Sistem Manajemen Keamanan Informasi dan Pengelolaan … · •Percakapan (Conversation) Keamanan...
Transcript of Sistem Manajemen Keamanan Informasi dan Pengelolaan … · •Percakapan (Conversation) Keamanan...
Sistem Manajemen Keamanan Informasi dan Pengelolaan
Risiko
LPSE Provinsi Jawa Barat
Rakerna LPSE 2015
11 november 2015
Hasil Rakernas LPSE Provinsi 2015 di Banda Aceh
Deklarasi Sabang
Meningkatkan kesadaran dan komitmen terhadap keamanan informasi
Hasil Kesepakatan FGD Keamanan Informasi
Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Sedang dirancang Peraturan Menteri Kominfo tentang Pendaftaran Sistem Elektronik dan Pengamanan Sistem Informasi bagi Penyelenggara Sistem Elektronik untuk Pelayanan Publik
Permen Kominfo tentang Pengamanan Informasi mengatur:
• Kategorisasi Sistem Elektronik;
• Standar Sistem Manajemen Pengamanan Informasi
• Penyelenggaraan
• Lembaga Sertifikasi
• Penerbitan Sertifikat, Pelaporan Sertifikasi dan Pencabutan Sertifikasi
• Penilaian Mandiri
• Pembinaan
• Pengawasan
• Sanksi
Penerapan Sistem Manajemen Keamanan Informasi di LPSE Provinsi Jawa Barat ISO 27001 : 2013
Information Security Management System (ISMS)
Informasi dan Keamanan Informasi Informasi adalah pengetahuan atau data yang bernilai bagi suatu organisasi. Bentuk Informasi: • Tercetak (Hardcopy)
• File elektronik (Hard disk, Flashdisk, CD/DVD, Tape)
• Film
• Percakapan (Conversation)
Keamanan Informasi adalah Penjagaan terhadap kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi. Keamanan informasi juga dapat mencakup otentikasi, dapat dipertanggungjawabkan (accountability), nirsangkal (non-repudiation) dan keandalan (reliability).
Tujuan Keamanan Informasi
Menjamin kelangsungan
proses dan fungsi layanan
Mengatasi gangguan operasi proses / layanan
dengan lebih cepat
Keamanan informasi berhubungan dengan seluruh metode dan alat kontrol yang ditujukan untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi
Keamanan Informasi Penting Diterapkan
Jika terdapat informasi berklasifikasi rahasia, penting,
atau berharga
Jika kebocoran, kerusakan dan ketidaktersediaannya
menimbulkan RISIKO yang berdampak besar bagi organisasi
Pengamanan informasi diawali dengan Klasifikasi Informasi dan Kajian Risiko terhadap gangguan kerahasiaan, keutuhan, dan ketersediaan informasi.
Pengelolaan Risiko
Mekanisme Pengelolaan Risiko
Identifikasi Aset
Indentifikasi Risiko (Ancaman,
Kelemahan dan Dampak)
Analisis Risiko Evaluasi Kontrol
yang Ada
Mengukur Risiko Sisa
Risiko bisa diterima atau tidak
Jika tidak, tetapkan Risk Treatment Plan
1. Identifikasi Aset
Klasifikasi Aset
Data dan Informasi
Software
SDM dan Rekanan LPSE
Hardware
Contoh Aset
• Gedung Kantor
• Server SPSE, Server Database, Server Mail
• Perangkat PC, Jaringan Internet
• Aplikasi SPSE, Protokol Komunikasi, Antivirus
• Administrator, Helpdesk, Verifikator
• Petugas Keamanan, Kebersihan, ISP
• AC di Data Center, Genset
• Informasi Rahasia (Dokmen Penawaran, Data Kepegawaian, Evaluasi Kompetensi, Hasil Audit, Password, topologi Jaringan dengan IP Address)
• dll
2. Identifikasi Risiko : Identifikasi Ancaman, Kelemahan dan Dampak
Gedung Kantor
• Ancaman : Bencana Alam
• Kelemahan : Kondisi geografis kantor di lereng bukit
• Dampak : Balai LPSE dan Server Utama mengalami kerusakan
Server SPSE
• Ancaman : Kerusakan Server
• Kelemahan : sistem grounding penangkal petir lemah
• Dampak : jika terkena petir, Server SPSE terganggu
3. Analisis Risiko : mengidentifikasi nilai Kemungkinan dari suatu Acaman dan menetapkan perkiraan Dampak yang ditimbulkan Ancaman tersebut
• Nilai Kemungkinan
Contoh Nilai kemungkinan
• Bencana Alam : sangat rendah, karena > 5 tahun belum pernah terjadi bencana
• Gangguan Listrik : tinggi, karena hampir setiap bulan terdapat gangguan listrik
• Jaringan Internet : rendah, karena selama rentang 5 tahun baru terjadi 2 kali gangguan internet
Tingkat Frekuensi Kejadian
Sangat Rendah Ancaman terjadi sekali dalam waktu >5 tahun
Rendah Ancaman dapat terjadi sekali antara 1 – 5 tahun
Menengah Ancaman mungkin terjadi 1-6 kali setahun
Tinggi Ancaman mungkin terjadi rata-rata 2-4 kali sebulan
Sangat Tinggi Ancaman terjadi minimum setiap hari
4. Nilai Dampak Risiko
Nilai Dampak
Jenis Dampak Tidak Siginifikan Kecil Menengah Besar Sangat Besar
Gangguan LPSE Sistem tidak berfungsi kurang <30 menit
Sistem tidak berfungsi antara 30 - 60 menit
Sistem tidak berfungsi > 1 jam – 6 jam
Sistem tidak berfungsi > 6 – 24 jam
Sistem tidak berfungsi lebih dari 24 jam
5. Nilai Risiko
KEMUNGKINAN (Likelihood)
DAMPAK (Impact)
Tidak Siginifikan Kecil Menengah Besar Sangat Besar
Sangat Rendah Rendah Rendah Menengah Menengah Tinggi
Rendah Rendah Rendah Menengah Tinggi Tinggi
Menengah Rendah Menengah Tinggi Tinggi Sangat Tinggi
Tinggi Menengah Menengah Tinggi Sangat Tinggi Sangat Tinggi
Sangat Tinggi Menengah Tinggi Sangat Tinggi Sangat Tinggi Sangat Tinggi
Contoh Pengelolaan Risiko (1)
Dampak CIA : Confidentiality (kerahasiaan), Integrity (keutuhan), dan Availability (ketersediaan)
No Aset Ancaman Kelemahan Uraian Dampak Dampak
CIA *)
RISIKO SEBELUM PENGENDALIAN
Pengendalian (Kontrol) yang ada Nilai Kemungkinan
(Likelihood Score) Nilai Dampak
(Impact Score) Nilai Risiko (Risk
Score)
1 Gedung Balai LPSE berserta sarana dan prasarana di dalamnya
Bencana alam (Gempa Bumi, Longsor)
Kondisi geografis terhadap ancaman bencana alam
Balai LPSE dan server utama mengalami kerusakan sehingga penyelenggaraan SPSE terganggu
A Sangat Rendah Sangat Besar Tinggi
Balai LPSE telah menyiapkan DRC (Colocation Server Backup) di Batam, yang telah diuji coba pengoperasiannya
2 Gedung Balai LPSE berserta sarana dan prasarana di dalamnya
Kebakaran
Peralatan pemadam kebakaran tidak dirawat dengan baik
Balai LPSE dan server utama mengalami kerusakan sehingga operasional SPSE terganggu
A Sangat Rendah Sangat Besar Tinggi
Perawatan peralatan pemadam kebakaran secara berkala sehingga dapat mengurangi dampak kerusakan
Contoh Pengelolaan Risiko (2)
No Aset
RISIKO SETELAH PENGENDALIAN
Jenis Penanggulangan (Mitigasi) Risiko
Rencana Penanggulangan Risiko
(Risk Treatment Plan) Target PIC
Monitoring RTP Nilai Kemungkinan
(Likelihood Score) Nilai Dampak
(Impact Score) Nilai Risiko (Risk
Score)
1
Gedung Balai LPSE berserta sarana dan prasarana di dalamnya
Sangat Rendah Menengah Menengah
Risiko tidak diterima dan memerlukan rencana penanggulangan sedang/jangka lama
Melakukan pengujian DRC minimal satu tahun sekali
Jul-15 Administrator Sistem 24-Jul-15
2
Gedung Balai LPSE berserta sarana dan prasarana di dalamnya
Sangat Rendah Kecil Rendah
Risiko dapat diterima dengan tetap memelihara efektivitas kontrol yang ada
• Proses : Penyelenggaraan Layanan Pengadaan Secara Elektronik (LPSE) meliputi registrasi, verifikasi, training, tendering, helpdesk, data center dan technical support
• Tahapan : Operasional
• Unit Kerja : seluruh unit kerja Balai LPSE
• Lokasi : Jl. Dago Pakar Permai VI No. 20 Komplek Resort Dago Pakar, Bandung – Jawa Barat
• Ruang lingkup tidak mencakup tahap pengembangan sistem TI seperti pengembangan software (Aplikasi SPSE dikembangkan oleh LKPP), termasuk pengembangan aplikasi yang dilakukan oleh LPSE.
Lingkup Sertifikasi SMKI ISO 27001:2005
22
25 Oktober 2013
ISO 27001:2005 SERTIFICATE
INFORMATION SECURITY MANAGEMENT SYSTEM
KEAMANAN JARINGAN
• Eksternal
Keamanan Jaringan Eksternal menggunakan server Firewall yang diinstall pada server khusus, dengan aplikasi open source Shorewall yaitu salah satu tools firewall Linux;
• Internal
Keamanan Jaringan Internal menggunakan server Proxy yang diinstall pada server khusus, dengan aplikasi open source Squid Proxy;
• Mikrotik (Tambahan)
Khusus untuk membatasi hak akses antara pegawai dan publik, khusus pada jaringan yang menggunakan Wifi/Hotspot;
Aplikasi dan Tools yang digunakan di LPSE Jabar, untuk monitoring jaringan diantaranya :
Cacti; untuk monitoring kapasitas server, penggunaan bandwidth;
Nagios; untuk monitoring kapasitas server, dengan mengirimkan notifikasi ke email;
Loganalyzer; untuk monitoring traffic jaringan server firewall dan server proxy;
SARG; monitoring squid proxy, untuk mengetahui sites & user, downloads dan access;
Kapasitas Bandwidth Balai LPSE 70 Domestik 6 Internasional;
Sudah disiapkan Jalur Back Up FO, apabila terjadi insiden pada jalur utama;
Antivirus (lisensi per 3 tahun)
• Kapersky diinstal di server khusus yang secara otomatis melakukan scanning, memblokir virus yang masuk, memperbaiki, dan mengupdate ke semua PC Client.
• Untuk server sudah terpasang sesuai system operasi yang digunakan.
SSL (lisensi setiap tahun)
• Pengaman protokol komunikasi di internet yang dipasang pada web LPSE
• Secure socket Layer
Terima Kasih Ika Mardiah,
Kepala Balai LPSE Provinsi Jawa Barat