Layanan Information Technology Security Assesment (ITSA) adalah kegiatan pencarian kerentanan, pengujian keamanan, dan pemberian rekomendasi perbaikan dalam suatu Sistem Elektronik. Layanan ITSA merupakan layanan yang diselenggarakan oleh unit kerja yang melaksanakan tugas dan fungsi di bidang operasi keamanan siber. Merujuk Peraturan Kepala Badan Siber dan Sandi Negara Nomor 14 Tahun 2024 Tentang Penyelenggaraan Layanan Uji Keamanan Teknologi Informasi Badan Siber dan Sandi Negara, Layanan ITSA terdiri atas:

1. Asesmen Kerentanan.

Asesmen Kerentanan adalah kegiatan mengidentifikasi kerentanan pada sistem elektronik yang diuji menggunakan alat pemindai kerentanan otomatis dan memberikan rekomendasi perbaikan yang perlu dilakukan berdasarkan temuan kerentanan.

2. Pengujian Penetrasi.

Pengujian Penetrasi adalah kegiatan mengidentifikasi kerentanan pada sistem elektronik yang diuji dan memberikan rekomendasi perbaikan yang perlu dilakukan untuk menutup kerentanan tersebut, serta melakukan verifikasi perbaikan kerentanan.

Pemohon Layanan ITSA adalah Penyelenggara Sistem Elektronik Lingkup Publik dan Penyelenggara Infrastruktur Informasi Vital.

Pemohon Layanan dapat mengajukan permohonan Layanan ITSA dengan beberapa proses yang harus dilaksanakan baik oleh Pemohon Layanan maupun BSSN agar layanan dapat berjalan sesuai dengan mekanisme yang ada. Alur pelaksanaan Layanan ITSA dapat dilihat pada gambar di bawah ini. (unduh gambar di sini)

Pemohon Layanan dapat mengajukan permohonan Layanan ITSA dengan langkah-langkah sebagai berikut:

1. Mengajukan Surat Permohonan Layanan ITSA kepada BSSN dikirim melalui alamat surel itsa@bssn.go.id.
2. Mengecek ketersediaan kuota Layanan ITSA dan mengisi Dokumen Koordinasi.
   *Informasi lebih lanjut dapat diakses pada tautan berikut https://s.id/itsa-bssn
3. Melakukan registrasi melalui Platform Bot Telegram (t.me/BSSN_ITSA_bot) untuk mendapatkan Nomor Tiket Permohonan Layanan ITSA.

Pada Tahun Anggaran 2024 dilaksanakan sebanyak 195 kegiatan ITSA pada 131 instansi dengan objek ITSA sebanyak 462 aplikasi yang terdiri atas aplikasi berbasis web, mobile, maupun infrastruktur. Pada tahun 2024 kegiatan ITSA menemukan 1.632 kerentanan dengan tingkat kerentanan yang bervariasi, jumlah tertinggi berada pada kategori low yaitu sejumlah 621 kerentanan. Meskipun demikian, terdapat temuan dengan kategori critical sejumlah 256 kerentanan dan kategori high sejumlah 405 kerentanan.

Gambar Statistik ITSA 2024 unduh di sini

Bagaimana prosedur pengajuan Layanan ITSA?

Pemohon Layanan dapat mengirimkan surat permohonan Layanan ITSA secara resmi dikirim melalui alamat surel itsa@bssn.go.id, kemudian mengecek ketersediaan kuota Layanan ITSA dan mengisi dokumen koordinasi (detail informasi terkait objek ITSA), serta melakukan registrasi melalui Platform Bot Telegram (t.me/BSSN_ITSA_bot). Informasi lebih lanjut dapat diakses pada tautan berikut https://s.id/itsa-bssn.

2. Apakah Layanan ITSA berbayar?

Layanan ITSA yang disediakan oleh BSSN merupakah layanan tidak berbayar karena termasuk dalam upaya pemerintah mendukung penguatan keamanan siber di Indonesia, khususnya untuk Penyelenggara Sistem Elektronik Lingkup Publik dan Penyelenggara Infrastruktur Informasi Vital.

3. Bagaimana tahapan pelaksanaan Layanan ITSA?

Tahapan ITSA dibagi menjadi 3 (tiga) tahap yaitu pra-pelaksanaan, pelaksanaan, dan pasca pelaksanaan.

a. Pra-Pelaksanaan

BSSN menerima surat permohonan ITSA dari Pemohon Layanan melalui surel. Kemudian Pemohon Layanan melakukan pengecekan kuota Layanan ITSA dan mengisi Dokumen Koordinasi (informasi lebih lanjut dapat diakses pada tautan berikut https://s.id/itsa-bssn) serta melakukan registrasi melalui Platform Bot Telegram (t.me/BSSN_ITSA_bot). Setelah proses registrasi tersebut, BSSN menyampaikan Surat Jawaban setelah dilakukan penjadwalan pelaksanaan Layanan ITSA.

b. Pelaksanaan

BSSN dan Pemohon Layanan akan melakukan kick-off meeting, kemudian dilanjutkan dengan pelaksanaan ITSA serta Paparan Hasil ITSA oleh BSSN kepada Pemohon Layanan.

c. Pasca-Pelaksanaan

BSSN akan menyerahkan Laporan Hasil ITSA kepada Pemohon Layanan. Kemudian Pemohon Layanan diharapkan melakukan perbaikan selama 3 Minggu (15 Hari Kerja). Laporan Perbaikan Hasil ITSA yang disusun Pemohon Layanan diserahkan kepada BSSN dan akan dilakukan verifikasi pada perbaikan yang sudah dilakukan. Akhir dari rangkaian kegiatan yaitu BSSN menyerahkan Laporan Verifikasi Perbaikan ITSA kepada Pemohon Layanan. ITSA dinyatakan selesai saat Pemohon Layanan menerima laporan tersebut.

4. Apa saja persyaratan pelaksanaan ITSA?

Terdapat beberapa syarat teknis dan administrasi yang harus dipenuhi Pemohon Layanan sebelum pelaksanaan ITSA yaitu sebagai berikut:

a. Syarat Administrasi

1). Surat Permohonan Layanan ITSA (Dikirim melalui alamat surel itsa@bssn.go.id).

2). Dokumen Koordinasi (Detail informasi terkait objek ITSA).

*Template dokumen dapat diakses pada tautan berikut https://s.id/itsa-bssn

3). Registrasi melalui Platform Bot Telegram (t.me/BSSN_ITSA_bot) untuk mendapatkan Nomor Tiket Permohonan Layanan ITSA.

b. Syarat Teknis

1). Objek ITSA direkomendasikan menggunakan staging environtment.

2). Jika ITSA dilakukan terhadap production environtment, Pemohon Layanan dianggap telah memahami kemungkinan risiko yang dapat terjadi.

3). Melakukan Whitelist IP yang digunakan BSSN.

4). Tidak merubah konfigurasi sistem elektronik selama kegiatan ITSA.

5). Melakukan back-up atau pencadangan data pada sistem elektronik.

5. Berapa jumlah aplikasi yang dapat diajukan dalam satu kali pelaksanaan Layanan ITSA?

Dalam satu kali pelaksanaan Layanan ITSA dilakukan pada 3 (tiga) aplikasi sebagai target pengujian. Jika terdapat 1 (satu) aplikasi yang sama, tetapi berbeda jenis atau platform (contoh: web dan mobile), maka aplikasi tersebut terhitung 2 (dua) aplikasi. Jika Pemohon Layanan akan mengajukan lebih dari 3 (tiga) aplikasi, maka dapat dipecah menjadi beberapa tahap (batch). Objek Layanan ITSA yang dapat diajukan sebagai target pegujian adalah aplikasi berbasis web, mobile, dan infrastruktur.

6. Dimana informasi terkait ketersediaan kuota Layanan ITSA, template surat permohonan, dan informasi lain berkaitan dengan Layanan ITSA?

Informasi lebih lanjut terkait ketersediaan kuota, template surat permohonan, serta informasi lain terkait Layanan ITSA dapat diakses pada Landing Page ITSA https://s.id/itsa-bssn

Landing Page: https://s.id/itsa-bssn

Surel : itsa@bssn.go.id

Telegram : t.me/BSSN_ITSA_bot

WA : 0856-789-1754

Layanan ITSA merupakan kegiatan pencarian kerentanan, pengujian keamanan, dan pemberian rekomendasi perbaikan dalam suatu Sistem Elektronik

1. Surat Permohonan Layanan ITSA
2. Dokumen Koordinasi
3. Perjanjian Layanan antara Pemohon Layanan dengan BSSN
4. Perjanjian Kerahasiaan antara Pemohon Layanan dengan BSSN

1. Pemohon Layanan mempersiapkan kelengkapan persyaratan administrasi dan teknis untuk dikirim melalui email itsa@bssn.go.id dan ndk@bssn.go.id
2. BSSN menentukan jadwal pelaksanaan ITSA dan menginformasikan kepada Pemohon Layanan
3. BSSN dan Pemohon Layanan melaksanakan kick off meeting ITSA
4. BSSN melaksanakan pemberian Layanan ITSA sesuai permintaan Pemohon Layanan
5. BSSN memaparkan hasil pelaksanaan Layanan ITSA kepada Pemohon Layanan
6. Pada pasca pelaksanaan, BSSN memberikan Laporan Hasil Layanan ITSA. Pemohon Layanan juga dapat memiliki tanggung jawab untuk melaksanakan perbaikan pada sistem sesuai dengan hasil Layanan ITSA

Standar Layanan ITSA dapat diunduh di sini.