YASAL DÜZENLEMELERDE SIZMA TESTİ GEREKLİLİĞİ

Sinem Varol, Danışman

Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi amaçlanır.

İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin güvenliği daha büyük tehlike altındadır.

Düzenli olarak sızma testi yaptırmak, olası açıklıkları saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur.

Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.

Bu yazının devamında tebliğler ve yönetmeliklerde belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği açıklanmıştır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

Aynı zamanda, bu tebliğe istinaden hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz 2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin asgari olarak kapsamı aşağıda verilmiştir.

o   İletişim Altyapısı ve Aktif Cihazlar

o   DNS Servisleri

o   Etki Alanı ve Kullanıcı Bilgisayarları

o   E-posta Servisleri

o   Veri Tabanı Sistemleri

o   Web Uygulamaları

o   Mobil Uygulamalar

o   Kablosuz Ağ Sistemleri

o   ATM Sistemleri

o   Dağıtık Servis Dışı Bırakma Testleri

o   Sosyal Mühendislik Testleri

·        Kurum, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir.

·        Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir defa sızma testi yaptırma gereklilikleri bulunmaktadır.

·        Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6 Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır. Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü tutulmuşlardır.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan organizasyonlardır.

Kişisel Verileri Koruma Kurumu

·        Ocak 2018’de yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi altında bu hususa yer vermiştir. Bu maddede bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları gerekmektedir.

Sermaye Piyasası Kurulu

·        Kurul tarafından 5 Ocak 2018 tarihinde Bilgi Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutuldukları belirtilmiştir. Aynı tebliğin Ek-1 Bilgi Sistemleri Sızma Testleri Usul ve Esasları dokümanında teknik gereklilikler açıklanmıştır. Ek-1’e göre sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda verilmiştir.

o   İletişim Altyapısı ve Aktif Cihazlar

o   DNS Servisleri

o   Etki Alanı ve Kullanıcı Bilgisayarları

o   E-posta Servisleri

o   Veri Tabanı Sistemleri

o   Web Uygulamaları

o   Mobil Uygulamalar

o   Kablosuz Ağ Sistemleri

o   Dağıtık Servis Dışı Bırakma Testleri

o   Sosyal Mühendislik Testleri

Gelir İdaresi Başkanlığı

·        19 Kasım 2019’da yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda yer alan sızma testi kapsamı aşağıda verilmiştir.

o   Ağ ve İletişim Altyapısı Testleri

o   İşletim Sistemi ve Platform Testleri

o   Uygulama Testleri

o   Veri Tabanı Testleri

o   Web Uygulamaları Testleri

o   Mobil Uygulama Testleri

Ulaştırma ve Altyapı Bakanlığı

·        Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.

Yukarıda bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet sağlayıcıları,

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,

o   Görev Sözleşmesi İmzalayan İşletmeciler

o   İmtiyaz Sözleşmesi İmzalayan İşletmeciler

o   Uydu Haberleşme Hizmeti Veren İşletmeciler

o   Altyapı İşletmeciliği Hizmeti Veren İşletmeciler

o   Sabit Telefon Hizmeti İşletmecileri

o   GMPCS Mobil Telefon Hizmeti Veren İşletmeciler

o   Sanal Mobil Şebeke Hizmeti İşletmecileri

o   İnternet Servis Sağlayıcıları

o   Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler

·        Enerji Piyasası Düzenleme Kurumunun (EPDK) yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        EPDK’nın yayınladığı Elektrik Piyasası Lisans Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        EPDK’nın yayınladığı Petrol Piyasası Lisans Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.

Özetleyecek olursak, sızma testlerinin düzenli olarak yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini daha güvenli hale getirmeleri için büyük bir fırsattır.

DÜZENLEMELERDE İŞ SÜREKLİLİĞİ VE ISO 22301 SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.

ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu ölçülmüş olur.

Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO 22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301 zorunluluğu getirilmiştir.

Gelir İdaresi Başkanlığı

·        Gelir İdaresi Başkanlığı tarafından 19 Kasım 2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi yaptırmaları gerekmektedir.

Bu yazının devamında tebliğlerde ve yönetmeliklerde yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO 22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda karşılanmış olacaktır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi, risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO 22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekmektedir.

·        4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını kapsamaktadır.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması, dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği” başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin gerçekleştirilmesi gerekliliklerine yer verilmiştir.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir.

-       Elektrik iletim lisansı sahibi

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama)

-       Ham petrol iletim lisansı sahibi

-       Rafinerici lisansı sahibi

Sermaye Piyasası Kurulu

·        Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar için en az yılda bir kez sızma testine tabi tutulma gerekliliği de belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir.

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Sonuç olarak, kritik faaliyetlerinin farkında olmak, risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde büyük katkılar sağlayacaktır.

DÜZENLEMELERDE BİLGİ GÜVENLİĞİ VE ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı sertifikasına sahip olmak bir kuruluşun bilgi güvenliği yönetim sistemini kurduğunun ve işlettiğinin göstergesidir. Bilgi güvenliği yönetim sistemini işletiyor olmak kuruluşun bu doğrultuda bir politikası olduğunu, bu sistemde kuruluşta görev sahibi olanların rol ve sorumluluklarının neler olduğunun belirlendiğini, bilgi güvenliği risk ve fırsatlarının yönetildiğini ve iç tetkiklerin yapıldığını gösterir.

ISO/IEC 27001 bilgi güvenliği yönetim sistemi işletiyor olmanın kuruluşa farklı açılardan birçok faydası mevcuttur. Bilgi güvenliği riskleri yönetildiğinde belirsizliğin amaçlar üzerindeki etkileri azaltılabilir veya ortadan kaldırılabilir, kullanıcıların ağ ve ağ hizmetlerine erişimi yönetilerek yetkisi olmayan kişilerin bilgiye erişimi kısıtlanabilir ya da ağ güvenliğinin yönetilmesiyle ve bilgi transfer sürecinde belirli kurallar uygulanarak kuruluşta haberleşme güvenliği sağlanabilir. Bunlar gibi birçok fayda kuruluşun fiziksel ve dijital ortamda bulunan tüm çalışan, müşteri ve ilgili üçüncü taraf bilgilerinin güvenliğini sağlamaya yardımcı olur.

ISO/IEC 27001 standardı ilk olarak 2005’te yayınlanmıştır. Daha sonra 2013 versiyonu ve son olarak da 2017 versiyonu yayınlanmıştır. Bu standartların Türkçeye çevrilmiş versiyonları TS ISO/IEC 27001:2005, TS ISO/IEC 27001:2013 ve TS ISO/IEC 27001:2017 şeklindedir. Standart ana maddelerinde bilgi güvenliği yönetim sisteminin kurulması için gerekli olan maddeler açıklanmıştır. Ayrıca, EK A kontrolleri olarak bilinen, standardın uygulanmasına yönelik referans kontrol amaçları ve kontroller sayesinde standarda uyum için yapılması gerekenler kuruluşlar tarafından daha net anlaşılmakta ve bilgi güvenliği yönetim sisteminin hayata geçirilmesi ve sürdürülmesi daha kontrollü olarak gerçekleşmektedir.

ISO/IEC 27001 standardı sertifikasına kuruluşlar kendi gerek gördüğü ve sahip olmak istedikleri takdirde sahip olabilir ya da bazı sektörler ve kuruluşlar için bu sertifikaya sahip olmak zorunlu hale gelmiştir. Bu yazının devamında, Türkiye’deki kanun, yönetmelik ve tebliğlerde yer aldığı üzere hangi kuruluşların ISO/IEC 27001 sertifikasına sahip olması gerektiği incelenmiştir.  

Bilgi Teknolojileri ve İletişim Kurumu

·        Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde 30 Ocak 2013 tarihinde yapılan değişiklikte elektronik sertifika hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyma zorunluluğu getirilmiştir.

·        25 Ağustos 2011 tarihli Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğde kayıtlı elektronik posta hizmet sağlayıcıları için TS ISO/IEC 27001 veya ISO/IEC 27001 standartlarına uyma zorunluluğu getirilmiştir.

·        15 Ekim 2010 tarihinde yayınlanan Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerini kapsamaktadır. Bu şirketlerin TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre sistem belgelendirmesi yapmak üzere akredite edilmiş kuruluşlardan alınması gereken bir uygunluk belgesine sahip olma yükümlülükleri bulunmaktadır. Bu kapsamda TS ISO/IEC 27001 veya ISO/IEC 27001 standardı uygunluk belgesi aranan işletmecilerin listesi aşağıda verilmiştir:

-       Görev Sözleşmesi İmzalayan İşletmeciler

-       İmtiyaz Sözleşmesi İmzalayan İşletmeciler

-       Uydu Haberleşme Hizmeti Veren İşletmeciler

-       Altyapı İşletmeciliği Hizmeti Veren İşletmeciler

-       Sabit Telefon Hizmeti İşletmecileri

-       GMPCS Mobil Telefon Hizmeti Veren İşletmeciler

-       Sanal Mobil Şebeke Hizmeti İşletmecileri

-       İnternet Servis Sağlayıcıları

-       Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler

Enerji Piyasası Düzenleme Kurumu

·        Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılan 26 Aralık 2014 tarihli değişiklikte iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişiler için çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmekle yükümlü tutulmuştur. Ayrıca, sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahipleri için de çalıştırdığı Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu getirilmiştir.

·        Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde bir değişiklik yapılmıştır. Bu yapılan değişiklikle birlikte, OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü getirilmiştir. Aynı yönetmelikte 24 Şubat 2017 tarihinde yapılan değişiklikle birlikte dağıtım lisans sahipleri için lisans alma tarihinden itibaren yirmi dört ay içerisinde OSB dağıtım lisansı sahipleri hariç olmak üzere, kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme yükümlülüğü getirilmiştir. Aynı yönetmelikte 23 Aralık 2015 tarihinde yapılan değişiklikle birlikte tedarik lisansı sahipleri için lisans alma tarihinden itibaren yirmi dört ay içerisinde TS ISO/IEC 27001 standardı için Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini Kuruma sunma yükümlülüğü getirilmiştir.

·        Petrol Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yapılan değişiklikle birlikte rafinerici lisans sahiplerine tesislerin devreye alınma tarihinden itibaren yirmi dört ay içerisinde kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletme zorunluluğu getirilmiştir.

Gümrük ve Ticaret Bakanlığı

·        21 Mayıs 2014 tarihinde yayınlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliğinde belirtildiği üzere yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişilerin yapacakları başvuruda ISO 27001 sertifikasının aslı veya düzenleyen kuruluş tarafından onaylı örneğini ibraz etmeleri gerekmektedir.

Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı

·        19 Kasım 2019 tarihinde yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzunda yer aldığı üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olma zorunluluğu bulunmaktadır. e-Belge denildiğinde e-Fatura, e-İrsaliye, e-Bilet, e-Arşiv gibi belgeleri kapsamaktadır. Aynı kılavuzda özel entegratörün yılda en az bir kez sızma testi yaptırması gerektiği belirtilmiştir.

    Ticaret Bakanlığı

·        Türkiye Cumhuriyeti Ticaret Bakanlığı, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat kapsamında, Türkiye Odalar ve Borsalar Birliği'ni ticari elektronik ileti izinlerinin ve şikâyet süreçlerinin yönetilebildiği ulusal bir platform kurmakla görevlendirmiştir. İleti Yönetim Sistemi A.Ş., Türkiye Odalar ve Borsalar Birliği tarafından bu amaçla hizmet vermek üzere kurulmuştur. 4 Ocak 2020 tarihinde Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayınlanmıştır. Bu yönetmelikte geçtiği üzere, Ticaret Bakanlığı tarafından ticari elektronik ileti yönetim sistemini kurmakla yetkilendirilen Kuruluş (İleti Yönetim Sistemi A.Ş.), ticari elektronik ileti gönderiminin aksamaması için gerekli teknik tedbiri almak ve İYS’ye yönelik Bakanlık tarafından istenen diğer iş ve işlemleri yürütmekle yükümlüdür. Bu kapsamda, İYS API (Application Programming Interface) lisansı kullanım hakkı elde ederek kendi müşterilerine İYS entegrasyon hizmeti sunan iş ortaklarının TÜRKAK onaylı ISO 27001 - Bilgi Güvenliği Yönetim Sistemi Sertifikası’na sahip olmaları veya bu belgenin altı ay içinde tamamlanacağını taahhüt etmeleri gerekmektedir.

Ulaştırma ve Altyapı Bakanlığı

·        21 Haziran 2017 tarihinde yayınlanan KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğde bahsedildiği üzere, KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşu kurmuş olduğu BGYS için, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgesini almakla ve güncelliğini sağlamakla yükümlüdür. Aynı tebliğde yer aldığı üzere KamuNet’e dâhil olan ya da olacak kamu kurumu ve kuruluşunun KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.

Bunların yanı sıra, bazı yönetmelik ve tebliğlerde de doğrudan ISO/IEC 27001 sertifikasının alınması şart koşulmadığı halde bir BGYS kurulması, teknik açıklıkların tespit edilmesi ya da risklerin yönetilmesi gibi konularda gereklilikler belirtilmiştir. Bu gereklilikler ISO/IEC 27001 standardına uyumlu hale gelindiğinde karşılanmış olacaktır diyebiliriz. Aşağıda BGYS kurulmasını gerektiren ya da ISO/IEC 27001 standardıyla ilişkilendirilebilen tebliğ ve yönetmeliklere yer verilmiştir.

Bankacılık Düzenleme ve Denetleme Kurumu

·        6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 5. maddesinde ödeme sistemi ve menkul kıymet mutabakat sistemi işleticisi olan tüzel kişilerin yeterli risk yönetimine sahip olmaları ve bilgi güvenliği ve güvenilirliğine dair tedbir almaları gerektiği belirtilmiştir. Kuruluşta BGYS faaliyete geçirildiği takdirde risk yönetimi süreci işletiliyor ve bilgi güvenliğine dair tedbirler hayata geçirilmiş olacaktır.

·        14 Eylül 2007 tarihli Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu tebliğde bu bankalar için etkin bir risk yönetimi yapılması, yeni projelerin getireceği risklerin yönetilmesi, verilerin gizlilik, bütünlük ve ulaşılabilirliklerini sağlamaya yönelik tedbirlerin alınması, verilerin hassasiyet derecelerine göre sınıflandırılması ve personelin güvenlik konusunda farkındalık kazanması gibi hususları yerine getirmeleri gerektikleri belirtilmiştir. Aynı zamanda bağımsız ekiplerce düzenli aralıklarla sızma testi yaptırılması gerektiğine yer verilmiştir. ISO/IEC 27001 standardına uyumlu hale gelindiğinde bu hususların tamamı yerine getirilmiş olur. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik mevduat, katılım, kalkınma ve yatırım bankalarını kapsamaktadır. Bu yönetmelikte bu bankaların bilgi varlıklarını sınıflandırarak varlık envanteri hazırlamaları, risk yönetim süreci tesis etmeleri, farkındalığı artıracak çalışmalar yapmaları, önemli projeler ve değişiklikler için bilgi güvenliği gereksinimlerini belirlemeleri gerektiği belirtilmiştir. Aynı zamanda bilgi güvenliği yönetim ve bilgi sistemleri süreklilik yönetim sistemlerinin ulusal veya uluslararası standartları ya da en iyi uygulamaları referans almalarının esas olduğu belirtilmiştir. Bu bankaların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiğine de yer verilmiştir. ISO/IEC 27001 standardına uyum süreci bu şartların tamamını kapsamaktadır. Bu yönetmelik 1 Temmuz 2020 tarihinde yürürlüğe girecektir.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde bilgi güvenliği yönetim sürecinin tesis edilmesi, personelin farkındalığının arttırılması, verilerin hassasiyet derecelerine göre sınıflandırılması, 2 yılda bir sızma testi yaptırılması gibi gerekliliklerden bahsedilmiştir. Aynı zamanda ISO/IEC 27001 standardına uyum ile ilişkilendirilebilir bilgi sistemleri sürekliliğinin sağlanması, erişim yönetimi yapılması gibi hususlar da mevcuttur.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde kuruluşun verileri güvenlik hassasiyet derecelerine göre sınıflandırmaları ve buna uygun derecede güvenlik kontrolleri tesis etmeleri, bilgi güvenliği politikası ve bilgi güvenliği yönetim süreci oluşturmaları, bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir. Bu tebliğ ödeme hizmeti sağlayan ve gerçekleştiren kuruluşları ve elektronik para ihraç eden kuruluşları kapsamaktadır. ISO/IEC 27001 standardına göre BGYS işletildiğinde gerekli görülen süreçler sağlanmış olacaktır.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihli Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu işletmecilerin BGYS’yi kurmaları, uygulamaları ve sürekliliğini sağlamaları gerekmektedir. Bunun yanı sıra varlık envanteri oluşturma, risk değerlendirme ve işleme yapılması, bilgi güvenliğinin farkındalığının arttırılması ve bilgi güvenliği olaylarının izlenmesi ve gözden geçirilmesi gibi hususlar da ISO/IEC 27001 standardının uygulanmasıyla birlikte yerine getirilecek gereklilikler arasında sayılabilir.

Enerji Piyasası Düzenleme Kurumu

·        Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğine belirtildiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberdeki kontrollerin öneri mahiyetinde olduğuna yer verilmiş, rehberin içinde de yazıldığı üzere EKS’lerin güvenliğinin denetlenmesi için bir el kitabı olma niteliğindedir. Rehberde ISO/IEC 27001 standardı ile ilişkilendirilebilir erişim kontrolü, risk değerlendirme, belirli aralıklarla sızma testi gerçekleştirilmesi, personel güvenliği ve bilgi güvenliği programının planlanması hususları bulunmaktadır. Standardın getirdiği gereklilikler, bu rehberde belirtilen güvenlik kontrolleri için büyük bir fayda sağlayacaktır. Yönetmelikte belirtildiği üzere yükümlü kuruluşlar aşağıdaki gibidir:

-       Elektrik iletim lisansı sahibi,

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi,

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama),

-       Ham petrol iletim lisansı sahibi,

-       Rafinerici lisansı sahibi tüzel kişiler.

Kişisel Verileri Koruma Kurumu

·        Kurumun Ocak 2018’de yayınladığı Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kişisel verileri işleyen gerçek ve tüzel kişiler için siber güvenliğin sağlanması, kişisel veri güvenliğinin takibi gibi konular üzerine öneriler sunmuştur. Bu rehberde belirtildiği üzere erişimin sınırlandırılması, düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması, risk ve tehditlerin belirlenip buna uygun önlemler alınması, farkındalık çalışmaları gibi hususlar ISO/IEC 27001 standardına uyumluluk ile örtüşmektedir. Rehberde bulunan teknik tedbirler özet tablosu aşağıda verilmiştir. Bu tablodaki teknik tedbirlerin, standardın Ek A kontrol maddeleriyle olan benzerliği gözden kaçmamalıdır.

Teknik Tedbirler
Yetki Matrisi	Şifreleme	Yedekleme
Yetki Kontrol	Sızma Testi	Güvenlik Duvarları
Erişim Logları	Saldırı Tespit ve Önleme Sistemleri	Güncel Anti-Virüs Sistemleri
Kullanıcı Hesap Yönetimi	Log Kayıtları	Silme, Yok Etme veya Anonim Hale Getirme
Ağ Güvenliği	Veri Maskeleme
Uygulama Güvenliği	Veri Kaybı Önleme Yazılımları	Anahtar Yönetimi

Sermaye Piyasası Kurulu

·        5 Ocak 2018 tarihinde yayınlanan Bilgi Sistemleri Yönetim Tebliğinde ele alındığı üzere bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikasının hazırlanması, risk yönetiminin gerçekleştirilmesi, bilgi varlıklarının envanterinin oluşturulması ve önem derecesine göre sınıflandırılması gibi hususlar ISO/IEC 27001 standardı ile ilişkilendirilebilir. Aynı zamanda erişim haklarının her yıl güncel durumla uyumlulukları açısından değerlendirmeye tabi tutulması, en az yılda bir kez sızma testi yaptırılması gibi hususlar da göz önünde bulundurulduğunda BGYS’nin hayata geçirilmesinin çok avantajlı olacağını söyleyebiliriz. Bu tebliğe uymakla yükümlü olan kurum, kuruluş ve ortaklıklar aşağıda verilmiştir:

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Dijital Dönüşüm Ofisi

·        6 Temmuz 2019’da yayınlanan Bilgi ve İletişim Güvenliği Tedbirleri Genelgesinde ağ güvenliği, kayıtların korunması, mobil cihaz güvenliği, personel güvenliği gibi hususlara değinilmiştir. Genelgede milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde “Bilgi ve İletişim Güvenliği Rehberi” oluşturulacağı açıklanmıştır. Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, rehberde yer verilen usul ve esaslara uyulması zorunlu tutulmuştur.

Türkiye Cumhuriyeti Merkez Bankası

·        9 Ocak 2016’da yayınlanan Ödeme ve Menkul Kıymet Mutabakat Sistemlerinde Kullanılan Bilgi Sistemleri Hakkında Tebliğde bilgi güvenliği yönetim sistemi oluşturulması, risk yönetim çerçevesi oluşturulması, değişiklik yönetimi gibi hususlara değinilmiştir. Ayrıca bilgi varlıklarının sınıflandırılması, yılda en az bir defa sızma testi gerçekleştirilmesi, personel farkındalığı gibi maddelere değinildiği de göz önünde bulundurulduğunda BGYS kurulması ve işletilmesinin uyum açısından oldukça faydalı olacağı söylenebilir.

Özetleyecek olursak, kuruluşlarda bilgi güvenliğine verilen önem ve yasal olarak getirilen zorunluluklar gün geçtikçe artmaktadır. ISO/IEC 27001 standardı baz alınarak kuruluşta bir bilgi güvenliği yönetim sistemi kurulduğunda erişim yönetimi, risk yönetimi, iç denetim, düzeltici faaliyetler gibi uygulamalar sayesinde kuruluşun hassas bilgilerinin yetkisiz kişilerin eline geçmesi, yetkisiz kişilerin bilgilerin bütünlüğünü bozması önlenmiş olur ve bilgilere ihtiyaç duyulduğunda erişilmesi sağlanmış olur. ISO/IEC 27001 standardına uyumla birlikte kuruluşların bilgi ifşasını önleyerek itibarının korunması, birlikte iş yapılan üçüncü taraflara bilgilerinin güvenliği konusunda güvence sağlanması, kuruluşa rekabet avantajı sağlaması ve yasal yükümlülüklerin yerine getirilmesi sebebiyle küçükten büyüğe tüm kuruluşların işletmesinde büyük faydalar sağlayacak bir yönetim sistemidir.