![Draft Sistem Keamanan Informasi [PDF]](https://pdfs.asia/img/200x200/draft-sistem-keamanan-informasi.jpg)
12 0 723 KB
1
Penyusunan Dokumen Kebijakan dan Prosedur Keamanan Informasi
Berikut ini skema kebijakan dan prosedur yang menjadi prioritas untuk disusun sebagai bagian dari implementasi Sistem Manajemen Keamanan Informasi PT.X :
Gambar 1 Skema Dokumen
Draft dokumen kebijakan keamanan informasi ini mengacu pada kebijakan yang telah diterapkan oleh suatu perusahaan yang telah menerapkan sistem manajemen keamanan informasi dengan maturity level 4 dan/atau 5. Draft dokumen kebijakan (policy) dibatasi pada beberapa hal utamanya sedangkan draft dokumen prosedur disusun secara detil.
2
1 Draft Kebijakan Keamanan Informasi
A. Tujuan •
Melindungi aset informasi Perusahaan dari kemungkinan penggunaan, penyebaran, perusakan, dan perubahan oleh pihak yang tidak bertanggung jawab;
•
Memberikan aturan tentang perlindungan dan standar Sekuriti Sistem Informasi Perusahaan secara sah menurut peraturan dan hukum yang berlaku;
•
Memberi arah yang jelas bagi implementasi sekuriti sistem informasi agar sejalan dengan kebutuhan bisnis, peraturan dan hukum yang berlaku.
B. Lingkup •
Seluruh bentuk aset informasi Perusahaan, baik dalam bentuk database, informasi elektronik maupun ingatan karyawan, serta aplikasi dan fasilitas pengolahan data / informasi.
•
Sekuriti sistem informasi meliputi seluruh proses sistem informasi Perusahaan
mulai
dari
perencanaan,
pengembangan,
implementasi,
pemeliharaan, dan proses peningkatan pengelolaan sekuriti. •
Lingkup pengendalian sekuriti sistem informasi meliputi : 1) Pengaturan Sekuriti Informasi; 2) Sekuriti Aset Informasi; 3) Sekuriti Sumber Daya Manusia; 4) Sekuriti Fisik dan Lingkungan Aset Informasi; 5) Sekuriti Komunikasi dan Operasi; 6) Kontrol Akses; 7) Sekuriti Dalam Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi; 8) Manajemen Insiden Sekuriti Sistem Informasi;
3
9) Manajemen Business Continuity; 10) Kepatuhan (Compliance). •
Pemahaman risiko terhadap implikasi sekuriti sistem informasi dengan berpedoman kepada persyaratan, aturan, dan standar; sesuai dengan ketentuan yang berlaku.
C. Kebijakan Umum: •
Pengembangan sekuriti sistem informasi di lingkungan internal dilakukan melalui komitmen bersama dan dukungan manajemen terhadap forum koordinasi dan management review, pengembangan kompetensi, dan pengembangan kebijakan-kebijakan lain yang mendukung.
•
Penerapan Kebijakan Sekuriti Sistem Informasi untuk : o Melindungi Aset Informasi dari berbagai macam ancaman yang dapat mengganggu kelangsungan bisnis Perusahaan; o Minimalisasi risiko; o Memaksimalkan Return of Investment dan pemanfaatan peluang bisnis.
•
Seluruh jajaran Manajemen Perusahaan dan pihak eksternal yang memiliki ikatan kerjasama dengan Perusahaan, memiliki tugas dan tanggung jawab serta kewajiban untuk menerapkan Kebijakan Sekuriti Sistem Informasi dalam penggunaan dan pengelolaan sistem informasi sesuai tanggung jawab dan kewenangannya.
D. Kerangka Kerja Sekuriti Sistem Informasi •
Informasi, sistem pengolahan data / informasi, jaringan, dan sarana penunjang merupakan aset sistem informasi yang sangat penting bagi Perusahaan.
4
•
Penerapan sekuriti sistem informasi untuk menjamin integritas data aset informasi, sehingga dapat menjaga nilai kompetitif, cash flow, profitabilitas, legal compliance, dan commercial image.
•
Pada tahap awal penerapan sekuriti sistem informasi dilakukan dengan melakukan assessment terhadap aset sistem informasi Perusahaan, meliputi : o Penilaian risiko (Risk Assessment); o Penilaian sekuriti (Security Assessment); o Kepatuhan terhadap aspek Legal dan Regulasi; o Persyaratan bisnis (Business Requirement). o Keberhasilan penerapan sekuriti sistem informasi dapat dicapai dengan
menerapkan
pemahaman
yang
sama,
pengendalian,
monitoring dan evaluasi terhadap implementasi Kebijakan Sekuriti Sistem Informasi.
E. Tanggung Jawab Pengelolaan Aset Informasi Perusahaan •
Unit Pengelola Teknologi Informasi bertanggung jawab atas pengelolaan sekuriti dan sumber daya aset sistem informasi .
•
Aset sistem informasi milik Perusahaan yang berkaitan dengan kegiatan bisnis, meliputi: o Database dan file data, Kontrak kerjasama, dokumentasi, hasil penelitian, materi pelatihan, prosedur operasi, business continuity plan, fallback arrangement, dan kronologis data audit; o Aset software antara lain : software aplikasi, software system, development tools, dan utilities; o Aset hardware antara lain : Perangkat Komputer, Perangkat komunikasi, media removable, dan Perangkat terkait lainnya, yang digunakan untuk mengolah dan mengakses informasi Perusahaan;
5
o Layanan: komunikasi, komputasi, dan sarana penunjang (UPS, AC, Kabel); o Sumber daya manusia termasuk data kualifikasi, keahlian dan pengalaman; o Aset intangible, berupa reputasi dan image perusahaan. •
Penanggung jawab atas aset seperti tersebut dalam ayat (2) pasal ini, berkewajiban melaksanakan : o Pemantauan terhadap informasi dan aset yang diolah melalui identifikasi berdasarkan jenis klasifikasi informasi, sesuai aturan yang berlaku; o Pendefinisian dan
evaluasi secara berkala terhadap pengendalian
akses dan klasifikasi informasi, mengacu kepada pengaturan terkait pada kebijakan ini; o Pemberian alokasi status kepemilikan (ownership) atas informasi menyangkut :
Proses bisnis;
Rencana kegiatan dan program;
Aplikasi; atau
Dokumen data informasi.
Prosedur penggunaan aset sistem informasi disusun dalam aturan terpisah oleh Unit Pengelola Teknologi Informasi, yang antara lain untuk :
Penggunaan e-mail, internet, dan intranet serta extranet;
Penggunaan perangkat secara mobile di luar perusahaan.
6
Klasifikasi Informasi (1)
Klasifikasi informasi dalam Perusahaan diperlukan dalam pengelolaan aset informasi secara tepat, jelas, dan terstruktur sesuai nilai dan peruntukannya.
(2)
Setiap aset informasi perusahaan harus diklasifikasikan dalam 4 (empat) tingkatan kepentingan menurut : nilai bisnis, kepastian hukum, sensitivitas dan tingkat kekritisan, kerahasiaan, serta keamanan terhadap Perusahaan.
(3)
Setiap bentuk aset informasi harus diberikan label klasifikasi sesuai hak aksesnya dan persyaratan pada ayat (2) pasal ini, adalah sebagai berikut : a. SANGAT TERBATAS ( ST ), untuk sistem informasi dengan klasifikasi Sangat Terbatas; b. RAHASIA ( RHS ), untuk sistem informasi dengan klasifikasi Rahasia; c. PRIBADI ( PRIB ), untuk sistem informasi dengan klasifikasi Pribadi; d. Internal Perusahaan ( IP ), untuk sistem informasi dengan klasifikasi Internal Perusahaan.
2 Draft Prosedur Keamanan Informasi
Berikut ini adalah draft prosedur keamanan informasi yang diharapkan bisa memenuhi kriteria pada ISO/IEC 17799 dan ISO/IEC 27001, serta menutupi gap pencapaian maturity level yang diharapkan.
DRAFT PROSEDUR KEAMANAN INFORMASI (best practice pada suatu perusahaan)
7
I DEFINISI 1.
Bentuk Informasi
Informasi dapat berbentuk tulisan (tertulis), elektronik (machine readable) dan ingatan karyawan (mental information). Setiap bentuk informasi harus mendapatkan standard pengamanan sebagaimana tercantum dalam ketentuan ini. 2.
Informasi Tulisan (Tertulis)
Adalah semua bentuk informasi yang tercetak diatas kertas yang berupa tulisan tangan, cetakan, bentuk
simbol,
cetakan
komputer
(computer
print-out);
materi
cetakan
diatas
plastik
(transparancies dan slides); microfilm, foto dan cetakan dalam bentuk fisik yang lain. 3.
Informasi Elektronik
Adalah informasi yang berada dalam sistem komputer baik digital maupun analog atau dalam bentuk lain yang bisa terbaca oleh mesin (machine readable). 4.
Informasi Ingatan (Mental Information)
Adalah informasi yang bersifat rahasia yang diberikan kepada karyawan Perusahaan dalam rangka tugasnya. Setiap karyawan setidaknya harus mempunyai kesanggupan tertulis (Non Disclosure Agreement) untuk tidak menggunakan dan menyebarkan informasi ini dimanapun dan kapanpun tanpa seijin dari Perusahaan. 5.
Pembuat Informasi (Originator)
Karyawan Perusahaan yang menyiapkan naskah asli dari satu dokumen atau file. 6.
Pemelihara Informasi (Custodian)
Manager atau administrator Perusahaan yang bertanggung jawab atas pengelolaan satu kumpulan informasi. 7.
Penyebaran Informasi (Disclosure)
Memberikan atau menunjukkan informasi kepada orang, organisasi atau system secara lisan melalui presentasi dengan menggunakan transparancies, slides atau gambar, secara tertulis, dan memberikan akses kedalam komputer atau menunjukkan data dari komputer melalui display. 8.
Klasifikasi
Adalah proses penentuan indikator nilai, indikator kepekaan (sensitifitas) dan resiko terhadap suatu informasi yang akan menentukan tingkat pengamanan yang diperlukan bagi informasi tersebut. Klasifikasi informasi dibuat oleh Pembuat Informasi (Originator) atau Pemelihara Informasi (Custodian). 9.
Indikator
Adalah kumpulan petunjuk yang membantu Pembuat Informasi (Originator) dan Pemelihara Informasi (Custodian) untuk menentukan klasifikasi suatu informasi, dokumen dan file. 10. Informasi Rahasia Adalah informasi yang bernilai tinggi, peka dan bersiko besar bagi Perusahaan sehingga perlu adalah satu usaha perlindungan.
8
11. Tingkat Kebolehtahuan (Need to Know) Adalah pedoman umum yang memungkinkan karyawan atau mitra kerja Perusahaan untuk melihat, mendengar, merubah atau menghapus informasi rahasia sesuai dengan tugas dari karyawan atau mitra kerja Perusahaan. Tingkat Kebolehtahuan ini merupakan dasar dari pengamanan informasi bagi Perusahaan. 12. Account Adalah suatu tanda pengenal yang dipakai oleh sistem komputer guna membedakan satu pemakai dengan yang lain secara unik. Account pada umumnya memerlukan suatu sekuen login dimana para pemakai mengotentikasikan diri merekakepada sistem (misalnya dengan password). 13. User Setiap orang yang berinteraksi langsung dengan sistem komputer, atau sekelompok orang yang melaksanakan suatu tugas atau fungsi bisnis, pelaku –pelaku yang bertindak atas dasar kepentingan tertentu 14. User Account Adalah suatu account yang dimiliki seorang karyawan dan digunakan dalam kinerja fungsi-fungsi bisnis karyawan tersebut. User account biasanya tidak diberi hak-hak istimewa, serta merupakan account dengan acces umum 15. Default Hardware / Software yang dirancang untuk melakukan fungsi-fungsi spesifik dalam melayani atau memberikan servis kepada clientnya atau bisa juga diartikan sebagai nilai asal/nilai dasar 16. Client / Server Adalah suatu sistem jaringan komputer dimana dalam jaringan tersebut terdapat komputer yang berfungsi sebagai Server (yang melayani) dan Client (yang dilayani). 17. Virus Suatu program komputer yang sengaja dibuat untuk merusak pragram ,data dan device dalam komputer, penyebaran virus ini bisa melalui disket maupun file yang dikirim melalui suatu jaringan komputer 18. External Adalah Pihak atau organisasi yang berada diluar organisasi Telkom 19. Internal Pihak atau organisai yang berada didalam organisasi Telkom 20. Local Area Network (LAN ) Suatu jaringan yang menghubungkan komputer-komputer dalam satu lokasi atau gedung 21. Wide Area Network (WAN) Kumpulan beberapa LAN yang saling dihubungkan dalam suatu jaringan komputer yang cukup luas jangkauannya 22. Operating System
9
Software yang mengontrol jalannya operasi hardware tanpa user harus ikut mengoperasikannya. Sistem operasi menyediakan platform dimana programprogram dan software aplikasi dapat dijalankan. 23. Akses Kontrol Proses yang membatasi akses kesumber daya sistem komputer hanya bagi user yang memiliki hak akses, program, proses-proses dan sistem komputer lainnya. 24. Fire Protection Adalah suatu sistem / perangkat yang berfungsi sebagai pengaman / pelindung dari bahaya kebakaran 25. Environment Monitoring System (EMS) Perangkat / sistem yang digunakan untuk mengontrol dan mendeteksi suhu,asap, api, air dan kelembaban ruangan komputer dimana hasil nya dapatsecara langsung dihubungkan dengan perangkat komunikasi misalnya telepon, pager dll 26. Uninterruptable Power Suplay (UPS) Perangkat / sistem yang berfungsi agar catuan yang berasal dari catuan utama (PLN) dapat selalu stabil dan catuan kearah perangkat terjaga ketersediaannya (tidak teputus) 27. Password Serangkaian karakter yang digunakan untuk otentikasi atau untuk mendapatkan ijin akses sistem 28. Console Perangkat yang merupakan bagian dari komputer yang berfungsi menampilkan data dalam bentuk teks maupun grafik 29. Priviledges/Priviledge Suatu cara untuk melindungi fungsis-fungsi sistem tertentu yang dapat mempengaruhi sumberdaya dan keutuhan (integrity) sistem. System Manager yang memberikan priviledges berdasarkan kebutuhan user dan memberikan batasan untuk melakukan akses ke sistem. 30. Cabling system Sistem perkabelan yang menghubungkan satu perangkat dengan perangkat lainnya dimana sistem ini disusun sedemikian rupa agar terjamin keamanannya serta mudah mengontrolnya. 31. Peripheral Beberapa peralatan yang saling terkait satu dengan lainnya, Peralatan tersebut terdiri dari processor, main board, memory, card, media penyimpanan data, power supply, cashing (kotak pelindung). 32. Upgrade Suatu kegiatan / usaha merubah atau mengganti Perangkat keras atau perangkat lunak dari satu versi ke versi yang lebih tinggi dengan maksud untuk mendapatkan performance yang lebih baik 33. Quota Jumlah besaran batas maksimal yang diberikan 34. Backup on Site / Off Site
10
Adalah lokasi dan prasarana pengolahan data yang untuk sementara waktu digunakan untuk menjalankan fungsi produksi sistem informasi oleh suatu unit pelayanan sistem informasi PT. X, bila suatu pusat komputernya mengalami bencana. On Site artinya masih dalam ruangan yang sama. Off Site artinya berada di tempat yang berbeda dari ruangan yang dipakai saat ini. 35. Domain Name Server ( DNS ) Adalah servis penamaan standard yang digunakan pada internet dan kebanyakan jaringan TCP/IP. 36. File Transfer Protocol ( FTP ) Adalah protokol yang diigunakan untuk mendistribusikan atau menerima file/dokumen melalui jaringan antar host atau host ke client 37. Hardware Adalah sistem komputer yang terdiri dari peralatan mekanik, magnetik dan elektronik seperti CPU, Disk Drive, Keyboard, Monitor dan lain-lain. 38. Software Adalah program yang bisa digunakan untuk pengoperasian komputer. 39. Network Address Translation ( NAT ) Adalah pemindahan alamat jaringan. 40. Server Adalah komputer yang memuat servis-servis yang disediakan untuk user yang dapat menjalankan proses-proses dari client maupun server dalam waktu yang bersamaan, menyediakan layanan jaringan, media penyimpan data dan pemindahan file/dokumen. 41. Transfer Control Protocol/Internet Protocol ( TCP/IP ) Adalah protokol yang digunakan untuk komunikasi antar komputer, sebagai standard untuk transmisi data lewat network dan sebagai basis untuk standard protokol internal. 42. Port Adalah alamat atau tempat dan service aplikasi dijalankan. 43. Router Adalah perangkat pengatur lalulintas paket dan akses. 44. Proxy Adalah suatu gerbang untuk menjelajah dunia internet. 45. Uniform Resources Locater ( URL ) Adalah protokol transmisi yang menunjukan spesifikasi nomor identifikasi internet yang digunakan untuk berpindah dalam satu site ke site yang lain dalam internet. 46. Simple Mail Transfer Protocol ( SMTP ) Adalah protokol yang digunakan untuk mentransfer surat elektronik (email) antar komputer, biasanya menggunakan Ethernet. 47. Remote Access Adalah akses ke suatu jaringan sistem informasi dari luar jaringan internal.
11
48. System Adalah suatu metode untuk mengatur atau mengorganisasi penggabungan kerja dari perangkat keras, perangkat lunak dan komunikasi data 49. Device Adalah suatu perangkat yagn merupakan bagian dari komputer 50. Relational DataBase Management System Adalah suatu sitem management DataBase yang dibuat untuk mengatur DataBase relational. 51. DataBase Adalah kumpulan file atau data yang teroraganisir. 52. DataBase Administrator Adalah orang yang bertanggung jawab terhadap design, management, evaluasi dan menjaga performansi dari DataBase. 53. Client Adalah sebuah workstaion yang memiliki akses ke pusat file data, program dan peralatan melalui server. 54. License Adalah Ijin untuk memiliki/melakukan sesuatu yagn diberikan oleh instansi pemerintah atau instansi yang lain. 55. User Guest Adalah pemakai sementara. 56. Anti Virus Adalah suatu program yang didesign untuk mengidentifikasi dan menghapus atau membuang virus pada komputer. 57. Zip Drive Adalah drive eksternal yang digunakan untuk memampatkan data untuk di backup. 58. Download Adalah memindahkan data atau program dari pusat komputer ke peripheral komputer. 59. Upload Adalah memindahkan data atau program dari peripheral komputer ke pusat komputer. 60. Electronic Mail ( email ) Adalah pesan yang dapat dikirim atau diterima melalui saluran telekomunikasi antar mikrokomputer atau terminal. 61. Junk Mail Adalah surat elektronik yang berisi berita-berita sampah atau palsu yang disebarkan secara berantai dan tidak bisa dipertanggungjawabkan kebenarannya. 62. Data Adalah kumpulan informasi berupa angka-angka, karakter, signal elektronik dan lain-lain yang bisa disediakan, disimpan dan diproses oleh komputer.
12
63. Worm Adalah sebuah program yang dapat menggandakan dirinya sendiri dan bercampur dengan fungsi software atau menghancurkan informasi yang ada. 64. Hacker Adalah user mikrokoomputer yang berusaha untuk mencari keuntungan dari akses yang tidak diijinkan dari pemilik sistem komputer. 65. Portable Assets Adalah aset sistem informasi yang dapat dipindah-pindah dengan mudah, seperti laptop/notebook dan PC Workstation. 66. Public Area Adalah tempat yang menjadi milik umum. 67. Raise-Floor Adalah lantai panggung. 68. SMP (Standard Maintenance Procedure) Adalah prosedur standard untuk pelaksanaan maintenance. 69. SOP (Standard Operation Procedure) Adalah prosedur standard untuk mengoperasikan suatu aplikasi.
II TANGGUNG JAWAB Bagian ini akan menjelaskan tentang tanggung jawab User (Pemakai), System Administrator/ System Manager, Owners (Pemilik informasi/ data).
User (Pemakai) User adalah seseorang yang diberi wewenang untuk menggunakan aset informasi dan bertanggung jawab untuk : 1.
Mematuhi syarat pengamanan aset informasi dan aplikasi sistem sekuriti seperti yang telah ditentukan oleh Owner dan System Manager yang tertuang dalam Service Level Agreement (SLA).
13
2.
Menggunakan peralatan pengolah aset informasi yang telah diijinkan dan
hanya
dipergunakan untuk keperluan yang telah di setujui oleh pimpinannya. 3.
Memastikan bahwa sistem, data dan password telah memenuhi persyaratan yang ditentukan dan dilindungi dengan semestinya.
System Administrator/ System Manager Seseorang yang melaksanakan tugas untuk menjamin ketersediaan Sistem Informasi yang akan digunakan atau diakses oleh pengguna dan bertanggung jawab untuk : 1.
Membuat identitas/ pengenal dalam pemakaian sistem komputer yang lazim dikenal dengan User-id serta melaksanakan administrasi untuk akses ke aset informasi dan menolak user yang tidak mendapat ijin akses.
2.
Melaksanakan pengamanan dan pengawasan terhadap aset informasi dan sistem informasi sesuai dengan ketentuan pemiliknya.
3.
Menentukan
status
operating sistem,
aplikasi/
software
dan menjamin
keamanan
pengoperasiannya. 4.
Memiliki/ memelihara daftar operating sistem, aplikasi/ software yang disetujui.
5.
Memberikan penjelasan mengenai pengawasan, peraturan dan larangan kepada owner dan user.
6.
Melaporkan kepada pimpinan bila terjadi penyalah-gunaan atau pelanggaran.
Owner (Pemilik) Pejabat PT. X yang karena tugas dan tanggung jawabnya berwenang untuk membuat atau menyampaikan keputusan dan menentukan dalam hal identifikasi, klasifikasi dan proteksi dari aset informasi PT. X serta bertanggung jawab untuk: 1.
Menentukan nilai serta pentingnya sebuah aset informasi.
2.
Memastikan agar pengamanan dan pengawasan terhadap aset informasi dan sistem aplikasi/software dilaksanakan sesuai dengan peraturan.
3.
Memberitahukan persyaratan pengawasan dan proteksi kepada Unit Pengelola Sistem Informasi dan user (pemakai).
III SEKURITI FISIK ASET SISTEM INFORMASI Lingkungan dan pengendalian sarana fisik sangat dibutuhkan untuk membantu pengamanan Sistem Informasi, hal ini dilakukan dengan adanya jaminan terintegrasinya secara fisik lingkungan Sistem Informasi. Pada bab ini akan diberikan secara detail persyaratan dan prosedur keamanan secara fisik ditinjau dari sisi eksternal dan sisi internal yang diterapkan di lingkungan sistem informasi.
14
3.1 Pengamanan Fisik dari Aktivitas Pihak Eksternal Pengertian dari eksternal adalah personil diluar pegawai Unit Pengelola Sistem Informasi yang mempunyai kepentingan baik langsung maupun tidak langsung, sehingga dapat berinteraksi dengan asset yang dimiliki oleh Unit Pengelola Sistem Informasi. Hal-hal yang perlu diperhatikan untuk melindungi aset fisik Unit Pengelola Sistem Informasi dari kepentingan eksternal meliputi ruangan komputer, akses kontrol, perangkat komputer server, tempat penyimpanan media backup dan backup site serta cabling system.
3.1.1 Ruangan Komputer Segala bentuk aset perusahaan yang berada dalam pengelolaan dan pengawasan Unit Pengelola Sistem Informasi harus diberikan perlindungan dari pencurian, kerusakan dan penggunaan oleh yang tidak berhak. Perangkat-perangkat penting perusahaan seperti komputer server dan alat penyimpan data harus ditempatkan pada ruangan khusus dan dilengkapi dengan raise-floor.
Prosedur Pintu masuk ruangan komputer harus selalu tertutup rapat. Pihak eksternal yang akan memasuki ruang komputer harus seijin petugas Unit Pengelola Sistem Informasi. Wajib mengisi buku tamu pada saat datang atau meninggalkan ruangan. Setiap peminjaman, pemindahan, pemasukan dan pengeluaran aset di ruang komputer harus seijin petugas Unit Pengelola Sistem Informasi dan semua aktivitas harus tercatat dalam buku log yang telah disediakan.
3.1.2 Akses Kontrol Setiap Ruang Komputer harus dilengkapi dengan fasilitas akses kontrol untuk mengidentifikasi kegiatan personil atau orang yang keluar masuk ruang komputer serta untuk mengamankan dan melindungi aset perusahaan dimana aset yang ada berupa perangkat komputer, data dan sarana penunjang lainnya yang sangat dibutuhkan oleh Perusahaan.
Prosedur Pihak eksternal yang bermaksud untuk memasuki ruang komputer sebagai salah satu aktivitas kegiatan rutinnya harus mengajukan surat permohonan resmi untuk meminta ijin penggunaan Akses Kontrol ke pihak Manajemen Unit Pengelola Sistem Informasi. Petugas dari pihak eksternal yang bertangung jawab dalam penggunaan Akses Kontrol harus dicatat dan setiap terjadi pergantian petugas dari pihak eksternal tersebut harus memberitahukan ke Manajemen Unit Pengelola Sistem Informasi.
15
3.1.3 Perangkat Komputer Server. Semua data dan informasi perusahaan tersimpan dalam perangkat komputer server, untuk itu perlu dilakukan upaya dalam melindungi dan mengamankan server tersebut dari penggunaan yang tidak berhak atau hal lain yang dapat menimbulkan terjadinya kerusakan sistem dan data. Upaya yang perlu dilakukan dalam mengamankan dan melindungi mesin server ini adalah dengan menempatkan pada ruangan yang mempunyai akses kontrol.
Prosedur Pihak eksternal yang akan melakukan instalasi atau maintenance terhadap perangkat komputer server sistem informasi harus seijin pengelola system informasi. Kegiatan instalasi atau maintenance harus sepengetahuan petugas pengelola sistem informasi dan harus dicatat dalam buku log kegiatan.
3.1.4 Tempat Penyimpanan Media Backup dan Backup Site. Adalah tempat menyimpan data hasil backup yang tersimpan dalam suatu media backup baik yang ada di tempat komputer itu berada (backup on-site) dan atau di luar area dimana lokasi tersebut yang telah ditetapkan (backup off-site), hal ini dimaksudkan untuk menanggulangi data operasional yang berada di lokasi Unit Pengelola Sistem Informasi rusak, hilang atau terjadi kondisi force majeur. Untuk mengantisipasi hal tersebut, maka diperlukan suatu tempat penyimpanan media backup yang memenuhi persyaratan suhu, kelembaban udara dan pencahayaan serta menyediakan buku log untuk pencatatan keluar masuk media backup tersebut.
Prosedur Mengisi buku log yang telah disediakan. Pihak ketiga yang masuk ruangan penyimpanan media backup harus didampingi oleh petugas dari Unit Pengelola Sistem Informasi. Memberi label yang jelas pada media backup untuk mempermudah dalam pencarian dan penyimpanannya. Pihak eksternal dilarang mengambil atau memindahkan media backup tanpa sepengetahuan petugas Unit Pengelola Sistem Informasi.
3.1.5 Cabling System Pengamanan terhadap perkabelan baik catuan listrik maupun jaringan komputer yang berada di ruangan Unit Pengelola Sistem Informasi perlu dilakukan, untuk menjaga agar tidak terjadi hubungan singkat (short circuit), kebakaran, salah letak jaringan atau terputusnya aliran listrik ke komputer sehingga hal ini akan berdampak buruk terhadap kelancaran operasional.
Prosedur
16
Instalasi sistem perkabelan harus ditaruh dibawah raise-floor dan ditata rapi agar tidak mengakibatkan keruwetan dalam sistem perkabelan ini. Memberikan label keterangan pada kedua ujung kabel untuk setiap kabel yang baru di install. Pihak ketiga yang melakukan instalasi perkabelan harus seijin dan diawasi oleh petugas Unit Pengelola Sistem Informasi.
3.2 Pengamanan Fisik dari Aktivitas Pihak Internal Pengertian dari internal adalah semua personil Unit Pengelola Sistem Informasi yang berinteraksi secara fisik baik langsung maupun tidak langsung terhadap aset yang dimiliki Unit Pengelola Sistem Informasi. Pengamanan meliputi Ruangan Komputer, Akses Kontrol, Perangkat Komputer Server, Ruang Penyimpanan Media Backup, Portable Asset, Air Conditioning, Cabling System, Fire Protection dan Environment Monitoring System.
3.2.1 Ruangan Komputer Segala bentuk aset perusahaan yang berada dalam pengelolaan dan pengawasan Unit Pengelola Sistem Informasi harus diberikan perlindungan dari pencurian, kerusakan dan penggunaan yang tidak berhak. Perangkat-perangkat penting perusahaan seperti komputer server dan alat penyimpan data dapat ditempatkan pada ruangan khusus. Secara umum ruangan komputer harus memenuhi kriteria : a.
Ruangan komputer tidak berada di lantai public area.
b.
Lantai menggunakan raise-floor, atap tidak bocor dan lantai bebas dari banjir.
c.
Pintu keluar masuk ruangan menggunakan akses kontrol dan harus selalu tertutup rapat.
d.
Kaca dibuat permanen (tidak bisa dibuka tutup) dan tidak tembus sinar matahari langsung.
e.
Ruang komputer harus bebas rokok.
f.
Dilengkapi dengan sistem alarm, emergency lamp, Fire Protection System serta alat monitoring lingkungan (suhu, kelembaban udara atau catu daya).
Prosedur 1.
Setiap personil Unit Pengelola Sistem Informasi yang akan memasuki Ruang Komputer harus menggunakan Akses Kontrol dan pintu harus senantiasa ditutup kembali.
2.
Setiap orang yang berada dalam Ruang Komputer harus menaati peraturan yang sudah ditetapkan oleh menajemen setempat.
3.
Setiap petugas yang akan bekerja di Ruang Komputer harus berdasarkan prosedur yang sudah disepakati serta berdasarkan SOP/SMP yang ada.
4.
Setiap orang dilarang makan/minum di Ruang Komputer
5.
Setiap orang yang memasuki Ruang Komputer harus membuka sepatu dan menggunakan sandal/sepatu khusus untuk Ruang Komputer.
17
3.2.2 Akses Kontrol Setiap Ruang Komputer harus dilengkapi dengan fasilitas akses kontrol untuk mengidentifikasi kegiatan personil atau orang yang keluar masuk ruang komputer serta untuk mengamankan dan melindungi aset perusahaan dimana aset yang ada berupa perangkat komputer, data dan sarana penunjang lainnya yang sangat dibutuhkan oleh Perusahaan. Untuk mencegah hal tersebut maka : a.
Secara berkala harus dilakukan maintenance dan pengecekan perangkat akses kontrol.
b.
Data personil pada akses kontrol harus selalu yang terakhir.
c.
Menyediakan perangkat komputer yang dedicated khusus untuk akses kontrol.
d.
Perangkat komputer yang mengendalikan akses kontrol diberi password dan secara berkala password diganti. Pengaturan password mengacu pada Manajemen Password Sekuriti Sistem Informasi.
Prosedur 1.
Kartu akses merupakan tanggung jawab pribadi dan tidak diperkenankan untuk dipinjamkan kepada orang lain.
2.
Masing-masing personil diberi priviledge akses ruangan sesuai dengan tugas dan wewenang bagiannya masing-masing.
3.
Jika terjadi perubahan data akibat dari adanya mutasi pegawai harus disertai dengan permintaan dari pejabat yang bertanggung jawab terhadap sekuriti akses kontrol.
3.2.3 Perangkat Komputer Server Semua data dan sistem informasi perusahaan tersimpan dalam perangkat computer server, untuk itu perlu dilakukan upaya dalam melindungi dan mengamankan server tersebut dari penggunaan yang tidak berhak atau hal lain yang dapat menimbulkan terjadinya kerusakan sistem dan data. Upaya yang perlu dilakukan dalam mengamankan dan melindungi perangkat komputer server ini adalah dengan menempatkan pada ruangan yang mempunyai akses control serta mencantumkan identitas dari masing-masing perangkat komputer server. Prosedur 1.
Setiap perangkat komputer server harus diberi label identitas.
2.
Sebelum melakukan aktivitas yang berakibat pada perubahan konfigurasi komputer server harus diadakan analisa terhadap dampak yang mungkin timbul.
3.
Mendokumentasikan dalam buku log segala aktivitas yang telah dilakukan.
4.
Petugas Unit Pengelola Sistem Informasi wajib mendampingi personil diluar Unit Pengelola Sistem Informasi apabila akan melakukan suatu pekerjaan yang berkaitan dengan mesin server.
3.2.4 Tempat Penyimpanan Media Backup dan Backup Site
18
Adalah tempat menyimpan data hasil backup yang tersimpan dalam suatu media backup baik yang ada di tempat komputer itu berada (backup on-site) dan atau di luar area dimana lokasi tersebut yang telah ditetapkan (backup off-site), hal ini dimaksudkan untuk menanggulangi data operasional yang berada di lokasi Unit Pengelola Sistem Informasi rusak, hilang atau terjadi kondisi force majeur. Untuk mengantisipasi hal tersebut, maka diperlukan suatu tempat penyimpanan media backup yang memenuhi persyaratan suhu, kelembaban udara dan pencahayaan serta menyediakan buku log untuk pencatatan keluar masuk media backup tersebut.
Prosedur 1.
Mengisi buku log yang telah disediakan.
2.
Membuat berita acara keluar masuknya media backup dari tempat penyimpanan.
3.
Penyimpanan media tape atau catridge ke lokasi off-site backup harus dilakukan oleh minimal dua orang dengan sarana transportasi yang aman.
4.
Selalu diadakan pengetesan rutin terhadap kondisi media backup.
5.
Pada media backup harus dicantumkan identitas yang jelas untuk memudahkan penyimpanan dan pencariannya.
3.2.5 Portable Aset Merupakan perangkat penunjang operasional berupa komputer yang dapat dipindahkan secara mudah, dimana perangkat tersebut berisi informasi atau data perusahaan, sehingga perlu adanya suatu penanganan khusus, jika akan dipergunakan di luar lingkungan unit pengelola sistem informasi.
Prosedur 1.
Untuk pengamanannya, maka data informasi yang terdapat di dalam computer tersebut harus diamankan agar tidak dapat dipergunakan atau diakses oleh pihak yang tidak berwenang.
2.
Untuk portable asset yang digunakan oleh perorangan, maka penanggung jawabnya adalah pegawai yang bersangkutan.
3.
Untuk portable asset yang digunakan secara bersama-sama, penanggung jawabnya adalah Manajemen setempat.
3.2.6 Uninterruptable Power Supply ( UPS ) Perangkat komputer memerlukan catuan listrik yang cukup stabil dan juga tidak terputus dari sumber listrik PLN atau genset untuk kontinuitas operasionalnya. Guna mengantisipasi kelangsungan dan kestabilan catuan listrik tersebut, maka diperlukan adanya suatu sarana penunjang lain berupa UPS. Pengamanan terhadap perangkat ini dapat dilakukan dengan cara: a.
Perangkat diletakkan pada suatu tempat yang aman dengan dilengkapi Air Conditioner.
b.
Grounding sistem catu daya harus memenuhi persyaratan spesifikasi teknis perangkat komputer.
19
c.
Harus dilakukan pemeliharaan secara rutin.
Prosedur 1.
Keluar masuk ruangan tempat UPS bagi pihak eksternal harus dengan seijin petugas yang bertanggung jawab terhadap operasional UPS serta didampingi petugas yang bersangkutan dan harus mengisi buku log.
2.
Dilengkapi dengan fasilitas untuk memonitor dan mengontrol kondisi UPS yang mudah terlihat.
3.
Apabila dalam melakukan maintenance diperlukan suatu pemutusan aliran listrik terhadap UPS tersebut, maka harus ada ijin dari penanggung jawab Unit Pengelola Sistem Informasi.
4.
Harus ada pemberitahuan terlebih dahulu kepada user, jika akan dilakukan pemutusan aliran listrik dan waktu pelaksanaannya akan dilakukan diluar jam kerja.
5.
Mengadakan pengukuran berkala terhadap sistem catu daya.
3.2.7 Air Conditioner ( AC ) Perangkat air conditioner dibutuhkan untuk mengkondisikan suhu ruangan computer sesuai dengan yang dipersyaratkan oleh perangkat yang ada di dalam Ruang Komputer (server, storage, media backup dan sebagainya). Untuk pengamanan air conditioner tersebut dapat dilakukan dengan cara: a.
Perangkat diletakkan pada suatu tempat yang aman.
b.
Harus dilakukan pemeliharaan secara rutin.
Prosedur 1.
Melakukan monitoring AC secara rutin.
2.
Harus dilakukan pemeliharaan secara rutin.
3.
Memasang alat pengukur suhu dan kelembaban pada setiap ruangan komputer.
3.2.8 Cabling System Pengamanan terhadap perkabelan baik catuan listrik maupun jaringan komputer yang berada di ruangan Unit Pengelola Sistem Informasi perlu dilakukan, untuk menjaga agar tidak terjadi hubungan singkat (short circuit), kebakaran, salah letak jaringan atau terputusnya aliran listrik ke komputer yang akan berdampak buruk terhadap kelancaran operasional. Instalasi sistem perkabelan harus ditata rapih dan diletakkan dibawah raise-floor.
Prosedur 1.
Setiap perkabelan harus memiliki label.
2.
Penempatan dan penataan kabel harus sesuai dengan jalur telah ditentukan
3.2.9 Fire Protection
20
Fire protection harus tersedia dalam suatu ruang komputer dengan spesifikasi khusus bagi perangkat komputer yaitu bahan/material yang dipakai oleh fire protection harus menggunakan bahan/material yang ramah terhadap lingkungan dan telah direkomendasikan oleh pemerintah Republik Indonesia serta tidak mengakibatkan kerusakan pada komponen perangkat komputer.
Prosedur 1.
Penempatan peralatan fire protection harus ditempatkan pada lokasi yang aman.
2.
Pemeliharaan fire protection harus dilakukan secara rutin/berkala.
3.2.10 Environment Monitoring System ( EMS ) Perangkat yang digunakan untuk mengontrol suhu, asap, api, air dan kelembaban dalam ruangan komputer, dimana hasil kontrol ini secara langsung dapat dihubungkan dengan fasilitas telepon. Perangkat ini digunakan sebagai langkah pencegahan untuk menghindari terjadinya kerusakan perangkat komputer beserta peripheralnya. Upaya yang dapat dilakukan dalam pengamanan perangkat ini adalah dengan secara rutin memelihara kondisinya serta menempatkannya dalam suatu tempat yang aman. Perangkat ini dipersyaratkan untuk dilengkapi guna menunjang operasional suatu ruangan komputer.
3.2.11 Kelengkapan Kesehatan dan Keselamatan Kerja (K3) Petugas Unit Pengelola Sistem Informasi. Kelengkapan K3 sebagai salah satu persyaratan yang harus dipenuhi dalam operasional Unit Pengelola Sistem Informasi. Perlengkapan K3 standard minimal untuk suatu ruang komputer : 1. Baju dingin (jaket, sweater dan sejenisnya). 2. Perlengkapan P3K (Pertolongan Pertama Pada Kecelakaan). 3. Extra Voeding (makanan/minuman bergizi).
IV SEKURITI SISTEM INFORMASI Untuk menjamin kesinambungan, ketersediaan sistem informasi serta integritas, keamanan dan kerahasiaan sistem informasi, maka diperlukan adanya perlindungan terhadap penggunaan seluruh aset sistem informasi meliputi infrastruktur, aplikasi dan sarana penunjang dari segala macam penyalahgunaan hak akses, penyingkapan data, modifikasi, manipulasi serta pengrusakan data. Pengamanan sistem informasi ini harus memenuhi persyaratan Standard Sekuriti Minimum (SSM) yang telah ditetapkan oleh PT. X.
Tingkatan Standard Sekuriti Minimum
21
Semua komputer yang ada di lingkungan PT. X harus memenuhi Standard Sekuriti Minimum Sistem Informasi. SSM sistem informasi di PT. X dibagi menjadi : a. Dari Akses Fisik (Jaringan) a. Tingkat 0
Tidak ada Sekuriti sistem informasi. Tingkat 0 adalah sangat berbahaya dan beresiko tinggi.
b. Tingkat 1
Tingkat minimum untuk suatu sistem komputer yang berdiri sendiri (stand alone PC) atau LAN yang tidak terhubung ke WAN (TelkomNet).
c. Tingkat 2
Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung ke WAN (TelkomNet).
d. Tingkat 3
Tingkat minimum untuk suatu sistem workstation atau LAN yang terhubung ke WAN (TelkomNet) dan juga langsung terhubung ke gerbang Internet Internasional tanpa melalui Firewall.
b. Dari Akses Logik (Data) a. Tingkat 0
Hanya
bisa
mengakses
data
milik
pribadi
di
workstation
yang
bersangkutan. b. Tingkat 1
Bisa mengakses data yang bersifat umum melalui Intranet atau Sharing File/Direktori yang dibuka untuk umum (public).
c. Tingkat 2
Bisa mengakses data setelah mempunyai user id melalui
proses
pendaftaran user. d. Tingkat 3
Bisa mengakses seluruh data corporate. Level ini hanya dimiliki oleh user tertentu saja.
Prosedur pengamanan Sekuriti sistem informasi meliputi: 1. Sistem Operasi 2. Manajemen User 3. Manajemen Password 4. Database 5. Aplikasi 6. Data
4.1 Sistem Operasi Sistem Operasi selanjutnya disingkat O/S. Prosedur Pengamanan Sekuriti Sistem Operasi 1.
Setiap user yang akan mengakses sistem informasi harus memiliki user account.
2.
Operating System yang digunakan di lingkungan perusahaan harus memiliki lisensi.
3.
Operating System harus dapat memanage User dan Password.
4.
Operating System harus dapat memanage File, Direktori, Devices dan Peripheral lainnya.
22
5.
Operating System harus memiliki security patch yang diakui oleh badan internasional.
6.
Security Patch tersebut harus sudah terinstall ke dalam sistem komputer PT. X sebelum sistem komputer tersebut dinyatakan produksi.
7.
Operating System harus memiliki sistem audit yang bisa memantau dan merekam setiap aktivitas user yang logon.
8.
Operating System harus mampu mengatur batch proses agar dapat berjalan seefisien mungkin tanpa mengganggu proses operasional lainnya.
9.
Operating System harus mampu membuat roles, profile atau group sehingga mampu mengelompokkan user sesuai tingkat kewenangan hak aksesnya.
10. Operating System harus mampu melakukan reset password untuk kondisi-kondisi tertentu. 11. Setelah selesai mengakses sistem informasi dan seluruh aktivitas selesai, user harus log off dari sistem terkait. 12. Operating System harus memiliki mekanisme log off otomatis, jika user tidak ada aktivitas selama kurun waktu tertentu: a.
Pengamanan terendah adalah dengan mengaktifkan screen saver dengan proteksi
b.
Untuk user yang memiliki kewenangan tertinggi diberlakukan log off otomatis bila
password (password protection).
tidak ada aktivitas selama 5 (lima) menit berturut-turut. 13. Operating System harus dapat menghalangi setiap tindakan yang mencoba melakukan reboot dari remote terminal (terminal lain yang tidak satu lokasi). 14. Operating System harus dapat membatasi user yang akses dari remote terminal. 15. Aktivitas pihak ketiga yang mengakses Operating System harus seiijin manajemen SISFO/DIV TI serta dilakukan di lokasi milik PT. X dan berbatas waktu. 16. Prosedur upgrade versi terbaru dari suatu Sistem Operasi harus dievaluasi agar dampaknya tidak mengganggu operasional aplikasi yang berjalan di Sistem Operasi tersebut. Hal-hal yang perlu diperhatikan antara lain: a.
Aplikasi harus dapat berjalan pada O/S versi terbaru.
b.
Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.
c.
Harus dilakukan backup terlebih dahulu, baik sistem maupun data.
d.
Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara aplikasi harus tetap operasional.
e.
Harus diketahui lama waktu yang dibutuhkan untuk upgrade.
f.
Harus dilakukan penjadualan dalam melakukan upgrade .
g.
Perlu adanya sosialisasi dalam hal knowledge.
17. Jika ada perangkat lunak yang diinstall ke dalam suatu O/S dan ternyata bertentang dengan prosedur sekuriti, maka perangkat lunak tersebut harus dicatat dan dipertimbangkan untuk
23
tidak digunakan. Jika terpaksa tetap dipakai, maka pengawasan terhadap penggunaan perangkat lunak ini harus diperketat. 18. Berita
acara
serah
terima
instalasi/upgrade
O/S
harus
dibuat
setelah
pekerjaan
instalasi/upgrade selesai dilaksanakan dan dilaporkan ke manajemen. 19. Backup terhadap O/S harus dilakukan pada saat setelah instalasi pertama kali, sebelum dan setelah dilakukan upgrade, penambahan patch atau adanya perubahan di dalam O/S. Hasil backup disimpan di lokasi on-site dan atau off-site.
4.2 Manajemen User Merupakan proses pengaturan dan pengendalian hak akses serta otoritas user pada suatu sistem komputer untuk melindungi sistem dari user yang tidak berhak atau berwenang. Pengaturan dan pengendalian hak akses serta otoritas user ini dilakukan pada level O/S atau aplikasi.
DIAGRAM ALIR PROSES PEMBUATAN USER
Prosedur Manajemen User Prosedur manajemen user account 1.
Penanggung jawab user account harus dapat diidentifikasikan.
2.
Harus memperhatikan tingkat kebutuhan user yang sesuai dengan tingkat otorisasi dalam mengakses sistem informasi.
3.
Tidak boleh ada user account yang mempunyai priviledge setingkat superuser.
24
4.
Otoritas read only diberikan kepada user account lain yang akan mengakses data yang dishare.
5.
Harus tersedia user account untuk penggunaan sementara waktu dengan priviledge dan waktu yang terbatas.
6.
Penggunaan user oleh pihak ketiga harus tercatat dan seijin manajemen Unit Pengelola Sistem Informasi terkait serta pemberian ijin aksesnya harus di lokasi milik Unit Pengelola Sistem Informasi, ditemani oleh petugas Unit Pengelola Sistem Informasi dan berbatas waktu.
7.
Mengaktifkan fungsi quota/limitasi/profile dalam pemakaian resource.
8.
Hak akses user account harus dilakukan perubahan apabila yang bersangkutan mutasi.
Hak akses user account akan dihapus/dinonaktifkan permanen apabila : 1.
Yang bersangkutan berhenti bekerja atau pensiun.
2.
Terjadi perubahan jabatan dan perubahan wewenang.
3.
Cuti untuk waktu yang lama, maka user account akan diaktifkan kembali setelah ada pemberitahuan dari atasan yang bersangkutan.
4.
Tidak menggunakan hak aksesnya lebih dari 90 hari berturut-turut akan dinonaktifkan untuk sementara.
5.
Setiap user account yang tidak aktif atau tidak dipakai selama 120 hari berturut-turut atau 30 hari setelah dinonaktifkan maka user account tersebut akan dihapus.
6.
Berada dalam proses hukum.
7.
Penghapusan/penonaktifan sementara dilakukan segera setelah informasi status user (poin 1 s.d 6) diterima.
8.
Penghapusan atau penonaktifan hak akses Sistem Informasi dilakukan berdasarkan informasi tertulis dari manajemen setempat yang mampunyai kewenangan untuk menentukan menghapus atau menonaktifkan user, dan/atau berdasarkan permintaan tertulis dari pemilik data/aplikasi.
Daftar user penerima hak akses beserta tingkat kewenangannya harus tersimpan di lokasi sistem informasi terkait dan dievaluasi minimal 1 tahun sekali.
Prosedur Manajemen User System / Super User 1.
Penggunaan superuser harus dibatasi, mengingat superuser memiliki akses penuh terhadap sistem informasi terkait.
2.
Tidak boleh ada user lain setingkat super user selain user root dan administrator (NT), field (DEC).
3.
Penanggung jawab user root adalah System Programming atau atas penunjukan manajer Unit Pengelola Sistem Informasi setempat.
4.
Aktivitas user yang akan login ke superuser harus dibatasi dan direkam.
25
5.
Penggunaan user root oleh pihak ketiga pada kondisi tertentu hanya diperbolehkan setelah mendapat ijin tertulis dari pihak Manajemen Unit Pengelola SISFO/ DIV TI.
6.
Penggunaan user root oleh pihak ketiga tersebut harus dibatasi waktu penggunaannya dan pada saat penggunaannya harus diawasi oleh staf Unit Pengelola SISFO/ DIV TI.
7.
Penggunaan user root oleh pihak ketiga tersebut hanya boleh dilakukan di lokasi PT.X (di console terminal server) dan tidak boleh di lokasi remote.
8.
Setiap kegiatan pihak ketiga dalam menggunakan user root harus dicatat dalam log book khusus.
9.
Sharing user root harus sepengetahuan Manajemen Unit Pengelola Sistem Informasi.
4.3 Manajemen Password Merupakan metode pengamanan hak akses dari orang yang tidak berhak menggunakannya, artinya password merupakan alat authentifikasi pada saat user masuk ke dalam sistem. Setiap user-id harus memasukkan password sebelum masuk ke sistem. Password biasanya dibuat oleh Super-user / System Administrator / System Programmer sebagai pemegang otoritas tertinggi pada sistem operasi.
Prosedur Manajemen Password untuk user biasa 1.
Password hanya boleh diketahui oleh pemiliknya. Jika diketahui oleh orang lain maka harus segera diganti.
2.
Kesalahan
user
sampai
batas
maksimum
dalam
memasukkan
password
dapat
mengakibatkan user tersebut log out dari sistem dan dikenai lock (user tidak boleh lagi login sampai dia memberitahukan ke pemegang otoritas sistem). 3.
Penggunaan password oleh pihak ketiga harus seiijin manajer Unit Pengelola Sistem Informasi terkait dan berbatas waktu kemudian sesudahnya harus segera diganti.
4.
Metode Penulisan Password a.
Password harus memiliki panjang minimal 6 karakter.
b.
Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih dari 2 secara berurutan.
c.
Password tidak boleh : blank (kosong), sama dengan user ID, nama atau inisial pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja atau yang terkait.
d.
Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan password sebelumnya.
e.
Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya password.
5.
Metode Pengaturan Password
26
a.
Default
password
harus
segera
diubah
manakala
pemakai
menggunakan
sistem/user ID untuk pertama kalinya. b.
Password harus memiliki expiration date dalam periode tertentu, tergantung kepada tingkat resiko dari sistem informasi yang diakses. i.
untuk sistem informasi dengan resiko tinggi, minimal setiap 30 hari
ii.
untuk sistem informasi dengan resiko menengah, minimal setiap 90 hari/3 bulan.
iii.
untuk sistem informasi dengan resiko rendah, dibuat sesuai permintaan kebutuhan.
c.
Penggunaan kembali password yang sama harus diatur dalam suatu siklus, misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh: Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa digunakan kembali setelah 4 kali perubahan dilakukan.
d.
Untuk perubahan password, konfirmasi password lama harus dimintakan sebelum pembuatan password baru.
6.
Penyimpanan Password a.
Password pribadi harus diingat atau disimpan di tempat yang aman yang tidak dapat diketahui oleh orang yang tidak berwenang dan tidak di “share” dengan orang lain.
b.
Pada situasi dimana password harus di share, password harus disimpan dibawah dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap sistem.
c.
File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.
d.
Fasilitas reset password hanya boleh dilakukan oleh Super User setelah user yang bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya, alasan reset password serta jelas identitas pemilik user tersebut.
7.
Setiap permintaan reset password didahului oleh proses autentifikasi user.
Prosedur Manajemen Password untuk user System/ Super User 1.
Password hanya boleh diketahui oleh System Programmer/System Administrator/DBA serta disimpan dalam amplop khusus yang disimpan oleh Manajemen Unit Pengelola Sistem Informasi. Jika diketahui oleh orang lain maka harus segera diganti.
2.
Khusus untuk aplikasi S dimana membutuhkan fasilitas untuk sharing user dan password maka perlu mekanisme tersendiri yang diatur oleh manajemen Unit Pengelola Sistem Informasi setempat.
3.
Kesalahan
user
sampai
batas
maksimum
mengakibatkan user tersebut log out dari sistem.
dalam
memasukkan
password
dapat
27
4.
Penggunaan password oleh pihak ketiga harus seiijin manajer PUSKOM/SISFO terkait dan berbatas waktu kemudian sesudahnya harus segera diganti.
5.
Metode Penulisan Password a.
Password harus memiliki panjang minimal 8 karakter.
b.
Karakter password harus terdiri dari kombinasi huruf besar, huruf kecil, angka dan non alphanumeric karakter serta tidak boleh menggunakan karakter yang sama lebih dari 2 secara berurutan.
c.
Password tidak boleh blank (kosong), sama dengan user ID, nama atau inisial pengguna, nama organisasi, atau nama yang umum digunakan di lingkungan kerja atau yang terkait.
d.
Password baru tidak boleh memiliki 4 karakter berurutan yang sama dengan password sebelumnya.
e.
Saat diketikkan password tidak boleh terbaca di layar, field password digantikan oleh karakter dummy (mis. Asterisk) dan tidak mengindentifikasikan panjangnya password.
6.
Metode Pengaturan Password a.
Default password harus segera diubah, jika user menggunakan sistem/user ID untuk pertama kalinya.
b.
Password harus memiliki expiration date dalam periode tertentu, tergantung kepada tingkat resiko dari sistem informasi yang diakses. i.
untuk sistem informasi dengan resiko tinggi, minimal setiap 30 hari
ii.
untuk sistem informasi dengan resiko menengah, minimal setiap 90 hari/ 3 bulan
iii.
untuk sistem informasi dengan resiko rendah, dibuat sesuai permintaan kebutuhan.
c.
Penggunaan kembali password yang sama harus diatur dalam suatu siklus, misalnya 4 siklus untuk kebijakan perubahan dalam waktu 90 hari. Contoh: Abcd#12W, qwEr$123, Tyop_453, Idis14U4, IoU$1250. Password Abcd#12W bisa digunakan kembali setelah 4 kali perubahan dilakukan.
d.
Untuk perubahan password, konfirmasi password lama harus dimintakan sebelum pembuatan password baru.
7.
Penyimpanan Password a.
Password root/superuser sebaiknya diingat atau disimpan di tempat yang aman yang tidak dapat diketahui oleh orang yang tidak berwenang dan tidak di “share” dengan orang lain.
b.
Pada situasi dimana password harus di share, password harus disimpan dibawah dua pengawasan, sehingga tidak seorang pun memiliki akses tunggal terhadap sistem.
28
c.
File atau tabel yang berisi password harus dienkripsi serta kewenangan membaca dan menulis ke file tersebut hanya boleh dimiliki oleh superuser.
8.
Fasilitas reset password hanya boleh dilakukan oleh System Administrator setelah user yang bersangkutan melapor. Aktivitas reset password harus tercatat kapan terjadinya, alasan reset password serta user tersebut milik siapa.
4.4 Sekuriti database Database memiliki tingkat sekuriti sendiri sehingga dengan demikian suatu database sistem informasi memungkinkan untuk memiliki 2 atau lebih level sekuriti, yaitu sekuriti level O/S dan sekuriti level database. Meskipun bisa saja sekuriti level O/S-nya diabaikan pada suatu sistem informasi yang menggunakan topologi Client/Server (two-tier), dimana pada topologi ini user dapat langsung mengakses database tanpa melalui level O/S-nya server database. Sehingga pada topologi Client/Server ini sekuriti database benar-benar tergantung pada database itu sendiri (lihat Tabel).
Pada dasarnya O/S tidak akan melindungi data yang ada di database, sehingga database harus dapat melindungi dirinya sendiri, untuk itu kemampuan suatu database dalam hal sekuriti harus menjadi salah satu perhatian dalam pemilihan DBMS (Database Management System).
Database juga memiliki manajemen user sendiri yang aturan dasarnya hampir sama dengan level O/S, hanya saja untuk mengakses database memerlukan tools atau aplikasi tambahan sebelum user benarbenar bisa mengakses. Untuk itu pembagian sekuriti pada database adalah tergantung dari topologi yang dipakai.
Tabel Pembagian Sekuriti Berdasarkan Topologi
TOPOLOGI
DESCRIPTION
SECURITY LEVEL
One-tier
User dapat mengakses database hanya setelah login melalui user O/S dan user O/S tersebut memiliki hak untuk mengakses database.
Sekuriti ada di level O/S dan Database
Client/Server (two-tier)
User database dapat mengakses data tanpa melalui level O/S, tetapi terminal user harus memiliki tools/aplikasi untuk akses database.
Sekuriti ada di level Database
Three-tier
User tidak dapat langsung mengakses database, user hanya bisa mengakses data yang sudah disediakan oleh aplikasi. Server Aplikasilah yang mengakses ke database.
Sekuriti ada di level Server Aplikasi dan Database.
29
Prosedur Implementasi Pengamanan Database 1.
Database yang digunakan untuk aplikasi produksi haruslah database yang memiliki lisensi.
2.
Password yang disimpan oleh database dalam bentuk tabel atau view harus dienkripsi oleh database tersebut.
3.
Pengaturan hak akses harus mengacu pada roles/privileges yang sudah ditentukan.
4.
Tidak diperbolehkan ada user non-DBA memiliki roles/privileges DBA.
5.
User-id dan password dari user O/S yang menginstall database harus aman dari penggunaan oleh orang yang tidak berhak.
6.
Default password hasil instalasi harus diganti sebelum database dinyatakan produksi.
7.
Membuat profile untuk mengatur user, seperti kapan boleh login, kapan harus ganti password, tabel mana yang boleh diakses dan sebagainya.
8.
Mengaktifkan fungsi audit-trail yang ada di database. Fungsi ini perlu diperhatikan karena jika aktif maka space disk akan selau bertambah besar. Sehingga mungkin hanya diaktifkan pada saat database diakses oleh user yang memiliki priviledge yang tinggi.
9.
Daftar user harus senantiasa dibuatkan reportnya setiap 3 (tiga) bulan sekali untuk keperluan auditing license.
10. Akses database secara otomatis dari database lain harus sepengetahuan DBA masingmasing database. 11. Perubahan yang terjadi pada level aplikasi harus senantiasa dilaporkan ke DBA untuk diperiksa ada tidaknya pengaruh perubahan terhadap sekuriti database. 12. Proses upgrade database harus memperhatikan : a.
Aplikasi harus dapat berjalan pada DBMS versi terbaru.
b.
Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.
c.
Harus dilakukan backup terlebih dahulu.
d.
Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara aplikasi harus tetap operasional.
e.
Harus diketahui lama waktu yang dibutuhkan untuk upgrade.
f.
Harus dilakukan penjadualan dalam melakukan upgrade
g.
Perlu adanya sosialisasi dalam hal knowledge.
13. Setelah selesai dilakukan instalasi/upgrade maka harus selalu dibuatkan Berita Acara pelaksanaan kegiatan instalasi/upgrade dan dilaporkan ke manajemen. 14. Backup
terhadap
database
harus
dilakukan
secara
terjadwal
(Harian/Mingguan/Bulanan/Tahunan) baik backup secara fisik maupun logic sesuai kebutuhan aplikasi yang mengaksesnya.
30
15. Hasil Backup disimpan dilokasi onsite dan atau offsite untuk menghindari hal-hal yang tidak diinginkan. 16. Prosedur restore database produksi harus mendapatkan ijin dari manajemen Unit Pengelola Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.
4.5 Sekuriti Aplikasi
Akses terhadap aplikasi dibagi menjadi 3 level : 1. Administrator Administrator memiliki otoritas tertinggi dalam mengatur, membuat dan mengawasi user dan aplikasi. 2. User User memiliki hak akses dan otoritas terhadap aplikasi sesuai dengan kebutuhannya dan wewenang yang diberikan oleh Administrator. 3. Guest Guest memiliki hak akses paling minimum yang mungkin diberikan oleh aplikasi.
Prosedur sekuriti aplikasi 1.
Setiap Aplikasi atau layanan Sistem Informasi yang akan produksi harus sudah melewati pengujian sekuriti oleh unit pengelola Sistem Infromasi setempat dengan mengacu kepada standard Sekuriti yang berlaku.
2.
Administrator harus mencatat setiap aktivitasnya dalam manajemen user, meliputi : a.
Setiap penambahan dan penghapusan user account;
b.
Setiap perubahan terhadap user account, misalnya menyangkut hak aksesyang diberikan.
c.
Setiap reset password yang dilakukan, harus atas permintaan user dengan identitas user yang jelas.
3.
Aturan aplikasi harus dibuat sebagai alat untuk membatasi kewenangan user dalam menggunakan aplikasi.
4.
Memberikan quota bagi user dalam menggunakan resource aplikasi.
5.
User harus mempunyai profile sesuai dengan tingkat kewenangannya.
6.
User harus memelihara passwordnya agar jangan sampai diketahui dan dimanfaatkan oleh pihak lain.
7.
Aplikasi yang digunakan harus memiliki lisensi.
8.
Aplikasi yang terinstall di terminal user harus dijaga dari penggunaan orang yang tidak berhak oleh pemilik/penanggung jawab terminal tersebut.
9.
Default user aplikasi adalah no-access.
31
10. Setiap usaha untuk login ke aplikasi yang gagal autentifikasinya direkam dan dilaporkan ke manajemen. Selanjutnya user tersebut di-lock sampai ada permintaan resmi dari user yang bersangkutan. 11. User Guest harus memiliki hak paling minimum dalam mengakses aplikasi. 12. File atau tabel yang berisi daftar user dan password harus dienkripsi. 13. Upgrade aplikasi harus memperhatikan : a.
Aplikasi harus dapat berjalan pada DBMS versi terbaru.
b.
Kapasitas disk server harus dapat memenuhi kebutuhan tersebut.
c.
Harus dilakukan backup terlebih dahulu.
d.
Harus memiliki skenario penanggulangan, jika proses upgrade gagal sementara aplikasi harus tetap operasional.
e.
Harus diketahui lama waktu yang dibutuhkan untuk upgrade.
f.
Harus dilakukan penjadualan dalam melakukan upgrade .
g.
Perlu adanya sosialisasi dalam hal knowledge.
14. Berita Acara hasil instalasi/upgrade aplikasi harus dibuat setelah selesai pekerjaan installasi/upgrade aplikasi dan dilaporkan ke manajemen. 15. Backup terhadap aplikasi harus dilakukan setelah instalasi pertama kali juga sebelum dan sesudah upgrade. 16. Hasil backup harus disimpan di lokasi onsite dan atau offsite. 17. Prosedur restore aplikasi produksi harus mendapatkan ijin dari manajemen Unit Pengelola Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi. 18. Prosedur tambahan untuk masing-masing aplikasi dituangkan dalam SOP/SMP tiap aplikasi.
4.6 Sekuriti data Data yang disimpan dapat berupa dokumen tertulis (hardcopy) maupun yang berupa dokumen elektronik (softcopy).
Prosedur pengamanan untuk dokumen tertulis 1.
Dokumen dikelompokkan dan disimpan dalam bentuk binder atau dibundel kemudian diberi label dan disimpan dalam lemari yang terkunci.
2.
Dokumen tersebut harus dijaga oleh manajemen terkait.
3.
Dokumen tersebut harus mencantumkan siapa yang mengupdate terakhir kali, revisi yang keberapa dan tanggal terakhir dibuat.
4.
Jika
dokumen
tersebut
digandakan,
maka
hasil
penggandaannya
harus
“UNCONTROLLED” artinya isinya sudah bukan menjadi tanggung jawab penyusun.
ditandai
32
Dokumen elektronik berupa file atau direktori, perlindungan terhadap file dan direktori pada suatu sistem file sangat penting dalam menjaga kerahasiaan, ketersediaan dan keutuhan dari informasi yang berada pada sistem.
Perlindungan yang berlebihan terhadap file atau direktori pada satu sistem file, meskipun dapat menjaga kerahasiaan, ketersediaan dan keutuhannya namun menyebabkan system tersebut sulit digunakan. Untuk hal itu perlu adanya keseimbangan antara aspek perlindungan sekuriti dan kemudahan dalam pengoperasiannya.
Prosedur pengamanan untuk dokumen elektronik : 1.
Dokumen yang disimpan secara elektronik hanya boleh diakses oleh authorized user.
2.
Jika ada orang lain yang akan mengakses data tersebut maka pemilik data harus mengamankannya dengan memberikan proteksi pada dokumen tersebut.
3.
Data yang bersifat rahasia dan disimpan dalam suatu direktori tidak boleh dishare tanpa password dan diberlakukan maximum allowed user (jumlah user maksimum yang mengakses data dalam saat yang bersamaan).
4.
Bila diperlukan untuk akses data, maka dapat diberlakukan pembatasan waktu akses (hanya dalam jam kerja).
5.
Terminal user harus dinon-aktifkan jika yang bersangkutan tidak ada ditempat.
6.
Data rahasia disimpan dalam bentuk enkripsi file.
7.
Pengiriman data yang sifatnya rahasia dari satu terminal ke terminal lain harus menggunakan jaringan yang terpisah dari jaringan publik yaitu berupa jaringan tersendiri dan/atau menggunakan perangkat lunak khusus. (misalnya dengan memanfaatkan fasilitas VPNVirtual Private Network).
8.
Backup terhadap data diperlukan sesuai kebutuhan, jika data sudah dalam bentuk database maka backup akan mengikuti prosedur pengamanan database, tetapi jika data tersebut ada di sisi user maka user sendiri yang melakukan backup ke media lain (disket, ZIP Drive dan sebagainya).
9.
Prosedur restore dokumen elektronik harus mendapatkan ijin dari manajemen Unit Pengelola Sistem Informasi dan harus sesuai dengan SMP/SOP masing-masing aplikasi.
10. Pemberian Data kepada pihak ketiga bisa dilaksanakan sesuai dengan yang diatur dalam PKS serta dilengkapi dengan berita acara yang ditandatangani oleh yang menyerahkan, yang menerima dan disetujui oleh pejabat yang ditunjuk berhak memberikan informasi. 11. Manajemen unit pengelola Sistem Informasi berhak menyetujui untuk menguji prosedur pemberian data kepada pihak ketiga, jika prosedur pemberian data tersebut melanggar sekuriti Sistem Informasi maka Manjemen berhak untuk mengajukan penolakan atau mengeskalasi masalah ke manajemen di atasnya untuk diselesaikan.
33
V ANTI VIRUS Perkembangan internet yang sedemikian cepat dan diiringi dengan pertumbuhan virus yang disebar melalui jaringan internet oleh orang-orang yang tidak bertanggung jawab menyebabkan gangguan pada operasional di lingkungan sistem informasi. Virus bagi sistem komputer merupakan ancaman sekuriti yang sangat serius dan perlu selalu mendapatkan pengawasan. Tujuan utama penciptaan virus adalah melakukan pengrusakan terhadap sistem komputer dan perangkat lunak aplikasi.
Untuk melindungi data, device atau peripheral lainnya yang tersimpan di terminal workstation maupun yang ada di server, maka diperlukan pedoman pengaturan pengamanan sistem informasi dari serangan virus. Kunci penyebab menyebarnya virus melalui akses jaringan yang ditimbulkan dari unsur non teknis yaitu kesadaran user internal dalam mengamankan terminalnya masing-masing dan kepatuhan dalam menjalankan prosedur serta pengrusakan oleh user eksternal melalui jaringan global.
Prosedur Pengamanan Sistem Informasi dari Serangan Virus : 1.
Penanggung jawab pengamanan sistem informasi di terminal user dari serangan virus adalah masing-masing pemilik terminal, sehingga setiap user harus berusaha untuk menjaga terminalnya dari serangan virus dengan melakukan pendeteksian terhadap segala informasi yang di terima dari luar terminalnya (contoh informasi dari luar adalah e-mail, milis, download/FTP dari Internet/Intranet, junk-mail, serta informasi yang diperolah melalui disket dan media penyimpan data lainnya).
2.
Setiap terminal user yang terintegrasi dalam suatu LAN harus memiliki Anti Virus dan diaktifkan setiap terjadi interaksi dengan jaringan.
3.
DIV TI menyediakan suatu sistem Anti Virus bagi terminal user yang terhubung ke jaringan di server Anti Virus yang akan mengupdate secara otomatis ke terminal user dan diharapkan dapat memproteksi sistem dari virus-virus baru yang sudah terdaftar di database Anti Virus.
4.
Pengamanan terhadap terminal user selanjutnya tergantung kepada user yang bersangkutan untuk mengaktifkan Anti Virus setiap terjadi interaksi dengan jaringan dan device lainnya.
5.
Setiap Anti Virus mendeteksi adanya kegiatan virus di terminal maka user harus segera mengusahakan pembersihan virus (cleaning), dan memastikan kembali bahwa data yang diakses sudah bersih dari virus.
6.
Jika user menemukan adanya varian virus baru yang tidak terdeteksi oleh sistem Anti Virus yang disediakan server Anti Virus, user tersebut harus membatalkan transaksi yang berlangsung dan informasi yang diterima tidak boleh diakses. Setelah itu user harus segera melapor ke Help Desk untuk ditindak lanjuti.
34
7.
Install software sistem deteksi virus yang berfungsi untuk memfilter dan mengembalikan email yang mengandung virus sebelum sampai ke penerima. Sistem deteksi virus ini harus selalu diupdate oleh penanggung jawab system anti virus (Unit Pelaksana Sistem Informasi).
Diagram alir dari proses pengamanan terhadap virus seperti diagram di bawah ini.
Diagram Alir Proses Pengamanan terhadap Virus
Spesifikasi minimum software anti virus : 1.
Dapat diintegrasikan dengan paket Microsoft Office.
2.
Dapat mendeteksi dan menangani virus e-mail secara dini (terintegrasi dengan aplikasi mail client).
3.
Mampu mendeteksi dan menangani virus yang menyebar melalui internet (download file).
4.
Memiliki kemampuan updating data virus yang tersentralisasi.
5.
Updating data virus dilakukan secara reguler dan mampu mengatasi laju perkembangan virus komputer dewasa ini.
6.
Seluruh Personal Computer dengan software antivirus yang sudah terinstalasi dijamin memiliki data virus terdini.
35
Alur proses updating anti virus : 1.
Server Software Anti Virus dan sistem deteksi virus (yang diinstall pada Windows NT server) mendapat update langsung dari vendor software bersangkutan melalui internet (biasanya rutin setiap minggu atau apabila ditemukan varian virus baru yang berbahaya)
2.
Client Software Anti Virus (yang diinstall pada Personal Computer) mendapatkan data virus terbaru pada saat logon ke jaringan.
VI AKSES JARINGAN
Dalam sekuriti Sistem Informasi, akses terhadap sistem komputer melalui jaringan komputer baik itu melalui LAN ataupun WAN diperlukan adanya suatu pengaturan khusus. Hal ini dilakukan untuk memberikan perlindungan keamanan terhadap informasi yang terkandung di dalamnya. Sistem keamanan jaringan komputer menjadi sangat penting jika akses jaringan tersebut sudah memasuki jaringan komputer global (internet) yang berarti membuka jalan terhadap kemungkinan pihak-pihak di luar sistem untuk dapat akses ke sistem komputer. Akses terbuka ini akan membuat kondisi sistem yang lebih rawan terhadap ancamandan/atau gangguan.
Untuk menghindari ancaman atau hal-hal yang tidak diharapkan tersebut, maka perlu dilakukan antisipasi dengan memperketat sistem sekuriti terhadap akses jaringan melalui penggunaan perangkat sekuriti (security tools). Untuk control akses jaringan internal (intranet), seluruh perangkat jaringan seperti router, switch, hub dan lain-lain harus diatur dan dikendalikan oleh Manager Sekuriti. Perangkat tersebut harus mengaktifkan kontrol akses untuk merekam dan memantau setiap aktifitas sehingga dapat dipergunakan sebagai informasi untuk keperluan auditing. Tidak ada perangkat jaringan yang terhubung ke jaringan baik LAN maupun WAN, tanpa persetujuan Manager Sekuriti terlebih dahulu.
Sedangkan untuk menjaga keamanan jaringan internal dari akses jaringan eksternal (internet), maka seluruh akses ekternal harus dikendalikan dengan mengunakan filtering trafik. Konsep keamanan yang paling umum digunakan untuk melindungi jaringan dari akses-akses luar yang tidak dikehendaki yaitu dengan menggunakan firewall. Seluruh akses jaringan eksternal ke jaringan internal harus melalui firewall. Disini harus dibuat adanya access list atau filtering untuk incoming dan outgoing packet dari dan untuk tujuan-tujuan (destinations) yang spesifik atau penyediaan fitur NAT (Network Address Translation). Fasiltas filtering yaitu filtering IP Address dan filtering protocol.
36
Dengan diterapkan firewall ini yang ditempatkan antara jaringan intranet dengan jaringan internet, diharapkan akan mencegah atau menghambat kemungkinan-kemungkinan pengrusakan sistem komputer oleh pihak-pihak yang tidak bertanggungjawab.
6.1 Pengamanan akses pada server
Salah satu pengamanan terhadap akses Sistem informasi adalah dengan melakukan proteksi pada Sistem Komputer yang ada, khususnya pada servis-servis yang terdapat di perangkat server. Servis ini merupakan bagian dari Operating System yang dijalankan pada server tersebut.
Akan tetapi servis tersebut akan tetap dijalankan, walaupun tidak semuannya akan dipergunakan karena merupakan standard dari Operating System. Untuk keamanan sistem informasi tersebut, maka sebaiknya servis-servis ditutup jika memang tidak dipergunakan atau diperlukan.
Pada sistem protokol yang mempergunakan TCP/IP, servis-servis yang dimaksud adalah port yaitu alamat tempat dari servis atau aplikasi dijalankan, yang terdiri atas : Servis atau aplikasi
Port
File Transfer Protocol (FTP)
21
Telnet
23
Simple Mail Transfer Protocol (SMTP)
25
Gopher
70
Finger
79
Hypertext Transfer Protocol (HTTP)
80
POP3
110
Network News Transfer Protocol (NNTP)
119
Prosedur 1.
Pastikan fungsi-fungsi yang dibutuhkan atau yang akan dipergunakan pada server tersebut.
2.
Tutup servis-servis atau port-port yang tidak dibutuhkan.
37
3.
Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu servis yang masih aktif.
4.
Aktifkan kembali servis baru tersebut.
Beberapa tools yang juga sering dipergunakan sebagai sistem proteksi pada server adalah dengan TCP_Wrappers pada platform UNIX based, NetGate pada platform SPARC System, Internet Packet Filter pada platform SunOS, Argus pada platform SunOS, Solaris dan SGI IRIX serta NOCOL pada Platform Apple Talk Netware.
6.2 Router dan Switch Hub Router yang merupakan salah satu perangkat yang bekerja pada Network Layer dalam suatu jaringan yang berfungsi sebagai pengatur rute yang optimal untuk melewatkan trafik. Router melewatkan paketpaket data dan akses dari satu network ke network yang lainya dan membuat koneksi antar network sebagai pintu gerbangnya , baik dari jaringan internal maupun jaringan eksternal. Pengaturan lalulintas ini akan disesuaikan dengan table-routing yang diinginkan .
Sistem sekuriti pada router merupakan pengamanan awal dalam suatu jaringan internal, dimana harus diketahui fungsi port yang dipergunakan di dalam router tersebut. Umumnya router memiliki 2 jenis port, yaitu serial port dan ethernet port. Serial port digunakan point to point connection antar router dan ethernet port digunakan untuk koneksi LAN.
Prosedur yang harus dilakukan dalam pengamanan akses pada router yaitu: 1.
Membuat akses username dan password bagi administrator router yang diberikan hanya kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.
2.
3.
Membuat Control access-list, yang terdiri dari : a.
IP Address yang akan digunakan oleh aplikasi tersebut.
b.
IP Address user yang mengakses aplikasi tersebut.
c.
IP Address user yang dimiliki oleh Mitra (didaftarkan di IP Filtering).
d.
Mengatur /mengarahkan jalur trafic.
Mengaktifkan encryption key pada administrator password router baik pada akses console maupun akses telnet.
4.
Membuat back up file konfigurasi, file security dan disimpan di tempat khusus.
5.
Membatasi akses ke router hanya dari terminal / address tertentu.
6.
Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.
7.
Menentukan dan merahasiakan SNMP server community Read /Write pada system administrasi network.
8.
Membatasi akses ke jaringan NMS hanya dari yang berhak.
38
Switch Hub adalah perangkat LAN yang bekerja pada DataLink Layer yang berfungsi untuk menyaring (filter), meneruskan (forward) dan mengalirkan (floods) setiap frame yang diterima ke tujuan masingmasing , switch hub juga merupakan titik awal tersambungnya suatu terminal pada segment LAN.
Prosedur yang harus dilakukan dalam pengamanan akses pada Switch Hub yaitu: 1.
Membuat akses username dan password bagi administrator switch hub yang diberikan hanya kepada karyawan yang berwenang di masing-masing lokasi SISFO Area.
2.
3.
Membua Virtual Local Area Network, yang terdiri dari : a.
Mengalokasikan port-port pada Hub tertuju pada segment IP tertentu .
b.
Mengatur IP user pada segment tertentu.
Mengaktifkan encryption key pada administrator password Switch Hub baik pada akses console maupun akses telnet.
4.
Membatasi waktu dengan aoutomaic logout bila user administrator login tanpa aktifitas.
5.
Membuat back up file konfigurasi, file security dan disimpan di tempat khusus.
6.
Menentukan dan merahasiakan SNMP server community Read /Write pada system administrasi network.
6.3 Firewall Firewall merupakan suatu instrumen utama yang dipergunakan untuk mengimplementasikan kebijakan sistem keamanan jaringan komputer. Pada umumnya firewall diletakkan di antara jaringan internal perusahaan (intranet) dengan jaringan eksternal (internet), firewall bertindak sebagai titik yang digunakan untuk memonitor dan menolak lalu lintas jaringan pada tingkat aplikasi, sehingga dalam hal ini firewall bertindak sebagai filter untuk menyaring akses dari eksternal terhadap informasi-informasi dari internal perusahaan. Pada sistem security jaringan komputer PT. X dilakukan dengan menggunakan sistem firewall berlapis baik di jaringan internal (intranet) yang mempunyai akses kepada pelayanan pelanggan (seperti System Online Payment Point) maupun di jaringan eksternal (internet).
Firewall dibangun untuk mencegah pengrusakan sistem informasi dari user eksternal yang memiliki pengetahuan sistem security jaringan komputer dengan berbagai cara. Mekanisme yang umum digunakan saat ini adalah menggunakan filter router, computer gateway, dan jaringan terisolasi (Virtual Private Network).
Prosedur Interkoneksi jaringan eksternal yang tersambung ke jaringan internal tidak direkomendasikan tanpa firewall. Pengoperasian firewall menjadi tanggung jawab administrator jaringan Intranet atau Internet oleh masing-masing Unit yang mengelola jaringan Sistem Informasi yang terhubung dengan global Internet. Prosedurnya sebagai berikut :
39
1.
Pastikan fungsi-fungsi atau servis-servis yang dibutuhkan atau yang akan dipergunakan suatu aplikasi.
2.
Pastikan waktu yang diperkenankan untuk mengakses data sistem informasi (opsional).
3.
Membuka service / port-port yang dibutuhkan pada rule / aturan di firewall.
4.
Pastikan IP Address internal yang akan digunakan pada suatu aplikasi daaan alokasi address external jika aplikasi tersebut akan dipublikasikan ke internet.
5.
Pastikan IP Address user yang diperkenankan mengakses suatu aplikasi.
6.
Untuk mengaktifkan servis tersebut setelah dilakukan rekonfigurasi, matikan terlebih dahulu servis yang masih aktif.
7.
Aktifkan kembali servis baru tersebut.
8.
Backup konfigurasi firewall.
6.4 Proxy Secara teknis sistem sekuriti dengan menggunakan proxy merupakan suatu aplikasi yang berada di antara firewall yang dapat melihat dua sisi jaringan, jaringan intranet dan jaringan internet.
Fungsi utama proxy ini hanyalah sebagai pengantar penyediaan pelayanan termasuk FTP, HTTP, DNS dan SMTP. Proxy akan menangkap semua hubungan-hubungan untuk setiap internet protocol dan melakukan pemeriksaan sekuriti pada berbagai layer dalam suatu protokol. Aplikasi proxy akan melakukan beberapa tingkat pemeriksaan setiap isi dari paket-paket data yang dilewatkan. Akan tetapi, karena proses ini akan memakai CPU yang cukup intensif, maka tingkat analisanya agar dibatasi dan tidak dilakukan secara keseluruhan pada hubungan yang dienkripsi seperti Secure Socket Layer (SSL)
Permintaan untuk pelayanan dari luar yang berasal dari suatu organisasi seperti web browser yang menunjuk pada remote URL, ditangani oleh pelayanan proxy HTTP dan dituntun oleh basis operasi firewall untuk akses ke dalam internet. Sebaliknya, trafik dari internet yang masuk ke dalam organisasi, seperti e-mail, ditangkap oleh pelayanan proxy SMTP dan dituntun oleh basis operasi firewall untuk di akses ke dalam intranet.
Prosedur 1.
Harus mengetahui sifat dari aplikasi yang akan didaftar di proxy server tersebut.
2.
Aplikasi tidak diperkenankan bersinggungan dengan internet, agar tidak didaftar di proxy server
3.
Setiap aplikasi yang berbasis web dan terhubung dengan internet harus terdaftar di proxy server
4.
Penamaan proxy harus mengikuti standar dari DIVMEDIA
6.5 Remote Akses
40
Adakalanya user-user tertentu memerlukan akses ke jaringan Sistem Informasi saat berada di luar jaringan internal atau suatu tempat yang tidak memiliki jaringan internal. Untuk memenuhi kebutuhan tersebut, maka user akan mempergunakan fasilitas Remote Access Service (RAS) melalui akses jaringan PSTN Sistem keamanan pada RAS ini harus terjamin dan telah mendapat pertujuan dari kepala unit pengelola Sistem Informasi. Misalnya saja penempatan segmen jaringan perangkat RAS yang harus terpisah dari segmen jaringan perangkat informasi yang ada. Ini berguna agar adanya suatu filtering dalam mengakses jaringan internal yang ada.
Prosedur 1.
Akses remote ke jaringan internal diberikan hanya kepada pegawai PT. X dan digunakan untuk kebutuhan pengendalian operasional dan akses tingkat manajemen PT. X.
2.
Untuk akses remote oleh pihak ketiga diberikan setelah mendapat ijin dari Ka Unit atau pejabat pengelola Sistem Informasi serta mendapat persetujuan dari pemilik data.
3.
Akses remote pihak ketiga tersebut harus melalui IP Filtering.
4.
Pada perangkat Sistem Informasi yang dapat diakses secara remote, harus memiliki user access-list yang memakai fasilitas tersebut.
5.
Pada perangkat jaringan internal harus memiliki Control access-list yang memuat perangkatperangkat sistem informasi yang dapat diakses secara remote.
6.
Harus dilakukan validasi keabsahan setiap user yang akses secara remote, baik itu pada perangkat jaringan internal maupun eksternal.
6.6 Desktop Management Merupakan suatu sistem yang dapat melakukan fungsi monitoring client, meliputi : 1.
Penetapan pemakaian IP address bagi user
2.
Trouble shooting gangguan Conflict IP.
3.
Monitoring Asset Management client baik hardware maupun software.
4.
Remote install software client seperti antivirus dan software aplikasi yang disepakati menjadi kebutuhan user.
5.
Penerapan DHCP Server pada tiap segment LAN.
Desktop management ini merupakan kebutuhan sistem security jaringan yang harus dijalankan oleh user client dengan memenuhi ketentuan-ketentuan yang benar.
Prosedur Untuk kelancaran operasional Desktop management perlu pengaturan prosedur baik di tingkat administrator desktop management maupun di tingkat user /client, yaitu : 1.
Tingkat administrator :
41
a.
Memberikan tingkat priviledge bagi para administrator desktop untuk melakukan fungsi desktop management. Priviledge tertinggi diberikan kepada administrator pusat yang memiliki kemampuan akses dan eksekusi sampai ke seluruh area dan priviledge kedua diberikan kepada administrator SISFO Area yang hanya mampu mengakses dan mengeksekusi untuk area lokal.
b.
Melakukan instalasi software client Desktop Management di masing-masing perangkat yang akan di monitor.
c.
Mengatur wewenang user dalam melakukan perubahan konfigurasi baik software maupun hardware di komputer masing-masing user (desktop management).
d. 2.
Mengaktifkan dan menon-aktifkan login user pada client.
Tingkat user : a.
Setiap melakukan perubahan konfigurasi baik software maupun hardware harus dikonfirmasikan terlebih dahulu dengan administrator Desktop Management.
b.
User harus mengaktifkan fungsi-fungsi pengamanan standar yang ada di masingmasing PC yang dipakainya seperti : i.
Mengaktifkan Power-On-Password
ii.
Mengaktifkan screen saver dengan password
42
Peningkatan Security Awareness
Sebagaimana telah disebutkan di bagian sebelumnya, penyusunan dokumen kebijakan dan prosedur serta security awareness menjadi prioritas awal dalam implementasi Sistem Manajemen Keamanan Informasi PT.X. Berikut ini rekomendasi praktis tahapan peningkatan security awareness manajemen dan karyawan PT.X: 1. Manajemen menentukan aspek apa saja yang harus dilindungi keamanannya. 2. Pembuatan rencana program berisi alternatif-alternatif solusi keamanan yang berhubungan dengan personel. 3. Implementasi program pada durasi waktu tertentu. 4. Mengevaluasi keberjalanan program dan hasilnya.
