BDDK – Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Yenilendi
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), eski adıyla "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ" olan mevzuatını 12 yıl sonra Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ismiyle yeniledi.
Merhaba,
öncelikle siz değerli okuyucularımıza bloğumuzu okuyarak zaman ayırdığınız için teşekkür etmek isteriz. Ziyaretçilerimizin dağılımı farklı sektörlerden ve farklı birimlerden oluşmaktadır ve ayrı ayrı her birine hitap eden içeriklerin oluşturulması için de elimizden geleni yapıyoruz ve sizlerin değerli yorum ve katkılarıyla bunu daha ileriye götürmeye de kararlıyız. Bununla birlikte geçtiğimiz hafta 15 Mart 2020 Pazar günü Resmi Gazetede öncelikle bankacılık sektöründe çalışanları direkt olarak ilgilendiren bir karar yayınlandı. Bu karar; “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” olarak isimlendirildi ve öncesinde yürürlükte olan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” in yerini almıştır. Her ne kadar Bankacılık sektöründe çalışanları etkilediği doğru olsa da, ülkemizdeki finans sektörü oluşturduğu ekosistem ile birlikte ükle ekonomisinin de can damarlarından bir tanesini oluşturmaktadır. Bu sektörde çalışan, bu sektöre iş yapan veya bilgi güvenliği ile ilgili bir kurumda olması gereken asgari şartları görmek isteyen her kişi bu yönetmelikten yararlanacaktır.
Yönetmeliğe ulaşmak için aşağıdaki bağlantıyı kullanabilirsiniz.
Resim 1: Resmi Gazete – BDDK – Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
http://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm
Eski tebliğ olan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” 14.09.2007 yılında yayınlanmış ve 1.1.2008 tarihinde yürürlüğe girmiştir. Günümüze gelene dek üç kere güncellenmiş ve 12 yıl boyunca yürülükte kalmıştır. Bu tebliğ, ISACA organizasyonu tarafından oluşturulmuş olan COBIT 4.1 standardını baz almaktaydı. COBIT 4.1 standardı günün ihtiyaçlarına tam olarak yanıt veremediği için ISACA tarfından güncellenmiştir. Güncel sürümü herkesin kullanımına açıktır ve https://isaca.org adresinden üye olunarak indirilebilir durumdadır, Türkçe çevirisi de ISACA-İstanbul Chapter tarafından tamamlanmıştır, arzu ederseniz İngilizce ve Türkçe olarak ulaşabilirsiniz. Önceki tebliğ ile yeni çıkan yönetmeliğin en önemli farkı; önceki tebliğ’deki maddelerde olmayan bir konu olduğunda COBIT 4.1’e atıfta bulunuyor ve oradaki maddelerin geçerli olduğu iletiliyordu, yeni yönetmelikte ise artık COBIT referansı kaldırılmış ve tamamen BDDK tarafından oluşturulmuş maddeler ile bilgi güvenliği sınırları çizilmiştir.
COBIT: Control Objectives for Information and Related Technology
ISACA isimli kar amacı gütmeyen güvenlik organizasyonunun oluşturduğu bir güvenlik çerçevesi dokümanıdır.
Yönetmelikte toplamda 4 KISIM ve 47 MADDE bulunmaktadır.(Bkz. Resim 2) Burada İKİNCİ KISIM toplamda 30 MADDE ve 168 Alt Madde ile en yoğun olarak karşımıza çıkmaktadır. Bölümlerdeki maddelerin kısımlara dağım yoğunlukları için Resim 3‘e bakabilirsiniz.
Resim 2: Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Maddeleri
Resim 3: Yönetmelik Maddelerinin Kısımlara Dağılım Yoğunluğu
Aşağıdaki grafikte (Resim 4) yeni yöetmeliğin tüm maddelerinin başlıkları bir araya getirilmiş ve her başlık altında kaç madde ile ele alındığına dair grafik oluşturulmuştur. Bilgi Güvenliği Yönetimi başlığı İKİNCİ KISIM, ÜÇÜNCÜ BÖLÜMDE ele alınmış ve 71 MADDE ile yönetmeliğin en önemli bölümünü oluşturmaktadır. Alt bölümleri aşağıdaki Tablo 1’de görebilirsiniz.
Tablo 1: Bilgi Güvenliği Yönetimi Bölümü
| Bilgi güvenliği organizasyonu, roller ve sorumluluklar | MADDE 8 | 6 |
| Veri gizliliği | MADDE 9 | 3 |
| Verilerin paylaşılması | MADDE 10 | 2 |
| Kimlik ve erişim yönetimi | MADDE 11 | 14 |
| Bütünlük kontrolleri | MADDE 12 | 2 |
| İz kayıtlarının oluşturulması ve takibi | MADDE 13 | 8 |
| Ağ güvenliği | MADDE 14 | 10 |
| Güvenlik konfigürasyonu yönetimi | MADDE 15 | 5 |
| Güvenlik açıkları ve yama yönetimi | MADDE 16 | 5 |
| Fiziksel güvenlik kontrolleri | MADDE 17 | 4 |
| Siber olay yönetimi, sızma testi ve siber istihbarat paylaşımı | MADDE 18 | 8 |
| Bilgi güvenliği farkındalığını artırma | MADDE 19 | 4 |
Resim 4: Yönetmelik Kısım, Madde ve Alt Madde Dağılım Grafiği
Bankacılık sektörünü ve ekosistemini ilgilendiren bu çok önemli yönetmelik için bu yazımda temel bir analiz ile genel bir resim çizmek istedim. Sizlerden gelen talepler doğrultusunda ilgi dudyuğunuz alanlara göre analizimi derinleştirebilirim. Yazının altında yer alan Görüşler alanına yorum ve sorularınızı bırakabilirsiniz, bu şekilde ileriki günlerde bu konularda sizlere daha fazla bilgi sağlamak için geri bildirim oluşturabiliriz.
Sağlıcakla kalın.
Saygılarımla,
Mustafa Turan