A.14.1 KEPERLUAN KESELAMATAN SISTEM MAKLUMAT
Objektif:
Memastikan keselamatan maklumat adalah merupakan sebahagian daripada proses pembangunan sistem. Ini merangkumi keperluan keselamatan maklumat apabila menggunakan rangkaian luar.
A.14.1.1 Analisis Keperluan dan Spesifikasi Keselamatan Maklumat
Keperluan keselamatan maklumat bagi pembangunan sistem baru dan penambahbaikan sistem hendaklah mematuhi perkara-perkara berikut:
- a) Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah dikaji kesesuaiannya mengikut keperluan pengguna dan selaras dengan Polisi Keselamatan Siber, PPUM;
- b) Penyediaan rekabentuk, pengaturcaraan dan pengujian sistem hendaklah mematuhi kawalan keselamatan yang telah ditetapkan; dan
- c) Ujian keselamatan hendaklah dilakukan semasa pembangunan sistem bagi memastikan kesahihan dan integriti data.
A.14.1.2 Keselamatan Perkhidmatan Aplikasi di Rangkaian Umum
Maklumat aplikasi yang melalui rangkaian umum (public networks) hendaklah dilindungi daripada aktiviti penipuan dan pendedahan maklumat yang tidak dibenarkan. Perkara yang perlu dipertimbangkan adalah seperti berikut:
- a) Tahap kerahsiaan bagi mengenal pasti identiti masing-masing, misalnya melalui pengesahan (authentication);
- b) Memastikan pihak ketiga dimaklumkan sepenuhnya mengenai kebenaran penggunaan aplikasi dan perkhidmatan ICT; dan
- c) Memastikan pihak ketiga memahami keperluan kerahsiaan, integriti, bukti penghantaran serta penerimaan dokumen dan kontrak.
A.14.1.3 Melindungi Perkhidmatan Transaksi Aplikasi
Maklumat yang terlibat dalam perkhidmatan transaksi hendaklah dilindungi daripada penghantaran yang tidak lengkap, mis-routing, pengubahan mesej yang tidak dibenarkan, pendedahan yang tidak dibenarkan dan duplikasi mesej.
A.14.2 KESELAMATAN DALAM PEMBANGUNAN SISTEM DAN PERKHIDMATAN SOKONGAN
Objektif:
Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang bersesuaian bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi.
A.14.2.1 Dasar Keselamatan Dalam Pembangunan Sistem
Peraturan untuk pembangunan sistem hendaklah diwujudkan dan digunakan dalam aktiviti pembangunan sistem dan mematuhi elemen yang terkandung di dalam NIST Cybersecurity Framework. Perkara yang perlu dipertimbangkan adalah seperti berikut:
- a) Keselamatan persekitaran pembangunan
- b) Keselamatan pangkalan data
- c) Keselamatan dalam kawalan versi
- d) Bagi pembangunan secara outsource, kebolehan pembekal untuk mengenalpasti kelemahan dan mencadangkan penambahbaikan dalam pembangunan system perlu diambilkira (sebelum penentuan pembekal)
A.14.2.2 Prosedur Kawalan Perubahan Sistem
Penambahbaikan rekabentuk, pengaturcaraan dan pengujian sistem hendaklah mematuhi kawalan keselamatan yang telah ditetapkan, serta kawalan perubahan prosedur mengikut Software Development Life Cycle (SDLC).
A.14.2.3 Kajian Teknikal Selepas Permohonan Perubahan Platform
Sebarang perubahan platform termasuk sistem pengoperasian dan pangkalan data atau versi aplikasi yang disebabkan oleh perubahan teknologi semasa, perlu dikaji dan diuji sebelum dilaksanakan bagi memastikan operasi tidak terjejas.
A.14.2.4 Sekatan Perubahan Pakej Perisian
Perubahan pakej perisian adalah tidak digalakkan kecuali terdapat perubahan terhadap teknologi di mana perubahan ini sangat diperlukan. Namun demikian, semua perubahan hendaklah dikawal.
A.14.2.5 Prinsip Kejuruteraan Keselamatan Sistem
Prinsip-prinsip kejuruteraan keselamatan sistem telah diwujudkan, didokumentasi, di selenggara dan digunapakai dalam pelaksanaan sistem. Ia dibangunkan mengikut garis panduan elemen yang terkandung di dalam NIST Cybersecurity Framework. Ciri keselamatan perlu diambilkira dalam semua peringkat pembangunan sistem.
Aplikasi perlu diimbas menggunakan tool Web Vulnerability Scanner bagi mengesan kelemahan dan mengenalpasti tahap keterdedahan sebelum ia dilaksanakan.
A.14.2.6 Keselamatan Persekitaran Pembangunan Sistem
Persekitaran pembangunan sistem hendaklah selamat dan mematuhi Software Development Life Cycle (SDLC) dan garis panduan elemen yang terkandung di dalam NIST Cybersecurity Framework.
A.14.2.7 Pembangunan Sistem Secara Outsource
Pembangunan perisian aplikasi secara outsource perlu dipantau.
A.14.2.8 Pengujian Keselamatan Sistem
- a) Pengujian keselamatan sistem hendaklah dijalankan semasa pembangunan;
- b) Menyemak dan mengesahkan input data sebelum dimasukkan ke dalam aplikasi bagi menjamin proses dan ketepatan maklumat;
- c) Membuat semakan pengesahan di dalam aplikasi untuk mengenalpasti kesilapan maklumat; dan
- d) Menjalankan proses semak ke atas output data daripada setiap proses aplikasi untuk menjamin ketepatan.
A.14.2.9 Penerimaan Pengujian Sistem
Penerimaan pengujian semua sistem baru dan penambahbaikan sistem hendaklah memenuhi kriteria yang ditetapkan sebelum sistem digunapakai.
A.14.3 DATA UJIAN
Objektif:
Untuk memastikan perlindungan ke atas data yang digunakan untuk pengujian.
A.14.3.1 Perlindungan Data Ujian
- a) Data dan aturcara yang hendak diuji perlu dipilih, dilindungi dan dikawal;
- b) Pengujian hendaklah dibuat ke atas aturcara yang terkini;
- c) Mengaktifkan audit log bagi merekodkan aktiviti pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan.