5809 sayılı kanun

5809 sayılı kanunun amacı;
(Elektronik haberleşme sektöründe şebeke ve bilgi güvenliği yönetmeliği)

Bu Yönetmeliğin amacı, şebeke ve bilgi güvenliğinin sağlanmasına yönelik olarak işletmecilerin uyacakları usul ve esasları düzenlemektir. Elektronik haberleşme hizmetlerinin yürütülmesi ve elektronik haberleşme alt yapı ve şebekesinin tesisi ve işletilmesi ile her türlü elektronik haberleşme cihaz ve sistemlerinin imali, ithali, satışı, kurulması, işletilmesi, frekans dahil kaynakların planlaması ve tahsisi ile bu konulara ilişkin düzenleme, yetkilendirme, denetleme ve uzlaştırma faaliyetlerinin yürütülmesi bu Kanuna tabidir.


Bu Yönetmelikte geçen tanımlar ve kısaltmalar;

Belgelendirme kuruluşu: TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgelendirme yapmak üzere akredite edilmiş kurum veya kuruluşu kapsar.

BGYS standardı: TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarını kapsar.


Bilgi güvenliği yönetim sistemi (BGYS): Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, doküman edilmiş, işletmecinin yöneticisi veya yönetim heyeti tarafından kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütünüdür.


Bütünlük: Varlıkların doğruluğunu ve tamlığını koruma özelliğinde olması.


Donanım: Elektronik haberleşme altyapısı, bilgisayarlar, veri kaydetmek için kullanılan taşınabilir veya sabit disklerin çalışır olması.


Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğinin aktif edilmiş olması.


Gizlilik: Bilginin yetkisiz kişiler, varlıklar ya da süreçler tarafından erişilememesini, kullanılamamasını sağlayacak, depolanmamasını, başka bir ortama kaydedilmemesini veya ifşa edilmemesini sağlamak gibi güvenlik önlemlerinin alınması.


İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketin direktörü.


Köle bilgisayar: Herhangi bir amaçla kullanılmak üzere, zararlı yazılımlar veya kötü niyetli kişiler tarafından uzaktan yönetilen internete bağlı virüslü bilgisayar.


Kritik bilgi: Değiştirilmesi, bozulması, kaybolması, kötüye kullanılması veya yetkisiz bir şekilde ifşa edilmesi durumunda şebeke ve bilgi güvenliği açısından zararlara yol açacak bilgiyi tutan veri veya veriler.


Kritik sistem: İşletmecinin kontrolü altında yer alan elektronik haberleşme altyapısı ile işlevselliğinin bozulması halinde veya maruz kalacağı etkiler neticesinde şebeke ve bilgi güvenliğini zafiyete uğratabilecek sistemler tarafından izole edilmiş sistemlerdir.


Risk değerlendirme: Risklerin analizi, seviyelerinin tanımlanması, derecelendirilmesi ve tahmin edilmesi ile kabul edilebilir risk seviyesinin belirlenmesini sağlamak.


Risk işleme: Riski azaltmaya yönelik önlemlerin seçilmesi ve uygulanması ile kabul edilen risklerin gerekçelerinin belirlenmesini sağlayıp bu önlemleri işleme.


Risk temelli değerlendirme: Abone sayısı, yıllık net satış, müşteri beklentileri, yasal ve düzenleyici yükümlülükler, hizmet verilen yerleşim alanları, işletilen altyapının kritikliği veya büyüklüğü gibi kriterler dikkate alınarak kurum tarafından yapılan değerlendirme.


Siber Güvenlik Kurulu: Olan ve oluşabilecek tehditlerin önüne geçilmesi için kurulan kuruldur.


SOME: Siber olaylara müdahale ekibi.


USOM: 20/6/2013 tarihli ve 28683 sayılı Resmî Gazete’de yayımlanan 2013/4890 sayılı Bakanlar Kurulu Kararı’nın ekinde yer alan Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nın 4 üncü maddesi gereğince kurulan ulusal siber olaylara müdahale merkezi.


Sistem kayıt dosyalarının tutulması:

İşletmeci, istenmeyen veri işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar. Kullanıcı kimliklerinin saklanması. Oturum açma ve kapatma, veri ekleme, silme, değiştirme gibi işlemlerin tarihi, zamanı ve açıklamaları gibi kayıtlar alınmalıdır. Bağlantı sağlanan ekipmanın kimliği ve yeri kayıtları alınmalıdır. Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları alınmalıdır. Sistem ayarlarındaki değişiklikler kayıt alınmalıdır. Kullanılan özel izinleri ve ayrıcalıkları. Sistem araçlarının ve uygulamalarının kullanımı.


İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar. Erişilen dosyalar ve erişimin tipi. Ağ adresleri. Erişim kontrol sistemi tarafından üretilen alarmlar. Anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif veya pasif hale getirilmeleri. Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri. Sistem yöneticileri tarafından yapılan işlemler. Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar.


Sistem yöneticilerinin kendi işlemlerine ilişkin kayıt dosyalarını silmelerini veya değiştirmelerini engelleyecek önlemler alınmalıdır. Kayıt dosyaları değişikliğe ve yetkisiz erişime karşı korunmasını sağlamalıyız.

28 görüntüleme0 yorum

İlgili Yazılar

Hepsini Gör