Tinggi Sangat Tinggi Sangat Tinggi

Sangat Tinggi Menengah Tinggi Sangat Tinggi Sangat Tinggi Sangat Tinggi

Contoh Pengelolaan Risiko (1)

Dampak CIA : Confidentiality (kerahasiaan), Integrity (keutuhan), dan Availability (ketersediaan)

No Aset Ancaman Kelemahan Uraian Dampak Dampak

CIA *)

RISIKO SEBELUM PENGENDALIAN

Pengendalian (Kontrol) yang ada Nilai Kemungkinan

(Likelihood Score) Nilai Dampak

(Impact Score) Nilai Risiko (Risk

Score)

1 Gedung Balai LPSE berserta sarana dan prasarana di dalamnya

Bencana alam (Gempa Bumi, Longsor)

Kondisi geografis terhadap ancaman bencana alam

Balai LPSE dan server utama mengalami kerusakan sehingga penyelenggaraan SPSE terganggu

A Sangat Rendah Sangat Besar Tinggi

Balai LPSE telah menyiapkan DRC (Colocation Server Backup) di Batam, yang telah diuji coba pengoperasiannya

2 Gedung Balai LPSE berserta sarana dan prasarana di dalamnya

Kebakaran

Peralatan pemadam kebakaran tidak dirawat dengan baik

Balai LPSE dan server utama mengalami kerusakan sehingga operasional SPSE terganggu

A Sangat Rendah Sangat Besar Tinggi

Perawatan peralatan pemadam kebakaran secara berkala sehingga dapat mengurangi dampak kerusakan

Contoh Pengelolaan Risiko (2)

No Aset

RISIKO SETELAH PENGENDALIAN

Jenis Penanggulangan (Mitigasi) Risiko

Rencana Penanggulangan Risiko

(Risk Treatment Plan) Target PIC

Monitoring RTP Nilai Kemungkinan

(Likelihood Score) Nilai Dampak

(Impact Score) Nilai Risiko (Risk

Score)

1

Gedung Balai LPSE berserta sarana dan prasarana di dalamnya

Sangat Rendah Menengah Menengah

Risiko tidak diterima dan memerlukan rencana penanggulangan sedang/jangka lama

Melakukan pengujian DRC minimal satu tahun sekali

Jul-15 Administrator Sistem 24-Jul-15

2

Gedung Balai LPSE berserta sarana dan prasarana di dalamnya

Sangat Rendah Kecil Rendah

Risiko dapat diterima dengan tetap memelihara efektivitas kontrol yang ada

• Proses : Penyelenggaraan Layanan Pengadaan Secara Elektronik (LPSE) meliputi registrasi, verifikasi, training, tendering, helpdesk, data center dan technical support

• Tahapan : Operasional

• Unit Kerja : seluruh unit kerja Balai LPSE

• Lokasi : Jl. Dago Pakar Permai VI No. 20 Komplek Resort Dago Pakar, Bandung – Jawa Barat

• Ruang lingkup tidak mencakup tahap pengembangan sistem TI seperti pengembangan software (Aplikasi SPSE dikembangkan oleh LKPP), termasuk pengembangan aplikasi yang dilakukan oleh LPSE.

Lingkup Sertifikasi SMKI ISO 27001:2005

22

25 Oktober 2013

ISO 27001:2005 SERTIFICATE

INFORMATION SECURITY MANAGEMENT SYSTEM

KEAMANAN JARINGAN

• Eksternal

Keamanan Jaringan Eksternal menggunakan server Firewall yang diinstall pada server khusus, dengan aplikasi open source Shorewall yaitu salah satu tools firewall Linux;

• Internal

Keamanan Jaringan Internal menggunakan server Proxy yang diinstall pada server khusus, dengan aplikasi open source Squid Proxy;

• Mikrotik (Tambahan)

Khusus untuk membatasi hak akses antara pegawai dan publik, khusus pada jaringan yang menggunakan Wifi/Hotspot;

Aplikasi dan Tools yang digunakan di LPSE Jabar, untuk monitoring jaringan diantaranya :

Cacti; untuk monitoring kapasitas server, penggunaan bandwidth;

Nagios; untuk monitoring kapasitas server, dengan mengirimkan notifikasi ke email;

Loganalyzer; untuk monitoring traffic jaringan server firewall dan server proxy;

SARG; monitoring squid proxy, untuk mengetahui sites & user, downloads dan access;

Kapasitas Bandwidth Balai LPSE 70 Domestik 6 Internasional;

Sudah disiapkan Jalur Back Up FO, apabila terjadi insiden pada jalur utama;

Antivirus (lisensi per 3 tahun)

• Kapersky diinstal di server khusus yang secara otomatis melakukan scanning, memblokir virus yang masuk, memperbaiki, dan mengupdate ke semua PC Client.

• Untuk server sudah terpasang sesuai system operasi yang digunakan.

SSL (lisensi setiap tahun)

• Pengaman protokol komunikasi di internet yang dipasang pada web LPSE

• Secure socket Layer

Terima Kasih Ika Mardiah,

Kepala Balai LPSE Provinsi Jawa Barat