New Slide NIST 800-30 (REV)
New Slide NIST 800-30 (REV)
Kelompok 2:
20220803151 Angga Vb
20220803118 Imelda Inmas Jeujanan
20200803100 Vincent Laurensius
Tom Richard Simatupang
Agenda
Introduction Methodology
01 Purpose, Scope & Boundaries, Process,
Roles & Responsibilites
02 Risk Assessment’s Framework
Q&A
05 Questions & Discussions
01
Background
Sistem Informasi Healthcare PT XYZ adalah platform yang dioperasikan oleh perusahaan Third
Party Assistance. Fungsinya adalah untuk memproses klaim dari pemegang polis asuransi yang
berasal dari klien PT XYZ. Tantangan utama dalam sistem ini terkait dengan keamanan informasi,
yang jika tidak diperbaiki secara berkelanjutan, dapat berdampak buruk pada keberlanjutan
sistem. Hal ini terutama berpotensi merugikan penerima manfaat klaim polis. Penelitian untuk
mengatasi permasalahan tersebut menggunakan metode NIST 800-30. Hasil penelitian
menunjukkan bahwa PT XYZ memiliki 1 tingkat risiko tinggi, 5 tingkat risiko sedang, dan 52
tingkat risiko rendah, memberikan gambaran mengenai tingkat keamanan dan risiko dalam sistem
tersebut.
Scope & Boundaries
Scope:
• Lingkup evaluasi risiko ini mencakup seluruh proses pengembangan aplikasi yang mengikuti
metodologi Scrum.
• Melibatkan semua tahapan dari perencanaan awal dan pengembangan (Dapat dilihat pada Gambar
Proses)
Batasan: Aspek bisnis tertentu yang dianggap di luar kendali atau ruang lingkup tim pengembangan
Scrum.
Roles & Responsibilites
Roles Responsibilites
IT Manager Bertanggung jawab atas keberlanjutan, keamanan, dan kinerja sistem informasi.
Claim Analyst Reimbursement Menganalisis klaim reimbursement untuk memverifikasi keabsahan dan keakuratan
informasi.
Claim Analyst Menganalisis klaim asuransi kesehatan untuk menentukan kelayakan klaim.
Medical Advisor Menyediakan penilaian medis terkait klaim asuransi kesehatan dan memberikan
pandangan medis untuk membantu dalam proses penyelesaian klaim.
Risk Assessment
03
System Characterization
Jenis Asset Nama Asset Deskripsi Harga
(Dalam Rupiah)
Hardware Server Database x1 Lenovo Thinksystem SR650 2.000.000.000
Server Aplikasi x1 Lenovo Thinksystem SR650 2.000.000.000
Router x3 Fortinet SD-WAN 30.000.000
Software Application PHP 5
Application & Web Server Apache HTTP Server
Database x1 MySQL 5 22.000.000
Operating System Server x1 Windows Server 2016 Core 2 25.000.000
Framework Zend Framework
Server Licenses Red Hat Enterprise Linux 28.000.000
Data dan Informasi Data Claim
Data Member Polis
Data Karyawan
SDM / Karyawan Programmer, IT Manager, Admin
Reimbursement, Admin Cashless,
Claim Analyst, Reimbursement, Claim
Analyst, Medical Advisor
Infrastruktur Listrik 100kva 1.000.000.000
Ruangan Data Center/Server 70m2 2.500.000.000
Genset 1 800.000.000
Internet Service Provider Indosat, Telkom 200.000.000
Threat Identification
Jenis Asset Tindakan Ancaman Keterangan
Pencurian Hardware yang berisi data sensitif hilang atau dicuri, ini
dapat membahayakan keamanan data.
Serangan Fisik Serangan HW oleh pihak yang tidak sah untuk
mendapatkan akses tidak sah atau merusak integritas data.
Software SQL Injection Penyerang memasukkan perintah berbahaya ke dalam
perintah SQL, dapat merusak atau akses tidak sah pada
database.
Denial Of Services (DOS) Serangan yang membanjiri lalu lintas ke target untuk
membuat layanan tidak tersedia, mengganggu
ketersediaan layanan.
Data dan Informasi Data mengandung Virus Hilangnya Data Claim
Hilangnya Data Karyawan
Hilangnya Data Member Polis
Information Exposure Penggunaan data oleh orang yang tidak memiliki
kewenangan.
Vulnerability Identification
Jenis Asset Tindakan Ancaman Keterangan
Data dan Informasi Data mengandung virus kerusakan data atau akses tidak sah ke data
Q&A
Thank you