ضوابط فنی عمومی دورکاری و جلسات از راه دور ابلاغ شد

سیاست‌ها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان، به‌خصوص برای سازمان‌های دولتی، به سازمان‌های اجرایی ابلاغ شد.

دوران کنونی شیوع ویروس کرونا با اوج‌گیری سیاست‌های دورکاری و برگزاری جلسات از راه دور در انواع سازمان‌ها و شرکت‌های خصوصی و دولتی همراه شد. تاکنون بخشنامه‌های متعددی به سازمان‌ها ارسال شده است که مجوز برگزاری جلسات از راه دور و دورکاری کارمندان را صادر می‌کند. دراین‌میان نگرانی مدیران و مسئولان از امنیت جلسه‌‌ها و اسناد اداری موجب شد تا بخشنامه‌ای جدید برای شرح پیش نیازهای عمومی فنی جلسه‌های دورکاری ابلاغ شود.

به گزارش پیوست، سازمان اداری و استخدامی کشور و ستاد ملی مدیریت و مقابله با ویروس کرونا، تاکنون بخشنامه‌های متعددی را پیرامون برگزاری جلسه‌های کاری به‌صورت آنلاین صادر کرده‌اند. بخشنامه‌ی جدید به‌منظور حفظ امنیت اسناد سازمانی و پشتیبانی از سازمان‌ها و دستگاه‌های اجرایی و جلوگیری از تهدید‌های امنیتی در فضای مجازی ابلاغ شد.

در بخش قوانین و سیاست‌های اجرایی و فنی جلسات از راه دور بخشنامه‌ی جدید، برگزاری هرگونه جلسه با موضوع حساس و دارای طبقه‌بندی به‌صورت آنلاین، ممنوع اعلام شد. به‌علاوه، نمایش اسناد حساس و دارای طبقه‌بندی هم در جلسه‌های آنلاین عادی، ممنوع خواهد بود. نکته‌ی مهم دیگر، ذخیره‌سازی و ثبت جلسات توسط حاضران در جلسه است که باید با کسب اجازه از مسئول جلسه و اطلاع‌رسانی به سایر اعضا انجام شود. در جلسه‌هایی که ضبط آن‌ها ضروری باشد، محتوای ضبط‌شده باید در آرشیو امن سازمان نگه‌داری شود.

در بخشی از ابلاغیه‌ی جدید پیرامون جلسه‌های آنلاین می‌خوانیم:

درصورتی‌که از نرم‌افزارهای خارجی برای جلسات از راه دور استفاده می‌شود،‌محل نصب آن‌ها باید در کارگزارهای تحت مدیریت و کنترل آن دستگاه بوده و علاوه بر استفاده از کانال‌های امن ارتباطی، دسترسی به بیرون آن‌ها (Outbound) نیز در اینترنت قطع باشد.

سازمان‌هایی که تصمیم به استفاده از کارگزارهای اشتراکی ارائه سرویس جلسه از راه دور دارند، باید مواردی را در همکاری با مرکز مورد نظر رعایت کنند. امضای قرارداد منع افشا، در اختیار گرفتن صفحه مدیریت دسترسی برای حذف یا انتقال آرشیوا و مطالبه تأییدیه‌ی آزمون امنیتی، از پیش‌نیازهای همکاری با کارگزارهای اشتراکی هستند. تأییدیه‌ی آزمون امنیتی نیز باید توسط شرکت‌های صاحب صلاحیت در حوزه‌ی امنیتی دریافت شود که فهرست آن‌ها در وب‌سایت سازمان فناوری اطلاعات قرار دارد.

در بخشی از ابلاغیه جلسه‌های آنلاین سازمانی به الزام حضور در شبکه ملی اطلاعات برای شرکت در جلسه‌ها اشاره می‌شود. به بیان دیگر، تجهیزات تنظیم‌شده با IP خارج از نشانی‌های اینترنتی متعلق به کشور، اجازه‌ی حضور در جلسات را ندارند و ارزیابی این مورد نیز برعهده‌ی وزارت ارتباطات و فناوری اطلاعات است.

در بخش مرتبط با دورکاری سازمانی ابلاغیه‌ی جدید، به اهمیت حضور بخش‌های پایش و پشتیبانی اشاره می‌شود. طبق ابلاغیه‌ی جدید، سازمان‌های مرتبط با خدمات اداری الکترونیک تنها درصورتی اجازه‌ی ارائه‌ی خدمات ۲۴ ساعته دارند که نیروهای پایش و پشتیبانی آن‌ها در تمامی ساعات شبانه‌روز در دسترس باشند. به‌علاوه، فعالیت‌های دورکاری نیز باید در کانال‌های امن با مکانیزم‌های احراز هویت انجام شوند. نکته‌ی مهم در ابلاغیه‌ی جدید این است که «استفاده از پروتکل مدیریت دسترسی از راه دور RDP در بستر اینترنت برای فعالیت‌های اداری مرتبط با دورکاری ممنوع است».

ابلاغیه‌ی جدید، سازمان‌ها را ملزم می‌کند تا ظرف دو هفته پس از دریافت بخشنامه، نسبت به پیاده‌سازی سازوکارهای امنیتی و تأیید هویت کارمندان اقدام کنند. از بخش‌های مهم زیرساختی می‌توان به صلاحیت‌سنجی دوره‌ای رفتار استفاده کارکنان برای اعطای سطوح دسترسی متناسب اشاره کرد. تنظیم زمان در اختیار گرفتن رمزهای عبور، استفاده از رمزهای یک‌بار مصرف و مکانیزم نظارت آنلاین بر رفتارهای غیرمتعارف و رویه‌های هشدار و واکنش فوری، از الزام‌های دیگر بخشنامه‌ی جدید هستند.

در پایان ابلاغیه‌ی سیاست‌ها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان، به نقش وزارت ارتباطات و فناوری اطلاعات و مرکز مدیریت راهبردی افتا در پیاده‌سازی سیاست‌ها اشاره می‌شود. این سازمان‌ها باید دستورالعمل حفاظت از سامانه‌های سمت کاربران دورکار را همراه‌با آموزش‌های حفاظت شخصی و آگاهی از مسئولیت‌های امنیتی، تهیه و منتشر کنند.