PENERAPAN SNI

UNTUK MENDUKUNG
IMPLEMENTASI CSIRT DI BSN

Slamet Aji Pamungkas – Pusdatin BSN

Jakarta, 18 Agustus 2022
 MANAJEMEN KEAMANAN INFORMASI DI BSN

- SDM berkualitas. - Adaptasi dan perubahan.

- Komitmen dan integritas. TATA KELOLA - Teknologi tepat guna.
- Kepedulian. KEAMANAN SPBE - Kepedulian.

TECHNOLOGY
PROCESS
PEOPLE
KEBIJAKAN
- Proses bisnis keamanan informasi.
- Penerapan standar keamanan.
- SOP. - Proses bisnis dan sasaran strategis.
- Komitmen pimpinan.
- Kolaborasi seluruh unit kerja.
- Tata Kelola, SOP.
2
 DOMAIN MANAJEMEN SPBE

8 MANAJEMEN SPBE
•
•
Manajemen Risiko SPBE.
Manajemen Keamanan Informasi. 3 AUDIT TIK
• Manajemen Layanan TI.
• Audit Infrastruktur SPBE.
• Manajemen Pengetahuan.
• Audit Aplikasi SPBE.
• Manajemen SDM.
• Audit Kemanaan SPBE.
• Manajemen Data.
• Manajemen Aset.
• Manajemen Perubahan.

3
 STANDAR (SNI) + KOLABORASI → CSIRT

KOLABORASI

+
BSN CSIRT

STANDAR

4
 CSIRT - BSN

Surat Keputusan Kepala Badan Standardisasi Nasional Nomor 22/KEP/BSN/2/2020 tentang

Pembentukan Computer Security Incident Response Team Badan Standardisasi Nasional (BSN-CSIRT).

Visi :
1. Terciptanya sistem keamanan informasi yang handal di BSN.
2. Menciptakan kesadaran keamanan siber pada Sumber Daya Manusia di lingkungan BSN.

Misi:
1. Mendorong kegiatan pengamanan informasi dan pencegahan insiden keamanan informasi,
2. Membangun kesadaran keamanan siber pada sumber daya manusia di lingkungan BSN, dan
3. Melakukan evaluasi berkala terhadap kehandalan keamanan teknologi informasi di lingkungan BSN.

Dalam Peraturan BSN No.10 Tahun 2020 tentang Organisasi dan Tata Kerja BSN sudah tertuang bahwa PUSDATIN
BSN menyelenggarakan fungsi penyusunan dan pelaksanaan kebijakan teknis dalam pengelolaan data, sIstem
informasi, infrastruktur teknologi dan keamanan informasi standardisasi dan penilaian kesesuaian; dan pengelolaan
infrastruktur teknologi informasi dan komunikasi, serta keamanan informasi.

5
 BSN CSIRT - PEOPLE

Penerapan SMKI, Manajemen Risiko, SMLTI.

Kepka nomor 22 tahun 2020: CSIRT BSN.

KOMITMEN PIMPINAN
Kebijakan satu aplikasi BSN: SISPK.

Peremajaan infrastruktur dan keamanan.

Kewenangan Pusdatin terkait TIK.

6
 BSN CSIRT - PEOPLE

Peningkatan kompetensi
keamanan informasi.

Pengelolaan sandi.
Perangkat lunak legal.

Keamanan komputer. Penggunaan internet dan wifi.

Pemahaman klasifikasi
aset, data dan informasi.
Pemanfaatan perangkat
bergerak.
Etika Penggunaan
medsos.

7
 BSN CSIRT - PROCESS
PROSES INTI
BSN-01 Pengelolaan
Kebijakan SPK

BSN-03 BSN-05
BSN-04
BSN-02 Penerapan Ketertelusura
Penyelenggaraa
Pengembangan Standar dan n Hasil
n Akreditasi
Standar Penilaian Penilaian
LPK
Kesesuaian Kesesuaian

Stakeholder Stakeholder
: :
⁻ K/L ⁻ K/L
PROSES
⁻ Pemda ⁻ Pemda
⁻ Konsume PENDUKUNG ⁻ Konsume
n BSN-08 Perencanaan n
BSN-06 Pengelolaan BSN-07 BSN-09
Program dan
⁻ Pelaku Organisasi dan Tata Manajemen Manajemen ⁻ Pelaku
Pengelolaan
usaha Laksana SDM Aset usaha
Keuangan
⁻ Asosiasi ⁻ Asosiasi
⁻ Pakar BSN-10 BSN-11 BSN-12 Pengelolaan ⁻ Pakar
⁻ Cendekia Pengelolaan Layanan Humas dan Layanan ⁻ Cendekia
Kerjasama Hukum Informasi
wan wan

BSN-13 Pengelolaan BSN-14 Pengelolaan

SDM SPK Data dan TIK

PROSES Peran TIK

MANAJEMEN

BSN-15 BSN-16 PengendalianSistem BSN-17

Perencanaan Strategis Manajemen Pengendalian Internal

8
 BSN CSIRT – PROCESS - STRUKTUR ORGANISASI

KETUA

WAKIL KETUA SEKRETARIS

KOORDINATOR TIM
PENANGGULANAN DAN
PEMULIHAN INSIDEN

SUB TIM PENGELOLA SUB TIM WEB ADMINISTRASI SUB TIM KEAMANAN
JARINGAN & SERVER & APLIKASI INFORMASI

9
 BSN CSIRT – PROCESS – KEBIJAKAN & TATA KELOLA

Pedoman Sistem Manajemen

Terintegrasi BSN (ttd Ka. BSN)
Level 1
SDM dan • Prosedur Penanganan Insiden
Teknologi Level 2 Keamanan Informasi BSN
Pendukung • SK Tim BSN-CSIRT

Instruksi kerja, Form dan

Level 3 dan 4 Logbook Insiden Keamanan
Informasi

10
 BSN CSIRT – PROCESS – SOP PENANGANAN INSIDEN

11
 BSN CSIRT – PROCESS – KEGIATAN

1 Sosialisasi berkala SMKI, Manris, SMLTI, CSIRT

2 Monitoring rutin aplikasi dan infrastruktur.

3 Evaluasi prosedur dan implementasi SMKI.

4 Evaluasi daftar risiko.

5 Uji coba penanganan risiko.

6 Pelatihan, workshop, seminar keamanan informasi.

7 Audit internal/ eksternal.

12
 BSN CSIRT – PROCESS – MANAJEMEN TERINTEGRASI

- Integrasi 27001, 90001, 37000

- Surveilen 90001 - Penerapan 31000
- Surveilen 27001 - Penerapan 20000-1
- Penerapan 31000 2021 - Penerapan 8 manejemen SPBE ……..
2020
- Surveilen90001 - Penerapan 20000-1
- Sertifikasi 27001 - Penerapan 37000
- Penerapan 31000 - Integrasi 27001, 90001, 37000
- Surveilen 90001 - Penerapan 31000 2022
- Surveilen 27001 2021 - Penerapan 20000-1
2019 - Penerapan 31000 - Penerapan 8 manajemen SPBE
- Penerapan 20000-1

13
 BSN CSIRT - TECHNOLOGY

Web Application / Cloud

PROCESS
/ POLICY
P UTM / WAF / SANDBOX / Antispam / SOC T
E E
O Sistem Informasi Standar Nasional Indonesia
C
H
P ( Vulnerability Test dan Assesment ) N
L O
E L
O
Endpoint Endpoint Endpoint Endpoint G
Y

14
 STANDAR SEBAGAI PENDUKUNG CSIRT DI BSN

SNI ISO 31000 SNI ISO/IEC 27001:2013

MANAJEMEN RISIKO SISTEM MANAJEMEN SNI ISO/IEC 20000-1
KEAMANAN INFOMASI SISTEM MANAJEMEN
LAYANAN TI

15
 KEBIJAKAN DAN TATA KELOLA CSRIT DI BSN

16
 KEBIJAKAN DAN TATA KELOLA CSRIT DI BSN

17
 KEBIJAKAN DAN TATA KELOLA CSRIT DI BSN

18
 CONTOH-CONTOH KASUS CSIRT DI BSN

19
 CONTOH KASUS CSIRT DI BSN

20
 CONTOH KASUS CSIRT DI BSN

21
 KENDALA DAN MASALAH CISRT DI BSN

Kepedulian pegawai terhadap prosedur keamanan.

Lokasi kantor tersebar.

Kekurangan SDM keamanan informasi.

Teknologi penyerang berkembang sangat pesat.

Kekurangan sarana, prasarana dan teknologi pendukung.

22
 SARAN-SARAN

Penerapan standar (SNI) dalam pengelolaan TIK.

Peningkatan kerjasama pencegahan dan penanganan insiden.

Peningkatan pelatihan terkait keamanan informasi.

Penilaian kematangan/ sertifikasi aplikasi K/L/D.

23
24