جزئیات الزامات فنی و امنیتی دورکاری اعلام شد

مرکز مدیریت راهبردی افتای ریاست جمهوری، دستورالعمل جدیدی را صادر کرده است که راه و روش صحیح و امنِ وصل شدن کارمندان به سیستم‌های اداری از راه دور را نشان می‌دهد.

این دستورالعمل که برای تمامی کارمندان، راهبران فنی و پیمانکاران الزامی است، تأکید دارد که در صورت عدم امکان اجرای هر یک از بندها، موضوع باید فوراً به بالاترین مقام سازمانی اطلاع‌رسانی شود تا در مورد ریسک‌های موجود تصمیم‌گیری مکتوب صورت گیرد. هدف این سند، تعیین دقیق ضوابط فنی برای برقراری ارتباط با سامانه‌های داخلی در شرایط ویژه است.

مجوز کتبی؛ اولین قدم برای دورکاری

مطابق این دستورالعمل، هیچ‌کس اجازه ندارد خودسرانه از راه دور به سرورها یا پوشه‌های داخلی اداره دسترسی داشته باشد. برای این کار، حتماً باید یک «مجوز کتبی» از کمیته امنیت سازمان وجود داشته باشد. در این مجوز باید دقیقاً نوشته شده باشد که چه کسی، به کدام سیستم‌ها، در چه ساعاتی و از کجا اجازه دسترسی دارد. همچنین مشخص می‌شود که کاربر فقط می‌تواند فایل‌ها را بخواند یا به عنوان ادمین اجازه تغییر دادن آن‌ها را هم دارد.

ایمن‌سازی مسیر ارتباطی و تجهیزات شبکه

در بخش فنی، افتا الزامات سخت‌گیرانه‌ای برای معماری شبکه در نظر گرفته و تأکید شده است که سیستم‌های واسطه (مانند وی‌پی‌ان) نباید مستقیماً در قلب شبکه اصلی قرار بگیرند، بلکه باید در یک فضای جداگانه و محافظت‌شده مستقر شوند. تنظیمات این دستگاه‌ها نباید روی حالت پیش‌فرض کارخانه بماند و باید بر اساس استانداردهای جهانی امن شوند. همچنین، سازمان‌ها موظف هستند همیشه نسخه‌ی پشتیبان از تنظیمات داشته باشند و زمان تمام سیستم‌ها را با هم هماهنگ کنند.

قفل‌های محکم برای ورود به سیستم

مرکز افتا تأکید کرده که برای وصل شدن به اداره، باید از پروتکل‌های بسیار قوی و رمزگذاری شده استفاده شود. همچنین تمام رفت‌وآمدهای اینترنتی به سمت سازمان، توسط سیستم‌های هوشمند پایش می‌شود تا جلوی نفوذ هکرها گرفته شود. نکته مهم اینجاست که مدیران فنی و ادمین‌ها هم اجازه ندارند مستقیماً از اینترنت به سرورهای حساس وصل شوند و باید از روش‌های نظارتی ویژه (PAM) استفاده کنند.

رمزهای طولانی و تایید هویت دومرحله‌ای

یکی از بخش‌های مهم این ابلاغیه برای کاربران، مربوط به رمز عبور است. رمزها باید حداقل ۱۴ کاراکتر، سخت و پیچیده باشند. علاوه بر رمز، استفاده از «تایید هویت چندعاملی» (مثل استفاده از کلیدهای امنیتی یا کدهای مخصوص) اجباری است. همچنین اگر کاربری ۲۰ دقیقه با سیستم کار نکند، ارتباط او به صورت خودکار قطع می‌شود و بعد از ۳ ساعت کار مداوم نیز باید دوباره هویت خود را تأیید کند.

الزامات امنیتی دستگاه کاربر (کلاینت)

دستگاهی که کارمند با آن کار می‌کند (کلاینت) هم باید امن باشد. این دستگاه حتماً باید آنتی‌ویروس قوی و به‌روز داشته باشد. کارمندان نباید از اینترنت‌های عمومی (مثل وای‌فای کافه‌ها یا اماکن عمومی) برای وصل شدن به اداره استفاده کنند و باید از اینترنت اختصاصی و امن بهره ببرند. حتی برای کامپیوتر شخصی هم باید یک رمز عبور قوی (۱۴ کاراکتری) تعریف شده باشد.

ثبت تمامی فعالیت‌ها و مسئولیت نهایی

تمام فعالیت‌هایی که کاربر هنگام اتصال به سیستم انجام می‌دهد، ثبت و ضبط می‌شود. این اطلاعات به سامانه‌های نظارتی فرستاده می‌شود تا اگر اتفاق مشکوکی افتاد، بلافاصله با آن برخورد شود. در نهایت، مرکز افتا اعلام کرده که اگر سازمانی به هر دلیل (مثل بودجه یا دانش فنی) نتواند این موارد را رعایت کند، باید مسئولیت خطر (ریسک) آن را به صورت کتبی بپذیرد و به مدیر عالی سازمان اطلاع دهد.

مشروح این دستورالعمل را در فایل زیر مطالعه کنید.