Professional Documents
Culture Documents
BORDI
UDHEZIM MBI
PARIMET DHE RREGULLAT E PRGJITHSHME T
SIGURIS S INFORMACIONIT
-1-
1. T PRGJITHSHME ................................................................................. - 4 -
1.1. QLLIMI ..................................................................................................- 4 -
1.2. BAZA LIGJORE ........................................................................................- 4 -
1.3. FUSHA E ZBATIMIT .................................................................................- 4 -
1.4. PARIMET E SIGURIS ................................................................................ - 4 -
1.5. OBJEKTIVAT E SIGURIS ..........................................................................- 5 -
1.6. KONTROLLI I DOKUMENTEVE ................................................................... - 6 -
1.7. POLITIKA DHE PROCEDURA NE FUNKSION TE SIGURISE SE INFORMACIONIT- 7 -
2. SIGURIA E INSTITUCIONIT DHE PRGJEGJSIT ....................... - 8 -
2.1. PRGJEGJSIT PR SIGURIN ..................................................................- 8 -
2.2. AKSESIMI I T TRETVE.......................................................................... - 10 -
3. KLASIFIKIMI DHE KONTROLLI I ASETEVE.................................. - 11 -
3.1. PRGJEGJSIA PR ASETET ..................................................................... - 11 -
3.2. REGJISTRI I ASETEVE T INFORMACIONIT ............................................... - 11 -
3.3. KLASIFIKIMI I INFORMACIONIT ..............................................................- 12 -
3.4. ANALIZA E RISKUT ................................................................................. - 12 -
3.5. ADMINISTRIMI I NDRYSHIMIT T DOKUMENTEVE ................................... - 12 -
4. SIGURIA E PERSONELIT ...................................................................... - 13 -
4.1 MANUALET E VENDEVE T PUNS DHE PUNSIMI ................................... - 13 -
4.2. PROCEDURAT E FILLIMIT DHE T LARGIMIT NGA PUNA........................... - 13 -
4.3. PLANET E VAZHDUESHMRIS DHE T ZVENDSIMIT ........................... - 14 -
4.4. TRAINIMI ............................................................................................... - 15 -
4.5. PRGJIGJA NDAJ INCIDENTEVE ............................................................... - 15 -
4.6. SHKELJA (THYERJA) E RREGULLAVE DHE PROCEDURAVE T SIGURIS ...- 16 -
4.7. NDARJA E PRGJEGJSIVE ...................................................................... - 16 -
5. SIGURIA FIZIKE DHE E MJEDISEVE ......... ERROR! BOOKMARK NOT
DEFINED.
5.1. SIGURIA E AMBIENTEVE (NDRTESAVE) ................................................. - 17 -
5.2. SIGURIA E PAJISJEVE .............................................................................. - 17 -
5.3. SIGURIA E ASETEVE................................................................................- 18 -
5.4 SIGURIA E KOMUNIKIMIT ....................................................................... - 19 -
6. ADMINISTRIMI I SISTEMEVE TE INFORMACIONIT ................... - 19 -
6.1. PROCEDURAT E OPERIMIT ..................................................................... - 19 -
6.2. KONTROLLI I NDRYSHIMEVE ................................................................. - 20 -
-2-
6.3. PROGRAMET KEQDASHSE .................................................................... - 20 -
6.4. BACKUP-I I T DHNAVE ....................................................................... - 20 -
6.5. MBAJTJA E LOG-EVE .............................................................................- 20 -
6.6. POLITIKA E PRDORIMIT T INTERNETIT ............................................... - 20 -
7. KONTROLLI I AKSESIT ........................................................................ - 21 -
7.1. PRDORUESIT E BRENDSHM ................................................................ - 21 -
7.2. PRDORUESIT E JASHTM ......................................................................- 23 -
8. ZHVILLIMI DHE MIRMBAJTJA E SISTEMEVE........................... - 25 -
8.1. ZHVILLIMI I PROGRAMEVE ................................................................... - 25 -
8.2 KALIMI NGA MJEDISI I ZHVILLIMIT N AT PRODUKT ........................... - 25 -
8.3. AKSESI N MJEDISET TEST DHE PRODUKT ............................................ - 26 -
9. ADMINISTRIMI I VAZHDUESHMRIS S AKTIVITETIT ..... - 27 -
9.1. VAZHDUESHMRIA ..............................................................................- 27 -
9.2. RIKRIJIMI I INFORMACIONIT N RAST KATASTROFASH.......................... - 27 -
9.3. PRMIRSIMI ........................................................................................ - 28 -
10. PRPUTHJA ME LIGJIN ................................................................... - 29 -
10.1. KRKESAT LIGJORE ............................................................................. - 29 -
10.2. POLITIKA E SIGURIS .......................................................................... - 29 -
-3-
1. T Prgjithshme
1.1 Objekti
Objekt i ktij udhzimi sht prcaktimi i Parimeve dhe Rregullave t Prgjithshme t
Siguris s Informacionit n AMF dhe prcaktimi i prgjegjsive pr veprimet q lidhen
me sigurin me qllim ruajtjen e integritetin, disponueshmris dhe konfidencialitetit t
aseteve t informacionit t Autoritetit. .
INTEGRITETI
Gjat gjith kohs informacioni duhet t jet i plot, i sakt dhe i qndrueshm ndaj
modifikimeve t paautorizuara ose ndaj dmtimeve.
DISPONUESHMRIA
Informacioni bhet i aksesueshm sa her q sht e nevojshme. Kjo do t thot q t
gjitha informacionet dhe t gjitha sistemet e informacionit jan t disponueshme dhe
operacionale (t gatshme pr pun) sa her q nevojitet nj gj e till.
KONFIDENCIALITETI
Informacioni konfidencial prdoret vetm nga persona t autorizuar. Kjo sht
veanrisht e rndsishme pr informacionet me ndjeshmri t lart.
PRGJEGJSIA
T gjith personat, qofshin kta npuns, kontraktues, konsulent ose prdorues t
jashtm, mbajn prgjegjsi pr pasojat qe rrjedhin direkt nga veprimet e tyre dhe q
kan t bjn me asetet e informacionit t AMF. Cdo npunsi i bhen t qarta
prgjegjsit e tij n lidhje me detyrn q kryhen.
-4-
MBROJTJA FIZIKE
T gjitha asetet e informacionit t Autoritetit mbrohen n shkalln m t lart nga
dmtimet fizike.
-5-
11. Masat e siguris zhvillohen n prputhje me funksionimin e sistemeve t
Autoritetit, prej nj regjimi pune 24 or n dit, pr 7 dit n jav.
Aksesimi i prdoruesve Prdoruesit e brendshm
12. Fillimisht, punonjsit e Autoritetit nuk kan t drejta aksesimi n sistemet e saj.
M pas, atyre u jepet vetm nj nivel minimal aksesimi, i domosdoshm pr
kryerjen e detyrave q ata mbulojn.
13. Dhnia e t drejtave t aksesimit n sisteme bazohet n nevojat e institucionit dhe
jo n krkesat apo n dshirat personale .
14. Aksesimi i sistemeve t Autoritetit prcaktohet n baz t detyrave t
punonjsve, t cilat pcaktohen qart.. Kur nj prdorues i sistemeve ndryshon
detyr, ai humbet t drejtat e aksesimit q lidheshin me detyrn e mparshme.
15. Akumulimi n koh i privilegjeve duhet t monitorohet dhe t shmanget.
-6-
1.7 Politika dhe Procedura n funksion t Siguris s
Informacionit
Departamenti i Teknologjis dhe Informacionit prgatit politika dhe procedura, n
zbatim t ktij udhzimi, pr cshtje t cilat jan t rndsishme pr ruajtjen e siguris
s informacionit.
Titulli
Nr
1 Politika e siguris s informacionit
2 Politika pr prdorimin t emailit dhe internetit
5 Procedurat e Back-up
6 Administrimi i fjalkalimeve
6 Inventarizimi i aseteve t informacionit
7 Procedura pr administrimin e kompjuterave portativ
8 Procedurat e administrimit t ndryshimeve
9 Procedura pr administrimin e dokumentacioneve
Procedura per administrimin e sistemeve operative Windos XP dhe Windos
10
2000
11 Procedura per aksesin fizik ne dhomn e serverave
-7-
2. SIGURIA E INSTITUCIONIT DHE PRGJEGJSIT
2.1 Prgjegjsit pr sigurin
I gjith personeli sht prgjegjs pr respektimin dhe pr ruajtjen e nivelit t krkuar t
siguris gjat kryerjes s detyrave. Ai vepron vazhdimisht n prputhje me udhzimin pr
parimet dhe rregullat e prgjithshme t siguris s informacionit.
N kt udhzim, me personel kuptojm t gjith ata persona t cilve u lejohet aksesi
n asetet e Autoritetit dhe n mnyr t veant asetet e informacionit. Ktu prfshihen:
punonjsit e Autoritetit;
kontraktort e Autoritetit;
npunsit e ofruesve t shrbimeve (service providers) t Autoritetit;
konsulentt;
pal t tjera me t drejt aksesi;
DREJTORT E DREJTORIVE
Siguria e informacionit sht prgjegjsi e do drejtuesi strukture. N prputhje me kt,
t gjith drejtuesit jan prgjegjs:
t sigurojn njohjen e personelit me politikn e siguris s informacionit, me kt
udhzim, procedurat dhe standardet e publikuara pr sigurin e informacionit n
AMF;
pr vlersimin e vazhdueshm t riskut t siguris n fushn ku ata drejtojn;
t sigurohen q t gjitha t drejtat pr aksesimin e aseteve t Autoritetit (prfshi
ktu kompjuterat, llogarit e prdoruesve, elsat dhe do gj tjetr) t hiqen
menjher, pr do pjestar t personelit (i prhershm ose me kontrat) q
largohet nga AMF ose q kalon n nj departament apo n nj detyr tjetr;
-8-
pr aplikimin e llogarive t reja pr prdoruesit apo modifikimin e llogarive
aktuale, pr nivele t duhura sigurie dhe pr t drejta aksesimi (prfshi aksesin
fizik), pr pjestart e rinj t personelit;
pr dhnien e s drejts pr aksesimin personelit jasht departamentit t tyre, n
lidhje me asetevet e informacionit dhe sistemeve kompjuterike pr t cilat ata
jan prgjegjs;
pr dhnien e s drejts pr ndryshimin (korrigjimin) e do hedhjeje gabim t t
dhnave n sistemet specifike t teknologjis s informacionit pr t cilin ata jan
prgjegjs;
ADMINISTRATORI I SIGURIS
Detyr e Administratorit t Siguris sht t krijoj, t implementoj dhe t mirmbaj
nj program sigurie q t ndihmoj Autoritetin n mbrojtjen e aseteve t informacionit.
Administratori i Siguris sht prgjegjs pr:
krijimin, pr t gjith Autoritetin, t standardeve dhe t udhzuesve pr sigurin e
informacionit dhe sigurin fizike;
prmirsimin e vazhdueshm t ktij udhzimi;
imponimin e zbatimit t rregulloreve dhe pr ruajtjen e standardeve t siguris;
zhvillimin dhe kryerjen e nj fushate t vazhdueshme pr sigurin pr
ndrgjegjsim e punonjsve t AMF;
trajnimin e personelit n lidhje politikat dhe me procedurat e siguris
kryerjen dhe prmirsimin e vazhdueshm (t paktn nj her n vit) t analizs s
riskut;
rishikimin e vazhdueshm (nj her n tre muaj) t t drejtave t aksesimit t
informacioneve;
rishikimin e vazhdueshm (nj her n gjasht muaj) t masave t siguris ndaj
ofruesve t shrbimeve t jashtme , veanrisht personelit q punon me kontrat
n ambientet e Autoritetit;
rishikimin e rregullt (nj her n tre muaj) t privilegjeve pr aksesimin e
sistemeve t kompjuterave;
kontrollin pr heqjen e menjhershme t llogarive t prdoruesve q japin
dorheqjen ose largohen nga puna pr arsye t tjera;
drejtimin e kontrolleve t siguris, prfshi ktu organizimin e rregullt t
kontrolleve t jashtme;
shqyrtimin e thyerjeve t siguris q raportohen;
raportimin rregullisht (t paktn nj her n tre muaj) tek Drejtori i Drejtoris s
Teknologjis dhe Informacionit mbi gjendjen e siguris.
-9-
2.2 Aksesimi i t tretve
Personat, t cilt nuk jan punonjs t AMF dhe institucionet (organizatat) t tjera,
lejohen t aksesojn asetet e informacionit t Autoritetit vetm n baz t kushteve t
prcaktuara n nj marrveshje zyrtare. Kto kushte duhet t mbulojn t drejtat dhe
detyrimet e t gjith personave dhe organizatave q jan t interesuara t aksesojn asetet
e informacionit t AMF, prfshir ktu sipas mundsis:
politikn e prgjithshme pr sigurin e informacionit t Autoritetit;
kufizimet n kopjimin dhe n shprndarjen e informacionit;
nj prshkrim pr secilin prej shrbimeve q do t ofrohet nga Autoriteti;
nivelin e synuar dhe at t papranueshm t shrbimeve;
klauzolat pr ndryshimin e personelit nse sht e nevojshme;
detyrimet respektive t palve q bjn marrveshjen;
prgjegjsit pr t respektuar prputhjen me ligjin dhe me rregulloret;
mbrojtjen e t drejts s autorit t Autoritetit, si dhe t palve t treta;
metodat e lejuara t aksesimit dhe kontrolli i prdorimit t fjalkalimit t
prdoruesit;
procesin e dhnies s t drejts pr aksesim;
nj krkes pr t mbajtur nj list t personave t autorizuar pr t prdorur
shrbimet e krkuara dhe t t drejtave t tyre prkatse;
prcaktimin e kritereve t verifikueshme t performancs, monitorimin e tyre dhe
raportimin;
t drejtn pr t monitoruar dhe pr t ndrprer aktivitetin e prdoruesit;
t drejtn pr t kontrolluar/verifikuar zbatimin e prgjegjsive kontraktore;
prgjegjsit q kan t bjn me instalimin dhe me mirmbajtjen e pajisjeve dhe
t programeve;
nj struktur t qart raportimi dhe miratim t formateve t raportimit;
krkesn pr t zbatuar procedurat e Autoritetit pr administrimin e ndryshimeve
mbi sistemet e informacionit;
mbrojtjen nga programet keqdashse;
procedurat pr raportimin, pr njoftimin dhe pr shqyrtimin e thyerjeve t
siguris;
detyrimin e palve t treta pr t krkuar zbatimin e ktyre kushteve edhe nga
nnkontratort e tyre.
- 10 -
3. KLASIFIKIMI DHE KONTROLLI I ASETEVE
3.1 Prgjegjsia pr asetet
T gjitha asetet kryesore pr aktivitetin normal t Autoritetit vlersohen dhe pr kt
ngarkohet nj person prgjegjes i caktuar. Prgjegjsia pr asetet garanton mbajtjen n
mnyr t vazhdueshme t nj niveli t mjaftueshm sigurie.
Pr t gjitha asetet e rndsishme t informacionit do t prcaktohen pergjegjesit s
bashku me prgjegjsit prkatse pr ruajtjen e masave t duhura t siguris, t cilat
duhet t specifikohen qart.
Zbatimi i masave t siguris mund t delegohet, por n do rast prgjegjsia duhet t'i
mbetet pergjegjesit t asetit.
- 11 -
niveli i rndsis: prcakton rndsin e aseteve t informacionit pr Autoritetin,
n baz t periudhs kohore maksimale gjat t cils Autoriteti mund t vazhdoj
t punoj, pa i patur ato n dispozicion;
prdoruesit e autorizuar dhe tipet e lejuara t aksesimit (lexim, shkrim, kopjim,
ndryshim, fshirje);
krijimi, mirmbajtja dhe mbrojtja e regjistrit t aseteve t informacionit sht
prgjegjsi i Drejtorise s TI, e cila konsultohet me prgjegjesit. Regjistri duhet t
rishikohet t paktn nj her n gjasht muaj.
- 12 -
4. SIGURIA E PERSONELIT
4.1 Manualet e vendeve t puns dhe punsimi
do punonjs ka prgjegjsit e tij n lidhje me sigurin. Prgjegjsia pr sigurin
prcaktohet q n fazn e marrjes n pun dhe prfshihet n manualet e vendeve t puns
dhe n kontratat e punsimit.
- 13 -
prdorimin e prgjithshm t mjeteve t teknologjis s informacionit;
ndihmn e kualifikuar nga Drejtoria e Teknologjise s Informacionit (TI
helpdesk);
familiarizimin me Politikn e Siguris s Autoritetit dhe rregullat e siguris;
trajtimin e informacioneve konfidenciale;
politikn e prdorimit t internetit, t emailit etj.;
rregulloret pr fjalkalimet.
Kjo bhet para se atyre t'u hapet ndonj llogari prdoruesi ose t'u jepen privilegje pr t
aksesuar sistemet e Autoritetit.
- 14 -
Ktu prfshihen jo vetm pozicionet e administratorve dhe mbikqyrsve, por gjithashtu,
edhe ato q kan lidhje me sigurin e teknologjis s informacionit.
4.4 Trainimi
Personat q kan akses n asetet e informacionit t Autoritetit jan t detyruar t jen t
vetdijshm pr rregullat dhe standardet e siguris n Autoritetit. I gjith personeli duhet
t marr trajnimin e nevojshm pr rregullat dhe pr procedurat organizative dhe t
siguris. Ky trajnim kryhet sa m shpejt q t jet e mundur pas fillimit t puns s
punonjsve t rinj (shih 4.2).
Objektivat e edukimit n lidhje me sigurin duhet t jen:
krijimi i kulturs s siguris n t gjith Autoritetin;
edukimi i personelit mbi pasojat e veprimeve t tyre mbi sigurin e informacionit;
udhzimi i personelit pr rregullat dhe procedurat e siguris sipas pozicioneve
prkatse;
prcaktimi i prgjegjsive q mban do person mbi sigurin dhe detyra e secilit pr
t raportuar do shkelje t rregullave t siguris.
Gjithashtu, i gjith personeli duhet t trajnohet pr prdorimin korrekt t sistemeve
kompjuterike dhe t aseteve t informacionit. Kjo bhet para se t'u jepet e drejta t
aksesojn sistemet.
Drejtoria e TI prgjegjet pr zhvillimin dhe pr shprndarjen e materialeve t trajnimit.
- 15 -
RAPORTIMI I KEQFUNKSIONIMIT T PROGRAMIT TEK DREJTORIA IT
Pr t minimizuar do ndrprerje t shrbimeve apo do dmtim t t dhnave, sht
shum e nevojshme q keqfunksionimi i programeve t korrektohet sa m shpejt q t
jet e mundur.
Keqfunksionimet e dukshme t programeve i raportohen Drejtorise se TI, e cila prgjigjet
menjher dhe udhzon n lidhje me mnyrn e veprimit n raste t tilla.
4.6 Shkelja (thyerja) e rregullave dhe procedurave t
siguris
Kur administratori (drejtor drejtorie/sektori) gjykon se veprimtaria e nj punonjsi nuk
sht n prputhje me rregullat dhe procedurat e siguris, pr fardolloj arsyeje, ai sht
i detyruar t organizoj nj takim me punonjsin pr t diskutuar shtjen dhe pr t
planifikuar veprimet korrigjuese.
- 16 -
5. SIGURIA FIZIKE DHE E MJEDISEVE
KARTAT E AKSESIMIT
T gjitha ambientet kritike sigurohen me sisteme aksesimi dhe karta elektronike, do
punonjs i Autorizuar pr nj ambient specifik pajiset me nj kart individuale aksesi.
Administratori i ndrtesave sht personi prgjegjes pr mbajtjen e t dhnave n lidhje
me t gjitha aksesimet e autorizuara, ku prfshihen detaje si : emri i punonjsit, drejtoria,
data kur sht lshuar karta, ora dhe dita deri kur i lejohet aksesimi. Eshte e detyrueshme
mbajtja e logeve pr t gjitha aktivitetet e aksesimit, kur sistemet e aksesimit t
ambienteve e lejojn nj gj t till.
VIZITORT
Vizitorve t Autoritetit nuk duhet tu lejohet lvizja e lir, e pakontrolluar n ambientet
kritike. Identitet i vizitorv verifikohet nga rojet, t cilt jan prgjegjs pr njoftimin e
personave q do t shoqrojn vizitort. do vizitor duhet t pajiset me nj shenj
identifikimi t prkohshme para se t lejohet t hyj. Vizitort, punonjsit e mirmbajtjes
dhe persona t tjer t huaj, duhet t shoqrohen gjat gjith kohs nga punonjs t
autorizuar t Autoritetit.
N veanti, vizitorve nuk duhet t'u lejohet t aksesojn ambientet me akses t kufizuar,
sidomos n vendndodhjet e serverave, t pashoqruar nga nj person i autorizuar nga
Drejtori i Drejtoris s Teknologjis dhe Informacionit.
I gjith personeli duhet t inkurajohet t nxjerr jasht do person t panjohur, t cilin
mund ta gjej n hapsirat me akses t kufizuar.
Prgjegjsia pr t siguruar largimin e vizitorit nga godina pasi puna e tij ka prfunduar,
dhe rikthimi i do karte q i sht dhn, mbetet mbi personin e fundit i cili ka qen n
kontakt me vizitorin.
DHOMAT E SERVERAVE
T gjith serverat dhe pajisjet e komunikimit (domethn routerat, switch-et, firewall-et,
PBX etj.) duhet t vendosen n dhoma apo n ambiente t mbyllura e t sigurta. Aksesi
n kto dhoma duhet t lejohet vetm pr personelin e autorizuar nga Drejtori i Drejtoris
s Teknologjis dhe Informacionit.
- 17 -
T gjitha aksesimet n dhomat e t kompjuterave dhe n nyjet e rrjetit duhet t jen t
kontrolluara dhe t mbahen log-e ku t shnohet emri i personit ose i personave, arsyet e
hyrjes, data/ora dhe veprimet e kryera.
Dhomat e kompjuterave duhet t pajisen me karta sigurie, ajr t kondicionuar, me
kamera, me UPS, detektor dhe me fiksa zjarri.
T gjitha pajisjet n dhomat e serverave duhet t sigurohen kundr dmtimeve apo
trmeteve.
KOMPJUTERAT PERSONAL
Kompjuterat personal (PC) duhet t vendosen n prputhje me standardet e Autoritetit
pr instalimin dhe prdorimin e PC. N veanti, ata nuk duhet t vendosen n vende ku
personat e paautorizuar kan mundsi t shohin informacionet sensitive q ndodhen n to.
Ato duhet t instalohen ose t transferohen (lvizen) vetm nga nj personel i trainuar dhe
i autorizuar nga Drejtori i Drejtoris s Teknologjis dhe Informacionit.
INFORMACIONI SENSITIV
Informacioni i klasifikuar Konfidencial ose Sekret, n letr ose n trajt elektronike,
duhet t nxirret jasht vetm n prputhje me procedurat e lvizjes dhe duke patur m
par miratimin e drejtorit t drejtoris prkatse.
- 18 -
duhet t kontrollohen pr t'u siguruar q t dhnat dhe programet e licencuara jan hequr
n prputhje me procedurat e paracaktuara nga Autoriteti. Ktu prfshihen edhe pajisjet
q nxirren jasht Autoritetit pr t'u riparuar. Tape-t magnetik t nxjerr prfundimisht
jasht Autoritetit duhet t shkatrrohen mundsisht t digjen.
TELEFONAT
Pajisjet telefonike sigurohet t jen t mbrojtura nga aksesimi dhe prdorimi i
paautorizuar. Masat q duhet t merren prfshijn:
kontrolle fizike pr aksesimin e pajisjeve t centralit telefonik;
kontrolle pr ndalimin e prdorimit t modemeve (ose t pajisjeve t tjera) pr
aksesimin e rrjeteve te jashtm duke prfshir dhe internetin
ruajtjen e t dhnave (logeve) pr do thirrje telefonike dhe ekzaminimin e tyre pr t
par nse ka thirrje t pazakonta ose t paautorizuara.
- 19 -
6.2 Kontrolli i ndryshimeve
T gjitha ndryshimet n pajisjet dhe n sistemet q prpunojn informacionin i
nnshtrohen procedurave zyrtare t administrimit t ndryshimeve.
- 20 -
6. KONTROLLI I AKSESIT
Pr do burim informacioni t Autoritetit, prdoruesve u jepet akses vetm n prputhje
me funksionet e tyre pr kryerjen e detyrave dhe ky akses kontrollohet me rreptsi pr t
ruajtur integritetin dhe sigurin e aktivitetit.
Hapi i par i kontrollit t aksesit sht identifikimi i prdoruesit. Kjo mbulon procedurat
pr t'u siguruar q do sistem sht i aft t njoh personat e autorizuar dhe t kryej
veprimet e duhura, n rastet e prpjekjeve pr aksesim t paautorizuar.
do prdorues i sistemeve, qoft ai personel i brendshm i Autoritetit, aplikues
(kandidat) i jashtm, npuns i nj institucioni ose organizate tjetr, kontraktues,
konsulent ose pjestar i personelit q punon pr ofruesit e shrbimeve, identifikohet n
mnyr individuale nprmjet nj llogarie unike prdoruesi, e cila do t caktohet vetm
nprmjet nj autorizimi me shkrim nga nj drejtues Departamenti i Autoritetit dhe me
miratimin e Drejtorit t Drejtoris s Teknologjis dhe Informacionit. Kjo zbatohet pr t
gjith personat, pavarsisht nga rolet e tyre.
Ndalohet rreptsisht shprndarja e llogaris personale n persona t tjer. Thyerja e
ktij rregulli do t trajtohet si nj shkelje e rnd.
Nj llogari unike prdoruesi nuk siguron vetm mnyrn e autentifikimit pr prdoruesit
e ligjshm, por gjithashtu garanton q Autoriteti do t jet gjithmon e aft t prcaktoj
prgjegjsin e individve pr aktivitetet e tyre n sistemet e saj.
Ndalohet rreptsisht dy ose m shum aksesime t njkohshme me t njjtn llogari
prdoruesi.
Fillimisht prdoruesit nuk do t ken asnj t drejt aksesimi. Atyre do t'u jepet akses
vetm n pjest minimale t sistemit, q u nevojiten pr kryerjen e aktivitetin e tyre.
N t gjitha rastet, ndiqen procedura t dokumentuara pr:
rregjistrimin e prdoruesve t rinj;
ndryshimin e statusit pr nj prdorues ekzistues (pr shembull ndrprerjen e llogaris
s prdoruesit kur ai largohet nga puna ose mungon pr nj koh t gjat ose
ndryshimin e privilegjeve t aksesit t tij);
mbylljen prfundimtare t nj llogarie prdoruesi.
Natyra e ktyre procedurave dhe prgjegjsit pr administrimin e tyre mund t
ndryshojn n varsi t kategoris s prdoruesit.
Llogaria e prdoruesit aktivizohet nse ajo nuk ka qn aktive pr dy muaj.
- 21 -
LLOGARIT E PRDORUESVE
Llogarit e prdoruesve krijohen dhe administrohen nga punonjsit e teknologjis s
informacionit. Ata prdoren pr aksesimin e t gjitha shrbimeve t teknologjis s
informacionit t Autoritetit, prfshi ktu rrjetin e brendshm, pajisjet dhe sistemet e
Autoritetit.
Modifikimi ose heqja e nj llogarie bhet me an t nj krkes zyrtare, nprmjet
plotsimit t nj formulari t miratuar pr kt qllim nga drejtort e drejtorive. Kjo
krkes bhet nga drejtori i drejtoris nn prgjegjsin e t cilit sht prdoruesi dhe
miratohet nga pronari i sistemit.
Procedura pr administrimin e llogarive t prdoruesve t Autoritetit dokumentohet sipas
nj rregullore t vecant. Kjo procedur zbatohet n t gjitha rastet kur:
nevojitet nj llogari e re (pr shmbull pr nj punonjs t ri);
llogaria e nj punonjsi duhet t pezullohet pr nj periudh kohe ose kur duhet t
riaktivizohet mbas pezullimit;
do t ndryshohen privilegjet e aksesimit (pr shembull kur kalohet n nj rol me
prgjegjsi m t madhe);
nj npuns, pjestar i personelit t Autoritetit, largohet nga puna (fshirja e
prhershme e llogaris ).
ADMINISTRIMI I FJALKALIMEVE
T gjith prdoruesit e Autoritetit instruktohen n lidhje me mnyrat e administrimit t
fjalkalimeve. Ktu futet:
zgjedhja e fjalkalimit fillestar;
ndryshimi i fjalkalimit dhe kshilla t njohura sigurie pr zgjedhjen e tij;
mbrojta e fjalkalimit si dhe ndalimi i dhnies s fjalkalimit midis prdoruesve;
inicializimi ose mbivendosja e fjalkalimit (n qoft se nj llogari prdoruesi sht
mbyllur ose n qoft se prdoruesi ka harruar fjalkalimin). Mbivendosja e
fjalkalimit duhet t bhet vetm nga personeli i autorizuar i teknologjis s
informacionit pas nj krkes me shkrim.
Prdoruesve u krkohet t firmosin nj marrveshje ku pranojn se ata i kan lexuar e i
kan kuptuar rregullat, dhe se do t'i zbatojn ato. Kjo proedur prfshihet n procedurat
e punsimit t personelit t Autoritetit.
- 22 -
nj her n gjasht muaj. Si rezultat i ktij rishikimi hartohet lista e emrave t t gjith
prdoruesve t brendshm t vlefshm, me profilet e tyre prkats. Kjo list do t mbahet
dhe do t kontrollohet nga Departamenti i TI.
LLOGARIT E PRDORUESVE
Caktimi i llogarive t prdoruesve sht prgjegjsi e drejtorive prkatse t Autoritetit.
Prdoruesit e jashtm instruktohen q t ruajn konfidencialitetin e llogaris s tyre, gjat
procesit t trainimit pr prdorimin e sistemeve.
Formati i llogarive t prdoruesve standardizohet, aq sa sht e mundur, pr t gjith
prdoruesit e jashtm, me an t nj bashkpunimi midis teknologjis s informacionit
dhe drejtorive t Autoritetit Ky format do t jet pjes e dokumentacionit t sistemeve.
Lista e t gjith prdoruesve t jashtm t autorizuar, bashk me llogarit e tyre, duhet t
mbahet nga Drejtoria e TI.
AUTENTIFIKIMI
T gjith prdoruesit e jashtm, para se t'u jepet akses n sistemet e informacionit t
Autoritetit, identifikohen n mnyr t vetme. Niveli i autentifikimit q duhet t krkohet
pr prdoruesit e jashtm, varet nga ndjeshmria e t dhnave q do t aksesohen dhe
risku q i shoqron n qoft se kto t dhna kompromentohen. Mnyrat e autentifikimit
q prdor Autoriteti jan:
kombinimi i emrit t prdoruesit dhe fjalkalimit e identifikuar me emrin llogari
prdorimi i smart cards ose i formave t tjera hardware t autentikimit
Prpara kalimit t do aplikimi n mjedisin produkt, prdoruesi i aplikimit duhet t
ndrmar nj vlersim zyrtar t tij, duke u konsultuar me specialistt t Drejtoris s
Teknologjis s Informacionit, pr:
sensitivitetin e t dhnave q prpunohen;
nivelin e rrezikut nga aksesi i prdoruesve.
MARRVESHJET ME KONTRAT
Krkesat e siguris prfshihen n t gjitha kontratat ndrmjet Autoritetit dhe prdoruesve
t jashtm pr t administruar aksesin e tyre direkt (online) n sistemet e Autoritetit. Ktu
mund t prfshihet:
nj deklarat pr pranimin dhe pr respektimin e t drejtave t aksesimit;
deklarat pr pranimin e procedurs Administrimi i Fjalkalimeve;
t marrin prsipr prdorimin e programeve antivirus t miratuara nga Autoriteti,
n t gjith kompjuterat q mund t lidhen me sistemet e Autoritetit, dhe t
garantojn q programet antivirus rinovohen (update) t paktn nj her n dit;
t marrin prsipr ruajtjen e konfidencialitetit t plot pr t gjitha t dhnat dhe
informacionet q ata mund t marrin nga sistemet e Autoritetit.
- 23 -
DHNIA E PRIVILEGJEVE
N rastet e prdoruesve t jashtm, privilegjet caktohen n baz t profileve t siguris.
Kto profile zbatohen dhe testohen zyrtarisht, prpara testimit t tyre prej prdoruesve.
Pr privilegjevet e prdoruesve vendos dhe t firmos drejtori i drejtoris prgjegjse t
sistemit, duke marr n konsiderat mendimin e specialistve t Drejtoris s
Teknologjis s Informacionit. do ndryshim i tyre duhet t miratohet zyrtarisht nga
drejtori i drejtoris prgjegjse t sistemit.
Privilegjet prcaktohen n dokumentacionet e aplikimeve dhe ruhen t sigurta sipas
rregullave t kontrollit zyrtar t dokumenteve, nga Drejtoria e TI.
ENKRIPTIMI
T gjitha t dhnat q shkmbehen ndrmjet sistemeve t Autoritetit dhe prdoruesve t
jashtm duhet t enkriptohen.
- 24 -
8. ZHVILLIMI DHE MIRMBAJTJA E SISTEMEVE
8.1. Zhvillimi i programeve
Krkesat e siguris dizenjohen brenda programeve/aplikimeve, duke reflektuar vlerat e
aseteve t informacionit dhe dmtimet e mundshme, t cilat mund t vijn si rezultat i
dshtimit ose mungess s siguris. Si rregull ato miratohen nga Drejtoria e TI, prpara
fillimit t puns pr zhvillimin e aplikimit.
Masat e siguris prcaktohen qart n dokumentacionin e programeve/aplikimeve,
prfshi ktu procedurat operacionale. N mnyr t veant, t gjitha aplikimet
dizenjohen n mnyr t till q t parandalojn mundsin e aksesimit t njkohshm t
shum prdoruesve, me t njjtin kod.
MJEDISI I ZHVILLIMIT
Mjedisi i zhvillimit sht nn kontrollin e ekipit q zhvillon (krijon) aplikimin, i cili sht
prgjegjs pr sigurin e tij. Drejtoria e Teknologjis s Informacionit sht prgjegjse
pr funksionimin dhe pr mirmbajtjen e sistemeve q jan n zhvillim.
MJEDISI I TESTIMIT
Mjedisi i Testimit sht nn kontrollin e Drejtoris s Teknologjis s Informacionit. T
gjitha profilet e siguris dhe lejet e aksesimit prcaktohen dhe jepen me miratimin e
Drejtoris s Teknologjis s Informacionit.
Kur pjes t reja t zhvillimit t programeve jan gati pr t'u testuar, ato duhet t
migrohen nga mjedisi n zhvillim (krijim) n at pr testim. Kjo procedur kryhet n
prputhje me procedurat e administrimit t ndryshimeve, t cilat krkojn q:
1. zhvilluesit (krijuesit) prgjegjs t shkruajn nj dokumentacion t plot, q
mbulon instalimin, testimin dhe funksionimin e programit t ri;
2. Drejtoria e Teknologjis s Informacionit t prcaktoj se kush do ta instaloj, do
ta testoj dhe do ta ekzekutoj programin, n prputhje me dokumentacionin;
3. N qoft se konstatohet ndonj problem ose gabim, ai do t dokumentohet nga
Drejtoria e Teknologjis s Informacionit dhe do t kthehet pr korrigjim;
4. Kjo procedur t prsritet sa her q sht e nevojshme derisa t dyja palt t
jen t knaqura me rezultatet e testimit;
5. N fund, programi t prgatitet pr kalimin n produkt.
MJEDISI I PRODUKTIT
Kur bhet instalimi n mjedisin produkt, programet/aplikimet nuk mund t ndryshohen
ose t modifikohen n asnj lloj mnyr, prve rasteve t ndrhyrjeve urgjente, t
- 25 -
kontrolluara rreptsisht pr t rregulluar nj problem operacional serioz, si prshkruhet
n pikn 8.3 .
Mjedisi produkt sht nn kontrollin e Drejtoris s Teknologjis s Informacionit. T
gjitha profilet e siguris dhe lejet e aksesimit prcaktohen me miratimin e Drejtoris s
Teknologjis s Informacionit.
Migrimi i programeve t rinj, nga Test n Produkt, bhet n prputhje me procedurat e
Administrimit t ndryshimeve. Pas migrimit ato jan nn kontrollin e palve prkatse,
t cilat mbajn prgjegjsi pr funksionimin n mjedisin produkt.
8.3. Aksesi n mjediset Test dhe Produkt
Personeli i zhvillimit t aplikimit i lejohet nse sht e nevojshme t ket akses n
sistemet test dhe produkt ashtu si dhe n mjedisin n zhvillim. Aksesime t tilla duhet t
kontrollohen me kujdes:
Niveli i aksesit t lejuar, pr do pjestar t grupit t zhvillimit t aplikimit, do t
jet minimumi i duhur pr t kryer ndrhyrjet e nevojshme.
T gjitha aksesimet do t caktohen dhe do t miratohen nga drejtori i
departamentit pronar t sistemit dhe nga Drejtori i Drejtoris s Teknologjis s
Informacionit.
T gjitha aksesimet duhet t kryhen sipas procedurave t Administrimit t
ndryshimeve, t shoqruara me loge pr t gjitha veprimet q kryhen.
T gjitha aksesimet duhet t kryhen duke u konsultuar n mnyr t vazhdueshme
me prfaqsuesit e Drejtoris s Teknologjis s Informacionit. Konsultime t tilla
mund t kryhen me telefon ose brenda institucionit ose nprmjet takimeve
direkte.
N mjediset produkt nuk do t bhet asnj ndryshim i kodit t programit pa u
testuar m par n mjedisin test. Bjn prjashtim rastet, kur nevojitet urgjentisht
t korrigjohet menjher nj dmtim serioz i sistemit apo si pjes e procedurave t
rekuperimit (recovery), t tij. T gjitha korrigjimet e tilla do t kryhen nga
specialistt e Teknologjis s Informacionit.
Pr do prmirsim t kodit ose pr do ndryshim i t dhnave, q do t bhet n
mjedisin produkt, duhet t mbahen shnime t plota.
- 26 -
9. ADMINISTRIMI I VAZHDUESHMRIS S AKTIVITETIT
Duke u konsultuar me drejtort e t gjitha departamenteve, Drejtoria s Teknologjis s
Informacionit zhvillon dhe mban plane pr rikrijimin e t gjitha proceseve dhe
shrbimeve kritike t aktivitetit, n rastet e ndrprerjeve serioze. Ndrprerje t tilla mund
t shkaktohen nga shkaqe natyrore, nga aksidente, nga difekte t pajisjeve, nga veprime t
qllimshme ose nga difekte t shrbimeve.
9.1. Vazhdueshmria
Planet pr vazhdueshmrin e aktivitetit prfshijn masat pr reduktimin e riskut, pr
kufizimin e pasojave t shkaktuara prej nj krcnimi q mund t ndodh, dhe pr
garantimin e rifillimit sa m t shpejt t operacioneve kritike. Planet pr
vazhdueshmrin e aktivitetit prgatiten pr do aktivitet t Autoritetit.
Planet e vazhdueshmris duhet t mundsojn funksionimin n vazhdimsi t
aktiviteteve n raste dmtimesh, difektesh ose humbjesh t shrbimeve apo t pajisjeve.
Ato prfshijn:
identifikimin dhe vendosjen e prioriteteve pr proceset kritike t biznesit;
identifikimin e krcnimeve t mundshme q mund t ken efekt n kto procese;
prcaktimin e ndikimit t mundshm t katastrofave t ndryshme n aktivitetet e
biznesit;
identifikimin dhe realizimin e marrveshjeve pr do prgjegjsi, n rast gjendjeje
t jashtzakonshme;
dokumentacionin pr procedurat dhe proceset pr t cilat sht rn dakord;
edukimin e personelit n ekzekutimin e procedurave ;
testimin e planeve;
prmirsimin e vazhdueshm t planeve.
Procesi i planifikimit t vazhdueshmris s aktivitetit duhet t siguroj, mbajtjen n
pun t proceseve dhe shrbimeve kritike t Autoritetit.
Drejtuesit e drejtorive jan prgjegjs pr planet e vazhdueshmris s aktivitetit pr
sistemet dhe pajisjet q kan n pronsi t tyre. T paktn nj kopje e do plani t till
duhet t ruhet n nj vend t sigurt, jasht ndrtess, pr t siguruar disponueshmrin e
tij n do koh.
Plane t tilla krijohen pr sistemet e informaciont n nj vit nga hyrja n fuqi e
dokumentit.
- 27 -
t t dhnave t humbura dhe pr planet e vazhdueshmris, sht e departamenteve q
jan pronar t tyre.
9.3. Prmirsimi
T gjitha planet pr vazhdueshmrin e aktivitetit dhe planet e rikrijimit rishikohen e
prmirsohen t paktn nj her n vit. Planet t cilat vjetrohen shpejt, si rezultat i
ndryshimeve q ndodhin brenda ose jasht institucionit prmirsohen (updating) n
mnyr t vazhdueshme me qllim mbrojtjen e investimit mbi planin fillestar dhe pr
t garantuar efektshmrin e vazhdueshme t vazhdueshmris.
do departament, drejtori apo sektor duhet t ket nj person t autorizuar, i cili do t jet
prgjegjs pr identifikimin dhe pr aplikimin e ndryshimeve n kto plane. Nevoja pr
ndryshime t veanta mund t rishikohet do muaj. I tr plani duhet t jet subjekt i nj
rishikimi vjetor nga Drejtoris s Teknologjis s Informacionit.
- 28 -
10. PRPUTHJA ME LIGJIN
10.1. Krkesat ligjore
LEGJISLACIONI
Drejtorve t drejtorive u krkohet t njohin krkesat e legjislacionit dhe akteve
nnligjore, n t cilat AMF mbshtt veprimtarin e saj, dhe t sigurohen q personeli i
tyre vepron n pajtim me krkesat e legjislacionit n fuqi..
ELISABETA GJONI
KRYETAR
- 29 -