View
255
Download
5
Embed Size (px)
Citation preview
1
Keselamatan dan Audit Sistem Komputer
Operasi Komputer
2
Kandungan… Penstrukturan Fungsi TM Pusat Komputer Sistem Pengoperasian Sistem Komputer Peribadi
3
Penstrukturan Fungsi TM Pemprosesan Data Terpusat Pemisahan Fungsian TM Tak Serasi Model Teragih Pengawalan Suasana DDP
4
Pemprosesan Data Terpusat Pendekatan Pemprosesan Data Terpusat
Sumber Perkhidmatan Komputer
Produksi
Pemasaran
Pengagihan
Kewangan
Perakaunan
5
6
Pemprosesan Data Terpusat Pentadbiran Pangkalan Data (DBA) Pemprosesan Data
Kawalan Data Penukaran Data Operasi Komputer Perpustakaan Data
Pembangunan dan Penyelenggaraan Sistem Profesional Sistem Pengguna Akhir Stakeholders
7
Pemisahan Fungsian TM Tak Serasi Pemisahan Pembangunan Sistem
daripada Operasi Komputer Pemisahan DBA daripada Fungsi-
fungsi Lain Pemisahan Pembangunan Sistem
Baru daripada Penyelenggaraan
8
Objektif Audit Mentahkikkan (verify) individual di
kawasan yang tak serasi dipisahkan mengikut tahap potensi risiko dan juga keadaan di mana wujudnya suasana kerja yang formal (tidak kasual) antara tugas-tugas tak serasi.
9
Model Teragih Risiko Berhubung DDP
Penyalahgunaan Sumber Organisasi Ketakserasian Perkakasan dan
Perisian Tugas Bertindan Konsolidasi Aktiviti Tak Serasi Mengambil Profesional Yang Layak Kekurangan Piawai
10
Model Teragih Kelebihan Berhubung DDP
Pengurangan Kos
11
12
Pengawalan Suasana DDP Memerlukan Analisis Berhati-hati Pelaksanaan Fungsian TM Korporat
13
Objektif Audit Untuk mentahkikkan unit-unit TM
teragih menggunakan piawai prestasi entiti yang mempromosikan keserasian sesama perkakasan, aplikasi perisian dan data.
14
Pusat Komputer Kawalan Pusat Komputer Perancangan Pemulihan Bencana
15
Kawalan Pusat Komputer Lokasi Fizikal Pembinaan Capaian Pengudaraan Kebakaran Bekalan Kuasa
16
Objektif Audit Untuk menilai kawalan merangkumi
keselamatan pusat komputer. Juruaudit haruslah mengesahkan bahawa:1. Physical security controls are adequate to
reasonably protect the organisation from physical exposures;
2. Insurance coverage on equipment is adequate to compensate the organisation for the destruction of, or damage to, its computer centre; and
3. Operator documentation is adequate to deal with system failures.
17
Prosedur Audit Ujian…1. tests of physical construction2. tests of the fire detection system3. tests of access control4. tests of the backup power supply5. tests for insurance coverage6. tests of operator documentation controls
18
Perancangan Pemulihan Bencana Ialah sebuah penyataan
komprehensif kesemua tindakan yang perlu diambil sebelum, semasa, dan selepas sesuatu bencana, disertai dengan prosedur didokumen & diuji yang akan memastikan kelangsungan operasi.
19
Perancangan Pemulihan Bencana
Peristiwa bencana kadangkala tidak boleh dicegah ataupun dielakkan.
Kelangsungan sesebuah organisasi terjejas oleh bencana bergantung kepada bagaimana baik dan cepatnya ia bertindak.
Dengan perancangan luarjangka yang berhati-hati, impak keseluruhan sesuatu bencana boleh diserap dan organisasi masih boleh pulih.
20
Perancangan Pemulihan Bencana Penyediaan Tempat Sokongan Kedua
Pakej Bantuan Bersama Pengenalpastian Aplikasi Kritikal Perlaksanaan prosedur sokongan
dan storan luar-kawasan Membentuk sebuah pasukan
pemulihan bencana Menguji DRP
21
Penyediaan Tempat Sokongan Kedua
Pakej Bantuan Bersama Perjanjian 2 atau lebih utk bantu ketika bencana
Cengkerang Kosong 2 atau lebih beli/sewa, & ubahsuai utk tapak
komputer (tanpa komputer & peralatannya) Pusat Operasi Pemulihan
Tapak panas, disediakan peralatan sepenuhnya Backup disediakan secara dalaman
Mengadakan kapasiti lebihan secara dalaman
22
Pengenalpastian Aplikasi Kritikal Usaha pemulihan ditumpukan
kepada memulihkan aplikasi yang kritikal kepada kelangsungan jangka pendek organisasi.
23
Pengenalpastian Aplikasi Kritikal Bagi kebanyakan organisasi, fungsi
yang perlu segera diselamatkan yang menghasilkan aliran tunai mencukupi untuk memuaskan tanggungjawab jangka pendek.
24
Pengenalpastian Aplikasi Kritikal
Aplikasi komputer yang menyokong item mempengaruhi kedudukan aliran tunai adalah kritikal.
Aplikasi ini perlu dikenalpasti dan diutamakan dalam perancangan pemulihan.
Contoh item: jualan dan perkhidmatan pelanggan, penyelenggaraan dan kutipan akaun penerimaan, perhubungan am.
25
Perlaksanaan prosedur sandaran (backup) dan storan luar-kawasan
Kesemua fail fata, dokumentasi aplikasi, dan bekalan diperlukan untuk melaksanakan fungsian kritikal sepatutnya dispesifikasikan dalam DRP.
26
Perlaksanaan prosedur sandaran dan storan luar-kawasan
Prosedur sandaran dan storan bagi menjaga sumber kritikal ini sepatutnya dilaksanakan secara rutin oleh pekerja pemprosesan data.
27
Perlaksanaan prosedur sandaran dan storan luar-kawasan
Sandaran fail data Sandaran dokumentasi Sandaran bekalan dokumen
sumber
28
Perlaksanaan prosedur sandaran dan storan luar-kawasan
Sandaran fail data pangkalan data sepatutnya disalin
setiap hari ke pita atau cakera dan terselamat di luar kawasan.
29
Perlaksanaan prosedur sandaran dan storan luar-kawasan
Sandaran dokumentasi Dokumentasi sistem bagi aplikasi
kritikal sepatutnya disandar dan disimpan di luar kawasan, seperti fail data.
30
Perlaksanaan prosedur sandaran dan storan luar-kawasan
Sandaran bekalan dokumen sumber Organisasi sepatutnya menyediakan
sandaran inventori bagi bekalan dokumen sumber digunakan dalam aplikasi kritikal.
Contoh bekalan kritikal: stok cek, inbois, tempahan belian, dan borang tujuan khas lainnya yang tidak boleh diperolehi dengan segera.
Adalah penting juga salinan dokumen DRP semasa disimpan di lokasi luar kawasan.
31
Membentuk sebuah pasukan pemulihan bencana
Pemulihan daripada sesebuah bencana bergantung kepada tindakan pembetulan yang pantas.
32
Membentuk sebuah pasukan pemulihan bencana
Kegagalan melaksanakan tugas penting (seperti mendapatkan fail sandaran bagi aplikasi kritikal) melambatkan masa pemulihan dan mengurangkan prospek pemulihan yang berjaya.
33
Membentuk sebuah pasukan pemulihan bencana
Untuk mengelak ketertinggalan serius ini, satu pasukan pemulihan bencana perlu diwujudkan.
34
Membentuk sebuah pasukan pemulihan bencana
P a suka n P e m ulih a n B e nca na
K u m p u lan K em u da h anT a p a k-K e d ua
K u m pu la n S a nd a ranA tu rca ra d an D a ta
K u m pu la n P e n uka rand a n K a w a lan D a ta
K o o rd in a to r P a suka n D R PT im b a la n P re s id e n O p e ra si
Objektif: mewujudkan semula fungsian kawalan data dan penukaran data diperlukan untuk memproses aplikasi kritikal.
Objektif: menyediakan versi semasa kesemua aplikasi, fail data. Dan dokumentasi kritikal.
Objektif: menyediakan tapak sandaran bagi operasi dan mendapatkan perkakasan daripada pembekal.
35
Menguji DRP Aspek yang paling dilupakan oleh
perancangan kontingensi ialah menguji perancangan.
Ia sepatutnya diuji secara berkala. Ujian menilai kesediaan pekerja
dan mengenalpasti ketinggalan ataupun bottleneck di dalam perancangan.
36
Menguji DRPPihak pengurusan seharusnya menilai prestasi:1. Keberkesanan pekerja pasukan DRP dan
peringkat pengetahuan mereka,2. Darjah kejayaan penukaran (dalam
bilangan rekod hilang),3. Satu anggaran kerugian kewangan
disebabkan kehilangan rekod/kemudahan,4. Keberkesanan prosedur sandaran dan
pemulihan aturcara, data, dan dokumentasi.
37
Objektif Audit Untuk mentahkikkan DRP
organisasi tersebut adalah mencukupi bagi memenuhi keperluan organisasi dan pelaksanaannya adalah boleh dan praktikal.
38
Prosedur Audit Mentahkikkan bahawa DRP
pengurusan adalah penyelesaian realistik bagi berurusan dengan bahaya yang mungkin menghapuskan pengurusan sumber komputernya.
39
Sistem Pengoperasian Keselamatan Sistem
Pengoperasian Ancaman Terhadap Integriti Sistem
Pengoperasian Kawalan dan Prosedur Audit
Sistem Pengoperasian
40
Keselamatan Sistem Pengoperasian Prosedur LOGON Access token Senarai kawalan capaian Discretionary access control
41
Ancaman Terhadap Integriti Sistem Pengoperasian Objektif kawalan OS kemungkinan
tidak tercapai kerana kepincangan dalam OS yang dieksploitasi samada secara tidak sengaja atau dengan sengaja.
42
Kawalan dan Prosedur Audit Sistem Pengoperasian Pengawalan Keistimewaan Capaian Kawalan Katalaluan Mengawal daripada Virus dll
43
Sistem Komputer Peribadi Sistem Pengoperasian PC Kawalan dan Audit Sistem PC
44
Sistem Pengoperasian PC
45
Kawalan dan Audit Sistem PC Kawalan Capaian Lemah Kekurangan Pemisahan Tugas Kekurangan Prosedur Sokongan