CONDUCTING AN IT RISK ASSESSMENT PROCESS NIST SP 800-30 FRAME WORK

Terdapat Sembilan (9) langkah utama untuk melakukan penilaian risiko, yaitu : STEP I : System Characterization ( Karakterisasi System )

Langkah pertama dalam menilai risiko adalah untuk menentukan ruang lingkup usaha. Tahap ini dilakukan dengan melihat sudut pandang software, hardware,interface , data dan lain-lain. Sudut pandang inilah yang akan menjadi input proses, sehingga akan menghasilkan output yang berupa batasan system, fungsionalitas system, data dan tingkat sensitifitas, pengguna dan lain-lain. STEP II

: Threat Identification ( Identifikasi Ancaman )

Untuk langkah ini, potensi ancaman (potensi sumber ancaman yang akan mengakibatkan gangguan pada sistem) diidentifikasi dan didokumentasikan. Sumber ancaman adalah setiap keadaan atau peristiwa dengan potensi untuk menyebabkan kerusakan pada sistem IT (disengaja atau tidak disengaja). Sumber ancaman secara umum dapat dari alam, manusia, atau pertimbangan lingkungan. Input dari proses ini biasanya adalah laporan serangan yang pernah terjadi atau data dari berbagai pihak dan media. Sementara ouput-nya adalah Threat Statement, yaitu sekumpulan risiko yang mungkin terjadi dan sumber risiko yang dapat mengakibatkan kerentanan pada system.

STEP III

: Vulnerability Identification ( Identifikasi Kerentanan )

Pada tahap ini diidentifikasi berbagai kelemahan atau kekurangan dari system yang memungkinkan terjadinya ancaman terhadap system. Kerentanan dapat berkisar dari kebijakan yang tidak lengkap, atau bertentangan, yang mengatur penggunaan komputer organisasi untuk perlindungan memadai untuk melindungi fasilitas peralatan komputer ke sejumlah perangkat lunak, perangkat keras, atau kekurangan lain yang terdiri dari jaringan komputer organisasi. Input dari proses ini adalah laporan dari penilaian risiko terdahulu, serangan yang pernah terjadi, atau hasil dari pengecekan atau pengetesan system. Output-nya adalah list vulnerability atau kerentanan yang memungkinkan diserang oleh risiko.

 STEP IV

: Control Analysis ( Analisis Pengendalian )

Tujuan utama dari tahap ini untuk menganalisis control yang telah diterapkan atau yang akan diterapkan, untuk meminimalisasi kemungkinan terjadinya ancaman. Input dari tahap ini adalah kontrol yang telah diterapkan dalam masingmasing risiko/kerentanan, sementara output-nya adalah list dari control (kebijakan,
prosedur, pelatihan, mekanisme teknis, asuransi, dll) terhadap risiko yang tengah

dihadapi dan rencana control yang akan diterapkan terhadap risiko yang mungkin terjadi. STEP V

: Likelihood Determination ( Penentuan Kemungkinanan / Probability )

Tujuan dari langkah ini adalah untuk menentukan nilai kecenderungan yang menunjukkan kerentanan atas kelemahan dari system. Input dari tahap ini adalah sumber risiko dan motivasi penyebab sumber risiko, kerentan dan efektifitas dari kontrol yang diterapkan. Kecenderungan ini dibagi kedalam 3 jenis yaitu 0.1 (low), 0.5 (medium), dan 1.0 (high). Lihat table VII.1

STEP VI

: Impact Analysis ( Analisis Dampak )

Tahap ini dilakukan dengan menilai dampak yang terjadi terhadap serangan atau ancaman pada bagian system yang lemah. Input dari tahap ini adalah misi sistem serta tingkat sensitifitas data atau dengan kata lain bagaimana risiko akan berpengaruh pada system dan data yang dikelola. Hal ini mengancam integritas data, ketersediaan layanaan dan kehilangan kepercayaan. Output dari system ini adalah definisi dampak dari risiko (magnitude of impact definition). Dampak ini dikeompokkan dalam 3 tingkatan yaitu Low (10), Medium (50) dan High (100). Lihat Table VII.1

STEP VII : Risk Determination ( Penentuan Risiko )

Tahap ini dilakukan dengan mengalikan peringkat dari penentuan kemungkinan dan analisis dampak, tingkat risiko ditentukan. Tujuannya adalah untuk menilai tingkat risiko yang muncul dalam system IT.

Ini merupakan derajat atau tingkat risiko pada sistem TI, fasilitas, atau prosedur mungkin juga terkena jika kerentanan yang diberikan telah dieksekusi. Peringkat risiko juga menyajikan tindakan manajemen senior (pemilik misi) yang harus diambil untuk setiap tingkat risiko. Hasil ini dipertakan dalam matriks 3 x 3, 4 x 4, atau 5 x 5 tergantung kebutuhan system.

Tabel VII.1 Risk Determination STEP VIII : Control Recommendations ( Rekomendasi Kontrol )
Tujuan dari langkah ini adalah untuk mengidentifikasi kontrol yang dapat mengurangi atau menghilangkan risiko yang teridentifikasi, sesuai dengan operasi organisasi. Tujuan dari kontrol ini adalah untuk mengurangi tingkat risiko terhadap sistem dan data ke tingkat yang dapat diterima. Faktor-faktor yang perlu dipertimbangkan ketika mengembangkan kontrol mungkin termasuk efektivitas atas pilihan yang direkomendasikan (yaitu, kompatibilitas sistem) Input dari tahapan ini adalah output dari tahapan sebelumnya yaitu risiko dan tingkat risiko. Dan output-nya adalah daftar rekomendasi control.

STEP XI

: Results Documentation ( Dokumentasi Hasil )

Berupa laporan atau dokumentasi dari seluruh kegiatan yang ada, dimulai tahap karakteristik hingga rekomendasi control. Hasil dari penilaian risiko yang
didokumentasikan dalam laporan resmi atau briefing dan diberikan kepada manajemen senior (pemilik misi) untuk membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem perubahan operasional dan manajemen.