به گزارش خبرآنلاین، مرکز افتا هدف از انتشار این سند را «تعیین الزامات فنی و امنیتی برای برقراری ارتباط از راه دور با شـبکه و سامانههای داخلی سـازمان در شرایط خاص» اعلام کرده و توضیح داد که رعایت این موارد از سوی تمامی کاربران، یعنی کارمندان، راهبران، پیمانکاران الزامی است. همچنین در صورتی که امکان اجرای هر یک از بندهای ابلاغشده وجود ندارد، باید این موضوع به بالاترین مقام سازمانی اطلاعرسانی شود.
به نقل از زومیت، و بر اساس اعلام این سند «تمامی دسترسیهای از راه دور به سامانهها، سرورها و منابع داخلی سازمان، صرفاً بر اساس مصوبه کتبی کمیته امنیت دستگاه قابل برقراری است.» مصوبه کتبی مورد نیاز باید حاوی چهار نوع اطلاعات باشد:
در این مصوبه باید فهرست دقیق سامانهها و سرورهایی که اجازه دسترسی از راه دور به آنها وجود دارد،ذکر شده باشد. همچنین، نوع دسترسی مجاز برای هر یک (نظیر مطالعه، ویرایش، مدیریت) باید دقیقا اعلام شده باشد. موردسوم شرایط زمانی و مکانی دسترسی است که باید در این مصوبه مشخص شده باشد.در نهایت، مسئول تاییدکننده نهایی در کمیته نیز باید ذکر شده باشد.
مرکز افتا تاکید کرده است که هرگونه تغییر در این فهرست یا اضافه شدن سامانه جدید، منوط به تایید مجدد کمیته است و باید در صورتجلسه مکتوب یا سامانه مصوبات مستند شود.
الزامات امنیتی
این ابلاغیه در خصوص ضرورتهای امنیت برای دسترسی به پروتکلها و رمزنگاریها اشاره کرده و سازمانها را ملزم کرده که برای اتصال از راه دور از پروتکلهای استاندارد با بالاترین ســطح رمزنگاری مثل IPSec ،WireGuard یا راهکارهای امن مشابه، که مطابق با استانداردهای بینالمللی است، استفاده کنند.
در زمینه پایش ترافیک نیز«تمام ترافیک ورودی به دروازه دسـترسی از راه دور باید بهطور مسـتمر توسط سیسـتم شناسایی و پیشگیری از نفوذ (IPS/IDS به صورت Inline) پایش شود.»
مرکز افتا در خصوص ترافیک ورودی نیز الزامی را در نظر گفته و تاکید کرده است که این ترافیک ورودی باید فقط برای آدرسهای IP از پیش تعیینشده (مانند محدوده شرکای تجاری یا کاربران ثابت) و فقط روی پورت و پروتکل مشخص سرویس مجاز باشد.
کنترل دسترسیها
در این دستورالعمل در خصوص احراز هویت و امکان دسترسیها نیز الزاماتی در نظر گرفته شده است و بنابراین، فقط افراد با شرایط خاصی میتوانند به سرویسها دسترسی داشته باشند. این شرایط عبارتند از:
- حسابهای کاربری باید دارای نام کاربری یکتا و مشخص برای هر فرد باشند
- رمز عبور حسابهای کاربری باید پیچیده، غیرقابل حدس و حداقل دارای ۱۴ کاراکتر باشد.
- رمز عبور حسابهای کاربری در این سرویس با رمز سایر سرویسهای داخلی یکسان نباشد.
مرکز افتا احراز هویت چندعاملی را نیز الزامی کرده است و برای احراز هویت چندعاملی (MFA) روش انتخابی باید از نوع مقاوم در برابر فیشینگ مانند 2FIDO ، کلیدهای امنیتی سختافزاری، یا گواهیهای دیجیتال باشد.
الزامات امنیتی تعیینشده برای دستگاه کاربران
بخشی از این الزامات نیز ناظر بر دستگاههایی است که کاربران برای اتصال از آنها استفاده میکنند. مطابق اعلام مرکز افتا، سیستم عامل دستگاه کاربر باید بهروز باشد و آخرین وصـلههای امنیتی (تنها از مرجع اصلی) روی آن نصب شده باشد. همچنین لازم است این دستگاهها مطابق استانداردهای امنیتی مقاومسازی شده باشد.
محافظت در برابر بدافزار و نفوذ نیز یکی دیگر از الزامات است. مرکز افتا در این دستورالعمل نوشته است: «بر روی دستگاه باید ضد بدافزار سازمانی با آخرین تعاریف و حداکثر تنظیمات امنیتی فعال باشد. همچنین، وجود قابلیت تشخیص نفوذ در سـطح میزبان (HIPS/HIDS) با پیکربندی بهروز و سختگیرانه الزامی است.»
این مرکز همچنین کاربران را ملزم میکند که از طریق شـبکههای عمومی به سـازمان متصل نشوند و لازم اسـت از APN اختصـاصی در ارتباط استفاده کنند.
مرکز افتا در پایان تاکید کرده است که «چنانچه به هر دلیل (کمبود نیروی انسـانی، منابع، بودجه، دانش فنی، نبود لایسنس و...) امکان اجرای هر یک از بندهای این سند وجود نداشته باشد ریسک آن بند باید به بالاترین مقام سـازمانی اطلاعرسانی و تصمیمگیری در خصوص آن بهصورت مکتوب اخذ شود.»
5858
نظر شما