Langsung ke konten utama
Langsung ke konten utama
Pasal.id

Koreksi Pasal 23

PERBAN Nomor 7 Tahun 2024 | Peraturan Badan Nomor 7 Tahun 2024 tentang Penyelenggaraan Penilaian Kesesuaian Kriteria Umum Untuk Evaluasi Keamanan Teknologi Informasi Indonesia (Indonesia Common Criteria for Information Technology Security Evaluation)

PDF Sumber
100%
Hal. 1
Hal. 1
Teks Saat Ini
Peraturan Badan ini mulai berlaku pada tanggal diundangkan. Agar setiap orang mengetahuinya, memerintahkan pengundangan Peraturan Badan ini dengan penempatannya dalam Berita Negara Republik INDONESIA. Ditetapkan di Jakarta pada tanggal 9 September 2024 KEPALA BADAN SIBER DAN SANDI NEGARA, Œ HINSA SIBURIAN Diundang di Jakarta pada tanggal Д PLT. DIREKTUR JENDERAL PERATURAN PERUNDANG-UNDANGAN KEMENTERIAN HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA, Ѽ ASEP N. MULYANA BERITA NEGARA REPUBLIK INDONESIA TAHUN 2024 NOMOR Ж LAMPIRAN I PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) RINCIAN SKEMA SCCI UNTUK SERTIFIKASI PRODUK TEKNOLOGI PELINDUNGAN IIV A. Ruang Lingkup Dokumen ini berlaku untuk acuan pelaksanaan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV berdasarkan persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1- bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang tercantum dalam tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian. B. Persyaratan Acuan Persyaratan acuan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV mencakup: 1. CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1- bagian 5 sebagaimana dimaksud pada tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; 2. SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 sebagaimana tercantum pada tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; 3. Standar lain yang diacu dalam CC sebagaimana dimaksud pada huruf B angka 1;dan 4. SNI dan standar lain yang diacu dalam SNI sebagaimana dimaksud pada huruf B angka 2. C. Jenis Kegiatan Penilaian Kesesuaian Penilaian kesesuaian dilakukan dengan kegiatan sertifikasi oleh LSPro yang ditetapkan oleh Kepala Badan dan telah diakreditasi oleh KAN berdasarkan SNI ISO/IEC 17065 untuk lingkup Produk sesuai tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian. Kegiatan sertifikasi yang dilakukan oleh LSPro terdiri atas sertifikasi TOE. D. Prosedur Administratif 1. Pengajuan Permohonan Sertifikasi a. LSPro harus menyusun format permohonan sertifikasi TOE bagi Sponsor dan/atau Developer untuk mendapatkan seluruh informasi. b. Pengajuan permohonan sertifikasi dilakukan oleh Sponsor dan/atau Developer dan akan dicatat serta diverifikasi oleh LSPro. Kriteria Sponsor dan/atau Developer yang dapat mengajukan sertifikasi sesuai dengan ketentuan peraturan perundang-undangan. c. Permohonan sertifikasi harus dilengkapi dengan: 1) Informasi Sponsor dan/atau Developer: a) nama dan alamat Sponsor dan/atau Developer, serta nama dan kedudukan atau jabatan personel yang bertanggung jawab atas pengajuan permohonan sertifikasi; b) bukti pemenuhan persyaratan izin berusaha sesuai dengan ketentuan peraturan perundang-undangan; c) merek Produk yang diajukan untuk disertifikasi (telah terdaftar atau sedang didaftarkan di Direktorat Jenderal Kekayaan Intelektual Kementerian Hukum dan HAM RI; d) apabila Sponsor dan/atau Developer melakukan pembuatan Produk dengan merek yang dimiliki oleh pihak lain, menyertakan bukti perjanjian yang mengikat secara hukum untuk melakukan pembuatan Produk untuk pihak lain; e) apabila Sponsor dan/atau Developer bertindak sebagai pemilik merek yang mengalihdayakan proses produksinya kepada pihak lain, menyertakan bukti kepemilikan merek dan perjanjian alih daya pelaksanaan produksi dengan pihak lain; f) apabila Sponsor dan/atau Developer bertindak sebagai perwakilan resmi pemilik merek yang berkedudukan hukum di luar negeri, menyertakan bukti perjanjian yang mengikat secara hukum tentang penunjukan sebagai perwakilan resmi pemilik merek di wilayah Republik INDONESIA; dan g) pernyataan bahwa Sponsor dan/atau Developer bertanggung jawab penuh atas pemenuhan persyaratan acuan CC:2022 dan SNI dan pemenuhan persyaratan proses sertifikasi, serta bersedia memberikan akses terhadap lokasi dan/atau informasi yang diperlukan oleh LSPro dalam melaksanakan kegiatan sertifikasi. 2) Informasi Produk: Sponsor dan/atau Developer harus menyampaikan informasi sebagai berikut: a) informasi merek Produk yang diajukan untuk disertifikasi; b) informasi tipe Produk yang diajukan untuk disertifikasi; c) persyaratan acuan yang digunakan sebagai dasar pengajuan permohonan sertifikasi sesuai tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; d) formulir pengajuan permohonan sertifikasi TOE;. e) Bukti Evaluasi TOE; f) TOE (khusus untuk TOE berbentuk perangkat lunak); dan g) Proposal proyek evaluasi (evaluation project proposal - EPP), surat pernyataan dokumen penilaian awal ST dan kecukupan bukti evaluasi dari Laboratorium Pengujian. 3) Informasi proses produksi : a) nama, alamat, dan legalitas hukum Developer TOE, apabila berbeda dengan legalitas Sponsor; b) struktur organisasi, nama dan jabatan personel penanggung jawab proses produksi; c) informasi tentang proses pembuatan TOE yang diajukan untuk disertifikasi, termasuk proses yang dialihdayakan ke pihak lain; d) informasi terdokumentasi terkait pengelolaan proses produksi yang dipersyaratkan dalam persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1- bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 sesuai tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; e) lokasi produksi dan/atau lokasi gudang penyimpanan Produk di wilayah Republik INDONESIA; dan f) apabila telah tersedia, menyertakan sertifikat penerapan sistem manajemen berdasarkan SNI ISO 9001 atau SNI ISO/IEC 27001 dari lembaga sertifikasi yang diakreditasi oleh KAN atau badan akreditasi penandatangan international accreditaion forum atau asia pasific accreditation cooperation, multilateral recognition agreement dengan ruang lingkup yang sesuai atau sistem manajemen lainnya yang relevan. 2. Seleksi a. Tinjauan permohonan sertifikasi 1) LSPro harus memastikan bahwa informasi yang diperoleh dari permohonan sertifikasi yang diajukan oleh Sponsor dan/atau Developer telah lengkap dan memenuhi persyaratan, serta dapat memastikan kemampuan LSPro untuk menindaklanjuti permohonan sertifikasi. 2) Tinjauan permohonan sertifikasi harus dilakukan oleh personel yang memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. b. Penandatanganan perjanjian sertifikasi Setelah permohonan sertifikasi dinyatakan lengkap dan memenuhi persyaratan serta Sponsor dan/atau Developer menyetujui persyaratan dan prosedur sertifikasi yang ditetapkan oleh LSPro, dilakukan pemutakhiran register Produk CC INDONESIA dan penandatanganan perjanjian sertifikasi oleh Sponsor dan/atau Developer dan LSPro. Register Produk CC INDONESIA merupakan daftar informasi terkait Produk yang sedang dalam proses sertifikasi dan/atau tersertifikasi berdasarkan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV. c. Penyusunan rencana evaluasi 1) Berdasarkan informasi yang diperoleh dari persyaratan permohonan sertifikasi yang disampaikan oleh Sponsor dan/atau Developer, LSPro MENETAPKAN rencana evaluasi yang mencakup paling sedikit: a) jadwal kegiatan evaluasi yang terdiri atas: tujuan, durasi, lokasi, tim, metode pengujian, dan agenda evaluasi Produk yang diajukan untuk disertifikasi; b) rencana pengambilan sampel yang meliputi merek dan tipe Produk yang diajukan untuk disertifikasi dan metode pengambilan sampel sesuai dengan persyaratan acuan, yang diperlukan untuk pengujian Produk dan mewakili Produk yang diajukan untuk disertifikasi;dan c) waktu yang diperlukan untuk pelaksanaan pengujian berdasarkan persyaratan acuan metode uji yang dipersyaratkan. 2) Pelaksanaan evaluasi dilakukan oleh auditor atau tim audit yang memiliki kriteria kompetensi sesuai kriteria kompetensi personel/tim dalam kegiatan sertifikasi. 3) Apabila relevan, tahap seleksi juga mengacu pada hal-hal spesifik sebagaimana diatur pada tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian. E. Determinasi Determinasi mencakup 2 (dua) tahap penilaian, yaitu evaluasi tahap 1 (satu) dan evaluasi tahap 2 (dua). 1. Pelaksanaan evaluasi tahap 1 (satu) a. Evaluasi tahap 1 (satu) dilaksanakan terhadap kesesuaian informasi Produk dan proses produksi yang disampaikan oleh Sponsor dan/atau Developer terhadap lingkup Produk yang ditetapkan dalam persyaratan acuan dan peraturan terkait untuk menentukan kesiapan penilaian audit proses produksi. b. Apabila hasil evaluasi tahap 1 (satu) menunjukan ketidaksesuaian informasi Produk dan proses produksi, Sponsor dan/atau Developer diberikan kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu paling lama 5 (lima) hari kerja sejak pemberitahuan kekurangan kelengkapan informasi Produk dan proses produksi diterima oleh Sponsor dan/atau Developer. c. Dalam hal Sponsor dan/atau Developer tidak dapat menyelesaikan tindakan perbaikan terhadap ketidaksesuaian evaluasi tahap 1 (satu) sesuai jangka waktu yang ditetapkan, LSPro dapat menghentikan proses sertifikasi dan tidak melanjutkan proses sertifikasi ke tahap berikutnya. 2. Pelaksanaan evaluasi tahap 2 (dua) a. Evaluasi tahap 2 (dua) dilakukan melalui audit proses produksi dan pengujian terhadap sampel TOE berdasarkan persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408- 3:2022, serta SNI ISO/IEC 15408-5:2022. b. Pengambilan sampel TOE berbentuk perangkat keras dilakukan oleh personel kompeten yang ditugaskan LSPro. Pengambilan sampel dilakukan di lokasi produksi dengan jumlah sampel sebagaimana diuraikan pada daftar Produk, acuan CC, acuan SNI, dan uraian penilaian kesesuaian. c. Audit proses produksi bertujuan untuk memastikan kemampuan dan konsistensi Sponsor dan/atau Developer dalam memproduksi TOE sesuai dengan persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, SNI ISO/IEC 15408-5:2022 dan sistem manajemen jika relevan. d. Audit proses produksi dilakukan pada saat Sponsor dan/atau Developer melakukan proses produksi pembuatan TOE yang diajukan untuk disertifikasi. e. Audit dilakukan dengan metode audit yang merupakan kombinasi dari audit dokumen dan rekaman, wawancara, observasi, demonstrasi, atau metode audit lainnya. f. Audit dilakukan terhadap: 1) tanggung jawab dan komitmen manajemen puncak terhadap konsistensi mutu Produk; 2) ketersediaan dan pengendalian informasi prosedur dan rekaman pengendalian mutu; 3) pengelolaan sumber daya termasuk personel, bangunan dan fasilitas, serta lingkungan kerja yang memengaruhi mutu Produk; 4) tahapan kritis proses produksi TOE, mulai dari bahan baku sampai TOE jadi paling sedikit sebagaimana diuraikan pada tahapan kritis proses produksi TOE pada tabel daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; 5) kelengkapan serta fungsi peralatan produksi termasuk peralatan pengendalian mutu; 6) bukti verifikasi berdasarkan hasil kalibrasi atau hasil verifikasi peralatan produksi yang membuktikan bahwa peralatan tersebut memenuhi persyaratan produksi. Hasil verifikasi peralatan produksi dapat ditunjukkan dengan prosedur yang diperlukan untuk mencapai kondisi atau persyaratan yang ditetapkan; dan 7) pengendalian proses produksi dan penanganan Produk yang tidak sesuai. g. Apabila Sponsor dan/atau Developer telah menerapkan dan mendapatkan sertifikat sistem manajemen berdasarkan SNI ISO 9001 atau SNI ISO/IEC 27001 dari lembaga sertifikasi yang diakreditasi oleh KAN atau badan akreditasi penandatangan international accreditaion forum/asia pasific accreditation cooperation multilateral recognition agreement dengan ruang lingkup yang sesuai, maka audit proses produksi dilakukan terhadap implementasi sistem manajemen terkait mutu Produk dan huruf f angka 4) sampai dengan angka 7). h. Apabila hasil audit proses produksi ditemukan ketidaksesuaian pada pengendalian proses dan mutu Produk yang berakibat pada kegagalan Produk dalam memenuhi persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022, maka LSPro memberikan kesempatan kepada Sponsor dan/atau Developer agar dapat dilakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kebijakan LSPro. i. Pengujian TOE dilakukan di Laboratorium Pengujian yang telah ditunjuk oleh Kepala Badan dan telah terakreditasi oleh KAN. j. Pengujian TOE meliputi: 1) audit Bukti Evaluasi TOE; 2) pengujian fungsionalitas TOE; dan 3) pengujian penilaian kerentanan TOE. k. Dalam melaksanakan pengujian TOE, Laboratorium Pengujian menyusun: 1) EOR setiap kelas jaminan keamanan. 2) ETR; dan 3) test plan untuk pengujian fungsionalitas TOE dan pengujian penilaian kerentanan TOE. l. Laboratorium Pengujian menyampaikan EOR, ETR, dan test plan kepada LSPro untuk mendapatkan reviu dan persetujuan. m. Pelaksanaan pengujian TOE diawasi auditor LSPro melalui: 1) rapat kemajuan evaluasi untuk mereviu dan menyetujui EOR; 2) rapat teknis pengujian untuk mereviu dan menyetujui test plan; dan 3) melakukan reviu ETR. n. Dalam hal ditemukan ketidaksesuaian pada proses pengujian, Sponsor dan/atau Developer dapat diberi kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kesepakatan antara LSPro, Laboratorium Pengujian dan Sponsor dan/atau Developer dengan melakukan pemutakhiran pada EPP. o. Dalam hal Sponsor dan/atau Developer tidak dapat menyelesaikan tindakan perbaikan terhadap ketidaksesuaian evaluasi tahap 2 (dua) sesuai jangka waktu yang ditetapkan, LSPro dapat menghentikan proses sertifikasi dan MENETAPKAN bahwa TOE tidak lulus sertifikasi. F. Tinjauan dan keputusan 1. Tinjauan a. Tinjauan hasil evaluasi dilakukan terhadap pemenuhan seluruh persyaratan sertifikasi dan kesesuaian proses sertifikasi, mulai dari pengajuan permohonan sertifikasi, pelaksanaan seleksi dan determinasi serta tindakan perbaikan dari Sponsor dan/atau Developer jika ada. b. Tinjauan hasil evaluasi dinyatakan dalam bentuk rekomendasi tertulis tentang pemenuhan persyaratan acuan CC:2022 revisi 1- bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang diajukan oleh Sponsor dan/atau Developer untuk Produk yang diajukan untuk disertifikasi. c. Tinjauan hasil evaluasi harus dilakukan oleh orang atau sekelompok orang yang tidak terlibat dalam proses penilaian. d. Personel yang melakukan tinjauan hasil penilaian harus memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. 2. Penetapan keputusan sertifikasi a. Penetapan keputusan sertifikasi dilakukan berdasarkan rekomendasi yang dihasilkan dari proses tinjauan. b. Penetapan keputusan sertifikasi harus dilakukan oleh satu orang atau sekelompok orang yang tidak terlibat dalam proses evaluasi. c. Penetapan keputusan sertifikasi dapat dilakukan oleh orang atau sekelompok orang yang sama dengan yang melakukan tinjauan. d. Penetapan keputusan sertifikasi dilakukan oleh personel yang memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. e. Rekomendasi untuk keputusan sertifikasi berdasarkan hasil tinjauan harus didokumentasikan. f. LSPro harus memberitahukan secara tertulis kepada Sponsor dan/atau Developer terkait keputusan sertifikasi. g. LSPro harus menyampaikan secara tertulis kepada Sponsor dan/atau Developer terkait alasan menunda atau tidak memberikan keputusan sertifikasi, dan harus mengidentifikasi alasan keputusan tersebut. h. Apabila Sponsor dan/atau Developer menunjukkan keinginan untuk melanjutkan proses sertifikasi setelah LSPro MEMUTUSKAN tidak lulus sertifikasi, Sponsor dan/atau Developer dapat mengajukan kembali permohonan sertifikasi. i. Setelah melakukan penetapan keputusan sertifikasi, LSPro melakukan pemutakhiran register Produk CC INDONESIA dengan status telah disertifikasi. 3. Bukti kesesuaian a. Bukti kesesuaian berupa Sertifikat Keamanan Teknologi Pelindungan IIV yang diterbitkan oleh LSPro. LSPro menyerahkan Sertifikat Keamanan Teknologi Pelindungan IIV, laporan sertifikasi (certification report - CR) dan ST kepada Sponsor dan/atau Developer yang telah memenuhi persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408- 2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408- 5:2022. Sertifikat Keamanan Teknologi Pelindungan IIV berlaku selama 5 (lima) tahun setelah diterbitkan. b. Sertifikat Keamanan Teknologi Pelindungan IIV terhadap persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 paling sedikit harus memuat: 1) nomor sertifikat atau identifikasi penomoran unik lainnya; 2) nama dan alamat LSPro; 3) nama dan alamat Sponsor dan/atau Developer (pemegang sertifikat); 4) nomor atau identifikasi lain yang mengacu ke perjanjian sertifikasi; 5) tujuan penggunaan Produk untuk digunakan di sektor IIV; 6) pernyataan kesesuaian yang mencakup: a) merek dan spesifikasi dari Produk yang dinyatakan memenuhi persyaratan; b) EAL TOE; c) persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang menjadi dasar sertifikasi; dan d) nama dan alamat lokasi produksi pembuatan Produk yang dinyatakan memenuhi persyaratan sesuai lingkup SNI. 7) status akreditasi atau pengakuan LSPro; 8) tanggal penerbitan sertifikat dan masa berlakunya, serta riwayat sertifikat; dan 9) tanda tangan yang mengikat secara hukum dari personel yang bertindak atas nama LSPro sesuai dengan ketentuan peraturan perundang-undangan. c. Sertifikat Keamanan Teknologi Pelindungan IIV dapat dinyatakan tidak berlaku apabila terjadi: 1) penyalahgunaan Sertifikat Keamanan Teknologi Pelindungan IIV oleh Sponsor dan/atau Developer; 2) penyalahgunaan nama dan logo Badan, LSPro, Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC oleh Sponsor dan/atau Developer; atau 3) konflik kepentingan yang mengakibatkan keberpihakan dalam proses sertifikasi. G. Pemeliharaan Jaminan Keamanan 1. Pemeliharaan jaminan keamanan merupakan proses yang diajukan oleh Sponsor dan/atau Developer terhadap perubahan dan/atau penambahan fungsi keamanan TOE untuk peningkatan jaminan keamanan. 2. Pemeliharaan jaminan keamanan diberikan kepada TOE yang sudah disertifikasi oleh LSPro sesuai Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV. 3. Pengajuan permohonan pemeliharaan jaminan keamanan diajukan oleh Sponsor dan/atau Developer kepada LSPro setelah 30 (tiga puluh) hari kerja sejak Sertifikat Keamanan Teknologi Pelindungan IIV diterbitkan. 4. Dalam mengajukan permohonan jaminan keamanan, Sponsor dan/atau Developer menyampaikan: a. formulir permohonan jaminan keamanan; b. IAR; c. ST d. CR; dan e. salinan Sertifikat Keamanan Teknologi Pelindungan IIV. 5. LSPro mencatat dan memverifikasi permohonan pemeliharaan jaminan keamanan yang diajukan oleh Sponsor dan/atau Developer. 6. Verifikasi pengajuan permohonan pemeliharaan jaminan keamanan dilakukan dalam waktu 10 (sepuluh) hari kerja sejak permohonan diterima. 7. Dalam hal melakukan verifikasi ditemukan kekurangan kelengkapan persyaratan permohonan pemeliharaan jaminan keamanan Sponsor dan/atau Developer harus melengkapi kelengkapan persyaratan permohonan paling lama 2 (dua) hari kerja sejak pemberitahuan kekurangan kelengkapan persyaratan permohonan diterima. 8. Jangka waktu melengkapi kelengkapan persyaratan permohonan tidak mengurangi jangka waktu verifikasi. 9. Dalam hal Sponsor dan/atau Developer tidak melengkapi kelengkapan persyaratan permohonan dalam waktu 2 (dua) hari kerja, LSPro dapat menolak permohonan pengajuan pemeliharaan jaminan keamanan. 10. Dalam hal verifikasi tidak terdapat permasalahan, LSPro melaksanakan pemeliharaan jaminan keamanan. 11. Dalam melaksanakan pemeliharaan jaminan keamanan, LSPro melakukan penilaian IAR untuk menentukan kategori perubahan TOE yang terdiri atas: a. perubahan minor; dan b. perubahan mayor. 12. Perubahan minor merupakan perubahan yang tidak terkait langsung dengan fungsi keamanan TOE. 13. Perubahan mayor merupakan perubahan yang terkait langsung dengan fungsi keamanan TOE. 14. Dalam hal hasil penilaian IAR menunjukkan kategori perubahan minor, LSPro menerbitkan laporan pemeliharaan jaminan keamanan dan melakukan pemutakhiran register Produk CC INDONESIA. 15. Dalam hal hasil penilaian IAR menunjukkan kategori perubahan mayor, LSPro menerbitkan surat rekomendasi pelaksanaan sertifikasi untuk TOE yang baru kepada Sponsor dan/atau Developer. H. Pemeliharaan Sertifikasi 1. Pengawasan oleh LSPro a. Pengawasan oleh LSPro dilakukan dengan kegiatan surveilans. Jarak antara surveilans paling sedikit 18 (delapan belas) bulan. b. LSPro harus melaksanakan kunjungan surveilans paling sedikit 2 (dua) kali dalam periode sertifikasi. Surveilans pertama dilaksanakan pada bulan ke 20 (dua puluh) sampai dengan 24 (dua puluh empat), surveilans kedua dilaksanakan pada bulan ke 40 (empat puluh) sampai dengan 44 (empat puluh empat). Kunjungan surveilans dilakukan melalui kegiatan audit proses produksi dan/atau pengujian Produk. c. Surveilans dapat dilakukan dengan audit dokumen/rekaman dan/atau melalui audit jarak jauh dengan menggunakan media yang disepakati untuk mendapatkan bukti objektif. d. Pelaksanaan surveilans juga mengacu pada hal-hal spesifik sebagaimana diatur pada lampiran daftar Produk, acuan CC, acuan SNI, dan uraian penilaian kesesuaian. 2. Sertifikasi ulang a. Sertifikasi ulang terhadap TOE dapat dilakukan berdasarkan kondisi masa berlaku Sertifikat Keamanan Teknologi Pelindungan IIV pada TOE telah berakhir. b. Apabila proses sertifikasi ulang belum selesai sampai masa berlaku Sertifikat Keamanan Teknologi Pelindungan IIV berakhir, maka: 1) apabila keterlambatan sertifikasi disebabkan oleh LSPro, maka LSPro menerbitkan surat keterangan yang menyatakan Sponsor dan/atau Developer sedang dalam proses sertifikasi; dan 2) apabila keterlambatan sertifikasi disebabkan oleh Sponsor dan/atau Developer, maka proses sertifikasi tidak dilanjutkan dan sertifikat tidak berlaku. c. LSPro harus menyampaikan informasi kepada Sponsor dan/atau Developer untuk melaksanakan sertifikasi ulang TOE paling lambat 9 (sembilan) bulan sebelum masa berlaku sertifikat berakhir. d. Pelaksanaan sertifikasi ulang dilakukan sesuai dengan tahapan pada prosedur administratif, determinasi, serta tinjauan dan keputusan. e. Apabila berdasarkan hasil sertifikasi ulang ditemukan ketidaksesuaian, Sponsor dan/atau Developer harus diberi kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kebijakan LSPro. f. Sertifikasi ulang dapat dilakukan dengan audit dokumen atau rekaman dan/atau melalui audit jarak jauh dengan menggunakan media yang disepakati untuk mendapatkan bukti objektif. I. Evaluasi Khusus 1. LSPro dapat melaksanakan evaluasi khusus dalam rangka audit perluasan lingkup maupun tindak lanjut atau investigasi atas keluhan atau informasi yang ada. 2. Tahapan evaluasi khusus dalam rangka perluasan lingkup dilakukan sesuai dengan tahapan sertifikasi namun terbatas pada perluasan lingkup yang diajukan. Evaluasi terhadap perluasan lingkup sertifikasi dapat dilakukan terpisah maupun bersamaan dengan surveilans. 3. Evaluasi khusus dalam rangka investigasi keluhan atau informasi yang ada dilakukan oleh auditor yang memiliki kompetensi untuk melakukan investigasi dan terbatas pada permasalahan yang ada, serta dilakukan dalam waktu yang singkat dari diperolehnya keluhan atau informasi. 4. Berdasarkan hasil evaluasi khusus, apabila terdapat Produk yang disertifikasi tidak memenuhi persyaratan yang ditetapkan, maka LSPro mewajibkan Sponsor dan/atau Developer untuk menarik semua Produk yang terindikasi tidak sesuai, melaporkan kepada Badan dan melarang mencantumkan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC pada Produk dan/atau media lain sejak tanggal terjadinya ketidaksesuaian tersebut sampai dengan dapat dilakukan tindakan perbaikan. Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC dapat dicantumkan kembali setelah dilakukan tindakan perbaikan dan dinyatakan memenuhi oleh LSPro. J. Ketentuan pengurangan, pembekuan, dan pencabutan sertifikasi 1. Pengurangan lingkup sertifikasi Sponsor dan/atau Developer dapat mengajukan pengurangan lingkup sertifikasi selama periode sertifikasi. 2. Pembekuan dan pencabutan sertifikasi a. LSPro dapat membekukan sertifikasi apabila Sponsor dan/atau Developer: 1) tidak menyetujui untuk dilaksanakan surveilans dan/atau evaluasi khusus; 2) tidak mampu memperbaiki ketidaksesuaian yang diterbitkan oleh LSPro pada saat surveilans dan/atau saat evaluasi khusus; atau 3) menyampaikan permintaan pembekuan sertifikasi kepada LSPro. b. LSPro harus membatasi periode pembekuan sertifikasi maksimal 6 (enam) bulan. c. LSPro dapat melakukan pencabutan sertifikasi apabila Sponsor dan/atau Developer: 1) tidak menyetujui untuk dilaksanakan surveilans dan/atau evaluasi khusus melebihi batas waktu yang ditentukan; 2) tidak mampu memperbaiki ketidaksesuaian yang mengakibatkan pembekuan sertifikasi melebihi batas waktu yang ditentukan; atau 3) menyampaikan permintaan pencabutan sertifikasi kepada LSPro. d. LSPro dapat mempertimbangkan pembekuan atau pencabutan sertifikasi, atau tindakan lainnya yang disebabkan oleh faktor lainnya dengan mempertimbangkan risiko yang ditemukan. K. Keluhan dan Banding LSPro harus mengembangkan aturan penanganan keluhan dan banding dengan mempertimbangkan kompetensi dan imparsialitas pelaksanaan penanganan keluhan dan banding. L. Informasi Publik LSPro harus mempublikasikan informasi kepada publik sesuai persyaratan SNI ISO/IEC 17065 termasuk informasi Sponsor dan/atau Developer yang disertifikasi, dibekukan dan dicabut. Informasi publik terkait informasi Sponsor dan/atau Developer yang disertifikasi, dibekukan dan dicabut tersebut juga harus disampaikan melalui sistem informasi LSPro. M. Daftar Produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian Produk Acuan, Judul CC SNI, Judul SNI Seleksi Determinasi Surveilans Titik Kritis Kategori Fungsi a. Peranti dan sistem kontrol akses (Access control devices and system); b. Boundary protection devices and system; c. Pelindungan data (Data protection); d. Basis data (Database); e. Peranti dan sistem deteksi (Detection devices and system); f. Sirkuit terpadu, kartu pintar dan peranti dan sistem terkait kartu pintar (ICs, smart card and smart card related devices and system); g. Sistem manajemen kunci (Key management system); a. Pengelolaan aset informasi; b. Repositori manajemen konfigurasi; c. Manajemen kapasitas (capacity management); d. Pengujian keamanan sistem; e. Manajemen kerentanan teknis; f. Pencatatan (logging); g. Pemantauan keamanan dan performa (monitoring); h. Manajemen identitas dan/atau pengguna; i. Pelindungan telekarya (teleworking); j. Pengamanan pada transfer data/informasi; k. Pemusnahan data dan media; l. Pengelolaan media yang 1) CC:2022 revisi 1 bagian 2: komponen fungsional keamanan (common criteria for information technology security evaluation revision 1 part 2: security functional components) 2) CC:2022 revisi 1 bagian 3: komponen asurans keamanan (common criteria for information technology security evaluation revision 1 part 3: security assurance component) 3) CC:2022 revisi 1 bagian 5: paket persyaratan keamanan yang telah ditentukan (common criteria 1) SNI ISO/IEC 15408-2:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI- bagian 2: komponen fungsional keamanan 2) SNI ISO/IEC 15408-3:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI- bagian 3: komponen asurans keamanan 3) SNI ISO/IEC 15408-5:2022 keamanan informasi, keamanan siber dan proteksi privasi-kriteria evaluasi untuk keamanan TI- • Klasifikasi TOE berdasark an kategori dan fungsi Produk dengan EAL paling rendah 3 (tiga) untuk teknologi pelindung an IIV. • Sponsor dan/atau Developer menyerah kan TOE berbentuk perangkat lunak kepada LSPro. • Pengambil an sampel TOE berbentuk perangkat keras sebanyak 3 (tiga) buah yang dibuktikan dengan Berita Acara Pengambil an Sampel. • Penerapan Sistem Manajeme n Mutu atau yang relevan Pengambilan sampel TOE berbentuk perangkat keras sebanyak 1 (satu) buah untuk sertifikasi ulang dan/ atau sesuai dengan kebutuhan pengujian atau persyaratan acuan CC:2022 dan SNI ISO/IEC 15408- 2:2022, SNI ISO/IEC 15408- 3:2022, serta SNI ISO/IEC 15408- 5:2022 1) bahan baku/komponen (tidak berlaku untuk TOE berupa perangkat lunak) Komponen lain sesuai dengan spesifikasi yang ditentukan dan telah memenuhi aspek keselamatan dibuktikan dengan sertifikat komponen. Apabila bahan baku/komponen termasuk kategori SNI Wajib maka dilakukan pemeriksaan Tanda SNI . 2) penyiapan desain a. Menerapkan paling sedikit tiga fungsi keamanan pada TOE; b. Jika terdapat fungsi keamanan yang diterapkan pada TOE belum didefinisikan persyaratan acuan yang digunakan maka harus dijelaskan pada bukti evlauasi TOE; c. Jika TOE memiliki klaim kesesuaian terhadap PP tertentu maka fungsi keamanan yang Produk Acuan, Judul CC SNI, Judul SNI Seleksi Determinasi Surveilans Titik Kritis Kategori Fungsi h. Mobilitas (Mobility); i. Peranti multi- fungsi (Multi- function devices); j. Jaringan dan peranti dan sistem terkait dengan jaringan (Network and network-related devices and system); k. Sistem operasi (Operating systems); l. Produk untuk tanda tangan digital (Product for digital signature); m. Komputasi tepercaya (Trusted computing); n. Peranti dan sistem lainnya (Other devices and system). dapat dipindahkan (removable media); m. Pengelolaan hak akses istimewa (privileged access rights); n. Pengamanan terhadap akses ke jaringan dan layanan jaringan; o. pembatasan instalasi perangkat lunak; p. pengamanan layanan aplikasi di jaringan publik; q. kriptografi; r. pengecekan integritas file (file integrity monitoring) s. pencegahan kebocoran data (data loss prevention) t. backups (rekam cadang) dan redudansi; u. pengelolaan insiden; atau for information technology security evaluation revision 1 Part 5: pre-defined packages of security requirements) bagian 5: paket persyaratan keamanan yang telah ditentukan dipersyaratkan dalam PP tersebut harus dimplmentasikan dalam TOE d. Jika Sponsor dan/atau Developer menyediakan TOE untuk teknologi pelindungan IIV maka TOE harus memenuhi persyaratan pada EAL paling rendah 3 (tiga) 3) Perakitan/assembling (tidak berlaku untuk TOE berupa perangkat lunak) Perakitan dilakukan dengan metode tertentu yang dikendalikan dan memperhatikan standar operasional prosedur terkait, kesesuaian proses, termasuk kondisi lingkungan kerja, kompetensi sumber daya manusia, material, peralatan kerja, dan alat pemantauan sesuai dengan persyaratan untuk menyatukan komponen peralatan pada TOE. Proses assembling dilakukan Produk Acuan, Judul CC SNI, Judul SNI Seleksi Determinasi Surveilans Titik Kritis Kategori Fungsi v. fungsi lain yang dapat mendukung pelindungan IIV sesuai dengan desain yang sudah ditentukan. 4) Pengendalian internal mutu Produk (Quality Assurance) Dilakukan analisis dalam rangka Pengendalian internal mutu Produk (quality assurance) terhadap Produk akhir yang telah diproduksi untuk memastikan Produk sesuai dengan spesifikasi dan fungsinya yang dilakukan dengan inspeksi visual, maupun pengujian (misal uji fungsi pada perangkat lunak) - Uji fungsi peralatan, dan/atau uji ketahanan; - Pemeriksaan visual semua komponen, termasuk dimensi TOE, logo dan informasi merek. 5) Penandaan Penandaan dilakukan untuk Produk sesuai dengan ketentuan yang ditetapkan oleh Badan. Keterangan: Produk Acuan, Judul CC SNI, Judul SNI Seleksi Determinasi Surveilans Titik Kritis Kategori Fungsi 1. urutan proses produksi setiap Sponsor dan/atau Developer dapat berbeda; 2. fungsi keamanan pada setiap TOE dapat berbeda; 3. TOE tidak harus memiliki klaim keamanan terhadap PP tertentu; N. Kriteria kompetensi personel atau tim dalam kegiatan sertifikasi Pengetahuan Personel yang melakukan tinjauan permohonan Auditor* Petugas Pengambil Contoh (PPC)** Personel yang melakukan tinjauan hasil evaluasi Pengambil keputusan Pengetahuan tentang SNI ISO IEC 17065 ✓ ✓ - ✓ ✓ Pengetahuan tentang proses dan prosedur sertifikasi yang ditetapkan oleh LSPro ✓ ✓ ✓ ✓ ✓ Pengetahuan dan pengalaman tentang prinsip, praktik, dan teknik audit sesuai SNI ISO 19011 - ✓ - - - Pengetahuan dan pengalaman tentang prinsip, praktik, dan teknik audit sesuai SNI ISO 9001 atau SNI ISO/IEC 27001 - ✓ - - - Pengetahuan tentang CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408- 2:2022, SNI ISO/IEC 15408-3:2022, SNI ISO/IEC 15408-5:2022 ✓ ✓ ✓ ✓ ✓ Pengetahuan dan pengalaman tentang sektor bisnis teknologi informasi - ✓ - - ✓ Pengetahuan tentang Produk dan proses produksi pembuatan Produk - ✓ - - ✓ Pengetahuan Personel yang melakukan tinjauan permohonan Auditor* Petugas Pengambil Contoh (PPC)** Personel yang melakukan tinjauan hasil evaluasi Pengambil keputusan Pengetahuan pengambilan sampel uji Produk - ✓ - - Pengetahuan dan pemahaman tentang peraturan perundang- undangan - ✓ - - * Pemenuhan kompetensi dapat dipenuhi secara kolektif dalam satu tim. ** Jika auditor juga bertindak sebagai PPC, maka harus memiliki pengetahuan pengambilan sampel Produk. KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN LAMPIRAN II PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) PENGGUNAAN TANDA SNI DAN TANDA SCCI ATAU TANDA SNI DAN TANDA CC A. Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC 1. Tanda SCCI digunakan saat INDONESIA masih berstatus sebagai anggota yang mengonsumsi (consuming member) pada Common Criteria Recognition Arrangement (CCRA). CCRA adalah perjanjian antar negara yang menggunakan CC sebagai acuan dalam melakukan evaluasi keamanan Produk. 2. Tanda CC digunakan saat INDONESIA sudah berstatus sebagai anggota yang mengotorisasi (authorizing member) pada CCRA. 3. Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC dicantumkan pada Produk yang telah memperoleh: a. Sertifikat Keamanan Teknologi Pelindungan IIV yang dikeluarkan oleh LSPro; dan b. surat persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC yang dikeluarkan oleh Kepala Badan. B. Ketentuan permohonan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC 1. Permohonan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC diajukan secara tertulis oleh LSPro selaku Pemohon kepada Kepala Badan. 2. Permohonan tertulis diajukan dengan: a. mengisi formulir permohonan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC b. melampirkan salinan Sertifikat Keamanan Teknologi Pelindungan IIV yang telah dilegalisasi oleh LSPro. 3. Apabila permohonan dinyatakan lengkap, Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan verifikasi permohonan paling lama 5 (lima) hari kerja. 4. Format formulir permohonan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC sebagai berikut: LOGO BSSN FORMULIR PERMOHONAN PENGGUNAAN TANDA SNI DAN TANDA SCCI/ TANDA SNI DAN TANDA CC*) No. Dokumen: No. Revisi: Tanggal A. Identitas Pemohon 1. Lembaga Sertifikasi Produk : 2. Nomor LPK : 3. Periode Akreditasi/Penunjukan*) : 4. Alamat : 5. Nomor Telepon : 6. Kontak Person : B. Calon Pengguna Tanda SNI dan Tanda SCCI /Tanda SNI dan Tanda CC*) 1. Data Sponsor/Developer*) a. Nama perusahaan : b. Nomor SIUP : c. Alamat : d. Nama Pemimpin dan Jabatan : e. Nomor Telepon : f. Email : g. Website : 2. Data Produk a. Merek Produk : b. Kategori Produk : c. Fungsi Produk : d. Tipe Produk : e. EAL : 3. Persyaratan acuan : CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, SNI ISO/IEC 15408-5:2022 C. Dokumen yang harus dilampirkan 1. Salinan Sertifikat Keamanan Teknologi Pelindungan IIV yang telah dilegalisasi oleh LSPro. 2. Bukti foto jenis Produk ukuran 5R disertai rencana penempatan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 3. Legalitas usaha dari calon pengguna Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 4. Pernyataan surat kuasa dari calon pengguna Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 5. Surat pernyataan kesediaan mematuhi kewajiban penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC oleh Sponsor dan/atau Developer. …………………,………………20.. Pemohon, (……………………………) *) coret salah satu Format Surat pernyataan kesediaan mematuhi kewajiban penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC oleh Sponsor dan/atau Developer sebagai berikut: SURAT PERNYATAAN KESEDIAAN MEMATUHI KEWAJIBAN PENGGUNAAN TANDA SNI DAN TANDA SCCI ATAU TANDA SNI DAN TANDA CC Sehubungan dengan pengajuan permohonan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC, dengan ini kami menyatakan bersedia untuk: 1) Menjaga dan mengendalikan kesesuaian barang sebagaimana dimaksud dalam dokumen persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC untuk diproduksi atau dipasok sesuai dengan karakteristik yang sama dengan sampel barang yang telah disertifikasi oleh LSPro serta dinyatakan memenuhi standar yang diacu. 2) Membubuhkan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC bagi barang yang dimaksud dalam dokumen persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 3) Menginformasikan segala perubahan yang dilakukan dan menyebabkan perubahan pemenuhan karakteristik barang dengan karakteristik sampel pada saat dilakukan sertifikasi oleh LSPro dalam rangka pemenuhan terhadap standar yang diacu. 4) Menginformasikan segala perubahan lain yang dilakukan yang mempengaruhi dokumen yang disampaikan pada saat pengusulan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 5) Mengambil tindakan perbaikan yang diperlukan bila terdapat laporan hasil monitoring atau pengawasan ditemukan ketidakmampuan menjaga dan mengendalikan kesesuaian barang sebagaimana dimaksud dalam dokumen persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. 6) Tidak mencantumkan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC pada barang dalam hal Surat Persetujuan Penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC dibekukan, dicabut atau berakhir masa berlakunya. Tempat,Tanggal: Pimpinan Sponsor/Developer MATERAI TTD Nama : Jabatan : 5. Berdasarkan hasil verifikasi, Kepala Badan menerbitkan: a. surat penolakan; atau b. surat persetujuan. Format surat persetujuan pengunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC sebagai berikut: LOGO BSSN SURAT PERSETUJUAN PENGGUNAAN TANDA SNI DAN TANDA SCCI ATAU TANDA SNI DAN TANDA CC Nomor: Kepala Badan Siber dan Sandi Negara memberikan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC, kepada: Nama Sponsor/Developer : Alamat Sponsor/Developer : Alamat lokasi produksi : Merek Produk : Kategori Produk : Fungsi Produk : Tipe Produk : EAL : atas pemenuhan terhadap persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5 dan SNI ISO/IEC 15408- 2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022. Masa berlaku sampai dengan Diterbitkan di : JAKARTA ............................................. Pada Tanggal : Kepala Badan Siber dan Sandi Negara TTD (Nama) 6. Berdasarkan surat persetujuan Kepala Badan, Sponsor dan/atau Developer berhak mencantumkan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC sesuai gambar berikut: a. Tanda SNI dan Tanda SCCI b. Tanda SNI dan tanda CC 7. Tanda SCCI atau Tanda CC proporsional dan tidak lebih besar dari Tanda SNI. 8. Bentuk, ukuran dan warna Tanda SNI sebagai berikut: 9. Bentuk, ukuran dan warna Tanda SCCI sebagai berikut: Keterangan: a. Bentuk tanda gambar segi enam dengan gambar ¾ lingkaran, centang, dan tulisan “SCCI” dan “BSSN” berada didalamnya serta tulisan KODE KLASIFIKASI/EAL X berada dibawah gambar segi enam. b. Tulisan KODE KLASIFIKASI/EAL X ditulis dengan huruf kapital bercetak tebal, berjenis huruf Lucida Sans, dan berwarna hitam (#000000). KODE KLASIFIKASI = diisi dengan salah satu kode klasifikasi Produk yang berasal dari singkatan 14 (empat belas) kategori Produk yaitu: ACDS : Access Control Devices and System BPDS : Boundary Protection Devices and Systems DP : Data Protection DB : Databases DDS : Detection Devices and Systems ICSC : Ics, Smart cards, and smart card – related devices system KMS : Key management systems MB : Mobility MFD : Multi Function Devices NDS : Network and Network Related Devices and System OS : Operating System PDS : Products for Digital Signatures TC : Trusted Computing ODS : Other Devices and System EAL X = huruf X diisi dengan angka yang merupakan EAL Produk yang terdiri atas EAL 3 (tiga) s.d. 7 (tujuh). c. Tulisan “SCCI” dan “BSSN” ditulis dengan huruf kapital bercetak tebal, berjenis huruf Bahnschrift, dan berwarna putih (#FFFFFF). d. Gambar segi enam berwarna merah (#FA4632). e. Gambar ¾ lingkaran dan centang berwarna putih (#FFFFFF) f. Diperbolehkan menggunakan warna hitam putih ataupun monokrom. g. Ukuran logo disesuaikan dengan ukuran Produk atau kemasan dan harus proporsional. 10. Bentuk, ukuran dan warna tanda CC sesuai dengan ketentuan dalam dokumen Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security Annex E. 11. Contoh Tanda SNI dan Tanda SCCI pada Produk kategori data protection dengan EAL 3 (tiga) sebagai berikut: 12. Penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC berlaku selama 5 (lima) tahun 13. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber mengumumkan setiap persetujuan permohonan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC melalui situs Badan. 14. Pengumuman memuat informasi paling sedikit: a. identitas Produk; b. identitas Sponsor dan/atau Developer; c. nomor surat persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC; d. masa berlaku penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC; dan e. identitas LSPro. 15. Pembubuhan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC sebagai berikut: a. Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC ditampilkan pada Produk dan/atau pada kemasan terkecil, apabila tidak memungkinkan, Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC ditampilkan pada kemasan yang lebih besar sedemikian rupa sehingga mudah dilihat oleh pembeli atau pengguna. Pembubuhan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC harus dengan pencetakan yang permanen di Produk atau kemasannya. b. Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC yang tidak memungkinkan ditampilkan pada Produk, dapat ditampilkan dalam media lain seperti brosur, situs web, dan sebagainya, yang tidak menyebabkan salah pengertian. C. Pembinaan dan pengawasan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan pembinaan dan pengawasan terhadap penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. D. Pengaduan masyarakat 1. Apabila mengetahui adanya penyalahgunaan terhadap penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC, masyarakat dapat mengajukan pengaduan kepada Kepala Badan. 2. Pengaduan disampaikan secara tertulis dengan mengisi formulir pengaduan. 3. Tata cara pengaduan sebagai berikut: Keterangan: a. Pelapor menyampaikan laporan atau pengaduan tentang terjadinya penyalahgunaan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC kepada Kepala Badan sesuai format yang telah disediakan. b. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan verifikasi terhadap isi laporan atau pengaduan. c. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber meminta klarifikasi kepada: 1) Sponsor dan/atau Developer, apabila penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC tanpa melalui proses sertifikasi; dan/atau 2) LSPro, apabila penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC melalui proses sertifikasi. d. Sponsor dan/atau Developer, LSPro memberikan tanggapan kepada Kepala Badan. e. Berdasarkan hasil tanggapan dari Sponsor dan/atau Developer atau LSPro, apabila: 1) pengaduan tidak terbukti, Kepala Badan menyampaikan hasil tanggapan kepada pelapor. 2) pengaduan terbukti, Kepala Badan menerbitkan surat teguran untuk mencabut penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. f. Kepala Badan mengumumkan keputusan hasil pengaduan kepada publik dan pelapor. 4. Format formulir pengaduan penyalahgunaan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC sebagai berikut: Klarifikasi Pelaporan Verifikasi Tanggapan Keputusan Informasi Publik FORMULIR PENGADUAN PENYALAHGUNAAN PENGGUNAAN TANDA SNI DAN TANDA SCCI ATAU TANDA SNI DAN TANDA CC Data Pelapor 1. Nama : 2. Alamat : 3. Email : 4. Telepon : Data Laporan/Aduan 1. Merek Produk : 2. Tipe Produk : 3. Lokasi Produk : 4. Tanggal : 5. Isi Laporan/Aduan : Laporan/pengaduan ini Saya buat dengan sebenar-benarnya dan Saya bertanggung jawab sepenuhnya terhadap isi laporan/pengaduan. …………………,………………20.. Pelapor, (……………………………) 5. Apabila pengaduan terbukti, Sponsor dan/atau Developer yang melanggar ketentuan dikenai sanksi sesuai dengan peraturan perundang-undangan disertai pencabutan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC. E. Biaya Permohonan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC tidak dikenakan biaya. KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN LAMPIRAN III PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) PENYELENGGARA SKEMA SCCI UNTUK SERTIFIKASI PRODUK TEKNOLOGI PELINDUNGAN IIV A. Pemilik Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV Pemilik Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV yaitu Kepala Badan yang memiliki tanggung jawab sebagai berikut: 1. MENETAPKAN Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 2. MENETAPKAN rencana strategis Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 3. memberikan persetujuan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC; 4. MENETAPKAN penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 5. MENETAPKAN peraturan lain sesuai dengan kewenangannya. B. Komite Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV Komite Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV terdiri atas: 1. pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber;dan 2. pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber. Tanggung jawab Komite Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagai berikut: 1. memberikan arahan strategis pelaksanaan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 2. mengomunikasikan arah strategis manajemen kebijakan Skema SCCI; 3. merumuskan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 4. merumuskan kebijakan penggunaan Tanda SNI dan Tanda SCCI atau Tanda SNI dan Tanda CC; 5. melakukan pengawasan dan pengendalian terhadap implementasi Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; 6. melaksanakan evaluasi Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV paling sedikit 24 (dua puluh empat) bulan sejak pelaksanaan evaluasi sebelumnya, atau dapat diubah dengan ketentuan sebagai berikut: a. terdapat perubahan persyaratan acuan yang digunakan pada Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV; b. adanya perubahan struktur organisasi dan/atau tugas dan fungsi Badan; dan/atau c. adanya rekomendasi kaji ulang Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV. C. Lembaga sertifikasi Produk untuk sertifikasi Produk teknologi pelindungan IIV 1. Berdasarkan dokumen Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security dan Common Criteria Recognition Arrangement Management Committee Policy Procedure tentang Multiple CBs within one country/Commercial CBs, LSPro merupakan representasi INDONESIA di CCRA. 2. LSPro ditetapkan oleh Kepala Badan sebagai lembaga sertifikasi Produk untuk sertifikasi Produk teknologi pelindungan IIV. 3. LSPro memiliki tugas melaksanakan sertifikasi Produk sesuai dengan persyaratan acuan CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022. 4. LSPro paling sedikit terdiri atas: a. kepala; b. peninjau sertifikasi terdiri atas paling sedikit 1 (satu) orang anggota LSPro yang tidak terlibat dalam proses evaluasi; c. manajer teknis; d. manajer mutu; e. 4 (empat) orang auditor; dan f. petugas pengambil contoh. D. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV 1. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV diselenggarakan oleh pemerintah atau swasta. 2. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV ditunjuk dan ditetapkan oleh Kepala Badan. 3. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV memiliki tugas melakukan pengujian kesesuaian keamanan Produk berdasarkan Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV. 4. Laboratorium Pengujian untuk sertifikasi Produk teknologi pelindungan IIV paling sedikit terdiri atas: a. kepala; b. manajer teknis; c. manajer mutu; dan d. 4 (empat) orang evaluator E. Struktur penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV sebagaimana yang ditunjukkan pada Gambar 1. Gambar 1 Struktur penyelenggara Skema SCCI untuk sertifikasi Produk teknologi pelindungan IIV KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN LAMPIRAN IV PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) TATA CARA PENUNJUKAN DAN PENGAWASAN LSPRO DAN LABORATORIUM PENGUJIAN DALAM RANGKA SERTIFIKASI PRODUK TEKNOLOGI PELINDUNGAN IIV A. Penunjukan Lembaga Sertifikasi Produk Berdasarkan dokumen Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security dan Common Criteria Recognition Arrangement Management Committee Policy Procedure tentang Multiple CBs within one country/Commercial CBs, CCRA hanya mengakui 1 (satu) lembaga sertifikasi Produk milik pemerintah sebagai representasi negara yang tergabung dalam CCRA. Representasi INDONESIA di CCRA adalah LSPro. Oleh karena itu, Kepala Badan dapat langsung menunjuk LSPro dalam rangka sertifikasi Produk teknologi pelindungan IIV. B. Tata Cara Penunjukan Laboratorium Pengujian 1. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber menerbitkan surat edaran kepada laboratorium pengujian perihal penunjukan Laboratorium Pengujian. 2. Laboratorium Pengujian yang dapat ditunjuk Kepala Badan harus memenuhi kriteria yang meliputi: a. identitas Laboratorium Pengujian berupa perizinan berusaha di bidang industri jasa pengujian laboratorium yang efektif atau penetapan tugas dan fungsi kelembagaan bagi Laboratorium Pengujian yang dimiliki oleh pemerintah sesuai dengan ketentuan peraturan perundangan-undangan; b. berdomisili atau berkedudukan di wilayah Republik INDONESIA; dan c. telah diakreditasi oleh KAN untuk lingkup yang sesuai. 3. Laboratorium Pengujian mengajukan permohonan kepada Kepala Badan dilengkapi dokumen pendukung yang meliputi: a. dokumen perizinan berusaha di bidang industri jasa pengujian laboratorium yang efektif atau peraturan perundang-undangan mengenai penetapan tugas dan fungsi kelembagaan bagi Laboratorium Pengujian yang dimiliki oleh pemerintah; b. dokumen struktur organisasi Laboratorium Pengujian; c. sertifikat akreditasi KAN dan lampirannya untuk lingkup yang sesuai; d. daftar sumber daya yang dimiliki, antara lain daftar dan kompetensi personel, sarana dan prasarana; dan e. daftar pengalaman dan kemampuan Laboratorium Pengujian dalam pelaksanaan pengujian untuk ruang lingkup yang sejenis selama 2 (dua) tahun terakhir. 4. Pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melalui unit kerja yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber, melakukan verifikasi kelengkapan permohonan penunjukan Laboratorium Pengujian. 5. Apabila Laboratorium Pengujian tidak memenuhi persyaratan maka pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber menyampaikan pemberitahuan kepada Laboratorium Pengujian untuk melengkapi dokumen dalam waktu paling lama 5 (lima) hari kerja. Dalam hal Laboratorium Pengujian tidak melengkapi dokumen sebagaimana waktu yang ditentukan maka permohonan dianggap batal. 6. Jika Laboratorium Pengujian memenuhi persyaratan, maka pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber membentuk tim verifikasi dan tim penilai. 7. Tim verifikasi melakukan verifikasi lapangan terhadap Laboratorium Pengujian yang memenuhi persyaratan sesuai dengan prosedur yang berlaku. Tim verifikasi berasal dari perwakilan unit kerja yang melaksanakan tugas dan fungsi koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber yang memenuhi kriteria sebagai berikut: a. ketua tim harus: 1) memiliki pengetahuan tentang SNI ISO 9001 atau SNI ISO/IEC 27001 dan SNI ISO/IEC 17025 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 2) memiliki pengetahuan tentang CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 3) berpengalaman kerja pada bidangnya dibuktikan dengan daftar riwayat hidup; dan 4) paling rendah pejabat fungsional ahli muda. b. wakil ketua dan anggota harus: 1) memiliki pengetahuan tentang SNI ISO 9001 atau SNI ISO/IEC 27001 dan SNI ISO/IEC 17025 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 2) memiliki pengetahuan tentang CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; dan 3) berpengalaman kerja pada bidangnya dibuktikan dengan daftar riwayat hidup. 8. Tim penilai melaksanakan penilaian berdasarkan hasil verifikasi kelengkapan permohonan dan hasil verifikasi lapangan sesuai dengan prosedur yang berlaku. Tim penilai berasal dari perwakilan unit kerja yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber yang memenuhi kriteria sebagai berikut: a. ketua tim harus: 1) memiliki pengetahuan tentang SNI ISO 9001 atau SNI ISO/IEC 27001 dan SNI ISO/IEC 17025 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 2) memiliki pengetahuan tentang CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 3) memiliki kompetensi spesifik atas Produk yang dibahas dan berpengalaman kerja pada bidangnya dibuktikan dengan daftar riwayat hidup; dan 4) paling rendah pejabat fungsional ahli madya. b. wakil ketua dan anggota harus: 1) memiliki pengetahuan tentang SNI ISO 9001 atau SNI ISO/IEC 27001 dan SNI ISO/IEC 17025 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; 2) memiliki pengetahuan tentang CC:2022 revisi 1-bagian 2, CC:2022 revisi 1-bagian 3, CC:2022 revisi 1-bagian 5, dan SNI ISO/IEC 15408-2:2022, SNI ISO/IEC 15408-3:2022, serta SNI ISO/IEC 15408-5:2022 yang dibuktikan dengan sertifikat pelatihan atau bukti lain yang sejenis; dan 3) memiliki kompetensi spesifik atas Produk yang dibahas dan berpengalaman kerja pada bidangnya dibuktikan dengan daftar riwayat hidup. 9. Berdasarkan hasil penilaian, Kepala Badan dapat menyetujui atau menolak permohonan penunjukan Laboratorium Pengujian. a. Dalam hal permohonan disetujui, Kepala Badan menerbitkan surat penunjukan Laboratorium Pengujian. b. Dalam hal permohonan penunjukan Laboratorium Pengujian ditolak, Kepala Badan memberitahukan secara tertulis kepada Laboratorium Pengujian disertai dengan alasan penolakan 10. Format surat penunjukan lembaga sertifikasi Produk dan/atau Laboratorium Pengujian sebagai berikut: LOGO BSSN KEPALA BADAN SIBER DAN SANDI NEGARA KEPUTUSAN KEPALA BADAN SIBER DAN SANDI NEGARA NOMOR: TENTANG PENUNJUKAN LEMBAGA SERTIFIKASI PRODUK DAN/ATAU LABORATORIUM PENGUJIAN*) DALAM RANGKA PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI KEPALA BADAN SIBER DAN SANDI NEGARA Menimbang : a. bahwa untuk melaksanakan ketentuan Pasal 8 dan Pasal 9 Peraturan Badan Siber dan Sandi Negara Nomor xx Tahun 202x tentang Penyelenggaraan Penilaian Kesesuaian Kriteria Umum Untuk Evaluasi Keamanan Teknologi Informasi INDONESIA (INDONESIA Common Criteria For Information Technology Security Evaluation) menunjuk Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* dalam rangka sertifikasi Produk teknologi pelindungan Infrastruktur Informasi Vital untuk mendukung penerapan domain pada kerangka kerja pelindungan Infrastruktur Informasi Vital; b. bahwa penunjukan Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* dalam rangka sertifikasi Produk teknologi pelindungan Infrastruktur Informasi Vital untuk mendukung penerapan domain pada kerangka kerja pelindungan Infrastruktur Informasi Vital merupakan Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* yang telah diakreditasi untuk ruang lingkup sejenis; c. bahwa berdasarkan pertimbangan sebagaimana dimaksud pada huruf a dan b, perlu MENETAPKAN Keputusan Kepala Badan Siber dan Sandi Negara tentang Penunjukan Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* dalam rangka penerapan penyelenggaraan penilaian kesesuaian kriteria umum untuk evaluasi keamanan teknologi informasi; Mengingat : 1. Peraturan Badan Siber dan Sandi Negara Nomor 6 Tahun 2021 tentang Organisasi dan Tata Kerja Badan Siber dan Sandi Negara (Berita Negara Republik INDONESIA Tahun 2021 Nomor 803) sebagaimana telah diubah dengan Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2023 tentang Perubahan Atas Peraturan Badan Siber dan Sandi Negara Nomor 6 Tahun 2021 tentang Organisasi dan Tata Kerja Badan Siber dan Sandi Negara (Berita Negara Republik INDONESIA Tahun 2023 Nomor 544); 2. Peraturan Badan Siber dan Sandi Negara Nomor xx Tahun 202x tentang Penyelenggaraan Penilaian Kesesuaian Kriteria Umum Untuk Evaluasi Keamanan Teknologi Informasi INDONESIA (Berita Negara Republik INDONESIA Tahun 202x Nomor x); MEMUTUSKAN MENETAPKAN : KEPUTUSAN KEPALA BADAN SIBER DAN SANDI NEGARA TENTANG PENUNJUKAN LEMBAGA SERTIFIKASI PRODUK DAN/ATAU LABORATORIUM PENGUJIAN)* DALAM RANGKA PENERAPAN PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI. KESATU : Menunjuk Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* dalam rangka penerapan penyelenggaraan penilaian kesesuaian kriteria umum untuk evaluasi keamanan teknologi informasi sebagaimana tercantum dalam Lampiran yang merupakan bagian yang tidak terpisahkan dari Keputusan Kepala ini. KEDUA : Penunjukkan Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* sebagaimana dimaksud dalam Diktum KESATU berlaku untuk jangka waktu 5 (tahun) tahun. KETIGA : Badan Siber dan Sandi Negara melalui unit kerja yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber secara berkala atau sewaktu-waktu melakukan pengawasan terkait pelaksanaan sertifikasi dalam rangka penerapan penyelenggaraan penilaian kesesuaian kriteria umum untuk evaluasi keamanan teknologi informasi kepada Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)*. KEEMPAT : Lembaga Sertifikasi Produk dan/atau Laboratorium Pengujian)* sebagaimana dimaksud dalam Diktum KESATU wajib menyampaikan laporan setiap 1 (satu) tahun kepada Kepala Badan yang berisi perkembangan penerapan penyelenggaraan penilaian kesesuaian kriteria umum untuk evaluasi keamanan teknologi informasi a. KELIMA : Keputusan Kepala ini mulai berlaku pada tanggal ditetapkan. Ditetapkan di Jakarta Pada tanggal KEPALA BADAN SIBER DAN SANDI NEGARA, (tanda tangan) (nama lengkap) Keterangan: *) Pilih salah satu LAMPIRAN KEPUTUSAN KEPALA BADAN SIBER DAN SANDI NEGARA NOMOR : TANGGAL : LEMBAGA SERTIFIKASI PRODUK DAN/ATAU LABORATORIUM PENGUJIAN*) DALAM RANGKA PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI No. Nama LSPro/ Laboratorium Pengujian*) Alamat Keterangan 1. dst. KEPALA BADAN SIBER DAN SANDI NEGARA, (tanda tangan) (nama lengkap) Keterangan: *) Pilih salah satu C. Pengawasan LSPro dan Laboratorium Pengujian 1. LSPro harus menyampaikan laporan perkembangan sertifikasi yang dilakukannya kepada Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber paling sedikit meliputi: a. profil LSPro minimal terdiri atas: 1) identitas LSPro meliputi nama, alamat, nomor telepon, dan nama personel penghubung; 2) akreditasi LSPro meliputi nomor akreditasi LSPro, lingkup akreditasi dan masa berlaku akreditasi; 3) struktur organisasi LSPro; dan 4) daftar dan kompetensi personel LSPro. b. laporan tahunan penerbitan, pencabutan atau perubahan Sertifikat Keamanan Teknologi Pelindungan IIV disertai lampiran salinan Sertifikat Keamanan Teknologi Pelindungan IIV yang diterbitkan. 2. Laboratorium Pengujian harus menyampaikan laporan perkembangan pengujian yang dilakukannya kepada Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber paling sedikit meliputi: a. Profil Laboratorium Pengujian minimal terdiri atas: 1) identitas Laboratorium Pengujian meliputi nama, alamat, nomor telepon, dan nama personel penghubung; 2) akreditasi Laboratorium Pengujian meliputi nomor akreditasi Laboratorium Pengujian, lingkup akreditasi dan masa berlaku akreditasi; 3) struktur organisasi Laboratorium Pengujian; 4) daftar dan kompetensi personel Laboratorium Pengujian; dan 5) daftar fasilitas pengujian. b. laporan tahunan penerbitan laporan hasil uji disertai lampiran laporan hasil uji yang diterbitkan. 3. Pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melalui unit kerja yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber melaksanakan pengawasan terhadap LSPro dan Laboratorium Pengujian yang ditunjuk melalui evaluasi laporan perkembangan sertifikasi. 4. Pelaksanaan pengawasan dilakukan 1 (satu) kali dalam 1 (satu) tahun dan/atau apabila terdapat pengaduan sesuai dengan prosedur yang berlaku. 5. Hasil pengawasan menjadi rekomendasi bagi Kepala Badan dalam pengambilan keputusan terkait pengenaan sanksi terhadap LSPro dan Laboratorium Pengujian yang bersangkutan. KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN LAMPIRAN V PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) RINCIAN SKEMA SCCI UNTUK SERTIFIKASI PRODUK SELAIN TEKNOLOGI PELINDUNGAN IIV A. Ruang Lingkup Dokumen ini berlaku untuk acuan pelaksanaan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV berdasarkan persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya yang tercantum dalam tabel daftar produk, acuan CC dan uraian penilaian kesesuaian. B. Persyaratan Acuan Persyaratan acuan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV mencakup: 1. CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya sebagaimana dimaksud pada tabel daftar produk, acuan CC, dan uraian penilaian kesesuaian; dan 2. Standar lain yang diacu dalam CC sebagaimana dimaksud pada huruf B angka 1. C. Jenis Kegiatan Penilaian Kesesuaian Penilaian kesesuaian dilakukan dengan kegiatan sertifikasi oleh LSPro yang ditetapkan oleh Kepala Badan dan telah diakreditasi oleh KAN berdasarkan SNI ISO/IEC 17065 untuk lingkup produk sesuai tabel daftar produk, acuan CC, dan uraian penilaian kesesuaian. Kegiatan sertifikasi yang dilakukan oleh LSPro terdiri atas sertifikasi TOE dan sertifikasi PP. D. Prosedur Administratif 1. Pengajuan Permohonan Sertifikasi a. LSPro harus menyusun format permohonan sertifikasi TOE bagi Sponsor dan/atau Developer maupun permohonan sertifikasi PP bagi Pemohon untuk mendapatkan seluruh informasi. b. Pengajuan permohonan sertifikasi dilakukan oleh Sponsor dan/atau Developer atau Pemohon dan akan dicatat serta diverifikasi oleh LSPro. Kriteria Sponsor dan/atau Developer atau Pemohon yang dapat mengajukan sertifikasi sesuai dengan ketentuan peraturan perundang-undangan. c. Permohonan sertifikasi TOE harus dilengkapi dengan: 1) Informasi Sponsor dan/atau Developer: a) nama dan alamat Sponsor dan/atau Developer, serta nama dan kedudukan atau jabatan personel yang bertanggung jawab atas pengajuan permohonan sertifikasi; b) merek produk yang diajukan untuk disertifikasi; c) apabila Sponsor dan/atau Developer melakukan pembuatan produk dengan merek yang dimiliki oleh pihak lain, menyertakan bukti perjanjian yang mengikat secara hukum untuk melakukan pembuatan produk untuk pihak lain; d) apabila Sponsor dan/atau Developer bertindak sebagai pemilik merek yang mengalihdayakan proses produksinya kepada pihak lain, menyertakan bukti kepemilikan merek dan perjanjian alih daya pelaksanaan produksi dengan pihak lain; e) apabila Sponsor dan/atau Developer bertindak sebagai perwakilan resmi pemilik merek yang berkedudukan hukum di luar negeri, menyertakan bukti perjanjian yang mengikat secara hukum tentang penunjukan sebagai perwakilan resmi pemilik merek di wilayah Republik INDONESIA; dan f) pernyataan bahwa Sponsor dan/atau Developer bertanggung jawab penuh atas pemenuhan persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya dan pemenuhan persyaratan proses sertifikasi, serta bersedia memberikan akses terhadap lokasi dan/atau informasi yang diperlukan oleh LSPro dalam melaksanakan kegiatan sertifikasi. 2) Informasi TOE: a) informasi merek produk yang diajukan untuk disertifikasi; b) informasi tipe produk yang diajukan untuk disertifikasi; c) persyaratan acuan yang digunakan sebagai dasar pengajuan permohonan sertifikasi sesuai tabel daftar produk, acuan CC dan uraian penilaian kesesuaian; d) formulir pengajuan permohonan sertifikasi TOE; e) Bukti Evaluasi TOE; f) TOE (khusus untuk TOE berbentuk perangkat lunak); dan g) Proposal proyek evaluasi (evaluation project proposal - EPP) dan surat pernyataan dokumen penilaian awal ST dan kecukupan bukti evaluasi dari Laboratorium Pengujian yang terdaftar di LSPro. 3) Informasi proses produksi: a) nama, alamat, dan legalitas hukum Developer TOE, apabila berbeda dengan legalitas Sponsor; b) struktur organisasi, nama dan jabatan personel penanggung jawab proses produksi; c) informasi tentang proses pembuatan TOE yang diajukan untuk disertifikasi, termasuk proses yang dialihdayakan ke pihak lain; d) informasi terdokumentasi terkait pengelolaan proses produksi; e) lokasi proses produksi /atau lokasi gudang penyimpanan produk; dan f) apabila telah tersedia, menyertakan sertifikat penerapan sistem manajemen berdasarkan SNI ISO 9001 atau ISO 9001 atau SNI ISO/IEC 27001 atau ISO/IEC 27001 dari lembaga sertifikasi yang diakreditasi oleh KAN atau badan akreditasi penandatangan international accreditaion forum atau asia pasific accreditation cooperation, multilateral recognition agreement dengan ruang lingkup yang sesuai atau sistem manajemen lainnya yang relevan. d. Permohonan sertifikasi PP harus dilengkapi dengan: 1) Informasi Pemohon berupa a) nama dan alamat Pemohon; dan b) nama dan kedudukan atau jabatan personel yang bertanggung jawab atas pengajuan permohonan sertifikasi. 2) Informasi PP a) persyaratan acuan yang digunakan sebagai dasar pengajuan permohonan sertifikasi sesuai tabel daftar produk, acuan CC, dan uraian penilaian kesesuaian; b) formulir pengajuan permohonan sertifikasi PP; c) Proposal proyek evaluasi (evaluation project proposal- EPP) dari Laboratorium Pengujian yang berlisensi; dan d) PP. 2. Seleksi a. Tinjauan permohonan sertifikasi 1) LSPro harus memastikan bahwa informasi yang diperoleh dari permohonan sertifikasi yang diajukan oleh Sponsor dan/atau Developer atau Pemohon telah lengkap dan memenuhi persyaratan, serta dapat memastikan kemampuan LSPro untuk menindaklanjuti permohonan sertifikasi. 2) Tinjauan permohonan sertifikasi harus dilakukan oleh personel yang memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. b. Penandatanganan perjanjian sertifikasi Setelah permohonan sertifikasi dinyatakan lengkap dan memenuhi persyaratan serta Sponsor dan/atau Developer atau Pemohon menyetujui persyaratan dan prosedur sertifikasi yang ditetapkan oleh LSPro, dilakukan pemutakhiran register produk CC INDONESIA dan penandatanganan perjanjian sertifikasi oleh Sponsor dan/atau Developer dan LSPro. Register produk CC INDONESIA merupakan daftar informasi terkait TOE dan PP yang sedang dalam proses sertifikasi dan/atau tersertifikasi berdasarkan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV. c. Penyusunan rencana evaluasi 1) Berdasarkan informasi yang diperoleh dari persyaratan permohonan sertifikasi yang disampaikan oleh Sponsor dan/atau Developer atau Pemohon, LSPro MENETAPKAN rencana evaluasi yang mencakup paling sedikit: a) jadwal kegiatan evaluasi yang terdiri atas tujuan, durasi, lokasi, tim, metode pengujian, dan agenda evaluasi produk atau PP yang diajukan untuk disertifikasi; b) rencana pengambilan sampel yang meliputi merek dan tipe produk yang diajukan untuk disertifikasi dan metode pengambilan sampel sesuai dengan persyaratan acuan yang diperlukan untuk pengujian produk dan mewakili produk yang diajukan untuk disertifikasi;dan c) waktu yang diperlukan untuk pelaksanaan pengujian berdasarkan persyaratan acuan metode uji yang dipersyaratkan. 2) Pelaksanaan evaluasi dilakukan oleh auditor atau tim audit yang memiliki kriteria kompetensi sesuai kriteria kompetensi personel/tim dalam kegiatan sertifikasi. 3) Apabila relevan, tahap seleksi juga mengacu pada hal-hal spesifik sebagaimana diatur pada tabel daftar produk, acuan CC dan uraian penilaian kesesuaian. E. Determinasi 1. Determinasi TOE Determinasi TOE mencakup 2 (dua) tahap penilaian, yaitu evaluasi tahap 1 (satu) dan evaluasi tahap 2 (dua). a. Pelaksanaan evaluasi tahap 1 (satu) 1) Evaluasi tahap 1 (satu) dilaksanakan terhadap kesesuaian informasi produk dan proses produksi yang disampaikan oleh Sponsor dan/atau Developer terhadap lingkup produk yang ditetapkan dalam persyaratan acuan dan peraturan terkait untuk menentukan kesiapan penilaian audit proses produksi. 2) Apabila hasil evaluasi tahap 1 (satu) menunjukan ketidaksesuaian informasi produk dan proses produksi, Sponsor dan/atau Developer diberikan kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu paling lama 5 (lima) hari kerja sejak pemberitahuan kekurangan kelengkapan informasi produk dan proses produksi diterima oleh Sponsor dan/atau Developer. 3) Dalam hal Sponsor dan/atau Developer tidak dapat menyelesaikan tindakan perbaikan terhadap ketidaksesuaian evaluasi tahap 1 (satu) sesuai jangka waktu yang ditetapkan, LSPro dapat menghentikan proses sertifikasi dan tidak melanjutkan proses sertifikasi ke tahap berikutnya. b. Pelaksanaan evaluasi tahap 2 (dua) 1) Evaluasi tahap 2 (dua) dilakukan melalui audit proses produksi dan pengujian terhadap sampel TOE berdasarkan persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya. 2) Pengambilan sampel TOE berbentuk perangkat keras dilakukan oleh personel kompeten yang ditugaskan LSPro. Pengambilan sampel dilakukan di lokasi produksi dengan jumlah sampel sebagaimana diuraikan pada daftar produk, acuan CC dan uraian penilaian kesesuaian. 3) Audit proses produksi bertujuan untuk memastikan kemampuan dan konsistensi Sponsor dan/atau Developer dalam memproduksi TOE sesuai dengan persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1- bagian 5 atau revisinya dan sistem manajemen jika relevan. 4) Audit proses produksi dilakukan pada saat Sponsor dan/atau Developer melakukan proses produksi pembuatan TOE yang diajukan untuk disertifikasi. 5) Audit dilakukan dengan metode audit yang merupakan kombinasi dari audit dokumen dan rekaman, wawancara, observasi, demonstrasi, atau metode audit lainnya. 6) Audit dilakukan terhadap: a) tanggung jawab dan komitmen manajemen puncak terhadap konsistensi mutu produk; b) ketersediaan dan pengendalian informasi prosedur dan rekaman pengendalian mutu; c) pengelolaan sumber daya termasuk personel, bangunan dan fasilitas, serta lingkungan kerja yang memengaruhi mutu produk; d) tahapan kritis proses produksi TOE, mulai dari bahan baku sampai TOE jadi paling sedikit sebagaimana diuraikan pada tahapan kritis proses produksi TOE pada tabel daftar produk, acuan CC, acuan SNI dan uraian penilaian kesesuaian; e) kelengkapan serta fungsi peralatan produksi termasuk peralatan pengendalian mutu; f) bukti verifikasi berdasarkan hasil kalibrasi atau hasil verifikasi peralatan produksi yang membuktikan bahwa peralatan tersebut memenuhi persyaratan produksi. Hasil verifikasi peralatan produksi dapat ditunjukkan dengan prosedur yang diperlukan untuk mencapai kondisi atau persyaratan yang ditetapkan; dan g) pengendalian proses produksi dan penanganan produk yang tidak sesuai. 7) Apabila Sponsor dan/atau Developer telah menerapkan dan mendapatkan sertifikat sistem manajemen berdasarkan SNI ISO 9001 atau ISO 9001 atau SNI ISO/IEC 27001 atau ISO/IEC 27001 dari lembaga sertifikasi yang diakreditasi oleh KAN atau badan akreditasi penandatangan international accreditaion forum/asia pasific accreditation cooperation multilateral recognition agreement dengan ruang lingkup yang sesuai, maka audit proses produksi dilakukan terhadap implementasi sistem manajemen terkait mutu produk dan angka 6) huruf d) sampai dengan huruf g). 8) Apabila hasil audit proses produksi ditemukan ketidaksesuaian pada pengendalian proses dan mutu produk yang berakibat pada kegagalan produk dalam memenuhi persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1- bagian 5 atau revisinya, maka LSPro memberikan kesempatan kepada Sponsor dan/atau Developer agar dapat dilakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kebijakan LSPro. 9) Pengujian TOE dilakukan di Laboratorium Pengujian yang telah menerapkan SNI ISO/IEC 17025 untuk lingkup produk yang disertifikasi. Penerapan SNI ISO/IEC 17025 dapat dibuktikan melalui: a) akreditasi oleh KAN; atau b) akreditasi oleh badan akreditasi penandatangan saling pengakuan dalam forum asia pacific accreditation cooperation dan international laboratory accreditation cooperation; atau c) apabila belum tersedia Laboratorium Pengujian yang terakreditasi, maka pengujian dapat dilakukan di Laboratorium Pengujian yang dipilih oleh LSPro dengan memastikan kesesuaian terhadap persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya dan metode uji yang digunakan serta memastikan kesesuaian kompetensi dan imparsialitas proses pengujian. 10) Pengujian TOE meliputi: a) audit Bukti Evaluasi TOE; b) pengujian fungsionalitas TOE; dan c) pengujian penilaian kerentanan TOE. 11) Dalam melaksanakan pengujian TOE, Laboratorium Pengujian menyusun: a) EOR setiap kelas jaminan keamanan; b) ETR; dan c) test plan untuk pengujian fungsionalitas TOE dan pengujian penilaian kerentanan TOE. 12) Laboratorium Pengujian menyampaikan EOR, ETR, dan test plan kepada LSPro untuk mendapatkan reviu dan persetujuan. 13) Pelaksanaan pengujian TOE diawasi auditor LSPro melalui: a) rapat kemajuan evaluasi untuk mereviu dan menyetujui EOR; b) rapat teknis pengujian untuk mereviu dan menyetujui test plan; dan c) melakukan reviu ETR. 14) Dalam hal ditemukan ketidaksesuaian pada proses pengujian, Sponsor dan/atau Developer dapat diberi kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kesepakatan antara LSPro, Laboratorium Pengujian dan Sponsor dan/atau Developer dengan melakukan pemutakhiran pada EPP. 15) Dalam hal Sponsor dan/atau Developer tidak dapat menyelesaikan tindakan perbaikan terhadap ketidaksesuaian evaluasi tahap 2 (dua) sesuai jangka waktu yang ditetapkan, LSPro dapat menghentikan proses sertifikasi dan MENETAPKAN bahwa TOE tidak lulus sertifikasi 2. Determinasi PP a. Determinasi PP dilakukan melalui pengujian PP berdasarkan persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya. b. Pengujian PP dilakukan di Laboratorium Pengujian yang telah menerapkan SNI ISO/IEC 17025 untuk lingkup produk yang disertifikasi. Penerapan SNI ISO/IEC 17025 dapat dibuktikan melalui: 1) akreditasi oleh KAN; atau 2) akreditasi oleh badan akreditasi penandatangan saling pengakuan dalam forum APAC dan International Laboratory Accreditation Cooperation (ILAC); atau 3) apabila belum tersedia Laboratorium Pengujian yang terakreditasi, maka pengujian dapat dilakukan di Laboratorium Pengujian yang dipilih oleh LSPro dengan memastikan kesesuaian terhadap persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya dan metode uji yang digunakan serta memastikan kesesuaian kompetensi dan imparsialitas proses pengujian. c. Pengujian PP meliputi audit dokumen PP dan pengujian konfigurasi PP. d. Dalam melaksanakan pengujian PP, Laboratorium Pengujian melakukan pengujian terhadap PP yang menghasilkan EOR untuk setiap kelas jaminan keamanan. e. Pelaksanaan pengujian PP diawasi oleh auditor LSPro melalui rapat kemajuan evaluasi untuk mereviu dan menyetujui EOR. f. Dalam hal ditemukan ketidaksesuaian pada proses pengujian, Pemohon dapat diberi kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kesepakatan antara LSPro, Laboratorium Pengujian dan Sponsor dan/atau Developer dengan melakukan pemutakhiran pada EPP. g. Dalam hal Sponsor dan/atau Developer tidak dapat menyelesaikan tindakan perbaikan terhadap ketidaksesuaian sesuai jangka waktu yang ditetapkan, LSPro dapat menghentikan proses sertifikasi dan MENETAPKAN bahwa PP tidak lulus sertifikasi F. Tinjauan dan keputusan 1. Tinjauan a. Tinjauan hasil evaluasi dilakukan terhadap pemenuhan seluruh persyaratan sertifikasi dan kesesuaian proses sertifikasi, mulai dari pengajuan permohonan sertifikasi, pelaksanaan seleksi dan determinasi serta tindakan perbaikan dari Sponsor dan/atau Developer atau Pemohon jika ada. b. Tinjauan hasil evaluasi dinyatakan dalam bentuk rekomendasi tertulis tentang pemenuhan persyaratan acuan CC:2022 revisi 1- bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya yang diajukan oleh Sponsor dan/atau Developer untuk produk yang diajukan untuk disertifikasi. c. Tinjauan hasil evaluasi harus dilakukan oleh orang atau sekelompok orang yang tidak terlibat dalam proses penilaian. d. Personel yang melakukan tinjauan hasil penilaian harus memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. 2. Penetapan keputusan sertifikasi a. Penetapan keputusan sertifikasi dilakukan berdasarkan rekomendasi yang dihasilkan dari proses tinjauan. b. Penetapan keputusan sertifikasi harus dilakukan oleh satu orang atau sekelompok orang yang tidak terlibat dalam proses evaluasi. c. Penetapan keputusan sertifikasi dapat dilakukan oleh orang atau sekelompok orang yang sama dengan yang melakukan tinjauan. d. Penetapan keputusan sertifikasi dilakukan oleh personel yang memiliki kompetensi sesuai kriteria kompetensi personel atau tim dalam kegiatan sertifikasi. e. Rekomendasi untuk keputusan sertifikasi berdasarkan hasil tinjauan harus didokumentasikan. f. LSPro harus memberitahukan secara tertulis kepada Sponsor dan/atau Developer atau Pemohon terkait keputusan sertifikasi. g. LSPro harus menyampaikan secara tertulis kepada Sponsor dan/atau Developer atau Pemohon terkait alasan menunda atau tidak memberikan keputusan sertifikasi, dan harus mengidentifikasi alasan keputusan tersebut. h. Apabila Sponsor dan/atau Developer atau Pemohon menunjukkan keinginan untuk melanjutkan proses sertifikasi setelah LSPro MEMUTUSKAN tidak lulus sertifikasi, Sponsor dan/atau Developer atau Pemohon dapat mengajukan kembali permohonan sertifikasi. i. Setelah melakukan penetapan keputusan sertifikasi, LSPro melakukan pemutakhiran register produk CC INDONESIA dengan status telah disertifikasi. 3. Bukti kesesuaian a. Bukti kesesuaian berupa Sertifikat CC INDONESIA yang diterbitkan oleh LSPro. LSPro menyerahkan Sertifikat CC INDONESIA, laporan sertifikasi (certification report - CR), dan ST kepada Sponsor dan/atau Developer yang telah memenuhi persyaratan acuan CC:2022 revisi 1- bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya. b. Sertifikat CC INDONESIA berlaku setelah diterbitkan. Sertifikat CC INDONESIA untuk TOE berlaku selama 5 (lima) tahun sedangkan Sertifikat CC INDONESIA untuk PP berlaku selama 10 (sepuluh) tahun. c. Sertifikat CC INDONESIA terhadap persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya paling sedikit harus memuat: 1) nomor sertifikat atau identifikasi penomoran unik lainnya; 2) nama dan alamat LSPro; 3) nama dan alamat Sponsor dan/atau Developer atau Pemohon (pemegang sertifikat); 4) nomor atau identifikasi lain yang mengacu ke perjanjian sertifikasi; 5) pernyataan kesesuaian yang mencakup: a) merek dan spesifikasi dari produk yang dinyatakan memenuhi persyaratan; b) EAL untuk sertifikasi TOE atau paket jaminan (assurance package) yang diklaim dalam PP; c) persyaratan acuan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya yang menjadi dasar sertifikasi; dan d) nama dan alamat lokasi produksi pembuatan produk yang dinyatakan memenuhi persyaratan sesuai lingkup CC atau revisinya (untuk sertifikasi TOE). 6) status akreditasi atau pengakuan LSPro; 7) tanggal penerbitan sertifikat dan masa berlakunya, serta riwayat sertifikat; dan 8) tanda tangan yang mengikat secara hukum dari personel yang bertindak atas nama LSPro sesuai dengan ketentuan peraturan perundang-undangan. d. Sertifikat CC INDONESIA dapat dinyatakan tidak berlaku apabila: 1) penyalahgunaan Sertifikat CC INDONESIA oleh Sponsor dan/atau Developer atau Pemohon; 2) penyalahgunaan nama dan logo Badan, LSPro, Tanda SCCI atau Tanda CC oleh Sponsor dan/atau Developer atau Pemohon; atau 3) konflik kepentingan yang mengakibatkan keberpihakan dalam proses sertifikasi. G. Pemeliharaan Jaminan Keamanan Pemeliharaan jaminan keamanan hanya berlaku untuk sertifikasi TOE. 1. Pemeliharaan jaminan keamanan merupakan proses yang diajukan oleh Sponsor dan/atau Developer terhadap perubahan dan/atau penambahan fungsi keamanan TOE untuk peningkatan jaminan keamanan. 2. Pemeliharaan jaminan keamanan diberikan kepada TOE yang sudah disertifikasi oleh LSPro sesuai Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV. 3. Pengajuan permohonan pemeliharaan jaminan keamanan diajukan oleh Sponsor dan/atau Developer kepada LSPro setelah 30 (tiga puluh) hari kerja sejak Sertifikat CC INDONESIA diterbitkan. 4. Dalam mengajukan permohonan jaminan keamanan, Sponsor dan/atau Developer menyampaikan: a. formulir permohonan jaminan keamanan; b. IAR; c. ST d. CR; dan e. salinan Sertifikat CC INDONESIA. 5. LSPro mencatat dan memverifikasi permohonan pemeliharaan jaminan keamanan yang diajukan oleh Sponsor dan/atau Developer. 6. Verifikasi pengajuan permohonan pemeliharaan jaminan keamanan dilakukan dalam waktu 10 (sepuluh) hari kerja sejak permohonan diterima. 7. Dalam hal melakukan verifikasi ditemukan kekurangan kelengkapan persyaratan permohonan pemeliharaan jaminan keamanan Sponsor dan/atau Developer harus melengkapi kelengkapan persyaratan permohonan paling lama 2 (dua) hari kerja sejak pemberitahuan kekurangan kelengkapan persyaratan permohonan diterima. 8. Jangka waktu melengkapi kelengkapan persyaratan permohonan tidak mengurangi jangka waktu verifikasi. 9. Dalam hal Sponsor dan/atau Developer tidak melengkapi kelengkapan persyaratan permohonan dalam waktu 2 (dua) hari kerja, LSPro dapat menolak permohonan pengajuan pemeliharaan jaminan keamanan. 10. Dalam hal verifikasi tidak terdapat permasalahan, LSPro melaksanakan pemeliharaan jaminan keamanan. 11. Dalam melaksanakan pemeliharaan jaminan keamanan, LSPro melakukan penilaian IAR untuk menentukan kategori perubahan TOE yang terdiri atas: a. perubahan minor; dan b. perubahan mayor. 12. Perubahan minor merupakan perubahan yang tidak terkait langsung dengan fungsi keamanan TOE. 13. Perubahan mayor merupakan perubahan yang terkait langsung dengan fungsi keamanan TOE. 14. Dalam hal hasil penilaian IAR menunjukkan kategori perubahan minor, LSPro menerbitkan laporan pemeliharaan jaminan keamanan dan melakukan pemutakhiran register produk CC INDONESIA. 15. Dalam hal hasil penilaian IAR menunjukkan kategori perubahan mayor, LSPro menerbitkan surat rekomendasi pelaksanaan sertifikasi ulang kepada Sponsor dan/atau Developer. H. Pemeliharaan Sertifikasi Pemeliharaan sertifikasi hanya berlaku untuk sertifikasi TOE. 1. Pengawasan oleh LSPro a. Pengawasan oleh LSPro dilakukan dengan kegiatan surveilans. Jarak antara surveilans paling sedikit 18 (delapan belas) bulan. b. LSPro harus melaksanakan kunjungan surveilans paling sedikit 2 (dua) kali dalam periode sertifikasi. Surveilans pertama dilaksanakan pada bulan ke 20 (dua puluh) sampai dengan 24 (dua puluh empat), surveilans kedua dilaksanakan pada bulan ke 40 (empat puluh) sampai dengan 44 (empat puluh empat). Kunjungan surveilans dilakukan melalui kegiatan audit proses produksi dan/atau pengujian produk. c. Surveilans dapat dilakukan dengan audit dokumen/rekaman dan/atau melalui audit jarak jauh dengan menggunakan media yang disepakati untuk mendapatkan bukti objektif. d. Pelaksanaan surveilans juga mengacu pada hal-hal spesifik sebagaimana diatur pada pada daftar produk, acuan CC dan uraian penilaian kesesuaian. 2. Sertifikasi ulang a. Sertifikasi ulang terhadap TOE dapat dilakukan berdasarkan kondisi masa berlaku Sertifikat CC INDONESIA pada TOE telah berakhir; b. Apabila proses sertifikasi ulang belum selesai sampai masa berlaku Sertifikat CC INDONESIA berakhir, maka: 1) apabila keterlambatan sertifikasi disebabkan oleh LSPro, maka LSPro menerbitkan surat keterangan yang menyatakan Sponsor dan/atau Developer sedang dalam proses sertifikasi; dan 2) apabila keterlambatan sertifikasi disebabkan oleh Sponsor dan/atau Developer, maka proses sertifikasi tidak dilanjutkan dan sertifikat tidak berlaku. c. LSPro harus menyampaikan informasi kepada Sponsor dan/atau Developer untuk melaksanakan sertifikasi ulang TOE paling lambat 9 (sembilan) bulan sebelum masa berlaku sertifikat berakhir. d. Pelaksanaan sertifikasi ulang dilakukan sesuai dengan tahapan pada prosedur administratif, determinasi, serta tinjauan dan keputusan. e. Apabila berdasarkan hasil sertifikasi ulang ditemukan ketidaksesuaian, Sponsor dan/atau Developer harus diberi kesempatan untuk melakukan tindakan perbaikan dalam jangka waktu tertentu sesuai dengan kebijakan LSPro. f. Sertifikasi ulang dapat dilakukan dengan audit dokumen atau rekaman dan/atau melalui audit jarak jauh dengan menggunakan media yang disepakati untuk mendapatkan bukti objektif. I. Evaluasi Khusus Evaluasi khusus hanya berlaku untuk sertifikasi TOE. 1. LSPro dapat melaksanakan evaluasi khusus dalam rangka audit perluasan lingkup maupun tindak lanjut atau investigasi atas keluhan atau informasi yang ada. 2. Tahapan evaluasi khusus dalam rangka perluasan lingkup dilakukan sesuai dengan tahapan sertifikasi namun terbatas pada perluasan lingkup yang diajukan. Evaluasi terhadap perluasan lingkup sertifikasi dapat dilakukan terpisah maupun bersamaan dengan surveilans. 3. Evaluasi khusus dalam rangka investigasi keluhan atau informasi yang ada dilakukan oleh auditor yang memiliki kompetensi untuk melakukan investigasi dan terbatas pada permasalahan yang ada, serta dilakukan dalam waktu yang singkat dari diperolehnya keluhan atau informasi. 4. Berdasarkan hasil evaluasi khusus, apabila terdapat produk yang disertifikasi tidak memenuhi persyaratan yang ditetapkan, maka LSPro mewajibkan Sponsor dan/atau Developer untuk menarik semua produk yang terindikasi tidak sesuai, dan melarang mencantumkan Tanda SCCI atau Tanda CC pada produk dan/atau media lain sejak tanggal terjadinya ketidaksesuaian tersebut sampai dengan dapat dilakukan tindakan perbaikan. Tanda SCCI atau Tanda CC dapat dicantumkan kembali setelah dilakukan tindakan perbaikan dan dinyatakan memenuhi oleh LSPro. J. Ketentuan pengurangan, pembekuan, dan pencabutan sertifikasi Ketentuan pengurangan, pembekuan, dan pencabutan sertifikasi hanya berlaku untuk sertifikasi TOE. 1. Pengurangan lingkup sertifikasi Sponsor dan/atau Developer dapat mengajukan pengurangan lingkup sertifikasi selama periode sertifikasi. 2. Pembekuan dan pencabutan sertifikasi a. LSPro dapat membekukan sertifikasi apabila Sponsor dan/atau Developer: 1) tidak menyetujui untuk dilaksanakan surveilans dan/atau evaluasi khusus; 2) tidak mampu memperbaiki ketidaksesuaian yang diterbitkan oleh LSPro pada saat surveilans dan/atau saat evaluasi khusus; atau 3) menyampaikan permintaan pembekuan sertifikasi kepada LSPro. b. LSPro harus membatasi periode pembekuan sertifikasi maksimal 6 (enam) bulan. c. LSPro dapat melakukan pencabutan sertifikasi apabila Sponsor dan/atau Developer: 1) tidak menyetujui untuk dilaksanakan surveilans dan/atau evaluasi khusus melebihi batas waktu yang ditentukan; 2) tidak mampu memperbaiki ketidaksesuaian yang mengakibatkan pembekuan sertifikasi melebihi batas waktu yang ditentukan; atau 3) menyampaikan permintaan pencabutan sertifikasi kepada LSPro. d. LSPro dapat mempertimbangkan pembekuan atau pencabutan sertifikasi, atau tindakan lainnya yang disebabkan oleh faktor lainnya dengan mempertimbangkan risiko yang ditemukan. K. Keluhan dan Banding LSPro harus mengembangkan aturan penanganan keluhan dan banding dengan mempertimbangkan kompetensi dan imparsialitas pelaksanaan penanganan keluhan dan banding. L. Informasi Publik LSPro harus mempublikasikan informasi kepada publik sesuai persyaratan SNI ISO/IEC 17065 termasuk informasi Sponsor dan/atau Developer yang disertifikasi, dibekukan dan dicabut. Informasi publik terkait informasi Sponsor dan/atau Developer yang disertifikasi, dibekukan dan dicabut tersebut juga harus disampaikan melalui sistem informasi LSPro. M. Penggunaan Tanda SCCI atau Tanda CC pada Produk 1. Tanda SCCI digunakan saat INDONESIA masih berstatus sebagai anggota yang mengonsumsi (consuming member) pada CCRA, sedangkan tanda CC digunakan saat INDONESIA sudah berstatus sebagai anggota yang mengotorisasi (authorizing member) pada CCRA. 2. Tanda SCCI atau Tanda CC dicantumkan pada produk yang telah memperoleh: a. Sertifikat CC INDONESIA yang dikeluarkan oleh LSPro; dan b. surat persetujuan penggunaan Tanda SCCI atau Tanda CC yang dikeluarkan oleh Kepala Badan. 3. Permohonan persetujuan penggunaan Tanda SCCI atau Tanda CC diajukan secara tertulis oleh LSPro selaku Pemohon kepada Kepala Badan. 4. Permohonan tertulis diajukan dengan: a. Mengisi formulir permohonan penggunaan Tanda SCCI atau Tanda CC b. melampirkan salinan Sertifikat CC INDONESIA yang telah dilegalisasi oleh LSPro. 5. Apabila permohonan dinyatakan lengkap, Kepala Badan melalui pimpinan tinggi madya yang mempunyai tugas menyelenggarakan perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan verifikasi permohonan paling lama 5 (lima) hari kerja. 6. Format formulir permohonan penggunaan Tanda SCCI atau Tanda CC sebagai berikut: LOGO BSSN FORMULIR PERMOHONAN PENGGUNAAN TANDA SCCI/ TANDA CC*) No. Dokumen: No. Revisi: Tanggal A. Identitas Pemohon 1. Lembaga Sertifikasi produk : 2. Nomor LPK : 3. Periode akreditasi : 4. Alamat : 5. Nomor telepon : 6. Kontak person : B. Calon pengguna Tanda SCCI / Tanda CC*) 1. Data Sponsor/Developer*) a. Nama perusahaan : b. Alamat : c. Nama pemimpin dan jabatan : d. Nomor telepon : e. Email : f. Website : 2. Data produk a. Merek produk : b. Kategori produk : c. Fungsi produk : d. Tipe produk : e. EAL : 3. Persyaratan acuan : CC:2022 revisi 1-bagian 1 atau revisinya, CC:2022 revisi 1- bagian 2 atau revisinya, CC:2022 revisi 1-bagian 3 atau revisinya, CC:2022 revisi 1- bagian 4 atau revisinya, dan CC:2022 revisi 1-bagian 5 atau revisinya C. Dokumen yang harus dilampirkan 1. Salinan Sertifikat CC INDONESIA yang telah dilegalisasi oleh LSPro. 2. Bukti foto jenis produk ukuran 5R disertai rencana penempatan Tanda SCCI atau Tanda CC. 3. Legalitas usaha dari calon pengguna Tanda SCCI atau Tanda CC. 4. Pernyataan surat kuasa dari calon pengguna Tanda SCCI atau Tanda CC. 5. Surat pernyataan kesediaan mematuhi kewajiban penggunaan Tanda SCCI atau Tanda CC oleh Sponsor dan/atau Developer. …………………,………………20.. Pemohon, (……………………………) *) coret salah satu Format Surat pernyataan kesediaan mematuhi kewajiban penggunaan Tanda SCCI atau Tanda CC oleh Sponsor dan/atau Developer sebagai berikut: SURAT PERNYATAAN KESEDIAAN MEMATUHI KEWAJIBAN PENGGUNAAN TANDA SCCI ATAU TANDA CC Sehubungan dengan pengajuan permohonan penggunaan Tanda SCCI atau Tanda CC, dengan ini kami menyatakan bersedia untuk: 1) Menjaga dan mengendalikan kesesuaian barang sebagaimana dimaksud dalam dokumen persetujuan penggunaan Tanda SCCI atau Tanda CC untuk diproduksi atau dipasok sesuai dengan karakteristik yang sama dengan sampel barang yang telah disertifikasi oleh LSPro serta dinyatakan memenuhi standar yang diacu. 2) Membubuhkan Tanda SCCI atau Tanda CC bagi barang yang dimaksud dalam dokumen persetujuan penggunaan Tanda SCCI atau Tanda CC. 3) Menginformasikan segala perubahan yang dilakukan dan menyebabkan perubahan pemenuhan karakteristik barang dengan karakteristik sampel pada saat dilakukan sertifikasi oleh LSPro dalam rangka pemenuhan terhadap standar yang diacu. 4) Menginformasikan segala perubahan lain yang dilakukan yang mempengaruhi dokumen yang disampaikan pada saat pengusulan persetujuan penggunaan Tanda SCCI atau Tanda CC. 5) Mengambil tindakan perbaikan yang diperlukan bila terdapat laporan hasil monitoring atau pengawasan ditemukan ketidakmampuan menjaga dan mengendalikan kesesuaian barang sebagaimana dimaksud dalam dokumen persetujuan penggunaan Tanda SCCI atau Tanda CC. 6) Tidak mencantumkan Tanda SCCI atau Tanda CC pada barang dalam hal Surat Persetujuan Penggunaan Tanda SCCI atau Tanda CC dibekukan, dicabut atau berakhir masa berlakunya. Tempat,Tanggal: Pimpinan Sponsor/Developer MATERAI TTD Nama : Jabatan : 7. Berdasarkan hasil verifikasi, Kepala Badan menerbitkan: a. surat penolakan; atau b. surat persetujuan. Format surat persetujuan penggunan Tanda SCCI atau Tanda CC sebagai berikut: LOGO BSSN SURAT PERSETUJUAN PENGGUNAAN TANDA SCCI ATAU TANDA CC Nomor: Kepala Badan Siber dan Sandi Negara memberikan persetujuan penggunaan Tanda SCCI atau Tanda CC, kepada: Nama Sponsor/Developer : Alamat Sponsor/Developer : Alamat lokasi produksi : Merek produk : Kategori produk : Fungsi produk : Tipe produk : EAL : atas pemenuhan terhadap persyaratan acuan CC:2022 revisi 1- bagian 1 atau revisinya, CC:2022 revisi 1-bagian 2 atau revisinya, CC:2022 revisi 1-bagian 3 atau revisinya, CC:2022 revisi 1-bagian 4 atau revisinya, dan CC:2022 revisi 1-bagian 5 atau revisinya Masa berlaku sampai dengan Diterbitkan di : JAKARTA ............................................. Pada Tanggal : Kepala Badan Siber dan Sandi Negara TTD (Nama) 8. Berdasarkan surat persetujuan Kepala Badan, Sponsor dan/atau Developer berhak mencantumkan Tanda SCCI atau Tanda CC sesuai gambar berikut: a. Tanda SCCI b. tanda CC Gambar 2 Tanda CC 9. Bentuk, ukuran dan warna Tanda SCCI sebagai berikut: Keterangan: a. Bentuk tanda gambar segi enam dengan gambar ¾ lingkaran, centang, dan tulisan “SCCI” dan “BSSN” berada didalamnya serta tulisan KODE KLASIFIKASI/EAL X berada dibawah gambar segi enam. b. Tulisan KODE KLASIFIKASI/EAL X ditulis dengan huruf kapital bercetak tebal, berjenis huruf Lucida Sans, dan berwarna hitam (#000000). KODE KLASIFIKASI = diisi dengan salah satu kode klasifikasi produk yang berasal dari singkatan 14 (empat belas) kategori produk yaitu: ACDS : Access Control Devices and System BPDS : Boundary Protection Devices and Systems DP : Data Protection DB : Databases DDS : Detection Devices and Systems ICSC : Ics, Smart cards, and smart card – related devices system KMS : Key management systems MB : Mobility MFD : Multi Function Devices NDS : Network and Network Related Devices and System OS : Operating System PDS : Products for Digital Signatures TC : Trusted Computing ODS : Other Devices and System EAL X = huruf X diisi dengan angka yang merupakan EAL produk yang terdiri atas EAL 1 (satu) s.d. 7 (tujuh). c. Tulisan “SCCI” dan “BSSN” ditulis dengan huruf kapital bercetak tebal, berjenis huruf Bahnschrift, dan berwarna putih (#FFFFFF). d. Gambar segi enam berwarna merah (#FA4632). e. Gambar ¾ lingkaran dan centang berwarna putih (#FFFFFF) f. Diperbolehkan menggunakan warna hitam putih ataupun monokrom. g. Ukuran logo disesuaikan dengan ukuran produk atau kemasan dan harus proporsional. 10. Bentuk, ukuran dan warna tanda CC sesuai dengan ketentuan dalam dokumen Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security Annex E. 11. Contoh Tanda SCCI pada produk kategori data protection dengan EAL 3 (tiga) sebagai berikut: 12. Penggunaan Tanda SCCI atau Tanda CC berlaku selama 5 (lima) tahun 13. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber mengumumkan setiap persetujuan permohonan penggunaan Tanda SCCI atau Tanda CC melalui situs Badan. 14. Pengumuman memuat informasi paling sedikit: a. identitas produk; b. identitas Sponsor dan/atau Developer; c. nomor surat persetujuan penggunaan Tanda SCCI atau Tanda CC; d. masa berlaku penggunaan Tanda SCCI atau Tanda CC; dan e. identitas LSPro. 15. Pembubuhan Tanda SCCI atau Tanda CC sebagai berikut: a. Tanda SCCI atau Tanda CC ditampilkan pada produk dan/atau pada kemasan terkecil, apabila tidak memungkinkan, Tanda SCCI atau Tanda CC ditampilkan pada kemasan yang lebih besar sedemikian rupa sehingga mudah dilihat oleh pembeli atau pengguna. Pembubuhan Tanda SCCI atau Tanda CC harus dengan pencetakan yang permanen di produk atau kemasannya. b. Tanda SCCI atau Tanda CC yang tidak memungkinkan ditampilkan pada produk, dapat ditampilkan dalam media lain seperti brosur, situs web, dan sebagainya, yang tidak menyebabkan salah pengertian. 16. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan pembinaan dan pengawasan terhadap penggunaan Tanda SCCI atau Tanda CC. 17. Apabila mengetahui adanya penyalahgunaan terhadap penggunaan Tanda SCCI atau Tanda CC, masyarakat dapat mengajukan pengaduan kepada Kepala Badan. 18. Pengaduan disampaikan secara tertulis dengan mengisi formulir pengaduan. 19. Tata cara pengaduan sebagai berikut: Keterangan: a. Pelapor menyampaikan laporan atau pengaduan tentang terjadinya penyalahgunaan penggunaan Tanda SCCI atau Tanda CC kepada Kepala Badan sesuai format yang telah disediakan. b. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber melakukan verifikasi terhadap isi laporan atau pengaduan. c. Kepala Badan melalui pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber meminta klarifikasi kepada: 1) Sponsor dan/atau Developer, apabila penggunaan Tanda SCCI atau Tanda CC tanpa melalui proses sertifikasi; dan/atau 2) LSPro, apabila penggunaan Tanda SCCI atau Tanda CC melalui proses sertifikasi. d. Sponsor dan/atau Developer, LSPro memberikan tanggapan kepada Kepala Badan. e. Berdasarkan hasil tanggapan dari Sponsor dan/atau Developer atau LSPro, apabila: 1) pengaduan tidak terbukti, Kepala Badan menyampaikan hasil tanggapan kepada pelapor. 2) pengaduan terbukti, Kepala Badan menerbitkan surat teguran untuk mencabut penggunaan Tanda SCCI atau Tanda CC. Klarifikasi Pelaporan Verifikasi Tanggapan Keputusan Informasi Publik f. Kepala Badan mengumumkan keputusan hasil pengaduan kepada publik dan pelapor. 20. Format formulir pengaduan penyalahgunaan penggunaan Tanda SCCI atau Tanda CC sebagai berikut: FORMULIR PENGADUAN PENYALAHGUNAAN PENGGUNAAN TANDA SCCI ATAU TANDA CC Data Pelapor 1. Nama : 2. Alamat : 3. Email : 4. Telepon : Data Laporan/Aduan 1. Merek produk : 2. Tipe produk : 3. Lokasi produk : 4. Tanggal : 5. Isi Laporan/Aduan : Laporan/pengaduan ini Saya buat dengan sebenar-benarnya dan Saya bertanggung jawab sepenuhnya terhadap isi laporan/pengaduan. …………………,………………20.. Pelapor, (……………………………) 21. Apabila pengaduan terbukti, Sponsor dan/atau Developer yang melanggar ketentuan dikenai sanksi sesuai dengan peraturan perundang-undangan disertai pencabutan persetujuan penggunaan Tanda SCCI atau Tanda CC. 22. Permohonan penggunaan Tanda SCCI atau Tanda CC tidak dikenakan biaya. N. Daftar produk, acuan CC dan uraian penilaian kesesuaian Nama produk Acuan CC Seleksi Determinasi Surveilans Titik Kritis 1) TOE dengan kategori: a. peranti dan sistem kontrol akses (Access control devices and system); b. boundary protection devices and system; c. pelindungan data (Data protection); d. basis data (Database); e. peranti dan sistem deteksi (Detection devices and system); f. sirkuit terpadu, kartu pintar dan peranti dan sistem terkait kartu pintar (ICs, smart card and smart card related devices and system); g. sistem manajemen kunci (Key management system); h. mobilitas (Mobility); i. peranti multi-fungsi (Multi-function devices); j. jaringan dan peranti dan sistem terkait dengan jaringan (Network and network-related devices and system); k. sistem operasi (Operating systems); l. produk untuk tanda tangan digital (Product for digital signature); m. komputasi tepercaya (Trusted computing); 1) CC:2022 revisi 1- bagian 1: pendahuluan dan model umum (common criteria for information technology security evaluation revision 1 — part 1: introduction and general model) atau revisinya 2) CC:2022 revisi 1 bagian 2: komponen fungsional keamanan (common criteria for information technology security evaluation revision 1 part 2: security functional components) atau revisinya 3) CC:2022 revisi 1 bagian 3: komponen asurans keamanan (common criteria for information technology security evaluation revision 1 part 3: security assurance component) atau revisinya • Klasifikasi TOE dan PP berdasarkan kategori. • Sponsor dan/atau Developer menyerahkan TOE berbentuk perangkat lunak kepada LSPro. (Hanya berlaku untuk TOE) • Pengambil an sampel berbentuk perangkat keras sebanyak 3 (tiga) buah TOE yang dibuktikan dengan berita acara pengambil an sampel. • Penerapan sistem manajeme n mutu atau yang relevan. (Hanya berlaku untuk TOE) Pengambilan sampel berbentuk perangkat keras sebanyak 1 (satu) buah untuk sertifikasi ulang dan/ atau sesuai dengan kebutuhan pengujian atau persyaratan acuan CC:2022 atau revisinya. (Hanya berlaku untuk TOE) 1) bahan baku/komponen (tidak berlaku untuk TOE berupa perangkat lunak) Komponen lain sesuai dengan spesifikasi yang ditentukan dan telah memenuhi aspek keselamatan dibuktikan dengan sertifikat komponen. Apabila bahan baku/komponen termasuk kategori SNI Wajib maka dilakukan pemeriksaan Tanda SNI . 2) penyiapan desain a. Menerapkan paling sedikit tiga fungsi keamanan pada TOE; b. Jika terdapat fungsi keamanan yang diterapkan pada TOE belum didefinisikan persyaratan acuan yang digunakan maka harus dijelaskan pada bukti evlauasi TOE; c. Jika TOE memiliki klaim kesesuaian terhadap PP tertentu maka fungsi keamanan yang dipersyaratkan dalam PP tersebut harus dimplmentasikan dalam TOE 3) perakitan/assembling (tidak berlaku untuk TOE berupa perangkat lunak) Perakitan dilakukan dengan metode tertentu yang dikendalikan dan memperhatikan standar operasional prosedur terkait, kesesuaian proses, termasuk kondisi lingkungan kerja, kompetensi sumber daya manusia, material, peralatan kerja, dan alat pemantauan sesuai dengan persyaratan untuk menyatukan komponen peralatan pada TOE. Proses assembling dilakukan sesuai dengan desain yang sudah ditentukan. 4) Pengendalian internal mutu produk (quality qssurance) Dilakukan analisis dalam rangka Pengendalian internal mutu produk (quality assurance) Nama produk Acuan CC Seleksi Determinasi Surveilans Titik Kritis n. peranti dan sistem lainnya (Other devices and system). 2) PP 4) CC:2022 revisi 1- bagian 4: kerangka kerja untuk sesifikasi metode dan aktivitas evaluasi (common criteria for information technology security evaluation revision 1 — part 4: framework for the specification of evaluation methods and activities) atau revisinya 5) CC:2022 revisi 1 bagian 5: paket persyaratan keamanan yang telah ditentukan (common criteria for information technology security evaluation revision 1 part 5: pre- defined packages of security requirements) atau revisinya terhadap produk akhir yang telah diproduksi untuk memastikan produk sesuai dengan spesifikasi dan fungsinya yang dilakukan dengan inspeksi visual, maupun pengujian (misal uji fungsi pada perangkat lunak) - Uji fungsi peralatan, dan/atau uji ketahanan; - Pemeriksaan visual semua komponen, termasuk dimensi TOE, logo dan informasi merek. 5) Penandaan Penandaan dilakukan untuk produk sesuai dengan ketentuan yang ditetapkan oleh Badan. Keterangan: 1. urutan proses produksi setiap Sponsor dan/atau Developer dapat berbeda; 2. fungsi keamanan pada setiap TOE dapat berbeda; 3. TOE tidak harus memiliki klaim keamanan terhadap PP tertentu; O. Kriteria kompetensi personel atau tim dalam kegiatan sertifikasi Pengetahuan Personel yang melakukan tinjauan permohonan Auditor* Petugas Pengambil Contoh (PPC)** Personel yang melakukan tinjauan hasil evaluasi Pengambil keputusan Pengetahuan tentang SNI ISO IEC 17065 ✓ ✓ - ✓ ✓ Pengetahuan Personel yang melakukan tinjauan permohonan Auditor* Petugas Pengambil Contoh (PPC)** Personel yang melakukan tinjauan hasil evaluasi Pengambil keputusan Pengetahuan tentang proses dan prosedur sertifikasi yang ditetapkan oleh LSPro ✓ ✓ ✓ ✓ ✓ Pengetahuan dan pengalaman tentang prinsip, praktik, dan teknik audit sesuai SNI ISO 19011 - ✓ - - - Pengetahuan dan pengalaman tentang prinsip, praktik, dan teknik audit sesuai SNI ISO 9001 atau SNI ISO/IEC 27001 - ✓ - - - Pengetahuan tentang CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya ✓ ✓ ✓ ✓ ✓ Pengetahuan dan pengalaman tentang sektor bisnis teknologi informasi - ✓ - - ✓ Pengetahuan tentang produk dan proses produksi pembuatan produk - ✓ - - ✓ Pengetahuan pengambilan sampel produk - ✓ - - Pengetahuan dan pemahaman tentang peraturan perundang- undangan - ✓ - - * Pemenuhan kompetensi dapat dipenuhi secara kolektif dalam satu tim. ** Jika auditor juga bertindak sebagai PPC, maka harus memiliki pengetahuan pengambilan sampel produk. KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN LAMPIRAN VI PERATURAN BADAN SIBER DAN SANDI NEGARA NOMOR 7 TAHUN 2024 TENTANG PENYELENGGARAAN PENILAIAN KESESUAIAN KRITERIA UMUM UNTUK EVALUASI KEAMANAN TEKNOLOGI INFORMASI INDONESIA (INDONESIA COMMON CRITERIA FOR INFORMATION TECHNOLOGY SECURITY EVALUATION) PENYELENGGARA SKEMA SCCI UNTUK SERTIFIKASI PRODUK SELAIN TEKNOLOGI PELINDUNGAN IIV A. Pemilik Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV Pemilik Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV yaitu Kepala Badan yang memiliki tanggung jawab sebagai berikut: 1. MENETAPKAN Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 2. MENETAPKAN rencana strategis Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 3. memberikan persetujuan penggunaan Tanda SCCI atau Tanda CC; 4. MENETAPKAN penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 5. MENETAPKAN peraturan lain sesuai dengan kewenangannya. B. Komite Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV Komite Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV terdiri atas: 1. Pimpinan tinggi madya yang melaksanakan tugas dan fungsi di bidang perumusan kebijakan teknis di bidang strategi dan kebijakan keamanan siber; dan 2. Pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang koordinasi, perumusan, dan pemantauan kebijakan teknis di bidang teknologi keamanan siber. Tanggung jawab Komite Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagai berikut: 1. memberikan arahan strategis pelaksanaan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 2. mengomunikasikan arah strategis manajemen kebijakan Skema SCCI; 3. merumuskan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 4. merumuskan kebijakan penggunaan Tanda SCCI atau Tanda CC; 5. melakukan pengawasan dan pengendalian terhadap implementasi Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; 6. melaksanakan evaluasi Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV paling sedikit 24 (dua puluh empat) bulan sejak pelaksanaan evaluasi sebelumnya, atau dapat diubah dengan ketentuan sebagai berikut: a. terdapat perubahan persyaratan acuan yang digunakan pada Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV; b. adanya perubahan struktur organisasi dan/atau tugas dan fungsi Badan; dan/atau c. adanya rekomendasi kaji ulang Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV. C. Lembaga sertifikasi produk untuk sertifikasi produk selain teknologi pelindungan IIV 1. Berdasarkan dokumen Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security dan Common Criteria Recognition Arrangement Management Committee Policy Procedure tentang Multiple CBs within one country/Commercial CBs, LSPro merupakan representasi INDONESIA di CCRA. 2. LSPro ditetapkan oleh Kepala Badan sebagai lembaga sertifikasi produk untuk sertifikasi produk selain teknologi pelindungan IIV. 3. LSPro memiliki tugas melaksanakan sertifikasi keamanan produk sesuai dengan CC:2022 revisi 1-bagian 1 atau revisinya sampai dengan CC:2022 revisi 1-bagian 5 atau revisinya. 4. LSPro paling sedikit terdiri atas: a. kepala; b. peninjau sertifikasi terdiri atas paling sedikit 1 (satu) orang anggota LSPro yang tidak terlibat dalam proses evaluasi; c. manajer teknis; d. manajer mutu; e. 4 (empat) orang auditor; dan f. petugas pengambil contoh. D. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV 1. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV diselenggarakan oleh pemerintah atau swasta. 2. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV ditunjuk, ditetapkan dan diawasi oleh LSPro. 3. Tata cara penunjukan dan pengawasan Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV diatur oleh LSPro. 4. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV memiliki tugas melakukan pengujian kesesuaian keamanan produk berdasarkan Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV. 5. Laboratorium Pengujian untuk sertifikasi produk selain teknologi pelindungan IIV paling sedikit terdiri atas: a. kepala; b. manajer teknis; c. manajer mutu; dan d. 4 (empat) orang evaluator. E. Struktur penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV sebagaimana yang ditunjukkan pada Gambar 1. Gambar 1 Struktur penyelenggara Skema SCCI untuk sertifikasi produk selain teknologi pelindungan IIV KEPALA BADAN SIBER DAN SANDI NEGARA, ttd. HINSA SIBURIAN
Koreksi Anda