Module6Bahasa PDF
Module6Bahasa PDF
Pemikiran
Apakah isi Modul 6 dan kepada siapa ditujukan?
Target Peserta
Pembuat kebijakan dan pejabat pemerintah sehingga
mereka memahami isu-isu terkait keamanan informasi
Penekanan Utama
Gambaran kebutuhan keamanan informasi
Isu-isu
Isu isu dan tren keamanan informasi
Formulasi strategi keamanan informasi
Struktur Modul
Modul 6 terdiri dari 6 sesi:
Sesi 1: Kebutuhan Keamanan Informasi
Informasi, Tren Keamanan
Informasi, dan Peningkatan Keamanan
Sesi 2: Aktivitas Keamanan Informasi
Sesi 3: Metodologi Keamanan Informasi
Sesi 4: Perlindungan Privasi
Sesi 5: Pembentukan Dan Operasi CSIRT
Sesi 6: Daur Hidup Kebijakan Keamanan Informasi
Modul 6:
Keamanan Jaringan dan Keamanan Informasi
dan Privasi
Sesi 1: Kebutuhan Keamanan Informasi
Informasi,
Tren Keamanan Informasi,
dan Peningkatan Keamanan
Tujuan Pembelajaran
Memahami konsep informasi dan keamanan informasi,
dan mengenali kebutuhan akan keamanan informasi
Memahami domain keamanan informasi dan mana saja
yang ditekankan di standar internasional
Mengenali target serangan dengan memahami tren
terkini dalam ancaman keamanan
Mengenali metode-metode
metode metode yang ada untuk menghadapi
ancaman
Konsep Informasi
Apakah informasi?
Dari p
perspektif
p
Keamanan Informasi
Informasi diartikan sebagai sebuah aset;
merupakan sesuatu yang memiliki nilai dan
karenanya harus dilindungi
Nilai secara intrinsik melibatkan subyektivitas
yang membutuhkan penilaian dan pengambilan
keputusan
Oleh
Ol h karena
k
it
itu:
Keamanan adalah ilmu pengetahuan dan seni.
Konsep Informasi
Nilai Informasi
K
Karakteristik
kt i tik
A t iinformasi
Aset
f
i
A t nyata
Aset
t
Bentukpemeliharaan
Variabel nilai
B b i
Berbagi
Konsep Informasi
Risiko terhadap aset informasi
Peningkatan perilaku tidak etis yang timbul dari
anonimitas
TIK dapat digunakan untuk memelihara anonimitas, yang
mempermudah seseorang untuk melakukan tindakan tidak etis
dan kriminal,, termasuk perolehan
p
informasi secara ilegal
g
Konsep Informasi
4R keamanan informasi
Konsep Informasi
Penerapan Keamanan Informasi
Cara menerapkan 4R adalah dengan menjamin
kerahasiaan, integritas, dan ketersediaan.
Integritas
Kerahasiaan
Ketersediaan
Konsep Informasi
Karakteristik Keamanan Informasi
Kerahasiaan
Integritas
Konsep Informasi
Hubungan antara Risiko dan Aset Informasi
Konsep Informasi
Metode-metode manajemen risiko
Sumber: McAfee
National
N ti
l Interest
I t
t
Spy
Largest area by
$ lost
Personal Gain
Fastest
growing
i
segment
Thief
Trespasser
Personal Fame
Largest area by
volume
Vandal
Author
Curiosity
Script--Kiddy
Script
Amateur
Expert
Specialist
Jenis-jenis Serangan
Hacking
Tindakan memperoleh akses ke komputer atau
jaringan komputer untuk mendapatkan atau
mengubah
b h iinfomasi
f
i ttanpa otorisasi
t i
i yang sah
h
Dapat dikelompokkan dalam hacking iseng,
k i i l atau politis
kriminal
li i
Serangan Hacking
Ags 2008
Apr 2007
Sep 2005
Mei 2005
Apr 2001
Jenis-jenis Serangan
Denial of Service
Serangan Denial-of-service (DoS) mencegah
pengguna yang sah dari penggunaan layanan
k tik pelaku
ketika
l k mendapatkan
d
tk akses
k
ttanpa iizin
i kke
mesin atau data. Ini terjadi karena pelaku
membanjiri jaringan dengan volume data yang
membanjiri
besar atau sengaja menghabiskan sumber
daya yang langka atau terbatas
terbatas, seperti
process control blocks atau koneksi jaringan
yang tertunda.
Jenis-jenis Serangan
Malicious Code (Kode Berbahaya)
Program yang menyebabkan kerusakan
sistem ketika dijalankan
Termasuk Trojan horse, virus, dan worm
Jenis-jenis Serangan
Social Engineering
Sekumpulan teknik untuk memanipulasi orang
sehingga orang tersebut membocorkan informasi
rahasia
h i
Peningkatan Keamanan
Pengamanan Administratif
Strategi, kebijakan, dan pedoman keamanan
informasi
Peningkatan Keamanan
Pengamanan Administratif lanjutan
Proses dan operasi keamanan informasi
9Program
g
pendidikan dan p
p
pelatihan
keamanan informasi
Penguatan promosi melalui berbagai
9Penguatan
kegiatan
9Pengamanan dukungan
Peningkatan Keamanan
Pengamanan dengan Teknologi
Model Defense-in-Depth (DID)
Peningkatan Keamanan
Pengamanan dengan Teknologi
Teknologi Pencegah
9Kriptografi
p g
Proses pengkodean informasi dari bentuk aslinya
(disebut plaintext) menjadi sandi, bentuk yang
tidak dapat dipahami
mencegahnya.
h
Peningkatan Keamanan
Pengamanan dengan Teknologi
Teknologi pencegah (lanjutan)
9Firewall
Firewalls mengatur beberapa aliran lalu lintas
antara jaringan komputer dari trust level yang
berbeda.
berbeda
9Alat penganalisis kerentanan
Ad 3 jenis
Ada
j i alat
l t penganalisis
li i kerentanan:
k
t
Alat penganalisis kerentanan jaringan
Al t penganalisis
Alat
li i kkerentanan
t
server
Alat penganalisis kerentanan web
Peningkatan Keamanan
Pengamanan dengan Teknologi
Teknologi deteksi
9Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir atau
mengeliminasi kode berbahaya
9IDS (Intrusion
(Intr sion Detection S
System)
stem)
IDS mengumpulkan dan menganalisis informasi dari
berbagai area dalam sebuah komputer atau jaringan untuk
mengidentifikasi kemungkinan penerobosan keamanan
Peningkatan Keamanan
Pengamanan dengan Teknologi
Teknologi terintegrasi
9ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan
mengoperasikan solusi keamanan informasi
seperti IDS dan IPS mengikuti kebijakan yang
ditetapkan
9ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi
seluruh risiko yang terkait dengan organisasi
organisasi,
termasuk area di luar keamanan informasi, dan
mengatur langkah mengatasinya secara otomatis
Tugas 1
Nilailah tingkat kesadaran keamanan informasi diantara
anggota organisasi Anda.
Anda
Sebutkan langkah-langkah
langkah langkah yang diambil oleh organisasi
Anda dalam mengimplementasikan keamanan informasi.
Klasifikasikan langkah
langkah-langkah
langkah tersebut ke dalam 4
metode keamanan informasi.
Temukan contoh langkah keamanan informasi dalam
domain administratif, fisik, dan teknis di organisasi Anda
atau organisasi lain di negara atau wilayah Anda.
Tugas 2
Jawablah pertanyaan berikut:
Ancaman keamanan informasi apa yang mudah
menyerang organisasi Anda? Mengapa?
S l i tteknologi
Solusi
k l i kkeamanan iinformasi
f
i mana yang
tersedia di organisasi Anda?
Apakah organisasi Anda memiliki kebijakan
kebijakan, strategi
dan pedoman keamanan informasi?
9 Jika ya
ya, seberapa cukupkah hal-hal
hal hal tersebut terhadap
ancaman yang mudah menyerang organisasi Anda?
9 Jika tidak, apa yang akan Anda rekomendasikan untuk
organisasi
i
iA
Anda
d terkait
t k it kebijakan,
k bij k
strategi
t t id
dan pedoman
d
keamanan informasi?
Tujuan Pembelajaran
Memahami aktivitas keamanan informasi di AS,
UE Korea
UE,
K
d
dan JJepang
Memahami aktivitas keamanan informasi dari
organisasi
g
internasional dan p
peran organisasi
g
standar internasional terkait dengan keamanan
informasi.
Konten
A. Aktivitas keamanan informasi nasional
a. AS
b. UE
c. Republik Korea
d Jepang
d.
B Aktivitas
B.
Akti it keamanan
k
informasi
i f
i internasional
i t
i
l
a. Aktivitas keamanan informasi dari organisasi
internasional
b. Organisasi internasional berdasarkan subyek
tertentu
Dialog
Kerjasama
Pemberdayaan
Kebijakan praktis:
9 Memajukan teknologi keamanan informasi
9 Memajukan kerjasama dan kolaborasi internasional
9 Pengembangan sumber daya manusia
9 Pengawasan kejahatan dan langkah perlindungan
1)
2)
3)
adalah
d l h rencana ttahunan
h
kkeamanan iinformasi.
f
i Secure
S
J
Japan
2007 berisi 159 langkah implementasi keamanan informasi dan
arah rencana untuk 24 prioritas.
SJ2008 mencakup hal berikut:
Mempelajari langkah terobosan terhadap keterbatasan sistem
promosi yang ada saat ini, kerangka kerja dari ukuran dan level
teknologi
Sejumlah langkah perlu diambil dengan tepat
Memajukan usaha sehingga kebijakan keamanan informasi dapat
menghasilkan
g
dampak
p ((hasil)) sosial
9M di
9Media
9 Sisi etika dalam Masyarakat Informasi
9 Kerjasama regional dan internasional
C
Council
il
Radio frequency
q
y identification ((RFID)) yang
y g bersifat
pervasif, sensor dan jaringan
Kerangka kerja umum untuk implementasi keamanan
informasi dan privasi
Ringkasan
A. Aktivitas keamanan informasi nasional
a. AS
b. UE
c. Republik Korea
d Jepang
d.
B Aktivitas
B.
Akti it keamanan
k
informasi
i f
i internasional
i t
i
l
a. Aktivitas keamanan informasi dari organisasi
internasional
b. Organisasi internasional berdasarkan subyek
tertentu
Tugas
Apa kemiripan diantara kegiatan keamanan
i f
informasi
i yang dil
dilaksanakan
k
k oleh
l h negaranegara yang dijelaskan dalam Bagian ini? Apa
perbedaannya?
b d
?
Apakah ada aktivitas keamanan informasi oleh
negara yang telah disebutkan sebelumnya yang
tidak dapat diterapkan di negara Anda atau tidak
relevan?
9Jika ya, yang mana dan mengapa mereka tidak
dapat diterapkan atau tidak relevan?
Tujuan Pembelajaran
Memahami aspek administratif, fisik, dan teknis
dari Metodologi Keamanan Informasi
Memahami
M
h i metode-metode
t d
t d keamanan
k
informasi
i f
i
yang diterapkan di negara maju
Konten
Metodologi Keamanan Informasi
Aspekk Administratif
A
Ad i i t tif
Aspek Fisik
A
Aspek
k Teknis
T k i ~ Common
C
C
Criteria
it i
Contoh
C
Menurut Negara
Amerika (NIST)
Inggris (BS7799)
Jepang (ISMS Ver. 2.0 (BS7799 Bagian 2: 2002))
Republik Korea (ISO/IEC27001 dan/atau KISA
ISMS)
J
Jerman
(IT Baseline
B
li P
Protection
t ti Q
Qualification)
lifi ti )
Lainnya
Metodologi Keamanan
Informasi
Aspek Administratif
ISO/IEC 27001 (BS7799)
ISO27001 berisi kebutuhan untuk implementasi dan pengelolaan
ISMS dan standar-standar umum y
yang
g digunakan
g
untuk standar
keamanan berbagai organisasi serta manajemen keamanan
yang efektif
Kontrol di ISO/IEC27001
Domain
D
i
A5.
A6.
A7.
A8.
A9.
A10.
A11.
A12.
A13.
A14
A14.
A15.
Item
It
Kebijakan keamanan
Organisasi keamanan informasi
Manajemen aset
Keamanan sumber daya manusia
Keamanan fisik dan lingkungan
Manajemen komunikasi dan operasi
Kontrol akses
Pengadaan, pengembangan dan pemeliharaan sistem
informasi
Manajemen insiden keamanan informasi
Manajemen keberlangsungan bisnis
Kepatuhan (compliance)
Sumber: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103
Metodologi Keamanan
Informasi
Aspek Administratif
Model
M d lP
Proses ISO/IEC 27001 (BS7799)
ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act,
yang
y
g digunakan
g
untuk mengatur
g
struktur seluruh p
proses ISMS.
Model PDCA yang diterapkan ke Proses ISMS
Metodologi Keamanan
Informasi
Aspek Administratif
ISO/IEC 27001 (BS7799)
9Analisis kesenjangan
Proses pengukuran tingkat keamanan informasi saat ini
dan menetapkan arah masa depan keamanan informasi
9Kajian
Kajian risiko
Terdiri dari dua bagian: kajian nilai aset dan kajian
ancaman dan kerentanan
9Penerapan kontrol
Diperlukan keputusan untuk menerapkan kontrol yang
sesuaii untuk
t k masing-masing
i
i nilai
il i aset.
t Ri
Risiko
ik perlu
l
dibagi ke dalam risiko yang dapat diterima dan risiko
yyang
g tidak dapat
p
diterima mengikuti
g
kriteria
'Tingkatan Jaminan'.
Metodologi Keamanan
Informasi
Aspek Administratif
Sertifikasi
S tifik i ISO/IEC 27001 (BS7799)
Setiap negara memiliki badan sertifikasi ISO/IEC27001. Jumlah
sertifikasi tiap negara sebagai berikut:
Jumlah Sertifikasi Tiap Negara
Negara
Jumlah
Negara
Jumlah
Negara
Jumlah
Jepang
2351
Filipina
12
Vietnam
India
382
Swiss
12
Argentina
Inggris
365
UEA
12
Belgia
Taiwan
170
Arab Saudi
10
Bulgaria
Cina
102
Perancis
10
Denmark
J
Jerman
85
I l d
Iceland
Lith
Lithuania
i
Hungaria
61
Pakistan
Oman
Korea
59
Swedia
Peru
AS
59
Thailand
Portugal
Australia
53
Yunani
Qatar
Sumber: http://www.iso27001certificates.com/
Metodologi Keamanan
Informasi
Aspek Fisik
FEMA 426 di AS
FEMA (Federal Emergency Management
Agency) 426 merupakan standar ISMS fisik di
Amerika Serikat dan digunakan di banyak negara
sebagai
b
i metodologi.
d l i FEMA 426 memberikan
b ik
pedoman untuk melindungi gedung terhadap
serangan teroris
teroris.
Seri terkait:
9FEMA 427: untuk bangunan komersial
9FEMA 428: untuk sekolah
9FEMA 429: untuk asuransi
9FEMA 430: untuk arsitek
Rincian
FAU
Audit keamanan
FCO
Komunikasi
FCS
Dukungan kriptografi
FDP
FIA
Menanggapii kebutuhan
M
k b h fungsi
f
i untuk
k menetapkan
k dan
d
memverifikasi identitas pengguna yang diklaim
Rincian
Manajemen keamanan
Privasi
Proteksi TSF
g
yang
y
g terkait dengan
g
Berisi kebutuhan fungsional
integritas dan manajemen mekanisme dari TSF dan
integritas data TSF
FRU
FTA
Akses TOE
FTP
Jalur/saluran yang
dipercaya
FMT
FPR
FPT
ASE
ADV
Pengembangan
AGD
Dokumen pedoman
Rincian
Ini dibutuhkan untuk menunjukkan bahwa PP sudah baik dan konsisten
dan, jika PP berdasar pada satu atau lebih PP atau paket lainnya,
bahwa PP merupakan perwujudan yang benar dari PP dan paket yang
digunakan.
Ini dibutuhkan untuk menunjukkan bahwa ST sudah baik dan konsisten
dan, jika ST berdasar pada satu atau lebih PP lainnya atau pada paket,
bahwa ST merupakan perwujudan yang benar dari PP dan paket yang
digunakan.
Ini memberikan informasi tentang TOE.
TOE Pengetahuan yang didapat
digunakan sebagai dasar untuk melakukan analisis kerentanan dan
pengujian TOE, seperti dijelaskan dalam kelas kelas ATE dan AVA.
Untuk persiapan dan operasi TOE yang aman, perlu digambarkan
semua aspek yang relevan untuk penanganan TOE yang aman. Kelas
t
tersebut
b t juga
j
menanggapii kkemungkinan
ki
salah
l h kkonfigurasi
fi
i atau
t
penanganan TOE yang tidak diharapkan.
ALC
Dukungan daur-hidup
ATE
Tes
AVA
Kajian kerentanan
ACO
Komposisi
Rincian
Dalam daur
daur-hidup
hidup produk, termasuk didalamnya
kemampuan manajemen konfigurasi (CM), ruang lingkup
CM, penyampaian, kemanan pengembangan, perbaikan
kerusakan, definisi, perangkat dan teknik daur-hidup,
membedakan apakan TOE dibawah tanggung jawab
pengembang atau pengguna.
Penekanan di kelas ini adalah pada konfirmasi bahwa
TSF beroperasi sesuai dengan deskripsi desainnya.
Kelas ini tidak berurusan dengan penetrasi pengujian.
pengujian
Kajian kerentanan mencakup berbagai kerentanan dalam
pengembangan dan operasi TOE.
Menetapkan kebutuhan penjaminan yang didesain untuk
memberikan kenyaman bahwa TOE yang disusun akan
beroperasi secara aman ketika mengandalkan
fungsionalitas keamanan yang disediakan oleh komponen
piranti lunak, firmware atau perangkat keras yang
dievaluasi sebelumnya.
PP mendeskrispsikan
d ki
ik sekumpulan
k
l kkebutuhan
b t h
keamanan yang bebas-dari-implementasi untuk
kategori TOE dan berisi pernyataan masalah
keamanan dimana produk
yang compliant
berusaha selesaikan.
9Evaluasi ST (Security Target)
9 Pedoman
P d
Terkait:
T k it
SP (special publication)
FIPS ((Federal Information
Processing Standards
Publications)
9 Sistem Serupa:
IT Health Check Services
(Disertifikasi oleh CESG)
Standar
K
Kanada
d
Communications Security
Establishment
Taiwan
Singapura
Ringkasan
Metodologi Keamanan Informasi
Aspekk Administratif
A
Ad i i t tif
Aspek Fisik
A
Aspek
k Teknis
T k i ~ Kriteria
K it i Umum
U
Contoh
C
Menurut Negara
Amerika Serikat (NIST)
Inggris (BS7799)
Jepang (ISMS Ver. 2.0 (BS7799 Bagian 2: 2002))
Republik Korea (ISO/IEC27001 dan/atau KISA
ISMS)
J
Jerman
(IT Baseline
B
li P
Protection
t ti Q
Qualification)
lifi ti )
Lainnya
Tujuan Pembelajaran
Memahami konsep privasi
Tren kebijakan
j
p
privasi di organisasi
g
internasional
dan beberapa negara
Memberikan gambaran dan contoh Kajian
Dampak Privasi (Privacy Impact Assessment).
Assessment)
Konten
Konsep Privasi
Apakah Informasi
Informasi Pribadi?
Pribadi ?
Informasi Pribadi dan Privasi
Serangan Privasi
Konsep Privasi
Apakah Informasi Pribadi?
Secara sempit
sempit, Informasi pribadi adalah informasi yang berkaitan
dengan individu yang dapat diidentifikasi atau orang yang
teridentifikasi. Termasuk di dalamnya informasi seperti nama, nomor
telepon, alamat, e-mail, nomor lisensi mobil, karakteristik fisik
(dimensi wajah, sidik jari, tulisan tangan, dan lain-lain), nomor kartu
kredit, dan hubungan keluarga
Informasi Pribadi, definisi sempit
Nama
Alamat e-mail
Hubungan
g keluarga
g
Nomor telepon
Alamat
Karakteristik fisik
Konsep Privasi
Apakah Informasi Pribadi?
Dalam pengertian lebih luas, mencakup informasi
pribadi seperti informasi kredit, detail transaksi,
d t il panggilan
detail
il ttelepon,
l
l t b
latar
belakang
l k
akademik, karir, evaluasi/opini, dan catatan
kriminal
kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit
Detail transaksi
Detail p
panggilan
gg
telepon
p
Latar belakang
g akademik
Karir
Evaluasi
Pendapat
Catatan kriminal
Konsep Privasi
Informasi Pribadi dan Privasi
Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak
pada
d perilaku
il k pihak
ih k llain
i tterhadap
h d pribadi
ib di yang
bersangkutan dan pada akhirnya berdampak
negatif terhadap kehidupan sosial
sosial, harta benda
benda,
dan keselamatan-nya.
Oleh karena itu
itu, informasi pribadi harus dilindungi
dari akses, pengumpulan, penyimpanan, analisis
dan penggunaan yang salah
salah. Dalam hal ini
ini,
informasi pribadi adalah subyek perlindungan.
Konsep Privasi
Informasi Pribadi dan Privasi
Ada lima cara untuk menjelaskan hak untuk
privasi:
1 Hak untuk bebas dari akses yang tidak diinginkan
1.
(misalnya akses fisik, akses melalui SMS)
2. Hak untuk tidak membolehkan informasi pribadi
digunakan dengan cara yang tidak diinginkan
(misalnya penjualan informasi, pembocoran
informasi pencocokan)
informasi,
3. Hak untuk tidak membolehkan informasi pribadi
dikumpulkan oleh pihak lain tanpa sepengetahuan
atau seizin seseorang (misalnya melalui
penggunaan CCTV dan cookies)
4. Hak untuk memiliki informasi pribadi yang
dinyatakan secara akurat dan benar (integritas)
5 Hak untuk mendapatkan imbalan atas nilai informasi
Konsep Privasi
Informasi Pribadi dan Privasi
K
Konsep
Pasif
P if
9The right to life has come to mean the right to
enjoy life the right to be let alone
alone.
Samuel Warren & Louise Brandeis
(
(1890)
)
9Hak untuk dibiarkan sendiri (tidak diusik)
9Hak alami terkait dengan martabat manusia
9Terkait dengan undang-undang yang melarang
masuk tanpa izin
K
Konsep
Aktif
9Kontrol mandiri terhadap informasi pribadi, atau
9Hak untuk
nt k melakukan
melak kan koreksi terhadap efek yang
ang
dihasilkan dari informasi pribadi yang tidak benar
8. Prinsip akuntabilitas
Pengendali data harus bertanggung jawab untuk mematuhi
langkah-langkah yang memberikan efek pada prinsip-prinsip
yang dinyatakan
di
t k di atas
t
Proses PIA
Analisis
Konseptual
Analisis
Alur Data
Analisis
Tindakan
K
Kanada
d
Mewajibkan eksekusi PIA pada basis hukum umum pada privasi
Dengan sukarela melaksanakan PIA (tanpa dasar hukum)
Australia /
Selandia Baru PIA Handbook untuk mendukung PIA (2004, Selandia Baru), pe
Ringkasan
Konsep Privasi
Apakah Informasi
Informasi Pribadi?
Pribadi ?
Informasi Pribadi dan Privasi
Serangan Privasi
Tujuan Pembelajaran
Menjelaskan bagaimana membentuk dan
mengoperasikan
ik Computer
C
t S
Security
it Incident
I id t
Response Team (CSIRT) nasional; dan
Mempelajari
p j berbagai
g model CSIRT
Konten
Pengembangan dan Operasi CSIRT
Tinjauan
Model CSIRT dan Memilih Model CSIRT yang
tepat
Pembentukan CSIRT
Operasi & Layanan CSIRT
Riwayat CSIRT
1988, penyebaran pertama worm Morris
Defence Advanced Research Projects Agency (DARPA)
membentuk Software Engineering Institute (SEI) dan kemudian
membentuk CERT/CC.
Setiap negara di Eropa membentuk organisasi sejenis
Forum of Incident Response and Security Teams (FIRST)
dibentuk pada tahun 1990
Model CSIRT
Model Tim Keamanan
(menggunakan staf TI
yang ada)
Berlawanan dengan
CSIRT yang umum
Tidak ada organisasi
sentral yang bertanggung
jawab untuk menangani
insiden keamanan
komputer
Tugas penanganan
insiden dilakukan oleh
administrator sistem dan
jaringan, atau oleh
spesialis sistem
keamanan lainnya
Model CSIRT
Model CSIRT Terdistribusi Internal
Tim dalam model ini terdiri dari administrator CSIRT yang
bertanggungjawab untuk pelaporan dan manajemen keseluruhan,
dan staf dari divisi-divisi lain dari lembaga/perusahaan.
9 Perbandingan dengan model Tim
Keamanan:
Keberadaan kebijakan, prosedur,
dan proses yang lebih formal untuk
menangani insiden
Ditetapkannya
Dit t k
metode
t d komunikasi
k
ik i
dengan keseluruhan perusahaan
terkait ancaman keamanan dan
strategi penanganan; dan
Manajer dan anggota tim CSIRT
yang ditunjuk dan ditugaskan
secara khusus untuk penanganan
p
g
insiden
Model CSIRT
Model CSIRT
Terpusat Internal
Tim yang lokasinya
terpusat
mengendalikan dan
mendukung organisasi
CSIRT memiliki
tanggung jawab
menyeluruh terhadap
pelaporan analisis
pelaporan,
dan penanganan
insiden
Anggota tim
menghabiskan seluruh
waktu menangani
g
seluruh insiden
Model CSIRT
Model CSIRT
Gabungan Terdistribusi
dan Terpusat
Dimana CSIRT terpusat
tidak dapat mengendalikan
dan mendukung
keseluruhan organisasi,
p anggota
gg
tim
beberapa
didistribusikan ke
lokasi/cabang/divisi
organisasi untuk
menyediakan tingkat
pelayanan yang sama
dalam area tanggung
jjawab mereka seperti
p
yyang
g
disediakan pada CSIRT
terpusat
Model CSIRT
Model CSIRT
Terkoordinasi
Anggota tim dalam
CSIRT kombinasi
dikelompokkan
kedalam CSIRT
independen
berdasarkan pada
beberapa karakteristik
seperti konektivitas
jaringan, batas
geografis, dan lain-lain.
Mereka
M k dikendalikan
dik d lik
oleh CSIRT terpusat.
Pembentukan CSIRT
Lima tahapan dalam membentuk CSIRT
Tahap
T h 1 - tingkat
ti k t kesadaran
k
d
Stakeholder mengembangkan pemahaman atas apa yang perlu
dilakukan dalam membentuk CSIRT.
9
1.
2.
3.
4.
5.
6.
7.
8
8.
9.
10.
11.
12
12.
Strategi pembiayaan
Teknologi dan infrastruktur informasi
jaringan yang diperlukan CSIRT
Mempelajari teknologi dan
infrastruktur informasi jaringan
Rencana dan interdependensi
penanganan dasar yang akan
di
digunakan
k
Sekumpulan layanan utama yang
berpotensi
P ktik d
Praktik
dan pedoman
d
tterbaik
b ik
Pembentukan CSIRT
Tahap 2 Perencanaan CSIRT
Berdasarkan pengetahuan dan informasi yang
didapat selama Tahap 1
9
1.
2.
3.
4.
5.
6.
7.
Usulan Kegiatan
8.
9.
10.
Identifikasi persyaratan
y
dan kebutuhan CSIRT
nasional
Mendefinisikan visi CSIRT nasional
Mendefinisikan misi tim nasional
11.
Menentukan konstituen yang akan dilayani
Mengidentifikasi cara berkomunikasi
12.
Mengidentifikasi jenis-jenis persetujuan, kepem
impinan dan dukungan pemerintah
13
13.
Mengidentifikasi jenis-jenis keahlian dan
pengetahuan staf yang diperlukan
Pembentukan CSIRT
Tahap 3 Implementasi CSIRT
Tim proyek menggunakan informasi dan rencana
dari Tahap 1 dan 2 untuk mengimplementasikan
CSIRT
9
Proses implementasi:
1.
2.
Mendapatkan
p
dana
Mengumumkan secara luas bahwa
CSIRT nasional sedang dibentuk
Penyusunan mekanisme koordinasi
dan komunikasi
Implementasi sistem informasi dan
infrastruktur jaringan
Mengembangkan operasi dan
proses untuk staf CSIRT
3.
4.
5.
6. Pengembangan
g
g kebijakan
j
dan p
prosedu
r internal
7. Implementasi proses interaksi CSIRT n
asional dengan konstituennya
8. Merekrut personel
9. Mendidik dan melatih staf CSIRT
Pembentukan CSIRT
Tahap 4 Pengoperasian CSIRT
Layanan dasar yang harus disediakan oleh
CSIRT nasional didefinisikan dan efisiensi
operasional untuk memanfaatkan
f
kemampuan
manajemen insiden dievaluasi
9
1.
2.
3.
4.
5.
Pembentukan CSIRT
Tahap 5 Kolaborasi
CSIRT nasional perlu bertukar informasi dan pengalaman dalam
menangani insiden melalui kerjasama jangka panjang dengan
CSIRT domestik, CSIRT internasional, atau institusi lain.
Akti it kolaborasi
Aktivitas
k l b
i
1.
2.
3.
4.
5.
Layanan Proaktif
Tujuan: meningkatkan proses keamanan dan
infrastruktur dari lembaga konstituen sebelum
insiden terjadi atau terdeteksi
Layanan
y
Siaga dan Peringatan
Analisis
Insiden
Tim Keamanan
Tambahan
Terdistribusi
Inti
Terpusat
p
Inti
Gabungan
g
Inti
Terkoordinasi
Inti
Inti
Inti
Inti
Inti
Inti
Tambahan
Tambahan
Tambahan
Tidak biasa
Inti
Inti
Inti
Inti
Inti
Inti
Inti
Inti
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Inti
Tambahan
Tidak biasa
Tambahan
Tambahan
Tambahan
Inti
Inti
Inti
Inti
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Inti
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Inti
Inti
Inti
Penanganan Insid
Inti
en di Lokasi
Pena-nganan Insid
en
Bantuan Penanga
Tidak biasa
nan Insiden
Koordinasi Penan
Inti
ganan Insiden
Reaktif
Pena-nganan
Artefak
Analisis Kerentan
an
Penanganan Kere
ntanan
Koordinasi Penan
ganan Kerentana
n
Analisis Artefak
Penanganan Artef
ak
Koordinasi Penan
Tambahan
ganan Artefak
Proaktif
Pemberitahuan
Tidak biasa
Inti
Inti
Inti
Inti
Pengawasan Teknologi
Tidak biasa
Tambahan
Inti
Inti
Inti
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Tambahan
Tidak biasa
Tambahan
Tambahan
Tambahan
Tambahan
Inti
Tambahan
Tambahan
Tambahan
Tidak biasa
Tidak biasa
Tambahan
Inti
Inti
Inti
Tidak biasa
Tambahan
Tambahan
Tambahan
Tambahan
Tidak biasa
Tambahan
Tambahan
Tambahan
Tambahan
Tidak biasa
Tambahan
Tambahan
Tambahan
Tambahan
Tidak biasa
Tambahan
Tambahan
Tambahan
Inti
Tidak biasa
Tambahan
Tambahan
Tambahan
Inti
Tidak biasa
Tambahan
Tambahan
Tambahan
Tambahan
Tujuan:
j
mengaktifkan
g
kegiatan
g
penanganan
p
g
insiden dan
perlindungan, serta memotivasi kerjasama antar anggota
dengan memberikan mereka teknologi, pengetahuan dan
perangkat untuk menangani insiden
9
1
1.
2.
3.
Aktivitas FIRST
4.
Pengembangan dan berbagi
praktik terbaik
Memotivasi pengembangan
kebijakan, layanan dan produk
5
5.
keamanan berkualitas baik
Mendukung dan mengembangkan
pedoman keamanan komputer
yang tepat
Membantu
e ba u pe
pemerintah,
e a , pe
pengusaha
gusa a da
dan
lembaga pendidikan untuk membangun
sebuah tim penanganan insiden dan
memperluasnya
M f ilit i d
Memfasilitasi
dalam
l
berbagi
b b i tteknologi,
k l i
pengalaman dan pengetahuan diantara
anggota untuk lingkungan elektronik
yyang
g lebih aman
1.
1
2.
3.
3
4.
5.
6
6.
1.
2.
3.
4.
5.
Peran ENISA
1.
1
2.
3.
Rangkuman
Pengembangan dan Operasi CSIRT
Tinjauan
Model CSIRT dan Memilih Model CSIRT yang
tepat
Pembentukan CSIRT
Operasi & Layanan CSIRT
Tugas
Apakah ada CSIRT nasional di negara Anda?
Jika ya, jelaskan model apakah yang digunakan
dan bagaimana mereka bekerja. Nilai seberapa
efektif
f ktif mereka
k dalam
d l
melaksanakan
l k
k fungsinya.
f
i
Jika tidak, tentukan model CSIRT mana yang
tepat untuk
k negara Anda
A d d
dan jelaskan
j l k apa yang
diperlukan untuk membentuk CSIRT nasional di
negara Anda.
Anda
Tujuan Pembelajaran
Mengetahui komponen utama yang harus
di hit
diperhitungkan
k oleh
l h pembuat
b t kkebijakan
bij k kketika
tik
menyusun kebijakan keamanan informasi
nasional
i
ld
dan pelaksanaannya
l k
Termasuk proses persiapan, pembuatan,
pelaksanaan,, kontrol,, dan umpan
p
p balik sebelum
kebijakan informasi keamanan dibuat, dan
pertimbangan
p
g p
pembuat kebijakan
j
terhadapnya.
p y
Konten
Pengumpulan Informasi
Analisis
A li i kkesenjangan
j
Merumuskan Kebijakan Keamanan Informasi
Menentukan arah kebijakan dan mendorongnya
Konstitusi organisasi keamanan informasi
Penetapan kerangka kerja kebijakan
Penyusunan dan/atau pengubahan hukum
Pengalokasian anggaran
Implementasi/Pelaksanaan Kebijakan
Peninjauan dan Evaluasi Kebijakan Keamanan
Informasi
Information gathering
Execution
Gap analysis
Review and
evaluation
Establishment
Pengumpulan informasi
Pengumpulan kasus dari luar negeri
Dalam menemukan kasus yang relevan dari negara lain
lain,
penyusun kebijakan perlu memperhatikan kesamaan dalam:
Tingkat keamanan informasi nasional
Arah pembentukan kebijakan
Infrastruktur jaringan dan sistem
Analisis kesenjangan
Analisis kesenjangan dapat dibagi menjadi
d ffase:
dua
1. Memahami kemampuan dan kapasitas negara
yaitu sumber daya manusia dan organisasi,
serta infrastruktur informasi dan komunikasi
d l
dalam
bid
bidang
umum keamanan
k
iinformasi;
f
i d
dan
2. Mengidentifikasi ancaman eksternal pada
keamanan informasi.
Analisis kesenjangan
Fase Pertama
Memahami status infrastruktur informasikomunikasi saat ini
Packet
Disconnecting
gathering ordinary traffic
system
system
Anti-Virus system
Analisis kesenjangan
Fase kedua
Identifikasi ancaman keamanan informasi
eksternal
Khususnya, penyusun kebijakan perlu
memahami:
9Tingkat penetrasi ancaman pada keamanan
informasi
9Jenis serangan terbaru dan yang paling umum
9Jenis-jenis ancaman dan tingkat kekuatan mereka
di masa mendatang
Pengawas (Direktur,
(Direktur Ketua
Ketua, Manajer
Manajer, dan lain-lain)
Mengatur pegawai yang memiliki akses ke informasi dan sistem
informasi dan menentukan, melaksanakan dan menegakkan kontrol
keamanan informasi yang digunakan di bidangnya masing-masing
masing masing
Mereka harus memastikan bahwa semua pegawai mengerti tanggung
jawab masing-masing terkait dengan keamanan informasi, dan bahwa
g
memiliki akses yyang
g diperlukan untuk melakukan pekerjaannya
j
y
pegawai
Meninjau secara rutin semua tingkatan akses pengguna
Confidentiality
Confidentiality
Integrity
Integrity
Accountability
Accountability
Assurance
Assurance
Information
Information Security
Security Policy
Policy
Nations
laws /
systems
Pl
Plan
Plan //
Organization
Organization
A
Acquire
i
//
Acquire
Implement
Implement
P
Privacy
i
Privacy
protection
protection
O
Operation
ti
//
Operation
Support
Support
M
Monitoring
it i
//
Monitoring
Assessment
Assessment
Security
Security
organization
organization / /
operation
operation
Human
Human resources
resources
security
security
Privacy
Privac yprotection
protection
Security
Securityinspection
inspection
Asset
Asset classification
classific ation
/ / control
control
Information
I f
Information
ti
systems
systemsac
acquisition,
quisition,
and
development
and development
security
security
Information
Information system
system
operation
operation and
and
security
security
management
management
Account
Account privilege
privilege
security
security
management
management
Management
Management and
and
response
response of
of
sec
urity
accident
security accident
Life
Life security
security
IT Resource
People
Information
Document
International
laws /
systems
Physical
Physicalsecurity
security
Hardware
Software
Service
Pemberian
P b i kepemilikan
k
ilik d
dan standar
t d kl
klasifikasi
ifik i untuk
t k asett iinformasi
f
i penting
ti
Instruksi pendaftaran dan penilaian risiko aset informasi penting
Manajemen hak akses terhadap aset informasi penting
Publikasi dan pengeluaran aset informasi penting
Penilaian ulang dan pengakhiran aset informasi penting
Manajemen keamanan dokumen
Perlindungan Privasi
Dimasukkannya perlindungan privasi dalam
kebijakan keamanan informasi bersifat tidak
wajib.
jib
Namun, akan lebih baik untuk menyertakannya
mengingat
i
perlindungan
li d
privasi
i
i adalah
d l h isu
i
internasional
Ketentuan perlindungan privasi harus mencakup :
Tugas
T
d peran titiap organisasi
dan
i
id
dalam
l
pemrosesan iinsiden
id kkeamanan
Prosedur untuk memantau dan mengenali gejala insiden keamanan
Prosedur pemrosesan insiden keamanan dan metode penanganan
Langkah yang perlu dilakukan sesudah pemrosesan insiden keamanan
Target Industri
Target Peraturan
Unauthorized Computer
Access Law
Semua industri
Tindakan
Ti
d k yang membantu
b t akses
k
tidak sah dan memberikan
informasi ID orang lain tanpa
pemberitahuan
Act on Electronic
Signatures and
Certification
Hukuman
Hukum pidana,
denda
Rincian
Memberikan kerangka kerja pengaturan jaringan
dan layanan telekomunikasi
Bertujuan untuk melindungi privasi melalui jaringan
komunikasi yang aman
Pedoman pemrosesan dan penghapusan informasi
f
pribadi
Hukum dasar yang menetapkan tanggung jawab
negara anggota dan pengakuan kewenangan penuh
i di id atas
individu
t informasi
i f
i pribadi
ib di
Lebih ketat daripada standar AS
Cybercrime Treaty
Target Industri
Target Peraturan
Federal Information
Security Management Act
of 2002
Lembaga
g
administratif federal
Informasi lembaga
administratif sistem TI
administratif,
TI,
program keamanan informasi
y
Health Insurance Privacy
and Accountability Act of
1996
Lembaga
g kesehatan
dan penyedia
layanan kesehatan
y Act of
Gramm-Leach-Bliley
1999
Lembaga keuangan
Hukum pidana,
pidana denda
Perusahaan
Sarbanes-Oxley Act of 2002 terdaftar pada Stock
Exchange of USA
Denda dan
pemberitahuan pada
korban
Database Security
y Breach
Information Act of 2003
Lembaga
administratif dan
perusahaan swasta
di California
Hukuman
2004
2005
Anggaran
gg
keamanan informasi
JPY 267.000.000.000
JPY 288.000.000.000
0,03%
0,03%
AS
2006
2007
USD 2.709.000.000.000
USD 2.770.000.000.000
USD 5.512.000.000
USD 5.759.000.000
e se tase da
dari tota
total a
anggaran
gga a
Persentase
0,203%
0,
03%
0,208%
0,
08%
Latihan
Jika negara Anda memiliki kebijakan keamanan
i f
informasi,
i lacak
l
k perkembangan-nya
k b
d i sisi
dari
i i
lima aspek formulasi kebijakan keamanan
i f
informasi
i yang dij
dijelaskan
l k di atas.
t
A ti
Artinya,
jelaskan:
1.
2.
3.
4.
Arah kebijakan
Organisasi keamanan informasi
Kerangka kerja kebijakan
Hukum y
yang
g mendukung
g kebijakan
j
keamanan
informasi
5. Alokasi biaya untuk keamanan informasi
Latihan
Jika negara Anda belum memiliki kebijakan keamanan
informasi uraikan kemungkinan dari masing-masing
informasi,
masing masing lima
aspek di atas dalam menyusun kebijakan. Gunakan
pertanyaan-pertanyaan
p
y
p
y
berikut sebagai
g p
panduan:
1. Apa yang seharusnya menjadi arah kebijakan keamanan informasi di
negara Anda?
2. Bagaimana pengaturan organisasi yang harus ditempatkan?
?
Organisasi mana yang perlu dilibatkan dalam pengembangan
kebijakan keamanan informasi dan implementasinya di negara Anda?
3. Apa permasalahan khusus yang harus diatasi oleh kerangka kerja
kebijakan?
4 Hukum apa yang harus ditetapkan dan/atau dicabut untuk
4.
mendukung kebijakan informasi?
5. Apa pertimbangan anggaran yang harus diperhatikan? Dari mana
sebaiknya dana didapatkan?
Implementasi/Pelaksanaan Kebijakan
Pengembangan kebijakan keamanan informasi
Sektor
Pemerintah
Sektor swasta
Organisasi
internasional
Implementasi/Pelaksanaan Kebijakan
Manajemen dan perlindungan infrastruktur informasi dan
komunikasi
Sektor
Sektor pemerintah
Sektor swasta
Organisasi
g
internasional
Implementasi/Pelaksanaan Kebijakan
Pencegahan dan penanganan terhadap ancaman dan insiden
Sektor
Kontribusi
Organisasi
pemerintah
Kelompok
swasta
Organisasi
internasional
Implementasi/Pelaksanaan Kebijakan
Pencegahan insiden keamanan informasi
Sektor
Koordinasi
Organisasi
pemerintah
Organisasi
swasta
Organisasi
internasional
Implementasi/Pelaksanaan Kebijakan
Keamanan privasi
Sektor
Koordinasi
Lembaga
pemerintah
Organisasi
swasta
Organisasi
Internasional
Organisasi
g
analisis sistem: melakukan bisnis berkaitan dengan
g informasi
lokasi pribadi, dan analisis tren dalam perlindungan informasi pribadi
internal dan eksternal
Organisasi perencanaan: meningkatkan hukum/sistem, langkah teknis/
administratif dan manajemen standar
Dukungan teknis: koordinasi sertifikasi pengguna cyber untuk bisnis
Organisasi pelayanan: kerjasama dukungan untuk penanganan
pelanggaran
p
gg
privasi dan spam
p
p
Organisasi keamanan informasi pribadi: pendaftaran persyaratan dan
mengatur
g
asosiasi kerjasama
j
untuk keamanan informasi p
personal
Konsultasi keamanan informasi pribadi
Bekerja sama untuk menerapkan standar keamanan informasi pribadi
internasional
Implementasi/Pelaksanaan Kebijakan
Kerjasama internasional
Keamanan informasi tidak dapat dicapai melalui
usaha satu negara saja karena pelanggaran
k
keamanan
iinformasi
f
i cenderung
d
b li k
berlingkup
internasional.
J di kerjasama
Jadi,
k j
i
internasional
i
ld
dalam
l
perlindungan
li d
keamanan informasi, baik di sektor pemerintahan
maupun swasta
swasta, harus dilakukan.
dilakukan
9Untuk sektor swasta : CERT/CC
9U t k pemerintah
9Untuk
i t h : ENISA (EU) d
dan ITU
Rangkuman
Pengumpulan Informasi
Analisis
A li i kkesenjangan
j
Merumuskan Kebijakan Keamanan Informasi
Menentukan arah kebijakan dan mendorongnya
Konstitusi organisasi keamanan informasi
Penetapan kerangka kerja kebijakan
Penyusunan dan/atau pengubahan hukum
Pengalokasian anggaran
Implementasi/Pelaksanaan Kebijakan
Peninjauan dan Evaluasi Kebijakan Keamanan
Informasi
Tugas
Identifikasi lembaga pemerintah dan organisasi
swasta
t di negara Anda
A d yang perlu
l b
bekerjasama
k j
dalam implementasi kebijakan keamanan
i f
informasi
i nasional.
i
l Identifikasi
Id tifik i jjuga organisasi
i
i
internasional yang perlu diajak bekerjasama.
Untuk setiap
p bidang
g kerjasama
j
dalam
implementasi kebijakan informasi seperti terlihat
pada Gambar 23,, tentukan aksi atau aktivitas
p
spesifik yang lembaga dan organisasi ini dapat
lakukan.