MAKALAH

advertisement
MAKALAH
KEAMANAN INFORMASI
Oleh :
Muhammad Shodiqil Khafili Djakfar
2110155027
Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc
Pendahuluan
Informasi merupakan aset yang sangat penting bagi Instansi penyelenggara
layanan publik dan karenanya perlu dilindungi dari ancaman yang dapat mengganggu
kelangsungan bisnisnya. Penggunaan fasilitas teknologi informasi selain
memudahkan proses pekerjaan juga mengandung risiko bila tidak digunakan dan
dikelola dengan tepat. Oleh karena itu, penggunaan teknologi informasi harus
dikelola sedemikian rupa sehingga memberi manfaat sebesarbesarnya dengan
kemungkinan risiko yang rendah.
Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini
sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan
publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas
layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good
Corporate Governance). Dalam penyelenggaraan tata kelola TIK, faktor keamanan
informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata
kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola
TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan
(confidentiality), keutuhan (integrity) dan ketersediaan (availability).
Pembuatan panduan tata kelola tak lepas dari indeks – indeks keamanan
informasi yang ada di dunia. Oleh karena itu, penulis akan membahas tentang indeks
yang berhubungan dengan keamanan informasi.
\
Pembahasan
Pemerintah berupaya untuk melindungi keamanan informasi negara dengan
melakukan tata kelola pada Teknologi Informasi dan Komunikasi (TIK) melalui
Sistem Pengendalian Intern sesuai dengan peraturan pemerintah (Perpu) 60 Tahun
2008.
“Sistem Pengendalian Intern adalah proses yang integral pada tindakan dan
kegiatan yang dilakukan secara terus menerus oleh pimpinan dan seluruh pegawai
untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui
kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan aset
negara, dan ketaatan terhadap peraturan perundang-undangan.
Dalam melakukannya, pemerintah yang dalam masalah ini langsung diatasi
oleh Kementerian Komunikasi dan Informasi (Kominfo) membuat panduan
penerapan tata kelola tersebut. Namun dalam pembuatannya, diperlukan standar –
standar yang mencakup sebagai peraturan yang baik.
Adalah COBIT sebagai standar praktik manajemen Teknologi Informasi, ISO
20000-1 yang membahas standar Manajemen Layanan Teknologi Informasi, ISO
27001 yang membahas standar Sistem Manajemen Keamanan Informasi, dan ISO
15408 yang membahas tentang keamanan perangkat.
COBIT
Control Objective for Information and related Technology, disingkat
COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi.
Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian
dari ISACA. COBIT 4.1 merupakan versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :

Perencanaan dan organisasi (plan and organise)

Pengadaan dan implementasi (acquire and implement)

Pengantaran dan dukungan (deliver and support)

Pengawasan dan evaluasi (monitor and evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good
practice untuk IT governance, membantu manajemen senior dalam memahami dan
mengelola resiko-resiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governance dan petunjuk control objective
yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
ISO/IEC 20000-1
“ISO/IEC 20000-1:2011 is a service management system (SMS) standard. It specifies
requirements for the service provider to plan, establish, implement, operate, monitor,
review, maintain and improve an SMS. The requirements include the design,
transition, delivery and improvement of services to fulfil agreed service
requirements.”
ISO/IEC 20000-1 yang diterbitkan tahun 2011 adalah standar sistem
manajemen pelayanan yang fokus dalam perencanaan, implementasi, pengoperasian,
review, monitoring, maintenance, dan pengembangan service provider.
Kebutuhannya termasuk desain, transisi, pengiriman dan kemajuan pelayanan untuk
melengkapi kebutuhan pelayanan itu sendiri.
Standar ISO/IEC 20000-1 berbasis pada pekerjaan yang dilakukan oleh Office
of Government Commerce (OGC) dan IT Infrastructure Library (ITIL) yang diterima
secara internasional sehingga Anda bisa merasa yakin dengan manfaat yang akan
Anda peroleh dari cara layanan teknologi informasi Anda dijalankan.
Basis standar ini adalah siklus Plan-Do-Check-Act, sama dengan standar sistem
manajemen yang lain, yang memungkinkan Anda untuk mengerjakan sistem
terintegrasi dan mengurangi biaya dan duplikasi.
ISO/IEC 20000-1 bisa diterapkan untuk seluruh organisasi penyedia aktifitas
manajemen TI yang ingin mengukur manajemen layanan TI mereka yang ada.
ISO/IEC 20000-1 adalah sebuah standar Inggris yang dikembangkan oleh Forum
Manajemen Layanan TI (itSMF) yang diterima secara internasional.
ISO/IEC 27001
SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi
Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus
dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI).
Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan
penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin
agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari
berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang
berkepentingan. Standar ini dikembangkan dengan pendekatan proses sebagai suatu
model bagi penetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review),
pemeliharaan dan peningkatan suatu SMKI. Pendekatan proses mendorong pengguna
menekankan pentingnya :

Pemahaman persyaratan keamanan informasi organisasi dan kebutuhan
terhadap kebijakan serta sasaran keamanan informasi

Penerapan dan pengoperasian kontrol untuk mengelola risiko keamanan
informasi dalam konteks risiko bisnis organisasi secara keseluruhan

Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI

Peningkatan berkelanjutan berdasarkan pada pengukuran tingkat ketercapaian
sasaran
Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:

Sistem manajemen keamanan informasi (kerangka kerja, proses dan
dokumentasi)

Tanggung jawab manajemen

Audit internal SMKI

Manajemen tinjau ulang SMKI

Peningkatan berkelanjutan
Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan
sasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 area
pengamanan sebagai berikut:

Kebijakan keamanan informasi

Organisasi keamanan informasi

Manajemen aset

Sumber daya manusia menyangkut keamanan informasi

Keamanan fisik dan lingkungan

Komunikasi dan manajemen operasi

Akses kontrol

Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi

Pengelolaan insiden keamanan informasi

Manajemen kelangsungan usaha (business continuity management)

Kepatuhan
ISO/IEC 15408
Terdapat 3 bagian ISO 15408, berikut adalah penjelasan sekilasnya.
ISO/IEC 15408-1:2009
Bagian pertama dari ISO/IEC 15408 merupakan kemungkinan perbandingan antara
hasil evaluasi keamanan yang secara independen. Menyediakan seperangkat
persyaratan untuk fungsi keamanan produk dan jaminan pada penerapan untuk
produk-produk IT selama evaluasi keamanan dilakukan. Hal ini dapat
diimplementasikan dalam hardware, firmware atau perangkat lunak.
ISO/IEC 15408-2:2008
Bagian kedua merupakan dasar untuk persyaratan keamanan fungsional yang
disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan
(Security Target/ST). Persyaratan menggambarkan perilaku keamanan yang
diinginkan dan diharapkan dari Target of Evaluation (TOE) dan dimaksudkan untuk
memenuhi tujuan keamanan sebagaimana tercantum dalam PP atau ST. Persyaratan
menjelaskan sifat keamanan yang dilakukan pengguna, dapat mendeteksi interaksi
langsung (yaitu input, output) dengan IT atau oleh respon IT ke stimulus.
ISO/IEC 15408-3: 2008
Bagian yang ketiga merupakan dasar untuk persyaratan jaminan keamanan yang
disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan
(Security Target/ST). Persyaratan untuk menetapkan cara standar dalam
mengekspresikan persyaratan jaminan untuk TOE. Bagian dari ISO/IEC 15408 untuk
katalog set dari komponen jaminan, keluarga(families) dan kelas (classes). Bagian
dari ISO/IEC 15408 untuk mendefinisikan kriteria evaluasi pada PP dan ST dan
untuk menyajikan tingkat jaminan evaluasi yang digunakan dalam menentukan
ketetapan pada ISO/IEC 15408 untuk jaminan skala tingkatan TOE, yang disebut
Evaluation Assurance Levels (EALs).
Penutup
Informasi sangatlah penting, teruntama untuk pihak yang membutuhkannya.
Informasi harus dilindungi dari ancaman – ancaman yang membut informasi rusak
atau bocor. Oleh karena itu butuh adanya tata kelola yang baik dan pentingnya
keamanan informasi sebagaimana halnya keamanan informasi pada Teknologi
Informasi.
Pengelolaan keamanan informasi tidak dapat dibuat begitu saja, namun harus
memperhatikan indeks – indeks yang ada. Indeks tersebut berupa standar – standar
nasional maupun internasional. Untuk keamanan informasi, beberapa standar yang
perlu diperhatikan adalah :
1. Peraturan Pemerintah 60 tahun 2008 tentang Sistem Pengendalian Intern.
2. COBIT sebagai standar praktik Manajemen Teknologi Informasi.
3. ISO/IEC 20000-1 tentang Manajemen Layanan Teknologi Informasi.
4. ISO/IEC 27001 tentang Sistem Manajemen Keamanan Informasi.
5. ISO/IEC 15408 tentang Keamanan Perangkat.
Daftar Pustaka
https://arafiandi.wordpress.com/2009/10/27/tentang-iso-27001-information-securitymanagement-system/
http://blogs.itb.ac.id/aiceware/2014/02/21/sekilas-iso-15408/
http://id.wikipedia.org/wiki/COBIT
http://www.id.lrqa.com/standards-and-schemes/iso-iec20000-1/
http://www.iso.org/iso/catalogue_detail.htm?csnumber=50341
http://www.iso.org/iso/catalogue_detail?csnumber=51986
Panduan Penerapan Tata Kelola KIPPP
Peraturan Pemerintah 60 Tahun 2008
Download