"Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği" Resmi Gazete'de
BTK, elektronik haberleşme sektöründe şebeke ve bilgi güvenliğinin sağlanmasına yönelik işletmecilerin uymaları gereken usul ve esasları yeniden düzenledi.
BTK, elektronik haberleşme sektöründe şebeke ve bilgi güvenliğinin sağlanmasına yönelik işletmecilerin uymaları gereken usul ve esasları yeniden düzenledi. Kişisel verilerin işlenmesi ve gizliliğinin korunması, yönetmelik kapsamında olmayacak.
Bilgi Teknolojileri ve İletişim Kurumu'nun (BTK) "Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği" Resmi Gazete'nin bugünkü sayısında yayımlandı. Yönetmelikle birlikte şebeke ve bilgi güvenliğinin sağlanmasına yönelik olarak işletmecilerin uyacakları usul ve esaslar düzenlendi. Buna göre, kişisel verilerin işlenmesi ve gizliliğinin korunması, yönetmelik kapsamında olmayacak.
Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde Bilgi güvenliği yönetim sistemi (BGYS) kuracak. İşletmeci BGYS'nin kurulması, uygulanması ve sürekliliğinin sağlanması amacıyla bir yönetim mekanizması işletecek.
-KARMAŞIK BİLGİ SİSTEMLERİ TEK BİR VARLIK OLARAK KABUL EDİLEBİLECEK-
İşletmeci, yönetimi tarafından onaylanmış bir bilgi güvenliği yönetim sistemi politikası tanımlayacak, dokümante edecek, tüm çalışanlarının ve ilgili tarafların söz konusu politikaya ilişkin farkındalığını sağlayacak. Yönetmeliğe göre, bilgi güvenliği faaliyetleri, işletmecinin yönetimi tarafından yetkilendirilmiş temsilcilerin katılımıyla oluşturulan bir grup marifetiyle veya işletmecinin kaynaklarının elvermediği durumlarda bir yönetici tarafından koordine edilecek.
İşletmeci, sahip olduğu varlıkları ve bu varlıkların sorumlularını dokümante ederek bir varlık envanteri oluşturacak Birçok varlığın belirli bir fonksiyonu yerine getirmek üzere birlikte kullanıldığı karmaşık bilgi sistemleri tek bir varlık olarak kabul edilebilecek.
İşletmeci, bilgi güvenliği ihtiyaçlarını karşılayacak şekilde varlıklarının gizlilik sınıfını; kritiklik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerine göre belirleyerek varlıklarını uygun biçimde etiketleyecek. Her bir gizlilik sınıfı için erişim, kullanım, depolama, iletim, imha, paylaşım ve dağıtım kuralları işletmeci tarafından belirlenecek.
-İŞLETMECİ, YILDA EN AZ BİR DEFA RİSK DEĞERLENDİRMESİ YAPACAK-
İşletmeci, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapacak. Risk değerlendirmesi sonuçları dikkate alınarak risklerin kabul edilme kriterleri tanımlanacak. İşletmeci, yetkilendirmesine ilişkin tüm hizmetlerin ve kritik sistemlerin doğal afetler, çevresel tehditler, kazalar, donanım arızaları, kasti eylemler veya siber saldırılar sonucunda kesintiye uğramasını önlemek ve sahip olduğu varlıklarda oluşabilecek kayıpları en aza indirmek amacıyla iş sürekliliği planları yapacak ve uygulayacak.
Bilgi güvenliği ihlal olaylarının ve güvenlik açıklarının mümkün olduğunca kısa sürede raporlanmasını sağlamak üzere bir raporlama ve geri bildirim mekanizması kurulacak. İşletmeci Yönetmelikte belirtilen yükümlülüklerini yerine getirmek amacıyla yaptığı faaliyetleri ve işletmekte olduğu BGYS'yi iki yılda en az bir defa iç denetim yaparak denetleyecek veya bu hizmeti veren taraflara denetlettirecek. İç denetimlerde denetçilerin kendi çalışmalarını denetlememeleri sağlanacak. İşletmeci tespit edilen uygunsuzluklarla ilgili gerekli düzeltici ve önleyici faaliyetleri yerine getirecek Denetim sonuçları ve yapılan düzeltici ve önleyici faaliyetler kayıt altına alınacak.
-ABONEYE YÖNELİK TEDBİRLER-
İşletmeci, abonelerinin kendisine atanmamış bir IP adresi kullanarak paket göndermelerini engellemeye yönelik gerekli önlemleri almakla yükümlü olacak, abonelerini zararlı yazılımlar, köle bilgisayar ağları ve muhtemel siber tehditler ile ilgili bilgilendirecek.
-İŞLETMECİ, SİBER SALDIRILARA KARŞI KORUMA HİZMETİ SUNACAK-
İşletmeci, sunucular, yönlendiriciler ve diğer şebeke elemanlarının Dos/Ddos saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, elektronik haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde; sinyal işleme kontrolü, kullanıcı doğrulama ve erişim kontrolleri gibi mekanizmalar kurar ve talep edilmesi halinde siber saldırılara karşı koruma hizmeti sunacak. İşletmeciler Dos/Ddos saldırıları, zararlı yazılım yayılması ve benzeri siber saldırılara karşı, USOM'un koordinesinde gerekli tüm tedbirleri almakla yükümlü olacak.
-ŞEBEKE VE BİLGİ GÜVENLİĞİNE İLİŞKİN RAPOR HER YIL MART AYI SONUNA KADAR HAZIRLANACAK-
Şebeke ve bilgi güvenliğine ilişkin rapor işletmeci tarafından her yıl Mart ayı sonuna kadar hazırlanacak ve istenildiğinde Kuruma gönderilmek veya Kurum tarafından yapılan denetimlerde ibraz edilmek üzere 5 yıl süreyle muhafaza edilecek.
İşletmeci abonelerinin yüzde 5'inden fazlasını etkileyen şebeke ve bilgi güvenliği ihlallerini ve iş sürekliliğini kesintiye uğratan olayları, en kısa sürede Kuruma bildirecek. Söz konusu bildirim asgari olarak; olayın gerçekleşme zamanını, niteliğini, etkisini, süresini ve alınan önlemleri içerecek. İşletmeci bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili bilgi sistemlerinin ve merkezi şebeke yönetim sistemlerinin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kurar veya kurulu felaket kurtarma merkezlerinden hizmet satın alacak.
Yeni Yönetmelikle birlikte, 20 Temmuz 2008 tarihli 26942 sayılı Resmi Gazete'de yayımlanan Elektronik Haberleşme Güvenliği Yönetmeliği yürürlükten kaldırıldı.