9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
BAB I
KETENTUAN UMUM
Pasal 1
Dalam Peraturan Badan ini yang dimaksud dengan:
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan:
Definisi dari https://www.first.org/tlp/: The Traffic Light Protocol (TLP)
was created in order to facilitate greater sharing of information. TLP is a
set of designations used to ensure that sensitive information is shared
with the appropriate audience. It employs four colors to indicate expected
sharing boundaries to be applied by the recipient(s). TLP only has four
colors; any designations not listed in this standard are not considered
valid by FIRST.
(Perlu dibuat turunan pedoman/juknisnya tentang TLP)
Pasal 2
Pengaturan Penyelenggaraan Program bertujuan untuk:
a. Memberikan acuan dalam penyelenggaraan Program.
b. Memberikan kepastian dan mekanisme hukum bagi Pelapor atas
pengelolaan informasi Kerentanan yang diungkapkan.
c. Meningkatkan keamanan siber nasional
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Pasal 11
1 Setelah menerima pengajuan pendaftaran dari Pelapor, Pusat Operasi
Keamanan Siber Nasional melakukan verifikasi terhadap:
a. identitas;
b. latar belakang;
c. kesediaan mematuhi syarat dan ketentuan Program.
Pasal 12
1 Setelah melakukan verifikasi, maka Pusat Operasi Keamanan Siber
Nasional memutuskan status pendaftaran dan memberitahukan kepada
Pelapor.
Bagian Kedua
Pendaftaran Sistem
Pasal 13
1 Pemilik Sistem dapat mendaftarkan Sistem Elektronik miliknya untuk
disertakan di dalam Program.
2 Mekanisme pendaftaran Sistem Elektronik sebagaimana dimaksud
dalam Ayat (1) dilakukan sesuai dengan ketentuan yang ditetapkan oleh
BSSN.
3 Mekanisme pencarian Kerentanan pada Sistem Elektronik yang terdaftar
dapat ditentukan oleh Pemilik Sistem.
Bagian Ketiga
Metode Pencarian Kerentanan
Pasal 14
1 Pencarian Kerentanan pada Sistem Elektronik dilakukan oleh Pelapor
sesuai dengan metode yang ditetapkan oleh BSSN dan/atau Pemilik
Sistem.
2 Dalam hal Sistem Elektronik sudah terdaftar di dalam Program, maka
metode pencarian Kerentanan yang diizinkan adalah mengikuti
kebijakan yang sudah ditetapkan oleh Pemilik Sistem dan/atau BSSN.
3 Dalam hal Sistem Elektronik belum terdaftar di dalam Program, maka
metode pencarian Kerentanan yang diizinkan adalah sesuai dengan yang
ditetapkan oleh BSSN.
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
CATATAN:
Contoh metode teknis pencarian Kerentanan
a. Menggunakan informasi yang ditemukan secara bebas dan dapat
diakses secara umum, melalui mesin pencarian daring.
b. Melakukan penelusuran halaman atau direktori atau fitur pada
sistem elektronik.
c. Pencarian Kerentanan tidak boleh dilakukan menggunakan
perkakas yang bersifat merusak dan mengganggu Sistem
Elektronik
d. Pencarian Kerentanan tidak boleh dilakukan menggunakan
perkakas yang dapat mengirimkan permintaan kepada Sistem
Elektronik secara terus menerus secara cepat.
Bagian Keempat
Pengiriman, Penerimaan, dan Pencatatan Laporan Kerentanan
Pasal 14
1 Laporan Kerentanan dikirim oleh Pelapor kepada Pusat Operasi
Keamanan Siber Nasional BSSN.
2 Pengiriman Laporan sebagaimana dimaksud ayat 1 dilakukan melalui
cara yang ditetapkan oleh BSSN
3 Laporan Kerentanan sebagaimana dimaksud ayat 1 sekurang-
kurangnya memuat informasi:
a. deskripsi Sistem Elektronik yang memiliki Kerentanan, termasuk di
dalamnya tautan lengkap dan/atau versi Sistem Elektronik;
b. penjelasan mengenai Kerentanan yang ditemukan;
c. langkah-langkah yang mendemonstrasikan serangan yang
memanfaatkan Kerentanan yang dilaporkan termasuk di dalamnnya
kode sumber yang dibutuhkan untuk melakukan pembuktian;
d. waktu yang menunjukkan proses penemuan Kerentanan;
e. Identitas Pelapor;
f. nomor unik Pelapor yang diperoleh dari proses pendaftaran;
g. alamat IP publik yang digunakan pada saat menemukan Kerentanan.
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Pasal 15
1 Setelah menerima laporan Kerentanan dari Pelapor, Pusat Operasi
Keamanan Siber Nasional BSSN melakukan:
a. pemeriksaan kelengkapan laporan Kerentanan;
b. perekaman laporan Kerentanan ke dalam basis data;
c. pemberian nomor identitas unik atas laporan Kerentanan yang sudah
dinyatakan lengkap;
d. pemberian tanda terima laporan Kerentanan kepada pihak Pelapor;
2 Dalam hal laporan Kerentanan yang diterima tidak sesuai pasal 14 ayat
(3), maka Pusat Operasi Keamanan Siber Nasional wajib menghubungi
Pelapor untuk meminta kelengkapan yang dibutuhkan.
3 Dalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai
dengan ketentuan Pasal 14 Ayat (3) dalam kurun waktu 7 (tujuh) hari
kalendar, maka Pusat Operasi Keamanan Siber Nasional dapat
memutuskan untuk tidak menindaklanjuti penanganan laporan
Kerentanan.
Bagian Kelima
Penelaahan Laporan Kerentanan
Pasal 16
Pusat Operasi Keamanan Siber Nasional menindaklanjuti laporan
Kerentanan yang diterima dari Pelapor kepada Deputi Bidang
Identifikasi dan Deteksi BSSN dan Deputi Bidang Proteksi BSSN.
Pasal 17
1 Setelah menerima laporan Kerentanan dari Pusat Operasi Keamanan
Siber Nasional BSSN, Deputi Bidang Identifikasi dan Deteksi BSSN
melakukan verifikasi dan penilaian Kerentanan yang dilaporkan.
2 Dalam hal Kerentanan yang dilaporkan berhasil diverifikasi, Deputi
Bidang Identifikasi dan Deteksi BSSN mengirimkan hasil verifikasi dan
penilaian Kerentanan kepada Deputi Bidang Proteksi BSSN.
3 Dalam hal Kerentanan yang dilaporkan tidak berhasil diverifikasi, maka
Deputi Bidang Identifikasi dan Deteksi BSSN dapat meminta data
dukung kepada Pelapor melalui Pusat Operasi Keamanan Siber Nasional
sebagai bahan untuk melakukan verifikasi ulang.
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Bagian Ketujuh
Remediasi Kerentanan
Pasal 19
1 Setelah menerima Imbauan Keamanan, Pemilik Sistem wajib melakukan
Remediasi temuan Kerentanan.
2 Setelah menyampaikan imbauan keamanan kepada Pemilik Sistem,
Deputi Bidang Proteksi BSSN secara berkala melakukan pemantauan
terhadap Remediasi yang dilakukan oleh Pemilik Sistem.
3 Pemantauan Remediasi Kerentanan dilakukan dengan tujuan untuk:
a. mengetahui tingkat kesadaran Pemilik Sistem terhadap Kerentanan
dilaporkan
b. mendorong Pemilik Sistem untuk melakukan Remediasi atas
Kerentanan yang dilaporkan
c. memastikan bahwa Kerentanan sudah di-Remediasi.
d. BSSN dapat mengalokasikan sumber daya yang diperlukan guna
memberikan asistensi apabila Pemilik Sistem menghadapi kesulitan
dalam memperbaiki Kerentanan
Bagian Kedelapan
Publikasi Kerentanan
Pasal 20
1 Dalam hal Kerentanan yang dilaporkan ditemukan pada Sistem
Elektronik yang digunakan secara luas oleh masyarakat, BSSN dapat
mempublikasikan Kerentanan tersebut kepada masyarakat.
2 Publikasi sebagaimana disebutkan pada ayat 1 dilakukan oleh BSSN
setelah berkoordinasi dengan Pemilik Sistem mengenai waktu, materi,
dan cara publikasi akan dilakukan.
Bagian Kesembilan
Pemberian Apresiasi
Pasal 21
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin
Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019
Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah
menerima masukan dari IR dan Pusdatin