LAPORAN QUIZ (11/11/2010)

KEAMANAN SISTEM (PILIHAN)

Diajukan untuk Memenuhi Tugas Mata Kuliah Keamanan Sistem

DISUSUN OLEH:

Yoga Nurjaman
NPM: 0806089

JURUSAN TEKNIK INFORMATIKA

SEKOLAH TINGGI TEKNOLOGI GARUT

2010
 SOAL NO 1

Kasus “Sederhana”

• Seorang warga negara Mongolia membeli artikel elektronik pengarang India melalui
situs e-commerce milik pengusaha Indonesia yang ditaruh pada sebuah server di
Hong Kong dimana pembayarannya dilakukan secara elektronik ketika yang
bersangkutan transit di airport Singapura menggunakan kartu kredit yang dikeluarkan
bank Australia dalam mata uang Eropa yang kelak akan didebet langsung dari salah
satu rekening tabungannya di Swiss…

• Jika ternyata yang bersangkutan ketahuan berbuat kejahatan memakai identitas kartu
kredit Bank of America palsu yang dimiliki oleh seorang warga negara Malaysia, jika
tertangkap, hukum negara mana yang berlaku? Apa alasannya?

SOAL NO 2

Terangkan standar-standar keamanan infromasi dibawah ini :

 Standar Kualitas Keamanan Informasi (BS7799/ISO17799)

- Aset informasi memenuhi kriteria C-I-A yang dipersyaratkan oleh

organisasi

• Standar Tata Kelola Teknologi Informasi (CobiTTM)

- Nilai keberadaan informasi selaras dengan kebutuhan dinamis

organisasi

• Sistem Manajemen Keamanan Informasi (ISO27001:2005)

- Ancaman terhadap kualitas informasi dan dampaknya dapat

diminimalisasi melalui sistem manajemen yang baik

SOAL NO 3

Jelaskan Kebutuhan Information Governance :

1. Integrity
2. Availability
3. Privacy / confidentiality
4. Efectivines
5. Eficiency
6. Compliance
7. Realibility
JAWABAN :

Soal No 1

Analisis kasus :

Dari kasus diatas dapat diketahui bahwa pelaku kejahatan transaksi elektronik berada
di luar wilayah kesatuan Negara republik Indonesia, maka secara hukum internasional
dikatakan bahwa hukum yang berlaku ialah tempat dimana si pelaku melakukan tindak
kejahatan dari kasus lebih jelasnya di Singapura. Atau bias saja dinegara dimana pelaku
tinggal, dan bahkan bisa saja di Negara Indonesia apabila terdapat kesepakatan hukum antara
keduan Negara bersangkutan asal bukti yang ada kuat.

Apabila menurut UU ITE Pasal 2

“Undang-Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum
sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum
Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah
hokum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan
Indonesia.”

Dan juga pada Pasal 18 tentang Transaksi elektronik

(1) Transaksi Elektronik yang dituangkan ke dalam Kontrak Elektronik mengikat para
pihak.
(2) Para pihak memiliki kewenangan untuk memilih hukum yang berlaku bagi Transaksi
Elektronik internasional yang dibuatnya.
(3) Jika para pihak tidak melakukan pilihan hukum dalam Transaksi Elektronik
internasional, hukum yang berlaku didasarkan pada asas Hukum Perdata
Internasional.
(4) Para pihak memiliki kewenangan untuk menetapkan forum pengadilan, arbitrase, atau
lembaga penyelesaian sengketa alternatif lainnya yang berwenang menangani
sengketa yang mungkin timbul dari Transaksi Elektronik internasional yang
dibuatnya.
(5) Jika para pihak tidak melakukan pilihan forum sebagaimana dimaksud pada ayat (4),
penetapan kewenangan pengadilan, arbitrase, atau lembaga penyelesaian sengketa
alternatif lainnya yang berwenang menangani sengketa yang mungkin timbul dari
transaksi tersebut, didasarkan pada asas Hukum Perdata Internasional.
JAWABAN :
Soal No 2

 Standar Kualitas Keamanan Informasi (BS7799/ISO17799)

Pada tahun 1995, Institut Standard Britania (BSI) meluncurkan standard pertama
mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi maka pada
awal tahun 1990 BS 7799 di ciptakan, yaitu: "BS 7799, Bagian Pertama: Kode Praktek untuk
Manajemen Keamanan Informasi". yang didasarkan pada Infrastruktur pokok BS 7799, ISO
(Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard
mengenai manajemen informasi pada 1Desember, 2000. Sedangkan bagi ke sepuluh bagian
kontrol dari BS 7799/ ISO 17799 standard meliputi:
a. kebijakan
b. keamanan,
c. organisasi keamanan,
d. penggolongan asset dan kendali,
e. keamanan personil, phisik dan kendali lingkungan,
f. pengembangan dan jaringan komputer dan manajemen,
g. sistem akses kendali,
h. pemeliharaan sistem,
i. perencanaan kesinambungan bisnis,
j. dan pemenuhan.
Dalam rangka pro aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi
tiga unsur pokok:
k. kebijakan perusahaan (keterlibatan manajemen menyiratkan alokasi sumber daya dan
suatu visi yang strategis dan permasalahan global dalam keamanan),
l. instrumen teknologi,
m. perilaku individu (pelatihan karyawan,dan menciptakan saluran komunikasi).
Keuntungan dari BS 7799/ISO 17799
Perusahaan yang melakukan penyesuaian dan mengikuti BS 7799/ ISO 17799 bukanlah
berarti akan terbebas terjamin keamanannya 100%. Realitasnya, tidak ada satupun di
organisasi yang akan mendapatkan keamanan mutlak. Namun demikian setiap manajer harus
mempertimbangkan pemakaian standar internasional yang dapat memberikan keuntungan
tertentu.
  Standar Tata Kelola Teknologi Informasi (CobiTTM)

Stadarisasi COBIT yang disusun dalam mendukung tiga level pengguna yaitu :
Executive Management and Boards (manajemen Puncak), Business and IT Management
(manajemen TI) dan Governance, Assurance, Control and Security Professionals (para
Profesional).
Secara ringkas bagian atau modul tersebut adalah sebagai berikut :
1. Board Briefing on IT Governance, 2nd Edition : membantu managemen memahami
mengapa IT Governance penting dan isu-isu penting serta tanggung jawabnya.
2. Management guidelines/maturity models: membantu manajemen menyusun bentuk
tanggung jawab, mengukur kinerja dan acuannya serta membantu mengatasi
kelemahan kapabilitas.
3. Frameworks: merupakan pengorganisasian tujuan IT Governance dan praktik-
praktik yang sehat yang dapat dilakukan.
4. Control objectives: memberikan sejumlah persyaratan yang harus dipenuhi oleh
manajemen dalam mewujudkan pengendalian intern yang efektif atas setiap
proses dalam TI.
5. IT Governance Implementation Guide:Using COBIT ® and Val IT TM, 2nd Edition
: pedoman implementasi IT Governance
6. COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful
IT Governance, 2nd Edition: memberikan pedoman mengapa satu pengendalian
penting dan bagaimana menginplementasikannya
7. IT Assurance Guide: Using COBIT: memberikan pedoman bagaimana COBIT
digunakan dalam mendukung berbagai aktivitas assurance.
Gambaran di atas memberikan pemahaman bahwa COBIT merupakan kerangka
berfikir dan alat yang dapat digunakan untuk menghubungkan antara persyaratan suatu
pengendalian (control), masalah teknis TI, dan risiko bisnis dari suatu organisasi sehingga
governace dan control yang baik dapat dicapai. Untuk memenuhi kebutuhan tersebut maka
COBIT dikembangkan dengan mempertimbangkan 4 karakteristik, yaitu :
1. Business-focused
2. Process Oriented
3. Control Based
  Sistem Manajemen Keamanan Informasi (ISO27001:2005)

ISO / IEC 27001, bagian dari tumbuh ISO / IEC 27.000 keluarga standar, adalah
Information Security Management System (ISMS) standar yang diterbitkan pada bulan
Oktober 2005 oleh Organisasi Internasional untuk Standarisasi (ISO) dan International
Electrotechnical Commission (IEC). Nama lengkap nya adalah ISO / IEC 27001:2005 -
Teknologi Informasi - Teknik Keamanan - sistem manajemen keamanan informasi -
Persyaratan tapi biasanya dikenal sebagai "ISO 27001". ISO / IEC 27001 secara resmi
menetapkan sistem manajemen yang dimaksudkan untuk membawa keamanan informasi di
bawah kontrol manajemen secara eksplisit. Menjadi spesifikasi formal mandat berarti bahwa
persyaratan tertentu. Organisasi yang mengklaim telah mengadopsi ISO / IEC 27001 secara
formal oleh karena itu dapat diaudit dan disertifikasi sesuai dengan standar (lebih di bawah).
Kebanyakan organisasi memiliki sejumlah kontrol keamanan informasi. Tanpa ISMS
Namun, kontrol cenderung agak tidak teratur dan terputus-putus, karena telah
diimplementasikan sering sebagai titik solusi untuk situasi tertentu atau hanya sebagai
masalah konvensi. Model kedewasaan biasanya merujuk pada tahap ini sebagai "ad hoc".
Kontrol keamanan operasi alamat biasanya aspek-aspek tertentu dari TI atau keamanan data,
secara khusus, sehingga informasi non-IT aset (seperti dokumen dan kepemilikan
pengetahuan) kurang terlindungi dengan baik secara keseluruhan. Perencanaan
kesinambungan bisnis dan keamanan fisik, sebagai contoh, dapat dikelola secara independen
cukup TI atau informasi keamanan sementara praktik Sumber Daya Manusia dapat membuat
sedikit referensi terhadap kebutuhan untuk mendefinisikan dan keamanan informasi
memberikan peran dan tanggung jawab seluruh organisasi.
ISO / IEC 27001 mensyaratkan bahwa manajemen :
a) Sistematis memeriksa informasi organisasi risiko keamanan, memperhitungkan
ancaman, kerentanan dan dampak.
b) Merancang dan mengimplementasikan sebuah koheren dan komprehensif suite
keamanan informasi kontrol dan / atau bentuk lain dari perawatan risiko (seperti
penghindaran risiko atau transfer risiko) untuk mengatasi risiko-risiko yang dianggap
tidak dapat diterima; dan mengadopsi suatu proses manajemen yang menyeluruh
untuk memastikan bahwa kontrol keamanan informasi terus memenuhi informasi
organisasi kebutuhan keamanan secara berkelanjutan.
 Sementara set lain kontrol keamanan informasi berpotensi digunakan dalam
ISO / IEC 27001 ISMS dan juga, atau bahkan bukan, ISO / IEC 27002 (Kode Tata Laku
untuk Manajemen Keamanan Informasi), kedua standar biasanya digunakan bersama dalam
praktek. Lampiran A ISO / IEC 27001 berisi daftar ringkas kontrol keamanan informasi dari
ISO / IEC 27002, sedangkan ISO / IEC 27002 memberikan informasi tambahan dansaran
implementasi kontrol.
Organisasi-organisasi yang menerapkan suite kontrol keamanan informasi sesuai
dengan ISO / IEC 27002 saat yang bersamaan banyak kemungkinan untuk memenuhi
persyaratan ISO / IEC 27001, tetapi mungkin kurang beberapa unsur-unsur system
manajemen yang menyeluruh. Kebalikannya juga berlaku, dengan kata lain, ISO / IEC 27001
memberikan sertifikat kepatuhan jaminan bahwa sistem manajemen informasi keamanan di
tempat, tetapi mengatakan sedikit tentang negara mutlak keamanan informasi dalam
organisasi. Teknik kontrol keamanan seperti antivirus dan firewall biasanya tidak diaudit
dalam ISO / IEC 27001 audit sertifikasi: organisasi pada dasarnya diduga telah mengadopsi
semua informasi yang diperlukan kontrol keamanan sejak keseluruhan ISMS berada di
tempat dan dipandang memadai dengan memenuhi persyaratan ISO / IEC 27001. Selain itu,
manajemen menentukan ruang lingkup ISMS untuk kepentingan sertifikasi dan dapat
membatasi untuk, katakanlah, satu unit atau lokasi bisnis. ISO / IEC 27001 sertifikat tidak
selalu berarti sisa organisasi, di luar daerah scoped, memiliki pendekatan yang memadai
untuk manajemen keamanan informasi.
Standar lain di ISO / IEC 27.000 keluarga standar memberikan petunjuk tambahan
mengenai aspek-aspek tertentu dari merancang, melaksanakan dan mengoperasikan ISMS,
misalnya pada manajemen risiko keamanan informasi (ISO / IEC 27005).

Sertifikasi
Sebuah ISMS dapat memenuhi persyaratan sertifikasi ISO / IEC 27001 oleh sejumlah
Terakreditasi Registrars di seluruh dunia. Sertifikasi terhadap salah satu varian yang diakui
nasional ISO / IEC 27001 (misalnya JIS Q 27001, versi Jepang) oleh badan sertifikasi yang
terakreditasi secara fungsional setara untuk sertifikasi terhadap ISO / IEC 27001 itu sendiri.
Di beberapa negara, mayat-mayat yang memverifikasi kesesuaian system manajemen
standar tertentu disebut "badan sertifikasi", di lain mereka biasa disebut sebagai "sebesar
tubuh", "penilaian dan registrasi badan", "sertifikasi / registrasi badan", dan kadang-kadang
"pendaftaran".
 ISO / IEC 27001 sertifikasi [1], seperti sistem manajemen ISO lain sertifikasi,
biasanya melibatkan tiga tahap proses audit:

Tahap 1 adalah pendahuluan, tinjauan informal dari ISMS, misalnya memeriksa

keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan
keamanan informasi, Pernyataan PENERAPAN (SOA) dan Risk Treatment Plan
(RTP). Tahap ini berfungsi untuk membiasakan para auditor dengan organisasi dan
sebaliknya.

Tahap 2 adalah lebih rinci dan kepatuhan formal audit, menguji secara independen
ISMS terhadap persyaratan yang ditetapkan dalam ISO / IEC 27001. Para auditor
akan mencari bukti-bukti untuk mengkonfirmasi bahwa system pengelolaan telah
dirancang dan dilaksanakan, dan pada kenyataannya beroperasi (misalnya dengan
mengkonfirmasi bahwa komite keamanan atau badan manajemen yang serupa
bertemu secara teratur untuk mengawasi ISMS). Sertifikasi audit biasanya dilakukan
oleh ISO / IEC 27001 Lead Auditor. Melewati tahap ini hasil di ISMS yang
bersertifikat sesuai dengan ISO / IEC 27001.

Tahap 3 melibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa
organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan penilaian
kembali secara periodik audit untuk memastikan bahwa ISMS terus beroperasi seperti
yang ditentukan dan dimaksudkan. Ini harus terjadi setidaknya setiap tahun, tetapi
(berdasarkan kesepakatan dengan manajemen) sering dilakukan lebih sering, terutama
saat ISMS masih jatuh tempo.
JAWABAN :
SOAL NO 3

COBIT adalah suatu framework atau bentuk dari praktik-praktik terbaik dalam
pengendalian atas pengelolaan Teknologi Informasi (TI). Framework ini lebih
menitikberatkan pada pengendalian (control) dalam rangka mengoptimalkan pemanfaatan
atas implementasi TI, menjamin adanya pemberian jasa (service delivery) dan memberikan
salah satu bentuk pengukuran atau kriteria. COBIT dikembangkan oleh IT Governace
Institute (ITGI) sejak
tahun 1998. COBIT merupakan alat dalam penyelenggaraan tata kelola yang baik di bidang
TI (IT Governance). IT Governance didefinisikan sebagai :
“as a set of relationships and processes to direct and control the enterprise in order to
achieve the enterprise’s goals by adding value while balancing risk versus return over IT and
its processes”
Definisi di atas menyebutkan bahwa IT Governance merupakan sejumlah relasi dan
proses dalam mengarahkan dan mengendalikan organisasi sehingga tujuan organisasi dapat
tercapai dengan cara mendapatkan nilai tambah dari pengelolaan risiko atas manfaat yang
diperoleh dengan menerapkan TI serta proses yang terlibat didalamnya.
Dari sisi manajemen atau pengguna TI, implementasi TI mempunyai beberapa tujuan
atas investasi TI yang telah dikeluarkan tersebut, yaitu : memperoleh nilai tambah dari
aktivitas atau bisnis yang dilakukan melalui pengurangan biaya, peningkatan efisiensi dan
efektivitas, dan perbaikan layanan. Secara umum tujuan utama bagi managemen atau
organisasi adalah penggunaan TI dalam rangka mendukung proses bisnis atau aktivitas
organisasi yang mencakup:
1. Tingkat Kerahasiaan (Confidentiality)
Aspek ini berkaitan dengan perlindungan terhadap informasi yang sensitive
apabila diketahui oleh pihak yang tidak berkepentingan atau tidak berhak.
Kondisi ini berpengaruh terhadap seberapa ketat tingkat pengendalian yang
harus diterapkan pada suatu sistem.
2. Keakuratan dan Kelengkapan (Integrity)
Aspek ini mengacu kepada tingkat keakuratan dan kecukupan serta validitas
sesuai dengan persyaratan atau kebutuhan yang telah ditetapkan sebelumnya.
Hal ini penting sehingga informasi yang dihasilkan dari suatu sistem dapat
dipercaya untuk digunakan dalam pengambilan keputusan.
3. Ketersediaan (Availability)
Unsur ini berhubungan dengan ketersediaan informasi pada saat yang
dibutuhkan, baik saat ini maupun di saat mendatang. Hal ini terkait pada
pengamanan sumber daya dan tingkat kemampuan, baik yang berkaitan
dengan sumber daya manusia, infrastruktur, dan pengamaman terhadap
bencana atau musibah. Oleh karena itu ketersediaan informasi harus dapat
dijaga dan selalu tersedia pada saat dibutuhkan.
4. Kehandalan (Reliability)
Kehandalan berkaitan dengan tingkat konsistensi dari suatu sistem atau
kemampuan sistem untuk tetap berjalan sesuai fungsinya pada kondisi yang
telah ditentukan.
5. Ketaatan (Compliance)
Aspek ini berkaitan dengan pemenuhan terhadap ketentuan hukum, peraturan
perundangundangan, dan perikatan sebagaimana berlaku dalam aktivitas
organisasi. Auditor, termasuk auditor internal, harus dapat memberikan
keyakinan bagi managemen organisasi bahwa tujuan-tujuan tersebut di atas
dapat tercapai. Keyakinan tersebut dapat diberikan dengan memberikan
masukan bagaimana seharusnya pengendalian yang baik diterapkan dalam
penggunaan TI. Oleh karena itu auditor TI memerlukan suatu acuan atau
rujukan berkaitan dengan pengendalian intern pada lingkungan organisasi
yang berbasis TI. Salah satu acuan adalah Control Objectives for Information
and Related Technology (COBIT).
6. Efectiveness
“deals with information being relevant and pertinent to the organization
process as well as being delivered in a timely, correct, consistent and usable
manner”.
Berhubungan dengan ketepatan waktu, sasaran serta keakuratan system pada
organisasi nya.
7. Efisiensy
“concerns the provision of information through the optimal (most productive
and economical) usage of resources”.
Berhubungan dengan organisasi system informasi yang produktif, optimal dan
ekonomis.
 DAFTAR PUSTAKA

PARIS Edisi 31 BULETIN PERWAKILAN BPKP PROVINSI D.I YOGYAKARTA : from

Http://Google.com

Richardus Eko Indrajait Dr. “Information Security, system managemen PPATK” From
Http://Google.com

www.freesharing.verwalten.ch/forum
UU ITE From Http://Google.com
Http://Scribd.com