BTK ve Mevzuat Uyum

shape
shape
shape
shape
shape
shape
shape
shape
BTK ve Mevzuat Uyum Danışmanlığı

BTK ve Mevzuat Uyum Danışmanlığı

Türkiye’de internet altyapısı, erişim ve barındırma hizmetleri Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından düzenlenir ve denetlenir. BTK mevzuatına tabi olan işletmeler; bilgi güvenliği, veri saklama, kayıt yönetimi, erişim engelleme ve kişisel verilerin korunması konularında çok katı yükümlülüklere sahiptir.

Bu sayfa; İnternet Servis Sağlayıcılar (ISS), Yer Sağlayıcılar (Hosting / Veri Merkezi İşletmecileri) ve Erişim Sağlayıcıları Birliği (ESB) üyeleri için mevzuat uyum süreçlerini kapsamlı şekilde açıklar.

İnternet Servis Sağlayıcı (ISS) Nedir?

İnternet Servis Sağlayıcı (ISS), bireysel veya kurumsal kullanıcılara internet erişim hizmeti sunan işletmelerdir. 5809 Sayılı Elektronik Haberleşme Kanunu ve Erişim Sağlayıcı Yetkilendirme Yönetmeliği kapsamında BTK tarafından lisanslandırılırlar.

ISS’ler için temel yasal yükümlülükler:

  • Kullanıcı trafik verilerinin en az 2 yıl süreyle saklanması (BTK 2019/DK-THD/244 kararı)
  • Saklanan verilerin güvenli, bütünlük doğrulamalı ve zaman damgalı biçimde tutulması
  • 5651 sayılı Kanun kapsamında erişim engelleme kararlarının uygulanması
  • Abone kimlik doğrulama, kayıt ve log yönetimi süreçlerinin belgelenmesi
  • BTK tarafından belirlenen raporlama, denetim ve altyapı testlerine katılım

ISS’ler, bu yükümlülükleri yerine getirmezse hem idari para cezası hem de yetkilendirme iptali riskiyle karşılaşabilir.

Bu nedenle ISS işletmeleri için BTK, KVKK, 5651 ve BİG-RE gerekliliklerini birlikte yönetmek kritik öneme sahiptir.

ISS

Yer Sağlayıcı (Hosting ve Veri Merkezi İşletmecisi) Nedir?

Yer Sağlayıcı, kullanıcıların internet üzerinde yayın yapmalarını veya veri barındırmalarını sağlayan sunucuları işleten gerçek veya tüzel kişilerdir.Tanım, 5651 Sayılı Kanun’un 2. maddesinde açıkça belirtilmiştir.

Bir hosting firması veya veri merkezi işletmecisi yer sağlayıcı olarak sayılır ve BTK tarafından “Yer Sağlayıcı Faaliyet Belgesi” almakla yükümlüdür.

Yer sağlayıcıların başlıca yükümlülükleri:

  • Barındırılan içeriğin sorumluluğu: İçeriği kontrol etme zorunluluğu yoktur, ancak içerik kaldırma veya erişim engelleme kararlarını uygulamakla yükümlüdür.
  • Trafik kayıtlarının tutulması: Kullanıcı erişim loglarının 5651 sayılı Kanun’a uygun şekilde tutulması ve istenildiğinde BTK’ya sunulması gerekir.
  • Sunucu konumları ve IP adresi kayıtlarının güncel tutulması.
  • Veri saklama ve imha süreçlerinin KVKK’ya uygun olması.
  • BİG-RE’ye göre kritik sistemlerin envanterinin oluşturulması ve erişim güvenliğinin sağlanması.

Bu işletmeler için BTK denetimleri, yalnızca teknik değil, aynı zamanda dokümantasyon (log politikaları, erişim prosedürleri, ihlal yönetimi kayıtları vb.) açısından da yürütülür.

Erişim Sağlayıcıları Birliği (ESB) ile İlişki

Erişim Sağlayıcıları Birliği (ESB), 5651 sayılı Kanun’un 6/A maddesi uyarınca kurulmuş,erişim sağlayıcıların ortak yasal yükümlülüklerini yerine getiren ve erişim engelleme kararlarının uygulanmasını koordine eden merkezi bir yapıdır.

ISS ve yer sağlayıcı işletmelerin ESB ile ilişkisi şu şekildedir:

  • Tüm erişim sağlayıcılar ESB’ye üye olmak zorundadır.
  • Erişim engelleme kararları (ör. BTK, mahkeme veya savcılık kararı), ESB üzerinden iletilir ve ISS tarafından uygulanır.
  • ESB, uygulanan engellemelerin kayıt altına alınmasını, zaman damgalı olarak BTK’ya raporlanmasını sağlar.
  • ISS’ler, karar uygulama sürelerine (4 saat / 24 saat) uymakla yükümlüdür.
  • Yer sağlayıcılar da ESB kararları doğrultusunda içerik kaldırma ve erişim kesintisi işlemlerini yapmak zorundadır.

ESB ile koordinasyon eksikliği, erişim engelleme kararlarının geç uygulanması nedeniyle BTK tarafından idari para cezası veya yetki iptali ile sonuçlanabilir.

USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve SİP Entegrasyonu

USOM, yani Ulusal Siber Olaylara Müdahale Merkezi,BTK bünyesinde faaliyet gösteren ve ülke genelinde siber tehditlerin izlenmesi, olaylara müdahale edilmesi ve koordinasyonun sağlanmasıyla sorumlu merkezdir.

USOM’un Amacı ve Görevleri
  • Türkiye genelindeki siber tehditleri izlemek, analiz etmek ve paylaşmak,
  • Kamu kurumları, kritik altyapı işletmeleri ve özel sektör kuruluşları arasında koordinasyonu sağlamak,
  • Zafiyet, siber saldırı, oltalama, veri sızıntısı, kötü amaçlı yazılım gibi olaylarda kurumları bilgilendirmek ve önlem almalarını sağlamak,
  • Ulusal Siber Olaylara Müdahale Ekibi (SOME) yapısının işletilmesini denetlemek,
  • Siber güvenlik farkındalığını artırmak ve tehdit istihbaratı üretmek.

USOM, yalnızca kamu kurumları için değil; BTK yetkilendirmesine sahip tüm erişim, yer ve internet servis sağlayıcılar için de aktif bildirim ve işbirliği merkezidir.

SOME ve Kurumsal USOM Kaydı

BTK mevzuatına göre, ISS, yer sağlayıcı ve kritik altyapı hizmeti sunan tüm kuruluşların:

  • Kurumsal Siber Olaylara Müdahale Ekibi (SOME) kurmaları,
  • Bu ekibi USOM’a kayıt ettirmeleri,
  • SOME’nin iletişim, müdahale ve bildirim kanallarını BTK-USOM portalında tanımlamaları zorunludur.

USOM kayıt işlemi, BTK’nın SİP (Siber İhbar Platformu) üzerinden yapılır.

Bu platform, kurumların siber olaylarını ve zafiyetlerini takip ettiği resmi sistemdir.

SİP (Siber İhbar Platformu) Üzerinden Zafiyet Takibi

SİP - Siber İhbar Platformu, USOM tarafından işletilen,kurumların siber güvenlik zafiyetleri, oltalama girişimleri, veri ihlalleri, tehdit bildirimleri ve kötü amaçlı etkinliklerinitakip ettiği ve bildirdiği dijital sistemdir.

SİP portalı üzerinden:

  • Kuruluşun siber olay kayıtları (incident records) oluşturulur,
  • USOM tarafından yayımlanan zafiyet duyuruları (örneğin: “kritik güvenlik açığı”, “0-day uyarısı”) takip edilir,
  • SOME ekipleri, sistemsel açıklarını buradan analiz eder ve raporlar,
  • Zafiyetlerin kapatılması ve raporlanması süreçleri USOM tarafından izlenir.

USOM, bu platform üzerinden hem ulusal tehdit istihbaratı paylaşımı yapar hem deBTK denetimlerinde kurumun SİP kayıtları (örneğin zafiyet bildirimi, çözüm süresi, SOME müdahale raporu) kontrol edilir.

USOM Kaydı ve Denetimlerde Dikkat Edilen Noktalar

BTK denetimleri sırasında aşağıdaki hususlar incelenir:

  • Kurumun USOM SOME kaydının aktif olup olmadığı,
  • SOME üyelerinin iletişim bilgileri ve görev tanımlarının güncelliği,
  • SİP platformuna erişim kayıtlarının (login geçmişi, bildirim takibi) tutulup tutulmadığı,
  • USOM bildirilerinin kurum içi süreçlere aktarılıp aktarılmadığı (örneğin, zafiyet bildirimi geldiğinde düzeltici faaliyet kaydı oluşturulmuş mu),
  • Siber olay sonrası BTK/USOM bildirim sürelerine (ör. 72 saat) uyulup uyulmadığı.

Bu kontrollerin amacı, kurumun yalnızca teknik değil, operasyonel siber güvenlik olgunluğunu ölçmektir.

USOM ve BİG-RE İlişkisi

Bilgi ve İletişim Güvenliği Rehberi (BİG-RE) içinde USOM doğrudan referans verilen bir yapıdır:

  • Rehberin “Siber Olay Yönetimi” ve “Olay Müdahale” başlıkları, SOME-USOM ilişkisini zorunlu tutar.

Rehberin 7.4 maddesi:“Kurumlar, siber olayları USOM tarafından belirlenen yöntemlerle izlemeli ve raporlamalıdır.”

  • Ayrıca kritik sistemlerdeki güvenlik açıklarının USOM zafiyet duyurularına göre önceliklendirilmesi şarttır.

Dolayısıyla ISO/IEC 2701 veya BİG-RE uygulayan her kurumun, USOM-SİP süreçlerini entegre izleme mekanizması içinde yönetmesi beklenir.

USOM Uyum Kapsamı

  1. Kurumsal SOME Ekibi Kurulumu ve Görevlendirmesi - USOM kayıt, iletişim noktaları, görev tanımları
  2. SİP Platformu Kullanımı ve Eğitim - Zafiyet bildirim süreçlerinin tanımlanması, rapor üretimi
  3. Olay Yönetim Süreci Dokümantasyonu - Olay sınıflandırması, müdahale planı, iletişim protokolü
  4. USOM Duyurularının İç Süreçlere Entegrasyonu - Otomatik bildirim takibi, düzeltici faaliyet başlatma
  5. BTK Denetimi Öncesi SOME ve USOM Kaydı Kontrolü - Tüm kayıtların güncelliği ve SİP ekranlarının incelenmesi
  6. Yıllık Farkındalık ve Tatbikat Planı - SOME personelinin yıllık saldırı senaryolarıyla test edilmesi

Sonuç

USOM ve SİP süreçlerine uyum, artık yalnızca bir teknik gereklilik değil, BTK denetimlerinin temel kontrol başlıklarından biridir.

SOME kayıtlarının eksik olması, USOM bildirimlerinin takip edilmemesi veya zafiyetlerin SİP sisteminde raporlanmaması,kurumun “olgunluk seviyesi düşük” olarak değerlendirilmesine neden olur.

Profesyonel danışmanlık desteğiyle;

  • USOM kaydı,
  • SOME yapılanması,
  • SİP platform entegrasyonu ve
  • Olay yönetimi süreçleri tek bir çatı altında yönetilerek kurumun BTK ve BİG-RE gerekliliklerine tam uyumu sağlanabilir.

BTK ve Mevzuat Uyum Neleri Kapsar?

  1. Mevzuat Analizi ve Yetkilendirme Durumu Tespiti - 5651, 5809, BİG-RE, KVKK kapsamındaki tüm yükümlülüklerin analizi
  2. Loglama ve Veri Saklama Altyapısı Değerlendirmesi - Zaman damgası, bütünlük kontrolü, log süresi, yedekleme testleri
  3. Politika ve Prosedürlerin Oluşturulması - Log yönetimi, erişim kontrolleri, ihlal bildirimi, veri imha politikaları
  4. BTK / ESB Denetimine Hazırlık - Denetim listeleri, doküman kontrolleri, teknik kanıt dosyaları
  5. Yasal Raporlama ve Düzeltici Faaliyet Takibi - BTK taleplerine uygun düzeltme planları
  6. Sürekli Mevzuat Takibi ve Güncellemeler - Yeni BTK kararları, VERBİS yükümlülükleri, loglama tebliğleri

Sonuç

BTK ve ilgili mevzuatlar, Türkiye’de internet altyapısını yöneten her işletme için bağlayıcıdır. İnternet Servis Sağlayıcı, Yer Sağlayıcı veya ESB üyesi bir kuruluş olarak, yükümlülüklere tam uyum sağlamanız hem yasal riskleri ortadan kaldırır hem de BTK denetimlerinde güvenli konum elde etmenizi sağlar.

Profesyonel danışmanlık desteğiyle bu süreçler tek çerçevede yönetilerek;

  • 5651 - 5809 - BİG-RE - KVKK gereklilikleri,
  • loglama, saklama, erişim ve raporlama sistemleri,
  • denetim dokümantasyonu entegre biçimde kurgulanabilir.