320 likes | 765 Views
SKS 1012 : KESELAMATAN INDUSTRI. TOPIK 1 KESELAMATAN DAN KESIHATAN KOMPUTER. KESELAMATAN & KESIHATAN. Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima.
E N D
SKS 1012 :KESELAMATAN INDUSTRI TOPIK 1 KESELAMATAN DAN KESIHATAN KOMPUTER
KESELAMATAN & KESIHATAN • Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. • Keselamatan ialah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.
KESELAMATAN & KESIHATAN KOMPUTER (ICT) • Keselamatan ICT adalah bermaksud keadaan yang mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan ICT. Keselamatan ICT berkait rapat dengan perlindungan sumber ICT. • Keselamatan ICT juga merangkumi langkah-langkah yang diambil bagi mengurangkan impak akibat sebarang pelanggaran keselamatan atau bencana yang berlaku, sungguhpun langkah-langkah pencegahan telah diambil.
KESELAMATAN & KESIHATAN KOMPUTER (ICT) • Sumber-sumber teknologi maklumat dan komunikasi (ICT) termasuk data-data, aplikasi-aplikasi, sistem-sistem, perkakasan, perisian dan rangkaian-rangkaian adalah harta benda yang berharga. • Harta benda tersebut adalah berisiko dari ancaman-ancaman seperti kesilapan pengguna atau kejadian-kejadian yang tidak dijangka, kegagalan-kegagalan sistem yang berpanjangan, bencana alam, dan perbuatan jenayah atau yang berniat jahat. • Kejadian-kejadian tersebut boleh menyebabkan kerosakan atau kehilangan sumber-sumber maklumat, kehilangan ketepatan atau integriti data, atau gangguan ke atas kelicinan perjalanan prosesan data.
KESELAMATAN & KESIHATAN KOMPUTER (ICT) SAMB... • Komponen-komponen asas Keselamatan ICT termasuk: a)Melindungi rahsia rasmi dan maklumat rasmi organisasi dari akses tanpa kuasa yang sah; b)Melindungi kerahsiaan maklumat peribadi pengguna-pengguna dari akses tanpa kuasa yang sah; c)Menjamin setiap maklumat adalah tepat dan sempurna; d)Mempastikan ketersediaan sumber-sumberapabila diperlukan; dan e)Mempastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah.
POLISI KESELAMATAN & KESIHATAN KOMPUTER (ICT) • Polisi Keselamatan ICT merangkumi perlindungan ke atas semua Sumber Maklumat Elektronik bertujuan untuk menjamin keselamatan Sumber Maklumat Elektronik tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. • Ciri-ciri utama keselamatan Sumber Maklumat Elektronik adalah seperti berikut: a)Kerahsiaan Sumber Maklumat Elektronik tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran pihak berkuasa. b)Integriti Data dan maklumat hendaklah tepat, lengkap dan terkemaskini. Ia hanya boleh diwujud, diubah atau dihapus oleh orang yang diberi kuasa yang sah sahaja dan mengikut prosedur yang dibenarkan.
POLISI KESELAMATAN & KESIHATAN KOMPUTER (ICT) SAMB... c)Tidak Boleh Disangkal Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal. d)Kesahihan Data dan maklumat hendaklah dijamin kesahihannya. e)Kebolehsediaan Memastikan pengguna-pengguna yang sah boleh mengakses Sumber Maklumat Elektronik pada bila-bila masa.
POLISI KESELAMATAN & KESIHATAN KOMPUTER (ICT) SAMB... • Polisi Keselamatan Teknologi Maklumat Dan Komunikasi ini memberi perhatian ke atas pengurangan risiko kepada sumber-sumber ICT menerusi kawalan-kawalan dan langkah-langkah pencegahan yang dibentuk untuk mengesan berlakunya kesilapan-kesilapan atau perkara-perkara yang luar biasa.
MATLAMAT POLISI • Memastikan sumber-sumber ICT dilindungi secukupnya dari perbuatan salahguna atau kecurian/kehilangan; • Meminimumkan risiko ke atas sumber-sumber ICT; • Memastikan kelancaran operasi harian sumber-sumber ICT; dan • Melindungi kepentingan pihak-pihak yang bergantung kepada sumber-sumber ICT daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan dan aksesibiliti sumber-sumber ICT.
PRINSIP KESELAMATAN ICT a)Akses Atas Dasar Perlu Akses kepada sumber ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar ‘perlu mengetahui’ sahaja. Akses akan hanya dibenarkan sekiranya peranan atau tanggungjawab tugasnya memerlukan penggunaan sumber maklumat elektronik. Pertimbangan akses di bawah prinsip ini adalah berasaskan kepada klasifikasi maklumat dan tapisan keselamatan pengguna seperti berikut: (i)Klasifikasi Maklumat Keselamatan ICT hendaklah mematuhi ‘Arahan Keselamatan Kerajaan’ perenggan 53, muka surat 15, di mana maklumat di kategorikan kepada Rahsia Besar, Rahsia, Sulit dan Terhad. Data, bahan atau maklumat rasmi yang sensitif atau bersifat terperingkat hendaklah dilindungi daripada pendedahan, dimanipulasi atau diubah semasa dalam penghantaran. Penggunaan kod atau tanda tangan digital hendaklah dipertimbangkan bagi melindungi data yang dikirim secara elektronik. Polisi kawalan akses ke atas aplikasi atau sistem juga hendaklah mengikut klasifikasi maklumat yang sama.
PRINSIP KESELAMATAN ICT SAMB... (ii)Tapisan Keselamatan Pengguna Polisi Keselamatan ICT adalah mematuhi prinsip bahawa pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu setelah siasatan menunjukkan tiada sebab atau faktor untuk menghalang pengguna tersebut daripada berbuat demikian.
PRINSIP KESELAMATAN ICT SAMB... b)Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan khas daripada pentadbir sistem adalah diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemaskini, mengubah atau membatalkan sesuatu data atau maklumat.
PRINSIP KESELAMATAN ICT SAMB... c)Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap sumber ICT di bawah jagaannya atau yang digunakannya. Tanggungjawab ini hendaklah dinyatakan dengan jelas sejajar dengan tahap sensitiviti sesuatu sumber ICT berkenaan. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesah bahawa pengguna tersebut dipertanggungjawabkan atas tindakan mereka.
PRINSIP KESELAMATAN ICT SAMB... • Akauntabiliti atau tanggungjawab pengguna termasuk, tetapi tidak terhad kepada: (i) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; (ii) Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa ke semasa; (iii) Menentukan maklumat sedia untuk digunakan; (iv) Menjaga kerahsiaan kata laluan; (v) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; (vi) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan (vii) Menjaga kerahsiaan langkah-langkah Keselamatan ICT dari diketahui umum.
PRINSIP KESELAMATAN ICT SAMB... d)Pengasingan Prinsip pengasingan bermaksud bahawa semua tugas-tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data diasingkan. Ia bertujuan untuk menghindari akses yang tidak dibenarkan dan melindungi sumber ICT daripada kesilapan, kebocoran maklumat terperingkat, dimanipulasi dan seterusnya, mengekalkan integriti dan kebolehsediaan.
PRINSIP KESELAMATAN ICT SAMB... e) Pengauditan Pengauditan adalah tindakan untuk mengenalpasti insiden-insiden atau keadaan-keadaan yang mengancam keselamatan. Ia membabitkan semua rekod berkaitan tindakan keselamatan. Dengan itu, sumber ICT seperti komputer pelayan, router, firewall dan rangkaian hendaklah dipastikan dapat menyimpan dan menjanakan log tindakan keselamatan atau audit trail. Kepentingan audit trail menjadi semakin ketara apabila wujud keperluan untuk mengenalpasti punca masalah atau ancaman kepada keselamatan sumber ICT. Oleh itu, rekod audit hendaklah dilindungi dan tersedia untuk penilaian atau tindakan serta merta.
PRINSIP KESELAMATAN ICT SAMB... f) Pematuhan Pematuhan adalah merupakan prinsip penting dalam menghindar dan mengesan sebarang perlanggaran polisi. Pematuhan kepada Polisi Keselamatan Teknologi Maklumat Dan Komunikasi boleh dicapai melalui tindakan-tindakan berikut: (i) Mewujudkan proses yang sistematik khususnya dalam menjamin keselamatan ICT untuk memantau dan menilai tahap pematuhan langkah-langkah keselamatan yang telah dikuatkuasakan; (ii) Merumuskan pelan pematuhan untuk menangani sebarang kelemahan atau kekurangan langkah-langkah keselamatan ICT yang dikenalpasti; (iii) Melaksanakan program pemantauan keselamatan secara berterusan untuk memastikan standard, prosedur dan garispanduan keselamatan dipatuhi; dan (iv) Menguatkuasakan amalan melapur sebarang peristiwa yang mengancam keselamatan ICT dan seterusnya mengambil tindakan pembetulan.
PRINSIP KESELAMATAN ICT SAMB... • Aktiviti-aktiviti berikut adalah dilarang keras di bawah Polisi ini: (i) Mengganggu, merosak atau menyekat perjalanan sumber-sumber ICT ; (ii) Dengan sengaja menyebarkan sebarang virus komputer, worms atau perisian lain yang merosakkan (malicioussoftwares); (iii) Cuba mengakses atau mengeksploit sumber-sumber ICT yang mana dia tidak diberi kebenaran untuk berbuat demikian; (iv) Dengan sengaja membolehkan tahap-tahap akses atau eksploitasi sumber-sumber ICT yang tidak sepatutnya, oleh orang lain; (v) Memuat turun data/maklumat yang sensitif atau sulit ke komputer-komputer yang tidak dikonfigurasikan secukupnya untuk melindungi dari akses yang tidak dibenarkan; dan (vi) Menyebarkan sebarang data atau maklumat yang dia tidak mempunyai hak untuk berbuat demikian.
SKOP KESELAMATAN ICT • Keselamatan ICT adalah berhubung perlindungan sumber-sumber berikut: a) Sumber Maklumat Elektronik: Sumber yang digunakan untuk menyokong urusan perkhidmatan organisasi yang melibatkan media storan elektronik, prosesan atau penghantaran data, dan juga data itu sendiri. Sumber-sumber Maklumat Elektronik termasuk sistem-sistem aplikasi, sistem-sistem pengoperasian, perisian utliti, sistem-sistem komunikasi, data (sama ada dalam bentuk mentah, ringkasan atau ditafsirkan) dan perkakasan yang berkaitan seperti komputer pelayan, komputer peribadi, perkakasan komunikasi dan lain-lain perkakasan yang digunakan untuk menyokong urusan perkhidmatan organisasi
SKOP KESELAMATAN ICT b) Sumber Komunikasi Elektronik: Gabungan perkakasan telekomunikasi, alat-alat transmisi, video elektronik dan perkakasan audio, perkakasan mengkod dan mentafsir kod, komputer peribadi, prosesan data atau sistem-sistem storan, sistem-sistem komputer, komputer pelayan, rangkaian-rangkaian komputer, alat-alat input/output dan penyambungannya, dan rekod-rekod komputer, program, perisian dan dokumentasi yang berkaitan yang menyokong perkhidmatan komunikasi elektronik
SKOP KESELAMATAN ICT c) Dokumentasi: Semua dokumentasi (manual dan prosedur) yang mengandungi maklumat berkaitan dengan spesifikasi teknikal (termasuk dan tidak terhad kepada kod sumber, struktur dan kamus data), penggunaan dan pemasangan perkakasan, perisian dan sistem aplikasi samaada dalam bentuk elektronik dan bukan elektronik. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparencies, risalah dan slaid.
SKOP KESELAMATAN ICT d) Manusia: Semua pengguna yang dibenarkan termasuk pentadbir dan pengurus serta mereka yang bertanggungjawab ke atas Keselamatan ICT Universiti. e) Premis Komputer dan Komunikasi: premis yang digunakan unrtuk menempatkan sumber-sumber ICT a) – c) di atas.
KESELAMATAN FIZIKAL • Pengenalan Keselamatan fizikal adalah perlu untuk melindungi premis-premis di mana terletaknya sistem-sistem ICT, dari akses yang tidak dibenarkan, kerosakan dan gangguan.
KESELAMATAN FIZIKAL • Perlindungan tapak a) Pusat Data dan bilik-bilik pelayan hendaklah dilindungi dan ditempatkan di tempat-tempat yang selamat. Hanya mereka-mereka tertentu sahaja dibenarkan untuk memasuki kawasan ini; b) Pusat Pemulihan (RecoveryCentre) atau tempat-tempat menyimpan perkakasan dan media back-up hendaklah hanya diketahui oleh mereka-mereka tertentu sahaja seperti Pegawai ICT dan kumpulan sokongan teknikal; c) Perkakasan dan media back-up hendaklah di tempatkan di tempat yang jaraknya selamat untuk menghindari dari kerosakan, jika berlaku sebarang bencana di tempat utama; dan d) Perkakasan keselamatan hendaklah sentiasa diperiksa.
KESELAMATAN FIZIKAL • Aksesibiliti Mikrokomputer/Stesyen Kerja a) Semua pengguna yang dibekalkan mikrokomputer atau stesyen kerja tidak dibenarkan menukar mikrokomper atau stesyen kerja yang dibekalkan kepada mereka tanpa mendapat kebenaran terlebih dahulu daripada pentadbir sistem; b) Semua pengguna adalah bertanggungjawab ke atas penyalahgunaan atau kepada sumber-sumber ICT di bawah jagaan mereka; dan c) Pengguna-pengguna tidak dibenarkan mengakses mikrokomputer atau stesyen kerja yang dipunyai oleh orang lain tanpa kebenaran pemiliknya.
KESELAMATAN FIZIKAL • Perlindungan Media Storan a) Semua media storan hendaklah ditempatkan di tempat persekitaran yang selamat; b) Hanya kakitangan yang diberi kuasa sahaja dibenarkan mengakses media tersebut; dan c) Semua akses kepada storan media hendaklah dilog.
KESELAMATAN FIZIKAL • Perlindungan Dari Kebakaran a) Merokok di dalam kawasan kemudahan ICT (seperti di dalam bilik komputer atau makmal-makmal komputer) adalah dilarang. Di samping itu, perkakasan untuk memasak termasuk pembuat kopi, adalah dilarang di dalam kawasan tersebut; b) Semua tempat kemudahan ICT hendaklah dipasang dengan alat pengesan asap dan kebakaran yang sesuai. Alat-alat pengesan asap hendaklah dipasang di dalam semua bilik-bilik kemudahan bantuan kritikal (critical support facilities areas) termasuk elektrikal, telefon, Uninterruptible Power Supply (UPS), penjana kuasa bantuan, penghawa dingin dan yang serupa;
KESELAMATAN FIZIKAL c) Bilik-bilik kemudahan ICT hendaklah dibekalkan dengan perkakasan pemadam kebakaran yang disyorkan oleh Jabatan Perkhidmatan Bomba dan Penyelamat; d) Memastikan prosedur-prosedur pemantauan dan pengujian perkakasan pemadam kebakaran dilakukan sekurang-kurangnya sekali setiap enam (6) bulan. Semua hasil ujian hendaklah didokumenkan. Alat-alat pemadam api hendaklah dipasang di tempat-tempat yang senang diakses; dan e) Barangan yang mudah terbakar hendaklah disimpan di luar kawasan kemudahan ICT.
KESELAMATAN FIZIKAL • Perlindungan Cecair/Air a) Perkakasan ICT hendaklah ditempatkan jauh dari paip air dan alat-alat yang boleh mengeluarkan cecair/air (seperti alat pemercik air dan unit penghawa dingin berasingan), dan di atas lantai untuk mengelak dari kerosakan yang berpunca dari air; dan b) Bahan-bahan cecair hendaklah tidak diletakkan dekat atau di atas perkakasan ICT.
KESELAMATAN FIZIKAL • Perlindungan Kilat/Petir a) Semua perkakasan ICT dan komputer pelayan hendaklah dilindungi atau dilengkapi dengan alat perlindungan kilat/petir untuk melindungi perkakasan tersebut dari serangan kilat/petir; dan b) Perkakasan ICT hendaklah tidak terdedah secara langsung kepada kilat/petir iaitu pemasangan di ruang terbuka.
KESELAMATAN FIZIKAL • Perlindungan Kecurian a) Setiap pinjaman atau penyerahan perkakasan ICT hendaklah direkodkan. Rekod-rekod tersebut hendaklah sentiasa dikemaskini untuk memastikan kesahan; b) Semua unit-unit mudah alih seperti komputer bimbit, media storan, dan lain-lain dipastikan selamat apabila ditinggalkan tanpa jagaan; dan c) Semua perkakasan ICT hendaklah mempunyai tag pengenalan organisasi.