13 Temmuz 2014 PAZAR

Resm Gazete

Say : 29059

YNETMELK

Bilgi Teknolojileri ve letiim Kurumundan:

ELEKTRONK HABERLEME SEKTRNDE EBEKE VE

BLG GVENL YNETMEL

BRNC BLM

Ama, Kapsam, Dayanak, Tanmlar ve Ksaltmalar

Ama ve kapsam

MADDE 1 (1) Bu Ynetmeliin amac, ebeke ve bilgi gvenliinin salanmasna ynelik olarak iletmecilerin uyacaklar usul ve esaslar dzenlemektir.

(2) Kiisel verilerin ilenmesi ve gizliliinin korunmas, bu Ynetmelik kapsam dndadr.

Dayanak

MADDE 2 (1) Bu Ynetmelik, 5/11/2008 tarihli ve 5809 sayl Elektronik Haberleme Kanununun 4 nc maddesinin birinci fkrasnn (l) bendi, 6 nc maddesinin birinci fkrasnn (n), () ve (v) bentlerine, 12 nci maddesinin ikinci fkrasnn (i) ve (j) bentlerine ve 60 nc maddesinin birinci fkrasna dayanlarak hazrlanmtr.

Tanmlar ve ksaltmalar

MADDE 3 (1) Bu Ynetmelikte geen;

a) Belgelendirme kuruluu: TS ISO/IEC 27001 veya ISO/IEC 27001 standardna gre belgelendirme yapmak zere akredite edilmi kurum veya kuruluu,

b) BGYS standard: TS ISO/IEC 27001 veya ISO/IEC 27001 standardn,

c) Bilgi gvenlii ynetim sistemi (BGYS): Bilginin gizliliini, btnln ve eriilebilirliini salamak zere sistemli, kurallar koyulmu, planl, ynetilebilir, srdrlebilir, dokmante edilmi, iletmecinin ynetimince kabul grm ve uluslararas gvenlik standartlarnn temel alnd faaliyetler btnn,

) Bilgi sistemi: letim sistemlerinin, veritabanlarnn, sunucularn, altyapnn, i uygulamalarnn, kullanma hazr rnlerin, donanmlarn, yazlmlarn ve hizmetlerin tamamn,

d) Btnlk: Varlklarn doruluunu ve tamln koruma zelliini,

e) Donanm: Elektronik haberleme altyaps, bilgisayarlar, veri kaydetmek iin kullanlan tanabilir veya sabit diskleri,

f) Dos: Hizmet d brakmay,

g) Ddos: Datk hizmet d brakmay,

) Eriilebilirlik: Yetkili bir varlk tarafndan talep edildiinde eriilebilir ve kullanlabilir olma zelliini,

h) Gizlilik: Bilginin yetkisiz kiiler, varlklar ya da sreler tarafndan eriilememesini, kullanlamamasn, deitirilmemesini, depolanmamasn, baka bir ortama kaydedilmemesini veya ifa edilmemesini,

) IP adresi: nternet protokol adresini,

i) letmeci: Yetkilendirme erevesinde elektronik haberleme hizmeti sunan ve/veya elektronik haberleme ebekesi salayan ve alt yapsn ileten irketi,

j) Kle bilgisayar: Herhangi bir amala kullanlmak zere, zararl yazlmlar veya kt niyetli kiiler tarafndan uzaktan ynetilen internete bal bilgisayar,

k) Kritik bilgi: Deitirilmesi, bozulmas, kaybolmas, ktye kullanlmas veya yetkisiz bir ekilde ifa edilmesi durumunda ebeke ve bilgi gvenlii asndan zararlara yol aacak bilgiyi,

l) Kritik sistem: letmecinin kontrol altnda yer alan elektronik haberleme altyaps ile ilevselliinin bozulmas halinde veya maruz kalaca etkiler neticesinde ebeke ve bilgi gvenliini zafiyete uratabilecek sistemleri,

m) Kurul: Bilgi Teknolojileri ve letiim Kurulunu,

n) Kurum: Bilgi Teknolojileri ve letiim Kurumunu,

o) Risk deerlendirme: Risklerin analizi, seviyelerinin tanmlanmas, derecelendirilmesi ve tahmin edilmesi ile kabul edilebilir risk seviyesinin belirlenmesini,

) Risk ileme: Riski azaltmaya ynelik nlemlerin seilmesi ve uygulanmas ile kabul edilen risklerin gerekelerinin belirlenmesini,

p) Risk temelli deerlendirme: Abone says, yllk net sat, mteri beklentileri, yasal ve dzenleyici ykmllkler, hizmet verilen yerleim alanlar, iletilen altyapnn kritiklii veya bykl gibi kriterler dikkate alnarak Kurum tarafndan yaplan deerlendirmeyi,

r) Siber Gvenlik Kurulu: 5/11/2008 tarihli ve 5809 sayl Elektronik Haberleme Kanununun EK 1 inci maddesinin birinci fkras kapsamnda kurulan kurulu,

s) SOME: Siber olaylara mdahale ekibini,

) USOM: 20/6/2013 tarihli ve 28683 sayl Resm Gazetede yaymlanan 2013/4890 sayl Bakanlar Kurulu Kararnn ekinde yer alan Ulusal Siber Gvenlik Stratejisi ve 2013-2014 Eylem Plannn 4 nc maddesi gereince kurulan ulusal siber olaylara mdahale merkezini,

t) Varlk: letmeci iin deeri olan herhangi bir eyi,

ifade eder.

(2) Bu Ynetmelikte geen ve birinci fkrada yer almayan tanmlar iin ilgili mevzuatta yer alan tanmlar geerlidir.

KNC BLM

Genel Hkmler

lkeler

MADDE 4 (1) Bu Ynetmeliin uygulanmasnda aada belirtilen temel ilkeler gzetilir:

a) letmecilerin ykmllklerinin belirlenmesinde, ebeke ve bilgi gvenliinin salanmasna ynelik tedbirlerin tespitinde ve uygulanmasnda mmkn olduu lde risk temelli deerlendirmelerin yaplmas.

b) Tketici haklarnn korunmas.

c) Hizmet kalitesinin ykseltilmesi.

) Ulusal dzenleme ile ulusal ve/veya uluslararas standartlarn dikkate alnmas.

d) Gvenlik ile kullanlabilirlik arasnda denge kurulmas.

e) Azami lde milli kaynaklarn kullanlmas.

letmecilerin ykmllkleri

MADDE 5 (1) letmeciler ebeke ve bilgi gvenlii ile ilgili olarak nc blmde yer alan hkmler kapsamnda temel tedbirleri almakla ykmldr.

(2) Aadaki yetkilendirme tiplerine sahip iletmecilerden yllk net satlar Kurul Karar ile belirlenen deer ve zerinde olanlar, birinci fkrada belirtilen ykmllklerin yan sra, drdnc blmdeki hkmler kapsamnda ebeke ve bilgi gvenliinin salanmasna ilikin ilave tedbirleri almakla ykmldr.

a) Altyap iletmecilii hizmeti.

b) eitli telekomnikasyon hizmetleri (imtiyaz szlemesi).

c) GMPCS mobil telefon hizmeti.

) GSM/IMT-2000/UMTS (imtiyaz szlemesi).

d) Hava tatlarnda GSM 1800 mobil telefon hizmeti.

e) nternet servis salaycl.

f) Sabit telefon hizmeti.

g) Sanal mobil ebeke hizmeti.

) Uydu haberleme hizmeti.

h) Uydu ve kablo tv hizmetleri (grev szlemesi).

(3) Kurul gerekli grmesi halinde iletmecilerin ilgili ykmllklerinde farkllatrma yapabilir.

NC BLM

ebeke ve Bilgi Gvenliinin Salanmasna likin Temel Ykmllkler

BGYSnin kurulmas, kapsam ve ynetimi

MADDE 6 (1) letmeci, yetkilendirmesine ilikin tm hizmetleri ve kritik sistemleri kapsayacak ekilde BGYS kurar.

(2) letmeci BGYSnin kurulmas, uygulanmas ve srekliliinin salanmas amacyla bir ynetim mekanizmas iletir.

BGYS politikas

MADDE 7 (1) letmeci, ynetimi tarafndan onaylanm bir bilgi gvenlii ynetim sistemi politikas tanmlar, dokmante eder, tm alanlarnn ve ilgili taraflarn sz konusu politikaya ilikin farkndaln salar.

(2) Bilgi gvenlii ynetim sistemi politikas asgari olarak aadaki hususlar ierir:

a) letmeci asndan bilgi gvenliinin tanm, genel amalar ve kapsam.

b) Ynetimin bilgi gvenlii hedeflerinin yerine getirilmesi ve ilgili faaliyetlerin desteklenmesine ilikin taahhd.

c) Risk deerlendirmesine ilikin esaslar.

) Varlklarn snflandrlmas.

d) Uygulanan gvenlik politikalar, prosedrleri, kurallar, prensipleri ve standartlar hakknda genel bilgileri.

Bilgi gvenlii grubu ve faaliyetleri

MADDE 8 (1) Bilgi gvenlii faaliyetleri, iletmecinin ynetimi tarafndan yetkilendirilmi temsilcilerin katlmyla oluturulan bir grup marifetiyle veya iletmecinin kaynaklarnn elvermedii durumlarda bir ynetici tarafndan koordine edilir.

(2) Bilgi gvenlii grubu faaliyetleri aadaki hususlar kapsar:

a) Faaliyetlerin, BGYS politikasna uygun olarak yrtlmesinin salanmas.

b) BGYS politikasna ilikin uygunsuzluklarda yaplacak ilemlerin tanmlanmas.

c) Bilgi gvenliine ilikin metot ve prosedrlerin onaylanmas.

) Bilgiye ve bilgi sistemlerine ynelik tehditlerin ve aklarn belirlenerek zm yollarnn tanmlanmas.

d) Bilgi gvenliinin salanmas amacyla alnan tedbirlerin uygulanmas ve yeterliliinin deerlendirilmesi.

e) Bilgi gvenlii farkndalnn artrlmasna ynelik eitimlerin ve almalarn planlanmas ve uygulanmas.

f) Bilgi gvenlii olaylarnn izlenmesi ve gzden geirilmesi sonucunda elde edilen verilerin deerlendirilmesi ve uygun nlem ve faaliyetlerin belirlenmesi.

g) BGYS dokmanlarnn gncel ekilde tutulmas.

Varlk ynetimi snflandrmas

MADDE 9 (1) letmeci, sahip olduu varlklar ve bu varlklarn sorumlularn dokmante ederek bir varlk envanteri oluturur. Birok varln belirli bir fonksiyonu yerine getirmek zere birlikte kullanld karmak bilgi sistemleri tek bir varlk olarak kabul edilebilir.

(2) Varlk envanteri asgari olarak varln ad, tipi, yeri, yedekleme bilgisi, kurulu asndan deeri, varlk sorumlusu ve varsa lisans veya kimlik bilgisini ierir. Mevzuata uyum ve Kuruma kar sorumluluk, varlk sorumlusundan bamsz olarak iletmeciye aittir.

(3) letmeci, bilgi gvenlii ihtiyalarn karlayacak ekilde varlklarnn gizlilik snfn; kritiklik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerine gre belirleyerek varlklarn uygun biimde etiketler.

(4) Her bir gizlilik snf iin eriim, kullanm, depolama, iletim, imha, paylam ve datm kurallar iletmeci tarafndan belirlenir.

(5) Varlk envanteri yazlm, donanm, personel gibi envanteri oluturan varlklarda deiiklik olmas durumunda gncellenir.

Risk deerlendirme ve ileme

MADDE 10 (1) letmeci, bilgi gvenliine ilikin tehditlerin tanmlanmasn, sz konusu tehditlerin gerekleme olaslklarn ve oluturabilecekleri olumsuz sonular niteleyen ve risklerin snflandrlmasn ierecek ekilde ylda en az bir defa risk deerlendirmesi yapar.

(2) Risk deerlendirmesi sonular dikkate alnarak risklerin kabul edilme kriterleri tanmlanr.

(3) Tm riskler iin bir risk ileme karar alnr. Risk ileme karar,

a) Riskin azaltlmasna ynelik tedbirlerin uygulanmas,

b) Belirlenen kabul edilme kriterleri erevesinde riskin kabul edilmesi,

c) Riskin olumasna neden olan faaliyetlerin durdurularak riskten kanlmas,

) Riskin sigorta, szleme ve anlama gibi yntemlerle dier ilgili taraflara aktarlmas

eklinde olur.

(4) Risk deerlendirme ve ileme metotlar dokmante edilir ve bu metotlara gre yaplan ilemler kayt altna alnr.

sreklilii

MADDE 11 (1) letmeci, yetkilendirmesine ilikin tm hizmetlerin ve kritik sistemlerin doal afetler, evresel tehditler, kazalar, donanm arzalar, kasti eylemler veya siber saldrlar sonucunda kesintiye uramasn nlemek ve sahip olduu varlklarda oluabilecek kayplar en aza indirmek amacyla i sreklilii planlar yapar ve uygular.

(2) Planlarda asgari olarak; i srelerini kesintiye uratabilecek olaylarn tanmlar, sz konusu olaylarn gereklemesi durumunda yaplacak faaliyetler, her bir faaliyetten sorumlu personel, plann devreye alnmas iin gerekli koullar, plan kapsamnda kullanlacak ekipman ve malzeme yer alr.

(3) Planlar tatbikat, simlasyon gibi tekniklerle her yl test edilir ve test sonular kayt altna alnr. Test sonularna gre ya da planlar etkileyebilecek yazlm, donanm, personel deiiklikleri gibi durumlarda i sreklilii planlar gncellenir.

Bilgi gvenlii ihlal olaylarnn ve gvenlik aklarnn ynetimi

MADDE 12 (1) Bilgi gvenlii ihlal olaylarnn ve gvenlik aklarnn mmkn olduunca ksa srede raporlanmasn salamak zere bir raporlama ve geri bildirim mekanizmas kurulur.

(2) Hazrlanacak raporlar asgaride, olayn gerekleme zamann, niteliini ve olaydan etkilenen varlklarn neler olduunu kapsar.

(3) Raporlanan bilgi gvenlii olaylarna en ksa srede mdahale edilerek ihlal ve gvenlik aklarnn giderilmesi amacyla yaplmas gereken ilemleri ve bu ilemlerin sorumlularn ieren prosedrler tanmlanr.

(4) Gerekleen bilgi gvenlii ihlal olaylarna ilikin bilgiler kayt altna alnr, deerlendirilir ve BGYSnin gelitirilmesi amacyla yaplan almalarda girdi olarak kullanlr.

denetim

MADDE 13 (1) letmeci bu Ynetmelikte belirtilen ykmllklerini yerine getirmek amacyla yapt faaliyetleri ve iletmekte olduu BGYSyi iki ylda en az bir defa i denetim yaparak denetler veya bu hizmeti veren taraflara denetlettirir. denetimlerde denetilerin kendi almalarn denetlememeleri salanr.

(2) letmeci tespit edilen uygunsuzluklarla ilgili gerekli dzeltici ve nleyici faaliyetleri yerine getirir. Denetim sonular ve yaplan dzeltici ve nleyici faaliyetler kayt altna alnr.

Personel ve istihdam

MADDE 14 (1) letmeci istihdam ettii personelin, yetkilendirme kapsamnda sunulan hizmetlere ilikin ebeke ve bilgi gvenliine, milli gvenlie ve kamu dzenine aykr davranta bulunmamas iin her trl nlemi alr.

(2) stihdam edilecek personel hakknda adli sicil kayd belgesi istenir, muhafaza edilir ve ilgili personelin grevlendirilmesinde dikkate alnr.

(3) Bilgi gvenliine ilikin rol ve sorumluluklar, istihdam edilen personele ie alm srecinde ak bir ekilde ifade edilir ve imzalattrlarak muhafaza edilir.

(4) stihdamn sonlandrlmasnda veya grev deiikliklerinde; varlklarn iadesi ve eriim haklarnn kaldrlmas veya gncellenmesi ilemlerine ilikin, asgari olarak aadaki hususlar ieren bir prosedr oluturulur, dokmante edilir ve uygulanr:

a) lgililere istihdam sonlandrlmasnda veya grev deiiklii sonrasnda da devam eden bilgi gvenliine ilikin sorumluluklar ve ykmllkleri.

b) lgililerin iletmeci tarafndan kendilerine sz konusu grevle ilgili tahsis edilmi olan ekipman, yazlm, dokman, mobil cihazlar, kredi kartlar ve eriim kartlar da dahil olmak zere tm varlklar iade etmesi ve kendilerine tanmlanm eriim haklarnn, yeliklerin, kullanc hesaplarnn kaldrlmas.

c) lgililerin kendi mlkiyetlerinde bulunan ekipman kullanmalar durumunda iletmeciyle ilgili tm bilgilerin iadesi ve gvenli bir ekilde silinmesi.

Disiplin prosedr

MADDE 15 (1) letmeci, ebeke ve bilgi gvenliine ilikin kurallarn ihlal edilmesi durumunda, ilgililere yaptrm uygulanmasn salamak zere bir disiplin prosedr oluturur, dokmante eder ve tm personelin konu ile ilgili farkndaln salar.

Eitim

MADDE 16 (1) Personelin, konusunda yeterlilie sahip ve gerekli eitimleri alm olmas, alnan eitimlerin personelin rol ve sorumluluklarna uygun olmas esastr.

(2) Tm personelin iki ylda en az bir defa, bilgi gvenlii farkndalk eitimi almas salanr.

(3) Personelin ald eitimlere ilikin kaytlar muhafaza edilir.

Fiziksel eriim

MADDE 17 (1) letmeci, bina ve tesislerinde, yetkisiz eriime ve istenmeyen fiziksel etkilere kar gerekli tedbirleri alr.

(2) Kritik sistemlerin bulunduu alanlara giri ve eriim yetkisi sadece yetkili kiilerle snrlandrlr, bu yetkiler dzenli olarak gzden geirilerek gncellenir ve gerekli deilse iptal edilir. Kritik sistemlerin bulunduu alanlara giri ve k bilgileri takip edilir ve kayt altna alnr. Sz konusu kaytlar en az 2 yl sreyle muhafaza edilir.

(3) Ziyareti giri ve klarnda gerekli kontroller yaplarak, tarih, saat ve kimlik gibi bilgiler kaydedilir. Ziyaretilere yalnzca ziyaret amacna uygun giri ve eriim yetkileri verilir. Gerekli durumlarda iletmeci personelinin refakati salanr.

(4) Teslimat alanlar, ykleme alanlar veya depo gibi nc taraflarn bina ve tesislere giriinin sz konusu olabilecei alanlar, kritik sistemlerin bulunduu alanlardan ayrlr.

(5) Elektronik haberleme altyapsn ieren bina, kule, dolap ve kutu gibi gvenlik riski oluturabilecek altyap bileenlerine eriim kontrol altnda tutulur ve bu bileenler yetkisiz kiilerin kolaylkla eriim salayamayaca ekilde tesis edilir.

evresel tehditlere kar korunma

MADDE 18 (1) letmeci; yangn, su baskn, deprem, yldrm, patlama ve dier evresel tehditlere kar gerekli nlemleri alr.

(2) letmeci, bilgi sistemlerine gelen haberleme ve elektrik hatlarnn mmkn olduunca yer altnda olmasn veya kesinti ve zarar grmesini engelleyecek ekilde korunmasn salar.

Ekipman ve alma ortam gvenlii

MADDE 19 (1) letmeci kulland ekipmann; evresel tehditler, elektrik, su, kanalizasyon, iklimlendirme ve havalandrma sistemleri gibi destek sistemlerinin fonksiyon kayb veya eksikliklerinden kaynaklanabilecek olumsuz etkilere ve yetkisiz eriime kar korunmas amacyla gerekli tedbirleri alr.

Elektronik ortam ynetimi

MADDE 20 (1) letmeci elektronik ortamda tutulan bilgilerin yetkisiz olarak eriilmesine, bu bilgilerin yetkisiz olarak deitirilmesine, silinmesine ve zarar grmesine kar gerekli nlemleri alr.

(2) Kullanmdan kaldrlmas veya baka amalarla yeniden kullanlmas planlanan ekipmanda veya elektronik ortamda yer alan kritik bilgilerin yedekleri ile birlikte geri dndrlemez ekilde silinmesi salanr. Silme ileminin mmkn olmamas durumunda sz konusu bilgi depolayan paralar kullanlamaz hale getirilir.

(3) Tanabilir ortamlardan veya mobil cihazlardan kaynaklanabilecek gvenlik zafiyetlerine ynelik tedbirler belirlenir; sz konusu ortam ve cihazlarda yer alan kritik bilgilerin yetkisiz eriim, deitirme ve ifa edilmeye kar korunmas amacyla nlemler alnr ve alanlarn bunlara uymalar salanr.

(4) Kritik bilgiler ieren dokmanlar veya saysal kaytlar ieren ortamlar kullanmda olmadklar zamanlarda kilitli dolaplarda veya ifre korumas altnda tutulur.

ebeke gvenlii

MADDE 21 (1) letmeciler, ebekelerinin tehditlerden korunmas ve ebekeleri kullanan sistem ve uygulamalarn gvenliinin salanmas amacyla gerekli nlemleri alr.

Aboneye ynelik tedbirler

MADDE 22 (1) letmeci, kendisine tahsisli bir IP adresi kullanlarak ebekesine dardan paket gnderilmesini engellemeye ynelik gerekli nlemleri alr.

(2) letmeci, abonelerinin kendisine atanmam bir IP adresi kullanarak paket gndermelerini engellemeye ynelik gerekli nlemleri alr.

(3) letmeci, abonelerini bilinlendirmek ve gerekli nlemlerin alnmasn salamak amacyla zararl yazlmlar, kle bilgisayar alar ve muhtemel siber tehditler ile ilgili olarak bilgilendirir.

Deiim ynetimi

MADDE 23 (1) letmeci sahip olduu kritik sistemlere ilikin tesis, ekipman, yazlm ve prosedrlerde deiiklik yaplmasnn sz konusu olduu durumlarda uygulanmak zere gerekli kurallar belirler.

(2) Sz konusu kurallar asgari olarak aadaki hususlar ierir:

a) Deiikliklerin tanmlanmas ve kayt altna alnmas.

b) Deiikliklerin planlanmas ve test edilmesi.

c) Deiikliklerin etkilerinin analiz edilmesi.

) nerilen deiikliklerin onaylanmas.

d) Deiikliklerin yetkili kullanclar tarafndan yaplmasnn salanmas.

e) Deiiklie ilikin bilgilerin ilgililere bildirilmesi.

f) Baarsz deiikliklerle ve ngrlemeyen sonularla karlalmas durumunda yaplacak ilemleri.

Grevlerin ve ortamlarn ayrlmas

MADDE 24 (1) letmeci, kritik sistemlere yetkisiz eriimin, bu sistemler zerinde yetkisiz deiiklik yaplmasnn veya bu sistemlerin yetkisiz kullanmnn nne geilmesi amacyla;

a) Kritik sistemlerde yaplacak ilemlerin balatlmas ve onaylanmas srelerini birbirinden ayrr,

b) Kritik sistemlerde ilemleri gerekletiren kiiler ile ilgili ilemlerin kayt dosyalarn yneten kiileri ayrtrr,

c) Gerek sistemleri, gelitirme ve test ortamlarndan ayrr,

) Yazlmlarn gelitirme ortamndan gerek ortama aktarlmasna ilikin kurallar tanmlar ve dokmante eder,

d) Gerekli olmadka derleyici, editr ve dier gelitirme aralarnn veya sistem aralarnn gerek sisteme eriimine imkn vermez,

e) Gelitirme ve test kullanclarnn gerek sistemlere eriimine izin vermez, gelitirme ve test faaliyetlerinin test verisi zerinden yaplmasn salar.

Sistem planlama ve kabul

MADDE 25 (1) letmeci, kapasite ihtiyacnn karlanmas amacyla bilgi sistemlerinde kaynak kullanmnn planlanmasn yapar ve takip eder.

(2) letmeci, yeni bilgi sistemlerinin, sistem gncellemelerinin ve yeni srmlerin, kullanma alnmadan nce mevcut sistemlere ve gvenlik gereksinimlerine uygunluunun test edilmesini salar.

Zararl kodlara kar korunma

MADDE 26 (1) letmeci, bilgi sistemlerinde yer alan bilgilerin ve yazlmlarn gizliliinin, btnlnn ve eriilebilirliinin korunmas amacyla bilgisayar virsleri, solucanlar, truva atlar gibi zararl kodlara kar gerekli nlemleri alr.

(2) letmeci BGYS politikasna aykr ve lisanssz yazlm kullanmna izin verilmez.

(3) D alar araclyla dosya veya yazlm indirilmesi ve kullanlmasnda uygulanacak gvenlik nlemleri belirlenir.

Yedekleme

MADDE 27 (1) letmeci, bir felaket veya hata durumunda ihtiya duyulacak bilgi ve yazlmlarn kurtarlmasna imkn verecek ekilde yedek alnmasn salar.

(2) letmeci, yedei alnacak sistemleri ve bu sistemlere ilikin yedekleme periyodunu, yedekleme trn, saklama zamann i ihtiyalarna ve yedei alnacak sistemlerin kritiklik seviyesine uygun olacak ekilde belirler.

(3) Yedekleme ilemlerinde aadaki hususlar yerine getirilir.

a) Yedek kopyalarn kayd tutulur.

b) Yedekler gerek bilgi ve yazlmlarn bulunduu yerlekede meydana gelebilecek felaketlere maruz kalmayacak ve gerek bilgi ve yazlmlarn bulunduu yerlekeyle ayn riskleri tamayacak ekilde tutulur ve yedekler iin gerek bilgi ve yazlmlarla ayn dzeyde gvenlik nlemleri uygulanr.

c) Yedekler periyodik olarak test edilerek kullanma hazr halde tutulur.

Zaman senkronizasyonu

MADDE 28 (1) letmeci, bnyesinde kullanlan tm bilgi sistemlerinin belirlenen tutarl bir zaman kaynana gre ayarlanmasn ve senkronize ekilde almalarn salar.

Sistem kayt dosyalarnn tutulmas

MADDE 29 (1) letmeci, istenmeyen bilgi ileme faaliyetlerinin nlenmesi ve bilgi gvenlii ihlal olaylarnn tanmlanmas amacyla kritik sistemleri izler ve asgari aadaki hususlarn uygulanabilir olanlarn ieren kayt dosyalarn en az 2 yl sreyle tutar:

a) Kullanc kimlikleri.

b) Oturum ama/kapatma, veri ekleme/silme/deitirme gibi ilemlerin tarihi, zaman ve aklamalar.

c) Balant salanan ekipmann kimlii ve yeri.

) Baarl ve reddedilen sistem, veri ve dier kaynaklara eriim giriimlerinin kaytlar.

d) Sistem ayarlarndaki deiiklikleri.

e) Kullanlan zel izinleri ve ayrcalklar.

f) Sistem aralarnn ve uygulamalarnn kullanm.

g) Eriilen dosyalar ve eriimin tipi.

) A adresleri.

h) Eriim kontrol sistemi tarafndan retilen alarmlar.

) Anti virs yazlm, gvenlik duvar gibi gvenlik sistemlerinin aktif ve pasif hale getirilmeleri.

i) Sistem gvenlik ayarlarna ve kontrollerine ilikin deiiklikler veya deiiklik giriimleri.

j) Sistem yneticileri tarafndan yaplan ilemler.

k) Kullanc veya sistem programlar tarafndan rapor edilen bilgi ilem ve haberleme sistemlerine ilikin hatalar.

(2) Sistem yneticilerinin kendi ilemlerine ilikin kayt dosyalarn silmelerini veya deitirmelerini engelleyecek nlemler alnr.

(3) Kayt dosyalar deiiklie ve yetkisiz eriime kar korunur.

Kritik sistemlerde kullanc eriim ynetimi

MADDE 30 (1) letmeci, kritik sistemlerde kullanclarn, kendileri ile ilikilendirilebilecek ve yaptklar ilemlerden sorumlu olmalarn salayacak nitelikte ayrt edilebilir ve esiz kullanc ad kullanmalarn salar.

(2) Kullanclara verilen eriim yetkisinin kapsam, ilgili iin amalarndan daha geni olamaz.

(3) Bir hizmeti kullanmaya veya bir sisteme erimeye yetkili tm kullanc adlarnn kayd tutulur.

(4) Eriim yetkileriyle ilgili imtiyazlar, yalnzca gerekli durumlarda verilir. Eriim yetkileriyle ilgili imtiyazlarn kullanlmas durumunda;

a) letim sistemi, veritaban ynetim sistemi ve uygulamalar gibi her bir sistem eleman iin eriim imtiyazlarnn verilmesi gerekli olan kullanclar tanmlanr,

b) Eriim imtiyazlar devreye alnmadan nce onaylanr ve tannan imtiyazlarn kayd tutulur,

c) Eriim imtiyazlar, ilgili kiiye, mmkn olduu lde ksa sre iin ve normalde kullandklar kullanc adndan farkl bir kullanc adyla tanmlanr.

Parola ynetimi

MADDE 31 (1) letmeci, kritik sistemlerde kullanlan kullanc parolalar ile ilgili olarak aadaki hususlar uygular:

a) Parola atanmas, mevcut parolann deitirilmesi veya geici parola alnmas gibi durumlarda kimlik dorulamas yaplmas,

b) Kullanclarn belirledikleri parolalar belirli aralklarla deitirmeleri, fiziksel ve elektronik ortamda korunmasz olarak bulundurmamalar ve eski parolalar belirli sre yeniden kullanmamalar,

c) Sistem ve yazlmlarn tedarikileri tarafndan atanm olan varsaylan parolalarnn, kurulumun ardndan derhal deitirilmesi.

(2) Bu maddede belirtilen gvenlik gereksinimlerini karlamas artyla kullanc parolalar yerine biyometrik dorulama, akll kart gibi sistemler de kullanlabilir.

Gizlilik szlemeleri

MADDE 32 (1) letmeci, alanlaryla ve mal veya hizmet al veriinde bulunduu nc taraflarla yapaca szlemelerde gizlilik hkmlerine yer verir ve imzalanan szlemeleri muhafaza eder.

(2) Gizlilik hkmleri veya szlemeleri asgari olarak aadaki hususlar ierir:

a) Gizli veya korunmas amalanan bilginin tanm.

b) Szlemenin geerlilik sresi.

c) Szleme artlarnn ihlali halinde tesis edilecek ilemler.

) mzalayan taraflarn sorumluluklar.

d) Gizli bilginin kullanlabilecei durumlar ve szlemeyi imzalayanlarn gizli bilginin kullanlmasna ilikin haklar.

(3) letmecinin, alanlaryla ve mal veya hizmet al veriinde bulunduu nc taraflarla yapt szlemeler bu Ynetmelik kapsamndaki ykmllklerine ilikin sorumluluunu ortadan kaldrmaz.

Sistem ve yazlm temini veya gelitirilmesi

MADDE 33 (1) letmeci, temin edecei veya gelitirecei bilgi sistemleri ve yazlmlar iin uygun gvenlik gereksinimleri belirler ve uygular.

Bakm ve onarm

MADDE 34 (1) letmeci, gerekleen arza ve hatalar ile yaplan dzeltici ve nleyici bakm ve onarm faaliyetlerini kayt altna alr.

(2) Bakm ve onarm faaliyetlerinin nc taraflarca yapld durumlarda kritik sistemlerin bulunduu alanlara eriim izni verilen nc taraf alanlarnn giri - k tarihi ve saati ile sz konusu alanlar tarafndan yaplan ilemler izlenir ve kayt altna alnr.

(3) Kurulu dnda bakm onarm faaliyetlerinin yaplmas durumunda sistem ve ekipmanlarda yer alan kritik bilgilerin korunmasna ynelik nlemler alnr.

DRDNC BLM

ebeke ve Bilgi Gvenliinin Salanmasna likin lave Ykmllkler

Siber saldrlara ynelik tedbirler

MADDE 35 (1) letmeciler, bnyelerinde SOME kurar ve ulusal siber gvenliin salanmasna ilikin USOMun ve Kurum bnyesinde kurulan sektrel SOMEnin koordinesinde ve belirledii esaslar erevesinde gerekli tedbirleri alr.

(2) letmeci, sunucular, ynlendiriciler ve dier ebeke elemanlarnn Dos/Ddos saldrlar, zararl yazlm yaylmas gibi siber saldrlara kar korunmas amacyla, elektronik haberleme hizmetinin tipi de dikkate alnarak, IP adreslerinde, haberleme portlarnda ve uygulama protokollerinde; sinyal ileme kontrol, kullanc dorulama ve eriim kontrolleri gibi mekanizmalar kurar ve talep edilmesi halinde siber saldrlara kar koruma hizmeti sunar.

(3) letmeciler Dos/Ddos saldrlar, zararl yazlm yaylmas ve benzeri siber saldrlara kar, USOMun koordinesinde gerekli tm tedbirleri almakla ykmldr.

(4) letmeci, USOM tarafndan bildirilen siber saldr kaynann;

a) Kendi abonesi olmas durumunda ilgili abonenin bilgilendirilmesi ve abone tarafndan talep edilmesi halinde sunulan elektronik haberleme hizmetinin askya alnmasn salar. letmeci tarafndan aboneye yaplan bildirim ve bildirim tr USOMa bildirilir.

b) Baka bir iletmecinin abonesi olmas durumunda, gerekli nlemlerin alnmas iin ilgili iletmecinin ve USOMun bilgilendirilmesini salar.

Belgelendirme ykmll

MADDE 36 (1) letmeci, yetkilendirmesine ilikin tm hizmetleri ve kritik sistemleri kapsayacak ekilde kurduu BGYS iin belgelendirme kurulularndan uygunluk belgesi alr ve Kuruma gnderir.

(2) lk defa belgelendirme ykmllne tabi olan iletmeci ykmllk durumunun deitii yln sonundan itibaren bir yl iinde uygunluk belgesi alr ve Kuruma gnderir.

(3) Birinci ve ikinci fkralar gereince uygunluk belgesi alm iletmeci, uygunluk belgesinin yenilenmesi, kapsamnda deiiklikler yaplmas gibi durumlarda, deiiklikten itibaren en ge iki ay ierisinde Kuruma bilgi vermekle ykmldr.

Rapor hazrlama ykmll

MADDE 37 (1) ebeke ve bilgi gvenliine ilikin rapor iletmeci tarafndan her yl Mart ay sonuna kadar hazrlanr ve istenildiinde Kuruma gnderilmek ve/veya Kurum tarafndan yaplan denetimlerde ibraz edilmek zere 5 yl sreyle muhafaza edilir. Sz konusu rapor asgari olarak aadaki hususlar ierir:

a) 10 uncu madde kapsamnda yaplan risk deerlendirme ve ileme metotlar ve bu metotlara gre yaplan ilemlerin ayrntlar.

b) 11 inci madde kapsamnda yaplan i sreklilii planlar.

c) 12 nci madde kapsamnda gerekleen bilgi gvenlii ihlal olaylarna ilikin bilgiler.

) En son yaplan i denetimler ile belgelendirme kuruluu tarafndan yaplan son denetimin sonular, rapor edilen bilgi gvenlii ihlalleri ve sz konusu ihlallere ilikin yaplan faaliyetler.

d) ebeke ve bilgi gvenliinin salanmasna ynelik yaplan yatrmlar ve yatrm tutarlar.

e) ebeke ve bilgi gvenliinin salanmasna ynelik istihdam edilen personel says ve nitelii.

hlallerin bildirilmesi ykmll

MADDE 38 (1) letmeci abonelerinin %5inden fazlasn etkileyen ebeke ve bilgi gvenlii ihlallerini ve i srekliliini kesintiye uratan olaylar, en ksa srede Kuruma bildirir. Sz konusu bildirim asgari olarak; olayn gerekleme zamann, niteliini, etkisini, sresini ve alnan nlemleri ierir.

Felaket kurtarma merkezi

MADDE 39 (1) letmeci bir felaket, arza veya hata durumunda sunulan elektronik haberleme hizmetinin srekliliinin veya zamannda kurtarlmasnn salanmas iin, ilgili bilgi sistemlerinin ve merkezi ebeke ynetim sistemlerinin bulunduu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklkta felaket kurtarma merkezi kurar veya kurulu felaket kurtarma merkezlerinden hizmet satn alr.

(2) Felaket kurtarma merkezi kurma ykmllne tabi olan iletmeci, ykmllk durumunun deitii yln sonundan itibaren iki yl ierisinde felaket kurtarma merkezi kurar.

BENC BLM

eitli ve Son Hkmler

Denetim

MADDE 40 (1) Kurum, iletmecilerin bu Ynetmelikte belirtilen ykmllklerini yerine getirip getirmediini resen veya ikyet zerine denetler veya denetlettirir.

Yrrlkten kaldrlan ynetmelik

MADDE 41 (1) 20/7/2008 tarihli ve 26942 sayl Resm Gazetede yaymlanan Elektronik Haberleme Gvenlii Ynetmelii yrrlkten kaldrlmtr.

(2) 20/7/2008 tarihli ve 26942 sayl Resm Gazetede yaymlanan Elektronik Haberleme Gvenlii Ynetmeliine yaplan atflar bu Ynetmelie yaplm saylr.

Yrrlk

MADDE 42 (1) Bu Ynetmelik yaym tarihinde yrrle girer.

Yrtme

MADDE 43 (1) Bu Ynetmelik hkmlerini Bilgi Teknolojileri ve letiim Kurulu Bakan yrtr.