Laboratorium Jaringan Komputer Departemen...
Transcript of Laboratorium Jaringan Komputer Departemen...
Laboratorium Jaringan KomputerDepartemen Teknik Informatika dan KomputerPoliteknik Elektronika Negeri Surabaya
1
Profile :» He took Bachelor Degree in Electrical Engineering at the
Sepuluh Nopember Institute of Technology (ITS) in 1995-2000. In 2000, he joined the EEPIS Informatics Engineering department as a teaching staff. Then he continued his education at the Master of Science in Computer Science in Saga University Japan in 2006-2008 with a scholarship from the Japanese government.
» Research topics : network security and wireless sensor networks.
» Since 2013 - until now , he works with ID-SRTII / CC to build the IDS platform called Mata Garuda
» Ministry of Administrative and Bureaucratic Reform Task Force for SPBE
» Awards :– JICA fellowship on SPEET Project 2002-2003– Monbukagakusho scholarship, 2005-2008– Merit Winner of APICTA 2014 (network security category)– Asia Pacific Information Security Center Security Training Course
2015,KISA fellowship– Network Security Researcher JICA 2016 fellowship
2
Topik
1. Dasar Keamanan Informasi
2. UNSUR KEAMANAN INFORMASI DALAM SPBE : ISU TERKINI Tentang PERPRES 95 /2018
3. Kebutuhan SDM
3
4
in.for.ma.si1.n penerangan2.n pemberitahuan; kabar atau berita tentang sesuatu3.n Ling keseluruhan makna yang menunjang amanat yang terlihat dalam bagian-bagian amanat itu
…menurut KBBI
informasi » informasi elektronik•Huk data elektronik yang telah diolah sedemikan rupa dan ditampilkan melalui
media elektronik
aman » keamanan » keamanan data•Komp perlindungan data terhadap kerusakan atau pengguna yang tidak sah
da.ta1.n keterangan yang benar dan nyata: pengumpulan -- untuk memperoleh
keterangan tentang kehidupan petani2.n keterangan atau bahan nyata yang dapat dijadikan dasar
kajian (analisis atau kesimpulan)3.n Komp informasi dalam bentuk yang dapat diproses oleh komputer,
seperti representasi digital dari teks, angka, gambar grafis, atau suara
Prinsip keamanan Informasi
• Confidentiality :
– Data hanya boleh diaksesoleh pihak yang berhak saja
• Integrity :
– data tidak boleh dirubah dariaslinya oleh orang yang tidakberhak, sehingga konsistensi, akurasi, dan validitas data tersebut masih terjaga
• Availibity :
– data yang tersimpan dan diproses di dalam sumberdaya yang ada siap diakseskapanpunoleh user/application/sistemyang membutuhkannya
5
Prinsip keamanan Data
6
Harus adanya kepastian klasifikasi informasi• Klasifikasi data : Sangat Rahasia, Rahasia, Terbatas(Internal use only) , Publik• Enkripsi yang diterapkan pada level media penyimpanan dan transmisi data.
Harus adanya kepastianperlindungan data :• menerapkan strong encrypti
on pada media penyimpanandan transmisi data.
• menerapkan strong authentication dan validation
Harus adanya kepastian bahwadata dapat diakses kapanpundan dimanapun :• disaster recovery plan• redundant hardware• data backup
Prinsip Keamanan Data
• Non-repudiation– Aspek non-repudiation atau nir-sangkal digunakan untuk membuat
– para pelaku tidak dapat menyangkal telah melakukan transaksielektronik. Contoh penggunaannya adalah dalam sistem lelangelektronik.
– Implementasi : message authentication code (denganmenggunakan fungsi hash) dan pencatatan (logging).
• Authentication– Proses Authentication digunakan untuk membuktikan klaim bahwa
seseorang itu adalah benar-benar yang diklaim.
– Implementasi : password
• Authorization : – hak akses akan diberikan kepada pengguna sesuai dengan roles
yang dimilikinya. Perlu diingatkan kembali bahwa aspekauthorization ini membutuhkan authorization
– Implementasi : user roles
7
Prinsip Pertahanan Berlapis Untuk Melindungi DATA
8
KEBIJAKAN (POLICY) ADALAH AWAL DARI
PERLINDUNGAN DATA
PERUBAHAN PARADIGMA :Tanggung jawab
“KEAMANAN DATA”tidak hanya
Administrator Sistematau Jaringan saja
Perubahan Paradigma “WHO IS THE KEY PERSON BEHIND THE DATA ?”• Pandangan tradisional
– Domain dari Administrator Sistem dan Jaringan
– Kebutuhan membeli Firewall, Antivirus, IDS untuk masing-masing layanan ataubagian
– Menerapkan Kontrol terhadap keamananan informasi bukanlah suatu kewajiban
9
• Pandangan Modern— Domain Pemilik Bisnis— Tugas mulai dari perencanaan, mencari DAMPAK DAN
PENANGGULANGANNYA dalam setiap tahap implementasi yang telahdirencanakan
— Bisnis dan Keamanan tidak dapat dipisahkan— Tim Keamanan Terdiri dari Manajemen Puncak, Manajer TI dan Manajer
Keamanan Informasi— Merencanakan (PLAN), Melakukan(DO), Memeriksa (CHECK) dan Menindak
(ACT) Model— Integrasi Sistem Kualitas Seperti ISO, CMMI dll dengan Model Keamanan
Informasi
BERUBAH MENJADI
Produk hukum yang membahas tentang keamanan informasidan tantangannya
1. Kebijakan Keamanan Informasi1) UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (ITE)
2) UU No.19/2016 tentang Perubahan atas UU No 11/2018
3) UU No. 14/2008 tentang Keterbukaan Informasi Publik (KIP)
4) Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern Pemerintah (SPIP)
5) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
6) Peraturan Presiden Nomor 53 Tahun 2017 tentang BADAN SIBER DAN SANDI NEGARA
7) Peraturan Presiden Nomor 133 Tahun 2017 tentang Perubahan atas Perpres Nomor53/2017 tentang BADAN SIBER DAN SANDI NEGARA
8) Permenkominfo Nomor 5 /2014 tentang Sistem Manajemen Pengamanan Informasi
9) Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan BerbasisElektronik
10) Perpres 96 Tahun 2014 tentang Rencana Pita lebar Indonesia 2014-2019 pada Lampiran tentang pengaturan pusat data nasional. Pusat Data Nasional adalah pusat data bersama yang digunakan oleh instansi pusat maupun pemerintah daerah
11) Peraturan MenKominfo Nomor 4 Tahun 2016 tentang Sistem Manajemen KeamananInformasi. Sistem elektronik yang berdampak serius terhadap kepentingan umum, Pelayanan Publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara dikategorikan sebagai sistem elektronik strategis.
10
Unsur-unsur SPBE
a. Rencana Induk SPBE Nasional;
b. Arsitektur SPBE;
c. Peta Rencana SPBE;
d. rencana dan anggaran SPBE;
e. Proses Bisnis;
f. data dan informasi;
g. Infrastruktur SPBE;
h. Aplikasi SPBE;
i. Keamanan SPBE; dan
j. Layanan SPBE.
21
Unsur-unsur SPBE
a. Rencana Induk SPBE Nasional;
b. Arsitektur SPBE;
c. Peta Rencana SPBE;
d. Rencana dan anggaran SPBE;
e. Proses Bisnis;
f. Data dan informasi;
g. Infrastruktur SPBE;
h. Aplikasi SPBE;
i. Keamanan SPBE; dan
j. Layanan SPBE.
22
30
*Sumber : paparan Assdep 2 Kemenpan RB pada Sosialisasi Perpres95/2018 di Propinsi Jawa Timur
Keamanan SPBE dalam Perpres 95/2018
KEBIJAKAN NASIONAL
Dimulai dari
• Identifikasi Asset TIK beserta resikonya
• Membangun Kepedulian terhadap asset TIK dan
strategi untuk melindunginya
• Buat kebijakan keamanan berdasarkan asset dan
resiko
• Buat penjabaran kebijakan dalam bentuk pedoman /
juknis
34
Contoh lebih besar
• Strategi
– Melaksanakan penanganan insiden siber dengan tata kelola
yang baku
• Kebijakan
– Setiap perangkat daerah yang menyediakan layanan TIK
seperti layanan publik yang menggunakan Internet harus
mencatat setiap kejadian intrusi dengan memasang system
deteksi intrusi
• Pedoman
– Kerangka kerja dan teknis penanganan
36
Draft Model National Incident KeamananInfrastrukturNasional
National Level (N)
Organizational Level (O)
National Asset Management as request(A)
Kebutuhan SDM
• System dan Network Administrator
• ISO 27000 series
• Network Forensic
• Kriptografi -> sertifikat digital, PGP
39