Presentation Seminar Pengurus Komputer Penang

1
SEMINAR PENDEDAHAN PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN
PENGALAMAN DALAM MELAKSANAKAN PELAN
KESINAMBUNGAN PERKHIDMATAN (BCP) PRISMA
Oleh Zaiton binti Ahmad
Bahagian Keselamatan ICT, MAMPU
2
KANDUNGAN

• TUJUAN
• SKOP
• LATAR BELAKANG
• PERANCANGAN DAN KEPERLUAN
• PENGALAMAN PELAKSANAAN
• IMPLIKASI
• KESIMPULAN

3
TUJUAN

• Berkongsi pengalaman bagaimana BCP dilaksanakan
  di Seksyen Pemantauan Rangkaian ICT Sektor Awam
  (PRISMA)
• Memberi gambaran secara ringkas keperluan,
  tindakan dan proses yang telah dilaksanakan

4
SKOP

• Fokus kepada proses pelaksanaan pengujian
  baikpulih sistem di Pusat Data PRISMA.

5
LATAR BELAKANG

• Projek PRISMA
• adalah Government ICT Security Command Center
  (GISCC)
• untuk memantau serangan siber dalam rangkaian
  ICT sektor awam secara jarak jauh.

6
Objektif PRISMA

• Melindungi infrastruktur ICT sektor awam secara
  reaktif, proaktif dan berterusan dari ancaman dan
  serangan siber
• Meningkatkan tahap kesedaran dan pengetahuan
  sektor awam mengenai keselamatan ICT
• Menjadi pusat rujukan setempat mengenai
  keselamatan IT bagi sektor awam.

7
Sistem Penyampaian Perkhidmatan Cemerlang
Memantapkan Tadbir Urus
Meningkatkan Keyakinan Pelanggan
Agensi Kerajaan Yang
Dilindungi
P R I S M A

• REAKTIF
• Sistem
• Pemantauan
• Sistem Pemulihan
• Automatik Laman
• Web

• PENGETAHUAN
• Portal
• Keselamatan ICT

• PROAKTIF
• Sistem
• Imbasan

PKI
PKI
8
Fungsi PRISMA

• Memantau keselamatan rangkaian ICT berterusan
  (24 X 7)
• Mengimbas rangkaian ICT secara berkala
• Memberi khidmat nasihat
• Menyelenggara perkakasan dan perisian di Pusat
  Operasi Keselamatan (SOC) di PRISMA dan di agensi
• Pusat Rujukan Setempat Agensi Kerajaan untuk
  keselamatan ICT.

9
BCP PRISMA ?

• Plan Kesinambungan Perkhidmatan (BCP) PRISMA
  disediakan bagi membantu sekiranya berlaku krisis
  yang serius dalam keadaan yang terkawal
• Mengandungi maklumat detail pegawai yang boleh
  dihubungi semasa kecemasan, strategi dan
  prosedur-prosedur yang boleh diikuti semasa
  berlaku krisis atau gangguan terhadap sistem
• BCP dilaksanakan pertama kali pada penghujung
  2005.

10
Komponen Terlibat

• 14 komponen penting diantaranya ialah
• Firewall
• Mail
• Domain Name Server (DNS)
• PVSS Server
• GSWP Public/Private,
• Database dll

11
Proses BCP
Continuity Plan statement
Business Impact analysis
Develop Recovery Strategies
Testing
Maintain BCP
Develop BCP
12
PERANCANGAN DAN KEPERLUAN

• Pada peringkat permulaan satu dokumen BCP telah
  disediakan
• Objektif dan skop,
• Kenal pasti kumpulan BCP dan carta
• Tugas dan tanggungjawab
• Polisi
• Masa kritikal untuk baik pulih
• Prosedur dan Standard operating procedure (SOP)

13
PERANCANGAN DAN KEPERLUAN

• Kenal pasti objektif dan skop
• untuk meminimakan gangguan atau kerugian akibat
  daripada ketidaksediaan.
• Kenal pasti proses-proses yang terlibat

14
Contoh Objektif BCP PRISMA

• The objectives of having the BCP are
• 1. To counteract interruptions to business
  activities and to protect critical business
  processes from the effects of major failures or
  disasters.
• 2. To reduce the disruption caused by disasters
  and security failures to an acceptable level
  through a combination of preventative and
  recovery controls.

15
PERANCANGAN DAN KEPERLUAN

• Kenal pasti kumpulan BCP, tugas dan tanggungjawab

PENGARAH
PENGURUS PROJEK
PENYELARAS BCP
EMERGENCY RESPONSE TEAM (ERT)
BUSINESS RECOVERY TEAM (BRT)
Rajah Carta aliran Kumpulan BCP
16
PERANCANGAN DAN KEPERLUAN

• Contoh cartalir

Figure Emergency Response Procedures
17
PERANCANGAN DAN KEPERLUAN

• Contoh cartalir (sambungan)

Figure Business Recovery Procedures
18
PERANCANGAN DAN KEPERLUAN

• Peranan dan tanggungjawab Pengarah
• Meluluskan BCP dan polisi
• Membuat keputusan berdasarkan laporan kerosakan
• Memohon sumber-sumber yang diperlukan (cth.
  Peruntukan)
• Bertanggungjawab melaporkan status terkini kepada
  pengurusan atasan bila perlu

19
PERANCANGAN DAN KEPERLUAN

• Peranan dan tanggungjawab Pengurus Projek
• Menyediakan panduan dan halatuju BCP
• Kenalpasti proses-proses terlibat semasa
  pembangunan dan penyenggaraan BCP
• Membuat semakan dan mengesahkan laporan penilaian
  kerosakan yang dikeluarkan oleh penyelaras BCP
• Memberi nasihat dan cadangan kepada pengarah
  bagaimana langkah atau tindakan dalam proses
  pemulihan
• Tindakan dari segi kos baikpulih, nasihat
  perundangan hubungan dengan orang ramai, media
  dll

20
PERANCANGAN DAN KEPERLUAN

• Peranan dan tanggungjawab Penyelaras
• Bertanggungjawab membangun, menyelenggara dan
  menguji BCP
• Membuat sebarang perubahan jika perlu dalam
  menambahbaik proses pemulihan
• Menyelaras semua aktiviti penyediakan prosidur
  untuk BCP
• Bertanggungjawab memberi tugasan semasa krisis
• Terlibat dalam aktiviti penilaian kerosakan.

21
PERANCANGAN DAN KEPERLUAN

• Peranan dan tanggungjawab kumpulan ERT
• Fokus kepada fizikal disaster, bekerjasama
  dengan penyelaras dalam menyedia, menyelenggara
  dan membuat ujian BCP.
• Membuat penilaian terhadap kerosakan dan anggaran
  masa untuk baikpulih kerosakan
• Memberi notis kepada pemilik bangunan dalam masa
  disaster dan laksanakan prosidur berkaitan.
• Menyelaras keperluan lain semasa berlaku
  kecemasan

22
PERANCANGAN DAN KEPERLUAN

• Peranan dan tanggungjawab kumpulan BRT
• Fokus kepada pemulihan sistem sedia plan
  perancangan, penyenggaraan dan pengujian
• Mencadangkan alternatif atau prosedur terlibat
  semasa pemulihan,
• Bertanggungjawab untuk baikpulih sistem, dan
  membuat pengujian
• Pastikan sistem boleh beroperasi sepenuhnya

23
PERANCANGAN DAN KEPERLUAN

• Polisi
• Polisi keselamatan mesti diujudkan
• BCP adalah satu domain dalam polisi keselamatan
• Polisi mesti dipersetujui dan diluluskan oleh
  pihak pengurusan

24
Contoh Polisi

• CHAPTER 01 POLICY DEVELOPMENT AND
• MAINTENANCE
• Information Security Policy
• POL-010101 Endorsement of Policy
• At the highest level, the policy should be
  endorsed and approved by the Director of BKICT
  upon advice from the PRISMA Section.
• POL-010102 Maintenance
• PRISMA Manager should initiate the maintenance
  and review of the policies.
• POL-010103 Policy Review
• POL-010104 Changes or Exception to Policy
• POL-010105 User Awareness
• POL-010106 Enforcement of Policy

25
PERANCANGAN DAN KEPERLUAN

• Masa kritikal untuk pemulihan
• Kenal pasti sistem yang kritikal dan penting
• Setiap sistem mempunyai tahap yang berbeza
• Strategi bagi pemulihan adalah dalam masa 24 jam.

26
Contoh Masa Kritikal

• Perkakasan

Note RTO Recovery Time Objective
27
Contoh Masa Kritikal

• Recovery Priority

Note RTO Recovery Time Objective
28
PERANCANGAN DAN KEPERLUAN

• Prosedur dan Standard operating procedure (SOP)
• Prosedur pelaksanaan
• Prosedur untuk menentukan kerosakan
• Prosedur Pemberitahuan
• Prosedur Isytihar Disaster dll
• Prosedur pelaporan bila berlaku kecemasan atau
  kerosakan
• Prosedur spesifik untuk sistem aplikasi

29
PERANCANGAN DAN KEPERLUAN

• Lain-lain maklumat yang perlu ada ialah
• Senarai peralatan atau inventori
• Senarai pegawai dan kakitangan termasuk
  pengurusan atasan
• Senarai Pembekal
• Senarai pengurus IT, pegawai yang menjaga
  rangkaian, web master agensi yang terlibat dengan
  PRISMA

30
Contoh Senarai Peralatan
Equipment Damage Assessment
31
PERANCANGAN DAN KEPERLUAN

• Keperluan perkakasan untuk BCP
• Perlu dimasukkan dalam perancangan
• Perkakasan mengikut spesifikasi minimum atau
  server berkaitan

32
PENGALAMAN PELAKSANAAN

• Perancangan
• Kenalpasti cara untuk melaksanaka ujian
• PRISMA menggunakan cara Structured Walk-through
  test dan Simulation test
• Pegawai yang terlibat contohnya Pentadbir
  sistem, Pentadbir Rangkaian dan Pentadbir
  Pangkalan Data dll
• Peralatan dan dokumen yang diperlukan
• Jadual pelaksanaan

33
PENGALAMAN PELAKSANAAN

• Perancangan
• Semasa pelaksanaan rekodkan masa yang diambil.
• Penglibatan dan komitmen pembekal
• Penglibatan pihak pengurusan PRISMA

34
PENGALAMAN PELAKSANAAN

• Penyediaan Peralatan BCP
• Pastikan terdapat perkakasan yang khusus untuk
  ujian
• Perlu sediakan CD atau pita data untuk sistem
  pengoperasian dan aplikasi berkaitan
• Jika peralatan tiada perlu peruntukan untuk
  memperolehi peralatan tersebut

35
PENGALAMAN PELAKSANAAN

• Penyediaan SOP
• Dokumen Operation Centre System Setup Service
  (OCSSS) mengandungi semua SOP komponen PRISMA
• Penyediaan SOP mengambil masa dan perlu komitmen
  semua yang terlibat

36
PENGALAMAN PELAKSANAAN

• Penyediaan Plan Pengujian BCP
• Satu dokumen perlu disediakan
• Mengandungi objektif,skop langkah-langkah
  (checklist) yang perlu diikuti.
• Langkah-langkah penyelesaian bagi komponen
  terlibat
• Tugas dan tanggjawab siapa?
• Cadangan tarikh pelaksanaan ujian.

37
PENGALAMAN PELAKSANAAN

• Pelaksanaan Pengujian BCP
• Dilaksanakan secara simulasi.
• Menggunakan server yang berbeza tetapi
  spesifikasi sama
• Semasa pelaksanaan kali pertama 2 orang terlibat
  untuk mendapatkan pengalaman
• Pembekal hanya dipanggil bila ada masalah
  teknikal
• Catatan masa diambil.
• Pastikan semua perkhidmatan yang diperlukan di
  aktifkan.

38
PENGALAMAN PELAKSANAAN

• Kemaskini dokumen BCP
• Sebarang masalah dan kekurangan dokumen
  dicatatkan

39
IMPLIKASI

• Tanpa pengujian BCP kita tidak dapat pastikan
  berapa tempoh masa yang akan diambil untuk
  baikpulih sistem
• Sistem penyampaian tergendala
• Jika salinan dokumen dan backup tiada bagaimana
  kita akan membaikpulih sistem seperti sedia ada
• Implikasi kos dan masa bagi membangunkan sistem
  dan mengumpul data

40
KESIMPULAN

• BCP penting dan perlu diujudkan bagi memastikan
  kesinambungan perkhidmatan
• Menjadi asas persediaan dalam keadaan kecemasan
• Dapat mematuhi dasar dan pekeling-pekeling yang
  dikeluarkan jika dilaksanakan.
• Komitment dan kerjasama kumpulan penting dalam
  pelaksanaan BCP

41
SEMINAR PENDEDAHAN PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN
THANK YOUwww.mampu.gov.my
Zaiton binti Ahmad BKICT, MAMPU