25
ARAHAN KESELAMATAN KERAJAAN(SEMAKAN DAN PINDAAN 2017) SEJAUHMANA DATA PERAKAUNAN & KEWANGAN DIKLASIFIKASIKAN SEBAGAI MAKLUMAT TERPERINGKAT? OLEH : JULAILA BT ENGAN BAHAGIAN KESELAMATAN ICT DAN RAHSIA RASMI PEJABAT KETUA PEGAWAI KESELAMATAN KERAJAAN MALAYSIA

ARAHAN KESELAMATAN KERAJAAN(SEMAKAN DAN … · BAHAGIAN KESELAMATAN ICT DAN RAHSIA RASMI ... Ciri-ciri keselamatan maklumat seperti kerahsiaan, integriti dan kebolehsediaan hendaklah

  • Upload
    vuthu

  • View
    761

  • Download
    38

Embed Size (px)

Citation preview

ARAHAN KESELAMATAN

KERAJAAN(SEMAKAN DAN PINDAAN 2017)

SEJAUHMANA DATA PERAKAUNAN &

KEWANGAN DIKLASIFIKASIKAN SEBAGAI

MAKLUMAT TERPERINGKAT?

OLEH :

JULAILA BT ENGAN

BAHAGIAN KESELAMATAN ICT DAN RAHSIA RASMI

PEJABAT KETUA PEGAWAI KESELAMATAN KERAJAAN

MALAYSIA

SKOP :

OBJEKTIF

PENGENALAN

RISIKO ANCAMAN & KATEGORI ASET

CIRI-CIRI KESELAMATAN MAKLUMAT

KONSEP PERLINDUNGAN

KENDALI MAKLUMAT DALAM

PERSEKITARAN ICT

KESELAMATAN MAKLUMAT

KLASIFIKASI MAKLUMAT

KESIMPULAN

OBJEKTIF TAKLIMAT

UNTUK MEMBERI PENJELASAN

TENTANG KEPENTINGAN

KLASIFIKASI DATA/MAKLUMAT DAN

LANGKAH-LANGKAH

PERLINDUNGANNYA SELARAS

DENGAN KEHENDAK ARAHAN

KESELAMATAN, RAKKSSA & AKTA

RAHSIA RASMI 1972

PENGENALAN :

Semua maklumat terperingkat/rahsia rasmi

hendaklah dijaga kerahsiaannya dan

dikendalikan sebaik mungkin pada setiap masa

bagi memastikan kesempurnaan dan ketepatan

maklumat bagi melindungi kepentingan kerajaan,

integriti, bisnes dan masyarakat.

Ciri-ciri keselamatan maklumat seperti

kerahsiaan, integriti dan kebolehsediaan

hendaklah disokong oleh keperluan perundangan

khususnya Akta Rahsia Rasmi 1972 dan

pindaannya 1986 serta Arahan Keselamatan.

“Kepentingan kawalan ke

atas rahsia rasmi dan aset

kerajaan perlu sentiasa

diberi keutamaan yang

tinggi. Ini kerana ia

merupakan sesuatu yang

tidak ternilai”

RISIKO ANCAMAN KESELAMATAN

YBHG. TAN SRI DR ALI BIN HAMSA

KETUA SETIAUSAHA NEGARA

Information

IT Systems

Facilities

Personnel

Services

Employee Morale

Public Confidence

Department’s Image

KATEGORI ASET

KERAJAAN

KESELAMATAN MAKLUMAT

‘perlindungan maklumat dan sistem

maklumat daripada capaian yang tidak

dibenarkan, digunakan, didedahkan,

diganggu, diubahsuai atau dimusnahkan’

Bytes

Bits

Data File

Text File

Spread-

sheet File

Raster File

VectorFile

SoundFile

VideoFile

records pages

fields words

rows and columns (cells)

bitmap vectors(display list)

digitized music or voice

multiple bit-maps and other codes

what hardware sees

what users see is controlled by software

akses on demand terhadap data dan sumberkepada pengguna yang dibenarkan

Correct information

For the correct person

At the correct moment

INTEGRITI

KERAHSIAAN

KETERSEDIAAN

hanya individu yang dibenarkan boleh akses

maklumat tidak diubahsuai

CIRI-CIRI KESELAMATAN MAKLUMAT

TIDAK BOLEH DISANGKAL

KESAHIHAN

jaminan (pengguna, program dan proses) telahdikenalpasti dan disahkan

membuktikan integriti dan punca data boleh

disahkan

CIRI-CIRI KESELAMATAN MAKLUMAT

kriptografi

multi factor

authentication

INTEGRITI

Data/maklumat hendaklah tepat, lengkap dankemaskini. Ia hanya boleh diubah dengan carayang dibenarkan.

Kawalan terhadap pengubahsuaian danpenghapusan maklumat yang tidak teratur, kesilapan dan maklumat tertinggal.

Semakan integriti seperti hash total untukmencegah kesilapan dan maklumat tertinggalbagi mengekalkan integriti.

Melindungi sistem aplikasi dan infrastrukturkeselamatan dari serangan dalaman dan luaranrangkaian.

KERAHSIAAN

• Maklumat tidak boleh didedahkan sewenang-

wenangnya atau dibiarkan diakses tanpa kebenaran.

• Semua maklumat rahsia rasmi hendaklah dienkrip

semasa dalam storan dan penghantaran.

• Semua private keys seperti password, PKI dll

hendaklah dilindungi dan dirahsiakan.

• Memastikan penghantaran yang selamat disetiap

peringkat dan melindungi trafik dari dicuri dengar,

connection hijacking dan serangan rangkaian lain

dengan menggunakan protokol Secure Socket Layer (SSL), Secure Shell (SSH) dan Hardware Secure Modul(HSM) versi semasa.

KEBOLEHSEDIAAN

Data dan maklumat hendaklah boleh diakses pada

bila-bila masa (memastikan akses on demandterhadap data dan sumber kepada individu yang

diizinkan).

Mewujudkan mekanisma perlindungan dari ancaman

yang boleh memberi kesan terhadap ketersediaan

sistem rangkaian dan maklumat.

Mewujudkan langkah-langkah backup.

Menyediakan kakitangan mahir bagi tindakan

pemulihan supaya sistem segera beroperasi.

Memasang sistem pengesanan pencerobohan spt IDS

dll.

TIDAK BOLEH DISANGKAL

Punca data dan maklumat hendaklah dari punca

yang sah dan tidak boleh disangkal.

Bermaksud keperluan bagi membuktikan integriti

dan punca data boleh disahkan daripada penafian

penglibatan tindakan sebelumnya.

Dapat dilaksanakan secara kriptografi dengan

penggunaan tandatangan digital.

KESAHIHAN

Jaminan (pengguna, program dan proses)

dikenalpasti dan disahkan melalui suatu

pengenalan identiti (ID).

Aktiviti direkodkan bagi tujuan pengesanan dan

akauntabiliti.

Menilai teknik bagi pengenalan identiti dan

kesahihan.

Melaksanakan two factor authentication atau multi factor authentication.

Hardware

Software

Human Documentation

Building

Networks

Communication Devices Information

Pendrive

ASET DAN MAKLUMAT DILINDUNGI MELALUI

KONSEP ‘DEFENCE IN-DEPTH’

‘DEFENCE IN-DEPTH’‘PERLINDUNGAN SECARA MENDALAM’

Technology

People

PROCESS

KENDALI MAKLUMAT DALAM PERSEKITARAN

ICT

meliputi proses:

pewujudan

penyimpanan,

penghantaran,

pelepasan,

sandaran data,

Pemusnahan & pengarkiban,

jejak audit dan

membawa keluar rahsia rasmi melalui peranti mudah

alih.

ARAHAN KESELAMATAN (Pindaan

2017)

KESELAMATAN MAKLUMAT/DATA

pewujudan – kenalpasti klasifikasi data/maklumat

berdasarkan penilaian risiko kandungan samada

terbuka atau rahsia rasmi/terperingkat?;

klasifikasi menentukan langkah-langkah kawalan dan

perlindungan keselamatan yang perlu;

penyimpanan – dilindungi secara fizikal dan logikal,

pengkomputeran awan ;

penghantaran – kaedah enkripsi dalam situasi data

dalam simpanan (at rest), data dalam pergerakan (in-motion) dan data dalam penggunaan (in use);

kerosakan

yang amat besar kepada

Malaysia.

“RAHSIA BESAR”

menyebabkan

kerosakan besar kepada

kepentingan dan martabat

Malaysia atau memberi

keuntungan besar kepada

sesebuah kuasa asing.

Dokumen, maklumat dan

bahan rasmi selain daripada

yang diperingkatkan

KESELAMATAN MAKLUMAT/DATA

pelepasan data/maklumat - penerima dinilai & pastikan

kesediaan melindungi, kesedaran keselamatan;

sandaran data – kenalpasti lokasi, infrastruktur, jenis

media dan dilaksanakan secara berkala;

pemusnahan & pengarkiban – rujukan CGSO dan Arkib

Negara (pelupusan boleh dalam bentuk fizikal dan/atau

sanitasi data);

jejak audit – mengandungi maklumat terperinci yang

cukup spt. identiti pengguna, transaksi spesifik,

tarikh/masa akses, perubahan status dll)

Kawalan membawa keluar rahsia rasmi melalui peranti

mudah alih.

KLASIFIKASI DOKUMEN, MAKLUMAT,

APLIKASI & MODUL SEBAGAI RAHSIA RASMI

Ciri-ciri Penting :

Pegawai Awam Telah Dilantik;

Buku-buku Daftar Suratan Rahsia Rasmi (Am

492, Am 492a, Am 492b);

Pengelasan/ Tanda Pada Antaramuka, Janaan

Dan Bahan;

Dokumen, Maklumat, Aplikasi & Modul Rahsia

Rasmi Di Luar Jadual;

Dokumen, Maklumat, Aplikasi & Modul Rahsia

Rasmi Dikeluarkan Oleh Jabatan Sendiri;

KESIMPULAN

Penilaian risiko & menentukan klasifikasi data

/maklumat perakaunan dan kewangan perlu

dilaksanakan bagi memastikan kerahsiaan

data/maklumat, dokumen, aplikasi dan modul

sistem Kerajaan dilindungi dari sebarang

bentuk ancaman selaras dengan kehendak

Arahan Keselamatan (semakan dan pindaan

2017), Rangka Dasar Keselamatan Siber

Sektor Awam (RAKKSSA) dan Akta Rahsia

Rasmi 1972.

MENJAGA KESELAMATAN DAN KERAHSIAAN

MAKLUMATTANGGUNGJAWAB

BERSAMA

"KERAHSIAAN TERPELIHARA

MENJAMIN KESELAMATAN NEGARA"

SEKIAN,

TERIMA

KASIH.