AUTORITETI I MBIKEQYRJES FINANCIARE

BORDI

UDHEZIM MBI
PARIMET DHE RREGULLAT E PRGJITHSHME T
SIGURIS S INFORMACIONIT

-1-
1. T PRGJITHSHME ................................................................................. - 4 -
1.1. QLLIMI ..................................................................................................- 4 -
1.2. BAZA LIGJORE ........................................................................................- 4 -
1.3. FUSHA E ZBATIMIT .................................................................................- 4 -
1.4. PARIMET E SIGURIS ................................................................................ - 4 -
1.5. OBJEKTIVAT E SIGURIS ..........................................................................- 5 -
1.6. KONTROLLI I DOKUMENTEVE ................................................................... - 6 -
1.7. POLITIKA DHE PROCEDURA NE FUNKSION TE SIGURISE SE INFORMACIONIT- 7 -
2. SIGURIA E INSTITUCIONIT DHE PRGJEGJSIT ....................... - 8 -
2.1. PRGJEGJSIT PR SIGURIN ..................................................................- 8 -
2.2. AKSESIMI I T TRETVE.......................................................................... - 10 -
3. KLASIFIKIMI DHE KONTROLLI I ASETEVE.................................. - 11 -
3.1. PRGJEGJSIA PR ASETET ..................................................................... - 11 -
3.2. REGJISTRI I ASETEVE T INFORMACIONIT ............................................... - 11 -
3.3. KLASIFIKIMI I INFORMACIONIT ..............................................................- 12 -
3.4. ANALIZA E RISKUT ................................................................................. - 12 -
3.5. ADMINISTRIMI I NDRYSHIMIT T DOKUMENTEVE ................................... - 12 -
4. SIGURIA E PERSONELIT ...................................................................... - 13 -
4.1 MANUALET E VENDEVE T PUNS DHE PUNSIMI ................................... - 13 -
4.2. PROCEDURAT E FILLIMIT DHE T LARGIMIT NGA PUNA........................... - 13 -
4.3. PLANET E VAZHDUESHMRIS DHE T ZVENDSIMIT ........................... - 14 -
4.4. TRAINIMI ............................................................................................... - 15 -
4.5. PRGJIGJA NDAJ INCIDENTEVE ............................................................... - 15 -
4.6. SHKELJA (THYERJA) E RREGULLAVE DHE PROCEDURAVE T SIGURIS ...- 16 -
4.7. NDARJA E PRGJEGJSIVE ...................................................................... - 16 -
5. SIGURIA FIZIKE DHE E MJEDISEVE ......... ERROR! BOOKMARK NOT
DEFINED.
5.1. SIGURIA E AMBIENTEVE (NDRTESAVE) ................................................. - 17 -
5.2. SIGURIA E PAJISJEVE .............................................................................. - 17 -
5.3. SIGURIA E ASETEVE................................................................................- 18 -
5.4 SIGURIA E KOMUNIKIMIT ....................................................................... - 19 -
6. ADMINISTRIMI I SISTEMEVE TE INFORMACIONIT ................... - 19 -
6.1. PROCEDURAT E OPERIMIT ..................................................................... - 19 -
6.2. KONTROLLI I NDRYSHIMEVE ................................................................. - 20 -

-2-
 6.3. PROGRAMET KEQDASHSE .................................................................... - 20 -
6.4. BACKUP-I I T DHNAVE ....................................................................... - 20 -
6.5. MBAJTJA E LOG-EVE .............................................................................- 20 -
6.6. POLITIKA E PRDORIMIT T INTERNETIT ............................................... - 20 -
7. KONTROLLI I AKSESIT ........................................................................ - 21 -
7.1. PRDORUESIT E BRENDSHM ................................................................ - 21 -
7.2. PRDORUESIT E JASHTM ......................................................................- 23 -
8. ZHVILLIMI DHE MIRMBAJTJA E SISTEMEVE........................... - 25 -
8.1. ZHVILLIMI I PROGRAMEVE ................................................................... - 25 -
8.2 KALIMI NGA MJEDISI I ZHVILLIMIT N AT PRODUKT ........................... - 25 -
8.3. AKSESI N MJEDISET TEST DHE PRODUKT ............................................ - 26 -
9. ADMINISTRIMI I VAZHDUESHMRIS S AKTIVITETIT ..... - 27 -
9.1. VAZHDUESHMRIA ..............................................................................- 27 -
9.2. RIKRIJIMI I INFORMACIONIT N RAST KATASTROFASH.......................... - 27 -
9.3. PRMIRSIMI ........................................................................................ - 28 -
10. PRPUTHJA ME LIGJIN ................................................................... - 29 -
10.1. KRKESAT LIGJORE ............................................................................. - 29 -
10.2. POLITIKA E SIGURIS .......................................................................... - 29 -

-3-
1. T Prgjithshme
1.1 Objekti
Objekt i ktij udhzimi sht prcaktimi i Parimeve dhe Rregullave t Prgjithshme t
Siguris s Informacionit n AMF dhe prcaktimi i prgjegjsive pr veprimet q lidhen
me sigurin me qllim ruajtjen e integritetin, disponueshmris dhe konfidencialitetit t
aseteve t informacionit t Autoritetit. .

1.2 Baza Ligjore

Udhzimi hartohet n baz dhe pr zbatim t nenit 9 t ligjit nr.9572, dat 3.07.2006 Pr
Autoritetin e Mbikqyrjes Finanaciare.

1.3 Fusha e Zbatimit

Ky udhzimi zbatohet pr cdo pjestar t personelit, i cili akseson informacionin n
pronsi ose t administruar nga AMF dhe synon t mbuloj n mnyr t gjr dhe t
prgjithshme t gjitha burimet dhe sistemet e informacionit n pronsi ose prdorim nga
AMF.

1.4 Parimet e Siguris

N prputhje me Politikn e Siguris s Informacionit, objektivi kryesor pr sigurin e
informacionit sht t ruaj integritetin, disponueshmrin dhe konfidencialitetin e
aseteve t informacionit t Autoritetit. Termat e msiprme prcaktohen si m posht:

INTEGRITETI
Gjat gjith kohs informacioni duhet t jet i plot, i sakt dhe i qndrueshm ndaj
modifikimeve t paautorizuara ose ndaj dmtimeve.

DISPONUESHMRIA
Informacioni bhet i aksesueshm sa her q sht e nevojshme. Kjo do t thot q t
gjitha informacionet dhe t gjitha sistemet e informacionit jan t disponueshme dhe
operacionale (t gatshme pr pun) sa her q nevojitet nj gj e till.

KONFIDENCIALITETI
Informacioni konfidencial prdoret vetm nga persona t autorizuar. Kjo sht
veanrisht e rndsishme pr informacionet me ndjeshmri t lart.

PRGJEGJSIA
T gjith personat, qofshin kta npuns, kontraktues, konsulent ose prdorues t
jashtm, mbajn prgjegjsi pr pasojat qe rrjedhin direkt nga veprimet e tyre dhe q
kan t bjn me asetet e informacionit t AMF. Cdo npunsi i bhen t qarta
prgjegjsit e tij n lidhje me detyrn q kryhen.

-4-
MBROJTJA FIZIKE
T gjitha asetet e informacionit t Autoritetit mbrohen n shkalln m t lart nga
dmtimet fizike.

1.5 Objektivat e Siguris

1. Aksesimi i t gjitha sistemeve t informacionit t Autoritetit kontrollohet
rreptsisht pr t garantuar integritetin dhe mbrojtjen e tyre.
2. T gjitha sistemet (prfshir ktu mjediset e zhvillimit, t testimit dhe produktet)
mbrohen nga krcnimet dhe nga dmtimet fizike.
3. T gjith individt mbajn prgjegjsi direkte pr veprimet q kryejn mbi asetet
e informacionit t Autoritetit.
4. do person q autorizohet t aksesoj sistemet e AMF, pr identifikimin e tij, ka
nj llogari prdoruesi unike t prbr nga nj emr (user name) dhe nj
fjalkalim (passord). Llogaria e prdoruesit do t aktivizohet automatikisht pas
tre muajsh mosprdorimi. Prdoruesi detyrohet t mbaj t fsheht fjalkalimin e
tij dhe ta ndyshoj at n mnyr periodike sa m shpesh t jet e mundur.
Fjalkalimi duhet t jet konform politikave t njohura t siguris t shpjeguara
m posht. Aksesimi i pajisjeve dhe i sistemeve t AMF bhet n prputhje me
detyrat funksionale t prdoruesit. Asnj prdoruesi nuk i lejohet t aksesoj
lirisht funksionet e ndryshme t sistemeve.
5. Ndalohet rreptsisht prdorimi i t njjts llogari, prej dy ose m shum
prdoruesve. do rast i till trajtohet si nj shkelje serioze e rregullave t
siguris..
6. do sistem i Autoritetit n prdorim sht i aksesueshm nga nj sistem menush
dhe mbi bazn e aksesimit unik. Asnj nga sistemet e Autoritetit, n asnj
rrethan, nuk do t lejoj hyrjen e njkohshme t m shum se nj prdoruesi me
t njjtin fjalkalim.
7. Pr t gjitha prdorimet e sistemeve mbahen log-e (shnime t shkurtuara). Log-et
shqyrtohen rregullisht me qllim identifikimin e shkeljeve (thyerjeve) t siguris.
8. Prpara se t bhen zhvillime/ndryshime aplikimesh, hartohen masa/procedura
sigurie, t miratuara nga Drejtoria e TI.
9. Mjediset e zhvillimit, t testimit dhe produktet jan maksimalisht t ndara. Asnj
zhvillim/ndryshim aplikimi nuk duhet t kryhet n mjedise testimi ose produkti.
Pr kt do t jet e detyrueshme kryerja me rigorozitet e kontrolleve t
zvendsimit dhe t kalimit t aplikimeve nga ambienti i tyre i zhvillimit n at t
testimit dhe nga ai i testimit, n at te produktit.
10. Pr do mjedis t teknologjis s informacionit (ktu prfshihen pajisjet n
dhomn e serverave, bazat e t dhnave dhe t gjitha pajisjet e rrjetit t brendshm
t Autoritetit) hartohen masa/procedura sigurie. Ato klasifikohen si
KONFIDENCIALE dhe kopja origjinale e tyre do t ruhet n mnyr t sigurt
nga administratori prgjegjs i siguris i teknologjis s informacionit.

-5-
 11. Masat e siguris zhvillohen n prputhje me funksionimin e sistemeve t
Autoritetit, prej nj regjimi pune 24 or n dit, pr 7 dit n jav.
Aksesimi i prdoruesve Prdoruesit e brendshm

12. Fillimisht, punonjsit e Autoritetit nuk kan t drejta aksesimi n sistemet e saj.
M pas, atyre u jepet vetm nj nivel minimal aksesimi, i domosdoshm pr
kryerjen e detyrave q ata mbulojn.
13. Dhnia e t drejtave t aksesimit n sisteme bazohet n nevojat e institucionit dhe
jo n krkesat apo n dshirat personale .
14. Aksesimi i sistemeve t Autoritetit prcaktohet n baz t detyrave t
punonjsve, t cilat pcaktohen qart.. Kur nj prdorues i sistemeve ndryshon
detyr, ai humbet t drejtat e aksesimit q lidheshin me detyrn e mparshme.
15. Akumulimi n koh i privilegjeve duhet t monitorohet dhe t shmanget.

AKSESIMI I PRDORUESIT PRDORUESIT E JASHTM

16. Asnj prdorues i jashtm nuk mund t ket akses n sisteme t AMF-s derisa t
autorizohet me shkrim nga Autoriteti.
17. Prpara se t'u jepet e drejta e aksesimit, t gjith prdoruesit e jashtm t
sistemeve t Autoritetit nnshkruajn nj deklarat, ku pranojn se do t
respektojn t gjitha rregullat/procedurat e ktij udhzimi.
18. T gjith prdoruesit e jashtm identifikohen n mnyr t qart (log-in) para se
t'u jepet e drejta e aksesimit n sisteme.
19. T dhnat q vijn nga prdoruesit e jashtm t sistemeve t Autoritetit mbrohen
gjat gjith kalimit dhe hyrjes s tyre n sisteme.

1.6 Kontrolli i dokumenteve

Administratori pr sigurin e informacionit (Personi i ngarkuar pr sigurin n Drejtoris
s Teknologjis s Informacionit) sht prgjegjesi pr kt udhzim dhe mban
prgjegjsi pr mbarvajtjen e tij.
Administratori pr sigurin e informacionit kujdeset q:
I gjith personeli i Autoritetit t inkurajohet vazhdimisht t bj komente dhe
sygjerime tek administratori i siguris pr modifikimin e udhzimit.
Administratori pr sigurin e informacionit paraqet nj raport periodik me
shkrim para Drejtorti t Teknologjis s Informacionit n do periudh t
planifikuar, duke dhn komentet mbi funksionimin e udhzimit dhe
rekomandimet pr do modifikim ose shtes t nevojshme.
Udhzimi t jet objekt i nj procedure zyrtare vjetore rishikimi, nn kontrollin e
administratorit prgjegjs pr sigurin.

-6-
 1.7 Politika dhe Procedura n funksion t Siguris s
Informacionit
Departamenti i Teknologjis dhe Informacionit prgatit politika dhe procedura, n
zbatim t ktij udhzimi, pr cshtje t cilat jan t rndsishme pr ruajtjen e siguris
s informacionit.

Titulli
Nr
1 Politika e siguris s informacionit
2 Politika pr prdorimin t emailit dhe internetit
5 Procedurat e Back-up
6 Administrimi i fjalkalimeve
6 Inventarizimi i aseteve t informacionit
7 Procedura pr administrimin e kompjuterave portativ
8 Procedurat e administrimit t ndryshimeve
9 Procedura pr administrimin e dokumentacioneve
Procedura per administrimin e sistemeve operative Windos XP dhe Windos
10
2000
11 Procedura per aksesin fizik ne dhomn e serverave

-7-
2. SIGURIA E INSTITUCIONIT DHE PRGJEGJSIT
2.1 Prgjegjsit pr sigurin
I gjith personeli sht prgjegjs pr respektimin dhe pr ruajtjen e nivelit t krkuar t
siguris gjat kryerjes s detyrave. Ai vepron vazhdimisht n prputhje me udhzimin pr
parimet dhe rregullat e prgjithshme t siguris s informacionit.
N kt udhzim, me personel kuptojm t gjith ata persona t cilve u lejohet aksesi
n asetet e Autoritetit dhe n mnyr t veant asetet e informacionit. Ktu prfshihen:
punonjsit e Autoritetit;
kontraktort e Autoritetit;
npunsit e ofruesve t shrbimeve (service providers) t Autoritetit;
konsulentt;
pal t tjera me t drejt aksesi;

ADMINISTRATORI PRGJEGJS PR SIGURIN

Administratori prgjegjs pr sigurin mban t gjitha prgjegjsit pr sigurin e
informacionit t AMF. N veanti ai:
shqyrton kt rregullore dhe prcakton t gjitha prgjegjsit;
monitoron ndryshimet e rndsishme q ekspozojn asetet ndaj krcnimeve t
mdha;
shqyrton, monitoron, parandalon dhe kundrvepron ndaj thyerjeve t rnda t
siguris
miraton projekte t rndsishme pr prmirsimin e mtejshm t siguris.
Administratori pr sigurin raporton rregullisht (jo m pak se nj her n tre muaj) tek
Eprori direkt.

DREJTORT E DREJTORIVE
Siguria e informacionit sht prgjegjsi e do drejtuesi strukture. N prputhje me kt,
t gjith drejtuesit jan prgjegjs:
t sigurojn njohjen e personelit me politikn e siguris s informacionit, me kt
udhzim, procedurat dhe standardet e publikuara pr sigurin e informacionit n
AMF;
pr vlersimin e vazhdueshm t riskut t siguris n fushn ku ata drejtojn;
t sigurohen q t gjitha t drejtat pr aksesimin e aseteve t Autoritetit (prfshi
ktu kompjuterat, llogarit e prdoruesve, elsat dhe do gj tjetr) t hiqen
menjher, pr do pjestar t personelit (i prhershm ose me kontrat) q
largohet nga AMF ose q kalon n nj departament apo n nj detyr tjetr;

-8-
 pr aplikimin e llogarive t reja pr prdoruesit apo modifikimin e llogarive
aktuale, pr nivele t duhura sigurie dhe pr t drejta aksesimi (prfshi aksesin
fizik), pr pjestart e rinj t personelit;
pr dhnien e s drejts pr aksesimin personelit jasht departamentit t tyre, n
lidhje me asetevet e informacionit dhe sistemeve kompjuterike pr t cilat ata
jan prgjegjs;
pr dhnien e s drejts pr ndryshimin (korrigjimin) e do hedhjeje gabim t t
dhnave n sistemet specifike t teknologjis s informacionit pr t cilin ata jan
prgjegjs;

ADMINISTRATORI I SIGURIS
Detyr e Administratorit t Siguris sht t krijoj, t implementoj dhe t mirmbaj
nj program sigurie q t ndihmoj Autoritetin n mbrojtjen e aseteve t informacionit.
Administratori i Siguris sht prgjegjs pr:
krijimin, pr t gjith Autoritetin, t standardeve dhe t udhzuesve pr sigurin e
informacionit dhe sigurin fizike;
prmirsimin e vazhdueshm t ktij udhzimi;
imponimin e zbatimit t rregulloreve dhe pr ruajtjen e standardeve t siguris;
zhvillimin dhe kryerjen e nj fushate t vazhdueshme pr sigurin pr
ndrgjegjsim e punonjsve t AMF;
trajnimin e personelit n lidhje politikat dhe me procedurat e siguris
kryerjen dhe prmirsimin e vazhdueshm (t paktn nj her n vit) t analizs s
riskut;
rishikimin e vazhdueshm (nj her n tre muaj) t t drejtave t aksesimit t
informacioneve;
rishikimin e vazhdueshm (nj her n gjasht muaj) t masave t siguris ndaj
ofruesve t shrbimeve t jashtme , veanrisht personelit q punon me kontrat
n ambientet e Autoritetit;
rishikimin e rregullt (nj her n tre muaj) t privilegjeve pr aksesimin e
sistemeve t kompjuterave;
kontrollin pr heqjen e menjhershme t llogarive t prdoruesve q japin
dorheqjen ose largohen nga puna pr arsye t tjera;
drejtimin e kontrolleve t siguris, prfshi ktu organizimin e rregullt t
kontrolleve t jashtme;
shqyrtimin e thyerjeve t siguris q raportohen;
raportimin rregullisht (t paktn nj her n tre muaj) tek Drejtori i Drejtoris s
Teknologjis dhe Informacionit mbi gjendjen e siguris.

-9-
 2.2 Aksesimi i t tretve
Personat, t cilt nuk jan punonjs t AMF dhe institucionet (organizatat) t tjera,
lejohen t aksesojn asetet e informacionit t Autoritetit vetm n baz t kushteve t
prcaktuara n nj marrveshje zyrtare. Kto kushte duhet t mbulojn t drejtat dhe
detyrimet e t gjith personave dhe organizatave q jan t interesuara t aksesojn asetet
e informacionit t AMF, prfshir ktu sipas mundsis:
politikn e prgjithshme pr sigurin e informacionit t Autoritetit;
kufizimet n kopjimin dhe n shprndarjen e informacionit;
nj prshkrim pr secilin prej shrbimeve q do t ofrohet nga Autoriteti;
nivelin e synuar dhe at t papranueshm t shrbimeve;
klauzolat pr ndryshimin e personelit nse sht e nevojshme;
detyrimet respektive t palve q bjn marrveshjen;
prgjegjsit pr t respektuar prputhjen me ligjin dhe me rregulloret;
mbrojtjen e t drejts s autorit t Autoritetit, si dhe t palve t treta;
metodat e lejuara t aksesimit dhe kontrolli i prdorimit t fjalkalimit t
prdoruesit;
procesin e dhnies s t drejts pr aksesim;
nj krkes pr t mbajtur nj list t personave t autorizuar pr t prdorur
shrbimet e krkuara dhe t t drejtave t tyre prkatse;
prcaktimin e kritereve t verifikueshme t performancs, monitorimin e tyre dhe
raportimin;
t drejtn pr t monitoruar dhe pr t ndrprer aktivitetin e prdoruesit;
t drejtn pr t kontrolluar/verifikuar zbatimin e prgjegjsive kontraktore;
prgjegjsit q kan t bjn me instalimin dhe me mirmbajtjen e pajisjeve dhe
t programeve;
nj struktur t qart raportimi dhe miratim t formateve t raportimit;
krkesn pr t zbatuar procedurat e Autoritetit pr administrimin e ndryshimeve
mbi sistemet e informacionit;
mbrojtjen nga programet keqdashse;
procedurat pr raportimin, pr njoftimin dhe pr shqyrtimin e thyerjeve t
siguris;
detyrimin e palve t treta pr t krkuar zbatimin e ktyre kushteve edhe nga
nnkontratort e tyre.

- 10 -
3. KLASIFIKIMI DHE KONTROLLI I ASETEVE
3.1 Prgjegjsia pr asetet
T gjitha asetet kryesore pr aktivitetin normal t Autoritetit vlersohen dhe pr kt
ngarkohet nj person prgjegjes i caktuar. Prgjegjsia pr asetet garanton mbajtjen n
mnyr t vazhdueshme t nj niveli t mjaftueshm sigurie.
Pr t gjitha asetet e rndsishme t informacionit do t prcaktohen pergjegjesit s
bashku me prgjegjsit prkatse pr ruajtjen e masave t duhura t siguris, t cilat
duhet t specifikohen qart.
Zbatimi i masave t siguris mund t delegohet, por n do rast prgjegjsia duhet t'i
mbetet pergjegjesit t asetit.

3.2 Regjistri i aseteve t informacionit

Pr sistemet e informacionit, , hartohet dhe mbahet n mnyr t vazhdueshme nj
regjister q mbulon t gjitha asetet kryesore pr do sistem duke prfshir:
asetet e informacionit: bazat e t dhnave dhe skedart e t dhnave,
dokumentacionin e sistemeve, manualet e prdoruesit, materialet e trainimit,
procedurat operacionale, planet e vazhdueshmris s puns, rregullat dhe
procedurat e rekuperimit t t dhnave t humbura, informacionin e arkivuar;
programet: programet aplikative, programet e sistemit, mjetet pr zhvillimin e
mtejshm t tyre dhe mjetet ndihmse;
asetet fizike: pajisjet kompjuterike, pajisjet e komunikimit, shiritat magnetik,
pajisje t tjera teknike (pr shembull. kabllot e energjis elektrike, pajisjet e ajrit
t kondicionuar), mobiljet;
shrbimet: shrbimet kompjuterike, shrbimet e komunikimit dhe utilitetet e
prgjithshme.
Pr do aset n regjistr mbahet:
prshkrimi i tij
prgjegjsi i tij. Ky sht administratori i njsis (departamentit, sektorit ose
degs) s AMF..Prgjegjsi sht prgjegjs pr pranimin e dizenjimit t sistemit
dhe t funksionalitetit t tij dhe vendos rregullat pr trajtimin, pr administrimin
dhe pr aksesimin e aseteve t informacionit, n prputhje me rregullat e AMF;
kujdestari. sht njsia e Autoritetit e cila kujdeset pr asetin e informacionit,
domethn zbaton dhe mbron rregullat e prcaktuar nga prgjegjsi. Derisa, t
mos jet kryer ndonj prcaktim, pr sistemet specifike, kujdestari pr t gjitha
sistemet e Autoritetit sht Drejtoria e Teknologjis s Informacionit;

klasifikimi. Nnkupton nj tregues t ndjeshmris s informacionit si

prshkruhet n 3.3.

- 11 -
 niveli i rndsis: prcakton rndsin e aseteve t informacionit pr Autoritetin,
n baz t periudhs kohore maksimale gjat t cils Autoriteti mund t vazhdoj
t punoj, pa i patur ato n dispozicion;
prdoruesit e autorizuar dhe tipet e lejuara t aksesimit (lexim, shkrim, kopjim,
ndryshim, fshirje);
krijimi, mirmbajtja dhe mbrojtja e regjistrit t aseteve t informacionit sht
prgjegjsi i Drejtorise s TI, e cila konsultohet me prgjegjesit. Regjistri duhet t
rishikohet t paktn nj her n gjasht muaj.

3.3 Klasifikimi i Informacionit

Disa nga informacionet t cilat trajton Autoriteti, i nnshtrohen klasifikimeve zyrtare t
siguris s informacionit, si prcaktohet n aktet e tjera rregullatore t Autoritetit n
lidhje me transparencn dhe konfidencialitetin. Nivelet e klasifikimit t informacioneve
jopublike jan Informacion sekret dhe Informacion konfidencial. Si rregull,
dokumentat q prmbajne informacione t klasifikuar n nj vend tepr t dukshm duhet
t shnojn dhe llojin e klasifikimt. sht e rndsishme q Autoritetit t identifikoj:
informacionin, q do t klasifikohet konfidencial ose sekret;
do informacion tjetr t Autoritetit, i cili mund t ket nevoj pr klasifikim
t mtejshm m specifik.
Pronari i do aseti informacioni sht prgjegjs pr klasifikimin e tij n prputhje me
udhzimet e Autoritetit.

3.4 Analiza e riskut

Administratori i siguris kryen nj analiz vjetore zyrtare t riskut pr asetet e
informacionit t AMF sipas procedurave q rekomandohen n standardet ndrkombtare
t ndjekura nga institucionet e tjera homologe.
Rezultatet e analizs s riskut do t prdoren pr t prcaktuar strategjit pr zbutjen e
do risku q identifikohet dhe do t rishikohen nga Drejtoria e TI, t paktn do vit.

3.5 Administrimi i ndryshimit t dokumenteve

Pr t gjitha dokumentet e rndsishme ndiqet Procedura e Administrimit t
Dokumenteve.
do dokument duhet t prmbaj nj seksion identifikues t personave t parashikuar pr
ta mar ose pr ta lexuar at.
Kur sht e mundur, dokumenti duhet t identifikoje gjithashtu versionin, datn dhe
natyrn e do ndryshimi n t.

- 12 -
4. SIGURIA E PERSONELIT
4.1 Manualet e vendeve t puns dhe punsimi
do punonjs ka prgjegjsit e tij n lidhje me sigurin. Prgjegjsia pr sigurin
prcaktohet q n fazn e marrjes n pun dhe prfshihet n manualet e vendeve t puns
dhe n kontratat e punsimit.

DREJTUESIT E DREJTORIS DUHET T SIGUROJN Q N PRSHKRIMIN E DETYRS

(MANUALET E VENDEVE T PUNS) T ADRESOHEN SHTJET E SIGURIS Q LIDHEN ME
T.
Rolet dhe prgjegjsit q lidhen me sigurin, duhet t prfshihen n manualet e vendeve
t puns, n mnyr t veant pr pozicionet drejtuese, kjo siguron prgjegjsin e t
gjith punonjsve. Manualet e vendeve t puns duhet t prfshijn si prgjegjsit q
kan t bjn me zbatimin ose me mirmbajtjen e rregullave t prgjithshme t siguris,
ashtu dhe ato specifike pr mbrojtjen e aseteve t veanta ose pr ekzekutimin e
proceseve t veanta.

T GJITHA APLIKIMET PR PUNSIM SHQYRTOHEN ME KUJDES NGA PIKPAMJA

E SIGURIS .
T gjitha pranimet duhet t bhen n prputhje me rregullat e dokumentuara.. Aplikimet
pr punsim duhet t kontrollohen me kujdes nga pikpamja e siguris.
N t gjitha kontratat e pranimit n pun prfshihet nj deklarat ku punonjsit e rinj
duhet t pranojn me shkrim, se bihen plotsisht dakort me krkesat e Autoritetit mbi
konfidencialitetin .
4.2 Procedurat e fillimit dhe t largimit nga puna
PRGJEGJSIA E DREJTORVE TE DREJTORIVE/SEKTORVE PR T
GARANTUAR ZBATIMIN E PROCEDURAVE T SIGURIS N PUNSIM.
Drejtort e drejtorive jan prgjegjs pr t garantuar q punonjsve t rinj t strukturave
prkatese u sht dhn niveli i duhur i aksesimit n pajisjet dhe n sistemet e Autoritetit,
prfshi ktu llogarit e prdoruesve pr kompjuterat, miratimin e lejes s aksesimit t
sistemeve, t dhomave t serverave, t nyjeve t rrjetit, kartat magnetike apo me chip pr
aksesimin e mjediseve etj.
T gjitha aplikimet q bhen pr dhnien e t drejtes s aksesimit n sistemet
kompjuterike t Autoritetit (prfshi ktu llogarin personale fillestare pr pjestart e rinj
t personelit dhe do ndryshim n vazhdim n t drejtat pr aksesimin e sistemeve)
bhen me shkrim, duke prdorur nj formular standard, i cili firmoset nga drejtori i
drejtoris ku bn pjes punonjsi. Ato miratohen nga Drejtori i Drejtoris s
Teknologjis dhe Informacionit para se t kryhen veprimet nga njsia helpdesk.
do pjestari t ri i cili i bashkohet personelit t Autoritetit, duhet t'i krkohet aty ku
sht e nevojshme, t firmos pr t gjitha pajisjet e aksesimit, duke pranuar njkohsisht
kushtet e prdorimit t tyre.
T gjith pjestarve te rinj u jepen instruksione t plota pr procedurat e teknologjis s
informacionit dhe n veanti pr krkesat n lidhje me shtjet e siguris. Kto
instruksione duhet t prfshijn t paktn:

- 13 -
 prdorimin e prgjithshm t mjeteve t teknologjis s informacionit;
ndihmn e kualifikuar nga Drejtoria e Teknologjise s Informacionit (TI
helpdesk);
familiarizimin me Politikn e Siguris s Autoritetit dhe rregullat e siguris;
trajtimin e informacioneve konfidenciale;
politikn e prdorimit t internetit, t emailit etj.;
rregulloret pr fjalkalimet.
Kjo bhet para se atyre t'u hapet ndonj llogari prdoruesi ose t'u jepen privilegje pr t
aksesuar sistemet e Autoritetit.

Drejtort e drejtorive jan prgjegjs pr t garantuar zbatimin e procedurave t siguris

n rastet kur pjestar t personelit t tyre largohen nga puna.
sht prgjegjsi e do drejtori departamenti/drejtorie/sektori t siguroj, q kur nj
pjestar i personelit largohet nga puna, t'i hiqen t gjitha t drejtat e aksesimit dhe t'i
krkohet t dorzoj t gjitha kartat e aksesimit, elsat, shnimet, kompjuterat, etj t cilat
i ka patur n prdorim. Procedurat e teknologjis s informacionit pr mbylljen e
llogaris s prdoruesit dhe pr heqjen e t drejtave t aksesimit t sistemeve t
Autoritetit, duhet t bhen para se pjestari i stafit t largohet fizikisht nga ambienti i
puns.
Personi prgjegjs i caktuar nga Drejtoria e Teknologjis s Informacionit (helpdesk-u)
informohet, sa m shpejt q t jet e mundur, kur ndonj pjestar i personelit e l punn
ose afati i tij i punsimit mbaron pr do lloj arsyeje. sht prgjegjsi e drejtorit t
drejtoris prkatse, t siguroj q kjo gj t kryhet sa m par.
Punonjsit t cilve u nderpriten marrdhniet e puns, u krkohet t largohen nga
Autoritetit menjher. Ndrsa punonjsit, t cilt kan krkuar vullnetarisht largimin e
tyre pr arsye t ndryshme mund t vazhdojn punn normalisht edhe pr nj periudh
mbasi ata t ken krkuar largimin.
Njoftimi tek helpdesk-u, pr largimin nga puna t nj personi t caktuar, duhet t
prmbaj udhzimet pr korrektimin e t drejtave t prdoruesit t personit qe do t
largohet. Zgjedhjet pr korektimin e te drejtave do t prfshijn:
Fshirjen e menjhershme t llogarise s prdoruesit
Heqjen e disa privilegjeve t aksesimit;
Mbajtja e nivelit aktual t privilegjeve t aksesimit q ka prdoruesi, por duke
rritur nivelin e auditimit pr kt prdorues.
sht prgjegjsi e drejtorit t departamentit prkats t krkoj nivelin e duhur t
korrektimit.

4.3 Planet e vazhdueshmris dhe t zvendsimit

Planet pr vazhdueshmrin dhe pr zvendsimin e t gjitha pozicioneve t rndsishme
(kye) t puns rishikohen periodikisht. Kto plane hartohen pr rastet e emergjencs,
prfshi ktu pamjaftueshmrin, largimin dhe lvizjet e planifikuara t personelit.

- 14 -
Ktu prfshihen jo vetm pozicionet e administratorve dhe mbikqyrsve, por gjithashtu,
edhe ato q kan lidhje me sigurin e teknologjis s informacionit.

4.4 Trainimi
Personat q kan akses n asetet e informacionit t Autoritetit jan t detyruar t jen t
vetdijshm pr rregullat dhe standardet e siguris n Autoritetit. I gjith personeli duhet
t marr trajnimin e nevojshm pr rregullat dhe pr procedurat organizative dhe t
siguris. Ky trajnim kryhet sa m shpejt q t jet e mundur pas fillimit t puns s
punonjsve t rinj (shih 4.2).
Objektivat e edukimit n lidhje me sigurin duhet t jen:
krijimi i kulturs s siguris n t gjith Autoritetin;
edukimi i personelit mbi pasojat e veprimeve t tyre mbi sigurin e informacionit;
udhzimi i personelit pr rregullat dhe procedurat e siguris sipas pozicioneve
prkatse;
prcaktimi i prgjegjsive q mban do person mbi sigurin dhe detyra e secilit pr
t raportuar do shkelje t rregullave t siguris.
Gjithashtu, i gjith personeli duhet t trajnohet pr prdorimin korrekt t sistemeve
kompjuterike dhe t aseteve t informacionit. Kjo bhet para se t'u jepet e drejta t
aksesojn sistemet.
Drejtoria e TI prgjegjet pr zhvillimin dhe pr shprndarjen e materialeve t trajnimit.

PERSONELI I DREJTORIS S TEKNOLOGJIS S INFORMACIONIT

T gjith specialistt e teknologjis s informacionit duhet t marrin rregullisht trajnime
prmirsuese n fushat e tyre t specializimit. Kjo duhet t prfshij veanrisht
personelin e siguris, administratort e bazave t t dhnave, administratort e sistemeve
operative dhe sistemeve t siguris (psh Firewall, IDS, IPS, Network Management,
Content Filtering, Application Security etj.)
I gjith personeli i teknologjis s informacionit duhet t ndjek seminare periodike n
fushat e interesit t prgjithshm, veanrisht n ato q lidhen me sigurin.

4.5 Prgjigja ndaj incidenteve

Nj incident sigurie sht do ngjarje e cila mund t ndikoj n integritetin,
disponueshmrin dhe n konfidencialitetin e informacionit.
Dmtimet si pasoj e incidenteve t siguris dhe t keqfunksionimeve minimizohen dhe,
sa her q sht e mundur t parandalohen. Incidentet q ndikojn mbi sigurin duhet t
vlersohen me seriozitet dhe t raportohen menjher.

RAPORTIMI I INCIDENTEVE OSE DOBSIVE TE SIGURIS

Pr t gjitha rastet e ngjarjeve q lidhen me sigurin ndiqet nj procedur formale pr
raportimin e incidenteve . T gjith nnpunsit, kontraktort dhe personeli i ofruesve t
jashtm t shrbimeve duhet t jen t vetdijshm (ta njohin e ta zbatojn) pr kt
procedur. Prve ksaj, i gjith personeli inkurajohet pr t raportuar do dobsi t
siguris ose do krcnim t vn re n procedura, n sisteme dhe n shrbime.

- 15 -
RAPORTIMI I KEQFUNKSIONIMIT T PROGRAMIT TEK DREJTORIA IT
Pr t minimizuar do ndrprerje t shrbimeve apo do dmtim t t dhnave, sht
shum e nevojshme q keqfunksionimi i programeve t korrektohet sa m shpejt q t
jet e mundur.
Keqfunksionimet e dukshme t programeve i raportohen Drejtorise se TI, e cila prgjigjet
menjher dhe udhzon n lidhje me mnyrn e veprimit n raste t tilla.
4.6 Shkelja (thyerja) e rregullave dhe procedurave t
siguris
Kur administratori (drejtor drejtorie/sektori) gjykon se veprimtaria e nj punonjsi nuk
sht n prputhje me rregullat dhe procedurat e siguris, pr fardolloj arsyeje, ai sht
i detyruar t organizoj nj takim me punonjsin pr t diskutuar shtjen dhe pr t
planifikuar veprimet korrigjuese.

N CDO RAST DYSHIMI PR SHKELJE T RREGULLAVE DHE PROCEDURES S SIGURIS,

NDIQET NJ PROCES ZYRTAR DISIPLINOR.
Drejtori i drejtoris nn prgjegjsin e t cilit sht personi i dyshuar pr shkelje njofton
sa m shpejt t jet e mundur dhe siguron dokumentacion t plot pr Drejtorin e TI. N
rastet kur shkelja vrtetohet dhe sht mjaft serioze, rishikohet vazhdimi i puns pr
individin n fjal. N rrethana t veanta tepr serioze, shkelja mund t raportohet n
organet prkatese sipas ligjit.

4.7 Ndarja e prgjegjsive

Pr t minimizuar mundsin e mashtrimit ose t keqperdorimit t t dhnave, asnj
individ nuk merr i vetm prgjegjsi t plot pr nj proces t tr. Proceset e hedhjes dhe
daljes s t dhnave duhet t realizohen nga individ t ndryshm. N mnyr t
ngjashme, t gjitha njohurit n lidhje me nj sistem, nj proces ose pr nj pjes t tyre,
nuk duhet t mbahen asnjher nga nj person i vetm. Njohurit dokumentohen n
mnyr t qart dhe t njihen t paktn edhe nga nj person tjetr.

- 16 -
 5. SIGURIA FIZIKE DHE E MJEDISEVE

5.1 Siguria e ambienteve (ndrtesave)

Aksesimi i t gjitha ambienteve t sistemeve t informacionit n Autoritet do t
kontrollohet rreptsisht dhe n do koh, n mnyr q t parandalohen humbjet ose
kompromentimet e aseteve t informacionit dhe t aseteve t tjera.

KARTAT E AKSESIMIT
T gjitha ambientet kritike sigurohen me sisteme aksesimi dhe karta elektronike, do
punonjs i Autorizuar pr nj ambient specifik pajiset me nj kart individuale aksesi.
Administratori i ndrtesave sht personi prgjegjes pr mbajtjen e t dhnave n lidhje
me t gjitha aksesimet e autorizuara, ku prfshihen detaje si : emri i punonjsit, drejtoria,
data kur sht lshuar karta, ora dhe dita deri kur i lejohet aksesimi. Eshte e detyrueshme
mbajtja e logeve pr t gjitha aktivitetet e aksesimit, kur sistemet e aksesimit t
ambienteve e lejojn nj gj t till.

VIZITORT
Vizitorve t Autoritetit nuk duhet tu lejohet lvizja e lir, e pakontrolluar n ambientet
kritike. Identitet i vizitorv verifikohet nga rojet, t cilt jan prgjegjs pr njoftimin e
personave q do t shoqrojn vizitort. do vizitor duhet t pajiset me nj shenj
identifikimi t prkohshme para se t lejohet t hyj. Vizitort, punonjsit e mirmbajtjes
dhe persona t tjer t huaj, duhet t shoqrohen gjat gjith kohs nga punonjs t
autorizuar t Autoritetit.
N veanti, vizitorve nuk duhet t'u lejohet t aksesojn ambientet me akses t kufizuar,
sidomos n vendndodhjet e serverave, t pashoqruar nga nj person i autorizuar nga
Drejtori i Drejtoris s Teknologjis dhe Informacionit.
I gjith personeli duhet t inkurajohet t nxjerr jasht do person t panjohur, t cilin
mund ta gjej n hapsirat me akses t kufizuar.
Prgjegjsia pr t siguruar largimin e vizitorit nga godina pasi puna e tij ka prfunduar,
dhe rikthimi i do karte q i sht dhn, mbetet mbi personin e fundit i cili ka qen n
kontakt me vizitorin.

5.2 Siguria e pajisjeve

T gjitha pajisjet e Drejtoris s Teknologjis s Informacionit dhe t gjitha pajisjet e
tjera kritike duhet t mbrohen fizikisht nga krcnimet e siguris dhe nga rreziqet e
mjedisit.

DHOMAT E SERVERAVE
T gjith serverat dhe pajisjet e komunikimit (domethn routerat, switch-et, firewall-et,
PBX etj.) duhet t vendosen n dhoma apo n ambiente t mbyllura e t sigurta. Aksesi
n kto dhoma duhet t lejohet vetm pr personelin e autorizuar nga Drejtori i Drejtoris
s Teknologjis dhe Informacionit.

- 17 -
T gjitha aksesimet n dhomat e t kompjuterave dhe n nyjet e rrjetit duhet t jen t
kontrolluara dhe t mbahen log-e ku t shnohet emri i personit ose i personave, arsyet e
hyrjes, data/ora dhe veprimet e kryera.
Dhomat e kompjuterave duhet t pajisen me karta sigurie, ajr t kondicionuar, me
kamera, me UPS, detektor dhe me fiksa zjarri.
T gjitha pajisjet n dhomat e serverave duhet t sigurohen kundr dmtimeve apo
trmeteve.

KOMPJUTERAT PERSONAL
Kompjuterat personal (PC) duhet t vendosen n prputhje me standardet e Autoritetit
pr instalimin dhe prdorimin e PC. N veanti, ata nuk duhet t vendosen n vende ku
personat e paautorizuar kan mundsi t shohin informacionet sensitive q ndodhen n to.
Ato duhet t instalohen ose t transferohen (lvizen) vetm nga nj personel i trainuar dhe
i autorizuar nga Drejtori i Drejtoris s Teknologjis dhe Informacionit.

NXJERRJA JASHT GODINAVE

Ky seksion zbatohet pr kompjuterat personal apo do form tjetr mjetesh q mbajn
ose q prpunojn informacione.
T gjitha pajisjet e Autoritetit, t cilat duhet t nxirren jasht ndrtesave duhet t jen po
aq t sigurta sa edhe pajisjet q ndodhen brenda tyre, duke marr parasysh riskun e t
punuarit jasht godinave t Autoritetit.
T dhnat n hard-disk pr kompjuterat portabwl (laptop), do t enkriptohen duke
prdorur programe t miratuara enkriptimi. Gjithashtu skedart apo dokumentat n kto
laptop duhet t sigurohen dhe ti jepen privilegje eskluzive aksesimi vetm ndaj
llogarive t prdoruesve q kan t drejta ti aksesojn ato.
Pajisjet dhe mediat (prfshi ktu dokumentet sensibl n letr) q nxirren jasht godinave
t Autoritetit, nuk duhet t lihen n vende publike (prfshi ktu makinat) t pambrojtur.
sht e detyrueshme q ato t shkatrrohen n mnyr t parekuperueshme kur nxirren
prfundimisht jasht pune.

5.3 Siguria e aseteve

I gjith personeli sht prgjegjs pr t garantuar sigurin e aseteve q jan nn
kontrollin e tyre.

SENDET ME VLERA T VEANTA

Pajisjet dhe media magnetike t ruajtjes t t dhnave (dispozitivt me shirit magnetik)
do t nxirren jasht vendndodhjes s tyre vetm n prputhje me procedurn e
dokumentuar pr lvizjet dhe me miratimin m par te drejtorit t drejtoris prkatse.

INFORMACIONI SENSITIV
Informacioni i klasifikuar Konfidencial ose Sekret, n letr ose n trajt elektronike,
duhet t nxirret jasht vetm n prputhje me procedurat e lvizjes dhe duke patur m
par miratimin e drejtorit t drejtoris prkatse.

LARGIMI I MEDIAVE MAGNETIKE

Asetet e informacionit mund t kompromentohen nga pakujdesia n largimin e pajisjeve.
Prpara se t nxirren jasht prdorimit ose t eliminohen, t gjitha pajisjet kompjuterike

- 18 -
duhet t kontrollohen pr t'u siguruar q t dhnat dhe programet e licencuara jan hequr
n prputhje me procedurat e paracaktuara nga Autoriteti. Ktu prfshihen edhe pajisjet
q nxirren jasht Autoritetit pr t'u riparuar. Tape-t magnetik t nxjerr prfundimisht
jasht Autoritetit duhet t shkatrrohen mundsisht t digjen.

5.4 Siguria e komunikimit

T gjitha format e komunikimit duhet t jen t mbrojtura kundr humbjeve, ndrhyrjeve
dhe korruptimit.

TELEFONAT
Pajisjet telefonike sigurohet t jen t mbrojtura nga aksesimi dhe prdorimi i
paautorizuar. Masat q duhet t merren prfshijn:
kontrolle fizike pr aksesimin e pajisjeve t centralit telefonik;
kontrolle pr ndalimin e prdorimit t modemeve (ose t pajisjeve t tjera) pr
aksesimin e rrjeteve te jashtm duke prfshir dhe internetin
ruajtjen e t dhnave (logeve) pr do thirrje telefonike dhe ekzaminimin e tyre pr t
par nse ka thirrje t pazakonta ose t paautorizuara.

6.ADMINISTRIMI I SISTEMEVE TE INFORMACIONIT

6.1 Procedurat e operimit

APLIKIMET
Prgjegjsit dhe procedurat e administrimit dhe t aktivitetit, mbi t gjitha aplikimet
kompjuterike, do t jen t dokumentuara si pjes prbrse e procesit t zhvillimit t
tyre. Procedurat e aktivitetit testohen nga Drejtoria e TI.

OPERACIONET E TEKNOLOGJIS S INFORMACIONIT

T gjitha procedurat q lidhen me teknologjin e informacionit dokumentohen. Kto
prfshijn, n mnyr t veant, procedurat e hapjes dhe t mbylljes, backup-et dhe
mirmbajtjen rutin pr t gjitha elementet e mjedisit t teknologjis s informacionit t
Autoritetit.
Procedurat e operimit mbulojn si operacionet normale ashtu edhe administrimin e
incidenteve. Mbulohen maksimalisht incidentet e parashikueshme, duke prfshir
keqfunksionimin e pajisjeve ose t programeve, t dhnat jo t sakta ose t dmtuara,
difektet n pjest q i prkasin afruesve t jashtm t shrbimeve ose t partnerve n
biznes (business partner), sulmet keqdashse dhe thyerjet e konfidencialitetit.

KONTRAKTORT E BURIMEVE T JASHTME

Krkesat e siguris s Autoritetit duhet ti bashkngjiten t gjitha kontratave q bhen me
ofruesit e shrbimeve, pr t garantuar sigurin mbi veprimet e punonjsve t tyre gjat
lidhjeve me rrjetin e Autoritetin.

- 19 -
 6.2 Kontrolli i ndryshimeve
T gjitha ndryshimet n pajisjet dhe n sistemet q prpunojn informacionin i
nnshtrohen procedurave zyrtare t administrimit t ndryshimeve.

6.3 Programet keqdashse

T gjitha pajiset e teknologjis s informacionit duhet t jen t mbrojtura nga programet
keqdashse, (ku prfshihen viruset e kompjuterave si dhe do tip tjetr i njohur dhe i
klasifikuar si krcnim informatik).
N qllim t ksaj instalohen sisteme pr kontrollin dhe pr parandalimin e veprimeve
keqdashse.
N t gjitha PC dhe serverat e Autoritetit instalohet dhe vihet n funksionim nj program
i licensuar antivirus. Ai duhet t prditsohet automatikisht, n mnyr t vazhdueshme,
nn kontrollin e punonjsve t teknologjis s informacionit.
instalimi ose aktivizimi i programeve antivirus trajtohet si shkelje serioze.
6.4 Backup-i i t dhnave
BAZAT E T DHNAVE T AUTORITETIT
Drejtoria e Teknologjis dhe Informacionit sht prgjegjse pr t siguruar q t gjitha
t dhnat sensitive t mbajtura n serverat e Autoritetit tu bhet backup (kopje) i rregullt
n prputhje me procedurat e prcaktuara, pr do sistem (prfshi ktu edhe file/print
servers).
Kopjet (backup-et) e t dhnave duhet t ruhen n vende t mbrojtura nga zjarri dhe
jasht ambienteve ku mbahen serverat prej t cilve jan marr ato.
Kopjet (backup) e t dhnave duhet t testohen rregullisht pr t'u siguruar q mund t
prdoren n raste t nevojshme.
Procedurat e rikrijimit (restore) t t dhnave duhet t testohen rregullisht pr t'u siguruar
q ato jan t efektshme dhe q ato mund t ekzekutohen brenda kohs s lejuar.

T DHNAT Q NDODHEN N KOMPJUTERAT PERSONAL T PRDORUESVE

do individ, i cili ruan t dhna n nj kompjuter personal, sht prgjegjs personalisht
pr t siguruar kopjet e duhura t backup-it pr t mbrojtur t dhnat nga humbjet duhet
t firmos nj dokument t pranimit t ksaj prgjegjsie.

6.5 Mbajtja e log-eve

sht e detyrueshme t mbahen e do t ruhen log-e (shnime t shkurtuara) pr t gjitha
aksesimet n sistemet e Autoritetit, pr t gjith prdoruesit e brendshm e t jashtm

6.6 Politika e prdorimit t Internetit dhe t Posts

Elektronike
I gjith personeli i Autoritetit (prfshi ktu kontraktort dhe konsulentt), t cilit i sht
dhn akses n Internet dhe n shrbim email-i zbaton politikn e prdorimit t internetit
si dhe rregullat dhe procedurat qe rrjedhin nga ajo.

- 20 -
6. KONTROLLI I AKSESIT
Pr do burim informacioni t Autoritetit, prdoruesve u jepet akses vetm n prputhje
me funksionet e tyre pr kryerjen e detyrave dhe ky akses kontrollohet me rreptsi pr t
ruajtur integritetin dhe sigurin e aktivitetit.
Hapi i par i kontrollit t aksesit sht identifikimi i prdoruesit. Kjo mbulon procedurat
pr t'u siguruar q do sistem sht i aft t njoh personat e autorizuar dhe t kryej
veprimet e duhura, n rastet e prpjekjeve pr aksesim t paautorizuar.
do prdorues i sistemeve, qoft ai personel i brendshm i Autoritetit, aplikues
(kandidat) i jashtm, npuns i nj institucioni ose organizate tjetr, kontraktues,
konsulent ose pjestar i personelit q punon pr ofruesit e shrbimeve, identifikohet n
mnyr individuale nprmjet nj llogarie unike prdoruesi, e cila do t caktohet vetm
nprmjet nj autorizimi me shkrim nga nj drejtues Departamenti i Autoritetit dhe me
miratimin e Drejtorit t Drejtoris s Teknologjis dhe Informacionit. Kjo zbatohet pr t
gjith personat, pavarsisht nga rolet e tyre.
Ndalohet rreptsisht shprndarja e llogaris personale n persona t tjer. Thyerja e
ktij rregulli do t trajtohet si nj shkelje e rnd.
Nj llogari unike prdoruesi nuk siguron vetm mnyrn e autentifikimit pr prdoruesit
e ligjshm, por gjithashtu garanton q Autoriteti do t jet gjithmon e aft t prcaktoj
prgjegjsin e individve pr aktivitetet e tyre n sistemet e saj.
Ndalohet rreptsisht dy ose m shum aksesime t njkohshme me t njjtn llogari
prdoruesi.
Fillimisht prdoruesit nuk do t ken asnj t drejt aksesimi. Atyre do t'u jepet akses
vetm n pjest minimale t sistemit, q u nevojiten pr kryerjen e aktivitetin e tyre.
N t gjitha rastet, ndiqen procedura t dokumentuara pr:
rregjistrimin e prdoruesve t rinj;
ndryshimin e statusit pr nj prdorues ekzistues (pr shembull ndrprerjen e llogaris
s prdoruesit kur ai largohet nga puna ose mungon pr nj koh t gjat ose
ndryshimin e privilegjeve t aksesit t tij);
mbylljen prfundimtare t nj llogarie prdoruesi.
Natyra e ktyre procedurave dhe prgjegjsit pr administrimin e tyre mund t
ndryshojn n varsi t kategoris s prdoruesit.
Llogaria e prdoruesit aktivizohet nse ajo nuk ka qn aktive pr dy muaj.

7.1. Prdoruesit e brendshm

Prdoruesit e brendshm prfshijn punonjsit e Autoritetit, kontaktort, konsulentt dhe
punonjsit e ofruesve t shrbimeve t Autoritetit.
Aksesi pr prdoruesit e brendshm n sistemet e Autoritetit duhet t jet n prputhje
me detyrat q ata kan. Detyrat do t jen t prcaktuara qart, dhe pr t minimizuar
rrezikun e aktiviteteve mashtruese ose keqdashse, ndarja e tyre do t jet e detyrueshme.
Kur nj prdorues ndryshon detyr, ai humbet t drejtat e aksesimit q lidheshin me
detyrn e mparshme
Akumulimi n kohe i privilegjeve evitohet dhe t monitorohet vazhdimisht nga Drejtoria
e TI-s.

- 21 -
LLOGARIT E PRDORUESVE
Llogarit e prdoruesve krijohen dhe administrohen nga punonjsit e teknologjis s
informacionit. Ata prdoren pr aksesimin e t gjitha shrbimeve t teknologjis s
informacionit t Autoritetit, prfshi ktu rrjetin e brendshm, pajisjet dhe sistemet e
Autoritetit.
Modifikimi ose heqja e nj llogarie bhet me an t nj krkes zyrtare, nprmjet
plotsimit t nj formulari t miratuar pr kt qllim nga drejtort e drejtorive. Kjo
krkes bhet nga drejtori i drejtoris nn prgjegjsin e t cilit sht prdoruesi dhe
miratohet nga pronari i sistemit.
Procedura pr administrimin e llogarive t prdoruesve t Autoritetit dokumentohet sipas
nj rregullore t vecant. Kjo procedur zbatohet n t gjitha rastet kur:
nevojitet nj llogari e re (pr shmbull pr nj punonjs t ri);
llogaria e nj punonjsi duhet t pezullohet pr nj periudh kohe ose kur duhet t
riaktivizohet mbas pezullimit;
do t ndryshohen privilegjet e aksesimit (pr shembull kur kalohet n nj rol me
prgjegjsi m t madhe);
nj npuns, pjestar i personelit t Autoritetit, largohet nga puna (fshirja e
prhershme e llogaris ).

ADMINISTRIMI I FJALKALIMEVE
T gjith prdoruesit e Autoritetit instruktohen n lidhje me mnyrat e administrimit t
fjalkalimeve. Ktu futet:
zgjedhja e fjalkalimit fillestar;
ndryshimi i fjalkalimit dhe kshilla t njohura sigurie pr zgjedhjen e tij;
mbrojta e fjalkalimit si dhe ndalimi i dhnies s fjalkalimit midis prdoruesve;
inicializimi ose mbivendosja e fjalkalimit (n qoft se nj llogari prdoruesi sht
mbyllur ose n qoft se prdoruesi ka harruar fjalkalimin). Mbivendosja e
fjalkalimit duhet t bhet vetm nga personeli i autorizuar i teknologjis s
informacionit pas nj krkes me shkrim.
Prdoruesve u krkohet t firmosin nj marrveshje ku pranojn se ata i kan lexuar e i
kan kuptuar rregullat, dhe se do t'i zbatojn ato. Kjo proedur prfshihet n procedurat
e punsimit t personelit t Autoritetit.

MONITORIMI I PROFILEVE T PRDORUESVE

sht e rndsishme t garantohet q:
vetm prdoruesve t duhur u sht lejuar akses n sistemet e Autoritetit (jan
eliminuar t gjitha llogarit q kan skaduar);
prdoruesit nuk kan privilegje aksesimi t niveleve m t larta nga ato q u duhen
pr t kryer punn e tyre (sht eliminuar shtimi i privilegjeve).
Pr t detyruar zbatimin e krkesat e msiprme, t gjith llogarit e prdoruesve dhe
caktimi i profileve t tyre do t rishikohen nga drejtori i drejtoris prkatse. Kjo bhet

- 22 -
nj her n gjasht muaj. Si rezultat i ktij rishikimi hartohet lista e emrave t t gjith
prdoruesve t brendshm t vlefshm, me profilet e tyre prkats. Kjo list do t mbahet
dhe do t kontrollohet nga Departamenti i TI.

7.2. Prdoruesit e jashtm

Tek prdoruesit e jashtm prfshihen t gjith individt jasht kategoris s prdoruesve
t brendshm, q jan t autorizuar t aksesojn sistemet e Autoritetit.

LLOGARIT E PRDORUESVE
Caktimi i llogarive t prdoruesve sht prgjegjsi e drejtorive prkatse t Autoritetit.
Prdoruesit e jashtm instruktohen q t ruajn konfidencialitetin e llogaris s tyre, gjat
procesit t trainimit pr prdorimin e sistemeve.
Formati i llogarive t prdoruesve standardizohet, aq sa sht e mundur, pr t gjith
prdoruesit e jashtm, me an t nj bashkpunimi midis teknologjis s informacionit
dhe drejtorive t Autoritetit Ky format do t jet pjes e dokumentacionit t sistemeve.
Lista e t gjith prdoruesve t jashtm t autorizuar, bashk me llogarit e tyre, duhet t
mbahet nga Drejtoria e TI.

AUTENTIFIKIMI
T gjith prdoruesit e jashtm, para se t'u jepet akses n sistemet e informacionit t
Autoritetit, identifikohen n mnyr t vetme. Niveli i autentifikimit q duhet t krkohet
pr prdoruesit e jashtm, varet nga ndjeshmria e t dhnave q do t aksesohen dhe
risku q i shoqron n qoft se kto t dhna kompromentohen. Mnyrat e autentifikimit
q prdor Autoriteti jan:
kombinimi i emrit t prdoruesit dhe fjalkalimit e identifikuar me emrin llogari
prdorimi i smart cards ose i formave t tjera hardware t autentikimit
Prpara kalimit t do aplikimi n mjedisin produkt, prdoruesi i aplikimit duhet t
ndrmar nj vlersim zyrtar t tij, duke u konsultuar me specialistt t Drejtoris s
Teknologjis s Informacionit, pr:
sensitivitetin e t dhnave q prpunohen;
nivelin e rrezikut nga aksesi i prdoruesve.

MARRVESHJET ME KONTRAT
Krkesat e siguris prfshihen n t gjitha kontratat ndrmjet Autoritetit dhe prdoruesve
t jashtm pr t administruar aksesin e tyre direkt (online) n sistemet e Autoritetit. Ktu
mund t prfshihet:
nj deklarat pr pranimin dhe pr respektimin e t drejtave t aksesimit;
deklarat pr pranimin e procedurs Administrimi i Fjalkalimeve;
t marrin prsipr prdorimin e programeve antivirus t miratuara nga Autoriteti,
n t gjith kompjuterat q mund t lidhen me sistemet e Autoritetit, dhe t
garantojn q programet antivirus rinovohen (update) t paktn nj her n dit;
t marrin prsipr ruajtjen e konfidencialitetit t plot pr t gjitha t dhnat dhe
informacionet q ata mund t marrin nga sistemet e Autoritetit.

- 23 -
DHNIA E PRIVILEGJEVE
N rastet e prdoruesve t jashtm, privilegjet caktohen n baz t profileve t siguris.
Kto profile zbatohen dhe testohen zyrtarisht, prpara testimit t tyre prej prdoruesve.
Pr privilegjevet e prdoruesve vendos dhe t firmos drejtori i drejtoris prgjegjse t
sistemit, duke marr n konsiderat mendimin e specialistve t Drejtoris s
Teknologjis s Informacionit. do ndryshim i tyre duhet t miratohet zyrtarisht nga
drejtori i drejtoris prgjegjse t sistemit.
Privilegjet prcaktohen n dokumentacionet e aplikimeve dhe ruhen t sigurta sipas
rregullave t kontrollit zyrtar t dokumenteve, nga Drejtoria e TI.

ENKRIPTIMI
T gjitha t dhnat q shkmbehen ndrmjet sistemeve t Autoritetit dhe prdoruesve t
jashtm duhet t enkriptohen.

- 24 -
8. ZHVILLIMI DHE MIRMBAJTJA E SISTEMEVE
8.1. Zhvillimi i programeve
Krkesat e siguris dizenjohen brenda programeve/aplikimeve, duke reflektuar vlerat e
aseteve t informacionit dhe dmtimet e mundshme, t cilat mund t vijn si rezultat i
dshtimit ose mungess s siguris. Si rregull ato miratohen nga Drejtoria e TI, prpara
fillimit t puns pr zhvillimin e aplikimit.
Masat e siguris prcaktohen qart n dokumentacionin e programeve/aplikimeve,
prfshi ktu procedurat operacionale. N mnyr t veant, t gjitha aplikimet
dizenjohen n mnyr t till q t parandalojn mundsin e aksesimit t njkohshm t
shum prdoruesve, me t njjtin kod.

8.2. Kalimi nga mjedisi i zhvillimit n at produkt

Krijimi i do lloj programi kalon npr tri ndarje logjike (dhe zakonisht edhe fizike) t
mjediseve, t cilat emrtohen Zhvillim, Testim dhe Produkt. Procesi i kalimit t
programeve nga Zhvillimi n Testim dhe pastaj n Produkt, bhet n prputhje me
procedurat e Administrimit t ndryshimeve t Autoritetit.

MJEDISI I ZHVILLIMIT
Mjedisi i zhvillimit sht nn kontrollin e ekipit q zhvillon (krijon) aplikimin, i cili sht
prgjegjs pr sigurin e tij. Drejtoria e Teknologjis s Informacionit sht prgjegjse
pr funksionimin dhe pr mirmbajtjen e sistemeve q jan n zhvillim.

MJEDISI I TESTIMIT
Mjedisi i Testimit sht nn kontrollin e Drejtoris s Teknologjis s Informacionit. T
gjitha profilet e siguris dhe lejet e aksesimit prcaktohen dhe jepen me miratimin e
Drejtoris s Teknologjis s Informacionit.
Kur pjes t reja t zhvillimit t programeve jan gati pr t'u testuar, ato duhet t
migrohen nga mjedisi n zhvillim (krijim) n at pr testim. Kjo procedur kryhet n
prputhje me procedurat e administrimit t ndryshimeve, t cilat krkojn q:
1. zhvilluesit (krijuesit) prgjegjs t shkruajn nj dokumentacion t plot, q
mbulon instalimin, testimin dhe funksionimin e programit t ri;
2. Drejtoria e Teknologjis s Informacionit t prcaktoj se kush do ta instaloj, do
ta testoj dhe do ta ekzekutoj programin, n prputhje me dokumentacionin;
3. N qoft se konstatohet ndonj problem ose gabim, ai do t dokumentohet nga
Drejtoria e Teknologjis s Informacionit dhe do t kthehet pr korrigjim;
4. Kjo procedur t prsritet sa her q sht e nevojshme derisa t dyja palt t
jen t knaqura me rezultatet e testimit;
5. N fund, programi t prgatitet pr kalimin n produkt.

MJEDISI I PRODUKTIT
Kur bhet instalimi n mjedisin produkt, programet/aplikimet nuk mund t ndryshohen
ose t modifikohen n asnj lloj mnyr, prve rasteve t ndrhyrjeve urgjente, t

- 25 -
kontrolluara rreptsisht pr t rregulluar nj problem operacional serioz, si prshkruhet
n pikn 8.3 .
Mjedisi produkt sht nn kontrollin e Drejtoris s Teknologjis s Informacionit. T
gjitha profilet e siguris dhe lejet e aksesimit prcaktohen me miratimin e Drejtoris s
Teknologjis s Informacionit.
Migrimi i programeve t rinj, nga Test n Produkt, bhet n prputhje me procedurat e
Administrimit t ndryshimeve. Pas migrimit ato jan nn kontrollin e palve prkatse,
t cilat mbajn prgjegjsi pr funksionimin n mjedisin produkt.
8.3. Aksesi n mjediset Test dhe Produkt
Personeli i zhvillimit t aplikimit i lejohet nse sht e nevojshme t ket akses n
sistemet test dhe produkt ashtu si dhe n mjedisin n zhvillim. Aksesime t tilla duhet t
kontrollohen me kujdes:
Niveli i aksesit t lejuar, pr do pjestar t grupit t zhvillimit t aplikimit, do t
jet minimumi i duhur pr t kryer ndrhyrjet e nevojshme.
T gjitha aksesimet do t caktohen dhe do t miratohen nga drejtori i
departamentit pronar t sistemit dhe nga Drejtori i Drejtoris s Teknologjis s
Informacionit.
T gjitha aksesimet duhet t kryhen sipas procedurave t Administrimit t
ndryshimeve, t shoqruara me loge pr t gjitha veprimet q kryhen.
T gjitha aksesimet duhet t kryhen duke u konsultuar n mnyr t vazhdueshme
me prfaqsuesit e Drejtoris s Teknologjis s Informacionit. Konsultime t tilla
mund t kryhen me telefon ose brenda institucionit ose nprmjet takimeve
direkte.
N mjediset produkt nuk do t bhet asnj ndryshim i kodit t programit pa u
testuar m par n mjedisin test. Bjn prjashtim rastet, kur nevojitet urgjentisht
t korrigjohet menjher nj dmtim serioz i sistemit apo si pjes e procedurave t
rekuperimit (recovery), t tij. T gjitha korrigjimet e tilla do t kryhen nga
specialistt e Teknologjis s Informacionit.
Pr do prmirsim t kodit ose pr do ndryshim i t dhnave, q do t bhet n
mjedisin produkt, duhet t mbahen shnime t plota.

- 26 -
9. ADMINISTRIMI I VAZHDUESHMRIS S AKTIVITETIT
Duke u konsultuar me drejtort e t gjitha departamenteve, Drejtoria s Teknologjis s
Informacionit zhvillon dhe mban plane pr rikrijimin e t gjitha proceseve dhe
shrbimeve kritike t aktivitetit, n rastet e ndrprerjeve serioze. Ndrprerje t tilla mund
t shkaktohen nga shkaqe natyrore, nga aksidente, nga difekte t pajisjeve, nga veprime t
qllimshme ose nga difekte t shrbimeve.

9.1. Vazhdueshmria
Planet pr vazhdueshmrin e aktivitetit prfshijn masat pr reduktimin e riskut, pr
kufizimin e pasojave t shkaktuara prej nj krcnimi q mund t ndodh, dhe pr
garantimin e rifillimit sa m t shpejt t operacioneve kritike. Planet pr
vazhdueshmrin e aktivitetit prgatiten pr do aktivitet t Autoritetit.
Planet e vazhdueshmris duhet t mundsojn funksionimin n vazhdimsi t
aktiviteteve n raste dmtimesh, difektesh ose humbjesh t shrbimeve apo t pajisjeve.
Ato prfshijn:
identifikimin dhe vendosjen e prioriteteve pr proceset kritike t biznesit;
identifikimin e krcnimeve t mundshme q mund t ken efekt n kto procese;
prcaktimin e ndikimit t mundshm t katastrofave t ndryshme n aktivitetet e
biznesit;
identifikimin dhe realizimin e marrveshjeve pr do prgjegjsi, n rast gjendjeje
t jashtzakonshme;
dokumentacionin pr procedurat dhe proceset pr t cilat sht rn dakord;
edukimin e personelit n ekzekutimin e procedurave ;
testimin e planeve;
prmirsimin e vazhdueshm t planeve.
Procesi i planifikimit t vazhdueshmris s aktivitetit duhet t siguroj, mbajtjen n
pun t proceseve dhe shrbimeve kritike t Autoritetit.
Drejtuesit e drejtorive jan prgjegjs pr planet e vazhdueshmris s aktivitetit pr
sistemet dhe pajisjet q kan n pronsi t tyre. T paktn nj kopje e do plani t till
duhet t ruhet n nj vend t sigurt, jasht ndrtess, pr t siguruar disponueshmrin e
tij n do koh.
Plane t tilla krijohen pr sistemet e informaciont n nj vit nga hyrja n fuqi e
dokumentit.

9.2. Rikrijimi i informacionit n rast katastrofash

Pr t rindrtuar (rikrijuar) sistemet dhe shrbimet prioritare kompjuterike n raste
katastrofash sht e domosdoshme krijimi dhe t ruajtja e planeve pr kt qellim.
Rifillimi i ktyre sistemeve duhet t bhet n nj interval kohe sa m t shkurtr.
Pr do sistem dhe shrbim krijohet nj plan rindrtimi (recovery), i cili mbahet nga nj
person i caktuar. Ktu prfshihen edhe shrbimet q sigurohen nga ofruesit e jashtm.
Prgjegjsia pr procedurat n raste katastrofash, pr manualet dhe planet e zvendsimit

- 27 -
t t dhnave t humbura dhe pr planet e vazhdueshmris, sht e departamenteve q
jan pronar t tyre.

9.3. Prmirsimi
T gjitha planet pr vazhdueshmrin e aktivitetit dhe planet e rikrijimit rishikohen e
prmirsohen t paktn nj her n vit. Planet t cilat vjetrohen shpejt, si rezultat i
ndryshimeve q ndodhin brenda ose jasht institucionit prmirsohen (updating) n
mnyr t vazhdueshme me qllim mbrojtjen e investimit mbi planin fillestar dhe pr
t garantuar efektshmrin e vazhdueshme t vazhdueshmris.
do departament, drejtori apo sektor duhet t ket nj person t autorizuar, i cili do t jet
prgjegjs pr identifikimin dhe pr aplikimin e ndryshimeve n kto plane. Nevoja pr
ndryshime t veanta mund t rishikohet do muaj. I tr plani duhet t jet subjekt i nj
rishikimi vjetor nga Drejtoris s Teknologjis s Informacionit.

- 28 -
10. PRPUTHJA ME LIGJIN
10.1. Krkesat ligjore
LEGJISLACIONI
Drejtorve t drejtorive u krkohet t njohin krkesat e legjislacionit dhe akteve
nnligjore, n t cilat AMF mbshtt veprimtarin e saj, dhe t sigurohen q personeli i
tyre vepron n pajtim me krkesat e legjislacionit n fuqi..

PRONA INTELEKTUALE (E DREJTA E AUTORIT)

Shkelja e t drejts s autorit on n veprime antiligjore dhe, pr shtje serioze n
procedim penal. Pronsia e programeve prcaktohet nprmjet licencs, e cila kufizon
prdorimin e produktit n kompjutera t caktuar.
Asnj program nuk instalohet n kompjuterat e Autoritetit pa patur nj dokument
t shkruar e t firmosur nga prgjegjsi i Drejtoris s Teknologjis s
Informacionit. Si rregull i prgjithshm, t gjitha programet instalohen vetm nga
personeli i helpdesk-ut.
Programet nuk lejohet t kopjohen nga nj kompjuter n nj tjetr, pa patur t
dokumentuar t drejtn e kopjimit nga pronari i tij;
Kopjimi i programeve q jan n pronsi t Autoritetit, pr t'u prdorur n
kompjuterat q nuk i prkasin Autoritetit, pr fardo lloj qllimi t ndryshm nga
aktivitetet e autorizuara, prbn thyerje t t drejts s autorit dhe do t trajtohet si
shkelje serioze.

10.2. Politika e Siguris

KONTROLLET
T gjitha departamentet dhe degt jan subjekt i nj kontrolli zyrtar vjetor pr t siguruar
zbatimin e rregullave dhe standardeve t siguris. Pronart e aseteve t informacionit
mbshtesin rregullisht auditime pr prputhjen e sistemeve t tyre me kt udhzim.
T gjitha pajisjet kompjuterike kontrollohen nga Drejtoris s Teknologjis s
Informacionit pr prputhjen me standardet e implementimit t siguris. Kto kontrolle
prfshijn ekzaminimin e sistemeve operacionale pr t'u siguruar q kontrollet e siguris
t pajisjeve dhe t programeve jan implementuar me korrektsi.

ELISABETA GJONI
KRYETAR

- 29 -