BAB 1
PENGENALAN
1.1
Pengenalan
Ledakan teknologi maklumat yang berkembang pesat di negara ini, memperlihatkan betapa beruntungnya generasi masa kini berikutan terdedah kepada dunia tanpa sempadan. Ia bukan saja berfungsi sebagai agen komunikasi, malah menjadi jambatan untuk pengguna memanfaatkannya sebagai sebahagian daripada rutin dan keperluan hidup. Keselamatan ICT berkait rapat dengan pelindungan maklumat dan aset ICT. Ini kerana komponen peralatan perkakasan dan perisian yang merupakan sebahagian daripada aset ICT organisasi kerajaan adalah pelaburan besar dan perlu dilindungi. Begitu juga dengan maklumat yang tersimpan di dalam sistem ICT, ia amat berharga kerana banyak sumber yang telah digunakan untuk menghasilkannya dan sukar untuk dijana semula dalam jangkamasa yang singkat.
Tambahan pula terdapat maklumat yang diproses oleh sistem ICT adalah sensitif dan terperingkat. Pendedahan tanpa kebenaran atau pembocoran rahsia boleh memudaratkan kepentingan negara. Sebarang penggunaan aset ICT kerajaan selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu penyalahgunaan sumber Kerajaan. Justeru itu satu tinjauan ISMS telah dibuat oleh NISER (National IC Security & Emergency Response Center) dalam bulan Oktober 2003 terhadap 100 organisasi, kebiasaannya jenis serangan adalah serangan virus (87%) dan mail spamming (83%). Lebih daripada 68% organisasi tersebut mempunyai sedikit pengetahuan mengenai ISMS.1 Sementara lebih kurang 37% organisasi tidak mempunyai polisi keselamatan langsung.
2 Bagi menangani risiko ini dari semasa ke semasa, Dasar Keselamatan ICT Kerajaan akan diperjelaskan lagi melalui pengeluaran Piawaian Keselamatan ICT yang mengandungi garis panduan serta langkah-langkah keselamatan ICT. Kegunaan kesemua dokumen ini secara bersepadu adalah disarankan. Ini adalah kerana pembentukan dasar, piawaian, peraturan, garis panduan dan langkah-langkah keselamatan ini diorientasikan untuk melindungi kerahsiaan data, maklumat dan sebarang kesimpulan yang boleh dibuat daripadanya.
1.2
Latar Belakang Masalah
Memandangkan sistem ICT sangat kompleks dan terdedah kepada kelemahan, ancaman dan risiko, adalah tidak mudah untuk memenuhi keperluan ini. Sistem ICT dan komponennya yang saling berhubungan dan bergantungan antara satu dengan lain kerapkali mewujudkan pelbagai kelemahan.
Sesetengah risiko hanya menjadi kenyataan setelah masa berlalu manakala sesetengahnya timbul apabila berlaku perubahan. Walau bagaimanapun risiko seperti ini hendaklah dikenalpasti dan ditangani sewajarnya. Bagi menentukan Sistem ICT ini terjamin keselamatannya sepanjang masa, Polisi dan Dasar Keselamatan ICT ini merangkumi perlindungan semua bentuk maklumat yang dimasuk, diwujud, dimusnah, disimpan, dijana, dicetak, dicapai, diedar, dalam penghantaran dan yang dibuat salinan keselamatan ke dalam semua aset ICT.
Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut :
i)
Data dan Maklumat - Semua data dan maklumat yang disimpan atau digunakan dipelbagai media atau peralatan ICT.
ii)
Peralatan dan perkakasan ICT - Semua peralatan komputer dan periferal seperti komputer peribadi, stesen kerja, kerangka utama dan alat-alat prasarana seperti Uninterrupted Power Supply (UPS), bekalan punca kuasa dan pendingin hawa.
3 iii)
Media Storan - Semua alat berbentuk media storan dan peralatan yang berkaitan seperti disket, kartrij, CD-ROM, pita, cakera, pemacu cakera dan pemacu pita.
iv)
Komunikasi dan Peralatan Rangkaian - Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX.
iv)
Perisian - Semua perisian yang digunakan untuk mengendali, memproses, menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sistem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail program dan fail data.
v)
Dokumentasi - Semua dokumentasi yang mengandungi maklumat berkaitan dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparensi, risalah dan slaid.
vi)
Manusia - Semua pengguna yang dibenarkan termasuk pentadbir dan pengurus serta mereka yang bertanggungjawab terhadap keselamatan ICT.
viii)
Premis Komputer dan Komunikasi - semua kemudahan serta premis yang diguna untuk menempatkan perkara (i)-(vii) di atas.
Justeru itu, satu Unit Keselamatan ICT perlu ditubuhkan di Pusat ICT, UTM bagi memastikan perkhidmatan yang disediakan dan dilindungi dari serangan yang disengajakan atau tidak disengajakan (seperti serangan virus dan cecacing). Unit ini bertanggungjawab menyediakan pelayan dinding api dan proxy di laluan keluar masuk fakulti dan bahagian dan juga dinding api di laluan utama rangkaian universiti. Disamping itu pemantauan terhadap keselamatan rangkaian dalaman ,sistemsistem pelayan, komputer-komputer pengguna dengan menggunakan beberapa perisian seperti CISCO NAC (Network Access Control), OPMANAGER, Nagios, MRTG (Multi Router Traffic Generator) dan Host Monitoring digunakan. Dengan bantuan unit lain seperti Unit Rangkaian dan Bahagian Akademik kempen-kempen kesedaran keselamatan ICT kepada pengguna kampus turut dilakukan. Unit ini akan
4 melihat perlaksanaan Polisi Keselamatan ICT yang telah diluluskan oleh pihak universiti secara lebih terperinci .
Terdapat 5 pekeliling yang digariskan oleh agensi pusat (Malaysian Administrative Modernization and Management and Management Planning Unit(MAMPU) dan Jabatan Perdana Menteri) :
i)
Pekeliling Am Bil. 3 Tahun 2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan.
ii)
Pekeliling Am Bil. 1 Tahun 2001 : Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dn Komunikasi(ICT).
iii)
The Malaysian Public Sector ICT Management Security Handbook (MyMIS), January 2002.
iv)
Pekeliling Kemajuan Pentadbiran Awam Bil. 1 Tahun 2003 – Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan.
v)
Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan Melaksanakan Penilaian Risiko Keselamatan Maklumat Sektor Awam.
1.3
Pernyataan Masalah
i)
Walaupun polisi keselamatan ICT telah diluluskan oleh Universiti pada tahun 2004 tetapi dokumen polisi keselamatan yang ada masih belum dikaji secara menyeluruh untuk diimplementasi di UTM.
ii)
Tiada terdapat sistem Polisi Keselamatan dari Pusat ICT dalam membantu organisasi di UTM dalam menyediakan dokumen Keselamatan ICT.
5 1.4
Matlamat Projek
Matlamat projek ini adalah menyediakan sistem untuk mambantu UTM menyediakan polisi keselamatan ICT dengan berasakan piawaian ISO 27001 serta pekeliling dan garis panduan dari MAMPU.
1.5
Objektif Projek
Objektif projek ini adalah seperti berikut :
i)
Untuk membuat kajian bagi membangunkan prototaip berdasarkan piawaian Keselamatan ICT yang sedia ada dari garispanduan yang dikeluarkan oleh MAMPU dan piawaian ISO 27001.
ii)
Untuk mendapatkan maklumat dan cadangan polisi keselamatan ICT melalui sistem dari pegawai-pegawai terlibat dengan pengurusan ICT UTM.
iii)
Menghasilkan dan mengeluarkan dokumen Polisi Keselamatan ICT untuk Pusat ICT umumnya dan UTM khususnya dengan menggunakan sistem Polisi Keselamatan ICT yang dibangunkan.
1.6
Skop Projek
i)
Analisa dan kajian terhadap piawaian keselamatan ISO 27001 dan Dasar Keselamatan Teknologi Maklumat dan Komunikasi Untuk Sektor Awam dan pekeliling yang dikeluarkan oleh MAMPU.
ii)
Kajian ini akan dilakukan terhadap Pusat Teknologi Maklumat dan Komunikasi, UTM yang bertindak sebagai sekretariat keselamatan ICT, UTM.
6 iii)
Suatu sistem Polisi Keselamatan ICT akan dibangunkan bagi membantu Pusat ICT, UTM Skudai didalam membuat persediaan mendokumenkan Polisi Keselamatan ICT. Untuk membangunkan projek ini bahasa ASP dan Access sebagai pangkalan data akan digunakan.
iv)
Pengguna-pengguna sistem yang terlibat secara langsung dalam perlaksanaan polisi keselamatan ICT adalah : i. Pentadbir IT (Pusat Teknologi Maklumat dan Komunikasi) ii. Pengurus IT iii. Pegawai IT UTM (HEP,Canseleri, Bendahari, Pendaftar dan Perpustakaan Sultanah Zanariah).
1.7
Faedah Projek
1.7.1
Faedah Untuk Pusat ICT, UTM
i)
Pusat ICT akan menggunakan sistem Polisi Keselamatan ICT yang dibangunkan bagi melahirkan Polisi Keselamatan ICT yang bersesuaian dengan keperluan Universiti.
ii)
Penggunaan sistem peralatan Polisi Keselamatan ICT akan mengurangkan masa persediaan dan penyediaan dokumen.
iii)
Semua input domain yang diperkenalkan oleh piawaian ISO 27001 pada bulan oktober 2005 boleh ditambah ke dalam pangkalan data. Dengan itu pembangunan Polisi ICT akan menepati seperti yang digariskan oleh MAMPU dan piawaian ISO 27001.
7 1.7.2
Faedah kepada Pusat ICT, IPTA Secara Umum
i)
Pembangunan peralatan Polisi Keselamatan ini secara menyeluruh boleh melahirkan Polisi Keselamatan ICT untuk IPTA yang lainnya.
ii)
Kawalan-kawalan yang lainnya terhadap 11 kawalan domain (Sila lihat di Lampiran A), dalam jenis piawaian yang berbeza boleh dimasukkan ke dalam pangkalan data bagi memenuhi keperluan organisasi.
1.8
Ringkasan Bab
Pembangunan Sistem Polisi Keselamatan ICT ini mengambil kira keperluan organisasi dan juga peningkatan kompetensi mereka yang terlibat dengan pengurusan polisi. Pihak pengurusan organisasi di Pusat Teknologi Maklumat dan Komunikasi (CICT) Universiti Teknologi Malaysia, ingin memastikan semua aset dan segala yang berkaitan ICT mempunyai polisi keselamatan bagi menjamin UTM mempunyai dasar polisi keselamatan ICT kepada warganya.
Pembangunan sistem ini mengambilkira penggunaan teknologi berasaskan web bagi memudahkan maklumat dicapai dimana-mana lokasi tanpa mengira pelantar operasi sistem komputer yang digunakan. Ia juga diharap boleh dikembangkan dengan menambah ciri-ciri kaedah capaian dan memperincikan lagi proses dan langkah-langkah yang dilaksanakan.