top of page

BÄ°LGÄ° SÄ°STEMLERÄ° YÖNETÄ°MÄ° TEBLİĞİ
 
(VII-128.9)
 
(05/1/2018 tarihli ve 30292 sayılı Resmi Gazete’de yayımlanmıştır.)
 

TebliÄŸ DeÄŸiÅŸikliklerine Ä°liÅŸkin Liste:

1)      9/1/2020 tarihli ve 31003 sayılı Resmi Gazete’de Bilgi Sistemleri Yönetimi TebliÄŸi (VII-128.9)’nde DeÄŸiÅŸiklik Yapılmasına Dair TebliÄŸ (VII-128.9.a) yayımlanmıştır.

​

BÄ°RÄ°NCÄ° BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

​

Amaç
MADDE 1 –

(1) Bu TebliÄŸin amacı, 2 nci maddede sayılan Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerinin yönetimine iliÅŸkin usul ve esasları belirlemektir.

 

Kapsam
MADDE 2 –

(1) AÅŸağıdaki Kurum, KuruluÅŸ ve Ortaklıklar, bu TebliÄŸ hükümlerine uymakla yükümlüdürler:

a) Borsa Ä°stanbul A.Åž.,
b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,
c) Emeklilik yatırım fonları,
ç) Ä°stanbul Takas ve Saklama Bankası A.Åž.,
d) Merkezi Kayıt Kuruluşu A.Ş.,
e) Portföy saklayıcısı kuruluÅŸlar,
f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,
g) Sermaye piyasası kurumları,
ÄŸ) Halka açık ortaklıklar,
h) Türkiye Sermaye Piyasaları BirliÄŸi,
ı) Türkiye DeÄŸerleme Uzmanları BirliÄŸi.

(2) Birinci fıkrada sayılan Kurum, KuruluÅŸ ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta ÅŸirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Åžirketleri Kanunu uyarınca finansal kiralama, faktoring ve finansman ÅŸirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu TebliÄŸde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.


Dayanak
MADDE 3 –

(1) Bu Tebliğ, 6362 sayılı Kanunun 128 inci maddesinin birinci fıkrasının (h) bendine dayanılarak hazırlanmıştır.
 

Tanımlar ve kısaltmalar

MADDE 4 –

(1) Bu TebliÄŸde geçen,

a) Birincil sistemler: Kurum, KuruluÅŸ ve Ortaklıkların Kanundan ve Kanuna iliÅŸkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiÄŸi an eriÅŸime imkan saÄŸlayacak ÅŸekilde kaydedilmesini ve kullanılmasını saÄŸlayan altyapı, donanım, yazılım ve veriden oluÅŸan sistemin tamamını,
b) Bütünlük: Bilginin doÄŸruluÄŸu ve tamlığını koruma özelliÄŸini,
c) Denetim izi: Finansal ya da operasyonel iÅŸlemler ile bilgi güvenliÄŸi ihlal olaylarının  baÅŸlangıcından bitimine kadar adım adım takip edilmesini saÄŸlayacak kayıtlar ile bu kayıtlar üzerinde yapılan iÅŸlemleri gösteren kayıtları,            
ç) Düzeltici faaliyet: Bilgi sistemlerinde yaÅŸanan herhangi bir acil durum, hata, arıza veya kötüye kullanım sonrasında olayın etkilerini azaltmak için yerine getirilen faaliyeti,
d) EriÅŸilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiÄŸinde eriÅŸilebilir ve kullanılabilir olma özelliÄŸini,
e) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
f) Güvenli alan: Bilgi iÅŸleme, iletiÅŸim ve depolama donanımlarını barındıran alanı,
g) Ä°kincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iÅŸ sürekliliÄŸi planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna iliÅŸkin alt düzenlemelerde Kurum, KuruluÅŸ ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiÄŸi an eriÅŸilmesini saÄŸlayan birincil sistem yedeklerini,
ğ) Kanun: 6362 sayılı Kanunu,
h) Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleÅŸtirilen ve iÅŸ hedeflerinin gerçekleÅŸtirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve düzeltilmesine iliÅŸkin yeterli derecede güvenceyi oluÅŸturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
ı) Kurul: Sermaye Piyasası Kurulunu,
i) Kurum, Kuruluş ve Ortaklıklar: 2 nci maddede sayılan kurum, kuruluş ve ortaklıkları,
j) Politika: Kurum, KuruluÅŸ ve Ortaklıkların hedef ve ilkelerini ortaya koyan ve üst yönetimi tarafından onaylanmış dokümanı,
k) Prosedür: Süreçlere iliÅŸkin iÅŸlem ve eylemleri tanımlayan dokümanı,
l) Sermaye piyasası kurumları: Kanunun 35 inci maddesinde sayılan kurumları,
m) Süreç: Bir iÅŸin yapılış ve üretiliÅŸ biçimini oluÅŸturan sürekli iÅŸlem ve eylemleri,
n) Üçüncü taraf: Kurum, KuruluÅŸ ve Ortaklıklar ile müÅŸteriler dışında kalan gerçek veya tüzel kiÅŸileri,
o) Üst yönetim: Yönetim kurulu tarafından belirlenen kiÅŸi ya da grubu, yönetim kurulu tarafından belirleme yapılmadığı durumlarda ise Kurum, KuruluÅŸ ve Ortaklıkların en üst yetkilisini,

ifade eder.

Ä°KÄ°NCÄ° BÖLÜM
Bilgi Sistemlerinin Yönetilmesi
 

Bilgi sistemleri yönetiminin oluÅŸturulması ve hayata geçirilmesi
MADDE 5 –

(1) Bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir parçası olarak ele alınır. Kurum, KuruluÅŸ ve Ortaklıkların operasyonlarını istikrarlı, rekabetçi, geliÅŸen ve güvenli bir çizgide sürdürebilmesi için bilgi sistemlerine iliÅŸkin stratejilerinin iÅŸ hedefleri ile uyumlu olması saÄŸlanır, bilgi sistemleri yönetimine iliÅŸkin unsurlar yönetsel hiyerarÅŸi içerisinde yer alır ve bilgi sistemlerinin güvenlik, performans, etkinlik, doÄŸruluk ve sürekliliÄŸini hedefleyerek doÄŸru yönetimi için gerekli finansman ve insan kaynağı tahsis edilir.
(2) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerinin yönetimine iliÅŸkin politikaları, süreçleri ve prosedürleri tesis eder, düzenli olarak gözden geçirerek iÅŸ alanında gerçekleÅŸen deÄŸiÅŸiklikler veya teknolojik geliÅŸmeler doÄŸrultusunda güncelliÄŸini ve ilgili tüm birimlere duyurulmasını saÄŸlar.


Bilgi güvenliÄŸi politikası
MADDE 6 –

(1) Bilgi sistemlerinin kurulması, iÅŸletilmesi, yönetilmesi ve kullanılmasına iliÅŸkin; bilginin gizliliÄŸinin, bütünlüÄŸünün ve gerektiÄŸinde eriÅŸilebilir olmasının saÄŸlanmasına yönelik olarak bilgi güvenliÄŸi politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliÄŸi politikası personele duyurulur. Bu politika, bilgi güvenliÄŸi süreçlerinin iÅŸletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine iliÅŸkin risklerin yönetilmesine dair süreçlerin oluÅŸturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.


Üst yönetimin gözetimi ve sorumluluÄŸu
MADDE 7 –

(1) Bilgi güvenliÄŸi politikasının uygulanması üst yönetim tarafından gözetilir. Bilgi güvenliÄŸi politikası kapsamında bilgi sistemleri üzerinde etkin ve yeterli kontrollerin tesis edilmesi yönetim kurulunun sorumluluÄŸundadır.
(2) Yeni bilgi sistemlerinin kullanıma alınmasına iliÅŸkin kritik projeler üst yönetim tarafından gözden geçirilir ve bunlara iliÅŸkin risklerin yönetilebilirliÄŸi göz önünde bulundurularak onaylanır. Kritik projelerin Kurum, KuruluÅŸ ve Ortaklıkların iç kaynaklarıyla veya dış kaynak yoluyla alınan hizmetlerle gerçekleÅŸtirilmesine bakılmaksızın personel uzmanlığının, projelerin teknik gereksinimlerini karşılayabilecek nitelikte olması esastır. Bu yapıyı desteklemek üzere oluÅŸturulacak yönetsel rol ve sorumluluklar açıkça belirlenir.
(3) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi, bilgi güvenliÄŸi önlemlerinin uygun düzeye getirilmesi hususunda gereken kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis eder. Üst yönetim, asgari olarak aÅŸağıdaki faaliyetlerin yerine getirilmesini temin edecek mekanizmaları kurar:

a) Bilgi güvenliÄŸi politikalarının ve tüm sorumlulukların her yıl gözden geçirilmesi ve onaylanması,
b) Bilgi sistemlerine ve süreçlerine iliÅŸkin potansiyel risklerin etkileriyle birlikte tespit edilmesi ve bu çerçevede söz konusu risklerin azaltılmasına yönelik faaliyetlerin tanımlanmasını içeren risk yönetiminin gerçekleÅŸtirilmesi,
c) Bilgi güvenliÄŸi ihlallerine iliÅŸkin olayların izlenmesi ve her yıl deÄŸerlendirilmesi,
ç) Tüm çalışanların bilgi güvenliÄŸi farkındalığını artırmaya yönelik çalışmaların yapılması ve eÄŸitimlerin verilmesi.

(4) Bilgi sistemlerine iliÅŸkin risklerin yönetimi amacıyla tesis edilen süreç ve prosedürler, Kurum, KuruluÅŸ ve Ortaklıkların organizasyonel ve yönetsel yapıları içerisinde fiili olarak iÅŸleyecek ÅŸekilde yerleÅŸtirilir ve iÅŸlerliÄŸine iliÅŸkin gözetim ve takipler gerçekleÅŸtirilir.
(5) Bilgi sistemleri güvenliÄŸine iliÅŸkin süreç ve prosedürlerin gereklerinin yerine getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliÄŸiyle ilgili riskler ve bu risklerin yönetilmesi hususunda üst yönetime rapor veren ve yeterli teknik bilgi ve tecrübeye sahip bir bilgi sistemleri güvenliÄŸi sorumlusu belirlenir.
(6) Risk önceliklerine göre tüm kritik iÅŸ süreçlerinin sürekliliÄŸini saÄŸlamak için iÅŸ sürekliliÄŸi planı hazırlanır. Planda kritik iÅŸ süreçlerine iliÅŸkin kabul edilebilir kesinti süreleri ile kabul edilebilir azami veri kaybı belirlenir.
 

Bilgi sistemleri risk yönetimi
MADDE 8 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar bilgi sistemlerine iliÅŸkin riskleri ölçmek, izlemek, iÅŸlemek ve raporlamak üzere risk yönetimi süreç ve prosedürlerini tesis eder ve güncelliÄŸini saÄŸlar.
(2) Bilgi sistemlerine iliÅŸkin risklerin yönetilmesinde asgari olarak aÅŸağıdaki hususlar deÄŸerlendirmeye katılır:

a) Bilgi teknolojilerindeki hızlı geliÅŸmeler sebebiyle rekabetçi ortamda geliÅŸmelere uymamanın olumsuz sonuçları, geliÅŸmelere uyma konusundaki zorluklar ve yasal mevzuatın deÄŸiÅŸebilmesi,
b) Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli iÅŸlemlere zemin hazırlayabilmesi,
c) Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,
ç) Ä°ÅŸ ve hizmetlerin önemli oranda bilgi sistemlerine baÄŸlı hale gelmesi,
d) Bilgi sistemleri üzerinden gerçekleÅŸtirilen iÅŸlemlerin, verilerin ve denetim izlerine iliÅŸkin tutulan kayıtların güvenliÄŸinin saÄŸlanmasının zorlaÅŸması.

(3) Bilgi sistemlerine iliÅŸkin risk analizi yapılır. Yılda en az bir defa veya bilgi sistemlerinde meydana gelebilecek önemli deÄŸiÅŸikliklerde tekrarlanır.
(4) Bilgi sistemlerinin teknik açıklarına iliÅŸkin bilgi, zamanında elde edilir ve kuruluÅŸun bu tür açıklara karşı zafiyeti deÄŸerlendirilerek, riskin ele alınması için uygun tedbirler alınır.
(5) Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemleri, bilgi güvenliÄŸi gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kiÅŸiler tarafından en az yılda bir kez sızma testine tabi tutulur.  [Bknz: Kurulun i-SPK.128.17 (14/07/2021 tarih ve 37/1119 s.k.) sayılı ilke kararı]  [Bknz: Aracılık Faaliyetleri Dairesi BaÅŸkanlığı'nın 27.07.2021 tarih ve 9021 sayılı yazısı]   [Bknz: Kurulun i-SPK 128.20 (21/03/2023 tarihli ve 17/352 s.k.) sayılı ilke kararı]

(6) Sızma testinde bu Tebliğin 1 numaralı ekinde yer alan usul ve esaslar uygulanır.

ÜÇÜNCÜ BÖLÜM
Bilgi Sistemleri Kontrollerine Ä°liÅŸkin Esaslar


Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi
MADDE 9 –

(1) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi, bilgi güvenliÄŸi politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiÄŸinden emin olmak için, bilgi sistemlerinin ve üzerinde iÅŸlenmek, iletilmek, depolanmak üzere bulunan verilerin gizlilik, bütünlük ve eriÅŸilebilirliklerini saÄŸlayacak önlemlere iliÅŸkin kontrollerin geliÅŸtirilmesini, iÅŸletilmesini, güncelliÄŸini saÄŸlar ve gerekli yönetsel sorumlulukları tanımlar.
(2) Bilgi sistemleri kontrolleri kapsamında asgari olarak aşağıdaki hususlar dikkate alınır:

a) Her kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir ÅŸekilde tanımlanması,
b) Kontrol süreçlerinin periyodik biçimde tanımlanması,
c) Her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olması.

(3) Bilgi sistemleri kontrollerine iliÅŸkin etkinlik, yeterlilik ve uygunluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir ÅŸekilde takip edilir ve deÄŸerlendirilir. DeÄŸerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime raporlanır ve gerekli önlemlerin alınması saÄŸlanır.
 

Varlık yönetimi
MADDE 10 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, sahip oldukları bilgi varlıklarını ve bu varlıkların sorumlularını belirler, bu varlıkların envanterini oluÅŸturur ve envanterin güncelliÄŸini saÄŸlar.
(2) Bilgi varlıkları önem derecelerine göre sınıflandırılır.
(3) Taşınabilir ortamlar, içerdiÄŸi bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere eriÅŸim saÄŸlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın kurum dışına çıkarılmaz.
(4) Depolama ortamları elden çıkarılmadan önce üzerinde kuruluÅŸa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır.
(5) Temiz masa ve temiz ekran ilkeleri benimsenir.
 

Görevler ayrılığı prensibi
MADDE 11 –

(1) Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Sistem, veri tabanı ve uygulamaların geliÅŸtirilmesinde, test edilmesinde ve iÅŸletilmesinde görevler ayrılığı prensibi uygulanır. Görev ve sorumluluklar belirli aralıklarla gözden geçirilir ve güncelliÄŸi saÄŸlanır.
(2) Bilgi sistemleri süreçleri tasarlanırken kritik iÅŸlemlerin tek bir personele veya dış kaynak hizmeti sunan kuruluÅŸa bağımlı olmaması göz önünde bulundurulur.
(3) Görevlerin tam ve uygun ÅŸekilde ayrılmasının mümkün olmadığı durumlarda oluÅŸabilecek hata, eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi edici kontroller tesis edilir.


Fiziksel ve çevresel güvenlik
MADDE 12 –

(1) Fiziksel eriÅŸimin yalnızca yetkilendirilmiÅŸ kiÅŸilerce yapılmasını saÄŸlamak amacıyla, güvenli alanlar gerekli giriÅŸ kontrolleriyle korunur.
(2) Güvenli alanlara giriÅŸ ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir.
(3) Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.


AÄŸ güvenliÄŸi
MADDE 13 –

(1) AÄŸların tehditlere karşı korunması ve aÄŸları kullanan sistem, veri tabanı ve uygulamaların güvenliÄŸinin saÄŸlanması için kontroller tesis edilir ve etkin bir ÅŸekilde yönetilir.
(2) İletişim altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.
(3) Mobil cihazların aÄŸ eriÅŸimine iliÅŸkin risklere yönelik güvenlik önlemleri alınır ve uygulanır.
(4) Bilgi sistemleri altyapısına yönelik yetkisiz eriÅŸimler engellenir ve gözetim süreçleri tesis edilir.
(5) Yüksek riskli uygulamaların güvenlik düzeyini artırmak için baÄŸlantı süreleri ile ilgili kısıtlamalar kullanılır.
(6) Ä°ç kaynak yoluyla saÄŸlanan veya dış kaynak kullanımı yoluyla alınan her türlü aÄŸ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaÅŸmalarına dâhil edilir.
(7) Uzaktan eriÅŸim saÄŸlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır. Bu kapsamda belirli konumlardan ve ekipmanlardan gelen baÄŸlantıları yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.
(8) Kurumsal aÄŸ dışındaki aÄŸlarla olan iletiÅŸimde, dış aÄŸlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.
(9) Ä°ç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak, denetimli geçiÅŸi temin eden kontroller tesis edilir.


Kimlik doÄŸrulama
MADDE 14 –

(1) Bilgi sistemleri üzerinden gerçekleÅŸen iÅŸlemler için, risk deÄŸerlendirmesi sonucuna uygun kimlik doÄŸrulama yöntemi belirlenir. Yöntem tercih edilirken, bilgi sistemleri üzerinden gerçekleÅŸtirilmesi planlanan iÅŸlemlerin niteliÄŸi, doÄŸurabileceÄŸi finansal veya finansal olmayan etkilerinin büyüklüÄŸü, iÅŸleme konu verinin, hassasiyeti ve kimlik doÄŸrulama yönteminin kullanım kolaylığı göz önünde bulundurulur.
(2) Kimlik doÄŸrulama yöntemi, müÅŸterilerin ve personelin bilgi sistemlerine dâhil olmalarından, iÅŸlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak ÅŸekilde uygulanır. Kimlik doÄŸrulama bilgisinin oturumun başından sonuna kadar doÄŸru olmasını garanti edecek gerekli önlemler alınır. Parola kullanımı gerektiren kimlik doÄŸrulama yöntemlerinde, parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta olması saÄŸlanır.
(3) Kullanılan kimlik doÄŸrulama verilerinin tutulduÄŸu ortamların ve bu amaçla kullanılan araçların güvenliÄŸini saÄŸlamaya yönelik gerekli önlemler alınır. Bu önlemler asgari olarak kimlik doÄŸrulama verilerinin ÅŸifreli olarak saklanması, bu veriler üzerinde yapılacak her türlü deÄŸiÅŸikliÄŸi algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve güvenliÄŸinin saÄŸlanması hususlarını içerir. Kimlik doÄŸrulama verilerinin aktarımı sırasında gizliliÄŸinin saÄŸlanmasına yönelik önlemler alınır.
 

Yetkilendirme
MADDE 15 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerine eriÅŸim için uygun bir yetkilendirme ve eriÅŸim kontrolü tesis eder. Yetkilendirme düzeyi ve eriÅŸim haklarının atanmasında görev ve sorumluluklar göz önünde bulundurularak, gerekli olacak en düÅŸük yetkinin atanması ve en kısıtlı eriÅŸim hakkının verilmesi yaklaşımı esas alınır. Atanacak yetkiler ve sorumluluklar görevler ayrılığı ilkesi ile tutarlı olur.
(2) Tüm yetkiler ve eriÅŸim hakları her yıl güncel durumla uyumlulukları açısından deÄŸerlendirilmeye tabi tutulur.
(3) Yetkilendirme verilerinin güvenliÄŸi saÄŸlanır ve bu veriler üzerinde yapılacak her türlü deÄŸiÅŸikliÄŸi algılayacak sistemler kurulur. Yetkilendirme verilerinin tutulduÄŸu ortamlara yetkisiz eriÅŸim teÅŸebbüsleri kayıt altına alınır ve düzenli olarak gözden geçirilir.
(4) Ä°stihdamın sonlanması durumunda, ilgili tüm yetkilendirmeler ivedilikle iptal edilir.
 

Ä°ÅŸlemlerin, kayıtların ve verilerin bütünlüÄŸü
MADDE 16 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri üzerinden gerçekleÅŸen iÅŸlemlerin, kayıtların ve verilerin bütünlüÄŸünün saÄŸlanmasına yönelik gerekli önlemleri alır. BütünlüÄŸü saÄŸlamaya yönelik önlemler verinin iletimi, iÅŸlenmesi ve saklanması aÅŸamalarının tamamını kapsayacak ÅŸekilde tesis edilir. Bilgi sistemlerine iliÅŸkin dış kaynak hizmeti alınan kuruluÅŸlar nezdinde gerçekleÅŸen iÅŸlemler için de aynı yaklaşım gösterilir.
(2) Kritik işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak teknikler kullanılır.
 

Veri gizliliÄŸi
MADDE 17 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleÅŸen iÅŸlemlerin ve bu iÅŸlemler kapsamında iletilen, iÅŸlenen ve saklanan verilerin gizliliÄŸini saÄŸlayacak önlemleri alır. GizliliÄŸi saÄŸlamak üzere yapılacak çalışmalar asgari olarak aÅŸağıda belirtilen hususları içerir:

a) Bilgi sistemleri yapısı ile iÅŸ ve iÅŸlem çeÅŸitliliÄŸi göz önünde bulundurularak verilerin önem derecesine uygun önlemlerin alınması,
b) Verilere eriÅŸim haklarının kiÅŸilerin görev ve sorumlulukları çerçevesinde belirlenmesi, eriÅŸimlerin kayıt altına alınması, bu kayıtların yetkisiz eriÅŸim ve müdahalelere karşı korunması,
c) Veri gizliliÄŸini saÄŸlamada ÅŸifreleme tekniklerinin kullanılması durumunda, güvenilirliÄŸi ve saÄŸlamlığı ispatlanmış algoritmaların kullanılması; geçerliliÄŸini yitirmiÅŸ, çalınmış veya kırılmış ÅŸifreleme anahtarlarının kullanılmasının engellenmesi, verinin ve operasyonun önem düzeyine göre anahtarların deÄŸiÅŸtirilme sıklıklarının belirlenmesi.

(2) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleÅŸen iÅŸlemlere iliÅŸkin iletilen, iÅŸlenen ve saklanan önem derecesi yüksek verilerin kasten veya yanlışlıkla kurum dışına sızmasını önlemeye yönelik olarak gerekli önlemleri alır.
 

Bilgi sistemlerine iliÅŸkin dış kaynak yoluyla alınan hizmetlerin yönetimi
MADDE 18 –

(1) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi tarafından, bilgi sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doÄŸuracağı risklerin yeterli düzeyde deÄŸerlendirilmesine, yönetilmesine ve dış kaynak yoluyla alınan hizmeti saÄŸlayan kuruluÅŸlarla iliÅŸkilerin etkin bir ÅŸekilde yürütülebilmesine olanak saÄŸlayacak bir gözetim mekanizması tesis edilir. Tesis edilecek gözetim mekanizması asgari olarak aÅŸağıda belirtilen hususları içerir:

a) Dış kaynak yoluyla alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve süreçlerin Kurum, KuruluÅŸ ve Ortaklıkların kendi risk yönetimi, güvenlik, gizlilik ve müÅŸteri gizliliÄŸine iliÅŸkin ilkelerine uygun olması,
b) Kurum, KuruluÅŸ ve Ortaklıkların verilerinin dış kaynak yoluyla alınan bilgi sistemleri hizmeti saÄŸlayan kuruluÅŸa aktarılmasının gerekli olduÄŸu durumlarda, söz konusu kuruluÅŸun bilgi güvenliÄŸi konusundaki ilke ve uygulamalarının en az Kurum, KuruluÅŸ ve Ortaklıkların uyguladığı düzeyde olması,
c) Dış kaynak yoluyla alınan bilgi sistemleri hizmetine iliÅŸkin hususların Kurum, KuruluÅŸ ve Ortaklıkların iÅŸ sürekliliÄŸi göz önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması,
ç) Dış kaynak yoluyla alınan bilgi sistemleri hizmetlerinde ölçme, deÄŸerlendirme, raporlama ve güvenlik fonksiyonlarında nihai sorumluluÄŸun Kurum, KuruluÅŸ ve Ortaklıklarda olması,
d) Dış kaynak yoluyla alınan hizmetin, Kurum, KuruluÅŸ ve Ortaklıkların yasal yükümlülüklerini yerine getirmelerini ve etkin biçimde denetlenmelerini engelleyici nitelikte olmaması,
e) Kurum, KuruluÅŸ ve Ortaklıkların önem arz eden konulara iliÅŸkin dış kaynak hizmeti aldıkları kuruluÅŸlarla sözleÅŸme imzalamadan önce ilgili kuruluÅŸ bünyesinde dış kaynak hizmetini istenilen kalitede gerçekleÅŸtirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı hususlarını da dikkate alacak ÅŸekilde inceleme ve deÄŸerlendirme çalışması yapmaları ve bu çalışma sonucunda hazırlanacak teknik yeterlilik raporunun üst yönetime sunulması.

(2) Dış kaynak kullanımına iliÅŸkin koÅŸul, kapsam ve her türlü diÄŸer tanımlama, dış kaynak yoluyla alınan hizmeti saÄŸlayan kuruluÅŸça da imzalanmış olacak ÅŸekilde sözleÅŸmeye baÄŸlanır. SözleÅŸme, asgari olarak aÅŸağıdaki hususları içerir:

a) Hizmet seviyelerine ilişkin tanımlamalar,
b) Hizmetin sonlandırılmasına ilişkin koşullar,
c) Hizmetin, beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda uygulanacak yaptırımlar,
ç) Kurum, KuruluÅŸ ve Ortaklıkların bilgi güvenliÄŸi politikası dâhilinde önem arz eden konulara iliÅŸkin gereklilikler,
d) SözleÅŸme kapsamında üretilecek ürün bulunması halinde, ürünün sahipliÄŸi ile fikri ve sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler,
e) SözleÅŸmede dış kaynak yoluyla alınan hizmeti saÄŸlayan kuruluÅŸlar için yükümlülük teÅŸkil eden hükümlerin, alt yüklenici kuruluÅŸlar ile yapılacak olan sözleÅŸmelerde de baÄŸlayıcı maddeler olarak yer almasını saÄŸlayacak hükümler,
f) Hizmet saÄŸlayıcı kuruluÅŸun, sermaye piyasası mevzuatı kapsamında Kurul tarafından talep edilecek bilgileri istenen zamanda ve nitelikte saÄŸlamasına iliÅŸkin yükümlülüÄŸü ve Kurul’un sözleÅŸme kapsamında sunulan hizmet ile ilgili olarak hizmet saÄŸlayıcı bünyesindeki gerekli gördüÄŸü her türlü bilgi, belge ve kayda eriÅŸim hakkı.

(3) Dış kaynak yoluyla alınan hizmeti saÄŸlayan kuruluÅŸlara verilen eriÅŸim hakları özel olarak deÄŸerlendirilir. Fiziksel veya mantıksal olabilecek bu eriÅŸimler için risk deÄŸerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk deÄŸerlendirmesi yapılırken ihtiyaç duyulan eriÅŸim türü, eriÅŸilecek verinin önemi ile eriÅŸimin bilgi güvenliÄŸi üzerindeki etkileri dikkate alınır. Alınan hizmetin sonlanması durumunda ilgili tüm eriÅŸim hakları iptal edilir.
(4) Kurum, KuruluÅŸ ve Ortaklıkların üst yönetimi, dış kaynak yoluyla gerçekleÅŸtirilen hizmetler için hizmetin eriÅŸilebilirliÄŸini, performansını, kalitesini, bu hizmet kapsamında gerçekleÅŸen güvenlik ihlali olayları ile dış kaynak yoluyla hizmet saÄŸlayan kuruluÅŸun güvenlik kontrollerini, finansal koÅŸullarını ve sözleÅŸmeye uygunluÄŸunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler.


MüÅŸteri bilgilerinin gizliliÄŸi
MADDE 19 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar bilgi sistemleri aracılığıyla edindiÄŸi veya sakladığı müÅŸteri bilgilerinin gizliliÄŸini saÄŸlamaya yönelik kontrolleri tesis eder ve bunların gerektirdiÄŸi önlemleri alır.
(2) Kurum, KuruluÅŸ ve Ortaklıklar personelin kiÅŸisel verilerin korunması ve iÅŸlenmesine uygun davranışlarını temin etmelerine yönelik gerekli tedbirleri alırlar. Bu maddede yer almayan durumlarda 24/3/2016 tarihli ve 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu uygulanır.


MüÅŸterilerin bilgilendirilmesi
MADDE 20 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar tarafından elektronik ortamda sunulan hizmetlerden yararlanacak müÅŸteriler, sunulan hizmetlere iliÅŸkin ÅŸartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir ÅŸekilde bilgilendirilir ve söz konusu hizmetlere iliÅŸkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliÄŸi ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemler müÅŸterilerin dikkatine sunulur.
(2) Bilgi sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı müÅŸterilerin yaÅŸayabileceÄŸi sorunların takip edilebileceÄŸi ve müÅŸterilerin ÅŸikâyetlerini ulaÅŸtırmalarına imkân tanıyacak mekanizmalar oluÅŸturulur. Åžikâyet ve uyarılar deÄŸerlendirilerek aksaklıkları giderici çalışmalar yapılır.
 

Üçüncü taraflarla bilgi deÄŸiÅŸimi
MADDE 21 –

(1) Üçüncü taraflara Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemine eriÅŸim hakkı vermeden önce gerekli güvenlik gereksinimleri tanımlanır ve uygulanır. Kurum, KuruluÅŸ ve Ortaklıkların bilgi içeren ortamları, üçüncü taraflar ile yapılan bilgi aktarımları sırasında gerçekleÅŸebilecek kötüye kullanım veya bozulmaya karşı korunur. 
(2) Kurum, KuruluÅŸ ve Ortaklıkların birinci fıkra kapsamında alacağı tedbirler Kurul’un bilgi alımı faaliyetlerine engel teÅŸkil edemez.
 

Kayıt mekanizmasının oluşturulması
MADDE 22 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerin karmaşıklığını ve kapsamının geniÅŸliÄŸini göz önünde bulundurarak bilgi sistemlerinin kullanımına iliÅŸkin etkin bir denetim izi kayıt mekanizması tesis eder. Bu sayede, bilgi sistemleri dâhilinde gerçekleÅŸen ve Kurum, KuruluÅŸ ve Ortaklıkların faaliyetlerine ait kayıtlarda deÄŸiÅŸiklik ve silmeye sebep olan iÅŸlemlere iliÅŸkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistemsel ve kullanıcı eriÅŸimlerine karşı korunmasına yönelik önlemler alınır.
(2) Denetim izlerinin bütünlüÄŸünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin bütünlüÄŸü düzenli olarak gözden geçirilir ve olaÄŸandışı durumlar üst yönetime raporlanır. [Bknz: Piyasa Gözetim ve Denetim Dairesi BaÅŸkanlığı'nın 12.04.2018 tarih ve E.5670 sayılı yazısı] 
(3) Denetim izlerinde asgari olarak aşağıdaki bilgiler tutulur:

a) Yapılan iÅŸlemlerin türü ve niteliÄŸi,       
b) Ä°ÅŸlemlere iliÅŸkin yetkisiz eriÅŸim teÅŸebbüsleri,
c) Ä°ÅŸlemi gerçekleÅŸtiren uygulama,
ç) Ä°ÅŸlemi gerçekleÅŸtiren kiÅŸinin kimliÄŸi,
d) Yapılan işlemlerin zamanı.

(4) Denetim izleri asgari 5 yıl saklanır. Denetim izlerinin, yeterli güvenlik düzeyine sahip ortamlarda korunması ve yedeklerinin alınması suretiyle, yaÅŸanması muhtemel olumsuzluklar sonrasında da öngörülen süre için eriÅŸilebilir olmaları temin edilir.
(5) Dış kaynak hizmeti alınan kuruluÅŸlar, müÅŸteriler ve personel, bilgi sistemleri üzerindeki aktivitelerinin kaydının tutulduÄŸu konusunda bilgilendirilir.
(6) Denetim izlerinin tutulması, mevzuatın diÄŸer hükümleri gereÄŸi Kurum, KuruluÅŸ ve Ortaklıkların belge saklamasına iliÅŸkin yükümlülüklerini deÄŸiÅŸtirmez.


Zaman senkronizasyonu
MADDE 23 –

(1) Kurum, KuruluÅŸ ve Ortaklıkların bilgi sistemlerinde kullandıkları zaman bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi atomik saatler vasıtasıyla temin edilir.


Bilgi güvenliÄŸi ihlali
MADDE 24 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bünyelerinde gerçekleÅŸen her türlü bilgi güvenliÄŸi ihlal olayının ve bilgi sistemlerine iliÅŸkin ortaya çıkan zayıflıkların yönetilmesini saÄŸlayacak kontrolleri tesis eder. Bu kontroller asgari olarak aÅŸağıdaki hususları içerir:

a) GerçekleÅŸen ihlal veya ortaya çıkan zayıflığın mümkün olan en kısa sürede kayda alınması ve çözülmesi için gerekli mekanizmaların kurulması, sorumlulukların belirlenmesi ve tüm personelin bilgilendirilmesi, [Bknz: TSPB'nin 11.12.2019 tarih ve 821 sayılı Genel Mektubu]  
b) İhlal olayını veya zayıflığı bildiren kişinin, işlemin sonucu hakkında bilgilendirilmesi,
c) Bildirimi yapılan tüm ihlal olayı ve zayıflıkların kök sebebinin bulunması ve düzeltici faaliyetlerin uygulanması,
ç) Kritik ihlal olayları veya zayıflıkların üst yönetime raporlanması,
d) Tüm ihlal ve zayıflıkların; türü, ortaya çıkış zamanı, etkilediÄŸi bilgi sistemleri, iÅŸ süreçleri ve etki alanı ile buna karşı gerçekleÅŸtirilen düzeltici faaliyetler, harcanan zaman, maliyet ve iÅŸgücü miktarının kayda alınması,
e) Tekrarlayan veya benzer ihlal veya zayıflıklara organizasyonun hazırlıklı olmasının sağlanması.

​

Bilgi sistemleri edinimi, geliştirilmesi ve bakımı
MADDE 25 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemleri edinimi, geliÅŸtirilmesi ve bakımı için kontrolleri tesis eder. Bu kontroller asgari olarak aÅŸağıdaki hususları içerir:

a) Kurum, KuruluÅŸ ve Ortaklıkların kendi bünyesinde geliÅŸtirilecek, deÄŸiÅŸtirilecek veya dış kaynak hizmeti yoluyla edinilecek her türlü bilgi sisteminin, fonksiyonel gereksinimleri ile tasarım, geliÅŸtirme ve test aÅŸamalarının her biri için teknik ve  güvenlik gereksinimleri yazılı hale getirilir,
b) Temin edilecek bilgi sistemleri yapısının Kurum, KuruluÅŸ ve Ortaklıkların ölçeÄŸi, faaliyetlerinin ve sunulan ürünlerin niteliÄŸi ve karmaşıklığı ile uyumlu olması zorunludur,
c) Bilgi sistemlerinin geliÅŸtirme, deÄŸiÅŸiklik veya edinimi faaliyeti boyunca, iÅŸin geliÅŸimini takip edebilmek için proje geliÅŸim raporları hazırlanır ve Kurum, KuruluÅŸ ve Ortaklıkların yönetim kurulu tarafından onaylanır,
ç) Bilgi sistemlerinde yapılacak önemli güncellemelerin veya deÄŸiÅŸikliklerin iÅŸ süreçlerini aksatmaması ve bilgi güvenliÄŸi riski oluÅŸturmaması için güncelleme veya deÄŸiÅŸikliklere iliÅŸkin planlama, test ve uygulama adımları detaylı olarak ele alınır,
d) Uygulamalarda veri giriÅŸlerinin tam, doÄŸru ve geçerli ÅŸekilde yapılmasını, veri üzerindeki iÅŸlemlerin doÄŸru sonuçları üretmesini saÄŸlayacak, veri ve iÅŸlem kaybını, verinin yetkisiz deÄŸiÅŸtirilmesini ve kötüye kullanımını önleyecek uygun kontroller tesis edilir,
e) Uygulama güvenliÄŸi ve eriÅŸilebilirlik gereksinimleri belirlenirken organizasyonun belirlemiÅŸ olduÄŸu veri sınıflandırması ve risk öncelikleri göz önünde bulundurulur,
f) Bilgi sistemleri gerçek ortamda kullanıma alınmadan önce kabul kriterleri belirlenir, hazırlanacak bir plana göre fonksiyonel, teknik ve güvenlik gereksinimleri testlerine tabi tutulur, test verileri özenle seçilerek korunur ve kontrol edilir,
g) Gerekli hallerde deÄŸiÅŸtirilmiÅŸ veya yeni geliÅŸtirilmiÅŸ sistem, gerçek ortamda kullanıma alınmadan önce, belirli bir olgunluk seviyesine ulaÅŸana kadar eski sistemle beraber çalıştırılmasına devam edilir; bu ÅŸekilde paralel iÅŸletimin mümkün olmadığı durumlarda ise, deÄŸiÅŸtirilmiÅŸ veya yeni geliÅŸtirilmiÅŸ sistem belirli bir olgunluk seviyesine ulaÅŸana kadar eski sistem veri kayıpsız olarak devreye alınabilir halde tutulur,
ğ) Bilgi sistemlerinin kullanımı ile ilgili gerekli eğitim materyalleri oluşturulur,
h) GeliÅŸtirme, test ve gerçek ortamdaki iÅŸlemler ile bu iÅŸlemlerin gerçekleÅŸtiÄŸi ortamlar, yetkisiz eriÅŸim ve deÄŸiÅŸim riskine karşı birbirinden ayrılır.
 

Bilgi sistemleri sürekliliÄŸi
MADDE 26 –

(1) Kurum, KuruluÅŸ ve Ortaklıkların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur. [Bknz: Kurulun i-SPK.62.1 (01.03.2018 tarihli ve 9/327 s.k.) sayılı Ä°lke Kararı]
(2) Kurum, KuruluÅŸ ve Ortaklıklar faaliyetlerini destekleyen bilgi sistemlerinin sürekliliÄŸini saÄŸlamak üzere iÅŸ sürekliliÄŸi planının bir parçası olan bilgi sistemleri süreklilik planını hazırlar.
(3) Plan kapsamında ikincil sistem tesis edilir ya da bu hizmeti destek hizmeti kuruluÅŸlarından tedarik etme hususunda güvence saÄŸlayan anlaÅŸmalar yapılır. Ä°kincil sistemde, Kurum, KuruluÅŸ ve Ortaklıkların veri ve sistem yedekleri kullanıma hazır bulundurulur.
(4) Plan, iÅŸ süreklilik planında belirlenen hedefleri de dikkate alacak ÅŸekilde, kritik iÅŸ süreçlerini destekleyen bilgi sistemleri hizmetlerine yönelik hazırlanır. Bu çerçevede hizmetlerin tekrar kullanıma açılmasını saÄŸlayacak alternatifli kurtarma süreç ve prosedürleri tesis edilir ve gerekli önlemler alınır.
(5) Plan kapsamında, performans takibi ve kapasite planlaması yapılır, sistem kaynaklarının kullanımı izlenir.
(6) Bilgi sistemleri altyapısından kaynaklanabilecek kesintilere, iÅŸlem performansını düÅŸürecek veya iÅŸ sürekliliÄŸini aksatacak durumlara karşı gerekli önlemler alınır.
(7) Bilgi sistemlerinin sürekliliÄŸini saÄŸlamak amacıyla, risk deÄŸerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleÅŸtirilir.
(8) Plan, iÅŸ süreçlerini veya bilgi sistemlerini etkileyecek deÄŸiÅŸikliklerden sonra gözden geçirilerek güncellenir. Planın etkinliÄŸini ve güncelliÄŸini temin etmek üzere testler yapılır, testlere varsa dış kaynak yoluyla hizmet alınan kuruluÅŸlar da dâhil edilir ve test sonuçları üst yönetime raporlanır. Testler, her yıl tekrarlanır.
(9) Bilgi sistemleri, iÅŸ sürekliliÄŸi planındaki önceliklere uygun olarak yedeklenir ve yedekten geri dönülmesi için gerekli süreçler bilgi sistemleri sürekliliÄŸi planına ve testine dâhil edilir.
(10) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi güvenliÄŸi politikasının, bilgi sistemleri süreklilik planının, aÄŸ topolojisinin, bilgi sistemleri varlık envanteri ile iÅŸ sürekliliÄŸi ve güvenliÄŸi açısından önem arz eden diÄŸer dokümanların güncel sürümlerini ve bilgi sistemleri yönetimine iliÅŸkin parolalarını güvenli ortamlarda saklar.

​

DeÄŸiÅŸiklik yönetimi
MADDE 27 –

(1) Kurum, KuruluÅŸ ve Ortaklıklar, bilgi sistemlerini oluÅŸturan her türlü yazılım, donanım ve altyapı bileÅŸenlerine, dokümantasyona ve bilgiye yapılan deÄŸiÅŸiklikleri yönetebilmek amacıyla kontroller geliÅŸtirir. Bu kontroller en az aÅŸağıdaki hususları içerir:

a) Yapılacak her türlü deÄŸiÅŸiklik için; deÄŸiÅŸikliÄŸin sebebini, kapsamını, etkisini, içerdiÄŸi riskleri, beklenen faydasını, deÄŸiÅŸikliÄŸi yapacak kiÅŸileri, maliyetini, gerekli test ve eÄŸitim faaliyetlerini tanımlayan kayıtlar oluÅŸturulur,
b) Planlanan deÄŸiÅŸiklikler onay sürecinden geçmedikçe iÅŸleme konulmaz,
c) Planlanan deÄŸiÅŸiklikler, devreye alınma tarihleri, test ve eÄŸitim faaliyetleriyle ilgili düzenlemeler ilgili tüm taraflara önceden duyurulur,
ç) DeÄŸiÅŸikliÄŸin uygulanmasında ortaya çıkan hatalar ve öngörülemeyen durumlarda uygulamaya alınacak geri dönüÅŸ prosedürleri ve bunlarla ilgili sorumluluklar önceden belirlenir,
d) GerçekleÅŸtirilen deÄŸiÅŸikliklerin sonuçları gözden geçirilir,
e) GerçekleÅŸtirilen, iptal edilen veya reddedilen tüm deÄŸiÅŸiklikler gerekçeleriyle birlikte kayda geçirilir ve saklanır.
 

DÖRDÜNCÜ BÖLÜM
Muafiyetler, DiÄŸer Hususlar, Yürürlük ve Yürütme
 

Muafiyetler
MADDE 28 –

(1)  Asgari özsermaye yükümlülüÄŸü 5 milyon TL ve daha az olan portföy yönetim ÅŸirketleri ve Sermaye Piyasası Lisanslama Sicil ve EÄŸitim KuruluÅŸu A.Åž. 24 üncü ve 27 nci maddeleri uygulamak zorunda deÄŸildir. [Bknz: Muhasebe Standartları Dairesi BaÅŸkanlığı'nın 09.07.2021 tarih ve 8497 sayılı yazısı]  
(2) Dar yetkili aracı kurumlar, varlık kiralama ÅŸirketleri, ipotek finansmanı kuruluÅŸları, Türkiye Sermaye Piyasaları BirliÄŸi, Türkiye DeÄŸerleme Uzmanları BirliÄŸi, bağımsız denetim, derecelendirme ve deÄŸerleme kuruluÅŸları, halka açık ortaklıklar, varlık finansmanı fonları, kolektif yatırım kuruluÅŸları, emeklilik yatırım fonları, konut finansmanı fonları 7 nci maddenin beÅŸinci fıkrası, 8 inci maddenin dördüncü, beÅŸinci ve altıncı fıkralarını, 14 üncü maddenin üçüncü fıkrasını, 15 inci maddenin üçüncü fıkrasını, 17 nci maddenin ikinci fıkrasını, 18 inci maddenin dördüncü fıkrasını, 22 nci maddenin ikinci fıkrasını, 24 üncü maddeyi, 25 inci maddenin birinci fıkrasının (b), (d) ve (ÄŸ) bentlerini, 26 ncı maddenin üçüncü fıkrasını ve 27 nci maddeyi uygulamak zorunda deÄŸildir.
(3) Kurul bu maddenin birinci ve ikinci fıkralarında belirlenen muafiyetleri kısmen veya tamamen kaldırmaya, bunların kapsam ve içeriÄŸini Kurum, KuruluÅŸ ve Ortaklıklar bazında deÄŸiÅŸtirmeye yetkilidir.

(4) (EK:RG-09/01/2020-31003) Birinci fıkrada belirtilen asgari özsermaye yükümlülük tutarı için, 2/7/2013 tarihli ve 28695 sayılı Resmî Gazete’de yayımlanan Portföy Yönetim Åžirketleri ve Bu Åžirketlerin Faaliyetlerine Ä°liÅŸkin Esaslar TebliÄŸi (III-55.1)’nin 28 ve 41 inci maddeleri kapsamında Kurulca yeniden deÄŸerleme kapsamında belirlenen ve ilan edilen tutarlar esas alınır.

 

[Muafiyet tanınan maddeler açık renkle gösterilmiÅŸtir.]

​

DiÄŸer hususlar
MADDE 29 –

(1) Bu TebliÄŸ hükümleri esas olmak üzere, tezgahüstü türev araç iÅŸlemi gerçekleÅŸtiren aracı kurumların bilgi iÅŸlem altyapılarına iliÅŸkin olarak ilgili Kurul düzenlemelerinde belirlenen ilke ve esaslara uyulur.
 

Yürürlük
MADDE 30 –

(1) Bu TebliÄŸ yayımı tarihinde yürürlüÄŸe girer.
 

Yürütme
MADDE 31 –

(1) Bu TebliÄŸ hükümlerini Kurul yürütür.

2
7
8
14
15
17
18
22
24
25
26
27
28
Ek

 

EK-1

​

Bilgi Sistemleri Sızma Testleri Usul ve Esasları


1) Amaç:

Sızma testlerinin amacı, Kurum KuruluÅŸ ve Ortaklıkların bilgi sistemlerinde tespit edilen açıklıkların ve zafiyetlerin kullanılmasıyla sistemlere sızma giriÅŸimlerinin önceden tespit edilmesi ve düzeltilmesidir.

​

2) Kapsam:

Sızma testleri kapsamında gerçekleÅŸtirilecek testler asgari olarak aÅŸağıdaki baÅŸlıkları kapsar:

a. İletişim Altyapısı ve Aktif Cihazlar
b. DNS Servisleri
c. Etki Alanı ve Kullanıcı Bilgisayarları
ç. E-posta Servisleri
d. Veritabanı Sistemleri
e. Web Uygulamaları
f. Mobil Uygulamalar
g. Kablosuz AÄŸ Sistemleri
ğ. Dağıtık Servis Dışı Bırakma Testleri
h. Sosyal Mühendislik Testleri

​

3) Metodoloji:

Sızma testleri, aÅŸağıda detaylandırılan kullanıcı profilleri ile tanımlanan eriÅŸim noktalarından gerçekleÅŸtirilecek testlerden oluÅŸur. Testler,  sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması adımları ile baÅŸlar ve her bir eriÅŸim noktası kapsamında uygulanacak adımlar ile devam eder. Bu testler sonrası saptanan açıklık ve bulgular, Kapsam bölümünde belirtilen ve iliÅŸkili olduÄŸu her bir baÅŸlık altında ayrıntılı olarak incelenerek raporlanır. Sızma testleri gerçekleÅŸtirilirken her bir test baÅŸlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı deÄŸerlendirilmenin yanında, bir araya geldiklerinde oluÅŸturabilecekleri riskler ve açıklıklar açısından da deÄŸerlendirilir ve bu birlikte deÄŸerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır. Bulgular, "Bulgu Önem Dereceleri" bölümünde yer verilen dereceler kullanılarak "Bulgu Formatı"  bölümünde tariflenen formata uygun olacak ÅŸekilde sunulur. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın deÄŸeri dikkate alınmaz. Varlık deÄŸerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak Kurum, KuruluÅŸ ve Ortaklıkların sorumluluÄŸundadır. Sızma testleri gerçekleÅŸtirilirken, Kurum, KuruluÅŸ ve Ortaklıklar faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler Kurum, KuruluÅŸ ve Ortaklıklar ile koordineli bir ÅŸekilde planlanarak gerçekleÅŸtirilir.

a. Testlerin GerçekleÅŸtirileceÄŸi EriÅŸim Noktaları

Sızma testlerinin gerçekleÅŸtirileceÄŸi asgari eriÅŸim noktaları aÅŸağıda tanımlanmaktadır. Bu noktalardan sisteme eriÅŸildikten sonra, sızma testleri gerçekleÅŸtirilir.

i. Ä°nternet: Kurum, KuruluÅŸ ve Ortaklıkların internet üzerinden eriÅŸilebilen tüm sunucu ve servislerine Ä°nternet üzerinden eriÅŸilerek sızma testleri gerçekleÅŸtirilir ve devamında ve detaylı sızma testleri uygulanır.
ii. Kurum, KuruluÅŸ ve Ortaklıklar iç ağı: Kurum, KuruluÅŸ ve Ortaklıkların iç ağında yer alan ve test kapsamında ele alınan sunuculara Kurum, KuruluÅŸ ve Ortaklıklar iç ağı üzerinden eriÅŸilerek sızma testleri gerçekleÅŸtirilir. AÄŸ ve aÄŸ trafiÄŸi üzerinde gerçekleÅŸtirilecek testler için de bu aÄŸ kullanılır ve testi gerçekleÅŸtirecek ÅŸahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar saÄŸlanır.

b. Testlerin GerçekleÅŸtirileceÄŸi Kullanıcı Profilleri

Sızma testlerinin saÄŸlıklı bir ÅŸekilde gerçekleÅŸtirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan eriÅŸim noktalarına bu ortamların doÄŸasına uyacak ÅŸekilde aÅŸağıdaki kullanıcı profilleri ile sızma testleri gerçekleÅŸtirilir.

i. Anonim kullanıcı profili: Ä°nternet üzerinden, Kurum, KuruluÅŸ ve Ortaklıkların web servislerine eriÅŸebilen ancak web uygulamalarına giriÅŸ yetkilerine sahip olmayan kullanıcıyı temsil eder. Kurum, KuruluÅŸ ve Ortaklıklara ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır.

ii. Kurum, KuruluÅŸ ve Ortaklıklar müÅŸterisi profili: Ä°nternet üzerinden, Kurum, KuruluÅŸ ve Ortaklıklar’ın web servislerine eriÅŸebilen ve web uygulamalarına giriÅŸ yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. Ä°nternet üzerinde Kurum, KuruluÅŸ ve Ortaklıklara ait web uygulamalarının üyesi olan kullanıcıların sistem için oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır.

iii. Kurum, KuruluÅŸ ve Ortaklıklar çalışanı profili: Kurum, KuruluÅŸ ve Ortaklıklar personelinin çalışma ortamını kullanarak sahip olduÄŸu yetkiler ile sistemde oluÅŸturabileceÄŸi tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluÅŸturmak amacıyla bu profil kullanılmalıdır. Kurum, KuruluÅŸ ve Ortaklıklar çalışanı profili ile gerçekleÅŸtirilecek testlerde, Kurum, KuruluÅŸ ve Ortaklıklarda çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici(local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleÅŸtirilir. Kurum, KuruluÅŸ ve Ortaklıklar çalışanı profili ile yapılan testlerde, testi yapan kiÅŸi/kuruluÅŸa Kurum, KuruluÅŸ ve Ortaklıklar tarafından tanımlanan eriÅŸim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir.

iv. DiÄŸer kullanıcı profilleri: Sızma testlerinin, yukarıda tanımlanan diÄŸer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleÅŸtirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu baÅŸlık altında açıkça ifade edilir.

c. Sistem Tespiti, Servis Tespiti ve Açıklık Taraması

Sızma testleri aÅŸağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması adımları ile baÅŸlar. Sistem tespiti, servis tespiti ve açıklık taraması/araÅŸtırması tüm bilgi sistemi varlıklarına uygulanır.

i. Sistem tespiti: Sunucu veya aktif/pasif aÄŸ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.

ii. Servis tespiti: Kurum, KuruluÅŸ ve Ortaklıklar bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleÅŸtirildiÄŸi ve dış dünyaya/genel eriÅŸime açık olan portların sunduÄŸu servislerin tespit edilmeye çalışıldığı adımdır.

iii. Açıklık taraması/araÅŸtırması: Kurum, KuruluÅŸ ve Ortaklıkların bileÅŸenleri ve bu bileÅŸenlerin sunduÄŸu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileÅŸenlere ve bileÅŸenlerin etkileÅŸimde olduÄŸu sistemlere güvenlik açısından etkileri araÅŸtırılır.

d. Sızma Testleri

i. Ä°nternet üzerinden gerçekleÅŸtirilecek temel sızma testleri: Kurum, KuruluÅŸ ve Ortaklıklar ağından bağımsız bir lokasyondan, Kurum, KuruluÅŸ ve Ortaklıklar’ın internet üzerinde sahip olduÄŸu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleÅŸtirilir.

ii. Kurum, KuruluÅŸ ve Ortaklıklar iç ağından gerçekleÅŸtirilecek sızma testleri: Kurum, KuruluÅŸ ve Ortaklıkların iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aÅŸağıdaki faaliyetlerin gerçekleÅŸtirilmesi saÄŸlanır:

  • ​Kurum yerel aÄŸ haritası tespiti

  • Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleÅŸtirilmesi

  • Yerel alan ağı içerisinde zafiyet taraması yapılması

  • Kurum yerel ağında araya girme teknikleri ile hassasiyet derecesi yüksek bilgilerin elde edilmeye çalışılması

  • Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleÅŸtirilmesi

  • Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması

4) Sızma Testi Sonuçlarının Takibi

Kurum, KuruluÅŸ ve Ortaklıklar, sızma testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluÅŸturabilecekleri riskleri, tespit edildiÄŸi varlıkların deÄŸerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, Kurum, KuruluÅŸ ve Ortaklıklar yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı çerçevesinde takip eder. Sızma testleri sonucu ortaya çıkan tespitler, gerekli görülmesi halinde Kurum, KuruluÅŸ ve Ortaklıkların teftiÅŸ kurullarının iç denetim planına da dâhil edilir. Sızma testi raporları, tamamlanmasını müteakip bir ay içinde Kurula gönderilir.

​

Bulgu Önem Dereceleri

Bulgu önem dereceleri beÅŸ kategoride ele alınır. Acil, kritik, yüksek, orta ve düÅŸük ÅŸeklinde olan bu kategorilere iliÅŸkin açıklamalar aÅŸağıda yer almaktadır:
 

Önem Derecesi / Açıklama

  • Acil: Niteliksiz saldırgan tarafından Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.

  • Kritik: Nitelikli saldırgan tarafından Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.

  • Yüksek: Kurum, KuruluÅŸ ve Ortaklıklar dış ağından gerçekleÅŸtirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel aÄŸdan ya da sunucu üzerinden gerçekleÅŸtirilen ve hak yükseltmeyi saÄŸlayan saldırılara sebep olan açıklıklardır.

  • Orta: Yerel aÄŸdan veya sunucu üzerinden gerçekleÅŸtirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır.

  • DüÅŸük: Etkilerinin tam olarak belirlenemediÄŸi ve literatürdeki en iyi sıkılaÅŸtırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir.

​​

Bulgu Formatı

Kapsam bölümünde belirtilen baÅŸlıkların her biri altında raporlanacak bulguların sunuluÅŸ biçimi aÅŸağıda yer almaktadır:

 

Bulgu Referans No / Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi

  • Bulgu Adı: Bulguyu özet olarak ifade eden tanımlayıcı isim

  • Önem Derecesi: Bulgunun, EK-1’de yer verilen önem derecesi

  • Etkisi: Bulguda yer verilen açıklığın/eksikliÄŸin kötüye kullanılması durumunda oluÅŸabilecek potansiyel sonuç

  • EriÅŸim Noktası: "3.a Testlerin GerçekleÅŸtirileceÄŸi EriÅŸim Noktaları" bölümünde yer verilen testin gerçekleÅŸtirildiÄŸi eriÅŸim noktası

  • Kullanıcı Profili: "3.b Testlerin GerçekleÅŸtirileceÄŸi Kullanıcı Profilleri" bölümünde yer verilen testin gerçekleÅŸtirildiÄŸi kullanıcı profili

  • Bulgunun Tespit EdildiÄŸi BileÅŸen/BileÅŸenler: Bulgunun tespit edildiÄŸi bileÅŸeni niteleyen IP Numarası, URL, Sistem, Servis, Sunucu veya Varlık adı gibi bilgiler

  • Bulgu Açıklaması: Bulgunun detaylı açıklaması

  • Çözüm Önerisi: Bulgunun giderilmesi için testi gerçekleÅŸtiren kuruluÅŸ tarafından yapılacak çözüm önerisi

​

bottom of page