kebijakan dan regulasi keamanan informasi

advertisement
KEBIJAKAN DAN REGULASI
KEAMANAN INFORMASI
Disampaikan pada Bimtek Relawan TIK,
di Hotel Salak Bogor, 6 Juli 2011
Bambang Heru Tjahjono
Direktur Keamanan Informasi
Agenda
1
Profil Direktorat Keamanan Informasi
2
Sekilas tentang Keamanan Informasi
3
Permasalahan Keamanan Informasi
4
Best Practices Keamanan Informasi
5
Diskusi
05/24/11
Tugas & Fungsi
(Permen- MenKominfo No. 17/Oktober-2010)
Melaksanakan perumusan dan pelaksanaan kebijakan,
penyusunan norma, standar, prosedur dan kriteria,
serta pemberian bimbingan teknis dan evaluasi di
bidang keamanan informasi.
Bidang-bidang tugas (yang masing-masing dipimpin
oleh Ka. Subdit):
- Tata Kelola Keamanan Informasi
- Teknologi Keamanan Informasi
- Monitoring, Evaluasi &Tanggap Darurat Keamanan
Informasi
- Penyidikan dan Penindakan
- Budaya Keamanan Informasi
Direktorat Keamanan Informasi 2011
VISI, MISI, DAN TUJUAN DIREKTORAT KEAMANAN
INFORMASI
Visi Dit. Keamanan Informasi
Terwujudnya pemanfaatan informasi yang sehat, tertib,aman, dan
berbudaya,
Misi Dit. Keamanan Informasi
Memelihara keamanan dan ketertiban dunia siber dalam rangka
mewujudkan masyarakat informasi yang sejahtera.
Tujuan:
• Menyusun kebijakan nasional di bidang keamanan informasi melalui
kerjasama antar lembaga baik dalam maupun luar negeri
• Membangun kemampuan teknis di bidang teknologi keamanan informasi
• Menyelenggarakan penanganan insiden keamanan informasi nasional
• Menyelenggarakan penegakan hukum bidang ITE
• Membangun budaya keamanan di dunia cyber
Direktorat Keamanan Informasi 2011
5
05/24/11
Perumusan kebijakan&tatakelola -POLICY MAKER
Meningkatkan
kepedulianAWARENESS
DIREKTORAT
KEAMANAN
INFORMASI
Penegakan Hukum
(Law Enforcement)
Dukungan Teknologi &
Infrastructures
Pelaksanaan
Kebijakan(Regulator
05/24/11
05/24/11
05/24/11
20 Security Best Practices (ITU)‫‏‬
General IT Security
Spam, Spyware and Malicious Code
Financial Services Security
Security Awareness
E-mail Security
Cyber Security and Networking
Risk Management
Media and End User Device Security
Security Metrics
Wireless Networks
Incident Management, Monitoring and Response
Network Security and Information Exchange
Electronic Authentication and Personal Identification
Electronic Signatures
Web Security
Mobile Device Security
Operating System and Server Security
Radio Frequency Identification (RFID) Security
Security Policy
Planning, Testing and Security Management
Sumber : ITU & Modified Presentasi CA -2011
05/24/11
Ruang Lingkup Keamanan Informasi
Tony Rutkowski, [email protected]
Rapporteur, ITU-T Cybersecurity Rapporteur Group
EVP, Yaana Technologies
Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and
Policy (CISTP)
HISA Framework
Hogan Information Security Architecture Framework
Organization
Individual
Country
Certification
Compliance
Business /
Goverment
ICT
InfoSec
Governance/
Risk Management
Care
People
Threat
Process
Vulnerability
Technology
Asset
Confidentiality
Prevention
Integrity
Availability
Detection
Response
Administrative
Sumber : Hogan –Presdir Unipro
Physical
Technical
05/24/11
05/24/11
05/24/11
Security Landscape
(Cyber Range Attack from Individual, Corporation to Country)‫‏‬
• Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS,
DDOS, etc)‫‏‬
• Account Hijack
• Spam, Phishing
• Identity Theft
• Web Defaced
• Data Leakage/Theft
• Web Transaction Attack
• Misuse of IT Resources
• Cyber Espionage
• Cyber War
Sumber : Presentasi CA –Modified
Ancaman Keamanan Informasi
19
Sumber : Presentasi Iwan S-Bank Indonesia 2008
05/24/11
Best Practices - Inisiatif Information Security
Amerika Serikat
1. White House
2. NIST
3. DoHS
4. DoD
5. CERT
Negara Lain
1. Infocomm Development
Authority (IDA) of Singapore
2. CyberSecurity Malaysia,
under Ministry of Science,
Technology and Innovation
(MOSTI)‫‏‬
3. Cyber Security Operation
Center (CSOC), Australian
Department of Defense.
4. National Information
Security Council of Japan.
Lembaga
Internasional
1.ITU International
Telecommunication
Union
2.ISO/IEC –
International Standard
Organization
3.ISF – Information
Security Forum
4.BSA- Business
Software Alliance
Lesson Learned
Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan:
Adanya koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar,
Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur
keamanan informasi yang merupakan bagian dari arsitektur enterprise
05/24/11
SNI-ISO 27001
Sistem Manajemen
Keamanan Informasi
Sumber ISMS – ISO 27001
1.
2.
3.
4.
5.
6.
7.
8.
Kebijakan Keamanan Informasi
Organisasi Keamanan Informasi
Pengelolaan Aset
Keamanan Sumber Daya Manusia
Keamanan Fisik dan Lingkungan
Manajemen Komunikasi dan Operasi
Pengendalian Akses
Akuisisi, Pengembangan dan
Pemeliharaan Sistem Informasi
9. Manajemen Insiden Keamanan Infomasi
10. Manajemen Keberlanjutan Bisnis
• Kesesuaian (Compliance).
23
05/24/11
“Security Transcends Technology”
Diskusi Road-Map Keamanan Informasi
LEMBAGA
- Pembentukan Direktorat Keamanan Informasi Ditjen Aptika (sebagai
Regulator di tahun 2011)‫‏‬
- IDSIRTII dan ID-CERT untuk Tanggap Darurat Insiden Keamanan Informasi
- Rencana Pembentukan pengelola Certificate of Authority/Government Public
Key Infrastructure
- Wacana Pembentukan National Information Security Centre
DUKUNGAN KEBIJAKAN&TEKNIS
- UU-ITE, UU- KIP, UU-Telekomunikasi, RUU-Konvergensi, RPP-PITE
- Penyusunan Arsitektur TIK & Keamanan Informasi Nasional
- Penetapan Standard Tata Kelola Keamanan Informasi Nasional di instansi
Pemerintah
- Pemetaan (Pemeringkatan) Indeks Keamanan Informasi Nasional
SUMBER DAYA MANUSIA
- Peningkatan Kepedulian akan pentingnya Keamanan Informasi Nasional
- Pelatihan tenaga-tenaga bersertifikasi dibidang Keamanan Informasi
Roadmap Keamanan Informasi
???
????
2014
2015
2013
????
?????
2011
??????
2012
?????
28
Bambang Heru Tjahjono
Direktur Keamanan Informasi
[email protected]
TERIMA KASIH
Download