سیاست‌ها و ضوابط فنی دورکاری ابلاغ شد

به گزارش پیوست، با شیوع کرونا و ابلاغ بخشنامه‌ها و مجوزهای برگزاری جلسات از راه دور و دورکاری کارکنان که از سوی سازمان اداری و استخدامی کشور و نیز ستاد ملی مدیریت و مقابله با ویروس کرونا صادر شد حفظ امنیت برای انجام فرایندهای کاری از راه دور تبدیل به یکی از دغدغه‌های اصلی مدیران دستگاه‌های مختلف شد به‌گونه‌ای که تعدادی از آنان ترجیح می‌دادند به‌جای دورکاری به کارمندان مرخصی بدهند و کار را تعطیل کنند. هر چند قانون مربوط به دورکاری تصویب و ابلاغ شده است اما در آن قانون فرایندهای تامین امنیت برای انجام کارها پیش‌بینی نشده است.

اواخر اسفند ماه دبیر شورای اجرایی فناوری اطلاعات طی نامه‌ای از رئیس مرکز ملی فضای مجازی و دبیر شورای عالی فضای مجازی درخواست کرد تا این مرکز حسب وظیفه‌اش پروتکل‌های دورکاری را تنظیم و به دستگاه‌های مختلف ابلاغ کند، هم‌اکنون پروتکل دورکاری مشخص شده است و دستگاه‌های دولتی می‌توانند طبق آن جلسات خود را آنلاین برگزار کنند و به دورکاری بپردازند.

در اولین بند این سیاست تاکید شده است که برگزاری جلسات از راه دور که موضوع آنها حساس و دارای طبقه‌بندی باشد و همچنین نمایش و ارئه هر گونه مستندات داری طبق‌بندی در فضای جلسات عادی ممنوع است. همچنین عنوان شده که اشخاص شرکت کننده در جلسات از راه‌دور، باید برای ذخیره‌سازی و ثبت جلسات از مسئول جلسه کسب اجاز کنند و آنرا به اطلاع سایر اعضا نیز برسانند. همچنین برای جلساتی که ضبط جلسه ضروری است، محتوای ضبط شده باید در آرشیوهای امن آن دستگاه نگهداری شود.

در این سیاست‌نامه تاکید شده است که در صورتی‌که از نرم‌افزارهای خارجی برای برگزاری جلسات از راه دور استفاده می‌شود، محل نصب آنها باید در کارگزاری‌های تحت مدیریت و کنترل آن دستگاه باشد و علاوه بر استفاده از کانال‌های امن ارتباطی، دسترسی به بیرون آنها نیز در اینترنت قطع باشد.

همچنین تاکید شده است که شرکت در جلسات آنلاین خارج از ابر شبکه ملی اطلاعات و با تجهیزات تنظیم شده با نشانی‌های اینترنتی (‌IPs) خارج از قلمرو نشانی‌های اینترنتی متعلق به کشور مجاز نیست. در اصل در این بخش تاکید شده است که باید از طریق نشانی اینترنتی و آی‌پی آدرس ایرانی جلسات برگزار شود و جلسات آنلاین نباید بر بستر اینترنت برگزار شود بلکه باید از بستر شبکه ملی اطلاعات برای برگزاری جلسات از راه دور استفاده کرد.

در این زمینه وزارت ارتباطات و فناوری اطلاعات به عنوان دستگاه مسئول به پاسخگویی استعلامات سایر سازمان‌ها و دستگاه‌ها تعیین شده است و اگر دستگاهی در خصوص نحوه برگزاری جلسات یا چگونه استفاده از ابرشبکه ملی اطلاعات و آدرس‌های اینترنتی ایرانی سوال داشت می‌تواند به این وزارتخانه مراجعه کند.

همچنین در این چارچوب ابلاغی تاکید شده است که کلیه سامانه‌های سازمانی مرتبط با دورکاری باید فعالیت دورکاری را در کانال‌های امن ارتباطی که دارای مکانیسم‌های احراز هویت قابل قبول هستند ارائه کنند. در مورد روش‌های احراز هویت راهکاری در این چارچوب پیشنهاد نشده است و به نظر می‌رسد هر یک از دستگاه‌ها می‌توانند بر اساس زیرساختی که خود فراهم کرده‌اند می‌توانند اقدام به احراز هویت کارکنان خود کنند. برخی از سازمان‌ها برای انجام فعالیت‌های دبیرخانه‌ای خود به منظور حذف کاغذ پیشتر امضای الکترونیکی را برای کارکنان خود فعال کرده بودند، امضای الکترونیکی در شرایط فعلی می‌تواند یکی از راهکارهای احراز هویت کارمندان دستگاه‌های مختلف باشد.

در این سیاستنامه دو هفته به دستگاه‌ها زمان داده شده تا هر کدام از دستگاه‌ها سیاست‌های اختصاصی امنیت فضای مجازی خود از قبیل، صلاحیت سنجی دوره‌ای رفتار استفاده کارکنان برای اعطای سطوح دسترسی متناسب، زمان در اختیار قرارگرفتن رمزهای عبور، یکبار مصرف بودن آنها، مکانیسم‌های نظارت برخط بررفتارهای غیر متعارف و رویه‌های هشدار و واکنش فوری را تعیین و ابلاغ کنند.

در این چارچوب تاکید شده است که استفاده از پروتکل مدیریت دسترسی از راه دور RDP در بستر اینترنت برای فعالیت‌های اداری مرتبط با دورکاری ممنوع است و باید از پروتکل‌های مدیریت دسترسی از راه دور در بستر شبکه ملی اطلاعات بهره برد. به نظر می‌رسد در این ضوابط فنی تاکید شده است که برای اینکه بتوان امنیت اطلاعات را حفظ کرد و از ارتباط امن‌تری میان ادارات و خانه‌های افراد برای انجام فعالیت‌ها بهره برد به‌جای استفاده از بستر اینترنت باید از بستر شبکه ملی اطلاعات استفاده کرد.

کارگزاری‌ها و سامانه‌های مرتبط با خدمات اداری الکترونیکی مانند دبیرخانه بدون کاغذ فقط در صورتی می‌توانند به‌صورت ۲۴*۷ ارائه خدمات کنند که تمهیدات لازم برای حضور بخش‌های پایش و پشتیبانی فنی فعالیت آنها درتمامی ساعات شبانه‌روزی را فراهم کرده باشند.

وزارت ارتباطات و فناوری اطلاعات و مرکز مدیریت راهبردی افتا نیز باید دستورالعمل حفاظت فیزیکی و سایبری از سامانه‌های سمت کاربران دورکار را همراه با آموزش‌های خود حفاظتی و آگاهی از مسئولیت‌هایی که متوجه آنان است ظرف دو هفته تهیه و منتشر کنند.

حال با ابلاغ این چارچوب بسیاری از دستگاه‌های دولتی در شرایط داشتن زیرساخت‌های مناسب با آن اقدام به برگزاری جلسات خود از راه دور کنند از سویی در صورت ادامه دار بودن حضور کرونا در کشور و در صورت اوج گیری آن در دوره‌های مختلف زمانی بخش‌های مختلف می‌توانند با توجه به این دستورالعمل شرایط کار برای کارکنان خود را از راه دور فراهم کنند.

مشاهده فایل کامل سیاست‌ها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری