Telekomünikasyon Kurumundan:
ELEKTRONiK HABERLEŞME GÜVENLiĞi YöNETMELiĞi
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı, elektronik haberleşme güvenliğine ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.
(2) Kişisel bilgilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 4/2/1924 tarihli ve 406 sayılı Telgraf ve Telefon Kanununun 2 ve 4 üncü maddesi ile 5/4/1983 tarihli ve 2813 sayılı Telsiz Kanununun 7 nci maddesine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) Donanım-yazılım: Elektronik haberleşme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan taşınabilir ve sabit diskler ile bunlarda kullanılan yazılım bileşenlerini,
b) Elektronik haberleşme: Elektriksel işaretlere dönüştürülebilen her türlü işaret, sembol, ses, görüntü ve verinin kablo, telsiz, optik, elektrik, manyetik, elektromanyetik, elektrokimyasal, elektromekanik ve diğer iletim sistemleri vasıtasıyla iletilmesini, gönderilmesini ve alınmasını,
c) Elektronik haberleşme altyapısı: Elektronik haberleşmenin, üzerinden veya aracılığıyla gerçekleştirildiği anahtarlama ekipmanları, donanım ve yazılımlar, terminaller ve hatlar da dahil olmak üzere her türlü şebeke birimlerini,
ç) Elektronik haberleşme hizmeti: Elektronik haberleşme tanımına giren faaliyetlerin bir kısmının veya tamamının hizmet olarak sunulmasını,
d) Elektronik haberleşme şebekesi: Bir veya daha fazla nokta arasında elektronik haberleşmeyi sağlamak için bu noktalar arası bağlantıyı teşkil eden anahtarlama ekipmanları ve hatlar da dahil olmak üzere her türlü iletim sistemleri ağını,
e) Güvenlik hassasiyetli alan: Elektronik haberleşme altyapısının işletmeci kontrolündeki bölümlerini,
f) İşletmeci: Kurum tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketini,
g) Kurul: Telekomünikasyon Kurulunu,
ğ) Kurum: Telekomünikasyon Kurumunu,
h) Şifreleme: Veri muhteviyatının, yalnızca yetkili kişi ya da kurumlarca veya haberleşmeyi gerçekleştiren taraflarca bilinmesini sağlamak ve üçüncü şahıslarca elde edilmesini önlemek üzere, söz konusu verinin formunun özel bir şablona göre değiştirilmesini,
ı) Veri: Abone ya da kullanıcının elektronik haberleşme şebekesi üzerindeki konum, zaman, trafik bilgileri ile elektronik haberleşmenin içeriğini,
i) Veri güvenliği: Verinin gizliliği, bütünlüğü ve devamlılığının sağlanmasını
ifade eder.
İlkeler
MADDE 5 – (1) Bu Yönetmeliğin uygulanmasında aşağıda belirtilen temel ilkeler gözetilir:
a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, ayrım gözetmeme, düzenlilik, şeffaflık ve kaynakların etkin kullanılması,
b) Tüketici haklarının korunması,
c) Hizmet kalitesinin yükseltilmesi,
ç) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması.
İKİNCİ BÖLÜM
Elektronik Haberleşme Güvenliği Usul ve Esasları
Tehdit ve zafiyetler
MADDE 6 – (1) Elektronik haberleşmeye ilişkin başlıca tehditler;
a) Yetkisiz olarak veya yetki aşımıyla güvenlik hassasiyetli alana girilmesi,
b) Yetkisiz olarak veya yetki aşımıyla silme, ekleme, değiştirme, geciktirme, başka bir ortama kaydetme veya ifşa etme yoluyla veri gizliliğinin, bütünlüğünün ve/veya devamlılığının bozulması,
c) Donanım-yazılım bileşenlerinin ulusal düzenleme ile ulusal ve/veya uluslararası standartlar uyarınca belirlenen gereklilikleri yerine getirmesinin kısmen veya tamamen engellenmesi,
ç) Deprem, sel, su baskını, yangın gibi doğal afetler ile grev ve lokavt hali,
d) Kullanıcıyı yanıltarak doğru tarafla elektronik haberleşmede bulunduğu izleniminin verilmesi,
e) Elektronik haberleşmenin yasal olmayan bir şekilde izlenmesi ve/veya dinlenmesi,
f) Doğru olmayan bir bilgi üretilerek bu bilginin başka bir taraftan alındığının iddia edilmesi veya başka bir tarafa gönderilmesi,
g) Elektronik haberleşme altyapısının kısmen veya tamamen hizmet veremez hale getirilmesi veya altyapıya ait kaynakların, hizmet sunumunu aksatacak şekilde tüketilmesidir.
(2) Elektronik haberleşmeye ilişkin başlıca zafiyetler;
a) Gelecekte gerçekleşmesi muhtemel tehditlerin öngörülememesi,
b) Bir sistem veya protokolün tasarımında yapılan yanlışlıklar,
c) Bir sistem veya protokolün kurulumu sırasında oluşan problemler,
ç) Geliştiricilerin hataları,
d) Uygulayıcıların hataları,
e) Sistemin işletimi sırasında oluşan uygunsuzluklar veya yetersizliklerdir.
Fiziksel alan güvenliği
MADDE 7 – (1) Bina içi güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Giriş ve erişim yetkisi ile bu yetkinin kapsamı işletmeci tarafından önceden tanımlanarak, giriş ve erişim sadece yetkili kişilerle sınırlandırılır.
b) Ziyaretçi giriş ve çıkışlarında gerekli kontroller yapılarak, tarih, saat ve kimlik gibi bilgiler kaydedilerek, her ziyaretçinin sadece izin verilen yerlere girişi ve çıkışı sağlanır.
c) Tüm personel ve personel harici kişiler, kimlik bilgilerini, yetki ve erişim seviyelerini açık bir şekilde görünür kılacak giriş veya kimlik kartı taşır.
ç) Güvenlik hassasiyetli alanlara giriş ve erişim yetkisi, düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir.
(2) Bina dışı güvenlik hassasiyetli alanlarda aşağıdaki hükümler uygulanır:
a) Sahada yer alan, elektronik haberleşme altyapısını içeren bina, kule, dolap ve kutu gibi güvenlik riski oluşturabilecek alt yapı bileşenlerine erişim kontrol altında tutulur ve yetkisiz kişilerin kolaylıkla erişim sağlayamayacağı şekilde tesis edilir.
b) Elektronik haberleşme maksatlı kullanılan kule ve saha dolapları, yetkisiz kişilerin müdahale etmesini engellemek amacıyla uyarıcı levhalar ile donatılır.
(3) Güvenlik hassasiyetli alanlarda ilave olarak aşağıdaki tedbirler alınır:
a) Kötü niyetli faaliyetleri engellemek amacıyla planlanmamış çalışmalardan kaçınılır.
b) Ses ve/veya video kayıt cihazlarının güvenlik hassasiyetli alanlara, izinsiz olarak girişini engellemek amacıyla gerekli önlemler alınır.
c) Güvenlik hassasiyetli alanların, tehditlere karşı korunması amacıyla fiziki güvenlik tedbirleri planlanır ve gerekli önlemler alınır.
Personel güvenilirliği
MADDE 8 – (1) Elektronik haberleşme altyapısında istihdam edilen teknik personel, konusunda yeterli mesleki deneyime sahip ya da eğitim almış olmalıdır. Bu personelin görev tanım ve sorumlulukları açıkça belirlenmelidir.
(2) Elektronik haberleşme altyapısında istihdam edilecek personel hakkında adli sicil kaydı belgesi istenir.
(3) Personelin haberleşme gizliliğine, milli güvenliğe ve kamu düzenine aykırı davranışta bulunmaması için her türlü önlem alınarak, işlerin ve hizmetlerin düzenli yürütülmesi sağlanır.
Veri güvenliği
MADDE 9 – (1) Veri güvenliği aşağıdaki hükümler uyarınca sağlanır:
a) Veri erişim yetkisi ve bu yetkinin kapsamı, veri türüne göre önceden belirlenir ve kayıt altına alınır.
b) Yetki sınırları dahilinde erişim sağlanması için kullanılacak teknolojilerin seçimi, işletmecinin tasarrufundadır.
Donanım-yazılım güvenliği ve güvenilirliği
MADDE 10 – (1) Elektronik haberleşme altyapılarında kullanılan donanım-yazılım güvenliği ve güvenilirliği aşağıdaki hükümler uyarınca sağlanır:
a) Donanım-yazılımın ulusal düzenleme ile ulusal ve/veya uluslararası standartlara uygun olması sağlanır.
b) Aynı fiziksel alanda ve/veya farklı fiziksel alanlarda bulunan donanım-yazılım bileşenleri arasındaki iç haberleşmeyi sağlayan kablolu ve/veya kablosuz ağ yönetimi sadece yetkili kişiler tarafından erişilecek şekilde şifrelenir.
c) Donanım-yazılım bileşenleri, herhangi bir güvenlik tehdidinin gerçekleşmesini önlemek üzere kontrol ve izleme altında tutulur.
ç) Donanım-yazılım bileşenlerinin, yasal olmayan elektronik haberleşme dinleme ve/veya izleme tehdidi oluşturacak unsurları içerip içermediğini belirlemek üzere satın alma, kullanım, bakım ve onarım sırasında kontrolleri yapılır. Donanım-yazılım bileşenlerinde bu tür bir unsurun varlığının saptanması durumunda ilgili bileşenin kullanımına son verilir. Bu durum kayıt altına alınarak raporlanır ve oluşan tehdidi bertaraf edecek önlemler ivedilikle alınır.
d) İşletmeci, elektronik haberleşmenin gizliliği, bütünlüğü ve devamlılığının sağlanması için kritik donanım-yazılım bileşenlerinin tespitini yapar. Tespit edilen kritik donanım-yazılım bileşenlerinin yedekli çalışması esastır.
ÜÇÜNCÜ BÖLÜM
İşletmecilerin Yükümlülükleri
Elektronik haberleşme güvenliğini sağlama yükümlülüğü
MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
(2) İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6 ncı maddede belirtilen tehdit ve zafiyetler olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli önlemleri alır.
Kuruma bilgi verme yükümlülüğü
MADDE 12 – (1) Elektronik haberleşme güvenliğine ilişkin rapor her yıl yenilenir ve Şubat ayı sonuna kadar Kuruma gönderilir. Söz konusu rapor;
a) 11 inci madde kapsamında yapılan risk analizinde tespit edilen tehdit ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri,
b) Bir tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem planlarını,
c) Donanım-yazılım bileşenlerinin kurulumu, kullanımı ve işletimi ile bakım ve onarımı sırasında ortaya çıkan ve raporlanan problem ile uygunsuzlukları
içerir.
Alt yüklenici firmadan sorumlu olma yükümlülüğü
MADDE 13 – (1) Alt yüklenici firma ile çalışılması halinde, alt yüklenici firma tarafından bu Yönetmelik hükümlerinin ihlal edilmesi durumunda söz konusu ihlalin işletmeci tarafından yapıldığı kabul edilir.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Müeyyideler
MADDE 14 – (1) Bu Yönetmelik hükümlerinin ihlali durumunda; 5/9/2004 tarihli ve 25574 sayılı Resmi Gazete’de yayımlanan Telekomünikasyon Kurumu Tarafından İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelikte söz konusu ihlale karşılık gelen idari para ceza oranları uygulanır. İdari para cezalarının uygulanması, tahsili, ihlalin tekerrürü gibi durumlarda, söz konusu Yönetmelik hükümleri uygulanır.
(2) Birinci fıkrada belirtilen Yönetmelikte yer almayan; haberleşmenin güvenliğine yönelik tehdit ve zafiyetlere ilişkin gerekli önlemlerin alınmaması ile bina içi ve dışı güvenlik hassasiyetli alanlarda yeterli önlemlerin alınmaması durumunda işletmecinin bir önceki takvim yılındaki cirosunun % 1 (yüzde bir)’ine kadar idari para cezası uygulanır. Kurul tarafından gerekli görülen durumlarda idari para cezası verilmeden önce, ilgili işletmeciye söz konusu durumun düzeltilmesi için yeterli süre verilebilir.
Standarda uygunluğu sağlama
GEÇİCİ MADDE 1 – (1) Bu Yönetmeliğin yayımlanmasından önce yetkilendirilen işletmeciler, Yönetmeliğin yayımı tarihinden itibaren bir yıl içerisinde 11 inci maddede belirtilen standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Yürürlük
MADDE 15 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Yönetmelik hükümlerini Telekomünikasyon Kurulu Başkanı yürütür.