BIDANG A.9 KAWALAN CAPAIAN

A.9.1 KEPERLUAN KAWALAN CAPAIAN

Objektif:
Menghadkan akses kepada kemudahan pemprosesan data dan maklumat dengan memahami dan mematuhi keperluan keselamatan dalam mengawal capaian ke atas maklumat.

A.9.1.1 Dasar Kawalan Capaian

Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan disemak berdasarkan keperluan perkhidmatan dan keselamatan maklumat. Ia perlu dikemas kini setahun sekali atau mengikut keperluan dan menyokong peraturan kawalan capaian pengguna sedia ada. Perkara yang perlu dipatuhi adalah seperti berikut:
  1. Keperluan keselamatan aplikasi PPUM;
  2. Kebenaran untuk menyebarkan maklumat;
  3. Hak akses dan dasar klasifikasi maklumat sistem dan rangkaian;
  4. Undang-undang Malaysia/ Persekutuan yang berkaitan dan obligasi kontrak mengenai had akses kepada data atau perkhidmatan;
  5. Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;
  6. Pengasingan peranan kawalan capaian;
  7. Kebenaran rasmi permintaan akses;
  8. Keperluan semakan hak akses berkala;
  9. Pembatalan hak akses;
  10. Arkib semua peristiwa penting yang berkaitan dengan penggunaan dan pengurusan identiti pengguna dan maklumat; dan
  11. Akses privilege

A.9.1.2 Capaian Kepada Rangkaian Dan Perkhidmatan Rangkaian

  1. Pengguna diberikan akses kepada rangkaian dan perkhidmatan rangkaian yang dibenarkan.;
  2. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:
    1. Menempatkan atau memasang perkakasan ICT yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam;
    2. Mewujud dan menguatkuasakan mekanisma untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian; dan
    3. Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT.
  3. Kawalan capaian rangkaian bertujuan menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:
    1. Menempatkan atau memasang interface gateway yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam;
    2. Mewujudkan dan menguatkuasakan kaedah untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya; dan
    3. Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT.
  4. Perkara yang perlu dipatuhi adalah seperti berikut:
    1. Memastikan pengguna boleh mencapai perkhidmatan yang dibenarkan sahaja;
    2. Mewujudkan kaedah pengesahan yang sesuai untuk mengawal capaian secara remote oleh pengguna;
    3. Capaian secara remote hanya kepada staf yang dibenarkan atas keperluan perkhidmatan;
    4. Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian;
    5. Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi secara remote;
    6. Mengasingkan capaian mengikut kumpulan perkhidmatan maklumat, pengguna dan sistem maklumat dalam rangkaian;
    7. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan PPUM; dan
    8. Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan PPUM.
  5. Kawalan capaian internet adalah untuk memastikan bahawa capaian internet dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
    1. Penggunaan internet di PPUM hendaklah dipantau secara berterusan oleh Pentadbir Rangkaian bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja. Kewaspadaan ini akan dapat melindungi daripada kemasukan malicious code, virus dan bahan-bahan yang tidak sepatutnya ke dalam rangkaian PPUM;
    2. Kaedah Content Filtering mestilah digunakan bagi mengawal akses internet mengikut fungsi kerja dan pemantauan tahap pematuhan;
    3. Penggunaan teknologi pengurusan bandwith untuk mengawal aktiviti (video conferencing, video streaming, chat, downloading) adalah perlu bagi menguruskan penggunaan bandwidth yang maksimum dan lebih berkesan;
    4. Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja. Pegawai Keselamatan ICT (ICTSO) berhak menentukan pengguna yang dibenarkan menggunakan internet atau sebaliknya;
    5. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh pegawai yang diberi kuasa;
    6. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan terbaik, rujukan sumber Internet hendaklah dinyatakan;
    7. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Jabatan Perhubungan Awam sebelum dimuat naik ke Internet;
    8. Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;
    9. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh PPUM; dan
    10. Penggunaan modem peribadi untuk tujuan sambungan ke Internet tidak dibenarkan sama sekali.
  6. Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:
    1. Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap prestasi capaian internet;
    2. Memuat naik, memuat turun dan menyimpan maklumat rasmi di luar PPUM ke laman storan atas talian;
    3. Menyedia, memuat naik, memuat turun dan menyimpan material, teks ucapan atau bahan-bahan yang mengandungi unsur-unsur lucah menggunakan talian internet PPUM; dan
    4. Melakukan pemasangan router / wifi individu yang tidak sah untuk kepentingan peribadi (wifi haram).

A.9.2 PENGURUSAN CAPAIAN PENGGUNA

Objektif:
Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada.

A.9.2.1 Pendaftaran Pengguna dan Pembatalan Pengguna

Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenalpasti pengguna dan aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil langkah-langkah yang berikut :
  1. kaun yang diperuntukkan oleh PPUM sahaja boleh digunakan;
  2. ID pengguna hendaklah menggunakan nama sebenar pengguna dan unik; dan
  3. Pentadbir Sistem boleh menamatkan akaun pengguna atas sebab-sebab berikut :
    1. Bertukar bidang tugas kerja jawatan, tanggungjawab dan/ atau bidang tugas;
    2. Bertukar atau berpindah agensi; dan
    3. Bersara; atau
    4. Tamat perkhidmatan

A.9.2.2 Penyediaan Akses Pengguna

Akses pengguna hendaklah diberi kawalan dan penyeliaan yang ketat. Peruntukan akses pengguna adalah berdasarkan kepada perkara berikut :
  1. Pemberian akses tertakluk kepada peraturan PPUM;
  2. Pemberian akses adalah berdasarkan kepada keperluan skop tugas;
  3. Akses boleh ditarik balik jika kaedah penggunaannya melanggar peraturan; dan
  4. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang.

A.9.2.3 Pengurusan Hak Capaian

Penetapan dan penggunaan ke atas hak capaian perlu diberikan kawalan dan penyelian yang ketat berdasarkan kepada prinsip yang berikut :
  1. Prinsip “Perlu-Tahu” ;
  2. Hak Keistimewaan Minimum ;
  3. Pengasingan Tugas ;
  4. Kawalan Capaian Berdasarkan Peranan ;
  5. Data yang minimum

A.9.2.4 Pembatalan atau Pelarasan Hak Akses

Pengurusan maklumat pengesahan telah dikawal melalui proses pengurusan kata laluan.

A.9.2.5 Kajian Semula Hak Akses Pengguna

Proses semakan akses penguna perlu dilaksanakan dari semasa ke semasa untuk mengkaji semula kebenaran dan pembatalan capaian penguna ke atas aplikasi dan perkhidmatan.
Kawalan akses pengguna perlu disemak sekurang-kurang setahun sekali.

A.9.2.6 Pelarasan Hak Akses

Hak akses pengguna kepada maklumat dan kemudahan pemprosesan maklumat hendaklah ditamatkan atau diselaraskan apabila terdapat perubahan skop kerja, perubahan lokasi atau ditamatkan perkhidmatan.

A.9.3 TANGGUNGJAWAB PENGGUNA

Peranan dan tanggungjawab pengguna adalah seperti berikut:
  1. Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
  2. Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
  3. Melaksanakan prinsip – prinsip dan menjaga kerahsiaan maklumat PPUM;
  4. Melaksanakan langkah - langkah perlindungan seperti berikut :-
    • Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
    • Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
    • Menentukan maklumat sedia untuk digunakan;
    • Menjaga kerahsiaan kata laluan;
    • Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
    • Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
    • Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
  5. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; dan
  6. Menghadiri program-program kesedaran mengenai keselamatan ICT.

A.9.3.1 Penggunaan Kata Laluan

Pengguna perlu mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan kata laluan untuk melindungi maklumat. Kata laluan mesti ditukar setiap enam (6) bulan sekali.

A.9.4 KAWALAN CAPAIAN SISTEM DAN APLIKASI

Objektif:
Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem dan aplikasi.

A.9.4.1 Had Kawalan Capaian Maklumat

Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut pengurusan hak capaian.

A.9.4.2 Prosedur Log-on

Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log-on yang bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan.
Kaedah-kaedah yang digunakan adalah seperti berikut:
  1. Mengesahkan pengguna yang dibenarkan selaras dengan peraturan jabatan;
  2. Menjana amaran (alert) sekiranya berlaku perlanggaran semasa proses log-on terhadap aplikasi sistem;
  3. Mengawal capaian ke atas aplikasi sistem menggunakan prosedur log-on yang terjamin;
  4. Mewujudkan sistem pengurusan kata laluan secara interaktif dan memastikan kata laluan adalah berkualiti; dan
  5. Log “aktiviti log on” yang berjaya dan tidak berjaya.

A.9.4.3 Sistem Pengurusan Kata Laluan

Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh PPUM seperti berikut:
  1. Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;
  2. Pengguna mesti menukar kata laluan apabila disyaki berlaku kebocoran kata laluan atau dikompromi;
  3. Panjang kata laluan mestilah sekurang kurangnya dua belas (12) aksara dengan gabungan antara huruf, aksara khas dan nombor (alphanumerik);
  4. Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;
  5. Kata laluan Windows hendaklah diaktifkan secara automatik apabila sesi Windows idle selepas 30 minit terutamanya pada komputer yang terletak di ruang gunasama;
  6. Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam aturcara;
  7. Kuatkuasakan pertukaran katalaluan semasa login kali pertama atau selepas kata laluan diset semula;
  8. Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna seperti login id dan keratan nama;
  9. Had kemasukan katalaluan bagi capaian kepada sistem aplikasi adalah maksimum tiga (3) kali sahaja. Setelah mencapai tahap maksimum, capaian kepada sistem akan disekat sehingga id capaian diaktifkan semula; dan
  10. Sistem yang dibangunkan mestilah mempunyai kemudahan menukar kata laluan oleh pengguna.

A.9.4.4 Penggunaan Utiliti Sistem

Penggunaan program utiliti yang mungkin mampu melepasi (overriding) kawalan sistem dan aplikasi hendaklah disekat dan dikawal dengan ketat.

A.9.4.5 Kawalan Akses kepada Kod Sumber (Source Code) Program

Kod sumber program (source code) perlu diselia dan dipantau oleh PPUM.
  1. Log audit perlu dikekalkan kepada semua akses kepada kod sumber;
  2. Penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan (versi); dan;
  3. Kod sumber bagi semua aplikasi dan perisian adalah hak milik PPUM dan disimpan di dalam satu direktori pelayan kod sumber.