Pengujian Kerentanan Keamanan
TKTIK.09 LAYANAN PENGUJIAN KERENTANAN KEAMANAN
Layanan pengujian kerentanan keamanan aplikasi/layanan TIK untuk Unit dan Satuan Kerja di lingkungan Kemendikbud dengan cakupan layanan :
- Layanan lingkungan unit kerja Kemendikbud;
- Layanan yang menggunakan infrastruktur Kemendikbud;
- Layanan yang sesuai regulasi pengembangan aplikasi TIK Kemendikbud;
- Pengujian Kerentanan Aplikasi;
- Pengujian Penetrasi Aplikasi;
- Pengujian Beban Aplikasi
Layanan tidak mencakup :
- Layanan yang tidak sesuai Permendikbud No.99 tahun 2013 tentang Tata Kelola TIK di lingkungan Kemendikbud;
- Layanan unit/satuan kerja di luar lingkungan Kemendikbud;
- Pengujian logika aplikasi
Tujuan Layanan
Melakukan pengujian yang meliputi uji kerentanan, penetrasi dan beban aplikasi sehingga meminimalisir celah keamanan serta menjaga ketersediaan dan kehandalan aplikasi/layanan TIK yang akan dipublikasikan.
Sasaran Layanan
Seluruh aplikasi/layanan TIK di lingkungan Kemendikbud
Kelas Layanan
A. Dalam Jaringan (Daring) :
- Pengujian dilakukan didalam area laboratorium pengujian
- Pengujian mengunakan infrastruktur internal laboratorium pengujian
B. Luar Jaringan (Luring) :
- Pengujian dilakukan saat aplikasi berjalan secara luring melalui infrastruktur yang dimiliki satuan kerja/Datacenter Pusdatin
Komponen Layanan
A. Uji Kerawanan
- Information Gathering
- Configuration Management Testing
- Authentication Testing
- Session Management
- Authorization Testing
- Denial of Service Testing
B. Uji Penetrasi
- White Box : Diberikan semua informasi aplikasi dan entitas pendukung yang digunakan (akses ke sistem operasi, akses ke level aplikasi, akses ke database, Akses Alamat IP, User, Password, Sistem Operasi, Aplikasi, Database)
- Black Box : Tidak ada informasi akses yang diberikan
- Gray Box : Diberikan sebagian informasi aplikasi dan entitas pendukung yang digunakan. Informasi yang diberikan : akses ke level aplikasi , Akses Alamat IP, User Password, Aplikasi
C. Uji Beban
- Uji Performansi (karakter website, kemampuan melayani pengguna)
- Uji Tekanan (kemampuan responsibel web, halaman yang berhasil diakses)
- Uji Daya Tahan (kemampuan aplikasi dengan durasi waktu akses tertentu dan dilihat kondisi fisik pendukungnya)
Syarat Pengajuan
Persyaratan Layanan
- Unit utama dan Satuan Kerja di lingkungan Kemendikbud;
- Surat Permohonan dan dilampiri Formulir Pengujian Kerentanan Aplikasi;
- Aplikasi dan/atau data yang akan diuji dalam bentuk CD/DVD R dan atau URL sistem secara online;
- Dokumen manual instalasi;
- Dokumen manual penggunaan aplikasi;
- Dokumen UAT (User Acceptance Test)
- Pusdatin akan melakukan uji kerentanan secara remote untuk mengidentifikasi kerentanan dan atau kelemahan konfigurasi aplikasi pada komputer atau perangkat yang dimiliki dan dioperasikan oleh pemilik layanan
- Rincian penggunaan alamat IP, URL dan atau sumber daya lainnya dalam ruang lingkup pengujian ada dalam lampiran
- Pusdatin diberi wewenang oleh pemilik layanan untuk melakukan pengujian sesuai rentang waktu yang disepakati
- Komunikasi selama pengujian berlangsung dilakukan melalui nomor kontak yang tertulis dalam perjanjian ini
- Selama pengujian berlangsung, pemilik layanan dapat meminta Pusdatin untuk menghentikan pengujian
- Pusdatin menjamin bahwa pengujian dilakukan secara bertanggung jawab tanpa mengubah aplikasi, data, program atau komponen jaringan yang digunakan
- Pusdatin tidak memberikan jaminan baik tertulis dan tidak tertulis bahwa hasil uji akan sekaligus memberikan peningkatan keamanan pada aplikasi
- Pemilik layanan tidak akan menuntut kepada Pusdatin baik secara langsung maupun tidak langsung jika muncul dampak kegagalan operasional layanan aplikasi baik saat pengujian dan setelah pengujian
- Pemilik layanan bertanggung jawab atas perlindungan data untuk antisipasi hilangnya data, berfungsinya kembali data untuk sistem, akurasi data, dan turunnya respon aplikasi saat pengujian berlangsung
- Pusdatin menjaga kerahasiaan informasi apapun atas pengujian yang dilakukan
- Informasi yang bersifat rahasia (data pribadi, informasi akses) hanya dapat digunakan untuk tujuan tes, dan jika melibatkan pihak ketiga harus mendapatkan izin tertulis dari pemilik layanan
- Semua materi rahasia akan dihapus setelah pengujian selesai dan telah dibuat laporan pengujian serta diberikan kepada pemilik layanan
- Pemilik layanan akan merespon secara normal tanpa ada tindakan lebih lanjut atas aktifitas pengujian yang sedang berlangsung dan terdeteksi pada sistem keamanan yang dimiliki pemilik layanan (misal : internal IDS/IPS, log firewall)
- Isi perjanjian dan lampiran ini tidak akan berubah kecuali dilakukan perubahan secara tertulis dan disepakati kedua pihak
Permintaan Layanan
Permintaan layanan ditujukan kepada Kepala Pusdatin melalui Formulir Pengujian Kerentanan Keamanan yang ditandatangani minimal Eselon IV dan dibubuhi stempel instansi, kemudian dikirimkan ke SELI.