1.

NIST SP 800-30 Rev 1

NIST (National Institute of Standard and Technology) merupakan organisasi pemerintah di
Amerika Serikat dengan misi mengembangkan dan mempromosikan penilaian, standar dan
teknologi untuk meningkatkan fasilitas dan kualitas kehidupan. Kegiatan utama adalah meneliti
berbagai ilmu untuk mempromosikan dan meningkatkan infrastruktur teknologi. NIST
mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentangRisk Management Guide for
Information Technology System.
Tujuan publikasi NIST 800 – 30 adalah untuk memberikan panduan untuk melakukan
penilaian risiko dari sistem dan organisasi informasi federal. Penilaian risiko yang dilakukan pada
ketiga tingkatan dalam manajemen risiko merupakan bagian dari keseluruhan manajemen risiko
dan memberikan informasi yang diperlukan kepada para pimpinan, senior atau eksekutif untuk
menentukan tindakan yang tepat dalam menanggapi risiko yang telah terindentifikasi.
Secara khusus NIST 800 – 30 memberikan panduan untuk melaksanakan setiap langkah
dalam proses penilaian risiko (seperti mempersiapkan assesmen, melakukan assesmen,
membicarakan atau mendiskusikan hasil dari assesmen, dan mempertahankan hasil dari assesmen
yang telah didiskusikan) serta bagaimana penilaian risiko dan organisasi proses manajemen risiko
lainnya dapat saling melengkapi satu sama lainnya.
- Sumber Ancaman
Sumber ancaman dicirikan sebagai: (i) maksud dan metode yang ditargetkan pada eksploitasi
kerentanan; atau (ii) situasi dan metode yang mungkin secara tidak sengaja mengeksploitasi
kerentanan. Secara umum, jenis sumber ancaman meliputi: (i) serangan siber atau fisik yang
tidak bersahabat; (ii) kesalahan manusia karena kelalaian atau komisi; (iii) kegagalan
struktural sumber daya yang dikendalikan organisasi (misalnya, perangkat keras, perangkat
lunak, pengendalian lingkungan); dan (iv) bencana alam dan buatan manusia, kecelakaan, dan
kegagalan di luar kendali organisasi.
- Peristiwa Ancaman
Ancaman adalah setiap keadaan atau peristiwa yang berpotensi berdampak buruk pada
operasi dan aset organisasi, individu, organisasi lain, atau Negara melalui sistem informasi
melalui akses, penghancuran, pengungkapan, atau modifikasi informasi yang tidak sah,
dan/atau penolakan layanan. Peristiwa ancaman untuk serangan siber atau fisik dicirikan oleh
taktik, teknik, dan prosedur (TTPs) yang digunakan oleh musuh.
- Kerentanan
Kerentanan adalah kelemahan dalam sistem informasi, prosedur keamanan sistem,
pengendalian internal, atau implementasi yang dapat dimanfaatkan oleh sumber ancaman.
Sebagian besar sistem informasi kerentanan dapat dikaitkan dengan kontrol keamanan yang
belum diterapkan (baik sengaja atau tidak sengaja), atau telah diterapkan, tetapi
mempertahankan beberapa kelemahan.
- Kondisi Predisposisi
Kondisi predisposisi adalah kondisi yang ada dalam organisasi, misi atau proses bisnis,
arsitektur perusahaan, sistem informasi, atau lingkungan operasi, yang mempengaruhi (yaitu,
meningkatkan atau menurunkan) kemungkinan bahwa peristiwa ancaman, setelah dimulai,
mengakibatkan dampak yang merugikan terhadap operasi dan aset organisasi, individu,
organisasi lain, atau Bangsa.
 - Kemungkinan
Kemungkinan terjadinya adalah faktor risiko tertimbang berdasarkan analisis probabilitas
bahwa ancaman tertentu mampu mengeksploitasi kerentanan tertentu (atau serangkaian
kerentanan).
- Dampak
Tingkat dampak dari peristiwa ancaman adalah besarnya kerugian yang dapat diharapkan
sebagai akibat dari pengungkapan informasi yang tidak sah, modifikasi informasi yang tidak
sah, penghancuran informasi yang tidak sah, atau hilangnya informasi atau ketersediaan
sistem informasi.
- Risiko
Risiko merupakan suatu kejadian terhadap suatu hal yang tidak tercapai atau yang seharusnya
tidak dilakukan. Risiko pada umumnya dipandang sebagai sesuatu yang negatif, seperti
kehilangan, bahaya, dan konsekuensi lainnya. Risiko juga didefenisikan sebagai peluang
terjadinya sesuatu yang dapat memberikan dampak atau mengakibatkan terganggunya proses
bisnis sampai menyebabkan gagalnya tujuan bisnis Organisasi.
Penilaian risiko = Dampak (Impact) x Kemungkinan (Likehood)
2. ISO/IEC 27001:2013
ISO 27001 adalah suatu standar sistem manajemen keamanan informasi yang penerapannya
dimaksudkan untuk mengelola resiko terhadap keamanan informasi. Standar ini memberikan
kerangka kerja bagi organisasi untuk mengembangkan, menerapkan, memantau, dan terus
meningkatkan sistem manajemen keamanan informasi dan pemenuhan peraturan perundang-
undangan yang berlaku dan persyaratan lainnya.
Kenapa dimulai dari klausul 5? karena memang annex ini model dokumennya mengikuti pola
klausul di ISO. Bila di ISO klausl 1-3 adalah klausul yang tidak mempunyai persyaratan karena
hanya berisi panduan untuk informasi sedangkan di annex A ISO 27001:2013 ini diterapkan pada
annex A1 hingga A4 yang tidak mengandung pengendalian yang menjadi persyaratan.
Persyaratan pengendalian dimulai dari A5 Kebijakan Keamanan Informasi.
3. Keamanan Informasi
Menurut G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem berbasis
informasi, dimana informasinya sendiri tidak memiliki arti fisik. Aspek keamanan infromasi:
- Confidentiality (Kerahasiaan)
Aspek yang menjamin kerahasian data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasian data yang dikirim,
diterima dan disimpan.
- Integrity (Integritas)
Aspek yang menjamin bahwa data tidak diubah tanpa ada ijin pihak yang berwenang
(authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk
menjamin aspek integrity ini.
- 3) Availability (Ketersediaan)
Aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang
berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).