Correct Article 30

PERBAN Nomor 1 Tahun 2024 | Peraturan Badan Nomor 1 Tahun 2024 tentang PENGELOLAAN INSIDEN SIBER

Source PDF

100%

Pg. 1

Current Text

Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 10 Januari 2024 KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN Diundangkan di Jakarta pada tanggal 18 Januari 2024 DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, ttd. ASEP N. MULYANA BERITA NEGARA REPUBLIK INDONESIA TAHUN 2024 NOMOR 43 LAMPIRAN PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 1 TAHUN 2024 TENTANG PENGELOLAAN INSIDEN SIBER PANDUAN PENGELOLAAN INSIDEN SIBER A. Pelaksanaan Penanggulangan dan Pemulihan Insiden Siber 1. Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber. Kegiatan yang dilakukan meliputi: a. menyusun dan MENETAPKAN rencana tanggap Insiden Siber yang disetujui oleh pimpinan organisasi. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) menentukan dan MENETAPKAN prosedur tanggap insiden siber yang mencakup tindakan yang harus dilakukan termasuk pembagian peran antara pihak manajemen, personel pengelola IIV dan Sistem Elektronik selain IIV, dan pihak lainnya; 2) menyusun dan MENETAPKAN prosedur rencana tanggap Insiden Siber mulai dari tahapan persiapan, identifikasi, kontainmen, eradiksi, pemulihan, dan peningkatan berkelanjutan; 3) menentukan skenario Insiden Siber yang mungkin terjadi pada layanan IIV dan Sistem Elektronik selain IIV yang selanjutnya dituangkan dalam dokumen rencana tanggap Insiden Siber; dan 4) memastikan rencana tanggap Insiden Siber dikomunikasikan kepada pihak-pihak yang berkepentingan dan berhak sesuai ketentuan. b. menyusun dan MENETAPKAN rencana keberlangsungan kegiatan yang disetujui oleh pimpinan organisasi. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) menentukan dan MENETAPKAN daftar fungsi dan layanan vital bagi Penyelenggara IIV dan Sistem Elektronik selain IIV yang dilengkapi dengan peran dan tanggung jawab masing-masing pihak terkait; 2) menentukan dan MENETAPKAN strategi, tahapan, dan target waktu yang dibutuhkan dalam memulihkan dan menjalankan fungsi serta layanan vital secara penuh/kembali normal; 3) menentukan daftar sumber daya, peralatan, dan personil yang dibutuhkan untuk menjalankan fungsi dan layanan vital; dan 4) memastikan rencana keberlangsungan layanan dikomunikasikan kepada pihak yang berkepentingan sesuai ketentuan yang berlaku. c. memastikan rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan dilaksanakan dan disimulasikan secara berkala. Pada kegiatan ini dilakukan simulasi secara berkala terhadap rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan berdasarkan prosedur yang telah dibuat pada tahap sebelumnya. d. memastikan personel yang mengelola IIV dan Sistem Elektronik selain IIV mengetahui peran dan prosedur penanggulangan dan pemulihan sesuai rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) menentukan dan MENETAPKAN personel yang ditugaskan dalam tim tanggap Insiden Siber; 2) memastikan personel mengetahui peran dan urutan pengoperasian; 3) mengidentifikasi siapa saja pihak-pihak terkait dalam proses penanggulangan dan pemulihan Insiden Siber; 4) mengembangkan dan mengelola aturan mengenai penerbitan dan distribusi informasi setelah terjadinya Insiden Siber. e. memastikan personel yang mengelola IIV dan Sistem Elektronik selain IIV memahami prosedur penggunaan rekam cadang. Pada kegiatan ini personel melakukan prosedur rekam cadang untuk mengamankan aset informasi berupa sistem /data yang tersimpan di dalam sistem IIV dan Sistem Elektronik selain IIV serta memastikan media yang digunakan untuk menyimpan data telah diamankan. 2. Menganalisis dan melaporkan Insiden Siber. Kegiatan yang dilakukan meliputi: a. mengumpulkan informasi kondisi terkini dari IIV dan Sistem Elektronik selain IIV baik dari hasil deteksi internal maupun sumber informasi eksternal. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) Memeriksa hasil analisis deteksi peristiwa siber untuk mengetahui ada atau tidaknya anomali pada sistem; dan 2) Mengumpulkan dan menganalisis laporan peristiwa siber yang diterima baik dari pengguna layanan maupun sumber eksternal organisasi. b. mengidentifikasi dan menganalisis potensi dampak dari Insiden Siber. Pada kegiatan ini dilakukan identifikasi dan analisis terhadap potensi dampak Insiden Siber pada layanan IIV dan Sistem Elektronik selain IIV, termasuk organisasi dan pihak terkait seperti mitra ketiga berdasarkan laporan lengkap Insiden Siber. Aktivitas yang dilakukan dalam kegiatan ini yaitu: 1) melakukan konfirmasi terhadap orang yang terlibat dalam Insiden Siber dan sistem yang digunakan. 2) melakukan deteksi sumber Insiden Siber: a) identifikasi informasi, dapat dilakukan dengan melihat lokasi, nomor serial, nomor model, hostname, MAC address, IP address dari komputer yang digunakan, log pada sistem operasi dan aplikasi; b) identifikasi insiden, dapat dilihat melalui beberapa cara seperti: i. Lihat IPS/IDS/Firewall pada jaringan yang memberikan peringatan saat terjadi intrusi pada jaringan; ii. Antimalware memberi peringatan saat mendeteksi host / media yang terinfeksi malware; iii. Administrator melihat adanya file baru yang mempunyai nama yang tidak biasa digunakan (unusual character); iv. Log pada aplikasi mencatat adanya tindakan percobaan login yang banyak dari IP address yang tidak diketahui; dan v. Administrator melihat surat elektronik yang tertolak oleh sistem (bounced email) yang banyak dengan konten yang anomali (suspicious content). Analisis Insiden Siber dilakukan untuk mengetahui paling sedikit: 1) Sistem Elektronik yang terkena Insiden Siber. Sistem Elektronik yang terkena Insiden Siber sebagaimana perlu diketahui kategori Sistem Elektroniknya. 2) Ruang lingkup dampak Insiden Siber. Ruang lingkup dampak Insiden Siber diketahui untuk menentukan Tim Tanggap Insiden Siber yang terkait. 3) Pemrioritasan Insiden Siber. Pemrioritasan Insiden Siber dilakukan dengan mempertimbangkan kategori Sistem Elektronik dan ruang lingkup dampak Insiden Siber. 4) Penyerang yang menyebabkan Insiden Siber. c. memastikan Insiden Siber dikategorikan sesuai kriteria yang telah ditetapkan. Pada kegiatan ini, laporan Insiden Siber dikumpulkan, dikategorisasikan, dan diprioritaskan sesuai dampak risiko terhadap organisasi. d. memastikan bahwa Insiden Siber dilaporkan kepada pihak yang terkait. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) melaporkan informasi mengenai Insiden Siber kepada pihak yang berwenang sesuai dengan kriteria yang diterapkan oleh organisasi dan peraturan perundangan yang berlaku; dan 2) memastikan proses koordinasi dengan pemangku kepentingan dilakukan sesuai dengan rencana tanggap Insiden Siber. 3. Melaksanakan penanggulangan dan pemulihan Insiden Siber. Kegiatan yang dilakukan meliputi: a. memastikan Insiden Siber diisolasi dan dimitigasi sesuai rencana tanggap Insiden Siber. Tujuan dari isolasi adalah untuk membatasi jangkauan dan skala Insiden Siber agar Insiden Siber tidak semakin memburuk. Informasi yang dikumpulkan pada fase ini cukup untuk menentukan akar masalah dari Insiden Siber. Pada tahapan ini juga dilakukan penahanan containment. Tahap ini menyediakan waktu untuk mengembangkan strategi remediasi yang disesuaikan. Bagian penting dari penahanan (containment) adalah pengambilan keputusan (misalnya, mematikan sistem, memutusnya dari jaringan, menonaktifkan fungsi tertentu). Keputusan seperti itu lebih mudah dilakukan jika ada strategi dan prosedur yang telah ditentukan. Organisasi harus MENETAPKAN risiko yang dapat diterima dalam menangani Insiden Siber dan mengembangkan strategi yang sesuai. Organisasi harus membuat strategi/prosedur penahanan terpisah untuk setiap jenis insiden utama, dengan kriteria yang didokumentasikan dengan jelas untuk memfasilitasi pengambilan keputusan. Prosedur containment dapat dilakukan dengan cara sebagai berikut: 1) isolasi sistem yang terkena insiden; 2) backup data yang berkaitan dengan insiden (misalnya hasil pengumpulan bukti berbentuk log, screenshot, dan lainnya); 3) identifikasi semua layanan (service) dan koneksi yang terhubung; 4) identifikasi metode penyerang ketika masuk ke sistem pertama kali, dengan melihat log pada sistem; 5) periksa kode-kode berbahaya yang ada dalam sistem; dan 6) lakukan pemantauan pada jaringan yang terkena Insiden Siber, jika terdapat paket yang dicurigai/anomali, segera blokir dan dokumentasikan (dapat dicatat sumber IP, bentuk paket, waktu, dan lainnya). b. mengumpulkan dan memelihara bukti Insiden Siber dari Sistem Elektronik terdampak. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) mengategorikan informasi mengenai Insiden Siber yang terdeteksi dan menyimpannya sesuai ukuran dampak terkait keamanan, penyebab insiden, dan faktor lainnya yang diperlukan. 2) melakukan forensik digital terhadap aset informasi yang terdampak Insiden Siber untuk menemukenali penyebab Insiden Siber sesuai dengan ketentuan peraturan perundang- undangan. c. menginvestigasi dan eradikasi penyebab Insiden Siber. Pada kegiatan ini, seluruh komponen aset informasi yang terdampak insiden diperiksa. Investigasi dilakukan untuk menentukan penyebab dan gejala dari Insiden Siber. Beberapa hal yang bisa dilakukan, di antaranya: 1) mencari tanda dan sebab dari suatu Insiden Siber; 2) mencari tahu bagaimana serangan dieksekusi. Penghapusan atau eradikasi Insiden Siber dilakukan untuk menghilangkan komponen Insiden Siber. Penghapusan Insiden Siber juga termasuk penghapusan kerentanan Sistem Elektronik yang menyebabkan terjadinya Insiden Siber. Penghapusan kerentanan Sistem Elektronik dilakukan untuk persiapan pemulihan Sistem Elektronik. Penghapusan dilakukan dengan beberapa cara seperti: 1) menentukan tanda dan sebab dari suatu Insiden Siber; 2) melakukan restore backup untuk mendapatkan new fresh system; 3) menghapus penyebab Insiden Siber, seperti malware; 4) menonaktifkan akun pengguna yang terkena Insiden Siber; 5) melalui reset password jika diperlukan; 6) melakukan mitigasi terhadap kerentanan yang tereksploitasi saat Insiden Siber; 7) selama eradikasi, sangat penting untuk mengidentifikasi semua host yang terkena Insiden Siber; dan 8) melakukan improvisasi pertahanan dan melakukan vulnerability analysis untuk melihat potensi ancaman yang dapat terjadi. d. mengoordinasikan dengan pihak terkait dalam rangka eskalasi penanggulangan Insiden Siber. Apabila kegiatan yang telah dijelaskan di atas sudah dilakukan namun Insiden Siber masih meningkat atau meluas, maka buat prosedur terkait eskalasi Insiden Siber. Hal-hal yang bisa dimasukkan ke dalam prosedur eskalasi Insiden Siber yaitu: 1) melaporkan kepada Tim Tanggap Insiden Siber (TTIS) sektoral dan nasional; dan 2) menyiapkan informasi yang relevan terkait Insiden Siber yang terjadi. Koordinasi Insiden Siber dilakukan guna: 1) Menentukan pihak yang dapat melakukan teknis penahanan dan penghapusan Insiden Siber, serta penghapusan kerentanan Sistem Elektronik. 2) Menentukan pemangku kepentingan yang perlu dilibatkan dalam penahanan dan eradikasi Insiden Siber, serta penghapusan kerentanan Sistem Elektronik. Pihak yang dapat melakukan teknis dapat berupa: 1) Penyelenggara Sistem Elektronik; 2) Tim Tanggap Insiden Siber; dan/atau 3) Pihak lain yang memiliki kemampuan teknis yang dibutuhkan. Kerjasama dengan pihak yang melakukan teknis dilakukan dengan memperhatikan kerahasiaan informasi, perlindungan data, dan sesuai dengan ketentuan peraturan perundangan- undangan. e. memastikan setiap aset informasi diperiksa keamanannya setelah penanggulangan Insiden Siber. Pada kegiatan ini, dilakukan pemeriksaan terhadap seluruh aset informasi yang berhubungan dengan Sistem Elektronik dan memastikannya bersih dari indikasi ancaman atau serangan yang telah terjadi. f. melaksanakan prosedur pencadangan dan pemulihan sistem dan data sesuai rencana keberlangsungan kegiatan. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) melaksanakan prosedur pemulihan sistem/data dari media penyimpanan apabila terjadi keadaan darurat; 2) melaksanakan simulasi secara periodik terhadap prosedur pemulihan sistem/data dari media penyimpanan rekam cadang; 3) melakukan prosedur rekam cadang secara optimal dengan memanfaatkan perangkat-perangkat penyimpanan yang memiliki fitur job-schedulling; 4) melakukan enkripsi terhadap data yang disimpan pada media penyimpanan rekam cadang; 5) menentukan waktu pelaksanaan rekam cadang terhadap data organisasi yang disesuaikan dengan tingkat kritikalitas data dan kebutuhan organisasi; dan 6) mendokumentasikan hasil pelaksanaan rekam cadang data. g. menentukan dan menerapkan retensi terhadap hasil pencadangan yang sudah tidak terpakai sesuai ketentuan. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) memastikan media penyimpanan rekam cadang telah disimpan secara aman; 2) meminta persetujuan pimpinan organisasi sebelum melakukan pemusnahan terhadap data yang disimpan pada media rekam cadang; dan 3) melakukan format ulang media rekam cadang dan memastikan data sudah tidak dapat diakses lagi. h. pengujian ulang terhadap fungsi vital dan fungsi pendukung untuk memastikan capaian pemulihan terpenuhi. Setelah upaya pemulihan elektronik terdampak dilakukan, dilakukan kegiatan pengujian ulang terhadap fungsi vital dan fungsi pendukung untuk memastikan capaian pemulihan terpenuhi. Capaian pemulihan dinilai berdasarkan: 1) waktu pemulihan di bawah batas waktu maksimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan; 2) jumlah data yang terpulihkan sesuai dengan batas jumlah data minimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan; dan/atau 3) fungsi vital dan fungsi pendukung yang terpulihkan sesuai dengan batas fungsi vital dan fungsi pendukung minimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan. i. memastikan organisasi memiliki dan mengelola strategi komunikasi publik ketika terjadi Insiden Siber dan setelah penanggulangan serta pemulihan Insiden Siber. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) menyusun dan menerapkan strategi komunikasi publik dalam hal mengelola informasi yang perlu disampaikan terkait Insiden Siber; dan 2) memastikan bahwa proses penanganan dan pemulihan insiden dikomunikasikan dengan pihak yang berkepentingan sesuai dengan peraturan perundangan. j. penyampaian informasi penanggulangan dan pemulihan Insiden Siber kepada pihak terkait. Pada kegiatan ini dilakukan penyusunan laporan hasil penanganan Insiden Siber dan menyampaikannya kepada Kementerian atau Lembaga di masing-masing sektor. 4. Meningkatkan keamanan setelah terjadinya Insiden Siber. Kegiatan yang dilakukan meliputi: a. meninjau kembali efektifitas kontrol keamanan yang telah diterapkan. Pada kegiatan ini dilakukan evaluasi kontrol keamanan yang diterapkan apakah masih relevan terhadap spektrum ancaman yang ada atau perlu ada perbaikan dan penambahan. b. mereviu dan/atau memperbarui dokumen rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan secara berkala. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) Melakukan reviu dan pembaharuan teradap spektrum ancaman yang ada atau perlu ada perbaikan dan penambahan. 2) Melakukan reviu dan pembaharuan terhadap dokumen rencana tanggap Insiden Siber dan pemulihan apabila terdapat hal-hal yang dapat dijadikan pembelajaran berkelanjutan bagi organisasi. c. mengumpulkan dan memelihara bukti hasil forensik digital. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) Mengumpulan laporan hasil pelaksanaan forensik digital yang meliputi informasi-informasi yang relevan. 2) Menyampaikan laporan hasil pelaksanaan forensik digital kepada pihak berwajib untuk selanjutnya dilakukan proses investigasi dan penegakan hukum sesuai ketentuan yang berlaku. d. meninjau efektivitas kinerja penanganan insiden yang dilakukan oleh tim tanggap insiden siber secara berkala. Pada kegiatan ini dilakukan hal-hal sebagai berikut: 1) Melakukan peninjauan secara berkala terhadap efektifitas kinerja penganganan insiden. 2) Melakukan langkah-langkah perbaikan terhadap pelaksanaan penanganan Insiden Siber baik dari segi teknologi, tata Kelola, atau peningkatan kapasitas SDM. B. Ketentuan Kode Distribusi Informasi pada Tim Tanggap Insiden Siber (TTIS) Traffic Light Protocol (TLP) dibuat untuk memfasilitasi pembagian informasi sensitif untuk penerima informasi yang lebih luas dan kolaborasi yang lebih efektif. Berbagi informasi terjadi dari sumber informasi, kepada satu atau beberapa penerima. TLP adalah set yang terdiri atas empat label yang digunakan untuk menunjukkan batas pembagian yang akan diterapkan oleh penerima. Hanya label yang tercantum dalam standar ini yang dianggap valid oleh FIRST. Empat label TLP adalah: TLP:RED, TLP:AMBER, TLP:GREEN, dan TLP:CLEAR. Dalam bentuk tulisan, keempat label TLP tersebut HARUS tidak mengandung spasi dan HARUS dalam huruf kapital. Label TLP HARUS tetap dalam bentuk aslinya, meskipun digunakan dalam bahasa lain. Penggunaan: 1. Menggunakan TLP dalam sistem olah pesan. Olah pesan berlabel TLP HARUS menunjukkan label TLP informasi yang dipertukarkan, serta batasan tambahan lainnya, langsung sebelum informasi itu sendiri ditunjukkan. Label TLP HARUS berada di baris subjek email. Jika diperlukan, pastikan juga untuk menandai bagian akhir teks yang akan diberi label TLP. 2. Menggunakan TLP dalam dokumen. Dokumen berlabel TLP HARUS menunjukkan label TLP informasi, serta batasan tambahan apa pun, di header dan footer setiap halaman. Label TLP HARUS menggunakan huruf dengan jenis ukuran 12 poin atau lebih besar untuk pengguna dengan gangguan penglihatan. Direkomendasikan untuk meletakan label TLP dengan format rata kanan. 3. Cara menggunakan TLP dalam pertukaran informasi otomatis. Penggunaan TLP dalam pertukaran informasi otomatis tidak ditentukan: ini diserahkan kepada perancang pertukaran tersebut, tetapi HARUS sesuai dengan standar ini. Kode warna TLP dalam RGB, CMYK dan Hex: Catatan tentang pengkodean warna: ketika kontras warna antara teks dan latar belakang terlalu sedikit, mereka yang memiliki penglihatan rendah kesulitan membaca teks atau tidak dapat melihatnya sama sekali. TLP dirancang untuk mengakomodasi mereka yang memiliki penglihatan rendah. Sumber HARUS mematuhi kode warna TLP untuk memastikan kontras warna yang cukup untuk pembaca tersebut. Definisi TLP: a. Komunitas: Komunitas adalah grup yang memiliki tujuan, praktik, dan hubungan kepercayaan informal yang sama. Komunitas bisa jadi seluas semua praktisi keamanan siber di suatu negara (atau di suatu sektor atau wilayah). b. Organisasi: Organisasi adalah grup yang memiliki afiliasi yang sama melalui keanggotaan formal dan terikat oleh kebijakan umum yang ditetapkan oleh organisasi. Sebuah organisasi bisa jadi seluas semua anggota organisasi berbagi informasi, tapi jarang lebih luas. c. Klien: Klien adalah orang atau entitas yang menerima layanan keamanan siber dari organisasi. Klien secara default disertakan dalam TLP:AMBER sehingga penerima dapat berbagi informasi lebih jauh ke hilir agar klien dapat mengambil tindakan untuk melindungi diri mereka sendiri. Untuk tim dengan tanggung jawab nasional, definisi ini mencakup pemangku kepentingan dan konstituen. d. Label TLP: 1) TLP:RED = Untuk mata dan telinga penerima individu saja, tidak ada pengungkapan lebih lanjut. Sumber dapat menggunakan TLP:RED ketika informasi tidak dapat ditindaklanjuti secara efektif tanpa risiko signifikan terhadap privasi, reputasi, atau operasi organisasi yang terlibat. Oleh karena itu, penerima tidak boleh berbagi informasi TLP:RED dengan orang lain. Dalam konteks rapat, misalnya, informasi TLP:RED terbatas pada mereka yang hadir dalam rapat. 2) TLP:AMBER = Pengungkapan terbatas, penerima hanya dapat menyebarkan ini berdasarkan kebutuhan untuk mengetahuinya dalam organisasi dan kliennya. Perhatikan bahwa TLP:AMBER+STRICT membatasi berbagi hanya untuk organisasi. Sumber dapat menggunakan TLP:AMBER ketika informasi memerlukan dukungan untuk ditindaklanjuti secara efektif, namun membawa risiko terhadap privasi, reputasi, atau operasi jika dibagikan di luar organisasi yang terlibat. Penerima dapat membagikan informasi TLP:AMBER dengan anggota organisasi mereka sendiri dan kliennya, tetapi hanya berdasarkan kebutuhan untuk mengetahui guna melindungi organisasi mereka dan kliennya serta mencegah kerugian lebih lanjut. Catatan: jika sumber ingin membatasi berbagi hanya untuk organisasi, mereka harus menentukan TLP:AMBER+STRICT. 3) TLP:GREEN = Pengungkapan terbatas, penerima dapat menyebarkan ini dalam komunitasnya. Sumber dapat menggunakan TLP:GREEN ketika informasi berguna untuk meningkatkan kesadaran dalam komunitas mereka yang lebih luas. Penerima dapat berbagi informasi TLP:GREEN dengan rekan dan organisasi mitra dalam komunitas mereka, tetapi tidak melalui saluran yang dapat diakses publik. Informasi TLP:GREEN tidak boleh dibagikan di luar komunitas. Catatan: jika “komunitas” tidak ditentukan, asumsikan komunitas keamanan/pertahanan siber. 4) TLP:CLEAR = Penerima dapat menyebarkan ini ke seluruh dunia, tidak ada batasan pengungkapan. Sumber dapat menggunakan TLP:CLEAR ketika informasi membawa risiko penyalahgunaan minimal atau tidak dapat diperkirakan, sesuai dengan aturan dan prosedur yang berlaku untuk rilis publik. Tunduk pada aturan hak cipta standar, informasi TLP:CLEAR dapat dibagikan tanpa batasan. KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN

Your Correction

Peraturan Badan ini mulai berlaku pada tanggal diundangkan.

Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA.

Ditetapkan di Jakarta pada tanggal 10 Januari 2024

KEPALA BADAN SIBER DAN SANDI NEGARA,

ttd.

HINSA SIBURIAN

Diundangkan di Jakarta pada tanggal 18 Januari 2024

DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

ttd.

ASEP N. MULYANA

BERITA NEGARA REPUBLIK INDONESIA TAHUN 2024 NOMOR 43

LAMPIRAN PERATURAN BADAN SIBER DAN SANDI NEGARA

NOMOR 1 TAHUN 2024 TENTANG PENGELOLAAN INSIDEN SIBER

PANDUAN PENGELOLAAN INSIDEN SIBER

A. Pelaksanaan Penanggulangan dan Pemulihan Insiden Siber
1. Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber.
Kegiatan yang dilakukan meliputi:
a. menyusun dan MENETAPKAN rencana tanggap Insiden Siber yang disetujui oleh pimpinan organisasi.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) menentukan dan MENETAPKAN prosedur tanggap insiden siber yang mencakup tindakan yang harus dilakukan termasuk pembagian peran antara pihak manajemen, personel pengelola IIV dan Sistem Elektronik selain IIV, dan pihak lainnya;
2) menyusun dan MENETAPKAN prosedur rencana tanggap Insiden Siber mulai dari tahapan persiapan, identifikasi, kontainmen, eradiksi, pemulihan, dan peningkatan berkelanjutan;
3) menentukan skenario Insiden Siber yang mungkin terjadi pada layanan IIV dan Sistem Elektronik selain IIV yang selanjutnya dituangkan dalam dokumen rencana tanggap Insiden Siber; dan 4) memastikan rencana tanggap Insiden Siber dikomunikasikan kepada pihak-pihak yang berkepentingan dan berhak sesuai ketentuan.

b. menyusun dan MENETAPKAN rencana keberlangsungan kegiatan yang disetujui oleh pimpinan organisasi.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) menentukan dan MENETAPKAN daftar fungsi dan layanan vital bagi Penyelenggara IIV dan Sistem Elektronik selain IIV yang dilengkapi dengan peran dan tanggung jawab masing-masing pihak terkait;
2) menentukan dan MENETAPKAN strategi, tahapan, dan target waktu yang dibutuhkan dalam memulihkan dan menjalankan fungsi serta layanan vital secara penuh/kembali normal;
3) menentukan daftar sumber daya, peralatan, dan personil yang dibutuhkan untuk menjalankan fungsi dan layanan vital; dan 4) memastikan rencana keberlangsungan layanan dikomunikasikan kepada pihak yang berkepentingan sesuai ketentuan yang berlaku.

c. memastikan rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan dilaksanakan dan disimulasikan secara berkala.
Pada kegiatan ini dilakukan simulasi secara berkala terhadap rencana tanggap Insiden Siber dan rencana keberlangsungan

kegiatan berdasarkan prosedur yang telah dibuat pada tahap sebelumnya.

d. memastikan personel yang mengelola IIV dan Sistem Elektronik selain IIV mengetahui peran dan prosedur penanggulangan dan pemulihan sesuai rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) menentukan dan MENETAPKAN personel yang ditugaskan dalam tim tanggap Insiden Siber;
2) memastikan personel mengetahui peran dan urutan pengoperasian;
3) mengidentifikasi siapa saja pihak-pihak terkait dalam proses penanggulangan dan pemulihan Insiden Siber;
4) mengembangkan dan mengelola aturan mengenai penerbitan dan distribusi informasi setelah terjadinya Insiden Siber.

e. memastikan personel yang mengelola IIV dan Sistem Elektronik selain IIV memahami prosedur penggunaan rekam cadang.
Pada kegiatan ini personel melakukan prosedur rekam cadang untuk mengamankan aset informasi berupa sistem /data yang tersimpan di dalam sistem IIV dan Sistem Elektronik selain IIV serta memastikan media yang digunakan untuk menyimpan data telah diamankan.

2. Menganalisis dan melaporkan Insiden Siber.
Kegiatan yang dilakukan meliputi:
a. mengumpulkan informasi kondisi terkini dari IIV dan Sistem Elektronik selain IIV baik dari hasil deteksi internal maupun sumber informasi eksternal.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) Memeriksa hasil analisis deteksi peristiwa siber untuk mengetahui ada atau tidaknya anomali pada sistem; dan 2) Mengumpulkan dan menganalisis laporan peristiwa siber yang diterima baik dari pengguna layanan maupun sumber eksternal organisasi.

b. mengidentifikasi dan menganalisis potensi dampak dari Insiden Siber.
Pada kegiatan ini dilakukan identifikasi dan analisis terhadap potensi dampak Insiden Siber pada layanan IIV dan Sistem Elektronik selain IIV, termasuk organisasi dan pihak terkait seperti mitra ketiga berdasarkan laporan lengkap Insiden Siber.
Aktivitas yang dilakukan dalam kegiatan ini yaitu:
1) melakukan konfirmasi terhadap orang yang terlibat dalam Insiden Siber dan sistem yang digunakan.
2) melakukan deteksi sumber Insiden Siber:
a) identifikasi informasi, dapat dilakukan dengan melihat lokasi, nomor serial, nomor model, hostname, MAC address, IP address dari komputer yang digunakan, log pada sistem operasi dan aplikasi;
b) identifikasi insiden, dapat dilihat melalui beberapa cara seperti:
i. Lihat IPS/IDS/Firewall pada jaringan yang memberikan peringatan saat terjadi intrusi pada jaringan;

ii. Antimalware memberi peringatan saat mendeteksi host / media yang terinfeksi malware;
iii. Administrator melihat adanya file baru yang mempunyai nama yang tidak biasa digunakan (unusual character);
iv. Log pada aplikasi mencatat adanya tindakan percobaan login yang banyak dari IP address yang tidak diketahui; dan
v. Administrator melihat surat elektronik yang tertolak oleh sistem (bounced email) yang banyak dengan konten yang anomali (suspicious content).

Analisis Insiden Siber dilakukan untuk mengetahui paling sedikit:
1) Sistem Elektronik yang terkena Insiden Siber.
Sistem Elektronik yang terkena Insiden Siber sebagaimana perlu diketahui kategori Sistem Elektroniknya.
2) Ruang lingkup dampak Insiden Siber.
Ruang lingkup dampak Insiden Siber diketahui untuk menentukan Tim Tanggap Insiden Siber yang terkait.
3) Pemrioritasan Insiden Siber.
Pemrioritasan Insiden Siber dilakukan dengan mempertimbangkan kategori Sistem Elektronik dan ruang lingkup dampak Insiden Siber.
4) Penyerang yang menyebabkan Insiden Siber.

c. memastikan Insiden Siber dikategorikan sesuai kriteria yang telah ditetapkan.
Pada kegiatan ini, laporan Insiden Siber dikumpulkan, dikategorisasikan, dan diprioritaskan sesuai dampak risiko terhadap organisasi.

d. memastikan bahwa Insiden Siber dilaporkan kepada pihak yang terkait.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) melaporkan informasi mengenai Insiden Siber kepada pihak yang berwenang sesuai dengan kriteria yang diterapkan oleh organisasi dan peraturan perundangan yang berlaku; dan 2) memastikan proses koordinasi dengan pemangku kepentingan dilakukan sesuai dengan rencana tanggap Insiden Siber.

3. Melaksanakan penanggulangan dan pemulihan Insiden Siber.
Kegiatan yang dilakukan meliputi:
a. memastikan Insiden Siber diisolasi dan dimitigasi sesuai rencana tanggap Insiden Siber.
Tujuan dari isolasi adalah untuk membatasi jangkauan dan skala Insiden Siber agar Insiden Siber tidak semakin memburuk.
Informasi yang dikumpulkan pada fase ini cukup untuk menentukan akar masalah dari Insiden Siber.
Pada tahapan ini juga dilakukan penahanan containment. Tahap ini menyediakan waktu untuk mengembangkan strategi remediasi yang disesuaikan. Bagian penting dari penahanan (containment) adalah pengambilan keputusan (misalnya, mematikan sistem, memutusnya dari jaringan, menonaktifkan fungsi tertentu). Keputusan seperti itu lebih mudah dilakukan

jika ada strategi dan prosedur yang telah ditentukan.
Organisasi harus MENETAPKAN risiko yang dapat diterima dalam menangani Insiden Siber dan mengembangkan strategi yang sesuai. Organisasi harus membuat strategi/prosedur penahanan terpisah untuk setiap jenis insiden utama, dengan kriteria yang didokumentasikan dengan jelas untuk memfasilitasi pengambilan keputusan. Prosedur containment dapat dilakukan dengan cara sebagai berikut:
1) isolasi sistem yang terkena insiden;
2) backup data yang berkaitan dengan insiden (misalnya hasil pengumpulan bukti berbentuk log, screenshot, dan lainnya);
3) identifikasi semua layanan (service) dan koneksi yang terhubung;
4) identifikasi metode penyerang ketika masuk ke sistem pertama kali, dengan melihat log pada sistem;
5) periksa kode-kode berbahaya yang ada dalam sistem; dan 6) lakukan pemantauan pada jaringan yang terkena Insiden Siber, jika terdapat paket yang dicurigai/anomali, segera blokir dan dokumentasikan (dapat dicatat sumber IP, bentuk paket, waktu, dan lainnya).

b. mengumpulkan dan memelihara bukti Insiden Siber dari Sistem Elektronik terdampak.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) mengategorikan informasi mengenai Insiden Siber yang terdeteksi dan menyimpannya sesuai ukuran dampak terkait keamanan, penyebab insiden, dan faktor lainnya yang diperlukan.
2) melakukan forensik digital terhadap aset informasi yang terdampak Insiden Siber untuk menemukenali penyebab Insiden Siber sesuai dengan ketentuan peraturan perundang- undangan.

c. menginvestigasi dan eradikasi penyebab Insiden Siber.
Pada kegiatan ini, seluruh komponen aset informasi yang terdampak insiden diperiksa. Investigasi dilakukan untuk menentukan penyebab dan gejala dari Insiden Siber.  Beberapa hal yang bisa dilakukan, di antaranya:
1) mencari tanda dan sebab dari suatu Insiden Siber;
2) mencari tahu bagaimana serangan dieksekusi.

Penghapusan atau eradikasi Insiden Siber dilakukan untuk menghilangkan komponen Insiden Siber. Penghapusan Insiden Siber juga termasuk penghapusan kerentanan Sistem Elektronik yang menyebabkan terjadinya Insiden Siber. Penghapusan kerentanan Sistem Elektronik dilakukan untuk persiapan pemulihan Sistem Elektronik. Penghapusan dilakukan dengan beberapa cara seperti:
1) menentukan tanda dan sebab dari suatu Insiden Siber;
2) melakukan restore backup untuk mendapatkan new fresh system;
3) menghapus penyebab Insiden Siber, seperti malware;
4) menonaktifkan akun pengguna yang terkena Insiden Siber;
5) melalui reset password jika diperlukan;
6) melakukan mitigasi terhadap kerentanan yang tereksploitasi saat Insiden Siber;

7) selama eradikasi, sangat penting untuk mengidentifikasi semua host yang terkena Insiden Siber; dan 8) melakukan improvisasi pertahanan dan melakukan vulnerability analysis untuk melihat potensi ancaman yang dapat terjadi.

d. mengoordinasikan dengan pihak terkait dalam rangka eskalasi penanggulangan Insiden Siber.
Apabila kegiatan yang telah dijelaskan di atas sudah dilakukan namun Insiden Siber masih meningkat atau meluas, maka buat prosedur terkait eskalasi Insiden Siber.
Hal-hal yang bisa dimasukkan ke dalam prosedur eskalasi Insiden Siber yaitu:
1) melaporkan kepada Tim Tanggap Insiden Siber (TTIS) sektoral dan nasional; dan 2) menyiapkan informasi yang relevan terkait Insiden Siber yang terjadi.

Koordinasi Insiden Siber dilakukan guna:
1) Menentukan pihak yang dapat melakukan teknis penahanan dan penghapusan Insiden Siber, serta penghapusan kerentanan Sistem Elektronik.
2) Menentukan pemangku kepentingan yang perlu dilibatkan dalam penahanan dan eradikasi Insiden Siber, serta penghapusan kerentanan Sistem Elektronik.
Pihak yang dapat melakukan teknis dapat berupa:
1) Penyelenggara Sistem Elektronik;
2) Tim Tanggap Insiden Siber; dan/atau 3) Pihak lain yang memiliki kemampuan teknis yang dibutuhkan.
Kerjasama dengan pihak yang melakukan teknis dilakukan dengan memperhatikan kerahasiaan informasi, perlindungan data, dan sesuai dengan ketentuan peraturan perundangan- undangan.

e. memastikan setiap aset informasi diperiksa keamanannya setelah penanggulangan Insiden Siber.
Pada kegiatan ini, dilakukan pemeriksaan terhadap seluruh aset informasi yang berhubungan dengan Sistem Elektronik dan memastikannya bersih dari indikasi ancaman atau serangan yang telah terjadi.

f. melaksanakan prosedur pencadangan dan pemulihan sistem dan data sesuai rencana keberlangsungan kegiatan.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) melaksanakan prosedur pemulihan sistem/data dari media penyimpanan apabila terjadi keadaan darurat;
2) melaksanakan simulasi secara periodik terhadap prosedur pemulihan sistem/data dari media penyimpanan rekam cadang;
3) melakukan prosedur rekam cadang secara optimal dengan memanfaatkan perangkat-perangkat penyimpanan yang memiliki fitur job-schedulling;
4) melakukan enkripsi terhadap data yang disimpan pada media penyimpanan rekam cadang;
5) menentukan waktu pelaksanaan rekam cadang terhadap

data organisasi yang disesuaikan dengan tingkat kritikalitas data dan kebutuhan organisasi; dan 6) mendokumentasikan hasil pelaksanaan rekam cadang data.

g. menentukan dan menerapkan retensi terhadap hasil pencadangan yang sudah tidak terpakai sesuai ketentuan.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) memastikan media penyimpanan rekam cadang telah disimpan secara aman;
2) meminta persetujuan pimpinan organisasi sebelum melakukan pemusnahan terhadap data yang disimpan pada media rekam cadang; dan 3) melakukan format ulang media rekam cadang dan memastikan data sudah tidak dapat diakses lagi.

h. pengujian ulang terhadap fungsi vital dan fungsi pendukung untuk memastikan capaian pemulihan terpenuhi.
Setelah upaya pemulihan elektronik terdampak dilakukan, dilakukan kegiatan pengujian ulang terhadap fungsi vital dan fungsi pendukung untuk memastikan capaian pemulihan terpenuhi. Capaian pemulihan dinilai berdasarkan:
1) waktu pemulihan di bawah batas waktu maksimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan;
2) jumlah data yang terpulihkan sesuai dengan batas jumlah data minimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan; dan/atau 3) fungsi vital dan fungsi pendukung yang terpulihkan sesuai dengan batas fungsi vital dan fungsi pendukung minimal yang ditetapkan berdasarkan rencana keberlangsungan kegiatan.

i. memastikan organisasi memiliki dan mengelola strategi komunikasi publik ketika terjadi Insiden Siber dan setelah penanggulangan serta pemulihan Insiden Siber.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) menyusun dan menerapkan strategi komunikasi publik dalam hal mengelola informasi yang perlu disampaikan terkait Insiden Siber; dan 2) memastikan bahwa proses penanganan dan pemulihan insiden dikomunikasikan dengan pihak yang berkepentingan sesuai dengan peraturan perundangan.

j. penyampaian informasi penanggulangan dan pemulihan Insiden Siber kepada pihak terkait.
Pada kegiatan ini dilakukan penyusunan laporan hasil penanganan Insiden Siber dan menyampaikannya kepada Kementerian atau Lembaga di masing-masing sektor.

4. Meningkatkan keamanan setelah terjadinya Insiden Siber.
Kegiatan yang dilakukan meliputi:
a. meninjau kembali efektifitas kontrol keamanan yang telah diterapkan.
Pada kegiatan ini dilakukan evaluasi kontrol keamanan yang diterapkan apakah masih relevan terhadap spektrum ancaman yang ada atau perlu ada perbaikan dan penambahan.

b. mereviu dan/atau memperbarui dokumen rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan secara berkala.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) Melakukan reviu dan pembaharuan teradap spektrum ancaman yang ada atau perlu ada perbaikan dan penambahan.
2) Melakukan reviu dan pembaharuan terhadap dokumen rencana tanggap Insiden Siber dan pemulihan apabila terdapat hal-hal yang dapat dijadikan pembelajaran berkelanjutan bagi organisasi.

c. mengumpulkan dan memelihara bukti hasil forensik digital.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) Mengumpulan laporan hasil pelaksanaan forensik digital yang meliputi informasi-informasi yang relevan.
2) Menyampaikan laporan hasil pelaksanaan forensik digital kepada pihak berwajib untuk selanjutnya dilakukan proses investigasi dan penegakan hukum sesuai ketentuan yang berlaku.

d. meninjau efektivitas kinerja penanganan insiden yang dilakukan oleh tim tanggap insiden siber secara berkala.
Pada kegiatan ini dilakukan hal-hal sebagai berikut:
1) Melakukan peninjauan secara berkala terhadap efektifitas kinerja penganganan insiden.
2) Melakukan langkah-langkah perbaikan terhadap pelaksanaan penanganan Insiden Siber baik dari segi teknologi, tata Kelola, atau peningkatan kapasitas SDM.

B. Ketentuan Kode Distribusi Informasi pada Tim Tanggap Insiden Siber (TTIS) Traffic Light Protocol (TLP) dibuat untuk memfasilitasi pembagian informasi sensitif untuk penerima informasi yang lebih luas dan kolaborasi yang lebih efektif. Berbagi informasi terjadi dari sumber informasi, kepada satu atau beberapa penerima. TLP adalah set yang terdiri atas empat label yang digunakan untuk menunjukkan batas pembagian yang akan diterapkan oleh penerima. Hanya label yang tercantum dalam standar ini yang dianggap valid oleh FIRST.
Empat label TLP adalah: TLP:RED, TLP:AMBER, TLP:GREEN, dan TLP:CLEAR. Dalam bentuk tulisan, keempat label TLP tersebut HARUS tidak mengandung spasi dan HARUS dalam huruf kapital. Label TLP HARUS tetap dalam bentuk aslinya, meskipun digunakan dalam bahasa lain.

Penggunaan:
1. Menggunakan TLP dalam sistem olah pesan.
Olah pesan berlabel TLP HARUS menunjukkan label TLP informasi yang dipertukarkan, serta batasan tambahan lainnya, langsung sebelum informasi itu sendiri ditunjukkan. Label TLP HARUS berada di baris subjek email. Jika diperlukan, pastikan juga untuk menandai bagian akhir teks yang akan diberi label TLP.
2. Menggunakan TLP dalam dokumen.
Dokumen berlabel TLP HARUS menunjukkan label TLP informasi, serta batasan tambahan apa pun, di header dan footer setiap halaman. Label TLP HARUS menggunakan huruf dengan jenis

ukuran 12 poin atau lebih besar untuk pengguna dengan gangguan penglihatan. Direkomendasikan untuk meletakan label TLP dengan format rata kanan.
3. Cara menggunakan TLP dalam pertukaran informasi otomatis.
Penggunaan TLP dalam pertukaran informasi otomatis tidak ditentukan: ini diserahkan kepada perancang pertukaran tersebut, tetapi HARUS sesuai dengan standar ini.
Kode warna TLP dalam RGB, CMYK dan Hex:

Catatan tentang pengkodean warna: ketika kontras warna antara teks dan latar belakang terlalu sedikit, mereka yang memiliki penglihatan rendah kesulitan membaca teks atau tidak dapat melihatnya sama sekali. TLP dirancang untuk mengakomodasi mereka yang memiliki penglihatan rendah. Sumber HARUS mematuhi kode warna TLP untuk memastikan kontras warna yang cukup untuk pembaca tersebut.

Definisi TLP:
a. Komunitas: Komunitas adalah grup yang memiliki tujuan, praktik, dan hubungan kepercayaan informal yang sama. Komunitas bisa jadi seluas semua praktisi keamanan siber di suatu negara (atau di suatu sektor atau wilayah).
b. Organisasi: Organisasi adalah grup yang memiliki afiliasi yang sama melalui keanggotaan formal dan terikat oleh kebijakan umum yang ditetapkan oleh organisasi. Sebuah organisasi bisa jadi seluas semua anggota organisasi berbagi informasi, tapi jarang lebih luas.
c. Klien: Klien adalah orang atau entitas yang menerima layanan keamanan siber dari organisasi. Klien secara default disertakan dalam TLP:AMBER sehingga penerima dapat berbagi informasi lebih jauh ke hilir agar klien dapat mengambil tindakan untuk melindungi diri mereka sendiri. Untuk tim dengan tanggung jawab nasional, definisi ini mencakup pemangku kepentingan dan konstituen.
d. Label TLP:
1) TLP:RED = Untuk mata dan telinga penerima individu saja, tidak ada pengungkapan lebih lanjut. Sumber dapat menggunakan TLP:RED ketika informasi tidak dapat ditindaklanjuti secara efektif tanpa risiko signifikan terhadap privasi, reputasi, atau operasi organisasi yang terlibat. Oleh karena itu, penerima tidak boleh berbagi informasi TLP:RED dengan orang lain. Dalam konteks rapat, misalnya, informasi TLP:RED terbatas pada mereka yang hadir dalam rapat.
2) TLP:AMBER = Pengungkapan terbatas, penerima hanya dapat menyebarkan ini berdasarkan kebutuhan untuk mengetahuinya dalam organisasi dan kliennya.
Perhatikan bahwa

TLP:AMBER+STRICT membatasi berbagi hanya untuk organisasi. Sumber dapat menggunakan TLP:AMBER ketika informasi memerlukan dukungan untuk ditindaklanjuti secara efektif, namun membawa risiko terhadap privasi, reputasi, atau operasi jika dibagikan di luar organisasi yang terlibat. Penerima dapat membagikan informasi TLP:AMBER dengan anggota organisasi mereka sendiri dan kliennya, tetapi hanya berdasarkan kebutuhan untuk mengetahui guna melindungi organisasi mereka dan kliennya serta mencegah kerugian lebih lanjut. Catatan: jika sumber ingin membatasi berbagi hanya untuk organisasi, mereka harus menentukan TLP:AMBER+STRICT.
3) TLP:GREEN = Pengungkapan terbatas, penerima dapat menyebarkan ini dalam komunitasnya.
Sumber dapat menggunakan TLP:GREEN ketika informasi berguna untuk meningkatkan kesadaran dalam komunitas mereka yang lebih luas. Penerima dapat berbagi informasi TLP:GREEN dengan rekan dan organisasi mitra dalam komunitas mereka, tetapi tidak melalui saluran yang dapat diakses publik.
Informasi TLP:GREEN tidak boleh dibagikan di luar komunitas. Catatan:
jika “komunitas” tidak ditentukan, asumsikan komunitas keamanan/pertahanan siber.
4) TLP:CLEAR = Penerima dapat menyebarkan ini ke seluruh dunia, tidak ada batasan pengungkapan. Sumber dapat menggunakan TLP:CLEAR ketika informasi membawa risiko penyalahgunaan minimal atau tidak dapat diperkirakan, sesuai dengan aturan dan prosedur yang berlaku untuk rilis publik. Tunduk pada aturan hak cipta standar, informasi TLP:CLEAR dapat dibagikan tanpa batasan.

KEPALA BADAN SIBER DAN SANDI NEGARA,

ttd.

HINSA SIBURIAN

Reason for correction

Email (optional)