سیاستها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان (بخشنامه شماره ۱۰۰۵۷۶/۹۹ مورخ ۷/۲/۱۳۹۹ مرکز ملی فضای مجازی)
به کلیه دستگاههای اجرایی کشور
با توجه به شیوع ویروس کرونا و ابلاغ بخشنامهها و مجوزهای برگزاری جلسات از راه دور و دورکاری کارکنان که توسط سازمان اداری و استخدامی کشور و نیز ستاد ملی مدیریت و مقابله با ویروس کرونا صادر شده است، سیاستها و ضوابط فنی عمومی زیر را به منظور صیانت از دادههای سازمانی و نیز پشتیبانی و حمایت از سازمانها و دستگاههای اجرایی در جهت کاهش مخاطرات مرتبط با امنیت داراییهای فضای مجازی (مصوب کمیسیون عالی امنیت فضای مجازی کشور مورخ ۱/۲/۱۳۹۹) برای اجرا ابلاغ فرمایید.
سیاستها و ضوابط فنی عمومی برگزاری جلسات از راه دور و دورکاری کارکنان
الف- جلسات از راه دور:
۱. تشکیل جلسات از راه دور که موضوع آنها حساس و دارای طبقهبندی باشد، ممنوع بوده و نمایش و ارائه هرگونه مستندات دارای طبقهبندی در فضای جلسات عادی نیز ممنوع است؛
۲. اشخاص شرکت کننده در جلسات از راه دور باید برای ذخیرهسازی و ثبت جلسات از مسئول جلسه کسب اجازه نموده و آن را به اطلاع سایر اعضا برسانند؛
۳. برای جلساتی که ضبط جلسه ضورری است، محتوای ضبط شده باید در ارشیوهای امن آن دستگاه نگهداری شود؛
۴. در صورتی که از نرمافزارهای خارجی برای جلسات از راه دور استفاده میشود، محل نصب آنها باید در کارگزارهای تحت مدیریت و کنترل آن دستگاه بوده و علاوه بر استفاده از کانالهای امن ارتباطی، دسترسی به بیرون آنها (Outbound) نیز در اینترنت قطع باشد؛
در صورت استفاده از کارگزارهای اشتراکی ارائه خدمت جلسات از راه دور که در مراکز داده خصوصی میزبانی شده است، آن دستگاه باید نسبت به موارد زیر اقدام نمایند:
۵-۱- امضای قرارداد منع افشا با ارائه کننده خدمات اشتراکی؛
۵-۲- در اختیار گرفتن صفحه مدیریت دسترسی برای حذف و یا انتقال آرشیوها؛
۵-۳- مطالبه تأییدیه آزمون امنیتی از یکی از شرکتهای صاحب صلاحیت در حوزه ارزیابی امنیتی که نام آن در تارنمای سازمان فنآوری اطلاعات ایران اعلام شده است.
شرکت در جلسات بر خط خارج از ابر شبکه ملی اطلاعات و با تجهیزات تنظیمشده با نشانیهای اینترنتی (IPs) خارج از قلمرو نشانیهای اینترنتی متعلق به کشور، مجاز نیست. در این زمینه وزارت ارتباطات و فنآوری اطلاعات، خدمات پاسخ به استعلامات مورد نیاز دستگاهها را در صورت درخواست ارائه نماید.
ب- دورکاری:
۱. کارگزارها و سامانههای مرتبط با خدمات الکترونیکی مانند دبیرخانه بدون کاغذ فقط در صورتی میتوانند به صورت ۲۴*۷ ارائه خدمت نمایند که تمهیدات مرتبط با حضور بخشهای پایش و پشتیبانی فنی فعالیت آنها در تمامی ساعات شبانهروز، فراهم شده باشد؛
۲. کلیه سامانههای سازمانی مرتبط با دورکاری باید فعالیت دورکاری را در کانالهای امن ارتباطی که دارای مکانیسمهای احراز هویت قابل قبول باشند، ارائه نمایند؛
۳. استفاده از پروتکل مدیریت دسترسی از راه دور RDP در بستر اینترنت برای فعالیتهای اداری مرتبط با دورکاری ممنوع است؛
ظرف مدت دو هفته پس از ابلاغ این دستورالعمل، ضوابط و سیاستهای اختصاصی امنیت فضای مجازی هر دستگاه برای ارائه خدمات دورکاری و جلسات مجازی مانند صلاحیتسنجی دورهای رفتار استفاده کارکنان برای اعطای سطوح دسترسی متناسب، زمان در اختیار قرار گرفتن رمزهای عبور، یکبار مصرف بودن آنها، مکانیسمهای نظارت برخط بر رفتارهای غیرمتعارف و رویههای هشدار و واکنش فوری را توسط آن دستگاه تدوین و توسط عالیترین مقام مربوطه ابلاغ شود؛
وزارت ارتباطات و فنآوری اطلاعات و مرکز مدیریت راهبردی افتا، دستورالعمل حفاظت فیزیکی و سایبری از سامانههای سمت کاربران دورکار را همراه با آموزشهای خودحفاظتی و آگاهی از مسئولیتهایی که متوجه آنان میباشد، ظرف دو هفته تهیه و منتشر نماید.
سید ابوالحسن فیروزآبادی- دبیر شورای عالی فضای مجازی و رییس مرکز ملی فضای مجازی