Upload
vuthu
View
761
Download
38
Embed Size (px)
Citation preview
ARAHAN KESELAMATAN
KERAJAAN(SEMAKAN DAN PINDAAN 2017)
SEJAUHMANA DATA PERAKAUNAN &
KEWANGAN DIKLASIFIKASIKAN SEBAGAI
MAKLUMAT TERPERINGKAT?
OLEH :
JULAILA BT ENGAN
BAHAGIAN KESELAMATAN ICT DAN RAHSIA RASMI
PEJABAT KETUA PEGAWAI KESELAMATAN KERAJAAN
MALAYSIA
SKOP :
OBJEKTIF
PENGENALAN
RISIKO ANCAMAN & KATEGORI ASET
CIRI-CIRI KESELAMATAN MAKLUMAT
KONSEP PERLINDUNGAN
KENDALI MAKLUMAT DALAM
PERSEKITARAN ICT
KESELAMATAN MAKLUMAT
KLASIFIKASI MAKLUMAT
KESIMPULAN
OBJEKTIF TAKLIMAT
UNTUK MEMBERI PENJELASAN
TENTANG KEPENTINGAN
KLASIFIKASI DATA/MAKLUMAT DAN
LANGKAH-LANGKAH
PERLINDUNGANNYA SELARAS
DENGAN KEHENDAK ARAHAN
KESELAMATAN, RAKKSSA & AKTA
RAHSIA RASMI 1972
PENGENALAN :
Semua maklumat terperingkat/rahsia rasmi
hendaklah dijaga kerahsiaannya dan
dikendalikan sebaik mungkin pada setiap masa
bagi memastikan kesempurnaan dan ketepatan
maklumat bagi melindungi kepentingan kerajaan,
integriti, bisnes dan masyarakat.
Ciri-ciri keselamatan maklumat seperti
kerahsiaan, integriti dan kebolehsediaan
hendaklah disokong oleh keperluan perundangan
khususnya Akta Rahsia Rasmi 1972 dan
pindaannya 1986 serta Arahan Keselamatan.
“Kepentingan kawalan ke
atas rahsia rasmi dan aset
kerajaan perlu sentiasa
diberi keutamaan yang
tinggi. Ini kerana ia
merupakan sesuatu yang
tidak ternilai”
RISIKO ANCAMAN KESELAMATAN
YBHG. TAN SRI DR ALI BIN HAMSA
KETUA SETIAUSAHA NEGARA
Information
IT Systems
Facilities
Personnel
Services
Employee Morale
Public Confidence
Department’s Image
KATEGORI ASET
KERAJAAN
KESELAMATAN MAKLUMAT
‘perlindungan maklumat dan sistem
maklumat daripada capaian yang tidak
dibenarkan, digunakan, didedahkan,
diganggu, diubahsuai atau dimusnahkan’
Bytes
Bits
Data File
Text File
Spread-
sheet File
Raster File
VectorFile
SoundFile
VideoFile
records pages
fields words
rows and columns (cells)
bitmap vectors(display list)
digitized music or voice
multiple bit-maps and other codes
what hardware sees
what users see is controlled by software
akses on demand terhadap data dan sumberkepada pengguna yang dibenarkan
Correct information
For the correct person
At the correct moment
INTEGRITI
KERAHSIAAN
KETERSEDIAAN
hanya individu yang dibenarkan boleh akses
maklumat tidak diubahsuai
CIRI-CIRI KESELAMATAN MAKLUMAT
TIDAK BOLEH DISANGKAL
KESAHIHAN
jaminan (pengguna, program dan proses) telahdikenalpasti dan disahkan
membuktikan integriti dan punca data boleh
disahkan
CIRI-CIRI KESELAMATAN MAKLUMAT
kriptografi
multi factor
authentication
INTEGRITI
Data/maklumat hendaklah tepat, lengkap dankemaskini. Ia hanya boleh diubah dengan carayang dibenarkan.
Kawalan terhadap pengubahsuaian danpenghapusan maklumat yang tidak teratur, kesilapan dan maklumat tertinggal.
Semakan integriti seperti hash total untukmencegah kesilapan dan maklumat tertinggalbagi mengekalkan integriti.
Melindungi sistem aplikasi dan infrastrukturkeselamatan dari serangan dalaman dan luaranrangkaian.
KERAHSIAAN
• Maklumat tidak boleh didedahkan sewenang-
wenangnya atau dibiarkan diakses tanpa kebenaran.
• Semua maklumat rahsia rasmi hendaklah dienkrip
semasa dalam storan dan penghantaran.
• Semua private keys seperti password, PKI dll
hendaklah dilindungi dan dirahsiakan.
• Memastikan penghantaran yang selamat disetiap
peringkat dan melindungi trafik dari dicuri dengar,
connection hijacking dan serangan rangkaian lain
dengan menggunakan protokol Secure Socket Layer (SSL), Secure Shell (SSH) dan Hardware Secure Modul(HSM) versi semasa.
KEBOLEHSEDIAAN
Data dan maklumat hendaklah boleh diakses pada
bila-bila masa (memastikan akses on demandterhadap data dan sumber kepada individu yang
diizinkan).
Mewujudkan mekanisma perlindungan dari ancaman
yang boleh memberi kesan terhadap ketersediaan
sistem rangkaian dan maklumat.
Mewujudkan langkah-langkah backup.
Menyediakan kakitangan mahir bagi tindakan
pemulihan supaya sistem segera beroperasi.
Memasang sistem pengesanan pencerobohan spt IDS
dll.
TIDAK BOLEH DISANGKAL
Punca data dan maklumat hendaklah dari punca
yang sah dan tidak boleh disangkal.
Bermaksud keperluan bagi membuktikan integriti
dan punca data boleh disahkan daripada penafian
penglibatan tindakan sebelumnya.
Dapat dilaksanakan secara kriptografi dengan
penggunaan tandatangan digital.
KESAHIHAN
Jaminan (pengguna, program dan proses)
dikenalpasti dan disahkan melalui suatu
pengenalan identiti (ID).
Aktiviti direkodkan bagi tujuan pengesanan dan
akauntabiliti.
Menilai teknik bagi pengenalan identiti dan
kesahihan.
Melaksanakan two factor authentication atau multi factor authentication.
Hardware
Software
Human Documentation
Building
Networks
Communication Devices Information
Pendrive
ASET DAN MAKLUMAT DILINDUNGI MELALUI
KONSEP ‘DEFENCE IN-DEPTH’
‘DEFENCE IN-DEPTH’‘PERLINDUNGAN SECARA MENDALAM’
Technology
People
PROCESS
KENDALI MAKLUMAT DALAM PERSEKITARAN
ICT
meliputi proses:
pewujudan
penyimpanan,
penghantaran,
pelepasan,
sandaran data,
Pemusnahan & pengarkiban,
jejak audit dan
membawa keluar rahsia rasmi melalui peranti mudah
alih.
ARAHAN KESELAMATAN (Pindaan
2017)
KESELAMATAN MAKLUMAT/DATA
pewujudan – kenalpasti klasifikasi data/maklumat
berdasarkan penilaian risiko kandungan samada
terbuka atau rahsia rasmi/terperingkat?;
klasifikasi menentukan langkah-langkah kawalan dan
perlindungan keselamatan yang perlu;
penyimpanan – dilindungi secara fizikal dan logikal,
pengkomputeran awan ;
penghantaran – kaedah enkripsi dalam situasi data
dalam simpanan (at rest), data dalam pergerakan (in-motion) dan data dalam penggunaan (in use);
kerosakan
yang amat besar kepada
Malaysia.
“RAHSIA BESAR”
menyebabkan
kerosakan besar kepada
kepentingan dan martabat
Malaysia atau memberi
keuntungan besar kepada
sesebuah kuasa asing.
KESELAMATAN MAKLUMAT/DATA
pelepasan data/maklumat - penerima dinilai & pastikan
kesediaan melindungi, kesedaran keselamatan;
sandaran data – kenalpasti lokasi, infrastruktur, jenis
media dan dilaksanakan secara berkala;
pemusnahan & pengarkiban – rujukan CGSO dan Arkib
Negara (pelupusan boleh dalam bentuk fizikal dan/atau
sanitasi data);
jejak audit – mengandungi maklumat terperinci yang
cukup spt. identiti pengguna, transaksi spesifik,
tarikh/masa akses, perubahan status dll)
Kawalan membawa keluar rahsia rasmi melalui peranti
mudah alih.
KLASIFIKASI DOKUMEN, MAKLUMAT,
APLIKASI & MODUL SEBAGAI RAHSIA RASMI
Ciri-ciri Penting :
Pegawai Awam Telah Dilantik;
Buku-buku Daftar Suratan Rahsia Rasmi (Am
492, Am 492a, Am 492b);
Pengelasan/ Tanda Pada Antaramuka, Janaan
Dan Bahan;
Dokumen, Maklumat, Aplikasi & Modul Rahsia
Rasmi Di Luar Jadual;
Dokumen, Maklumat, Aplikasi & Modul Rahsia
Rasmi Dikeluarkan Oleh Jabatan Sendiri;
KESIMPULAN
Penilaian risiko & menentukan klasifikasi data
/maklumat perakaunan dan kewangan perlu
dilaksanakan bagi memastikan kerahsiaan
data/maklumat, dokumen, aplikasi dan modul
sistem Kerajaan dilindungi dari sebarang
bentuk ancaman selaras dengan kehendak
Arahan Keselamatan (semakan dan pindaan
2017), Rangka Dasar Keselamatan Siber
Sektor Awam (RAKKSSA) dan Akta Rahsia
Rasmi 1972.
MENJAGA KESELAMATAN DAN KERAHSIAAN
MAKLUMATTANGGUNGJAWAB
BERSAMA
"KERAHSIAAN TERPELIHARA
MENJAMIN KESELAMATAN NEGARA"