|
Bilgi Teknolojileri ve Ýletiþim Kurumundan:
ELEKTRONÝK HABERLEÞME SEKTÖRÜNDE ÞEBEKE VE
BÝLGÝ GÜVENLÝÐÝ YÖNETMELÝÐÝ
BÝRÝNCÝ BÖLÜM
Amaç, Kapsam, Dayanak, Tanýmlar ve Kýsaltmalar
Amaç ve kapsam
MADDE 1 – (1) Bu Yönetmeliðin amacý, þebeke ve bilgi güvenliðinin saðlanmasýna yönelik olarak iþletmecilerin uyacaklarý usul ve esaslarý düzenlemektir.
(2) Kiþisel verilerin iþlenmesi ve gizliliðinin korunmasý, bu Yönetmelik kapsamý dýþýndadýr.
Dayanak
MADDE 2 – (1) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayýlý Elektronik Haberleþme Kanununun 4 üncü maddesinin birinci fýkrasýnýn (l) bendi, 6 ncý maddesinin birinci
fýkrasýnýn (n), (þ) ve (v)
bentlerine, 12 nci maddesinin ikinci fýkrasýnýn (i) ve (j) bentlerine ve 60 ýncý maddesinin birinci fýkrasýna dayanýlarak hazýrlanmýþtýr.
Tanýmlar ve kýsaltmalar
MADDE 3 – (1) Bu Yönetmelikte geçen;
a)
Belgelendirme kuruluþu: TS ISO/IEC 27001 veya ISO/IEC 27001 standardýna göre belgelendirme yapmak üzere akredite edilmiþ kurum veya kuruluþu,
b) BGYS
standardý: TS ISO/IEC 27001 veya ISO/IEC 27001 standardýný,
c) Bilgi güvenliði yönetim sistemi (BGYS): Bilginin gizliliðini, bütünlüðünü ve eriþilebilirliðini saðlamak üzere sistemli,
kurallarý koyulmuþ, planlý, yönetilebilir, sürdürülebilir, dokümante edilmiþ, iþletmecinin yönetimince kabul görmüþ ve uluslararasý güvenlik standartlarýnýn temel alýndýðý faaliyetler bütününü,
ç) Bilgi sistemi: Ýþletim
sistemlerinin, veritabanlarýnýn, sunucularýn, altyapýnýn, iþ uygulamalarýnýn, kullanýma hazýr ürünlerin, donanýmlarýn, yazýlýmlarýn ve hizmetlerin tamamýný,
d) Bütünlük: Varlýklarýn doðruluðunu ve tamlýðýný koruma özelliðini,
e) Donaným: Elektronik haberleþme altyapýsý, bilgisayarlar, veri kaydetmek için kullanýlan taþýnabilir veya sabit diskleri,
f) Dos: Hizmet dýþý býrakmayý,
g) Ddos: Daðýtýk hizmet dýþý býrakmayý,
ð) Eriþilebilirlik:
Yetkili bir varlýk tarafýndan talep edildiðinde eriþilebilir ve kullanýlabilir olma özelliðini,
h) Gizlilik:
Bilginin yetkisiz kiþiler, varlýklar ya da süreçler tarafýndan eriþilememesini, kullanýlamamasýný, deðiþtirilmemesini, depolanmamasýný, baþka bir ortama kaydedilmemesini veya ifþa edilmemesini,
ý) IP adresi: Ýnternet protokol
adresini,
i) Ýþletmeci: Yetkilendirme çerçevesinde elektronik haberleþme hizmeti sunan
ve/veya elektronik haberleþme þebekesi saðlayan ve alt yapýsýný iþleten þirketi,
j) Köle bilgisayar: Herhangi bir amaçla kullanýlmak üzere, zararlý yazýlýmlar veya kötü niyetli kiþiler tarafýndan uzaktan yönetilen internete baðlý bilgisayarý,
k) Kritik
bilgi: Deðiþtirilmesi, bozulmasý, kaybolmasý, kötüye kullanýlmasý veya yetkisiz bir þekilde ifþa edilmesi
durumunda þebeke ve bilgi güvenliði açýsýndan zararlara yol açacak bilgiyi,
l) Kritik
sistem: Ýþletmecinin kontrolü altýnda yer alan elektronik haberleþme altyapýsý ile iþlevselliðinin bozulmasý halinde veya maruz kalacaðý etkiler neticesinde þebeke ve bilgi güvenliðini zafiyete uðratabilecek sistemleri,
m) Kurul: Bilgi
Teknolojileri ve Ýletiþim Kurulunu,
n) Kurum: Bilgi
Teknolojileri ve Ýletiþim Kurumunu,
o) Risk deðerlendirme: Risklerin analizi, seviyelerinin tanýmlanmasý, derecelendirilmesi ve tahmin edilmesi ile kabul
edilebilir risk seviyesinin belirlenmesini,
ö) Risk iþleme: Riski
azaltmaya yönelik önlemlerin seçilmesi ve uygulanmasý ile kabul edilen risklerin gerekçelerinin belirlenmesini,
p) Risk temelli
deðerlendirme: Abone sayýsý, yýllýk net satýþ, müþteri beklentileri, yasal ve düzenleyici yükümlülükler, hizmet verilen yerleþim alanlarý, iþletilen altyapýnýn kritikliði veya büyüklüðü gibi kriterler dikkate alýnarak Kurum tarafýndan yapýlan deðerlendirmeyi,
r) Siber Güvenlik Kurulu: 5/11/2008 tarihli ve 5809
sayýlý Elektronik Haberleþme Kanununun EK 1
inci maddesinin birinci fýkrasý kapsamýnda kurulan
kurulu,
s) SOME: Siber
olaylara müdahale ekibini,
þ) USOM: 20/6/2013 tarihli
ve 28683 sayýlý Resmî Gazete’de yayýmlanan 2013/4890 sayýlý Bakanlar Kurulu Kararý’nýn ekinde yer alan Ulusal Siber Güvenlik Stratejisi
ve 2013-2014 Eylem Planý’nýn 4 üncü maddesi gereðince kurulan
ulusal siber olaylara müdahale merkezini,
t) Varlýk: Ýþletmeci için deðeri olan herhangi bir þeyi,
ifade eder.
(2) Bu Yönetmelikte geçen ve birinci fýkrada yer almayan
tanýmlar için ilgili
mevzuatta yer alan tanýmlar geçerlidir.
ÝKÝNCÝ BÖLÜM
Genel Hükümler
Ýlkeler
MADDE 4 – (1) Bu Yönetmeliðin uygulanmasýnda aþaðýda belirtilen temel ilkeler gözetilir:
a) Ýþletmecilerin yükümlülüklerinin belirlenmesinde, þebeke ve bilgi güvenliðinin saðlanmasýna yönelik tedbirlerin tespitinde ve uygulanmasýnda mümkün olduðu ölçüde risk temelli deðerlendirmelerin
yapýlmasý.
b) Tüketici haklarýnýn korunmasý.
c) Hizmet
kalitesinin yükseltilmesi.
ç) Ulusal düzenleme ile ulusal
ve/veya uluslararasý standartlarýn dikkate alýnmasý.
d) Güvenlik ile kullanýlabilirlik arasýnda denge kurulmasý.
e) Azami ölçüde milli kaynaklarýn kullanýlmasý.
Ýþletmecilerin yükümlülükleri
MADDE 5 – (1) Ýþletmeciler þebeke ve bilgi güvenliði ile ilgili
olarak üçüncü bölümde yer alan hükümler kapsamýnda temel tedbirleri almakla yükümlüdür.
(2) Aþaðýdaki yetkilendirme tiplerine sahip iþletmecilerden yýllýk net satýþlarý Kurul Kararý ile belirlenen deðer ve üzerinde olanlar, birinci fýkrada belirtilen yükümlülüklerin yaný sýra, dördüncü bölümdeki hükümler kapsamýnda þebeke ve bilgi güvenliðinin saðlanmasýna iliþkin ilave tedbirleri almakla yükümlüdür.
a) Altyapý iþletmeciliði hizmeti.
b) Çeþitli telekomünikasyon
hizmetleri (imtiyaz sözleþmesi).
c) GMPCS mobil
telefon hizmeti.
ç) GSM/IMT-2000/UMTS (imtiyaz sözleþmesi).
d) Hava taþýtlarýnda GSM 1800 mobil telefon hizmeti.
e) Ýnternet servis saðlayýcýlýðý.
f) Sabit
telefon hizmeti.
g) Sanal mobil þebeke hizmeti.
ð) Uydu haberleþme hizmeti.
h) Uydu ve
kablo tv hizmetleri (görev sözleþmesi).
(3) Kurul
gerekli görmesi halinde iþletmecilerin
ilgili yükümlülüklerinde farklýlaþtýrma yapabilir.
ÜÇÜNCÜ BÖLÜM
Þebeke ve Bilgi Güvenliðinin Saðlanmasýna Ýliþkin Temel Yükümlülükler
BGYS’nin kurulmasý, kapsamý ve yönetimi
MADDE 6 – (1) Ýþletmeci,
yetkilendirmesine iliþkin tüm hizmetleri ve
kritik sistemleri kapsayacak þekilde BGYS kurar.
(2) Ýþletmeci BGYS’nin
kurulmasý, uygulanmasý ve sürekliliðinin saðlanmasý amacýyla bir yönetim mekanizmasý iþletir.
BGYS politikasý
MADDE 7 – (1) Ýþletmeci, yönetimi tarafýndan onaylanmýþ bir bilgi güvenliði yönetim sistemi politikasý tanýmlar, dokümante
eder, tüm çalýþanlarýnýn ve ilgili taraflarýn söz konusu politikaya iliþkin farkýndalýðýný
saðlar.
(2) Bilgi güvenliði yönetim sistemi politikasý asgari olarak aþaðýdaki hususlarý içerir:
a) Ýþletmeci açýsýndan bilgi güvenliðinin tanýmý, genel amaçlarý ve kapsamý.
b) Yönetimin bilgi güvenliði hedeflerinin
yerine getirilmesi ve ilgili faaliyetlerin desteklenmesine iliþkin taahhüdü.
c) Risk deðerlendirmesine iliþkin esaslarý.
ç) Varlýklarýn sýnýflandýrýlmasý.
d) Uygulanan güvenlik politikalarý, prosedürleri,
kurallarý, prensipleri ve standartlarý hakkýnda genel bilgileri.
Bilgi güvenliði grubu ve faaliyetleri
MADDE 8 – (1) Bilgi güvenliði faaliyetleri, iþletmecinin yönetimi tarafýndan yetkilendirilmiþ temsilcilerin katýlýmýyla oluþturulan bir grup
marifetiyle veya iþletmecinin kaynaklarýnýn elvermediði durumlarda bir yönetici tarafýndan koordine edilir.
(2) Bilgi güvenliði grubu faaliyetleri aþaðýdaki hususlarý kapsar:
a)
Faaliyetlerin, BGYS politikasýna uygun olarak yürütülmesinin saðlanmasý.
b) BGYS
politikasýna iliþkin
uygunsuzluklarda yapýlacak iþlemlerin tanýmlanmasý.
c) Bilgi güvenliðine iliþkin metot ve prosedürlerin
onaylanmasý.
ç) Bilgiye ve bilgi sistemlerine yönelik tehditlerin ve açýklarýn belirlenerek çözüm yollarýnýn tanýmlanmasý.
d) Bilgi güvenliðinin saðlanmasý amacýyla alýnan tedbirlerin
uygulanmasý ve yeterliliðinin deðerlendirilmesi.
e) Bilgi güvenliði farkýndalýðýnýn
artýrýlmasýna yönelik eðitimlerin ve çalýþmalarýn planlanmasý ve uygulanmasý.
f) Bilgi güvenliði olaylarýnýn izlenmesi ve gözden geçirilmesi sonucunda
elde edilen verilerin deðerlendirilmesi ve uygun önlem ve faaliyetlerin belirlenmesi.
g) BGYS dokümanlarýnýn güncel þekilde tutulmasý.
Varlýk yönetimi sýnýflandýrmasý
MADDE 9 – (1) Ýþletmeci, sahip olduðu varlýklarý ve bu varlýklarýn sorumlularýný dokümante
ederek bir varlýk envanteri oluþturur. Birçok varlýðýn belirli bir fonksiyonu yerine getirmek üzere birlikte kullanýldýðý karmaþýk bilgi
sistemleri tek bir varlýk olarak kabul edilebilir.
(2) Varlýk envanteri asgari olarak varlýðýn adý, tipi, yeri, yedekleme bilgisi, kuruluþ açýsýndan deðeri, varlýk sorumlusu ve varsa lisans veya kimlik bilgisini içerir. Mevzuata uyum ve Kuruma karþý sorumluluk, varlýk sorumlusundan baðýmsýz olarak iþletmeciye aittir.
(3) Ýþletmeci, bilgi güvenliði ihtiyaçlarýný karþýlayacak þekilde varlýklarýnýn gizlilik sýnýfýný; kritiklik derecesi, yasal gereksinimler ve
verinin hassasiyeti kriterlerine göre belirleyerek varlýklarýný uygun biçimde etiketler.
(4) Her bir
gizlilik sýnýfý için eriþim, kullaným, depolama, iletim, imha, paylaþým ve daðýtým kurallarý iþletmeci tarafýndan belirlenir.
(5) Varlýk envanteri yazýlým, donaným, personel gibi
envanteri oluþturan varlýklarda deðiþiklik olmasý durumunda güncellenir.
Risk deðerlendirme
ve iþleme
MADDE 10 – (1) Ýþletmeci, bilgi güvenliðine iliþkin tehditlerin
tanýmlanmasýný, söz konusu tehditlerin gerçekleþme olasýlýklarýný ve oluþturabilecekleri
olumsuz sonuçlarý niteleyen ve risklerin sýnýflandýrýlmasýný içerecek þekilde yýlda en az bir defa risk deðerlendirmesi
yapar.
(2) Risk deðerlendirmesi sonuçlarý dikkate alýnarak risklerin
kabul edilme kriterleri tanýmlanýr.
(3) Tüm riskler için bir risk iþleme kararý alýnýr. Risk iþleme kararý,
a) Riskin azaltýlmasýna yönelik tedbirlerin uygulanmasý,
b) Belirlenen
kabul edilme kriterleri çerçevesinde riskin kabul edilmesi,
c) Riskin oluþmasýna neden olan faaliyetlerin durdurularak riskten kaçýnýlmasý,
ç) Riskin sigorta, sözleþme ve anlaþma gibi yöntemlerle diðer ilgili taraflara aktarýlmasý
þeklinde olur.
(4) Risk deðerlendirme ve iþleme metotlarý dokümante edilir ve bu
metotlara göre yapýlan iþlemler kayýt altýna alýnýr.
Ýþ sürekliliði
MADDE 11 – (1) Ýþletmeci,
yetkilendirmesine iliþkin tüm hizmetlerin ve
kritik sistemlerin doðal afetler, çevresel tehditler,
kazalar, donaným arýzalarý, kasti eylemler
veya siber saldýrýlar sonucunda kesintiye uðramasýný önlemek ve sahip olduðu varlýklarda oluþabilecek kayýplarý en aza indirmek amacýyla iþ sürekliliði planlarý yapar ve uygular.
(2) Planlarda
asgari olarak; iþ süreçlerini kesintiye uðratabilecek
olaylarýn tanýmlarý, söz konusu olaylarýn gerçekleþmesi durumunda yapýlacak faaliyetler,
her bir faaliyetten sorumlu personel, planýn devreye alýnmasý için gerekli koþullar, plan kapsamýnda kullanýlacak ekipman ve malzeme
yer alýr.
(3) Planlar
tatbikat, simülasyon
gibi tekniklerle her yýl test edilir ve test sonuçlarý kayýt altýna alýnýr. Test sonuçlarýna göre ya da planlarý etkileyebilecek
yazýlým, donaným, personel deðiþiklikleri gibi durumlarda iþ sürekliliði planlarý güncellenir.
Bilgi güvenliði ihlal olaylarýnýn ve güvenlik açýklarýnýn yönetimi
MADDE 12 – (1) Bilgi güvenliði ihlal olaylarýnýn ve güvenlik açýklarýnýn mümkün olduðunca kýsa sürede raporlanmasýný saðlamak üzere bir raporlama
ve geri bildirim mekanizmasý kurulur.
(2) Hazýrlanacak raporlar asgaride, olayýn gerçekleþme zamanýný, niteliðini ve olaydan etkilenen varlýklarýn neler olduðunu kapsar.
(3) Raporlanan
bilgi güvenliði olaylarýna en kýsa sürede müdahale edilerek
ihlal ve güvenlik açýklarýnýn giderilmesi amacýyla yapýlmasý gereken iþlemleri ve bu iþlemlerin sorumlularýný içeren prosedürler tanýmlanýr.
(4) Gerçekleþen bilgi güvenliði ihlal olaylarýna iliþkin bilgiler kayýt altýna alýnýr, deðerlendirilir ve BGYS’nin geliþtirilmesi amacýyla yapýlan çalýþmalarda girdi olarak kullanýlýr.
Ýç denetim
MADDE 13 – (1) Ýþletmeci bu Yönetmelikte belirtilen yükümlülüklerini yerine getirmek amacýyla yaptýðý faaliyetleri ve iþletmekte olduðu BGYS’yi
iki yýlda en az bir defa iç denetim yaparak
denetler veya bu hizmeti veren taraflara denetlettirir. Ýç denetimlerde denetçilerin kendi çalýþmalarýný denetlememeleri saðlanýr.
(2) Ýþletmeci tespit edilen uygunsuzluklarla ilgili gerekli düzeltici ve önleyici faaliyetleri yerine getirir. Denetim sonuçlarý ve yapýlan düzeltici ve önleyici faaliyetler kayýt altýna alýnýr.
Personel ve istihdam
MADDE 14 – (1) Ýþletmeci istihdam
ettiði personelin, yetkilendirme kapsamýnda sunulan hizmetlere iliþkin þebeke ve bilgi güvenliðine, milli güvenliðe ve kamu düzenine aykýrý davranýþta bulunmamasý için her türlü önlemi alýr.
(2) Ýstihdam edilecek personel hakkýnda adli sicil
kaydý belgesi istenir, muhafaza edilir ve ilgili
personelin görevlendirilmesinde dikkate alýnýr.
(3) Bilgi güvenliðine iliþkin rol ve
sorumluluklar, istihdam edilen personele iþe alým sürecinde açýk bir þekilde ifade edilir ve imzalattýrýlarak muhafaza edilir.
(4) Ýstihdamýn sonlandýrýlmasýnda veya görev deðiþikliklerinde; varlýklarýn iadesi ve eriþim haklarýnýn kaldýrýlmasý veya güncellenmesi iþlemlerine iliþkin, asgari olarak aþaðýdaki hususlarý içeren bir prosedür oluþturulur, dokümante
edilir ve uygulanýr:
a) Ýlgililere istihdam sonlandýrýlmasýnda veya görev deðiþikliði sonrasýnda da devam eden
bilgi güvenliðine iliþkin sorumluluklarý ve yükümlülükleri.
b) Ýlgililerin iþletmeci tarafýndan kendilerine söz konusu görevle ilgili tahsis edilmiþ olan ekipman, yazýlým, doküman, mobil
cihazlar, kredi kartlarý ve eriþim kartlarý da dahil olmak üzere tüm varlýklarý iade etmesi ve kendilerine tanýmlanmýþ eriþim haklarýnýn, üyeliklerin, kullanýcý hesaplarýnýn kaldýrýlmasý.
c) Ýlgililerin kendi mülkiyetlerinde bulunan ekipman
kullanmalarý durumunda iþletmeciyle ilgili
tüm bilgilerin iadesi ve güvenli bir þekilde silinmesi.
Disiplin prosedürü
MADDE 15 – (1) Ýþletmeci, þebeke ve bilgi güvenliðine iliþkin
kurallarýn ihlal edilmesi durumunda, ilgililere yaptýrým uygulanmasýný saðlamak üzere bir disiplin
prosedürü oluþturur, dokümante eder ve tüm personelin konu ile ilgili farkýndalýðýný saðlar.
Eðitim
MADDE 16 – (1) Personelin, konusunda yeterliliðe sahip ve gerekli eðitimleri almýþ olmasý, alýnan eðitimlerin
personelin rol ve sorumluluklarýna uygun olmasý esastýr.
(2) Tüm personelin iki yýlda en az bir defa, bilgi güvenliði farkýndalýk eðitimi almasý saðlanýr.
(3) Personelin
aldýðý eðitimlere iliþkin kayýtlar muhafaza edilir.
Fiziksel eriþim
MADDE 17 – (1) Ýþletmeci, bina ve
tesislerinde, yetkisiz eriþime ve istenmeyen fiziksel etkilere karþý gerekli tedbirleri alýr.
(2) Kritik
sistemlerin bulunduðu alanlara giriþ ve eriþim yetkisi sadece yetkili kiþilerle sýnýrlandýrýlýr, bu yetkiler düzenli olarak gözden geçirilerek güncellenir ve
gerekli deðilse iptal edilir. Kritik sistemlerin bulunduðu alanlara giriþ ve çýkýþ bilgileri takip edilir ve kayýt altýna alýnýr. Söz konusu kayýtlar en az 2 yýl süreyle muhafaza edilir.
(3) Ziyaretçi giriþ ve çýkýþlarýnda gerekli kontroller yapýlarak, tarih, saat ve kimlik gibi bilgiler kaydedilir. Ziyaretçilere yalnýzca ziyaret amacýna uygun giriþ ve eriþim yetkileri verilir. Gerekli durumlarda iþletmeci personelinin refakati saðlanýr.
(4) Teslimat
alanlarý, yükleme alanlarý veya depo gibi üçüncü taraflarýn bina ve
tesislere giriþinin söz konusu olabileceði alanlar, kritik sistemlerin bulunduðu alanlardan ayrýlýr.
(5) Elektronik
haberleþme altyapýsýný içeren bina, kule, dolap ve kutu gibi güvenlik riski oluþturabilecek altyapý bileþenlerine eriþim kontrol altýnda tutulur ve bu
bileþenler yetkisiz kiþilerin kolaylýkla eriþim saðlayamayacaðý þekilde tesis edilir.
Çevresel tehditlere karþý korunma
MADDE 18 – (1) Ýþletmeci; yangýn, su baskýný, deprem, yýldýrým, patlama ve diðer çevresel tehditlere karþý gerekli önlemleri alýr.
(2) Ýþletmeci, bilgi sistemlerine gelen haberleþme ve elektrik hatlarýnýn mümkün olduðunca yer altýnda olmasýný veya kesinti ve zarar görmesini engelleyecek þekilde korunmasýný saðlar.
Ekipman ve çalýþma ortamý güvenliði
MADDE 19 – (1) Ýþletmeci kullandýðý ekipmanýn;
çevresel tehditler, elektrik, su, kanalizasyon,
iklimlendirme ve havalandýrma sistemleri gibi destek sistemlerinin fonksiyon
kaybý veya eksikliklerinden kaynaklanabilecek olumsuz
etkilere ve yetkisiz eriþime karþý korunmasý amacýyla gerekli tedbirleri alýr.
Elektronik ortam yönetimi
MADDE 20 – (1) Ýþletmeci
elektronik ortamda tutulan bilgilerin yetkisiz olarak eriþilmesine, bu bilgilerin yetkisiz olarak deðiþtirilmesine, silinmesine ve zarar görmesine karþý gerekli önlemleri alýr.
(2) Kullanýmdan kaldýrýlmasý veya baþka amaçlarla yeniden kullanýlmasý planlanan ekipmanda veya
elektronik ortamda yer alan kritik bilgilerin yedekleri ile birlikte geri döndürülemez þekilde silinmesi
saðlanýr. Silme iþleminin mümkün olmamasý durumunda söz konusu bilgi depolayan parçalar kullanýlamaz hale getirilir.
(3) Taþýnabilir ortamlardan veya mobil cihazlardan kaynaklanabilecek güvenlik zafiyetlerine yönelik tedbirler
belirlenir; söz konusu ortam ve cihazlarda yer alan kritik
bilgilerin yetkisiz eriþim, deðiþtirme ve ifþa edilmeye karþý korunmasý amacýyla önlemler alýnýr ve çalýþanlarýn bunlara uymalarý saðlanýr.
(4) Kritik
bilgiler içeren dokümanlar veya sayýsal kayýtlarý içeren ortamlar kullanýmda olmadýklarý zamanlarda kilitli dolaplarda veya þifre korumasý altýnda tutulur.
Þebeke güvenliði
MADDE 21 – (1) Ýþletmeciler, þebekelerinin tehditlerden korunmasý ve þebekeleri kullanan sistem ve uygulamalarýn güvenliðinin saðlanmasý amacýyla gerekli önlemleri alýr.
Aboneye yönelik
tedbirler
MADDE 22 – (1) Ýþletmeci,
kendisine tahsisli bir IP adresi kullanýlarak þebekesine dýþarýdan paket gönderilmesini engellemeye
yönelik gerekli önlemleri alýr.
(2) Ýþletmeci, abonelerinin kendisine atanmamýþ bir IP adresi kullanarak paket göndermelerini
engellemeye yönelik gerekli önlemleri alýr.
(3) Ýþletmeci, abonelerini bilinçlendirmek ve
gerekli önlemlerin alýnmasýný saðlamak amacýyla zararlý yazýlýmlar, köle bilgisayar aðlarý ve muhtemel siber tehditler ile ilgili olarak
bilgilendirir.
Deðiþim yönetimi
MADDE 23 – (1) Ýþletmeci sahip olduðu kritik sistemlere iliþkin tesis, ekipman, yazýlým ve prosedürlerde deðiþiklik yapýlmasýnýn söz konusu olduðu durumlarda
uygulanmak üzere gerekli kurallarý belirler.
(2) Söz konusu kurallar asgari olarak aþaðýdaki hususlarý içerir:
a) Deðiþikliklerin tanýmlanmasý ve kayýt altýna alýnmasý.
b) Deðiþikliklerin planlanmasý ve test edilmesi.
c) Deðiþikliklerin etkilerinin analiz edilmesi.
ç) Önerilen deðiþikliklerin onaylanmasý.
d) Deðiþikliklerin yetkili kullanýcýlar tarafýndan yapýlmasýnýn saðlanmasý.
e) Deðiþikliðe iliþkin bilgilerin
ilgililere bildirilmesi.
f) Baþarýsýz deðiþikliklerle ve öngörülemeyen sonuçlarla karþýlaþýlmasý durumunda yapýlacak iþlemleri.
Görevlerin ve ortamlarýn ayrýlmasý
MADDE 24 – (1) Ýþletmeci, kritik
sistemlere yetkisiz eriþimin, bu sistemler üzerinde yetkisiz
deðiþiklik yapýlmasýnýn veya bu sistemlerin yetkisiz kullanýmýnýn önüne geçilmesi amacýyla;
a) Kritik
sistemlerde yapýlacak iþlemlerin baþlatýlmasý ve onaylanmasý süreçlerini birbirinden ayýrýr,
b) Kritik
sistemlerde iþlemleri gerçekleþtiren kiþiler ile ilgili iþlemlerin kayýt dosyalarýný yöneten kiþileri ayrýþtýrýr,
c) Gerçek sistemleri, geliþtirme ve test ortamlarýndan ayýrýr,
ç) Yazýlýmlarýn geliþtirme ortamýndan gerçek ortama aktarýlmasýna iliþkin kurallarý tanýmlar ve dokümante
eder,
d) Gerekli
olmadýkça derleyici, editör ve diðer geliþtirme araçlarýnýn veya sistem araçlarýnýn gerçek sisteme eriþimine imkân vermez,
e) Geliþtirme ve test kullanýcýlarýnýn gerçek sistemlere eriþimine izin vermez, geliþtirme ve test
faaliyetlerinin test verisi üzerinden yapýlmasýný saðlar.
Sistem planlama ve kabulü
MADDE 25 – (1) Ýþletmeci, kapasite
ihtiyacýnýn karþýlanmasý amacýyla bilgi sistemlerinde kaynak kullanýmýnýn planlanmasýný yapar ve takip eder.
(2) Ýþletmeci, yeni bilgi sistemlerinin, sistem güncellemelerinin ve yeni sürümlerin, kullanýma alýnmadan önce mevcut sistemlere
ve güvenlik gereksinimlerine uygunluðunun test edilmesini saðlar.
Zararlý kodlara
karþý korunma
MADDE 26 – (1) Ýþletmeci, bilgi
sistemlerinde yer alan bilgilerin ve yazýlýmlarýn gizliliðinin, bütünlüðünün ve eriþilebilirliðinin korunmasý amacýyla bilgisayar virüsleri, solucanlar, truva atlarý gibi zararlý kodlara karþý gerekli önlemleri alýr.
(2) Ýþletmeci BGYS
politikasýna aykýrý ve lisanssýz yazýlým kullanýmýna izin verilmez.
(3) Dýþ aðlar aracýlýðýyla dosya veya yazýlým indirilmesi ve kullanýlmasýnda uygulanacak güvenlik önlemleri belirlenir.
Yedekleme
MADDE 27 – (1) Ýþletmeci, bir
felaket veya hata durumunda ihtiyaç duyulacak bilgi
ve yazýlýmlarýn kurtarýlmasýna imkân verecek þekilde yedek alýnmasýný saðlar.
(2) Ýþletmeci, yedeði alýnacak sistemleri ve bu sistemlere iliþkin yedekleme periyodunu, yedekleme türünü, saklama zamanýný iþ ihtiyaçlarýna ve yedeði alýnacak sistemlerin kritiklik seviyesine uygun olacak
þekilde belirler.
(3) Yedekleme iþlemlerinde aþaðýdaki hususlar yerine getirilir.
a) Yedek
kopyalarýn kaydý tutulur.
b) Yedekler gerçek bilgi ve yazýlýmlarýn bulunduðu yerleþkede meydana gelebilecek felaketlere maruz kalmayacak ve gerçek bilgi ve yazýlýmlarýn bulunduðu yerleþkeyle ayný riskleri taþýmayacak þekilde tutulur ve yedekler için gerçek bilgi ve yazýlýmlarla ayný düzeyde güvenlik önlemleri uygulanýr.
c) Yedekler
periyodik olarak test edilerek kullanýma hazýr halde tutulur.
Zaman senkronizasyonu
MADDE 28 – (1) Ýþletmeci, bünyesinde kullanýlan tüm bilgi
sistemlerinin belirlenen tutarlý bir zaman kaynaðýna göre ayarlanmasýný ve senkronize þekilde çalýþmalarýný saðlar.
Sistem kayýt
dosyalarýnýn
tutulmasý
MADDE 29 – (1) Ýþletmeci,
istenmeyen bilgi iþleme faaliyetlerinin önlenmesi ve bilgi
güvenliði ihlal olaylarýnýn tanýmlanmasý amacýyla kritik sistemleri izler ve asgari aþaðýdaki hususlarýn uygulanabilir
olanlarýný içeren kayýt dosyalarýný en az 2 yýl süreyle tutar:
a) Kullanýcý kimlikleri.
b) Oturum açma/kapatma, veri ekleme/silme/deðiþtirme gibi iþlemlerin tarihi, zamaný ve açýklamalarý.
c) Baðlantý saðlanan ekipmanýn kimliði ve yeri.
ç) Baþarýlý ve reddedilen sistem, veri ve diðer kaynaklara eriþim giriþimlerinin kayýtlarý.
d) Sistem
ayarlarýndaki deðiþiklikleri.
e) Kullanýlan özel izinleri ve ayrýcalýklarý.
f) Sistem araçlarýnýn ve uygulamalarýnýn kullanýmý.
g) Eriþilen dosyalar ve eriþimin tipi.
ð) Að adresleri.
h) Eriþim kontrol sistemi tarafýndan üretilen alarmlar.
ý) Anti virüs yazýlýmý, güvenlik duvarý gibi güvenlik sistemlerinin aktif ve pasif hale getirilmeleri.
i) Sistem güvenlik ayarlarýna ve kontrollerine iliþkin deðiþiklikler veya deðiþiklik giriþimleri.
j) Sistem yöneticileri tarafýndan yapýlan iþlemler.
k) Kullanýcý veya sistem programlarý tarafýndan rapor edilen bilgi iþlem ve haberleþme sistemlerine iliþkin hatalar.
(2) Sistem yöneticilerinin kendi iþlemlerine iliþkin kayýt dosyalarýný silmelerini veya deðiþtirmelerini engelleyecek önlemler alýnýr.
(3) Kayýt dosyalarý deðiþikliðe ve yetkisiz eriþime karþý korunur.
Kritik sistemlerde kullanýcý eriþim yönetimi
MADDE 30 – (1) Ýþletmeci, kritik
sistemlerde kullanýcýlarýn, kendileri ile iliþkilendirilebilecek
ve yaptýklarý iþlemlerden sorumlu olmalarýný saðlayacak nitelikte ayýrt edilebilir ve eþsiz kullanýcý adý kullanmalarýný saðlar.
(2) Kullanýcýlara verilen eriþim yetkisinin
kapsamý, ilgili iþin amaçlarýndan daha geniþ olamaz.
(3) Bir hizmeti
kullanmaya veya bir sisteme eriþmeye yetkili tüm kullanýcý adlarýnýn kaydý tutulur.
(4) Eriþim yetkileriyle ilgili imtiyazlar, yalnýzca gerekli durumlarda verilir. Eriþim yetkileriyle
ilgili imtiyazlarýn kullanýlmasý durumunda;
a) Ýþletim sistemi, veritabaný yönetim sistemi ve uygulamalar gibi her bir sistem elemaný için eriþim imtiyazlarýnýn verilmesi gerekli olan kullanýcýlar tanýmlanýr,
b) Eriþim imtiyazlarý devreye alýnmadan önce onaylanýr ve tanýnan imtiyazlarýn kaydý tutulur,
c) Eriþim imtiyazlarý, ilgili kiþiye, mümkün olduðu ölçüde kýsa süre için ve normalde kullandýklarý kullanýcý adýndan farklý bir kullanýcý adýyla tanýmlanýr.
Parola yönetimi
MADDE 31 – (1) Ýþletmeci, kritik sistemlerde
kullanýlan kullanýcý parolalarý ile ilgili olarak aþaðýdaki hususlarý uygular:
a) Parola
atanmasý, mevcut parolanýn deðiþtirilmesi veya geçici parola alýnmasý gibi durumlarda kimlik doðrulamasý yapýlmasý,
b) Kullanýcýlarýn belirledikleri parolalarý belirli aralýklarla deðiþtirmeleri, fiziksel ve elektronik ortamda korunmasýz olarak bulundurmamalarý ve eski parolalarý belirli süre yeniden kullanmamalarý,
c) Sistem ve
yazýlýmlarýn tedarikçileri tarafýndan atanmýþ olan varsayýlan parolalarýnýn, kurulumun ardýndan derhal deðiþtirilmesi.
(2) Bu maddede
belirtilen güvenlik gereksinimlerini karþýlamasý þartýyla kullanýcý parolalarý yerine biyometrik doðrulama, akýllý kart gibi sistemler de kullanýlabilir.
Gizlilik sözleþmeleri
MADDE 32 – (1) Ýþletmeci, çalýþanlarýyla ve mal veya
hizmet alýþ veriþinde bulunduðu üçüncü taraflarla yapacaðý sözleþmelerde gizlilik hükümlerine yer verir ve imzalanan sözleþmeleri muhafaza eder.
(2) Gizlilik hükümleri veya sözleþmeleri asgari olarak aþaðýdaki hususlarý içerir:
a) Gizli veya
korunmasý amaçlanan bilginin tanýmý.
b) Sözleþmenin geçerlilik süresi.
c) Sözleþme þartlarýnýn ihlali halinde tesis edilecek iþlemler.
ç) Ýmzalayan taraflarýn sorumluluklarý.
d) Gizli
bilginin kullanýlabileceði durumlar ve sözleþmeyi imzalayanlarýn gizli bilginin
kullanýlmasýna iliþkin haklarý.
(3) Ýþletmecinin, çalýþanlarýyla ve mal veya
hizmet alýþ veriþinde bulunduðu üçüncü taraflarla yaptýðý sözleþmeler bu Yönetmelik kapsamýndaki yükümlülüklerine iliþkin sorumluluðunu ortadan kaldýrmaz.
Sistem ve yazýlým temini veya geliþtirilmesi
MADDE 33 – (1) Ýþletmeci, temin
edeceði veya geliþtireceði bilgi sistemleri ve yazýlýmlar için uygun güvenlik
gereksinimleri belirler ve uygular.
Bakým ve onarým
MADDE 34 – (1) Ýþletmeci, gerçekleþen arýza ve hatalar ile
yapýlan düzeltici ve önleyici bakým ve onarým faaliyetlerini
kayýt altýna alýr.
(2) Bakým ve onarým faaliyetlerinin üçüncü taraflarca yapýldýðý durumlarda kritik sistemlerin bulunduðu alanlara eriþim izni verilen üçüncü taraf çalýþanlarýnýn giriþ - çýkýþ tarihi ve saati ile söz konusu çalýþanlar tarafýndan yapýlan iþlemler izlenir ve kayýt altýna alýnýr.
(3) Kuruluþ dýþýnda bakým onarým faaliyetlerinin yapýlmasý durumunda sistem ve ekipmanlarda
yer alan kritik bilgilerin korunmasýna yönelik önlemler alýnýr.
DÖRDÜNCÜ BÖLÜM
Þebeke ve Bilgi Güvenliðinin Saðlanmasýna Ýliþkin Ýlave Yükümlülükler
Siber saldýrýlara yönelik
tedbirler
MADDE 35 – (1) Ýþletmeciler, bünyelerinde SOME kurar ve ulusal siber güvenliðin saðlanmasýna iliþkin USOM’un
ve Kurum bünyesinde kurulan sektörel SOME’nin koordinesinde ve
belirlediði esaslar çerçevesinde gerekli tedbirleri alýr.
(2) Ýþletmeci, sunucular, yönlendiriciler ve
diðer þebeke elemanlarýnýn Dos/Ddos saldýrýlarý, zararlý yazýlým yayýlmasý gibi siber saldýrýlara karþý korunmasý amacýyla, elektronik haberleþme hizmetinin tipi de dikkate alýnarak, IP
adreslerinde, haberleþme portlarýnda ve uygulama
protokollerinde; sinyal iþleme kontrolü, kullanýcý doðrulama ve eriþim kontrolleri
gibi mekanizmalar kurar ve talep edilmesi halinde siber saldýrýlara karþý koruma hizmeti
sunar.
(3) Ýþletmeciler Dos/Ddos
saldýrýlarý, zararlý yazýlým yayýlmasý ve benzeri siber saldýrýlara karþý, USOM’un
koordinesinde gerekli tüm tedbirleri almakla yükümlüdür.
(4) Ýþletmeci, USOM tarafýndan bildirilen siber saldýrý kaynaðýnýn;
a) Kendi
abonesi olmasý durumunda ilgili abonenin bilgilendirilmesi ve
abone tarafýndan talep edilmesi halinde sunulan elektronik
haberleþme hizmetinin askýya alýnmasýný saðlar. Ýþletmeci tarafýndan aboneye yapýlan bildirim ve bildirim türü USOM’a
bildirilir.
b) Baþka bir iþletmecinin abonesi olmasý durumunda, gerekli önlemlerin alýnmasý için ilgili iþletmecinin ve USOM’un
bilgilendirilmesini saðlar.
Belgelendirme yükümlülüðü
MADDE 36 – (1) Ýþletmeci,
yetkilendirmesine iliþkin tüm hizmetleri ve
kritik sistemleri kapsayacak þekilde kurduðu BGYS için belgelendirme kuruluþlarýndan uygunluk belgesi alýr ve Kuruma gönderir.
(2) Ýlk defa belgelendirme yükümlülüðüne tabi olan iþletmeci yükümlülük durumunun deðiþtiði yýlýn sonundan itibaren bir yýl içinde uygunluk belgesi alýr ve Kuruma gönderir.
(3) Birinci ve
ikinci fýkralar gereðince uygunluk
belgesi almýþ iþletmeci, uygunluk belgesinin yenilenmesi, kapsamýnda deðiþiklikler yapýlmasý gibi durumlarda, deðiþiklikten itibaren en geç iki ay içerisinde Kuruma bilgi vermekle yükümlüdür.
Rapor hazýrlama yükümlülüðü
MADDE 37 – (1) Þebeke ve bilgi güvenliðine iliþkin rapor iþletmeci tarafýndan her yýl Mart ayý sonuna kadar hazýrlanýr ve istenildiðinde Kuruma gönderilmek ve/veya Kurum tarafýndan yapýlan denetimlerde ibraz edilmek üzere 5 yýl süreyle muhafaza edilir. Söz konusu rapor asgari olarak aþaðýdaki hususlarý içerir:
a) 10 uncu
madde kapsamýnda yapýlan risk deðerlendirme ve iþleme metotlar ve bu metotlara göre yapýlan iþlemlerin ayrýntýlarý.
b) 11 inci
madde kapsamýnda yapýlan iþ sürekliliði planlarý.
c) 12 nci madde kapsamýnda gerçekleþen bilgi güvenliði ihlal olaylarýna iliþkin bilgiler.
ç) En son yapýlan iç denetimler ile belgelendirme kuruluþu tarafýndan yapýlan son denetimin sonuçlarý, rapor edilen bilgi güvenliði ihlalleri ve söz konusu ihlallere
iliþkin yapýlan faaliyetler.
d) Þebeke ve bilgi güvenliðinin saðlanmasýna yönelik yapýlan yatýrýmlar ve yatýrým tutarlarý.
e) Þebeke ve bilgi güvenliðinin saðlanmasýna yönelik istihdam edilen personel sayýsý ve niteliði.
Ýhlallerin bildirilmesi yükümlülüðü
MADDE 38 – (1) Ýþletmeci
abonelerinin %5’inden fazlasýný etkileyen þebeke ve bilgi güvenliði ihlallerini ve iþ sürekliliðini kesintiye uðratan olaylarý, en kýsa sürede Kuruma bildirir. Söz konusu bildirim
asgari olarak; olayýn gerçekleþme zamanýný, niteliðini, etkisini, süresini ve alýnan önlemleri içerir.
Felaket kurtarma merkezi
MADDE 39 – (1) Ýþletmeci bir
felaket, arýza veya hata durumunda sunulan elektronik haberleþme hizmetinin sürekliliðinin veya zamanýnda kurtarýlmasýnýn saðlanmasý için, ilgili bilgi sistemlerinin ve merkezi þebeke yönetim sistemlerinin bulunduðu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklýkta felaket kurtarma merkezi kurar veya kurulu felaket kurtarma
merkezlerinden hizmet satýn alýr.
(2) Felaket
kurtarma merkezi kurma yükümlülüðüne tabi olan iþletmeci, yükümlülük durumunun deðiþtiði yýlýn sonundan itibaren iki yýl içerisinde felaket kurtarma merkezi kurar.
BEÞÝNCÝ BÖLÜM
Çeþitli ve Son Hükümler
Denetim
MADDE 40 – (1) Kurum, iþletmecilerin bu Yönetmelikte belirtilen yükümlülüklerini yerine getirip getirmediðini re’sen
veya þikâyet üzerine denetler veya denetlettirir.
Yürürlükten kaldýrýlan yönetmelik
MADDE 41 – (1) 20/7/2008 tarihli ve
26942 sayýlý Resmî Gazete’de yayýmlanan Elektronik Haberleþme Güvenliði Yönetmeliði yürürlükten kaldýrýlmýþtýr.
(2) 20/7/2008 tarihli ve 26942 sayýlý Resmî Gazete’de yayýmlanan Elektronik Haberleþme Güvenliði Yönetmeliðine yapýlan atýflar bu Yönetmeliðe yapýlmýþ sayýlýr.
Yürürlük
MADDE 42 – (1) Bu Yönetmelik yayýmý tarihinde yürürlüðe girer.
Yürütme
MADDE 43 – (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve Ýletiþim Kurulu Baþkaný yürütür.
|