BÄ°LGÄ° SÄ°STEMLERÄ° YÖNETÄ°MÄ°NE Ä°LÄ°ÅžKÄ°N USUL VE ESASLAR TEBLİĞİ
(VII-128.10)
(13/3/2025 tarihli ve 32840 sayılı Resmi Gazete’de yayımlanmıştır.)
BÄ°RÄ°NCÄ° BÖLÜM
BaÅŸlangıç Hükümleri
​
Amaç
MADDE 1-
(1) Bu TebliÄŸin amacı, 2 nci maddede sayılan Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerinin yönetimine iliÅŸkin usul ve esasları belirlemektir.
​​
Kapsam
MADDE 2-
(1) AÅŸağıdaki Kurum, KuruluÅŸ ve Ortaklıklar, bu TebliÄŸ hükümlerine uymakla yükümlüdürler:
a) Borsa Ä°stanbul A.Åž.,
b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,
c) Emeklilik yatırım fonları,
ç) Ä°stanbul Takas ve Saklama Bankası A.Åž.,
d) Merkezi Kayıt Kuruluşu A.Ş.,
e) Portföy saklayıcısı kuruluÅŸlar,
f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,
g) Sermaye piyasası kurumları,
ÄŸ) Halka açık ortaklıklar,
h) Türkiye Sermaye Piyasaları BirliÄŸi,
ı) Türkiye DeÄŸerleme Uzmanları BirliÄŸi,
i) Kripto Varlık Hizmet Sağlayıcılar.
(2) Birinci fıkrada sayılan Kurum, KuruluÅŸ ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta ÅŸirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Åžirketleri Kanunu uyarınca finansal kiralama, faktoring, finansman ve tasarruf finansman ÅŸirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu TebliÄŸde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.
​
Dayanak
MADDE 3-
(1) Bu Tebliğ, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 128 inci maddesinin birinci fıkrasının (h) bendine dayanılarak hazırlanmıştır.
​
Tanımlar ve kısaltmalar
MADDE 4-
(1) Bu TebliÄŸde geçen;
a) API: Bir yazılımın baÅŸka bir yazılımda tanımlanmış iÅŸlevleri kullanabilmesi için oluÅŸturulmuÅŸ uygulama programlama ara yüzünü,
b) Bilgi güvenliÄŸi ihlali: Bilgi sistemlerinin veya bu sistemler tarafından iÅŸlenen bilginin gizlilik, bütünlük veya eriÅŸilebilirliÄŸinin ihlal edilmesini veya teÅŸebbüste bulunulmasını, siber olayı,
c) Bilgi sistemleri: Bilginin iÅŸlendiÄŸi, iletildiÄŸi ve saklandığı yazılım, donanım ve iletiÅŸim altyapısı ile bunlarla etkileÅŸimde bulunan insan kaynağı, faaliyet ve süreçlerin tümünü,
ç) Bilgi varlığı: Kurum, KuruluÅŸ ve Ortaklıkların Kanundan ve Kanuna iliÅŸkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri esnasında kullandıkları veri ile bunların üretildiÄŸi, iÅŸlendiÄŸi, iletildiÄŸi ve saklandığı donanım ve yazılım unsurlarını,
d) Birincil sistemler: Kurum, KuruluÅŸ ve Ortaklıkların Kanundan ve Kanuna iliÅŸkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiÄŸi an eriÅŸime imkân saÄŸlayacak ÅŸekilde kaydedilmesini ve kullanılmasını saÄŸlayan altyapı, donanım, yazılım ve veriden oluÅŸan sistemin tamamını,
e) Bütünlük: Bilginin doÄŸruluÄŸu ve tamlığını koruma özelliÄŸini,
f) Çok faktörlü kimlik doÄŸrulama: Kimlik doÄŸrulama iÅŸleminin; kiÅŸinin bildiÄŸi, kiÅŸinin sahip olduÄŸu veya kiÅŸinin biyometrik karakteristiÄŸi olan doÄŸrulama faktörleri arasından iki veya daha fazla farklı faktörün kullanılarak gerçekleÅŸtirilmesini,
g) Denetim izi: Bilgi sistemleri aracılığıyla gerçekleÅŸen iÅŸlemlerin ve bilgi güvenliÄŸi ihlal olaylarının baÅŸlangıcından bitimine kadar adım adım takip edilmesini saÄŸlayacak kayıtlar ile bu kayıtlar üzerinde yapılan iÅŸlemleri gösteren kayıtları,
ÄŸ) EriÅŸilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiÄŸinde eriÅŸilebilir ve kullanılabilir olma özelliÄŸini,
h) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
ı) Güvenli alan: Bilgi iÅŸleme, iletiÅŸim ve depolama donanımlarını barındıran alanı,
i) Hassasiyet: Kurum, KuruluÅŸ ve Ortaklıkların bünyesinde saklanan, müÅŸterilere ait olan ve üçüncü kiÅŸilerce ele geçirilmesi halinde ilgili kiÅŸinin zarar görmesine, dolandırılmasına ya da sahte iÅŸlem yapılmasına sebep olabilecek verinin niteliÄŸini,
j) Ä°kincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iÅŸ sürekliliÄŸi planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna iliÅŸkin alt düzenlemelerde Kurum, KuruluÅŸ ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiÄŸi an eriÅŸilmesini saÄŸlayan birincil sistemin tüm yedeklerini,
k) Kanun: 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununu,
l) Kişisel veri: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan kişisel veriyi,
m) Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleÅŸtirilen ve iÅŸ hedeflerinin gerçekleÅŸtirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve düzeltilmesine iliÅŸkin yeterli derecede güvence oluÅŸturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
n) Kripto varlık hizmet saÄŸlayıcı: Platformları, kripto varlık saklama hizmeti saÄŸlayan kuruluÅŸları ve kripto varlıkların ilk satış ya da dağıtımı dâhil olmak üzere kripto varlıklarla ilgili olarak hizmet saÄŸlamak üzere belirlenmiÅŸ diÄŸer kuruluÅŸları,
o) Kritiklik: Bilgi varlığının, Kurum, KuruluÅŸ ve Ortaklıkların iÅŸ hedeflerine ulaÅŸmasındaki önemini veya gerekliliÄŸini belirten niteliÄŸini,
ö) Kullanıcı: Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerinde kendisi adına hesap açılan Kurum, KuruluÅŸ ve Ortaklıklar personelini, dışarıdan hizmet saÄŸlayıcının personelini veya Kurum, KuruluÅŸ ve Ortaklıkların müÅŸterisini,
p) Kurul: Sermaye Piyasası Kurulunu,
r) Kurum, Kuruluş ve Ortaklıklar: 2 nci maddede sayılan kurum, kuruluş ve ortaklıkları,
s) Kurumsal SOME: SOME TebliÄŸi kapsamında Kurum, KuruluÅŸ ve Ortaklıklar tarafından kurulan Kurumsal Siber Olaylara Müdahale Ekibini,
ÅŸ) Platform: Kripto varlık alım satım, ilk satış ya da dağıtım, takas, transfer, bunların gerektirdiÄŸi saklama ve belirlenebilecek diÄŸer iÅŸlemlerin bir veya daha fazlasının gerçekleÅŸtirildiÄŸi kuruluÅŸları,
t) Politika: Kurum, KuruluÅŸ ve Ortaklıkların hedef ve ilkelerini ortaya koyan ve yönetim kurulu veya üst yönetimi tarafından onaylanmış dokümanı,
u) Prosedür: Süreçlere iliÅŸkin iÅŸlem ve eylemleri tanımlayan dokümanı,
ü) Saklama kuruluÅŸu: Kripto varlık saklama hizmetinde bulunmak üzere Kurulca yetkilendirilmiÅŸ kuruluÅŸu,
v) Sektörel SOME: SOME TebliÄŸi kapsamında Kurul bünyesinde kurulan Sektörel Siber Olaylara Müdahale Ekibini,
y) Sermaye piyasası kurumları: Kanunun 35 inci maddesinde sayılan kurumları,
z) SOME Rehberi: UlaÅŸtırma ve Altyapı Bakanlığı tarafından yayımlanmış en güncel “Kurumsal SOME Kurulum ve Yönetim Rehberi” dokümanını,
aa) SOME TebliÄŸi: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin KuruluÅŸ, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında TebliÄŸi,
bb) Süreç: Bir iÅŸin yapılış ve üretiliÅŸ biçimini oluÅŸturan sürekli iÅŸlem ve eylemleri,
cc) Uçtan uca güvenli iletiÅŸim: Ä°letiÅŸime konu veriye sadece alıcısının eriÅŸebilmesi amacıyla, verinin gönderen tarafından sadece alıcının çözebileceÄŸi ÅŸekilde ÅŸifrelenerek iletilmesini,
çç) USOM: Bilgi Teknolojileri ve Ä°letiÅŸim Kurumu bünyesinde yer alan Ulusal Siber Olaylara Müdahale Merkezini,
dd) Üçüncü taraf: Kurum, KuruluÅŸ ve Ortaklıklar ile müÅŸteriler dışında kalan gerçek veya tüzel kiÅŸileri,
ee) Üst yönetim: Yönetim kurulu tarafından belirlenen kiÅŸi ya da grubu, yönetim kurulu tarafından belirleme yapılmadığı durumlarda ise Kurum, KuruluÅŸ ve Ortaklıkların en üst yetkilisini,
ff) Varlık sahibi: Bilgi varlıklarına yönelik güvenlik gereksinimlerini belirleyen ve bu gereksinimlere uyumu gözeterek bilgi varlığının idamesi ve güvenliÄŸinden sorumlu olan kiÅŸi veya birimi,
ifade eder.
​
Ä°KÄ°NCÄ° BÖLÜM
Bilgi Sistemlerinin Yönetilmesi
​
Bilgi sistemleri yönetiminin oluÅŸturulması ve hayata geçirilmesi
MADDE 5-
(1) Bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir parçası olarak ele alınır. Kurum, KuruluÅŸ ve Ortaklıkların operasyonlarını istikrarlı, rekabetçi, geliÅŸen ve güvenli bir çizgide sürdürebilmesi için bilgi sistemlerine iliÅŸkin stratejilerinin iÅŸ hedefleri ile uyumlu olması saÄŸlanır, bilgi sistemleri yönetimine iliÅŸkin unsurlar yönetsel hiyerarÅŸi içerisinde yer alır ve bilgi sistemlerinin güvenlik, performans, etkinlik, doÄŸruluk ve sürekliliÄŸini hedefleyerek doÄŸru yönetimi için gerekli finansman ve insan kaynağı tahsis edilir. Bu amaçla oluÅŸturulan bilgi sistemleri stratejisi ilgili taraflara duyurulur. Bilgi sistemleri stratejisinin iÅŸ hedefleriyle uyumu gözetilir ve gerektiÄŸinde iyileÅŸtirici faaliyetler uygulanır.
(2) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerinin yönetimine iliÅŸkin kontrolleri tesis eder, bunlara iliÅŸkin politika, prosedür ve süreçleri yazılı hale getirir, düzenli olarak gözden geçirerek iÅŸ alanında gerçekleÅŸen deÄŸiÅŸiklikler veya teknolojik geliÅŸmeler doÄŸrultusunda günceller, yönetim kurulu veya üst yönetim tarafından onaylanmasını ve ilgililere duyurulmasını saÄŸlar.
(3) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri yönetimi konusunda rol ve sorumlukları belirleyerek yazılı hale getirir. Üst yönetim tarafından görevler ayrılığı ilkesi çerçevesinde görevlendirmeler yapılır.
​
Bilgi güvenliÄŸi politikası
MADDE 6-
(1) Bilgi sistemlerinin kurulması, iÅŸletilmesi, yönetilmesi ve kullanılmasına iliÅŸkin; bilginin gizliliÄŸinin, bütünlüÄŸünün ve gerektiÄŸinde eriÅŸilebilir olmasının saÄŸlanmasına yönelik olarak bilgi güvenliÄŸi politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliÄŸi politikası personele ve ilgili diÄŸer taraflara duyurulur.
(2) Bilgi güvenliÄŸi politikası, bilgi güvenliÄŸi süreçlerinin iÅŸletilmesi için gerekli rollerin, sorumlulukların belirlenmesini ve görev tanımlarının yapılmasını, hedeflerin belirlenmesini, bilgi sistemlerine iliÅŸkin risklerin yönetilmesine dair süreçlerin oluÅŸturulmasını, kontrollerin tesis edilmesini, deÄŸerlendirilmesini ve gözetimini kapsar.
(3) Bilgi güvenliÄŸi politikası yılda en az bir defa gözden geçirilir; iÅŸ ihtiyaçları, deÄŸiÅŸen tehdit ve risklere göre güncellenir.
​
Üst yönetimin gözetimi ve sorumluluÄŸu
MADDE 7-
(1) Bilgi güvenliÄŸi politikasının ve bilgi sistemleri stratejisinin uygulanması üst yönetim tarafından gözetilir. Bilgi güvenliÄŸi politikası kapsamında bilgi sistemleri kontrollerinin etkin, yeterli ve uyumlu bir ÅŸekilde tesis edilmesi, deÄŸerlendirilmesi ve gözetimi yönetim kurulunun sorumluluÄŸundadır.
(2) Yeni bilgi sistemlerinin kullanıma alınmasına iliÅŸkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara iliÅŸkin risklerin yönetilebilirliÄŸi göz önünde bulundurularak onaylanır. Kritik projelerin Kurum, KuruluÅŸ ve Ortaklıkların iç kaynaklarıyla veya dışarıdan hizmet alımı yoluyla gerçekleÅŸtirilmesine bakılmaksızın personel uzmanlığının, projelerin teknik gereksinimlerini karşılayabilecek nitelikte olması esastır. Bu yapıyı desteklemek üzere oluÅŸturulacak yönetsel rol ve sorumluluklar açıkça belirlenir.
(3) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi, bilgi güvenliÄŸi önlemlerinin uygun düzeye getirilmesi hususunda gereken kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis eder. Üst yönetim, asgari olarak aÅŸağıdaki faaliyetlerin yerine getirilmesini temin edecek mekanizmaları kurar:
a) Bilgi güvenliÄŸi politikalarının ve tüm sorumlulukların yılda en az bir kez gözden geçirilmesi ve onaylanması.
b) Bilgi sistemlerine iliÅŸkin potansiyel risklerin etkileriyle birlikte tespit edilmesi ve söz konusu risklerin azaltılmasına yönelik faaliyetlerin tanımlanmasını içeren risk yönetimi sürecinin oluÅŸturulması.
c) Bilgi güvenliÄŸi ihlallerinin takip edilmesi ve yılda en az bir kez deÄŸerlendirilmesi.
ç) Personele bilgi güvenliÄŸi gereksinimleri, riskler ve güncel tehditler konusunda bilgi düzeyini artırmaya yönelik eÄŸitimlerin rol ve sorumluluklarına uygun ÅŸekilde yılda en az bir kez verilmesi.
(4) Bilgi sistemlerine iliÅŸkin risklerin yönetimi amacıyla tesis edilen kontroller, Kurum, KuruluÅŸ ve Ortaklıkların organizasyonel ve yönetsel yapıları içerisinde fiili olarak iÅŸleyecek ÅŸekilde yerleÅŸtirilir ve iÅŸlerliÄŸine iliÅŸkin gözetim ve denetim süreçleri tesis edilir.
(5) Bilgi sistemleri güvenliÄŸine iliÅŸkin kontrollerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliÄŸiyle ilgili riskler ve bu risklerin yönetimi hususunda üst yönetime rapor veren, bilgi sistemleri iç kontrol, bilgi sistemleri denetimi, bilgi sistemleri yönetiÅŸimi ve kontrollerinin tesisi veya bilgi güvenliÄŸi alanlarının herhangi birinde yeterli teknik bilgiye ve en az 5 yıl tecrübeye sahip bir bilgi güvenliÄŸi sorumlusu belirlenir. Bilgi güvenliÄŸi sorumlusunun, bilgi sistemleri yönetimine iliÅŸkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevinin bulunmaması ve üst yönetime baÄŸlı çalışması saÄŸlanır.
(6) Asgari olarak kritik iÅŸ süreçlerini ve faaliyetlerini destekleyen bilgi sistemlerinin sürekliliÄŸini saÄŸlamak üzere iÅŸ sürekliliÄŸi planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanır.
​​
Bilgi sistemleri risk yönetimi
MADDE 8-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerine iliÅŸkin riskleri belirlemek, ölçmek, izlemek, iÅŸlemek ve raporlamak üzere risk yönetimi süreç ve prosedürlerini tesis eder ve güncelliÄŸini saÄŸlar.
(2) Bilgi sistemlerine iliÅŸkin risklerin yönetilmesinde asgari olarak aÅŸağıdaki hususlar deÄŸerlendirmeye alınır:
a) Bilgi teknolojilerindeki hızlı geliÅŸmeler sebebiyle rekabetçi ortamda geliÅŸmelere uymamanın olumsuz sonuçları, geliÅŸmelere uyum konusundaki zorluklar ve mevzuatın deÄŸiÅŸebilmesi.
b) Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli iÅŸlemlere zemin hazırlayabilmesi.
c) Bilgi sistemlerinde dışarıdan hizmet alımından dolayı dış hizmeti veren kuruluşlara bağımlılığın oluşabilmesi.
ç) Ä°ÅŸ ve hizmetlerin önemli oranda bilgi sistemlerine baÄŸlı hale gelmesi.
d) Bilgi sistemleri üzerinden gerçekleÅŸtirilen iÅŸlemlerin, verilerin ve denetim izlerine iliÅŸkin tutulan kayıtların güvenliÄŸinin saÄŸlanmasının zorlaÅŸması.
(3) Bilgi sistemlerine iliÅŸkin risk analizi, risk iÅŸleme ve gözetim süreçleri iÅŸletilir. Risk analizi yılda en az bir defa gerçekleÅŸtirilir. Bilgi sistemlerinde meydana gelecek önemli deÄŸiÅŸikliklerde tekrarlanır. Risk analizinde tüm bilgi varlıkları deÄŸerlendirmeye alınır. Risk yönetiminde asgari olarak aÅŸağıdaki faaliyetler yerine getirilir:
a) Risk deÄŸerlendirme kriterlerinin belirlenmesi.
b) Risklerin analiz edilmesi ve risk seviyelerinin belirlenmesi.
c) Bilgi sistemleri stratejisine ve mevzuata aykırılık teÅŸkil etmeyecek ÅŸekilde, iÅŸ ve bilgi güvenliÄŸi hedefleriyle uyumlu risk kabul kriterleri ile risk iÅŸleme seçeneklerinin belirlenmesi ve üst yönetime onaylatılması.
ç) Ä°yileÅŸtirici faaliyetlerin gerekli iÅŸ gücü, kaynak ve zaman bilgisiyle kayıt altına alınması.
d) Ä°yileÅŸtirici faaliyetlerin ve risk analizinin üst yönetime onaylatılması.
e) İyileştirici faaliyetlerin takibi ve bir sonraki analizde ele alınması.
(4) Bilgi sistemlerinin güvenlik açıklarına ve bilgi güvenliÄŸi tehditlerine iliÅŸkin bilgi zamanında elde edilir, deÄŸerlendirilir ve belirlenen riske karşı uygun tedbirler alınır.
(5) Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemleri süreçleri ve kullanıcılara sundukları hizmetlere yönelik risk analizi yılda en az bir defa gerçekleÅŸtirilir, süreç ve hizmetlerde meydana gelebilecek önemli deÄŸiÅŸikliklerde tekrarlanır.
(6) Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemleri, bilgi güvenliÄŸine iliÅŸkin gerekliliklerin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kiÅŸiler tarafından yılda en az bir kez sızma testine tabi tutulur. Kurul gerekli gördüÄŸü takdirde Kurum, KuruluÅŸ ve Ortaklıkların sızma testi yaptırmasını isteyebilir.
(7) Sızma testinde EK-1’de yer alan usul ve esaslar uygulanır. Kurum, KuruluÅŸ ve Ortaklıklar tarafından yaptırılan sızma testleri sonucunda hazırlanan sızma testi raporları tamamlanmasını müteakip bir ay içinde ve her durumda en geç takip eden yılın 31 Ocak tarihine kadar Kurula gönderilir. Son bildirim gününün resmi tatil gününe denk gelmesi halinde, resmi tatil gününü takip eden ilk iÅŸ günü son bildirim tarihi kabul edilir.
​​
ÜÇÜNCÜ BÖLÜM
Bilgi Sistemleri Kontrollerine Ä°liÅŸkin Esaslar
​
Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi
MADDE 9-
(1) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi, bilgi güvenliÄŸi politikası kapsamında bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetilmesi, bilgi varlıklarının gizlilik, bütünlük ve eriÅŸilebilirliÄŸinin saÄŸlanması ve bilgi sistemlerinin etkin iÅŸletimi amacıyla gerekli süreçlerin ve kontrollerin geliÅŸtirilmesini saÄŸlar.
(2) Her sürecin sahibi, rol ve sorumlulukları açık bir ÅŸekilde tanımlanır.
(3) Süreçlerin performansının ölçülebilmesi için ölçüm kriterleri tanımlanır.
(4) Her sürecin hedef ve amaçları tanımlanır ve performansı ölçülür.
(5) Süreçler ve kontroller hakkında ilgili personelin yeterli eÄŸitim alması saÄŸlanır.
(6) Bilgi sistemleri süreçleri ve kontrollerine iliÅŸkin etkinlik, yeterlilik ve uyumluluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir ÅŸekilde takip edilir ve deÄŸerlendirilir. DeÄŸerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri ve yapılan çalışmalar yılda en az bir kez üst yönetime raporlanır ve gerekli önlemlerin alınması saÄŸlanır.
​
Varlık yönetimi
MADDE 10-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, sahip oldukları bilgi varlıklarını belirler, bunların envanterini oluÅŸturur, güncelliÄŸini saÄŸlar. Envanterde varlığa iliÅŸkin asgari olarak aÅŸağıdaki hususlar kayıt altına alınır:
a) Tanımı.
b) Edinim tarihi, garanti ve bakım bilgisi.
c) Lisans bilgisi veya seri numarası.
ç) Konumu.
d) Sahibi.
e) Kullanıcısı.
f) Güvenlik sınıfı.
g) Yedekleme bilgisi.
(2) Bilgi varlıklarının güvenlik sınıfının belirlenmesi için bir kılavuz oluÅŸturulur ve üst yönetimce onaylanır. Sınıflandırma esnasında asgari olarak varlıkların gizlilik, bütünlük ve eriÅŸilebilirlik gereksinimlerini, kritikliÄŸi ve hassasiyeti dikkate alınır. Her sınıftaki varlığa iliÅŸkin temel koruma ve güvenlik önlemleri belirlenir ve yazılı hale getirilir. Sınıflandırma sürecine veriler de dâhil edilir.
(3) Taşınabilir cihaz ve ortamlar, içerdiÄŸi bilgilerin güvenlik sınıfına göre kaybolma, hırsızlık ve kopyalama gibi risklere karşı korunur. Güvenlik sınıfı yüksek bilgileri veya bu bilgilere eriÅŸim saÄŸlayan yazılımları barındıran taşınabilir cihaz ve ortamlar izinsiz kurum dışına çıkarılmaz.
(4) Bilgi varlıklarına iliÅŸkin uygun kullanım prosedürleri geliÅŸtirilir, yazılı hale getirilir, üst yönetim tarafından onaylanır ve ilgili personele imza karşılığı duyurulur.
(5) Kullanımdan kaldırılan donanımsal varlıklara güvenli silme veya imha iÅŸlemleri uygulanır ve kayıt altına alınır. Kullanımdan kaldırılan yazılım ve uygulamalara eriÅŸimler engellenir ve gerekirse bu yazılım ve uygulamalar arÅŸivlenerek sistemden silinir.
(6) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri kapsamında sundukları hizmetler için hizmet envanterini oluÅŸturur ve güncelliÄŸini saÄŸlar. Envanterde asgari olarak aÅŸağıdaki hususlar kayıt altına alınır:
a) Hizmetin tanımı.
b) Kullanıcıları.
c) Sahibi.
ç) Hizmet seviyesi taahhütleri.
d) Bağımlılıkları.
(7) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri kapsamındaki süreçler için süreç envanterini oluÅŸturur ve güncelliÄŸini saÄŸlar. Envanterde asgari olarak aÅŸağıdaki hususlar kayıt altına alınır:
a) Sürecin tanımı.
b) Sahibi.
c) Girdi ve çıktıları.
ç) Bağımlılıkları.
​
Görevler ayrılığı ilkesi
MADDE 11-
(1) Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Bu kapsamda ayrılması gereken görev ve sorumluluklar belirlenir, yılda en az bir kez gözden geçirilir ve güncelliÄŸi saÄŸlanır.
(2) Bilgi sistemleri süreçleri tasarlanırken kritik iÅŸlemlerin tek bir personele veya dış hizmeti sunan kuruluÅŸa bağımlı olmaması göz önünde bulundurulur.
(3) Görevlerin tam ve uygun ÅŸekilde ayrılmasının mümkün olmadığı durumlarda oluÅŸabilecek hata, eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi edici kontroller tesis edilir.
​
Fiziksel ve çevresel güvenlik
MADDE 12-
(1) Kritik bilgi sistemlerinin konumlandırıldığı veri merkezlerinin veya güvenli alanların yetkisiz fiziksel eriÅŸime, deÄŸiÅŸen ortam koÅŸullarına, altyapı hizmeti kesintilerine ve felaketlere karşı korunması için asgari olarak aÅŸağıdaki kontroller uygulanır:
a) Fiziksel giriÅŸ ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir. EriÅŸim kontrol mekanizmaları devreye alınır. EriÅŸim hakları düzenli olarak gözden geçirilir.
b) Yetkisiz giriş denemelerini anlık izleyecek mekanizmalar kurulur.
c) Kesintisiz güç kaynaklarıyla enerji beslemesi yapılır.
ç) Ä°klimlendirme kontrolü ile uygun ortam koÅŸullarında çalışma saÄŸlanır.
d) Yangın, sel, deprem, patlama ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.
e) Destekleyici altyapı hizmetlerinin (iklimlendirme, kesintisiz güç kaynağı, jeneratör, yangın söndürme sistemi ve benzeri) yılda en az bir kere olmak üzere düzenli bakımı gerçekleÅŸtirilir.
f) Kurum, KuruluÅŸ ve Ortaklıkların personeli olmayan kurulum, bakım ve onarım hizmetlerini gerçekleÅŸtirecek kiÅŸilere çalışma öncesi gizlilik sözleÅŸmesi imzalatılır. Bu kiÅŸilere Kurum, KuruluÅŸ ve Ortaklıklarda bulundukları süre boyunca refakat edilir.
g) Destekleyici altyapı hizmetlerinin, uygun çalışma koÅŸullarının dışına çıkılması halinde, alarm üretmesi ve ilgilileri bilgilendirmesi saÄŸlanır.
ÄŸ) Kritik bilgi sistemlerinin konumlandırıldığı veri merkezleri veya güvenli alanlar ve çevresi kameralar ile sürekli olarak izlenir ve bilgi güvenliÄŸi gereklilikleri göz önünde bulundurularak belirlenen süre boyunca görüntü kayıtları saklanır. Bu süre; Borsa Ä°stanbul A.Åž., Merkezi Kayıt KuruluÅŸu A.Åž., Ä°stanbul Takas ve Saklama Bankası A.Åž., geniÅŸ yetkili aracı kurumlar ve kripto varlık hizmet saÄŸlayıcılar için asgari bir yıldır. Kayıt mekanizmasının 7/24 esasına göre çalışması, hareket algılama özelliÄŸine sahip olması ve kör nokta kalmayacak ÅŸekilde kayıt alması saÄŸlanır.
​​
AÄŸ güvenliÄŸi
MADDE 13-
(1) Kurumsal ağın iç ve dış tehditlere karşı korunması ve ağı kullanan sistem, veri tabanı ve uygulamaların güvenliÄŸinin saÄŸlanması için kontroller tesis edilir ve etkin bir ÅŸekilde yönetilir. Kurumsal ağın ve aÄŸda bulunan bilgi sistemlerinin güvenliÄŸinin saÄŸlanmasında katmanlı güvenlik yaklaşımı esas alınır. Bu yaklaşımda aÄŸ altyapısı, iÅŸletim sistemi, uygulama savunmaları ÅŸeklinde birden çok koruma katmanı bir bütünün parçası olarak tasarlanıp devreye alınır.
(2) Kurumsal ağın fiziksel ve mantıksal topolojisi; tüm alt aÄŸları, güvenlik cihazlarını, eriÅŸim noktalarını ve baÄŸlantı yollarını içerecek ÅŸekilde yazılı hale getirilir, güncel tutulur ve güvenli saklanır.
(3) İletişim altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.
(4) Mobil cihazların kurumsal aÄŸa eriÅŸimine iliÅŸkin risklere yönelik güvenlik önlemleri alınır ve uygulanır.
(5) AÄŸ altyapısına yönelik yetkisiz eriÅŸimler engellenir ve gözetim süreçleri tesis edilir.
(6) Ä°ç kaynak yoluyla saÄŸlanan veya dışarıdan hizmet olarak alınan her türlü aÄŸ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaÅŸmalarına dâhil edilir.
(7) Uzaktan eriÅŸim hizmetinde çok faktörlü kimlik doÄŸrulama kullanılır. Uzaktan eriÅŸim yetkilendirmeleri bilgi güvenliÄŸi sorumlusunun onayı da alınarak yapılır. Uzaktan eriÅŸim, yalnızca uygulamaları ve iÅŸletim sistemleri güncel cihazlardan yapılır. Uzaktan eriÅŸime iliÅŸkin denetim izleri tutulur.
(8) Uzaktan eriÅŸim baÄŸlantıları, güncel ve güvenilir kararlı sürüme sahip iletiÅŸim protokolleri ile saÄŸlanır. Ä°nternet üzerinden eriÅŸimlerde uçtan uca güvenli iletiÅŸim teknolojileri kullanılır. Uzaktan eriÅŸim oturumları, tanımlanan süre boyunca iÅŸlem yapılmadığında otomatik olarak sonlandırılır ve yeniden eriÅŸim saÄŸlanması gerektiÄŸinde kimlik doÄŸrulama tekrarlanır.
(9) Kurumsal ağın dış aÄŸlarla olan iletiÅŸiminde dış aÄŸlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı ile aÄŸdaki anormal aktiviteleri ve saldırı giriÅŸimlerini tespit etmek ve engellemek için günün teknolojisine uygun çözümler kullanılır. Hassas veri içeren bilgi sistemlerine, internet üzerinden doÄŸrudan eriÅŸim engellenir.
(10) Ä°nternet üzerinden sunulan hizmetler hizmet dışı bırakma saldırılarına karşı korunur.
(11) Ä°ç aÄŸ baÄŸlantı noktalarında aÄŸ eriÅŸim kontrolü uygulanır ve sadece baÄŸlanmasına onay verilen cihazların aÄŸa dâhil olması saÄŸlanır.
(12) Ä°ç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak denetimli geçiÅŸi temin eden kontroller tesis edilir. Bu kapsamda asgari olarak; istemciler, sunucular ve yönetimsel iÅŸlemler için ayrı alt aÄŸlar oluÅŸturulur. Kablolu ve kablosuz aÄŸlar birbirinden ayrılır.
(13) Gelen ve giden aÄŸ trafiÄŸi analiz edilir, zararlı veya olaÄŸan dışı trafik tespit edildiÄŸinde ilgili aÄŸ bölümü izole edilir.
(14) Bilgi güvenliÄŸi gereksinimlerine ve yasal gerekliliklere uygun olmayan internet sitelerine eriÅŸim uygun araçlarla engellenir.
(15) AÄŸ eriÅŸimleri beyaz liste veya kara liste yapıları kullanılarak sınırlandırılır, güvenilmeyen baÄŸlantılar engellenir.
(16) Kablosuz aÄŸlarda güçlü ÅŸifreleme protokolleri kullanılır. Kablosuz aÄŸlar için kimlik doÄŸrulama ve eriÅŸim kontrolleri uygulanır. Kimlik doÄŸrulama iÅŸlemleri, güvenilir ve güncel protokollerle gerçekleÅŸtirilir. Misafir aÄŸları kurumsal aÄŸlardan ayrı tutulur, misafir ağı kullanıcılarına geçici ve kısıtlı eriÅŸim hakkı verilir.
​​
Bilgi sistemlerinin iÅŸletimi
MADDE 14-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, ihtiyaç duyulan bilgi sistemleri hizmetlerinin istenilen seviyede ve süreklilik arz edecek ÅŸekilde sunulması için gerekli kontrolleri tesis eder. Bu kapsamda sunulan her hizmetin seviyesi, iÅŸ gereksinimleriyle uyumlu olacak ÅŸekilde iÅŸ birimleri ile mutabakata varılarak belirlenir. Kullanıcıların bilgi sistemleri ile ilgili sorun ve taleplerinin kayda alınması, bunlara cevap verilmesi ve altta yatan kök sebeplerin çözülmesi için gerekli mekanizmalar kurulur.
(2) Kritik bilgi sistemleri, hizmet seviyelerine uygun performansta çalışması için sürekli gözetim altında tutulur, sistemlerin her biri için eÅŸik deÄŸerler belirlenir ve bu deÄŸerlerin aşılması durumunda ilgili kiÅŸilere otomatik bildirim gönderilmesi saÄŸlanır. Beklenen performans deÄŸerinin altına düÅŸüldüÄŸü durumlarda kök sebep araÅŸtırılır ve gerekli iyileÅŸtirici faaliyetler gerçekleÅŸtirilir.
(3) Kurum, KuruluÅŸ ve Ortaklıkların faaliyetlerindeki olası büyüme, kullanıcı sayısındaki artış ve benzeri durumlar dikkate alınarak bilgi sistemlerinin beklenen performans düzeyinde çalışabilmesi için kapasite planlaması yapılır.
(4) Bilgi sistemlerine iliÅŸkin güvenlik açıkları, iÅŸ süreçlerini etkilemesini önlemek amacıyla düzenli takip edilir. Güvenlik açıklarına iliÅŸkin yayınlanan yamaların uygulanması deÄŸerlendirilir. Uygulanmasına karar verilen yamalar önce test edilir. Yama uygulanmayacağı durumlarda söz konusu riskin ele alınması için ilave kontroller tesis edilir veya ilgili bileÅŸen kullanımdan kaldırılır. Yama uygulaması deÄŸiÅŸiklik yönetimi çerçevesinde ele alınır. Uygulanmamasına karar verilen yamalarla ilgili olarak bilgi güvenliÄŸi sorumlusuna düzenli rapor verilir.
(5) Bilgi sistemleri bileÅŸenlerinin yaÅŸam döngüsü boyunca tutarlı, beklenen performans, kalite ve güvenlik düzeyinde çalışmasını saÄŸlamak için yapılandırma ayarları takip edilir. Bilgi sistemleri bileÅŸenlerinde gerekli olmayan tüm iÅŸlevler kapatılır. Her bileÅŸen türü için temel yapılandırma ayarları belirlenir ve uygulanır. Yeni güvenlik açıkları ortaya çıktığında veya mevcut bileÅŸenlerde yeni sürümlere geçildiÄŸinde yapılandırma ayarları uygunluk ve yeterlilikleri açısından gözden geçirilir. Bir bileÅŸendeki yapılandırma ayarı deÄŸiÅŸikliÄŸinin diÄŸer bileÅŸenlere olan etkisi takip edilir. Yapılandırma ayarlarındaki her türlü deÄŸiÅŸiklik gerekçesiyle beraber kayıt altına alınır ve izlenir. Tüm bileÅŸenlerin yapılandırma ayarları yedeklenir. Yapılandırma ayarlarındaki her tür deÄŸiÅŸiklik, deÄŸiÅŸiklik yönetimi çerçevesinde ele alınır.
(6) Bilgi sistemlerinde taşınabilir ortamlara baÄŸlantı noktaları kapatılır. Taşınabilir ortamların kullanılabilmesi için geçerli bir iÅŸ gereksiniminin olması dikkate alınır ve bilgi güvenliÄŸi sorumlusu onayı aranır.
(7) Zararlı yazılımların Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerini etkilemesine karşı gerekli önlemler alınır. Bu kapsamda, zararlı yazılımı tespit edecek ve temizleyecek yazılımlar kullanılır. Bu yazılımların sürekli güncel tutulması saÄŸlanır. Masaüstü, dizüstü ve sunucu sistemler, taşınabilir bir ortam veya harici cihaz takıldığında otomatik olarak içeriÄŸi oynatmayacak ÅŸekilde yapılandırılır ve zararlı yazılım engelleme araçları bu tür cihazlar takıldığında otomatik olarak bu cihazları tarayacak ÅŸekilde ayarlanır.
(8) Elektronik posta hizmetinin güvenliÄŸinin saÄŸlanması için ÅŸifreli iletiÅŸim esastır. Ä°nternet ortamında sahte elektronik posta gönderimini önlemeye yönelik geliÅŸtirilen etki alanı kimlik doÄŸrulaması yöntemleri sahip olunan etki alanları için yapılandırılır ve bu yöntemler kullanılarak doÄŸrulanmış etki alanlarından elektronik posta alınması saÄŸlanır. Gelen ve giden bütün elektronik posta içeriÄŸi güvenlik analizinden geçirilir, zararlı yazılım ve baÄŸlantılara eriÅŸim engellenir.
​
Kimlik yönetimi
MADDE 15-
(1) Bilgi sistemleri üzerinden gerçekleÅŸen iÅŸlemler için, bilgi varlığının güvenlik sınıfına uygun kimlik doÄŸrulama yöntemleri belirlenir ve uygulanır.
(2) Kimlik doÄŸrulama yöntemi, kullanıcıların bilgi sistemlerine dâhil olmalarından, iÅŸlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak ÅŸekilde uygulanır. Kimlik doÄŸrulama bilgisinin oturumun başından sonuna kadar doÄŸru olmasını garanti edecek gerekli önlemler alınır.
(3) Kullanılan kimlik doÄŸrulama verilerinin tutulduÄŸu ortamların ve bu amaçla kullanılan araçların güvenliÄŸini saÄŸlamaya yönelik gerekli önlemler alınır. Bu önlemler asgari olarak kimlik doÄŸrulama verilerinin güçlü ÅŸifreleme algoritmalarıyla ÅŸifrelenerek veya geriye dönüÅŸtürülmesi mümkün olmayacak ÅŸekilde saklanması, bu veriler üzerinde yapılacak her türlü deÄŸiÅŸikliÄŸi algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve güvenliÄŸinin saÄŸlanması hususlarını içerir. Kimlik doÄŸrulama verilerinin aktarımı sırasında gizliliÄŸinin saÄŸlanmasına yönelik önlemler alınır.
(4) Belirlenen kimlik doÄŸrulama yöntemi asgari olarak aÅŸağıda yer alan iÅŸlevleri yerine getirir:
a) Başarısız kimlik doğrulama girişimlerinde, girişimde bulunan kişiye sistem veya kullanıcıya ilişkin bilgi verilmemesi.
b) Belirli sayıda art arda başarısız kimlik doğrulama girişimi durumunda ilgili kullanıcı erişiminin engellenmesi ve kullanıcının bilgilendirilmesi.
c) Hiçbir iÅŸlem yapılmayan oturumların belirli bir zaman aşımı süresi sonunda sonlandırılması veya kilitlenmesi, bu durumlarda oturumun açılması için kimlik doÄŸrulamanın tekrar edilmesi.
ç) Bilgi güvenliÄŸi sorumlusu onayı olmadan aynı kullanıcı için birden fazla oturum açılmasına izin verilmemesi.
(5) Kullanıcı parolalarının yönetiminde asgari olarak aÅŸağıdaki tedbirlerin alınması saÄŸlanır:
a) Kullanıcıların sisteme tanıtılırken belirlenen parolasının, kullanıcının sisteme ilk girişinde değiştirilmeye zorlanması.
b) Parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta olması.
c) Parolaların düzenli aralıklarla deÄŸiÅŸtirilmeye zorlanması.
ç) Geriye dönük olarak belirli sayıda eski parolanın kullanılmasının engellenmesi.
d) Yeni kurulan sistem ve cihazlardaki varsayılan parolaların değiştirilmesi.
e) Parolaların ekran üzerinde maskelenmiÅŸ ÅŸekilde görüntülenmesi.
(6) Kritik sistem ve uygulamalarda birbirinden bağımsız çok faktörlü kimlik doÄŸrulama mekanizması kullanılır. Faktörlerin bağımsız olması, bir faktörün ele geçirilmesinin diÄŸer faktörün güvenliÄŸini tehlikeye atmamasını ifade eder. Kullanıcının sahip olduÄŸu faktörün kullanıcıya özgü olması ve taklit edilememesi esastır.
(7) Ayrıcalıklı kullanıcı hesapları çok faktörlü kimlik doÄŸrulama mekanizması ile kullanılır.
(8) Kritik sistem ve uygulamalarda kimlik doÄŸrulama süreçlerinde gerçekleÅŸen baÅŸarılı ve baÅŸarısız iÅŸlemlere iliÅŸkin denetim izi tutulur.
(9) Kullanıcı hesaplarına yönelik olarak kilitli hesaplar, devre dışı bırakılmış hesaplar, parola geçerlilik süresini aÅŸan hesaplar ve parola son kullanma süresi hiçbir zaman dolmayacak ÅŸekilde ayarlanmış hesaplar için otomatik olarak rapor üreten yöntemler kullanılır ve bu raporlar gerekli önlemleri alması için ilgililere iletilir.
​
EriÅŸim yönetimi
MADDE 16-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerine eriÅŸim ve uygulamaların kullanımı için uygun eriÅŸim kontrollerini tesis eder. Kullanıcılara verilecek yetki düzeyinin belirlenmesinde görev ve sorumluluklar göz önünde bulundurularak gerekli olacak en düÅŸük yetkinin atanması ve en kısıtlı eriÅŸim hakkının verilmesi yaklaşımı esas alınır. Yetki ve sorumluluklar görevler ayrılığı ilkesi ile tutarlı olur. EriÅŸim yönetiminde rol tabanlı eriÅŸim kontrolünün uygulanması esastır.
(2) Tüm yetkiler yılda en az bir defa ilgili bilgi varlığının sorumlusu tarafından gözden geçirilir. Gerekli bir iÅŸ gereksinimi olmayan yetkiler iptal edilir.
(3) Kullanıcılara hesap açma, yetkilendirme ve eriÅŸim haklarına yönelik diÄŸer iÅŸlemler görevler ayrılığı ilkesi kapsamında onay sürecine baÄŸlanır. EriÅŸim haklarına iliÅŸkin gerçekleÅŸtirilen tüm iÅŸlemlerin denetim izleri tutulur ve düzenli olarak gözden geçirilir.
(4) Görev deÄŸiÅŸikliÄŸi veya istihdamın sonlanması durumunda yapılacaklar yazılı hale getirilir ve bu kapsamda yapılan iÅŸlemler kayıt altına alınır. Bu durumlarda mevcut yetkiler gözden geçirilir ve gerekmeyen yetkiler ivedilikle iptal edilir.
(5) Bilgi sistemlerinde ortak veya varsayılan hesapların kullanılması, zorunlu olduÄŸu durumlar haricinde engellenir, kullanılması gereken durumlarda bu hesapları kullananlara sorumluluk atamaya yönelik kontroller tesis edilir ve bu hesaplarca gerçekleÅŸtirilen iÅŸlemlerin denetim izi tutulur.
(6) Bilgi sistemleri kullanıcılarına zorunlu olmadıkça yerel yönetici hakları verilmez. Yapılacak iÅŸin gerektirdiÄŸi durumlarda ise ancak bilgi güvenliÄŸi sorumlusunun onayı ile söz konusu haklar verilir.
(7) Bilgi sistemlerinde ayrıcalıklı yetkileri gerektirecek iÅŸ ve iÅŸlemler için ayrı hesaplar açılır. Bu hesaplarca gerçekleÅŸtirilen iÅŸlemlerin denetim izi tutulur.
(8) Ayrıcalıklı kullanıcı hesapları ile yapılan erişimleri de kapsayacak şekilde anormal veya beklenmedik erişim girişimlerini tespit edecek ve erken uyarı oluşturacak mekanizmalar tesis edilir.
(9) Acil durumlara özgü yetkilendirmeler geçici olarak yapılır ve bu yetkilendirme süresince gerçekleÅŸtirilecek iÅŸlemlerin takibine imkân verecek denetim izlerinin tutulması saÄŸlanır.​
​
Ä°ÅŸlemlerin, kayıtların ve verilerin bütünlüÄŸü
MADDE 17-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri üzerinden gerçekleÅŸen iÅŸlemlerin, kayıtların ve verilerin bütünlüÄŸünün saÄŸlanmasına yönelik gerekli önlemleri alır. BütünlüÄŸü saÄŸlamaya yönelik önlemler verinin iletimi, iÅŸlenmesi ve saklanması aÅŸamalarının tamamını kapsayacak ÅŸekilde tesis edilir. Bilgi sistemlerine iliÅŸkin dışarıdan hizmet alınan kuruluÅŸlar nezdinde gerçekleÅŸen iÅŸlemler için de aynı yaklaşım gösterilir.
(2) Kritik işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak ve zamanında gerekli bildirimleri yapacak teknikler kullanılır.
​​​
Veri gizliliÄŸi
MADDE 18-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleÅŸen iÅŸlemlerin ve bu iÅŸlemler kapsamında iletilen, iÅŸlenen ve saklanan verilerin gizliliÄŸini saÄŸlayacak önlemleri alır. GizliliÄŸi saÄŸlamak üzere yapılacak çalışmalar asgari olarak aÅŸağıda belirtilen hususları içerir:
a) Verilerin güvenlik sınıfına uygun ÅŸekilde korunması.
b) Verilere eriÅŸim haklarının kiÅŸilerin görev ve sorumlulukları çerçevesinde belirlenmesi, eriÅŸimlerin kayıt altına alınması, bu kayıtların yetkisiz eriÅŸim ve müdahalelere karşı korunması.
c) Hassas verilerin tüm ortamlarda ÅŸifrelenerek saklanması, iletilmesi ve yedeklenmesi.
ç) Veri gizliliÄŸini saÄŸlamada ÅŸifreleme tekniklerinin kullanılması durumunda, güvenilirliÄŸi ve saÄŸlamlığı ispatlanmış algoritmaların kullanılması; geçerliliÄŸini yitirmiÅŸ, çalınmış veya kırılmış ÅŸifreleme anahtarlarının kullanılmasının engellenmesi, verinin ve operasyonun önem düzeyine göre anahtarların deÄŸiÅŸtirilme sıklıklarının belirlenmesi ve anahtarların güvenli saklanması.
(2) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleÅŸen iÅŸlemlere iliÅŸkin üretilen, iletilen, iÅŸlenen ve saklanan verilerin kasten veya yanlışlıkla Kurum, KuruluÅŸ ve Ortaklıklar dışına sızmasını önlemeye yönelik olarak güvenlik sınıfına uygun önlemleri alır.
(3) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri aracılığıyla edindiÄŸi veya sakladığı kiÅŸisel verilerin gizliliÄŸini saÄŸlamaya yönelik kontrolleri tesis eder ve bunların gerektirdiÄŸi önlemleri alır.
(4) Saklama süresi sona eren verilerin bulundukları tüm ortamlardan güvenli ve geri döndürülemez ÅŸekilde silinmesi saÄŸlanır ve yapılan iÅŸlemler kaydedilir.
(5) Kurum, KuruluÅŸ ve Ortaklıklar, kiÅŸisel verilerin korunması ve iÅŸlenmesine yönelik gerekli tedbirleri alır. Bu maddede yer almayan durumlarda 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu ve ilgili diÄŸer mevzuat hükümleri uygulanır.
​
Bilgi sistemlerine ilişkin dışarıdan hizmet alımı
MADDE 19-
(1) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi tarafından, bilgi sistemleri kapsamında dışarıdan hizmet alımının doÄŸuracağı risklerin yeterli düzeyde deÄŸerlendirilmesine, yönetilmesine ve dışarıdan hizmet saÄŸlayıcı kuruluÅŸlarla iliÅŸkilerin etkin bir ÅŸekilde yürütülebilmesine olanak saÄŸlayacak bir gözetim mekanizması tesis edilir. Tesis edilecek gözetim mekanizması asgari olarak aÅŸağıda belirtilen hususları içerir:
a) Dışarıdan alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve süreçlerin, Kurum, KuruluÅŸ ve Ortaklıkların kendi risk yönetimi, bilgi güvenliÄŸi ve müÅŸteri mahremiyeti ilkelerine uygun olması.
b) Kurum, KuruluÅŸ ve Ortaklıkların verilerinin dışarıdan hizmet saÄŸlayan kuruluÅŸa aktarılmasının gerekli olduÄŸu durumlarda, söz konusu kuruluÅŸun bilgi güvenliÄŸi konusundaki ilke ve uygulamalarının en az Kurum, KuruluÅŸ ve Ortaklıkların uyguladığı düzeyde olması.
c) Dışarıdan alınan bilgi sistemleri hizmetine iliÅŸkin hususların Kurum, KuruluÅŸ ve Ortaklıkların iÅŸ sürekliliÄŸi göz önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması.
ç) Dışarıdan alınan bilgi sistemleri hizmetlerinde ölçme, deÄŸerlendirme, raporlama, güvenlik ve yetkilendirme gibi süreçlerde nihai sorumluluÄŸun ve karar alma gücünün Kurum, KuruluÅŸ ve Ortaklıklarda olması.
d) Dışarıdan alınan hizmetin, Kurum, KuruluÅŸ ve Ortaklıkların yasal yükümlülüklerini yerine getirmelerini ve etkin biçimde denetlenmelerini engelleyici nitelikte olmaması.
e) Dışarıdan hizmet saÄŸlayacak kuruluÅŸa karar verilmeden önce kuruluÅŸ bünyesinde söz konusu hizmeti istenilen kalitede gerçekleÅŸtirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı ile dış hizmet saÄŸlayıcı kuruluÅŸa yönelik yoÄŸunlaÅŸmaların ve hizmet çıkış stratejisinin belirlenerek hizmetin ikame edilebilirliÄŸine iliÅŸkin hususları da dikkate alacak ÅŸekilde deÄŸerlendirme çalışması yapılması ve hazırlanacak teknik yeterlilik raporunun üst yönetimin onayına sunulması.
f) Dışarıdan alınan hizmetlere iliÅŸkin; hizmetin kapsamının, hizmet alınan kuruluÅŸun iletiÅŸim bilgilerinin, hizmetin geçerlilik süresinin, hizmetin seviyesinin ve kritiklik durumunun yazılı hale getirilmesi.
(2) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi; dışarıdan alınan kritik hizmetlerin eriÅŸilebilirliÄŸini, performansını, kalitesini, bu hizmet kapsamında gerçekleÅŸen güvenlik ihlalleri ile dış kaynak yoluyla hizmet saÄŸlayan kuruluÅŸun güvenlik kontrollerini, finansal koÅŸullarını ve sözleÅŸmeye uygunluÄŸunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler. Bu sorumlular, yılda en az bir defa olmak üzere bu maddede sayılan hususları içeren bir deÄŸerlendirme raporu hazırlar ve üst yönetime sunar.
(3) Dışarıdan hizmet alımına iliÅŸkin koÅŸul, kapsam ve her türlü diÄŸer tanımlama, dış hizmeti saÄŸlayan kuruluÅŸça da imzalanmış olacak ÅŸekilde sözleÅŸmeye baÄŸlanır. Hizmet sözleÅŸmeleri asgari olarak aÅŸağıdaki hususları içerir:
a) Hizmet seviyelerine ilişkin tanımlamalar.
b) Hizmetin sonlandırılmasına iliÅŸkin koÅŸullar ve hizmetin sonlanması durumunda Kurum, KuruluÅŸ ve Ortaklıklara ait tüm verinin Kurum, KuruluÅŸ ve Ortaklıklara teslimi ve hizmet saÄŸlayıcı kuruluÅŸ bünyesinde güvenli ve geri döndürülemez ÅŸekilde imhasına iliÅŸkin yükümlülükler.
c) Hizmetin beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda uygulanacak yaptırımlar.
ç) Kurum, KuruluÅŸ ve Ortaklıkların bilgi güvenliÄŸi politikası dâhilinde önem arz eden konulara iliÅŸkin gereklilikler ile hizmet sırasında ve hizmetin sonlanmasından itibaren hizmet saÄŸlayıcı kuruluÅŸun, Kurum, KuruluÅŸ ve Ortaklıklar hakkında edindiÄŸi bilgileri gizli tutması konusunda yükümlülükler.
d) SözleÅŸme kapsamında üretilecek ürün bulunması halinde, ürünün sahipliÄŸini, fikri ve sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler.
e) SözleÅŸmede dışarıdan alınan hizmeti saÄŸlayan kuruluÅŸlar için yükümlülük teÅŸkil eden hükümlerin, alt yüklenici kuruluÅŸlar ile yapılacak olan sözleÅŸmelerde de baÄŸlayıcı maddeler olarak yer almasını saÄŸlayacak hükümler.
f) Hizmet saÄŸlayıcı kuruluÅŸun, sermaye piyasası mevzuatı kapsamında Kurum, KuruluÅŸ ve Ortaklıklar, Kurul veya Kurulca uygun görülecek diÄŸer kuruluÅŸlar tarafından talep edilecek bilgileri istenen zamanda ve nitelikte saÄŸlamasına iliÅŸkin yükümlülüÄŸü ve Kurulun ve Kurulca uygun görülecek diÄŸer kuruluÅŸların sözleÅŸme kapsamında sunulan hizmet ile ilgili olarak hizmet saÄŸlayıcı bünyesindeki gerekli gördüÄŸü her türlü bilgi, belge ve kayda eriÅŸim hakkı.
g) Hizmet saÄŸlayıcı kuruluÅŸun bünyesinde gerçekleÅŸen güvenlik ihlali veya veri sızıntısı gibi olayların derhal Kurum, KuruluÅŸ ve Ortaklıklara bildirilmesini saÄŸlayacak hükümler.
ÄŸ) Kurum, KuruluÅŸ ve Ortaklıkların, dışarıdan hizmet saÄŸlayan kuruluÅŸun sözleÅŸme kapsamındaki faaliyetlerini izleme ve deÄŸerlendirmesine iliÅŸkin esaslar.
h) Dışarıdan hizmet alımına konu edilen bir faaliyet konusunda, ilgili mevzuatta Kurum, KuruluÅŸ ve Ortaklıklar için yükümlülükler getirilmesi halinde, bu yükümlülüklerin dışarıdan hizmet saÄŸlayan kuruluÅŸ tarafından da yerine getirilmesinin saÄŸlanacağına iliÅŸkin hükümler.
(4) Kritik olmayan hizmetler, hizmet sözleÅŸmelerinde birinci, ikinci ve üçüncü fıkralarda belirlenen hususların yer almasının imkân dâhilinde olmadığı durumlarda standart sözleÅŸmeler ile alınabilir ve bu durumun gerekçesi yazılı hale getirilir.
(5) Dışarıdan hizmet saÄŸlayan kuruluÅŸlara verilen eriÅŸim hakları özel olarak deÄŸerlendirilir. Fiziksel veya mantıksal olabilecek bu eriÅŸimler için risk deÄŸerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk deÄŸerlendirmesi yapılırken ihtiyaç duyulan eriÅŸim türü, eriÅŸilecek verinin hassasiyeti ile eriÅŸimin bilgi güvenliÄŸi üzerindeki etkileri dikkate alınır. EriÅŸim hakları, iÅŸin gerektirdiÄŸi en az yetkiyi içerir ve gerekirse zamana baÄŸlı olarak tanımlanır. Alınan hizmetin sonlanması durumunda ilgili tüm eriÅŸim hakları iptal edilir.
(6) Kurum, KuruluÅŸ ve Ortaklıklar, faaliyetlerinin tamamı veya bir bölümü için bulut hizmeti kullanabilir. Bulut hizmeti alımı, kullanımı ve yönetimi, dışarıdan hizmet alımı olarak deÄŸerlendirilir. Bulut hizmeti kapsamında 27 nci maddenin birinci fıkrasında belirlenen yükümlülükler dikkate alınır.
(7) Dışarıdan alınan yazılım, donanım, iÅŸletim sistemi veya bu bileÅŸenlerin bir ya da birkaçını barındıran cihaz/sistemlerin, mevcut güvenlik önlemlerini aÅŸarak eriÅŸim saÄŸlamak üzere özel olarak tasarlanan ve/veya kasıtlı olarak dâhil edilmiÅŸ boÅŸluklar veya güvenlik açıklarını barındırmadığına yönelik taahhütname; dağıtıcı, tedarikçi veya üreticiden alınır.
​
MüÅŸterilerin bilgilendirilmesi
MADDE 20-
(1) Kurum, KuruluÅŸ ve Ortaklıklar tarafından elektronik ortamda sunulan hizmetlerden yararlanacak müÅŸteriler; sunulan hizmetlere iliÅŸkin ÅŸartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir ÅŸekilde bilgilendirilir. Bu kapsamda; söz konusu hizmetlere iliÅŸkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliÄŸi ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemler, müÅŸterilerin dikkatine sunulur. Bu bilgilendirmenin yapıldığının ispatı Kurum, KuruluÅŸ ve Ortaklıkların sorumluluÄŸundadır.
(2) Bilgi sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı müÅŸterilerin yaÅŸayabileceÄŸi sorunların takip edilebileceÄŸi ve müÅŸterilerin ÅŸikâyetlerini ulaÅŸtırmalarına imkân tanıyacak mekanizmalar oluÅŸturulur. Åžikâyet ve uyarılar deÄŸerlendirilerek aksaklıkları giderici çalışmalar yapılır.
​
Üçüncü taraflarla bilgi deÄŸiÅŸimi
MADDE 21-
(1) Üçüncü taraflara Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemine eriÅŸim hakkı verilmeden önce gerekli güvenlik gereksinimleri tanımlanır ve uygulanır. Kurum, KuruluÅŸ ve Ortaklıkların bilgi içeren ortamları, üçüncü taraflar ile yapılan veri aktarımları sırasında gerçekleÅŸebilecek kötüye kullanım veya bozulmaya karşı korunur. Bu kapsamda yapılan çalışmalar yazılı hale getirilir ve veri aktarımlarına iliÅŸkin denetim izi tutulur.
(2) Kurum, KuruluÅŸ ve Ortaklıkların birinci fıkra kapsamında alacağı tedbirler Kurulun bilgi alımı, denetim ve gözetim faaliyetlerine engel teÅŸkil edemez.
​
Kayıt mekanizmasının oluşturulması
MADDE 22-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerinin karmaşıklığını ve kapsamının geniÅŸliÄŸini göz önünde bulundurarak bilgi sistemlerinin kullanımına iliÅŸkin etkin bir denetim izi kayıt mekanizması tesis eder. Bu kapsamda asgari olarak kritik bilgi sistemlerine ve Kurum, KuruluÅŸ ve Ortaklıkların faaliyetlerine ait kayıtlarda deÄŸiÅŸikliÄŸe sebep olan iÅŸlemler ile hassas verilere eriÅŸilmesine, bunların sorgulanmasına, görüntülenmesine, kopyalanmasına, deÄŸiÅŸtirilmesine yönelik iÅŸlemler ve kritik bilgi varlıklarına yönelik eriÅŸim yetkilerinin verilmesine, deÄŸiÅŸtirilmesine ve geri alınmasına yönelik iÅŸlevler ile bu varlıklara yönelik yetkisiz eriÅŸim teÅŸebbüslerine iliÅŸkin denetim izleri tutulur. Bu sayede, bilgi sistemleri dâhilinde gerçekleÅŸen ve Kurum, KuruluÅŸ ve Ortaklıkların faaliyetlerine ait kayıtlarda deÄŸiÅŸiklik ve silmeye sebep olan iÅŸlemlere iliÅŸkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistem ve kullanıcı eriÅŸimlerine karşı korunmasına yönelik önlemler alınır.
(2) Denetim izlerinin bütünlüÄŸünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin bütünlüÄŸü düzenli olarak gözden geçirilir ve olaÄŸan dışı durumlar üst yönetime raporlanır.
(3) Denetim izlerinde asgari olarak aşağıdaki bilgiler tutulur:
a) Yapılan iÅŸlemlerin türü ve niteliÄŸi.
b) Ä°ÅŸlemi gerçekleÅŸtiren uygulama.
c) Ä°ÅŸlemi gerçekleÅŸtiren kiÅŸinin kimliÄŸi.
ç) Yapılan iÅŸlemlerin zamanı.
d) Ä°ÅŸlemin sonucu.
e) EriÅŸilen sistem, ara yüz ya da dosya adı.
(4) Denetim izleri asgari 5 yıl saklanır. Denetim izlerinin yeterli güvenlik düzeyine sahip ortamlarda korunması ve yedeklerinin alınması suretiyle, yaÅŸanması muhtemel olumsuzluklar sonrasında da öngörülen süre için eriÅŸilebilir olmaları temin edilir. Bunun yanı sıra, denetim izlerinin alınması ve saklanmasında kullanılan araç veya yöntemler gözetim altında tutulur. Denetim izi mekanizmasında bir aksaklık yaÅŸandığında ilgili kiÅŸilerin otomatik olarak uyarılması saÄŸlanır.
(5) Kullanıcılar, bilgi sistemleri üzerindeki aktivitelerinin kaydının tutulduÄŸu konusunda bilgilendirilir.
(6) Denetim izlerinin tutulması, ilgili diÄŸer mevzuat hükümleri gereÄŸi Kurum, KuruluÅŸ ve Ortaklıkların tabi olduÄŸu mevzuattaki belge saklanmasına iliÅŸkin yükümlülüklerini deÄŸiÅŸtirmez.
(7) Denetim izleri sürekli gözetim altında tutulur. OlaÄŸan dışı durumlar için otomatik uyarı mekanizması kurulur ve ilgililere bildirim yapılır. Bu bildirimlerin her biri üzerinde inceleme yapılır ve sonuçlar kayıt altına alınır.
(8) Dışarıdan alınan hizmetler için de bu madde kapsamında denetim izi tutulması ve Kurum, KuruluÅŸ ve Ortaklıklar tarafından eriÅŸilebilmesi saÄŸlanır.
(9) Denetim izleri merkezi bir kayıt yönetim sistemi aracılığıyla izlenir ve analiz edilir. Olası güvenlik olaylarının erken tespiti için korelasyon kuralları tanımlanır ve uyarı mekanizmaları oluÅŸturulur.
(10) Kritik faaliyetlerin gerçekleÅŸtiÄŸi bilgi sistemlerinin yöneticileri ile bu sistemlere iliÅŸkin denetim izlerini yöneten kiÅŸiler ayrıştırılır.
​
Zaman senkronizasyonu
MADDE 23-
(1) Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerinde kullandıkları zaman bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi atomik saatler vasıtasıyla temin edilir.
​
Bilgi güvenliÄŸi ihlali
MADDE 24-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bünyelerinde gerçekleÅŸen her türlü bilgi güvenliÄŸi ihlalinin veya bilgi sistemlerine iliÅŸkin tespit edilen güvenlik açıklarının yönetilmesini saÄŸlayacak kontrolleri tesis eder. Bu kapsamda tüm personel, rol ve sorumlulukları hakkında bilgilendirilir. GerçekleÅŸen ihlal veya tespit edilen güvenlik açığı mümkün olan en kısa sürede kayda alınır ve gerekli iÅŸlemler yapılır.
(2) Bilgi güvenliÄŸi ihlal olaylarının veya güvenlik açıklarının deÄŸerlendirilmesi için kriterler belirlenir. Bu kriterler asgari olarak kritik operasyonların ve hizmetlerin olası kesinti süresi, veri sızıntısı kapsamında çalınan kayıt veya etkilenen hesap sayısı, etkilenen kullanıcı sayısı, kesinti süresince ve ileriye dönük toplam gelir kaybı, ihlal edilen hizmet seviyesi anlaÅŸmalarının oranı ölçütlerini içerir ve bu süreç yazılı hale getirilir.
(3) Bilgi güvenliÄŸi ihlal olaylarına müdahale planı hazırlanır ve üst yönetim tarafından onaylanır. Planda asgari olarak;
a) Olaya müdahale ekibinin rolleri, sorumlulukları ve iletiÅŸim bilgileri,
b) Olay, güvenlik açığı veya tehdit bildiriminin kim tarafından ve nasıl yapılabileceÄŸi,
c) Kurum içi ve kurum dışı iletiÅŸim esasları,
ç) Güncel tehdit ve muhtemel siber olayların her biri için; olayın deÄŸerlendirilmesi, ilgili tarafların bilgilendirilmesi, olaya cevap verilmesi, kurtarma, raporlama, öÄŸrenme ve iyileÅŸtirme aÅŸamaları,
yer alır.
(4) YaÅŸanan olayın, kritik operasyonları kesintiye uÄŸratacak veya veri sızıntısıyla sonuçlanacak potansiyelde belirlenmesi durumunda derhal Kurul, müÅŸteriler ve ilgili diÄŸer kurumlar bilgilendirilir.
(5) Olay sonrası, olaya iliÅŸkin alınan kararlar, olayın etkilediÄŸi bilgi sistemleri ve iÅŸ süreçleri, olaya cevaben gerçekleÅŸtirilen tüm iÅŸlemler, olayın kök sebebi, görev alan kiÅŸiler, harcanan zaman, maliyet ve iÅŸgücü miktarı kayda alınarak siber olay müdahale raporu hazırlanır ve üst yönetime iletilir. Olaydan kritik sistemler veya hassas verilerin etkilenmesi durumunda hazırlanan rapor derhal Kurula iletilir.
(6) Olay müdahale süreciyle ilgili personelin yetkinlik, deneyim ve bilgisinin eÄŸitim programları ile artırılması saÄŸlanır.
(7) Yasal iÅŸlemler için kanıtların bütünlüÄŸünün bozulmadan toplanması ve korunması için kontroller tesis edilir.
(8) Olay müdahale planının etkinliÄŸini ve güncelliÄŸini temin etmek üzere yılda en az bir kez test yapılır ve test sonuçları üst yönetime raporlanır.
(9) Sektörel SOME tarafından, Kurumsal SOME kurulmasına karar verilen Kurum, KuruluÅŸ ve Ortaklıkların bünyesinde Kurumsal SOME kurulur ve SOME TebliÄŸinde belirtilen usul ve esaslara göre çalışır. Kurumsal SOME üyelerinin iletiÅŸim bilgileri USOM tarafından belirlenen yöntem ile USOM’a bildirilir ve güncelliÄŸi saÄŸlanır.
(10) Bünyesinde Kurumsal SOME kurulan Kurum, KuruluÅŸ ve Ortaklıklarda bilgi güvenliÄŸi ihlallerine iliÅŸkin gerçekleÅŸtirilen faaliyetlere yönelik yıllık olarak SOME Rehberinde belirtilen Kurumsal SOME Faaliyet Raporu düzenlenir, üst yönetime raporlanır. Hazırlanan rapor takip eden yıl 31 Ocak tarihine kadar Türkiye Sermaye Piyasaları BirliÄŸi üyelerince Birlik aracılığıyla, diÄŸer Kurum, KuruluÅŸ ve Ortaklıklarca doÄŸrudan Kurula iletilir. Son bildirim gününün resmi tatil gününe denk gelmesi halinde, resmi tatil gününü takip eden ilk iÅŸ günü son bildirim tarihi kabul edilir. Raporda, Kurumsal SOME Rehberinde belirtilenlerin yanı sıra asgari olarak aÅŸağıdaki unsurlara da yer verilir:
a) YaÅŸanan olaylara cevaben yapılan tüm müdahaleler.
b) Otomatik yollarla tespit edilen ve yanıtlanan olayların sayısı ve türleri.
c) Bir tehdit aktörünün bilgi sistemleri ortamında bulunduÄŸu süre (bir saldırganın tespit edildiÄŸi andan itibaren varlığının en erken kanıtına kadar geçen süre).
ç) Kabul edilebilir kesinti süreleri ile kabul edilebilir azami veri kaybı performans metrikleri açısından deÄŸerlendirmeler.
​
Bilgi sistemleri edinimi, geliştirilmesi ve bakımı
MADDE 25-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri edinimi, geliÅŸtirilmesi ve bakımı süreçlerinde gerekli kontrolleri tesis eder. Bu kontroller Kurum, KuruluÅŸ ve Ortaklıkların kendi bünyesinde geliÅŸtirilecek, deÄŸiÅŸtirilecek veya dışarıdan hizmet alımıyla edinilecek her türlü bilgi sistemini kapsar.
(2) GeliÅŸtirilecek, deÄŸiÅŸtirilecek veya dışarıdan hizmet alımıyla temin edilecek bilgi sistemlerinin fonksiyonel gereksinimleri ile tasarım, geliÅŸtirme ve test aÅŸamalarının her biri için teknik ve güvenlik gereksinimleri yazılı hale getirilir. Uygulama güvenliÄŸi ve eriÅŸilebilirlik gereksinimleri belirlenirken Kurum, KuruluÅŸ ve Ortaklıkların belirlemiÅŸ olduÄŸu veri güvenlik sınıflandırması ve riskler göz önünde bulundurulur.
(3) GeliÅŸtirilecek, deÄŸiÅŸtirilecek veya dışarıdan temin edilecek bilgi sistemleri yapısının Kurum, KuruluÅŸ ve Ortaklıkların ölçeÄŸi, faaliyetlerinin ve sunulan ürünlerin niteliÄŸi ve karmaşıklığı ile uyumlu olması zorunludur.
(4) Alınan hizmetin kritikliÄŸi, riskliliÄŸi ve tedarikçinin iÅŸ dışı kalması olasılığı dikkate alınarak yazılımı dış bir firma tarafından geliÅŸtirilen ve kaynak kodu tedarik edilemeyen uygulamalar için üçüncü tarafların da katılımıyla bir yazılım saklama sözleÅŸmesi yapılır.
(5) Bilgi sistemlerinde gerçekleÅŸtirilecek büyük ölçekli geliÅŸtirme, deÄŸiÅŸiklik veya edinim süreçleri, proje yönetim faaliyetleri çerçevesinde yürütülür. GerçekleÅŸtirilecek projeler Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi tarafından onaylanır. Proje ile ilgili ilerleme raporları belirli periyotlarda üst yönetime sunulur.
(6) Yazılım geliÅŸtirme yaÅŸam döngüsünün tüm aÅŸamalarını kapsayacak ÅŸekilde güvenli yazılım geliÅŸtirme prosedürü oluÅŸturulur.
(7) Bilgi sistemlerinde yapılacak önemli güncellemelerin veya deÄŸiÅŸikliklerin iÅŸ süreçlerini aksatmaması ve bilgi güvenliÄŸi riski oluÅŸturmaması için güncelleme veya deÄŸiÅŸikliklere iliÅŸkin planlama, test ve uygulama adımları detaylı olarak ele alınır.
(8) Yazılım geliÅŸtirme süreçlerinde görev alan personelin güvenli yazılım geliÅŸtirme konusunda eÄŸitim alması saÄŸlanır.
(9) GeliÅŸtirme, test ve gerçek ortamlar yetkisiz eriÅŸim ve deÄŸiÅŸim riskine karşı birbirinden ayrılır. Test ortamındaki veriler, müÅŸteri bilgilerini içermeyecek ve gerçek ortamdaki iÅŸlemlerle uyumlu olacak ÅŸekilde belirlenir.
(10) Bilgi sistemleri gerçek ortamda kullanıma alınmadan önce kabul kriterleri belirlenir, hazırlanacak bir plana göre fonksiyonel, teknik ve güvenlik gereksinimleri testlerine tabi tutulur, gerçek ortama alınması onay sürecine baÄŸlanır. Kritik uygulamalar gerçek ortama alınmadan önce güvenlik testlerinden geçirilir, tespit edilen bulgular giderilir.
(11) Gerekli hallerde deÄŸiÅŸtirilmiÅŸ veya yeni geliÅŸtirilmiÅŸ sistemin gerçek ortamda kullanıma alınmadan önce belirli bir olgunluk seviyesine ulaÅŸana kadar eski sistemle beraber çalıştırılmasına devam edilir. Bu ÅŸekilde paralel iÅŸletimin mümkün olmadığı durumlarda ise deÄŸiÅŸtirilmiÅŸ veya yeni geliÅŸtirilmiÅŸ sistem belirli bir olgunluk seviyesine ulaÅŸana kadar eski sistem veri kayıpsız olarak devreye alınabilir halde tutulur.
(12) Uygulama geliÅŸtiricilerin zorunlu olmadıkça gerçek ortama eriÅŸimleri engellenir. Gerekmesi durumunda, bilgi güvenliÄŸi sorumlusunun onayı alınarak ve yapılan tüm iÅŸlemlerin denetim izleri tutularak kısıtlı süreyle eriÅŸim saÄŸlanır.
(13) Uygulama geliÅŸtirme sürecinde sürüm kontrol aracı kullanılır, kaynak kodlarda yapılan deÄŸiÅŸiklikler gerekçesi ile sürüm kontrol aracına yansıtılır.
​​
Uygulama güvenliÄŸi
MADDE 26-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, uygulamaların güvenli çalışmasını temin etmek amacıyla kontroller geliÅŸtirir. Bu kontroller girdi ve çıktı denetimini, hataların ele alınmasını, güncellemeleri, eriÅŸim denetimini, mobil uygulama ve API iÅŸletimine özgü konuları içerir ve asgari olarak kritik uygulamalarda ele alınır.
(2) Uygulamalarda veri giriÅŸlerinin tam, doÄŸru ve geçerli ÅŸekilde yapılması, veri üzerindeki iÅŸlemlerin doÄŸru sonuçlar üretmesi saÄŸlanır, veri ve iÅŸlem kaybı, verinin yetkisiz deÄŸiÅŸtirilmesi ve kötüye kullanımı önlenir. Bu kapsamda; girdi doÄŸrulama ve filtreleme mekanizmaları tesis edilir. Girdiler zararlı içerikleri engellemek üzere doÄŸrulanır. Girdilerin önceden belirlenen uzunluk ve format gereksinimlerine uygunluÄŸu saÄŸlanır.
(3) Uygulamaların ürettiÄŸi çıktıların bütünlüÄŸü saÄŸlanır.
(4) Uygulamaların ürettiÄŸi hata mesajları, sistem güvenliÄŸini tehlikeye atmayacak ve veri sızdırma riski yaratmayacak ÅŸekilde yapılandırılır.
(5) Uygulamalarda meydana gelen; gizlilik, bütünlük ve eriÅŸilebilirliÄŸi olumsuz yönde etkileyebilecek hatalar için kayıt tutulur ve gözetimi saÄŸlanır. Bu kapsamda normalden sık tekrarlanan hatalar tespit edildiÄŸinde ilgili kiÅŸilere otomatik bildirim gönderilir.
(6) Kimlik doÄŸrulama verileri, kiÅŸisel ve finansal veriler ile benzeri hassas verilerin çerezlerde saklanması engellenir.
(7) Veri güvenliÄŸini saÄŸlamak amacıyla; çerezler asgari sürelerde tutulur, kalıcı çerezlerin tutulma süresi güvenlik gereksinimlerine uygun olarak sınırlandırılır. Oturum çerezleri, oturum kapanışında otomatik olarak silinir.
(8) Çerezler her oturumda kullanıcıya özel olacak ÅŸekilde üretilir. Çerez deÄŸerlerinin her kullanıcı için benzersiz olması ve oturum açma sırasında yeniden üretilmesi saÄŸlanır.
(9) Uygulamalarda geçici veya misafir kullanıcı eriÅŸimleri belirli süreler için saÄŸlanır ve bu eriÅŸimler süre dolduÄŸunda devre dışı bırakılır.
(10) API eriÅŸimlerinde, kimlik doÄŸrulama ve yetkilendirme için güvenli protokoller kullanılır. EriÅŸim talepleri belirteç (token) bazlı doÄŸrulanır ve kullanıcı kimlik bilgileri korunur. Zorunlu olmadıkça hassas verilerin API aracılığıyla iletilmesi engellenir.
(11) API eriÅŸimlerinde aşırı yüklenme ve kötüye kullanım giriÅŸimlerine karşı trafik yönetimi yapılır. Bu kapsamda talep sınırlandırma ve yavaÅŸlatma mekanizmaları kullanılır.
(12) Uygulamaların oturum zaman aşımı süresi, uygulamanın kritikliÄŸine göre belirlenir. Bu sürenin aşımında oturum otomatik olarak sonlandırılır ve kullanıcı yeniden giriÅŸ yapmaya zorlanır.
(13) Uygulamanın kaynak kodlarının kötü amaçlı kullanım ve müdahalelere karşı korunaklı olması saÄŸlanır.
(14) Uygulamalarda, kullanıcı tarafından gönderilen tüm girdilerde kötü amaçlı içeriklerin tespit edilmesi ve engellenmesine yönelik kontroller tesis edilir ve bu amaçla koruma çözümleri kullanılır.
(15) Uygulamalara yüklenen dosyaların güvenliÄŸini saÄŸlamak amacıyla dosya türü, boyutu ve içeriÄŸi kontrol edilir. Olası tehditlere karşı dosyalar, güncel zararlı yazılım imzalarına ve tehdit veri tabanlarına göre taranır, tespit edilen ÅŸüpheli dosyalar otomatik olarak karantinaya alınır veya yüklenmesi engellenir. Yüklenen dosyaların yalnızca yetkili kiÅŸilerce eriÅŸilebilmesi ve güvenliÄŸi saÄŸlanır. EriÅŸimlerin denetim izi tutulur.
(16) Mobil uygulamanın ilk kurulumu, aktifleÅŸtirilmesi veya kullanılamaz hale gelmesi durumları hariç olmak üzere, mobil uygulamayı yükleyerek aktif hale getiren müÅŸterilere, oturum açma veya oturum sırasında gerçekleÅŸtirilen iÅŸlemlerin doÄŸrulaması amacıyla SMS yoluyla tek kullanımlık parola gönderilmez ve bu yöntem kimlik doÄŸrulama faktörü olarak kullanılmaz.
(17) Uygulamalarda SMS yoluyla tek kullanımlık parola gönderilmeden önce, müÅŸterinin SIM kart deÄŸiÅŸikliÄŸi yapıp yapmadığı veya numara taşıma yoluyla elektronik haberleÅŸme iÅŸletmecisini deÄŸiÅŸtirip deÄŸiÅŸtirmediÄŸi Türkiye'deki mobil haberleÅŸme operatörleriyle saÄŸlanan entegrasyon aracılığıyla kontrol edilir ve deÄŸiÅŸiklik yapıldığının belirlenmesi durumunda müÅŸteri tarafından bu deÄŸiÅŸiklik teyit edilmediÄŸi sürece sunulacak hizmetlerde SIM karta dayalı kimlik doÄŸrulama faktörünün kullanılması engellenir. DeÄŸiÅŸiklikler teyit edilirken iki faktörlü kimlik doÄŸrulama yöntemlerinin kullanılması esastır. Ä°ki faktörlü kimlik doÄŸrulama kullanılmaksızın gerçekleÅŸtirilen her türlü iÅŸlem için, gerçekleÅŸtirilen iÅŸlemlerin müÅŸteri tarafından yapıldığını ispat etme yükümlülüÄŸü Kurum, KuruluÅŸ ve Ortaklıklara aittir.
(18) Uygulamalarda kritik iÅŸlemler için ek kimlik doÄŸrulama adımları uygulanır. MüÅŸterilere, varsayılan ve müÅŸteri tarafından güncellenebilecek eriÅŸim kısıtlamaları, günlük iÅŸlem limitleri, güvenli alıcılar listesi gibi ilave güvenlik önlemleri sunulur. Güvenlik önlemlerinin tanımlanması, güncellenmesi veya deÄŸiÅŸtirilmesinin çok faktörlü kimlik doÄŸrulama sonrasında gerçekleÅŸtirilmesi esastır.
(19) Kimlik ve iÅŸlem doÄŸrulama amacıyla müÅŸterilere kullandırılacak tek kullanımlık parolaların, tahmin edilmesi zor olacak ÅŸekilde yeterli uzunlukta, rastgele, deÄŸiÅŸken ve eÅŸsiz olarak üretilmesi ve yalnızca belirli bir süre boyunca geçerli olacak ÅŸekilde tasarlanması saÄŸlanır.
(20) Kritik uygulamalarda, kullanıcılara uygulama üzerindeki aktif oturumlar hakkında bilgilendirme yapılır ve aktif oturumların sonlandırılabilmesi için gerekli iÅŸlevsellik saÄŸlanır.
(21) Kritik uygulamalarda, baÅŸarısız kimlik doÄŸrulama teÅŸebbüsleri hakkında ilgili kullanıcıya sisteme ilk girdiÄŸi anda bilgi verilir.
(22) Mobil uygulamaların, güvenlik güncellemelerini kullanıcılara otomatik olarak bildirmesi saÄŸlanır. Kritik güvenlik güncellemelerinin yapılması için kullanıcılar zorlanır ve uygulamanın eski sürümleri devre dışı bırakılır.
(23) Mobil uygulamaların çalıştıkları cihaza özgü güvenlik gereksinimlerine uygunluÄŸu saÄŸlanır. Bu uygulamalar yalnızca gerekli cihaz izinlerini talep eder ve kullanıcıların onayı alınarak en az izinle çalıştırılır.
(24) Mobil uygulamalarda aynı kullanıcı hesabıyla birden fazla cihazda eÅŸ zamanlı oturum açılması engellenir.
(25) MüÅŸteri kullanımına sunulan mobil uygulamaların cihaz tanıma özelliÄŸine sahip olması saÄŸlanır.
(26) Mobil uygulamaların çalıştığı cihazlardaki hassas verilerin güvenliÄŸini saÄŸlamak ve bu cihazların iÅŸletim sistemi yazılımının kırılması veya deÄŸiÅŸtirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojisine uygun kontroller tesis edilir.
(27) Mobil uygulama kontrolünde olmayıp cihaz üreticisi kontrolünde olan parola, PIN ya da biyometrik veriler, müÅŸterinin bildiÄŸi ya da biyometrik karakteristiÄŸi olan unsurlar olarak kabul edilmez.
​
Bilgi sistemleri sürekliliÄŸi
MADDE 27-
(1) Kurum, KuruluÅŸ ve Ortaklıkların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur. Ä°kincil sistemin yeri, doÄŸal ve çevresel felaketlere karşı birincil sistemle aynı risklere maruz kalmayacak ÅŸekilde seçilir.
(2) Bilgi sistemleri süreklilik planının geliÅŸtirilmesi ve iÅŸletilmesinde görev alacak kiÅŸiler ile rol ve sorumlulukları belirlenerek ilgili eÄŸitimleri almaları saÄŸlanır. Planın devreye alınması kararını verecek kiÅŸi ve durumlar yazılı hale getirilir. Bilgi sistemleri süreklilik planı üst yönetim tarafından onaylanır. Planın sadece ilgili kiÅŸiler tarafından eriÅŸilebilir olması ve güncel fiziksel kopyalarının gereken yerlerde bulundurulması saÄŸlanır.
(3) Plan kapsamında ikincil sistem tesis edilir. İkincil sistemde, Kurum, Kuruluş ve Ortaklıkların kritik veri ve sistem yedekleri kullanıma hazır bulundurulur.
(4) Plan, iÅŸ birimleriyle gerçekleÅŸtirilen iÅŸ etki analizi sonuçlarını ve iÅŸ sürekliliÄŸi planında belirlenen hedefleri de dikkate alacak ÅŸekilde, asgari olarak kritik iÅŸ süreçlerini destekleyen bilgi sistemleri ve bunların yer aldığı konumlara yönelik hazırlanır. Planda yer alan süreçlerin her biri için kabul edilebilir kesinti süreleri ile kabul edilebilir azami veri kaybı deÄŸerleri belirlenir. Bu çerçevede hizmetlerin tekrar kullanıma açılmasını saÄŸlayacak alternatifli kurtarma süreç ve prosedürleri tesis edilir ve gerekli önlemler alınır.
(5) Bilgi sistemleri süreklilik planının devreye alınması durumunda gerekli olacak kapasite belirlenir ve bunu saÄŸlayacak önlemler alınır.
(6) Bilgi sistemlerinden kaynaklanabilecek kesintilere, iÅŸlem performansını düÅŸürecek veya iÅŸ sürekliliÄŸini aksatacak durumlara karşı gerekli önlemler alınır.
(7) Bilgi sistemlerinin sürekliliÄŸini saÄŸlamak amacıyla, risk deÄŸerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleÅŸtirilir.
(8) Plan, iÅŸ süreçlerini veya bilgi sistemlerini etkileyecek deÄŸiÅŸikliklerden sonra veya yılda en az bir kez gözden geçirilerek güncellenir. Planın etkinliÄŸini ve güncelliÄŸini temin etmek üzere testler yapılır, testlere varsa dışarıdan hizmet alınan kuruluÅŸlar da dâhil edilir ve test sonuçları üst yönetime raporlanır. Testler her yıl tekrarlanır.
(9) Kurum, KuruluÅŸ ve Ortaklıkların, birincil sistemin tamamen devre dışı kaldığı durumlarda en geç yirmi dört saat içerisinde faaliyetlerini sürdürebilir hale gelmesi esastır.
(10) Birincil sistemin tamamen devre dışı kaldığı durumlarda Kurul derhal bilgilendirilir.
(11) Ä°kincil sistemlerden birincil sistemlere geri dönüÅŸ prosedürleri hazırlanır.
(12) Bilgi sistemleri, iÅŸ sürekliliÄŸi planındaki önceliklere uygun olarak yedeklenir ve yedekten geri dönülmesi için gerekli süreçler bilgi sistemleri sürekliliÄŸi planına ve testine dâhil edilir. Bu kapsamda yedekleme çizelgesi hazırlanır, üst yönetime onaylatılır ve güncelliÄŸi saÄŸlanır. Yedeklerin en az bir kopyası farklı coÄŸrafi bir konumda saklanır. Yedeklerin güvenliÄŸine iliÅŸkin gerekli önlemler alınır.
(13) Yılda en az bir defa asgari olarak kritik sistemlerin yedekten geri dönme testi gerçekleÅŸtirilir ve teste katılanların bilgisi, tarih, testin detayları ve sonuçları kayıt altına alınır. Alınan yedeklerin yasal saklama süresi boyunca geri döndürülebilir olması saÄŸlanır.
(14) Kurum, KuruluÅŸ ve Ortaklıklar, faaliyetlerini iÅŸ sürekliliÄŸi planında belirlediÄŸi kabul edilebilir kesinti süreleri ve azami veri kaybı deÄŸerleri dahilinde sürdürmesini saÄŸlayacak ÅŸekilde bilgi sistemlerinde gerekli altyapıyı kurar.
(15) Kurum, KuruluÅŸ ve Ortaklıklar, kritik faaliyetlerinin çalışamaz hale gelmesini önlemek adına bilgi sistemlerinde yedekli çalışma ya da hazırda bekleme düzenleri kurar.
(16) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi güvenliÄŸi politikasının, bilgi sistemleri süreklilik planının, bilgi varlıkları envanteri ile iÅŸ sürekliliÄŸi ve güvenliÄŸi açısından önem arz eden diÄŸer dokümanların güncel sürümlerini ve bilgi sistemleri yönetimine iliÅŸkin parolalarını güvenli ortamlarda saklar.
​​
DeÄŸiÅŸiklik yönetimi
MADDE 28-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerini oluÅŸturan her türlü yazılım, donanım ve altyapı bileÅŸenlerine, dokümantasyona ve bilgiye yapılan deÄŸiÅŸiklikleri yönetebilmek amacıyla kontroller geliÅŸtirir. Bu kontroller en az aÅŸağıdaki hususları içerir:
a) Yapılacak her türlü deÄŸiÅŸiklik için; deÄŸiÅŸikliÄŸin sebebini, kapsamını, etkisini, içerdiÄŸi riskleri, beklenen faydasını, deÄŸiÅŸikliÄŸi yapacak kiÅŸileri, maliyetini, gerekli test ve eÄŸitim faaliyetlerini tanımlayan kayıtlar oluÅŸturulur.
b) Planlanan deÄŸiÅŸiklikler uygulanmadan önce bu deÄŸiÅŸikliklere yönelik detaylı bir test süreci yürütülür ve deÄŸiÅŸikliklerin güvenirliÄŸi ve iÅŸlevselliÄŸi doÄŸrulanır, sistem ve uygulamaların yapılandırma ayarlarının ve sürümlerinin deÄŸiÅŸiklik sonrası olması gerektiÄŸi biçimde belirlendiÄŸi kontrol edilir.
c) Planlanan deÄŸiÅŸiklikler onay sürecinden geçmedikçe iÅŸleme konulmaz, ancak acil durumlarda yapılacak deÄŸiÅŸiklikler için özel bir prosedür tanımlanır ve bu ÅŸekilde gerçekleÅŸtirilen deÄŸiÅŸikliklerin belge ve kayıtlarının mümkün olan en kısa sürede tamamlanması saÄŸlanır.
ç) Planlanan deÄŸiÅŸiklikler, devreye alınma tarihleri, test ve eÄŸitim faaliyetleri ilgili tüm taraflara önceden duyurulur.
d) DeÄŸiÅŸikliÄŸin uygulanmasında ortaya çıkan hatalar ve öngörülemeyen durumlarda uygulamaya alınacak geri dönüÅŸ prosedürleri ve bunlarla ilgili sorumluluklar önceden belirlenir, bu prosedürlerin mümkünse test edilmesi saÄŸlanır.
e) GerçekleÅŸtirilen deÄŸiÅŸikliklerin sonuçları gözden geçirilir.
f) GerçekleÅŸtirilen, iptal edilen veya reddedilen tüm deÄŸiÅŸiklikler gerekçeleriyle birlikte kayda geçirilir ve saklanır.
​
Ä°ç denetim
MADDE 29-
(1) Kurum, KuruluÅŸ ve Ortaklıklar, yılda en az bir kez olmak kaydıyla bilgi sistemlerine yönelik iç denetim gerçekleÅŸtirir.
(2) Ä°ç denetim faaliyeti dışarıdan hizmet alımı yoluyla icra edilemez.
(3) Ä°ç denetim faaliyeti, bilgi sistemlerinin tasarımı ve iÅŸleyiÅŸine yönelik görevi bulunmayan kiÅŸilerce gerçekleÅŸtirilir. Ä°ç denetimi gerçekleÅŸtirecek kiÅŸilerin 14/8/2014 tarihli ve 29088 sayılı Resmî Gazete’de yayımlanan Sermaye Piyasasında Faaliyette Bulunanlar Ä°çin Lisanslama ve Sicil Tutmaya Ä°liÅŸkin Esaslar Hakkında TebliÄŸ (VII-128.7)’in 5 inci maddesinde belirtilen Bilgi Sistemleri Bağımsız Denetim Lisansına sahip olmaları zorunludur.
(4) Ä°ç denetim sonrası ulaşılan tespit ve sonuçlar bir rapor haline getirilir ve yönetim kuruluna sunulur.
(5) Bilgi güvenliÄŸi sorumlusu tarafından, iç denetim raporunda yer alan tespitlere göre yapılacaklar gerçekleÅŸtirme tarihleriyle beraber bir aksiyon planına dönüÅŸtürülür, üst yönetime onaylatılır. Aksiyon planına uyum üst yönetim tarafından takip edilir ve bir sonraki iç denetim faaliyetinde dikkate alınır.
(6) Ä°ç denetim dönemi bitiminde iç denetim faaliyet raporu hazırlanır ve yönetim kuruluna sunulur. Söz konusu faaliyet raporunda asgari olarak; tamamlanan, devam eden, ertelenen ve iptal edilen denetim faaliyetlerine, denetim planına uyum düzeyine, bulguların nihai durumu ile bulguların kapatılmasına yönelik olarak aksiyon planında hedef tamamlanma tarihi atanmayan, aşılan, aÅŸma süresi bir seneden fazla uzatılan veya iptal edilen bulgulara yer verilir.
(7) Kurum, KuruluÅŸ ve Ortaklıklar bilgi sistemleri yönetimine iliÅŸkin olarak iç denetim gerçekleÅŸtirecek kiÅŸileri, göreve baÅŸlamalarını takiben 10 iÅŸ günü içinde Sermaye Piyasası Lisanslama Sicil ve EÄŸitim KuruluÅŸu A.Åž.’ye bildirir.
​​
DÖRDÜNCÜ BÖLÜM
ÇeÅŸitli ve Son Hükümler
​
Muafiyetler
MADDE 30-
(1) Asgari özsermaye yükümlülüÄŸünde 2/7/2013 tarihli ve 28695 sayılı Resmî Gazete’de yayımlanan Portföy Yönetim Åžirketleri ve Bu Åžirketlerin Faaliyetlerine Ä°liÅŸkin Esaslar TebliÄŸi (III-55.1)’nin 28 inci maddesinin birinci fıkrasının (a), (b) ve (c) bentlerine tabi portföy yönetim ÅŸirketleri, dar yetkili aracı kurumlar, varlık kiralama ÅŸirketleri, ipotek finansmanı kuruluÅŸları, Türkiye Sermaye Piyasaları BirliÄŸi, Türkiye DeÄŸerleme Uzmanları BirliÄŸi, bağımsız denetim, derecelendirme ve deÄŸerleme kuruluÅŸları, halka açık ortaklıklar, varlık finansmanı fonları, kolektif yatırım kuruluÅŸları, emeklilik yatırım fonları, konut finansmanı fonları 8 inci maddenin beÅŸinci, altıncı ve yedinci fıkralarını, 10 uncu maddenin altıncı ve yedinci fıkralarını, 12 nci maddenin birinci fıkrasının (b) bendini, 13 üncü maddenin on birinci ve on üçüncü fıkralarını, 14 üncü maddenin beÅŸinci, altıncı ve sekizinci fıkralarını, 15 inci maddenin üçüncü, altıncı, yedinci, sekizinci ve dokuzuncu fıkralarını, 16 ncı maddenin sekizinci ve dokuzuncu fıkralarını, 17 nci maddenin ikinci fıkrasını, 18 inci maddenin ikinci fıkrasını, 22 nci maddenin yedinci, dokuzuncu ve onuncu fıkralarını, 24 üncü maddenin yedinci ve sekizinci fıkralarını, 25 inci maddenin dördüncü, beÅŸinci, altıncı ve on birinci fıkralarını, 26 ncı maddeyi, 27 nci maddenin üçüncü, dokuzuncu, onuncu, on birinci ve on beÅŸinci fıkralarını, 28 inci maddeyi ve 29 uncu maddeyi uygulamak zorunda deÄŸildir.
(2) Borsa Ä°stanbul A.Åž., Ä°stanbul Takas ve Saklama Bankası A.Åž., Merkezi Kayıt KuruluÅŸu A.Åž., Türkiye Sermaye Piyasaları BirliÄŸi, Türkiye DeÄŸerleme Uzmanları BirliÄŸi ve Sermaye Piyasası Lisanslama Sicil ve EÄŸitim KuruluÅŸu A.Åž. 29 uncu maddenin yedinci fıkrasından muaftır.
(3) Bilgi Sistemleri Bağımsız Denetim TebliÄŸi (III-62.2) hükümleri kapsamında, bilgi sistemleri bağımsız denetim zorunluluÄŸu bulunmayan halka açık ortaklıklar, 27 nci maddenin birinci fıkrası uyarınca, birincil ve ikincil sistemlerini yurt içinde bulundurmak zorunda deÄŸildir.
(4) Platformlar, bulut hizmet saÄŸlayıcısının yurt içinde temsilciliÄŸinin bulunması koÅŸulu ile müÅŸteri emirlerinin eÅŸleÅŸtiÄŸi ortamlar için yurt dışı bulut hizmeti kullanabilir. Her halükarda, yurt dışı bulut hizmeti saÄŸlayıcı bünyesinde oluÅŸan tüm kayıtlar gün sonunda yurt içindeki sistemlere aktarılır.
(5) Bağımsız denetim kuruluÅŸları tarafından rezerv kanıt denetimi sürecinde kullanılacak araçlar için yurt dışı bulut hizmeti kullanılabilir.
(6) Kurul, bu TebliÄŸ kapsamında belirlenen yükümlülüklere iliÅŸkin olarak muafiyet belirlemeye, bunların kapsamını ve içeriÄŸini Kurum, KuruluÅŸ ve Ortaklıklar bazında deÄŸiÅŸtirmeye yetkilidir.
​​
DiÄŸer hususlar
MADDE 31-
(1) Bu TebliÄŸ hükümleri esas olmak üzere, tezgahüstü türev araç iÅŸlemi gerçekleÅŸtiren aracı kurumların bilgi iÅŸlem altyapılarına iliÅŸkin olarak ilgili Kurul düzenlemelerinde belirlenen ilke ve esaslara uyulur.
(2) Kripto Varlık Hizmet SaÄŸlayıcılar, bu TebliÄŸde yer alan hükümlere ilave olarak Türkiye Bilimsel ve Teknolojik AraÅŸtırma Kurumu’nun Kripto Varlık Hizmet SaÄŸlayıcıların bilgi sistemleri ve teknolojik altyapılarına iliÅŸkin olarak hazırladığı dokümanda yer alan kriterlere uyar.
(3) Kurul, bu TebliÄŸ kapsamında belirlenen süreleri Kurum, KuruluÅŸ ve Ortaklıklar bazında deÄŸiÅŸtirmeye yetkilidir.
(4) Kurul, bu Tebliğ kapsamında bulut hizmet sağlayıcılara ilişkin kriterleri belirlemeye yetkilidir.
​
Yürürlükten kaldırılan tebliÄŸ
MADDE 32-
(1) 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi TebliÄŸi (VII-128.9) yürürlükten kaldırılmıştır.
(2) Mevzuatta, birinci fıkra ile yürürlükten kaldırılan tebliÄŸe yapılan atıflar bu TebliÄŸe yapılmış sayılır.
​​
GeçiÅŸ süresi
GEÇÄ°CÄ° MADDE 1-
(1) Kripto Varlık Hizmet SaÄŸlayıcıların 27 nci maddeye 31/12/2025, 29 uncu maddenin üçüncü fıkrasına 31/12/2026 tarihine kadar uyum saÄŸlaması gerekmektedir.
(2) Kripto Varlık Hizmet SaÄŸlayıcılar haricindeki Kurum, KuruluÅŸ ve Ortaklıkların ise 29 uncu maddenin üçüncü fıkrasına 31/12/2026 tarihine kadar, bu TebliÄŸin diÄŸer hükümlerine ise 31/12/2025 tarihine kadar uyum saÄŸlaması gerekmektedir.
(3) Kripto Varlık Hizmet SaÄŸlayıcılar haricindeki Kurum, KuruluÅŸ ve Ortaklıklar, 31/12/2025 tarihine kadar 32 nci madde ile yürürlükten kaldırılan tebliÄŸ hükümlerine uymakla yükümlüdür.
​
Yürürlük
MADDE 33-
(1) Bu TebliÄŸ 30/6/2025 tarihinde yürürlüÄŸe girer.
​
Yürütme
MADDE 34-
(1) Bu TebliÄŸ hükümlerini Sermaye Piyasası Kurulu yürütür.
EK-1
​
Bilgi Sistemleri Sızma Testleri Usul ve Esasları
1) Amaç:
Sızma testlerinin amacı, Kurum KuruluÅŸ ve Ortaklıkların bilgi sistemlerindeki olası güvenlik açıklarının herhangi bir sızma giriÅŸiminden daha önce tespit edilmesi ve düzeltilmesidir.
2) Kapsam:
Sızma testleri kapsamında gerçekleÅŸtirilecek testler asgari olarak aÅŸağıdaki baÅŸlıkları kapsar:
a. İletişim Altyapısı ve Aktif Cihazlar
b. DNS Servisleri
c. Etki Alanı ve Kullanıcı Bilgisayarları
ç. E-posta Servisleri
d. Veri tabanı Sistemleri
e. Web Uygulamaları
f. Mobil Uygulamalar
g. Kablosuz AÄŸ Sistemleri
ğ. Dağıtık Servis Dışı Bırakma Testleri
h. Sosyal Mühendislik Testleri
ı. Bulut Sistemleri
3) Metodoloji:
Sızma testleri, aÅŸağıda detaylandırılan kullanıcı profilleri ile tanımlanan eriÅŸim noktalarından gerçekleÅŸtirilecek testlerden oluÅŸur. Testler, sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması adımları ile baÅŸlar ve her bir eriÅŸim noktası kapsamında uygulanacak adımlar ile devam eder. Sızma testleri gerçekleÅŸtirilirken, bir önceki sızma testinde tespit edilen ve aksiyon alınması planlanan bulguların giderilip giderilmediÄŸine yönelik doÄŸrulama testleri de yapılır ve buna iliÅŸkin tespitlere sızma testi raporunda ayrı bir baÅŸlık altında yer verilir. Sızma testleri gerçekleÅŸtirilirken, Kurum, KuruluÅŸ ve Ortaklıklar faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler Kurum, KuruluÅŸ ve Ortaklıklar ile koordineli bir ÅŸekilde planlanarak gerçekleÅŸtirilir. Sızma testleri sonrası saptanan açıklık ve bulgular, Kapsam bölümünde belirtilen ve iliÅŸkili olduÄŸu her bir baÅŸlık altında ayrıntılı olarak incelenerek raporlanır. Raporda kapsam bölümünde belirtilen her bir baÅŸlığa yer verilir. Sızma testleri sürecinde her bir test baÅŸlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı deÄŸerlendirilmenin yanında, bir araya geldiklerinde oluÅŸturabilecekleri riskler ve açıklıklar açısından da deÄŸerlendirilir. Söz konusu deÄŸerlendirmenin yapıldığına iliÅŸkin bilgi ve birlikte deÄŸerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporda yer alır. Bulgular, “Bulgu Önem Dereceleri” bölümünde yer verilen dereceler kullanılarak “Bulgu Formatı” bölümünde tariflenen formata uygun olacak ÅŸekilde sunulur. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın deÄŸeri dikkate alınmaz. Varlık deÄŸerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak Kurum, KuruluÅŸ ve Ortaklıkların sorumluluÄŸundadır. Sızma testi raporunda; raporun nihai tarihinin yazılı olması, sızma testini gerçekleÅŸtiren test ekibine iliÅŸkin ad-soyad ve iletiÅŸim bilgilerinin de yer alması gerekir. Bununla birlikte sızma testini gerçekleÅŸtiren gerçek veya tüzel kiÅŸilere ait sızma testi konusunda ulusal veya uluslararası belgelere sızma testi raporu ekinde yer verilir.
a. Testlerin GerçekleÅŸtirileceÄŸi EriÅŸim Noktaları
​
Sızma testlerinin gerçekleÅŸtirileceÄŸi asgari eriÅŸim noktaları aÅŸağıda tanımlanmaktadır. Bu noktalardan sisteme eriÅŸildikten sonra, sızma testleri gerçekleÅŸtirilir.
​
i. Ä°nternet: Kurum, KuruluÅŸ ve Ortaklıkların Ä°nternet üzerinden eriÅŸilebilen tüm sunucu ve servislerine Ä°nternet üzerinden eriÅŸilerek sızma testleri gerçekleÅŸtirilir ve devamında ve detaylı sızma testleri uygulanır.
ii. Kurum, KuruluÅŸ ve Ortaklıklar iç ağı: Kurum, KuruluÅŸ ve Ortaklıkların iç ağında yer alan ve test kapsamında ele alınan sunuculara Kurum, KuruluÅŸ ve Ortaklıklar iç ağı üzerinden eriÅŸilerek sızma testleri gerçekleÅŸtirilir. AÄŸ ve aÄŸ trafiÄŸi üzerinde gerçekleÅŸtirilecek testler için de bu aÄŸ kullanılır ve testi gerçekleÅŸtirecek ÅŸahıslara kullanımı en yaygın olan personel bilgisayarı profilinde bilgisayarlar saÄŸlanır.
b. Testlerin GerçekleÅŸtirileceÄŸi Kullanıcı Profilleri
Sızma testlerinin saÄŸlıklı bir ÅŸekilde gerçekleÅŸtirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan eriÅŸim noktalarına bu ortamların doÄŸasına uyacak ÅŸekilde aÅŸağıdaki kullanıcı profilleri ile sızma testleri gerçekleÅŸtirilir.
​
i. Anonim kullanıcı profili: Ä°nternet üzerinden, Kurum, KuruluÅŸ ve Ortaklıkların web servislerine eriÅŸebilen ancak web uygulamalarına giriÅŸ yetkilerine sahip olmayan kullanıcıyı temsil eder. Kurum, KuruluÅŸ ve Ortaklıklara ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili güvenlik açıklarını bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır.
ii. Kurum, KuruluÅŸ ve Ortaklıklar müÅŸterisi profili: Ä°nternet üzerinden, Kurum, KuruluÅŸ ve Ortaklıklar’ın web servislerine eriÅŸebilen ve web uygulamalarına giriÅŸ yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. Ä°nternet üzerinde Kurum, KuruluÅŸ ve Ortaklıklara ait web uygulamalarının üyesi olan kullanıcıların sistem için oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili güvenlik açıklarını bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır.
iii. Kurum, KuruluÅŸ ve Ortaklıklar personel profili: Kurum, KuruluÅŸ ve Ortaklıklar personelinin çalışma ortamını kullanarak sahip olduÄŸu yetkiler ile sistemde oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili güvenlik açıklarını bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır. Kurum, KuruluÅŸ ve Ortaklıklar personeli profili ile gerçekleÅŸtirilecek testlerde, Kurum, KuruluÅŸ ve Ortaklıklarda çapında en yaygın olarak kullanılan personel profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip personel profilleri ile de sızma testleri gerçekleÅŸtirilir. Kurum, KuruluÅŸ ve Ortaklıklar personel profili ile yapılan testlerde, testi yapan kiÅŸi/kuruluÅŸa Kurum, KuruluÅŸ ve Ortaklıklar tarafından tanımlanan eriÅŸim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir.
iv. DiÄŸer kullanıcı profilleri: Sızma testlerinin, yukarıda tanımlanan diÄŸer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleÅŸtirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu baÅŸlık altında açıkça ifade edilir.
c. Sistem Tespiti, Servis Tespiti ve Açıklık Taraması
​
Sızma testleri aÅŸağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması adımları ile baÅŸlar. Sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması tüm bilgi sistemi varlıklarına uygulanır.
​
i. Sistem tespiti: Sunucu veya aktif/pasif aÄŸ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.
ii. Servis tespiti: Kurum, KuruluÅŸ ve Ortaklıklar bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleÅŸtirildiÄŸi ve dış dünyaya/genel eriÅŸime açık olan portların sunduÄŸu servislerin tespit edilmeye çalışıldığı adımdır.
iii. Açıklık taraması/araÅŸtırması: Kurum, KuruluÅŸ ve Ortaklıkların bileÅŸenleri ve bu bileÅŸenlerin sunduÄŸu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veri tabanları gibi kaynaklar kullanılarak bu açıklıkların bileÅŸenlere ve bileÅŸenlerin etkileÅŸimde olduÄŸu sistemlere güvenlik açısından etkileri araÅŸtırılır.
d. Sızma Testleri
​
i. Ä°nternet üzerinden gerçekleÅŸtirilecek temel sızma testleri: Kurum, KuruluÅŸ ve Ortaklıklar ağından bağımsız bir konumdan, Kurum, KuruluÅŸ ve Ortaklıklar’ın internet üzerinde sahip olduÄŸu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleÅŸtirilir.
ii. Kurum, KuruluÅŸ ve Ortaklıklar iç ağından gerçekleÅŸtirilecek sızma testleri: Kurum, KuruluÅŸ ve Ortaklıkların iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aÅŸağıdaki faaliyetlerin gerçekleÅŸtirilmesi saÄŸlanır:
-
Kurum yerel ağ haritası tespiti
-
Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleÅŸtirilmesi
-
Yerel alan ağı içerisinde güvenlik açığı taraması yapılması
-
Kurum yerel ağında araya girme teknikleri ile hassasiyet derecesi yüksek bilgilerin elde edilmeye çalışılması
-
Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleÅŸtirilmesi
-
Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması
​
4) Sızma Testi Sonuçlarının Takibi
Kurum, KuruluÅŸ ve Ortaklıklar, sızma testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluÅŸturabilecekleri riskleri, tespit edildiÄŸi varlıkların deÄŸerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, Kurum, KuruluÅŸ ve Ortaklıklar yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı çerçevesinde takip eder. Sızma testi raporunda “Acil” ve “Kritik” olarak derecelendirilen bulgular ivedilikle kapatılır. Sızma testleri sonucu ortaya çıkan tespitler, gerekli görülmesi halinde Kurum, KuruluÅŸ ve Ortaklıkların iç denetim planına da dâhil edilir. Aksiyon planı ve kabulüne iliÅŸkin yönetim kurulu kararı sızma testi raporuna eklenir.
Bulgu Önem Dereceleri
Bulgu önem dereceleri beÅŸ kategoride ele alınır. Acil, kritik, yüksek, orta ve düÅŸük ÅŸeklinde olan bu kategorilere iliÅŸkin açıklamalar aÅŸağıda yer almaktadır:
Önem Derecesi / Açıklama
Acil: Niteliksiz saldırgan tarafından Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Kritik: Nitelikli saldırgan tarafından Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Yüksek: Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel aÄŸdan ya da sunucu üzerinden gerçekleÅŸtirilen ve hak yükseltmeyi saÄŸlayan saldırılara sebep olan açıklıklardır.
Orta: Yerel aÄŸdan veya sunucu üzerinden gerçekleÅŸtirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır.
DüÅŸük: Etkilerinin tam olarak belirlenemediÄŸi ve literatürdeki en iyi sıkılaÅŸtırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir.
Bulgu Formatı
Kapsam bölümünde belirtilen baÅŸlıkların her biri altında raporlanacak bulguların sunuluÅŸ biçimi aÅŸağıda yer almaktadır:
​
Bulgu Referans No / Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi
Bulgu Adı: Bulguyu özet olarak ifade eden tanımlayıcı isim
Önem Derecesi: Bulgunun, EK-1’de yer verilen önem derecesi
Etkisi: Bulguda yer verilen açıklığın/eksikliÄŸin kötüye kullanılması durumunda oluÅŸabilecek potansiyel sonuç
EriÅŸim Noktası: “3.a Testlerin GerçekleÅŸtirileceÄŸi EriÅŸim Noktaları” bölümünde yer verilen testin gerçekleÅŸtirildiÄŸi eriÅŸim noktası
Kullanıcı Profili: “3.b Testlerin GerçekleÅŸtirileceÄŸi Kullanıcı Profilleri” bölümünde yer verilen testin gerçekleÅŸtirildiÄŸi kullanıcı profili
Bulgunun Tespit Edildiği Bileşen/Bileşenler: Bulgunun tespit edildiği bileşeni niteleyen IP Numarası, URL,
Sistem, Servis, Sunucu veya Varlık adı gibi bilgiler
Bulgu Açıklaması: Bulgunun detaylı açıklaması
Çözüm Önerisi: Bulgunun giderilmesi için testi gerçekleÅŸtiren kuruluÅŸ tarafından sunulacak çözüm önerisi
​​