pelaksanaan penilaian risiko keselamatan …
TRANSCRIPT
PELAKSANAAN PENILAIAN RISIKO KESELAMATAN MAKLUMAT MENGGUNAKAN MYRAM App. 2.0 DI
AGENSI SEKTOR AWAM
Oleh AAISHAH BINTI DATO’ ABU BAKAR Ketua Penolong Pengarah Bahagian Pembangunan Strategik Dan Arkitektur ICT MAMPU JABATAN PERDANA MENTERI
12 Januari 2016 (Selasa), Auditorium, Blok B1, Kompleks JPM, Putrajaya
AGENDA
Punca Kuasa
Metodologi MyRAM
Sistem MyRAM App.
Pelaksanaan MyRAM
Punca Kuasa
Punca Kuasa
Semua agensi kerajaan perlu melaksanakan penilaian risiko umum ke atas sistem maklumat berpandukan kaedah HiLRA secara berkala atau apabila terdapat perubahan ke atas aset ICT
Sekiranya penemuan HiLRA menunjukkan agensi mempunyai tahap risiko aset maklumat yang tinggi maka penilaian risiko terperinci berpandukan kaedah MyRAM perlu dilaksanakan
Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam:
Surat Arahan Ketua Pengarah MAMPU bertarikh 12 Ogos 2015 – Pelaksanaan Penilaian Risiko Keselamatan Maklumat Menggunakan MyRAM App. 2.0 di Agensi Sektor Awam
Punca Kuasa
Punca Kuasa – sambungan
Peranan Pentadbir Sistem Agensi
1. Mengurus pendaftaran projek agensi di dalam sistem; 2. Mengurus penambahan, pengemaskinian dan penghapusan
pengguna sistem dan pasukan MyRAM di agensi; 3. Bertindak sebagai contact person dan menerima sebarang
makluman berkenaan sistem daripada MAMPU untuk dimaklumkan kepada pengguna di agensi;
4. Menjaga maklumat yang disimpan di dalam sistem dan tidak menyalahgunakan akses yang diberikan; dan
5. Memaklumkan sebarang ralat atau masalah berkaitan sistem kepada MAMPU melalui emel [email protected].
Peranan Pengguna Biasa Sistem
1. Menjaga maklumat yang disimpan di dalam sistem dan tidak menyalahgunakan akses yang diberikan; 2. Mengambil maklum dan tindakan yang sewajarnya terhadap
sebarang makluman sistem daripada pentadbir sistem di agensi; dan
3. Memaklumkan sebarang ralat atau masalah berkaitan sistem kepada MAMPU melalui emel [email protected].
Metodologi MyRAM
Bergantung kepada sistem ICT
Berkait dengan maklumat terperingkat (Rahsia/Rahsia Besar)
Gangguan kepada urusan teras akan menjejaskan keselamatan Negara (contoh: infrastruktur awam)
Melibatkan keselamatan Negara
Melibatkan kutipan hasil
Penilaian MyRAM perlu dilakukan sekiranya proses urusan teras agensi:
Metodologi MyRAM
• MyRAM merupakan penilaian risiko yang lebih menyeluruh terhadap setiap aset:
PERKAKASAN
PERISIAN
DATA/MAKLUMAT
SUMBER MANUSIA
PERKHIDMATAN
Metodologi MyRAM
Mengenal pasti aset, nilai aset (CIA secara kualitatif), threat (ancaman), vulnerabilities (kelemahan) & business loss (impak
kewangan)
Analisa nilai impak aset dan kemungkinan kegagalan (likelihood) aset
Keputusan Pengurusan Atasan: Options to accept / reduce / transfer / avoid the risk
Secara manual atau Sistem MyRAM App.
Metodologi MyRAM
Assess Vulnerabilities
Established Team
Established Review Boundary
Identify Assets
Value Assets
Assess Threats
Preparation
Calculate Risk
Analyze Likelihood
Analyze Impact
Identify Safeguards
High-Level Recommendation
S9
S2 S3 S4
S7
S5 S6
H S8
S1
S10
P
Metodologi MyRAM
Sistem MyRAM App.
Sistem MyRAM App. – Latar Belakang
Pelaksanaan Penilaian Risiko MyRAM memerlukan masa yang panjang untuk dilaksanakan secara manual MAMPU telah membangunkan Sistem MyRAM App. untuk membantu agensi sektor awam melaksanakan penilaian risiko keselamatan maklumat terperinci pada tahun 2011 Sistem ini dilaksanakan secara berpusat di MAMPU bagi memudahkan proses naik taraf dan penyenggaraan dilakukan
Dibangunkan secara dalaman oleh MAMPU Agensi Sektor Awam melaksanakan penilaian risiko menggunakan kaedah MyRAM dengan mudah tanpa sebarang kos seperti lesen, pemasangan dan penyenggaraan Sistem MyRAM App. ketika ini telah ditambahbaik bagi menepati keperluan standard baru pensijilan ISMS ISO/IEC 27001:2013 Information Security Management System (ISMS)
Sistem MyRAM App.
Sistem MyRAM App.
https://myram.mampu.gov.my
Pelaksanaan MyRAM
Preparation
• Memaklumkan dan memohon kelulusan pihak pengurusan atasan untuk pelaksanaan penilaian risiko
• Menubuhkan Pasukan MyRAM
• Mengadakan mesyuarat pasukan pelaksana MyRAM bagi menetapkan skop MyRAM
• Menyediakan jadual pelaksanaan
Pelaksanaan MyRAM
S1 - Established Team :
• Tentukan ahli pasukan MyRAM yang terlibat
• Tentukan peranan dan tanggungjawab ahli pasukan, struktur organisasi pasukan dan jadual pelaksanaan MyRAM
Project Advisor
Team Leader(s)
Team Member(s)
Project Manager
S2 - Established Review Boundary :
• Kenal pasti sempadan skop MyRAM yang sesuai dan wajar
• Kenal pasti maklumat aset ICT dalam skop MyRAM
• Dapatkan persetujuan dan kelulusan daripada pengurusan kanan
Nota: Jika terdapat pindaan pada skop asal MyRAM, mohon pertimbangan semula pihak pengurusan
S3 - Identify Assets :
• Mengenalpasti keseluruhan aset-aset di dalam skop MyRAM:
Owner, custodian, location, fungsi aset
• Kaedah pengumpulan aset menggunakan soalan seperti:
What are your most important assets in your daily job?
Are there any specific policies to protect the assets?
What will happened if any asset is compromised?
S4 - Value Assets : • Memberikan nilai kepada aset berdasarkan nilai tertinggi bagi setiap C, I dan A. Nilai = Low, Medium atau High
Asset Group Confidentiality (C) Integrity (I) Availability (A)
Hardware / / /
Software / / /
People / NA /
Data/Information / / /
Services
(a) Accessibility Services / / /
(b) Supporting Services NA NA /
Perhatian: People: Hanya penetapan nilai Confidentiality(C) dan Availability(A) terlibat Supporting Services: Hanya penetapan nilai Availability(A) terlibat
S5 - Assess Threats : • Menentukan generic threat profile iaitu senarai ancaman yang
berkemungkinan besar akan berlaku disebabkan kurang/tiada langkah pengukuhan semasa
• Padankan threat yang berkaitan pada setiap aset
S6 - Assess Vulnerabilities : • Menentukan kelemahan sedia ada pada aset yang berkemungkinan
besar akan menyebabkan threats/ancaman berlaku • Padankan vulnerability kepada setiap threat pada aset
S7 - Identify safeguards : • Menentukan langkah pengukuhan sedia ada dan yang dirancang
(telah ada peruntukan/kajian) bagi setiap aset. • Langkah pengukuhan yang hendak dilaksanakan adalah mengikut:
a. Kawalan (Annex A) standard MS ISO/IEC 27001/2013; b. Klausa 4 -10 standard MS ISO/IEC 27001/2013; atau c. Lain-lain kawalan yang berkaitan (Contoh MyMIS)
• Padankan langkah pengukuhan kepada setiap threat pada aset.
S8 - Analyze Impact : • Menentukan impak kepada jabatan jika aset terjejas (rosak, musnah atau hilang) • Berikan satu nilai Business Loss Level setiap aset • Berikan nilai impak setiap aset mengikut jadual :
S9 - Analyze Likelihood : • Mengukur ketepatan kebarangkalian aset akan terjejas iaitu
menggunakan worst-case scenarios • Merujuk semula nilai threat, vulnerability, safeguard yang telah
dikenalpasti S5, S6 dan S7 • Berikan nilai Low, Medium atau High
S10 - Calculate risk : • Menentukan tahap risiko aset dengan nilai Low, Medium atau High
dengan memadankan nilai impak dan nilai likelihood
• Menentukan Pemilik Risiko (Risk Ownner) • Tahap risiko bernilai Medium dan High mestilah dikurangkan
High-level Recommendations (HLR) 1. Accept Risk
• Tiada pelan segera yang diperlukan 2. Reduce Risk
• Kawalan/tindakan yang sewajarnya 3. Transfer Risk
• Memindahkan risiko kepada pihak lain/pihak ketiga • Perlu dinyatakan dalam SLA perkhidmatan/usahasama
dengan pihak lain/pihak ketiga 4. Avoid Risk
• Tiada kawalan/tindakan yang sesuai atau diluar bidang kuasa Pengurusan atasan agensi perlu membuat keputusan ke atas risiko yang dipilih (accept/reduce/transfer/avoid). Kawalan keselamatan yang baik adalah gabungan pilihan di atas
Risk Treatment Plan (RTP) • Menyenaraikan semua pelan tindakan pengurusan
keselamatan maklumat untuk menangani risiko yang telah dikenalpasti dalam MyRAM
• Hendaklah mengambil kira keperluan sumber, peranan dan
tanggungjawab mengikut keutamaan dalam mengurus risiko • Hendaklah mengutamakan semua aset ICT yang mempunyai tahap
risiko: “High” dan “Medium” seperti yang telah dikenalpasti dalam MyRAM
32
SEKIAN, TERIMA KASIH