Standar Keamanan Informasi Nasional
Posted by hadiwibowo pada April 20, 2008
Saya pernah mendapat pernyataan “Keamanan kok distandarkan, kalo distandarkan nanti akan mudah dibobol donk.” “Lihat saja DES–Data Encryption Standard yang mudah sekali dibongkar.”
Pernyataan itu bisa betul bisa juga salah, tergantung “bagaimana standarnya”.
Teknologi informasi dan komunikasi telah sangat maju dan menembus pada hampir semua aspek organisasi. Pengolahan dan penyimpanan informasi telah menjadi aspek yang menentukan kehidupan organisasi. Sehingga standarisasi keamanan informasi secara nasional bagi sebuah pemerintahan negara tentunya juga menjadi sangat penting.
Tujuan utama membuat Standar Keamanan Informasi Nasional (sebutan singkatnya SKIN) adalah agar kegiatan pengamanan informasi pemerintah menjadi efisien dan efektif, sehingga tidak mudah untuk dibongkar pihak asing. Standar keamanan informasi ini penekanannya lebih pada syarat, prosedur, kebijakan, pengelolaan serta pendidikan dan pelatihan. Standarisasi yang dimaksud disini bukanlah standar teknis (spesifikasi), bukan pengarahan ke suatu teknologi atau produk, bukan kumpulan tip serta bukan sebagai jaminan dan berfungsinya sebuah alat keamanan informasi. Pendekatan ini memungkinkan SKIN diaplikasikan dan diterapkan dalam berbagai tipe organisasi dan aplikasi.
Selain itu, SKIN akan memudahkan dalam menciptakan regulasi yang dapat memberikan keputusan apakah sebuah kegiatan keamanan informasi sudah baik atau belum, apakah sebuah informasi perlu mendapat perlakuan pengamanan atau tidak dan juga dapat menentukan sampai tingkat berapa pengamanan yang diperlukan, dan sebagainya. Sehingga regulasi tentang keamanan informasi tidak perlu menciptakan badan/institusi lagi yang khusus untuk mengambil keputusan keamanan informasi atau tingkat kerahasiaan sebuah data/informasi.
Standarisasi yang akan dipakai bisa saja mengacu pada standar internasional yang sudah ada atau bisa juga sama sekali baru disesuaikan dengan kekhasan keadaan di dalam negeri sendiri.
Standar keamanan informasi yang sudah terkenal adalah BS7799 yaitu Code of Practise for Information Security Management, yang dikeluarkan oleh pemerintah Inggris (UKAS – the United Kingdom Accreditation Service) dan kemudian diadopsi secara internasional menjadi ISO27001 yaitu Information Security Management System (ISMS) oleh organisasi internasional urusan standarisasi (ISO – International Organization for Standardization). Sedangkan SKIN mungkin belum dibuat oleh pemerintah Indonesia (saya tidak menemukannya di SNI). Seandainya memang belum dibuat, tulisan ini ditujukan untuk memicu standarisasi keamanan informasi dalam lingkup nasional Indonesia.
Apa yang distandarkan ?
Saat ini informasi adalah suatu aset organisasi penting dan berharga yang harus dilindungi dari ancaman yang mungkin timbul untuk menjamin kesinambungan bisnis dan meminimalisir kerugian atas ketidakamanan yang terjadi. Oleh karena itu, pengelolaan informasi yang baik sangat penting untuk meningkatkan kesuksesan dalam kompetisi disemua sektor.
ISO27001 dalam pengelolaan informasinya berfokus pada melindungi :
– kerahasiaan (confidentiality) : memastikan bahwa informasi hanya dapat diakses oleh pihak yang memang berwenang.
– keutuhan (integrity) : menjaga kelengkapan dan keakuratan informasi serta metode pemrosesannya.
– ketersediaan (availability) : memastikan bahwa pihak yang berwenang dapat mengakses informasi dan aset lainnya ketika memerlukannya.
Untuk SKIN, perlu ditambahkan satu syarat yaitu
– tidak dapat disangkal (non repudiation) : memastikan bahwa pihak pengakses tersebut adalah memang pihak yang benar, sehingga dapat dijadikan sebagai alat bukti sesuai UU ITE tahun 2008 bila diperlukan.
Standarisasi keamanan informasi pada dasarnya adalah mengenai pengelolaan resiko yang dilakukan dengan cara mengembangkan manajemen risiko dan strategi mitigasi melalui pengidentifikasian aset, ancaman dan vulnerabilities serta pengukuran resiko.
Analisa risiko keamanan informasi (security risk assessment) adalah metode untuk memaksimalkan penggunaan aset organisasi yang terbatas melalui pengukuran risiko dan pengelolaan risiko yang dapat ditoleransi. Untuk kemudian dapat menetapkan syarat-syarat keamanan informasi dan jenis pengendalian yang diperlukan untuk meminimalisir ancaman dan risiko tersebut yang disesuaikan dengan benefit organisasi yang paling optimal.
Pengendalian adalah cara yang dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat diterima. Berikut adalah dasar-dasar pengendalian yang biasa digunakan untuk membuat security risk assessment :
1. Pengendalian kebijakan keamanan informasi : ditujukan sebagai dukungan manajemen, komitmen dan pengarah dalam pencapaian tujuan pengamanan informasi.
2. Pengendalian keamanan informasi secara organisasional : ditujukan pada kebutuhan kerangka kerja manajemen yang membuat, menyokong dan mengelola infrastruktur keamanan informasi.
3. Pengendalian dan pengklasifikasian aset : ditujukan pada kemampuan infratruktur keamanan informasi untuk melindungi aset organisasi.
4. Pengendalian keamanan personel : ditujukan pada kemampuan untuk meminimalisir resiko yang timbul akibat interaksi antar/dengan manusia.
5. Pengandalian keamanan fisik dan lingkungannya : ditujukan pada perlindungan terhadap resiko yang timbul secara fisik di tempat/lingkungan sekitar sistem berada.
6. Pengendalian komunikasi dan manajemen operasional : ditujukan pada kemampuan organisasi untuk menjamin ketepatan dan keamanan operasional aset-asetnya.
7. Pengendalian akses : ditujukan pada kemampuan organisasi untuk mengontrol akses kepada aset-aset organisasi berdasarkan kebutuhan bisnis dan keamanan.
8. Pengendalian pengembangan dan pemeliharaan sistem : ditujukan pada kemampuan organisasi untuk menjamin terintegrasi dan terpeliharanya pengendalian terhadap sistem keamanan informasi yang tepat.
9. Pengendalian kelangsungan manajemen bisnis : ditujukan pada kemampuan organisasi untuk menghadapi hambatan yang timbul sehingga operasional organisasi dapat berjalan dengan baik.
10. Pengendalian kepatuhan : ditujukan pada kemampuan organisasi untuk secara disiplin mematuhi semua regulasi, peraturan, kontrak dan syarat-syarat yang telah dibuat.
Setelah melakukan analisa resiko dilanjutkan dengan pemrosesan, kemudian implementasi dan evaluasi yang akan diuraikan pada postingan berikutnya. -antz-
Pengamanan Informasi dan Kriptografi 
Akhnauf said
Sejalan dengan semgnat akuntabilitas publik yang semakin nyata dewasa ini, maka terciptanya (kalo belum perlu segera dibuatkan) suatu standar menjadi suatu kebutuhan mendara dan perlu.
Mungkin dari situ segala sesuatunya akan semakin lebih kredibel untuk dapat dipertanggungjawabkan dan bahkan terus disempurnakan.
Untuk siapa, tentunya untuk pemangku kepentingan (rakyat untuk skala yang luas, atau top user untuk suatu organisasi misalnya).
Bravo, Pak Anto yang selalu menginspirasi kita semua.
Salam
Jumiati said
Ijin mas/mba/dik anggota visi70 tercinta…….
Mo nambahin tulisan mas antz nih,
Dari hasil bisikan kangmas Wilton ternyata standar digunakan untuk menspesifikasikan persyaratan-persyaratan pada produk, proses atau jasa yang telah ditentukan atau dinilai…..
Melalui standar akan diketahui “lubang-lubang” yang dapat diantisipasi atau diperbaiki sehingga diperoleh produk, proses atau jasa yang lebih baik.
Standar dibuat dengan tujuan untuk memberikan jaminan kualitas yang dibutuhkan oleh para user. Selain itu melalui standar proses “tracking” terhadap kesalahan atau kekurangan menjadi jelas karena pendokumentasian rapi jali. Dan standar ini bisa dijadikan benchmark pada saat mo implementasi atau istilah kuerennya produk, proses atau jasa pembanding.
Disisi lain, ada anggapan yang kurang tepat bahwa standar adalah segala-galanya (ultimate goal). Padahal yang sesungguhnya standar merupakan “basic requirements” yang harus dipenuhi. Namun jika dihasilkan yang lebih dari standar itulah yang sangat diharapkan. Dalam konsep kualitas, output tidak memuaskan, output = standar => memuaskan tetapi bila output > standar => rruarrr biasa, sangat memuaskan…….
Tidak ada satu standar yang berlaku umum atau one for all. Jadi perlu dibuat standar khusus untuk masing2 produk, proses atau jasa. Tidak terkecuali dalam Keamanan Informasi yang dalam hal ini bisa mengacu pada ISO 17799/27001 yang secara periodik selalu dievaluasi untuk memperbaiki kekurangan2 sehingga bisa memberikan jaminan yang lebih besar kepada pengguna sehingga merasa puas…puas….puas (kayak mas tukul gitu).
Segitu aja tambahannya….ibarat tulisan mas antz es krim, tulisan saya adalah cherry-nya…..
Terima kasih
Kristianto said
Numpang nimbrung ah, barangkali, kali ini bisa di approve oleh mas AHU, hehe
Berdasarkan informasi yang saya terima dari bapak Lim Hogan Kusnadi, salah satu anggota Panitia Teknis yang akan membuat Standar Keamanan Informasi Nasional, panitia tersebut sekarang sudah dalam tahap penyelesaian. Referensi yang mereka pakai adalah ISO 27001 dan ISO 27002 (dulu ISO 17799).
Kenapa Standar penting ? Menurut saya, Audit / Pemeriksaan / Evaluasi / Analisis Kinerja akan dapat dilakukan dengan baik apabila ada Standar yang menetapkan patokan-patokan yang harus dipatuhi.
Jadi mudah dibobol ? Saya setuju dengan mas Antz bahwa tergantung dari Yang Mengaplikasikan Standar tersebut,..apakah si Pengguna menjadikan Standar tsb sebagai BATAS MINIMAL, atau justru seluruhnya bergantung pada Standar tersebut sebagai BATAS MAKSIMAL.
Standar juga penting karena kita berada pada era internasionalisasi, dimulai dengan perwujudan ASEAN Charter yang akan membuat ASEAN sebagai Satu Komunitas. Tentunya pada komunitas tersebut, Standar yang akan diakui secara defacto adalah Standar yang memang dapat diterima oleh komunitas tersebut.
Apa itu termasuk Sistem Perkalikalian Negara ? Why Not ? Make It Our Minimum Standard, While for the Govt and Military we have our own standard. GO STANDARD !
KRISTIANTO
agus sukoco said
pak bisa minta Standardnya?
subur wahono said
mas/mbak/dik
ikutan ya ngasih tanggapan
sebelumnya maaf nih, saya sendiri masih awam soal skin yang dimaksud
tapi. ya ga pa2 dibuat kin itu
cuma apa bisa di indonesia dibuat spt itu
boleh deh di kirimi ref yang bisa saya baca