Elektronik Haberleşme Güvenliği Yönetmeliği

[velociraptor]

20 Temmuz 2008 PAZAR
Resmî Gazete
Sayı : 26942

YÖNETMELİK

Telekomünikasyon Kurumundan:

ELEKTRONİK HABERLEsME GÜVENLİĞİ YÖNETMELİĞİ BİRİNCİ BÖLÜM

Genel Hükümler

Amaç

MADDE 1 – (1) Bu Yönetmeligin amacı, elektronik haberlesme güvenligine iliskin usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Bu Yönetmelik, isletmecilerin fiziksel alan güvenligi, veri güvenligi, donanım-yazılım güvenligi ve güvenilirligi ile personel güvenilirliginin saglanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına iliskin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.

(2) Kisisel bilgilerin islenmesi ve gizliliginin korunması, bu Yönetmelik kapsamı dısındadır.

Dayanak

MADDE 3 – (1) Bu Yönetmelik, 4/2/1924 tarihli ve 406 sayılı Telgraf ve Telefon Kanununun 2 ve 4 üncü maddesi ile 5/4/1983 tarihli ve 2813 sayılı Telsiz Kanununun 7 nci maddesine dayanılarak hazırlanmıstır.

Tanımlar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) Donanım-yazılım: Elektronik haberlesme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan tasınabilir ve sabit diskler ile bunlarda kullanılan yazılım bilesenlerini,

b) Elektronik haberlesme: Elektriksel isaretlere dönüstürülebilen her türlü isaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diger iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,

c) Elektronik haberlesme altyapısı: Elektronik haberlesmenin, üzerinden veya aracılıgıyla gerçeklestirildigi anahtarlama ekipmanları, donanım ve yazılımlar, terminaller ve hatlar da dahil olmak üzere her türlü sebeke birimlerini,

ç) Elektronik haberlesme hizmeti: Elektronik haberlesme tanımına giren faaliyetlerin bir kısmının veya tamamının hizmet olarak sunulmasını,

d) Elektronik haberlesme sebekesi: Bir veya daha fazla nokta arasında elektronik haberlesmeyi saglamak için bu noktalar arası baglantıyı teskil eden anahtarlama ekipmanları ve hatlar da dahil olmak üzere her türlü iletim sistemleri agını,

e) Güvenlik hassasiyetli alan: Elektronik haberlesme altyapısının isletmeci kontrolündeki bölümlerini,

f) İsletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberlesme hizmeti sunan ve/veya elektronik haberlesme sebekesi saglayan ve alt yapısını isleten sermaye sirketini, g) Kurul: Telekomünikasyon Kurulunu,

g) Kurum: Telekomünikasyon Kurumunu,

h) sifreleme: Veri muhteviyatının, yalnızca yetkili kisi ya da kurumlarca veya haberlesmeyi gerçeklestiren taraflarca bilinmesini saglamak ve üçüncü sahıslarca elde edilmesini önlemek üzere, söz konusu verinin formunun özel bir sablona göre degistirilmesini,

ı) Veri: Abone ya da kullanıcının elektronik haberlesme sebekesi üzerindeki konum, zaman, trafik bilgileri ile elektronik haberlesmenin içerigini,

i) Veri güvenligi: Verinin gizliligi, bütünlügü ve devamlılıgının saglanmasını

ifade eder.

İlkeler

MADDE 5 – (1) Bu Yönetmeligin uygulanmasında asagıda belirtilen temel ilkeler gözetilir:

a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, ayrım gözetmeme, düzenlilik, seffaflık ve kaynakların etkin kullanılması,

b) Tüketici haklarının korunması,

c) Hizmet kalitesinin yükseltilmesi,

ç) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması.

İKİNCİ BÖLÜMElektronik Haberlesme Güvenligi Usul ve Esasları

Tehdit ve zafiyetler

MADDE 6 – (1) Elektronik haberlesmeye iliskin baslıca tehditler;

a) Yetkisiz olarak veya yetki asımıyla güvenlik hassasiyetli alana girilmesi,

b) Yetkisiz olarak veya yetki asımıyla silme, ekleme, degistirme, geciktirme, baska bir ortama kaydetme veya ifsa etme yoluyla veri gizliliginin, bütünlügünün ve/veya devamlılıgının bozulması,



c) Donanım-yazılım bilesenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,

ç) Deprem, sel, su baskını, yangın gibi dogal afetler ile grev ve lokavt hali,

d) Kullanıcıyı yanıltarak dogru tarafla elektronik haberlesmede bulundugu izleniminin verilmesi,

e) Elektronik haberlesmenin yasal olmayan bir sekilde izlenmesi ve/veya dinlenmesi,

f) Dogru olmayan bir bilgi üretilerek bu bilginin baska bir taraftan alındıgının iddia edilmesi veya baska bir tarafa gönderilmesi,

g) Elektronik haberlesme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak sekilde tüketilmesidir.

(2) Elektronik haberlesmeye iliskin baslıca zafiyetler;

a) Gelecekte gerçeklesmesi muhtemel tehditlerin öngörülememesi,

b) Bir sistem veya protokolün tasarımında yapılan yanlıslıklar,

c) Bir sistem veya protokolün kurulumu sırasında olusan problemler,

ç) Gelistiricilerin hataları,

d) Uygulayıcıların hataları,

e) Sistemin isletimi sırasında olusan uygunsuzluklar veya yetersizliklerdir.

Fiziksel alan güvenligi

MADDE 7 – (1) Bina içi güvenlik hassasiyetli alanlarda asagıdaki hükümler uygulanır:

a) Giris ve erisim yetkisi ile bu yetkinin kapsamı isletmeci tarafından önceden tanımlanarak, giris ve erisim sadece yetkili kisilerle sınırlandırılır.

b) Ziyaretçi giris ve çıkıslarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girisi ve çıkısı saglanır.

c) Tüm personel ve personel harici kisiler, kimlik bilgilerini, yetki ve erisim seviyelerini açık bir sekilde görünür kılacak giris veya kimlik kartı tasır.

ç) Güvenlik hassasiyetli alanlara giris ve erisim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli degilse iptal edilir.

(2) Bina dısı güvenlik hassasiyetli alanlarda asagıdaki hükümler uygulanır:

a) Sahada yer alan, elektronik haberlesme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski olusturabilecek alt yapı bilesenlerine erisim kontrol altında tutulur ve yetkisiz kisilerin kolaylıkla erisim saglayamayacagı sekilde tesis edilir.

b) Elektronik haberlesme maksatlı kullanılan kule ve saha dolapları, yetkisiz kisilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.

(3) Güvenlik hassasiyetli alanlarda ilave olarak asagıdaki tedbirler alınır:

a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamıs çalısmalardan kaçınılır.

b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girisini engellemek amacıyla gerekli önlemler alınır.

c) Güvenlik hassasiyetli alanların, tehditlere karsı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.

Personel güvenilirligi

MADDE 8 – (1) Elektronik haberlesme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da egitim almıs olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.

(2) Elektronik haberlesme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.

(3) Personelin haberlesme gizliligine, milli güvenlige ve kamu düzenine aykırı davranısta bulunmaması için her türlü önlem alınarak, islerin ve hizmetlerin düzenli yürütülmesi saglanır.

Veri güvenligi

MADDE 9 – (1) Veri güvenligi asagıdaki hükümler uyarınca saglanır:

a) Veri erisim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.

b) Yetki sınırları dahilinde erisim saglanması için kullanılacak teknolojilerin seçimi, isletmecinin tasarrufundadır.

Donanım-yazılım güvenligi ve güvenilirligi

MADDE 10 – (1) Elektronik haberlesme altyapılarında kullanılan donanım-yazılım güvenligi ve güvenilirligi asagıdaki hükümler uyarınca saglanır:

a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması saglanır.

b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bilesenleri arasındaki iç haberlesmeyi saglayan kablolu ve/veya kablosuz ag yönetimi sadece yetkili kisiler tarafından erisilecek sekilde sifrelenir.

c) Donanım-yazılım bilesenleri, herhangi bir güvenlik tehdidinin gerçeklesmesini önlemek üzere kontrol ve izleme altında tutulur.

ç) Donanım-yazılım bilesenlerinin, yasal olmayan elektronik haberlesme dinleme ve/veya izleme tehdidi olusturacak unsurları içerip içermedigini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bilesenlerinde bu tür bir unsurun varlıgının saptanması durumunda ilgili bilesenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve olusan tehdidi bertaraf edecek önlemler ivedilikle alınır.

d) İsletmeci, elektronik haberlesmenin gizliligi, bütünlügü ve devamlılıgının saglanması için kritik donanım-yazılım bilesenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bilesenlerinin yedekli çalısması esastır.

ÜÇÜNCÜ BÖLÜM

İsletmecilerin Yükümlülükleri

Elektronik haberlesme güvenligini saglama yükümlülügü

MADDE 11 – (1) İsletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunlugu saglamakla yükümlüdür. Yetkilendirilen isletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunlugu saglar. Belirtilen süre içerisinde söz konusu standarda uygunlugu saglayamayan isletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

(2) İsletmeci, elektronik haberlesme güvenligi kapsamında, basta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluslara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere iliskin riski degerlendirerek gerekli önlemleri alır.

Kuruma bilgi verme yükümlülügü

MADDE 12 – (1) Elektronik haberlesme güvenligine iliskin rapor her yıl yenilenir ve subat ayı sonuna kadar Kuruma gönderilir. Söz konusu rapor;

a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düsük seklinde tasnifi ile gerçeklesme olasılıkları ve önlemleri,

b) Bir tehdit ve/veya zafiyetin gerçeklesmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacagını içeren is akıs diyagramları ve acil eylem planlarını,

c) Donanım-yazılım bilesenlerinin kurulumu, kullanımı ve isletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları

içerir.

Alt yüklenici firmadan sorumlu olma yükümlülügü

MADDE 13 – (1) Alt yüklenici firma ile çalısılması halinde, alt yüklenici firma tarafından bu Yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin isletmeci tarafından yapıldıgı kabul edilir.

DÖRDÜNCÜ BÖLÜM

Çesitli ve Son Hükümler

Müeyyideler

MADDE 14 – (1) Bu Yönetmelik hükümlerinin ihlali durumunda; 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İsletmecilere Uygulanacak İdari Para Cezaları ile Diger Müeyyide ve Tedbirler Hakkında Yönetmelikte söz konusu ihlale karsılık gelen idari para ceza oranları uygulanır. İdari para cezalarının uygulanması, tahsili, ihlalin tekerrürü gibi durumlarda, söz konusu Yönetmelik hükümleri uygulanır.

(2) Birinci fıkrada belirtilen Yönetmelikte yer almayan; haberlesmenin güvenligine yönelik tehdit ve zafiyetlere iliskin gerekli önlemlerin alınmaması ile bina içi ve dısı güvenlik hassasiyetli alanlarda yeterli önlemlerin alınmaması durumunda isletmecinin bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar idari para cezası uygulanır. Kurul tarafından gerekli görülen durumlarda idari para cezası verilmeden önce, ilgili isletmeciye söz konusu durumun düzeltilmesi için yeterli süre verilebilir.

Standarda uygunlugu saglama

GEÇİCİ MADDE 1 – (1) Bu Yönetmeligin yayımlanmasından önce yetkilendirilen isletmeciler, Yönetmeligin yayımı tarihinden itibaren bir yıl içerisinde 11 inci maddede belirtilen standarda uygunlugu saglar. Belirtilen süre içerisinde söz konusu standarda uygunlugu saglayamayan isletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

Yürürlük

MADDE 15 – (1) Bu Yönetmelik yayımı tarihinde yürürlüge girer.

Yürütme

MADDE 16 – (1) Bu Yönetmelik hükümlerini Telekomünikasyon Kurulu Baskanı yürütür.

__________________________
Murat KAYA
Navigator İs ve Bilgi Hizmetleri Yönetimi A.s.
Bilgi Güvenligi ve Bilisimde Kalite
Comptia Security+