Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

Perbandingan antara ISO 27005,

OCTAVE & NIST SP 800-30

Sayangnya, harapan bukanlah sebuah rencana, jadi organisasi melihat ke badan standar
sepertiISO, OKTAV,PCI DSS, NIST, dll untuk panduan tentang praktik terbaik keamanan.
Tetapi memilih standar atau kerangka kerja praktik terbaik untuk diikuti adalah tantangannya.
Ada banyak dari mereka dan banyak faktor untuk dievaluasi, termasuk kesamaan standar dengan
praktik organisasi yang ada, biaya, kompleksitas, dokumentasi pendukung.

Metodologi Penilaian Risiko:

Istilah metodologi berarti seperangkat prinsip dan aturan yang terorganisir yang mendorong
tindakan dalam bidang pengetahuan tertentu. Metodologi tidak menjelaskan metode tertentu;
namun itu tidak menentukan beberapa proses yang perlu diikuti. Proses-proses ini merupakan
kerangka kerja generik. Mereka mungkin dipecah dalam sub-proses, mereka dapat digabungkan,
atau urutannya dapat berubah. Namun, setiap latihan manajemen risiko harus melakukan proses
ini dalam satu atau lain bentuk; dokumen berikut membandingkan proses yang diperkirakan oleh
tiga standar terkemuka (ISO 27005, NIST SP 800-30 & OCTAVE).

ISO/IEC 27005:2008 berlaku untuk semua jenis organisasi (misalnya perusahaan komersial,
lembaga pemerintah, organisasi nirlaba) yang bermaksud mengelola risiko yang dapat
membahayakan keamanan informasi organisasi.” ISO 27005 adalah metodologi yang diterima
secara luas dan mencakup teknologi, orang, dan proses dalam penilaian risiko.

Kerangka kerja ISO 27005

Kerangka kerja dapat dibagi dalam langkah-langkah berikut:

 Analisis risiko, dibagi lagi menjadi:

o Identifikasi resiko
o Estimasi risiko
 Evaluasi risiko
Kode praktik ISO/IEC 27002:2005 untuk manajemen keamanan informasi merekomendasikan
hal-hal berikut untuk diperiksa selama penilaian risiko:

 kebijakan keamanan,
 organisasi keamanan informasi,
 manajemen aset,
 keamanan sumber daya manusia,
 keamanan fisik dan lingkungan,
 komunikasi dan manajemen operasi,
 kontrol akses,
 akuisisi, pengembangan, dan pemeliharaan sistem informasi
 manajemen insiden keamanan informasi,
 manajemen kelangsungan bisnis, dan
 Kepatuhan terhadap peraturan.

Identifikasi resiko

Identifikasi risiko menyatakan apa yang dapat menyebabkan potensi kerugian; berikut ini harus
diidentifikasi:

 aset, primer (yaitu Proses bisnis dan informasi terkait) dan pendukung (yaitu perangkat
keras, perangkat lunak, personel, situs, struktur organisasi)
 ancaman
 langkah-langkah keamanan yang ada dan yang direncanakan
 kerentanan
 konsekuensi
 proses bisnis terkait

Output dari sub proses terdiri dari:

 daftar aset dan proses bisnis terkait yang akan dikelola risikonya dengan daftar ancaman
terkait, tindakan keamanan yang ada dan yang direncanakan
 daftar kerentanan yang tidak terkait dengan ancaman yang teridentifikasi
 daftar skenario insiden dengan konsekuensinya.

Estimasi risiko memiliki input output dari analisis risiko dan dapat dibagi dalam langkah-langkah
berikut:

 penilaian konsekuensi melalui penilaian aset

 penilaian kemungkinan insiden (melalui penilaian ancaman dan kerentanan)
 menetapkan nilai untuk kemungkinan dan konsekuensi dari risiko

Penilaian risiko kuantitatif murni adalah perhitungan matematis berdasarkan metrik keamanan
diaset(sistem atau aplikasi). Penilaian risiko kualitatif (evaluasi tiga sampai lima langkah, dari
Sangat Tinggi ke Rendah) dilakukan ketika organisasi memerlukan penilaian risiko yang
dilakukan dalam waktu yang relatif singkat atau untuk memenuhi anggaran yang kecil, jumlah
data relevan yang signifikan tidak tersedia, atau orang yang melakukan penilaian tidak memiliki
keahlian penilaian matematika, keuangan, dan risiko yang diperlukan. Penilaian risiko kualitatif
dapat dilakukan dalam waktu yang lebih singkat dan dengan data yang lebih sedikit. Penilaian
risiko kualitatif biasanya dilakukan melalui wawancara sampel personel dari semua kelompok
yang relevan dalam organisasi yang bertanggung jawab atas keamanan aset yang dinilai.
Penilaian risiko kualitatif bersifat deskriptif versus terukur.

Evaluasi Risiko

Proses evaluasi risiko menerima sebagai input output dari proses analisis risiko. Ini
membandingkan setiap tingkat risiko terhadap kriteria penerimaan risiko dan memprioritaskan
daftar risiko dengan indikasi penanganan risiko.

Kerangka kerja NIST SP 800 30

NIST SP 800-30 paling cocok untuk penilaian risiko terkait Teknologi yang selaras dengan
kriteria umum. Metodologi penilaian risiko mencakup sembilan langkah utama:

 Langkah 1 Karakterisasi Sistem

 Langkah 2 Identifikasi Ancaman
 Langkah 3 Identifikasi Kerentanan
 Langkah 4 Analisis Kontrol
 Langkah 5 Penentuan Kemungkinan
 Langkah 6 Analisis Dampak
 Langkah 7 Penentuan Risiko
 Langkah 8 Kontrol Rekomendasi
 Langkah 9 Dokumentasi Hasil

Mitigasi risiko

Mitigasi risiko, proses kedua menurut SP 800-30, yang ketiga menurut ISO 27005 manajemen
risiko, melibatkan memprioritaskan, mengevaluasi, dan menerapkan kontrol pengurangan risiko
yang sesuai yang direkomendasikan dari proses penilaian risiko.

Kerangka kerja ISO 27005

Proses perlakuan risiko bertujuan untuk memilih langkah-langkah keamanan untuk:

 Mengurangi
 Mempertahankan
 Menghindari
 Transfer
Risiko dan menghasilkan rencana penanganan risiko, yaitu output dari proses dengan risiko
residual yang dapat diterima oleh manajemen.

Kerangka kerja NIST SP 800 30

Mitigasi risiko adalah metodologi sistematis yang digunakan oleh manajemen senior untuk
mengurangi risiko misi. Mitigasi risiko dapat dicapai melalui salah satu opsi mitigasi risiko
berikut:

 Asumsi Risiko. Untuk menerima potensi risiko dan melanjutkan pengoperasian sistem TI
atau menerapkan kontrol untuk menurunkan risiko ke tingkat yang dapat diterima
 Penghindaran Risiko. Untuk menghindari risiko dengan menghilangkan penyebab
dan/atau konsekuensi risiko (misalnya, mengabaikan fungsi tertentu dari sistem atau
mematikan sistem ketika risiko teridentifikasi)
 Batasan Risiko. Untuk membatasi risiko dengan menerapkan kontrol yang
meminimalkan dampak buruk dari ancaman yang menggunakan kerentanan (misalnya,
penggunaan kontrol pendukung, pencegahan, detektif)
 Perencanaan Risiko. Untuk mengelola risiko dengan mengembangkan rencana mitigasi
risiko yang memprioritaskan, menerapkan, dan memelihara kontrol
 Penelitian dan Pengakuan. Untuk menurunkan risiko kerugian dengan mengenali
kerentanan atau cacat dan meneliti kontrol untuk memperbaiki kerentanan
 Pemindahan Risiko. Untuk mengalihkan risiko dengan menggunakan opsi lain untuk
mengkompensasi kerugian, seperti membeli asuransi.

Kerangka kerja OCTAVE

OCTAVE ditargetkan pada risiko organisasi dan berfokus pada isu-isu strategis yang terkait
dengan praktik. Ini adalah evaluasi fleksibel yang dapat disesuaikan untuk sebagian besar
organisasi. OCTAVE paling cocok untuk penilaian risiko spesifik proses yang didasarkan pada
pengetahuan orang. Aspek organisasi, teknologi, dan analisis dari evaluasi risiko keamanan
informasi dilakukan dengan pendekatan tiga fase dengan delapan proses.

 Fase 1: Membangun profil ancaman berbasis aset (evaluasi organisasi)— Tim

analisis menentukan aset penting dan apa yang saat ini sedang dilakukan untuk
melindunginya. Persyaratan keamanan untuk setiap aset penting kemudian diidentifikasi.
Akhirnya, kerentanan organisasi dengan praktik yang ada dan profil ancaman untuk
setiap aset penting ditetapkan.
o Proses 1 – Identifikasi pengetahuan manajemen senior
o Proses 2 – Identifikasi pengetahuan manajemen area operasional
o Proses 3 – Identifikasi pengetahuan staf
o Proses 4 – Buat profil ancaman
 Fase 2: Identifikasi kerentanan infrastruktur (evaluasi teknologi) –

Tim analisis mengidentifikasi jalur akses jaringan dan kelas komponen TI yang terkait dengan
setiap aset penting. Tim kemudian menentukan sejauh mana setiap kelas komponen tahan
terhadap serangan jaringan dan menetapkan kerentanan teknologi yang mengekspos aset penting.
  Proses 5 – Identifikasi komponen utama
 Proses 6 – Evaluasi komponen yang dipilih

Mitigasi risiko

Fase 3: Mengembangkan strategi keamanan dan rencana mitigasi (pengembangan strategi

dan rencana)— Tim analisis menetapkan risiko terhadap aset penting organisasi berdasarkan
analisis informasi yang dikumpulkan dan memutuskan apa yang harus dilakukan terhadapnya.
Tim membuat strategi perlindungan untuk organisasi dan rencana mitigasi untuk mengatasi
risiko yang teridentifikasi. Tim juga menentukan 'langkah selanjutnya' yang diperlukan untuk
implementasi dan memperoleh persetujuan manajemen senior atas hasil keseluruhan proses.

 Proses 7 – Melakukan analisis risiko

 Proses 8 – Mengembangkan rencana mitigasi perlindungan

Perbedaan – Perspektif Organisasi

 Metodologi
o NISTterutama merupakan sistem manajemen dan memungkinkan eksekusi pihak
ketiga. NIST SP 800-30 paling cocok untuk penilaian risiko terkait Teknologi.
Panduan NIST mengeksplorasi isu-isu organisasional yang lebih taktis.
o OKTAFMetode diarahkan sendiri. Hanya sumber daya organisasi yang diizinkan
untuk mengimplementasikan proses. Evaluasi adalah proses aktual yang dikelola
dengan mengadakan lokakarya elisitasi, konsolidasi, dan analisis.
o ISO 27005mencakup Orang, Proses & Teknologi dan umumnya diarahkan ke
tingkat yang lebih tinggi, praktik manajemen.
 Tim Penilai
o NISTmenyebutkan peran dalam metodologi tetapi tidak membuat tim penilai
o OKTAFmerinci pembuatan tim analisis (penilaian) yang terdiri dari perwakilan
dari lini bisnis dan departemen TI organisasi
o ISO 27005menyebutkan bahwa orang yang tepat (baik orang teknis dan bisnis)
terlibat dalam penilaian risiko
 Pengumpulan Informasi/Komunikasi
o NISTmenggunakan teknik khas untuk pengumpulan informasi seperti kuesioner,
wawancara, dan tinjauan dokumen
o OKTAFmenggunakan pendekatan berbasis lokakarya untuk mengumpulkan
informasi dan membuat keputusan
o ISO 27005menggunakan teknik yang sama seperti yang digunakan dalam NIST
SP 800 – 30 dengan tambahan pengamatan proses yang disebutkan dalam
kebijakan organisasi.

Perbedaan – Perspektif Teknis

 Sumber daya manusia

o NISTtidak membahas sumber daya manusia sebagai aset organisasi yang
mungkin
 o OKTAFMetode berusaha untuk mengidentifikasi sumber daya manusia yang
mungkin menjadi aset "misi-kritis" sehubungan dengan masalah TI
o ISO 27005secara khusus mencakup keamanan sumber daya manusia yang
mencakup karyawan, kontraktor, dan pengguna pihak ketiga.
 Alat Perangkat Lunak
o NISTbergantung pada definisi peran untuk menentukan penggunaan untuk tujuan
pengujian
o OKTAFmenggunakan lokakarya untuk proses 5, yang peserta utamanya adalah
tim inti, untuk menggunakan perangkat lunak khusus untuk kerentanan yang
diidentifikasi sebelumnya.
o ISO 27005menggunakan alat audit sistem dan jaringan untuk pemeriksaan
kepatuhan teknis
 Dokumentasi
o NISTmengembangkan Daftar Periksa Persyaratan Keamanan untuk area
keamanan manajemen, operasional dan teknis.
o OKTAFbergantung pada pembuatan tiga katalog informasi: katalog praktik,
profil ancaman, dan katalog kerentanan. Katalog ini kemudian membuat garis
dasar untuk organisasi.
o ISO 27005dokumentasi mencakup semua klausul kontrol keamanan yang
didefinisikan dalam standar ISO 27002. Dan setiap klausa berisi sejumlah
kategori keamanan utama yang menjadi dasar organisasi mengidentifikasi klausul
yang berlaku.