KEBIJAKAN DAN REGULASI KEAMANAN INFORMASI Disampaikan pada Bimtek Relawan TIK, di Hotel Salak Bogor, 6 Juli 2011 Bambang Heru Tjahjono Direktur Keamanan Informasi Agenda 1 Profil Direktorat Keamanan Informasi 2 Sekilas tentang Keamanan Informasi 3 Permasalahan Keamanan Informasi 4 Best Practices Keamanan Informasi 5 Diskusi 05/24/11 Tugas & Fungsi (Permen- MenKominfo No. 17/Oktober-2010) Melaksanakan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, serta pemberian bimbingan teknis dan evaluasi di bidang keamanan informasi. Bidang-bidang tugas (yang masing-masing dipimpin oleh Ka. Subdit): - Tata Kelola Keamanan Informasi - Teknologi Keamanan Informasi - Monitoring, Evaluasi &Tanggap Darurat Keamanan Informasi - Penyidikan dan Penindakan - Budaya Keamanan Informasi Direktorat Keamanan Informasi 2011 VISI, MISI, DAN TUJUAN DIREKTORAT KEAMANAN INFORMASI Visi Dit. Keamanan Informasi Terwujudnya pemanfaatan informasi yang sehat, tertib,aman, dan berbudaya, Misi Dit. Keamanan Informasi Memelihara keamanan dan ketertiban dunia siber dalam rangka mewujudkan masyarakat informasi yang sejahtera. Tujuan: • Menyusun kebijakan nasional di bidang keamanan informasi melalui kerjasama antar lembaga baik dalam maupun luar negeri • Membangun kemampuan teknis di bidang teknologi keamanan informasi • Menyelenggarakan penanganan insiden keamanan informasi nasional • Menyelenggarakan penegakan hukum bidang ITE • Membangun budaya keamanan di dunia cyber Direktorat Keamanan Informasi 2011 5 05/24/11 Perumusan kebijakan&tatakelola -POLICY MAKER Meningkatkan kepedulianAWARENESS DIREKTORAT KEAMANAN INFORMASI Penegakan Hukum (Law Enforcement) Dukungan Teknologi & Infrastructures Pelaksanaan Kebijakan(Regulator 05/24/11 05/24/11 05/24/11 20 Security Best Practices (ITU) General IT Security Spam, Spyware and Malicious Code Financial Services Security Security Awareness E-mail Security Cyber Security and Networking Risk Management Media and End User Device Security Security Metrics Wireless Networks Incident Management, Monitoring and Response Network Security and Information Exchange Electronic Authentication and Personal Identification Electronic Signatures Web Security Mobile Device Security Operating System and Server Security Radio Frequency Identification (RFID) Security Security Policy Planning, Testing and Security Management Sumber : ITU & Modified Presentasi CA -2011 05/24/11 Ruang Lingkup Keamanan Informasi Tony Rutkowski, [email protected] Rapporteur, ITU-T Cybersecurity Rapporteur Group EVP, Yaana Technologies Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and Policy (CISTP) HISA Framework Hogan Information Security Architecture Framework Organization Individual Country Certification Compliance Business / Goverment ICT InfoSec Governance/ Risk Management Care People Threat Process Vulnerability Technology Asset Confidentiality Prevention Integrity Availability Detection Response Administrative Sumber : Hogan –Presdir Unipro Physical Technical 05/24/11 05/24/11 05/24/11 Security Landscape (Cyber Range Attack from Individual, Corporation to Country) • Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS, DDOS, etc) • Account Hijack • Spam, Phishing • Identity Theft • Web Defaced • Data Leakage/Theft • Web Transaction Attack • Misuse of IT Resources • Cyber Espionage • Cyber War Sumber : Presentasi CA –Modified Ancaman Keamanan Informasi 19 Sumber : Presentasi Iwan S-Bank Indonesia 2008 05/24/11 Best Practices - Inisiatif Information Security Amerika Serikat 1. White House 2. NIST 3. DoHS 4. DoD 5. CERT Negara Lain 1. Infocomm Development Authority (IDA) of Singapore 2. CyberSecurity Malaysia, under Ministry of Science, Technology and Innovation (MOSTI) 3. Cyber Security Operation Center (CSOC), Australian Department of Defense. 4. National Information Security Council of Japan. Lembaga Internasional 1.ITU International Telecommunication Union 2.ISO/IEC – International Standard Organization 3.ISF – Information Security Forum 4.BSA- Business Software Alliance Lesson Learned Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi yang merupakan bagian dari arsitektur enterprise 05/24/11 SNI-ISO 27001 Sistem Manajemen Keamanan Informasi Sumber ISMS – ISO 27001 1. 2. 3. 4. 5. 6. 7. 8. Kebijakan Keamanan Informasi Organisasi Keamanan Informasi Pengelolaan Aset Keamanan Sumber Daya Manusia Keamanan Fisik dan Lingkungan Manajemen Komunikasi dan Operasi Pengendalian Akses Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan Infomasi 10. Manajemen Keberlanjutan Bisnis • Kesesuaian (Compliance). 23 05/24/11 “Security Transcends Technology” Diskusi Road-Map Keamanan Informasi LEMBAGA - Pembentukan Direktorat Keamanan Informasi Ditjen Aptika (sebagai Regulator di tahun 2011) - IDSIRTII dan ID-CERT untuk Tanggap Darurat Insiden Keamanan Informasi - Rencana Pembentukan pengelola Certificate of Authority/Government Public Key Infrastructure - Wacana Pembentukan National Information Security Centre DUKUNGAN KEBIJAKAN&TEKNIS - UU-ITE, UU- KIP, UU-Telekomunikasi, RUU-Konvergensi, RPP-PITE - Penyusunan Arsitektur TIK & Keamanan Informasi Nasional - Penetapan Standard Tata Kelola Keamanan Informasi Nasional di instansi Pemerintah - Pemetaan (Pemeringkatan) Indeks Keamanan Informasi Nasional SUMBER DAYA MANUSIA - Peningkatan Kepedulian akan pentingnya Keamanan Informasi Nasional - Pelatihan tenaga-tenaga bersertifikasi dibidang Keamanan Informasi Roadmap Keamanan Informasi ??? ???? 2014 2015 2013 ???? ????? 2011 ?????? 2012 ????? 28 Bambang Heru Tjahjono Direktur Keamanan Informasi [email protected] TERIMA KASIH