KEBIJAKAN DAN REGULASI KEAMANAN INFORMASI Disampaikan pada Bimtek Relawan TIK, di Hotel Salak Bogor, 6 Juli 2011 Bambang Heru Tjahjono Direktur Keamanan Informasi
Agenda 1 2 3 4 5 Profil Direktorat Keamanan Informasi Sekilas tentang Keamanan Informasi Permasalahan Keamanan Informasi Best Practices Keamanan Informasi Diskusi
05/24/11
Tugas & Fungsi (Permen- MenKominfo No. 17/Oktober-2010) Melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, serta pemberian bimbingan teknis dan evaluasi di bidang keamanan informasi. Bidang-bidang tugas (yang masing-masing dipimpin oleh Ka. Subdit): - Tata Kelola Keamanan Informasi - Teknologi Keamanan Informasi - Monitoring, Evaluasi &Tanggap Darurat Keamanan Informasi - Penyidikan dan Penindakan - Budaya Keamanan Informasi Direktorat Keamanan Informasi 2011
VISI, MISI, DAN TUJUAN DIREKTORAT KEAMANAN INFORMASI Visi Dit. Keamanan Informasi Terwujudnya pemanfaatan informasi yang sehat, tertib,aman, dan berbudaya, Misi Dit. Keamanan Informasi Memelihara keamanan dan ketertiban dunia siber dalam rangka mewujudkan masyarakat informasi yang sejahtera. Tujuan: Menyusun kebijakan nasional di bidang keamanan informasi melalui kerjasama antar lembaga baik dalam maupun luar negeri Membangun kemampuan teknis di bidang teknologi keamanan informasi Menyelenggarakan penanganan insiden keamanan informasi nasional Menyelenggarakan penegakan hukum bidang ITE Membangun budaya keamanan di dunia cyber Direktorat Keamanan Informasi 2011 5
05/24/11
Dukungan Teknologi & Infrastructures Perumusan kebijakan&tatakelola -POLICY MAKER Meningkatkan kepedulian- AWARENESS DIREKTORAT KEAMANAN INFORMASI Pelaksanaan Kebijakan- (Regulator Penegakan Hukum (Law Enforcement)
05/24/11
05/24/11
05/24/11
( ITU ) 20 Security Best Practices General IT Security ecurity Awareness Spam, Spyware and Malicious Code Financial Services Security E-mail Security Cyber Security and Networking Security Metrics Media and End User Device Security Risk Management Incident Management, Monitoring and Response Network Security and Information Exchange Wireless Networks Web Security Electronic Authentication and Personal Identification Mobile Device Security Operating System and Server Security Electronic Signatures Radio Frequency Identification (RFID) Security Security Policy Planning, Testing and Security Management Sumber : ITU & Modified Presentasi CA -2011
05/24/11
Ruang Lingkup Keamanan Informasi Tony Rutkowski, tony@yaanatech.com Rapporteur, ITU-T Cybersecurity Rapporteur Group EVP, Yaana Technologies Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and Policy (CISTP)
HISA Framework Hogan Information Security Architecture Framework Certification Compliance Care Organization Individual Country Business / Goverment ICT InfoSec Governance/ Risk Management People Process Technology Threat Vulnerability Asset Prevention Detection Response Confidentiality Integrity Availability Administrative Sumber : Hogan Presdir Unipro Physical Technical
05/24/11
05/24/11
05/24/11
Security Landscape ( Country (Cyber Range Attack from Individual, Corporation to Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS, ( etc DDOS, Account Hijack Spam, Phishing Identity Theft Web Defaced Data Leakage/Theft Web Transaction Attack Misuse of IT Resources Cyber Espionage Cyber War Sumber : Presentasi CA Modified
Ancaman Keamanan Informasi Sumber : Presentasi Iwan S-Bank Indonesia 2008 19
05/24/11
Best Practices - Inisiatif Information Security Amerika Serikat Negara Lain Lembaga Internasional 1. White House 2. NIST 3. DoHS 4. DoD 5. CERT 1. Infocomm Development Authority (IDA) of Singapore 2. CyberSecurity Malaysia, under Ministry of Science, Technology and Innovation ( MOSTI ) 3. Cyber Security Operation Center (CSOC), Australian Department of Defense. 4. National Information Security Council of Japan. 1.ITU International Telecommunication Union 2.ISO/IEC International Standard Organization 3.ISF Information Security Forum 4.BSA- Business Software Alliance Lesson Learned Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi yang merupakan bagian dari arsitektur enterprise
05/24/11
SNI-ISO 27001 Sistem Manajemen Keamanan Informasi 1. Kebijakan Keamanan Informasi 2. Organisasi Keamanan Informasi 3. Pengelolaan Aset 4. Keamanan Sumber Daya Manusia 5. Keamanan Fisik dan Lingkungan 6. Manajemen Komunikasi dan Operasi 7. Pengendalian Akses 8. Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan Infomasi 10. Manajemen Keberlanjutan Bisnis Kesesuaian (Compliance). Sumber ISMS ISO 27001 23
05/24/11
Security Transcends Technology
Diskusi Road-Map Keamanan Informasi LEMBAGA - Pembentukan Direktorat Keamanan Informasi Ditjen Aptika (sebagai ( 2011 Regulator di tahun - IDSIRTII dan ID-CERT untuk Tanggap Darurat Insiden Keamanan Informasi - Rencana Pembentukan pengelola Certificate of Authority/Government Public Key Infrastructure - Wacana Pembentukan National Information Security Centre DUKUNGAN KEBIJAKAN&TEKNIS - UU-ITE, UU- KIP, UU-Telekomunikasi, RUU-Konvergensi, RPP-PITE - Penyusunan Arsitektur TIK & Keamanan Informasi Nasional - Penetapan Standard Tata Kelola Keamanan Informasi Nasional di instansi Pemerintah - Pemetaan (Pemeringkatan) Indeks Keamanan Informasi Nasional SUMBER DAYA MANUSIA - Peningkatan Kepedulian akan pentingnya Keamanan Informasi Nasional - Pelatihan tenaga-tenaga bersertifikasi dibidang Keamanan Informasi
Roadmap Keamanan Informasi??????? 2014 2015???? 2013 2011 2012???????????????? 28
Bambang Heru Tjahjono Direktur Keamanan Informasi bambanght@depkomingo.go.id TERIMA KASIH