DOKUMEN: DTMK-01-04-03

 

Dasar Kerahsiaan

Majlis Teknologi Maklumat USM

 

 

 

1.         Tujuan Dasar

 

Dasar ini menerangkan aktiviti-aktiviti yang dilakukan oleh staf operasi yang melibatkan capaian data, maklumat, atau kegiatan pengguna yang difikirkan rahsia atau sulit. Dokumen ini memberi gambaran munasabah terhadap perkara-perkara yang disebutkan di atas di mana pengguna perlu tahu.

 

2.         Takrifan

 

-          Akaun pengguna merujuk kepada ruang storan yang telah diperuntukkan kepada setiap pengguna yang sah dalam sesuatu sistem atau sumber teknologi maklumat. Setiap pengguna dikenalpasti melalui pengunaan identiti pengguna.

 

-          Maklumat rahsia atau sulit dalam dokumen ini merujuk kepada segala bentuk data samada teks, grafik, audio, animasi, dalam pelbagai format samada yang boleh dicerna seperti teks ataupun dalam format binari yang terdapat dalam akaun pengguna. Maklumat ini juga boleh dicapai semasa dalam medium transmisi seperti data e-mel dalam talian atau dalam simpanan fail sementara.

 

-          Aktiviti atau kegiatan sulit/rahsia pengguna merujuk kepada arahan-arahan yang dilarikan, atau keystrokes yang ditaip, semasa pengguna berinteraksi dengan sumber teknologi maklumat yang disediakan oleh USM.

 

 

3.         Capaian Maklumat Sulit

 

Staf Operasi sesuatu sistem atau sumber teknologi maklumat berkuasa untuk mencapai, merekod, atau memantau data, maklumat atau kegiatan pengguna dari semasa ke semasa sebagai rutin pemantauan keselamatan IT. Maklumat-maklumat yang direkodkan ini akan digunakan untuk tujuan penjagaan keselamatan IT. Contohnya, pekakasan softwer dalam sistem pelayan UNIX seperti last, syslogd, acctcom, pacct - merekodkan aktiviti pengguna untuk tujuan pengauditan.

 

Jika pengguna disyaki melanggar dasar keselamatan IT maka staf operasi mempunyai mandat tanpa mendapat kebenaran terdahulu dari pihak pengurus, untuk memantau dengan lebih jitu kegiatan dan aktiviti pengguna berkenaan. Segala maklumat yang direkodkan boleh digunakan sebagai bukti. Jika didapati pelangaran dasar keselamatan tersebut serius seperti menggunakan identiti pengguna lain untuk mencuri data atau merosakkan  sumber teknologi maklumat, maka bukti-bukti yang dikumpul akan dimajukan kepada jawatankuasa penguatkuasaan IT USM.

 

Sebagai langkah pemeliharaan bukti, staf operasi boleh membuat salinan keras atau salinan digital kesemua atau sebahagian kandungan akaun pengguna. Staf Operasi dengan kebenaran dari pihak pengurusan boleh mencapai maklumat atau data sulit/rahsia pengguna seperti e-mel, atau fail-fail yang tersimpan dalam akaunnya.

 

Walaubagaimanpun, pengguna diberi jaminan bahawa selain dari perkara-perkara yang disebutkan diatas, data atau maklumat rahsia yang terdapat dalam akaun pengguna tidak akan dicapai oleh sesiapa pun. Dan jika individu atau pengguna lain mencapai data atau maklumat pengguna lain tanpa kebenarannya, maka individu tersebut (pengguna biasa atau staf operasi) telah melanggar dasar akses.

 

Adalah menjadi polisi USM menegah pengguna dari menyimpan data-data atau maklumat sensitif atau sulit di dalam akaunnya.

 

 

4.         Pemantauan Data dalam Rangkaian

 

Sebagai sebahagian dari rutin penjagaan keselamatan sumber teknologi maklumat, staf operasi berkuasa untuk memantau dan merekodkan data-data yang berada dalam rangkaian. Peralatan rangkaian seperti router atau sistem pelayan yang menggunakan perisian-perisian tertentu mampu merekodkan data-data dalam rangkaian. Jaminan diberikan bahawa data-data yang direkodkan tidak akan didedahkan melainkan jika berlaku kejadian pelanggaran polisi keselamatan IT.

 

Sama seperti kes capaian maklumat di atas, jika sekiranya staf operasi mengsyaki pengguna melanggar dasar keselamatan, maka staf operasi mempunyai mandat (tanpa mendapat kebenaran dari pihak pengurus) untuk memantau dan merekodkan data-data dalam talian yang melibatkan aktiviti pengguna dengan lebih teliti lagi. Iaitu, data komunikasi sessi dari mesin yang digunakan oleh pengguna yang disyaki akan direkodkan, dan setiap ‘keystroke’ juga akan direkodkan. Data-data ini kemudiannya akan digunakan sebagai bahan bukti dan untuk proses pengauditan yang akan dilakukan nanti oleh jawatankuasa tatatertib keselamatan nanti.

 

Jaminan adalah diberikan kepada pengguna bahawa selain dari perkara-perkara yang dinyatakan diatas, adalah menjadi kesalahan jika pengguna (staf operasi atau pengguna biasa), memantau atau merekodkan data-data yang berada dalam rangkaian.