UNIT PEMODENAN TADBIRAN DAN PERANCANGAN PENGURUSAN MALAYSIA (MAMPU)

JABATAN PERDANA MENTERI

PROGRAM KESEDARAN PELAKSANAAN SPA SEKTOR AWAM

Oktober 2010

BAHAGIAN PEMATUHAN ICTMAMPU, JPM

Versi 1.2

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

2

AGENDA

2

TUJUAN TAKLIMAT

PENGENALAN

OBJEKTIF GARIS PANDUAN

PENDEKATAN PENILAIAN

LATAR BELAKANG

LANGKAH-LANGKAH PENILAIAN

PENUTUP

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

3

Memberi penjelasan berhubung Surat Pekeliling Am Bilangan 3 Tahun 2009:

Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awamyang perlu diberi perhatian dan tindakan

oleh agensi-agensi Kerajaan

TUJUAN TAKLIMAT

3

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

4

Agensi pusat yangbertanggungjawab ke atasKeselamatan ICT Kerajaan

adalah MAMPU, JPM

Petikan Pekeliling Am Bil. 3 Tahun 2000, para 32:Rangka Dasar Keselamatan Teknologi Maklumat dan

Komunikasi Kerajaan1 Oktober 2000

PENGENALAN

4

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

5

• Masih banyak kes insiden-insiden keselamatan ICTberlaku di agensi-agensi kerajaan.

• Punca utama ialah penggodam berjaya menemuikelemahan-kelemahan yang boleh dieksploitasi.

• Terdapat juga kes yang berulang di agensi yangsama walaupun telah diberikan e-mel notisperingatan supaya memperkukuhkan rangkaian dansistem ICT masing-masing.

LATAR BELAKANG – KESELAMATAN

ICT SEKTOR AWAM

5

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

6

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 1)

6

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

7

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 2)

7

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

8

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 3)

8

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

99

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 4)

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

1010

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 5)

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

1111

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 6)

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

1212

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 7)

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

1313

LATAR BELAKANG - INSIDEN

KESELAMATAN ICT (KES 8)

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

14

LATAR BELAKANG – STATISTIK INSIDEN

KESELAMATAN ICT 2008 – 2010

Sehingga 07 Okt. 2010Sumber:

Government Computer Emergency Response Team(GCERT), MAMPU

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

15

LATAR BELAKANG – STATISTIK INSIDEN

KESELAMATAN ICT MENGIKUT AGENSI

Sehingga 07 Okt. 2010Sumber:

Government Computer Emergency Response Team(GCERT), MAMPU

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

16

• Sentiasa mengikuti perkembangan terkini dalamkeselamatan ICT.

• Sentiasa bersedia - ramalan Top 10 Web ApplicationSecurity Risks bagi Tahun 2010:1) Injection2) Cross-Site Scripting (XSS)3) Broken Authentication and Session Management4) Insecure Direct Object References5) Cross-Site Request Forgery (CSRF)6) Security Misconfiguration7) Insecure Cryptographic Storage8) Failure to Restrict URL Access9) Insufficient Transport Layer Protection10) Unvalidated Redirects and Forwards

(Sumber: www.owasp.org)

LATAR BELAKANG – PENGURUSAN

ANCAMAN KESELAMATAN

16

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

17

• Amalan pengurusan ancaman yang baik akanmemberi fokus kepada 3 perkara:• Kesan (Detect)• Tindak balas (Response)• Cegah (Prevent)

LATAR BELAKANG – PENGURUSAN

ANCAMAN KESELAMATAN (samb.)

17

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

18

Berkuat kuasa pada 17 November 2009, Kerajaan telah mengeluarkan

Surat Pekeliling Am Bilangan 3 Tahun 2009: Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan

Sistem ICT Sektor Awam yang menekankan:

LATAR BELAKANG – SURAT

PEKELILING AM BIL. 3 TAHUN 2010

18

pelaksanaan Penilaian Tahap Keselamatan

pengesanan kelemahan sistem ICT

pelaksanaan tindakan pengukuhan

pemantauan keberkesanan kawalan pengukuhan

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

19

Sistem ICT hendaklah dipastikan berada dalamkeadaan tersedia, selamat dan dipercayai.

Ketua-ketua Jabatan perlu menjalankan PenilaianTahap Keselamatan agensi sekurang-kurangnyasatu (1) kali dalam setahun – secara berkala.

Merupakan satu (1) cara pemantauan danpengesanan kelemahan terhadap rangkaian dansistem ICT bagi penambahbaikan secara berterusan.

LATAR BELAKANG – SURAT

PEKELILING AM BIL. 3 TAHUN 2010

19

Petikan Surat Pekeliling Am Bil. 3 Tahun 2009, para 3 hingga 6:Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam

17 November 2009

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

20

Sebagai panduan untuk pelaksanaan Penilaian Tahap Keselamatan Rangkaian

dan Sistem ICT (Penilaian Tahap Keselamatan ICT)

Sektor Awam.

OBJEKTIF GARIS PANDUAN

20

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

2121

LANGKAH-LANGKAH PENILAIAN

21

LANGKAH 1

LANGKAH 2 LANGKAH 3

LANGKAH 4

LANGKAH 5LANGKAH 6

LANGKAH 7

Tubuh Pasukan KerjaPenilaian Tahap

Keselamatan

Semak Dasar Keselamatan ICT

Nilai amalan Keselamatan

Fizikal

Ujian Penembusan

Nilai Keselamatan Rangkaian & Hos

Analisis

Laporan Pengukuhan

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

22

LANGKAH 1

22

Tubuh Pasukan Kerja Penilaian Tahap Keselamatan• Melantik pasukan kerja yang berkemahiran.• Menentukan bidang tugas dan peranan pasukan kerja terlibat.

Rajah 1: Urus Tadbir Pasukan Kerja Penilaian Tahap Keselamatan

* Pengurus ICT Agensi atau yang setara.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

23

LANGKAH 1 (samb.)

23

Antara peranan Pengerusi:• Menerajui arah tuju projek• Menetapkan skop dan jadual pelaksanaan• Menyediakan sumber• Memantau kemajuan• Mengurus projek• Memastikan pelaksanaan projek mengikut jadual• Menyelesaikan isu-isu projek• Mentadbir projek.

Antara peranan pasukan pelaksana:• Melaksanakan penilaian tahap keselamatan• Kemuka cadangan untuk pembangunan/

penambahbaikan.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

24

LANGKAH 2

24

Semak Dasar Keselamatan ICT

• Penyediaan ulasan (review) setelah melaksanakan aktiviti-aktiviti berikut:

i. menyemak dasar keselamatan ICT Agensi dengan menemu bual kumpulan sasar dan membuat pemerhatian; dan

ii. menganalisis data penemuan soal selidik, temu bual dan pemerhatian.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

25

LANGKAH 3

25

Nilai Amalan Keselamatan Fizikal

• Menilai kekuatan dan kelemahan kawalan keselamatan fizikal melalui pemerhatian persekitaran fizikal dan langkah keselamatan sedia ada.

• Aktiviti-aktiviti dijalankan:

i. Memastikan wujudnya sistem kawalan keselamatan fizikal di lokasi penempatan aset agensi;

ii. Menilai ancaman keselamatan;iii. Menemu bual Pegawai Keselamatan ICT untuk memahami

amalan dan prosedur keselamatan ICT sedia ada;iv. Memeriksa Buku Daftar Masuk/Keluar ke Bilik Server; danv. Memerhati amalan sebenar keselamatan di laluan keluar masuk

ke premis agensi.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

26

LANGKAH 4

26

Melaksanakan Ujian Penembusan

• Pelaksanaan ujian penembusan secara dalaman (internal penetration) dan secara luaran (external penetration).

• Tujuan: mengenal pasti kelemahan (vulnerabilities).

• Aktiviti-aktiviti dijalankan:

i. Menjalankan penembusan untuk mendapatkan akses secara remote kepada sistem, fail-fail dan maklumat agensi;

ii. Menjalankan network sniffing; iii. Mengenal pasti sebarang kelemahan aplikasi atau konfigurasi;iv. Menamatkan sebarang aktiviti penembusan; danv. Menjalankan pengujian denial of services (DOS) dengan

kebenaran agensi

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

27

LANGKAH 4 (samb.)

27

Rajah 2: Ujian penembusan melalui alamat IP dalaman dan alamat IP luaran

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

28

LANGKAH 5

28

Nilai Keselamatan Rangkaian dan Hos

• Menilai sama ada reka bentuk dan keselamatan rangkaian dan sistem-sistem aplikasi mengambil kira aspek-aspek keselamatan.

• Melaksanakan aktiviti-aktiviti berikut:

i. Menilai reka bentuk rangkaian ICT;

ii. Menyemak perimeter dan peranti-peranti;

iii. Menyemak keselamatan sistem pengoperasian dan configuration setup; dan

iv. Menyemak keselamatan sistem aplikasi.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

29

LANGKAH 6

29

Menganalisis Data Penemuan Penilaian Tahap Keselamatan

• Melaksanakan aktiviti-aktiviti berikut:

i. Menganalisis data yang dikumpulkan dan membuat perbandingan dengan amalan-amalan terbaik (rujukan: ISO/IEC 27002:2005 – Information Technology – Security Techniques – Code of Practice for Information Security Management);

ii. Mengklasifikasikan kelemahan sistem pengoperasian sedia ada;

iii. Merumuskan jenis serangan penembusan; dan

iv. Mengenal pasti kelemahan sebenar.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

30

LANGKAH 7

30

Menyediakan Laporan Pengukuhan

• Disediakan oleh Kumpulan Pelaksana

• Laporan komprehensif berhubung hasil penemuan penilaian dan turut merangkumi:

– penambahbaikan Dasar Keselamatan ICT Agensi;

– penambahbaikan amalan keselamatan fizikal;

– langkah-langkah pengukuhan sistem pengoperasian dan sistem aplikasi;

– penambahbaikan reka bentuk rangkaian ICT, jika perlu; dan

– pengukuhan keselamatan sistem pengoperasian, sistem aplikasi dan konfigurasi peralatan rangkaian ICT.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

3131

OUTPUT PELAKSANAAN SPA

31

LANGKAH 1 LANGKAH 2 LANGKAH 3

• Hasil semakan Dasar Keselamatan ICT.

• Hasil penemuan keselamatan fizikal.

• Jadual pelaksanaan;

• Struktur Kumpulan Pelaksana;

• Skop Kerja SPA; dan

• Mesyuarat / perbincangan status kemajuan.

LANGKAH 4

• Hasil penemuan penembusan dalaman dan luaran.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

3232

OUTPUT PELAKSANAAN SPA (samb.)

LANGKAH 5 LANGKAH 6 LANGKAH 7

• Hasil penemuan kelemahan rangkaian dan sistem ICT.

• Laporan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT .

Hasil penemuan:

• keselamatan rangkaian dan hos seperti router, firewall dan sebarang peranti komunikasi data;

• reka bentuk rangkaian ICT agensi; dan

• keselamatan sistem operasi dan sistem aplikasi.

32

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

33

PENDEKATAN PENILAIAN

TAHAP KESELAMATAN

33

MELANTIK PIHAK KETIGA BERTAULIAH

Pegawai yang bertanggung jawab mestilah:

• Berpengetahuan dan mahir dalam pengoperasian dan komunikasi ICT;

• Mahir dalam aspek-aspek melaksanakanujian penembusan ke atas rangkaian dan sistem ICT; dan

• Pernah menjalani latihan ujian penembusan rangkaian ICT oleh pusat latihan bertauliah dalam bidang keselamatan ICT.

AGENSI MELAKSANA SENDIRI

Syarikat dipilih mestilah:

• Berdaftar dengan MoF (210104: Software Products and Services, 210105: Other Computer Related Services, 210106: Networking Product & Services dan 242600: Pengurusan Keselamatan)

• Dipersijilkan ISO/IEC 27001:2005 atau MS ISO/IEC 27001:2006; dan

• Tiada kaitan dengan vendor pembekal sistem-sistem ICT agensi

DUA (2) PENDEKATANPENILAIAN TAHAP KESELAMATAN

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

34

KHIDMAT NASIHAT

34

Sebarang kemusykilan dan hasil pelaksanaan Penilaian Tahap Keselamatan ICT hendaklah dikemukakan kepada MAMPU

seperti di bawah:

Ketua PengarahUnit Pemodenan Tadbiran dan Perancangan

Pengurusan Malaysia (MAMPU)Jabatan Perdana Menteri

Aras 6, Blok B2Kompleks Jabatan Perdana Menteri

Pusat Pentadbiran Kerajaan Persekutuan62502 PUTRAJAYA

Telefon : 03-8872 3000 / 8872 5000Faks : 03-8888 3721

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

35

PENUTUP

23

• Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam:

menjelaskan langkah-langkah penilaian tahap keselamatan;memperincikan pelaksanaan aktiviti-aktiviti penilaian; dan membantu agensi merancang pengukuhan yang sesuai.

• Tanggungjawab agensi:

mematuhi garis panduan yang telah disediakan;

menghantar laporan penuh hasil pelaksanaan penilaian tahap keselamatan kepada MAMPU; dan

memberi penekanan terhadap langkah pengukuhan yang perlu diambil berdasarkan penemuan pelaksanaan penilaian.

PENUTUP

35

• Pelaksanaan penilaian tahap keselamatan ICT hendaklah dibuat secara berkala dan ia membantu agensi dalam memantau tahap keselamatan rangkaian dan sistem aplikasi di agensi.

• Agensi-agensi hendaklah mematuhi garis panduan ini dalam menilai tahap keselamatan ICT masing-masing.

• Slaid taklimat boleh dimuat turun di http://www.ictsecurity.gov.my/ - menu ‘Pengukuhan’.

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

36

“Organisations often fail to realize that even if the technologies,

operating systems and environments were to remain static, the

mechanisms required to secure those systems against the latest

threats would continue adapt and force change. It doesn't take too

much effort to find news articles of the latest computer virus to

circulate the world, the number of new vulnerabilities discovered

last month, or the critical fixes for your operating systems that need

applying today. However, it does take a substantial amount of time

for an organisation to develop the security mechanisms to help

protect against both last month's and next month's threat.”

Sumber:http://www.windowsecurity.com/whitepapers/Assessing-Your-Security-Policy.html

PENUTUP

36

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

37

PENUTUP

23

• Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam:

menjelaskan langkah-langkah penilaian tahap keselamatan;memperincikan pelaksanaan aktiviti-aktiviti penilaian; dan membantu agensi merancang pengukuhan yang sesuai.

• Tanggungjawab agensi:

mematuhi garis panduan yang telah disediakan;

menghantar laporan penuh hasil pelaksanaan penilaian tahap keselamatan kepada MAMPU; dan

memberi penekanan terhadap langkah pengukuhan yang perlu diambil berdasarkan penemuan pelaksanaan penilaian.

RUJUKAN

37

• Surat Pekeliling Am Bil. 3 Tahun 2009: Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam.

• Portal Keselamatan ICT Sektor Awam (http://www.ictsecurity.gov.my/)

• www.owasp.org

• www.wikipedia.org

Click to edit Master text styles

› Second level

Third level

Fourth level

Fifth level

38

Terima Kasih

FATMAWATI ZIFA BT ZAUKANIfatmawati@mampu.gov.my

BAHAGIAN PEMATUHAN ICTMAMPU

JABATAN PERDANA MENTERI