MAKALAH KEAMANAN INFORMASI Oleh : Muhammad Shodiqil Khafili Djakfar 2110155027 Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc Pendahuluan Informasi merupakan aset yang sangat penting bagi Instansi penyelenggara layanan publik dan karenanya perlu dilindungi dari ancaman yang dapat mengganggu kelangsungan bisnisnya. Penggunaan fasilitas teknologi informasi selain memudahkan proses pekerjaan juga mengandung risiko bila tidak digunakan dan dikelola dengan tepat. Oleh karena itu, penggunaan teknologi informasi harus dikelola sedemikian rupa sehingga memberi manfaat sebesarbesarnya dengan kemungkinan risiko yang rendah. Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Pembuatan panduan tata kelola tak lepas dari indeks – indeks keamanan informasi yang ada di dunia. Oleh karena itu, penulis akan membahas tentang indeks yang berhubungan dengan keamanan informasi. \ Pembahasan Pemerintah berupaya untuk melindungi keamanan informasi negara dengan melakukan tata kelola pada Teknologi Informasi dan Komunikasi (TIK) melalui Sistem Pengendalian Intern sesuai dengan peraturan pemerintah (Perpu) 60 Tahun 2008. “Sistem Pengendalian Intern adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatan terhadap peraturan perundang-undangan. Dalam melakukannya, pemerintah yang dalam masalah ini langsung diatasi oleh Kementerian Komunikasi dan Informasi (Kominfo) membuat panduan penerapan tata kelola tersebut. Namun dalam pembuatannya, diperlukan standar – standar yang mencakup sebagai peraturan yang baik. Adalah COBIT sebagai standar praktik manajemen Teknologi Informasi, ISO 20000-1 yang membahas standar Manajemen Layanan Teknologi Informasi, ISO 27001 yang membahas standar Sistem Manajemen Keamanan Informasi, dan ISO 15408 yang membahas tentang keamanan perangkat. COBIT Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru. COBIT memiliki 4 cakupan domain, yaitu : Perencanaan dan organisasi (plan and organise) Pengadaan dan implementasi (acquire and implement) Pengantaran dan dukungan (deliver and support) Pengawasan dan evaluasi (monitor and evaluate) Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor. ISO/IEC 20000-1 “ISO/IEC 20000-1:2011 is a service management system (SMS) standard. It specifies requirements for the service provider to plan, establish, implement, operate, monitor, review, maintain and improve an SMS. The requirements include the design, transition, delivery and improvement of services to fulfil agreed service requirements.” ISO/IEC 20000-1 yang diterbitkan tahun 2011 adalah standar sistem manajemen pelayanan yang fokus dalam perencanaan, implementasi, pengoperasian, review, monitoring, maintenance, dan pengembangan service provider. Kebutuhannya termasuk desain, transisi, pengiriman dan kemajuan pelayanan untuk melengkapi kebutuhan pelayanan itu sendiri. Standar ISO/IEC 20000-1 berbasis pada pekerjaan yang dilakukan oleh Office of Government Commerce (OGC) dan IT Infrastructure Library (ITIL) yang diterima secara internasional sehingga Anda bisa merasa yakin dengan manfaat yang akan Anda peroleh dari cara layanan teknologi informasi Anda dijalankan. Basis standar ini adalah siklus Plan-Do-Check-Act, sama dengan standar sistem manajemen yang lain, yang memungkinkan Anda untuk mengerjakan sistem terintegrasi dan mengurangi biaya dan duplikasi. ISO/IEC 20000-1 bisa diterapkan untuk seluruh organisasi penyedia aktifitas manajemen TI yang ingin mengukur manajemen layanan TI mereka yang ada. ISO/IEC 20000-1 adalah sebuah standar Inggris yang dikembangkan oleh Forum Manajemen Layanan TI (itSMF) yang diterima secara internasional. ISO/IEC 27001 SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan. Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Pendekatan proses mendorong pengguna menekankan pentingnya : Pemahaman persyaratan keamanan informasi organisasi dan kebutuhan terhadap kebijakan serta sasaran keamanan informasi Penerapan dan pengoperasian kontrol untuk mengelola risiko keamanan informasi dalam konteks risiko bisnis organisasi secara keseluruhan Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI Peningkatan berkelanjutan berdasarkan pada pengukuran tingkat ketercapaian sasaran Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut: Sistem manajemen keamanan informasi (kerangka kerja, proses dan dokumentasi) Tanggung jawab manajemen Audit internal SMKI Manajemen tinjau ulang SMKI Peningkatan berkelanjutan Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan sasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 area pengamanan sebagai berikut: Kebijakan keamanan informasi Organisasi keamanan informasi Manajemen aset Sumber daya manusia menyangkut keamanan informasi Keamanan fisik dan lingkungan Komunikasi dan manajemen operasi Akses kontrol Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi Pengelolaan insiden keamanan informasi Manajemen kelangsungan usaha (business continuity management) Kepatuhan ISO/IEC 15408 Terdapat 3 bagian ISO 15408, berikut adalah penjelasan sekilasnya. ISO/IEC 15408-1:2009 Bagian pertama dari ISO/IEC 15408 merupakan kemungkinan perbandingan antara hasil evaluasi keamanan yang secara independen. Menyediakan seperangkat persyaratan untuk fungsi keamanan produk dan jaminan pada penerapan untuk produk-produk IT selama evaluasi keamanan dilakukan. Hal ini dapat diimplementasikan dalam hardware, firmware atau perangkat lunak. ISO/IEC 15408-2:2008 Bagian kedua merupakan dasar untuk persyaratan keamanan fungsional yang disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan (Security Target/ST). Persyaratan menggambarkan perilaku keamanan yang diinginkan dan diharapkan dari Target of Evaluation (TOE) dan dimaksudkan untuk memenuhi tujuan keamanan sebagaimana tercantum dalam PP atau ST. Persyaratan menjelaskan sifat keamanan yang dilakukan pengguna, dapat mendeteksi interaksi langsung (yaitu input, output) dengan IT atau oleh respon IT ke stimulus. ISO/IEC 15408-3: 2008 Bagian yang ketiga merupakan dasar untuk persyaratan jaminan keamanan yang disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan (Security Target/ST). Persyaratan untuk menetapkan cara standar dalam mengekspresikan persyaratan jaminan untuk TOE. Bagian dari ISO/IEC 15408 untuk katalog set dari komponen jaminan, keluarga(families) dan kelas (classes). Bagian dari ISO/IEC 15408 untuk mendefinisikan kriteria evaluasi pada PP dan ST dan untuk menyajikan tingkat jaminan evaluasi yang digunakan dalam menentukan ketetapan pada ISO/IEC 15408 untuk jaminan skala tingkatan TOE, yang disebut Evaluation Assurance Levels (EALs). Penutup Informasi sangatlah penting, teruntama untuk pihak yang membutuhkannya. Informasi harus dilindungi dari ancaman – ancaman yang membut informasi rusak atau bocor. Oleh karena itu butuh adanya tata kelola yang baik dan pentingnya keamanan informasi sebagaimana halnya keamanan informasi pada Teknologi Informasi. Pengelolaan keamanan informasi tidak dapat dibuat begitu saja, namun harus memperhatikan indeks – indeks yang ada. Indeks tersebut berupa standar – standar nasional maupun internasional. Untuk keamanan informasi, beberapa standar yang perlu diperhatikan adalah : 1. Peraturan Pemerintah 60 tahun 2008 tentang Sistem Pengendalian Intern. 2. COBIT sebagai standar praktik Manajemen Teknologi Informasi. 3. ISO/IEC 20000-1 tentang Manajemen Layanan Teknologi Informasi. 4. ISO/IEC 27001 tentang Sistem Manajemen Keamanan Informasi. 5. ISO/IEC 15408 tentang Keamanan Perangkat. Daftar Pustaka https://arafiandi.wordpress.com/2009/10/27/tentang-iso-27001-information-securitymanagement-system/ http://blogs.itb.ac.id/aiceware/2014/02/21/sekilas-iso-15408/ http://id.wikipedia.org/wiki/COBIT http://www.id.lrqa.com/standards-and-schemes/iso-iec20000-1/ http://www.iso.org/iso/catalogue_detail.htm?csnumber=50341 http://www.iso.org/iso/catalogue_detail?csnumber=51986 Panduan Penerapan Tata Kelola KIPPP Peraturan Pemerintah 60 Tahun 2008