BTK, elektronik haberleşme güvenliğinin sağlanmasına yönelik olarak işletmecilerin uyacakları usul ve esasları düzenleyen Elektronik Haberleşme Güvenliği Yönetmeliği Taslağı’nı kamuoyu görüşüne açtı.
Taslağın mevcut haliyle yürürlüğe girmesi durumunda, elektronik haberleşme hizmeti sunan, alt yapı sağlayan ve işleten işletmeciler, bünyelerinde Siber Olaylara Müdahale Ekibi (SOME) kuracak ve ulusal siber güvenliğin sağlanmasına ilişkin Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) koordinesinde ve belirlediği esaslar çerçevesinde gerekli tedbirleri alacak.
Sunucular, yönlendiriciler ve diğer şebeke elemanlarının; hizmet dışı bırakma ve dağıtık hizmet dışı bırakma saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde sinyal işleme kontrolü, kullanıcı yetkilendirme ve erişim kontrolleri gibi mekanizmalar kullanılacak.
İşletmeciler söz konusu saldırılara karşı, USOM ile koordinasyon içerisinde hedef alınan sisteme yönlendirilen saldırı paketlerinin filtrelenmesini sağlayacak, saldırılarda kullanılan haberleşme portunu kısıtlayacak. Siber saldırı kaynağının kendi abonesi olması durumunda ilgili abonenin bilgilendirilmesi ve abone tarafından talep edilmesi halinde sunulan haberleşme hizmetinin askıya alınmasını sağlayacak.
Zararlı yazılımların yayılmasını sağlayan elektronik mesajlar
İşletmeciler, zararlı yazılımların yayılmasını sağlayan istenmeyen elektronik mesajları da engelleyecek. Siber saldırı kaynağının başka bir işletmecinin abonesi olması durumunda ise işletmeci, gerekli önlemlerin alınması için USOM’u bilgilendirecek. İşletmeci, köle bilgisayar ağlarının yönetilmesi veya zararlı yazılım yayılması gibi siber saldırılarda kullanılan sistemlere ilişkin trafiği, USOM’un belirlediği noktalara yönlendirecek.
Bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla bilgisayar virüsleri, solucanlar, turuva atları gibi zararlı kodlara karşı gerekli önlemleri almak da işletmecinin sorumluluğunda olacak. Ayrıca işletmeci, lisanssız yazılım kullanımına izin vermeyecek. Dış ağlar aracılığıyla dosya veya yazılım indirilmesi ve kullanılmasında uygulanacak güvenlik önlemleri belirleyecek.
Yedekleme yapılacak
İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak tüm bilgi ve yazılımların kurtarılmasına imkan verecek şekilde yedek alınmasını sağlayacak. Ayrıca elektronik ortamda tutulan bilgilerin yetkisiz olarak erişilmesine, değiştirilmesine, silinmesine ve zarar görmesine karşın gerekli önlemleri alacak. Kritik bilgiler içeren elektronik ortamların kullanımdan kaldırılması durumunda bilgi kaybına ve sızmasına imkan vermeyecek şekilde güvenli olarak bertaraf edilmesini sağlayacak.
İşletmeciler, büyük çaplı etkiye sahip bilgi güvenliği ihlallerini ve iş sürekliliğini kesintiye uğratan olayları, kuruma en hızlı şekilde bildirecek. Söz konusu bildirim asgari olarak; olayın gerçekleşme zamanını, niteliğini, etkisini, süresini ve alınan önlemleri içerecek.
Felaket kurtarma merkezi
İşletmeciler, bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili sistemlerin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kuracaklar.
Felaket kurtarma merkezi kurma yükümlülüğüne tabi olan işletmeci, yükümlülük durumunun değiştiği yılın sonu itibariyle iki yıl içerisinde felaket kurtarma merkezi kurmakla yükümlü olacak.
Yönetmelik hükümlerinin ihlali durumunda; işletmecinin bir önceki takvim yılındaki net satış değerinin yüzde 1′ine kadar idari para cezası uygulanacak.
Kaynak
Taslağın mevcut haliyle yürürlüğe girmesi durumunda, elektronik haberleşme hizmeti sunan, alt yapı sağlayan ve işleten işletmeciler, bünyelerinde Siber Olaylara Müdahale Ekibi (SOME) kuracak ve ulusal siber güvenliğin sağlanmasına ilişkin Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) koordinesinde ve belirlediği esaslar çerçevesinde gerekli tedbirleri alacak.
Sunucular, yönlendiriciler ve diğer şebeke elemanlarının; hizmet dışı bırakma ve dağıtık hizmet dışı bırakma saldırıları, zararlı yazılım yayılması gibi siber saldırılara karşı korunması amacıyla, haberleşme hizmetinin tipi de dikkate alınarak, IP adreslerinde, haberleşme portlarında ve uygulama protokollerinde sinyal işleme kontrolü, kullanıcı yetkilendirme ve erişim kontrolleri gibi mekanizmalar kullanılacak.
İşletmeciler söz konusu saldırılara karşı, USOM ile koordinasyon içerisinde hedef alınan sisteme yönlendirilen saldırı paketlerinin filtrelenmesini sağlayacak, saldırılarda kullanılan haberleşme portunu kısıtlayacak. Siber saldırı kaynağının kendi abonesi olması durumunda ilgili abonenin bilgilendirilmesi ve abone tarafından talep edilmesi halinde sunulan haberleşme hizmetinin askıya alınmasını sağlayacak.
Zararlı yazılımların yayılmasını sağlayan elektronik mesajlar
İşletmeciler, zararlı yazılımların yayılmasını sağlayan istenmeyen elektronik mesajları da engelleyecek. Siber saldırı kaynağının başka bir işletmecinin abonesi olması durumunda ise işletmeci, gerekli önlemlerin alınması için USOM’u bilgilendirecek. İşletmeci, köle bilgisayar ağlarının yönetilmesi veya zararlı yazılım yayılması gibi siber saldırılarda kullanılan sistemlere ilişkin trafiği, USOM’un belirlediği noktalara yönlendirecek.
Bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla bilgisayar virüsleri, solucanlar, turuva atları gibi zararlı kodlara karşı gerekli önlemleri almak da işletmecinin sorumluluğunda olacak. Ayrıca işletmeci, lisanssız yazılım kullanımına izin vermeyecek. Dış ağlar aracılığıyla dosya veya yazılım indirilmesi ve kullanılmasında uygulanacak güvenlik önlemleri belirleyecek.
Yedekleme yapılacak
İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak tüm bilgi ve yazılımların kurtarılmasına imkan verecek şekilde yedek alınmasını sağlayacak. Ayrıca elektronik ortamda tutulan bilgilerin yetkisiz olarak erişilmesine, değiştirilmesine, silinmesine ve zarar görmesine karşın gerekli önlemleri alacak. Kritik bilgiler içeren elektronik ortamların kullanımdan kaldırılması durumunda bilgi kaybına ve sızmasına imkan vermeyecek şekilde güvenli olarak bertaraf edilmesini sağlayacak.
İşletmeciler, büyük çaplı etkiye sahip bilgi güvenliği ihlallerini ve iş sürekliliğini kesintiye uğratan olayları, kuruma en hızlı şekilde bildirecek. Söz konusu bildirim asgari olarak; olayın gerçekleşme zamanını, niteliğini, etkisini, süresini ve alınan önlemleri içerecek.
Felaket kurtarma merkezi
İşletmeciler, bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili sistemlerin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kuracaklar.
Felaket kurtarma merkezi kurma yükümlülüğüne tabi olan işletmeci, yükümlülük durumunun değiştiği yılın sonu itibariyle iki yıl içerisinde felaket kurtarma merkezi kurmakla yükümlü olacak.
Yönetmelik hükümlerinin ihlali durumunda; işletmecinin bir önceki takvim yılındaki net satış değerinin yüzde 1′ine kadar idari para cezası uygulanacak.
Kaynak
