VENDIM Nr.478, date 19.7.2001
Keshilli i Ministrave
V E N D I M
Nr. 478, date 19.7.2001
PER SIGURIMIN E INFORMACIONIT TE KLASIFIKUAR "SEKRET SHTETEROR" NE RRJETET INFORMATIKE, MJETET DHE PAJISJET E TRANSMETIMIT
I. KERKESAT PER RRJETET INFORMATIKE, MJETET DHE PAJISJET E TRANSMETIMIT
1. Institucionet shteterore, te cilat per nevoja te punes duhet te prodhojne, ruajne, perpunojne, shperndajne, ose transmetojne informacion te klasifikuar "sekret shteteror", nepermjet rrjeteve informatike, mjeteve dhe pajisjeve te transmetimit, duhet t'u permbahen rregullave te percaktuara ne kete vendim.
2. Rrjetet informatike, mjetet dhe pajisjet e transmetimit te informacionit te klasifikuar "sekret shteteror", duhet te sigurojne :
a) mbrojtje nga nderhyrjet e paautorizuara;
b) mosndryshimin e paautorizuar;
c) mos asgjesimin apo shkaterrimin ne menyre te kunderligjshme.
3. Ministria apo institucioni shteteror, para perdorimit te rrjetit informatik, mjeteve e pajisjeve te transmetimit, i kerkon DSIK, leshimin e "Çertifikates se sigurise se rrjetit" apo "Çertifikates se sigurise se mjetit". Kerkesa shoqerohet me "deklaraten e sigurise" dhe me dokumente te tjera, qe vertetojne dhe mbeshtesin sigurine e rrjetit, mjeteve e pajisjeve te transmetimit. Forma dhe permbajtja e çertifikates dhe deklarates se sigurise percaktohen nga DSIK-ja.
4. "Çertifikata e sigurise se rrjetit" eshte dokumenti qe verteton se teresia e mjeteve dhe pajisjeve, qe perbejne rrjetin ku ruhet, perpunohet, administrohet, transmetohet informacioni i klasifikuar "sekret shteteror", plotesojne kerkesat e sigurise.
5. "Çertifikata e sigurise se mjetit", eshte dokumenti qe verteton se mjetet apo pajisjet e transmetimit, plotesojne kerkesat e sigurise se informacionit te klasifikuar "sekret shteteror".
6. "Deklarata e sigurise", permban pershkrimin e plote dhe te hollesishem te sigurise se rrjetit informatik, mjeteve apo pajisjeve te transmetimit, gjate instalimit dhe shfrytezimit.Ajo i leshohet ministrise apo institucionit shteteror dhe nenshkruhet nga personi fizik apo juridik, vendas apo i huaj, i cili ka prodhuar, tregtuar, dhuruar, apo siguruar ato ne nje menyre tjeter.
7. DSIK-ja, brenda afatit njemujor shqyrton kerkesen e paraqitur. Kur rrjeti informatik, mjetet apo pajisjet e transmetimit, permbushin kerkesat e sigurise se informacionit te klasifikuar, DSIK-ja leshon "Çertifikaten e sigurise". Ne rast mosmiratimi te kerkeses, subjekti kerkues brenda 10 diteve ka te drejte te ankohet tek Kryeministri, vendimi i te cilit eshte perfundimtar.
8. Personi apo personat qe instalojne, mirembajne ose riparojne rrjetin informatik, mjetet apo pajisjet e transmetimit, punonjes apo jo te institucionit, duhet te pajisen me "çertifikate sigurie".
Kur nuk jane punonjes te ministrise apo institucionit, ata jane nen mbikeqyrjen e vazhdueshme te personelit te kualifikuar teknikisht dhe te çertifikuar, te ministrise apo institucionit.
9. Kur shkembehet informacion i klasifikuar me shtete te tjera apo organizata nderkombetare, ne marreveshje mund te percaktohen edhe standarte apo kerkesa te tjera per sigurine e rrjeteve informatike, te mjeteve e pajisjeve te transmetimit, te informacionit te klasifikuar.
II. MASAT E SIGURIMIT TE RRJETEVE INFORMATIKE, MJETEVE DHE PAJISJEVE TE TRANSMETIMITA. Sigurimi fizik i rrjeteve informatike
1. Rrjetet informatike, i nenshtrohen rregullave per sigurimin fizik te informacionit te klasifikuar "sekret shteteror", te percaktuara me akte te tjera normative.
2. Rrjetet informatike ndertohen në perputhje me strukturen organizative të institucionit ku instalohen dhe me nivelin e klasifikimit të informacionit te klasifikuar "sekret shteteror", që perpunohet.
3. Lidhja fizike me rrjetet lokale informatike te behet vetem me media te sigurte (fibra optike) ose me pajisje te kontrolluara duke perdorur me shume se nje tip barriere, te cilat mbeshtesin njera-tjetren.
4. Ndalohet perdorimi i modemave te ndryshem te cilet krijojne lidhje te pakontrolluara me rrjetin informatik.
5. Sigurimi fizik i serverit te rrjetit lokal informatik te perputhet me nivelin e masave te sigurise se informacionit te klasifikuar te nivelit me te larte qe ai ruan.
B. Aftesite e sigurise se personelit qe punon me rrjetet informatike
1. Personeli qe punon ne rrjetet informatike, te jete i çertifikuar sipas akteve nenligjore ne fuqi. Niveli i "çertifikates se sigurise" te jete ne perputhje me nivelin e informacionit te klasifikuar "sekret shteteror", qe njeh dhe administron ky personel.
2. Personeli qe punon ne rrjetet informatike, te jete i trajnuar ne fushen e operimit dhe shfrytezimit te rrjetit dhe veçanerisht per veprimet qe cenojne sigurine e rrjetit.
3. Administratoret e rrjetit jane pergjegjes per zbatimin e masave te sigurise se tij. Ata pajisen me "çertifikate sigurie" te nivelit me te larte te klasifikimit te informacionit qe administrojne dhe perzgjidhen nder specialistet me te mire te sistemeve te operimit e shfrytezimit te rrjetit.
4. Personat, te cilet per nevoja pune, hyjne ne ambjentet me rrjete informatike, i nenshtrohen rregullave per ruajtjen e informacionit te klasifikuar "sekret shteteror", te percaktuara nga titullari i ministrise apo institucionit.
C. Sigurimi i informacionit te klasifikuar "sekret shteteror", ne rrjetet informatike
1. Sigurimi i informacionit te klasifikuar "sekret shteteror", ne rrjetet informatike, te behet ne te gjitha fazat e ciklit te plote te tij. Sistemet e transmetimit te informacionit te klasifikuar "sekret shteteror" te kene kapacitetin dhe aftesine qe, nepermjet moskontakteve fizike apo elementeve special te software-it, te pengojne aksesin ne stacionet fundore.
2. Ndalohet ruajtja e informacionit te klasifikuar "sekret shteteror" ne kompjuter, kur ai eshte i lidhur ne rrjet informatik. Ne kete rast ruajtja behet vetem ne server. Kompjuterat me hard disk te fiksuar kur punojne jashte rrjetit dhe trajtojne informacion te klasifikuar "sekret shteteror", te sigurojne nivelin maksimal te mbrojtjes, sipas klasifikimit te informacionit.
3. Masat e sigurise dhe e drejta per t'u njohur me informacionin e klasifikuar percaktohen sipas nivelit te klasifikimit te tij.
Masat e sigurise te parashikojne mbrojtjen nga demtimet qe shkaktojne viruset e ndryshem, disiplinimin dhe kontrollin e hyrjes ne rrjet dhe parandalimin e nderhyrjeve me synime keqdashese.
4. Perdoruesit organizohen ne grupe, ne perputhje me strukturen organizative dhe hierarkine. Atyre u vihen ne dispozicion llogarite perkatese, te cilat hapen vetem pas perdorimit te fjalekalimeve, te cilat ndertohen mbi bazen e proçedurave profesionale dhe nderrohen periodikisht.
5. Përdoruesit te rrjetit informatik i ndalohet :
a) të orvatet të futet në rrjet nën një identitet tjetër;
b) të orvatet te njohe dhe administroje informacion te klasifikuar "sekret shteteror" jashte te drejtave qe ai ka;
c) te importojë apo eksportojë informacion te klasifikuar "sekret shteteror", aplikime, lojra me disketa, etj.
ç) të instalojë apo të ndryshojë në ndonjë mënyrë hardware-in, software-in ose aplikime;
d) të dërgoje apo heqe informacione te klasifikuara "sekret shteteror" ose disketa, pa autorizimin e titullarit te institucionit.
6. Rrjeti informatik i nenshtrohet kontrollit periodik ,per te pare ndryshimet ne rrjet, masat e sigurise se informacionit te klasifikuar "sekret shteteror" dhe pershtatjen e tyre me arritjet e kohes, nga personat pergjegjes te caktuar nga titullari i ministrise apo institucionit.
7. Veprimtaria e perdoruesve dhe administratoreve te rrjetit duhet te auditohet (monitorohet), per te zbuluar dhe parandaluar ngjarjet qe mund te cenojne sigurine e informacionit te klasifikuar "sekret shteteror".
8. Per te ruajtur informacionin e klasifikuar sekret shteteror" dhe konfigurimin e rrjeteve qe e perpunojne ate, behet rezervimi i tyre ne media te ndryshme, si shirit manjetik, CD dhe server rezerve (Backup server). Per ruajtjen e ketyre pajisjeve te krijohen kushte te veçanta.
9. Prishja e autorizuar e informacionit te klasifikuar sekret shteteror" te magazinuar ne media te ndryshme, behet me metoda profesionale ose me shkaterrimin e tyre fizik. Prishja te behet vetem kur eshte e domosdoshme dhe pasi informacioni i klasifikuar sekret shteteror" te jete printuar dhe rregjistruar. Printimi dhe administrimi i dokumenteve te klasifikuara te behet sipas rregullave perkatese.
10.Ndalohet trajtimi i informacionit te klasifikuar "sekret shteteror", ne kompjuterat private dhe futja e ketyre kompjuterave ne ambjentet ku ruhet, perpunohet dhe transmetohet informacion i klasifikuar.
D. Sigurimi i komunikimeve
1. Per transmetimin e informacionit te klasifikuar sekret shteteror" te perdoren mjete, pajisje e sisteme kriptografike te specializuara, fortesia e te cilave te jete ne perputhje me nivelin e klasifikimit te informacionit.
2. Drejtoria e Shifrimit dhe Transmetimit te Informacionit, e cila sot eshte ne varesi te Sherbimit Informativ Shteteror, eshte strukture e specializuar e cila pergjigjet, per mbrojtjen e informacionit te klasifikuar "sekret shteteror" ne te gjitha strukturat shteterore, kur ky informacion transmetohet me mjete te komunikimit ,masiv e publik. Ajo pergjigjet per hartimin, prodhimin dhe perdorimin e shifres, per te gjitha ministrite e institucionet shteterore.
3. Perdorimi i sistemeve te shifrimit, mjeteve e pajisjeve te komunikimit te informacionit te klasifikuar "sekret shteteror", te behet pas miratimit e çertifikimit nga DSIK-ja.
III. RREGULLA TE VEÇANTA1. Ministrite dhe institucionet shteterore jane pergjegjese per mbrojtjen dhe sigurimin e informacionit te klasifikuar "sekret shteteror" ne rrjetet informatike, mjetet dhe pajisjet e transmetimit.
2. Ngarkohen ministrite dhe institucionet e tjera shteterore per zbatimin e ketij vendimi. Drejtuesit e ketyre institucioneve, brenda 30 diteve nga hyrja ne fuqi e ketij vendimi, detyrohen te nxjerrin udhezim per zbatimin e ketij vendimi.
3. Ngarkohet Drejtoria e Sigurimit te Informacionit te Klasifikuar per ndjekjen e zbatimit te ketij vendimi.
Ky vendim hyn ne fuqi pas botimit ne "Fletoren zyrtare".
ILIR META