LAPORAN QUIZ (11/11/2010) KEAMANAN SISTEM (PILIHAN) Diajukan untuk Memenuhi Tugas Mata Kuliah Keamanan Sistem

DISUSUN OLEH:

Yoga Nurjaman NPM: 0806089

JURUSAN TEKNIK INFORMATIKA SEKOLAH TINGGI TEKNOLOGI GARUT 2010

SOAL NO 1 Kasus “Sederhana” • Seorang warga negara Mongolia membeli artikel elektronik pengarang India melalui situs e-commerce milik pengusaha Indonesia yang ditaruh pada sebuah server di Hong Kong dimana pembayarannya dilakukan secara elektronik ketika yang bersangkutan transit di airport Singapura menggunakan kartu kredit yang dikeluarkan bank Australia dalam mata uang Eropa yang kelak akan didebet langsung dari salah satu rekening tabungannya di Swiss… Jika ternyata yang bersangkutan ketahuan berbuat kejahatan memakai identitas kartu kredit Bank of America palsu yang dimiliki oleh seorang warga negara Malaysia, jika tertangkap, hukum negara mana yang berlaku? Apa alasannya? SOAL NO 2 Terangkan standar-standar keamanan infromasi dibawah ini :  Standar Kualitas Keamanan Informasi (BS7799/ISO17799) Aset informasi memenuhi kriteria C-I-A yang dipersyaratkan oleh organisasi

Standar Tata Kelola Teknologi Informasi (CobiTTM) Nilai keberadaan informasi selaras dengan organisasi kebutuhan dinamis

Sistem Manajemen Keamanan Informasi (ISO27001:2005) Ancaman terhadap kualitas informasi dan dampaknya diminimalisasi melalui sistem manajemen yang baik dapat

SOAL NO 3 Jelaskan Kebutuhan Information Governance : 1. 2. 3. 4. 5. 6. 7. Integrity Availability Privacy / confidentiality Efectivines Eficiency Compliance Realibility

JAWABAN : Soal No 1 Analisis kasus : Dari kasus diatas dapat diketahui bahwa pelaku kejahatan transaksi elektronik berada di luar wilayah kesatuan Negara republik Indonesia, maka secara hukum internasional dikatakan bahwa hukum yang berlaku ialah tempat dimana si pelaku melakukan tindak kejahatan dari kasus lebih jelasnya di Singapura. Atau bias saja dinegara dimana pelaku tinggal, dan bahkan bisa saja di Negara Indonesia apabila terdapat kesepakatan hukum antara keduan Negara bersangkutan asal bukti yang ada kuat. Apabila menurut UU ITE Pasal 2 “Undang-Undang ini berlaku untuk setiap Orang yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hokum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia.”

Dan juga pada Pasal 18 tentang Transaksi elektronik

(1) Transaksi Elektronik yang dituangkan ke dalam Kontrak Elektronik mengikat para pihak. (2) Para pihak memiliki kewenangan untuk memilih hukum yang berlaku bagi Transaksi Elektronik internasional yang dibuatnya. (3) Jika para pihak tidak melakukan pilihan hukum dalam Transaksi Elektronik internasional, hukum yang berlaku didasarkan pada asas Hukum Perdata Internasional. (4) Para pihak memiliki kewenangan untuk menetapkan forum pengadilan, arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya yang berwenang menangani sengketa yang mungkin timbul dari Transaksi Elektronik internasional yang dibuatnya. (5) Jika para pihak tidak melakukan pilihan forum sebagaimana dimaksud pada ayat (4), penetapan kewenangan pengadilan, arbitrase, atau lembaga penyelesaian sengketa alternatif lainnya yang berwenang menangani sengketa yang mungkin timbul dari transaksi tersebut, didasarkan pada asas Hukum Perdata Internasional.

JAWABAN : Soal No 2

Standar Kualitas Keamanan Informasi (BS7799/ISO17799) Pada tahun 1995, Institut Standard Britania (BSI) meluncurkan standard pertama

mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi maka pada awal tahun 1990 BS 7799 di ciptakan, yaitu: "BS 7799, Bagian Pertama: Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan pada Infrastruktur pokok BS 7799, ISO (Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1Desember, 2000. Sedangkan bagi ke sepuluh bagian kontrol dari BS 7799/ ISO 17799 standard meliputi: a. kebijakan b. keamanan, c. organisasi keamanan, d. penggolongan asset dan kendali, e. keamanan personil, phisik dan kendali lingkungan, f. pengembangan dan jaringan komputer dan manajemen, g. sistem akses kendali, h. pemeliharaan sistem, i. perencanaan kesinambungan bisnis, j. dan pemenuhan. Dalam rangka pro aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi tiga unsur pokok: k. kebijakan perusahaan (keterlibatan manajemen menyiratkan alokasi sumber daya dan suatu visi yang strategis dan permasalahan global dalam keamanan), l. instrumen teknologi, m. perilaku individu (pelatihan karyawan,dan menciptakan saluran komunikasi). Keuntungan dari BS 7799/ISO 17799 Perusahaan yang melakukan penyesuaian dan mengikuti BS 7799/ ISO 17799 bukanlah berarti akan terbebas terjamin keamanannya 100%. Realitasnya, tidak ada satupun di organisasi yang akan mendapatkan keamanan mutlak. Namun demikian setiap manajer harus mempertimbangkan pemakaian standar internasional yang dapat memberikan keuntungan tertentu.

Standar Tata Kelola Teknologi Informasi (CobiTTM) Stadarisasi COBIT yang disusun dalam mendukung tiga level pengguna yaitu :

Executive Management and Boards (manajemen Puncak), Business and IT Management (manajemen TI) dan Governance, Assurance, Control and Security Professionals (para Profesional). Secara ringkas bagian atau modul tersebut adalah sebagai berikut : 1. Board Briefing on IT Governance, 2nd Edition : membantu managemen memahami mengapa IT Governance penting dan isu-isu penting serta tanggung jawabnya. 2. Management guidelines/maturity models: membantu manajemen menyusun bentuk tanggung jawab, mengukur kinerja dan acuannya serta membantu mengatasi kelemahan kapabilitas. 3. Frameworks: merupakan pengorganisasian tujuan IT Governance dan praktikpraktik yang sehat yang dapat dilakukan. 4. Control objectives: memberikan sejumlah persyaratan yang harus dipenuhi oleh manajemen dalam mewujudkan pengendalian intern yang efektif atas setiap proses dalam TI. 5. IT Governance Implementation Guide:Using COBIT ® and Val IT TM, 2nd Edition : pedoman implementasi IT Governance 6. COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition: memberikan pedoman mengapa satu pengendalian penting dan bagaimana menginplementasikannya 7. IT Assurance Guide: Using COBIT: memberikan pedoman bagaimana COBIT digunakan dalam mendukung berbagai aktivitas assurance. Gambaran di atas memberikan pemahaman bahwa COBIT merupakan kerangka berfikir dan alat yang dapat digunakan untuk menghubungkan antara persyaratan suatu pengendalian (control), masalah teknis TI, dan risiko bisnis dari suatu organisasi sehingga governace dan control yang baik dapat dicapai. Untuk memenuhi kebutuhan tersebut maka COBIT dikembangkan dengan mempertimbangkan 4 karakteristik, yaitu : 1. Business-focused 2. Process Oriented 3. Control Based

Sistem Manajemen Keamanan Informasi (ISO27001:2005)

ISO / IEC 27001, bagian dari tumbuh ISO / IEC 27.000 keluarga standar, adalah Information Security Management System (ISMS) standar yang diterbitkan pada bulan Oktober 2005 oleh Organisasi Internasional untuk Standarisasi (ISO) dan International Electrotechnical Commission (IEC). Nama lengkap nya adalah ISO / IEC 27001:2005 Teknologi Informasi - Teknik Keamanan - sistem manajemen keamanan informasi Persyaratan tapi biasanya dikenal sebagai "ISO 27001". ISO / IEC 27001 secara resmi menetapkan sistem manajemen yang dimaksudkan untuk membawa keamanan informasi di bawah kontrol manajemen secara eksplisit. Menjadi spesifikasi formal mandat berarti bahwa persyaratan tertentu. Organisasi yang mengklaim telah mengadopsi ISO / IEC 27001 secara formal oleh karena itu dapat diaudit dan disertifikasi sesuai dengan standar (lebih di bawah). Kebanyakan organisasi memiliki sejumlah kontrol keamanan informasi. Tanpa ISMS Namun, kontrol cenderung agak tidak teratur dan terputus-putus, karena telah diimplementasikan sering sebagai titik solusi untuk situasi tertentu atau hanya sebagai masalah konvensi. Model kedewasaan biasanya merujuk pada tahap ini sebagai "ad hoc". Kontrol keamanan operasi alamat biasanya aspek-aspek tertentu dari TI atau keamanan data, secara khusus, sehingga informasi non-IT aset (seperti dokumen dan kepemilikan pengetahuan) kurang terlindungi dengan baik secara keseluruhan. Perencanaan

kesinambungan bisnis dan keamanan fisik, sebagai contoh, dapat dikelola secara independen cukup TI atau informasi keamanan sementara praktik Sumber Daya Manusia dapat membuat sedikit referensi terhadap kebutuhan untuk mendefinisikan dan keamanan informasi memberikan peran dan tanggung jawab seluruh organisasi. ISO / IEC 27001 mensyaratkan bahwa manajemen : a) Sistematis memeriksa informasi organisasi risiko keamanan, memperhitungkan ancaman, kerentanan dan dampak. b) Merancang dan mengimplementasikan sebuah koheren dan komprehensif suite keamanan informasi kontrol dan / atau bentuk lain dari perawatan risiko (seperti penghindaran risiko atau transfer risiko) untuk mengatasi risiko-risiko yang dianggap tidak dapat diterima; dan mengadopsi suatu proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi informasi organisasi kebutuhan keamanan secara berkelanjutan.

Sementara set lain kontrol keamanan informasi berpotensi digunakan dalam ISO / IEC 27001 ISMS dan juga, atau bahkan bukan, ISO / IEC 27002 (Kode Tata Laku untuk Manajemen Keamanan Informasi), kedua standar biasanya digunakan bersama dalam praktek. Lampiran A ISO / IEC 27001 berisi daftar ringkas kontrol keamanan informasi dari ISO / IEC 27002, sedangkan ISO / IEC 27002 memberikan informasi tambahan dansaran implementasi kontrol. Organisasi-organisasi yang menerapkan suite kontrol keamanan informasi sesuai dengan ISO / IEC 27002 saat yang bersamaan banyak kemungkinan untuk memenuhi persyaratan ISO / IEC 27001, tetapi mungkin kurang beberapa unsur-unsur system manajemen yang menyeluruh. Kebalikannya juga berlaku, dengan kata lain, ISO / IEC 27001 memberikan sertifikat kepatuhan jaminan bahwa sistem manajemen informasi keamanan di tempat, tetapi mengatakan sedikit tentang negara mutlak keamanan informasi dalam organisasi. Teknik kontrol keamanan seperti antivirus dan firewall biasanya tidak diaudit dalam ISO / IEC 27001 audit sertifikasi: organisasi pada dasarnya diduga telah mengadopsi semua informasi yang diperlukan kontrol keamanan sejak keseluruhan ISMS berada di tempat dan dipandang memadai dengan memenuhi persyaratan ISO / IEC 27001. Selain itu, manajemen menentukan ruang lingkup ISMS untuk kepentingan sertifikasi dan dapat membatasi untuk, katakanlah, satu unit atau lokasi bisnis. ISO / IEC 27001 sertifikat tidak selalu berarti sisa organisasi, di luar daerah scoped, memiliki pendekatan yang memadai untuk manajemen keamanan informasi. Standar lain di ISO / IEC 27.000 keluarga standar memberikan petunjuk tambahan mengenai aspek-aspek tertentu dari merancang, melaksanakan dan mengoperasikan ISMS, misalnya pada manajemen risiko keamanan informasi (ISO / IEC 27005).

Sertifikasi Sebuah ISMS dapat memenuhi persyaratan sertifikasi ISO / IEC 27001 oleh sejumlah Terakreditasi Registrars di seluruh dunia. Sertifikasi terhadap salah satu varian yang diakui nasional ISO / IEC 27001 (misalnya JIS Q 27001, versi Jepang) oleh badan sertifikasi yang terakreditasi secara fungsional setara untuk sertifikasi terhadap ISO / IEC 27001 itu sendiri. Di beberapa negara, mayat-mayat yang memverifikasi kesesuaian system manajemen standar tertentu disebut "badan sertifikasi", di lain mereka biasa disebut sebagai "sebesar tubuh", "penilaian dan registrasi badan", "sertifikasi / registrasi badan", dan kadang-kadang "pendaftaran".

ISO / IEC 27001 sertifikasi [1], seperti sistem manajemen ISO lain sertifikasi, biasanya melibatkan tiga tahap proses audit:

Tahap 1 adalah pendahuluan, tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi, Pernyataan PENERAPAN (SOA) dan Risk Treatment Plan (RTP). Tahap ini berfungsi untuk membiasakan para auditor dengan organisasi dan sebaliknya.

Tahap 2 adalah lebih rinci dan kepatuhan formal audit, menguji secara independen ISMS terhadap persyaratan yang ditetapkan dalam ISO / IEC 27001. Para auditor akan mencari bukti-bukti untuk mengkonfirmasi bahwa system pengelolaan telah dirancang dan dilaksanakan, dan pada kenyataannya beroperasi (misalnya dengan mengkonfirmasi bahwa komite keamanan atau badan manajemen yang serupa bertemu secara teratur untuk mengawasi ISMS). Sertifikasi audit biasanya dilakukan oleh ISO / IEC 27001 Lead Auditor. Melewati tahap ini hasil di ISMS yang bersertifikat sesuai dengan ISO / IEC 27001.

Tahap 3 melibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan penilaian kembali secara periodik audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan dan dimaksudkan. Ini harus terjadi setidaknya setiap tahun, tetapi (berdasarkan kesepakatan dengan manajemen) sering dilakukan lebih sering, terutama saat ISMS masih jatuh tempo.

JAWABAN : SOAL NO 3

COBIT adalah suatu framework atau bentuk dari praktik-praktik terbaik dalam pengendalian atas pengelolaan Teknologi Informasi (TI). Framework ini lebih

menitikberatkan pada pengendalian (control) dalam rangka mengoptimalkan pemanfaatan atas implementasi TI, menjamin adanya pemberian jasa (service delivery) dan memberikan salah satu bentuk pengukuran atau kriteria. COBIT dikembangkan oleh IT Governace Institute (ITGI) sejak tahun 1998. COBIT merupakan alat dalam penyelenggaraan tata kelola yang baik di bidang TI (IT Governance). IT Governance didefinisikan sebagai : “as a set of relationships and processes to direct and control the enterprise in order to achieve the enterprise’s goals by adding value while balancing risk versus return over IT and its processes” Definisi di atas menyebutkan bahwa IT Governance merupakan sejumlah relasi dan proses dalam mengarahkan dan mengendalikan organisasi sehingga tujuan organisasi dapat tercapai dengan cara mendapatkan nilai tambah dari pengelolaan risiko atas manfaat yang diperoleh dengan menerapkan TI serta proses yang terlibat didalamnya. Dari sisi manajemen atau pengguna TI, implementasi TI mempunyai beberapa tujuan atas investasi TI yang telah dikeluarkan tersebut, yaitu : memperoleh nilai tambah dari aktivitas atau bisnis yang dilakukan melalui pengurangan biaya, peningkatan efisiensi dan efektivitas, dan perbaikan layanan. Secara umum tujuan utama bagi managemen atau

organisasi adalah penggunaan TI dalam rangka mendukung proses bisnis atau aktivitas organisasi yang mencakup: 1. Tingkat Kerahasiaan (Confidentiality) Aspek ini berkaitan dengan perlindungan terhadap informasi yang sensitive apabila diketahui oleh pihak yang tidak berkepentingan atau tidak berhak. Kondisi ini berpengaruh terhadap seberapa ketat tingkat pengendalian yang harus diterapkan pada suatu sistem. 2. Keakuratan dan Kelengkapan (Integrity) Aspek ini mengacu kepada tingkat keakuratan dan kecukupan serta validitas sesuai dengan persyaratan atau kebutuhan yang telah ditetapkan sebelumnya. Hal ini penting sehingga informasi yang dihasilkan dari suatu sistem dapat dipercaya untuk digunakan dalam pengambilan keputusan. 3. Ketersediaan (Availability) Unsur ini berhubungan dengan ketersediaan informasi pada saat yang dibutuhkan, baik saat ini maupun di saat mendatang. Hal ini terkait pada pengamanan sumber daya dan tingkat kemampuan, baik yang berkaitan dengan sumber daya manusia, infrastruktur, dan pengamaman terhadap bencana atau musibah. Oleh karena itu ketersediaan informasi harus dapat dijaga dan selalu tersedia pada saat dibutuhkan. 4. Kehandalan (Reliability) Kehandalan berkaitan dengan tingkat konsistensi dari suatu sistem atau kemampuan sistem untuk tetap berjalan sesuai fungsinya pada kondisi yang telah ditentukan. 5. Ketaatan (Compliance) Aspek ini berkaitan dengan pemenuhan terhadap ketentuan hukum, peraturan perundangundangan, dan perikatan sebagaimana berlaku dalam aktivitas organisasi. Auditor, termasuk auditor internal, harus dapat memberikan keyakinan bagi managemen organisasi bahwa tujuan-tujuan tersebut di atas dapat tercapai. Keyakinan tersebut dapat diberikan dengan memberikan masukan bagaimana seharusnya pengendalian yang baik diterapkan dalam penggunaan TI. Oleh karena itu auditor TI memerlukan suatu acuan atau rujukan berkaitan dengan pengendalian intern pada lingkungan organisasi yang berbasis TI. Salah satu acuan adalah Control Objectives for Information and Related Technology (COBIT).

6. Efectiveness “deals with information being relevant and pertinent to the organization process as well as being delivered in a timely, correct, consistent and usable manner”. Berhubungan dengan ketepatan waktu, sasaran serta keakuratan system pada organisasi nya. 7. Efisiensy “concerns the provision of information through the optimal (most productive and economical) usage of resources”. Berhubungan dengan organisasi system informasi yang produktif, optimal dan ekonomis.

DAFTAR PUSTAKA

PARIS Edisi 31 BULETIN PERWAKILAN BPKP PROVINSI D.I YOGYAKARTA : from Http://Google.com

Richardus Eko Indrajait Dr. “Information Security, system managemen PPATK” From Http://Google.com

www.freesharing.verwalten.ch/forum UU ITE From Http://Google.com Http://Scribd.com

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.