460 likes | 759 Views
Keselamatan dan Audit Sistem Komputer. Operasi Komputer. Kandungan…. Penstrukturan Fungsi TM Pusat Komputer Sistem Pengoperasian Sistem Komputer Peribadi. Penstrukturan Fungsi TM. Pemprosesan Data Terpusat Pemisahan Fungsian TM Tak Serasi Model Teragih Pengawalan Suasana DDP.
E N D
Keselamatan dan Audit Sistem Komputer Operasi Komputer
Kandungan… • Penstrukturan Fungsi TM • Pusat Komputer • Sistem Pengoperasian • Sistem Komputer Peribadi
Penstrukturan Fungsi TM • Pemprosesan Data Terpusat • Pemisahan Fungsian TM Tak Serasi • Model Teragih • Pengawalan Suasana DDP
Pemprosesan Data Terpusat • Pendekatan Pemprosesan Data Terpusat Pemasaran Kewangan Sumber Perkhidmatan Komputer Produksi Pengagihan Perakaunan
Pemprosesan Data Terpusat • Pentadbiran Pangkalan Data (DBA) • Pemprosesan Data • Kawalan Data • Penukaran Data • Operasi Komputer • Perpustakaan Data • Pembangunan dan Penyelenggaraan Sistem • Profesional Sistem • Pengguna Akhir • Stakeholders
Pemisahan Fungsian TM Tak Serasi • Pemisahan Pembangunan Sistem daripada Operasi Komputer • Pemisahan DBA daripada Fungsi-fungsi Lain • Pemisahan Pembangunan Sistem Baru daripada Penyelenggaraan
Objektif Audit • Mentahkikkan (verify) individual di kawasan yang tak serasi dipisahkan mengikut tahap potensi risiko dan juga keadaan di mana wujudnya suasana kerja yang formal (tidak kasual) antara tugas-tugas tak serasi.
Model Teragih • Risiko Berhubung DDP • Penyalahgunaan Sumber Organisasi • Ketakserasian Perkakasan dan Perisian • Tugas Bertindan • Konsolidasi Aktiviti Tak Serasi • Mengambil Profesional Yang Layak • Kekurangan Piawai
Model Teragih • Kelebihan Berhubung DDP • Pengurangan Kos
Pengawalan Suasana DDP • Memerlukan Analisis Berhati-hati • Pelaksanaan Fungsian TM Korporat
Objektif Audit • Untuk mentahkikkan unit-unit TM teragih menggunakan piawai prestasi entiti yang mempromosikan keserasian sesama perkakasan, aplikasi perisian dan data.
Pusat Komputer • Kawalan Pusat Komputer • Perancangan Pemulihan Bencana
Kawalan Pusat Komputer • Lokasi Fizikal • Pembinaan • Capaian • Pengudaraan • Kebakaran • Bekalan Kuasa
Objektif Audit • Untuk menilai kawalan merangkumi keselamatan pusat komputer. • Juruaudit haruslah mengesahkan bahawa: • Physical security controls are adequate to reasonably protect the organisation from physical exposures; • Insurance coverage on equipment is adequate to compensate the organisation for the destruction of, or damage to, its computer centre; and • Operator documentation is adequate to deal with system failures.
Prosedur Audit • Ujian… • tests of physical construction • tests of the fire detection system • tests of access control • tests of the backup power supply • tests for insurance coverage • tests of operator documentation controls
Perancangan Pemulihan Bencana • Ialah sebuah penyataan komprehensif kesemua tindakan yang perlu diambil sebelum, semasa, dan selepas sesuatu bencana, disertai dengan prosedur didokumen & diuji yang akan memastikan kelangsungan operasi.
Perancangan Pemulihan Bencana • Peristiwa bencana kadangkala tidak boleh dicegah ataupun dielakkan. • Kelangsungan sesebuah organisasi terjejas oleh bencana bergantung kepada bagaimana baik dan cepatnya ia bertindak. • Dengan perancangan luarjangka yang berhati-hati, impak keseluruhan sesuatu bencana boleh diserap dan organisasi masih boleh pulih.
Perancangan Pemulihan Bencana • Penyediaan Tempat Sokongan Kedua • Pakej Bantuan Bersama • Pengenalpastian Aplikasi Kritikal • Perlaksanaan prosedur sokongan dan storan luar-kawasan • Membentuk sebuah pasukan pemulihan bencana • Menguji DRP
Penyediaan Tempat Sokongan Kedua • Pakej Bantuan Bersama • Perjanjian 2 atau lebih utk bantu ketika bencana • Cengkerang Kosong • 2 atau lebih beli/sewa, & ubahsuai utk tapak komputer (tanpa komputer & peralatannya) • Pusat Operasi Pemulihan • Tapak panas, disediakan peralatan sepenuhnya • Backup disediakan secara dalaman • Mengadakan kapasiti lebihan secara dalaman
Pengenalpastian Aplikasi Kritikal • Usaha pemulihan ditumpukan kepada memulihkan aplikasi yang kritikal kepada kelangsungan jangka pendek organisasi.
Pengenalpastian Aplikasi Kritikal • Bagi kebanyakan organisasi, fungsi yang perlu segera diselamatkan yang menghasilkan aliran tunai mencukupi untuk memuaskan tanggungjawab jangka pendek.
Pengenalpastian Aplikasi Kritikal • Aplikasi komputer yang menyokong item mempengaruhi kedudukan aliran tunai adalah kritikal. • Aplikasi ini perlu dikenalpasti dan diutamakan dalam perancangan pemulihan. • Contoh item: jualan dan perkhidmatan pelanggan, penyelenggaraan dan kutipan akaun penerimaan, perhubungan am.
Perlaksanaan prosedur sandaran (backup) dan storan luar-kawasan • Kesemua fail fata, dokumentasi aplikasi, dan bekalan diperlukan untuk melaksanakan fungsian kritikal sepatutnya dispesifikasikan dalam DRP.
Perlaksanaan prosedur sandaran dan storan luar-kawasan • Prosedur sandaran dan storan bagi menjaga sumber kritikal ini sepatutnya dilaksanakan secara rutin oleh pekerja pemprosesan data.
Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran fail data • Sandaran dokumentasi • Sandaran bekalan dokumen sumber
Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran fail data • pangkalan data sepatutnya disalin setiap hari ke pita atau cakera dan terselamat di luar kawasan.
Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran dokumentasi • Dokumentasi sistem bagi aplikasi kritikal sepatutnya disandar dan disimpan di luar kawasan, seperti fail data.
Perlaksanaan prosedur sandaran dan storan luar-kawasan • Sandaran bekalan dokumen sumber • Organisasi sepatutnya menyediakan sandaran inventori bagi bekalan dokumen sumber digunakan dalam aplikasi kritikal. • Contoh bekalan kritikal: stok cek, inbois, tempahan belian, dan borang tujuan khas lainnya yang tidak boleh diperolehi dengan segera. • Adalah penting juga salinan dokumen DRP semasa disimpan di lokasi luar kawasan.
Membentuk sebuah pasukan pemulihan bencana • Pemulihan daripada sesebuah bencana bergantung kepada tindakan pembetulan yang pantas.
Membentuk sebuah pasukan pemulihan bencana • Kegagalan melaksanakan tugas penting (seperti mendapatkan fail sandaran bagi aplikasi kritikal) melambatkan masa pemulihan dan mengurangkan prospek pemulihan yang berjaya.
Membentuk sebuah pasukan pemulihan bencana • Untuk mengelak ketertinggalan serius ini, satu pasukan pemulihan bencana perlu diwujudkan.
Membentuk sebuah pasukan pemulihan bencana Objektif: menyediakan tapak sandaran bagi operasi dan mendapatkan perkakasan daripada pembekal. Objektif: menyediakan versi semasa kesemua aplikasi, fail data. Dan dokumentasi kritikal. Objektif: mewujudkan semula fungsian kawalan data dan penukaran data diperlukan untuk memproses aplikasi kritikal.
Menguji DRP • Aspek yang paling dilupakan oleh perancangan kontingensi ialah menguji perancangan. • Ia sepatutnya diuji secara berkala. • Ujian menilai kesediaan pekerja dan mengenalpasti ketinggalan ataupun bottleneck di dalam perancangan.
Menguji DRP Pihak pengurusan seharusnya menilai prestasi: • Keberkesanan pekerja pasukan DRP dan peringkat pengetahuan mereka, • Darjah kejayaan penukaran (dalam bilangan rekod hilang), • Satu anggaran kerugian kewangan disebabkan kehilangan rekod/kemudahan, • Keberkesanan prosedur sandaran dan pemulihan aturcara, data, dan dokumentasi.
Objektif Audit • Untuk mentahkikkan DRP organisasi tersebut adalah mencukupi bagi memenuhi keperluan organisasi dan pelaksanaannya adalah boleh dan praktikal.
Prosedur Audit • Mentahkikkan bahawa DRP pengurusan adalah penyelesaian realistik bagi berurusan dengan bahaya yang mungkin menghapuskan pengurusan sumber komputernya.
Sistem Pengoperasian • Keselamatan Sistem Pengoperasian • Ancaman Terhadap Integriti Sistem Pengoperasian • Kawalan dan Prosedur Audit Sistem Pengoperasian
Keselamatan Sistem Pengoperasian • Prosedur LOGON • Access token • Senarai kawalan capaian • Discretionary access control
Ancaman Terhadap Integriti Sistem Pengoperasian • Objektif kawalan OS kemungkinan tidak tercapai kerana kepincangan dalam OS yang dieksploitasi samada secara tidak sengaja atau dengan sengaja.
Kawalan dan Prosedur Audit Sistem Pengoperasian • Pengawalan Keistimewaan Capaian • Kawalan Katalaluan • Mengawal daripada Virus dll
Sistem Komputer Peribadi • Sistem Pengoperasian PC • Kawalan dan Audit Sistem PC
Kawalan dan Audit Sistem PC • Kawalan Capaian Lemah • Kekurangan Pemisahan Tugas • Kekurangan Prosedur Sokongan