Diskusi Publik tanggal 13 Agustus 2015 di BPRTIK Kominfo_Ciputat

1. Rancangan Peraturan Menteri
Perangkat Lunak Sistem Elektronik
DR. Hasyim Gautama, CISM, ISMS-LA
Direktorat Keamanan Informasi
Direktorat Jenderal Aplikasi Informatika
BPRTIK, 13 Agustus 2015

2. Landasan Hukum
Peraturan Pemerintah No. 82 Tahun 2012 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE)
pada Pasal 7: Perangkat Lunak
(1) Perangkat Lunak yang digunakan oleh Penyelenggara
Sistem Elektronik untuk pelayanan publik wajib:
a. terdaftar pada kementerian yang menyelenggarakan urusan
pemerintahan di bidang komunikasi dan informatika;
b. terjamin keamanan dan keandalan operasi sebagaimana
mestinya; dan
c. sesuai dengan ketentuan peraturan perundang- undangan.
(2) Ketentuan lebih lanjut mengenai persyaratan Perangkat
Lunak sebagaimana dimaksud pada ayat (1) diatur
dalam Peraturan Menteri.

3. Asas dan Ruang Lingkup [1/2]
 Penerapan Perangkat Lunak Sistem Elektronik
terhadap Penyelenggara Sistem Elektronik
untuk Pelayanan Publik berdasarkan asas
risiko.
 Ruang lingkup Perangkat Lunak Sistem
Elektronik mencakup semua kode yang
dikembangkan atau dimodifikasi dalam rangka
untuk menciptakan perangkat lunak.

4. Daftar Isi RPM
 Bab I : Ketentuan Umum
 Bab II : Asas dan Ruang Lingkup
 Bab III : Persyaratan
 Bab IV : Sistem Elektronik
 Bab V : Penerapan Persyaratan Perangkat Lunak
Sistem Elektronik
 Bab VI : Audit
 Bab VII : Tata Cara Audit
 Bab VIII : Periode Audit
 Bab IX : Pengawasan
 Bab X : Sanksi
 Bab XI : Ketentuan Peralihan
 Bab XII : Ketentuan Penutup

5. Asas dan Ruang Lingkup [2/2]
Persyaratan Perangkat Lunak Sistem Elektronik
terbagi 2 (dua) meliputi:
Persyaratan Administrasi; dan
Persyaratan Teknis.

6. Persyaratan Administrasi
1. Pengembang;
2. Nama perangkat lunak;
3. Versi;
4. Jenis layanan;
5. Rentang jumlah pemakai;
6. Siklus hidup produk perangkat lunak yang meliputi: masa
ketersediaan di pasaran (General Availability), Pemberitahuan
masa berakhirnya produk (End of Life Announcement), masa
terakhir pemesanan (Last Order Date), masa berakhirnya
produk (End of Life), masa dukungan layanan pemeliharaan
(Maintenance Support), dan masa berakhirnya dukungan (End
of Support)
7. Berbasis web atau desktop; dan
8. Sistem Operasi yang didukung.

7. Persyaratan Teknis
 Persyaratan Teknis dalam Peraturan
Menteri ini mengacu pada standar The
Open Web Application Security Project
(OWASP) Application Security Verification
Standard (ASVS)
 Mencakup 13 area persyaratan dengan
total 168 persyaratan

8. Area Persyaratan Teknis
1. Otentikasi
2. Manajemen Sesi
3. Kontrol Akses
4. Validasi Input
5. Kriptografi pada
Verifikasi Statis
6. Penanganan Error
dan Pencatatan
Log
7. Proteksi Data
8. Keamanan Komunikasi
9. Keamanan HTTP
10. Kontrol Kode
Berbahaya
11. Logic Bisnis
12. Berkas dan Sumber
Daya
13. Aplikasi Mobile

9. Level Persyaratan Teknis
Level 3
Level 2
Level 1
 168 persyaratan
 49 persyaratan
 118 persyaratan

10. Contoh Persyaratan Teknis

11. Sistem Elektronik berdasarkan asas Risiko dalam
RPM Sistem Manajemen Pengamanan Informasi
terbagi menjadi:
SE Strategis
SE Tinggi
SE Rendah
Kategorisasi Sistem Elektronik

12. Kewajiban PSE
 Penyelenggara Sistem Elektronik wajib
melakukan pendaftaran dengan
menyerahkan kelengkapan Persyaratan
Administrasi Perangkat Lunak
 Penyelenggara Sistem Elektronik wajib
menggunakan Perangkat Lunak yang level
Persyaratan Teknisnya sesuai dengan risiko
Sistem Elektronik
Kewajiban ini merupakan bagian dari sertifikasi
Sistem Manajemen Pengamanan Informasi

13. Kesesuaian Persyaratan
Level 3
Level 2
Level 1
SE Strategis
SE Tinggi
SE Rendah
Kategorisasi SE Level Persyaratan PL

14. Audit
 Setiap Perangkat lunak yang digunakan
untuk Pelayanan Publik harus menjalani
proses audit
 Audit dilakukan oleh Auditor Perangkat
Lunak yang ditetapkan oleh Menteri
 Menteri menetapkan daftar Auditor
Perangkat Lunak
 Ketentuan lebih lanjut mengenai
Penetapan Auditor Perangkat Lunak diatur
dengan Peraturan Menteri.

15. Tata Cara Audit [1/2]
 Auditor melakukan audit Perangkat Lunak
terhadap Persyaratan Teknis
 Auditor Perangkat Lunak harus
menyerahkan hasil audit kepada Menteri
 Berdasarkan hasil audit sebagaimana
dimaksud pada ayat (2), Menteri c.q.
Direktur Jenderal menetapkan level
Persyaratan Teknis Perangkat Lunak.

16. Tata Cara Audit [2/2]
 Penetapan Level Persyaratan Teknis
Perangkat Lunak sebagaimana dimaksud
pada ayat (3) paling lambat 14 (empat
belas) hari kerja setelah hasil audit
dinyatakan lengkap
 Menteri c.q. Direktur Jenderal menyusun
daftar Hasil Penetapan Level Persyaratan
Teknis Perangkat Lunak (“Trusted List”)

17. Pengawasan
 Menteri melakukan pengawasan terhadap
Perangkat Lunak yang digunakan oleh
Penyelenggara Sistem Elektronik
 Pengawasan dilakukan secara berkala 1 (satu)
tahun sekali atau sewaktu-waktu melalui
pemantauan, pengendalian, pemeriksaan,
penelusuran, dan pengamanan.
 Ketentuan mengenai pengawasan atas
penyelenggaraan Sistem Elektronik dalam
sektor tertentu wajib dibuat oleh Instansi
Pengawas dan Pengatur Sektor terkait setelah
berkoordinasi dengan Menteri.

18. Sanksi
 Sanksi administratif pada RPM ini dapat
berupa:
 teguran tertulis
 dikeluarkan dari “Trusted List”
 Dapat juga mengakibatkan dicabutnya
sertifikasi Sistem Manajemen Pengamanan
Informasi (SMPI) yang dimiliki oleh
Penyelenggara Sistem Elektronik

19. Terima Kasih