Penerapan SNI 27001 untuk Keamanan Infor
Penerapan SNI 27001
untuk Keamanan Informasi
Melwin Syafrizal
Object
• Cyber Crime
• Keamanan Informasi
• Tata Kelola Keamanan Informasi
(Kaminfo)
• Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data DiplomaBk
Data rahasia
Indonesia dimiliki
oleh AS.
Wikileaks memuat
data tsb. di situs
staBc.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo
• Informasi adalah aset yg rawan terhadap
– Pencurian
– Modifikasi
• Perangkat sistem elektronik ut
memproses informasi/data rawan
terhadap interupsi
Keamanan Informasi
Keamanan Informasi
Terjaganya informasi dari ancaman dan
serangan terhadap:
• kerahasiaan (confiden'ality)
• keutuhan (integrity)
• ketersediaan (availability)
• nirsangkal (non repudia'on)
Aspek Keamanan Informasi
• Kerahasiaan (confiden'ality): pesan hanya bisa
terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima
Bdak berubah
• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima
• Nirsangkal (non repudia'on): pesan terkirim
Bdak dapat disangkal oleh pengirimnya
Gangguan Keamanan
• Ancaman
– Manusia
– Alam
• Serangan
– Interupsi: Denial of Service (DoS)
– Intersepsi: Packet Sniffing
– Modifikasi: TCP Hijacking, Virus Trojan
– Fabrikasi: Packet Spoofing
Ancaman
Berasal dari:
• Manusia
• Alam
Ancaman dari Manusia
• Staf internal
– Mencatat password
– Meninggalkan sistem tanpa logout
• Spy
– Menyadap data
• Yang ingin tenar
– Menginginkan perhaBan publik
• Yang ingin coba‐coba
Ancaman dari Alam
• Temperatur: panas /dingin yg ekstrim
• Kelembaban atau gas yang ekstrim:
kegagalan AC
• Air: banjir, pipa bocor
• Organisme, bakteri, serangga
• Anomali energi: kegagalan listrik, peBr
Serangan
• Interupsi: Denial of Service (DoS)
• Intersepsi: Packet Sniffing
• Modifikasi: TCP Hijacking, Virus Trojan
• Fabrikasi: Packet Spoofing
Denial of Service (DoS)
• Menghalangi akses pihak yang berhak dg
membanjiri permintaan akses fikBf
• Contoh: serangan TCP SYN, permintaan
koneksi jaringan ke server dalam jumlah
yang besar
Distributed DoS
Packet Sniffing
• Mendengarkan dan merekam paket yg
lewat pada media komunikasi
Contoh: Menggunakan tools packet
sniffer: Etherreal, SmartSniffer.
• Juga digunakan oleh admin jaringan
untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan
• Merekam pesan lalu memodifikasinya
dan dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program
tersembunyi yang biasanya menempel
pada email atau free games soYware.
• Masuk ke sistem
• Mengakses file system
• Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing
• Mengubah alamat pengirim paket untuk
menipu komputer penerima
Contoh: Man‐in‐the‐middel‐a[ack,
penyerang berperan sebagai pihak di
tengah antara pengirim dan penerima.
Man‐in‐the‐middel‐a[ack
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan
• Pengamanan akses
– Pengawasan Personil: penjaga & CCTV
– Perangkat kontrol akses personil: kunci,
security access card & perangkat biometric
Pengamanan Logik (1)
• OtenBkasi user
• Otorisasi user
• Enkripsi
• Tanda Tangan dan SerBfikat Digital
• Firewall
Pengamanan Logik (2)
• DeMilitarized Zone (DMZ)
• Intrusion DetecBon System (IDS)
• Server
• Client
• Code/script
OtenBkasi
• Account Locking: akun terkunci jika
terjadi kesalahan login bbrp kali
• Password ExpiraBon: password harus
diubah jika telah melewaB batas waktu
• Password Complexity VerificaBon:
– Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
– Tidak sama dengan kata‐kata sederhana
Otorisasi
Pemberian hak akses thd resource
• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol
akses thd web server: access.conf
dan .htaccess
• Hak akses terhadap beberapa aplikasi
diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi
Symmetric
• Data EncrypBon Standard (DES)
• Blow Fish
• IDEA
Asymmetric
• RSA
• Merkle‐Hellman Scheme
Tanda Tangan Digital
SerBfikat Digital
Firewall
DeMilitarized Zone
Intrusion DetecBon System
Tata Kelola Kaminfo
Landasan Hukum
• Undang‐undang No. 11 tahun 2008 tentang
Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/
M.KOMINFO/07/2011 tentang:
“Penerapan Tata Kelola Keamanan Informasi
Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi
Informasi – Teknik Keamanan – Sistem
Manajemen Keamanan Informasi –
Persyaratan;
Komponen SNI 27001
1.
2.
3.
4.
Kebijakan Keamanan
Organisasi Keamanan
Pengelolaan Aset
Keamanan Sumber
Daya Manusia
5. Keamanan Fisik &
Lingkungan
6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses
8. Akuisisi,
Pengembangan &
Pemeliharaan Sistem
Informasi
9. Manajemen Insiden
Keamanan
10. Manajemen
Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
Plan
Act
Check
Do
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo
di sebuah organisasi berdasarkan
kesesuaian dengan kriteria pada SNI
27001:2009
• Fungsi: sebagai indikator penerapan
keamanan informasi secara nasional
Ruang Lingkup
1.
2.
3.
4.
5.
Kebijakan dan Manajemen Organisasi
Manajemen Resiko
Kerangka Kerja
Manajemen Aset Informasi
Teknologi
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi
bagi penyelenggara pelayanan publik sesuai
dengan SNI 27001 tentang Teknologi Informasi
– Teknik Keamanan – Sistem Manajemen
Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata
kelola
2. Menggunakan Indeks KAMI sebagai alat ukur
3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan InformaBka
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima
level berdasarkan Capability Maturity Model
IntegraBon (CMMI):
0. Pasif
1. ReakBf
2. AkBf
3. ProakBf
4. Terkendal
5. OpBmal
CMMI: 5 Tingkat Kematangan
Level 5
Op@mized
Process performance con@nually
improved through incremental and
innova@ve technological
improvements.
Level 4
Managed
Processes are controlled using sta@s@cal
and other quan@ta@ve techniques.
Level 3
Defined
Level 2
Repeatable
Processes are well characterized and understood.
Processes, standards, procedures, tools, etc. are
defined at the organiza@onal (Organiza@on X ) level.
Proac@ve.
Processes are planned, documented, performed, monitored,
and controlled at the project level. OJen reac@ve.
Level 1
Ini@al
Processes are unpredictable, poorly controlled, reac@ve.
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level
indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/
Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on‐site
assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola
• Pengelolaan Resiko
• Kerangka Kerja
• Pengelolaan Aset
• Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
• Instansi pemerintah:
– memiliki sistem elektronik yg perlu diproteksi dg
penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi
• Akademisi:
– memiliki SDM yg unggul
– perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam
• Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
• Klinik konsultasi
Technology
• Sistem elektronik di pemerintah sbg obyek
asesmen
• Aplikasi indeks kaminfo berupa spreadsheet
• Panduan penerapan indeks kaminfo
Terima kasih
Tugas
• Ditulis di kertas A4
• Suatu cerita / history tentang kejadian
keamanan komputer (real atau fiktif)
• Pada cerita menggambarkan dampak/
akibat yang ditimbulkan serta proses
(kronologis) kejadian atau tools / teknik
yang digunakan.
untuk Keamanan Informasi
Melwin Syafrizal
Object
• Cyber Crime
• Keamanan Informasi
• Tata Kelola Keamanan Informasi
(Kaminfo)
• Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data DiplomaBk
Data rahasia
Indonesia dimiliki
oleh AS.
Wikileaks memuat
data tsb. di situs
staBc.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo
• Informasi adalah aset yg rawan terhadap
– Pencurian
– Modifikasi
• Perangkat sistem elektronik ut
memproses informasi/data rawan
terhadap interupsi
Keamanan Informasi
Keamanan Informasi
Terjaganya informasi dari ancaman dan
serangan terhadap:
• kerahasiaan (confiden'ality)
• keutuhan (integrity)
• ketersediaan (availability)
• nirsangkal (non repudia'on)
Aspek Keamanan Informasi
• Kerahasiaan (confiden'ality): pesan hanya bisa
terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima
Bdak berubah
• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima
• Nirsangkal (non repudia'on): pesan terkirim
Bdak dapat disangkal oleh pengirimnya
Gangguan Keamanan
• Ancaman
– Manusia
– Alam
• Serangan
– Interupsi: Denial of Service (DoS)
– Intersepsi: Packet Sniffing
– Modifikasi: TCP Hijacking, Virus Trojan
– Fabrikasi: Packet Spoofing
Ancaman
Berasal dari:
• Manusia
• Alam
Ancaman dari Manusia
• Staf internal
– Mencatat password
– Meninggalkan sistem tanpa logout
• Spy
– Menyadap data
• Yang ingin tenar
– Menginginkan perhaBan publik
• Yang ingin coba‐coba
Ancaman dari Alam
• Temperatur: panas /dingin yg ekstrim
• Kelembaban atau gas yang ekstrim:
kegagalan AC
• Air: banjir, pipa bocor
• Organisme, bakteri, serangga
• Anomali energi: kegagalan listrik, peBr
Serangan
• Interupsi: Denial of Service (DoS)
• Intersepsi: Packet Sniffing
• Modifikasi: TCP Hijacking, Virus Trojan
• Fabrikasi: Packet Spoofing
Denial of Service (DoS)
• Menghalangi akses pihak yang berhak dg
membanjiri permintaan akses fikBf
• Contoh: serangan TCP SYN, permintaan
koneksi jaringan ke server dalam jumlah
yang besar
Distributed DoS
Packet Sniffing
• Mendengarkan dan merekam paket yg
lewat pada media komunikasi
Contoh: Menggunakan tools packet
sniffer: Etherreal, SmartSniffer.
• Juga digunakan oleh admin jaringan
untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan
• Merekam pesan lalu memodifikasinya
dan dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program
tersembunyi yang biasanya menempel
pada email atau free games soYware.
• Masuk ke sistem
• Mengakses file system
• Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing
• Mengubah alamat pengirim paket untuk
menipu komputer penerima
Contoh: Man‐in‐the‐middel‐a[ack,
penyerang berperan sebagai pihak di
tengah antara pengirim dan penerima.
Man‐in‐the‐middel‐a[ack
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan
• Pengamanan akses
– Pengawasan Personil: penjaga & CCTV
– Perangkat kontrol akses personil: kunci,
security access card & perangkat biometric
Pengamanan Logik (1)
• OtenBkasi user
• Otorisasi user
• Enkripsi
• Tanda Tangan dan SerBfikat Digital
• Firewall
Pengamanan Logik (2)
• DeMilitarized Zone (DMZ)
• Intrusion DetecBon System (IDS)
• Server
• Client
• Code/script
OtenBkasi
• Account Locking: akun terkunci jika
terjadi kesalahan login bbrp kali
• Password ExpiraBon: password harus
diubah jika telah melewaB batas waktu
• Password Complexity VerificaBon:
– Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
– Tidak sama dengan kata‐kata sederhana
Otorisasi
Pemberian hak akses thd resource
• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol
akses thd web server: access.conf
dan .htaccess
• Hak akses terhadap beberapa aplikasi
diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi
Symmetric
• Data EncrypBon Standard (DES)
• Blow Fish
• IDEA
Asymmetric
• RSA
• Merkle‐Hellman Scheme
Tanda Tangan Digital
SerBfikat Digital
Firewall
DeMilitarized Zone
Intrusion DetecBon System
Tata Kelola Kaminfo
Landasan Hukum
• Undang‐undang No. 11 tahun 2008 tentang
Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/
M.KOMINFO/07/2011 tentang:
“Penerapan Tata Kelola Keamanan Informasi
Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi
Informasi – Teknik Keamanan – Sistem
Manajemen Keamanan Informasi –
Persyaratan;
Komponen SNI 27001
1.
2.
3.
4.
Kebijakan Keamanan
Organisasi Keamanan
Pengelolaan Aset
Keamanan Sumber
Daya Manusia
5. Keamanan Fisik &
Lingkungan
6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses
8. Akuisisi,
Pengembangan &
Pemeliharaan Sistem
Informasi
9. Manajemen Insiden
Keamanan
10. Manajemen
Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
Plan
Act
Check
Do
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo
di sebuah organisasi berdasarkan
kesesuaian dengan kriteria pada SNI
27001:2009
• Fungsi: sebagai indikator penerapan
keamanan informasi secara nasional
Ruang Lingkup
1.
2.
3.
4.
5.
Kebijakan dan Manajemen Organisasi
Manajemen Resiko
Kerangka Kerja
Manajemen Aset Informasi
Teknologi
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi
bagi penyelenggara pelayanan publik sesuai
dengan SNI 27001 tentang Teknologi Informasi
– Teknik Keamanan – Sistem Manajemen
Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata
kelola
2. Menggunakan Indeks KAMI sebagai alat ukur
3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan InformaBka
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima
level berdasarkan Capability Maturity Model
IntegraBon (CMMI):
0. Pasif
1. ReakBf
2. AkBf
3. ProakBf
4. Terkendal
5. OpBmal
CMMI: 5 Tingkat Kematangan
Level 5
Op@mized
Process performance con@nually
improved through incremental and
innova@ve technological
improvements.
Level 4
Managed
Processes are controlled using sta@s@cal
and other quan@ta@ve techniques.
Level 3
Defined
Level 2
Repeatable
Processes are well characterized and understood.
Processes, standards, procedures, tools, etc. are
defined at the organiza@onal (Organiza@on X ) level.
Proac@ve.
Processes are planned, documented, performed, monitored,
and controlled at the project level. OJen reac@ve.
Level 1
Ini@al
Processes are unpredictable, poorly controlled, reac@ve.
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level
indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/
Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on‐site
assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola
• Pengelolaan Resiko
• Kerangka Kerja
• Pengelolaan Aset
• Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
• Instansi pemerintah:
– memiliki sistem elektronik yg perlu diproteksi dg
penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi
• Akademisi:
– memiliki SDM yg unggul
– perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam
• Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
• Klinik konsultasi
Technology
• Sistem elektronik di pemerintah sbg obyek
asesmen
• Aplikasi indeks kaminfo berupa spreadsheet
• Panduan penerapan indeks kaminfo
Terima kasih
Tugas
• Ditulis di kertas A4
• Suatu cerita / history tentang kejadian
keamanan komputer (real atau fiktif)
• Pada cerita menggambarkan dampak/
akibat yang ditimbulkan serta proses
(kronologis) kejadian atau tools / teknik
yang digunakan.