Berikut ini skema kebijakan dan prosedur yang menjadi prioritas untuk disusun
sebagai bagian dari implementasi Sistem Manajemen Keamanan Informasi PT.X :
Draft dokumen kebijakan keamanan informasi ini mengacu pada kebijakan yang
telah diterapkan oleh suatu perusahaan yang telah menerapkan sistem manajemen
keamanan informasi dengan maturity level 4 dan/atau 5. Draft dokumen kebijakan
(policy) dibatasi pada beberapa hal utamanya sedangkan draft dokumen prosedur
disusun secara detil.
A. Tujuan
Memberi arah yang jelas bagi implementasi sekuriti sistem informasi agar
sejalan dengan kebutuhan bisnis, peraturan dan hukum yang berlaku.
B. Lingkup
mulai
dari
perencanaan,
pengembangan,
implementasi,
C. Kebijakan Umum:
menerapkan
pemahaman
yang
sama,
pengendalian,
Penanggung jawab atas aset seperti tersebut dalam ayat (2) pasal ini,
berkewajiban melaksanakan :
o Pemantauan terhadap informasi dan aset yang diolah melalui
identifikasi berdasarkan jenis klasifikasi informasi, sesuai aturan yang
berlaku;
o Pendefinisian dan
Proses bisnis;
Aplikasi; atau
Klasifikasi Informasi
(1)
(2)
(3)
Setiap bentuk aset informasi harus diberikan label klasifikasi sesuai hak
aksesnya dan persyaratan pada ayat (2) pasal ini, adalah sebagai berikut :
a. SANGAT TERBATAS ( ST ), untuk sistem informasi dengan klasifikasi
Sangat Terbatas;
b. RAHASIA ( RHS ), untuk sistem informasi dengan klasifikasi Rahasia;
c. PRIBADI ( PRIB ), untuk sistem informasi dengan klasifikasi Pribadi;
d. Internal Perusahaan ( IP ), untuk sistem informasi dengan klasifikasi
Internal Perusahaan.
Berikut ini adalah draft prosedur keamanan informasi yang diharapkan bisa
memenuhi kriteria pada ISO/IEC 17799 dan ISO/IEC 27001, serta menutupi gap
pencapaian maturity level yang diharapkan.
I DEFINISI
1.
Bentuk Informasi
Informasi dapat berbentuk tulisan (tertulis), elektronik (machine readable) dan ingatan karyawan
(mental information). Setiap bentuk informasi harus mendapatkan standard pengamanan
sebagaimana tercantum dalam ketentuan ini.
2.
Adalah semua bentuk informasi yang tercetak diatas kertas yang berupa tulisan tangan, cetakan,
bentuk
simbol,
cetakan
komputer
(computer
print-out);
materi
cetakan
diatas
plastik
(transparancies dan slides); microfilm, foto dan cetakan dalam bentuk fisik yang lain.
3.
Informasi Elektronik
Adalah informasi yang berada dalam sistem komputer baik digital maupun analog atau dalam
bentuk lain yang bisa terbaca oleh mesin (machine readable).
4.
Adalah informasi yang bersifat rahasia yang diberikan kepada karyawan Perusahaan dalam
rangka tugasnya. Setiap karyawan setidaknya harus mempunyai kesanggupan tertulis (Non
Disclosure Agreement) untuk tidak menggunakan dan menyebarkan informasi ini dimanapun dan
kapanpun tanpa seijin dari Perusahaan.
5.
Karyawan Perusahaan yang menyiapkan naskah asli dari satu dokumen atau file.
6.
Manager atau administrator Perusahaan yang bertanggung jawab atas pengelolaan satu
kumpulan informasi.
7.
Memberikan atau menunjukkan informasi kepada orang, organisasi atau system secara lisan
melalui presentasi dengan menggunakan transparancies, slides atau gambar, secara tertulis, dan
memberikan akses kedalam komputer atau menunjukkan data dari komputer melalui display.
8.
Klasifikasi
Adalah proses penentuan indikator nilai, indikator kepekaan (sensitifitas) dan resiko terhadap
suatu informasi yang akan menentukan tingkat pengamanan yang diperlukan bagi informasi
tersebut. Klasifikasi informasi dibuat oleh Pembuat Informasi (Originator) atau Pemelihara
Informasi (Custodian).
9.
Indikator
Adalah kumpulan petunjuk yang membantu Pembuat Informasi (Originator) dan Pemelihara
Informasi (Custodian) untuk menentukan klasifikasi suatu informasi, dokumen dan file.
10. Informasi Rahasia
Adalah informasi yang bernilai tinggi, peka dan bersiko besar bagi Perusahaan sehingga perlu
adalah satu usaha perlindungan.
Software yang mengontrol jalannya operasi hardware tanpa user harus ikut mengoperasikannya.
Sistem operasi menyediakan platform dimana programprogram dan software aplikasi dapat
dijalankan.
23. Akses Kontrol
Proses yang membatasi akses kesumber daya sistem komputer hanya bagi user yang memiliki
hak akses, program, proses-proses dan sistem komputer lainnya.
24. Fire Protection
Adalah suatu sistem / perangkat yang berfungsi sebagai pengaman / pelindung dari bahaya
kebakaran
25. Environment Monitoring System (EMS)
Perangkat / sistem yang digunakan untuk mengontrol dan mendeteksi suhu,asap, api, air dan
kelembaban ruangan komputer dimana hasil nya dapatsecara langsung dihubungkan dengan
perangkat komunikasi misalnya telepon, pager dll
26. Uninterruptable Power Suplay (UPS)
Perangkat / sistem yang berfungsi agar catuan yang berasal dari catuan utama (PLN) dapat selalu
stabil dan catuan kearah perangkat terjaga ketersediaannya (tidak teputus)
27. Password
Serangkaian karakter yang digunakan untuk otentikasi atau untuk mendapatkan ijin akses sistem
28. Console
Perangkat yang merupakan bagian dari komputer yang berfungsi menampilkan data dalam bentuk
teks maupun grafik
29. Priviledges/Priviledge
Suatu cara untuk melindungi fungsis-fungsi sistem tertentu yang dapat mempengaruhi
sumberdaya dan keutuhan (integrity) sistem. System Manager yang memberikan priviledges
berdasarkan kebutuhan user dan memberikan batasan untuk melakukan akses ke sistem.
30. Cabling system
Sistem perkabelan yang menghubungkan satu perangkat dengan perangkat lainnya dimana
sistem ini disusun sedemikian rupa agar terjamin keamanannya serta mudah mengontrolnya.
31. Peripheral
Beberapa peralatan yang saling terkait satu dengan lainnya, Peralatan tersebut terdiri dari
processor, main board, memory, card, media penyimpanan data, power supply, cashing (kotak
pelindung).
32. Upgrade
Suatu kegiatan / usaha merubah atau mengganti Perangkat keras atau perangkat lunak dari satu
versi ke versi yang lebih tinggi dengan maksud untuk mendapatkan performance yang lebih baik
33. Quota
Jumlah besaran batas maksimal yang diberikan
34. Backup on Site / Off Site
10
Adalah lokasi dan prasarana pengolahan data yang untuk sementara waktu digunakan untuk
menjalankan fungsi produksi sistem informasi oleh suatu unit pelayanan sistem informasi PT. X,
bila suatu pusat komputernya mengalami bencana. On Site artinya masih dalam ruangan yang
sama. Off Site artinya berada di tempat yang berbeda dari ruangan yang dipakai saat ini.
35. Domain Name Server ( DNS )
Adalah servis penamaan standard yang digunakan pada internet dan kebanyakan jaringan
TCP/IP.
36. File Transfer Protocol ( FTP )
Adalah protokol yang diigunakan untuk mendistribusikan atau menerima file/dokumen melalui
jaringan antar host atau host ke client
37. Hardware
Adalah sistem komputer yang terdiri dari peralatan mekanik, magnetik dan elektronik seperti CPU,
Disk Drive, Keyboard, Monitor dan lain-lain.
38. Software
Adalah program yang bisa digunakan untuk pengoperasian komputer.
39. Network Address Translation ( NAT )
Adalah pemindahan alamat jaringan.
40. Server
Adalah komputer yang memuat servis-servis yang disediakan untuk user yang dapat menjalankan
proses-proses dari client maupun server dalam waktu yang bersamaan, menyediakan layanan
jaringan, media penyimpan data dan pemindahan file/dokumen.
41. Transfer Control Protocol/Internet Protocol ( TCP/IP )
Adalah protokol yang digunakan untuk komunikasi antar komputer, sebagai standard untuk
transmisi data lewat network dan sebagai basis untuk standard protokol internal.
42. Port
Adalah alamat atau tempat dan service aplikasi dijalankan.
43. Router
Adalah perangkat pengatur lalulintas paket dan akses.
44. Proxy
Adalah suatu gerbang untuk menjelajah dunia internet.
45. Uniform Resources Locater ( URL )
Adalah protokol transmisi yang menunjukan spesifikasi nomor identifikasi internet yang digunakan
untuk berpindah dalam satu site ke site yang lain dalam internet.
46. Simple Mail Transfer Protocol ( SMTP )
Adalah protokol yang digunakan untuk mentransfer surat elektronik (email) antar komputer,
biasanya menggunakan Ethernet.
47. Remote Access
Adalah akses ke suatu jaringan sistem informasi dari luar jaringan internal.
11
48. System
Adalah suatu metode untuk mengatur atau mengorganisasi penggabungan kerja dari perangkat
keras, perangkat lunak dan komunikasi data
49. Device
Adalah suatu perangkat yagn merupakan bagian dari komputer
50. Relational DataBase Management System
Adalah suatu sitem management DataBase yang dibuat untuk mengatur DataBase relational.
51. DataBase
Adalah kumpulan file atau data yang teroraganisir.
52. DataBase Administrator
Adalah orang yang bertanggung jawab terhadap design, management, evaluasi dan menjaga
performansi dari DataBase.
53. Client
Adalah sebuah workstaion yang memiliki akses ke pusat file data, program dan peralatan melalui
server.
54. License
Adalah Ijin untuk memiliki/melakukan sesuatu yagn diberikan oleh instansi pemerintah atau
instansi yang lain.
55. User Guest
Adalah pemakai sementara.
56. Anti Virus
Adalah suatu program yang didesign untuk mengidentifikasi dan menghapus atau membuang
virus pada komputer.
57. Zip Drive
Adalah drive eksternal yang digunakan untuk memampatkan data untuk di backup.
58. Download
Adalah memindahkan data atau program dari pusat komputer ke peripheral komputer.
59. Upload
Adalah memindahkan data atau program dari peripheral komputer ke pusat komputer.
60. Electronic Mail ( email )
Adalah pesan yang dapat dikirim atau diterima melalui saluran telekomunikasi antar
mikrokomputer atau terminal.
61. Junk Mail
Adalah surat elektronik yang berisi berita-berita sampah atau palsu yang disebarkan secara
berantai dan tidak bisa dipertanggungjawabkan kebenarannya.
62. Data
Adalah kumpulan informasi berupa angka-angka, karakter, signal elektronik dan lain-lain yang
bisa disediakan, disimpan dan diproses oleh komputer.
12
63. Worm
Adalah sebuah program yang dapat menggandakan dirinya sendiri dan bercampur dengan fungsi
software atau menghancurkan informasi yang ada.
64. Hacker
Adalah user mikrokoomputer yang berusaha untuk mencari keuntungan dari akses yang tidak
diijinkan dari pemilik sistem komputer.
65. Portable Assets
Adalah aset sistem informasi yang dapat dipindah-pindah dengan mudah, seperti laptop/notebook
dan PC Workstation.
66. Public Area
Adalah tempat yang menjadi milik umum.
67. Raise-Floor
Adalah lantai panggung.
68. SMP (Standard Maintenance Procedure)
Adalah prosedur standard untuk pelaksanaan maintenance.
69. SOP (Standard Operation Procedure)
Adalah prosedur standard untuk mengoperasikan suatu aplikasi.
II TANGGUNG JAWAB
Bagian ini akan menjelaskan tentang tanggung jawab User (Pemakai), System Administrator/ System
Manager, Owners (Pemilik informasi/ data).
User (Pemakai)
User adalah seseorang yang diberi wewenang untuk menggunakan aset informasi dan
bertanggung jawab untuk :
1.
Mematuhi syarat pengamanan aset informasi dan aplikasi sistem sekuriti seperti yang telah
ditentukan oleh Owner dan System Manager yang tertuang dalam Service Level Agreement
(SLA).
13
2.
hanya
Memastikan bahwa sistem, data dan password telah memenuhi persyaratan yang ditentukan
dan dilindungi dengan semestinya.
Membuat identitas/ pengenal dalam pemakaian sistem komputer yang lazim dikenal dengan
User-id serta melaksanakan administrasi untuk akses ke aset informasi dan menolak user
yang tidak mendapat ijin akses.
2.
Melaksanakan pengamanan dan pengawasan terhadap aset informasi dan sistem informasi
sesuai dengan ketentuan pemiliknya.
3.
Menentukan
status
operating sistem,
aplikasi/
software
dan menjamin
keamanan
pengoperasiannya.
4.
5.
Memberikan penjelasan mengenai pengawasan, peraturan dan larangan kepada owner dan
user.
6.
Owner (Pemilik)
Pejabat PT. X yang karena tugas dan tanggung jawabnya berwenang untuk membuat atau
menyampaikan keputusan dan menentukan dalam hal identifikasi, klasifikasi dan proteksi dari aset
informasi PT. X serta bertanggung jawab untuk:
1.
2.
Memastikan agar pengamanan dan pengawasan terhadap aset informasi dan sistem
aplikasi/software dilaksanakan sesuai dengan peraturan.
3.
14
Prosedur
Pintu masuk ruangan komputer harus selalu tertutup rapat.
Pihak eksternal yang akan memasuki ruang komputer harus seijin petugas Unit Pengelola Sistem
Informasi.
Wajib mengisi buku tamu pada saat datang atau meninggalkan ruangan.
Setiap peminjaman, pemindahan, pemasukan dan pengeluaran aset di ruang komputer harus
seijin petugas Unit Pengelola Sistem Informasi dan semua aktivitas harus tercatat dalam buku
log yang telah disediakan.
Prosedur
Pihak eksternal yang bermaksud untuk memasuki ruang komputer sebagai salah satu aktivitas
kegiatan rutinnya harus mengajukan surat permohonan resmi untuk meminta ijin penggunaan
Akses Kontrol ke pihak Manajemen Unit Pengelola Sistem Informasi.
Petugas dari pihak eksternal yang bertangung jawab dalam penggunaan Akses Kontrol harus
dicatat dan setiap terjadi pergantian petugas dari pihak eksternal tersebut harus
memberitahukan ke Manajemen Unit Pengelola Sistem Informasi.
15
Prosedur
Pihak eksternal yang akan melakukan instalasi atau maintenance terhadap perangkat komputer
server sistem informasi harus seijin pengelola system informasi.
Kegiatan instalasi atau maintenance harus sepengetahuan petugas pengelola sistem informasi
dan harus dicatat dalam buku log kegiatan.
Prosedur
Mengisi buku log yang telah disediakan.
Pihak ketiga yang masuk ruangan penyimpanan media backup harus didampingi oleh petugas
dari Unit Pengelola Sistem Informasi.
Memberi label yang jelas pada media backup untuk mempermudah dalam pencarian dan
penyimpanannya.
Pihak eksternal dilarang mengambil atau memindahkan media backup tanpa sepengetahuan
petugas Unit Pengelola Sistem Informasi.
Prosedur
16
Instalasi sistem perkabelan harus ditaruh dibawah raise-floor dan ditata rapi agar tidak
mengakibatkan keruwetan dalam sistem perkabelan ini.
Memberikan label keterangan pada kedua ujung kabel untuk setiap kabel yang baru di install.
Pihak ketiga yang melakukan instalasi perkabelan harus seijin dan diawasi oleh petugas Unit
Pengelola Sistem Informasi.
b.
Lantai menggunakan raise-floor, atap tidak bocor dan lantai bebas dari banjir.
c.
Pintu keluar masuk ruangan menggunakan akses kontrol dan harus selalu tertutup rapat.
d.
Kaca dibuat permanen (tidak bisa dibuka tutup) dan tidak tembus sinar matahari langsung.
e.
f.
Dilengkapi dengan sistem alarm, emergency lamp, Fire Protection System serta alat
monitoring lingkungan (suhu, kelembaban udara atau catu daya).
Prosedur
1.
Setiap personil Unit Pengelola Sistem Informasi yang akan memasuki Ruang Komputer harus
menggunakan Akses Kontrol dan pintu harus senantiasa ditutup kembali.
2.
Setiap orang yang berada dalam Ruang Komputer harus menaati peraturan yang sudah
ditetapkan oleh menajemen setempat.
3.
Setiap petugas yang akan bekerja di Ruang Komputer harus berdasarkan prosedur yang
sudah disepakati serta berdasarkan SOP/SMP yang ada.
4.
5.
Setiap orang yang memasuki Ruang Komputer harus membuka sepatu dan menggunakan
sandal/sepatu khusus untuk Ruang Komputer.
17
Secara berkala harus dilakukan maintenance dan pengecekan perangkat akses kontrol.
b.
c.
d.
Perangkat komputer yang mengendalikan akses kontrol diberi password dan secara berkala
password diganti. Pengaturan password mengacu pada Manajemen Password Sekuriti
Sistem Informasi.
Prosedur
1.
Kartu akses merupakan tanggung jawab pribadi dan tidak diperkenankan untuk dipinjamkan
kepada orang lain.
2.
Masing-masing personil diberi priviledge akses ruangan sesuai dengan tugas dan wewenang
bagiannya masing-masing.
3.
Jika terjadi perubahan data akibat dari adanya mutasi pegawai harus disertai dengan
permintaan dari pejabat yang bertanggung jawab terhadap sekuriti akses kontrol.
2.
Sebelum melakukan aktivitas yang berakibat pada perubahan konfigurasi komputer server
harus diadakan analisa terhadap dampak yang mungkin timbul.
3.
4.
Petugas Unit Pengelola Sistem Informasi wajib mendampingi personil diluar Unit Pengelola
Sistem Informasi apabila akan melakukan suatu pekerjaan yang berkaitan dengan mesin
server.
18
Adalah tempat menyimpan data hasil backup yang tersimpan dalam suatu media backup baik yang
ada di tempat komputer itu berada (backup on-site) dan atau di luar area dimana lokasi tersebut yang
telah ditetapkan (backup off-site), hal ini dimaksudkan untuk menanggulangi data operasional yang
berada di lokasi Unit Pengelola Sistem Informasi rusak, hilang atau terjadi kondisi force majeur. Untuk
mengantisipasi hal tersebut, maka diperlukan suatu tempat penyimpanan media backup yang
memenuhi persyaratan suhu, kelembaban udara dan pencahayaan serta menyediakan buku log untuk
pencatatan keluar masuk media backup tersebut.
Prosedur
1.
2.
Membuat berita acara keluar masuknya media backup dari tempat penyimpanan.
3.
Penyimpanan media tape atau catridge ke lokasi off-site backup harus dilakukan oleh minimal
dua orang dengan sarana transportasi yang aman.
4.
5.
Pada media backup harus dicantumkan identitas yang jelas untuk memudahkan
penyimpanan dan pencariannya.
Prosedur
1.
Untuk pengamanannya, maka data informasi yang terdapat di dalam computer tersebut harus
diamankan agar tidak dapat dipergunakan atau diakses oleh pihak yang tidak berwenang.
2.
Untuk portable asset yang digunakan oleh perorangan, maka penanggung jawabnya adalah
pegawai yang bersangkutan.
3.
Untuk portable asset yang digunakan secara bersama-sama, penanggung jawabnya adalah
Manajemen setempat.
Perangkat diletakkan pada suatu tempat yang aman dengan dilengkapi Air Conditioner.
b.
Grounding sistem catu daya harus memenuhi persyaratan spesifikasi teknis perangkat
komputer.
19
c.
Prosedur
1.
Keluar masuk ruangan tempat UPS bagi pihak eksternal harus dengan seijin petugas yang
bertanggung jawab terhadap operasional UPS serta didampingi petugas yang bersangkutan
dan harus mengisi buku log.
2.
Dilengkapi dengan fasilitas untuk memonitor dan mengontrol kondisi UPS yang mudah
terlihat.
3.
Apabila dalam melakukan maintenance diperlukan suatu pemutusan aliran listrik terhadap
UPS tersebut, maka harus ada ijin dari penanggung jawab Unit Pengelola Sistem Informasi.
4.
Harus ada pemberitahuan terlebih dahulu kepada user, jika akan dilakukan pemutusan aliran
listrik dan waktu pelaksanaannya akan dilakukan diluar jam kerja.
5.
b.
Prosedur
1.
2.
3.
Memasang alat pengukur suhu dan kelembaban pada setiap ruangan komputer.
Prosedur
1.
2.
Penempatan dan penataan kabel harus sesuai dengan jalur telah ditentukan
20
Fire protection harus tersedia dalam suatu ruang komputer dengan spesifikasi khusus bagi perangkat
komputer yaitu bahan/material yang dipakai oleh fire protection harus menggunakan bahan/material
yang ramah terhadap lingkungan dan telah direkomendasikan oleh pemerintah Republik Indonesia
serta tidak mengakibatkan kerusakan pada komponen perangkat komputer.
Prosedur
1.
Penempatan peralatan fire protection harus ditempatkan pada lokasi yang aman.
2.
3.2.11 Kelengkapan Kesehatan dan Keselamatan Kerja (K3) Petugas Unit Pengelola Sistem
Informasi.
Kelengkapan K3 sebagai salah satu persyaratan yang harus dipenuhi dalam operasional
Unit Pengelola Sistem Informasi. Perlengkapan K3 standard minimal untuk suatu ruang komputer :
1. Baju dingin (jaket, sweater dan sejenisnya).
2. Perlengkapan P3K (Pertolongan Pertama Pada Kecelakaan).
3. Extra Voeding (makanan/minuman bergizi).
21
Semua komputer yang ada di lingkungan PT. X harus memenuhi Standard Sekuriti Minimum Sistem
Informasi. SSM sistem informasi di PT. X dibagi menjadi :
a. Dari Akses Fisik (Jaringan)
a. Tingkat 0
b. Tingkat 1
Tingkat minimum untuk suatu sistem komputer yang berdiri sendiri (stand
alone PC) atau LAN yang tidak terhubung ke WAN (TelkomNet).
c. Tingkat 2
Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung
ke WAN (TelkomNet).
d. Tingkat 3
Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung
ke WAN (TelkomNet) dan juga langsung terhubung ke gerbang Internet
Internasional tanpa melalui Firewall.
Hanya
bisa
mengakses
data
milik
pribadi
di
workstation
yang
bersangkutan.
b. Tingkat 1
Bisa mengakses data yang bersifat umum melalui Intranet atau Sharing
File/Direktori yang dibuka untuk umum (public).
c. Tingkat 2
proses
pendaftaran user.
d. Tingkat 3
Bisa mengakses seluruh data corporate. Level ini hanya dimiliki oleh user
tertentu saja.
Setiap user yang akan mengakses sistem informasi harus memiliki user account.
2.
3.
4.
Operating System harus dapat memanage File, Direktori, Devices dan Peripheral lainnya.
22
5.
Operating System harus memiliki security patch yang diakui oleh badan internasional.
6.
Security Patch tersebut harus sudah terinstall ke dalam sistem komputer PT. X sebelum
sistem komputer tersebut dinyatakan produksi.
7.
Operating System harus memiliki sistem audit yang bisa memantau dan merekam setiap
aktivitas user yang logon.
8.
Operating System harus mampu mengatur batch proses agar dapat berjalan seefisien
mungkin tanpa mengganggu proses operasional lainnya.
9.
Operating System harus mampu membuat roles, profile atau group sehingga mampu
mengelompokkan user sesuai tingkat kewenangan hak aksesnya.
10. Operating System harus mampu melakukan reset password untuk kondisi-kondisi tertentu.
11. Setelah selesai mengakses sistem informasi dan seluruh aktivitas selesai, user harus log off
dari sistem terkait.
12. Operating System harus memiliki mekanisme log off otomatis, jika user tidak ada
aktivitas selama kurun waktu tertentu:
a.
b.
Untuk user yang memiliki kewenangan tertinggi diberlakukan log off otomatis bila
b.
c.
d.
Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara aplikasi
harus tetap operasional.
e.
f.
g.
17. Jika ada perangkat lunak yang diinstall ke dalam suatu O/S dan ternyata bertentang dengan
prosedur sekuriti, maka perangkat lunak tersebut harus dicatat dan dipertimbangkan untuk
23
tidak digunakan. Jika terpaksa tetap dipakai, maka pengawasan terhadap penggunaan
perangkat lunak ini harus diperketat.
18. Berita
acara
serah
terima
instalasi/upgrade
O/S
harus
dibuat
setelah
pekerjaan
2.
Harus memperhatikan tingkat kebutuhan user yang sesuai dengan tingkat otorisasi dalam
mengakses sistem informasi.
3.
Tidak boleh ada user account yang mempunyai priviledge setingkat superuser.
24
4.
Otoritas read only diberikan kepada user account lain yang akan mengakses data yang dishare.
5.
Harus tersedia user account untuk penggunaan sementara waktu dengan priviledge dan
waktu yang terbatas.
6.
Penggunaan user oleh pihak ketiga harus tercatat dan seijin manajemen Unit Pengelola
Sistem Informasi terkait serta pemberian ijin aksesnya harus di lokasi milik Unit Pengelola
Sistem Informasi, ditemani oleh petugas Unit Pengelola Sistem Informasi dan berbatas waktu.
7.
8.
Hak akses user account harus dilakukan perubahan apabila yang bersangkutan mutasi.
2.
3.
Cuti untuk waktu yang lama, maka user account akan diaktifkan kembali setelah ada
pemberitahuan dari atasan yang bersangkutan.
4.
Tidak menggunakan hak aksesnya lebih dari 90 hari berturut-turut akan dinonaktifkan untuk
sementara.
5.
Setiap user account yang tidak aktif atau tidak dipakai selama 120 hari berturut-turut atau 30
hari setelah dinonaktifkan maka user account tersebut akan dihapus.
6.
7.
8.
Penghapusan atau penonaktifan hak akses Sistem Informasi dilakukan berdasarkan informasi
tertulis dari manajemen setempat yang mampunyai kewenangan untuk menentukan
menghapus atau menonaktifkan user, dan/atau berdasarkan permintaan tertulis dari pemilik
data/aplikasi.
Daftar user penerima hak akses beserta tingkat kewenangannya harus tersimpan di lokasi sistem
informasi terkait dan dievaluasi minimal 1 tahun sekali.
Penggunaan superuser harus dibatasi, mengingat superuser memiliki akses penuh terhadap
sistem informasi terkait.
2.
Tidak boleh ada user lain setingkat super user selain user root dan administrator (NT), field
(DEC).
3.
Penanggung jawab user root adalah System Programming atau atas penunjukan manajer
Unit Pengelola Sistem Informasi setempat.
4.
Aktivitas user yang akan login ke superuser harus dibatasi dan direkam.
25
5.
Penggunaan user root oleh pihak ketiga pada kondisi tertentu hanya diperbolehkan setelah
mendapat ijin tertulis dari pihak Manajemen Unit Pengelola SISFO/ DIV TI.
6.
Penggunaan user root oleh pihak ketiga tersebut harus dibatasi waktu penggunaannya dan
pada saat penggunaannya harus diawasi oleh staf Unit Pengelola SISFO/ DIV TI.
7.
Penggunaan user root oleh pihak ketiga tersebut hanya boleh dilakukan di lokasi PT.X (di
console terminal server) dan tidak boleh di lokasi remote.
8.
Setiap kegiatan pihak ketiga dalam menggunakan user root harus dicatat dalam log book
khusus.
9.
Sharing user root harus sepengetahuan Manajemen Unit Pengelola Sistem Informasi.
Password hanya boleh diketahui oleh pemiliknya. Jika diketahui oleh orang lain maka harus
segera diganti.
2.
Kesalahan
user
sampai
batas
maksimum
dalam
memasukkan
password
dapat
mengakibatkan user tersebut log out dari sistem dan dikenai lock (user tidak boleh lagi login
sampai dia memberitahukan ke pemegang otoritas sistem).
3.
Penggunaan password oleh pihak ketiga harus seiijin manajer Unit Pengelola Sistem
Informasi terkait dan berbatas waktu kemudian sesudahnya harus segera diganti.
4.
b.
Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan
non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih
dari 2 secara berurutan.
c.
Password tidak boleh : blank (kosong), sama dengan user ID, nama atau inisial
pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja
atau yang terkait.
d.
Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan
password sebelumnya.
e.
Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh
karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya
password.
5.
26
a.
Default
password
harus
segera
diubah
manakala
pemakai
menggunakan
Password harus memiliki expiration date dalam periode tertentu, tergantung kepada
tingkat resiko dari sistem informasi yang diakses.
i.
ii.
iii.
c.
Penggunaan kembali password yang sama harus diatur dalam suatu siklus,
misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh:
Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa
digunakan kembali setelah 4 kali perubahan dilakukan.
d.
6.
Penyimpanan Password
a.
Password pribadi harus diingat atau disimpan di tempat yang aman yang tidak dapat
diketahui oleh orang yang tidak berwenang dan tidak di share dengan orang lain.
b.
Pada situasi dimana password harus di share, password harus disimpan dibawah
dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap
sistem.
c.
File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca
dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.
d.
Fasilitas reset password hanya boleh dilakukan oleh Super User setelah user yang
bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya,
alasan reset password serta jelas identitas pemilik user tersebut.
7.
2.
Khusus untuk aplikasi S dimana membutuhkan fasilitas untuk sharing user dan password
maka perlu mekanisme tersendiri yang diatur oleh manajemen Unit Pengelola Sistem
Informasi setempat.
3.
Kesalahan
user
sampai
batas
maksimum
dalam
memasukkan
password
dapat
27
4.
Penggunaan password oleh pihak ketiga harus seiijin manajer PUSKOM/SISFO terkait dan
berbatas waktu kemudian sesudahnya harus segera diganti.
5.
b.
Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan
non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih
dari 2 secara berurutan.
c.
Password tidak boleh blank (kosong), sama dengan user ID, nama atau inisial
pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja
atau yang terkait.
d.
Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan
password sebelumnya.
e.
Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh
karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya
password.
6.
Default password harus segera diubah, jika user menggunakan sistem/user ID untuk
pertama kalinya.
b.
Password harus memiliki expiration date dalam periode tertentu, tergantung kepada
tingkat resiko dari sistem informasi yang diakses.
i.
ii.
iii.
c.
Penggunaan kembali password yang sama harus diatur dalam suatu siklus,
misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh:
Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa
digunakan kembali setelah 4 kali perubahan dilakukan.
d.
7.
Penyimpanan Password
a.
b.
Pada situasi dimana password harus di share, password harus disimpan dibawah
dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap
sistem.
28
c.
File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca
dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.
8.
Fasilitas reset password hanya boleh dilakukan oleh System Administrator setelah user yang
bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya, alasan reset
password serta user tersebut milik siapa.
Pada dasarnya O/S tidak akan melindungi data yang ada di database, sehingga database harus dapat
melindungi dirinya sendiri, untuk itu kemampuan suatu database dalam hal sekuriti harus menjadi
salah satu perhatian dalam pemilihan DBMS (Database
Management System).
Database juga memiliki manajemen user sendiri yang aturan dasarnya hampir sama dengan level O/S,
hanya saja untuk mengakses database memerlukan tools atau aplikasi tambahan sebelum user benarbenar bisa mengakses. Untuk itu pembagian sekuriti pada database adalah tergantung dari topologi
yang dipakai.
TOPOLOGI
DESCRIPTION
SECURITY LEVEL
One-tier
Client/Server
(two-tier)
Three-tier
29
Database yang digunakan untuk aplikasi produksi haruslah database yang memiliki lisensi.
2.
Password yang disimpan oleh database dalam bentuk tabel atau view harus dienkripsi oleh
database tersebut.
3.
Pengaturan hak akses harus mengacu pada roles/privileges yang sudah ditentukan.
4.
5.
User-id dan password dari user O/S yang menginstall database harus aman dari penggunaan
oleh orang yang tidak berhak.
6.
Default password hasil instalasi harus diganti sebelum database dinyatakan produksi.
7.
Membuat profile untuk mengatur user, seperti kapan boleh login, kapan harus ganti
password, tabel mana yang boleh diakses dan sebagainya.
8.
Mengaktifkan fungsi audit-trail yang ada di database. Fungsi ini perlu diperhatikan karena jika
aktif maka space disk akan selau bertambah besar. Sehingga mungkin hanya diaktifkan pada
saat database diakses oleh user yang memiliki priviledge yang tinggi.
9.
Daftar user harus senantiasa dibuatkan reportnya setiap 3 (tiga) bulan sekali untuk keperluan
auditing license.
10. Akses database secara otomatis dari database lain harus sepengetahuan DBA masingmasing database.
11. Perubahan yang terjadi pada level aplikasi harus senantiasa dilaporkan ke DBA untuk
diperiksa ada tidaknya pengaruh perubahan terhadap sekuriti database.
12. Proses upgrade database harus memperhatikan :
a.
b.
c.
d.
e.
f.
g.
13. Setelah selesai dilakukan instalasi/upgrade maka harus selalu dibuatkan Berita Acara
pelaksanaan kegiatan instalasi/upgrade dan dilaporkan ke manajemen.
14. Backup
terhadap
database
harus
dilakukan
secara
terjadwal
30
15. Hasil Backup disimpan dilokasi onsite dan atau offsite untuk menghindari hal-hal yang tidak
diinginkan.
16. Prosedur restore database produksi harus mendapatkan ijin dari manajemen Unit Pengelola
Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.
Setiap Aplikasi atau layanan Sistem Informasi yang akan produksi harus sudah melewati
pengujian sekuriti oleh unit pengelola Sistem Infromasi setempat dengan mengacu kepada
standard Sekuriti yang berlaku.
2.
b.
c.
Setiap reset password yang dilakukan, harus atas permintaan user dengan identitas
user yang jelas.
3.
Aturan aplikasi harus dibuat sebagai alat untuk membatasi kewenangan user dalam
menggunakan aplikasi.
4.
5.
6.
User harus memelihara passwordnya agar jangan sampai diketahui dan dimanfaatkan oleh
pihak lain.
7.
8.
Aplikasi yang terinstall di terminal user harus dijaga dari penggunaan orang yang tidak berhak
oleh pemilik/penanggung jawab terminal tersebut.
9.
31
10. Setiap usaha untuk login ke aplikasi yang gagal autentifikasinya direkam dan dilaporkan ke
manajemen. Selanjutnya user tersebut di-lock sampai ada permintaan resmi dari user yang
bersangkutan.
11. User Guest harus memiliki hak paling minimum dalam mengakses aplikasi.
12. File atau tabel yang berisi daftar user dan password harus dienkripsi.
13. Upgrade aplikasi harus memperhatikan :
a.
b.
c.
d.
e.
f.
g.
14. Berita Acara hasil instalasi/upgrade aplikasi harus dibuat setelah selesai pekerjaan
installasi/upgrade aplikasi dan dilaporkan ke manajemen.
15. Backup terhadap aplikasi harus dilakukan setelah instalasi pertama kali juga sebelum dan
sesudah upgrade.
16. Hasil backup harus disimpan di lokasi onsite dan atau offsite.
17. Prosedur restore aplikasi produksi harus mendapatkan ijin dari manajemen Unit Pengelola
Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.
18. Prosedur tambahan untuk masing-masing aplikasi dituangkan dalam SOP/SMP tiap aplikasi.
Dokumen dikelompokkan dan disimpan dalam bentuk binder atau dibundel kemudian diberi
label dan disimpan dalam lemari yang terkunci.
2.
3.
Dokumen tersebut harus mencantumkan siapa yang mengupdate terakhir kali, revisi yang
keberapa dan tanggal terakhir dibuat.
4.
Jika
dokumen
tersebut
digandakan,
maka
hasil
penggandaannya
harus
ditandai
32
Dokumen elektronik berupa file atau direktori, perlindungan terhadap file dan direktori pada suatu
sistem file sangat penting dalam menjaga kerahasiaan, ketersediaan dan keutuhan dari informasi yang
berada pada sistem.
Perlindungan yang berlebihan terhadap file atau direktori pada satu sistem file, meskipun dapat
menjaga kerahasiaan, ketersediaan dan keutuhannya namun menyebabkan system tersebut sulit
digunakan. Untuk hal itu perlu adanya keseimbangan antara aspek perlindungan sekuriti dan
kemudahan dalam pengoperasiannya.
Dokumen yang disimpan secara elektronik hanya boleh diakses oleh authorized user.
2.
Jika ada orang lain yang akan mengakses data tersebut maka pemilik data harus
mengamankannya dengan memberikan proteksi pada dokumen tersebut.
3.
Data yang bersifat rahasia dan disimpan dalam suatu direktori tidak boleh dishare tanpa
password dan diberlakukan maximum allowed user (jumlah user maksimum yang mengakses
data dalam saat yang bersamaan).
4.
Bila diperlukan untuk akses data, maka dapat diberlakukan pembatasan waktu akses (hanya
dalam jam kerja).
5.
Terminal user harus dinon-aktifkan jika yang bersangkutan tidak ada ditempat.
6.
7.
Pengiriman data yang sifatnya rahasia dari satu terminal ke terminal lain harus menggunakan
jaringan yang terpisah dari jaringan publik yaitu berupa jaringan tersendiri dan/atau
menggunakan perangkat lunak khusus. (misalnya dengan memanfaatkan fasilitas VPNVirtual Private Network).
8.
Backup terhadap data diperlukan sesuai kebutuhan, jika data sudah dalam bentuk database
maka backup akan mengikuti prosedur pengamanan database, tetapi jika data tersebut ada di
sisi user maka user sendiri yang melakukan backup ke media lain (disket, ZIP Drive dan
sebagainya).
9.
Prosedur restore dokumen elektronik harus mendapatkan ijin dari manajemen Unit Pengelola
Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.
10. Pemberian Data kepada pihak ketiga bisa dilaksanakan sesuai dengan yang diatur dalam
PKS serta dilengkapi dengan berita acara yang ditandatangani oleh yang menyerahkan, yang
menerima dan disetujui oleh pejabat yang ditunjuk berhak memberikan informasi.
11. Manajemen unit pengelola Sistem Informasi berhak menyetujui untuk menguji prosedur
pemberian data kepada pihak ketiga, jika prosedur pemberian data tersebut melanggar
sekuriti Sistem Informasi maka Manjemen berhak untuk mengajukan penolakan atau
mengeskalasi masalah ke manajemen di atasnya untuk diselesaikan.
33
V ANTI VIRUS
Perkembangan internet yang sedemikian cepat dan diiringi dengan pertumbuhan virus yang disebar
melalui jaringan internet oleh orang-orang yang tidak bertanggung jawab menyebabkan gangguan
pada operasional di lingkungan sistem informasi. Virus bagi sistem komputer merupakan ancaman
sekuriti yang sangat serius dan perlu selalu mendapatkan pengawasan. Tujuan utama penciptaan
virus adalah melakukan pengrusakan terhadap sistem komputer dan perangkat lunak aplikasi.
Untuk melindungi data, device atau peripheral lainnya yang tersimpan di terminal workstation maupun
yang ada di server, maka diperlukan pedoman pengaturan pengamanan sistem informasi dari
serangan virus. Kunci penyebab menyebarnya virus melalui akses jaringan yang ditimbulkan dari
unsur non teknis yaitu kesadaran user internal dalam mengamankan terminalnya masing-masing dan
kepatuhan dalam menjalankan prosedur serta pengrusakan oleh user eksternal melalui jaringan
global.
Penanggung jawab pengamanan sistem informasi di terminal user dari serangan virus adalah
masing-masing pemilik terminal, sehingga setiap user harus berusaha untuk menjaga
terminalnya dari serangan virus dengan melakukan pendeteksian terhadap segala informasi
yang di terima dari luar terminalnya (contoh informasi dari luar adalah e-mail, milis,
download/FTP dari Internet/Intranet, junk-mail, serta informasi yang diperolah melalui disket
dan media penyimpan data lainnya).
2.
Setiap terminal user yang terintegrasi dalam suatu LAN harus memiliki Anti Virus dan
diaktifkan setiap terjadi interaksi dengan jaringan.
3.
DIV TI menyediakan suatu sistem Anti Virus bagi terminal user yang terhubung ke jaringan di
server Anti Virus yang akan mengupdate secara otomatis ke terminal user dan diharapkan
dapat memproteksi sistem dari virus-virus baru yang sudah terdaftar di database Anti Virus.
4.
Pengamanan terhadap terminal user selanjutnya tergantung kepada user yang bersangkutan
untuk mengaktifkan Anti Virus setiap terjadi interaksi dengan jaringan dan device lainnya.
5.
Setiap Anti Virus mendeteksi adanya kegiatan virus di terminal maka user harus segera
mengusahakan pembersihan virus (cleaning), dan memastikan kembali bahwa data yang
diakses sudah bersih dari virus.
6.
Jika user menemukan adanya varian virus baru yang tidak terdeteksi oleh sistem Anti Virus
yang disediakan server Anti Virus, user tersebut harus membatalkan transaksi yang
berlangsung dan informasi yang diterima tidak boleh diakses. Setelah itu user harus segera
melapor ke Help Desk untuk ditindak lanjuti.
34
7.
Install software sistem deteksi virus yang berfungsi untuk memfilter dan mengembalikan email yang mengandung virus sebelum sampai ke penerima. Sistem deteksi virus ini harus
selalu diupdate oleh penanggung jawab system anti virus (Unit Pelaksana Sistem Informasi).
Diagram alir dari proses pengamanan terhadap virus seperti diagram di bawah ini.
2.
Dapat mendeteksi dan menangani virus e-mail secara dini (terintegrasi dengan aplikasi mail
client).
3.
Mampu mendeteksi dan menangani virus yang menyebar melalui internet (download file).
4.
5.
Updating data virus dilakukan secara reguler dan mampu mengatasi laju perkembangan virus
komputer dewasa ini.
6.
Seluruh Personal Computer dengan software antivirus yang sudah terinstalasi dijamin
memiliki data virus terdini.
35
Server Software Anti Virus dan sistem deteksi virus (yang diinstall pada Windows NT server)
mendapat update langsung dari vendor software bersangkutan melalui internet (biasanya
rutin setiap minggu atau apabila ditemukan varian virus baru yang berbahaya)
2.
Client Software Anti Virus (yang diinstall pada Personal Computer) mendapatkan data virus
terbaru pada saat logon ke jaringan.
VI AKSES JARINGAN
Dalam sekuriti Sistem Informasi, akses terhadap sistem komputer melalui jaringan komputer baik itu
melalui LAN ataupun WAN diperlukan adanya suatu pengaturan khusus. Hal ini dilakukan untuk
memberikan perlindungan keamanan terhadap informasi yang terkandung di dalamnya. Sistem
keamanan jaringan komputer menjadi sangat penting jika akses jaringan tersebut sudah memasuki
jaringan komputer global (internet) yang berarti membuka jalan terhadap kemungkinan pihak-pihak di
luar sistem untuk dapat akses ke sistem komputer. Akses terbuka ini akan membuat kondisi sistem
yang lebih rawan terhadap ancamandan/atau gangguan.
Untuk menghindari ancaman atau hal-hal yang tidak diharapkan tersebut, maka perlu
dilakukan antisipasi dengan memperketat sistem sekuriti terhadap akses jaringan melalui penggunaan
perangkat sekuriti (security tools).
Untuk control akses jaringan internal (intranet), seluruh perangkat jaringan seperti router, switch, hub
dan lain-lain harus diatur dan dikendalikan oleh Manager Sekuriti. Perangkat tersebut harus
mengaktifkan kontrol akses untuk merekam dan memantau setiap aktifitas sehingga dapat
dipergunakan sebagai informasi untuk keperluan auditing. Tidak ada perangkat jaringan yang
terhubung ke jaringan baik LAN maupun WAN, tanpa persetujuan Manager Sekuriti terlebih dahulu.
Sedangkan untuk menjaga keamanan jaringan internal dari akses jaringan eksternal (internet), maka
seluruh akses ekternal harus dikendalikan dengan mengunakan filtering trafik. Konsep keamanan yang
paling umum digunakan untuk melindungi jaringan dari akses-akses luar yang tidak dikehendaki yaitu
dengan menggunakan firewall. Seluruh akses jaringan eksternal ke jaringan internal harus melalui
firewall. Disini harus dibuat adanya access list atau filtering untuk incoming dan outgoing packet dari
dan untuk tujuan-tujuan (destinations) yang spesifik atau penyediaan fitur NAT (Network Address
Translation). Fasiltas filtering yaitu filtering IP Address dan filtering protocol.
36
Dengan diterapkan firewall ini yang ditempatkan antara jaringan intranet dengan jaringan internet,
diharapkan akan mencegah atau menghambat kemungkinan-kemungkinan pengrusakan sistem
komputer oleh pihak-pihak yang tidak bertanggungjawab.
Salah satu pengamanan terhadap akses Sistem informasi adalah dengan melakukan proteksi pada
Sistem Komputer yang ada, khususnya pada servis-servis yang terdapat di perangkat server. Servis ini
merupakan bagian dari Operating System yang dijalankan pada server tersebut.
Akan tetapi servis tersebut akan tetap dijalankan, walaupun tidak semuannya akan dipergunakan
karena merupakan standard dari Operating System. Untuk keamanan sistem informasi tersebut, maka
sebaiknya servis-servis ditutup jika memang tidak dipergunakan atau diperlukan.
Pada sistem protokol yang mempergunakan TCP/IP, servis-servis yang dimaksud adalah port yaitu
alamat tempat dari servis atau aplikasi dijalankan, yang terdiri atas :
Servis atau aplikasi
Port
21
Telnet
23
25
Gopher
70
Finger
79
80
POP3
110
119
Prosedur
1.
Pastikan fungsi-fungsi yang dibutuhkan atau yang akan dipergunakan pada server tersebut.
2.
37
3.
Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu
servis yang masih aktif.
4.
Beberapa tools yang juga sering dipergunakan sebagai sistem proteksi pada server adalah dengan
TCP_Wrappers pada platform UNIX based, NetGate pada platform SPARC System, Internet Packet
Filter pada platform SunOS, Argus pada platform SunOS, Solaris dan SGI IRIX serta NOCOL pada
Platform Apple Talk Netware.
Sistem sekuriti pada router merupakan pengamanan awal dalam suatu jaringan internal, dimana harus
diketahui fungsi port yang dipergunakan di dalam router tersebut. Umumnya router memiliki 2 jenis
port, yaitu serial port dan ethernet port. Serial port digunakan point to point connection antar router dan
ethernet port digunakan untuk koneksi LAN.
Prosedur yang harus dilakukan dalam pengamanan akses pada router yaitu:
1.
Membuat akses username dan password bagi administrator router yang diberikan hanya
kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.
2.
3.
b.
c.
d.
Mengaktifkan encryption key pada administrator password router baik pada akses console
maupun akses telnet.
4.
Membuat back up file konfigurasi, file security dan disimpan di tempat khusus.
5.
6.
Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.
7.
Menentukan dan merahasiakan SNMP server community Read /Write pada system
administrasi network.
8.
38
Switch Hub adalah perangkat LAN yang bekerja pada DataLink Layer yang berfungsi untuk menyaring
(filter), meneruskan (forward) dan mengalirkan (floods) setiap frame yang diterima ke tujuan masingmasing , switch hub juga merupakan titik awal tersambungnya suatu terminal pada segment LAN.
Prosedur yang harus dilakukan dalam pengamanan akses pada Switch Hub yaitu:
1.
Membuat akses username dan password bagi administrator switch hub yang diberikan hanya
kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.
2.
3.
b.
Mengaktifkan encryption key pada administrator password Switch Hub baik pada akses
console maupun akses telnet.
4.
Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.
5.
Membuat back up file konfigurasi, file security dan disimpan di tempat khusus.
6.
Menentukan dan merahasiakan SNMP server community Read /Write pada system
administrasi network.
6.3 Firewall
Firewall merupakan suatu instrumen utama yang dipergunakan untuk mengimplementasikan kebijakan
sistem keamanan jaringan komputer. Pada umumnya firewall diletakkan di antara jaringan internal
perusahaan (intranet) dengan jaringan eksternal (internet), firewall bertindak sebagai titik yang
digunakan untuk memonitor dan menolak lalu lintas jaringan pada tingkat aplikasi, sehingga dalam hal
ini firewall bertindak sebagai filter untuk menyaring akses dari eksternal terhadap informasi-informasi
dari internal perusahaan. Pada sistem security jaringan komputer PT. X dilakukan dengan
menggunakan sistem firewall berlapis baik di jaringan internal (intranet) yang mempunyai akses
kepada pelayanan pelanggan (seperti System Online Payment Point) maupun di jaringan eksternal
(internet).
Firewall dibangun untuk mencegah pengrusakan sistem informasi dari user eksternal yang memiliki
pengetahuan sistem security jaringan komputer dengan berbagai cara. Mekanisme yang umum
digunakan saat ini adalah menggunakan filter router, computer gateway, dan jaringan terisolasi (Virtual
Private Network).
Prosedur
Interkoneksi jaringan eksternal yang tersambung ke jaringan internal tidak direkomendasikan tanpa
firewall. Pengoperasian firewall menjadi tanggung jawab administrator jaringan Intranet atau Internet
oleh masing-masing Unit yang mengelola jaringan Sistem Informasi yang terhubung dengan global
Internet. Prosedurnya sebagai berikut :
39
1.
Pastikan fungsi-fungsi atau servis-servis yang dibutuhkan atau yang akan dipergunakan
suatu aplikasi.
2.
Pastikan waktu yang diperkenankan untuk mengakses data sistem informasi (opsional).
3.
4.
Pastikan IP Address internal yang akan digunakan pada suatu aplikasi daaan alokasi address
external jika aplikasi tersebut akan dipublikasikan ke internet.
5.
6.
Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu
servis yang masih aktif.
7.
8.
6.4 Proxy
Secara teknis sistem sekuriti dengan menggunakan proxy merupakan suatu aplikasi yang berada di
antara firewall yang dapat melihat dua sisi jaringan, jaringan intranet dan jaringan internet.
Fungsi utama proxy ini hanyalah sebagai pengantar penyediaan pelayanan termasuk FTP, HTTP,
DNS dan SMTP. Proxy akan menangkap semua hubungan-hubungan untuk setiap internet protocol
dan melakukan pemeriksaan sekuriti pada berbagai layer dalam suatu protokol. Aplikasi proxy akan
melakukan beberapa tingkat pemeriksaan setiap isi dari paket-paket data yang dilewatkan. Akan
tetapi, karena proses ini akan memakai CPU yang cukup intensif, maka tingkat analisanya agar
dibatasi dan tidak dilakukan secara keseluruhan pada hubungan yang dienkripsi seperti Secure Socket
Layer (SSL)
Permintaan untuk pelayanan dari luar yang berasal dari suatu organisasi seperti web browser yang
menunjuk pada remote URL, ditangani oleh pelayanan proxy HTTP dan dituntun oleh basis operasi
firewall untuk akses ke dalam internet. Sebaliknya, trafik dari internet yang masuk ke dalam organisasi,
seperti e-mail, ditangkap oleh pelayanan proxy SMTP dan dituntun oleh basis operasi firewall untuk di
akses ke dalam intranet.
Prosedur
1.
Harus mengetahui sifat dari aplikasi yang akan didaftar di proxy server tersebut.
2.
Aplikasi tidak diperkenankan bersinggungan dengan internet, agar tidak didaftar di proxy
server
3.
Setiap aplikasi yang berbasis web dan terhubung dengan internet harus terdaftar di proxy
server
4.
40
Adakalanya user-user tertentu memerlukan akses ke jaringan Sistem Informasi saat berada di luar
jaringan internal atau suatu tempat yang tidak memiliki jaringan internal. Untuk memenuhi kebutuhan
tersebut, maka user akan mempergunakan fasilitas Remote Access Service (RAS) melalui akses
jaringan PSTN Sistem keamanan pada RAS ini harus terjamin dan telah mendapat pertujuan dari
kepala unit pengelola Sistem Informasi. Misalnya saja penempatan segmen jaringan perangkat RAS
yang harus terpisah dari segmen jaringan perangkat informasi yang ada. Ini berguna agar adanya
suatu filtering dalam mengakses jaringan internal yang ada.
Prosedur
1.
Akses remote ke jaringan internal diberikan hanya kepada pegawai PT. X dan digunakan
untuk kebutuhan pengendalian operasional dan akses tingkat manajemen PT. X.
2.
Untuk akses remote oleh pihak ketiga diberikan setelah mendapat ijin dari Ka Unit atau
pejabat pengelola Sistem Informasi serta mendapat persetujuan dari pemilik data.
3.
4.
Pada perangkat Sistem Informasi yang dapat diakses secara remote, harus memiliki user
access-list yang memakai fasilitas tersebut.
5.
Pada perangkat jaringan internal harus memiliki Control access-list yang memuat perangkatperangkat sistem informasi yang dapat diakses secara remote.
6.
Harus dilakukan validasi keabsahan setiap user yang akses secara remote, baik itu pada
perangkat jaringan internal maupun eksternal.
2.
3.
4.
Remote install software client seperti antivirus dan software aplikasi yang disepakati menjadi
kebutuhan user.
5.
Desktop management ini merupakan kebutuhan sistem security jaringan yang harus dijalankan oleh
user client dengan memenuhi ketentuan-ketentuan yang benar.
Prosedur
Untuk kelancaran operasional Desktop management perlu pengaturan prosedur baik di tingkat
administrator desktop management maupun di tingkat user /client, yaitu :
1.
Tingkat administrator :
41
a.
b.
c.
d.
2.
Tingkat user :
a.
b.
User harus mengaktifkan fungsi-fungsi pengamanan standar yang ada di masingmasing PC yang dipakainya seperti :
i.
Mengaktifkan Power-On-Password
ii.
42