polisi dan prosedur sanitasi data digital › wp-content › uploads › 2019 › 05 ›...
TRANSCRIPT
-
POLISI DAN PROSEDUR SANITASI DATA DIGITAL
1 Oktober 2020
Digital Forensics Research Society (DFRS)
-
Digital Forensics Research Society
1 Oktober 2020 Page 2 of 13
Dokumen ini menerangkan tentang polisi serta prosedur
sanitasi data digital yang terkandung di dalam media storan. Dokumen ini menyediakan garis panduan bagi agensi kerajaan juga agensi swasta di Malaysia untuk
melaksanakan proses sanitasi data digital secara selamat. Tujuan melaksanakan sanitasi data ialah bagi melindungi
kerahsiaan dan keselamatan data yang terkandung di dalam media storan digital.
PPFD (C) 2020. Hakcipta terpelihara.
Diterbitkan oleh: PERSATUAN PENYELIDIKAN FORENSIK DIGITAL
(PPM-019-10-04122019) CYBERSECURITY MALAYSIA,
LEVEL 5 TOWER 1, MENARA CYBER AXIS, JALAN IMPACT, 63000 CYBERJAYA, SELANGOR DARUL EHSAN, MALAYSIA
63000 CYBERJAYA SELANGOR
-
Digital Forensics Research Society
1 Oktober 2020 Page 3 of 13
PEMBANGUNAN DOKUMEN
Dokumen ini telah dibangunkan bersama oleh Wafa’ Bt Mohd Kharudin (Juruanalisa Forensik Digital) dan Sarah Khadijah Taylor (Perunding Forensik Digital) dari CyberSecurity Malaysia serta Dr Khairul Akram Bin Zainol Ariffin(Penyelidik) dari Cyber Security Center, Universiti Kebangsaan Malaysia(UKM). Ia dibangunkan berpandukan hasil kajian Nooreen Ashilla Bt Yusof, pelajar Sarjana dari Universiti Kebangsaan Malaysia pada tahun 2018.
-
Digital Forensics Research Society
1 Oktober 2020 Page 4 of 13
KANDUNGAN
1.0 LATAR BELAKANG ........................................................................................................ 5
2.0 POLISI .......................................................................................................................... 5
2.0 PROSEDUR ................................................................................................................... 6
2.1 SANITASI DATA ............................................................................................................ 6
2.2 PENGESAHAN SANITASI DATA ...................................................................................... 8
3.0 RUJUKAN ................................................................................................................... 10
BORANG MAKLUMAT PENERIMAAN MEDIA...........................................................................11
BORANG MAKLUMAT SANITASI DATA....................................................................................13
-
Digital Forensics Research Society
1 Oktober 2020 Page 5 of 13
1.0 LATAR BELAKANG
Keselamatan data yang terkandung didalam media storan perlu diberi perhatian serius. Data rasmi agensi serta data peribadi individu yang terkandung didalam media storan terdedah kepada risiko kebocoran maklumat sekiranya ia tidak diuruskan dengan baik. Antara amalan keselamatan data yang baik adalah melaksanakan proses sanitasi data storan media sebelum ia dilupuskan, dipulang semula setelah tempoh sewaan tamat atau digunapakai semula. Kaedah sanitasi data yang selamat adalah kaedah operasi tulis ganti (overwrite). Kaedah ini melibatkan penghapusan data secara logikal. Kaedah ini telah dicadangkan oleh NIST dalam dokumen rujukan NIST 800-88 ”Guidelines for Media Sanitization”. Polisi dan garis panduan ini adalah menyokong Tatacara Pelupusan Aset (TPA) Alih Kerajaan (Perbendaharaan Malaysia 2018).
2.0 POLISI 2.1 Keselamatan data rasmi agensi dan data peribadi individu perlu dilindungi dari risiko
kebocoran maklumat semasa proses pelupusan storan media.
2.2 Media storan digital yang mengandungi data rasmi dan data peribadi individu perlu disanitasi menggunakan kaedah tulis balik data (overwrite) sebelum dilupuskan.
2.3 Media storan yang telah disanitasi perlu menjalani proses pengesahan bagi memastikan
proses sanitasi mengikut kaedah tulis baik data telah dilaksanakan. 2.4 Maklumat storan media yang telah menjalani proses ini perlu direkodkan bagi tujuan
rujukan dan semakan akan datang.
-
Digital Forensics Research Society
1 Oktober 2020 Page 6 of 13
2.0 PROSEDUR Prosedur ini mengandungi tujuh(7) proses utama. Setiap proses diterangkan dengan terperinci di seksyen ini. Sebagai rujukan, carta alir proses sanitasi data turut disertakan di Rajah 1. 2.1 Sanitasi Data Prosedur sanitasi data mengandungi tujuh proses utama (A – G). Setiap proses diterangkan dengan terperinci seperti penerangan dibawah.
Carta Alir 1. Proses sanitasi data
-
Digital Forensics Research Society
1 Oktober 2020 Page 7 of 13
A. Terima media storan Maklumat media storan yang diterima seperti bilangan, saiz, model dan jenis sambungan (SATA/PATA) hendaklah direkodkan oleh pegawai agensi. Pengujian akan dilaksanakan sekiranya media storan yang diterima dapat dibaca oleh peralatan sanitasi data. Sekiranya berjaya, proses B akan dilaksanakan dan sekiranya tidak berjaya, proses G akan dilaksanakan.
B. Semak kandungan media
Storan media yang diterima perlu disemak kandungannya secara logikal menggunakan peralatan sanitasi data. Tujuan semakan adalah memastikan storan media yang betul telah diterima dan data yang penting telah disalin.
C. Lakukan salinan pendua (sekiranya perlu) Pemilik perlu mempertimbangkan sekiranya data terkandung di dalam storan media perlu dibuat salinan pendua. Sekiranya perlu, maka laksanakan salinan pendua.
D. Laksanakan sanitasi data secara logikal menggunakan kaedah tulisbalik
Proses pelupusan data secara logikal dilakukan terhadap media storan menggunakan kaedah tulisbalik(overwrite). Ia boleh dilakukan dengan menggunakan peralatan khas sanitasi data seperti perisian Winhex, perkakasan Voom dan perkakasan DataHapus.
E. Laksanakan proses pengesahan sanitasi data
Rujuk Carta Alir 3.2 bagi proses pengesahan sanitasi data. F. Rekodkan maklumat sanitasi data
Aktiviti yang telah dijalankan hendaklah direkodkan di dalam borang khas agensi. Contoh borang maklumat penerimaan media dan borang maklumat sanitasi data adalah seperti di Borang Maklumat Penerimaan Media dan Borang Maklumat Sanitasi Data di dokumen ini.
G. Dapatkan nasihat pakar
Sekiranya komputer atau alat sanitasi tidak dapat membaca kandungan media storan, maka agensi perlu mendapatkan nasihat tentang proses selanjutnya daripada ahli pakar. Kemungkinan sanitasi secara pemusnahan fizikal perlu dilaksanakan.
-
Digital Forensics Research Society
1 Oktober 2020 Page 8 of 13
2.2 Pengesahan Sanitasi Data Prosedur pengesahan sanitasi data mengandungi empat proses utama(A – D). Setiap proses diterangkan dengan terperinci seperti penerangan dibawah.
Carta Alir 2. Proses pengesahan sanitasi data
-
Digital Forensics Research Society
1 Oktober 2020 Page 9 of 13
A. Terima media storan Maklumat media storan yang diterima seperti bilangan, saiz, model dan jenis sambungan (SATA/PATA) hendaklah direkodkan oleh pegawai agensi. Pengujian akan dilaksanakan sekiranya media storan yang diterima dapat dibaca oleh peralatan sanitasi data. Sekiranya berjaya, proses B akan dilaksanakan dan sekiranya tidak berjaya, proses D akan dilaksanakan.
B. Semak kandungan bit dalam sektor
Semak kandungan bit dalam sektor storan media menggunakan perisian khas sanitasi data seperti Winhex. Bit yang terhasil haruslah mengandungi corak berulang, seperti ‘0000’, ‘FFFF’, ‘B9 B9 B9’ dan lain-lain. Sekiranya berjaya, proses C akan dilaksanakan dan sekiranya tidak berjaya, proses D akan dilaksanakan.
C. Rekodkan maklumat pengesahan sanitasi data
Aktiviti yang telah dijalankan hendaklah direkodkan di dalam borang khas agensi. Contoh borang maklumat penerimaan media dan borang maklumat sanitasi data adalah seperti di Borang Maklumat Penerimaan Media dan Borang Maklumat Sanitasi Data di dokumen ini.
D. Dapatkan nasihat pakar
Sekiranya komputer atau alat sanitasi tidak dapat membaca kandungan media storan, atau proses pengesahan sanitasi data tidak berjaya, maka agensi perlu mendapatkan nasihat tentang proses selanjutnya.
-
Digital Forensics Research Society
1 Oktober 2020 Page 10 of 13
3.0 RUJUKAN 3.1 Yusof, N. A. (2018). Sanitasi Data: Kerangka Kerja Pelupusan Data Secara Logikal dari
Cakera Keras Komputer. Universiti Kebangsaan Malaysia.
3.2 Kissel, R., Regenscheid, A., Scholl, M. & Stine, K. 2014. NIST Special Publication 800-88 (Revision 1) Guidelines for Media Sanitization. NIST Special Publication 800-88, Vol. 800, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final
3.3 Perbendaharaan Malaysia. 2018. Tatacara Pengurusan Aset Alih Kerajaan : Pelupusan
Kerajaan Malaysia. https://www.dof.gov.my/dof2/resources/Aset%20Alih/AM_2.pdf
3.4 MAMPU. 2010. Dasar Keselamatan ICT. https://www.mampu.gov.my/ms/warga-mampu/dasar-keselamatan-ict
-
BORANG PENERIMAAN MEDIA
Nombor Rujukan:
Muka surat 1/1
Senarai Media Storan
Bil Jenis Cakera/Laptop/Komputer Jenama/Model Pengeluar Saiz No. Siri Jenis Port
SATA/IDE/USB Perlu salinan pendua? Y/T
Keadaan Media
Baik/Rosak
Perkhidmatan -Sanitasi Data (S) -Pengesahan(P)
Label Media Diisi oleh penerima
Catatan: ________________________________________________________________________________________________________________________
UNTUK DIISI OLEH PEMOHON UNTUK DIISI OLEH PENERIMA
Tandatangan disini
Nama: Jawatan: Jabatan/Agensi: Tarikh: Emel & No Telefon:
Tandatangan disini
Nama: Jawatan: Tarikh:
-
BORANG SANITASI DATA
Nombor Rujukan:
Muka surat 1/1
Label Media Storan: ______________
A. MAKLUMAT MEDIA PENDUA
Tarikh salinan pendua dilaksanakan:
Label media storan pendua:
Jenama/model/nombor siri:
Hash value:
Catatan
Dilaksanakan oleh:
Tandatangan disini
Nama:
Jawatan:
B. MAKLUMAT SANITASI DATA Tarikh sanitasi data dilaksanakan:
Peralatan yang digunapakai: Nama, model, versi
Keputusan: Berjaya.
Tidak Berjaya. Alasan: ______________________________
___________________________________________________
Catatan:
Dilaksanakan oleh:
Tandatangan disini
Nama:
Jawatan:
-
BORANG PENGESAHAN
SANITASI DATA
Nombor Rujukan:
Muka surat 1/1
Label Media Storan: ______________
A. PENGESAHAN DATA Tarikh pengesahan sanitasi data
dilaksanakan:
Kaedah Pengesahan Full Disk Analysis
Quick Sampling
Lain-lain: _____________
Peralatan yang digunapakai: Nama, model, versi
Catatan
B. PENETAPAN SEMULA SISTEM FAIL/FORMAT Fail system media storan ini
telah ditetapkan kepada:
FAT
xFAT
NTFS
Lain-lain: _____________________
Peralatan yang digunapakai: Nama, model, versi
Catatan
Dilaksanakan oleh:
Tandatangan disini
Nama:
Jawatan: