سیاستها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان، مصوب کمیسیون عالی امنیت فضای مجازی کشور ابلاغ شد.
با شیوع کرونا و ابلاغ بخشنامهها و مجوزهای برگزاری جلسات از راه دور و دورکاری کارکنان که از سوی سازمان اداری و استخدامی کشور و نیز ستاد ملی مدیریت و مقابله با ویروس کرونا صادر شد حفظ امنیت برای انجام فرایندهای کاری از راه دور تبدیل به یکی از دغدغههای اصلی مدیران دستگاههای مختلف شد بهگونهای که تعدادی از آنان ترجیح میدادند بهجای دورکاری به کارمندان مرخصی بدهند و کار را تعطیل کنند. هر چند قانون مربوط به دورکاری تصویب و ابلاغ شده است اما در آن قانون فرایندهای تامین امنیت برای انجام کارها پیشبینی نشده است.
اواخر اسفند ماه دبیر شورای اجرایی فناوری اطلاعات طی نامهای از رئیس مرکز ملی فضای مجازی و دبیر شورای عالی فضای مجازی درخواست کرد تا این مرکز حسب وظیفهاش پروتکلهای دورکاری را تنظیم و به دستگاههای مختلف ابلاغ کند، هماکنون پروتکل دورکاری مشخص شده است و دستگاههای دولتی میتوانند طبق آن جلسات خود را آنلاین برگزار کنند و به دورکاری بپردازند.
در اولین بند این سیاست تاکید شده است که برگزاری جلسات از راه دور که موضوع آنها حساس و دارای طبقهبندی باشد و همچنین نمایش و ارئه هر گونه مستندات داری طبقبندی در فضای جلسات عادی ممنوع است. همچنین عنوان شده که اشخاص شرکت کننده در جلسات از راهدور، باید برای ذخیرهسازی و ثبت جلسات از مسئول جلسه کسب اجاز کنند و آنرا به اطلاع سایر اعضا نیز برسانند. همچنین برای جلساتی که ضبط جلسه ضروری است، محتوای ضبط شده باید در آرشیوهای امن آن دستگاه نگهداری شود.
در این سیاستنامه تاکید شده است که در صورتیکه از نرمافزارهای خارجی برای برگزاری جلسات از راه دور استفاده میشود، محل نصب آنها باید در کارگزاریهای تحت مدیریت و کنترل آن دستگاه باشد و علاوه بر استفاده از کانالهای امن ارتباطی، دسترسی به بیرون آنها نیز در اینترنت قطع باشد.
همچنین تاکید شده است که شرکت در جلسات آنلاین خارج از ابر شبکه ملی اطلاعات و با تجهیزات تنظیم شده با نشانیهای اینترنتی (IPs) خارج از قلمرو نشانیهای اینترنتی متعلق به کشور مجاز نیست. در اصل در این بخش تاکید شده است که باید از طریق نشانی اینترنتی و آیپی آدرس ایرانی جلسات برگزار شود. در این زمینه وزارت ارتباطات و فناوری اطلاعات به عنوان دستگاه مسئول به پاسخگویی استعلامات سایر سازمانها و دستگاهها تعیین شده است و اگر دستگاهی در خصوص نحوه برگزاری جلسات یا چگونه استفاده از ابرشبکه ملی اطلاعات و آدرسهای اینترنتی ایرانی سوال داشت میتواند به این وزارتخانه مراجعه کند.
همچنین در این چارچوب ابلاغی تاکید شده است که کلیه سامانههای سازمانی مرتبط با دورکاری باید فعالیت دورکاری را در کانالهای امن ارتباطی که دارای مکانیسمهای احراز هویت قابل قبول هستند ارائه کنند. در مورد روشهای احراز هویت راهکاری در این چارچوب پیشنهاد نشده است و به نظر میرسد هر یک از دستگاهها میتوانند بر اساس زیرساختی که خود فراهم کردهاند میتوانند اقدام به احراز هویت کارکنان خود کنند. برخی از سازمانها برای انجام فعالیتهای دبیرخانهای خود به منظور حذف کاغذ پیشتر امضای الکترونیکی را برای کارکنان خود فعال کرده بودند، امضای الکترونیکی در شرایط فعلی میتواند یکی از راهکارهای احراز هویت کارمندان دستگاههای مختلف باشد.
در این سیاستنامه دو هفته به دستگاهها زمان داده شده تا هر کدام از دستگاهها سیاستهای اختصاصی امنیت فضای مجازی خود از قبیل، صلاحیت سنجی دورهای رفتار استفاده کارکنان برای اعطای سطوح دسترسی متناسب، زمان در اختیار قرارگرفتن رمزهای عبور، یکبار مصرف بودن آنها، مکانیسمهای نظارت برخط بررفتارهای غیر متعارف و رویههای هشدار و واکنش فوری را تعیین و ابلاغ کنند.
در این چارچوب تاکید شده است که استفاده از پروتکل مدیریت دسترسی از راه دور RDP در بستر اینترنت برای فعالیتهای اداری مرتبط با دورکاری ممنوع است و کارگزاریها و سامانههای مرتبط با خدمات اداری الکترونیکی مانند دبیرخانه بدون کاغذ فقط در صورتی میتوانند بهصورت ۲۴*۷ ارائه خدمات کنند که تمهیدات لازم برای حضور بخشهای پایش و پشتیبانی فنی فعالیت آنها درتمامی ساعات شبانهروزی را فراهم کرده باشند.
وزارت ارتباطات و فناوری اطلاعات و مرکز مدیریت راهبردی افتا نیز باید دستورالعمل حفاظت فیزیکی و سایبری از سامانههای سمت کاربران دورکار را همراه با آموزشهای خود حفاظتی و آگاهی از مسئولیتهایی که متوجه آنان است ظرف دو هفته تهیه و منتشر کنند.
حال با ابلاغ این چارچوب بسیاری از دستگاههای دولتی در شرایط داشتن زیرساختهای مناسب با آن اقدام به برگزاری جلسات خود از راه دور کنند از سویی در صورت ادامه دار بودن حضور کرونا در کشور و در صورت اوج گیری آن در دورههای مختلف زمانی بخشهای مختلف میتوانند با توجه به این دستورالعمل شرایط کار برای کارکنان خود را از راه دور فراهم کنند.