Peraturan Badan Nomor 7 Tahun 2024 tentang Penyelenggaraan Penilaian Kesesuaian Kriteria Umum Untuk Evaluasi Keamanan Teknologi Informasi Indonesia (Indonesia Common Criteria for Information Technology Security Evaluation)

Dalam Peraturan Badan ini yang dimaksud dengan: 1. Kriteria Umum untuk Evaluasi Keamanan Teknologi Informasi (Common Criteria for Information Technology Security Evaluation) yang selanjutnya disebut CC adalah persyaratan acuan evaluasi keamanan teknologi informasi berdasarkan dokumen Common Criteria for Information Technology Security Evaluation. 2. Skema Sertifikasi CC INDONESIA yang selanjutnya disebut Skema SCCI adalah aturan, prosedur, dan/atau manajemen yang berlaku untuk melaksanakan penilaian kesesuaian terhadap keamanan produk teknologi informasi yang dilakukan oleh lembaga sertifikasi produk CC INDONESIA. 3. Standar Nasional INDONESIA yang selanjutnya disingkat SNI adalah standar yang ditetapkan oleh Badan Standardisasi Nasional dan berlaku di wilayah Negara Kesatuan Republik INDONESIA. 4. Tanda SNI adalah tanda sertifikasi yang ditetapkan oleh Badan Standardisasi Nasional untuk menyatakan telah terpenuhinya persyaratan SNI. 5. Tanda Sertifikasi CC INDONESIA yang selanjutnya disebut Tanda SCCI adalah tanda sertifikasi yang ditetapkan oleh Kepala Badan Siber dan Sandi Negara untuk menyatakan produk teknologi informasi telah memenuhi persyaratan acuan CC. 6. Tanda CC adalah tanda sertifikasi yang ditetapkan oleh common criteria recognition arrangement untuk menyatakan produk teknologi informasi telah memenuhi persyaratan acuan CC. 7. Badan Siber dan Sandi Negara yang selanjutnya disebut Badan adalah lembaga pemerintah yang melaksanakan tugas pemerintahan di bidang keamanan siber dan sandi. 8. Komite Akreditasi Nasional yang selanjutnya disingkat KAN adalah lembaga nonstruktural yang bertugas dan bertanggung jawab di bidang akreditasi lembaga penilaian kesesuaian. 9. Lembaga Sertifikasi Produk CC INDONESIA yang selanjutnya disebut LSPro adalah unit kerja di Badan Siber dan Sandi Negara yang melaksanakan tugas dan fungsi di bidang sertifikasi produk teknologi informasi. 10. Laboratorium Pengujian CC yang selanjutnya disebut Laboratorium Pengujian adalah laboratorium yang melaksanakan evaluasi keamanan produk teknologi informasi. 11. Sponsor adalah badan usaha atau instansi pemerintah yang mensponsori suatu TOE yang akan disertifikasi. 12. Developer adalah badan usaha atau instansi pemerintah yang mengembangkan suatu TOE. 13. Pemohon adalah pihak yang mengembangkan suatu profil proteksi. 14. Produk Teknologi Informasi yang selanjutnya disebut Produk adalah perangkat lunak, perangkat tegar dan/atau perangkat keras yang menyediakan fungsionalitas dan dirancang untuk digunakan atau diintegrasikan dalam sistem teknologi informasi. 15. Target Evaluasi (Target of Evaluation) yang selanjutnya disebut TOE adalah objek sertifikasi Produk yang menyediakan fungsional keamanan. 16. Profil Proteksi (Protection Profiles) yang selanjutnya disingkat PP adalah dokumen standar keamanan suatu tipe TOE tertentu sesuai dengan level jaminan evaluasi yang ingin dicapai dalam sertifikasi TOE yang ditentukan. 17. Laporan Teknik Evaluasi (Evaluation Technical Report) yang selanjutnya disebut ETR adalah dokumentasi dari keseluruhan pernyataan yang berhubungan dengan hasil evaluasi dan justifikasinya, yang dihasilkan evaluator dan dikirimkan kepada LSPro. 18. Laporan Observasi Evaluasi (Evaluation Observation Report) yang selanjutnya disebut EOR adalah laporan temuan hasil observasi dari pekerjaan evaluasi 19. Laporan Analisis Dampak (Impact Analysis Report) yang selanjutnya disebut IAR adalah laporan analisis perubahan dampak terhadap versi suatu TOE yang telah disertifikasi melalui Skema SCCI. 20. Infrastruktur Informasi Vital yang selanjutnya disingkat IIV adalah Sistem Elektronik yang memanfaatkan teknologi informasi dan/atau teknologi operasional, baik berdiri sendiri maupun saling bergantung dengan Sistem Elektronik lainnya dalam menunjang sektor strategis, yang jika terjadi gangguan, kerusakan, dan/atau kehancuran pada infrastruktur dimaksud berdampak serius terhadap kepentingan umum, pelayanan publik, pertahanan dan keamanan, atau perekonomian nasional. 21. Level Jaminan Evaluasi (Evaluation Assurance Level) yang selanjutnya disebut EAL adalah paket persyaratan keamanan yang mengacu pada kondisi dan proses pengembangan serta penyampaian TOE dan tindakan yang diperlukan oleh evaluator sehubungan dengan bukti yang dihasilkan dari kondisi dan proses tersebut yang mewakili suatu titik pada skala jaminan yang telah ditentukan sebelumnya. 22. Sertifikat Keamanan Teknologi Pelindungan IIV adalah jaminan tertulis yang diberikan LSPro yang menyatakan bahwa Produk teknologi pelindungan IIV telah memenuhi CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408- 2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022. 23. Sertifikat CC INDONESIA adalah jaminan tertulis yang diberikan LSPro yang menyatakan bahwa TOE atau PP telah memenuhi CC.

(1) Penyelenggaraan penilaian kesesuaian CC INDONESIA terdiri atas komponen: a. Skema SCCI; dan b. penyelenggara Skema SCCI. (2) Skema SCCI sebagaimana dimaksud pada ayat (1) huruf a terdiri atas: a. Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; dan b. Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV. (3) Penyelenggara Skema SCCI sebagaimana dimaksud pada ayat (1) huruf b terdiri atas: a. penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; dan b. penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV.

Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf a menggunakan persyaratan acuan CC:2022 revisi 1-bagian 2: komponen fungsional keamanan, CC:2022 revisi 1-bagian 3: komponen asurans keamanan, CC:2022 revisi 1-bagian 5: paket persyaratan keamanan yang telah ditentukan dan SNI ISO/IEC 15408-2:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI- bagian 2: komponen fungsional keamanan, SNI ISO/IEC 15408-3:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI-bagian 3: komponen asurans keamanan, serta SNI ISO/IEC 15408- 5:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI-bagian 5: paket persyaratan keamanan yang telah ditentukan.

(1) Persyaratan acuan sebagaimana dimaksud dalam Pasal 3 diberlakukan secara wajib bagi Sponsor dan/atau Developer yang menyediakan Produk teknologi pelindungan IIV. (2) Teknologi pelindungan IIV sebagaimana dimaksud pada ayat (1) merupakan Produk yang minimal memenuhi EAL 3 (tiga).

(1) Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf a terdiri atas: a. ruang lingkup; b. persyaratan acuan; c. jenis kegiatan penilaian kesesuaian; d. prosedur administratif; e. determinasi; f. tinjauan dan keputusan; g. pemeliharaan jaminan keamanan; h. pemeliharaan sertifikasi; i. evaluasi khusus; j. ketentuan pengurangan, pembekuan, dan pencabutan sertifikasi; k. keluhan dan banding; l. informasi publik; m. daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; dan n. kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. (2) Rincian Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran I yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Kewajiban pemenuhan persyaratan acuan sebagaimana dimaksud dalam Pasal 4 dibuktikan dengan: a. kepemilikan Sertifikat Keamanan Teknologi Pelindungan IIV yang dikeluarkan oleh LSPro; dan b. surat persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC yang dikeluarkan oleh Badan. (2) Penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC dapat dilakukan setelah Sponsor dan/atau Developer mendapatkan surat persetujuan sebagaimana dimaksud pada ayat (1) huruf b. (3) Ketentuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC tercantum dalam Lampiran II yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (3) huruf a terdiri atas: a. pemilik Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; b. komite Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; c. lembaga sertifikasi Produk untuk sertifikasi Produk teknologi pelindungan IIV; dan d. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV. (2) Penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran III yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Lembaga sertifikasi Produk untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 7 ayat (1) huruf c merupakan LSPro yang ditunjuk oleh Kepala Badan. (2) LSPro sebagaimana dimaksud pada ayat (1) melakukan: a. penerbitan Sertifikat CC INDONESIA bagi Produk yang termasuk dalam teknologi pelindungan IIV sesuai dengan persyaratan acuan; b. pelaporan Sertifikat CC INDONESIA yang telah diterbitkan dan/atau dicabut kepada pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber, paling lambat 7 (tujuh) hari kerja sejak tanggal penerbitan atau pencabutan; dan c. pelaporan surveilans secara berkala dan/atau tidak terjadwal berdasarkan pengaduan kepada pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber, paling lambat 7 (tujuh) hari kerja sejak tanggal penetapan laporan surveilans. (3) LSPro sebagaimana dimaksud pada ayat (1) wajib terakreditasi oleh KAN paling lama 2 (dua) tahun terhitung sejak tanggal penunjukan.

(1) Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 7 ayat (1) huruf d ditunjuk oleh Kepala Badan. (2) Penunjukan Laboratorium Pengujian sebagaimana dimaksud pada ayat (1) dilakukan terhadap Laboratorium Pengujian yang telah terakreditasi oleh KAN untuk lingkup yang sesuai.

(1) Dalam hal Laboratorium Pengujian sebagaimana dimaksud dalam Pasal 9 belum tersedia atau jumlahnya belum mencukupi kebutuhan, Kepala Badan dapat menunjuk Laboratorium Pengujian yang belum terakreditasi. (2) Penunjukan Laboratorium Pengujian yang belum terakreditasi sebagaimana dimaksud pada ayat (1) dilakukan berdasarkan hasil evaluasi dalam rangka penunjukan Laboratorium Pengujian oleh pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber. (3) Evaluasi penunjukan Laboratorium Pengujian sebagaimana dimaksud pada ayat (2) mencakup: a. aspek legalitas kelembagaan; dan b. kemampuan untuk melakukan pengujian Produk yang relevan dengan persyaratan acuan, berdasarkan pertimbangan: 1. sarana pengujian dan metode uji yang digunakan untuk pengujian Produk; dan 2. personel Laboratorium Pengujian dalam jumlah yang memadai untuk pengujian Produk. (4) Laboratorium Pengujian yang ditunjuk Kepala Badan sebagaimana dimaksud pada ayat (1) wajib terakreditasi oleh KAN sesuai dengan lingkup Produk yang disertifikasi paling lama 2 (dua) tahun terhitung sejak tanggal penunjukan.

LSPro dan Laboratorium Pengujian yang ditunjuk oleh Kepala Badan sebagaimana dimaksud dalam Pasal 8 sampai dengan Pasal 10 diawasi oleh Kepala Badan melalui pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber.

Tata cara penunjukan dan pengawasan LSPro dan/atau Laboratorium Pengujian sebagaimana dimaksud dalam Pasal 8 sampai dengan Pasal 11 tercantum dalam Lampiran IV yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Pemenuhan persyaratan acuan sebagaimana dimaksud dalam Pasal 4 ayat (1) diawasi oleh pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber. (2) Pengawasan sebagaimana dimaksud pada ayat (1) dilaksanakan secara berkala dan/atau secara khusus terhadap Produk yang termasuk dalam teknologi pelindungan IIV. (3) Pengawasan secara berkala sebagaimana dimaksud pada ayat (2) dilakukan minimal 1 (satu) kali dalam 24 (dua puluh empat) bulan setelah pengawasan sebelumnya. (4) Pengawasan secara khusus sebagaimana dimaksud pada ayat (2) dilakukan jika terdapat pengaduan. (5) Pengawasan sebagaimana dimaksud pada ayat (2) dapat dilakukan secara mandiri atau bekerja sama dengan instansi terkait berdasarkan penugasan dari pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber.

(1) Pengawasan secara berkala dan pengawasan secara khusus sebagaimana dimaksud dalam Pasal 13 ayat (2) dilaksanakan dengan melakukan pemeriksaan proses produksi dan pemeriksaan mutu melalui pengambilan sampel di lokasi produksi dan/atau di luar lokasi produksi yang dilakukan secara acak. (2) Sampel sebagaimana dimaksud pada ayat (1) diuji oleh Laboratorium Pengujian yang telah ditunjuk oleh Kepala Badan. (3) Hasil pengawasan sebagaimana dimaksud pada ayat (1) dilaporkan kepada Kepala Badan.

(1) Sponsor dan/atau Developer yang melanggar ketentuan persyaratan acuan sebagaimana dimaksud dalam Pasal 4 dikenai sanksi administratif berupa: a. pembekuan Sertifikat Keamanan Teknologi Pelindungan IIV; b. pencabutan Sertifikat Keamanan Teknologi Pelindungan IIV; dan c. pencabutan surat persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. (2) Pembekuan atau pencabutan sertifikat sebagaimana dimaksud pada ayat (1) huruf a dan huruf b dilakukan oleh LSPro berdasarkan rekomendasi Kepala Badan. (3) Pencabutan surat persetujuan sebagaimana dimaksud pada ayat (1) huruf c dilakukan oleh Kepala Badan.

(1) Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b menggunakan persyaratan acuan CC:2022 revisi 1-bagian 1: pendahuluan dan model umum atau revisinya sampai dengan CC:2022 revisi 1-bagian 5: paket persyaratan keamanan yang telah ditentukan atau revisinya. (2) Persyaratan acuan sebagaimana dimaksud pada ayat (1) diberlakukan secara sukarela bagi Sponsor dan/atau Developer yang menyediakan produk selain teknologi pelindungan IIV.

(1) Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (2) huruf b terdiri atas: a. ruang lingkup; b. persyaratan acuan; c. jenis kegiatan penilaian kesesuaian; d. prosedur administratif; e. determinasi; f. tinjauan dan keputusan; g. pemeliharaan jaminan keamanan; h. pemeliharaan sertifikasi; i. evaluasi khusus; j. ketentuan pengurangan, pembekuan, dan pencabutan sertifikasi; k. keluhan dan banding; l. informasi publik; m. penggunaan Tanda SCCI atau Tanda CC pada produk; n. daftar produk, acuan CC, dan uraian penilaian kesesuaian; dan o. kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. (2) Rincian Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran V yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana dimaksud dalam Pasal 2 ayat (3) huruf b terdiri atas: a. pemilik Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; b. komite Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; c. lembaga sertifikasi produk untuk sertifikasi produk selain teknologi pelindungan IIV; dan d. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV. (2) Penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana dimaksud pada ayat (1) tercantum dalam Lampiran VI yang merupakan bagian tidak terpisahkan dari Peraturan Badan ini.

(1) Sponsor dan/atau Developer Produk teknologi pelindungan IIV yang memiliki sertifikat CC yang diterbitkan oleh lembaga sertifikasi Produk negara lain wajib mengajukan permohonan rekognisi kepada Badan. (2) Badan melakukan rekognisi sebagaimana dimaksud pada ayat (1) sesuai dengan ketentuan peraturan perundangan- undangan.

Badan melakukan rekognisi surat persetujuan penggunaan Tanda SNI ISO/IEC 15408-1:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI-bagian 1: pendahuluan dan model umum atau revisinya sampai dengan SNI ISO/IEC 15408-5:2022 keamanan informasi, keamanan siber dan proteksi privasi- kriteria evaluasi untuk keamanan TI-bagian 5: paket persyaratan keamanan yang telah ditentukan atau revisinya untuk produk selain teknologi pelindungan IIV sesuai dengan ketentuan peraturan perundangan-undangan.

Pada saat Peraturan Badan ini mulai berlaku: a. permohonan sertifikasi yang sedang diproses tetap dilaksanakan berdasarkan skema yang diatur dalam Peraturan Badan Siber dan Sandi Negara Nomor 15 Tahun 2019 tentang Penyelenggaraan Skema Common Criteria INDONESIA (Berita Negara Republik INDONESIA Tahun 2019 Nomor 1666); dan b. Sertifikat CC INDONESIA yang telah diterbitkan oleh LSPro sebelum berlakunya Peraturan Badan ini tetap berlaku sampai dengan berakhirnya jangka waktu sertifikat.

Pada saat Peraturan Badan ini mulai berlaku, Peraturan Badan Siber dan Sandi Negara Nomor 15 Tahun 2019 tentang Penyelenggaraan Skema Common Criteria INDONESIA (Berita Negara Republik INDONESIA Tahun 2019 Nomor 1666), dicabut dan dinyatakan tidak berlaku.

Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 9 September 2024 KEPALA BADAN SIBER DAN SANDI NEGARA, Œ HINSA SIBURIAN Diundang di Jakarta pada tanggal Д PLT. DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, Ѽ ASEP N. MULYANA BERITA NEGARA REPUBLIK INDONESIA TAHUN 2024 NOMOR Ж