1. DISEMINASI PERATURAN BSSN NOMOR 8 TAHUN 2020 TENTANG SISTEM
PENGAMANAN DALAM PENYELENGGARAAN SISTEM ELEKTRONIK
DAN
RANCANGAN PERATURAN PRESIDEN TENTANG PELINDUNGAN
INFRASTRUKTUR INFORMASI VITAL
Dit. Proteksi IIKN, Deputi Bidang Proteksi
BSSN
2. PERATURAN BSSN NOMOR 8 TAHUN 2020
TENTANG
SISTEM PENGAMANAN DALAM
PENYELENGGARAAN SISTEM ELEKTRONIK
Badan Siber dan
Sandi Negara
3. Peraturan Menteri Komunikasi dan
Informatika Nomor 4 Tahun 2016 tentang
SMPI
Peraturan BSSN Nomor 8 Tahun 2020 tentang
Sistem Pengamanan dalam Penyelenggaraan
Sistem Elektronik
PENDAHULUAN
Surat Kepala BSSN nomor 3665/KABSSN/HK.02.01/12/2020
tanggal 30 Desember 2020 tentang Permohonan
Pencabutan Peraturan Menteri Komunikasi dan Informatika
Nomor 4 Tahun 2016 tentang SMPI.
Mengatur mengenai penerapan Sistem Manajemen
Pengamanan Informasi oleh Penyelenggara Sistem
Elektronik untuk Pelayanan Publik berdasarkan asas
Risiko.
Mengatur mengenai penerapan SMPI oleh Penyelenggara
Sistem Elektronik Lingkup Publik dan Privat berdasarkan
asas Risiko.
Melaksanakan ketentuan Pasal 24
ayat (4) PP 71/2019 PSTE
4. DASAR HUKUM
Melaksanakan ketentuan Pasal 24 ayat (4) Peraturan Pemerintah Republik Indonesia Nomor 71 Tahun 2019
tentang Penyelenggaraan Sistem dan Transaksi Elektronik
UU Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-
Undang Nomor 11 Tahun 2008 tentang Informasi dan
Transaksi Elektronik
Peraturan Pemerintah Nomor 24 Tahun 2018 tentang
Pelayanan Perizinan Berusaha Terintegrasi Secara Elektronik
Peraturan Pemerintah Nomor 71 Tahun 2019 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik
Peraturan Presiden Nomor 53 Tahun 2017 tentang Badan Siber dan
Sandi Negara sebagaimana telah diubah dengan Peraturan Presiden
Nomor 133 Tahun 2017 tentang Perubahan Atas Peraturan Presiden
Nomor 53 Tahun 2017 Tentang Badan Siber dan Sandi Negara
Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem
Pemerintah Berbasis Elektronik
Mengingat :
Menimbang :
Peraturan BSSN Nomor 2 Tahun 2018 tentang Organisasi dan Tata
Kerja Badan Siber dan Sandi Negara
5. SISTEM PENGAMANAN DALAM
PENYELENGGARAAN SISTEM ELEKTRONIK
Sanksi
Pembinaan dan pengawasan
Penyelenggaraan SMPI yang terdiri atas:
1) standar SMPI sesuai kategori Sistem Elektronik;
2) persiapan penerapan SMPI;
3) penerapan SMPI oleh Penyelenggara Sistem
Elektronik;
4) penerbitan sertifikat, pelaporan sertifikasi, dan
pencabutan sertifikat;
Proses Penilaian Mandiri dan kategori Sistem
Elektronik
Ruang lingkup Penyelenggara Sistem Elektronik
Lingkup Publik dan Penyelenggara Sistem Elektronik
Lingkup Privat
e.
d.
c.
b.
a.
6. PIHAK YANG TERLIBAT
01
02
03
Lembaga Sertifikasi SMPI (LS)
lembaga audit keamanan informasi yang menerbitkan Sertifikat
Sistem Manajemen Pengamanan Informasi.
Auditor Keamanan Informasi (ArKI)
orang yang memiliki kompetensi untuk melakukan audit keamanan
informasi.
05
Tenaga Ahli
Penyelenggara Sistem Elektronik (PSE)
Setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat
yang menyediakan, mengelola, dan/atau mengoperasikan Sistem
Elektronik secara sendiri-sendiri maupun bersama-sama kepada
Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau
keperluan pihak lain.
04
Kementerian atau Lembaga
06
BSSN
Lembaga pemerintah yang menyelenggarakan tugas
pemerintahan di bidang keamanan siber
instansi penyelenggara negara yang bertugas mengawasi dan
mengeluarkan pengaturan terhadap sektornya.
orang yang memiliki kompetensi dalam penerapan
SMPI.
07
Lembaga Konsultan SMPI (LK)
Lembaga yang membantu PSE dalam
menerapkan SMPI
8. PERAN BSSN
PENGAWASAN
Terhadap:
Penyelenggara Sistem Elektronik,
Lembaga Sertifikasi, Lembaga Konsultan
dan Tenaga Ahli
Melalui:
pemantauan, evaluasi, penelusuran, dan
pemeriksaan.
PEMBINAAN
Terhadap:
• Penyelenggara Sistem Elektronik;
• Tenaga Ahli;
• Lembaga Konsultan;
• Lembaga Sertifikasi.
mencakup:
penyuluhan, pelatihan, bimbingan
teknis, dan/atau asistensi
10. Proses Penilaian dan Penetapan Kategorisasi Sistem Elektronik (SE)
PSE melakukan
penilaian mandiri
terhadap Sistem
Elektronik yang dimiliki
berdasarkan kriteria
kategorisasi
Hasil penilaian mandiri
wajib dilaporkan kepada
BSSN untuk diverifikasi
BSSN Melakukan Verifikasi (paling lambat 10 hari kerja )
Strategis
• ditetapkan oleh Kepala BSSN
berdasarkan hasil koordinasi dengan
Kementerian/Lembaga terkait.
Tinggi
Ditetapkan oleh Kepala BSSN
Rendah
Ditetapkan oleh Kepala BSSN
BSSN menyampaikan penetapan kepada Penyelenggara Sistem Elektronik dan Kementerian atau Lembaga
terkait
dan/
atau
11. Kategorisasi Sistem Elektronik
11
STRATEGIS
• berdampak serius terhadap
kepentingan umum, Pelayanan Publik,
kelancaran penyelenggaraan negara,
atau pertahanan dan keamanan negara
• Wajib menerapkan:
a. SNI ISO/IEC 27001;
b. standar keamanan lain yang terkait
dengan keamanan siber yang
ditetapkan oleh BSSN; dan
c. standar keamanan lain yang terkait
dengan keamanan siber yang
ditetapkan oleh Kementerian atau
Lembaga.
RENDAH
• Sistem Elektronik lainnya yang
tidak termasuk pada SE Strategis
dan Tinggi.
• Wajib Menerapkan:
a. SNI ISO/IEC 27001; atau
b. standar keamanan lain yang
terkait dengan keamanan
siber yang ditetapkan oleh
BSSN.
TINGGI
• berdampak terbatas pada
kepentingan sektor dan/atau
daerah tertentu.
• Wajib Menerapkan:
a. SNI ISO/IEC 27001 dan/atau
standar keamanan lain yang
terkait dengan keamanan
siber yang ditetapkan oleh
BSSN; dan
b. standar keamanan lain yang
terkait dengan keamanan
siber yang ditetapkan oleh
Kementerian atau Lembaga.
12. Proses Penerapan SMPI oleh Penyelenggara Sistem Elektronik
Tahap Persiapan Penerapan SMPI
PSE yang menggunakan standar SNI
ISO/IEC 27001 dapat menggunakan
Indeks Kami
Tahap Penerapan SMPI
• secara mandiri oleh Penyelenggara
Sistem Elektronik,
• menggunakan Tenaga Ahli
berkewarganegaraan Indonesia; atau
• menggunakan lembaga konsultan yang
diakui oleh BSSN.
PSE
BSSN
INDEKS KAMI
Penerapan
Mandiri
Tenaga Ahli
Lembaga Konsultan
Sertifikasi
Lembaga Sertifikasi
13. Proses Pendaftaran sebagai Lembaga Konsultan SMPI
Verifikasi kelengkapan
dokumen persyaratan
Persyaratan
• Berbentuk badan hukum
Indonesia;
• Berdomisili di Indonesia
• Memiliki tim implementor yang
beranggotakan paling sedikit 1
(satu) orang implementor
berkewarganegaraan Indonesia.
LEMBAGA KONSULTAN SMPI
1
2
Mengajukan permohonan kepada Kepala
BSSN sebagai Lembaga Konsultan SMPI
3
BSSN (D2)
• Melakukan
penilaian
terhadap
permohonan
pengakuan
4
14 hari kerja setelah dokumen
permohonan dinyatakan lengkap
5
Kepala BSSN memberikan
pengakuan kepada lembaga
konsultan sebagai lembaga
konsultan SMPI
6
Pengakuan Lembaga Konsultan dalam bentuk
sertifikat pengakuan lembaga konsultan SMPI
berlaku dalam jangka waktu 5 tahun dan
dicantumkan dalam daftar lembaga konsultan
SMPI
7
Sertifikat pengakuan lembaga konsultan dinyatakan
tidak berlaku apabila:
• habis masa berlaku
• melanggar ketentuan perundang-undangan; atau
• dinyatakan pailit sesuai ketentuan
perundangundangan.
14. Proses Pendaftaran sebagai Implementor SMPI
Verifikasi kelengkapan
dokumen persyaratan
Persyaratan
•surat permohonan;
•ijasah pendidikan terakhir paling rendah Strata-1;
•daftar riwayat hidup;
•sertifikat kelulusan uji kompetensi di bidang
•Keamanan Informasi;
•sertifikat kelulusan uji kompetensi sebagai
•implementor SNI ISO/IEC 27001;
•dokumen yang menyatakan masa pengalaman kerja
•di bidang teknologi informasi terutama dalam bidang
•implementasi Keamanan Informasi; dan
•fotokopi kartu identitas diri.
Implementor SMPI
1
2
Mengajukan permohonan Surat Tanda Register
implementor SMPI kepada Kepala BSSN
3
BSSN (D4)
• Melakukan
penilaian
terhadap
permohonan
pengakuan
4
14 hari kerja setelah dokumen
permohonan dinyatakan lengkap
5
Kepala BSSN
memberikan Surat tanda
register implementor
6
Surat Tanda Registrasi Berlaku untuk
jangka waktu 5 tahun dan dicantumkan
dalam daftar Implementor SMPI
7
Surat Tanda Registrasi dinyatakan tidak berlaku apabila:
• meninggal dunia;
• habis masa berlaku Surat Tanda Registrasi;
• melanggar ketentuan peraturan perundang undangan.
15. Proses Pendaftaran sebagai Lembaga Sertifikasi dan Auditor
Tugas Lembaga Sertifikasi adalah melakukan Sertifikasi SMPI
dengan menugaskan Auditor keamanan Informasi (ArKI) untuk
melakukan audit SMPI terhadap Penyelenggara Sistem
Elektronik
Catatan :
Ketentuan mengenai pendaftaran Lembaga sertifikasi dan
Auditor diatur dalam Rancangan Peraturan BSSN tentang Audit
Keamanan Informasi (dalam proses perancangan/penyusunan).
16. Tahap Penerbitan Sertifikat dan Pelaporan Sertifikasi SMPI
LS wajib menyampaikan laporan
hasil sertifikasi SMPI secara periodik
paling sedikit 2 kali dalam 1 tahun
kepada kepala BSSN
LS
Menyampaikan
hasil Audit dan
menerbitkan
sertifikat SMPI
LS
Menyampaikan
hasil Audit
kepada PSE
Melakukan Audit
1
2
3
4
5
6 7
Tim ArKI
Lembaga Sertifikasi
menugaskan tim ArKI
untuk melakukan audit
SMPI terhadap PSE
PSE
Hasil audit dilaporkan
ke LS yang menugaskan
LS mengkaji hasil
audit
8
Laporan hasil sertifikasi SMPI
paling sedikit memuat:
• data PSE yang mengajukan
sertifikasi;
• data PSE yang mendapatkan
Sertifikat SMPI;
• data PSE yang dicabut
kepemilikan sertifikatnya;
• ringkasan eksekutif;
• perubahan daftar tim ArKI; dan
• perubahan daftar tim pengambil
keputusan sertifikasi.
Tidak
Memenuhi
Standar
Memenuhi
Standar
17. Tahap Pencabutan Sertifikat
Jika hasil audit
pengawasan
tidak memenuhi
standar (Pasal 7
ayat 1), diberikan
waktu paling
lama 90 hari
kalender untuk
memenuhi
standar tersebut
Pencabutan wajib
dilaporkan oleh LS
kepada BSSN paling
lambat 2 hari kerja
sejak dilakukan
pencabutan.
LS
Menyampaikan
hasil Audit dan
menerbitkan
sertifikat SMPI
LS
Menyampaikan
hasil Audit
kepada PSE
Melakukan Audit
1
2
3
4
5
6
7
Tim ArKI
Lembaga Sertifikasi
menugaskan tim ArKI untuk
melakukan audit Pengawasan/
Audit SMPI terhadap PSE
PSE
Hasil audit dilaporkan
ke LS yang
menugaskan
LS mengkaji hasil
audit
Tidak
Memenuhi
Standar
Memenuhi
Standar
8
LS wajib
melaksanakan
audit pengawasan
paling sedikit 1
kali dalam
setahun dan audit
khusus apabila
terjadi insiden
terhadap setiap
SE yang telah
tersertifikasi Jika setelah 90 hari
kalender belum
terpenuhi, maka LS
dapat mencabut
Sertifikat SMPI
terkait
18. Sanksi
Kepala BSSN memberikan Sanksi Administratif
kepada Penyelenggara Sistem Elektronik yang
melakukan pelanggaran ketentuan sebagaimana
dimaksud dalam
→ Pasal 7 ayat (3), Pasal 9 ayat (1), ayat (2), dan
ayat (3), Pasal 10, Pasal 11, Pasal 14 ayat (2),
dan Pasal 43 ayat (2).
dikenai sanksi administratif berupa teguran
tertulis (Teguran tertulis diberikan setelah
ditemukannya pelanggaran )
Lembaga Sertifikasi yang melakukan pelanggaran
ketentuan sebagaimana dimaksud dalam
→ 31 ayat (1), Pasal 32, Pasal 33, Pasal 34 ayat
(3).
dikenai sanksi administratif berupa:
a. peringatan tertulis;
b. pembekuan Sertifikat Pengakuan Lembaga
Sertifikasi; atau
c. pencabutan Sertifikat Pengakuan Lembaga
Sertifikasi.
19. Ketentuan Peralihan
1) Sertifikat SMPI yang telah diterbitkan sebelum diundangkannya Peraturan Badan ini,
dinyatakan tetap berlaku.
2) PSE yang telah menggunakan Tenaga Ahli asing sebelum Peraturan Badan ini berlaku wajib
melaporkannya pada unit kerja yang melaksanakan tugas dan fungsi di bidang
pemantauan sumber daya manusia keamanan siber dan sandi paling lambat 30 (tiga
puluh) hari setelah Peraturan Badan ini diundangkan.
3) Lembaga Sertifikasi, lembaga konsultan dan Tenaga Ahli yang telah mendapat pengakuan
dari menteri yang membidangi komunikasi dan informatika tetap diakui sepanjang tidak
bertentangan dengan Peraturan Badan ini.
Catatan :
Terkait Poin ke 2, BSSN telah membuat Draft Surat Edaran Kepala BSSN tentang Penangguhan Pelaporan
Tenaga Ahli Asing Yang Terdapat Pada Pasal 43 Ayat (2) Peraturan Bssn No 8 Tahun 2020 Tentang Sistem
Pengamanan Dalam Penyelenggaraan Sistem Elektronik
20. PTSP (Pelayanan Terpadu Satu Pintu) BSSN
Jl. Raya Muchtar No.70, Bojongsari Lama, Kec.
Bojongsari, Kota Depok, Jawa Barat 16516
email : humas@bssn.go.id
22. Latar Belakang :
Interdependensi Sektor
Infrastruktur Informasi Vital (IIV)
• Faktor keterhubungan
antar sektor, baik dalam
hal berbagi informasi
maupun menjadi bagian
dari suatu proses bisnis;
• Akibatnya, jika ada celah
kerawanan pada satu
sistem di salah satu sektor
industri, dapat juga
membahayakan sistem di
sektor lainnya;
• Oleh karenanya, penting
untuk menjaga keamanan
seluruh sektor.
23. Latar Belakang : Aspek Regulasi
PP 71/2019 Tentang
Penyelenggaraan Sistem
dan Transaksi Elektronik
Keppres 63/2004
Tentang Pengamanan
Obyek Vital Nasional
Rancangan Perpres
Pelindungan Infrastruktur
Informasi Vital
Obyek Vital Nasional
(Pasal 1)
Kawasan/Lokasi
Bangunan/Instalasi
Dan/atau Usaha
Pasal 94 ayat 1: Peran Pemerintah
untuk melindungi kepentingan
umum..., meliputi :
(c) pengaturan penyelenggaraan
pelindungan Infrastruktur informasi
vital;
(f) pembinaan dan pengawasan
penyelenggaraan pelindungan
infrastruktur informasi vital;
Mengatur lebih lanjut
mengenai:
• Penentuan dan
Penetapan Sektor
Strategis,
• Penyelenggaraan
Pelindungan IIV,
• Binwas
penyelenggaraan
pelindungan IIV.
24. 10 February 2021 TERBATAS 24
Tantangan Saat Ini
Penanganan dan Pelaporan Insiden
• Belum semua penyelenggara IIV mempunyai tim CSIRT
• Belum ada CSIRT sectoral di IIV
• Belum ada mekanisme pelaporan insiden
Organisasi
Belum semua stakeholder IIV memiliki unit khusus atau bahkan
deskripsi pekerjaan mengenai keamanan siber.
Pola Koordinasi dan Kolaborasi
Belum maksimalnya koordinasi dan kolaborasi antar stakeholder di
IIV, dikarenakan tidak adanya regulasi yang mewajibkan.
Information sharing
• Belum semua stakeholder IIV berbagi informasi tentang ancaman atau
insiden keamanan siber.
• Belum semua sektor memiliki wadah atau forum berbagi informasi.
Sumber daya manusia
• Saat ini Indonesia Kekurangan pakar dan tenaga terampil di bidang
keamanan siber di sektor IIV, khususnya terkait keamanan pada
operational technology - industrial control system.
• Belum semua stakeholder IIV menerapkan perjanjian kerahasiaan
informasi pada SDM yang mengoperasikan IIV.
Peran Instansi Pembina di masing-masing sektor
• Sampai saat ini belum jelas tentang penetapan Instansi Pengatur dan
Pengawas Sektor (IPPS) ;
• Pemahaman tentang keamanan cyber di regulator sektor masih
beragam
25. CII-Protection
• melindungi keberlangsungan
penyelenggaraan Infrastruktur Informasi Vital
secara aman, andal, dan terpercaya;
• mencegah gangguan dan/atau kegagalan
beroperasinya lnfrastruktur Informasi Vital
akibat serangan siber, dan/atau
ancaman/kerentanan lainnya; dan
• meningkatkan kesiapan dalam menghadapi
Insiden Siber dan mempercepat pemulihan
dari dampak Insiden Siber yang terjadi.
Tujuan R-Perpres Pelindungan
Infrastruktur Informasi Vital
26. Pusat
Daerah
Penegak
Hukum
TNI- AD
TNI-AL
TNI-AU
Darat
Laut
Udara
Bank BUMN
Bank Daerah
Bank Swasta
Pertamina
PT PLN
ANTAM
Operator
NAP
ISP
BULOG
PTPN
Karantina
• Sistem • Layanan • Fasilitas • Aset • Proses Bisnis
Tim
Kordinasi
Pelindungan
IIV
SEKTOR
K / L
RS Pemr.
RS Swasta
RSUD
Farmasi
TUGAS
1. Identifikasi 4. Pengelolaan insiden 7. BCP
2. penerapan Standar 5. Sharing Info 8. Evaluasi
3. Manajemen Risiko 6. Bin/Was SDM 9. Kerjasama
PINDAD
PT.DI
PT. PAL
P e n y e -
l e n g g a r a
I I V
Pemerintah Pertahanan Transportasi Keuangan Kesehatan ESDM TIK Pangan Industri
Mencegah gangguan beroperasinya
IIV akibat serangan siber
Melindungi keberlangsungan
penyelenggaraan IIV
Meningkatkan kesiapan dalam
menghadapi Insiden Siber di IIV
Kerangka
Kerja
Pelindungan
IIV Tujuan
C S I R T
s e c t o r
I S A C
T i m
C S I R T
27. • BAB I Ketentuan Umum
• BAB II Identifikasi IIV
• Identifikasi Sektor IIV
• Identifikasi sistem/layanan IIV
• BAB III Penyelenggaraan
Pelindungan IIV
• Kerangka Kerja Pelindungan IIV
• Penerapan Standar Keamanan Siber
• Manajemen Risiko
• Pengelolaan Insiden Siber
• Keberlangsungan Bisnis dan
Pemulihan Bencana Penyelenggaraan
IIV
• Berbagi Informasi Keamanan Siber
❑ BAB IV Peningkatan Kapasitas
Sumber Daya Pelindungan IIV
▪ Peningkatan Kapasitas SDM
Penyelenggara IIV
▪ Kerja Sama
▪ Evaluasi Kematangan Penerapan
Pelindungan IIV
❑ BAB V Tim Koordinasi Nasional
Pelindungan IIV
▪ Anggota Tim Koordinasi
▪ Tugas Tim Koordinasi
❑ BAB VI Sanksi
❑ BAB VII Penutup
Kerangka R-Perpres Pelindungan
Infrastruktur Informasi Vital (IIV)
28. BADAN SIBER DAN SANDI NEGARA
“Terima Kasih”
BADAN SIBER DAN SANDI NEGARA
“(Ingatlah) Kechilafan Satu Orang Sahaja Tjukup Sudah Menjebabkan Keruntuhan Negara”