polisi dan prosedur sanitasi data digital › wp-content › uploads › 2019 › 05 ›...

POLISI DAN PROSEDUR SANITASI DATA DIGITAL

1 Oktober 2020

Digital Forensics Research Society (DFRS)

Digital Forensics Research Society

1 Oktober 2020 Page 2 of 13

Dokumen ini menerangkan tentang polisi serta prosedur

sanitasi data digital yang terkandung di dalam media storan. Dokumen ini menyediakan garis panduan bagi agensi kerajaan juga agensi swasta di Malaysia untuk

melaksanakan proses sanitasi data digital secara selamat. Tujuan melaksanakan sanitasi data ialah bagi melindungi

kerahsiaan dan keselamatan data yang terkandung di dalam media storan digital.

PPFD (C) 2020. Hakcipta terpelihara.

Diterbitkan oleh: PERSATUAN PENYELIDIKAN FORENSIK DIGITAL

(PPM-019-10-04122019) CYBERSECURITY MALAYSIA,

LEVEL 5 TOWER 1, MENARA CYBER AXIS, JALAN IMPACT, 63000 CYBERJAYA, SELANGOR DARUL EHSAN, MALAYSIA

63000 CYBERJAYA SELANGOR



PEMBANGUNAN DOKUMEN

Dokumen ini telah dibangunkan bersama oleh Wafa’ Bt Mohd Kharudin (Juruanalisa Forensik Digital) dan Sarah Khadijah Taylor (Perunding Forensik Digital) dari CyberSecurity Malaysia serta Dr Khairul Akram Bin Zainol Ariffin(Penyelidik) dari Cyber Security Center, Universiti Kebangsaan Malaysia(UKM). Ia dibangunkan berpandukan hasil kajian Nooreen Ashilla Bt Yusof, pelajar Sarjana dari Universiti Kebangsaan Malaysia pada tahun 2018.



KANDUNGAN

1.0 LATAR BELAKANG ........................................................................................................ 5

2.0 POLISI .......................................................................................................................... 5

2.0 PROSEDUR ................................................................................................................... 6

2.1 SANITASI DATA ............................................................................................................ 6

2.2 PENGESAHAN SANITASI DATA ...................................................................................... 8

3.0 RUJUKAN ................................................................................................................... 10

BORANG MAKLUMAT PENERIMAAN MEDIA...........................................................................11

BORANG MAKLUMAT SANITASI DATA....................................................................................13



1.0 LATAR BELAKANG

Keselamatan data yang terkandung didalam media storan perlu diberi perhatian serius. Data rasmi agensi serta data peribadi individu yang terkandung didalam media storan terdedah kepada risiko kebocoran maklumat sekiranya ia tidak diuruskan dengan baik. Antara amalan keselamatan data yang baik adalah melaksanakan proses sanitasi data storan media sebelum ia dilupuskan, dipulang semula setelah tempoh sewaan tamat atau digunapakai semula. Kaedah sanitasi data yang selamat adalah kaedah operasi tulis ganti (overwrite). Kaedah ini melibatkan penghapusan data secara logikal. Kaedah ini telah dicadangkan oleh NIST dalam dokumen rujukan NIST 800-88 ”Guidelines for Media Sanitization”. Polisi dan garis panduan ini adalah menyokong Tatacara Pelupusan Aset (TPA) Alih Kerajaan (Perbendaharaan Malaysia 2018).

2.0 POLISI 2.1 Keselamatan data rasmi agensi dan data peribadi individu perlu dilindungi dari risiko

kebocoran maklumat semasa proses pelupusan storan media.

2.2 Media storan digital yang mengandungi data rasmi dan data peribadi individu perlu disanitasi menggunakan kaedah tulis balik data (overwrite) sebelum dilupuskan.

2.3 Media storan yang telah disanitasi perlu menjalani proses pengesahan bagi memastikan

proses sanitasi mengikut kaedah tulis baik data telah dilaksanakan. 2.4 Maklumat storan media yang telah menjalani proses ini perlu direkodkan bagi tujuan

rujukan dan semakan akan datang.



2.0 PROSEDUR Prosedur ini mengandungi tujuh(7) proses utama. Setiap proses diterangkan dengan terperinci di seksyen ini. Sebagai rujukan, carta alir proses sanitasi data turut disertakan di Rajah 1. 2.1 Sanitasi Data Prosedur sanitasi data mengandungi tujuh proses utama (A – G). Setiap proses diterangkan dengan terperinci seperti penerangan dibawah.

Carta Alir 1. Proses sanitasi data



A. Terima media storan Maklumat media storan yang diterima seperti bilangan, saiz, model dan jenis sambungan (SATA/PATA) hendaklah direkodkan oleh pegawai agensi. Pengujian akan dilaksanakan sekiranya media storan yang diterima dapat dibaca oleh peralatan sanitasi data. Sekiranya berjaya, proses B akan dilaksanakan dan sekiranya tidak berjaya, proses G akan dilaksanakan.

B. Semak kandungan media

Storan media yang diterima perlu disemak kandungannya secara logikal menggunakan peralatan sanitasi data. Tujuan semakan adalah memastikan storan media yang betul telah diterima dan data yang penting telah disalin.

C. Lakukan salinan pendua (sekiranya perlu) Pemilik perlu mempertimbangkan sekiranya data terkandung di dalam storan media perlu dibuat salinan pendua. Sekiranya perlu, maka laksanakan salinan pendua.

D. Laksanakan sanitasi data secara logikal menggunakan kaedah tulisbalik

Proses pelupusan data secara logikal dilakukan terhadap media storan menggunakan kaedah tulisbalik(overwrite). Ia boleh dilakukan dengan menggunakan peralatan khas sanitasi data seperti perisian Winhex, perkakasan Voom dan perkakasan DataHapus.

E. Laksanakan proses pengesahan sanitasi data

Rujuk Carta Alir 3.2 bagi proses pengesahan sanitasi data. F. Rekodkan maklumat sanitasi data

Aktiviti yang telah dijalankan hendaklah direkodkan di dalam borang khas agensi. Contoh borang maklumat penerimaan media dan borang maklumat sanitasi data adalah seperti di Borang Maklumat Penerimaan Media dan Borang Maklumat Sanitasi Data di dokumen ini.

G. Dapatkan nasihat pakar

Sekiranya komputer atau alat sanitasi tidak dapat membaca kandungan media storan, maka agensi perlu mendapatkan nasihat tentang proses selanjutnya daripada ahli pakar. Kemungkinan sanitasi secara pemusnahan fizikal perlu dilaksanakan.



2.2 Pengesahan Sanitasi Data Prosedur pengesahan sanitasi data mengandungi empat proses utama(A – D). Setiap proses diterangkan dengan terperinci seperti penerangan dibawah.

Carta Alir 2. Proses pengesahan sanitasi data



A. Terima media storan Maklumat media storan yang diterima seperti bilangan, saiz, model dan jenis sambungan (SATA/PATA) hendaklah direkodkan oleh pegawai agensi. Pengujian akan dilaksanakan sekiranya media storan yang diterima dapat dibaca oleh peralatan sanitasi data. Sekiranya berjaya, proses B akan dilaksanakan dan sekiranya tidak berjaya, proses D akan dilaksanakan.

B. Semak kandungan bit dalam sektor

Semak kandungan bit dalam sektor storan media menggunakan perisian khas sanitasi data seperti Winhex. Bit yang terhasil haruslah mengandungi corak berulang, seperti ‘0000’, ‘FFFF’, ‘B9 B9 B9’ dan lain-lain. Sekiranya berjaya, proses C akan dilaksanakan dan sekiranya tidak berjaya, proses D akan dilaksanakan.

C. Rekodkan maklumat pengesahan sanitasi data

Aktiviti yang telah dijalankan hendaklah direkodkan di dalam borang khas agensi. Contoh borang maklumat penerimaan media dan borang maklumat sanitasi data adalah seperti di Borang Maklumat Penerimaan Media dan Borang Maklumat Sanitasi Data di dokumen ini.

D. Dapatkan nasihat pakar

Sekiranya komputer atau alat sanitasi tidak dapat membaca kandungan media storan, atau proses pengesahan sanitasi data tidak berjaya, maka agensi perlu mendapatkan nasihat tentang proses selanjutnya.



3.0 RUJUKAN 3.1 Yusof, N. A. (2018). Sanitasi Data: Kerangka Kerja Pelupusan Data Secara Logikal dari

Cakera Keras Komputer. Universiti Kebangsaan Malaysia.

3.2 Kissel, R., Regenscheid, A., Scholl, M. & Stine, K. 2014. NIST Special Publication 800-88 (Revision 1) Guidelines for Media Sanitization. NIST Special Publication 800-88, Vol. 800, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final

3.3 Perbendaharaan Malaysia. 2018. Tatacara Pengurusan Aset Alih Kerajaan : Pelupusan

Kerajaan Malaysia. https://www.dof.gov.my/dof2/resources/Aset%20Alih/AM_2.pdf

3.4 MAMPU. 2010. Dasar Keselamatan ICT. https://www.mampu.gov.my/ms/warga-mampu/dasar-keselamatan-ict

BORANG PENERIMAAN MEDIA

Nombor Rujukan:

Muka surat 1/1

Senarai Media Storan

Bil Jenis Cakera/Laptop/Komputer Jenama/Model Pengeluar Saiz No. Siri Jenis Port

SATA/IDE/USB Perlu salinan pendua? Y/T

Keadaan Media

Baik/Rosak

Perkhidmatan -Sanitasi Data (S) -Pengesahan(P)

Label Media Diisi oleh penerima

Catatan: ________________________________________________________________________________________________________________________

UNTUK DIISI OLEH PEMOHON UNTUK DIISI OLEH PENERIMA

Tandatangan disini

Nama: Jawatan: Jabatan/Agensi: Tarikh: Emel & No Telefon:

Tandatangan disini

Nama: Jawatan: Tarikh:

BORANG SANITASI DATA

Nombor Rujukan:

Muka surat 1/1

Label Media Storan: ______________

A. MAKLUMAT MEDIA PENDUA

Tarikh salinan pendua dilaksanakan:

Label media storan pendua:

Jenama/model/nombor siri:

Hash value:

Catatan

Dilaksanakan oleh:

Tandatangan disini

Nama:

Jawatan:

B. MAKLUMAT SANITASI DATA Tarikh sanitasi data dilaksanakan:

Peralatan yang digunapakai: Nama, model, versi

Keputusan: Berjaya.

Tidak Berjaya. Alasan: ______________________________

___________________________________________________

Catatan:

Dilaksanakan oleh:

Tandatangan disini

Nama:

Jawatan:

BORANG PENGESAHAN

SANITASI DATA

Nombor Rujukan:

Muka surat 1/1

Label Media Storan: ______________

A. PENGESAHAN DATA Tarikh pengesahan sanitasi data

dilaksanakan:

Kaedah Pengesahan Full Disk Analysis

Quick Sampling

Lain-lain: _____________


Catatan

B. PENETAPAN SEMULA SISTEM FAIL/FORMAT Fail system media storan ini

telah ditetapkan kepada:

FAT

xFAT

NTFS

Lain-lain: _____________________


Catatan

Dilaksanakan oleh:

Tandatangan disini

Nama:

Jawatan:

polisi dan prosedur sanitasi data digital › wp-content › uploads › 2019 › 05 ›...

Documents