Pada masa sekarang, kebergantungan kepada sistem ICT di dalam organisasi MOA menyebabkan sebarang kegagalan sistem akan mengakibatkan masalah yang besar. Potensi kehilangan pelbagai maklumat boleh wujud dan itu juga membawa impak yang buruk kepada MOA. Oleh kerana itu, adalah amat penting untuk MOA memastikan semua sistem yang berkaitan dikawal dengan baik dan diselenggarakan dengan betul.
2. TUJUAN
Tujuan Dasar ini adalah untuk menggariskan kawalan keselamatan sistem untuk mengawal sistem komputer dan menghalang dari kemusnahan keselamatan.
Dasar ini tergunapakai oleh keseluruhan pengguna aset ICT di MOA. Tiada pengecualian diberikan kepada sesiapapun. Kakitangan MOA yang tetap, sementara dan berdasarkan kontrak adalah terikat dengan dasar ini. Dasar ini juga terikat kepada kakitangan yang bekerja secara jauh (remote). Dokumen ini juga perlu dibaca bersama-sama dengan direktif/pekeliling dari pihak berkuasa dari masa ke semasa.
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab untuk menyemak dan menyelenggarakan dasar ini.
- Prosedur
Prosedur bagi keselamatan sistem, fungsi pentadbiran dan sistem aplikasi mestilah dibuat secara formal, diimplemen dan mengikuti Dasar Keselamatan ICT MOA.
Prosedur mestilah disahkan dan dikemaskinikan untuk dimasukkan sebarang perubahan yang berlaku pada sistem yang sedia ada dan dasar.
- Capaian Logikal
Capaian mestilah diberi bila perlu sahaja, mengikut kehendak operasi dan keperluan keselamatan.
Penggunaan program utiliti (contoh: sudo, su) yang boleh melepasi kawalan aplikasi dan sistem hendaklah dikawal dan dihadkan.
Kumpulan pengguna yang dijanakan di dalam sesebuah sistem mestilah bersesuaian dengan tugas dan tanggungjawab kerja kakitangan tersebut.
- Pendaftaran Pengguna
Satu proses pendaftaran dan nyah-daftar mestilah digunakan untuk mencapai sesuatu sistem ICT di dalam MOA dan ia mestilah disahkan oleh pemunya sistem. Capaian kepada maklumat sulit di MOA hanyalah dibenar bila mendapatkan kebenaran dari pemunya maklumat tersebut.
Sebarang kontrak dengan pihak ketiga mestilah menyatakan hak capaian termasuklah tindakan yang akan diambil jika melanggar peraturan tersebut.
Setiap individu yang ingin mencapai sistem ICT MOA perlulah menggunakan User ID dan kata laluan yang diberikan.
BTM perlu memerika jika terdapat User ID yang bertindan pernah dikeluarkan atau sebaliknya. (contoh: kesilapan yang memberikan pengguna biasa diberikan keutamaan sebagai pentadbir sistem)
- Kajian Terhadap Capaian Pengguna
BTM mestilah mengkaji hak capaian yang ada untuk memastikan tiada siapa yang mendapat kepentingan capaian lebih dari sepatutnya. Hak capaian pengguna mestilah dikaji setiap 6 bulan sekali.
Hak capaian utama (Privileged) mestilah dikaji setiap 3 bulan untuk memastikan ia masih sama tanpa ada perubahan yang tidak dijangka berlaku.
Hak capaian mestilah dimusnah atau diubah bila seseorang itu meninggalkan MOA atau bertukar tugas.
- Pengurusan Kata Laluan
2 orang pengawai diperlukan untuk memegang/mengetahui kata laluan bagi super user. Jika kata laluan dijana oleh sistem komputer, ia mestilah diberikan secepat mungkin kepada penggunanya dan tidak disimpan di dalam teks biasa di dalam sistem tersebut.
Paparan dan cetakan mestilah di’kabur’kan (masked) supaya mana-mana individu yang melihat atau menjumpainya tidak dapat mengetahui akan kata laluan tersebut.
Kata laluan mestilah dienkrip bila disimpan dalam tempoh masa yang lama atau dihantar melalui rangkaian.
Sistem pengurusan kata laluan mestilah boleh memaksa pengguna untuk menukar kata laluan mereka setiap 90 hari.
Semua User ID yang tidak aktif mestilah dinyahaktifkan dari sistem untuk tempoh sekurang-kurangnya 60 hari.
- Perlindungan Daripada Perisian 'Jahat' (Protection Against Malicious Software)
Semua komputer yang berhubung dengan rangkaian MOA mestilah dipasangkan dengan perisian antivirus. Perisian antivirus dan fail antivirus pattern hendaklah dikemaskini sentiasa.
Hanya perisian yang sah dan berlesen sahaja boleh digunakan di dalam MOA.
Prosedur dan tanggungjawab dan latihan berkenaan serangan virus dan proses pemulihannya mestilah dibina dan didokumenkan.
BTM mestilah menyediakan kesedaran mengenai serangan virus dan prosedur mengawal virus kepada semua pengguna.
- Pemantauan
Tahap pemantauan yang diperlukan untuk setiap aset ICT ditentukan dari proses penilaian risiko. Elemen yang sesuai untuk dipantau adalah::
a. Capaian yang dibenarkan:
i. User ID;
ii. Tarikh dan masa;
iii. Jenis peristiwa (event);
iv. Fail yang dicapai; dan
v. Program yang digunakan.
b. Operasi yang mendapat keutamaan (privileged):
i. Kegunaan akaun privileged (contoh: supervisor, root, and administrator);
ii. Mula dan tamat sistem (system startup/stop); dan
iii. Alatan yang dipasang dan ditanggalkan (device attachment and removal).
c. Percubaan capaian yang tidak dibenarkan:
i. Percubaan capaian yang gagal;
ii. Perlanggaran dasar capaian; dan
iii. Amaran dari intrusion detection system.
d. Amaran dan kegagalan sistem:
i. Amaran dan mesej dari konsol;
ii. Amaran dari pengurusan rangkaian; dan
iii. Amaran dari sistem kawalan capaian.
e. Pengubahsuaian atau percubaan untuk mengubahsuai keselamatan sistem dan kawalannya.
MOA mestilah mengkaji laporan keputusan pemantauan aset ICT untuk menentukan samada ia masih mengikuti Dasar yang telah ditetapkan.
Penghasilan audit log bagi aktiviti pengguna dan peristiwa berkaitan keselamatan maklumat mestilah dihasilkan. BTM mestilah memantau dan menyelenggarakan log tersebut dari masa ke semasa.
Log yang mengandungi peristiwa keselamatan yang relevan mestilah disimpan untuk tempoh yang ditetapkan yang mana ia dipastikan selamat dan tidak berubah. Sila Rujuk Dasar Klasifikasi dan Pengendalian Maklumat.
Event log perlu mempunyai:
a. User ID semasa memasuki sistem;
b. Masa dan tarikh semasa masuk/keluar dari sistem;
c. Identiti di konsol (terminal);
d. Capaian sistem yang berjaya dan gagal;
e. Capaian data yang berjaya dan gagal;
f. Penggunaan mempunyai keutamaan (use of privileges);
g. Pengguna sistem utiliti dan aplikasi;
h. Fail yang dicapai dan cara pencapaiannya;
i. Alamat rangkaian dan protokol;
j. Amaran dari sistem kawalan capaian; dan/atau
k. Aktifan dan nyahaktifan sistem perlindungan (contoh: IDS)
- Kawalan Data dan Pangkalan Data
Prosedur dan kawalan pangkalan data mestilah diwujudkan. Tanggungjawab pentadbir pangkalan data mestilah diwujudkan.
Sebuah (data dictionary) mestilah didokumenkan, distandardkan dan dikawal nama yang digunakan di dalamnya.
Kelulusan mestilah diperolehi untuk menghubungkan (link) banyak pangkalan data.
Audit untuk pangkalan data mestilah dilakukan untuk memeriksa ketetapan logikal dan fizikal sesuatu pangkalan data itu.
Teknik pemeriksaan integriti pangkalan data seperti message (record) authentication coding mestilah digunakan.
- Kawalan Kriptografi
Hanya algoritma yang standard, terjamin seperti Triple DES, AES, Blowfish, RSA, RC5 dan IDEA yang boleh digunakan sebagai asas untuk teknologi enkripsi yang boleh digunakan.
Pengesahan rasmi mesti didapati sebelum menggunakan sebarang proses enkripsi. Ini untuk mengelakkan dari insiden yang mana kakitangan mungkin terlupa atau hilang kunci enkripsi yang digunakan.
Bila menggunakan proses enkripsi, kunci yang dijana mestilah dihasilkan secara sulit dan kunci tersebut mestilah sukar untuk diteka.
Semua kunci enkripsi mestilah ditanda jangka hayatnya dan mesti ditukar semasa atau sebelum ia tamat tempoh.
Kerahsian sebarang kunci enkripsi yang digunakan untuk kegunaan rahsia mestilah diselenggarakan sehingga maklumat yang dikawal itu tidak lagi diklasifikasi sebagai rahsia.
Pengguna mestilah menguji terlebih dahulu proses enkripsi yang digunakan boleh menjana versi teks yang boleh dibaca sebelum melupuskan sumber utama teks tersebut. Ini untuk menghalang dari
Kehilangan maklumat yang berharga jika ada masalah yang berlaku disebabkan perisian yang digunakan.
Cetak Laman Ini
