Sermaye Piyasas\u0131 Kurulundan:<\/p>\n
B\u0130LG\u0130 S\u0130STEMLER\u0130 Y\u00d6NET\u0130M\u0130NE \u0130L\u0130\u015eK\u0130N USUL VE ESASLAR TEBL\u0130\u011e\u0130<\/p>\n
(VII-128.10)<\/p>\n
B\u0130R\u0130NC\u0130 B\u00d6L\u00dcM<\/p>\n
Ba\u015flang\u0131\u00e7 H\u00fck\u00fcmleri<\/p>\n
Ama\u00e7<\/p>\n
MADDE 1- (1) Bu Tebli\u011fin amac\u0131, 2 nci maddede say\u0131lan Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemlerinin y\u00f6netimine ili\u015fkin usul ve esaslar\u0131 belirlemektir.<\/p>\n
Kapsam<\/p>\n
MADDE 2- (1) A\u015fa\u011f\u0131daki Kurum, Kurulu\u015f ve Ortakl\u0131klar, bu Tebli\u011f h\u00fck\u00fcmlerine uymakla y\u00fck\u00fcml\u00fcd\u00fcrler:<\/p>\n
a) Borsa \u0130stanbul A.\u015e.,<\/p>\n
b) Borsalar ve piyasa i\u015fleticileri ile te\u015fkilatlanm\u0131\u015f di\u011fer pazar yerleri,<\/p>\n
c) Emeklilik yat\u0131r\u0131m fonlar\u0131,<\/p>\n
\u00e7) \u0130stanbul Takas ve Saklama Bankas\u0131 A.\u015e.,<\/p>\n
d) Merkezi Kay\u0131t Kurulu\u015fu A.\u015e.,<\/p>\n
e) Portf\u00f6y saklay\u0131c\u0131s\u0131 kurulu\u015flar,<\/p>\n
f) Sermaye Piyasas\u0131 Lisanslama Sicil ve E\u011fitim Kurulu\u015fu A.\u015e.,<\/p>\n
g) Sermaye piyasas\u0131 kurumlar\u0131,<\/p>\n
\u011f) Halka a\u00e7\u0131k ortakl\u0131klar,<\/p>\n
h) T\u00fcrkiye Sermaye Piyasalar\u0131 Birli\u011fi,<\/p>\n
\u0131) T\u00fcrkiye De\u011ferleme Uzmanlar\u0131 Birli\u011fi,<\/p>\n
i) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar.<\/p>\n
(2) Birinci f\u0131krada say\u0131lan Kurum, Kurulu\u015f ve Ortakl\u0131klardan, 6\/12\/2012 tarihli ve 6362 say\u0131l\u0131 Sermaye Piyasas\u0131 Kanununun 136 nc\u0131 maddesi uyar\u0131nca banka ve sigorta \u015firketleri ile 21\/11\/2012 tarihli ve 6361 say\u0131l\u0131 Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman \u015eirketleri Kanunu uyar\u0131nca finansal kiralama, faktoring, finansman ve tasarruf finansman \u015firketlerinin bilgi sistemlerinin, kendi \u00f6zel mevzuatlar\u0131nda belirlenen ilkeler \u00e7er\u00e7evesinde y\u00f6netilmesi, bu Tebli\u011fde \u00f6ng\u00f6r\u00fclen y\u00fck\u00fcml\u00fcl\u00fcklerin yerine getirilmesi h\u00fckm\u00fcndedir.<\/p>\n
Dayanak<\/p>\n
MADDE 3- (1) Bu Tebli\u011f, 6\/12\/2012 tarihli ve 6362 say\u0131l\u0131 Sermaye Piyasas\u0131 Kanununun 128 inci maddesinin birinci f\u0131kras\u0131n\u0131n (h) bendine dayan\u0131larak haz\u0131rlanm\u0131\u015ft\u0131r.<\/p>\n
Tan\u0131mlar ve k\u0131saltmalar<\/p>\n
MADDE 4- (1) Bu Tebli\u011fde ge\u00e7en;<\/p>\n
a) API: Bir yaz\u0131l\u0131m\u0131n ba\u015fka bir yaz\u0131l\u0131mda tan\u0131mlanm\u0131\u015f i\u015flevleri kullanabilmesi i\u00e7in olu\u015fturulmu\u015f uygulama programlama ara y\u00fcz\u00fcn\u00fc,<\/p>\n
b) Bilgi g\u00fcvenli\u011fi ihlali: Bilgi sistemlerinin veya bu sistemler taraf\u0131ndan i\u015flenen bilginin gizlilik, b\u00fct\u00fcnl\u00fck veya eri\u015filebilirli\u011finin ihlal edilmesini veya te\u015febb\u00fcste bulunulmas\u0131n\u0131, siber olay\u0131,<\/p>\n
c) Bilgi sistemleri: Bilginin i\u015flendi\u011fi, iletildi\u011fi ve sakland\u0131\u011f\u0131 yaz\u0131l\u0131m, donan\u0131m ve ileti\u015fim altyap\u0131s\u0131 ile bunlarla etkile\u015fimde bulunan insan kayna\u011f\u0131, faaliyet ve s\u00fcre\u00e7lerin t\u00fcm\u00fcn\u00fc,<\/p>\n
\u00e7) Bilgi varl\u0131\u011f\u0131: Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n Kanundan ve Kanuna ili\u015fkin alt d\u00fczenlemelerden kaynaklanan g\u00f6revlerini yerine getirmeleri esnas\u0131nda kulland\u0131klar\u0131 veri ile bunlar\u0131n \u00fcretildi\u011fi, i\u015flendi\u011fi, iletildi\u011fi ve sakland\u0131\u011f\u0131 donan\u0131m ve yaz\u0131l\u0131m unsurlar\u0131n\u0131,<\/p>\n
d) Birincil sistemler: Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n Kanundan ve Kanuna ili\u015fkin alt d\u00fczenlemelerden kaynaklanan g\u00f6revlerini yerine getirmeleri i\u00e7in gerekli bilgilerin elektronik ortamda g\u00fcvenli ve istenildi\u011fi an eri\u015fime imk\u00e2n sa\u011flayacak \u015fekilde kaydedilmesini ve kullan\u0131lmas\u0131n\u0131 sa\u011flayan altyap\u0131, donan\u0131m, yaz\u0131l\u0131m ve veriden olu\u015fan sistemin tamam\u0131n\u0131,<\/p>\n
e) B\u00fct\u00fcnl\u00fck: Bilginin do\u011frulu\u011fu ve taml\u0131\u011f\u0131n\u0131 koruma \u00f6zelli\u011fini,<\/p>\n
f) \u00c7ok fakt\u00f6rl\u00fc kimlik do\u011frulama: Kimlik do\u011frulama i\u015fleminin; ki\u015finin bildi\u011fi, ki\u015finin sahip oldu\u011fu veya ki\u015finin biyometrik karakteristi\u011fi olan do\u011frulama fakt\u00f6rleri aras\u0131ndan iki veya daha fazla farkl\u0131 fakt\u00f6r\u00fcn kullan\u0131larak ger\u00e7ekle\u015ftirilmesini,<\/p>\n
g) Denetim izi: Bilgi sistemleri arac\u0131l\u0131\u011f\u0131yla ger\u00e7ekle\u015fen i\u015flemlerin ve bilgi g\u00fcvenli\u011fi ihlal olaylar\u0131n\u0131n ba\u015flang\u0131c\u0131ndan bitimine kadar ad\u0131m ad\u0131m takip edilmesini sa\u011flayacak kay\u0131tlar ile bu kay\u0131tlar \u00fczerinde yap\u0131lan i\u015flemleri g\u00f6steren kay\u0131tlar\u0131,<\/p>\n
\u011f) Eri\u015filebilirlik: Bilginin yetkili kullan\u0131c\u0131, uygulama veya sistem taraf\u0131ndan talep edildi\u011finde eri\u015filebilir ve kullan\u0131labilir olma \u00f6zelli\u011fini,<\/p>\n
h) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullan\u0131c\u0131, uygulama veya sistem taraf\u0131ndan eri\u015filebilmesini,<\/p>\n
\u0131) G\u00fcvenli alan: Bilgi i\u015fleme, ileti\u015fim ve depolama donan\u0131mlar\u0131n\u0131 bar\u0131nd\u0131ran alan\u0131,<\/p>\n
i) Hassasiyet: Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n b\u00fcnyesinde saklanan, m\u00fc\u015fterilere ait olan ve \u00fc\u00e7\u00fcnc\u00fc ki\u015filerce ele ge\u00e7irilmesi halinde ilgili ki\u015finin zarar g\u00f6rmesine, doland\u0131r\u0131lmas\u0131na ya da sahte i\u015flem yap\u0131lmas\u0131na sebep olabilecek verinin niteli\u011fini,<\/p>\n
j) \u0130kincil sistemler: Birincil sistemler arac\u0131l\u0131\u011f\u0131 ile y\u00fcr\u00fct\u00fclen faaliyetlerde bir kesinti olmas\u0131 halinde, bu faaliyetlerin i\u015f s\u00fcreklili\u011fi plan\u0131nda belirlenen kabul edilebilir kesinti s\u00fcreleri i\u00e7erisinde s\u00fcrd\u00fcr\u00fcl\u00fcr hale getirilmesini ve Kanunda ve Kanuna ili\u015fkin alt d\u00fczenlemelerde Kurum, Kurulu\u015f ve Ortakl\u0131klar i\u00e7in tan\u0131mlanan sorumluluklar\u0131n yerine getirilmesi a\u00e7\u0131s\u0131ndan gerekli olan b\u00fct\u00fcn bilgilere kesintisiz ve istenildi\u011fi an eri\u015filmesini sa\u011flayan birincil sistemin t\u00fcm yedeklerini,<\/p>\n
k) Kanun: 6\/12\/2012 tarihli ve 6362 say\u0131l\u0131 Sermaye Piyasas\u0131 Kanununu,<\/p>\n
l) Ki\u015fisel veri: 24\/3\/2016 tarihli ve 6698 say\u0131l\u0131 Ki\u015fisel Verilerin Korunmas\u0131 Kanununda tan\u0131mlanan ki\u015fisel veriyi,<\/p>\n
m) Kontrol: Bilgi sistemleri s\u00fcre\u00e7leriyle ilgili olarak ger\u00e7ekle\u015ftirilen ve i\u015f hedeflerinin ger\u00e7ekle\u015ftirilmesi, istenmeyen olaylar\u0131n belirlenmesi, engellenmesi ve d\u00fczeltilmesine ili\u015fkin yeterli derecede g\u00fcvence olu\u015fturmay\u0131 hedefleyen politikalar, prosed\u00fcrler, uygulamalar ve organizasyonel yap\u0131lar\u0131n tamam\u0131n\u0131,<\/p>\n
n) Kripto varl\u0131k hizmet sa\u011flay\u0131c\u0131: Platformlar\u0131, kripto varl\u0131k saklama hizmeti sa\u011flayan kurulu\u015flar\u0131 ve kripto varl\u0131klar\u0131n ilk sat\u0131\u015f ya da da\u011f\u0131t\u0131m\u0131 d\u00e2hil olmak \u00fczere kripto varl\u0131klarla ilgili olarak hizmet sa\u011flamak \u00fczere belirlenmi\u015f di\u011fer kurulu\u015flar\u0131,<\/p>\n
o) Kritiklik: Bilgi varl\u0131\u011f\u0131n\u0131n, Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n i\u015f hedeflerine ula\u015fmas\u0131ndaki \u00f6nemini veya gereklili\u011fini belirten niteli\u011fini,<\/p>\n
\u00f6) Kullan\u0131c\u0131: Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemlerinde kendisi ad\u0131na hesap a\u00e7\u0131lan Kurum, Kurulu\u015f ve Ortakl\u0131klar personelini, d\u0131\u015far\u0131dan hizmet sa\u011flay\u0131c\u0131n\u0131n personelini veya Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n m\u00fc\u015fterisini,<\/p>\n
p) Kurul: Sermaye Piyasas\u0131 Kurulunu,<\/p>\n
r) Kurum, Kurulu\u015f ve Ortakl\u0131klar: 2 nci maddede say\u0131lan kurum, kurulu\u015f ve ortakl\u0131klar\u0131,<\/p>\n
s) Kurumsal SOME: SOME Tebli\u011fi kapsam\u0131nda Kurum, Kurulu\u015f ve Ortakl\u0131klar taraf\u0131ndan kurulan Kurumsal Siber Olaylara M\u00fcdahale Ekibini,<\/p>\n
\u015f) Platform: Kripto varl\u0131k al\u0131m sat\u0131m, ilk sat\u0131\u015f ya da da\u011f\u0131t\u0131m, takas, transfer, bunlar\u0131n gerektirdi\u011fi saklama ve belirlenebilecek di\u011fer i\u015flemlerin bir veya daha fazlas\u0131n\u0131n ger\u00e7ekle\u015ftirildi\u011fi kurulu\u015flar\u0131,<\/p>\n
t) Politika: Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n hedef ve ilkelerini ortaya koyan ve y\u00f6netim kurulu veya \u00fcst y\u00f6netimi taraf\u0131ndan onaylanm\u0131\u015f dok\u00fcman\u0131,<\/p>\n
u) Prosed\u00fcr: S\u00fcre\u00e7lere ili\u015fkin i\u015flem ve eylemleri tan\u0131mlayan dok\u00fcman\u0131,<\/p>\n
\u00fc) Saklama kurulu\u015fu: Kripto varl\u0131k saklama hizmetinde bulunmak \u00fczere Kurulca yetkilendirilmi\u015f kurulu\u015fu,<\/p>\n
v) Sekt\u00f6rel SOME: SOME Tebli\u011fi kapsam\u0131nda Kurul b\u00fcnyesinde kurulan Sekt\u00f6rel Siber Olaylara M\u00fcdahale Ekibini,<\/p>\n
y) Sermaye piyasas\u0131 kurumlar\u0131: Kanunun 35 inci maddesinde say\u0131lan kurumlar\u0131,<\/p>\n
z) SOME Rehberi: Ula\u015ft\u0131rma ve Altyap\u0131 Bakanl\u0131\u011f\u0131 taraf\u0131ndan yay\u0131mlanm\u0131\u015f en g\u00fcncel \u201cKurumsal SOME Kurulum ve Y\u00f6netim Rehberi\u201d dok\u00fcman\u0131n\u0131,<\/p>\n
aa) SOME Tebli\u011fi: 11\/11\/2013 tarihli ve 28818 say\u0131l\u0131 Resm\u00ee Gazete’de yay\u0131mlanan Siber Olaylara M\u00fcdahale Ekiplerinin Kurulu\u015f, G\u00f6rev ve \u00c7al\u0131\u015fmalar\u0131na Dair Usul ve Esaslar Hakk\u0131nda Tebli\u011fi,<\/p>\n
bb) S\u00fcre\u00e7: Bir i\u015fin yap\u0131l\u0131\u015f ve \u00fcretili\u015f bi\u00e7imini olu\u015fturan s\u00fcrekli i\u015flem ve eylemleri,<\/p>\n
cc) U\u00e7tan uca g\u00fcvenli ileti\u015fim: \u0130leti\u015fime konu veriye sadece al\u0131c\u0131s\u0131n\u0131n eri\u015febilmesi amac\u0131yla, verinin g\u00f6nderen taraf\u0131ndan sadece al\u0131c\u0131n\u0131n \u00e7\u00f6zebilece\u011fi \u015fekilde \u015fifrelenerek iletilmesini,<\/p>\n
\u00e7\u00e7) USOM: Bilgi Teknolojileri ve \u0130leti\u015fim Kurumu b\u00fcnyesinde yer alan Ulusal Siber Olaylara M\u00fcdahale Merkezini,<\/p>\n
dd) \u00dc\u00e7\u00fcnc\u00fc taraf: Kurum, Kurulu\u015f ve Ortakl\u0131klar ile m\u00fc\u015fteriler d\u0131\u015f\u0131nda kalan ger\u00e7ek veya t\u00fczel ki\u015fileri,<\/p>\n
ee) \u00dcst y\u00f6netim: Y\u00f6netim kurulu taraf\u0131ndan belirlenen ki\u015fi ya da grubu, y\u00f6netim kurulu taraf\u0131ndan belirleme yap\u0131lmad\u0131\u011f\u0131 durumlarda ise Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n en \u00fcst yetkilisini,<\/p>\n
ff) Varl\u0131k sahibi: Bilgi varl\u0131klar\u0131na y\u00f6nelik g\u00fcvenlik gereksinimlerini belirleyen ve bu gereksinimlere uyumu g\u00f6zeterek bilgi varl\u0131\u011f\u0131n\u0131n idamesi ve g\u00fcvenli\u011finden sorumlu olan ki\u015fi veya birimi,<\/p>\n
ifade eder.<\/p>\n
\u0130K\u0130NC\u0130 B\u00d6L\u00dcM<\/p>\n
Bilgi Sistemlerinin Y\u00f6netilmesi<\/p>\n
Bilgi sistemleri y\u00f6netiminin olu\u015fturulmas\u0131 ve hayata ge\u00e7irilmesi<\/p>\n
MADDE 5- (1) Bilgi sistemlerinin y\u00f6netimi, kurumsal y\u00f6netim uygulamalar\u0131n\u0131n bir par\u00e7as\u0131 olarak ele al\u0131n\u0131r. Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n operasyonlar\u0131n\u0131 istikrarl\u0131, rekabet\u00e7i, geli\u015fen ve g\u00fcvenli bir \u00e7izgide s\u00fcrd\u00fcrebilmesi i\u00e7in bilgi sistemlerine ili\u015fkin stratejilerinin i\u015f hedefleri ile uyumlu olmas\u0131 sa\u011flan\u0131r, bilgi sistemleri y\u00f6netimine ili\u015fkin unsurlar y\u00f6netsel hiyerar\u015fi i\u00e7erisinde yer al\u0131r ve bilgi sistemlerinin g\u00fcvenlik, performans, etkinlik, do\u011fruluk ve s\u00fcreklili\u011fini hedefleyerek do\u011fru y\u00f6netimi i\u00e7in gerekli finansman ve insan kayna\u011f\u0131 tahsis edilir. Bu ama\u00e7la olu\u015fturulan bilgi sistemleri stratejisi ilgili taraflara duyurulur. Bilgi sistemleri stratejisinin i\u015f hedefleriyle uyumu g\u00f6zetilir ve gerekti\u011finde iyile\u015ftirici faaliyetler uygulan\u0131r.<\/p>\n
(2) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemlerinin y\u00f6netimine ili\u015fkin kontrolleri tesis eder, bunlara ili\u015fkin politika, prosed\u00fcr ve s\u00fcre\u00e7leri yaz\u0131l\u0131 hale getirir, d\u00fczenli olarak g\u00f6zden ge\u00e7irerek i\u015f alan\u0131nda ger\u00e7ekle\u015fen de\u011fi\u015fiklikler veya teknolojik geli\u015fmeler do\u011frultusunda g\u00fcnceller, y\u00f6netim kurulu veya \u00fcst y\u00f6netim taraf\u0131ndan onaylanmas\u0131n\u0131 ve ilgililere duyurulmas\u0131n\u0131 sa\u011flar.<\/p>\n
(3) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri y\u00f6netimi konusunda rol ve sorumluklar\u0131 belirleyerek yaz\u0131l\u0131 hale getirir. \u00dcst y\u00f6netim taraf\u0131ndan g\u00f6revler ayr\u0131l\u0131\u011f\u0131 ilkesi \u00e7er\u00e7evesinde g\u00f6revlendirmeler yap\u0131l\u0131r.<\/p>\n
Bilgi g\u00fcvenli\u011fi politikas\u0131<\/p>\n
MADDE 6- (1) Bilgi sistemlerinin kurulmas\u0131, i\u015fletilmesi, y\u00f6netilmesi ve kullan\u0131lmas\u0131na ili\u015fkin; bilginin gizlili\u011finin, b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fcn ve gerekti\u011finde eri\u015filebilir olmas\u0131n\u0131n sa\u011flanmas\u0131na y\u00f6nelik olarak bilgi g\u00fcvenli\u011fi politikas\u0131 \u00fcst y\u00f6netim taraf\u0131ndan haz\u0131rlan\u0131r ve y\u00f6netim kurulu taraf\u0131ndan onaylan\u0131r. Onaylanan bilgi g\u00fcvenli\u011fi politikas\u0131 personele ve ilgili di\u011fer taraflara duyurulur.<\/p>\n
(2) Bilgi g\u00fcvenli\u011fi politikas\u0131, bilgi g\u00fcvenli\u011fi s\u00fcre\u00e7lerinin i\u015fletilmesi i\u00e7in gerekli rollerin, sorumluluklar\u0131n belirlenmesini ve g\u00f6rev tan\u0131mlar\u0131n\u0131n yap\u0131lmas\u0131n\u0131, hedeflerin belirlenmesini, bilgi sistemlerine ili\u015fkin risklerin y\u00f6netilmesine dair s\u00fcre\u00e7lerin olu\u015fturulmas\u0131n\u0131, kontrollerin tesis edilmesini, de\u011ferlendirilmesini ve g\u00f6zetimini kapsar.<\/p>\n
(3) Bilgi g\u00fcvenli\u011fi politikas\u0131 y\u0131lda en az bir defa g\u00f6zden ge\u00e7irilir; i\u015f ihtiya\u00e7lar\u0131, de\u011fi\u015fen tehdit ve risklere g\u00f6re g\u00fcncellenir.<\/p>\n
\u00dcst y\u00f6netimin g\u00f6zetimi ve sorumlulu\u011fu<\/p>\n
MADDE 7- (1) Bilgi g\u00fcvenli\u011fi politikas\u0131n\u0131n ve bilgi sistemleri stratejisinin uygulanmas\u0131 \u00fcst y\u00f6netim taraf\u0131ndan g\u00f6zetilir. Bilgi g\u00fcvenli\u011fi politikas\u0131 kapsam\u0131nda bilgi sistemleri kontrollerinin etkin, yeterli ve uyumlu bir \u015fekilde tesis edilmesi, de\u011ferlendirilmesi ve g\u00f6zetimi y\u00f6netim kurulunun sorumlulu\u011fundad\u0131r.<\/p>\n
(2) Yeni bilgi sistemlerinin kullan\u0131ma al\u0131nmas\u0131na ili\u015fkin kritik projeler \u00fcst y\u00f6netim taraf\u0131ndan g\u00f6zden ge\u00e7irilir ve bunlara ili\u015fkin risklerin y\u00f6netilebilirli\u011fi g\u00f6z \u00f6n\u00fcnde bulundurularak onaylan\u0131r. Kritik projelerin Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n i\u00e7 kaynaklar\u0131yla veya d\u0131\u015far\u0131dan hizmet al\u0131m\u0131 yoluyla ger\u00e7ekle\u015ftirilmesine bak\u0131lmaks\u0131z\u0131n personel uzmanl\u0131\u011f\u0131n\u0131n, projelerin teknik gereksinimlerini kar\u015f\u0131layabilecek nitelikte olmas\u0131 esast\u0131r. Bu yap\u0131y\u0131 desteklemek \u00fczere olu\u015fturulacak y\u00f6netsel rol ve sorumluluklar a\u00e7\u0131k\u00e7a belirlenir.<\/p>\n
(3) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00fcst y\u00f6netimi, bilgi g\u00fcvenli\u011fi \u00f6nlemlerinin uygun d\u00fczeye getirilmesi hususunda gereken kararl\u0131l\u0131\u011f\u0131 g\u00f6sterir ve bu ama\u00e7la y\u00fcr\u00fct\u00fclecek faaliyetlere y\u00f6nelik olarak yeterli kayna\u011f\u0131 tahsis eder. \u00dcst y\u00f6netim, asgari olarak a\u015fa\u011f\u0131daki faaliyetlerin yerine getirilmesini temin edecek mekanizmalar\u0131 kurar:<\/p>\n
a) Bilgi g\u00fcvenli\u011fi politikalar\u0131n\u0131n ve t\u00fcm sorumluluklar\u0131n y\u0131lda en az bir kez g\u00f6zden ge\u00e7irilmesi ve onaylanmas\u0131.<\/p>\n
b) Bilgi sistemlerine ili\u015fkin potansiyel risklerin etkileriyle birlikte tespit edilmesi ve s\u00f6z konusu risklerin azalt\u0131lmas\u0131na y\u00f6nelik faaliyetlerin tan\u0131mlanmas\u0131n\u0131 i\u00e7eren risk y\u00f6netimi s\u00fcrecinin olu\u015fturulmas\u0131.<\/p>\n
c) Bilgi g\u00fcvenli\u011fi ihlallerinin takip edilmesi ve y\u0131lda en az bir kez de\u011ferlendirilmesi.<\/p>\n
\u00e7) Personele bilgi g\u00fcvenli\u011fi gereksinimleri, riskler ve g\u00fcncel tehditler konusunda bilgi d\u00fczeyini art\u0131rmaya y\u00f6nelik e\u011fitimlerin rol ve sorumluluklar\u0131na uygun \u015fekilde y\u0131lda en az bir kez verilmesi.<\/p>\n
(4) Bilgi sistemlerine ili\u015fkin risklerin y\u00f6netimi amac\u0131yla tesis edilen kontroller, Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n organizasyonel ve y\u00f6netsel yap\u0131lar\u0131 i\u00e7erisinde fiili olarak i\u015fleyecek \u015fekilde yerle\u015ftirilir ve i\u015flerli\u011fine ili\u015fkin g\u00f6zetim ve denetim s\u00fcre\u00e7leri tesis edilir.<\/p>\n
(5) Bilgi sistemleri g\u00fcvenli\u011fine ili\u015fkin kontrollerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri g\u00fcvenli\u011fiyle ilgili riskler ve bu risklerin y\u00f6netimi hususunda \u00fcst y\u00f6netime rapor veren, bilgi sistemleri i\u00e7 kontrol, bilgi sistemleri denetimi, bilgi sistemleri y\u00f6neti\u015fimi ve kontrollerinin tesisi veya bilgi g\u00fcvenli\u011fi alanlar\u0131n\u0131n herhangi birinde yeterli teknik bilgiye ve en az 5 y\u0131l tecr\u00fcbeye sahip bir bilgi g\u00fcvenli\u011fi sorumlusu belirlenir. Bilgi g\u00fcvenli\u011fi sorumlusunun, bilgi sistemleri y\u00f6netimine ili\u015fkin gerekliliklerin yerine getirilmesi hususunda herhangi bir g\u00f6revinin bulunmamas\u0131 ve \u00fcst y\u00f6netime ba\u011fl\u0131 \u00e7al\u0131\u015fmas\u0131 sa\u011flan\u0131r.<\/p>\n
(6) Asgari olarak kritik i\u015f s\u00fcre\u00e7lerini ve faaliyetlerini destekleyen bilgi sistemlerinin s\u00fcreklili\u011fini sa\u011flamak \u00fczere i\u015f s\u00fcreklili\u011fi plan\u0131n\u0131n bir par\u00e7as\u0131 olan bilgi sistemleri s\u00fcreklilik plan\u0131 haz\u0131rlan\u0131r.<\/p>\n
Bilgi sistemleri risk y\u00f6netimi<\/p>\n
MADDE 8- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemlerine ili\u015fkin riskleri belirlemek, \u00f6l\u00e7mek, izlemek, i\u015flemek ve raporlamak \u00fczere risk y\u00f6netimi s\u00fcre\u00e7 ve prosed\u00fcrlerini tesis eder ve g\u00fcncelli\u011fini sa\u011flar.<\/p>\n
(2) Bilgi sistemlerine ili\u015fkin risklerin y\u00f6netilmesinde asgari olarak a\u015fa\u011f\u0131daki hususlar de\u011ferlendirmeye al\u0131n\u0131r:<\/p>\n
a) Bilgi teknolojilerindeki h\u0131zl\u0131 geli\u015fmeler sebebiyle rekabet\u00e7i ortamda geli\u015fmelere uymaman\u0131n olumsuz sonu\u00e7lar\u0131, geli\u015fmelere uyum konusundaki zorluklar ve mevzuat\u0131n de\u011fi\u015febilmesi.<\/p>\n
b) Bilgi sistemleri kullan\u0131m\u0131n\u0131n \u00f6ng\u00f6r\u00fclemeyen hatalara ve hileli i\u015flemlere zemin haz\u0131rlayabilmesi.<\/p>\n
c) Bilgi sistemlerinde d\u0131\u015far\u0131dan hizmet al\u0131m\u0131ndan dolay\u0131 d\u0131\u015f hizmeti veren kurulu\u015flara ba\u011f\u0131ml\u0131l\u0131\u011f\u0131n olu\u015fabilmesi.<\/p>\n
\u00e7) \u0130\u015f ve hizmetlerin \u00f6nemli oranda bilgi sistemlerine ba\u011fl\u0131 hale gelmesi.<\/p>\n
d) Bilgi sistemleri \u00fczerinden ger\u00e7ekle\u015ftirilen i\u015flemlerin, verilerin ve denetim izlerine ili\u015fkin tutulan kay\u0131tlar\u0131n g\u00fcvenli\u011finin sa\u011flanmas\u0131n\u0131n zorla\u015fmas\u0131.<\/p>\n
(3) Bilgi sistemlerine ili\u015fkin risk analizi, risk i\u015fleme ve g\u00f6zetim s\u00fcre\u00e7leri i\u015fletilir. Risk analizi y\u0131lda en az bir defa ger\u00e7ekle\u015ftirilir. Bilgi sistemlerinde meydana gelecek \u00f6nemli de\u011fi\u015fikliklerde tekrarlan\u0131r. Risk analizinde t\u00fcm bilgi varl\u0131klar\u0131 de\u011ferlendirmeye al\u0131n\u0131r. Risk y\u00f6netiminde asgari olarak a\u015fa\u011f\u0131daki faaliyetler yerine getirilir:<\/p>\n
a) Risk de\u011ferlendirme kriterlerinin belirlenmesi.<\/p>\n
b) Risklerin analiz edilmesi ve risk seviyelerinin belirlenmesi.<\/p>\n
c) Bilgi sistemleri stratejisine ve mevzuata ayk\u0131r\u0131l\u0131k te\u015fkil etmeyecek \u015fekilde, i\u015f ve bilgi g\u00fcvenli\u011fi hedefleriyle uyumlu risk kabul kriterleri ile risk i\u015fleme se\u00e7eneklerinin belirlenmesi ve \u00fcst y\u00f6netime onaylat\u0131lmas\u0131.<\/p>\n
\u00e7) \u0130yile\u015ftirici faaliyetlerin gerekli i\u015f g\u00fcc\u00fc, kaynak ve zaman bilgisiyle kay\u0131t alt\u0131na al\u0131nmas\u0131.<\/p>\n
d) \u0130yile\u015ftirici faaliyetlerin ve risk analizinin \u00fcst y\u00f6netime onaylat\u0131lmas\u0131.<\/p>\n
e) \u0130yile\u015ftirici faaliyetlerin takibi ve bir sonraki analizde ele al\u0131nmas\u0131.<\/p>\n
(4) Bilgi sistemlerinin g\u00fcvenlik a\u00e7\u0131klar\u0131na ve bilgi g\u00fcvenli\u011fi tehditlerine ili\u015fkin bilgi zaman\u0131nda elde edilir, de\u011ferlendirilir ve belirlenen riske kar\u015f\u0131 uygun tedbirler al\u0131n\u0131r.<\/p>\n
(5) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemleri s\u00fcre\u00e7leri ve kullan\u0131c\u0131lara sunduklar\u0131 hizmetlere y\u00f6nelik risk analizi y\u0131lda en az bir defa ger\u00e7ekle\u015ftirilir, s\u00fcre\u00e7 ve hizmetlerde meydana gelebilecek \u00f6nemli de\u011fi\u015fikliklerde tekrarlan\u0131r.<\/p>\n
(6) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemleri, bilgi g\u00fcvenli\u011fine ili\u015fkin gerekliliklerin yerine getirilmesi hususunda herhangi bir g\u00f6revi bulunmayan ve s\u0131zma testi konusunda ulusal veya uluslararas\u0131 belgeye sahip ger\u00e7ek veya t\u00fczel ki\u015filer taraf\u0131ndan y\u0131lda en az bir kez s\u0131zma testine tabi tutulur. Kurul gerekli g\u00f6rd\u00fc\u011f\u00fc takdirde Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n s\u0131zma testi yapt\u0131rmas\u0131n\u0131 isteyebilir.<\/p>\n
(7) S\u0131zma testinde EK-1\u2019de yer alan usul ve esaslar uygulan\u0131r. Kurum, Kurulu\u015f ve Ortakl\u0131klar taraf\u0131ndan yapt\u0131r\u0131lan s\u0131zma testleri sonucunda haz\u0131rlanan s\u0131zma testi raporlar\u0131 tamamlanmas\u0131n\u0131 m\u00fcteakip bir ay i\u00e7inde ve her durumda en ge\u00e7 takip eden y\u0131l\u0131n 31 Ocak tarihine kadar Kurula g\u00f6nderilir. Son bildirim g\u00fcn\u00fcn\u00fcn resmi tatil g\u00fcn\u00fcne denk gelmesi halinde, resmi tatil g\u00fcn\u00fcn\u00fc takip eden ilk i\u015f g\u00fcn\u00fc son bildirim tarihi kabul edilir.<\/p>\n
\u00dc\u00c7\u00dcNC\u00dc B\u00d6L\u00dcM<\/p>\n
Bilgi Sistemleri Kontrollerine \u0130li\u015fkin Esaslar<\/p>\n
Bilgi sistemleri kontrollerinin tesisi ve y\u00f6netilmesi<\/p>\n
MADDE 9- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00fcst y\u00f6netimi, bilgi g\u00fcvenli\u011fi politikas\u0131 kapsam\u0131nda bilgi sistemlerinden kaynaklanan g\u00fcvenlik risklerinin yeterli d\u00fczeyde y\u00f6netilmesi, bilgi varl\u0131klar\u0131n\u0131n gizlilik, b\u00fct\u00fcnl\u00fck ve eri\u015filebilirli\u011finin sa\u011flanmas\u0131 ve bilgi sistemlerinin etkin i\u015fletimi amac\u0131yla gerekli s\u00fcre\u00e7lerin ve kontrollerin geli\u015ftirilmesini sa\u011flar.<\/p>\n
(2) Her s\u00fcrecin sahibi, rol ve sorumluluklar\u0131 a\u00e7\u0131k bir \u015fekilde tan\u0131mlan\u0131r.<\/p>\n
(3) S\u00fcre\u00e7lerin performans\u0131n\u0131n \u00f6l\u00e7\u00fclebilmesi i\u00e7in \u00f6l\u00e7\u00fcm kriterleri tan\u0131mlan\u0131r.<\/p>\n
(4) Her s\u00fcrecin hedef ve ama\u00e7lar\u0131 tan\u0131mlan\u0131r ve performans\u0131 \u00f6l\u00e7\u00fcl\u00fcr.<\/p>\n
(5) S\u00fcre\u00e7ler ve kontroller hakk\u0131nda ilgili personelin yeterli e\u011fitim almas\u0131 sa\u011flan\u0131r.<\/p>\n
(6) Bilgi sistemleri s\u00fcre\u00e7leri ve kontrollerine ili\u015fkin etkinlik, yeterlilik ve uyumluluk ile \u00f6ng\u00f6r\u00fclen risk ya da risklerin etkisini azaltmaya y\u00f6nelik faaliyetler devaml\u0131 bir \u015fekilde takip edilir ve de\u011ferlendirilir. De\u011ferlendirme neticesinde tespit edilen \u00f6nemli kontrol eksiklikleri ve yap\u0131lan \u00e7al\u0131\u015fmalar y\u0131lda en az bir kez \u00fcst y\u00f6netime raporlan\u0131r ve gerekli \u00f6nlemlerin al\u0131nmas\u0131 sa\u011flan\u0131r.<\/p>\n
Varl\u0131k y\u00f6netimi<\/p>\n
MADDE 10- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, sahip olduklar\u0131 bilgi varl\u0131klar\u0131n\u0131 belirler, bunlar\u0131n envanterini olu\u015fturur, g\u00fcncelli\u011fini sa\u011flar. Envanterde varl\u0131\u011fa ili\u015fkin asgari olarak a\u015fa\u011f\u0131daki hususlar kay\u0131t alt\u0131na al\u0131n\u0131r:<\/p>\n
a) Tan\u0131m\u0131.<\/p>\n
b) Edinim tarihi, garanti ve bak\u0131m bilgisi.<\/p>\n
c) Lisans bilgisi veya seri numaras\u0131.<\/p>\n
\u00e7) Konumu.<\/p>\n
d) Sahibi.<\/p>\n
e) Kullan\u0131c\u0131s\u0131.<\/p>\n
f) G\u00fcvenlik s\u0131n\u0131f\u0131.<\/p>\n
g) Yedekleme bilgisi.<\/p>\n
(2) Bilgi varl\u0131klar\u0131n\u0131n g\u00fcvenlik s\u0131n\u0131f\u0131n\u0131n belirlenmesi i\u00e7in bir k\u0131lavuz olu\u015fturulur ve \u00fcst y\u00f6netimce onaylan\u0131r. S\u0131n\u0131fland\u0131rma esnas\u0131nda asgari olarak varl\u0131klar\u0131n gizlilik, b\u00fct\u00fcnl\u00fck ve eri\u015filebilirlik gereksinimlerini, kritikli\u011fi ve hassasiyeti dikkate al\u0131n\u0131r. Her s\u0131n\u0131ftaki varl\u0131\u011fa ili\u015fkin temel koruma ve g\u00fcvenlik \u00f6nlemleri belirlenir ve yaz\u0131l\u0131 hale getirilir. S\u0131n\u0131fland\u0131rma s\u00fcrecine veriler de d\u00e2hil edilir.<\/p>\n
(3) Ta\u015f\u0131nabilir cihaz ve ortamlar, i\u00e7erdi\u011fi bilgilerin g\u00fcvenlik s\u0131n\u0131f\u0131na g\u00f6re kaybolma, h\u0131rs\u0131zl\u0131k ve kopyalama gibi risklere kar\u015f\u0131 korunur. G\u00fcvenlik s\u0131n\u0131f\u0131 y\u00fcksek bilgileri veya bu bilgilere eri\u015fim sa\u011flayan yaz\u0131l\u0131mlar\u0131 bar\u0131nd\u0131ran ta\u015f\u0131nabilir cihaz ve ortamlar izinsiz kurum d\u0131\u015f\u0131na \u00e7\u0131kar\u0131lmaz.<\/p>\n
(4) Bilgi varl\u0131klar\u0131na ili\u015fkin uygun kullan\u0131m prosed\u00fcrleri geli\u015ftirilir, yaz\u0131l\u0131 hale getirilir, \u00fcst y\u00f6netim taraf\u0131ndan onaylan\u0131r ve ilgili personele imza kar\u015f\u0131l\u0131\u011f\u0131 duyurulur.<\/p>\n
(5) Kullan\u0131mdan kald\u0131r\u0131lan donan\u0131msal varl\u0131klara g\u00fcvenli silme veya imha i\u015flemleri uygulan\u0131r ve kay\u0131t alt\u0131na al\u0131n\u0131r. Kullan\u0131mdan kald\u0131r\u0131lan yaz\u0131l\u0131m ve uygulamalara eri\u015fimler engellenir ve gerekirse bu yaz\u0131l\u0131m ve uygulamalar ar\u015fivlenerek sistemden silinir.<\/p>\n
(6) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri kapsam\u0131nda sunduklar\u0131 hizmetler i\u00e7in hizmet envanterini olu\u015fturur ve g\u00fcncelli\u011fini sa\u011flar. Envanterde asgari olarak a\u015fa\u011f\u0131daki hususlar kay\u0131t alt\u0131na al\u0131n\u0131r:<\/p>\n
a) Hizmetin tan\u0131m\u0131.<\/p>\n
b) Kullan\u0131c\u0131lar\u0131.<\/p>\n
c) Sahibi.<\/p>\n
\u00e7) Hizmet seviyesi taahh\u00fctleri.<\/p>\n
d) Ba\u011f\u0131ml\u0131l\u0131klar\u0131.<\/p>\n
(7) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri kapsam\u0131ndaki s\u00fcre\u00e7ler i\u00e7in s\u00fcre\u00e7 envanterini olu\u015fturur ve g\u00fcncelli\u011fini sa\u011flar. Envanterde asgari olarak a\u015fa\u011f\u0131daki hususlar kay\u0131t alt\u0131na al\u0131n\u0131r:<\/p>\n
a) S\u00fcrecin tan\u0131m\u0131.<\/p>\n
b) Sahibi.<\/p>\n
c) Girdi ve \u00e7\u0131kt\u0131lar\u0131.<\/p>\n
\u00e7) Ba\u011f\u0131ml\u0131l\u0131klar\u0131.<\/p>\n
G\u00f6revler ayr\u0131l\u0131\u011f\u0131 ilkesi<\/p>\n
MADDE 11- (1) Bilgi sistemleri \u00fczerinde hata, eksiklik veya k\u00f6t\u00fcye kullan\u0131m risklerini azaltmak i\u00e7in g\u00f6rev ve sorumluluk alanlar\u0131 ayr\u0131l\u0131r. Bu kapsamda ayr\u0131lmas\u0131 gereken g\u00f6rev ve sorumluluklar belirlenir, y\u0131lda en az bir kez g\u00f6zden ge\u00e7irilir ve g\u00fcncelli\u011fi sa\u011flan\u0131r.<\/p>\n
(2) Bilgi sistemleri s\u00fcre\u00e7leri tasarlan\u0131rken kritik i\u015flemlerin tek bir personele veya d\u0131\u015f hizmeti sunan kurulu\u015fa ba\u011f\u0131ml\u0131 olmamas\u0131 g\u00f6z \u00f6n\u00fcnde bulundurulur.<\/p>\n
(3) G\u00f6revlerin tam ve uygun \u015fekilde ayr\u0131lmas\u0131n\u0131n m\u00fcmk\u00fcn olmad\u0131\u011f\u0131 durumlarda olu\u015fabilecek hata, eksiklik veya k\u00f6t\u00fcye kullan\u0131m\u0131 \u00f6nlemeye ve tespit etmeye y\u00f6nelik telafi edici kontroller tesis edilir.<\/p>\n
Fiziksel ve \u00e7evresel g\u00fcvenlik<\/p>\n
MADDE 12- (1) Kritik bilgi sistemlerinin konumland\u0131r\u0131ld\u0131\u011f\u0131 veri merkezlerinin veya g\u00fcvenli alanlar\u0131n yetkisiz fiziksel eri\u015fime, de\u011fi\u015fen ortam ko\u015fullar\u0131na, altyap\u0131 hizmeti kesintilerine ve felaketlere kar\u015f\u0131 korunmas\u0131 i\u00e7in asgari olarak a\u015fa\u011f\u0131daki kontroller uygulan\u0131r:<\/p>\n
a) Fiziksel giri\u015f ve \u00e7\u0131k\u0131\u015flar gerek\u00e7elendirilir, yetkilendirilir, kaydedilir ve izlenir. Eri\u015fim kontrol mekanizmalar\u0131 devreye al\u0131n\u0131r. Eri\u015fim haklar\u0131 d\u00fczenli olarak g\u00f6zden ge\u00e7irilir.<\/p>\n
b) Yetkisiz giri\u015f denemelerini anl\u0131k izleyecek mekanizmalar kurulur.<\/p>\n
c) Kesintisiz g\u00fc\u00e7 kaynaklar\u0131yla enerji beslemesi yap\u0131l\u0131r.<\/p>\n
\u00e7) \u0130klimlendirme kontrol\u00fc ile uygun ortam ko\u015fullar\u0131nda \u00e7al\u0131\u015fma sa\u011flan\u0131r.<\/p>\n
d) Yang\u0131n, sel, deprem, patlama ve di\u011fer do\u011fal ya da insan kaynakl\u0131 felaketlerden kaynaklanan hasara kar\u015f\u0131 fiziksel koruma tasarlan\u0131r ve uygulan\u0131r.<\/p>\n
e) Destekleyici altyap\u0131 hizmetlerinin (iklimlendirme, kesintisiz g\u00fc\u00e7 kayna\u011f\u0131, jenerat\u00f6r, yang\u0131n s\u00f6nd\u00fcrme sistemi ve benzeri) y\u0131lda en az bir kere olmak \u00fczere d\u00fczenli bak\u0131m\u0131 ger\u00e7ekle\u015ftirilir.<\/p>\n
f) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n personeli olmayan kurulum, bak\u0131m ve onar\u0131m hizmetlerini ger\u00e7ekle\u015ftirecek ki\u015filere \u00e7al\u0131\u015fma \u00f6ncesi gizlilik s\u00f6zle\u015fmesi imzalat\u0131l\u0131r. Bu ki\u015filere Kurum, Kurulu\u015f ve Ortakl\u0131klarda bulunduklar\u0131 s\u00fcre boyunca refakat edilir.<\/p>\n
g) Destekleyici altyap\u0131 hizmetlerinin, uygun \u00e7al\u0131\u015fma ko\u015fullar\u0131n\u0131n d\u0131\u015f\u0131na \u00e7\u0131k\u0131lmas\u0131 halinde, alarm \u00fcretmesi ve ilgilileri bilgilendirmesi sa\u011flan\u0131r.<\/p>\n
\u011f) Kritik bilgi sistemlerinin konumland\u0131r\u0131ld\u0131\u011f\u0131 veri merkezleri veya g\u00fcvenli alanlar ve \u00e7evresi kameralar ile s\u00fcrekli olarak izlenir ve bilgi g\u00fcvenli\u011fi gereklilikleri g\u00f6z \u00f6n\u00fcnde bulundurularak belirlenen s\u00fcre boyunca g\u00f6r\u00fcnt\u00fc kay\u0131tlar\u0131 saklan\u0131r. Bu s\u00fcre; Borsa \u0130stanbul A.\u015e., Merkezi Kay\u0131t Kurulu\u015fu A.\u015e., \u0130stanbul Takas ve Saklama Bankas\u0131 A.\u015e., geni\u015f yetkili arac\u0131 kurumlar ve kripto varl\u0131k hizmet sa\u011flay\u0131c\u0131lar i\u00e7in asgari bir y\u0131ld\u0131r. Kay\u0131t mekanizmas\u0131n\u0131n 7\/24 esas\u0131na g\u00f6re \u00e7al\u0131\u015fmas\u0131, hareket alg\u0131lama \u00f6zelli\u011fine sahip olmas\u0131 ve k\u00f6r nokta kalmayacak \u015fekilde kay\u0131t almas\u0131 sa\u011flan\u0131r.<\/p>\n
A\u011f g\u00fcvenli\u011fi<\/p>\n
MADDE 13- (1) Kurumsal a\u011f\u0131n i\u00e7 ve d\u0131\u015f tehditlere kar\u015f\u0131 korunmas\u0131 ve a\u011f\u0131 kullanan sistem, veri taban\u0131 ve uygulamalar\u0131n g\u00fcvenli\u011finin sa\u011flanmas\u0131 i\u00e7in kontroller tesis edilir ve etkin bir \u015fekilde y\u00f6netilir. Kurumsal a\u011f\u0131n ve a\u011fda bulunan bilgi sistemlerinin g\u00fcvenli\u011finin sa\u011flanmas\u0131nda katmanl\u0131 g\u00fcvenlik yakla\u015f\u0131m\u0131 esas al\u0131n\u0131r. Bu yakla\u015f\u0131mda a\u011f altyap\u0131s\u0131, i\u015fletim sistemi, uygulama savunmalar\u0131 \u015feklinde birden \u00e7ok koruma katman\u0131 bir b\u00fct\u00fcn\u00fcn par\u00e7as\u0131 olarak tasarlan\u0131p devreye al\u0131n\u0131r.<\/p>\n
(2) Kurumsal a\u011f\u0131n fiziksel ve mant\u0131ksal topolojisi; t\u00fcm alt a\u011flar\u0131, g\u00fcvenlik cihazlar\u0131n\u0131, eri\u015fim noktalar\u0131n\u0131 ve ba\u011flant\u0131 yollar\u0131n\u0131 i\u00e7erecek \u015fekilde yaz\u0131l\u0131 hale getirilir, g\u00fcncel tutulur ve g\u00fcvenli saklan\u0131r.<\/p>\n
(3) \u0130leti\u015fim altyap\u0131lar\u0131 dinlemeye ve fiziksel hasarlara kar\u015f\u0131 korunur.<\/p>\n
(4) Mobil cihazlar\u0131n kurumsal a\u011fa eri\u015fimine ili\u015fkin risklere y\u00f6nelik g\u00fcvenlik \u00f6nlemleri al\u0131n\u0131r ve uygulan\u0131r.<\/p>\n
(5) A\u011f altyap\u0131s\u0131na y\u00f6nelik yetkisiz eri\u015fimler engellenir ve g\u00f6zetim s\u00fcre\u00e7leri tesis edilir.<\/p>\n
(6) \u0130\u00e7 kaynak yoluyla sa\u011flanan veya d\u0131\u015far\u0131dan hizmet olarak al\u0131nan her t\u00fcrl\u00fc a\u011f hizmetinin g\u00fcvenlik kriterleri, hizmet d\u00fczeyleri ve y\u00f6netim gereksinimleri tan\u0131mlan\u0131r ve hizmet anla\u015fmalar\u0131na d\u00e2hil edilir.<\/p>\n
(7) Uzaktan eri\u015fim hizmetinde \u00e7ok fakt\u00f6rl\u00fc kimlik do\u011frulama kullan\u0131l\u0131r. Uzaktan eri\u015fim yetkilendirmeleri bilgi g\u00fcvenli\u011fi sorumlusunun onay\u0131 da al\u0131narak yap\u0131l\u0131r. Uzaktan eri\u015fim, yaln\u0131zca uygulamalar\u0131 ve i\u015fletim sistemleri g\u00fcncel cihazlardan yap\u0131l\u0131r. Uzaktan eri\u015fime ili\u015fkin denetim izleri tutulur.<\/p>\n
(8) Uzaktan eri\u015fim ba\u011flant\u0131lar\u0131, g\u00fcncel ve g\u00fcvenilir kararl\u0131 s\u00fcr\u00fcme sahip ileti\u015fim protokolleri ile sa\u011flan\u0131r. \u0130nternet \u00fczerinden eri\u015fimlerde u\u00e7tan uca g\u00fcvenli ileti\u015fim teknolojileri kullan\u0131l\u0131r. Uzaktan eri\u015fim oturumlar\u0131, tan\u0131mlanan s\u00fcre boyunca i\u015flem yap\u0131lmad\u0131\u011f\u0131nda otomatik olarak sonland\u0131r\u0131l\u0131r ve yeniden eri\u015fim sa\u011flanmas\u0131 gerekti\u011finde kimlik do\u011frulama tekrarlan\u0131r.<\/p>\n
(9) Kurumsal a\u011f\u0131n d\u0131\u015f a\u011flarla olan ileti\u015fiminde d\u0131\u015f a\u011flardan gelebilecek tehditler i\u00e7in s\u00fcrekli g\u00f6zetim alt\u0131nda tutulan g\u00fcvenlik duvar\u0131 ile a\u011fdaki anormal aktiviteleri ve sald\u0131r\u0131 giri\u015fimlerini tespit etmek ve engellemek i\u00e7in g\u00fcn\u00fcn teknolojisine uygun \u00e7\u00f6z\u00fcmler kullan\u0131l\u0131r. Hassas veri i\u00e7eren bilgi sistemlerine, internet \u00fczerinden do\u011frudan eri\u015fim engellenir.<\/p>\n
(10) \u0130nternet \u00fczerinden sunulan hizmetler hizmet d\u0131\u015f\u0131 b\u0131rakma sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korunur.<\/p>\n
(11) \u0130\u00e7 a\u011f ba\u011flant\u0131 noktalar\u0131nda a\u011f eri\u015fim kontrol\u00fc uygulan\u0131r ve sadece ba\u011flanmas\u0131na onay verilen cihazlar\u0131n a\u011fa d\u00e2hil olmas\u0131 sa\u011flan\u0131r.<\/p>\n
(12) \u0130\u00e7 a\u011f\u0131n farkl\u0131 g\u00fcvenlik gereksinimlerine sahip alt b\u00f6l\u00fcmleri birbirinden ayr\u0131larak denetimli ge\u00e7i\u015fi temin eden kontroller tesis edilir. Bu kapsamda asgari olarak; istemciler, sunucular ve y\u00f6netimsel i\u015flemler i\u00e7in ayr\u0131 alt a\u011flar olu\u015fturulur. Kablolu ve kablosuz a\u011flar birbirinden ayr\u0131l\u0131r.<\/p>\n
(13) Gelen ve giden a\u011f trafi\u011fi analiz edilir, zararl\u0131 veya ola\u011fan d\u0131\u015f\u0131 trafik tespit edildi\u011finde ilgili a\u011f b\u00f6l\u00fcm\u00fc izole edilir.<\/p>\n
(14) Bilgi g\u00fcvenli\u011fi gereksinimlerine ve yasal gerekliliklere uygun olmayan internet sitelerine eri\u015fim uygun ara\u00e7larla engellenir.<\/p>\n
(15) A\u011f eri\u015fimleri beyaz liste veya kara liste yap\u0131lar\u0131 kullan\u0131larak s\u0131n\u0131rland\u0131r\u0131l\u0131r, g\u00fcvenilmeyen ba\u011flant\u0131lar engellenir.<\/p>\n
(16) Kablosuz a\u011flarda g\u00fc\u00e7l\u00fc \u015fifreleme protokolleri kullan\u0131l\u0131r. Kablosuz a\u011flar i\u00e7in kimlik do\u011frulama ve eri\u015fim kontrolleri uygulan\u0131r. Kimlik do\u011frulama i\u015flemleri, g\u00fcvenilir ve g\u00fcncel protokollerle ger\u00e7ekle\u015ftirilir. Misafir a\u011flar\u0131 kurumsal a\u011flardan ayr\u0131 tutulur, misafir a\u011f\u0131 kullan\u0131c\u0131lar\u0131na ge\u00e7ici ve k\u0131s\u0131tl\u0131 eri\u015fim hakk\u0131 verilir.<\/p>\n
Bilgi sistemlerinin i\u015fletimi<\/p>\n
MADDE 14- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, ihtiya\u00e7 duyulan bilgi sistemleri hizmetlerinin istenilen seviyede ve s\u00fcreklilik arz edecek \u015fekilde sunulmas\u0131 i\u00e7in gerekli kontrolleri tesis eder. Bu kapsamda sunulan her hizmetin seviyesi, i\u015f gereksinimleriyle uyumlu olacak \u015fekilde i\u015f birimleri ile mutabakata var\u0131larak belirlenir. Kullan\u0131c\u0131lar\u0131n bilgi sistemleri ile ilgili sorun ve taleplerinin kayda al\u0131nmas\u0131, bunlara cevap verilmesi ve altta yatan k\u00f6k sebeplerin \u00e7\u00f6z\u00fclmesi i\u00e7in gerekli mekanizmalar kurulur.<\/p>\n
(2) Kritik bilgi sistemleri, hizmet seviyelerine uygun performansta \u00e7al\u0131\u015fmas\u0131 i\u00e7in s\u00fcrekli g\u00f6zetim alt\u0131nda tutulur, sistemlerin her biri i\u00e7in e\u015fik de\u011ferler belirlenir ve bu de\u011ferlerin a\u015f\u0131lmas\u0131 durumunda ilgili ki\u015filere otomatik bildirim g\u00f6nderilmesi sa\u011flan\u0131r. Beklenen performans de\u011ferinin alt\u0131na d\u00fc\u015f\u00fcld\u00fc\u011f\u00fc durumlarda k\u00f6k sebep ara\u015ft\u0131r\u0131l\u0131r ve gerekli iyile\u015ftirici faaliyetler ger\u00e7ekle\u015ftirilir.<\/p>\n
(3) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n faaliyetlerindeki olas\u0131 b\u00fcy\u00fcme, kullan\u0131c\u0131 say\u0131s\u0131ndaki art\u0131\u015f ve benzeri durumlar dikkate al\u0131narak bilgi sistemlerinin beklenen performans d\u00fczeyinde \u00e7al\u0131\u015fabilmesi i\u00e7in kapasite planlamas\u0131 yap\u0131l\u0131r.<\/p>\n
(4) Bilgi sistemlerine ili\u015fkin g\u00fcvenlik a\u00e7\u0131klar\u0131, i\u015f s\u00fcre\u00e7lerini etkilemesini \u00f6nlemek amac\u0131yla d\u00fczenli takip edilir. G\u00fcvenlik a\u00e7\u0131klar\u0131na ili\u015fkin yay\u0131nlanan yamalar\u0131n uygulanmas\u0131 de\u011ferlendirilir. Uygulanmas\u0131na karar verilen yamalar \u00f6nce test edilir. Yama uygulanmayaca\u011f\u0131 durumlarda s\u00f6z konusu riskin ele al\u0131nmas\u0131 i\u00e7in ilave kontroller tesis edilir veya ilgili bile\u015fen kullan\u0131mdan kald\u0131r\u0131l\u0131r. Yama uygulamas\u0131 de\u011fi\u015fiklik y\u00f6netimi \u00e7er\u00e7evesinde ele al\u0131n\u0131r. Uygulanmamas\u0131na karar verilen yamalarla ilgili olarak bilgi g\u00fcvenli\u011fi sorumlusuna d\u00fczenli rapor verilir.<\/p>\n
(5) Bilgi sistemleri bile\u015fenlerinin ya\u015fam d\u00f6ng\u00fcs\u00fc boyunca tutarl\u0131, beklenen performans, kalite ve g\u00fcvenlik d\u00fczeyinde \u00e7al\u0131\u015fmas\u0131n\u0131 sa\u011flamak i\u00e7in yap\u0131land\u0131rma ayarlar\u0131 takip edilir. Bilgi sistemleri bile\u015fenlerinde gerekli olmayan t\u00fcm i\u015flevler kapat\u0131l\u0131r. Her bile\u015fen t\u00fcr\u00fc i\u00e7in temel yap\u0131land\u0131rma ayarlar\u0131 belirlenir ve uygulan\u0131r. Yeni g\u00fcvenlik a\u00e7\u0131klar\u0131 ortaya \u00e7\u0131kt\u0131\u011f\u0131nda veya mevcut bile\u015fenlerde yeni s\u00fcr\u00fcmlere ge\u00e7ildi\u011finde yap\u0131land\u0131rma ayarlar\u0131 uygunluk ve yeterlilikleri a\u00e7\u0131s\u0131ndan g\u00f6zden ge\u00e7irilir. Bir bile\u015fendeki yap\u0131land\u0131rma ayar\u0131 de\u011fi\u015fikli\u011finin di\u011fer bile\u015fenlere olan etkisi takip edilir. Yap\u0131land\u0131rma ayarlar\u0131ndaki her t\u00fcrl\u00fc de\u011fi\u015fiklik gerek\u00e7esiyle beraber kay\u0131t alt\u0131na al\u0131n\u0131r ve izlenir. T\u00fcm bile\u015fenlerin yap\u0131land\u0131rma ayarlar\u0131 yedeklenir. Yap\u0131land\u0131rma ayarlar\u0131ndaki her t\u00fcr de\u011fi\u015fiklik, de\u011fi\u015fiklik y\u00f6netimi \u00e7er\u00e7evesinde ele al\u0131n\u0131r.<\/p>\n
(6) Bilgi sistemlerinde ta\u015f\u0131nabilir ortamlara ba\u011flant\u0131 noktalar\u0131 kapat\u0131l\u0131r. Ta\u015f\u0131nabilir ortamlar\u0131n kullan\u0131labilmesi i\u00e7in ge\u00e7erli bir i\u015f gereksiniminin olmas\u0131 dikkate al\u0131n\u0131r ve bilgi g\u00fcvenli\u011fi sorumlusu onay\u0131 aran\u0131r.<\/p>\n
(7) Zararl\u0131 yaz\u0131l\u0131mlar\u0131n Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemlerini etkilemesine kar\u015f\u0131 gerekli \u00f6nlemler al\u0131n\u0131r. Bu kapsamda, zararl\u0131 yaz\u0131l\u0131m\u0131 tespit edecek ve temizleyecek yaz\u0131l\u0131mlar kullan\u0131l\u0131r. Bu yaz\u0131l\u0131mlar\u0131n s\u00fcrekli g\u00fcncel tutulmas\u0131 sa\u011flan\u0131r. Masa\u00fcst\u00fc, diz\u00fcst\u00fc ve sunucu sistemler, ta\u015f\u0131nabilir bir ortam veya harici cihaz tak\u0131ld\u0131\u011f\u0131nda otomatik olarak i\u00e7eri\u011fi oynatmayacak \u015fekilde yap\u0131land\u0131r\u0131l\u0131r ve zararl\u0131 yaz\u0131l\u0131m engelleme ara\u00e7lar\u0131 bu t\u00fcr cihazlar tak\u0131ld\u0131\u011f\u0131nda otomatik olarak bu cihazlar\u0131 tarayacak \u015fekilde ayarlan\u0131r.<\/p>\n
(8) Elektronik posta hizmetinin g\u00fcvenli\u011finin sa\u011flanmas\u0131 i\u00e7in \u015fifreli ileti\u015fim esast\u0131r. \u0130nternet ortam\u0131nda sahte elektronik posta g\u00f6nderimini \u00f6nlemeye y\u00f6nelik geli\u015ftirilen etki alan\u0131 kimlik do\u011frulamas\u0131 y\u00f6ntemleri sahip olunan etki alanlar\u0131 i\u00e7in yap\u0131land\u0131r\u0131l\u0131r ve bu y\u00f6ntemler kullan\u0131larak do\u011frulanm\u0131\u015f etki alanlar\u0131ndan elektronik posta al\u0131nmas\u0131 sa\u011flan\u0131r. Gelen ve giden b\u00fct\u00fcn elektronik posta i\u00e7eri\u011fi g\u00fcvenlik analizinden ge\u00e7irilir, zararl\u0131 yaz\u0131l\u0131m ve ba\u011flant\u0131lara eri\u015fim engellenir.<\/p>\n
Kimlik y\u00f6netimi<\/p>\n
MADDE 15- (1) Bilgi sistemleri \u00fczerinden ger\u00e7ekle\u015fen i\u015flemler i\u00e7in, bilgi varl\u0131\u011f\u0131n\u0131n g\u00fcvenlik s\u0131n\u0131f\u0131na uygun kimlik do\u011frulama y\u00f6ntemleri belirlenir ve uygulan\u0131r.<\/p>\n
(2) Kimlik do\u011frulama y\u00f6ntemi, kullan\u0131c\u0131lar\u0131n bilgi sistemlerine d\u00e2hil olmalar\u0131ndan, i\u015flemlerini tamamlay\u0131p sistemden ayr\u0131lmalar\u0131na kadar ge\u00e7ecek t\u00fcm s\u00fcreci kapsayacak \u015fekilde uygulan\u0131r. Kimlik do\u011frulama bilgisinin oturumun ba\u015f\u0131ndan sonuna kadar do\u011fru olmas\u0131n\u0131 garanti edecek gerekli \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(3) Kullan\u0131lan kimlik do\u011frulama verilerinin tutuldu\u011fu ortamlar\u0131n ve bu ama\u00e7la kullan\u0131lan ara\u00e7lar\u0131n g\u00fcvenli\u011fini sa\u011flamaya y\u00f6nelik gerekli \u00f6nlemler al\u0131n\u0131r. Bu \u00f6nlemler asgari olarak kimlik do\u011frulama verilerinin g\u00fc\u00e7l\u00fc \u015fifreleme algoritmalar\u0131yla \u015fifrelenerek veya geriye d\u00f6n\u00fc\u015ft\u00fcr\u00fclmesi m\u00fcmk\u00fcn olmayacak \u015fekilde saklanmas\u0131, bu veriler \u00fczerinde yap\u0131lacak her t\u00fcrl\u00fc de\u011fi\u015fikli\u011fi alg\u0131layacak sistemlerin kurulmas\u0131, yeterli denetim izlerinin tutulmas\u0131 ve g\u00fcvenli\u011finin sa\u011flanmas\u0131 hususlar\u0131n\u0131 i\u00e7erir. Kimlik do\u011frulama verilerinin aktar\u0131m\u0131 s\u0131ras\u0131nda gizlili\u011finin sa\u011flanmas\u0131na y\u00f6nelik \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(4) Belirlenen kimlik do\u011frulama y\u00f6ntemi asgari olarak a\u015fa\u011f\u0131da yer alan i\u015flevleri yerine getirir:<\/p>\n
a) Ba\u015far\u0131s\u0131z kimlik do\u011frulama giri\u015fimlerinde, giri\u015fimde bulunan ki\u015fiye sistem veya kullan\u0131c\u0131ya ili\u015fkin bilgi verilmemesi.<\/p>\n
b) Belirli say\u0131da art arda ba\u015far\u0131s\u0131z kimlik do\u011frulama giri\u015fimi durumunda ilgili kullan\u0131c\u0131 eri\u015fiminin engellenmesi ve kullan\u0131c\u0131n\u0131n bilgilendirilmesi.<\/p>\n
c) Hi\u00e7bir i\u015flem yap\u0131lmayan oturumlar\u0131n belirli bir zaman a\u015f\u0131m\u0131 s\u00fcresi sonunda sonland\u0131r\u0131lmas\u0131 veya kilitlenmesi, bu durumlarda oturumun a\u00e7\u0131lmas\u0131 i\u00e7in kimlik do\u011frulaman\u0131n tekrar edilmesi.<\/p>\n
\u00e7) Bilgi g\u00fcvenli\u011fi sorumlusu onay\u0131 olmadan ayn\u0131 kullan\u0131c\u0131 i\u00e7in birden fazla oturum a\u00e7\u0131lmas\u0131na izin verilmemesi.<\/p>\n
(5) Kullan\u0131c\u0131 parolalar\u0131n\u0131n y\u00f6netiminde asgari olarak a\u015fa\u011f\u0131daki tedbirlerin al\u0131nmas\u0131 sa\u011flan\u0131r:<\/p>\n
a) Kullan\u0131c\u0131lar\u0131n sisteme tan\u0131t\u0131l\u0131rken belirlenen parolas\u0131n\u0131n, kullan\u0131c\u0131n\u0131n sisteme ilk giri\u015finde de\u011fi\u015ftirilmeye zorlanmas\u0131.<\/p>\n
b) Parolalar\u0131n tahmin edilmesi ve k\u0131r\u0131lmas\u0131 zor bir karma\u015f\u0131kl\u0131kta ve uzunlukta olmas\u0131.<\/p>\n
c) Parolalar\u0131n d\u00fczenli aral\u0131klarla de\u011fi\u015ftirilmeye zorlanmas\u0131.<\/p>\n
\u00e7) Geriye d\u00f6n\u00fck olarak belirli say\u0131da eski parolan\u0131n kullan\u0131lmas\u0131n\u0131n engellenmesi.<\/p>\n
d) Yeni kurulan sistem ve cihazlardaki varsay\u0131lan parolalar\u0131n de\u011fi\u015ftirilmesi.<\/p>\n
e) Parolalar\u0131n ekran \u00fczerinde maskelenmi\u015f \u015fekilde g\u00f6r\u00fcnt\u00fclenmesi.<\/p>\n
(6) Kritik sistem ve uygulamalarda birbirinden ba\u011f\u0131ms\u0131z \u00e7ok fakt\u00f6rl\u00fc kimlik do\u011frulama mekanizmas\u0131 kullan\u0131l\u0131r. Fakt\u00f6rlerin ba\u011f\u0131ms\u0131z olmas\u0131, bir fakt\u00f6r\u00fcn ele ge\u00e7irilmesinin di\u011fer fakt\u00f6r\u00fcn g\u00fcvenli\u011fini tehlikeye atmamas\u0131n\u0131 ifade eder. Kullan\u0131c\u0131n\u0131n sahip oldu\u011fu fakt\u00f6r\u00fcn kullan\u0131c\u0131ya \u00f6zg\u00fc olmas\u0131 ve taklit edilememesi esast\u0131r.<\/p>\n
(7) Ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131 hesaplar\u0131 \u00e7ok fakt\u00f6rl\u00fc kimlik do\u011frulama mekanizmas\u0131 ile kullan\u0131l\u0131r.<\/p>\n
(8) Kritik sistem ve uygulamalarda kimlik do\u011frulama s\u00fcre\u00e7lerinde ger\u00e7ekle\u015fen ba\u015far\u0131l\u0131 ve ba\u015far\u0131s\u0131z i\u015flemlere ili\u015fkin denetim izi tutulur.<\/p>\n
(9) Kullan\u0131c\u0131 hesaplar\u0131na y\u00f6nelik olarak kilitli hesaplar, devre d\u0131\u015f\u0131 b\u0131rak\u0131lm\u0131\u015f hesaplar, parola ge\u00e7erlilik s\u00fcresini a\u015fan hesaplar ve parola son kullanma s\u00fcresi hi\u00e7bir zaman dolmayacak \u015fekilde ayarlanm\u0131\u015f hesaplar i\u00e7in otomatik olarak rapor \u00fcreten y\u00f6ntemler kullan\u0131l\u0131r ve bu raporlar gerekli \u00f6nlemleri almas\u0131 i\u00e7in ilgililere iletilir.<\/p>\n
Eri\u015fim y\u00f6netimi<\/p>\n
MADDE 16- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemlerine eri\u015fim ve uygulamalar\u0131n kullan\u0131m\u0131 i\u00e7in uygun eri\u015fim kontrollerini tesis eder. Kullan\u0131c\u0131lara verilecek yetki d\u00fczeyinin belirlenmesinde g\u00f6rev ve sorumluluklar g\u00f6z \u00f6n\u00fcnde bulundurularak gerekli olacak en d\u00fc\u015f\u00fck yetkinin atanmas\u0131 ve en k\u0131s\u0131tl\u0131 eri\u015fim hakk\u0131n\u0131n verilmesi yakla\u015f\u0131m\u0131 esas al\u0131n\u0131r. Yetki ve sorumluluklar g\u00f6revler ayr\u0131l\u0131\u011f\u0131 ilkesi ile tutarl\u0131 olur. Eri\u015fim y\u00f6netiminde rol tabanl\u0131 eri\u015fim kontrol\u00fcn\u00fcn uygulanmas\u0131 esast\u0131r.<\/p>\n
(2) T\u00fcm yetkiler y\u0131lda en az bir defa ilgili bilgi varl\u0131\u011f\u0131n\u0131n sorumlusu taraf\u0131ndan g\u00f6zden ge\u00e7irilir. Gerekli bir i\u015f gereksinimi olmayan yetkiler iptal edilir.<\/p>\n
(3) Kullan\u0131c\u0131lara hesap a\u00e7ma, yetkilendirme ve eri\u015fim haklar\u0131na y\u00f6nelik di\u011fer i\u015flemler g\u00f6revler ayr\u0131l\u0131\u011f\u0131 ilkesi kapsam\u0131nda onay s\u00fcrecine ba\u011flan\u0131r. Eri\u015fim haklar\u0131na ili\u015fkin ger\u00e7ekle\u015ftirilen t\u00fcm i\u015flemlerin denetim izleri tutulur ve d\u00fczenli olarak g\u00f6zden ge\u00e7irilir.<\/p>\n
(4) G\u00f6rev de\u011fi\u015fikli\u011fi veya istihdam\u0131n sonlanmas\u0131 durumunda yap\u0131lacaklar yaz\u0131l\u0131 hale getirilir ve bu kapsamda yap\u0131lan i\u015flemler kay\u0131t alt\u0131na al\u0131n\u0131r. Bu durumlarda mevcut yetkiler g\u00f6zden ge\u00e7irilir ve gerekmeyen yetkiler ivedilikle iptal edilir.<\/p>\n
(5) Bilgi sistemlerinde ortak veya varsay\u0131lan hesaplar\u0131n kullan\u0131lmas\u0131, zorunlu oldu\u011fu durumlar haricinde engellenir, kullan\u0131lmas\u0131 gereken durumlarda bu hesaplar\u0131 kullananlara sorumluluk atamaya y\u00f6nelik kontroller tesis edilir ve bu hesaplarca ger\u00e7ekle\u015ftirilen i\u015flemlerin denetim izi tutulur.<\/p>\n
(6) Bilgi sistemleri kullan\u0131c\u0131lar\u0131na zorunlu olmad\u0131k\u00e7a yerel y\u00f6netici haklar\u0131 verilmez. Yap\u0131lacak i\u015fin gerektirdi\u011fi durumlarda ise ancak bilgi g\u00fcvenli\u011fi sorumlusunun onay\u0131 ile s\u00f6z konusu haklar verilir.<\/p>\n
(7) Bilgi sistemlerinde ayr\u0131cal\u0131kl\u0131 yetkileri gerektirecek i\u015f ve i\u015flemler i\u00e7in ayr\u0131 hesaplar a\u00e7\u0131l\u0131r. Bu hesaplarca ger\u00e7ekle\u015ftirilen i\u015flemlerin denetim izi tutulur.<\/p>\n
(8) Ayr\u0131cal\u0131kl\u0131 kullan\u0131c\u0131 hesaplar\u0131 ile yap\u0131lan eri\u015fimleri de kapsayacak \u015fekilde anormal veya beklenmedik eri\u015fim giri\u015fimlerini tespit edecek ve erken uyar\u0131 olu\u015fturacak mekanizmalar tesis edilir.<\/p>\n
(9) Acil durumlara \u00f6zg\u00fc yetkilendirmeler ge\u00e7ici olarak yap\u0131l\u0131r ve bu yetkilendirme s\u00fcresince ger\u00e7ekle\u015ftirilecek i\u015flemlerin takibine imk\u00e2n verecek denetim izlerinin tutulmas\u0131 sa\u011flan\u0131r.<\/p>\n
\u0130\u015flemlerin, kay\u0131tlar\u0131n ve verilerin b\u00fct\u00fcnl\u00fc\u011f\u00fc<\/p>\n
MADDE 17- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri \u00fczerinden ger\u00e7ekle\u015fen i\u015flemlerin, kay\u0131tlar\u0131n ve verilerin b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fcn sa\u011flanmas\u0131na y\u00f6nelik gerekli \u00f6nlemleri al\u0131r. B\u00fct\u00fcnl\u00fc\u011f\u00fc sa\u011flamaya y\u00f6nelik \u00f6nlemler verinin iletimi, i\u015flenmesi ve saklanmas\u0131 a\u015famalar\u0131n\u0131n tamam\u0131n\u0131 kapsayacak \u015fekilde tesis edilir. Bilgi sistemlerine ili\u015fkin d\u0131\u015far\u0131dan hizmet al\u0131nan kurulu\u015flar nezdinde ger\u00e7ekle\u015fen i\u015flemler i\u00e7in de ayn\u0131 yakla\u015f\u0131m g\u00f6sterilir.<\/p>\n
(2) Kritik i\u015flemler, kay\u0131tlar ve verilerde meydana gelebilecek bozulmalar\u0131 saptayacak ve zaman\u0131nda gerekli bildirimleri yapacak teknikler kullan\u0131l\u0131r.<\/p>\n
Veri gizlili\u011fi<\/p>\n
MADDE 18- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri faaliyetleri kapsam\u0131nda ger\u00e7ekle\u015fen i\u015flemlerin ve bu i\u015flemler kapsam\u0131nda iletilen, i\u015flenen ve saklanan verilerin gizlili\u011fini sa\u011flayacak \u00f6nlemleri al\u0131r. Gizlili\u011fi sa\u011flamak \u00fczere yap\u0131lacak \u00e7al\u0131\u015fmalar asgari olarak a\u015fa\u011f\u0131da belirtilen hususlar\u0131 i\u00e7erir:<\/p>\n
a) Verilerin g\u00fcvenlik s\u0131n\u0131f\u0131na uygun \u015fekilde korunmas\u0131.<\/p>\n
b) Verilere eri\u015fim haklar\u0131n\u0131n ki\u015filerin g\u00f6rev ve sorumluluklar\u0131 \u00e7er\u00e7evesinde belirlenmesi, eri\u015fimlerin kay\u0131t alt\u0131na al\u0131nmas\u0131, bu kay\u0131tlar\u0131n yetkisiz eri\u015fim ve m\u00fcdahalelere kar\u015f\u0131 korunmas\u0131.<\/p>\n
c) Hassas verilerin t\u00fcm ortamlarda \u015fifrelenerek saklanmas\u0131, iletilmesi ve yedeklenmesi.<\/p>\n
\u00e7) Veri gizlili\u011fini sa\u011flamada \u015fifreleme tekniklerinin kullan\u0131lmas\u0131 durumunda, g\u00fcvenilirli\u011fi ve sa\u011flaml\u0131\u011f\u0131 ispatlanm\u0131\u015f algoritmalar\u0131n kullan\u0131lmas\u0131; ge\u00e7erlili\u011fini yitirmi\u015f, \u00e7al\u0131nm\u0131\u015f veya k\u0131r\u0131lm\u0131\u015f \u015fifreleme anahtarlar\u0131n\u0131n kullan\u0131lmas\u0131n\u0131n engellenmesi, verinin ve operasyonun \u00f6nem d\u00fczeyine g\u00f6re anahtarlar\u0131n de\u011fi\u015ftirilme s\u0131kl\u0131klar\u0131n\u0131n belirlenmesi ve anahtarlar\u0131n g\u00fcvenli saklanmas\u0131.<\/p>\n
(2) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri faaliyetleri kapsam\u0131nda ger\u00e7ekle\u015fen i\u015flemlere ili\u015fkin \u00fcretilen, iletilen, i\u015flenen ve saklanan verilerin kasten veya yanl\u0131\u015fl\u0131kla Kurum, Kurulu\u015f ve Ortakl\u0131klar d\u0131\u015f\u0131na s\u0131zmas\u0131n\u0131 \u00f6nlemeye y\u00f6nelik olarak g\u00fcvenlik s\u0131n\u0131f\u0131na uygun \u00f6nlemleri al\u0131r.<\/p>\n
(3) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri arac\u0131l\u0131\u011f\u0131yla edindi\u011fi veya saklad\u0131\u011f\u0131 ki\u015fisel verilerin gizlili\u011fini sa\u011flamaya y\u00f6nelik kontrolleri tesis eder ve bunlar\u0131n gerektirdi\u011fi \u00f6nlemleri al\u0131r.<\/p>\n
(4) Saklama s\u00fcresi sona eren verilerin bulunduklar\u0131 t\u00fcm ortamlardan g\u00fcvenli ve geri d\u00f6nd\u00fcr\u00fclemez \u015fekilde silinmesi sa\u011flan\u0131r ve yap\u0131lan i\u015flemler kaydedilir.<\/p>\n
(5) Kurum, Kurulu\u015f ve Ortakl\u0131klar, ki\u015fisel verilerin korunmas\u0131 ve i\u015flenmesine y\u00f6nelik gerekli tedbirleri al\u0131r. Bu maddede yer almayan durumlarda 6698 say\u0131l\u0131 Ki\u015fisel Verilerin Korunmas\u0131 Kanunu ve ilgili di\u011fer mevzuat h\u00fck\u00fcmleri uygulan\u0131r.<\/p>\n
Bilgi sistemlerine ili\u015fkin d\u0131\u015far\u0131dan hizmet al\u0131m\u0131<\/p>\n
MADDE 19- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00fcst y\u00f6netimi taraf\u0131ndan, bilgi sistemleri kapsam\u0131nda d\u0131\u015far\u0131dan hizmet al\u0131m\u0131n\u0131n do\u011furaca\u011f\u0131 risklerin yeterli d\u00fczeyde de\u011ferlendirilmesine, y\u00f6netilmesine ve d\u0131\u015far\u0131dan hizmet sa\u011flay\u0131c\u0131 kurulu\u015flarla ili\u015fkilerin etkin bir \u015fekilde y\u00fcr\u00fct\u00fclebilmesine olanak sa\u011flayacak bir g\u00f6zetim mekanizmas\u0131 tesis edilir. Tesis edilecek g\u00f6zetim mekanizmas\u0131 asgari olarak a\u015fa\u011f\u0131da belirtilen hususlar\u0131 i\u00e7erir:<\/p>\n
a) D\u0131\u015far\u0131dan al\u0131nan bilgi sistemleri hizmeti kapsam\u0131ndaki t\u00fcm sistem ve s\u00fcre\u00e7lerin, Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n kendi risk y\u00f6netimi, bilgi g\u00fcvenli\u011fi ve m\u00fc\u015fteri mahremiyeti ilkelerine uygun olmas\u0131.<\/p>\n
b) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n verilerinin d\u0131\u015far\u0131dan hizmet sa\u011flayan kurulu\u015fa aktar\u0131lmas\u0131n\u0131n gerekli oldu\u011fu durumlarda, s\u00f6z konusu kurulu\u015fun bilgi g\u00fcvenli\u011fi konusundaki ilke ve uygulamalar\u0131n\u0131n en az Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n uygulad\u0131\u011f\u0131 d\u00fczeyde olmas\u0131.<\/p>\n
c) D\u0131\u015far\u0131dan al\u0131nan bilgi sistemleri hizmetine ili\u015fkin hususlar\u0131n Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n i\u015f s\u00fcreklili\u011fi g\u00f6z \u00f6n\u00fcnde bulundurularak d\u00fczenlenmesi ve gerekli \u00f6nlemlerin al\u0131nmas\u0131.<\/p>\n
\u00e7) D\u0131\u015far\u0131dan al\u0131nan bilgi sistemleri hizmetlerinde \u00f6l\u00e7me, de\u011ferlendirme, raporlama, g\u00fcvenlik ve yetkilendirme gibi s\u00fcre\u00e7lerde nihai sorumlulu\u011fun ve karar alma g\u00fcc\u00fcn\u00fcn Kurum, Kurulu\u015f ve Ortakl\u0131klarda olmas\u0131.<\/p>\n
d) D\u0131\u015far\u0131dan al\u0131nan hizmetin, Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n yasal y\u00fck\u00fcml\u00fcl\u00fcklerini yerine getirmelerini ve etkin bi\u00e7imde denetlenmelerini engelleyici nitelikte olmamas\u0131.<\/p>\n
e) D\u0131\u015far\u0131dan hizmet sa\u011flayacak kurulu\u015fa karar verilmeden \u00f6nce kurulu\u015f b\u00fcnyesinde s\u00f6z konusu hizmeti istenilen kalitede ger\u00e7ekle\u015ftirebilecek d\u00fczeyde teknik donan\u0131m ve altyap\u0131, mali g\u00fc\u00e7, tecr\u00fcbe, bilgi birikimi ve insan kayna\u011f\u0131 bulunup bulunmad\u0131\u011f\u0131 ile d\u0131\u015f hizmet sa\u011flay\u0131c\u0131 kurulu\u015fa y\u00f6nelik yo\u011funla\u015fmalar\u0131n ve hizmet \u00e7\u0131k\u0131\u015f stratejisinin belirlenerek hizmetin ikame edilebilirli\u011fine ili\u015fkin hususlar\u0131 da dikkate alacak \u015fekilde de\u011ferlendirme \u00e7al\u0131\u015fmas\u0131 yap\u0131lmas\u0131 ve haz\u0131rlanacak teknik yeterlilik raporunun \u00fcst y\u00f6netimin onay\u0131na sunulmas\u0131.<\/p>\n
f) D\u0131\u015far\u0131dan al\u0131nan hizmetlere ili\u015fkin; hizmetin kapsam\u0131n\u0131n, hizmet al\u0131nan kurulu\u015fun ileti\u015fim bilgilerinin, hizmetin ge\u00e7erlilik s\u00fcresinin, hizmetin seviyesinin ve kritiklik durumunun yaz\u0131l\u0131 hale getirilmesi.<\/p>\n
(2) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00fcst y\u00f6netimi; d\u0131\u015far\u0131dan al\u0131nan kritik hizmetlerin eri\u015filebilirli\u011fini, performans\u0131n\u0131, kalitesini, bu hizmet kapsam\u0131nda ger\u00e7ekle\u015fen g\u00fcvenlik ihlalleri ile d\u0131\u015f kaynak yoluyla hizmet sa\u011flayan kurulu\u015fun g\u00fcvenlik kontrollerini, finansal ko\u015fullar\u0131n\u0131 ve s\u00f6zle\u015fmeye uygunlu\u011funu yak\u0131ndan takip etmek i\u00e7in yeterli bilgi ve tecr\u00fcbeye sahip sorumlular\u0131 belirler. Bu sorumlular, y\u0131lda en az bir defa olmak \u00fczere bu maddede say\u0131lan hususlar\u0131 i\u00e7eren bir de\u011ferlendirme raporu haz\u0131rlar ve \u00fcst y\u00f6netime sunar.<\/p>\n
(3) D\u0131\u015far\u0131dan hizmet al\u0131m\u0131na ili\u015fkin ko\u015ful, kapsam ve her t\u00fcrl\u00fc di\u011fer tan\u0131mlama, d\u0131\u015f hizmeti sa\u011flayan kurulu\u015f\u00e7a da imzalanm\u0131\u015f olacak \u015fekilde s\u00f6zle\u015fmeye ba\u011flan\u0131r. Hizmet s\u00f6zle\u015fmeleri asgari olarak a\u015fa\u011f\u0131daki hususlar\u0131 i\u00e7erir:<\/p>\n
a) Hizmet seviyelerine ili\u015fkin tan\u0131mlamalar.<\/p>\n
b) Hizmetin sonland\u0131r\u0131lmas\u0131na ili\u015fkin ko\u015fullar ve hizmetin sonlanmas\u0131 durumunda Kurum, Kurulu\u015f ve Ortakl\u0131klara ait t\u00fcm verinin Kurum, Kurulu\u015f ve Ortakl\u0131klara teslimi ve hizmet sa\u011flay\u0131c\u0131 kurulu\u015f b\u00fcnyesinde g\u00fcvenli ve geri d\u00f6nd\u00fcr\u00fclemez \u015fekilde imhas\u0131na ili\u015fkin y\u00fck\u00fcml\u00fcl\u00fckler.<\/p>\n
c) Hizmetin beklenmedik \u015fekillerde sonland\u0131r\u0131lmas\u0131 veya kesintiye u\u011framas\u0131 durumunda uygulanacak yapt\u0131r\u0131mlar.<\/p>\n
\u00e7) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi g\u00fcvenli\u011fi politikas\u0131 d\u00e2hilinde \u00f6nem arz eden konulara ili\u015fkin gereklilikler ile hizmet s\u0131ras\u0131nda ve hizmetin sonlanmas\u0131ndan itibaren hizmet sa\u011flay\u0131c\u0131 kurulu\u015fun, Kurum, Kurulu\u015f ve Ortakl\u0131klar hakk\u0131nda edindi\u011fi bilgileri gizli tutmas\u0131 konusunda y\u00fck\u00fcml\u00fcl\u00fckler.<\/p>\n
d) S\u00f6zle\u015fme kapsam\u0131nda \u00fcretilecek \u00fcr\u00fcn bulunmas\u0131 halinde, \u00fcr\u00fcn\u00fcn sahipli\u011fini, fikri ve s\u0131nai m\u00fclkiyet haklar\u0131n\u0131 da g\u00f6z \u00f6n\u00fcnde bulundurarak d\u00fczenleyen h\u00fck\u00fcmler.<\/p>\n
e) S\u00f6zle\u015fmede d\u0131\u015far\u0131dan al\u0131nan hizmeti sa\u011flayan kurulu\u015flar i\u00e7in y\u00fck\u00fcml\u00fcl\u00fck te\u015fkil eden h\u00fck\u00fcmlerin, alt y\u00fcklenici kurulu\u015flar ile yap\u0131lacak olan s\u00f6zle\u015fmelerde de ba\u011flay\u0131c\u0131 maddeler olarak yer almas\u0131n\u0131 sa\u011flayacak h\u00fck\u00fcmler.<\/p>\n
f) Hizmet sa\u011flay\u0131c\u0131 kurulu\u015fun, sermaye piyasas\u0131 mevzuat\u0131 kapsam\u0131nda Kurum, Kurulu\u015f ve Ortakl\u0131klar, Kurul veya Kurulca uygun g\u00f6r\u00fclecek di\u011fer kurulu\u015flar taraf\u0131ndan talep edilecek bilgileri istenen zamanda ve nitelikte sa\u011flamas\u0131na ili\u015fkin y\u00fck\u00fcml\u00fcl\u00fc\u011f\u00fc ve Kurulun ve Kurulca uygun g\u00f6r\u00fclecek di\u011fer kurulu\u015flar\u0131n s\u00f6zle\u015fme kapsam\u0131nda sunulan hizmet ile ilgili olarak hizmet sa\u011flay\u0131c\u0131 b\u00fcnyesindeki gerekli g\u00f6rd\u00fc\u011f\u00fc her t\u00fcrl\u00fc bilgi, belge ve kayda eri\u015fim hakk\u0131.<\/p>\n
g) Hizmet sa\u011flay\u0131c\u0131 kurulu\u015fun b\u00fcnyesinde ger\u00e7ekle\u015fen g\u00fcvenlik ihlali veya veri s\u0131z\u0131nt\u0131s\u0131 gibi olaylar\u0131n derhal Kurum, Kurulu\u015f ve Ortakl\u0131klara bildirilmesini sa\u011flayacak h\u00fck\u00fcmler.<\/p>\n
\u011f) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n, d\u0131\u015far\u0131dan hizmet sa\u011flayan kurulu\u015fun s\u00f6zle\u015fme kapsam\u0131ndaki faaliyetlerini izleme ve de\u011ferlendirmesine ili\u015fkin esaslar.<\/p>\n
h) D\u0131\u015far\u0131dan hizmet al\u0131m\u0131na konu edilen bir faaliyet konusunda, ilgili mevzuatta Kurum, Kurulu\u015f ve Ortakl\u0131klar i\u00e7in y\u00fck\u00fcml\u00fcl\u00fckler getirilmesi halinde, bu y\u00fck\u00fcml\u00fcl\u00fcklerin d\u0131\u015far\u0131dan hizmet sa\u011flayan kurulu\u015f taraf\u0131ndan da yerine getirilmesinin sa\u011flanaca\u011f\u0131na ili\u015fkin h\u00fck\u00fcmler.<\/p>\n
(4) Kritik olmayan hizmetler, hizmet s\u00f6zle\u015fmelerinde birinci, ikinci ve \u00fc\u00e7\u00fcnc\u00fc f\u0131kralarda belirlenen hususlar\u0131n yer almas\u0131n\u0131n imk\u00e2n d\u00e2hilinde olmad\u0131\u011f\u0131 durumlarda standart s\u00f6zle\u015fmeler ile al\u0131nabilir ve bu durumun gerek\u00e7esi yaz\u0131l\u0131 hale getirilir.<\/p>\n
(5) D\u0131\u015far\u0131dan hizmet sa\u011flayan kurulu\u015flara verilen eri\u015fim haklar\u0131 \u00f6zel olarak de\u011ferlendirilir. Fiziksel veya mant\u0131ksal olabilecek bu eri\u015fimler i\u00e7in risk de\u011ferlendirmesi yap\u0131l\u0131r, gerekiyorsa ek kontroller tesis edilir. Risk de\u011ferlendirmesi yap\u0131l\u0131rken ihtiya\u00e7 duyulan eri\u015fim t\u00fcr\u00fc, eri\u015filecek verinin hassasiyeti ile eri\u015fimin bilgi g\u00fcvenli\u011fi \u00fczerindeki etkileri dikkate al\u0131n\u0131r. Eri\u015fim haklar\u0131, i\u015fin gerektirdi\u011fi en az yetkiyi i\u00e7erir ve gerekirse zamana ba\u011fl\u0131 olarak tan\u0131mlan\u0131r. Al\u0131nan hizmetin sonlanmas\u0131 durumunda ilgili t\u00fcm eri\u015fim haklar\u0131 iptal edilir.<\/p>\n
(6) Kurum, Kurulu\u015f ve Ortakl\u0131klar, faaliyetlerinin tamam\u0131 veya bir b\u00f6l\u00fcm\u00fc i\u00e7in bulut hizmeti kullanabilir. Bulut hizmeti al\u0131m\u0131, kullan\u0131m\u0131 ve y\u00f6netimi, d\u0131\u015far\u0131dan hizmet al\u0131m\u0131 olarak de\u011ferlendirilir. Bulut hizmeti kapsam\u0131nda 27 nci maddenin birinci f\u0131kras\u0131nda belirlenen y\u00fck\u00fcml\u00fcl\u00fckler dikkate al\u0131n\u0131r.<\/p>\n
(7) D\u0131\u015far\u0131dan al\u0131nan yaz\u0131l\u0131m, donan\u0131m, i\u015fletim sistemi veya bu bile\u015fenlerin bir ya da birka\u00e7\u0131n\u0131 bar\u0131nd\u0131ran cihaz\/sistemlerin, mevcut g\u00fcvenlik \u00f6nlemlerini a\u015farak eri\u015fim sa\u011flamak \u00fczere \u00f6zel olarak tasarlanan ve\/veya kas\u0131tl\u0131 olarak d\u00e2hil edilmi\u015f bo\u015fluklar veya g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 bar\u0131nd\u0131rmad\u0131\u011f\u0131na y\u00f6nelik taahh\u00fctname; da\u011f\u0131t\u0131c\u0131, tedarik\u00e7i veya \u00fcreticiden al\u0131n\u0131r.<\/p>\n
M\u00fc\u015fterilerin bilgilendirilmesi<\/p>\n
MADDE 20- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar taraf\u0131ndan elektronik ortamda sunulan hizmetlerden yararlanacak m\u00fc\u015fteriler; sunulan hizmetlere ili\u015fkin \u015fartlar, riskler ve istisna\u00ee durumlarla ilgili olarak a\u00e7\u0131k bir \u015fekilde bilgilendirilir. Bu kapsamda; s\u00f6z konusu hizmetlere ili\u015fkin risklerin etkisini azaltmaya y\u00f6nelik olarak benimsenen bilgi g\u00fcvenli\u011fi ilkeleri ve bu risklerden korunmak i\u00e7in kullan\u0131lmas\u0131 gereken y\u00f6ntemler, m\u00fc\u015fterilerin dikkatine sunulur. Bu bilgilendirmenin yap\u0131ld\u0131\u011f\u0131n\u0131n ispat\u0131 Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n sorumlulu\u011fundad\u0131r.<\/p>\n
(2) Bilgi sistemlerinden ve bunlara dayal\u0131 olarak verilen hizmetlerden dolay\u0131 m\u00fc\u015fterilerin ya\u015fayabilece\u011fi sorunlar\u0131n takip edilebilece\u011fi ve m\u00fc\u015fterilerin \u015fik\u00e2yetlerini ula\u015ft\u0131rmalar\u0131na imk\u00e2n tan\u0131yacak mekanizmalar olu\u015fturulur. \u015eik\u00e2yet ve uyar\u0131lar de\u011ferlendirilerek aksakl\u0131klar\u0131 giderici \u00e7al\u0131\u015fmalar yap\u0131l\u0131r.<\/p>\n
\u00dc\u00e7\u00fcnc\u00fc taraflarla bilgi de\u011fi\u015fimi<\/p>\n
MADDE 21- (1) \u00dc\u00e7\u00fcnc\u00fc taraflara Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemine eri\u015fim hakk\u0131 verilmeden \u00f6nce gerekli g\u00fcvenlik gereksinimleri tan\u0131mlan\u0131r ve uygulan\u0131r. Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi i\u00e7eren ortamlar\u0131, \u00fc\u00e7\u00fcnc\u00fc taraflar ile yap\u0131lan veri aktar\u0131mlar\u0131 s\u0131ras\u0131nda ger\u00e7ekle\u015febilecek k\u00f6t\u00fcye kullan\u0131m veya bozulmaya kar\u015f\u0131 korunur. Bu kapsamda yap\u0131lan \u00e7al\u0131\u015fmalar yaz\u0131l\u0131 hale getirilir ve veri aktar\u0131mlar\u0131na ili\u015fkin denetim izi tutulur.<\/p>\n
(2) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n birinci f\u0131kra kapsam\u0131nda alaca\u011f\u0131 tedbirler Kurulun bilgi al\u0131m\u0131, denetim ve g\u00f6zetim faaliyetlerine engel te\u015fkil edemez.<\/p>\n
Kay\u0131t mekanizmas\u0131n\u0131n olu\u015fturulmas\u0131<\/p>\n
MADDE 22- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri \u00fczerindeki riskleri, sistem veya faaliyetlerinin karma\u015f\u0131kl\u0131\u011f\u0131n\u0131 ve kapsam\u0131n\u0131n geni\u015fli\u011fini g\u00f6z \u00f6n\u00fcnde bulundurarak bilgi sistemlerinin kullan\u0131m\u0131na ili\u015fkin etkin bir denetim izi kay\u0131t mekanizmas\u0131 tesis eder. Bu kapsamda asgari olarak kritik bilgi sistemlerine ve Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n faaliyetlerine ait kay\u0131tlarda de\u011fi\u015fikli\u011fe sebep olan i\u015flemler ile hassas verilere eri\u015filmesine, bunlar\u0131n sorgulanmas\u0131na, g\u00f6r\u00fcnt\u00fclenmesine, kopyalanmas\u0131na, de\u011fi\u015ftirilmesine y\u00f6nelik i\u015flemler ve kritik bilgi varl\u0131klar\u0131na y\u00f6nelik eri\u015fim yetkilerinin verilmesine, de\u011fi\u015ftirilmesine ve geri al\u0131nmas\u0131na y\u00f6nelik i\u015flevler ile bu varl\u0131klara y\u00f6nelik yetkisiz eri\u015fim te\u015febb\u00fcslerine ili\u015fkin denetim izleri tutulur. Bu sayede, bilgi sistemleri d\u00e2hilinde ger\u00e7ekle\u015fen ve Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n faaliyetlerine ait kay\u0131tlarda de\u011fi\u015fiklik ve silmeye sebep olan i\u015flemlere ili\u015fkin denetim izlerinin yeterli detayda ve a\u00e7\u0131kl\u0131kta kaydedilmesi temin edilir. Kay\u0131t mekanizmas\u0131n\u0131n yetkisiz sistem ve kullan\u0131c\u0131 eri\u015fimlerine kar\u015f\u0131 korunmas\u0131na y\u00f6nelik \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(2) Denetim izlerinin b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fcn bozulmas\u0131n\u0131n \u00f6nlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi i\u00e7in gerekli teknikler kullan\u0131l\u0131r. Denetim izlerinin b\u00fct\u00fcnl\u00fc\u011f\u00fc d\u00fczenli olarak g\u00f6zden ge\u00e7irilir ve ola\u011fan d\u0131\u015f\u0131 durumlar \u00fcst y\u00f6netime raporlan\u0131r.<\/p>\n
(3) Denetim izlerinde asgari olarak a\u015fa\u011f\u0131daki bilgiler tutulur:<\/p>\n
a) Yap\u0131lan i\u015flemlerin t\u00fcr\u00fc ve niteli\u011fi.<\/p>\n
b) \u0130\u015flemi ger\u00e7ekle\u015ftiren uygulama.<\/p>\n
c) \u0130\u015flemi ger\u00e7ekle\u015ftiren ki\u015finin kimli\u011fi.<\/p>\n
\u00e7) Yap\u0131lan i\u015flemlerin zaman\u0131.<\/p>\n
d) \u0130\u015flemin sonucu.<\/p>\n
e) Eri\u015filen sistem, ara y\u00fcz ya da dosya ad\u0131.<\/p>\n
(4) Denetim izleri asgari 5 y\u0131l saklan\u0131r. Denetim izlerinin yeterli g\u00fcvenlik d\u00fczeyine sahip ortamlarda korunmas\u0131 ve yedeklerinin al\u0131nmas\u0131 suretiyle, ya\u015fanmas\u0131 muhtemel olumsuzluklar sonras\u0131nda da \u00f6ng\u00f6r\u00fclen s\u00fcre i\u00e7in eri\u015filebilir olmalar\u0131 temin edilir. Bunun yan\u0131 s\u0131ra, denetim izlerinin al\u0131nmas\u0131 ve saklanmas\u0131nda kullan\u0131lan ara\u00e7 veya y\u00f6ntemler g\u00f6zetim alt\u0131nda tutulur. Denetim izi mekanizmas\u0131nda bir aksakl\u0131k ya\u015fand\u0131\u011f\u0131nda ilgili ki\u015filerin otomatik olarak uyar\u0131lmas\u0131 sa\u011flan\u0131r.<\/p>\n
(5) Kullan\u0131c\u0131lar, bilgi sistemleri \u00fczerindeki aktivitelerinin kayd\u0131n\u0131n tutuldu\u011fu konusunda bilgilendirilir.<\/p>\n
(6) Denetim izlerinin tutulmas\u0131, ilgili di\u011fer mevzuat h\u00fck\u00fcmleri gere\u011fi Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n tabi oldu\u011fu mevzuattaki belge saklanmas\u0131na ili\u015fkin y\u00fck\u00fcml\u00fcl\u00fcklerini de\u011fi\u015ftirmez.<\/p>\n
(7) Denetim izleri s\u00fcrekli g\u00f6zetim alt\u0131nda tutulur. Ola\u011fan d\u0131\u015f\u0131 durumlar i\u00e7in otomatik uyar\u0131 mekanizmas\u0131 kurulur ve ilgililere bildirim yap\u0131l\u0131r. Bu bildirimlerin her biri \u00fczerinde inceleme yap\u0131l\u0131r ve sonu\u00e7lar kay\u0131t alt\u0131na al\u0131n\u0131r.<\/p>\n
(8) D\u0131\u015far\u0131dan al\u0131nan hizmetler i\u00e7in de bu madde kapsam\u0131nda denetim izi tutulmas\u0131 ve Kurum, Kurulu\u015f ve Ortakl\u0131klar taraf\u0131ndan eri\u015filebilmesi sa\u011flan\u0131r.<\/p>\n
(9) Denetim izleri merkezi bir kay\u0131t y\u00f6netim sistemi arac\u0131l\u0131\u011f\u0131yla izlenir ve analiz edilir. Olas\u0131 g\u00fcvenlik olaylar\u0131n\u0131n erken tespiti i\u00e7in korelasyon kurallar\u0131 tan\u0131mlan\u0131r ve uyar\u0131 mekanizmalar\u0131 olu\u015fturulur.<\/p>\n
(10) Kritik faaliyetlerin ger\u00e7ekle\u015fti\u011fi bilgi sistemlerinin y\u00f6neticileri ile bu sistemlere ili\u015fkin denetim izlerini y\u00f6neten ki\u015filer ayr\u0131\u015ft\u0131r\u0131l\u0131r.<\/p>\n
Zaman senkronizasyonu<\/p>\n
MADDE 23- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemlerinde kulland\u0131klar\u0131 zaman bilgisi tek bir referans kayna\u011f\u0131na g\u00f6re senkronize edilir. Zaman bilgisi atomik saatler vas\u0131tas\u0131yla temin edilir.<\/p>\n
Bilgi g\u00fcvenli\u011fi ihlali<\/p>\n
MADDE 24- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, b\u00fcnyelerinde ger\u00e7ekle\u015fen her t\u00fcrl\u00fc bilgi g\u00fcvenli\u011fi ihlalinin veya bilgi sistemlerine ili\u015fkin tespit edilen g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n y\u00f6netilmesini sa\u011flayacak kontrolleri tesis eder. Bu kapsamda t\u00fcm personel, rol ve sorumluluklar\u0131 hakk\u0131nda bilgilendirilir. Ger\u00e7ekle\u015fen ihlal veya tespit edilen g\u00fcvenlik a\u00e7\u0131\u011f\u0131 m\u00fcmk\u00fcn olan en k\u0131sa s\u00fcrede kayda al\u0131n\u0131r ve gerekli i\u015flemler yap\u0131l\u0131r.<\/p>\n
(2) Bilgi g\u00fcvenli\u011fi ihlal olaylar\u0131n\u0131n veya g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131n de\u011ferlendirilmesi i\u00e7in kriterler belirlenir. Bu kriterler asgari olarak kritik operasyonlar\u0131n ve hizmetlerin olas\u0131 kesinti s\u00fcresi, veri s\u0131z\u0131nt\u0131s\u0131 kapsam\u0131nda \u00e7al\u0131nan kay\u0131t veya etkilenen hesap say\u0131s\u0131, etkilenen kullan\u0131c\u0131 say\u0131s\u0131, kesinti s\u00fcresince ve ileriye d\u00f6n\u00fck toplam gelir kayb\u0131, ihlal edilen hizmet seviyesi anla\u015fmalar\u0131n\u0131n oran\u0131 \u00f6l\u00e7\u00fctlerini i\u00e7erir ve bu s\u00fcre\u00e7 yaz\u0131l\u0131 hale getirilir.<\/p>\n
(3) Bilgi g\u00fcvenli\u011fi ihlal olaylar\u0131na m\u00fcdahale plan\u0131 haz\u0131rlan\u0131r ve \u00fcst y\u00f6netim taraf\u0131ndan onaylan\u0131r. Planda asgari olarak;<\/p>\n
a) Olaya m\u00fcdahale ekibinin rolleri, sorumluluklar\u0131 ve ileti\u015fim bilgileri,<\/p>\n
b) Olay, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 veya tehdit bildiriminin kim taraf\u0131ndan ve nas\u0131l yap\u0131labilece\u011fi,<\/p>\n
c) Kurum i\u00e7i ve kurum d\u0131\u015f\u0131 ileti\u015fim esaslar\u0131,<\/p>\n
\u00e7) G\u00fcncel tehdit ve muhtemel siber olaylar\u0131n her biri i\u00e7in; olay\u0131n de\u011ferlendirilmesi, ilgili taraflar\u0131n bilgilendirilmesi, olaya cevap verilmesi, kurtarma, raporlama, \u00f6\u011frenme ve iyile\u015ftirme a\u015famalar\u0131,<\/p>\n
yer al\u0131r.<\/p>\n
(4) Ya\u015fanan olay\u0131n, kritik operasyonlar\u0131 kesintiye u\u011fratacak veya veri s\u0131z\u0131nt\u0131s\u0131yla sonu\u00e7lanacak potansiyelde belirlenmesi durumunda derhal Kurul, m\u00fc\u015fteriler ve ilgili di\u011fer kurumlar bilgilendirilir.<\/p>\n
(5) Olay sonras\u0131, olaya ili\u015fkin al\u0131nan kararlar, olay\u0131n etkiledi\u011fi bilgi sistemleri ve i\u015f s\u00fcre\u00e7leri, olaya cevaben ger\u00e7ekle\u015ftirilen t\u00fcm i\u015flemler, olay\u0131n k\u00f6k sebebi, g\u00f6rev alan ki\u015filer, harcanan zaman, maliyet ve i\u015fg\u00fcc\u00fc miktar\u0131 kayda al\u0131narak siber olay m\u00fcdahale raporu haz\u0131rlan\u0131r ve \u00fcst y\u00f6netime iletilir. Olaydan kritik sistemler veya hassas verilerin etkilenmesi durumunda haz\u0131rlanan rapor derhal Kurula iletilir.<\/p>\n
(6) Olay m\u00fcdahale s\u00fcreciyle ilgili personelin yetkinlik, deneyim ve bilgisinin e\u011fitim programlar\u0131 ile art\u0131r\u0131lmas\u0131 sa\u011flan\u0131r.<\/p>\n
(7) Yasal i\u015flemler i\u00e7in kan\u0131tlar\u0131n b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fcn bozulmadan toplanmas\u0131 ve korunmas\u0131 i\u00e7in kontroller tesis edilir.<\/p>\n
(8) Olay m\u00fcdahale plan\u0131n\u0131n etkinli\u011fini ve g\u00fcncelli\u011fini temin etmek \u00fczere y\u0131lda en az bir kez test yap\u0131l\u0131r ve test sonu\u00e7lar\u0131 \u00fcst y\u00f6netime raporlan\u0131r.<\/p>\n
(9) Sekt\u00f6rel SOME taraf\u0131ndan, Kurumsal SOME kurulmas\u0131na karar verilen Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n b\u00fcnyesinde Kurumsal SOME kurulur ve SOME Tebli\u011finde belirtilen usul ve esaslara g\u00f6re \u00e7al\u0131\u015f\u0131r. Kurumsal SOME \u00fcyelerinin ileti\u015fim bilgileri USOM taraf\u0131ndan belirlenen y\u00f6ntem ile USOM\u2019a bildirilir ve g\u00fcncelli\u011fi sa\u011flan\u0131r.<\/p>\n
(10) B\u00fcnyesinde Kurumsal SOME kurulan Kurum, Kurulu\u015f ve Ortakl\u0131klarda bilgi g\u00fcvenli\u011fi ihlallerine ili\u015fkin ger\u00e7ekle\u015ftirilen faaliyetlere y\u00f6nelik y\u0131ll\u0131k olarak SOME Rehberinde belirtilen Kurumsal SOME Faaliyet Raporu d\u00fczenlenir, \u00fcst y\u00f6netime raporlan\u0131r. Haz\u0131rlanan rapor takip eden y\u0131l 31 Ocak tarihine kadar T\u00fcrkiye Sermaye Piyasalar\u0131 Birli\u011fi \u00fcyelerince Birlik arac\u0131l\u0131\u011f\u0131yla, di\u011fer Kurum, Kurulu\u015f ve Ortakl\u0131klarca do\u011frudan Kurula iletilir. Son bildirim g\u00fcn\u00fcn\u00fcn resmi tatil g\u00fcn\u00fcne denk gelmesi halinde, resmi tatil g\u00fcn\u00fcn\u00fc takip eden ilk i\u015f g\u00fcn\u00fc son bildirim tarihi kabul edilir. Raporda, Kurumsal SOME Rehberinde belirtilenlerin yan\u0131 s\u0131ra asgari olarak a\u015fa\u011f\u0131daki unsurlara da yer verilir:<\/p>\n
a) Ya\u015fanan olaylara cevaben yap\u0131lan t\u00fcm m\u00fcdahaleler.<\/p>\n
b) Otomatik yollarla tespit edilen ve yan\u0131tlanan olaylar\u0131n say\u0131s\u0131 ve t\u00fcrleri.<\/p>\n
c) Bir tehdit akt\u00f6r\u00fcn\u00fcn bilgi sistemleri ortam\u0131nda bulundu\u011fu s\u00fcre (bir sald\u0131rgan\u0131n tespit edildi\u011fi andan itibaren varl\u0131\u011f\u0131n\u0131n en erken kan\u0131t\u0131na kadar ge\u00e7en s\u00fcre).<\/p>\n
\u00e7) Kabul edilebilir kesinti s\u00fcreleri ile kabul edilebilir azami veri kayb\u0131 performans metrikleri a\u00e7\u0131s\u0131ndan de\u011ferlendirmeler.<\/p>\n
Bilgi sistemleri edinimi, geli\u015ftirilmesi ve bak\u0131m\u0131<\/p>\n
MADDE 25- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemleri edinimi, geli\u015ftirilmesi ve bak\u0131m\u0131 s\u00fcre\u00e7lerinde gerekli kontrolleri tesis eder. Bu kontroller Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n kendi b\u00fcnyesinde geli\u015ftirilecek, de\u011fi\u015ftirilecek veya d\u0131\u015far\u0131dan hizmet al\u0131m\u0131yla edinilecek her t\u00fcrl\u00fc bilgi sistemini kapsar.<\/p>\n
(2) Geli\u015ftirilecek, de\u011fi\u015ftirilecek veya d\u0131\u015far\u0131dan hizmet al\u0131m\u0131yla temin edilecek bilgi sistemlerinin fonksiyonel gereksinimleri ile tasar\u0131m, geli\u015ftirme ve test a\u015famalar\u0131n\u0131n her biri i\u00e7in teknik ve g\u00fcvenlik gereksinimleri yaz\u0131l\u0131 hale getirilir. Uygulama g\u00fcvenli\u011fi ve eri\u015filebilirlik gereksinimleri belirlenirken Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n belirlemi\u015f oldu\u011fu veri g\u00fcvenlik s\u0131n\u0131fland\u0131rmas\u0131 ve riskler g\u00f6z \u00f6n\u00fcnde bulundurulur.<\/p>\n
(3) Geli\u015ftirilecek, de\u011fi\u015ftirilecek veya d\u0131\u015far\u0131dan temin edilecek bilgi sistemleri yap\u0131s\u0131n\u0131n Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00f6l\u00e7e\u011fi, faaliyetlerinin ve sunulan \u00fcr\u00fcnlerin niteli\u011fi ve karma\u015f\u0131kl\u0131\u011f\u0131 ile uyumlu olmas\u0131 zorunludur.<\/p>\n
(4) Al\u0131nan hizmetin kritikli\u011fi, risklili\u011fi ve tedarik\u00e7inin i\u015f d\u0131\u015f\u0131 kalmas\u0131 olas\u0131l\u0131\u011f\u0131 dikkate al\u0131narak yaz\u0131l\u0131m\u0131 d\u0131\u015f bir firma taraf\u0131ndan geli\u015ftirilen ve kaynak kodu tedarik edilemeyen uygulamalar i\u00e7in \u00fc\u00e7\u00fcnc\u00fc taraflar\u0131n da kat\u0131l\u0131m\u0131yla bir yaz\u0131l\u0131m saklama s\u00f6zle\u015fmesi yap\u0131l\u0131r.<\/p>\n
(5) Bilgi sistemlerinde ger\u00e7ekle\u015ftirilecek b\u00fcy\u00fck \u00f6l\u00e7ekli geli\u015ftirme, de\u011fi\u015fiklik veya edinim s\u00fcre\u00e7leri, proje y\u00f6netim faaliyetleri \u00e7er\u00e7evesinde y\u00fcr\u00fct\u00fcl\u00fcr. Ger\u00e7ekle\u015ftirilecek projeler Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n \u00fcst y\u00f6netimi taraf\u0131ndan onaylan\u0131r. Proje ile ilgili ilerleme raporlar\u0131 belirli periyotlarda \u00fcst y\u00f6netime sunulur.<\/p>\n
(6) Yaz\u0131l\u0131m geli\u015ftirme ya\u015fam d\u00f6ng\u00fcs\u00fcn\u00fcn t\u00fcm a\u015famalar\u0131n\u0131 kapsayacak \u015fekilde g\u00fcvenli yaz\u0131l\u0131m geli\u015ftirme prosed\u00fcr\u00fc olu\u015fturulur.<\/p>\n
(7) Bilgi sistemlerinde yap\u0131lacak \u00f6nemli g\u00fcncellemelerin veya de\u011fi\u015fikliklerin i\u015f s\u00fcre\u00e7lerini aksatmamas\u0131 ve bilgi g\u00fcvenli\u011fi riski olu\u015fturmamas\u0131 i\u00e7in g\u00fcncelleme veya de\u011fi\u015fikliklere ili\u015fkin planlama, test ve uygulama ad\u0131mlar\u0131 detayl\u0131 olarak ele al\u0131n\u0131r.<\/p>\n
(8) Yaz\u0131l\u0131m geli\u015ftirme s\u00fcre\u00e7lerinde g\u00f6rev alan personelin g\u00fcvenli yaz\u0131l\u0131m geli\u015ftirme konusunda e\u011fitim almas\u0131 sa\u011flan\u0131r.<\/p>\n
(9) Geli\u015ftirme, test ve ger\u00e7ek ortamlar yetkisiz eri\u015fim ve de\u011fi\u015fim riskine kar\u015f\u0131 birbirinden ayr\u0131l\u0131r. Test ortam\u0131ndaki veriler, m\u00fc\u015fteri bilgilerini i\u00e7ermeyecek ve ger\u00e7ek ortamdaki i\u015flemlerle uyumlu olacak \u015fekilde belirlenir.<\/p>\n
(10) Bilgi sistemleri ger\u00e7ek ortamda kullan\u0131ma al\u0131nmadan \u00f6nce kabul kriterleri belirlenir, haz\u0131rlanacak bir plana g\u00f6re fonksiyonel, teknik ve g\u00fcvenlik gereksinimleri testlerine tabi tutulur, ger\u00e7ek ortama al\u0131nmas\u0131 onay s\u00fcrecine ba\u011flan\u0131r. Kritik uygulamalar ger\u00e7ek ortama al\u0131nmadan \u00f6nce g\u00fcvenlik testlerinden ge\u00e7irilir, tespit edilen bulgular giderilir.<\/p>\n
(11) Gerekli hallerde de\u011fi\u015ftirilmi\u015f veya yeni geli\u015ftirilmi\u015f sistemin ger\u00e7ek ortamda kullan\u0131ma al\u0131nmadan \u00f6nce belirli bir olgunluk seviyesine ula\u015fana kadar eski sistemle beraber \u00e7al\u0131\u015ft\u0131r\u0131lmas\u0131na devam edilir. Bu \u015fekilde paralel i\u015fletimin m\u00fcmk\u00fcn olmad\u0131\u011f\u0131 durumlarda ise de\u011fi\u015ftirilmi\u015f veya yeni geli\u015ftirilmi\u015f sistem belirli bir olgunluk seviyesine ula\u015fana kadar eski sistem veri kay\u0131ps\u0131z olarak devreye al\u0131nabilir halde tutulur.<\/p>\n
(12) Uygulama geli\u015ftiricilerin zorunlu olmad\u0131k\u00e7a ger\u00e7ek ortama eri\u015fimleri engellenir. Gerekmesi durumunda, bilgi g\u00fcvenli\u011fi sorumlusunun onay\u0131 al\u0131narak ve yap\u0131lan t\u00fcm i\u015flemlerin denetim izleri tutularak k\u0131s\u0131tl\u0131 s\u00fcreyle eri\u015fim sa\u011flan\u0131r.<\/p>\n
(13) Uygulama geli\u015ftirme s\u00fcrecinde s\u00fcr\u00fcm kontrol arac\u0131 kullan\u0131l\u0131r, kaynak kodlarda yap\u0131lan de\u011fi\u015fiklikler gerek\u00e7esi ile s\u00fcr\u00fcm kontrol arac\u0131na yans\u0131t\u0131l\u0131r.<\/p>\n
Uygulama g\u00fcvenli\u011fi<\/p>\n
MADDE 26- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, uygulamalar\u0131n g\u00fcvenli \u00e7al\u0131\u015fmas\u0131n\u0131 temin etmek amac\u0131yla kontroller geli\u015ftirir. Bu kontroller girdi ve \u00e7\u0131kt\u0131 denetimini, hatalar\u0131n ele al\u0131nmas\u0131n\u0131, g\u00fcncellemeleri, eri\u015fim denetimini, mobil uygulama ve API i\u015fletimine \u00f6zg\u00fc konular\u0131 i\u00e7erir ve asgari olarak kritik uygulamalarda ele al\u0131n\u0131r.<\/p>\n
(2) Uygulamalarda veri giri\u015flerinin tam, do\u011fru ve ge\u00e7erli \u015fekilde yap\u0131lmas\u0131, veri \u00fczerindeki i\u015flemlerin do\u011fru sonu\u00e7lar \u00fcretmesi sa\u011flan\u0131r, veri ve i\u015flem kayb\u0131, verinin yetkisiz de\u011fi\u015ftirilmesi ve k\u00f6t\u00fcye kullan\u0131m\u0131 \u00f6nlenir. Bu kapsamda; girdi do\u011frulama ve filtreleme mekanizmalar\u0131 tesis edilir. Girdiler zararl\u0131 i\u00e7erikleri engellemek \u00fczere do\u011frulan\u0131r. Girdilerin \u00f6nceden belirlenen uzunluk ve format gereksinimlerine uygunlu\u011fu sa\u011flan\u0131r.<\/p>\n
(3) Uygulamalar\u0131n \u00fcretti\u011fi \u00e7\u0131kt\u0131lar\u0131n b\u00fct\u00fcnl\u00fc\u011f\u00fc sa\u011flan\u0131r.<\/p>\n
(4) Uygulamalar\u0131n \u00fcretti\u011fi hata mesajlar\u0131, sistem g\u00fcvenli\u011fini tehlikeye atmayacak ve veri s\u0131zd\u0131rma riski yaratmayacak \u015fekilde yap\u0131land\u0131r\u0131l\u0131r.<\/p>\n
(5) Uygulamalarda meydana gelen; gizlilik, b\u00fct\u00fcnl\u00fck ve eri\u015filebilirli\u011fi olumsuz y\u00f6nde etkileyebilecek hatalar i\u00e7in kay\u0131t tutulur ve g\u00f6zetimi sa\u011flan\u0131r. Bu kapsamda normalden s\u0131k tekrarlanan hatalar tespit edildi\u011finde ilgili ki\u015filere otomatik bildirim g\u00f6nderilir.<\/p>\n
(6) Kimlik do\u011frulama verileri, ki\u015fisel ve finansal veriler ile benzeri hassas verilerin \u00e7erezlerde saklanmas\u0131 engellenir.<\/p>\n
(7) Veri g\u00fcvenli\u011fini sa\u011flamak amac\u0131yla; \u00e7erezler asgari s\u00fcrelerde tutulur, kal\u0131c\u0131 \u00e7erezlerin tutulma s\u00fcresi g\u00fcvenlik gereksinimlerine uygun olarak s\u0131n\u0131rland\u0131r\u0131l\u0131r. Oturum \u00e7erezleri, oturum kapan\u0131\u015f\u0131nda otomatik olarak silinir.<\/p>\n
(8) \u00c7erezler her oturumda kullan\u0131c\u0131ya \u00f6zel olacak \u015fekilde \u00fcretilir. \u00c7erez de\u011ferlerinin her kullan\u0131c\u0131 i\u00e7in benzersiz olmas\u0131 ve oturum a\u00e7ma s\u0131ras\u0131nda yeniden \u00fcretilmesi sa\u011flan\u0131r.<\/p>\n
(9) Uygulamalarda ge\u00e7ici veya misafir kullan\u0131c\u0131 eri\u015fimleri belirli s\u00fcreler i\u00e7in sa\u011flan\u0131r ve bu eri\u015fimler s\u00fcre doldu\u011funda devre d\u0131\u015f\u0131 b\u0131rak\u0131l\u0131r.<\/p>\n
(10) API eri\u015fimlerinde, kimlik do\u011frulama ve yetkilendirme i\u00e7in g\u00fcvenli protokoller kullan\u0131l\u0131r. Eri\u015fim talepleri belirte\u00e7 (token) bazl\u0131 do\u011frulan\u0131r ve kullan\u0131c\u0131 kimlik bilgileri korunur. Zorunlu olmad\u0131k\u00e7a hassas verilerin API arac\u0131l\u0131\u011f\u0131yla iletilmesi engellenir.<\/p>\n
(11) API eri\u015fimlerinde a\u015f\u0131r\u0131 y\u00fcklenme ve k\u00f6t\u00fcye kullan\u0131m giri\u015fimlerine kar\u015f\u0131 trafik y\u00f6netimi yap\u0131l\u0131r. Bu kapsamda talep s\u0131n\u0131rland\u0131rma ve yava\u015flatma mekanizmalar\u0131 kullan\u0131l\u0131r.<\/p>\n
(12) Uygulamalar\u0131n oturum zaman a\u015f\u0131m\u0131 s\u00fcresi, uygulaman\u0131n kritikli\u011fine g\u00f6re belirlenir. Bu s\u00fcrenin a\u015f\u0131m\u0131nda oturum otomatik olarak sonland\u0131r\u0131l\u0131r ve kullan\u0131c\u0131 yeniden giri\u015f yapmaya zorlan\u0131r.<\/p>\n
(13) Uygulaman\u0131n kaynak kodlar\u0131n\u0131n k\u00f6t\u00fc ama\u00e7l\u0131 kullan\u0131m ve m\u00fcdahalelere kar\u015f\u0131 korunakl\u0131 olmas\u0131 sa\u011flan\u0131r.<\/p>\n
(14) Uygulamalarda, kullan\u0131c\u0131 taraf\u0131ndan g\u00f6nderilen t\u00fcm girdilerde k\u00f6t\u00fc ama\u00e7l\u0131 i\u00e7eriklerin tespit edilmesi ve engellenmesine y\u00f6nelik kontroller tesis edilir ve bu ama\u00e7la koruma \u00e7\u00f6z\u00fcmleri kullan\u0131l\u0131r.<\/p>\n
(15) Uygulamalara y\u00fcklenen dosyalar\u0131n g\u00fcvenli\u011fini sa\u011flamak amac\u0131yla dosya t\u00fcr\u00fc, boyutu ve i\u00e7eri\u011fi kontrol edilir. Olas\u0131 tehditlere kar\u015f\u0131 dosyalar, g\u00fcncel zararl\u0131 yaz\u0131l\u0131m imzalar\u0131na ve tehdit veri tabanlar\u0131na g\u00f6re taran\u0131r, tespit edilen \u015f\u00fcpheli dosyalar otomatik olarak karantinaya al\u0131n\u0131r veya y\u00fcklenmesi engellenir. Y\u00fcklenen dosyalar\u0131n yaln\u0131zca yetkili ki\u015filerce eri\u015filebilmesi ve g\u00fcvenli\u011fi sa\u011flan\u0131r. Eri\u015fimlerin denetim izi tutulur.<\/p>\n
(16) Mobil uygulaman\u0131n ilk kurulumu, aktifle\u015ftirilmesi veya kullan\u0131lamaz hale gelmesi durumlar\u0131 hari\u00e7 olmak \u00fczere, mobil uygulamay\u0131 y\u00fckleyerek aktif hale getiren m\u00fc\u015fterilere, oturum a\u00e7ma veya oturum s\u0131ras\u0131nda ger\u00e7ekle\u015ftirilen i\u015flemlerin do\u011frulamas\u0131 amac\u0131yla SMS yoluyla tek kullan\u0131ml\u0131k parola g\u00f6nderilmez ve bu y\u00f6ntem kimlik do\u011frulama fakt\u00f6r\u00fc olarak kullan\u0131lmaz.<\/p>\n
(17) Uygulamalarda SMS yoluyla tek kullan\u0131ml\u0131k parola g\u00f6nderilmeden \u00f6nce, m\u00fc\u015fterinin SIM kart de\u011fi\u015fikli\u011fi yap\u0131p yapmad\u0131\u011f\u0131 veya numara ta\u015f\u0131ma yoluyla elektronik haberle\u015fme i\u015fletmecisini de\u011fi\u015ftirip de\u011fi\u015ftirmedi\u011fi T\u00fcrkiye’deki mobil haberle\u015fme operat\u00f6rleriyle sa\u011flanan entegrasyon arac\u0131l\u0131\u011f\u0131yla kontrol edilir ve de\u011fi\u015fiklik yap\u0131ld\u0131\u011f\u0131n\u0131n belirlenmesi durumunda m\u00fc\u015fteri taraf\u0131ndan bu de\u011fi\u015fiklik teyit edilmedi\u011fi s\u00fcrece sunulacak hizmetlerde SIM karta dayal\u0131 kimlik do\u011frulama fakt\u00f6r\u00fcn\u00fcn kullan\u0131lmas\u0131 engellenir. De\u011fi\u015fiklikler teyit edilirken iki fakt\u00f6rl\u00fc kimlik do\u011frulama y\u00f6ntemlerinin kullan\u0131lmas\u0131 esast\u0131r. \u0130ki fakt\u00f6rl\u00fc kimlik do\u011frulama kullan\u0131lmaks\u0131z\u0131n ger\u00e7ekle\u015ftirilen her t\u00fcrl\u00fc i\u015flem i\u00e7in, ger\u00e7ekle\u015ftirilen i\u015flemlerin m\u00fc\u015fteri taraf\u0131ndan yap\u0131ld\u0131\u011f\u0131n\u0131 ispat etme y\u00fck\u00fcml\u00fcl\u00fc\u011f\u00fc Kurum, Kurulu\u015f ve Ortakl\u0131klara aittir.<\/p>\n
(18) Uygulamalarda kritik i\u015flemler i\u00e7in ek kimlik do\u011frulama ad\u0131mlar\u0131 uygulan\u0131r. M\u00fc\u015fterilere, varsay\u0131lan ve m\u00fc\u015fteri taraf\u0131ndan g\u00fcncellenebilecek eri\u015fim k\u0131s\u0131tlamalar\u0131, g\u00fcnl\u00fck i\u015flem limitleri, g\u00fcvenli al\u0131c\u0131lar listesi gibi ilave g\u00fcvenlik \u00f6nlemleri sunulur. G\u00fcvenlik \u00f6nlemlerinin tan\u0131mlanmas\u0131, g\u00fcncellenmesi veya de\u011fi\u015ftirilmesinin \u00e7ok fakt\u00f6rl\u00fc kimlik do\u011frulama sonras\u0131nda ger\u00e7ekle\u015ftirilmesi esast\u0131r.<\/p>\n
(19) Kimlik ve i\u015flem do\u011frulama amac\u0131yla m\u00fc\u015fterilere kulland\u0131r\u0131lacak tek kullan\u0131ml\u0131k parolalar\u0131n, tahmin edilmesi zor olacak \u015fekilde yeterli uzunlukta, rastgele, de\u011fi\u015fken ve e\u015fsiz olarak \u00fcretilmesi ve yaln\u0131zca belirli bir s\u00fcre boyunca ge\u00e7erli olacak \u015fekilde tasarlanmas\u0131 sa\u011flan\u0131r.<\/p>\n
(20) Kritik uygulamalarda, kullan\u0131c\u0131lara uygulama \u00fczerindeki aktif oturumlar hakk\u0131nda bilgilendirme yap\u0131l\u0131r ve aktif oturumlar\u0131n sonland\u0131r\u0131labilmesi i\u00e7in gerekli i\u015flevsellik sa\u011flan\u0131r.<\/p>\n
(21) Kritik uygulamalarda, ba\u015far\u0131s\u0131z kimlik do\u011frulama te\u015febb\u00fcsleri hakk\u0131nda ilgili kullan\u0131c\u0131ya sisteme ilk girdi\u011fi anda bilgi verilir.<\/p>\n
(22) Mobil uygulamalar\u0131n, g\u00fcvenlik g\u00fcncellemelerini kullan\u0131c\u0131lara otomatik olarak bildirmesi sa\u011flan\u0131r. Kritik g\u00fcvenlik g\u00fcncellemelerinin yap\u0131lmas\u0131 i\u00e7in kullan\u0131c\u0131lar zorlan\u0131r ve uygulaman\u0131n eski s\u00fcr\u00fcmleri devre d\u0131\u015f\u0131 b\u0131rak\u0131l\u0131r.<\/p>\n
(23) Mobil uygulamalar\u0131n \u00e7al\u0131\u015ft\u0131klar\u0131 cihaza \u00f6zg\u00fc g\u00fcvenlik gereksinimlerine uygunlu\u011fu sa\u011flan\u0131r. Bu uygulamalar yaln\u0131zca gerekli cihaz izinlerini talep eder ve kullan\u0131c\u0131lar\u0131n onay\u0131 al\u0131narak en az izinle \u00e7al\u0131\u015ft\u0131r\u0131l\u0131r.<\/p>\n
(24) Mobil uygulamalarda ayn\u0131 kullan\u0131c\u0131 hesab\u0131yla birden fazla cihazda e\u015f zamanl\u0131 oturum a\u00e7\u0131lmas\u0131 engellenir.<\/p>\n
(25) M\u00fc\u015fteri kullan\u0131m\u0131na sunulan mobil uygulamalar\u0131n cihaz tan\u0131ma \u00f6zelli\u011fine sahip olmas\u0131 sa\u011flan\u0131r.<\/p>\n
(26) Mobil uygulamalar\u0131n \u00e7al\u0131\u015ft\u0131\u011f\u0131 cihazlardaki hassas verilerin g\u00fcvenli\u011fini sa\u011flamak ve bu cihazlar\u0131n i\u015fletim sistemi yaz\u0131l\u0131m\u0131n\u0131n k\u0131r\u0131lmas\u0131 veya de\u011fi\u015ftirilmesi gibi hallerden kaynaklanacak risklerin azalt\u0131lmas\u0131 amac\u0131yla g\u00fcn\u00fcn teknolojisine uygun kontroller tesis edilir.<\/p>\n
(27) Mobil uygulama kontrol\u00fcnde olmay\u0131p cihaz \u00fcreticisi kontrol\u00fcnde olan parola, PIN ya da biyometrik veriler, m\u00fc\u015fterinin bildi\u011fi ya da biyometrik karakteristi\u011fi olan unsurlar olarak kabul edilmez.<\/p>\n
Bilgi sistemleri s\u00fcreklili\u011fi<\/p>\n
MADDE 27- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n birincil ve ikincil sistemlerini yurt i\u00e7inde bulundurmalar\u0131 zorunludur. \u0130kincil sistemin yeri, do\u011fal ve \u00e7evresel felaketlere kar\u015f\u0131 birincil sistemle ayn\u0131 risklere maruz kalmayacak \u015fekilde se\u00e7ilir.<\/p>\n
(2) Bilgi sistemleri s\u00fcreklilik plan\u0131n\u0131n geli\u015ftirilmesi ve i\u015fletilmesinde g\u00f6rev alacak ki\u015filer ile rol ve sorumluluklar\u0131 belirlenerek ilgili e\u011fitimleri almalar\u0131 sa\u011flan\u0131r. Plan\u0131n devreye al\u0131nmas\u0131 karar\u0131n\u0131 verecek ki\u015fi ve durumlar yaz\u0131l\u0131 hale getirilir. Bilgi sistemleri s\u00fcreklilik plan\u0131 \u00fcst y\u00f6netim taraf\u0131ndan onaylan\u0131r. Plan\u0131n sadece ilgili ki\u015filer taraf\u0131ndan eri\u015filebilir olmas\u0131 ve g\u00fcncel fiziksel kopyalar\u0131n\u0131n gereken yerlerde bulundurulmas\u0131 sa\u011flan\u0131r.<\/p>\n
(3) Plan kapsam\u0131nda ikincil sistem tesis edilir. \u0130kincil sistemde, Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n kritik veri ve sistem yedekleri kullan\u0131ma haz\u0131r bulundurulur.<\/p>\n
(4) Plan, i\u015f birimleriyle ger\u00e7ekle\u015ftirilen i\u015f etki analizi sonu\u00e7lar\u0131n\u0131 ve i\u015f s\u00fcreklili\u011fi plan\u0131nda belirlenen hedefleri de dikkate alacak \u015fekilde, asgari olarak kritik i\u015f s\u00fcre\u00e7lerini destekleyen bilgi sistemleri ve bunlar\u0131n yer ald\u0131\u011f\u0131 konumlara y\u00f6nelik haz\u0131rlan\u0131r. Planda yer alan s\u00fcre\u00e7lerin her biri i\u00e7in kabul edilebilir kesinti s\u00fcreleri ile kabul edilebilir azami veri kayb\u0131 de\u011ferleri belirlenir. Bu \u00e7er\u00e7evede hizmetlerin tekrar kullan\u0131ma a\u00e7\u0131lmas\u0131n\u0131 sa\u011flayacak alternatifli kurtarma s\u00fcre\u00e7 ve prosed\u00fcrleri tesis edilir ve gerekli \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(5) Bilgi sistemleri s\u00fcreklilik plan\u0131n\u0131n devreye al\u0131nmas\u0131 durumunda gerekli olacak kapasite belirlenir ve bunu sa\u011flayacak \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(6) Bilgi sistemlerinden kaynaklanabilecek kesintilere, i\u015flem performans\u0131n\u0131 d\u00fc\u015f\u00fcrecek veya i\u015f s\u00fcreklili\u011fini aksatacak durumlara kar\u015f\u0131 gerekli \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(7) Bilgi sistemlerinin s\u00fcreklili\u011fini sa\u011flamak amac\u0131yla, risk de\u011ferlendirmesi, risk azaltma ve risk izleme faaliyetleri ger\u00e7ekle\u015ftirilir.<\/p>\n
(8) Plan, i\u015f s\u00fcre\u00e7lerini veya bilgi sistemlerini etkileyecek de\u011fi\u015fikliklerden sonra veya y\u0131lda en az bir kez g\u00f6zden ge\u00e7irilerek g\u00fcncellenir. Plan\u0131n etkinli\u011fini ve g\u00fcncelli\u011fini temin etmek \u00fczere testler yap\u0131l\u0131r, testlere varsa d\u0131\u015far\u0131dan hizmet al\u0131nan kurulu\u015flar da d\u00e2hil edilir ve test sonu\u00e7lar\u0131 \u00fcst y\u00f6netime raporlan\u0131r. Testler her y\u0131l tekrarlan\u0131r.<\/p>\n
(9) Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n, birincil sistemin tamamen devre d\u0131\u015f\u0131 kald\u0131\u011f\u0131 durumlarda en ge\u00e7 yirmi d\u00f6rt saat i\u00e7erisinde faaliyetlerini s\u00fcrd\u00fcrebilir hale gelmesi esast\u0131r.<\/p>\n
(10) Birincil sistemin tamamen devre d\u0131\u015f\u0131 kald\u0131\u011f\u0131 durumlarda Kurul derhal bilgilendirilir.<\/p>\n
(11) \u0130kincil sistemlerden birincil sistemlere geri d\u00f6n\u00fc\u015f prosed\u00fcrleri haz\u0131rlan\u0131r.<\/p>\n
(12) Bilgi sistemleri, i\u015f s\u00fcreklili\u011fi plan\u0131ndaki \u00f6nceliklere uygun olarak yedeklenir ve yedekten geri d\u00f6n\u00fclmesi i\u00e7in gerekli s\u00fcre\u00e7ler bilgi sistemleri s\u00fcreklili\u011fi plan\u0131na ve testine d\u00e2hil edilir. Bu kapsamda yedekleme \u00e7izelgesi haz\u0131rlan\u0131r, \u00fcst y\u00f6netime onaylat\u0131l\u0131r ve g\u00fcncelli\u011fi sa\u011flan\u0131r. Yedeklerin en az bir kopyas\u0131 farkl\u0131 co\u011frafi bir konumda saklan\u0131r. Yedeklerin g\u00fcvenli\u011fine ili\u015fkin gerekli \u00f6nlemler al\u0131n\u0131r.<\/p>\n
(13) Y\u0131lda en az bir defa asgari olarak kritik sistemlerin yedekten geri d\u00f6nme testi ger\u00e7ekle\u015ftirilir ve teste kat\u0131lanlar\u0131n bilgisi, tarih, testin detaylar\u0131 ve sonu\u00e7lar\u0131 kay\u0131t alt\u0131na al\u0131n\u0131r. Al\u0131nan yedeklerin yasal saklama s\u00fcresi boyunca geri d\u00f6nd\u00fcr\u00fclebilir olmas\u0131 sa\u011flan\u0131r.<\/p>\n
(14) Kurum, Kurulu\u015f ve Ortakl\u0131klar, faaliyetlerini i\u015f s\u00fcreklili\u011fi plan\u0131nda belirledi\u011fi kabul edilebilir kesinti s\u00fcreleri ve azami veri kayb\u0131 de\u011ferleri dahilinde s\u00fcrd\u00fcrmesini sa\u011flayacak \u015fekilde bilgi sistemlerinde gerekli altyap\u0131y\u0131 kurar.<\/p>\n
(15) Kurum, Kurulu\u015f ve Ortakl\u0131klar, kritik faaliyetlerinin \u00e7al\u0131\u015famaz hale gelmesini \u00f6nlemek ad\u0131na bilgi sistemlerinde yedekli \u00e7al\u0131\u015fma ya da haz\u0131rda bekleme d\u00fczenleri kurar.<\/p>\n
(16) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi g\u00fcvenli\u011fi politikas\u0131n\u0131n, bilgi sistemleri s\u00fcreklilik plan\u0131n\u0131n, bilgi varl\u0131klar\u0131 envanteri ile i\u015f s\u00fcreklili\u011fi ve g\u00fcvenli\u011fi a\u00e7\u0131s\u0131ndan \u00f6nem arz eden di\u011fer dok\u00fcmanlar\u0131n g\u00fcncel s\u00fcr\u00fcmlerini ve bilgi sistemleri y\u00f6netimine ili\u015fkin parolalar\u0131n\u0131 g\u00fcvenli ortamlarda saklar.<\/p>\n
De\u011fi\u015fiklik y\u00f6netimi<\/p>\n
MADDE 28- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, bilgi sistemlerini olu\u015fturan her t\u00fcrl\u00fc yaz\u0131l\u0131m, donan\u0131m ve altyap\u0131 bile\u015fenlerine, dok\u00fcmantasyona ve bilgiye yap\u0131lan de\u011fi\u015fiklikleri y\u00f6netebilmek amac\u0131yla kontroller geli\u015ftirir. Bu kontroller en az a\u015fa\u011f\u0131daki hususlar\u0131 i\u00e7erir:<\/p>\n
a) Yap\u0131lacak her t\u00fcrl\u00fc de\u011fi\u015fiklik i\u00e7in; de\u011fi\u015fikli\u011fin sebebini, kapsam\u0131n\u0131, etkisini, i\u00e7erdi\u011fi riskleri, beklenen faydas\u0131n\u0131, de\u011fi\u015fikli\u011fi yapacak ki\u015fileri, maliyetini, gerekli test ve e\u011fitim faaliyetlerini tan\u0131mlayan kay\u0131tlar olu\u015fturulur.<\/p>\n
b) Planlanan de\u011fi\u015fiklikler uygulanmadan \u00f6nce bu de\u011fi\u015fikliklere y\u00f6nelik detayl\u0131 bir test s\u00fcreci y\u00fcr\u00fct\u00fcl\u00fcr ve de\u011fi\u015fikliklerin g\u00fcvenirli\u011fi ve i\u015flevselli\u011fi do\u011frulan\u0131r, sistem ve uygulamalar\u0131n yap\u0131land\u0131rma ayarlar\u0131n\u0131n ve s\u00fcr\u00fcmlerinin de\u011fi\u015fiklik sonras\u0131 olmas\u0131 gerekti\u011fi bi\u00e7imde belirlendi\u011fi kontrol edilir.<\/p>\n
c) Planlanan de\u011fi\u015fiklikler onay s\u00fcrecinden ge\u00e7medik\u00e7e i\u015fleme konulmaz, ancak acil durumlarda yap\u0131lacak de\u011fi\u015fiklikler i\u00e7in \u00f6zel bir prosed\u00fcr tan\u0131mlan\u0131r ve bu \u015fekilde ger\u00e7ekle\u015ftirilen de\u011fi\u015fikliklerin belge ve kay\u0131tlar\u0131n\u0131n m\u00fcmk\u00fcn olan en k\u0131sa s\u00fcrede tamamlanmas\u0131 sa\u011flan\u0131r.<\/p>\n
\u00e7) Planlanan de\u011fi\u015fiklikler, devreye al\u0131nma tarihleri, test ve e\u011fitim faaliyetleri ilgili t\u00fcm taraflara \u00f6nceden duyurulur.<\/p>\n
d) De\u011fi\u015fikli\u011fin uygulanmas\u0131nda ortaya \u00e7\u0131kan hatalar ve \u00f6ng\u00f6r\u00fclemeyen durumlarda uygulamaya al\u0131nacak geri d\u00f6n\u00fc\u015f prosed\u00fcrleri ve bunlarla ilgili sorumluluklar \u00f6nceden belirlenir, bu prosed\u00fcrlerin m\u00fcmk\u00fcnse test edilmesi sa\u011flan\u0131r.<\/p>\n
e) Ger\u00e7ekle\u015ftirilen de\u011fi\u015fikliklerin sonu\u00e7lar\u0131 g\u00f6zden ge\u00e7irilir.<\/p>\n
f) Ger\u00e7ekle\u015ftirilen, iptal edilen veya reddedilen t\u00fcm de\u011fi\u015fiklikler gerek\u00e7eleriyle birlikte kayda ge\u00e7irilir ve saklan\u0131r.<\/p>\n
\u0130\u00e7 denetim<\/p>\n
MADDE 29- (1) Kurum, Kurulu\u015f ve Ortakl\u0131klar, y\u0131lda en az bir kez olmak kayd\u0131yla bilgi sistemlerine y\u00f6nelik i\u00e7 denetim ger\u00e7ekle\u015ftirir.<\/p>\n
(2) \u0130\u00e7 denetim faaliyeti d\u0131\u015far\u0131dan hizmet al\u0131m\u0131 yoluyla icra edilemez.<\/p>\n
(3) \u0130\u00e7 denetim faaliyeti, bilgi sistemlerinin tasar\u0131m\u0131 ve i\u015fleyi\u015fine y\u00f6nelik g\u00f6revi bulunmayan ki\u015filerce ger\u00e7ekle\u015ftirilir. \u0130\u00e7 denetimi ger\u00e7ekle\u015ftirecek ki\u015filerin 14\/8\/2014 tarihli ve 29088 say\u0131l\u0131 Resm\u00ee Gazete\u2019de yay\u0131mlanan Sermaye Piyasas\u0131nda Faaliyette Bulunanlar \u0130\u00e7in Lisanslama ve Sicil Tutmaya \u0130li\u015fkin Esaslar Hakk\u0131nda Tebli\u011f (VII-128.7)\u2019in 5 inci maddesinde belirtilen Bilgi Sistemleri Ba\u011f\u0131ms\u0131z Denetim Lisans\u0131na sahip olmalar\u0131 zorunludur.<\/p>\n
(4) \u0130\u00e7 denetim sonras\u0131 ula\u015f\u0131lan tespit ve sonu\u00e7lar bir rapor haline getirilir ve y\u00f6netim kuruluna sunulur.<\/p>\n
(5) Bilgi g\u00fcvenli\u011fi sorumlusu taraf\u0131ndan, i\u00e7 denetim raporunda yer alan tespitlere g\u00f6re yap\u0131lacaklar ger\u00e7ekle\u015ftirme tarihleriyle beraber bir aksiyon plan\u0131na d\u00f6n\u00fc\u015ft\u00fcr\u00fcl\u00fcr, \u00fcst y\u00f6netime onaylat\u0131l\u0131r. Aksiyon plan\u0131na uyum \u00fcst y\u00f6netim taraf\u0131ndan takip edilir ve bir sonraki i\u00e7 denetim faaliyetinde dikkate al\u0131n\u0131r.<\/p>\n
(6) \u0130\u00e7 denetim d\u00f6nemi bitiminde i\u00e7 denetim faaliyet raporu haz\u0131rlan\u0131r ve y\u00f6netim kuruluna sunulur. S\u00f6z konusu faaliyet raporunda asgari olarak; tamamlanan, devam eden, ertelenen ve iptal edilen denetim faaliyetlerine, denetim plan\u0131na uyum d\u00fczeyine, bulgular\u0131n nihai durumu ile bulgular\u0131n kapat\u0131lmas\u0131na y\u00f6nelik olarak aksiyon plan\u0131nda hedef tamamlanma tarihi atanmayan, a\u015f\u0131lan, a\u015fma s\u00fcresi bir seneden fazla uzat\u0131lan veya iptal edilen bulgulara yer verilir.<\/p>\n
(7) Kurum, Kurulu\u015f ve Ortakl\u0131klar bilgi sistemleri y\u00f6netimine ili\u015fkin olarak i\u00e7 denetim ger\u00e7ekle\u015ftirecek ki\u015fileri, g\u00f6reve ba\u015flamalar\u0131n\u0131 takiben 10 i\u015f g\u00fcn\u00fc i\u00e7inde Sermaye Piyasas\u0131 Lisanslama Sicil ve E\u011fitim Kurulu\u015fu A.\u015e.\u2019ye bildirir.<\/p>\n
D\u00d6RD\u00dcNC\u00dc B\u00d6L\u00dcM<\/p>\n
\u00c7e\u015fitli ve Son H\u00fck\u00fcmler<\/p>\n
Muafiyetler<\/p>\n
MADDE 30- (1) Asgari \u00f6zsermaye y\u00fck\u00fcml\u00fcl\u00fc\u011f\u00fcnde 2\/7\/2013 tarihli ve 28695 say\u0131l\u0131 Resm\u00ee Gazete\u2019de yay\u0131mlanan Portf\u00f6y Y\u00f6netim \u015eirketleri ve Bu \u015eirketlerin Faaliyetlerine \u0130li\u015fkin Esaslar Tebli\u011fi (III-55.1)\u2019nin 28 inci maddesinin birinci f\u0131kras\u0131n\u0131n (a), (b) ve (c) bentlerine tabi portf\u00f6y y\u00f6netim \u015firketleri, dar yetkili arac\u0131 kurumlar, varl\u0131k kiralama \u015firketleri, ipotek finansman\u0131 kurulu\u015flar\u0131, T\u00fcrkiye Sermaye Piyasalar\u0131 Birli\u011fi, T\u00fcrkiye De\u011ferleme Uzmanlar\u0131 Birli\u011fi, ba\u011f\u0131ms\u0131z denetim, derecelendirme ve de\u011ferleme kurulu\u015flar\u0131, halka a\u00e7\u0131k ortakl\u0131klar, varl\u0131k finansman\u0131 fonlar\u0131, kolektif yat\u0131r\u0131m kurulu\u015flar\u0131, emeklilik yat\u0131r\u0131m fonlar\u0131, konut finansman\u0131 fonlar\u0131 8 inci maddenin be\u015finci, alt\u0131nc\u0131 ve yedinci f\u0131kralar\u0131n\u0131, 10 uncu maddenin alt\u0131nc\u0131 ve yedinci f\u0131kralar\u0131n\u0131, 12 nci maddenin birinci f\u0131kras\u0131n\u0131n (b) bendini, 13 \u00fcnc\u00fc maddenin on birinci ve on \u00fc\u00e7\u00fcnc\u00fc f\u0131kralar\u0131n\u0131, 14 \u00fcnc\u00fc maddenin be\u015finci, alt\u0131nc\u0131 ve sekizinci f\u0131kralar\u0131n\u0131, 15 inci maddenin \u00fc\u00e7\u00fcnc\u00fc, alt\u0131nc\u0131, yedinci, sekizinci ve dokuzuncu f\u0131kralar\u0131n\u0131, 16 nc\u0131 maddenin sekizinci ve dokuzuncu f\u0131kralar\u0131n\u0131, 17 nci maddenin ikinci f\u0131kras\u0131n\u0131, 18 inci maddenin ikinci f\u0131kras\u0131n\u0131, 22 nci maddenin yedinci, dokuzuncu ve onuncu f\u0131kralar\u0131n\u0131, 24 \u00fcnc\u00fc maddenin yedinci ve sekizinci f\u0131kralar\u0131n\u0131, 25 inci maddenin d\u00f6rd\u00fcnc\u00fc, be\u015finci, alt\u0131nc\u0131 ve on birinci f\u0131kralar\u0131n\u0131, 26 nc\u0131 maddeyi, 27 nci maddenin \u00fc\u00e7\u00fcnc\u00fc, dokuzuncu, onuncu, on birinci ve on be\u015finci f\u0131kralar\u0131n\u0131, 28 inci maddeyi ve 29 uncu maddeyi uygulamak zorunda de\u011fildir.<\/p>\n
(2) Borsa \u0130stanbul A.\u015e., \u0130stanbul Takas ve Saklama Bankas\u0131 A.\u015e., Merkezi Kay\u0131t Kurulu\u015fu A.\u015e., T\u00fcrkiye Sermaye Piyasalar\u0131 Birli\u011fi, T\u00fcrkiye De\u011ferleme Uzmanlar\u0131 Birli\u011fi ve Sermaye Piyasas\u0131 Lisanslama Sicil ve E\u011fitim Kurulu\u015fu A.\u015e. 29 uncu maddenin yedinci f\u0131kras\u0131ndan muaft\u0131r.<\/p>\n
(3) Bilgi Sistemleri Ba\u011f\u0131ms\u0131z Denetim Tebli\u011fi (III-62.2) h\u00fck\u00fcmleri kapsam\u0131nda, bilgi sistemleri ba\u011f\u0131ms\u0131z denetim zorunlulu\u011fu bulunmayan halka a\u00e7\u0131k ortakl\u0131klar, 27 nci maddenin birinci f\u0131kras\u0131 uyar\u0131nca, birincil ve ikincil sistemlerini yurt i\u00e7inde bulundurmak zorunda de\u011fildir.<\/p>\n
(4) Platformlar, bulut hizmet sa\u011flay\u0131c\u0131s\u0131n\u0131n yurt i\u00e7inde temsilcili\u011finin bulunmas\u0131 ko\u015fulu ile m\u00fc\u015fteri emirlerinin e\u015fle\u015fti\u011fi ortamlar i\u00e7in yurt d\u0131\u015f\u0131 bulut hizmeti kullanabilir. Her hal\u00fckarda, yurt d\u0131\u015f\u0131 bulut hizmeti sa\u011flay\u0131c\u0131 b\u00fcnyesinde olu\u015fan t\u00fcm kay\u0131tlar g\u00fcn sonunda yurt i\u00e7indeki sistemlere aktar\u0131l\u0131r.<\/p>\n
(5) Ba\u011f\u0131ms\u0131z denetim kurulu\u015flar\u0131 taraf\u0131ndan rezerv kan\u0131t denetimi s\u00fcrecinde kullan\u0131lacak ara\u00e7lar i\u00e7in yurt d\u0131\u015f\u0131 bulut hizmeti kullan\u0131labilir.<\/p>\n
(6) Kurul, bu Tebli\u011f kapsam\u0131nda belirlenen y\u00fck\u00fcml\u00fcl\u00fcklere ili\u015fkin olarak muafiyet belirlemeye, bunlar\u0131n kapsam\u0131n\u0131 ve i\u00e7eri\u011fini Kurum, Kurulu\u015f ve Ortakl\u0131klar baz\u0131nda de\u011fi\u015ftirmeye yetkilidir.<\/p>\n
Di\u011fer hususlar<\/p>\n
MADDE 31- (1) Bu Tebli\u011f h\u00fck\u00fcmleri esas olmak \u00fczere, tezgah\u00fcst\u00fc t\u00fcrev ara\u00e7 i\u015flemi ger\u00e7ekle\u015ftiren arac\u0131 kurumlar\u0131n bilgi i\u015flem altyap\u0131lar\u0131na ili\u015fkin olarak ilgili Kurul d\u00fczenlemelerinde belirlenen ilke ve esaslara uyulur.<\/p>\n
(2) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar, bu Tebli\u011fde yer alan h\u00fck\u00fcmlere ilave olarak T\u00fcrkiye Bilimsel ve Teknolojik Ara\u015ft\u0131rma Kurumu\u2019nun Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar\u0131n bilgi sistemleri ve teknolojik altyap\u0131lar\u0131na ili\u015fkin olarak haz\u0131rlad\u0131\u011f\u0131 dok\u00fcmanda yer alan kriterlere uyar.<\/p>\n
(3) Kurul, bu Tebli\u011f kapsam\u0131nda belirlenen s\u00fcreleri Kurum, Kurulu\u015f ve Ortakl\u0131klar baz\u0131nda de\u011fi\u015ftirmeye yetkilidir.<\/p>\n
(4) Kurul, bu Tebli\u011f kapsam\u0131nda bulut hizmet sa\u011flay\u0131c\u0131lara ili\u015fkin kriterleri belirlemeye yetkilidir.<\/p>\n
Y\u00fcr\u00fcrl\u00fckten kald\u0131r\u0131lan tebli\u011f<\/p>\n
MADDE 32- (1) 5\/1\/2018 tarihli ve 30292 say\u0131l\u0131 Resm\u00ee Gazete\u2019de yay\u0131mlanan Bilgi Sistemleri Y\u00f6netimi Tebli\u011fi (VII-128.9) y\u00fcr\u00fcrl\u00fckten kald\u0131r\u0131lm\u0131\u015ft\u0131r.<\/p>\n
(2) Mevzuatta, birinci f\u0131kra ile y\u00fcr\u00fcrl\u00fckten kald\u0131r\u0131lan tebli\u011fe yap\u0131lan at\u0131flar bu Tebli\u011fe yap\u0131lm\u0131\u015f say\u0131l\u0131r.<\/p>\n
Ge\u00e7i\u015f s\u00fcresi<\/p>\n
GE\u00c7\u0130C\u0130 MADDE 1- (1) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar\u0131n 27 nci maddeye 31\/12\/2025, 29 uncu maddenin \u00fc\u00e7\u00fcnc\u00fc f\u0131kras\u0131na 31\/12\/2026 tarihine kadar uyum sa\u011flamas\u0131 gerekmektedir.<\/p>\n
(2) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar haricindeki Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n ise 29 uncu maddenin \u00fc\u00e7\u00fcnc\u00fc f\u0131kras\u0131na 31\/12\/2026 tarihine kadar, bu Tebli\u011fin di\u011fer h\u00fck\u00fcmlerine ise 31\/12\/2025 tarihine kadar uyum sa\u011flamas\u0131 gerekmektedir.<\/p>\n
(3) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar haricindeki Kurum, Kurulu\u015f ve Ortakl\u0131klar, 31\/12\/2025 tarihine kadar 32 nci madde ile y\u00fcr\u00fcrl\u00fckten kald\u0131r\u0131lan tebli\u011f h\u00fck\u00fcmlerine uymakla y\u00fck\u00fcml\u00fcd\u00fcr.<\/p>\n
Y\u00fcr\u00fcrl\u00fck<\/p>\n
MADDE 33- (1) Bu Tebli\u011f 30\/6\/2025 tarihinde y\u00fcr\u00fcrl\u00fc\u011fe girer.<\/p>\n
Y\u00fcr\u00fctme<\/p>\n
MADDE 34- (1) Bu Tebli\u011f h\u00fck\u00fcmlerini Sermaye Piyasas\u0131 Kurulu y\u00fcr\u00fct\u00fcr.<\/p>\n
Eki i\u00e7in t\u0131klay\u0131n\u0131z<\/p>\n
\u200bBilgi Sistemleri Y\u00f6netimine \u0130li\u015fkin Usul ve Esaslar Tebli\u011fi (VII-128.10), 13 Mart 2025 Tarihli ve 32840 Say\u0131l\u0131 Resm\u00ee Gazete’de yay\u0131mland\u0131.\u00a0Hukuki Haber<\/p>\n
Haberin Al\u0131nt\u0131land\u0131\u011f\u0131 Kaynak: www.hukukihaber.net<\/p>","protected":false},"excerpt":{"rendered":"
Sermaye Piyasas\u0131 Kurulundan: B\u0130LG\u0130 S\u0130STEMLER\u0130 Y\u00d6NET\u0130M\u0130NE \u0130L\u0130\u015eK\u0130N USUL VE ESASLAR TEBL\u0130\u011e\u0130 (VII-128.10) B\u0130R\u0130NC\u0130 B\u00d6L\u00dcM Ba\u015flang\u0131\u00e7 H\u00fck\u00fcmleri Ama\u00e7 MADDE 1- (1) Bu Tebli\u011fin amac\u0131, 2 nci maddede say\u0131lan Kurum, Kurulu\u015f ve Ortakl\u0131klar\u0131n bilgi sistemlerinin y\u00f6netimine ili\u015fkin usul ve esaslar\u0131 belirlemektir. Kapsam MADDE 2- (1) A\u015fa\u011f\u0131daki Kurum, Kurulu\u015f ve Ortakl\u0131klar, bu Tebli\u011f h\u00fck\u00fcmlerine uymakla y\u00fck\u00fcml\u00fcd\u00fcrler: a) Borsa \u0130stanbul A.\u015e., b) Borsalar ve piyasa i\u015fleticileri ile te\u015fkilatlanm\u0131\u015f di\u011fer pazar yerleri, c) Emeklilik yat\u0131r\u0131m fonlar\u0131, \u00e7) \u0130stanbul Takas ve Saklama Bankas\u0131 A.\u015e., d) Merkezi Kay\u0131t Kurulu\u015fu A.\u015e., e) Portf\u00f6y saklay\u0131c\u0131s\u0131 kurulu\u015flar, f) Sermaye Piyasas\u0131 Lisanslama Sicil ve E\u011fitim Kurulu\u015fu A.\u015e., g) Sermaye piyasas\u0131 kurumlar\u0131, \u011f) Halka a\u00e7\u0131k ortakl\u0131klar, h) T\u00fcrkiye Sermaye Piyasalar\u0131 Birli\u011fi, \u0131) T\u00fcrkiye De\u011ferleme Uzmanlar\u0131 Birli\u011fi, i) Kripto Varl\u0131k Hizmet Sa\u011flay\u0131c\u0131lar. (2) Birinci f\u0131krada say\u0131lan Kurum, Kurulu\u015f ve Ortakl\u0131klardan, 6\/12\/2012 tarihli ve 6362 say\u0131l\u0131 Sermaye Piyasas\u0131 Kanununun 136 nc\u0131 maddesi uyar\u0131nca banka ve sigorta \u015firketleri ile 21\/11\/2012 tarihli ve 6361 say\u0131l\u0131 Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman \u015eirketleri Kanunu uyar\u0131nca finansal kiralama, faktoring, finansman ve tasarruf finansman \u015firketlerinin bilgi sistemlerinin, kendi \u00f6zel mevzuatlar\u0131nda belirlenen ilkeler \u00e7er\u00e7evesinde y\u00f6netilmesi, bu Tebli\u011fde \u00f6ng\u00f6r\u00fclen y\u00fck\u00fcml\u00fcl\u00fcklerin yerine getirilmesi h\u00fckm\u00fcndedir. Dayanak MADDE 3- (1) Bu Tebli\u011f, 6\/12\/2012 tarihli ve 6362 say\u0131l\u0131 Sermaye Piyasas\u0131 Kanununun 128 inci maddesinin …<\/p>","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[27],"tags":[],"class_list":["post-35531","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hukukihaber"],"acf":[],"yoast_head":"\n