spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Türkiye'de Bilişim Güvenliğiyle İlgili Yasal Altyapının Analizi Yazdır E-posta
Bilge Karabacak, TÜBİTAK BİLGEM   
29.06.2009

Bilgi teknolojilerinin yaygınlaşması ile beraber bilgi üretimi de ciddi boyutlarda artış göstermiştir. Bilgi teknolojileri yaygınlaşmadan önce, bilginin büyük bir çoğunluğu basılı dokümanlarda iken, günümüzde bilgi teknolojileri tarafından işlenir duruma gelmiştir. Bu nedenle günümüzde bilgiye erişme imkânları geçmiş ile karşılaştırılamayacak seviyede artmıştır. Bu durum, birçok dezavantajı beraberinde getirmektedir. Bilgi teknolojileri üzerinde bilinçli veya bilinçsiz yapılan hataların çok ciddi sonuçlar doğurması olasıdır. Bilgi teknolojilerindeki açıklıklar ve dikkatsiz yapılandırmalar bilgiye yetkisiz erişime yol açabilir. Bu durumda bilginin yetkisiz imhası, değiştirilmesi ve görülmesi söz konusu olabilir. Geçmişte sadece fiziksel güvenliğin tesis edilmesi ile sağlanan bilgi güvenliği, günümüzde kurumların en çok zorlandıkları ihtiyaçların başında gelmektedir.

Birçok akademik kaynakta, bilgi güvenliğinin teknik ve teknolojik bir kavram olmadığı vurgulanmakta, bilgi güvenliğinin sağlanması için kurum kültürünün değiştirilmesi, kurum üst yöneticilerinin bilgi güvenliği ile ilgili süreçlerde rol alması gibi sosyal çalışmalara değinilmektedir.

Sosyal boyut içerisinde yer alan önemli parametrelerden birisi de bilgi güvenliğinin yasal boyutudur. Gelişmiş ülkelerde ülke çapında tüm kurumları bağlayan düzenleyici bilgi güvenliği yasaları mevcuttur. Ülkemizde, düzenleyici mevzuat konusunda çalışmalar devam etmektedir.

Bu yazıda, ülkemizde bilgi güvenliği ile ilgili hâlihazırda gerçekleştirilen mevzuat hazırlama çalışmaları ve yürürlükte olan mevzuat hakkında bilgi verilmiştir

Mevzuat Hazırlama Çalışmaları

Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi tarafından hazırlanmış olan Bilgi Toplumu Stratejisi Eylem Planı 87 numaralı madde bilgi güvenliği ile ilgili yasal düzenlemeleri içermektedir [1]. Bu maddeye göre ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenlemelerin yapılması ve uygulamaya konulması hedefi ortaya konulmuştur. Bu husus ile ilgili olarak, 2009 hükümet programının e-devlet uygulamalarının yaygınlaştırılması ve etkinleştirilmesi başlığı altında, politika öncelikleri ve tedbirleri kapsamında Ulusal Bilgi Güvenliği'nin sağlanmasına ilişkin yasal düzenleme yapılması hedefi konulmuştur [2]. 2009 hükümet programında ortaya konulan hedefleri gerçekleştirmek için T.C. Başbakanlık’ın önderliğinde ilgili kamu kurumlarının katılımı ile e-devlet mevzuat çalışma grubu oluşturulmuştur. Hâlihazırda, çalışma grubu bilgi güvenliği mevzuatının yanı sıra e-devlet düzenlemeleri ile ilgili öncelikleri belirlemekte ve çalışmaları gerçekleştirmektedir.

87 numaralı eylem maddesinde aynı zamanda kişisel verilerin korunması hakkında kanun tasarısı taslağının yasalaştırılacağı belirtilmiştir. Bu kapsamda, Adalet Bakanlığı, tasarıyı 24 Nisan 2008’de TBMM’ye sevk etmiştir. Söz konusu kanun kapsamında kişisel verileri koruma kurulunun oluşturulması hedeflenmektedir. Kanun taslağına Adalet Bakanlığı’nın Internet sayfasından ulaşılabilir [3].

Yürürlükte Olan Mevzuat

Ülkemizde, sanal ortamda işlenen suçlar ile ilgili olarak 5237 sayılı Türk Ceza Kanunu’nun “Bilişim Alanındaki Suçlar” başlıklı onuncu bölümünde yaptırımlar yer almaktadır [4]. Bu kapsamda, bilgisayarın hedef olduğu suçlara ve bilgisayarın araç olarak kullanıldığı suçlara yasa kapsamında cezalar verilmektedir.

5651 sayılı Internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun ile içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlenmiştir [5]. Bu kapsamda 5651 sayılı kanun hem içerik, yer, erişim ve toplu kullanım sağlayıcıları ile ilgili düzenlemeleri hem de Internet ortamında işlenen suçlar ile ilgili cezai hükümleri ortaya koyan bir kanundur. Kanunla verilen görevler Bilgi Teknolojileri ve İletişim Kurumu bünyesinde bulunan Telekomünikasyon İletişim Başkanlığı’nca yerine getirilmektedir.

5070 sayılı elektronik imza kanunu ile birlikte güvenli elektronik imza, elle atılan ıslak imzaya eşdeğer kabul edilmiş ve aynı hukuki sonuçları doğuracağı belirtilmiştir [6].  Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği kanunda ifade edilmiştir. (Örn: emlak alım satımı, veraset ve intikal, evlenme gibi işlemler) Elektronik sertifika hizmet sağlayıcıları,  elektronik imzalarla ilgili hizmetleri sağlarlar. Elektronik sertifika hizmet sağlayıcılarının elektronik imza kanununun uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Bilgi Teknolojileri ve İletişim Kurumu tarafında yerine getirilmektedir.

5809 sayılı elektronik haberleşme kanunu elektronik haberleşme sektöründe düzenleme ve denetleme getiren bir kanundur [7]. Bu düzenleme ve denetleme unsurları içerisinde bilgi güvenliği ile ilgili hususlar da yer almaktadır. Örneğin, kanunun dört numaralı maddesinde ilgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde “bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi” ilkesinin göz önüne alınması gerektiği ifade edilmektedir. Kanunla verilen düzenleme ve denetleme görevleri Bilgi Teknolojileri ve İletişim Kurumu tarafından yerine getirilmektedir.

26942 sayılı Resmi Gazete’de yayınlanan elektronik haberleşme güvenliği yönetmeliği elektronik haberleşme güvenliğine ilişkin işletmecilerin uyması gereken usul ve esasları düzenlemektir [8]. Bu usul ve esaslar, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması ile ilgili hususları içermektedir.

Bankacılık Düzenleme ve Denetleme Kurumu, bankalarda bağımsız denetimlerin gerçekleştirilmesi ile ilgili olarak yönetmelik ve tebliğleri hazırlamıştır [9]. Kurum bu yönetmelik ve tebliğlerin yürütülmesinden sorumludur. Bankalarda Bağımsız Denetim Gerçekleştirilecek Kuruluşların Yetkilendirilmesi ve Faaliyetleri Hakkında Yönetmelik ve Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ bu mevzuata örnek olarak verilebilir. Banka denetimleri kapsamında, bankaların bilgi güvenliği ile ilgili gerçekleştirdiği aktiviteler de denetlenmektedir.

25897 sayılı Resmi Gazete’de yayınlanan E-dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi’nin amacı birbiri ile bütünleşmiş, etkin, şeffaf ve basitleştirilmiş iş süreçlerine sahip bir e-devlet yapılanması için kurumların kullanacakları ortak norm ve standartları belirlemektedir [10].  Bu rehberin dört numaralı “güvenlik” başlığı altında, bilgi güvenliği yönetim sistemi, ortak kriterler standardı, elektronik imza ve kriptografi ile ilgili birlikte çalışabilirlik esasları yer almaktadır.

T.C. Başbakanlık Personel ve Prensipler Genel Müdürlüğü tarafından hazırlanan ve 17 Şubat 2003 tarihinde imzalanan “Bilgi Sistem ve Ağları için Güvenlik Kültürü” konulu Başbakanlık Genelgesi, OECD Bilgi Güvenliği ve Kişisel Mahremiyet Çalışma Grubu tarafından hazırlanmış olan rehberin Türkçe çevirisidir [11]. Söz konusu genelge bilgi güvenliği ile ilgili bilinç, sorumluluk, risk değerlendirmesi, güvenlik tasarımı ve uygulama, güvenlik yönetimi gibi hususlar hakkında iyi pratiklere dayanan önerileri içermektedir.

Sonuç

Ülkemizde doğrudan bilgi güvenliğini konu alan bir mevzuat altyapısı henüz bulunmamaktadır. Bankacılık ve haberleşme sektörlerini düzenleyen mevzuatta bilgi güvenliği bir unsur olarak geçmektedir. Ancak bu durum Ulusal Bilgi Güvenliği ile ilgili hususları düzenlemek için yeterli düzeyde değildir. Hâlihazırda, bilgi güvenliği ile ilgili hususları içeren genelgeler yürürlükteki kanun ve yönetmeliklere göre bilgi güvenliğine daha çok vurgu yapmaktadır. Öte taraftan, bu genelgelerin dayanak olabileceği yönetmelik, tüzük ve kanun olmadığından dolayı genelgeler etkili olamamaktadır. Ülkemizde, bilgi güvenliği mevzuatı ile ilgili çalışmalar Bilgi Toplumu Stratejisi Eylem Planı içerisinde yer alan 87 numaralı eylem maddesi çerçevesinde ve Başbakanlık tarafından yürütülen e-devlet mevzuat çalışmaları kapsamında gerçekleştirilmektedir.

Referanslar

[1] Bilgi Toplumu Stratejisi Eylem Planı (2006-2010), http://www.bilgitoplumu.gov.tr/btstrateji/Eylem_Plani.pdf

[2] 2009 Yılı Hükümet Programı, http://rega.basbakanlik.gov.tr/eskiler/2008/10/20081030M1-1.htm

[3] Kişisel Verilerin Korunması Hakkında Kanun Tasarısı, http://www.kgm.adalet.gov.tr/tbmmkom/kisiselveriler.pdf

[4] Türk Ceza Kanunu, http://www.tbmm.gov.tr/kanunlar/k5237.html

[5] Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, http://www.tib.gov.tr/kanun_detay1.html

[6] Elektronik İmza Kanunu, http://www.tbmm.gov.tr/kanunlar/k5070.html

[7] Elektronik Haberleşme Kanunu, http://www.tbmm.gov.tr/kanunlar/k5809.html

[8]  Elektronik Haberleşme Güvenliği Yönetmeliği, http://www.tk.gov.tr/Duzenlemeler/Hukuki/yonetmelikler/2008/elektronikhaberlesmeguvenligi.pdf

[9] Bankacılık Düzenleme ve Denetleme Kurumu’nun bankaların denetimi ile ilgili yönetmelik ve tebliğleri, http://www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Mevzuat.aspx

[10] E-dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi, http://www.bilgitoplumu.gov.tr/yayin/eDTrBirlikteCalisabilirlikv2.pdf

[11] Bilgi Sistem ve Ağları için Güvenlik Kültürü Genelgesi,  http://www.bilgitoplumu.gov.tr/mevzuat/28_2003_10_OECD.pdf

 


Favori olarak ekle (3) | Görüntüleme sayısı: 10330

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB