[ SELI ]

Sistem Elektronik Layanan Infrastruktur

TKTIK.09 LAYANAN PENGUJIAN KERENTANAN KEAMANAN

Layanan pengujian kerentanan keamanan aplikasi/layanan TIK untuk Unit dan Satuan Kerja di lingkungan Kemendikbud dengan cakupan layanan :

  1. Layanan lingkungan unit kerja Kemendikbud;
  2. Layanan yang menggunakan infrastruktur Kemendikbud;
  3. Layanan yang sesuai regulasi pengembangan aplikasi TIK Kemendikbud;
  4. Pengujian Kerentanan Aplikasi;
  5. Pengujian Penetrasi Aplikasi;
  6. Pengujian Beban Aplikasi

Layanan tidak mencakup :

  1. Layanan yang tidak sesuai Permendikbud No.99  tahun 2013 tentang Tata Kelola TIK di lingkungan Kemendikbud;
  2. Layanan unit/satuan kerja di luar lingkungan Kemendikbud;
  3. Pengujian logika aplikasi

Tujuan Layanan

Melakukan pengujian yang meliputi uji kerentanan, penetrasi dan beban aplikasi sehingga meminimalisir celah keamanan serta menjaga ketersediaan dan kehandalan aplikasi/layanan TIK yang akan dipublikasikan.

Sasaran Layanan

Seluruh aplikasi/layanan TIK di lingkungan Kemendikbud

Kelas Layanan

A. Dalam Jaringan (Daring) :

  1. Pengujian dilakukan didalam area laboratorium pengujian
  2. Pengujian mengunakan infrastruktur internal laboratorium pengujian

B. Luar Jaringan (Luring) :

  1. Pengujian dilakukan saat aplikasi berjalan secara luring melalui infrastruktur yang dimiliki satuan kerja/Datacenter Pustekkom

Komponen Layanan

A. Uji Kerawanan

  1. Information Gathering
  2. Configuration Management Testing
  3. Authentication Testing
  4. Session Management
  5. Authorization Testing
  6. Denial of Service Testing

B. Uji Penetrasi

  1. White Box  : Diberikan semua informasi aplikasi dan entitas pendukung yang digunakan (akses ke sistem operasi, akses ke level aplikasi, akses ke database, Akses Alamat IP, User, Password, Sistem Operasi, Aplikasi, Database) 
  2. Black Box : Tidak ada informasi akses yang diberikan
  3. Gray Box  : Diberikan sebagian informasi aplikasi dan entitas pendukung yang digunakan. Informasi yang diberikan : akses ke level aplikasi , Akses                Alamat IP, User Password, Aplikasi                                            

C. Uji Beban

  1. Uji Performansi (karakter website, kemampuan melayani pengguna)
  2. Uji Tekanan (kemampuan responsibel web, halaman yang berhasil diakses)
  3. Uji Daya Tahan (kemampuan aplikasi dengan durasi waktu akses tertentu dan dilihat kondisi fisik pendukungnya)

 

Syarat Pengajuan

Persyaratan Layanan

  1. Unit utama dan Satuan Kerja di lingkungan Kemendikbud;
  2. Surat Permohonan dan dilampiri Formulir Pengujian Kerentanan Aplikasi;
  3. Aplikasi dan/atau data yang akan diuji dalam bentuk CD/DVD R dan atau URL sistem secara online;
  4. Dokumen manual instalasi;
  5. Dokumen manual penggunaan aplikasi;
  6. Dokumen UAT (User Acceptance Test)
  7. Pustekkom akan melakukan uji kerentanan secara remote untuk mengidentifikasi kerentanan dan atau kelemahan konfigurasi aplikasi pada komputer atau perangkat yang dimiliki dan dioperasikan oleh pemilik layanan
  8. Rincian penggunaan alamat IP, URL dan atau sumber daya lainnya dalam ruang lingkup pengujian ada dalam lampiran
  9. Pustekkom diberi wewenang oleh pemilik layanan untuk melakukan pengujian sesuai rentang waktu yang disepakati
  10. Komunikasi selama pengujian berlangsung dilakukan melalui nomor kontak yang tertulis dalam perjanjian ini
  11. Selama pengujian berlangsung, pemilik layanan dapat meminta Pustekkom untuk menghentikan pengujian
  12. Pustekkom menjamin bahwa pengujian dilakukan secara bertanggung jawab tanpa mengubah aplikasi, data, program atau komponen jaringan yang digunakan
  13. Pustekkom tidak memberikan jaminan baik tertulis dan tidak tertulis bahwa hasil uji akan sekaligus memberikan peningkatan keamanan pada aplikasi
  14. Pemilik layanan tidak akan menuntut kepada Pustekkom baik secara langsung maupun tidak langsung jika muncul dampak kegagalan operasional layanan aplikasi baik saat pengujian dan setelah pengujian
  15. Pemilik layanan bertanggung jawab atas perlindungan data untuk antisipasi hilangnya data, berfungsinya kembali data untuk sistem, akurasi data, dan turunnya respon aplikasi saat pengujian berlangsung
  16. Pustekkom menjaga kerahasiaan informasi apapun atas pengujian yang dilakukan
  17. Informasi yang bersifat rahasia (data pribadi, informasi akses) hanya dapat digunakan untuk tujuan tes, dan jika melibatkan pihak ketiga harus mendapatkan izin tertulis dari pemilik layanan
  18. Semua materi rahasia akan dihapus setelah pengujian selesai dan telah dibuat laporan pengujian serta diberikan kepada pemilik layanan
  19. Pemilik layanan akan merespon secara normal tanpa ada tindakan lebih lanjut atas aktifitas pengujian yang sedang berlangsung dan terdeteksi pada sistem keamanan yang dimiliki pemilik layanan (misal : internal IDS/IPS, log firewall)
  20. Isi perjanjian dan lampiran ini tidak akan berubah kecuali dilakukan perubahan secara tertulis dan disepakati kedua pihak

Permintaan Layanan

Permintaan layanan ditujukan kepada Kepala Pustekkom melalui Formulir Pengujian Kerentanan Keamanan yang ditandatangani minimal Eselon IV dan dibubuhi stempel instansi, kemudian dikirimkan ke SELI.

SOP Pengajuan
20190304005730346904.zip
Template Permohonan
20190304005730349978.zip