Top Banner
BERITA NEGARA REPUBLIK INDONESIA No.1712, 2014 KEMENHAN. Pertahanan. Siber. Pedoman. PERATURAN MENTERI PERTAHANAN REPUBLIK INDONESIA NOMOR 82 TAHUN 2014 TENTANG PEDOMAN PERTAHANAN SIBER DENGAN RAHMAT TUHAN YANG MAHA ESA MENTERI PERTAHANAN REPUBLIK INDONESIA, Menimbang : a. bahwa untuk menjabarkan Pedoman Strategis Pertahanan Nirmiliter perlu ditetapkan Pedoman Pertahanan Siber; b. bahwa pedoman pertahanan siber merupakan acuan dasar bagi Kementerian Pertahanan/TNI dalam rangka penyelenggaraan pertahanan siber; c. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a dan huruf b, perlu menetapkan Peraturan Menteri Pertahanan tentang Pedoman Pertahanan Siber; Mengingat : 1. Undang-Undang Nomor 3 Tahun 2002 tentang Pertahanan Negara (Lembaran Negara Republik Indonesia Tahun 2002 Nomor 3, Tambahan Lembaran Negara Republik Indonesia Nomor 4169; 2. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2008 Nomor58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843);
57

BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

Mar 27, 2018

Download

Documents

phamhanh
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

BERITA NEGARAREPUBLIK INDONESIA

No.1712, 2014 KEMENHAN. Pertahanan. Siber. Pedoman.

PERATURAN MENTERI PERTAHANAN REPUBLIK INDONESIA

NOMOR 82 TAHUN 2014

TENTANG

PEDOMAN PERTAHANAN SIBER

DENGAN RAHMAT TUHAN YANG MAHA ESA

MENTERI PERTAHANAN REPUBLIK INDONESIA,

Menimbang : a. bahwa untuk menjabarkan Pedoman StrategisPertahanan Nirmiliter perlu ditetapkan PedomanPertahanan Siber;

b. bahwa pedoman pertahanan siber merupakanacuan dasar bagi Kementerian Pertahanan/TNIdalam rangka penyelenggaraan pertahanan siber;

c. bahwa berdasarkan pertimbangan sebagaimanadimaksud dalam huruf a dan huruf b, perlumenetapkan Peraturan Menteri Pertahanantentang Pedoman Pertahanan Siber;

Mengingat : 1. Undang-Undang Nomor 3 Tahun 2002 tentangPertahanan Negara (Lembaran Negara RepublikIndonesia Tahun 2002 Nomor 3, TambahanLembaran Negara Republik Indonesia Nomor 4169;

2. Undang-Undang Nomor 11 Tahun 2008 tentangInformasi dan Transaksi Elektronik (LembaranNegara Republik Indonesia Tahun 2008 Nomor58,Tambahan Lembaran Negara Republik IndonesiaNomor 4843);

Page 2: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 2

3. Undang-Undang Nomor 39 Tahun 2008 tentangKementerian Negara (Lembaran Negara RepublikIndonesia Tahun 2008 Nomor 166, TambahanLembaran Negara Republik Indonesia Nomor 4916);

4. Peraturan Menteri Pertahanan Nomor 25 Tahun2014 tentang Doktrin Pertahanan Negara (BeritaNegara Republik Indonesia Tahun 2014 Nomor 973);

5. Peraturan Menteri Pertahanan Nomor 57 Tahun2014 tentang Pedoman Strategis PertahananNirmiliter (Berita Negara Republik Indonesia Tahun2014 Nomor ……);

MEMUTUSKAN:

Menetapkan : PERATURAN MENTERI PERTAHANAN TENTANGPEDOMAN PERTAHANAN SIBER

Pasal 1

Pedoman Pertahanan Siber sebagaimana tercantum dalam Lampiran yangmerupakan bagian tidak terpisahkan dari Peraturan Menteri ini.

Pasal 2

Pedoman Pertahanan Siber sebagaimana dimaksud dalam Pasal 1 menjadiacuan dasar bagi Kementerian Pertahanan/TNI dalam rangkapenyelenggaraan pertahanan siber.

Pasal 3

Peraturan Menteri ini mulai berlaku pada tanggal diundangkan.

Agar setiap orang mengetahuinya, memerintahkan pengundanganPeraturan Menteri ini dengan penempatannya dalam Berita NegaraRepublik Indonesia.

Ditetapkan di Jakarta

pada tanggal 17 Oktober 2014

MENTERI PERTAHANAN

REPUBLIK INDONESIA,

PURNOMO YUSGIANTORO

Diundangkan di Jakarta

pada tanggal 17 Oktober 2014

MENTERI HUKUM DAN HAK ASASI MANUSIA

REPUBLIK INDONESIA,

AMIR SYAMSUDIN

Page 3: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.17123

PEDOMAN

PERTAHANAN SIBER

KEMENTERIAN PERTAHANAN REPUBLIK INDONESIA

2014

Page 4: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 4

KATA PENGANTAR

Sistem pertahanan negara bersifat semesta melibatkan seluruh warganegara, wilayah, dan sumber daya nasional lainnya, serta dipersiapkansecara dini oleh pemerintah dan diselenggarakan secara total, terpadu,terarah, dan berlanjut untuk menegakkan kedaulatan negara, keutuhanwilayah, dan keselamatan segenap bangsa dari segala ancaman.Keterpaduan itu merujuk pada elemen kekuatan yang dibangun dalamsistem pertahanan semesta, yang memadukan kekuatan pertahananmiliter dan kekuatan pertahanan nirmiliter.Merujuk pada dasar Konstitusi, kekuatan pertahanan nirmiliterkhususnya dalam ranah siber dibangun berdasarkan diktum upayapembelaan negara, yang secara konseptual kekuatannya diserahkankepada Kementerian/Lembaga Pemerintah Non Kementerian di luar bidangpertahanan, yaitu Kementerian Kominfo sebagai unsur utama danKementerian Pertahanan sebagai salah satu unsur dukungan bersamakekuatan bangsa lainnya. Mengingat luas bidang pertahanan siber itu,guna membangun sense of defence dalam bidang keamanan siber di sektorPertahanan, perlu disusun Pedoman Pertahanan Siber.Pedoman pertahanan siber ditetapkan sebagai pengejawantahan tekad,prinsip dan kehendak untuk menyelenggarakan pertahanan siber padasistem informasi, kendali dan komunikasi di sektor pertahanan. Pedomanini mewujudkan kerangka penyelenggaraan pertahanan siber yang harusdipahami dan dipedomani oleh sesuai tugas dan fungsi masing-masing.Dengan terbitnya Pedoman ini, seluruh pemangku kepentingan terkaithendaknya dapat menghayati dan mempedomani isinya, sehingga tampakdalam pola pikir, pola sikap dan pola tindak dalam menjamin keamananjaringan dan muatannya di sektor pertahanan.Saya selaku pimpinan Kementerian Pertahanan Republik Indonesiamenyampaikan rasa syukur kepada Tuhan Yang Maha Esa atasterbitnya Pedoman Pertahanan Siber. Tidak lupa saya menyampaikanpenghargaan dan ucapan terima kasih kepada semua pihak yang telahberperan serta dalam penyiapan Pedoman Pertahanan Siber ini. Sayayakin, peran serta tersebut merupakan dharma bhakti bagi Bangsa danNegara Indonesia yang kita cintai.Semoga Tuhan Yang Maha Esa senantiasa memberikan rahmat danhidayah-Nya kepada kita semua.

Jakarta, 2014Menteri Pertahanan,

Purnomo Yusgiantoro

Page 5: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.17125

RINGKASAN EKSEKUTIF

Pemanfaatan Teknologi Informasi dan Komunikasi (TIK), termasukjaringan internet yang awalnya dibangun atas prakarsa DepartemenPertahanan Amerika Serikat sebagai sarana strategis komunikasi danpertukaran data, telah semakin meluas memasuki semua sisi kehidupanmanusia dewasa ini sebagai bagian sangat strategis kehidupan sosial,ekonomi dan bernegara di dunia. Hal yang sama juga berlaku di Indonesiayang pada saat ini memiliki jumlah penduduk seperempat milyar danpertumbuhan pengguna internet yang tinggi dengan pertumbuhannyayang sangat pesat.

Ruang tempat berlangsungnya kegiatan pemanfaatan TIK dan internet inidisebut ruang siber. Ruang siber pada satu sisi membawa begitu banyakmanfaat namun di sisi lain juga dapat memunculkan berbagai ancamandan potensi serta gangguan mulai dari skala kecil hingga skala yang besar.Hal ini menyebabkan pentingnya diupayakan penjagaan kerahasiaan,integritas dan ketersediaan informasi elektronik serta infrastrukur diruang siber tersebut agar terselenggara dengan tepat, yang ini dikenalsebagai pertahanan siber atau “cyber defense”.

Penerapan pertahanan siber menjadi keniscayaan dan merupakan suatuprioritas kewajiban bagi negara dan semua instansi di dalamnya dimanatingkat pentingnya berbanding lurus dengan tingkat ketergantungan padapemanfaatan di ruang siber tersebut. Hal ini menyebabkan Kemhan/TNIberkewajiban untuk mengambil langkah-langkah penting terkait denganpertahanan siber, baik di dalam lingkungannya sendiri maupun dalamrangka mendukung pertahanan siber lintas sektoral. Pertahanan siberperlu dilaksanakan secara terencana dan terpadu agar penerapannyadapat berjalan secara tepat dan optimal. Untuk itu, disusunlah satuPedoman Pertahanan Siber.

Penyusunan pedoman ini dilakukan dengan mengacu pada naskah kajianPeta Jalan Strategi Nasional Pertahanan Siber, yang berisi uraian lengkapmengenai ancaman dan serangan siber termasuk analisisnya terhadapstrategi pertahanan siber yang telah pula mengakomodasikanperbandingan pertahanan siber di negara-negara lain.

Pedoman Pertahanan Siber ini mengurai kondisi saat ini di lingkungantermasuk upaya yang sudah dan sedang dilaksanakan. Untukmemudahkan pemahaman sistematika penulisannya, pedoman ini dibagidalam; unsur kebijakan, kelembagaan, teknologi/infratruktur dan sumberdaya manusia. Keempat unsur tersebut perlu mendapat perhatian yangseimbang sebagai persyaratan utama bagi berjalannya pertahanan siberyang komprehensif dan holistik. Pedoman ini menjelaskan langkah-langkah penyelenggaraan pertahanan siber serta tahapan penerapannya

Page 6: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 6

karena persiapan masing-masing unsur tersebut sangat memerlukanwaktu dan sumber daya yang tidak sedikit.

Akhirnya, pedoman ini diharapkan dapat menjadi acuan utama bagiperencanaan, pembangunan, pengembangan, penerapan dan evaluasipenyelenggaraan pertahanan siber di lingkungan Kemhan/TNI.Memperhatikan dinamika teknologi terkait ruang siber serta kondisibangsa dan negara maka dari waktu ke waktu pedoman ini perlu ditinjaukembali agar dapat tetap sesuai dengan kondisi dan kebutuhan yang ada dilingkungan Kemhan/TNI.

Page 7: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.17127

Page 8: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 8

Page 9: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.17129

BAB I

PENDAHULUAN

1.1. Latar Belakang

Pemanfaatan Teknologi Informasi dan Komunikasi (TIK) pada saat inisudah memasuki semua aspek kehidupan masyarakat di dunia.Pemanfaatan TIK tersebut mendorong terbentuknya satu komunitasyang terhubung secara elektronik dalam satu ruang yang seringdisebut ruang siber (cyber space). Sistem elektronik termasuk jaringaninternet pada saat ini dimanfaatkan untuk mendukung berbagaikegiatan di sektor usaha, perdagangan, layanan kesehatan,komunikasi dan kepemerintahan, serta sektor pertahanan. Semakinmeluasnya dan meningkatnya pemanfaatan TIK khususnya melaluijaringan internet diiringi pula dengan meningkatnya aktivitasancaman. Ancaman itu antara lain upaya membobol kerahasiaaninformasi, merusak sistem elektronik dan berbagai perbuatanmelawan hukum lainnya.

Dengan memperhatikan hal di atas, ruang siber perlu mendapatkanperlindungan yang layak guna menghindari potensi yang dapatmerugikan pribadi, organisasi bahkan negara. Istilah pertahanan sibermuncul sebagai upaya untuk melindungi diri dari ancaman dangangguan tersebut.

Pertahanan siber bertingkat dari lingkup perorangan, kelompok kerja,organisasi sampai dengan skala nasional. Perhatian yang khususdiberikan pada sektor yang mengelola infrastruktur kritis sepertipertahanan keamanan, energi, transportasi, sistem keuangan, danberbagai layanan publik lainnya. Gangguan pada sistem elektronikpada sektor-sektor ini bisa menyebabkan kerugian ekonomi, turunnyatingkat kepercayaan kepada pemerintah, terganggunya ketertibanumum dan lain lain. Resiko ini yang menjadi pertimbangandiperlukannya pertahanan siber yang kuat dalam satu negara.

Sebagai instansi pemerintah, Kementerian Pertahanan dan TentaraNasional Indonesia memiliki dua kepentingan dalam pertahanan siber.Pertama, untuk mengamankan semua sistem elektronik dan jaringaninformasi di lingkungannya. Kedua, mendukung koordinasipengamanan siber di sektor-sektor lainnya sesuai kebutuhan. Olehkarenanya Kemhan/TNI perlu mengambil langkah langkah persiapanuntuk dapat menjalankan perannya dalam pertahanan sibersebagaimana diuraikan di atas.

Pedoman ini disusun untuk menjadi acuan bagi tahapan persiapan,pembangunan, pelaksanaan dan pemantapan pertahanan siber dilingkungan Kemhan/TNI. Acuan yang disusun meliputi aspekkebijakan, kelembagaan, teknologi/infrastruktur dan sumber daya

Page 10: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 10

manusia. Setiap aspek tersebut sama penting dan bersifat salingmendukung sehingga memerlukan perhatian dari semua pihak yangterkait dengan pertahanan siber sesuai dengan peran dan tanggungjawabnya.

Undang-Undang RI Nomor 3 Tahun 2002 tentang Pertahanan Negaramenyebutkan bahwa pertahanan negara bertujuan untuk menjagadan melindungi kedaulatan negara, keutuhan wilayah NegaraKesatuan Republik Indonesia (NKRI) dan keselamatan segenap bangsadari segala bentuk ancaman, baik ancaman militer maupun non-militer. Ancaman non-militer khususnya di ruang siber telahmenyebabkan kemampuan negara dalam bidang soft dan smart powerpertahanan harus ditingkatkan melalui strategi penangkalan,penindakan dan pemulihan pertahanan siber (cyber defense) dalamrangka mendukung penerapan strategi nasional keamanan siber yangdimotori oleh Kementerian Komunikasi dan Informatika.

Di dalam Undang-Undang RI Nomor 11 Tahun 2008 tentang Informasidan Transaksi Elektronik dijelaskan bahwa pemanfaatan teknologiinformasi membutuhkan pengamanan dalam rangka menjagakerahasiaan, keutuhan dan ketersediaan informasi. Dalam Undang-undang tersebut, informasi dalam bentuk elektronik diakui secarahukum dan perbuatan yang terkait dengan sistem elektronik, baikselaku penyelenggara maupun selaku pengguna memilikipertanggungjawaban hukum yang selanjutnya diatur dalam berbagaiperaturan perundangan.

Kementerian Komunikasi dan Informatika RI, selaku leading sectorPemerintah RI dalam bidang Telekomunikasi dan Informatika memiliki5 agenda kebijakan keamanan siber dalam membangun Secure CyberEnvironment, melalui penerapan model strategi “Ends-Ways-Means”yang fokus pada sasaran, prioritas dan aksi yang terukur. Kelimakebijakan tersebut adalah: Capacity Building, Policy and LegalFramework, Organizational Structure, Technical and OperationalMeasures, dan International Cooperation. Selanjutnya peranKementerian Komunikasi dan Informatika sebagai pengelola keamanansiber nasional dan kebijakan yang ditetapkannya dalam perantersebut akan menjadi acuan utama bagi perumusan pedomanpertahanan siber ini.

Dihadapkan dengan kepentingan nasional, Kementerian PertahananRI sangat perlu untuk memahami, mengkaji, mengukur,mengantisipasi dan menyiapkan tindakan yang dibutuhkan. Olehkarena itu Kemhan/TNI perlu menyusun suatu pedoman pertahanansiber sebagai acuan yang digunakan untuk persiapan, pembangunan,pengembangan dan penerapan pertahanan siber di lingkunganKemhan/TNI.

Page 11: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171211

1.2. Maksud dan Tujuan

Pedoman ini dibuat dengan maksud sebagai acuan bagi Kemhan/TNIdalam rangka pertahanan siber guna mendukung kekuatanpertahanan negara, dengan tujuan untuk digunakan sebagaireferensi utama dalam pembangunan, pengembangan danpenerapan pertahanan siber di lingkungan Kemhan/TNI.

1.3 Ruang Lingkup

Ruang lingkup pedoman pertahanan siber ini meliputi hal-hal sebagaiberikut :

a. Konsep dasar pertahanan siber, meliputi latar belakang,landasan hukum dan pengertian.

b. Uraian mengenai pokok-pokok pertahanan siber, meliputiprinsip-prinsip, sasaran, ancaman dan serangan siber.

c. Perumusan kebutuhan pertahanan siber.

d. Penyelenggaraan Pertahanan Siber dan tahapanimplementasinya.

1.4. Landasan Hukum

a. Undang-Undang Dasar Negara Republik Indonesia Tahun 1945,pasal 30 ayat 1, 2, dan 5 tentang Pertahanan dan KeamananNegara.

b. Undang-Undang Nomor 36 Tahun 1999 tentangTelekomunikasi.

c. Undang-Undang Nomor 3 Tahun 2002 tentang PertahananNegara.

d. Undang-Undang Nomor 34 Tahun 2004 tentang TentaraNasional Indonesia.

e. Undang-Undang RI Nomor 11 Tahun 2008 Tentang InformasiDan Transaksi Elektronik.

f. Undang-Undang Nomor 14 Tahun 2008 Tentang KeterbukaanInformasi Publik.

g. Undang-Undang Nomor 25 Tahun 2009 Tentang PelayananPublik.

h. Peraturan Menteri Pertahanan Nomor 57 Tahun 2014 tentangPedoman Strategis Pertahanan Nirmiliter.

1.5. Pengertian

a. Ruang siber (cyberspace) atau siber adalah ruang dimanakomunitas saling terhubung menggunakan jaringan (misalnya

Page 12: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 12

internet) untuk melakukan berbagai kegiatan sehari-hari.

b. Serangan Siber adalah segala bentuk perbuatan, perkataan,pemikiran baik yang dilakukan dengan sengaja maupun tidaksengaja oleh pihak mana pun, dengan motif dan tujuan apapun, yang dilakukan di lokasi mana pun, yang disasarkan padasistem elektronik atau muatannya (informasi) maupunperalatan yang sangat bergantung pada teknologi dan jaringandalam skala apa pun, terhadap obyek vital maupun nonvitaldalam lingkup militer dan nonmiliter, yang mengancamkedaulatan negara, keutuhan wilayah dan keselamatan bangsa.

c. Keamanan Siber Nasional (National cyber security) adalah segalaupaya dalam rangka menjaga kerahasiaan, keutuhan danketersediaan informasi serta seluruh sarana pendukungnya ditingkat nasional, yang bersifat lintas sektor.

d. Pertahanan siber (cyber defense) adalah suatu upaya untukmenanggulangi serangan siber yang menyebabkan terjadinyagangguan terhadap penyelenggaraan pertahanan negara.

e. Pedoman Pertahanan Siber adalah panduan dan/atau acuanyang digunakan untuk persiapan, pembangunan,pengembangan dan penerapan pertahanan siber di lingkunganKemhan/TNI.

f. Infrastruktur kritis adalah aset, sistem, maupun jaringan,berbentuk fisik maupun virtual yang sangat vital, dimanagangguan terhadapnya berpotensi mengancam keamanan,kestabilan perekonomian nasional, keselamatan dan kesehatanmasyarakat atau gabungan diantaranya.

Page 13: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171213

BAB II

URGENSI PERTAHANAN SIBER

2.1. Umum

Urgensi pertahanan siber ditujukan untuk mengantisipasi datangnyaancaman ancaman dan serangan siber yang terjadi danmenjelaskan posisi ketahanan saat ini, sehingga diperlukankesiapan dan ketanggapan dalam menghadapi ancaman sertamemiliki kemampuan untuk memulihkan akibat dampak seranganyang terjadi di ranah siber.

2.2. Ancaman dan Serangan Siber

a. Ancaman Siber

1) Sumber Ancaman

Sumber Ancaman adalah entitas yang berkeinginan ataumemiliki niat dan benar-benar secara nyata akan melakukankegiatan yang melanggar norma dan hukum, aturan danketentuan serta kaidah atau kontrol keamanan informasiserta aset fisik lainnya, dengan tujuan untuk mendapatkankeuntungan yang bersifat materil dan immateril. Ancamandan serangan tersebut dapat dilakukan oleh pelaku yangmewakili pemerintah (State Actor) atau non pemerintah (NonState Actor), sehingga pelaku bisa bersifat perorangan,kelompok, golongan, organisasi atau bahkan sebuah negara.Secara umum unsur-unsur yang dapat diidentifikasimemiliki potensi sebagai sumber ancaman terdiri atas :

a) Sumber Internal dan Eksternal.

b) Kegiatan Intelijen.

c) Kekecewaan.

d) Investigasi.

e) Organisasi Ekstremis.

f) Hacktivists.

g) Grup Kejahatan Terorganisir.

h) Persaingan, Permusuhan & Konflik.

i) Teknologi.

2) Aspek Ancaman

Aspek ancaman adalah segala sesuatu yang melatarbelakangiterjadinya ancaman dan serangan siber, yang meliputi aspek-aspek Ideologi, Politik, Ekonomi, Sosial, Budaya, Kebangsaan,

Page 14: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 14

Militer, Ilmu Pengetahuan dan Teknologi serta aspek lain yangterkait dalam kehidupan berbangsa, bernegara danbermasyarakat termasuk kepentingan pribadi.

3) Bentuk Ancaman

Bentuk ancaman siber yang sering terjadi saat ini dapatberupa hal-hal sebagai berikut :

a) Serangan Advanced Persistent Threats (APT), Denial ofService (DoS) dan Distributed Denial of Service (DDoS),biasanya dilakukan dengan melakukan overloadingkapasitas sistem dan mencegah pengguna yang sahuntuk mengakses dan menggunakan sistem atausumber daya yang ditargetkan. Serangan ini bertujuanuntuk mengganggu operasional sistem, dengan caramenghadapkan sistem pada permintaan akses danproses yang jauh lebih besar dari yang bisa ditanganisistem. Sehingga sistem menjadi terlalu sibuk dan crash,akibatnya menjadi tidak dapat melayani atau tidak dapatberoperasi. Permasalahan ini merupakan ancaman yangberbahaya bagi organisasi yang mengandalkan hampirsepenuhnya pada kemampuan internet gunamenjalankan roda kegiatannya.

b) Serangan Defacement, dilakukan dengan cara melakukanpenggantian atau modifikasi terhadap halaman webkorban sehingga isi dari halaman web korban berubahsesuai dengan motif penyerang.

c) Serangan Phishing, dilakukan dengan cara memberikanalamat website palsu dengan tampilan persis samadengan website aslinya. Tujuan dari serangan phishing iniadalah untuk mendapatkan informasi penting dan sensitifseperti username, password dan lain-lain.

d) Serangan Malware, yaitu suatu program atau kodeberbahaya yang dapat digunakan untuk menggangguoperasi normal dari sebuah sistem komputer. Biasanyaprogram malware telah dirancang untuk mendapatkankeuntungan finansial atau keuntungan lain yangdirencanakan. Jumlah serangan malware terusberkembang, sehingga saat ini telah menjadi pandemiyang sangat nyata. Malware telah terjadi dimana-manadan mempengaruhi semua orang yang terlibat dalamsetiap sektor kegiatan. Istilah virus generik digunakanuntuk merujuk setiap program komputer berbahaya yangmampu mereproduksi dan menyebarkan dirinya sendiri.

Page 15: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171215

e) Penyusupan siber, yang dapat menyerang sistem melaluiidentifikasi pengguna yang sah dan parameter koneksiseperti password, melalui eksploitasi kerentanan yangada pada sistem. Metode utama yang digunakan untukmendapatkan akses ke dalam sistem adalah :

(1) Menebak Sandi yang begitu jelas, seperti namapengguna, nama pasangan atau anak, tanggal lahiratau berbagai hal yang penting yang berkaitandengan diri dan keluarganya, sangat mudah untukditebak dan dipecahkan.

(2) Account yang tidak terlindungi. Pengguna juga dapatmelakukan kesalahan, dengan tidak memasangpassword atau dengan mudah memberikan passwordkepada orang lain.

(3) Penipuan dan Rekayasa Sosial, misalnya pelakudapat mengaku dan bertindak sebagai administratordan meminta password dengan beberapa alasanteknis. Dalam sejumlah besar kasus, pengguna akanmengungkapkan data mereka. Pelaku dapat menipumelalui telepon atau pesan elektronik. Beberapaorang pelaku tidak faham komputer, tetapi ternyatapelaku dapat memperoleh kunci sesuai dengan sistemyang mereka inginkan untuk ditembus.

(4) Mendengarkan lalu lintas komunikasi data.Penyadap akan mendengarkan data yang tidakterenkripsi yang dikirimkan melalui jaringan melaluiprotokol komunikasi. Mereka beroperasimenggunakan PC dengan cara mengendus (sniffing)dan menganalisis data dalam transit di jaringan,kemudian mengekstraksi password terenkripsi yangditularkan oleh pengguna selama koneksi. Jikapelaku tidak bisa mengandalkan keterlibatan daridalam organisasi dalam mendapatkan passwordsecara langsung, maka dengan bantuan perangkatelektronik mereka dapat mencegatnya dari protokolkomunikasi atau mengakses file yang berisi semuapassword.

(5) Trojan Horse. Program mata-mata yang spesifik dansangat berbahaya (spyware) secara diam-diam dapatmerekam parameter yang digunakan untukmenghubungkannya ke sistem remote. Trojan adalahsebuah program kecil yang umumnya pengganti

Page 16: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 16

dirinya untuk kode login yang meminta penggunauntuk menangkap atau memberikan identifikasi danpassword, dengan keyakinan bahwa ia beradadalam lingkungan operasi normal, dimana sandisegera ditransmisikan ke server sebagai pesan anonimdari pelaku.

(6) Sistem Otentifikasi. Semua password penggunaharus disimpan pada sebuah server. Pelaku akanmengakses file yang menyimpan semua passworduser yang dienkripsi, untuk kemudian dibukadengan utilitas yang tersedia pada jaringan.

(7) Cracking Password Terenkripsi. Jika pelaku ataucracker tahu algoritma cypher, ia bisa mengujisemua permutasi yang mungkin, yang dapatmerupakan kunci untuk memecahkan password.Serangan ini dikenal sebagai brute force. Alternatiflain adalah dengan menggunakan kamus untukmenemukan password terenkripsi, yang disebutserangan kamus. Dengan perbandingan berturut-turut, bentuk kode password yang terdapat dalamkamus kriminal dapat digunakan untuk menebakpassword terenkripsi yang digunakan.

(8) Memata-matai. Hal ini dilakukan dengan merekamparameter koneksi mereka dengan menggunakansoftware, spyware atau perangkat multimedia, sepertikamera video dan mikrofon, guna menangkapinformasi rahasia, seperti password untuk mengaksessistem yang dilindungi.

f) Spam. Spam adalah pengiriman e-mail secara massalyang tidak dikehendaki, dengan tujuan :

(1) Komersial atau publisitas.

(2) Memperkenalkan perangkat lunak berbahaya,seperti malware dan crimeware ke dalam sistem.

(3) Pada situasi terburuk, spam menyerupai seranganbom e-mail, dengan akibat mail server mengalamikelebihan beban, mailbox user penuh danketidaknyamanan dalam pengelolaan. Sebelumnyaspam hanya dianggap sebagai gangguan, tapi saat inie-mail spam merupakan ancaman nyata. Hal tersebuttelah menjadi vektor istimewa untuk penyebaranvirus, worm, trojans, spyware dan upaya phishing.

Page 17: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171217

g) Penyalahgunaan Protokol Komunikasi. Sebuah seranganspoofing Transmision Control Protocol (TCP) bergantungpada kenyataan bahwa protokol TCP menetapkan koneksilogis antara dua ujung sistem untuk mendukungpertukaran data. Pengidentifikasi logis (nomor port)digunakan untuk membangun sebuah koneksi TCP.Sebuah serangan TCP nomor port akan melibatkankegiatan menebak atau memprediksi nomor portberikutnya yang akan dialokasikan untuk pertukarandata dalam rangka menggunakan angka-angka bukanpengguna yang sah. Hal ini memungkinkan untukmelewati firewall dan mendirikan sebuah hubungan yangaman antara dua entitas, yaitu hacker dan target.

4) Jenis Ancaman

Menurut Michael D. Mcdonnell dan Terry L. Sayers, jenisancaman siber dikelompokkan dalam :

a) Ancaman Perangkat Keras (hardware threat), yaituancaman yang disebabkan oleh pemasangan peralatantertentu yang berfungsi untuk melakukan kegiatantertentu dalam suatu sistem, sehingga peralatan tsbmerupakan gangguan terhadap sistem Jaringan danPerangkat Keras lainnya, contoh : Jamming dan NetworkIntrusion.

b) Ancaman Perangkat Lunak (software threat), yaituancaman yang disebabkan oleh masuknya softwaretertentu yang berfungsi untuk melakukan kegiatan seperti: Pencurian Informasi (Information Theft), PerusakanInformasi / Sistem (Information / System Destruction),Manipulasi Informasi (Information Corruption) dan lainsebagainya, ke dalam suatu sistem.

c) Ancaman Data/Informasi (data/information threat),adalah ancaman yang diakibatkan oleh penyebarandata/informasi tertentu yang bertujuan untukkepentingan tertentu, seperti yang dilakukan dalaminformation warfare termasuk kegiatan propaganda.

b. Serangan Siber

1) Serangan Siber (Cyber Attack) terjadi ketika intensitas danskala ancaman siber meningkat dan berubah dari ancamanyang bersifat potensial menjadi faktual berupa kegiatan atautindakan yang bertujuan untuk memasuki, menguasai,memodifikasi, mencuri atau merusak, atau menghancurkanatau melumpuhkan sistem atau aset informasi, yangdikategorikan, sebagai berikut :

Page 18: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 18

a) Perang Siber (Cyber war), adalah semua tindakan yangdilakukan secara sengaja dan terkoordinasi dengantujuan mengganggu kedaulatan negara. Perang siberdapat berupa serangan terorisme (cyber terrorism)maupun spionase (cyber espionage) yang mengganggukeamanan nasional. Adapun serangan siber memilikikarakteristik sebagai berikut :

(1) Intentional (disengaja).

(2) Kegiatan aktif.

(3) Skala besar.

b) Gangguan Siber (Cyber Violence), adalah serangan siberyang memiliki karakteristik sebagai berikut :

(1) Unintentional (Tidak disengaja).

(2) Kegiatan pasif.

(3) Skala kecil.

2) Penanggulangan Serangan Siber

Kegiatan penanggulangan serangan siber menggunakanpendekatan yang menyesuaikan diri dengan sumber danbentuk serangan yang dihadapi. Bentuk penanggulanganserangan siber yang dilakukan dapat berupa :

a) Pertahanan siber (cyber defense), adalah suatu upayauntuk menanggulangi serangan siber yang menyebabkanterjadinya gangguan terhadap penyelenggaraan negarasecara normal. Pertahanan siber disiapkan sebagai suatuupaya penanggulangan serangan siber semacam ini.

b) Penanganan secara hukum. Melakukan koordinasidengan aparat keamanan terkait apabila telah diketahuipelaku kejahatan siber.

c) Serangan balik siber (Cyber counter-attack), adalah suatutindakan serangan balik terhadap sumber serangandengan tujuan memberikan efek jera terhadap pelakuserangan siber.

3) Sasaran Serangan Siber

Berdasarkan tujuan dan sasarannya, serangan siber ditujukankepada :

a) Perorangan, masyarakat umum, organisasi, komunitastertentu, yang bersifat kejahatan siber.

b) Obyek Vital Infrastruktur Kritis Nasional (National Critical

Page 19: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171219

Infrastructure), yaitu sistem-sistem infrastruktur fisik yangsangat penting dimana bila sistem ini tidak berfungsiatau rusak, maka dapat berdampak melemahkanpertahanan atau keamanan serta ekonomi bangsa.

c) Kepentingan nasional, yaitu seluruh aspek yang terkaitdengan tujuan nasional, lambang / simbol negara, politiknegara serta kepentingan bangsa.

4) Dampak Serangan Siber

Dampak yang mungkin dialami dari sebuah serangan siberdapat berbentuk :

a) Gangguan fungsional.

b) Pengendalian sistem secara remote.

c) Penyalahgunaan informasi.

d) Kerusuhan, ketakutan, kekerasan, kekacauan, konflik.

e) Serta kondisi lain yang sangat merugikan, sehinggamemungkinkan dapat mengakibatkan kehancuran.

2.3. Kondisi Saat Ini

Kondisi Pertahanan Siber saat ini di lingkungan Kemhan/TNI dapatdiuraikan sebagai berikut :

a. Kebijakan

Kebijakan untuk pertahanan siber sudah mulai disusun danpelaksanaannya dilakukan pada tahapan berikutnya.Kebijakan tersebut melengkapi kebijakan yang ada, yang padaumumnya masih fokus pada pengembangan dan pemanfaatanteknologi informasi di lingkungan Kementerian secara umum.Salah satu kebijakan pijakan yang ada adalah PeraturanMenhan Nomor 16/2010 tentang Organisasi dan TatakerjaKemhan, yang salah satunya menguraikan peranan dariPusdatin Kemhan dan Unit-unit Datin di Satker Kemhan.Selain itu telah disusun pula kebijakan yang diperlukan dalammenunjang pertahanan siber. Kebijakan tersebut pada masayang akan datang akan menjadi acuan bagi persiapan,pengembangan, pelatihan dan pengoperasian pertahanan siber.

b. Kelembagaan

Sebagaimana diuraikan dalam butir a, kelembagaan pada saatini masih bersifat mendukung teknologi informasi secaraumum dan belum mendukung keperluan pertahanan siberyang lebih spesifik. Langkah-langkah pembentukankelembagaan pertahanan siber sudah mulai diambil, tetapi

Page 20: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 20

masih dalam bentuk penambahan tugas dan fungsi pertahanansiber ke dalam struktur yang ada.

c. Teknologi dan Infrastruktur pendukung

Teknologi dan Infrastruktur pendukung yang tersedia saat inibaik yang bersifat umum maupun khusus menunjangpertahanan siber, masih dalam proses peningkatan.

d. Sumber Daya Manusia

Persiapan untuk penyediaan SDM dalam rangka mendukungpertahanan siber sudah mulai dilakukan, meskipun barupersiapan awal dalam bentuk program peningkatan kesadaran(awareness) dan peningkatan pengetahuan dan ketrampilankeamanan informasi. Implementasi Pertahanan siber padamasa yang akan datang akan memerlukan programpeningkatan SDM yang jauh lebih besar dan substantif.

2.4 Kebutuhan Pertahanan Siber

Kementerian Pertahanan dan Tentara Nasional Indonesia memiliki duakepentingan dalam pertahanan siber. Pertama, untukmengamankan semua sistem elektronik dan jaringan informasi dilingkungannya. Kedua, mendukung koordinasi pengamanan siberdi sektor-sektor lainnya sesuai kebutuhan. Memperhatikan duakepentingan tersebut maka diperlukan antisipasi bagi kebutuhanpertahanan siber yang meliputi aspek-aspek :

a. Kebijakan

Kebijakan-kebijakan yang menjadi acuan bagi seluruh kegiatanpertahanan siber termasuk pengembangan, pengoperasian dankoordinasi sangat penting untuk dirumuskan dan ditetapkan.Kebijakan-kebijakan ini meliputi aspek pengembangankelembagaan, persiapan infrastruktur dan teknologi, persiapanSumber Daya Manusia dan penetapan peran, fungsi danwewenang dalam pertahanan siber di lingkungan Kemhan/TNI.Kebutuhan ini perlu diwujudkan dalam bentuk peraturan,pedoman, petunjuk teknis dan bentuk-bentuk kebijakan lainyang dapat memastikan kegiatan pertahanan siber dapatberjalan sebagaimana mestinya.

b. Kelembagaan

Kelembagaan yang kuat dan efektif sangat diperlukan dalammenjalankan tugas-tugas dan kegiatan pertahanan siber,dengan mengacu kepada kebijakan yang ditetapkan. Hal inimeliputi struktur organisasi, pembagian tugas dan wewenang,dan mekanisme kerja serta pengawasan. Kelembagaan ini perlu

Page 21: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171221

diwujudkan melalui kajian pengembangan kelembagaan diseluruh satker Kemhan/TNI yang diikuti dengan langkah-langkah persiapan, dan pembentukan, penyesuaian dan/ataupenguatan kelembagaan sehingga tersedia kelembagaan yangefektif dalam mendukung pertahanan siber.

c. Teknologi dan Infrastruktur pendukung

Teknologi dan infrastruktur pendukung yang lengkap,diperlukan sebagai sarana dan kelengkapan bagi kegiatanpertahanan siber yang diselenggarakan, agar pertahanan siberdapat terlaksana dengan efektif dan efisien. Teknologi daninfrastruktur pendukung ini perlu diwujudkan melalui kajianpengembangan yang diikuti dengan langkah-langkahpersiapan, dan pembentukan, penyesuaian dan/ataupenguatan teknologi dan infrastruktur yang dapatdimanfaatkan secara maksimal dalam memenuhi kebutuhanpertahanan siber.

d. Sumber Daya Manusia

Sumber Daya Manusia merupakan satu unsur yang terpentingdalam memastikan terlaksananya pertahanan siber sesuaidengan kebijakan-kebijakan yang ditetapkan. Pengetahuan danketrampilan khusus pertahanan siber harus dimiliki dandipelihara sesuai dengan perkembangan kondisi kebutuhanpertahanan siber. Sumber Daya Manusia diwujudkan dalambentuk program rekruitmen, pembinaan serta pemisahan yangmengacu pada ketentuan yang berlaku.

Page 22: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 22

BAB III

POKOK-POKOK PERTAHANAN SIBER

3.1. Umum

Dalam rangka persiapan, pembangunan, pengembangan danpenerapan pertahanan siber di lingkungan Kemhan/TNI, diperlukanpersamaan pemahaman tentang prinsip-prinsip, sasaran sertatugas, peran dan fungsi pertahanan siber yang akan dilaksanakan.Hal ini menjadi acuan dalam penetapan resiko yang ditimbulkansehingga menentukan langkah-langkah pertahanan siber yang akandiambil.

3.2. Prinsip-prinsip Pertahanan Siber

a. Memiliki model pengamanan informasi yang terstruktur danterintegrasi serta mengadopsi berbagai standar dan panduanpengamanan informasi yang ditetapkan oleh institusi yangberwenang.

b. Faktor kerahasiaan, integritas dan ketersediaan pertahanan siberharus dipastikan sejak tahap perancangan sebagai salah satuprinsip dasar keamanan informasi.

c. Pertahanan siber mengandung unsur kebijakan, kelembagaan,teknologi dan infrastruktur pendukung serta Sumber DayaManusia.

d. Implementasi pertahanan siber harus dilakukan oleh SDM yangmemiliki kompetensi, integritas yang tinggi dan terlindungi.

e. Dilakukan secara efektif dan efisien dalam bentuk keamanan fisikdan keamanan logis secara terintegrasi dengan memanfaatkansemaksimal mungkin teknologi terbuka dan produk Indonesiadalam rangka kemandirian dan kedaulatan.

f. Penetapan zona pengamanan berdasarkan klasifikasi SDM yangterlibat seperti administrator, pengguna dan tipe lain.

g. Mengacu kepada prinsip-prinsip tata kelola yang menjaminterwujudnya pengawasan melekat dalam pertahanan siber.

h. Menjamin bahwa implementasi sistem siber aman dan tahanterhadap serangan siber lawan

i. Mengembangkan kondisi yang lebih menguntungkan untuktindakan ofensif.

j. Menghindari kerugian pada sistem komputer yang tidakdiinginkan.

Page 23: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171223

3.3.Sasaran Pertahanan Siber.

Sasaran yang hendak dicapai pedoman ini adalah :

a. Terdapatnya pemahaman atas situasi dan kondisi terkinimenyangkut ancaman dan serangan siber khususnya dalamsektor pertahanan termasuk penanganannya baik di dalam danluar negeri.

b. Terbangunnya kesadaran (awareness) akan arti pentingpertahanan siber dalam rangka pengamanan sumber dayainformasi khususnya sektor pertahanan dan secara umum bagiinfrastruktur kritis nasional.

c. Terlibatnya semua pihak terkait secara penuh dan terpadudalam inisiatif pertahanan siber di lingkungan Kemhan/TNI.

d. Terbangunnya potensi sumber daya dalam pengembanganpertahanan siber sebagai bagian dari sistem pertahanannegara.

e. Terumuskannya strategi penangkalan, penindakan danpemulihan bidang pertahanan siber.

f. Tersedianya acuan bagi penyediaan fasilitas, sarana danprasarana serta pengetahuan dan ketrampilan gunamendukung langkah langkah persiapan, pembangunan,pengembangan dan penerapan pertahanan siber.

3.4. Tugas, Peran dan Fungsi Pertahanan Siber.

Dalam rangka memastikan pertahanan siber dapat dijalankan secarabaik, maka diperlukan dukungan kelembagaan yang kuat, profesionaldan andal untuk memastikan tujuan dari pertahanan siber dapattercapai. Kegiatan pengorganisasian ini diharapkan dapatmewujudkan peran dan fungsi sebagai integrator, inisiator,koordinator dan mediator dari seluruh kegiatan pengamananinformasi di lingkungan Kementerian Pertahanan dan TNI.

a. Tugas Pertahanan Siber.

1) Menjamin terwujudnya ketahanan siber di lingkunganKemhan dan TNI.

2) Menjaga sumber daya informasi Kemhan/TNI agarterlindung dari gangguan dan penyalahgunaan ataupemanfaatan pihak-pihak lain;

3) Menjaga keamanan informasi infrastruktur kritis TIKKemhan/TNI;

4) Mendorong partisipasi aktif pemanfaatan ruang siber yangaman melalui kerjasama kemitraan nasional dan

Page 24: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 24

internasional lintas sektoral;

5) Membangun kapasitas pertahanan siber berupa kemampuanpenangkalan, penindakan dan pemulihan; dan

6) Menyelenggarakan dan mengembangkan pengelolaankelembagaan Pertahanan Siber yang bertanggung jawab,efektif, efisien dan akuntabel;

b. Peran Pertahanan Siber.

1) Sebagai Jaringan Data Antara Satuan jajaran Yang Aman.Hal ini dilakukan untuk menjaga keamanan jaringanstrategis antara lembaga dalam upaya menjaga kerahasiaandan ketersediaan / keberlangsungan jaringan yangditerapkan secara konsisten pada semua lembaga terkait.

2) Sebagai Model Pusat Data dan Sarana Pendukung YangAman. Hal ini dilakukan untuk menjaga keamanan informasistrategis yang dapat menjadi contoh/acuan bagi semualembaga. Model Pusat Data dan Sarana pendukung harusmemberi acuan yang memperhatikan:

(a) Pemanfaatan teknologi tepat guna (usability)

(b) Kemampuan pengelolaan dan pengoperasian yangefisien dan mandiri (manageability)

(c) Kemampuan pengembangan lebih lanjut (scalability)

c. Fungsi Pertahanan Siber.

1) Menjamin tercapainya sinergi kebijakan pertahanan siber.

2) Membangun organisasi dan tata kelola sistem penanganankeamanan siber.

3) Membangun sistem yang menjamin ketersediaan informasidalam konteks pertahanan siber.

4) Membangun sistem penangkalan, penindakan danpemulihan terhadap serangan siber.

5) Mewujudkan kesadaran keamanan siber.

6) Meningkatkan keamanan sistem siber sektor pertahanan.

7) Mewujudkan riset dan pengembangan untuk mendukungpembinaan dan pengembangan kemampuan PertahananSiber.

8) Menyelenggarakan kerjasama nasional dan internasionalguna pembinaan dan pengembangan kemampuanPertahanan Siber.

Page 25: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171225

BAB IV

PENYELENGGARAAN PERTAHANAN SIBER

4.1.Umum

Pedoman pertahanan siber digunakan sebagai acuan di lingkunganKemhan/TNI dalam rangka perencanaan, pembangunanpengembangan dan implementasi pertahanan siber. Selanjutnyadalam pedoman ini diuraikan persyaratan untuk masing-masingkebutuhan kebijakan, kelembagaan, teknologi/infrastruktur danSDM.

Penangkalan, penindakan dan pemulihan dari ancaman siber tidakakan efektif jika tidak ada pengaturan kewenangan yang jelas. Dalamskala kompleksitas yang tinggi dalam penyelenggaraan pertahanansiber, pengaturan kewenangan dilakukan melalui optimalisasimasing-masing peran.

Pada satu eskalasi kejadian yang masuk dalam kategori luar biasa,koordinasi pelaksanaan pertahanan siber akan diatur melaluirujukan strategi pertahanan siber nasional. Hal ini memungkinkanPresiden selaku Kepala Negara mengambil tindakan yangdiperlukan sesuai kewenangannya dalam mengelola sistempertahanan negara, termasuk pertahanan siber. Kewenangantersebut sesuai dengan kondisi dan kebutuhan dapat didelegasikankepada Menteri Pertahanan atau pejabat lain.

4.2.Kerangka Kerja Penyelenggaraan Pertahanan Siber

Pengembangan, pembangunan dan implementasi pertahanan sibermemerlukan kerangka kerja yang akan menjadi acuan agarimplementasi dapat terjadi secara berkesinambungan dan dapatdiukur kinerjanya setiap saat. Kebutuhan ini dipenuhi denganpengembangan kerangka kerja yang meliputi kebijakan/regulasi,kelembagaan, teknologi dan SDM. Masing-masing bagian darikerangka kerja tersebut diuraikan sebagai berikut :

a. Kebijakan/regulasi

Sesuai dengan tata kelola kepemerintahan yang baik (goodcorporate governance) yang menjadi fondasi pelaksanaan tugas-tugas instansi pemerintah, termasuk Kemhan/TNI, makadiperlukan kebijakan/regulasi sebagai landasan hukum.Kebijakan dan regulasi juga diperlukan untuk menjaga arah darikegiatan-kegiatan pengembangan pembangunan dan penerapanpertahanan siber agar senantiasa sesuai dengan peraturanperundangan. Pada tingkatan operasional kebijakan regulasiberbentuk pedoman, petunjuk pelaksanaan, petunjuk teknis yangmenjadi acuan utama bagi pertahanan siber. Tata cara

Page 26: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 26

perumusan penetapan dan penerapan kebijakan pertahanan sibermengikuti tata cara berdasarkan peraturan perundangan dandilakukan dengan mempertimbangkan kebutuhan nasional,perkembangan situasi dan kondisi pertahanan siber sertaperkembangan teknologi.

1) Kebijakan dasar/pijakan untuk regulasi pertahanan siber

a) Undang-Undang Informasi dan Transaksi Elektronik (UUITE) No. 11/2008.

b) Undang-Undang No. 3 Tahun 2002 tentang PertahananNegara.

c) Peraturan Pemerintah Penyelenggara Sistem danTransaksi Elektronik (PP PSTE) No. 82/2012.

d) Peraturan Menhan Nomor 16 Tahun 2010 tentangOrganisasi dan Tata Kerja Kemhan.

2) Kebijakan strategis pertahanan siber Kemhan/TNI

a) Kebijakan umum pertahanan siber.

b) Kebijakan kelembagaan pertahanan siber.

c) Kebijakan pengembangan SDM pertahanan siber.

d) Kebijakan pembangunan teknologi, pengembangan danpemanfaatan infrastruktur pertahanan siber.

e) Kebijakan kerjasama lintas sektor pertahanan siber.

f) Kebijakan pembinaan potensi pertahanan siber.

g) Kebijakan kerjasama luar negeri.

h) Kebijakan pembangunan fasilitas dan sarana prasaranapendukung.

3) Kebijakan operasional penyelenggaraan pertahanan siber

a) Perencanaan Keamanan Informasi (Information SecurityPlanning).

b) Tanggap Darurat (Incident Response).

c) Manajemen resiko TIK (IT Risk Management).

d) Pemulihan (Disaster Recovery).

e) Rehabilitasi dan Rekonstruksi (Disaster Rehabilitation andReconstruction).

f) Manajemen Rekanan (Vendor Management).

g) Operasi Jaringan (Network Operations).

Page 27: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171227

h) Keamanan Sistem dan Aplikasi (System and ApplicationSecurity)

i) Kontrol Akses (Access Control).

j) Kontrol Perubahan (Change Control).

k) Keamanan Fisik (Physical Security).

l) Klasifikasi data, penanganan dan pemusnahan (DataClassification, Handling, and Disposal).

m) Keamanan personel (Personnel Security).

n) Akses sistem dan penggunaan baku (System Access andAcceptable Use).

o) Privasi daring (Online Privacy).

p) Pelatihan dan kesadaran keamanan (Security Training andAwareness).

q) Asesmen diri (Self Assessment).

r) Metrik dan pengukuran keamanan (Security Metrics andMeasurement).

s) Komputasi bergerak (Mobile Computing).

t) Keamanan Nirkabel (Wireless Security).

4) Manajemen Pengamanan Informasi di lingkunganKemhan/TNI. Sistem ini merupakan bagian dari sistemmanajemen secara keseluruhan yang menetapkan,menerapkan, mengoperasikan, memantau, mengkaji,meningkatkan dan memelihara keamanan informasiberdasarkan pendekatan risiko. Sistem manajemen mencakupstruktur, kebijakan, kegiatan perencanaan, tanggung jawab,praktek, prosedur, proses dan sumber daya organisasi.

a) Dalam manajemen pengamanan informasi, satkerpelaksana bidang data dan informasi di lingkunganKemhan/TNI harus melakukan hal-hal sebagai berikut :

(1) Menetapkan ruang lingkup dan batasan pengamananinformasi sesuai dengan tugas pokok, organisasi,lokasi, aset dan teknologi, termasuk rincian darisetiap pengecualian dan dasar justifikasi dari ruanglingkup.

(2) Menetapkan kebijakan pengamanan informasi sesuaidengan tugas pokok, organisasi, lokasi, aset danteknologi yang :

(a) Mencakup kerangka kerja untuk menyusun

Page 28: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 28

sasaran dan menetapkan arahan dan prinsiptindakan secara menyeluruh terkait denganpengamanan informasi.

(b) Mempertimbangkan persyaratan berkaitandengan hukum atau regulasi, serta kewajibanpengamanan informasi sesuai tugas pokok.

(c) Selaras dengan manajemen risiko strategisorganisasi dalam konteks penetapan danpemeliharaan pengamanan informasi yang akandilaksanakan.

(d) Menetapkan kriteria terhadap risiko yang akandievaluasi.

(e) Ditetapkan dengan Peraturan KepalaBadan/Dirjen atau lainnya sesuai strukturorganisasi yang ada.

(3) Menetapkan pendekatan asesmen risiko padaorganisasi dengan :

(a) Mengidentifikasi suatu metodologi asesmen risikoyang sesuai dengan manajemen pengamananinformasi, persyaratan hukum dan perundang-undangan yang berlaku.

(b) Mengembangkan kriteria untuk menerima risikodan mengidentifikasi tingkat risiko yang dapatditerima. Metodologi asesmen risiko yang dipilihharus memastikan bahwa asesmen risikomemberikan hasil yang dapat dibandingkan dandireproduksi.

(4) Mengidentifikasi risiko, yaitu :

(a) Mengidentifikasi aset informasi dalam ruanglingkup manajemen pengamanan informasi dankebijakan pimpinan.

(b) Mengidentifikasi ancaman-ancaman terhadapaset informasi.

(c) Mengidentifikasi kelemahan yang mungkindieksploitasi oleh ancaman.

(d) Mengidentifikasi dampak hilangnya kerahasiaan,integritas dan ketersediaan dari aset informasi.

Page 29: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171229

(5) Menganalisis dan mengevaluasi risiko yaitu :

(a) Menganalisis dampak yang mungkin berasal darikegagalan pengamanan informasi, denganmempertimbangkan konsekuensi hilangnyakerahasiaan, integritas atau ketersediaan asetinformasi.

(b) Menganalisis kemungkinan terjadinya kegagalanpengamanan informasi yang realistik, berkenaandengan ancaman dan kelemahan, dan dampakyang terkait dengan aset serta pengendalian yangditerapkan saat ini.

(c) Memperkirakan tingkat risiko.

(d) Menetapkan apakah risiko dapat diterima ataumemerlukan perhatian lain.

(6) Mengidentifikasi dan mengevaluasi pilihan perlakuanrisiko yang mencakup :

(a) Penerapan pengendalian yang tepat.

(b) Penerimaan risiko secara sadar dan objektif, jikarisiko tersebut memenuhi kebijakan organisasidan kriteria risiko yang dapat diterima.

(c) Pencegahan risiko.

(d) Pengalihan risiko kepada pihak lainnya sepertipihak asuransi atau pemasok.

(7) Memilih sasaran pengendalian dan pengendalianuntuk perlakuan risiko. Sasaran pengendalian danpengendalian harus dipilih dan diterapkan untukmemenuhi persyaratan yang diidentifikasi melaluiproses asesmen risiko dan proses perlakuan risiko.Pemilihan ini harus mempertimbangkan kriteriarisiko yang dapat diterima dan juga persyaratanhukum, perundang-undangan dan persyaratanlainnya.

(8) Memperoleh persetujuan pimpinan terhadap risikoresidu yang diajukan.

(9) Menyiapkan pernyataan pemberlakuan yangmencakup :

(a) Sasaran pengendalian yang dipilih dan alasan-alasan pemilihannya.

(b) Sasaran pengendalian yang diterapkan saat ini.

Page 30: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 30

(c) Pengecualian setiap sasaran pengendalian dandasar untuk pengecualiannya.

b) Penerapan dan Pengoperasian Manajemen Pengamananinformasi. Dalam menerapkan dan mengoperasikansistem manajemen ini, setiap satker harus melakukanhal-hal sebagai berikut :

(1) Merumuskan rencana perlakuan risiko yangmengidentifikasi tindakan manajemen sumber daya,tanggung jawab dan prioritas secara tepat untukmengelola risiko pengamanan informasi.

(2) Menerapkan rencana perlakuan risiko untukmencapai sasaran pengendalian yang teridentifikasi,yang mencakup pertimbangan pendanaan dan alokasiperan dan tanggung jawab.

(3) Menerapkan pengendalian yang dipilih untukmemenuhi sasaran pengendalian.

(4) Menetapkan bagaimana mengukur keefektifanpengendalian atau kelompok pengendalian yangdipilih dan menerangkan bagaimana pengukurantersebut digunakan untuk mengakses keefektifanpengendalian untuk memperoleh hasil yang dapatdibandingkan dan direproduksi.

(5) Menerapkan program pelatihan dan kepedulian.

(6) Mengelola operasi dalam manajemen pengamananinformasi.

(7) Mengelola sumber daya untuk manajemenpengamanan informasi.

(8) Menerapkan prosedur dan pengendalian lainnya yangmampu melakukan deteksi secara cepat terhadapsetiap kejadian dan insiden.

c) Memantau dan mengkaji Manajemen PengamananInformasi. Setiap satker pelaksana data dan informasi dilingkungan Kemhan/TNI harus melakukan hal-halberikut :

(1) Melaksanakan prosedur pemantauan, pengkajian danpengendalian lainnya untuk :

(a) Mendeteksi kesalahan hasil pengolahan secaracepat.

Page 31: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171231

(b) Mengidentifikasi secara cepat terhadappelanggaran dan insiden pengamanan informasibaik dalam bentuk upaya maupun yang telahberhasil.

(c) Memungkinkan pimpinan untuk menentukanapakah kegiatan pengamanan informasididelegasikan kepada orang atau diterapkandengan teknologi informasi yang dilaksanakansebagaimana diharapkan.

(d) Membantu mendeteksi kejadian keamanansehingga mencegah insiden keamanan denganmenggunakan indikator.

(e) Menentukan apakah tindakan-tindakan yangdiambil untuk memecahkan masalahpelanggaran keamanan telah efektif.

(2) Melaksanakan tinjauan keefektifan manajemenpengamanan informasi dengan mempertimbangkanhasil audit pengamanan informasi, insiden,efektifitas, pendapat dan umpan balik dari semuapihak terkait.

(3) Mengukur keefektifan pengendalian pengamananinformasi.

(4) Mengkaji asesmen risiko pada interval yangdirencanakan dengan mengkaji risiko residu dantingkat risiko yang dapat diterima serta telahdiidentifikasi dengan mempertimbangkan perubahanterhadap :

(a) Organisasi.

(b) Teknologi.

(c) Sasaran dan tata kelola.

(d) Ancaman yang diidentifikasi.

(e) Keefektifan dari pengendalian yang diterapkan.

(f) Kejadian eksternal seperti perubahan terhadaplingkungan hukum dan regulator, kewajibankontrak yang berubah dan perubahanlingkungan sosial.

(5) Melaksanakan audit internal manajemenpengamanan informasi pada interval yangdirencanakan, dimulai dari satker yang terkecil.

Page 32: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 32

(6) Melaksanakan kajian manajemen pengamananinformasi secara reguler untuk memastikan bahwaruang lingkup masih mencukupi dan peningkatanproses manajemen pengamanan informasi yangdiidentifikasi.

(7) Memutakhirkan rencana pengamanan informasidengan mempertimbangkan temuan dari kegiatanpemantauan dan pengkajian .

(8) Merekam tindakan dan kejadian yang dapatmempunyai dampak terhadap keefektifan ataukinerja manajemen pengamanan informasi.

d) Peningkatan dan Pemeliharaan Manajemen PengamananInformasi. Dalam peningkatan dan pemeliharaan sistemmanajemen pengamanan informasi, organisasi harusmelakukan secara reguler hal berikut :

(1) Menerapkan peningkatan yang diidentifikasi dalammanajemen pengamanan informasi.

(2) Mengambil tindakan korektif dan pencegahan yangtepat.

(3) Mengambil pelajaran dari pengalaman keamananinformasi organisasi lain.

(4) Mengkomunikasikan tindakan dan peningkatankepada semua pihak yang terkait dengan tingkatrincian sesuai situasi dan kondisi, dan jika relevan,menyetujui tindak lanjutnya.

(5) Memastikan bahwa peningkatan tersebut mencapaisasaran yang dimaksudkan.

5) Standar yang menjadi acuan bagi kebijakan pertahanan siber.Dalam pengembangan dan penerapan pertahanan siber,kebijakan-kebijakan yang ada akan mengacu pada standar-standar nasional maupun internasional antara lain :

a) SNI (Standar Nasional Indonesia) 27001 tentang SistemManajemen Keamanan Informasi.

b) ISO/IEC 20000 Information Technology ServiceManagement System (ITSM).

c) ISO/IEC 22000 Business Continuity Management (BCM).

d) Control Objectives for Information and related Technology(COBIT).

Page 33: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171233

e) Baseline Requirements for the Issuance and Managementof Publicly-Trusted Certificates.

f) TIA-942 Data Center Standards.

g) Open Web Application Security Project (OWASP).

h) Open Source Security Testing Methodology Manual(OSSTMM).

i) Information Systems Security Assessment Framework(ISSAF).

j) National Institute of Standards and Technology (NIST) SP800.

b. Kelembagaan/Organisasi

Kelembagaan yang dibangun harus disesuaikan dengankebutuhan penyelenggaraan pertahanan siber, guna memastikantujuan dari pertahanan siber dapat tercapai secara optimal.Kelembagaan tersebut dapat dikembangkan tersendiri secaraterpisah yang pada tahap awal dapat dipimpin pejabat setingkatEselon II. Dalam penyusunan kelembagaannya harus dipenuhipersyaratan sebagai berikut :

1) Perumusan tugas dan fungsi yang lengkap dan jelas, sesuaidengan kebutuhan pertahanan siber. Pada tahap awal,rancangan struktur organisasi dituangkan pada lampiran I.

2) Kewenangan lembaga diuraikan jelas termasuk untukmelakukan koordinasi

3) Struktur organisasi efektif untuk mendukung spesialisasi danpembagian peran agar SDM dapat fokus pada tugas masingmasing.

4) Bentuk kelembagaan dapat bertahap sesuai kesiapan dankebutuhan dari bentuk tim, satker, gugus tugas, strukturalsampai dengan badan independen.

5) Ada kebijakan formal untuk menjadi dasar butir 1, 2, 3 dan 4di atas.

c. Teknologi / Infrastruktur

Sesuai dengan ruang lingkup dan kewenangan serta skalaprioritas, kelembagaan pertahanan siber memerlukan dukunganteknologi/infrastruktur sebagai berikut :

1) Sarana prasarana gedung/lokasi pusat data, NOC,laboratorium dan fasilitas pendukung lainnya.

Page 34: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 34

2) Pusat Data dan pusat pemulihan (Disaster RecoveryCenter/DRC).

3) Jaringan Data.

4) Aplikasi administrasi pertahanan siber.

5) Aplikasi khusus teknis pertahanan siber.

6) Teknologi khusus (Perangkat keras dan perangkat lunakpendukung kegiatan spesifik pertahanan siber).

Rancangan umum spesifikasi teknis teknologi dan infrastrukturpertahanan siber dituangkan di lampiran II.

d. Sumber Daya Manusia

1) Aset utama dalam cyber security adalah personel atau SDMyang memainkan peran sangat penting dalam pertahanansiber. Tantangan terbesar dalam implementasi pertahanansiber adalah menyediakan SDM yang kompeten dansenantiasa cepat dan sigap mengikuti dinamika lingkungansiber yang terus berkembang seiring berkembangnyateknologi dan kondisi sosial masyarakat. Untuk itu strategipengembangan SDM harus didukung dengan programpeningkatan kompetensi yang berkesinambungan.

2) Agar dapat melaksanakan tugasnya dengan baik, makabeberapa persyaratan umum yang harus diperhatikan olehlembaga pertahanan siber dalam pengembangan SDM adalahsebagai berikut :

a) Rekrutmen SDM. Proses ini harus melewati uji kesiapanmental melalui tes psikologi agar sesuai dengan profil dariSDM untuk pertahanan siber, seperti : harus dapatbekerja di bawah kondisi penuh tekanan, berintegritastinggi, disiplin, memiliki kemampuan belajar dan lain-lain, sesuai dengan standar yang ditetapkan. Rekrutmenini harus melalui kajian dan perlu ditinjau ulang secaraberkala untuk mengakomodasi perkembangan situasiteknologi dan kebutuhan Pertahanan Siber Nasional.Kajian kebutuhan kompetensi ini meliputi ruang lingkuptugas, persyaratan pengetahuan dan ketrampilan yangharus dimiliki, persyaratan lain untuk memastikanadanya kemampuan untuk bekerja sesuai dengankebutuhan pertahanan siber dan desain jenjang karirprofesional yang terkait dalam Pertahanan Siber. Kajiankebutuhan kompetensi berkaitan erat dengan jenjangkarir, yang digambarkan secara umum sebagai berikut :

Page 35: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171235

b) SDM terpilih harus memiliki kompetensi sesuai dengankebutuhan, dalam hal pengetahuan dan ketrampilansesuai penempatan dan penugasan dalam pertahanansiber serta terjaminnya pembinaan karier SDM yangbersangkutan.

c) Untuk tugas-tugas khusus yang bersifat rahasia danstrategis, SDM terpilih harus memiliki statuskepegawaian yang tidak menyalahi prinsip-prinsiporganisasi pertahanan, khususnya untuk tugas yangbersifat ofensif atau dalam kondisi perang siber.

3) Pembinaan latihan dan peningkatan kemampuan SDM dapatdilakukan dengan cara sebagai berikut :

a) Program promosi/peningkatan kesadaran (Awareness)bagi seluruh stakeholder TIK.

b) Peningkatan pengetahuan/ketrampilan melalui programpelatihan dalam kelas, on the job, online dankombinasinya. Program pelatihan dimaksud terdiri dariantara lain :

(1) Information Security and Risk Management.

(2) Access Control Systems and Methodology.

(3) Cryptography.

(4) Physical Security.

(5) Telecommunications and Network Security.

(6) Security Architecture and Models.

(7) Business Continuity Planning and Disaster RecoveryPlan.

(8) Applications Security.

Page 36: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 36

(9) Operations Security.

(10) Legal, Regulations, Compliance and Investigations.

(11) Implementasi SNI 27001.

c) Pengetahuan dan ketrampilan penanganan Insiden yangharus dimiliki meliputi sekurang-kurangnya dibidang :

(1) Pengetahuan Digital Forensic.

(2) Pengetahuan Incident Response.

(3) Pengetahuan sistem operasi.

(4) Pengetahuan tentang jaringan komunikasi data.

d) Pengetahuan dan ketrampilan untuk melakukan ujipenetrasi (Penetration Test) yang dibutuhkan adalahsekurang-kurangnya :

(1) Pengetahuan dan ketrampilan keamanan informasisecara umum.

(2) Pengetahuan dan ketrampilan menggunakan alat-alatbantu penetration testing.

(3) Pengetahuan dan ketrampilan pengujian TI danpelaporan.

(4) Pengetahuan dan ketrampilan pengembanganaplikasi berbasis web/online.

e) Pengetahuan dan ketrampilan uji kesesuaian (SystemAssurance).

f) Pengetahuan dan ketrampilan sistem yang meliputi :

(1) Network Security (TCP/IP, LAN/WLAN, Routing: Static& RIP, Sniffing, Firewall).

(2) Operating Systems Security (Windows, Linux,Virtualization).

(3) Systems Infrastructure and Database Security (DHCP,DNS, RADIUS, OTP, CA, LDAP, FTP, Email, Web,MySQL).

(4) Digital Control System.

(5) System Development .

g) Pengetahuan dan kemampuan untuk merehabilitasi danrekonstruksi kerusakan-kerusakan yang terjadi padajaringan TIK dan muatannya.

h) Kurikulum bagi pendidikan dan latihan tersebut secara

Page 37: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171237

berkala harus ditinjau ulang kesesuaiannya dengankompetensi SDM Pertahanan Siber, mengingat cepatnyaperkembangan teknologi dan dinamisnya peta kondisikeamanan siber global. Pengembangan kurikulum danmateri ajar yang diberikan harus disesuaikan denganprofil pembelajaran yang dapat berbeda-beda sesuaidengan instansi yang terlibat dalam Pertahanan Siber.Selengkapnya penyusunan kurikulum dan materi ajarperlu mengacu pada kerangka kerja yang terdapat padabagan di bawah ini :

.

4.3. Tahapan Penyelenggaraan Pertahanan Siber

a. Tahap Pencegahan Serangan

1) Menerapkan arsitektur pengamanan informasi tingkat tinggi.

2) Membuat, mengimplementasikan dan mengoperasikan secaraefektif arsitektur yang mencakup seluruh tahap sikluspertahanan siber agar mampu mengatasi ancaman terhadapfaktor orang, logikal dan teknologi dari penyerang yangmemiliki sumber daya yang besar dan akses yang luas dariberbagai aspek antara lain keuangan, teknologi, intelijen danpolitik.

3) Kebijakan dan Prosedur pengamanan informasi tingkattinggi.

4) Kebijakan dan prosedur pengamanan yang mengintegrasikanfaktor pengamanan SDM, logikal dan fisik agar mampumengatasi berbagai ancaman tingkat tinggi secara efektif.

5) Pengamanan SDM tingkat tinggi.

6) Memiliki personel yang berintegritas tinggi dan profesionaluntuk membangun dan mengimplementasikan arsitekturpengamanan informasi serta mengoperasikannya secaraefektif.

Page 38: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 38

7) Pengamanan logikal tingkat tinggi, yang berlapis danterstruktur, serta terintegrasi dengan faktor pengamananSDM dan fisik.

8) Pengamanan fisik tingkat tinggi, yang berlapis danterstruktur, serta terintegrasi dengan faktor keamanan orangdan keamanan fisik.

b. Tahap Pemantauan Pengamanan Informasi

1) Pengawasan yang aman melakukan pengawasan logikal danfisik yang berintegritas dan berkerahasiaan tinggi sertamampu mendeteksi setiap proses yang tidak terotorisasi.

2) Analisa Kelemahan yang aman. Menganalisa manajemenpengamanan yang mampu menjaga kerahasiaan informasi.

3) Pengalih Serangan. Melakukan pengalihan serangan agarsistem utama terhindar dari ancaman dan dapat mempelajariteknik serangan yang dilakukan.

4) Peringatan yang aman. Memberikan peringatan real timeberlapis agar dapat menjamin ketersediaan, kerahasiaan danintegritas dari peringatan yang diberikan.

c. Tahap Analisis Serangan

1) Analisa Peringatan Serangan. Menganalisa serangan dengandukungan implementasi yang efektif dari arsitekturpengamanan tingkat tinggi yang telah ditetapkan.

2) Analisa Piranti Lunak Berbahaya. Menganalisa secaramendalam piranti lunak berbahaya yang ditemukan.

3) Investigasi dan Forensik Digital. Melakukan prosesinvestigasi dan forensik digital secara efektif sesuai denganprosedur untuk memastikan integritas hasil dari proses yangdilakukan.

d. Tahap Pertahanan

1) Isolasi Serangan. Mengisolasi serangan dengan dukunganimplementasi yang efektif dari arsitektur pengamanan tingkattinggi yang telah ditetapkan, guna mengurangi dampak yangditimbulkan.

2) Pencarian Malware. Menemukan backdoor, trojan danmalware lainnya agar tidak menjadi potensi ancamandikemudian hari.

3) Perbaikan Sistem dan Data. Memperbaiki sistem dan datayang telah diserang.

4) Pemulihan Bencana. Melakukan pemulihan sistem dan dataketika terjadi bencana.

Page 39: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171239

5) Pertimbangan Hukum dan Diplomatik. Melakukanpertimbangan hukum dan diplomatik untuk menentukanlangkah-langkah selanjutnya, termasuk untuk melaporkanke otoritas hukum dan memilih opsi serangan balik atautidak.

6) Koordinasi Dengan Organisasi Terkait. Melakukankoordinasi penanganan serangan dengan organisasi-organisasi terkait.

e. Tahap Serangan Balik. Serangan balik merupakan suatu pilihanyang harus dipertimbangkan secara matang baik dari sisi hukumdan diplomasi. Beberapa contoh serangan balik yang dapatdilakukan oleh tim khusus, antara lain peretasan, penanamanmalware, perusakan sistem dan rekayasa kondisi.

f. Tahap Peningkatan Pengamanan Informasi. Peningkatanpengamanan informasi harus selalu dilakukan berdasarkan hasil-hasil pada tahapan-tahapan sebelumnya. Peningkatanpengamanan dapat dilakukan pada salah satu atau keseluruhandari faktor-faktor arsitektur pengamanan informasi meliputipengamanan SDM, pengamanan logikal dan pengamanan fisik.

Tatacara lebih rinci dari implementasi masing-masing tahapanpenyelenggaraan pertahanan siber seperti di atas, akan dibuat olehsatker pelaksana di bidang pertahanan siber. Tahapan tersebut diatas digambarkan dalam siklus pertahanan siber yang terdapat padalampiran III.

4.4. Pentahapan Kegiatan Pertahanan Siber

Dalam mendukung aspek-aspek persiapan, pengembangan danpengoperasian pertahanan siber sebagaimana diuraikan di atas,perlu disediakan anggaran yang terprogram agar kebutuhantersebut dapat terpenuhi secara lengkap dan tepat waktu.Selanjutnya pentahapan operasional Pertahanan SiberKemhan/TNI dilaksanakan sebagai berikut :

a. Tahap Persiapan

Dalam tahapan ini dilaksanakan dua fokus kegiatan yaitu :

1) Tim Kerja (Desk) Pertahanan Siber Kementerian Pertahanan,melaksanakan penyusunan produk kebijakan PertahananSiber, sebagai berikut :

a) Peta Jalan Strategi Nasional Pertahanan Siber.

b) Peta Jalan Pembinaan Kemampuan SDM PertahananSiber.

c) Rancangan Permenhan tentang Pusat Operasi PertahananSiber.

Page 40: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 40

d) Rancangan Permenhan tentang pengamanan informasi dilingkungan Kemhan/TNI.

2) Pusdatin Kemhan melanjutkan kegiatan pembangunanteknologi dan infrastruktur (Cyber Operation Center/COC)pertahanan siber, sesuai dengan Standar Nasional Indonesia(SNI) 27001 tentang Sistem Manajemen Keamanan Informasiyang handal.

Output :

1) Produk Kebijakan yang dihasilkan Tim Kerja (Desk)Pertahanan Siber Kementerian Pertahanan, yaitu :

a) Peta Jalan Strategi Nasional Pertahanan Siber.

b) Peta Jalan Pembinaan Kemampuan SDM PertahananSiber.

c) Rancangan Permenhan tentang Pusat Operasi PertahananSiber.

d) Rancangan Permenhan tentang pengamanan informasi dilingkungan Kemhan/TNI.

2) Layanan sistem informasi dan keamanan infrastruktur TIKinternal Kemhan/TNI sebagai langkah persiapan bagimanajemen informasi yang baik.

b. Tahap Pematangan

Pada tahap ini dilaksanakan fokus kegiatan Pertahanan Sibersebagai berikut :

1) Implementasi Penyelenggaraan Pertahanan Siber KementerianPertahanan dimulai dengan penetapan kelembagaanorganisasi Pertahanan Siber.

2) Melaksanakan pengawasan audit sistem manajemenpengamanan informasi Kemhan/TNI secara independendengan cakupan SDM, Proses dan Teknologi sesuai denganSNI 27001 dan praktik terbaik pengamanan sistem informasiyang ditetapkan Kemkominfo (ISSAF, OWASP, PCI-DSS, dll)dalam melihat kesiapan pertahanan siber Kemhan/TNI.

3) Melaksanakan perekrutan dan pembinaan SDM PertahananSiber yang kompetitif berstandar nasional dan berskalainternasional, peningkatan pelatihan pertahanan siber antaralain melalui kegiatan pelatihan, seminar, lokakaryapengamanan informasi di dalam dan luar negeri.

4) Menyiapkan dashboard sistem informasi infrastruktur yangtersambung dengan sistem infrastruktur Pertahanan Siber

Page 41: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171241

lintas sektoral guna updating kebijakan dan strategipertahanan siber.

5) Pengembangan ruang komando dan pengendalian sistempertahanan siber (Cyber Operation Center) termasuk sistemsarana dan prasarana pelatihan dan penelitian, denganmengacu kepada praktik terbaik (best practises) danmemperhatikan kemandirian dan kedaulatan.

6) Menyusun konsep dan implementasi kemandirianinfrastruktur teknologi informasi dan komunikasi dalamrangka kedaulatan siber menggunakan satelit pertahanansecara mandiri, dengan kajian yang melibatkan berbagaipemangku kepentingan terkait.

7) Penyempurnaan dan peningkatan Grand Design ArsitekturEnterprise Sisfohanneg dan sistem informasi Pertahanan Siberyang selalu memperhatikan kemajuan teknologi dan kondisisosial masyarakat.

8) Menyusun IT Security Technology Policy berbasis risiko bagiPertahanan Siber untuk perangkat lunak maupun perangkatkeras.

9) Melaksanakan kegiatan kerjasama operasional dengankementerian / lembaga nasional.

Output :

1) Terlaksananya implementasi Penyelenggaraan PertahananSiber Kementerian Pertahanan, yang dimulai denganpenetapan kelembagaan organisasi Pertahanan Siber.

2) Terlaksananya pengawasan audit sistem manajemenpengamanan informasi Kemhan/TNI secara independendengan cakupan SDM, Proses dan Teknologi sesuai denganSNI 27001 dan praktik terbaik pengamanan sistem informasiyang ditetapkan Kemkominfo (ISSAF, OWASP, PCI-DSS, dll)dalam melihat kesiapan pertahanan siber Kemhan/TNI.

3) Terlaksananya perekrutan dan pembinaan SDM PertahananSiber yang kompetitif berstandar nasional dan berskalainternasional, peningkatan pelatihan pertahanan siber antaralain melalui kegiatan pelatihan, seminar, lokakaryapengamanan informasi di dalam dan luar negeri.

4) Tersedianya dashboard sistem informasi infrastruktur yangtersambung dengan sistem infrastruktur Pertahanan Siberlintas sektoral guna updating kebijakan dan strategipertahanan siber.

Page 42: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 42

5) Terwujudnya pengembangan ruang komando danpengendalian sistem pertahanan siber (Cyber OperationCenter) termasuk sistem sarana dan prasarana pelatihan danpenelitian, dengan mengacu kepada praktik terbaik (bestpractises) dan memperhatikan kemandirian dan kedaulatan.

6) Terwujudnya konsep dan implementasi kemandirianinfrastruktur teknologi informasi dan komunikasi dalamrangka kedaulatan sibe menggunakan satelit pertahanansecara mandiri, dengan kajian yang melibatkan berbagaipemangku kepentingan terkait.

7) Terwujudnya penyempurnaan dan peningkatan Grand DesignArsitektur Enterprise Sisfohanneg dan sistem informasiPertahanan Siber yang selalu memperhatikan kemajuanteknologi dan kondisi sosial masyarakat.

8) Tersusunnya IT Security Technology Policy berbasis risiko bagiPertahanan Siber untuk perangkat lunak maupun perangkatkeras.

9) Terlaksananya kegiatan kerjasama operasional dengankementerian / lembaga nasional.

c. Tahap Pemanfaatan

Pada tahap ini diharapkan akan dihasilkan kemampuan dayatangkal, daya tindak dan daya pulih dalam menghadapi serangansiber. Adapun kegiatan yang akan dilaksanakan dalam tahap iniadalah :

1) Implementasi sertifikasi standar terbaik pengamananinformasi berbasis SNI/ISO 27001.

2) Kelanjutan pembenahan pertahanan siber internalKemhan/TNI berdasarkan hasil audit pengamanan TIK ditahap sebelumnya.

3) Pengembangan Infrastruktur teknologi Informasi dankomunikasi, melalui kegiatan riset dan pengembangan yangmelibatkan lembaga profesional dibidang siber.

4) Pengembangan kemampuan profesional SDM TIKbersertifikasi sesuai dengan standar yang ditetapkanPemerintah.

5) Pengembangan Sistem Informasi Pertahanan Siber.

6) Pengembangan kerja sama operasional lintas sektoral danfasilitas strategis nasional.

7) Peningkatan kemampuan pertahanan siber yang optimal.

Page 43: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171243

8) Kerja sama internasional sistem pertahanan siber.

Output :

1) Terlaksananya implementasi sertifikasi standar terbaikpengamanan informasi berbasis SNI/ISO 27001.

2) Terlaksananya kelanjutan pembenahan pertahanan siberinternal Kemhan/TNI berdasarkan hasil audit pengamananTIK di tahap sebelumnya.

3) Terwujudnya pengembangan Infrastruktur teknologiInformasi dan komunikasi, melalui kegiatan riset danpengembangan yang melibatkan lembaga profesionaldibidang siber.

4) Tercapainya peningkatan pengembangan kemampuanprofesional SDM TIK bersertifikasi sesuai dengan standaryang ditetapkan Pemerintah.

5) Tercapainya peningkatan pengembangan Sistem InformasiPertahanan Siber.

6) Terlaksananya kerja sama operasional lintas sektoral danfasilitas strategis nasional.

7) Tercapainya peningkatan kemampuan pertahanan siberyang optimal.

8) Terwujudnya kerja sama internasional sistem pertahanansiber.

d. Tahap Optimalisasi

Fokus dalam tahap ini adalah memastikan kesiapan kemampuan(capability) dalam pertahanan siber yang lebih maju dalam segalapengertiannya, yang diharapkan sudah harus siap pada tahap ini.Kegiatan yang dilakukan pada tahun ini adalah :

1) Melaksanakan uji coba pertahanan siber terhadap seranganyang berskala luar biasa (massive) dengan instansi lain, dalammelihat kesiapan CSIRT (Computer Security Insident ResponseTeam) dan sosialisasi pengamanan informasi berdasarkanhasil kegiatan di atas.

2) Melanjutkan kegiatan riset dan pengembangan dalam halpertahanan siber.

3) Pengembangan pertahanan dan optimalisasi sistem TIKKemhan/TNI.

4) Melakukan pengembangan pelatihan pertahanan siber danmengikuti kompetisi pertahanan siber di lokal daninternasional.

Page 44: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 44

5) Melakukan asesmen risiko keamanan sistem TIK oleh pihakindependen dengan lingkup SDM, Proses dan Teknologiterhadap aset TIK di Kemhan/TNI.

6) Maintenance sertifikasi terhadap standard praktik terbaikpengamanan informasi berbasis SNI 27001.

Output :

1) Terlaksananya uji coba pertahanan siber terhadap seranganyang berskala luar biasa (massive) dengan instansi lain,dalam melihat kesiapan CSIRT (Computer Security InsidentResponse Team) dan sosialisasi pengamanan informasiberdasarkan hasil kegiatan di atas.

2) Berlanjutnya kegiatan riset dan pengembangan dalam halpertahanan siber.

3) Terwujudnya pengembangan pertahanan dan optimalisasisistem TIK Kemhan/TNI.

4) Terlaksananya pengembangan pelatihan pertahanan siber danmengikuti kompetisi pertahanan siber di lokal daninternasional.

5) Terlaksananya asesmen risiko pengamanan sistem TIK olehpihak independen dengan lingkup SDM, Proses dan Teknologiterhadap asset TIK di Kemhan/TNI.

6) Terlaksananya maintenance sertifikasi terhadap standardpraktik terbaik pengamanan informasi berbasis SNI 27001.

Page 45: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171245

BAB V

PENUTUP

Pedoman Pertahanan siber merupakan acuan penyelenggaraankegiatan pertahanan siber yang harus dipahami, dipedomani dandilaksanakan oleh seluruh satuan kerja Kemhan/TNI, sesuai dengantugas pokok dan fungsinya masing-masing.

Jakarta, 2014

Menteri Pertahanan,

Purnomo Yusgiantoro

Page 46: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 46

DAFTAR PUSTAKA

Boisot, M. (1998). Knowledge Assets. Oxford : Oxford University Press.

Carr, J. (2009). Inside Cyber Warfare : Mapping the CyberUnderworld. O’Reilly Media.

Clarke, R. A., & Knake, R. K. (2010). Cyber War. New York : HarperColins.

Erbschloe, M. (2001). Information Warfare : How to Survive CyberAttacks. New York : The McGraw-Hill.

Ghernaouti, S. (2009). Cybersecurity Guide for Developing Countries.Geneva : International Telecommunication Union.

Graham, J., Olson, R., & Howard, R. (2009). Cyber Security

Essential. Auerbach Publications.

Hutchinson, B., & Warren, M. (2001). Information Warfare. Oxford :Butterworth-Heinemann.

Kementerian Pertahanan RI. (2008). Doktrin Pertahanan Negara.Jakarta : Kementerian Pertahanan.

Kementerian Komunikasi dan Informatika RI. (2010). Buku PutihKominfo. Jakarta: Kemkominfo.

Shoemaker, D., & Conklin, A. (2011). Cyber Security : The EssentialsBody of Knowledge. Delmar Cengage Learning.

Wamala, F. (2011). The ITU National Cyber Security Strategy Guide.Geneva : International Telecommunication Union.

Page 47: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171247

LAMPIRAN I

RANCANGAN AWAL STRUKTUR ORGANISASI

Page 48: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 48

Page 49: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171249

LAMPIRAN II

RANCANGAN UMUM SPESIFIKASI TEKNIS

TEKNOLOGI DAN INFRASTRUKTUR

PERTAHANAN SIBER

Page 50: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 50

RANCANGAN UMUM SPESIFIKASI TEKNIS TEKNOLOGI DANINFRASTRUKTUR PERTAHANAN SIBER

1. Rancangan umum teknologi dan infrastruktur Pertahanan Sibersekurang-kurangnya memenuhi arsitektur sebagai berikut :

a. Rancangan Global Pengamanan Infrastruktur

1) Dasar-Dasar Perancangan

a) Alokasi gerbang akses berdasarkan fungsi dan jeniskoneksi.

b) Rancangan pola alur akses yang aman.

c) Konsep alur akses informasi yang aman.

d) Konsep alur akses administrasi sistem yang aman.

e) Peta koneksi logikal jaringan.

f) Rancangan arsitektur routing area.

g) Peta implementasi komponen pengamanan TI.

h) Rancangan arsitektur global pengamanan TI.

2) Zona Aplikasi. Setiap Aplikasi memiliki beberapa zona yangterdiri dari :

a) Zona Produksi Data Input.

b) Zona Produksi Data Output.

c) Zona Uji Coba.

d) Zona Pengembangan.

3) Pengamanan berlapis

a) Menggunakan beberapa jenis produk pengamananinformasi.

b) Setiap segmen jaringan harus dibatasi dengan i yangberbeda.

c) Setiap koneksi fisik harus diamankan menggunakanenkripsi jaringan (VPN).

d) Memungkinkan integrasi algoritma enkripsi privat untukjaringan dan media penyimpan.

e) Memungkinkan penggunaan 2 atau lebih algoritmaenkripsi berbeda untuk jaringan dan media penyimpan.

4) Pengawasan berlapis

a) Sistem deteksi intrusi di setiap segmen jaringan.

Page 51: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171251

b) Sistem pengawasan integritas sistem operasi dan aplikasi.

c) Sistem pengawasan aktivitas pengguna dan administrator.

b. Rancangan Pengamanan Jaringan

1)

Gerbang, terdiri dari:

a) Gerbang Luar.

b) Gerbang VPN Luar.

c) Gerbang VPN Dalam.

d) Gerbang Aplikasi.

e) Gerbang Database.

2) Sistem Deteksi Intrusi (SDI) Jaringan, terdiri dari :

a) SDI Luar untuk mengawasi Zona Luar, Zona Tengah,Zona Gerbang VPN.

b) SDI Dalam untuk mengawasi Zona Dalam.

c) SDI Core dan Aplikasi untuk mengawasi Zona Inti, ZonaAkses Aplikasi, Zona Database.

Page 52: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 52

c. Rancangan Keamanan Server

1) Sistem Penjaminan Integritas.

2) Enkripsi Disk.

d. Rancangan Keamanan Aplikasi

1) Source Code Library.

2) Source Code Analyzer.

e. Rancangan Keamanan Klien

1) Enkripsi keseluruhan media penyimpan dengan manajemenkunci yang aman.

2) Enkripsi aplikasi, seperti email, instant messaging, SMS,suara, dan aplikasi web dengan manajemen kunci yangaman.

3) Hanya dapat berkomunikasi ke spesifik alamat IP gerbangVPN.

4) Untuk informasi dengan tingkat keamanan maksimum,brankas digital milik pengguna hanya dapat dibuka denganmenggunakan kunci yang dimiliki pengguna dan kunci yangdimiliki infrastruktur.

f. Rancangan Keamanan Backup

1) Enkripsi media penyimpan dengan manajemen kunci yangaman.

2) Brankas tahan api untuk mengamankan media penyimpan.

g. Rancangan Keamanan Penghancuran Data

Memastikan penghancuran informasi digital dan fisik agar tidakdapat dipulihkan kembali.

2. Rancangan khusus teknologi dan infrastruktur Pertahanan Sibersekurang-kurangnya memenuhi arsitektur sebagai berikut :

a. Infrastruktur Aplikasi

1) Infrastruktur Aplikasi Umum.

a) Secure Content Management System.

b) Secure File Transfer.

c) Secure Email.

d) Secure Instant Messaging.

e) Secure Voice.

f) Secure Teleconference.

Page 53: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171253

g) Secure Ticketing.

h) Secure Printing.

2) Infrastruktur Aplikasi E-Govt (didefinisikan sesuaikebutuhan).

3) Infrastruktur Aplikasi Manajemen Pengamanan.

a) Secure Patch Management.

b) Secure Access Authorization Management.

c) Secure Change Management.

d) Secure Inventory Management.

4) Infrastruktur Aplikasi Pengamanan Logikal.

a) Pencegahan.

(1) Infrastruktur Dasar TI.

(a) Secure External DNS.

(b) Secure Internal DNS.

(c) Secure DHCP.

(d) Secure Time Reference.

(2) Infrastruktur Keamanan TI.

(a) Infrastruktur Kunci Publik.

(b) Otentikasi Kuat.

(c) Manajemen Kunci Enkripsi.

(3) Infrastruktur Pengamanan Fisik.

(a) Secure Access Control System.

(b) Secure Smart Surveillance System.

(4) Infrastruktur Administrasi Sistem.

Secure Administrator Virtual Desktop.

(5) Infrastruktur Pengguna.

Secure User Virtual Desktop.

(6) Infrastruktur Administrasi Kode Sumber.

Secure Application Library and Escrow.

b) Pemantauan.

(1) Infrastruktur Centralized Log.

(2) Infrastruktur Penjaminan Integritas.

Page 54: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 54

(3) Infrastruktur Real Time Monitoring.

(a) SIEM.

(b) Secure Real Time Alert.

(4) Infrastruktur Pengujian Keamanan.

(5) Infrastruktur Pengalih Serangan.

c) Analisa.

(1) Infrastruktur Attack Analysis.

(2) Infrastruktur Malware Analysis.

(3) Infrastruktur Digital Forensic.

d) Pertahanan.

(1) Infrastruktur Pengelolaan Insiden.

(2) Serangan (Opsional).

b. Infrastruktur Pengamanan Fisik.

1) Ruang Pusat Operasi Utama.

2) Memiliki pusat data berkwalifikasi Tier-2.

3) Memiliki fungsi Tempest.

4) Proses otentikasi dan otorisasi akses memiliki keamanantingkat tinggi.

5) Diawasi 24x7 melalui CCTV oleh pengamanan SDM.

6) Dijaga 24x7 oleh pengamanan SDM.

a) Ruang Pusat Operasi Darurat.

(1) Memiliki fasilitas rack server berkunci elektronik danfisik, pendinginan dan kelistrikan berkwalifikasi Tier-1.

(2) Memiliki fungsi Tempest.

(3) Proses otentikasi dan otorisasi akses memilikikeamanan tingkat tinggi.

(4) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

(5) Dijaga 24x7 oleh pengamanan SDM.

b) Pusat Data Utama.

(1) Pusat data berkwalifikasi Tier-3.

(2) Memiliki fungsi Tempest.

(3) Proses otentikasi dan otorisasi akses memiliki

Page 55: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171255

keamanan tingkat tinggi.

(4) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

(5) Dijaga 24x7 oleh pengamanan SDM.

c) Pusat Data Cadangan.

(1) Pusat data berkwalifikasi Tier-3.

(2) Memiliki fungsi Tempest.

(3) Proses otentikasi dan otorisasi akses memilikikeamanan tingkat tinggi.

(4) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

(5) Dijaga 24x7 oleh pengamanan SDM.

d) Ruang Perangkat Server dan Jaringan.

(1) Memiliki fasilitas rack server berkunci elektronik danfisik, pendinginan, pemadam api dan kelistrikanberkwalifikasi Tier-1.

(2) Memiliki fungsi Tempest.

(3) Proses otentikasi dan otorisasi akses memilikikeamanan tingkat tinggi.

(4) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

e) Ruang Kerja Pengguna untuk memproses informasidengan tingkat keamanan maksimum :

(1) Memiliki fungsi Tempest.

(2) Proses otentikasi dan otorisasi akses memilikikeamanan tingkat tinggi.

(3) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

f) Ruang Pencetakan untuk memproses informasi dengantingkat keamanan maksimum :

(1) Memiliki fungsi Tempest.

(2) Proses otentikasi dan otorisasi akses memilikikeamanan tingkat tinggi.

(3) Diawasi 24x7 oleh pengamanan SDM melalui CCTV.

Page 56: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.1712 56

LAMPIRAN III

SIKLUS PERTAHANAN SIBER

Page 57: BERITA NEGARA REPUBLIK INDONESIA - …ditjenpp.kemenkumham.go.id/arsip/bn/2014/bn1712-2014.pdf · ... dan berlanjut untuk menegakkan kedaulatan negara, keutuhan ... keutuhan wilayah

2014, No.171257

SIKLUS PERTAHANAN SIBER