Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
BTK, elektronik haberleşme sektöründe şebeke ve bilgi güvenliğinin sağlanmasına yönelik işletmecilerin uymaları gereken usul ve esasları yeniden düzenledi.
Bilgi Teknolojileri ve İletişim Kurumu (BTK), elektronik haberleşme sektöründe şebeke ve bilgi güvenliğinin sağlanmasına yönelik işletmecilerin uymaları gereken usul ve esasları yeniden düzenledi.
"Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği" Resmi Gazete'de yayımlanarak yürürlüğe girdi.
Buna göre, işletmeci, yönetimi tarafından onaylanmış bir "bilgi güvenliği yönetim sistemi" (BGYS) politikası tanımlamak, dokümante etmek, tüm çalışanlarının ve ilgili tarafların söz konusu politikaya ilişkin farkındalığını sağlamak ile yükümlü olacak. İşletmeci, sahip olduğu varlıkları ve bu varlıkların sorumlularını dokümante ederek bir varlık envanteri oluşturacak, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapacak, istihdam ettiği personelin, yetkilendirme kapsamında sunulan hizmetlere ilişkin şebeke ve bilgi güvenliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlemi almakla yükümlü olacak.
Fiziksel erişim -
İşletmeci, bina ve tesislerinde, yetkisiz erişime ve istenmeyen fiziksel etkilere karşı gerekli tedbirleri alacak. Kritik sistemlerin bulunduğu alanlara giriş ve erişim yetkisi sadece yetkili kişilerle sınırlandırılacak, bu yetkiler düzenli olarak gözden geçirilerek güncellenecek ve gerekli değilse iptal edilecek. Kritik sistemlerin bulunduğu alanlara giriş ve çıkış bilgileri takip edilerek kayıt altına alınacak. Söz konusu kayıtlar en az 2 yıl süreyle muhafaza edilecek.
Ziyaretçilere yalnızca ziyaret amacına uygun giriş ve erişim yetkileri verilecek. Teslimat alanları, yükleme alanları veya depo gibi üçüncü tarafların bina ve tesislere girişinin söz konusu olabileceği alanlar, kritik sistemlerin bulunduğu alanlardan ayrılacak. Elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek altyapı bileşenlerine erişim kontrol altında tutulacak ve bu bileşenler yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilecek.
Elektronik ortam yönetimi -
İşletmeci elektronik ortamda tutulan bilgilerin yetkisiz olarak erişilmesine, bu bilgilerin yetkisiz olarak değiştirilmesine, silinmesine ve zarar görmesine karşı gerekli önlemleri alacak. Kullanımdan kaldırılması veya başka amaçlarla yeniden kullanılması planlanan ekipmanda veya elektronik ortamda yer alan kritik bilgilerin yedekleri ile birlikte geri döndürülemez şekilde silinmesi sağlanacak. Silme işleminin mümkün olmaması durumunda söz konusu bilgi depolayan parçalar kullanılamaz hale getirilecek. Taşınabilir ortamlardan veya mobil cihazlardan kaynaklanabilecek güvenlik zafiyetlerine yönelik tedbirler belirlenecek; söz konusu ortam ve cihazlarda yer alan kritik bilgilerin yetkisiz erişim, değiştirme ve ifşa edilmeye karşı korunması amacıyla önlemler alınacak ve çalışanların bunlara uymaları sağlanacak.
Aboneye yönelik tedbirler -
İşletmeci, abonelerinin kendisine atanmamış bir IP adresi kullanarak paket göndermelerini engellemeye yönelik gerekli önlemleri almakla yükümlü olacak, abonelerini zararlı yazılımlar, köle bilgisayar ağları ve muhtemel siber tehditler ile ilgili bilgilendirecek.
Değişim yönetimi -
İşletmeci, kritik sistemlere yetkisiz erişimin, bu sistemler üzerinde yetkisiz değişiklik yapılmasının veya bu sistemlerin yetkisiz kullanımının önüne geçilmesi amacıyla yapılacak işlemlerin başlatılması ve onaylanması süreçlerini ayrı yürütecek.
- Zararlı kodlara karşı korunma -
Bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla bilgisayar virüsleri, solucanlar, truva atları gibi zararlı kodlara karşı gerekli önlemleri alacak. BGYS politikasına aykırı ve lisanssız yazılım kullanımına izin verilmeyecek.
Yedekleme -
İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak bilgi ve yazılımların kurtarılmasına imkan verecek şekilde yedek alınmasını sağlayacak. Yedek kopyaların kaydı tutulacak, yedekler gerçek bilgi ve yazılımların bulunduğu yerleşkede meydana gelebilecek felaketlere maruz kalmayacak şekilde muhafaza edilecek, periyodik olarak test edilerek kullanıma hazır halde bulunacak.
Sistem kayıt dosyalarının tutulması -
İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izleyecek. Kullanıcı kimlikleri, oturum açma/kapatma, veri ekleme/silme/değiştirme gibi işlemlerin tarihi, zamanı ve açıklamaları, bağlantı sağlanan ekipmanın kimliği ve yeri, başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları, sistem ayarlarındaki değişiklikleri, kullanılan özel izinleri ve ayrıcalıkları, sistem araçlarının ve uygulamalarının kullanımı, erişilen dosyalar ve erişimin tipi, ağ adresleri, erişim kontrol sistemi tarafından üretilen alarmlar, anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif ve pasif hale getirilmeleri, sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri, sistem yöneticileri tarafından yapılan işlemler, kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar gibi verileri içeren kayıt dosyaları en az 2 yıl süreyle tutulacak.
Sistem yöneticilerinin kendi işlemlerine ilişkin kayıt dosyalarını silmelerini veya değiştirmelerini engelleyecek önlemler alınacak, kayıt dosyaları değişikliğe ve yetkisiz erişime karşı korunacak.
Kritik sistemlerde kullanıcı erişim yönetimi -
İşletmeci, kritik sistemlerde kullanıcıların, kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adı kullanmalarını sağlayacak. Kullanıcılara verilen erişim yetkisinin kapsamı, ilgili işin amaçlarından daha geniş olamayacak. Erişim yetkileriyle ilgili imtiyazların kullanılması durumunda, işletim sistemi, veritabanı yönetim sistemi ve uygulamalar gibi her bir sistem elemanı için erişim imtiyazlarının verilmesi gerekli olan kullanıcılar tanımlanacak, tanınan imtiyazların kaydı tutulacak, erişim imtiyazları, ilgili kişiye, mümkün olduğu ölçüde kısa süre için ve normalde kullandıkları kullanıcı adından farklı bir kullanıcı adıyla tanımlanacak.
Belgelendirme yükümlülüğü -
İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde kurduğu BGYS için belgelendirme kuruluşlarından uygunluk belgesi alarak BTK'ya gönderecek. Uygunluk belgesi almış işletmeci, uygunluk belgesinin yenilenmesi, kapsamında değişiklikler yapılması gibi durumlarda, değişiklikten itibaren en geç iki ay içerisinde bilgi verecek.
Yönetmelikle, 20 Temmuz 2008 tarihli 26942 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği yürürlükten kaldırıldı. - Ankara