13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme sektöründe şebeke ve bilgi güvenliğinin sağlanmasına yönelik işletmecilerin uymaları gereken usul ve esasları yeniden düzenledi. BTK, İşletmecilerin bu Yönetmelikte belirtilen yükümlülüklerini yerine getirip getirmediğini RE SEN veya ŞİKÂYET ÜZERİNE denetleyebilecek veya denetlettirebilecektir. Yönetmelik in 1. maddesiyle Kişisel verilerin işlenmesi ve gizliliğinin korunmasının bu yönetmelik kapsamında olmayacağı açıkça belirtilmiş ve Yönetmelikle birlikte, 20.07.2008 tarih ve 26942 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği yürürlükten kaldırılmıştır. Siber saldırı ve zararlı yazılımları önlemek için İşletmecilere 1 Yönetmelikle getirilen önemli yeni zorunluluklar 2 aşağıdaki gibi sıralanabilir. 1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. İşletmeci yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kuracak ve sürekliliğin sağlanması için bir yönetim mekanizması işletecektir. Bilgi güvenliği ve siber saldırılarla ilgili tüm işlemler bu sistemden geçecek. 2. İŞLETMECİ YÖNETMELİKTE TANIMLANAN ASGARİ İÇERİĞİ TAŞIYAN BGYS POLİTİKASI BELİRLEYEREK GEREKLİ FARKINDALIĞI SAĞLAYACAKTIR. İşletmeci, aşağıda asgari koşulları belirlenmiş bir politikayı Yönetimine onaylatacak, dökümante edecek ve İşletme içinde tüm çalışanların farkındalığını sağlayacaktır. a) İşletmeci açısından bilgi güvenliğinin tanımı, genel amaçları ve kapsamı. b) Yönetimin bilgi güvenliği hedeflerinin yerine getirilmesi ve ilgili faaliyetlerin desteklenmesine ilişkin taahhüdü. c) Risk değerlendirmesine ilişkin esasları. ç) Varlıkların sınıflandırılması. d) Uygulanan güvenlik politikaları, prosedürleri, kuralları, prensipleri ve standartları hakkında genel bilgileri. 1 Elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirket. 2 Yönetmelik in üçüncü bölümünde yer alan zorunluluklar tüm işletmecileri kapsarken dördüncü bölümde yer alan zorunluluklar yıllık net satışları Kurul Kararı ile belirlenen değer ve üzerinde olan işletmeciler için geçerli olacak ve bu işletmeciler, bu hükümler kapsamında şebeke ve bilgi güvenliğinin sağlanmasına ilişkin ilave tedbirleri almakla yükümlü olacaklardır. 1
3. BİLGİ GÜVENLİĞİ FAALİYETLERİ İŞLETMECİ NEZDİNDE BİR GRUP VEYA BİR YÖNETİCİ İLE KOORDİNE EDİLECEKTİR. Bilgi Güvenliği faaliyetleri işletmecinin yönetimi tarafından yetkilendirilmiş bir grup marifetiyle veya işletmecinin kaynaklarının elvermediği durumlarda bir yönetici tarafından koordine edilecektir. 4. İŞLETMECİ VARLIK YÖNETİMİ YAPACAK VE BU KAPSAMDA KRİTERLERİ BELİRLEYECEKTİR. İşletmeci, sahip olduğu varlıkları ve bu varlıkların sorumlularını dokümante ederek bir varlık envanteri oluşturacak,bunların gizlilik sınıfını belirleyerek uygun biçimde etiketleyecek olup birçok varlığın belirli bir fonksiyonu yerine getirmek üzere birlikte kullanıldığı karmaşık bilgi sistemleri tek bir varlık olarak kabul edilebilecektir. Her bir gizlilik sınıfı için erişim, kullanım, depolama, iletim, imha, paylaşım ve dağıtım kuralları işletmeci tarafından belirlenecektir. 5. İŞLETMECİ, YILDA EN AZ BİR DEFA RİSK DEĞERLENDİRMESİ YAPACAK VE BU DEĞERLENDİRME VE İŞLEME METODLARINI KAYIT ALTINA ALACAKTIR. İşletmeci, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapacaktır. Bu risk değerlendirmesi sonuçlarına istinaden risklerin kabul edilme kriterlerini tanımlanacaktır. Ayrıca tüm riskler için risk işleme kararı alacak ve risk değerlendirme ve işleme göre yapılan işlemler kayıt altına alınacaktır. 6. İŞLETMECİ BGYS Nİ İKİ YILDA EN AZ BİR DEFA DENETLEYECEKTİR. İşletmeci BGYS'yi iki yılda en az bir defa iç denetim yaparak denetleyecek veya bu hizmeti veren taraflara denetlettirecektir.denetim sonuçları ve yapılan düzeltici ve önleyici faaliyetler kayıt altına alınacaktır. 7. İŞLETMECİ ZARARLI KODLARA VE LİSANSSIZ YAZILIM KULLANIMINA İLİŞKİN GEREKLİ ÖNLEMLERİ ALACAKTIR. İşletmeci, bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla bilgisayar virüsleri, solucanlar, truva atları gibi zararlı kodlara karşı gerekli önlemleri alacak, BGYS politikasına aykırı ve lisanssız yazılım kullanımına izin verilmeyecektir.ayrıca dış ağlar aracılığıyla dosya veya yazılım indirilmesi ve kullanılmasında uygulanacak güvenlik önlemleri belirlenecektir. 2
8. İŞLETMECİ SİSTEM KAYIT DOSYALARINI EN AZ 2 SENE SAKLAMAKLA YÜKÜMLÜDÜR. İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izleyerek 2 yıl kayıt altında tutmakla yükümlüdür 9. İŞLETMECİ KRİTİK SİSTEMLERDE PAROLA YÖNETİMİNDE GEREKLİ GÜVENLİK ÖNLEMLERİ ALACAK, GÜVENLİK ÖNLEMLERİNİ KARŞILAMASI ŞARTIYLA KULLANICI PAROLASI YERİNE BİYOMETRİK DOĞRULAMA AKILLI KART GİBİ SİSTEMLER DE KULLANILABİLECEKTİR. İşletmeci Parolanın güvenliği için kimlik doğrulama, paroların belirli aralıklarla değiştirilmesini sağlama, tedarikçi tarafından atanmış paroların kurulumun ardından değiştirilmesi sağlama gibi güvenliği sağlayacak gönlemleri alacaktır. Ayrıca güvenlik gereksinimlerini karşılaması şartıyla kullanıcı parolaları yerine biyometrik doğrulama, akıllı kart gibi sistemler de kullanılabilecektir. 10. İŞLETMECİ SİBER SALDIRILARA KARŞI KORUMA HİZMETİ SUNACAKTIR. İşletmeci, Bilgi güvenliği, siber saldırı ve zararlı yazılımları önlemek için işletmeler bünyesinde Siber Olaylara Müdahale Ekibi (SOME) kuracak ve ulusal siber güvenliğin sağlanmasına ilişkin USOM un 3 ve Kurum bünyesinde kurulan sektörel SOME nin koordinesinde ve belirlediği esaslar çerçevesinde gerekli tedbirleri alacaktır. Sunucular, yönlendiriciler ve diğer şebeke elemanlarının Dos/Ddos saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, elektronik haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde; sinyal işleme kontrolü, kullanıcı doğrulama ve erişim kontrolleri gibi mekanizmalar kurar ve talep edilmesi halinde siber saldırılara karşı koruma hizmeti sunacaktır. İşletmeciler Dos/Ddos saldırıları, zararlı yazılım yayılması ve benzeri siber saldırılara karşı, USOM'un koordinesinde gerekli tüm tedbirleri almakla yükümlü olacaktır. 11. İŞLETMECİ ŞEBEKE VE BİLGİ GÜVENLİĞİNE İLİŞKİN RAPORU HER YIL MART AYI SONUNA KADAR HAZIRLANACAKTIR. Şebeke ve bilgi güvenliğine ilişkin rapor işletmeci tarafından her yıl Mart ayı sonuna kadar hazırlanacak ve istenildiğinde Kuruma gönderilmek veya Kurum tarafından yapılan denetimlerde ibraz edilmek üzere 5 yıl süreyle muhafaza edilecektir. 3 20/6/2013 tarihli ve 28683 sayılı Resmî Gazete de yayımlanan 2013/4890 sayılı Bakanlar Kurulu Kararı nın ekinde yer alan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı nın 4 üncü maddesi gereğince kurulan ulusal siber olaylara müdahale merkezi 3
12. İŞLETMECİ ABONELERİNİN %5 İNDEN FAZLASINI ETKİLEYEN İHLALLERİ BTK YA BİLDİRECEKTİR. İşletmeci abonelerinin yüzde 5'inden fazlasını etkileyen şebeke ve bilgi güvenliği ihlallerini ve iş sürekliliğini kesintiye uğratan olayları, en kısa sürede btk ya bildirecektir.. Söz konusu bildirim asgari olarak; olayın gerçekleşme zamanını, niteliğini, etkisini, süresini ve alınan önlemleri içerecektir. 13. İŞLETMECİYE İLİŞKİN DİĞER YÜKÜMLÜLÜKLER -İşletmeci iş sürekliliği planı yapıp uygulamak -bilgi güvenliği ihlal olaylarının ve güvenlik açıklarının kısa sürede raporlanmasını sağlamak üzere bir raporlama ve geri bildirim mekanizması kurmak -işletmeci istihdam ettiği personelini hizmetlere ilişkin şebeke ve bilgi güvenliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için gerekli önlemleri alacak, bilgi güvenliği kapsamında istihdam edilen personeli rol ve sorumluluğu açıkça anlatacak, geekli eğitimler verilecek ve ilgili belge imzalattırılacak, görevden ayrılması halinde de her türlü tedbir gizli bilgi belge ekipman iade alınacaktır. Prosedürlere uymayan personele uygulanmak üzere disiplin prosedürü hazırlanacaktır. -İşletmeci, çalışanlarıyla ve mal veya hizmet alış verişinde bulunduğu üçüncü taraflarla yapacağı sözleşmelerde Yönetmelik in 32. Maddesinde yer verilen asgari koşulları içeren gizlilik hükümlerine yer verecektir. -İşletmeci şebeke ve bilgi güvenliğine ilişkin ihlal oluşmaması, şebekelerinin tehditlerden korunması ve şebekeleri kullanan sistem ve uygulamaların güvenliğinin sağlanması elektronik ortamda tutulan bilgilere yetkisiz erişim olmaması için istenmeyen ve çevresel tehditlere karşı gerekli önlemleri almakla yükümlü olacaktır. - İşletmeci, abonelerinin kendisine atanmamış bir IP adresi kullanarak paket göndermelerini engellemeye yönelik gerekli önlemleri almakla yükümlü olacak, abonelerini zararlı yazılımlar, köle bilgisayar ağları ve muhtemel siber tehditler ile ilgili bilgilendirecektir. -İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını sağlayacak olup, Yönetmelik in 27. Maddesi ile belirlenen kriterlere uygun şekilde yedekleme işlemini gerçekleştirecektir. -İşletmeci Kritik Sistemlerdeki Kullanıcıların Ayırt Edici Ve Eşsiz Kullanıcı Adı Kullanmalarını Sağlayacak, Tüm Kullanıcı Adlarını Kayıt Altına Alacak, Erişim Yetkisinin Kapsamını İşin Amacını Aşmayacak Şekilde Verecektir. 4
- İşletmeci tarafından Erişim yetkileriyle ilgili imtiyazlar, yalnızca gerekli durumlarda verilecektir. - İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde kurduğu BGYS için belgelendirme kuruluşlarından uygunluk belgesi alacak ve Kuruma gönderecektir. -İşletmeci bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili bilgi sistemlerinin ve merkezi şebeke yönetim sistemlerinin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kuracak veya kurulu felaket kurtarma merkezlerinden hizmet satın alacaktır. 5