SUKSES PEMILU 1. LATAR BELAKANG. Definisi Keamanan Sistem Informasi

dokumen-dokumen yang mirip
II. PERAN DAN TANGGUNG JAWAB DIREKSI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

PEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH BAB I PENDAHULUAN

PERATURAN KEPALA LEMBAGA SANDI NEGARA NOMOR 10 TAHUN 2012 TENTANG PEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

DENGAN RAHMAT TUHAN YANG MAHA ESA MENTERI LUAR NEGERI REPUBLIK INDONESIA,

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

BAB IV EVALUASI SISTEM KEAMANAN INFORMASI DEPARTEMEN PERTANIAN

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

MATERI 03 : KEAMANAN INFORMASI

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 2 TINJAUAN PUSTAKA

Standar Internasional ISO 27001

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

2018, No Mengingat : 1. Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transa

2013, No BAB I PENDAHULUAN

GUBERNUR BALI PERATURAN GUBERNUR BALI NOMOR 27 TAHUN 2010 TENTANG

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

SKRIPSI HUBUNGAN ANTARA KEAMANAN DATA DENGAN KINERJA SISTEM INFORMASI MANAJEMEN PUSKESMAS (SIMPUS) DI PUSKESMAS WILAYAH KABUPATEN KARANGANYAR

PEDOMAN SISTIM PENGENDALIAN INTERN

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

Menimbang. Mengingat. Menetapkan

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

ANALISA RESIKO PENGELOLAAN JARINGAN KOMPUTER

TENTANG TATA KERJA PEJABAT PENGELOLA PELAYANAN INFORMASI DAN DOKUMENTASI DI LINGKUNGAN PEMERINTAH KABUPATEN MOJOKERTO

Konsep Dasar Audit Sistem Informasi

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2017 TENTANG AUDIT PENYELENGGARAAN SISTEM ELEKTRONIK

Pengantar E-Business dan E-Commerce

BERITA DAERAH KOTA BEKASI NOMOR : SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG

Manajemen Keamanan Informasi

INFRASTRUCTURE SECURITY

Etika dalam Sistem Informasi

MENTERI PEKERJAAN UMUM DAN PERUMAHAN RAKYAT REPUBLIK INDONESIA

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

Negara Republik Indonesia Nomor 4355);

KEAMANAN SISTEM INFORMASI

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

KEPUTUSAN KETUA PENGADILAN NEGERI BOGOR NOMOR 4 TAHUN 2016 TENTANG PETUNJUK TEKNIS SISTEM PENGENDALIAN INTERN PENGADILAN NEGERI BOGOR

KEAMANAN DALAM E-COMMERCE

UNDANG-UNDANG TENTANG INFORMASI DAN TRANSAKSI ELEKTRONIK BAB I KETENTUAN UMUM

Etika dan Keamanan SI

MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

Pengendalian Sistem Informasi Berdasarkan Komputer

BAB 1 PENDAHULUAN Latar Belakang

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

MENTERI RISET, TEKNOLOGI, DAN PENDIDIKAN TINGGI REPUBLIK INDONESIA

2014 No

ADDENDUM PERJANJIAN PEMBUKAAN REKENING EFEK REGULER PT BCA SEKURITAS ( BCAS )

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

BAB I PENDAHULUAN 1.1. Latar Belakang

PERATURAN BUPATI BIMA NOMOR : 05 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH KABUPATEN BIMA BUPATI BIMA,

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

BERITA DAERAH KOTA SALATIGA NOMOR 34 TAHUN 2011 PERATURAN WALIKOTA SALATIGA NOMOR 34 TAHUN 2011

LAMPIRAN ATAS BLACKBERRY SOLUTION PERJANJIAN LISENSI UNTUK BLACKBERRY UNIFIED ENDPOINT MANAGER ("LAMPIRAN the")

PERATURAN BUPATI SUKOHARJO NOMOR : 54 TAHUN 2010 TENTANG

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA NOMOR 38 TAHUN 2008 TENTANG

SOSIALISASI Market Code of Conduct (CoC) Edisi Kedua. Bagian V : Back Office 08 Desember 2016

Implementasi E-Bisnis e-security Concept And Aplication Part-11

Kebijakan Privasi (Privacy Policy)

J udul Dokumen : R IWAYAT REVISI MANUAL SISTEM MANAJEMEN K3 MANUAL K3 M - SPS - P2K3. Perubahan Dokumen : Revisi ke Tanggal Halaman Perubahan

Syarat Dan Ketentuan

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

SALINAN BERITA DAERAH KABUPATEN MAJALENGKA PERATURAN BUPATI MAJALENGKA NOMOR 15 TAHUN 2012 TENTANG

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

BAB II TINJAUAN UMUM LOKASI PENELITIAN. A. Gambaran Umum PT. Freshklindo Graha Solusi

BERITA NEGARA REPUBLIK INDONESIA

BUPATI PENAJAM PASER UTARA

MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

PENUNJUK UNDANG-UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK

EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) PADA KANTOR WILAYAH DITJEN PERBENDAHARAAN NEGARA JAWA TIMUR

2017, No Undang-Undang Nomor 17 Tahun 2003 tentang Keuangan Negara (Lembaran Negara Republik Indonesia Tahun 2003 Nomor 47, Tambahan Lembar

DAFTAR ISI CHAPTER 5

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

SISTEM INFORMASI MANAJEMEN

LAMPIRAN V SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN SENDIRI

MENTERI PEKERJAAN UMUM DAN PERUMAHAN RAKYAT REPUBLIK INDONESIA

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

Implementasi ( Implementation Kebijakan (Policy) Pengujian HASIL DAN PEMBAHASAN Spesifikasi ( Specification Perancangan ( Design

PENGENDALIAN INFORMASI BPJS KETENAGAKERJAAN

PEDOMAN PENGENDALIAN INFORMASI PELAKSANA SEKRETARIAT TETAP BAPERTARUM-PNS

WALIKOTA BANJAR PERATURAN WALIKOTA BANJAR NOMOR 22 TAHUN 2011

SALINAN PERATURAN OTORITAS JASA KEUANGAN NOMOR 13/POJK.03/2015 TENTANG PENERAPAN MANAJEMEN RISIKO BAGI BANK PERKREDITAN RAKYAT

- 1 - UMUM. Mengingat

BUPATI SITUBONDO PERATURAN BUPATI SITUBONDO NOMOR 25 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) KABUPATEN SITUBONDO

Contoh : Isi pesan/ , membuka data yang bukan haknya, menjual data

BAB I PENDAHULUAN 1.1. Latar Belakang

BERITA NEGARA REPUBLIK INDONESIA

RANCANGAN UNDANG-UNDANG REPUBLIK INDONESIA NOMOR... TAHUN. TENTANG INFORMASI DAN TRANSAKSI ELEKTRONIK

BUPATI BADUNG PERATURAN BUPATI BADUNG NOMOR 28 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BADUNG

BAB III METODOLOGI PENELITIAN

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

Bab II Tinjauan Pustaka

Transkripsi:

SUKSES PEMILU 1. LATAR BELAKANG Definisi Keamanan Sistem Informasi Dalam menciptakan suatu manajemen keamanan sistem informasi yang komprehensif, maka perlu terlebih dahulu di tanamkan prinsip atau paradigma bagi setiap individu di organisasi bahwa informasi adalah aset, yang seperti aset penting lainnya sangat berharga bagi Negara dan oleh karenanya harus dilindungi eksistensinya. Keamanan informasi berarti adalah perlindungan pada informasi terhadap ancaman ataupun serangan yang dapat merusak atau menghalangi alurnya, sehingga keberlangsungan kegiatan pemilihan dapat berjalan sebagaimana mestinya dan meminimalkan kerugian yang bersifat moril maupun materiil bagi institursi maupun negara 1. Pertimbangan sebagaimana dimaksud antara lain memuat pertimbangan politik, ekonomi, sosial, budaya, dan/ atau pertahanan dan keamanan negara. Informasi dalam hal ini dapat berbentuk apa saja, dalam bentuk tulisan tangan, dalam format ketikan, format digital, gambar, suara, dan lain sebagainya 2. Informasi juga dapat diperlakukan dalam berbagai aktivitas, dapat disimpan secara elektronik, dapat dikirimkan ke pihak lain, dan dapat di sebarkan ke berbagai pihak. Apapun bentuk atau format informasi dan bagaimanapun perlakuan terhadapnya, informasi harus tetap terlindungi. 1 Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik 2 Undang-undang NOMOR 11 TAHUN 2008 - Informasi dan Transaksi Elektronik

Aspek Keamanan Sistem Informasi Keamanan terhadap informasi meliputi beberapa aspek, diantaranya adalah kerahasiaan (Confidentiality), Integritas (Integrity), dan Ketersediaan (Avalilability). Seperti terlihat pada gambar 1. Gambar 1 Aspek Keamanan Informasi Tabel 1 berikut ini akan memberikan penjelasan mengenai ketiga aspek tersebut. Tabel 1 Konsep dasar keamanan informasi Aspek Pengertian Confidentiality Integrity Menjamin bahwa informasi hanya dapat di baca oleh pihak yang berwenang Memastikan akurasi dan kelengkapan informasi. Termasuk menjaga agar informasi tidak di ubah oleh pihak yang tidak berwenang. Availabilty Menjamin bahwa pihak yang berwenang memperoleh informasi kapan saja membutuhkannya. 2. ASPEK KEBIJAKAN KEAMANAN INFORMASI Berdasarkan pengamatan kami, KPU belum sepenuhnya memiliki kebijakan keamanan informasi yang komprehensif dan formal. Dengan kata lain, pihak

kami akan melakukan perencanaan keamanan informasi untuk aspek kebijakan keamanan informasi yang berkelanjutan. Secara garis besar, lapisan keamanan sistem informasi di KPU dapat di bagi atas empat lapisan, yaitu; a. Data atau informasi, b. Perangkat lunak, c. Perangkat keras, dan d. Jaringan komunikasi. 2.1 Data atau Informasi Data atau informasi berarti adalah perlindungan pada informasi terhadap ancaman ataupun serangan yang dapat merusak atau menghalangi alurnya, sehingga keberlangsungan kegiatan pemilihan dapat berjalan sebagaimana mestinya dan meminimalkan kerugian yang bersifat moril maupun materiil bagi institusi maupun negara. Pertimbangan sebagaimana dimaksud antara lain memuat pertimbangan politik, ekonomi, sosial, budaya, dan/ atau pertahanan dan keamanan Negara sehingga berperan sangat strategis di dalam pemanfaatan data sebagai informasi menentukan hasil akhir kegiatan KPU. Data yang berkualitas yaitu akurat dan cepat tentunya harus di lengkapi dengan pemenuhan aspek keamanan seperti kerahasiaan, integritas, dan ketersediaan. Berkurangnya aspek kerahasiaan, integritas, dan ketersedaiaan tentunya akan menghambat kegiatan hasil akhir dari suatu pemilihan umum/daerah di lingkungan KPU dan KPUD. 2.2 Perangkat Lunak Fokus terhadap keamanan sistem operasi, aplikasi yang di gunakan untuk memasukan (input) informasi, aplikasi pemrosesan informasi, serta aplikasi penyebaran informasi (diseminasi). Lapisan ini juga memperhatikan aplikasi jaringan dan aplikasi basis data yang meliputi tiga hal yang tak terpisahkan, yaitu:

1. Trust your Access, yaitu kepercayaan akses dari pengguna merupakan keamanan yang mendasar; 2. Trust your Transaction, yaitu memastikan bahwa data yang terkirim dari transaksi dan transformasi data dapat tersimpan dengan baik, and 3. Trsut your Data/Information, yaitu terjaminnya data dan informasi terhadap manipulasi, duplikasi dan kepastian data. Aspek keamanan terhadap perangkat lunak sebagai media dihasilkannya informasi merupakan tantangan bagi KPU, karena jumlah KPUD relatif banyak dan kebutuhan masing-masing daerah yang sangat spesifik dalam menjalankan tugasnya. Dalam mengantisipasi hal itu, KPU Pusat harus memiliki standar baku pengamanan yang berlaku mengenai perangkat lunak, termasuk aspek pengembangan, implementasi, sampai review terhadap implementasi. 2.3 Perangkat Keras Berbagai kegiatan operasional maupun pembuatan kebijakan membutuhkan perlakuan khusus terhadap sarana atau fasilitas yang di hasilkan, disimpan, dan di sebarkannya informasi. KPU dalam hal ini perlu memiliki standar yang baku mengenai pengamanan secara khusus terhadap aset perangkat keras yang berlaku secara luas. 2.4 Perangkat Jaringan Komunikasi Pemanfaatan media komunikasi data sebagai sarana pemercepat pelaporan maupun dalam memperoleh data sudah sangat luas implementasinya di KPU. Bervariasinya kebutuhan kecepatan maupun kapasitas media komunikasi data merupakan tantangan tersendiri dalam merancang keamanan jaringan yang ideal di terapkan di lingkungan KPU, namun hal ini perlu di antisipasi mengenai keamanan jaringan secara khusus.

3. Resiko-Resiko Terhadap Aset Resiko adalah segala kemungkinan (likelihood) yang dapat dimanfaatkan oleh serangan (threat). Resiko terkadang juga tidak dapat terhindari, jadi organisasi seyogyanya mampu menerima tingkatan tertentu dari resiko. Resiko dalam berbagai konteks adalah gabungan dari beberapa faktor diantaranya serangan (segala sesuatu yang membahayakan), kelemahan (keterbukaan terhadap serangan), dan nilai aset itu sendiri (seberapa besar dampak apabila tidak adanya aset). Peningkatan terhadap salah satu faktor akan meningkatkan faktor resiko secara umum. 3.1 Identifikasi Ancaman (Threat) Ancaman, menurut National Institute of Standards and Technology (NIST) Amerika Serikat, adalah segala sesuatu yang berasal dari sumber ancaman dan dapat memanfaatkan kelemahan. Pada dasarnya ancaman dapat di bagi menjadi 3 jenis berdasarkan sumbernya, diantaranya adalah : Ancaman yang berasal dari bencana alam Contohnya adalah banjir, gempa bumi, badai. Ancaman yang berasal dari manusia Dapat berupa hal yang disengaja ataupun tidak dari manusia dan dapat bersumber dari dalam maupun luar lingkungan organisasi. Contohnya adalah kesalahan dalam melakukan konfigurasi sistem operasi, kesalahan dalam memasukan data, serangan melalui jaringan, akses pihak yang tidak berwenang terhadap informasi yang sifatnya rahasia, dan lain sebagainya. Ancaman Lingkungan Disebabkan oleh kondisi lingkungan, seperti matinya aliran listrik, polusi, bahan kimia berbahaya, dan lain sebagainya. Berdasarkan hasil survey yang di lakukan oleh NIST USA, maka dapat diketahui bahwa ancaman yang bersumber dari manusia adalah sumber ancaman yang paling berbahaya terhadap keamanan informasi organisasi. Berdasarkan beberapa pengamatan dan kejadian maka di dapat beberapa sumber ancaman yang ada di KPU.

3.2 Identifikasi Kelemahan Kelemahan (vulnerability) adalah cacatnya atau lemahnya prosedur keamanan, rancangan, atau implementasi sistem informasi di organisasi. Berdasarkan tabel klasifikasi aset yang sudah dibahas pada subbab 3.2, maka perlu diketahui frekuensi kejadian serangan atau ancaman terhadap aset dalam setahun dan perkiraan besarnya dampak yang dialami KPU apabila aset tidak dapat digunakan akibat adanya kelemahan yang di manfaatkan oleh serangan atau ancaman. Tabel (2) mendefinisikan pengaruh dampak terhadap kegiatan pelaporan di KPU. Tabel 2 Pengkategorian nilai dampak Kategori Nilai Dampak Penjelasan Kecil Tidak menghambat kegiatan penyampaian informasi Sedang Keterlambatan dalam dihasilkannya data dan informasi Besar Data tidak bisa dihasilkan dalam jangka waktu tertentu 3.3 Profil Keamanan Sistem Informasi Untuk mendapat gambaran yang lengkap mengenai kondisi keamanan informasi di KPU, maka besarnya resiko dapat dikalkulasi berdasarkan frekuensi serangan terhadap aset dan besarnya dampak terhadap dana dan informasi. Besarnya Resiko = Frekuensi Serangan x Nilai Dampak Besarnya resiko kemudian di normalisasi untuk kemudian di dapat nilai resiko. Nilai resiko yang ada dapat di klasifikasi menjadi berikut :

Tabel 3 Nilai resiko dipengaruhi oleh kemungkinan terjadi serangan dan nilai dampak Kemungkinan Terjadi Nilai Dampak Frekuensi Resiko 1 Tidak pernah 1 Kecil 0 Diterima 2 Kadang-kadang 2 Sedang 1-24 Dikurangi 3 Sering 3 Besar 25-49 Tidak Diterima 4 Selalu 4 Sangat besar 50-100 Sangat Tidak Diterima 4. ASPEK KEBIJAKAN DAN PROSEDUR KEAMANAN INFORMASI Kebijakan (Policy) Keamanan Informasi Dalam rangka menyediakan arahan bagi pelaksana dan untuk mendukung keamanan informasi sesuai dengan kebutuhan kegiatan di KPU-KPUD, tugas, dan peraturan perundang-undangan yang berlaku di kpu, pihak pimpinan di kpu selayaknya merancang arah kebijakan secara pasti dan selaras dengan visi, misi, sasaran, dan tujuan kpu. Hal ini juga harus ditindaklanjuti dengan memberikan dukungan penuh dan komitmen pada keamanan informasi di seluruh KPUD. Bentuk dukungan serta komitmen dari pimpinan seyogyanya dituangkan dalam perancangan aturanaturan atau kebijakan-kebijakan serta merencanakan perbaikan secara berkala terhadap kebijakan tersebut. 4.1 Dokumen Kebijakan Keamanan Informasi Dokumen Kebijakan Keamanan Informasi seharusnya disetujui oleh pimpinan tertinggi KPU, dipublikasikan, dan dikomunikasikan kepada seluruh pelaksana dari KPU Pusat hingga ke KPUD maupun pihak lain yang relevan dan memiliki kepentingan yang sama.

Dokumen Kebijakan Keamanan Informasi berisikan pernyataan komitmen pimpinan tertinggi di KPU dan perancangan pendekatan KPU dalam memanaje keamanan informasi. Dokumen ini secara umum berisikan : a. Definisi dari keamanan informasi, tujuan utama dan ruang lingkup, dan pentingnya keamanan informasi sebagai salah satu mekanisme untuk penyebaran informasi. b. Pernyataan dari pimpinan tertinggi di KPU bahwa pihak pimpinan pada prinsipnya setuju bahwa keamanan informasi sejalan dengan visi, misi, sasaran, dan tujuan KPU. c. Kerangka kerja dalam merancang tujuan pengendalian termasuk bagaimana pengkajian resiko dan manajemen resiko d. Penjelasan singkat mengenai kebijakan keamanan, prinsipnya, standar yang digunakan, dan kepentingannya dalam memenuhi peraturan perundang-undangan yang ada. e. Pengaturan mengenai tanggung jawab untuk manajemen keamanan informasi termasuk pelaporan apabila terjadi gangguan keamanan. f. Referensi ke dokumen lain yang isinya mungkin berkaitan dengan dokumen kebijakan untuk memudahkan pelaksana dalam memahami kebijakan yang ada. Dokumen kebijakan keamanan informasi ini di bagi menjadi beberapa bagian, diantaranya adalah : a. Manajemen dan perlindungan password, termasuk aturan dalam penggunaan password dan kewajiban penggantian password secara berkala. b. Kebijakan lisensi perangkat lunak. Yaitu aturan KPU dalam penggunaan perangkat lunak yang berlisensi maupun yang dibangun sendiri (inhouse development application) c. Kebijakan perlindungan terhadap virus. d. Kebijakan penggunaan internet e. Kebijakan penggunaan e-mail

f. Kebijakan dalam pemberian sangsi, peringatan terhadap pihak-pihak yang membahayakan keamanan organisasi g. Kebijakan dalam akses ke lokasi-lokasi khusus. 4.2 Daur Hidup (Lifecycle) Dokumen Kebijakan Keamanan Informasi Kebijakan keamanan informasi ini bukanlah suatu yang statis namun dinamis mengikuti kondisi eksternal dan internal organisasi. Kebijakan keamanan informasi sebaiknya di review dalam selang waktu tertentu atau dalam keadaan dan kondisi tertentu untuk menjamin kesesuaian, kecukupan, dan efektivitas dari kebijakan yang ada. Daur hidup dari kebijakan keamanan informasi ini dapat diamati pada gambar (2). Gambar 2 Daur hidup kebijakan keamanan informasi

4.3 Arsitektur dan model Keamanan Informasi Arsitektur dan model keamanan informasi KPU merupakan siklus dari kebijakan keamanan informasi yang ada. Kebutuhan organisasi akan layanan TI dan semakin berkembangnya teknologi TI mengharuskan organisasi untuk memiliki suatu misi tertentu demi fokusnya proses keamanan informasi. Apabila kebijakan dan prosedur telah dijalankan semisal informasi telah diklasifikasikan berdasarkan tingkat keamanan yang dibutuhkan atau hak akses setiap individu terhadap aset telah terdefinisikan maka dapat diasumsikan bahwa masukan atau input untuk infrastruktur dalam kondisi ideal maka kondisi keamanan informasi dapat tercipta. Seperti terlihat pada gambar (3) Asumsi bahwa Kebijakan dan Prosedur Telah dijalani dengan baik Infrastruktur yang aman (secure) Platform Komputer dan Jaringan Teknologi Keamanan Informasi Gambar 3 Faktor pendukung efektifnya kebijakan dan prosedur keamanan informasi Tahap berikutnya sebagai pemahaman dari kebijakan kemanan informasi adalah menentukan model keamanan informasi yang sesuai dengan kebutuhan KPU. Berdasarkan pengalaman, diperlukan suatu model keamanan informasi yang membagi jenis informasi berdasarkan tingkat kerahasiannya. Sebagai contoh, informasi hasil pemilu, sebelum di sebarluaskan kepada

umum, maka informasi yang berasal dari KPUD di daerah harus dijaga kerahasiaannya supaya data tersebut tidak dimanfaatkan oleh spekulan sebelum sampai ke tingkat nasional atau KPU Pusat. Model keamanan yang mengakomodasi hal ini adalah model Bell Lapadua, Model ini diperlihatkan pada gambar (4) Top Secret informasi Secret Cofidential Pengumuman informasi ke publik Informasi Tidak Boleh Membaca Informasi Tidak Boleh Menulis Public Informasi Gambar 4 Model Bell Lapadua sebagai model keamanan informasi Informasi yang mencakup hasil pemilihan di seluruh daerah di Indonesia inilah yang kemudian dilaporkan ke pusat. Informasi yang sudah diolah di daerah ini kemudian di labelkan sebagai informasi top secret karena berkaitan dengan hasil yang akan ditempuh oleh unit region pada jajaran daerah (KPUD) di KPU. Implementasi dari model atau arsitektur informasi ini dapat berupa perangkat lunak maupun perangkat keras yang mencegah adanya perubahan informasi

oleh pihak yang tidak berwenang. Perlakuan Prevention adalah salah satu upaya pencegahan dini oleh pihak yang tidak berwenang selain penerapan fitur otentikasi dan verifikasi untuk akses ke sumber informasi. 4.4 Prosedur Keamanan Pertukaran Informasi Harapan dari terpenuhinya aspek ini adalah adanya kebijakan, prosedur, dan kendali-kendali pertukaran informasi yang formal untuk melindungi pertukaran informasi melalui penggunaan semua jenis fasilitas komunikasi. Prosedur dan kendali yang harus dipatuhi ketika menggunakan fasilitas komunikasi elektronik untuk pertukaran informasi seharusnya meninjau aspek berikut : Prosedur dirancang untuk melindungi informasi yang dipertukarkan dari pemotongan atau penghilangan sebagian, penggandaan, modifikasi, kesalahan alamat, dan perusakan data Prosedur untuk mendeteksi dan melindungi kode-kode berbahaya yang dapat di kirim melalui penggunaan media komunikasi elektronik, seperti image Prosedur untuk melindungi informasi elektronik sensitif yang dikomunikasikan melalui metode attachment Kebijakan atau panduan secara garis besar mengenai penggunaan yang dapat di toleransi terhadap fasilitas komunikasi elektronik. Prosedur dalam penggunaan komunikasi nirkabel dan beberapa resiko spesifik yang diakibatkannya Pertanggungjawaban pegawai, pihak ketiga, kontraktor, dan setiap pengguna untuk tidak membahayakan organisasi melalui kegiatan yang membahayakan organisasi Menggunakan teknik kriptografi untuk melindungi kerahasiaan, integritas, dan keaslian dari informasi Menggunakan teknik digital signature untuk melindungi kerahasiaan, integritas, dan keaslian dari informasi

Panduan dalam proses pemberhentian perjanjian kerjasama dengan organisasi lain, termasuk pemusnahan dokumen-dokumen penting yang berkaitan dengan surat perjanjian kerjasama. Tidak meninggalkan informasi yang sensitif atau kritis pada fasilitas percetakan, seperti mesin fotokopi, printer, atau mesin faks karena dapat dimanfaatkan oleh pihak yang tidak berwenang Pengendalian dan pembatasan fasilitas komunikasi seperti pengiriman secara otomatis e-mail ke alamat e-mail di luar KPU Mengingatkan personil untuk berhati-hati dalam memberikan alamat email atau informasi pribadi lainnya, untuk mencegah koleksi data oleh pihak yang tidak berwenang 5. ASPEK KEAMANAN TEKNIS 5.1 ASET DATA / INFORMASI Dari kondisi yang ada bahwa aset data adalah aset yang memiliki nilai resiko terbesar bagi sebagian besar di KPU, maka perlu ada suatu upaya untuk meningkatkan keamanan terhadap aset ini. Sebagai langkah awal adalah dengan mengklasifikasi data atau informasi dengan tujuan penerapan keamanan dapat dilakukan secara optimal tergantung dari nilai informasi bagi organisasi. Berikut ini adalah penjabaran dari bagaimana KPU akan menerapkan strategi keamanan untuk aset data / informasi. 5.2 Klasifikasi Data / Informasi Tujuan dari klasifikasi informasi pada dasarnya adalah untuk menjamin bahwa informasi mendapatkan tingkat perlindungan sesuai dengan karakteristiknya dan kebutuhan. Informasi selayaknya diklasifikasi berdasarkan kebutuhan, prioritas, dan derajat keamanan yang diharapkan oleh pengguna informasi. Informasi memiliki derajat atau tingkatan sensitivitas dan kekritisan. Beberapa informasi mungkin membutuhkan perlakuan keamanan khusus. Skema atau alur dari

klasifikasi informasi seharusnya digunakan untuk mendefinisikan tingkat perlindungan dan mengkomunikasikan kebutuhan akan perlindungan khusus. Klasifikasi informasi dalam hal ini dapat terdiri antara lain : a. Tingkat Kerahasiaan Level 1 2 3 Tingkat Kerahasiaan Deskripsi Apabila data diketahui oleh orang yang tidak berhak tidak mengganggu kegiatan operasional Apabila data diketahui orang yang tidak berhak maka dapat mengganggu kegiatan operasional Apabila data diketahui orang yang tidak berhak maka dapat menghentikan kegiatan operasional b. Tingkat Ketersediaan Level 1 2 3 Tingkat Ketersediaan Deskripsi Ketiadaan data tidak akan menghambat kegiatan operasional Ketiadaan data akan menghambat kegiatan operasional Ketiadaan data akan menghentikan kegiatan operasional c. Tingkat Integritas Level 1 2 Tingkat Integritas Deskripsi Perubahan data dari orang yang tidak berhak tidak akan mengganggu kegiatan operasional Perubahan data dari orang yang tidak berhak akan mengganggu kegiatan operasional Inkonsistensi data tidak berpengaruh terhadap pengambilan keputusan Inkonsistensi data mengurangi tingkat akurasi

3 Perubahan data oleh orang yang tidak berhak akan menghentikan kegiatan operasional Inkonsistensi data menjadi perhatian publik dan mengurangi citra baik institusi d. Tingkat Kepentingan untuk KPU Tingkat Kepentingan untuk KPU Level Deskripsi 1 Data sama sekali tidak dibutuhkan oleh KPU Data dibutuhkan secara tidak langsung oleh KPU, artinya data harus melalui proses lebih lanjut 2 untuk dapat dimanfaatkan sebagai informasi 3 Data dibutuhkan secara langsung KPU e. Tingkat Kepentingan untuk KPUD Level Tingkat Kepentingan untuk KPUD Deskripsi 1 Data sama sekali tidak dibutuhkan oleh KPUD Data dibutuhkan secara tidak langsung oleh KPUD artinya data harus melalui proses lebih lanjut untuk dapat dimanfaatkan sebagai 2 informasi 3 Data dibutuhkan secara langsung KPUD 5.3 Pemberian Label dan Penanganan Informasi Klasifikasi Informasi selayaknya diimplementasikan dengan pemberian label tiap informasi dalam berbagai bentuk dan format. Langkah pertama bagi KPU adalah pelabelan informasi yang dapat di implementasikan di bagian depan atau sampul informasi dengan berbagai keterangan tentang informasi. Label ini lengkap dengan keterangan tingkat kerahasiaan, tingkat integritas, dan tingkat ketersediaan dan harus dicantumkan pula dari mana sumber informasi, dan ke mana informasi akan diserahkan. Untuk data yang memiliki format elektronik penamaan informasi juga harus

terstandarisasi, memiliki password untuk menjamin bahwa data tidak dibaca oleh pihak yang tidak berwenang, dan harus jelas mencantumkan nama institusi yang menciptakannya. 6. ASPEK KEAMANAN PERSONIL 6.1 Standar Prosedur Operasional Untuk menjamin bahwa pengguna sistem informasi baik dari pegawai KPU maupun pihak ketiga memahami tanggungjawabnya dan sesuai dengan perannya, dan untuk mencegah terjadinya pencurian maupun perusakan aset oleh personil. Tanggung jawab keamanan harus di tuangkan ke dalam suatu bentuk deskripsi tugas sesuai dengan tugas dan fungsi, dan kondisi personil. Pengguna fasilitas pemrosesan informasi, baik dari pegawai maupun pihak ketiga, harus menandatangani persetujuan berdasarkan peran dan tanggung jawabnya terhadap keamanan informasi. Peran dan tanggung jawab keamanan setiap personil seharusnya terdefinisi dan terdokumentasi berlandaskan kebijakan keamanan informasi KPU. Peran dan tanggung jawab keamanan termasuk kebutuhan untuk : a. Mengimplementasi dan bertindak berdasarkan kebijakan keamanan informasi KPU b. Melindungi aset-aset dari akses, modifikasi, serta perusakan oleh pihak yang tidak berwenang, c. Eksekusi proses maupun aktivitas keamanan tertentu d. Melaporkan kejadian yang berkaitan dengan keamanan dan segala ancaman yang berpotensi menghasilkan resiko bagi KPU. Peran dan tanggung jawab keamanan ini harus terdefinisi dan dikomunikasikan sejelas-jelasnya kepada personil pada proses awal sebelum personil bertugas. Sebagai bagian dari perjanijian kesepakatan kerja atau kontrak kerjasama antara KPU dengan pihak ketiga, setiap pengguna seharusnya telah menyetujui dan menandatangani perjanjian kerja yang menyatakan tanggung jawabnya bagi keamanan informasi.

Kesepakatan ini juga harus berlandaskan kebijakan keamanan informasi untuk menyatakan : a. Bahwa seluruh pengguna fasilitas informasi di KPU yang diberikan akses ke informasi yang sensitif harus menandatangani perjanjian kerahasiaan atau perjanjian non disclosure agreement (NDA) sebelum memperoleh akses ke fasilitas pemrosesan informasi tersebut maupun mendapatkan dokumendokumen penting dari KPU. b. Hak dan kewajiban setiap personil secara resmi c. Pertanggungjawaban untuk melakukan klasifikasi informasi dan manajemen aset-aset KPU yang berhubungan dengan sistem dan layanan informasi yang di handel oleh pegawai maupun pihak ketiga d. Pertanggungjawaban personil untuk menangani informasi yang di terima dari organisasi lain. e. Tanggung jawab organisasi untuk menangani informasi personalia. f. Pertanggungjawaban keamanan informasi apabila ada pegawai yang masih melakukan pekerjaan di luar jam kerja dan atau melakukan pekerjaan lain di kantor. g. Tindakan yang di ambil (punishment) manakala pegawai tidak mematuhi kebijakan keamanan informasi KPU. 6.2 Sosialisasi Kesadaran Keamanan Informasi, Pendidikan dan Pelatihan Seluruh pegawai di lingkungan KPU harus mendapatkan pelatihan yang sesuai dalam rangka peningkatan kesadaran terhadap keamanan informasi dan sosialisasi terhadap kebijakan dan prosedur keamanan informasi yang relevan bagi tupoksi masing-masing pegawai. Pelatihan ini sebelumnya harus di awali dengan serangkaian proses sosialisasi terhadap kebijakan keamanan organisasi dan harapan pegawai terhadap jaminan akses pada informasi atau layanan. Peningkatan kesadaran keamanan informasi, pendidikan, dan pelatihannya harus sesuai dan relevan dengan tugas

pokok dan keahlian masing-masing pegawai, dan harus termasuk informasi mengenai ancaman, dan pihak mana yang harus di hubingi apabila terjadi serangan. Pelatihan untuk meningkatkan kesadaran berfungsi untuk memungkinkan pegawai untuk mengenali permasalahan dalam keamanan informasi dan respon berdasarkan kebutuhan tugas pokok.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan