Tugas

Keamanan Sistem dan Jaringan Komputer (CIO631)

RAIHANAH RAHMAH
13/353312/PTK/08970
Kelas : CIO - A

PROGRAM STUDI S2 TEKNIK ELEKTRO

JURUSAN TEKNIK ELEKTRO DAN TEKNOLOGI INFORMASI
FAKULTAS TEKNIK
UNIVERSITAS GADJAH MADA

Soal :
1. Buatlah suatu model infrastruktur e-KTP, berdasar PKI (Public Key Infrastruktur) jika
didalamnya terdapat komponen CA (Certificate Authorization), LDAP sebagai basis data
untuk menyimpan sertifikat digital, dan aplikasi-aplikasi untuk validasi
2. Salah satu tugas tatakelola IT, adalah ISMS (Information Security Management System),
misalnya berdasar ISO27001, atau 27002, apa saja cakupannya, tujuan dan produknya,
berikan pula alasan mengapa diperlukan?
3. Jelaskan perlunya DRP (Disaster Recovery Plan) bagi suatu organisasi, berikan penjelasan
unsur-unsur metodologi berdasar ISO 17799 : Assessment (Business Impact Assessment),
Plant Development, SOP Development, Implementation?

Jawaban :
1. Model infrastruktur e-KTP,
TP, berd
berdasar PKI (Public Key Infrastruktur) yang di dalamnya
dala
terdapat
komponen CA (Certificatee Authori
Authorization) dan LDAP sebagai basis data untukk menyimpan
menyi
sertifikat
digital, dan aplikasi-aplikasi
asi untuk validasi :

LDAP / Active
LDAPDirectory
/ Active Directory

Kementrian
trian Dal
Dalam Negeri RI

LDAP
LDA / Active Directory

Disdukcapil Kota/Kabupaten
-

Validasi tanda tangan elektronik

Pertanyaan kepada Validation
Authority (VA )tentang vaiditas public
key

Proses pada model infrastruktur e-KTP ini adalah sebagai berikut :

1. User A menginginkan adanya transaksi pada sebuah sistem informasi dengan menggunakan eKTP. Pada saat user A masuk/login pada sistem informasi tersebut, maka perangkat
(komputer/smart device) akan mengirimkan permintaan berupa hak akses/sertifikat otoritas ke
dalam sistem.
2. Jika User A sudah memiliki hak akses atas sistem tersebut, maka user A dapat terus melakukan
transaksinya pada sistem informasi tersebut.
Namun jika user A belum memiliki hak akses, maka secara otomatis perangkat (komputer/smart
device) akan mengirimkan permintaan berupa hak akses/sertifikat otoritas yang diterima oleh
Registration Autority(RA).
3. Registration Autority(RA) kemudian mengirimkan permintaan tersebut kepada Certification
Authority (CA) untuk dilakukan pengecekan dan apabila hasilnya tidak valid, maka akan
dikirimkan kepada Validation Authority (VA) untuk dapat diberikan sertifikat/hak akses.
4. Validation Authority (VA) kemudian mengirimkan hasil tersebut kepada Dinas Kependudukan
dan Catatan Sipil (Disdukcapil) untuk diterbitkan sertifikat public key-nya.
Sertifikat public key ini kemudian dikirim kembali kepada Validation Authority (VA)untuk
kemudian diteruskan kepada Certification Authority (CA).
5. Certification Authority (CA) kemudian mengirimkan sertifikat public key kepada user A sehingga
user A dapat melakukan transaksi pada sistem informasi.

2. Cakupan ISMS (dalam hal ini ISO 27001), tujuan dan manfaatnya :
Sistem Manajemen Keamanan Informasi (Information Security Management System / ISMS)
merupakan seperangkat kebijakan dan prosedur yang secara sistematis mengelola organisasi data
sensitive untuk menjaga keamanan informasi suatu organisasi/perusahaan.
Jenis informasi yang dilindungi adalah semua jenis informasi dalam organisasi/perusahaan,
termasuk format berbasis kertas/manual, format elektronik, alur dan bagaimana informasi tersebut
dip roses, disimpan, ditransfer/dikirim, diarsipkan dan dihancurkan.
Cakupan dari ISMS ini meliputi :
- SDM/Orang-orang
- Proses
- Sistem
yang menerapkan proses manajemen resiko
Tujuan ISMS :
Meminimalkan resiko dan memastikan kelangsungan bisnis secara pro-aktif dengan membatasi
dampak pelanggaran keamanan.
Salah satu standar resiko keamanan informasi berupa seri dari ISMS ISO 27000 :
Seri ISMS berupa ISO/IEC 27001 dapat digunakan sebagai dasar untuk sertifikasi yang dirancang
dengan menggunakan model PDCA (Plan, Do, Check, Act) seperti yang digunakan pada ISO 9001
(SMM), ISO 14001 (EMS) dan ISO 22000 (FSMS), yaitu :
1. Tahap Plan (Rencana) :
Merupakan tahapan dimana saat melakukan perancangan ISMS, menilai resiko atas keamnan
informasi dan memilih jenis control yang sesuai.

2. Tahap Do (Melakukan) :
Pada tahap ini dilakukan penerapan dan operasi kontrol.
3. Tahap Check (Pengecekan/evaluasi) :
Tujuan dari tahap ini adalah melakukan peninjauan dan evaluasi atas kinerja ISMS
4. Tahap Act (Tindakan) :
Melakukan tindakan perubahan yang dibuat sebelumnya atas hasil evaluasi terhadap ISMS guna
membawa kembali ISMS kepada kinerja puncak.

Gambar 2.1 ISO 27000 ISMS Series

ISO/IEC 27001:2005 dapat mencakup semua jenis organisasi/perusahaan (seperti perusahaan
swasta, lembaga pemerintahan atau lembaga nirlaba).
ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara serta mendokumentasikanISMS dalam konteks resiko
bisnis organisasi/perusahaan secara keseluruhan.
Titik berat dan fitur dari ISO/IEC 27001 adalah :
1. Pendekatan manajemen risiko, meliputi :
- Penilaian resiko
- Penanggulangan resiko
- Pembuatan keputusan manejemen
2. Model perbaikan secara terus menerus/berkelanjutan.
3. Menilai keefektifan.
4. Spesifikasi hal-hal yang bisa diaudit (audit ISMS secara internal dan eksternal).

ISO/IEC 27001 diterapkan untuk menentukan/membuat sebuah kerangka kapatuhan yang berguna
untuk :
a. Membantu organisasi menciptakan suatu kerangka kerja untuk mematuhi standar peraturan
yang banyak,
b. Membantu organisasi dalam pengembangan sistem manajemen keamanan informasi yang
terpadu, komprehensif, dan memiliki praktek terbaik yang diakui di seluruh dunia

3. Disaster Recovery Plan (DRP) berdasarkan ISO 17799 :

Disaster Recovery Plant (DRP) merupakan penjelasan bagaimana organisasi menangani/mengurusi
potensi-potensi bencana.
Disaster Recovery Plant (DRP) terdiri dari tindakan pencegahan dan rencana pemulihan yang diambil
guna meminimalkan efek dari bencana sehingga organisasi mampu bertahan dan melanjutkan
fungsi-fungsi utamanya. Perencanaan pemulihan bencana biasanya melibatkan analisis terhadap
proses bisnis dan kebutuhan terhadap kelangsungan kegiatan organisasi.
Disaster Recovery Plant (DRP) dibutuhkan suatu organisasi guna :
1. Memberikan rasa aman.
2. Meminimalkan resiko terhadap penundaan.
3. Memberikan jaminan terhadap kehandalan/kesiagaan sistem.
4. Memberikan standar terhadap pengujian rencana.
5. Meminimalkan pembuatan keputusan selama terjadi bencana.
6. Mengurangi potensi terhadap kewajiban hukum.
7. Menurunkan tingkat stress yang tidak perlu dalam lingkungan kerja.
Penerapan Disaster Recovery Plant (DRP) dapat menggunakan ISO 17799. Adapun aset dan aspek
yang dinilai dalam ISO 17799 adalah :
a. Information assets (aset informasi)
b. Software assets (aset perangkat lunak yang dimiliki)
c. Physical assets (aset fisik)
d. Services (pelayanan).
ISO 17799 meliputi :
a. 10 pasal mengenai kontrol pengawasan.
b. 36 sasaran kontrol/pengawasan.
c. 127 keamanan pengawasan.
10 pasal mengenai kontrol pengawasan dalam ISO 17799 adalah :
1. Security Policy (kebijakan keamanan).
Security Policy (kebijakan keamanan) mengarahkan visi dan misi manajemen agar kontinuitas
bisnis dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan informasiinformasi krusial yang dimiliki oleh perusahaan.
Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis
salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya
kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi datadata perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga

peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan
tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.
Security Policy meliputi 2 (dua) aspek, yaitu :
a. Information security infrastructure
b. Information security policy
2. System Access Control
System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap
informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobilecomputing ataupun tele-networking.
Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking
3. Communication & Operations Management
Communication and Operations Management (manajemen komunikasi dan operasi)
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan
pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan
dikomunikasikan guna menghindari kesalahan operasional.
Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi aspek-aspek :
a. Operational procedures and reponsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
4. System Development and Maintenance
System Development and Maintenance (pengembangan sistem dan pemeliharaan) memastikan
bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui
verifikasi/validasi terlebih dahulu sebelum diterapkan dalam lingkungan kerja.
Pengembangan dan perawatan sistem ini meliputi :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control.
d. Security of system files.
e. Security in development and support process.
5. Physical and Environmental Security
Physical and Environmental Security (keamanan fisik dan lingkungan) membahas keamanan dari
segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan

oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau
fasilitas informasi yang lain.
Aspek yang dibahas antara lain:
a. Secure Areas.
b. Equipment security.
c. General Control
6. Compliance
Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras
dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui
audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan
aturan-aturan sesuai dengan hukum yang berlaku meliputi 3 (tiga) aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical comliance.
c. System audit and consideration
7. Personnel Security
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari
penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error),
sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem
serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap
user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing.
Personnel Security meliputi berbagai aspek, yaitu :
a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.
8. Security Organization
Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada
suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal
terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi
yang dilakukan oleh pihak ketiga (outsourcing).
Aspek dalam pembahasan ini adalah :
a. Security of third party access
b. Outsourcing
9. Asset Classification and Control
Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan
terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan.
Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya :
a. Accountability for Assets.
b. Information Classification.
c.
10. Business Continuity Management (BCM)
Business Continuity Management (manajemen kelanjutan usaha) merupakan kesiapan
organisasi menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa
mengakibatkan major failure atau resiko kegagalan yang utama ataupun disaster atau

kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk
kelangsungan proses bisnis.
Proses dalam penerpan ISO 17799 adalah sebagai berikut :
1. Mendapatkan dukungan dari pimpinan.
2. Menentukan parameter keamanan.
3. Membuat kebijakan keamanan informasi.
4. Membuat ISMS.
5. Menenetukan penilaian resiko.
6. Memilih dan menerapkan kontrol/pengamanan.
7. Membuat pernyataan akuntabilitas/pernyataan penerapan.
8. Melakukan evaluasi.
Proses implementasi ISO 17799 dapat dilihat pada gambar 3.1 :

Gambar 3.1. Proses implementasi ISO 17799