DASAR KESELAMATAN OPERASI
JADUAL PINDAAN DOKUMEN
TARIKH VERSI BUTIRAN PINDAAN
8 November 2013 1.3 SUB POLISI : DASAR KESELAMATAN OPERASI
i. Pindaan Perkara 7.3.9 (m/s:6): BPM
mestilah melaksanakan backup dengan
sekurang-kurangnya 3 salinan (copies) dan
3 pusingan untuk ....
kepada
BPM mestilah melaksanakan backup
dengan sekurang-kurangnya 2 salinan
(copies) untuk semua perisian,
dokumentasi dan maklumat yang penting.
Dasar Keselamatan Operasi ii. Pindaan Perkara 7.3.17 (m/s 6) : Prosedur
berkaitan backup dan restore mestilah
dikaji setiap tahun.
kepada
Prosedur berkaitan backup dan restore
mestilah dikaji sekiranya perlu.
iii. Tambahan Perkara 7.7.4 (m/s:9): Pihak ke
tiga yang ingin mengakses sistem-sistem di
MOA mestilah menandatangani OSA atau
Non-Disclosure Aggreement (NDA).
iv. Pindaan Perkara 7.8.2 (m/s:10): BPM
mestilah melaksanakan vulnerability scan
dalaman terhadap sistem yang
mengandungi maklumat sulit dan rahsia
setiap suku tahunan sekali.
kepada
ii
DASAR KESELAMATAN OPERASI
BPM mestilah melaksanakan vulnerability
scan dalaman terhadap sistem yang
mengandungi maklumat sulit dan rahsia
secara tahunan.
v. Pindaan Perkara 7.8.3 (m/s:10):
MOA mestilah melaksanakan vulnerability
scan luaran ke atas sistem yang boleh
dicapai dari internet setiap suku tahunan
sekali.
kepada
MOA mestilah melaksanakan vulnerability
scan luaran ke atas sistem yang boleh
dicapai dari internet secara tahunan.
Dasar Keselamatan Operasi
iii
DASAR KESELAMATAN OPERASI
KANDUNGAN
TAKRIF ..................................................................... V
1. PENGENALAN ......................................................... 1
2. TUJUAN ................................................................ 1
3. KUMPULAN SASAR .................................................. 1
4. PELANGGARAN DAN HUKUMAN ................................... 1
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN ............... 2
6. RUJUKAN .............................................................. 2
7. DASAR ................................................................. 3
7.1. P R O S E D U R ..................................................................................................................3
7.2. P E N G U R U S A N A S E T .............................................................................................3
7.3. K A W A L A N P E R U B A H A N O P E R A S I ................................................................4
7.4. B A C K U P & R E S T O R E ...........................................................................................6
7.5. P E N G U R U S A N K A P A S I T I ...................................................................................7
7.6. P E M B E K A L A N P E R A L A T A N D A N P E R I S I A N ...........................................7
7.7. P E N E R I M A A N S I S T E M .........................................................................................8
7.8. PENGURUSAN PERKHIDMATAN (SERVICE DELIVERY) OLEH
P I H A K K E T I G A .........................................................................................................9
7.9. P E N G U R U S A N V U L N E R A B I L I T Y ..................................................................10
7.10. P E M A N T A P A N ( H A R D E N I N G ) P E L A Y A N ................................................10
7.11. P E N G U R U S A N P A T C H ........................................................................................11
8. DOKUMEN BERKAITAN ............................................ 11
Dasar Keselamatan Operasi
iv
DASAR KESELAMATAN OPERASI
Aset ICT TAKRIF
Backup
Business Impact Analysis Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Change Management Salinan fail atau program yang dijanakan untuk memudahkan
proses pemulihan dijalankan.
Dasar
Emel Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Impak antara keduanya yang digunakan untuk menyediakan sistem
Integriti kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Kawalan
Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Hasil atau lanjutan dari sesuatu kejadian.
Keadaan di mana maklumat tersimpan mengikut cara yang
dibenarkan dan tiada perubahan dilakukan yang menjadikan
maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Dasar Keselamatan Operasi
v
DASAR KESELAMATAN OPERASI
Kerahsiaan Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
memasuki sistem atau prasarana.
Ketersediaan Keadaan di mana maklumat atau proses sentiasa boleh dicapai
dan digunakan oleh pihak yang dibenarkan.
Pengasingan Tugas Pengasingan tugas dan tanggungjawab supaya tiada individu
boleh mengsabotaj sistem kritikal yang dikendalikannya.
Pengguna ICT Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Pihak Ketiga Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Risiko Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Secure Areas Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Shred Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Virus Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Vulnerability Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Dasar Keselamatan Operasi
vi
DASAR KESELAMATAN OPERASI
1. PENGENALAN
Aktiviti operasi pengkomputeran membabitkan operasi dan penyelenggaraan komputer
dan alatan telekomunikasi yang memproses maklumat di sesebuah organisasi. Untuk
memastikan persekitaran operasi berjalan lancar di dalam keadaan yang selamat dan
terkawal, kawalan yang mencukupi perlu ada.
2. TUJUAN
Tujuan Dasar adalah untuk mendirikan keperluan keselamatan bagi persekitaran
operasi ICT di MOA. Objektifnya adalah untuk mengurangkan kebarangkalian kerosakan
yang disebabkan oleh capaian atau penyebaran maklumat yang dilarang.
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan pengguna di MOA yang menjalankan,
menguruskan atau menggunakan perkhidmatan ICT atau peralatan yang menyokong
kepada fungsi sistem yang kritikal.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
f. Dikenakan tindakan undang-undang.
Dasar Keselamatan Operasi
1
DASAR KESELAMATAN OPERASI
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information technology – Security techniques – Information security management
systems – Requirements (ISO/IEC 27001:2005)
b. Arahan Teknologi Maklumat 2007 – MAMPU
c. Garis Panduan IT Outsourcing
d. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
1 Senarai Tugas ICTSO
Dasar Keselamatan Operasi
2
DASAR KESELAMATAN OPERASI
7. DASAR
7.1. PROSEDUR
7.1.1. Kakitangan operasi mestilah dibekalkan dengan maklumat yang relevan untuk
mereka menjalankan tugas dengan betul. Mereka perlu dibataskan kepada
prosedur yang berkaitan dengan tanggungjawabnya sahaja.
7.1.2. Prosedur yang disediakan perlulah memberitahu secara tepat dan lengkap,
langkah-langkah yang perlu diikut seperti berikut:
a. Pemprosesan dan pengendalian maklumat;
b. Keperluan penjadualan termasuklah permulaan tugas dan masa
tugas berakhir;
c. Arahan untuk mengendalikan ralat dan keadaan yang timbul yang
mungkin ada pada masa tugas dilaksanakan;
d. Menghubungi bantuan jika ada sebarang kesukaran teknikal;
e. Melupuskan secara selamat sebarang tugas yang gagal;
f. Prosedur untuk system startup dan shutdown;
g. Prosedur untuk system restart dan recovery bila berlaku kegagalan
sistem; dan
h. Prosedur untuk backup dan restoration procedures dan
penyelenggaraan alatan.
7.2. PENGURUSAN ASET
7.2.1. Semua aset yang digunakan oleh setiap sistem ICT mestilah dipastikan dengan
jelas.
7.2.2. Inventori untuk semua aset yang penting mestilah ditubuhkan dan diselenggara.
7.2.3. Semua aset perlu mempunyai pemilik. Pemilik aset perlulah:
a. Memastikan maklumat dan aset yang berkaitan dengan aset ICT
diklasifikasi dengan cara yang betul; dan
Dasar Keselamatan Operasi
3
DASAR KESELAMATAN OPERASI
b. Memastikan dan menyemak secara berkala semua hak capaian
dan klasifikasi.
7.2.4. Semua aset perlu diklasifikasikan berdasarkan nilai dan kepentingannya kepada
MOA. Klasifikasi ini perlu mengambil kira tahap kawalan keselamatan dan
pengendaliannya. Rujukan kepada Dasar Klasifikasi dan Pengendalian
Maklumat untuk keterangan lanjut.
7.2.5. Aset mestilah dikategorikan seperti berikut:
a. Maklumat: pangkalan data dan file data, kontrak, dokumen sistem,
prosedur;
b. Perisian: perisian aplikasi, sistem, alatan pembangunan dan utiliti;
c. Fizikal: alatan komputer, komunikasi, media mudah alih;
d. Perkhidmatan: perkhidmatan komputer dan komunikasi, utiliti
umum (contoh: lampu, kuasa dan penghawa dingin);
e. Manusia : Kakitangan utama, pencapaian (kelulusan) Key
personnel, and their qualifications, skills, and experience; and
f. Tidak kelihatan (Intangibles): reputasi dan imej bagi MOA.
7.3. KAWALAN PERUBAHAN OPERASI
7.3.1. Perubahan ke atas sistem operasi perlulah dilakukan jika adanya sebab yang
sah sahaja.
7.3.2. Tanggungjawab pengurusan yang formal dan prosedur perlu disediakan untuk
memastikan kawalan yang bersesuaian untuk semua peralatan, perisian dan
prosedur.
7.3.3. Permintaan perubahan bertulis mestilah dibuat dan disahkan seawal mungkin.
7.3.4. Item berikut boleh digunakan dalam operasi ini:
a. Mengenal pasti dan merekodkan perubahan yang penting;
b. Membuat pelan dan ujian ke atas perubahan;
c. Penilaian ke atas potensi impak, termasuk impak keselamatan;
d. Prosedur pengesahan formal ke atas perubahan yang disyorkan;
Dasar Keselamatan Operasi 4
DASAR KESELAMATAN OPERASI
e. Perincian terhadap perubahan kepada semua kakitangan yang
relevan;
f. Prosedur fallback termasuk prosedur berkaitan dengan
tanggungjawab memutuskan dan memulihkan dari perubahan yang
gagal.
7.3.5. Log audit yang mengandungi semua maklumat yang relevan mestilah disimpan
bila perubahan dilakukan.
7.3.6. Dokumentasi kawalan perubahan mestilah dipelihara dengan menentukan:
a. Apa yang telah ditukar dan bagaimana;
b. Siapa yang melakukan perubahan;
c. Siapa yang memeriksa perubahan;
d. Siapa yang membenarkan perubahan; dan
e. Siapa yang memindahkan perubahan tersebut ke dalam
persekitaran operasi dan membenarkan semua versi yang
terdahulu dibina sekali lagi.
7.3.7 Kawalan keselamatan terhadap sistem operasi bagi menyediakan
persekitaran yang kukuh perlu dilaksanakan dengan membuat
sambungan PC ke Domain. Langkah ini perlu kerana dapat menjimatkan
penggunaan bandwidth semasa membuat online update.
Dasar Keselamatan Operasi
5
DASAR KESELAMATAN OPERASI
BACKUP & RESTORE
7.3.8 Prosedur berkaitan backup dan restore mestilah dihasilkan sebagai panduan
untuk melaksanakan proses itu dengan betul. Ini termasuklah yang berkaitan
dengan fail-fail kritikal, data, program aplikasi, dokumentasi, sistem utiliti dan fail
log (log file).
7.3.9 BPM mestilah melaksanakan backup dengan sekurang-kurangnya 2 salinan
(copies) untuk semua perisian, dokumentasi dan maklumat yang penting.
7.3.10 Media backup mestilah disimpan pada persekitaran yang selamat dan capaian
ke atasnya mestilah mengikuti spesifikasi standard dari pembekalnya.
7.3.11 Kawasan backup mestilah berada jauh dari kawasan utama untuk mengelakkan
kemusnahan yang berlaku kepada kawasan utama merebak dengan mudah ke
kawasan backup.
7.3.12 Penghantaran media ke kawasan backup mestilah dilakukan dengan cara yang
dikawal dan selamat dengan proses pengesahan dan rekod yang sempurna
sebagai bukti penghantaran.
7.3.13 Kekerapan dan skop untuk backup berdasarkan ke atas tahap kritikal sesuatu
sistem dan ia perlu dilakukan selepas sesuatu perubahan kritikal dan
pengubahsuaian.
7.3.14 Fail backup mestilah dilabelkan betul untuk mengelakkan overwrite yang tidak
disengajakan. Ia perlulah dilabel mengikut nama yang standard yang mempunyai
teks penggunaan, tarikh dan jangka simpanan.
7.3.15 Capaian ke atas fail backup dihadkan kepada individu yang dibenarkan sahaja.
7.3.16 Ujian yang berkala mesti dilakukan untuk memastikan kualiti dan kebolehgunaan
sumber yang dibackup itu. BPM bertanggungjawab untuk melakukan tugas ini.
7.3.17 Prosedur berkaitan backup dan restore mestilah dikaji sekiranya perlu.
Dasar Keselamatan Operasi
6
DASAR KESELAMATAN OPERASI
7.4 PENGURUSAN KAPASITI
7.4.8 Untuk memastikan fungsi rangkaian, aplikasi dan sebagainya berjalan pada
tahap optimum, BPM mestilah memantau kapasiti sistem yang ada dan
merancang kapasiti masa hadapan. Ini memastikan sumber yang mencukupi
dalam menjalankan sesuatu proses dan menghindarkan sistem dari overload.
7.4.9 Pemilik sistem mestilah memantau semua alatan sedia ada untuk perancangan
kapasiti masa hadapan.
7.5 PEMBEKALAN PERALATAN DAN PERISIAN
7.5.8 BPM mestilah dirujuk bila ada sebarang kemasukan sistem baru untuk proses
pembekalan peralatan sistem dan perisian berjalan dengan lancar.
7.5.9 Semua produk yang dibekalkan oleh pembekal, mestilah yang asli, tidak
melanggar sebarang hakcipta, rekaan, paten atau intellectual property right pihak
ketiga.
7.5.10 BPM mestilah mendapatkan dan memasang semua alatan, dan membenarkan
mereka yang berkaitan untuk menggunakannya sahaja.
7.5.11 Pembekalan perisian memerlukan pembelian lesen perisian yang sah untuk
digunakan.
7.5.12 Peralatan dan perisian mestilah dipasang bersesuaian dengan persekitaran
operasi ataupun pengguna. Sila rujuk Dasar Keselamatan Sistem untuk
penerangan lanjut.
Dasar Keselamatan Operasi
7
DASAR KESELAMATAN OPERASI
7.6 PENERIMAAN SISTEM
7.6.1 Proses penerimaan sistem mestilah ditetapkan untuk memastikan sistem atau
aplikasi baru tidak mengganggu sistem rangkaian, aplikasi dan sistem yang
berkaitan. Proses ini juga perlu meletakkan kriteria penerimaan sebelum sesuatu
sistem boleh diterima pakai.
7.6.2 Bagi pembangunan sistem utama yang baru, fungsi unit yang berkaitan
hendaklah dirujuk pada setiap tahap untuk memastikan proses pembangunan itu
dapat menawarkan proses yang efisien kepada pengguna. Sila rujuk Dasar
Keselamatan Pembinaan Sistem untuk keterangan lanjut.
7.6.3 Semua sistem mestilah diuji sebelum diterima pakai, termasuklah menjalankan
vulnerability assessment atau imbasan sebelum ia boleh dihubungkan ke
rangkaian MOA. Proses ini memastikan kawalan keselamatan wujud dan sistem
yang baru mengikuti fungsi dan rekaan yang dikehendaki.
7.6.4 Pemilik sistem hendaklah memastikan keperluan prestasi dan kapasiti memenuhi
keperluan dalam sistem yang baru itu sebelum ia boleh digunakan.
7.6.5 Sebelum penerimaan sistem baru, kawalan berikut bolehlah diguna pakai:
a. Manual & Prosedur tersedia ada;
b. Prosedur pemulihan kesalahan (error recovery) dan pelan
kontigensi;
c. Persediaan dan pengujian secara rutin untuk prosedur operasi
yang selari dengan standard yang ditetapkan;
d. Keserasian bagi sistem baru dengan sistem sedia ada;
e. Kewujudan set kawalan keselamatan yang dipersetujui;
f. Kemudahan menggunakannya, yang mana ia boleh memainkan
peranan dalam prestasi pengguna dalam menggunakan sistem itu;
dan
g. Melaksanakan Vulnerability Scan ke atas sistem untuk memastikan
tahap kemaskini (update) dan tiada perkhidmatan yang tidak
digunakan berjalan tanpa disedari.
7.6.6 Pengguna mestilah dilatih dengan secukupnya sebelum mengendalikan sistem
itu di persekitaran operasi.
Dasar Keselamatan Operasi
8
DASAR KESELAMATAN OPERASI
7.7 PENGURUSAN PERKHIDMATAN (SERVICE DELIVERY)
OLEH PIHAK KETIGA
7.7.1 Penghantaran perkhidmatan oleh pihak ketiga mestilah termasuk di dalam
kontrak perkhidmatan.
7.7.2 DI dalam perlaksanaan proses outsourcing, perubahan sebarang sistem mestilah
dirancang dengan teliti. Keselamatan mestilah dipastikan pada keseluruhan
masa perubahan tersebut.
7.7.3 Pihak ketiga mestilah memastikan tahap perkhidmatan yang dilaksanakan itu
berdasarkan pelan yang disediakan, untuk memastikan tahap perkhidmatan
yang dijanjikan pada ketika bencana boleh dilaksanakan seperti biasa.
7.7.4 Pihak ke tiga yang ingin mengakses sistem-sistem di MOA mestilah
menandatangani OSA atau NDA.
7.7.5 Perkhidmatan pihak ketiga mestilah dipantau dan dikaji secara berkala untuk
memastikan syarat-syarat keselamatan maklumat diikuti, dan sebarang insiden
keselamatan dikendalikan secara betul. Ia juga termasuklah:
a. Memantau tahap prestasi perkhidmatan yang berdasarkan kontrak;
b. Mengkaji laporan perkhidmatan oleh pihak ketiga dan
melaksanakan mesyuarat yang berkala seperti dipersetujui di
dalam kontrak; dan
c. Mengkaji audit log, peristiwa keselamatan, masalah operasi
gangguan yang berkaitan dengan perkhidmatan.
7.7.6 Sokongan dan penyelenggaraan mestilah didapati terus dari pembekal
perkhidmatan.
Dasar Keselamatan Operasi
9
DASAR KESELAMATAN OPERASI
7.8 PENGURUSAN VULNERABILITY
7.8.1 Pengurusan vulnerability yang efektif boleh mengurangkan risiko terhadap
persekitaran kerja MOA dengan memeriksa sistem dan alatan rangkaian
menggunakan sistem yang terkini.
7.8.2 BPM mestilah melaksanakan vulnerability scan dalaman terhadap sistem yang
mengandungi maklumat sulit dan rahsia secara tahunan.
7.8.3 MOA mestilah melaksanakan vulnerability scan luaran ke atas sistem yang boleh
dicapai dari internet secara tahunan.
7.8.4 Bila potensi vulnerability telah dijumpai, BPM mestilah memastikan risiko yang
berhubungan dengannya dan tindakan yang boleh dilakukan; seperti
mengemaskinikan sistem dengan maklumat yang terkini.
7.8.5 Jika tiada maklumat terkini (patch) boleh digunakan, kawalan lain boleh
digunakan seperti:
a. Menghentikan perkhidmatan yang mempunyai kaitan dengan
vulnerability tersebut;
b. Menggunakan atau menambah kawalan capaian seperti firewall;
c. Meningkatkan aktiviti pemantauan untuk mengesan atau
menghalang serangan awalan; dan
d. Meningkatkan kesedaran mengenai vulnerability yang wujud.
7.8.6 Berdasarkan kepentingan sesuatu vulnerability yang dijumpai, tindakan yang
diambil hendaklah mengikut kepada kawalan yang berkaitan dengan pengurusan
perubahan (change management) sedia ada.
7.9 PENGUKUHAN(HARDENING) PELAYAN
7.9.1 Pelayan dilarang untuk disambungkan kepada rangkaian MOA hinggalah
disahkan ianya selamat.
7.9.2 Prosedur perlu diwujudkan bagi menunjukkan cara-cara untuk mengukuhkan
pelayan dengan betul.
Dasar Keselamatan Operasi
10
DASAR KESELAMATAN OPERASI
7.10 PENGURUSAN PATCH
7.10.1 BPM mestilah memantau isu-isu keselamatan dalaman dan luaran dan
mengendalikan pelepasan patch keselamatan pada semua pengguna.
7.10.2 Risiko yang berkaitan bila memasang sesuatu patch hendaklah dinilaikan
terlebih dahulu.
7.10.3 Patch mestilah diuji dan dinilaikan secukupnya sebelum ia dipasang pada sistem
sedia ada untuk memastikan ia tidak menganggu sebarang proses yang sedia
ada di dalam sistem tersebut.
7.10.4 Patch keselamatan mestilah dipasang pada masa yang ditetapkan sahaja.
8 DOKUMEN BERKAITAN
a. Dasar Klasifikasi dan Pengendalian Maklumat
b. Dasar Keselamatan Sistem
c. Dasar Keselamatan Pembinaan Sistem
Dasar Keselamatan Operasi
11
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Dasar Keselamatan Pembinaan Sistem
Versi: 1.3
DASAR KESELAMATAN PEMBINAAN SISTEM
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 21 April 2010
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 20 Januari 2012 **
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014 18 Feb 2013 **
** Nota: Tiada Pindaa Khusus
Dasar Keselamatan Pembinaan Sistem
i
DASAR KESELAMATAN PEMBINAAN SISTEM
JADUAL PINDAAN DOKUMEN
8 November 2013 1.2 SUB POLISI : DASAR KESELAMATAN
PEMBINAAN SISTEM
i. Pindaan Perkara 7.1.1 (m/s:3):
Projek komiti yang formal hendaklah
diwujudkan untuk memantau proses
pembinaan aplikasi bersama-sama terma
dan syarat yang jelas.
kepada
Urus tadbir projek yang formal hendaklah
diwujudkan untuk memantau proses
pembinaan aplikasi bersama-sama terma
dan syarat yang jelas.
ii. Pindaan Perkara 7.1.3 (m/s:3):
Kajian awal mestilah didokumentasikan
dan dihantar kepada komiti project
steering. Dokumen ini perlu dikaji dan
ditandatangani oleh pihak yang terbabit.
kepada
Kajian awal mestilah didokumentasikan
dan dihantar kepada Jawatankuasa
Pemandu Projek. Dokumen ini perlu dikaji
dan ditandatangani oleh pihak yang
terbabit.
Dasar Keselamatan Pembinaan Sistem iii. Pindaan Perkara 7.1.5 (m/s:3):
Laporan yang berkala pada komiti project
steering perlu dilakukan untuk mengukur
keberkesanan projek tersebut.
kepada
Laporan yang berkala pada Jawatankuasa
ii
DASAR KESELAMATAN PEMBINAAN SISTEM
Pemandu Projek perlu dilakukan untuk
mengukur keberkesanan projek tersebut.
iv. Pindaan Perkara 7.5.5 (m/s:5):
Keputusan ujian mestilah dikaji oleh
project committee yang bersesuaian.
kepada
Keputusan ujian mestilah dikaji oleh
jawatankuasa projek yang bersesuaian.
v. Pindaan Perkara 7.9.5 (m/s:7):
Pemilik aplikasi bertanggungjawab untuk
memastikan hanya programmer sahaja
yang diberi capaian kepada aplikasi yang
ada.
kepada
Pemilik aplikasi bertanggungjawab untuk
memastikan hanya pegawai yang
bertanggungjawab sahaja yang diberi
capaian kepada aplikasi yang ada.
Dasar Keselamatan Pembinaan Sistem
iii
DASAR KESELAMATAN PEMBINAAN SISTEM
KANDUNGAN
T A K R I F .................................................................................................................................................. V
1 . P E N G E N A L A N .........................................................................................................................1
2 . T U J U A N ........................................................................................................................................1
3 . K U M P U L A N S A S A R ...........................................................................................................1
4 . P E L A N G G A R A N D A N P E L E P A S A N .....................................................................1
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N .................................2
6 . R U J U K A N ....................................................................................................................................2
7 . D A S A R ...........................................................................................................................................3
7.1. P E N G U R U S A N P R O J E K .......................................................................................3
7.2. P E M B I N A A N P E R I S I A N S E C A R A O U T S O U R C E ....................................3
7.3. S T A N D A R D D A N P R O S E D U R ...........................................................................4
7.4. PENGUBAHAN (CONVERSION) DAN PENYELENGGARAAN
K O D S U M B E R ............................................................................................................5
7.5. U J I A N .............................................................................................................................5
7.6. P E N G G U N A A N D A T A O P E R A S I ......................................................................6
7.7. P E N G A S I N G A N P E R S E K I T A R A N ....................................................................6
7.8. K A W A L A N C A P A I A N K E P A D A K O D S U M B E R ........................................6
7.9. PENGURUSAN PERUBAHAN PERISIAN (SOFTWARE
C H A N G E M A N A G E M E N T ) ...................................................................................7
7.10. SEMAKAN SELEPAS IMPLEMENTASI (POST
I M P L E M E N T A T I O N R E V I E W ) ...........................................................................8
8 . D O K U M E N B E R K A I T A N .................................................................................................8
Dasar Keselamatan Pembinaan Sistem
iv
DASAR KESELAMATAN PEMBINAAN SISTEM
TAKRIF
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup Salinan fail atau program yang dijanakan untuk memudahkan
Business Impact proses pemulihan dijalankan.
Analysis
Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Change Management antara keduanya yang digunakan untuk menyediakan sistem
kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Dasar
Emel Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Impak Hasil atau lanjutan dari sesuatu kejadian.
Integriti Keadaan di mana maklumat tersimpan mengikut cara yang
Kawalan dibenarkan dan tiada perubahan dilakukan yang menjadikan
maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Dasar Keselamatan Pembinaan Sistem
v
DASAR KESELAMATAN PEMBINAAN SISTEM
Kerahsiaan Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
memasuki sistem atau prasarana.
Ketersediaan Keadaan di mana maklumat atau proses sentiasa boleh dicapai
dan digunakan oleh pihak yang dibenarkan.
Pengasingan Tugas Pengasingan tugas dan tanggungjawab supaya tiada individu
boleh mengsabotaj sistem kritikal yang dikendalikannya.
Pengguna ICT Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Pihak Ketiga Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Risiko Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Secure Areas Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Shred Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Virus Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Vulnerability Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Dasar Keselamatan Pembinaan Sistem
vi
DASAR KESELAMATAN PEMBINAAN SISTEM
1. PENGENALAN
Keselamatan adalah lebih efektik jika dipelan dan diselenggarakan pada keseluruhan
kitar hayat sesuatu sistem dan aplikasi. Banyak risiko keselamatan muncul semasa
jangka hayat sesuatu produk. Insiden berlaku bila berlaku eksploitasi pada rekabentuk
dan kod untuk sesebuah perisian. Oleh kerana itu, idea mengenai keselamatan mestilah
diterapkan pada fasa rekabentuk, pengkodan, implementasi dan operasi untuk
mengurangkan risiko eksploitasi keselamatan dari berlaku.
2. TUJUAN
Tujuan Dasar ini adalah untuk menggariskan keperluan di dalam membina dan
mengimplemen sistem yang baru di dalam MOA untuk memastikan aktiviti pembinaan
sistem dikawal dengan betul dan integriti data dan sistem terpelihara.
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan kakitangan MOA yang ditugaskan untuk
membina atau menyelenggara sesuatu sistem. Ia juga tergunapakai untuk pihak ketiga
yang mempunyai hubung kait dengan MOA.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
f. Dikenakan tindakan undang-undang.
Dasar Keselamatan Pembinaan Sistem
1
DASAR KESELAMATAN PEMBINAAN SISTEM
5. SEMAKAN DAN PENYELENGGARAAN
DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information technology – Security techniques – Information Security Management
Systems – Requirements (ISO/IEC 27001:2005)
b. Arahan Teknologi Maklumat 2007 – MAMPU
c. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
d. Garis Panduan IT Outsourcing Agensi-Agensi Sektor Awam
1 Senarai Tugas ICTSO
Dasar Keselamatan Pembinaan Sistem
2
DASAR KESELAMATAN PEMBINAAN SISTEM
7. DASAR
7.1. PENGURUSAN PROJEK
7.1.1. Urus tadbir projek yang formal hendaklah diwujudkan untuk memantau proses
pembinaan aplikasi bersama-sama terma dan syarat yang jelas.
7.1.2. Kajian awalan mestilah dilakukan untuk memastikan imbangan pembinaan
aplikasi baru itu memberi impak dan manfaat yang akan didapati oleh
penggunanya. Dan kajian itu boleh juga menentukan samada tugas ini boleh
dijalankan oleh pihak dalam atau memerlukan pihak luaran untuk membinanya.
7.1.3. Kajian awal mestilah didokumentasikan dan dihantar kepada Jawatankuasa
Pemandu Projek . Dokumen ini perlu dikaji dan ditandatangani oleh pihak yang
terbabit.
7.1.4. Pembinaan secara outsource mestilah diberikan layanan yang sama seperti
pembinaan yang dibuat secara dalaman (inhouse). Kedua-duanya perlu
mengikuti keperluan keselamatan rangkaian yang ditetapkan.
7.1.5. Laporan yang berkala pada Jawatankuasa Pemandu Projek perlu dilakukan
untuk mengukur keberkesanan projek tersebut.
7.2. PEMBINAAN PERISIAN SECARA OUTSOURCE
7.2.1. Pembinaan perisian secara outsourced mestilah dipantau dan diselenggarakan.
7.2.2. Kawalan berikut mestilah diikuti:
a. Urusan pelesenan, hak ke atas kod sumber dan intellectual
property right;
b. Pengesahan kualiti dan ketepatan kerja yang dilakukan;
c. Hak untuk mengaudit bagi kualiti dan ketepatan kerja yang
dilakukan;
d. Keperluan kontrak bagi kualiti dan fungsi keselamatan bagi kod
sumber; dan
e. Ujian sebelum proses pemasangan untuk memastikan ia bebas
dari virus.
Dasar Keselamatan Pembinaan Sistem
3
DASAR KESELAMATAN PEMBINAAN SISTEM
7.2.3. Perisian yang dibekalkan oleh pembekal hendaklah datang dengan pakej
sokongan oleh pihak pembekal.
7.2.4. Capaian fizikal dan logikal hanya boleh diberikan kepada pembekal pada masa
yang perlu sahaja dan dibenarkan oleh pihak pengurusan. Aktiviti pembekal akan
dipantau.
7.3. STANDARD DAN PROSEDUR
7.3.1. Semua standard dan prosedur bagi pembinaan sistem dan dokumentasi untuk
manual pengguna mestilah diwujudkan dan diselenggara untuk memastikan ia
digunakan dengan betul.
7.3.2. Standard dan Prosedur perlu mencakupi yang berikut pada tahap minima:
a. Rekaan sistem;
b. Analisa perisian dan pilihan;
c. Pemprograman;
d. Ujian;
e. Implementasi; dan
f. Pengubahsuaian.
7.3.3. Semua dokumentasi mestilah dikawal untuk menghalang capaian yang dilarang.
Capaian ke atas dokumen mestilah dihadkan kepada mereka yang dibenarkan
sahaja.
7.3.4. Jika aplikasi dibangunkan oleh pembekal, perkara yang berikut mestilah
disediakan untuk MOA:
a. Latihan dan manual; dan
b. Dokumentasi yang lengkap dan terkini.
Dasar Keselamatan Pembinaan Sistem
4
DASAR KESELAMATAN PEMBINAAN SISTEM
7.4. PENGUBAHAN (CONVERSION) DAN
PENYELENGGARAAN KOD SUMBER
7.4.1. Kawalan yang mencukupi perlu ada semasa pengubahan dari kod sumber ke
kod objek. Ini untuk memastikan hasil yang tepat dan menyeluruh, dan dalam
masa yang sama untuk mengawal risiko dari pengubahsuaian tidak dibenarkan.
7.4.2. Hanya kakitangan yang dibenarkan sahaja boleh melakukan pengubahan ini.
7.5. UJIAN
7.5.1. Ujian yang mencukupi mestilah dilakukan untuk memastikan proses instalasi
berlaku seperti yang dirancangkan.
7.5.2. Ujian mestilah dilaksanakan menggunakan pelan ujian yang didokumenkan yang
mencakupi semua jenis senario yang mungkin akan berlaku semasa ia
digunakan di dalam persekitaran operasi nanti.
7.5.3. User Acceptance Testing (UAT) mestilah dilakukan pada tempat yang sesuai.
7.5.4. Pengguna perlu memastikan senario ujian yang diberikan itu adalah mencukupi
dan diuji sehabis mungkin.
7.5.5. Keputusan ujian mestilah dikaji oleh jawatankuasa projek yang bersesuaian.
7.5.6. Setelah sistem diuji dengan jayanya, pengesahan dari pihak pemunya aplikasi
tersebut diperlukan sebelum ia boleh dimasukkan ke dalam persekitaran operasi.
Dasar Keselamatan Pembinaan Sistem
5
DASAR KESELAMATAN PEMBINAAN SISTEM
7.6. PENGGUNAAN DATA OPERASI
7.6.1. Jika data operasi digunakan semasa pembinaan dan pengujian aplikasi, ia
perlulah mendapat pengesahan dari pemilik data tersebut.
7.6.2. Data operasi yang sensitif dilarang dari digunakan untuk menguji sebarang
aplikasi.
7.6.3. Jika data operasi yang sensitif ingin digunakan, ia perlulah diubah untuk menjaga
kerahsiaan maklumat yang ada di dalam data tersebut.
7.6.4. Bila proses pembinaan selesai, data operasi itu perlulah dimusnahkan untuk
mengurangkan risiko keselamatan.
7.6.5. Proses salinan dan penggunaan data operasi mestilah direkodkan.
7.7. PENGASINGAN PERSEKITARAN
7.7.1. Persekitaran yang pelbagai (pembinaan, pengujian, operasi) mestilah
diasingkan. Ini untuk memastikan keselamatan dikawal sebaik mungkin.
7.8. KAWALAN CAPAIAN KEPADA KOD SUMBER
7.8.1. Capaian kepada kod sumber program dan yang berkaitan dengannya
(rekabentuk, spesifikasi, pelan ujian) mestilah dikawal sebaik mungkin untuk
menghalang ia dari jatuh kepada pihak yang tidak bertanggungjawab.
7.8.2. Pustaka program sumber (program source libraries) mestilah diasingkan dari
sistem yang beroperasi.
7.8.3. Kakitangan sokongan perlulah dihadkan capaian mereka kepada program
source libraries.
7.8.4. Pembina (developer) mestilah dilarang dari mencapai kod yang ada pada sistem
yang beroperasi.
7.8.5. Proses kemaskini untuk program source libraries dan perkara yang berkaitan,
dan penghantaran sumber program mestilah dilakukan oleh kakitangan yang
dibenarkan sahaja.
Dasar Keselamatan Pembinaan Sistem
6
DASAR KESELAMATAN PEMBINAAN SISTEM
7.9. PENGURUSAN PERUBAHAN PERISIAN (SOFTWARE
CHANGE MANAGEMENT)
7.9.1. Proses pembinaan perisian di MOA mesti menggunakan prosedur pengubahan
yang formal untuk setiap jenis perisian yang ada. Proses ini perlulah selari
dengan prosedur perubahan kawalan operasi. Ini untuk memastikan
keselamatan, kesediaan dan integriti perisian sistem, sistem dan maklumat tidak
terjejas dengan perubahan yang dilakukan kepada perisian sedia ada.
7.9.2. Semua perisian memerlukan pengesahan rasmi dari pemilik perisian bagi
sebarang perubahan yang dibuat.
7.9.3. Semua perubahan mestilah direkod.
7.9.4. Strategi Rollback mestilah wujud sebelum sebarang perubahan dilakukan.
7.9.5. Pemilik aplikasi bertanggungjawab untuk memastikan hanya pegawai yang
bertanggungjawab sahaja yang diberi capaian kepada aplikasi yang ada.
7.9.6. Pemilik aplikasi mestilah melihat keseluruhan proses perubahan, termasuklah:
a. Memastikan gangguan operasi pada tahap minima;
b. Dokumentasi dikemaskini dan yang lama disimpan;
c. Kawalan versi (version control) diselenggarakan;
d. Menyelenggarakan audit log untuk sebarang permintaan
perubahan;
e. Mengemaskini semua prosedur pengguna; dan
f. Memastikan pengguna mengesahkan semua perubahan sebelum
ia diimplemenkan.
7.9.7. Pemilik aplikasi hendak melihat keseluruhan proses perubahan bila ia telah
dilakukan, termasuklah:
a. Memastikan ujian dilakukan secara selamat (di dalam persekitaran
yang diasingkan antara satu sama lain); dan
b. Memastikan implementasi tidak mengganggu proses operasi.
Dasar Keselamatan Pembinaan Sistem
7
DASAR KESELAMATAN PEMBINAAN SISTEM
7.10. SEMAKAN SELEPAS IMPLEMENTASI (POST
IMPLEMENTATION REVIEW)
7.10.1. Selepas aplikasi mula digunakan di dalam persekitaran operasi, semakan perlu
dilakukan untuk mengetahui tahap prestasi aplikasi tersebut.
7.10.2. Jika ada sebarang objektif tidak dicapai seperti yang telah ditetapkan , ia perlulah
dilaporkan kepada jawatankuasa pemandu projek.
8. DOKUMEN BERKAITAN
a. Dasar Keselamatan Operasi
b. Dasar Keselamatan Rangkaian
Dasar Keselamatan Pembinaan Sistem
8
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Polisi Keselamatan Rangkaian
Versi: 1.3
POLISI KESELAMATAN
RANGKAIAN
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 21 April 2010
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 20 Januari 2012 **
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014 18 Feb 2013 **
** Nota: Tiada Pindaan Khusus
Polisi Keselamatan Rangkaian
i
POLISI KESELAMATAN
RANGKAIAN
JADUAL PINDAAN DOKUMEN
TARIKH VERSI BUTIRAN PINDAAN
8 November 2013 1.3 SUB POLISI : POLISI KESELAMATAN
RANGKAIAN
Polisi Keselamatan Rangkaian
i. Pindaan Perkara 7.10.5 (m/s:10):
Pihak ketiga yang ingin capaian rangkaian
di MOA mestilah menandatangani Official
Secret Act (OSA).
kepada
Pihak ketiga yang ingin capaian rangkaian
dalaman di MOA mestilah
menandatangani Official Secret Act (OSA) /
Non-Disclosure Agreement(NDA).
ii. Pindaan Perkara 7.12.3 (a) (m/s:11):
a. Mereka sistem WLAN di mana semua
capaian terhadap AP mestilah melalui
proses tapisan keselamatan dan
konfigurasi;
kepada
Memastikan semua capaian terhadap
AP mestilah dikonfigurasi mengikut
protokol keselamatan WPA, WPA2,
WPA2-Personal atau WPA2-Enterprise;
iii. Perkara 7.12.4 (m/s:11): Digugurkan.
Semua wireless AP mestilah disahkan dan
didaftar dengan BPM sebelum ia boleh
dihubungkan pada rangkaian MOA.
ii
POLISI KESELAMATAN
RANGKAIAN
iv. Perkara 7.12.5 (c) (m/s:11): Digugurkan.
c. Mengaktifkan MAC Address Filtering.
Hanya hubungan dari MAC address yang
dikenali yang boleh diterima oleh AP;
Polisi Keselamatan Rangkaian
iii
POLISI KESELAMATAN
RANGKAIAN
KANDUNGAN
D E F I N I S I .............................................................................................................................................. V
1 . P E N G E N A L A N .........................................................................................................................1
2 . T U J U A N ........................................................................................................................................1
3 . K U M P U L A N S A S A R ...........................................................................................................1
4 . P E L A N G G A R A N D A N H U K U M A N ...........................................................................1
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N .................................2
6 . R U J U K A N ....................................................................................................................................2
7 . P O L I S I ...........................................................................................................................................3
7.1. I N F R A S T R U K T U R R A N G K A I A N ........................................................................3
7.2. P E N G A S I N G A N R A N G K A I A N ............................................................................4
7.3. O P E R A S I R A N G K A I A N .........................................................................................5
7.4. A L A T A N R A N G K A I A N ............................................................................................6
7.5. S I S T E M P I H A K K E T I G A P A D A R A N G K A I A N M O A ............................6
7.6. P E N G U R U S A N K O N F I G U R A S I R A N G K A I A N ............................................7
7.7. REMOTE DIAGNOSTIC DAN PERLINDUNGAN PORT
K O N F I G U R A S I ...........................................................................................................7
7.8. P E R U B A H A N K E A T A S R A N G K A I A N M O A ...............................................8
7.9. P E M A N T A U A N R A N G K A I A N ..............................................................................8
7.10. K A W A L A N C A P A I A N R A N G K A I A N ...............................................................10
7.11. V I R T U A L P R I V A T E N E T W O R K ( V P N ) ......................................................10
7.12. H U B U N G A N W I R E L E S S .....................................................................................11
8 . D O K U M E N B E R K A I T A N ...............................................................................................12
Polisi Keselamatan Rangkaian
iv
POLISI KESELAMATAN
RANGKAIAN
DEFINISI
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup Salinan fail atau program yang dijanakan untuk memudahkan
proses pemulihan dijalankan.
Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Business Impact Analysis antara keduanya yang digunakan untuk menyediakan sistem
kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Change Management Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Dasar Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Emel Mesej yang dihantar secara elektronik.
Impak Hasil atau lanjutan dari sesuatu kejadian.
Integriti Keadaan di mana maklumat tersimpan mengikut cara yang
Kawalan dibenarkan dan tiada perubahan dilakukan yang menjadikan
maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Polisi Keselamatan Rangkaian
v
POLISI KESELAMATAN
RANGKAIAN
Kerahsiaan Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
memasuki sistem atau prasarana.
Ketersediaan Keadaan di mana maklumat atau proses sentiasa boleh dicapai
dan digunakan oleh pihak yang dibenarkan.
Pengasingan Tugas Pengasingan tugas dan tanggungjawab supaya tiada individu
boleh mengsabotaj sistem kritikal yang dikendalikannya.
Pengguna ICT Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Pihak Ketiga Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Risiko Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Secure Areas Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Shred Cara-cara untuk ‘membersihkan’ media, dengan cara merincih atau
menghancurkannya kepada bahagian yang kecil.
Virus Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Vulnerability Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Polisi Keselamatan Rangkaian
vi
POLISI KESELAMATAN
RANGKAIAN
Polisi Keselamatan Rangkaian
vii
POLISI KESELAMATAN
RANGKAIAN
1. PENGENALAN
Infrastruktur rangkaian MOA disediakan sebahagian utiliti penting untuk pengguna ICT.
Polisi ini memberitahu mengengai polisi MOA yang membenarkan capaian dan
memastikan keselamatan rangkaian MOA. Ia menentukan tanggungjawab BPM di
dalam menguruskan rangkaian dan tanggungjawab pengguna ke atasnya. Ia juga
memberitahu hak kawalan BPM dalam proses pengecaman, pembasmian dan
pembersihan ke atas segala risiko keselamatan yang boleh mengancam aktiviti MOA
dan penggunanya.
2. TUJUAN
BPM bertanggungjawab ke atas pemilikan, pembangunan, instalasi, operasi dan
pemeliharaan rangkaian komunikasi data bagi pihak MOA. Dengan tanggungjawab ini,
ia membenarkan pihak MOA untuk mengambil tindakan sewajarnya untuk meminimakan
segala potensi risiko yang mungkin akan berlaku ke atas MOA. Dalam konteks ini,
tujuan polisi adalah untuk memberitahu secara jelas tanggungjawab dan hak kuasa
BPM terhadap infrastruktur rangkaian MOA dan juga pada alatan yang berhubung
kepada infrastruktur tersebut.
3. KUMPULAN SASAR
Polisi ini tergunapakai oleh pentadbir sistem dan rangkaian yang bertanggungjawab
dalam mereka, melaksana dan menyokong rangkaian MOA. Ia juga dipakai oleh pihak
ketiga yang berhubung dengan rangkaian MOA.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran polisi perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran polisi secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
Polisi Keselamatan Rangkaian
1
POLISI KESELAMATAN
RANGKAIAN
f. Dikenakan tindakan undang-undang.
5. SEMAKAN DAN PENYELENGGARAAN
DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan polisi ini.
6. RUJUKAN
a. Information Security – Security techniques – Code of practice for information
security management (ISO/IEC 17799 : 2005)
b. Information technology – Security techniques – Information security management
systems – Requirements (ISO/IEC 27001:2005)
c. Akta Arkib Negara 2003
d. Arahan Keselamatan
e. Arahan Teknologi Maklumat 2007 – MAMPU
f. Guidelines for Media Sanitisation : The NIST Handbook (Special Publication 800-
88)”, United States : National Institute of Standards and Technology, 2006
g. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
h. Surat Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat dan Komunikasi
i. Surat Pekeliling Am Bil. 4 Tahun 2006 : Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam
1 Senarai Tugas ICTSO
Polisi Keselamatan Rangkaian
2
POLISI KESELAMATAN
RANGKAIAN
7. POLISI
7.1. INFRASTRUKTUR RANGKAIAN
7.1.1. Local Area Network (LAN) adalah hak milik dan harta yang dipunyai oleh
MOA.
7.1.2. BPM bertanggungjawab dalam pengendalian operasi rangkaian MOA.
BPM akan mengendalikan sebarang pembinaan dan penambahbaikan ke
atas infrastruktur ini. Tanggungjawab itu termasuklah:
a. Pemilihan, belian, pemasangan dan penyelenggaraan semua
alatan rangkaian;
b. Pemilihan protokol yang disokong oleh rangkaian; dan
c. Definisi ke atas standard yang disetkan oleh MOA yang perlu
dalam menjamin kelancaran operasi rangkaian atau keselamatan
sebarang maklumat yang dihantar, disimpan dan diproses.
7.1.3. Pelan Infrastruktur rangkaian yang diubahsuai mestilah menyatakan
elemen teknikal, operasi dan keselamatan. Ia mestilah diberitahu,
diselenggara dan dikemaskini sebelum sebarang perubahan major dibuat
ke atas infrastruktur rangkaian. Pelan ini mestilah digunakan sebagai
blueprint untuk kegunaan perancanaan dan belanjawan.
7.1.4. Hanya BPM dan/atau kontraktor yang disahkan oleh MOA dibenarkan
untuk mengubahsuai infrastruktur rangkaian.
7.1.5. Bila merangka infrastruktur rangkaian, objektif berikut perlu diambil kira:
a. Ia mestilah pantas, selamat, dapat diskalakan dan boleh
menampung perkembangan kegunaan di masa hadapan;
b. Ia mestilah berdaya tahan dan ada setiap masa;
c. Ia mestilah mempunyai timbal-balik (redundancy) supaya
perkhidmatan yang diberikan sentiasa ada walaupun wujud
masalah pada alatan yang ada; dan
d. Ia mestilah homogenous dan boleh berfungsi dengan rangkaian
sedia ada.
Polisi Keselamatan Rangkaian
3
POLISI KESELAMATAN
RANGKAIAN
7.1.6. BPM mestilah mendaftar dan mengendalikan kesemua ‘networking
addresses’ bagi protokol yang disokong oleh MOA.
7.2. PENGASINGAN RANGKAIAN
7.2.1 PENGASINGAN LUARAN
7.2.1.1 Kawalan rangkaian mestilah pengasingkan ia kepada
kumpulan perkhidmatan maklumat, pengguna dan sistem
maklumat bila berhubungan antara satu sama lain dan
kepada pihak ketiga.
7.2.1.2 Penilaian risiko mestilah dilaksanakan untuk menentukan
kawalan yang perlu sebelum membenarkan capaian
terhadap rangkaian organisasi oleh pihak yang baru atau
pihak ketiga.
7.2.1.3 Hubungan terus (direct connection) antara rangkaian dalan
MOA dan pihak ketiga adalah dilarang.
7.2.1.4 Hubungan luaran mestilah diputuskan dalam bentuk
rangkaian kawalan (DMZ atau serupa dengannya).
7.2.2 PENGASINGAN DALAMAN
7.2.2.1 Pembinaan dan pengujian rangkaian atau sisyem mestilah
diasingkan dari rangkaian dalaman (menggunakan
firewall/proxy). Ini untuk mengelakkan kepincangan tugas
dari perisian mengancam rangkaian yang ada.
7.2.2.2 Pengalamatan sistem dalaman (IP Address), konfigurasi
dan maklumat rekaan sistem untuk sistem rangkaian MOA
mestilah dikawal dari pengguna sistem dan pengguna
luaran.
7.2.2.3 Pelayan luaran Internet (Public Internet servers) mestilah
diletakkan pada subnet yang berbeza dari rangkaian
dalaman MOA. Router, firewall dan IDS mestilah
digunakan untuk memantau trafik maklumat dari pelayan
luaran ke rangkaian dalaman.
Polisi Keselamatan Rangkaian
4
POLISI KESELAMATAN
RANGKAIAN
7.2.3 PENGASINGAN PERSEKITARAN PEMBINAAN
DAN PENGHASILAN (DEVELOPMENT AND
PRODUCTION)
7.2.3.1 Persekitaran pembinaan dan penghasilan mestilah
diasingkan untuk menghalang masalah yang mungkin
akan berlaku oleh perisian yang diuji.
7.2.3.2 Hanya sistem yang dibenarkan boleh dihubungkan kepada
persekitaran penghasilan hanya selepas ia memenuhi
kriteria yang ditetapkan.
7.3. OPERASI RANGKAIAN
7.3.1. Kakitangan yang bertanggungjawab ke atas pengurusan dan
penyelenggaraan infrastruktur rangkaian mestilah disokong oleh
dokumentasi prosedur yang lengkap.
7.3.2. BPM bertanggungjawab untuk membina dan menyelenggara
dokumentasi rangkaian untuk kegunaan semasa penyelenggaraan,
operasi dan perencanaan.
7.3.3. Sebarang kerosakan rangkaian atau penggunaan melampau mestilah
dilaporkan dan disiasat untuk kegunaan penambahbaikan masa akan
datang.
7.3.4. Dalam keadaan di mana operasi rangkaian diberikan kepada pihak
ketiga, prosedur dan kawalan yang lengkap perlu ada untuk melindungi
kerahsiaan dan integriti maklumat.
7.3.5. Analisa pemilihan mestilah dijalankan untuk memastikan pihak yang
dipilih memenuhi keperluan MOA seperti kestabilan kewangan untuk
meneruskan perniagaan dan kecekapan dalam melaksanakan tugas.
7.3.6. Perjanjian kontrak dengan pembekal mestilah sah di bawah undang-
undang dan dilaksanakan untuk melindungi kepentingan MOA.
Polisi Keselamatan Rangkaian
5
POLISI KESELAMATAN
RANGKAIAN
7.4. ALATAN RANGKAIAN
7.4.1. Hanya kontraktor terpilih sahaja dibenarkan untuk memasang alatan
rangkaian yang diuruskan oleh BPM.
7.4.2. Semua alatan rangkaian yang ditambah kepada infrastruktur rangkaian
mestilah boleh diurus dan mengikuti keperluan keselamatan yang
ditetapkan.
7.4.3. Capaian fizikal kepada peralatan rangkaian hendaklah dihadkan kepada
kakitangan yang telah dibenarkan sahaja.
7.4.4. Semua peralatan rangkaian yang dihubungkan kepada rangkaian MOA
hendaklah diluluskan terlebih dahulu. BPM hendaklah memutuskan
hubungan alatan kepada rangkaian yand masih lagi belum diluluskan. Ia
untuk memastikan kestabilan dan kesediaadaan rangkaian pada tingkat
optimum.
7.4.5. Semua peralatan infrastruktur rangkaian mestilah mempunyai keupayaan
menyimpan log untuk merekodkan semua capaian, samada yang berjaya
atau sebaliknya.
7.4.6. Capaian kepada semua peralatan rangkaian mestilah dikawal dengan
menggunakan kata laluan. Alatan tersebut mestilah dibina, diuji dan
dikawal untuk menghalang dari capaian tidak sah ke atas kata laluan
yang disimpan.
7.4.7. Semua backup mestilah dipastikan selamat pada tahap yang sama
dengan alatan yang digunakan secara aktif.
7.5. SISTEM PIHAK KETIGA PADA RANGKAIAN MOA
7.5.1. Jika pembekal memerlukan tempat untuk meletakkan alatan mereka
pada rangkaian MOA, mereka perlu memastikan ia mengikuti semua
keperluan polisi yang ada.
7.5.2. Penempatan alatan pada rangkaian MOA mestilah diluluskan sebelum ia
boleh diguna pakai.
Polisi Keselamatan Rangkaian
6
POLISI KESELAMATAN
RANGKAIAN
7.6. PENGURUSAN KONFIGURASI RANGKAIAN
7.6.1. Semua alatan rangkaian yang berhubung mestilah diselaraskan mengikut
spesifikasi standard antarabangsa.
7.6.2. Konfigurasi router, firewall dan alatan rangkaian yang kritikal mestilah
menjadi tanggungjawab, diselenggarakan, didokumenkan dan disimpan
secara selamat oleh BPM.
7.6.3. Perubahan yang dilakukan terhadap konfigurasi pada sebarang alatan
rangkaian yang aktif hanya boleh dilakukan selepas mendapat kelulusan
BPM.
7.6.4. Pengalamatan dalaman (internal addresses), konfigurasi, kawalan
keselamatan dan maklumat rekaan sistem bagi rangkaian MOA mestilah
dirahsiakan.
7.7. REMOTE DIAGNOSTIC DAN PERLINDUNGAN PORT
KONFIGURASI
7.7.1. Port diagnostik dan konfigurasi hendaklah dikawal dari penggunaan yang
dilarang.
7.7.2. Port, perkhidmatan dan fasiliti yang sama dengannya yang dimasukkan
dengan komputer atau fasiliti rangkaian yang tidak menyokong fungsi
MOA hendaklah dimatikan/dibuang.
7.7.3. Sebarang permintaan dari pihak ketiga atau pembekal untuk mestilah
dibenarkan. Sebarang capaian perlulah ditentusahkan sebelum capaian
dibenarkan.
7.7.4. BPM mestilah menyemak sistem yang dicapai oleh pihak pembekal untuk
memastikan tidak aktiviti terlarang yang dilakukan ke atas sistem
tersebut.
Polisi Keselamatan Rangkaian
7
POLISI KESELAMATAN
RANGKAIAN
7.8. PERUBAHAN KE ATAS RANGKAIAN MOA
7.8.1. Perubahan ke atas rangkaian MOA hanya boleh dilakukan selepas
disahkan oleh MAMPU. Perubahan termasuklah konfigurasi pengurusan
alatan rangkaian, perubahan alamat rangkaian, menukar konfigurasi
router dan menambah talian.
7.8.2. Pemintaan perubahan (change request) yang bertulis hendaklah
dihasilkan dan disahkan, kecuali pada situasi kecemasan.
7.8.3. Perubahan semasa kecemasan ke atas rangkaian MOA mestilah
dilakukan oleh individu yang dibenarkan oleh BPM. Proses ini untuk
menghalang sebarang perubahan luar jangka yang boleh melumpuhkan
rangkaian sedia ada.
7.8.4. Sebarang perubahan ke atas rangkaian MOA mestilah didokumenkan.
7.9. PEMANTAUAN RANGKAIAN
7.9.1. Trafik yang memasuki rangkaian MOA mestilah dipantau dan diuruskan
oleh BPM.
7.9.2. Pemeriksaan rutin bagi aktiviti luar biasa atau tidak dibenarkan perlu
dilakukan dengan menggunakan alatan keselamatan maklumat seperti
network intrusion detection system, network traffic monitors, firewall, and
system logging. Pemeriksaan ke atas paket rangkaian juga perlu
dilakukan.
7.9.3. Pentadbir rangkaian yang dibenarkan mestilah menggunakan alatan
pemantauan rangkaian untuk:
a. Mengecam corak serangan yang ada;
b. Mengecam sebaran maklumat rahsia; dan
c. Mengecam dan menganalisa masalah yang ada.
Polisi Keselamatan Rangkaian
8
POLISI KESELAMATAN
RANGKAIAN
7.9.4. Capaian ke pada trafik rangkaian yang disimpan mestilah direkodkan dan
hanya kakitangan BPM sahaja yang dibenarkan untuk berbuat demikian.
7.9.5. Sniffer atau alatan yang sama hanya boleh digunakan oleh pentadbir
rangkaian atau individu yang dibenarkan untuk tujuan diagnostik bagi
trafik rangkaisan sahaja.
7.9.6. Ketelitian mestilah ditunjukkan semasa mengendali, mengawal dan
menyimpan semua data yang dipantau. Individu yang disahkan untuk
menganalisa trafik rangkaian mestilah menyimpan maklumat yang
diproses pada diri mereka sahaja.
Polisi Keselamatan Rangkaian
9
POLISI KESELAMATAN
RANGKAIAN
7.10. KAWALAN CAPAIAN RANGKAIAN
7.10.1. Sistem yang sensitif mestilah mempunyai kawalan capaian rangkaian
(contoh: firewall atau Access Control List) untuk menghalang hubungan
tanpa kebenaran dari luar atau dalam MOA. Penilaian risiko tahunan
hendaklah dilakukan untuk memastikan sistem/aplikasi mana yang perlu
dikawal secara sistematik.
7.10.2. Perkhidmatan yang tidak diperlukan dalam operasi harian mestilah
dimatikan fungsinya.
7.10.3. Rangkaian yang menjangkau batasan negara mestilah diasingkan
menggunakan konsep domain logikal, setiap satunya dikawal oleh
paramater keselamatan dan mekanisma kawalan capaian yang betul.
7.10.4. Permintaan bertulis untuk mencapai rangkaian MOA mestilah disahkan.
7.10.5. Pihak ketiga yang ingin capaian rangkaian dalaman di MOA mestilah
menandatangani Official Secret Act (OSA) / Non-Disclosure Agreement
(NDA).
7.10.6. Pihak ketiga hanya diberikan capaian rangkaian setelah mendapat
pengesahan bertulis dari pihak MOA. Keutamaan ini hanya terhad
kepada fasiliti sistem dan maklumat sahaja.
7.10.7. Pihak ketiga yang ingin mencapai rangkaian dalam MOA secara remote,
mestilah mematuhi polisi dan prosedur yang ditetapkan.
7.10.8. MOA berhak menjalankan audit ke atas pihak ketiga yang mempunyai
capaian ke atas rangkaian MOA untuk memastikan mereka mematuhi
polisi dan keperluan MOA.
7.11. VIRTUAL PRIVATE NETWORK(VPN)
7.11.1. Sebarang hubungan antara firewall pada rangkaian umum hendaklah
menggunakan implementasi Virtual Private Network untuk memastikan
kerahsiaan dan integriti data yang dihantar pada rangkaian tersebut.
7.11.2. Hubungan VPN mestilah mendapat kebenaran terlebih dahulu.
Polisi Keselamatan Rangkaian
10
POLISI KESELAMATAN
RANGKAIAN
7.12. HUBUNGAN WIRELESS
7.12.1. BPM mestilah menguruskan infrastruktur rangkaian wireless di dalam
MOA dan memastikan wireless access points (AP) diletakkan pada lokasi
tertentu di MOA.
7.12.2. Pelayan fail, pelayan pangkalan data, pelayan aplikasi dan alatan yang
kritikal untuk operasi MOA tidak dibenarkan untuk disambung pada
rangkaian wireless.
7.12.3. Wireless Local Area Network (WLAN) mestilah diteguhkan dengan
melakukan yang berikut:
a. Memastikan semua capaian terhadap AP mestilah dikonfigurasi
mengikut protokol keselamatan WPA, WPA2, WPA2-Personal atau
WPA2-Enterprise dan
b. Mereka kawalan capaian dengan menggunakan konsep
pengesahan pengguna seperti Radius Server. Pengesahan
pengguna diperlukan pada AP sebelum pengguna boleh memasuki
rangkaian MOA.
7.12.4. Wireless AP mestilah dipastikan selamat dengan menggunakan cara-
cara berikut:
a. Menggunakan enkripsi dan kunci rangkaian / kata laluan yang
kukuh dengan kombinasi pelbagai aksara, seperti alphabet, aksara
istimewa dan nombor;
b. Menukarkan kata laluan atau kunci rangkaian sekerap mungkin
dan
c. Memastikan perisian aplikasi wireless AP adalah yang terkini.
7.12.5. Wireless AP mestilah diletakkan pada kawasan yang dikawal secara
fizikal. Kawalan di bawah ini bolehlah dilakukan:
a. Memasang alatan reflector yang mengawal transmisi radio bagi
wireless AP untuk jarak yang ditetapkan sahaja; dan
b. Menggunakan pelindung pintu yang menghalang dari isyarat radio
keluar dari tingkap.
7.12.6. Cubaan untuk melepasi kawalan keselamatan atau merosakkan
perkhidmatan wireless secara pasif/aktif adalah dilarang. Sebarang
Polisi Keselamatan Rangkaian
11
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Dasar Keselamatan ICT MOA (DKICT)_V3
Discover the best professional documents and content resources in AnyFlip Document Base.
Search