KEMENTERIAN KEUANGAN REPUBLIK INDONESIA SALINAN KBPUTUSAN 'STAF AHL! BIDANO ORGANISASI, BIROKRASI, DAN TEKNOLOGI INFORMASI SELAKU CHIEF INFORMATION OFFICER KEMENTERIAN KEUANGAN NOMOR KEP.01/SA.5/2015 TENTANG KEBIJAKAN BASBLINE KONFIGURAS! KBAMANAN PERANGKAT TEKNOLOGI INFORMASI DAN KOMUNIKASI KEMENTERIAN KEUANGAN 'STAP AHLI BIDANG ORGANISASI, BIROKRASI, DAN TEKNOLOGI INFORMAS!, Menimbang Mengingat 2. bahwa dalam rangka melindungi informasi pada Pusat Data dan Disaster Recovery Center (DRC) Kementerian Keuangan dari berbagai _bentuc ancaman yang membahayakan, perlu menutup celal kkeamanan informasl, b, bahwa untuk menutup eelah keamanan informa: sebageimana dimaksud dalam huruf a, pesit adanya kebijakan baseline konfigurasi keamanan perangat ‘Teknologi Informasi “dan -Komunikasi(TTK) di lingkngan Kementerian Keuangan © bahwa berdasarkan Keputusan Mentert Keuangan Nomor 482/KMK 01/2015 tentang Penetapan Chief Information Officer ‘Kementerian Kevangan, Chief Jnformation Officer Kementerian Keuangan berwenang menetapkan penyelenggaraan tata Kelola‘TIK ‘termasuk kebijakan baseline konfigurasi keamanan pperangkat Teknologi Informasi dan Komuikasi (TIX) Kementerian Keuangan 4. bahwa_ berdasarkan pertimbangan sebagaimana dimaksud dalam buruf 4, huruf b dan huruf e, pera ‘menetapken Keputusan Staf Ahi Bidang Organis Birokrasi, dan Teknologi Informasi Selaku | Chief Information Officer Kementerian Kevangan tentang Kebjjakan Baseline Kon‘igurasi Keamanan Perangkat ‘Teknologi Informasi dan Komunikasl Kementerian Keuangan; 1. Keputusan—-Menteri—Keuangan_—_Nomor 260/KMK.01/2008 tentang Kebijakan Pengelolaan ‘Teknologi Informasi Dan Kemunikasi Di Lingleinesn, Departemen Keuangan;, 2 Keputusan—Menteri—_-Keuangan—_Nomor 479/KMK.01/2010 tentang Kebijakan Dan Standar Sisteus Mansjemen Keamanan Informast Di Lingkungan Kementerian Keuangar; 3. Keputusan —Menteri_—Keuangan —_Nomor 414/KMK.01/2011 tentang Kebijakan Dan Standar Manajemen Layanan Teknologi Informasi Dan Komunikasi Area Service Support Div LingleanganKEMENTERIAN KEUANGAN REPUBLIK INDONESIA ‘Memperhatikan ‘Menetapkan PERTAMA KEDUA a Kementerian Keuangan 4. Kepurusan — Menteri—-Keuangan—_Nomor 04/KMK.01/2012 tentang Kebijakan Dan Standar Manajemen Layanan Teknologi Informasi Dan Komunikasi Area Service Delivery Di Lingkungan ‘Kementerian Kewangan; 5. Keputusan —Menteri —-Keuangan Noor 129/KMK-01/2012 tentang Integrasi Perangkst ‘Teknologi Informasi Dan Kormunikasi Di Lingkungan Kementerian Keuangan, 6. Keputusan —Menteri_—“Keuangan—_Nomor 338/XMK.01/2012 tentang Arah Pengembangan ‘Teknologi Informasi Dan Komunikes! Kementerian Keuangan; 7. Keputusan —Menteri-—-Keuangen—_Nomor 36/KMK.O1/2014 tentang Cetak Biru Program ‘Transformasi Kelembagaan Kementerian Kewangan ‘Tahun 2014-2025; 8. Keputusan —Menteri_—Keuangen—-Nomor 482/KMK.01/2015 tentang Penetapan Chief Information Officer Kementerian Kevangans Peraturan Menter| Komunikasi dan Informatika Nomor 41/PERMEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologt informasi Dan Kemunicsi Nasional; -MEMUTUSKAW: KEPUTUSAN STAF AHLI _BIDANG — ORGANISASI, BIROKRASI, DAN TEKNOLOGI INFORMASI SELAKU CHIEF INFORMATION OFFICER KEMENTERIAN KEUANGAN TENTANG KEBIJAKAN BASELINE KONFIGURASI KEAMANAN PERANGKAT. TEKNOLOGI INFORMAS! DAN. KOMUNIKAS! KEMENTERIAN KEUANGAN, ‘Menetapkan Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan sebagaimana tereantum dalam Lampiran yang merupakan bagian tidak terpisalkan dari Keputusan Staf Ahi ini Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan sebagaimana dimaksud dalam Diktum PERTAMA merupakan acuan dalam pengelalaan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan, Baccline Konfigureai Keamanan Perangkat TK Kementerian Kevangan sebagaimana dimaksud dalam Diktum KEDUA merupakan batasan minimal kontiguras keamanan perangkat TIK, yang menjadi acuan dalam aktivitas pengamanan Peranghat TIK.KEMENTERIAN KEUANGAN REPUBLIK INDONESIA a KEEMPAT Baseline Konfigurasi Keamanan Perangkat_TIK Kementerian Keuangan sebagaimana dimaksud dalam Diktum KBDUA dikelola oleh Unit TIK Puset Kementerian Keuangan. KBLIMA Unit TIK Pusat sebageimana dimaksud dalam Dileum KEEMPAT dilaksanakan oleh Pusat Sistem Informasi dan Teknologi Keuangan sampai dengan ditetaplannya Unit ‘TIK Pusat Kementerian Keuangan. KEENAM Baseline Konfigurasi Keamanan Perangkat TK Kementerian ‘Keuangan sebagaimana dimaksud dalam Diktum KEDUA ditetapkan dengan Keputusan Kep Pusat Sistem Informasl dan Teknologi Keuangan. KErUJUH + Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK ‘Kementerian Keuangan ini ber untule Unit TIK Pusat dan Unit TIK Eselon I di lingkungan Kementerian, Keuangan KEDELAPAN : Ketentuan lebih lanjut dari Kebijakan Baseline Konfigurasi Keamanan Perangkat TI. Kementerian Keuangan akan ditetapkan dalam Keputusan Chief Information Officer tersendit. KESEMBILAN : Keputusan Staf Ahli ini mulai berlaku pada tanggal dicetapkan, Salinan Keputusan Staf Ahi ini disampaikan kepada: 1, Menteri Keuangan 2, Wakil Menteri Keuangan; 3. Sekretaris Jenderal, Inspektur Jenderal, para Direktur Jenderal, dan pata Kepala Badan. di linglcungan Kementerian Keuangen; 4. Staf Anli Menteri Keuangan Bidang Penerimaan Negara 5. Tenaga Abii Bidang Sistem Informasi dan Teknologi; dant 6.Para Pimpinan Unit TIK Eeelon 1 di linglungan Kementerian Keusngen. Ditetapkan di Jakarta pada tanggal 25 Mei 2015 eee eee STAF AHL BIDANG — ORGANISASI, Kepala Pusintek BIROKRASI, DAN TEKNOLOGI INFORMASI, on ‘SELAKU CHIEF INFORMATION OFFICER Kepala Bagian Tata Usaha KEMENTERIAN KEUANGAN, wd 19700126 199501 2 001 susIWLJONOKEMENTERIAN KEUANGAN REPUBLIK INDONESIA KEDIJAKAN BASELINE KONFIGURASL KEAMANAN PERANGKAT TEKNOLOG! INFORMASI DAN KOMUNIKASI KEMENTERIAN KEUANGAN PENOERTIAN UMUM. 1a, 12, 13, 1a, 15. 16. 17. Perangkat TIK adalah perangkat operasional Pusat Data/Disaster ‘Recovery Center (DRC) yang terdist dar 1.1.1, perangkat kerss, antara lain server, media penyimpanan, media backs 1.1.2, perangkat jaringan, antara lain core switch, router, dan. 1.1.8, perangkat Iunak, antara Iain sistem operasi server, apl backup tools server. Pusat Date adalah pusat pemrosesan data yang didukung dengan perangkat pengolahan data tersebut Sistem TIK adalah sistem operas, sistem aplikasi, sistem jaringan intranet/internet, dan lain sebagainya, tem basis data, Disaster Recovery Centre (DRC) adalah faslitas pengganti saat Pusat Data mengalami gangguan atau tidak berfungs! akibat berbapat ppenyebab seperti terganggunya aliranlstrik dan beneana alam. Disaster Recovery Centre (DRC) digunakansementara untuke menjaga, keelangsungan kegiatan, sambil menunggu pemulihan Pusat Data. Colocation adalah layanan yang disediakan untuk penitipan perangkat keeras, seperti server, perangkat jaringan, dengan/atau tanpa rak, dalam Pusat Data Kementerian Keuangan, Configuration Testing adalah proses pemeriksaan konfigurasi pada Perangkat TIK yang bertujuan untuk memastikan konfigurasi keamanan dalam konsep baseline atau baselive konfigurasi keamanan Perangleat ‘TK telah terpasang Komunitas keamanan informasi adalah kelompok/ieomunitas yang memiliki' pengetahtan/keahlian Kkhustis dalam bidang keamanant informasi atau yang relevan dengan emanan informasi, seperti Indonesia Security Incident Response Team on Internet and Infrastnichre /MD-SIRTI, Unit Cybererime POLRI, ISC2, ISACA. Prinsipal adalah pemilik produ atau pemilikteknoloiKEMENTERIAN KEUANGAN REPUBLIK INDONESIA -2 1.9. Vulnerabitty Assessment (VA) adalah pemeriksaan terhadap kemampuan sistem atau aplikesi untuk mengidentiiasi celah keamanan informast ddan mempredikst efektifias penerapan konsep baseline ata baseline ‘konfigurasi Kearsanan Perangleat TIK. ‘TusUAN Kebljakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan ini bertujuan untuk menutup celah Keamanan informast dan melindungi Perangkat TK Kementerian Keusngan dari ancaman yang membahayakan, RUANG LINGKUP Kebijakan Baseline Konfigurast Keamanan Perangkat TIK Kementerian Keuangan ini meliputi 9.1, Tanggung jawab Unit TIK Pusat; 3.2. Tanggung jawab Unit TIK selon T scbagai penanggung jawab Perangleat ‘THK Colocation; an 8.8. Ketentuan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan, |. PIHAK-PIHAK TERKAIT Pihak-pihake terkalit pelaksanaan Kebljakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan adalah 4.1, Unit THK Pusat; dan 4.2. Unit TK Bselon 1 5. KBBLJAKAN 5.1. Unit TIK Pusat dan Unit TIK Esclon 1 harus menerapkan Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan, 5.2, Pimpinan Unit TIK Pusat dan Pimpinan Unit TIK selon I bertanggung jawab dalam penerapan Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan. 5.3. Setiap Perangkat TIK Kementerian Keuangan sebagaimana dimaksud dalam Keputusan Staf Abii ini harus memiliki baseline konfigurasi eamanan, 5.4. Raseline Konfigurasi Keamanan Perangkat TK Kementerian Kenangan isusun dengan mengacu pada standar konfigurasi keamanan dari Prinsipal dan/atau Komunitas Keamanan Informasi dan/atau best practice.58. 536. 87. 58, 89. 5.10. sa, KEMENTERIAN KEUANGAN REPUBLIK INDONESIA Dalam hal Perangleat TIK Colocation belum memiliki baseline konfigurasi keamanan, maka Unit TIK Bselon I harus berkoordinasi dengan Unit TIK Pusat dalam menyusun konsep baseline konfigurasi Keamanan Perangkat TIK yang menjadi tangeung jawabnya. Baseline konfigurasi Keamanan Perangkat TIK Kementerian Keuangan Derisikan namun tidak terbatas pada: 5.6.1, standar konfigurasi keamanan yang sekurang-kurangnya ‘mencakup pengendalian sebagai bert, fa. pengendalian identitas dan akses; >, pengendalian kerentanan dan ancaman; cc. pengendalian Kerahasisan dan keutuhan; dan 4. pengendalian audit, 5.6.2, checklist pemeriksaan parameter keamanan yang. sekurang- Jkurangnya mencaleup sebagai berkut: a hostname; IP address; ‘nama pemeriksa; tanggal pemeriksaan; parameter; nila standar; dan 3. nila aktual / rekomendast Unit TIK Eselon I berkoordinasi dengon Unit TIK Pusat untuk melaleakan ppengujian terhadap konsep baseline konfigurasi keamanan Perangkat ‘TIK yang menjadi tanggung jawab Unit TIK Eselon 1 ‘Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan hharus telah terbuleti memberikan keamanan yang lebih baile dan hendal ‘melalui proses pengujian meliputi Configuration Testing dan Vulnerability ‘ssesement (VA) Dalam mengimplementasiien Baseline Konfigurasi Keamanan Perangleat TIK Kementerian Keuangan, Unit TIK Pusat dan Unit TIK selon 1 Kementerian Keuangan hare 59.1, memperhatikan keamanan Sistem TIK sesuai dengan Kebijalkan dan Standar Sistem Mangjemen Keamanan Informasi di Lingkungan Kementerian Keuangan; dan 5.9.2. memastikan konfigurasi keamanan pada Perangkat TIK telah emia dengan Baseline Konfigurasi Keamanan Perangleat IK Kementerian Keuangan, Unit TIK Pusat dan/atau Unit TIK Eselon 1 harus memberikan solusi alteratif pada pengendalian yang tidak dapat dipenuhi dalam hal Teesrinrahan pengendalian seapaimana tereantim pada tite 5A tidak dapat dipenuti. Dalam hal ditemukan celah keamanan informasi pada Perangkat TIK, maka Unit TIK Pusat berkoordinasi dengan Unit TIK selon I untuk enanganannya,KEMENTERIAN KEUANGAN REPUBLIK INDONESIA 5.12, Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan ‘harus segera diperbarai dan diimplementasikan setelah ditemukan celah Jkeamanan informasi dan/atau sesual dengan perkembangan teknolog 5.18. Unit ‘TIK Pusat bertanggung jawab memantau penerapan Baseline Konfigurasi Keamenan Perangkat IK Kementerian Keuangan dan ‘melaporkan hasilaya kepada Chief Information Officer (CIO) Kementerian Keuangan, 5.14, Unit TIK Pusat dan Unit TIK Bselon { betkoordinasi dalam meningkatkan pengetabuan pegawai pengelola Perangkat TIK di Pusat Data Kementerian Keuangan terkait kesiapan penerapan Kebijakan Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan, 5.15. Baseline Konfigurasi Keamanan Perangkat TIK Kementerian Keuangan hharus dikaji ulang secara berkala paling sedikit 1 (eatu) kali dalam 1 (satu) tahun untuk menjamin efetivitas pelaksanaannya. Salinan sesuai dengan STAR AHLI BIDANG ORGANISASI, BIROKRASI, Kepala Pusintek DAN TEKNOLOGI INFORMAS!, e SELAKU CHIEF INFORMATION OFFICER Kepala Bagian Tata Usaha KEMENTERIAN KEUANGAN, td 9790126 199501 2.001 SUSIWLJONO