ELEKTRONİK HABERLEŞME GÜVENLİĞİ YÖNETMELİĞİ

    Elektronik Haberleşme Güvenliği Yönetmeliği

    Telekomünikasyon Kurumundan:

    Resmi Gazete Tarihi : 20/07/2008

    Resmi Gazete Sayısı : 26942

    BİRİNCİ BÖLÜM : Genel Hükümler

       Amaç

       Madde 1 - (1) Bu Yönetmeliğin amacı, elektronik haberleşme güvenliğine ilişkin usul ve esasları düzenlemektir.

       Kapsam

       Madde 2 - (1) Bu Yönetmelik, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.

       (2) Kişisel bilgilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır.

       Dayanak

       Madde 3 - (1) (Değişik fıkra: 02/03/2009- 27157 S.R.G Yön/1.mad.) Bu Yönetmelik, 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun 4 üncü maddesinin birici fıkrasının (l) bendi ve 12 nci maddesinin ikinci fıkrasının (j) bendine dayanılarak hazırlanmıştır.

       Tanımlar

       Madde 4 - (1) Bu Yönetmelikte geçen;

       a) Donanım-yazılım: Elektronik haberleşme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan taşınabilir ve sabit diskler ile bunlarda kullanılan yazılım bileşenlerini,

       b) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,

       c) Elektronik haberleşme altyapısı: Elektronik haberleşmenin, üzerinden veya aracılığıyla gerçekleştirildiği anahtarlama ekipmanları, donanım ve yazılımlar, terminaller ve hatlar da dahil olmak üzere her türlü şebeke birimlerini,

       ç) Elektronik haberleşme hizmeti: Elektronik haberleşme tanımına giren faaliyetlerin bir kısmının veya tamamının hizmet olarak sunulmasını,

       d) Elektronik haberleşme şebekesi: Bir veya daha fazla nokta arasında elektronik haberleşmeyi sağlamak için bu noktalar arası bağlantıyı teşkil eden anahtarlama ekipmanları ve hatlar da dahil olmak üzere her türlü iletim sistemleri ağını,

       e) Güvenlik hassasiyetli alan: Elektronik haberleşme altyapısının işletmeci kontrolündeki bölümlerini,

       f) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,

       g) (Değişik bent: 02/03/2009- 27157 S.R.G Yön/2.mad.) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,

       ğ) (Değişik bent: 02/03/2009- 27157 S.R.G Yön/2.mad.) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,

       h) Şifreleme: Veri muhteviyatının, yalnızca yetkili kişi ya da kurumlarca veya haberleşmeyi gerçekleştiren taraflarca bilinmesini sağlamak ve üçüncü şahıslarca elde edilmesini önlemek üzere, söz konusu verinin formunun özel bir şablona göre değiştirilmesini,

       ı) Veri: Abone ya da kullanıcının elektronik haberleşme şebekesi üzerindeki konum, zaman, trafik bilgileri ile elektronik haberleşmenin içeriğini,

       i) Veri güvenliği: Verinin gizliliği, bütünlüğü ve devamlılığının sağlanmasını

       ifade eder.

       İlkeler

       Madde 5 - (1) Bu Yönetmeliğin uygulanmasında aşağıda belirtilen temel ilkeler gözetilir:

       a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, ayrım gözetmeme, düzenlilik, şeffaflık ve kaynakların etkin kullanılması,

       b) Tüketici haklarının korunması,

       c) Hizmet kalitesinin yükseltilmesi,

       ç) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması.

    İKİNCİ BÖLÜM : Elektronik Haberleşme Güvenliği Usul ve Esasları

    Tehdit ve zafiyetler

       Madde 6 - (1) Elektronik haberleşmeye ilişkin başlıca tehditler;

       a) Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi,

       b) Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması,

       c) Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,

       ç) Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali,

       d) Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi,

       e) Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi,

       f) Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi,

       g) Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir.

       (2) Elektronik haberleşmeye ilişkin başlıca zafiyetler;

       a) Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi,

       b) Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,

       c) Bir sistem veya protokolün kurulumu sırasında oluşan problemler,

       ç) Geliştiricilerin hataları,

       d) Uygulayıcıların hataları,

       e) Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir.

       Fiziksel alan güvenliği

       Madde 7 - (1) Bina içi güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:

       a) Giriş ve erişim yetkisi ile bu yetkinin kapsamı işletmeci tarafından önceden tanımlanarak, giriş ve erişim sadece yetkili kişilerle sınırlandırılır.

       b) Ziyaretçi giriş ve çıkışlarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girişi ve çıkışı sağlanır.

       c) Tüm personel ve personel harici kişiler, kimlik bilgilerini, yetki ve erişim seviyelerini açık bir şekilde görünür kılacak giriş veya kimlik kartı taşır.

       ç) Güvenlik hassasiyetli alanlara giriş ve erişim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir.

       (2) Bina dışı güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:

       a) Sahada yer alan, elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulur ve yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilir.

       b) Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.

       (3) Güvenlik hassasiyetli alanlarda ilave olarak aşağıdaki tedbirler alınır:

       a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamış çalışmalardan kaçınılır.

       b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girişini engellemek amacıyla gerekli önlemler alınır.

       c) Güvenlik hassasiyetli alanların, tehditlere karşı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.

       Personel güvenilirliği

       Madde 8 - (1) Elektronik haberleşme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da eğitim almış olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.

       (2) Elektronik haberleşme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.

       (3) Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.

       Veri güvenliği

       Madde 9 - (1) Veri güvenliği aşağıdaki hükümler uyarınca sağlanır:

       a) Veri erişim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.

       b) Yetki sınırları dahilinde erişim sağlanması için kullanılacak teknolojilerin seçimi, işletmecinin tasarrufundadır.

       Donanım-yazılım güvenliği ve güvenilirliği

       Madde 10 - (1) Elektronik haberleşme altyapılarında kullanılan donanım-yazılım güvenliği ve güvenilirliği aşağıdaki hükümler uyarınca sağlanır:

       a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.

       b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bileşenleri arasındaki iç haberleşmeyi sağlayan kablolu ve/veya kablosuz ağ yönetimi sadece yetkili kişiler tarafından erişilecek şekilde şifrelenir.

       c) Donanım-yazılım bileşenleri, herhangi bir güvenlik tehdidinin gerçekleşmesini önlemek üzere kontrol ve izleme altında tutulur.

       ç) Donanım-yazılım bileşenlerinin, yasal olmayan elektronik haberleşme dinleme ve/veya izleme tehdidi oluşturacak unsurları içerip içermediğini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bileşenlerinde bu tür bir unsurun varlığının saptanması durumunda ilgili bileşenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve oluşan tehdidi bertaraf edecek önlemler ivedilikle alınır.

       d) İşletmeci, elektronik haberleşmenin gizliliği, bütünlüğü ve devamlılığının sağlanması için kritik donanım-yazılım bileşenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bileşenlerinin yedekli çalışması esastır.

    ÜÇÜNCÜ BÖLÜM : İşletmecilerin Yükümlülükleri

       Elektronik haberleşme güvenliğini sağlama yükümlülüğü

       Madde 11 - (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

       (2) İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alır.

       Kuruma bilgi verme yükümlülüğü

       Madde 12 - (1) Elektronik haberleşme güvenliğine ilişkin rapor her yıl yenilenir ve Şubat ayı sonuna kadar Kuruma gönderilir. Söz konusu rapor;

       a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri,

       b) Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem planlarını,

       c) Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları

       içerir.

       Alt yüklenici firmadan sorumlu olma yükümlülüğü

       Madde 13 - (1) Alt yüklenici firma ile çalışılması halinde, alt yüklenici firma tarafından bu Yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin işletmeci tarafından yapıldığı kabul edilir.

    DÖRDÜNCÜ BÖLÜM : Çeşitli ve Son Hükümler

       Müeyyideler

       Madde 14 - (Mülga madde: 02/03/2009- 27157 S.R.G Yön/3.mad.)    

       Standarda uygunluğu sağlama

       Geçici Madde 1 - (1) Bu Yönetmeliğin yayımlanmasından önce yetkilendirilen işletmeciler, Yönetmeliğin yayımı tarihinden itibaren bir yıl içerisinde 11 inci maddede belirtilen standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

       Yürürlük

       Madde 15 - (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

       Yürütme

       Madde 16 - (1) (Değişik fıkra: 02/03/2009- 27157 S.R.G Yön/4.mad.) Bu Yönetmelik hükümlerini Kurul Başkanı yürütür.

    Mevzuat Kanunlar