BIRINCI BÖLÜM
Amaç, Kapsam ve Tanimlar Amaç
Madde 1- Bu Kanunun amaci; ulusal güvenligi ilgilendiren bilgilerin
korunmasi, Devletin bilgi güvenligi faaliyetlerinin gelistirilmesi, gerekli
politikalarin üretilmesi ve belirlenmesi, kisa ve uzun dönemli planlarin
hazirlanmasi, kriter ve standartlarinin saptanmasi, ihracat ve ithalat
izinlerinin ve sertifikalarinin verilmesi ,bilgi sistemlerinin teknolojiye
uyumunun saglanmasi, uygulamanin takip ve denetimi kamu ve özel kurum ve
kuruluslarin arasinda koordinasyonun saglanmasi amaciyla bir teskilatin
kurulmasi ve görevlerine iliskin esas ve usulleri düzenlemektir.
Kapsam
Madde 2- Bu Kanun, ulusal güvenligi ilgilendiren bilgiye islem yapan kamu ve
özel kurum ve kuruluslari ile yerel yönetimleri, kamu kurumu niteligindeki
meslek kuruluslarini, üniversiteleri, bu yerlerde çalisan personeli, diger tüzel
ve gerçek kisileri, bilgi güvenliginden faydalananlari ve faydalanacak durumda
olanlari kapsar.
Tanimlar
Madde 3- Bu kanunda geçen deyimlerden;
a) Ulusal Bilgi Güvenligi; Ulusal
güvenligi ilgilendiren, yetkisiz ellere geçtigi taktirde devletin güvenligini
tehlikeye sokabilecek veya devlet aleyhine kullanilabilecek her türlü bilgiyi,
üretim, kullanim ,islenme saklanma ,nakledilme ve imha sirasinda yetkisiz
kisilerin erisimine ve olasi her türlü fiziksel ve elektronik müdahaleye karsi
korumaya; bilgiye erisim ve kullanima ait usulleri açik sekilde belirlemeye ve
bilgiyi gerektiginde hazir bulundurmaya yönelik tedbirleri,
b) Haberlesme Güvenligi: Ulusal güvenligi ilgilendiren bilginin özellikle
telekomünikasyon kanallarindan gönderilmesi sirasinda yetkisiz kisiler
tarafindan elde edilmesinde ve içeriginin açiga çikarilmasina ve diger her türlü
müdahaleye karsi alinan tüm tedbirleri,
c) Fiziki Güvenlik: Ulusal güvenligi ilgilendiren bilgiyi ihtiva eden ya da
bu bilgiye islem yapan cihaz, malzeme ve tesisi, yetkisiz kisilerin erisimine
karsi korumak üzere alinan fiziksel tedbirleri,
d) Personel Güvenligi. Ulusal güvenligi ilgilendiren bilgiye yalnizca yetki
verilen kisilerin, bilmeleri gerektigi oranda erisebilmeleri için alinan tüm
tedbirleri,
e) Teknik Güvenlik: Yurt içinde ve yurt disinda personel,araç,donanim ve
binalarda dinleme ve gözetleme amaciyla yapilan teknik yerlesmelere karsi alinan
tüm güvenlik tedbirlerini,
f) TEMPEST:Tüm elektronik teçhizattan ve bunlarin kurulusundan iletkenlik ve
isima yoluyla istem disi yayilan bilginin önlenmesine iliskin alinan tedbirleri,
g) Güvenlik hali: Bilginin güvenliginin bilerek veya istenmeyerek yapilan
herhangi bir islem nedeni ile tamamen ya da kismen ortadan kaldirilmasini,
h) Kripto: Birbirleriyle haberlesen iki tarafin ,haberlesmesi esnasinda
üçüncü tarafa bilgi sizdirmamak amaciyla bilginin gizlenmesini saglayan
sistemleri,
i) Kriptoloji:Kriptografi ve kripto analiz konulari ile
ilgilenen bir bilim dalini,
j) Kripto Sistemleri: Sifreleme ve sifre çözme
etkinliklerinden birisini veya ikisini birden yerine getirmeye yarayan, bu
sistemler kapsaminda veri iletisimi de dahil olmak üzere her türlü iletisim
sistemlerinde kullanilan sistemleri
k) Kriptografik Algoritma: Bir bilginin
gizlenmesi için yapilan matematiksel bir islemi,
l) Ulusal Bilgi Agi: Kamu
ve özel kuruluslarda ulusal güvenligi ilgilendiren bilgiye islem yapan mevcut
terminalleri, bilgi teatisi maksadiyla birbirine baglayan agi,
m) Üst Kurul:
Ulusal Bilgi Güvenligi Üst Kurulunu
n) Kurum: Ulusal Bilgi Güvenligi Kurumu
Baskanligini, ifade eder
IKINCI BÖLÜM
Kurulus ve Görevler
Kurulus
Madde
4- Ulusal bilgi güvenliginin saglanmasi amaciyla basbakanliga bagli Ulusal Bilgi
Güvenligi Üst Kurulu ile tüzel kisilige sahip katma bütçeli Ulusal Bilgi
Güvenligi Kurumu Baskanligi kurulmustur. Ulusal Bilgi Güvenligi Üst Kurulu Madde
5- Ulusal Bilgi Güvenligi Üst Kurulu ; Ulusal bilgi güvenligi alaninda genel
direktif organi olup, basbakanin baskanliginda; Adalet,Milli
Savunma,Içisleri,Disisleri,Ulastirma,Sanayi ve Ticaret Bakanlari ile Milli
Güvenlik Kurulu genel sekreteri, Genel Kurmay Muharebe Elektronik ve Bilgi
Sistemleri Baskani,Milli Istihbarat Teskilati Müstesari, Türkiye Bilimsel Ve
Teknik Arastirma Kurumu ile kurum baskanindan olusur. Basbakanin katilmadigi
hallerde üst kurula, Adalet Bakani baskanlik eder. Üst kurulun daimi üyeleri
tarafindan ihtiyaç duyuldugu hallerde, diger bakanlar ile kamu ve özel kurum ve
kuruluslarinin temsilcileri de üst kurul toplantilarina katilabilir. Üst Kurulun
toplanti yeter sayisi daima üyelerin üçte ikisidir. Kararlar, toplantiya katilan
daimi üyelerin oy çoklugu ile alinir. Toplantilara katilmalari uygun görülen
diger kisilerin oy hakki yoktur. Üst Kurul, Nisan ve Ekim aylarinda olmak üzere,
yilda iki defa olagan olarak toplanir. Üst Kurulun gündemi, Basbakan tarafindan
belirlenir. Basbakan, daimi üyelerden birisinin talebi üzerine, Üst Kurulu
olaganüstü toplantiya çagirabilir.
Üst Kurulun sekreterya hizmetleri, kurum
tarafindan saglanir.
Ulusal bilgi güvenligi kurumu baskanligi
Madde 6-
Ulusal Bilgi Güvenligi Kurumu Baskanliginin teskilati, asagida isimleri
belirtilen ana hizmet birimlerinden olusur:
a) Plan Program ve Koordinasyon
Daire Baskanligi, b) Bilgi Güvenligi Daire Baskanligi, c) Kriptoloji Daire
baskanligi, d)Bilgi Destek Daire Baskanligi, e)Denetleme ve Bilgilendirme Daire
Baskanligi, Kurumun danisma birimi, Uluslararasi Iliskiler ve Hukuk Müsavirligi;
yardimci birimleri ise, Ulusal Bilgisayar Güvenligi Merkezi Müdürlügü ve Genel
Sekreterliktir. kurumun teskilati Ek'li cetvelde gösterilmistir. Ulusal bilgi
güvenligi üst kurulunun görevleri
Madde 7- Ulusal Bilgi Güvenligi Üst
Kurulunun görevleri asagida belirtilmistir:
a)Ulusal bilgi güvenligine
yönelik tehdidi degerlendirmek, ulusal bilgi güvenligi siyasetinin tayini,
tespiti ve uygulamasiyla ilgili kararlari almak ve kuruma bu konuda direktif
vermek,
b)Tespit edilen ulusal bilgi güvenligi siyasetine iliskin kararlar
dogrultusunda yapilan uygulamalari incelemek, degerlendirmek ve yönlendirmek,
c)Ulusal bilgi güvenligine iliskin mevzuat degisikligi tekliflerini
degerlendirmek.
Ulusal Bilgi Güvenligi kurumu Baskanliginin Görevleri
Madde 8-
Ulusal Bilgi Güvenligi kurumu Baskanliginin görevleri asagida belirtilmistir:
a) Ulusal bilgi güvenligine karsi yurt içi ve yurt disi tehdidin tespit
edilmesini saglamak, gerekli tedbirleri almak ve alinmasini saglamak,
b)Ulusal bilgi güvenligi sistemini olusturmak için politika, konsept, ilke,
standart ve usulleri tespit etmek ve gelistirmek,
c)Ulusal bilgi
güvenliginin saglanmasina esas olarak bilginin gizlilik, bütünlük ve kullanima
hazir olmasini saglayacak tedbirleri belirlemek, uygulamak, uygulanmasini
saglamak ve kontrol etmek, ç)Ulusal bilgi güvenligi risk yönetimi ve
degerlendirmesini yapmak ve yapilmasini saglamak,
d)Ulusal bilgi güvenligi
alt yapisini korumak maciyla gerekli görülecek ulusal bilgi güvenligi sistemi
esaslarini tespit ederek kurmak ve gelistirmek,
e)Ulusal bilgi güvenligi
sisteminin mimarisinin olusturulmasinda caydirma, koruma, ikaz, tespit, onarim
ve tedbir unsurlarini belirlemek,
f)Ulusal bilgi güvenligi ile ilgili
uluslararasi mevzuat ve teknolojideki gelismeleri takip etmek,
g)Güvenlik
hassasiyeti gösteren personel, yazilim, donanim, kripto, iletisim ortamlarini ve
iletisim aglarini her türlü tehdit kaynagina karsi maliyet etkin tedbirlerle
koruma altina alinmasin saglamak, bu tedbirleri uygulamaya sokmak ve kontrol
etmek,
h) ulusal bilgi güvenligine iliskin güvenlik kategorilerini ve
sistemin minimum güvenlik ihtiyaçlarini belirlemek, uygulamasini saglamak,
i) Tüm gizlilik dereceli ve tasnif disi hassas bilgiye islem yapacak
birimler ve sebekeler için onay vermek,
i) ulusal güvenligi ilgilendiren
bilgiye islem yapacak donanim ve yazilim ihtiyaçlarina ait güvenlik
degerlendirmesini yapmak ve degerlendirilmis ürün listelerini hazirlamak ve
yayimlamak,
j) Haberlesme güvenligi sistemlerinin tehdit analizi ve
hassasiyet degerlendirmelerini yapmak, k)hassas ve gizlilik dereceli bilgiyi
korumak üzere, anahtarlama materyali üretim esaslarini belirlemek,
l)
TEMPEST standartlarini hazirlamak ve onay islemlerini gerçeklestirmek,
m)
Kripto sistemlerinde kullanilacak materyal ve anahtarlari üretecek teçhizati
onaylamak, kripto anahtarlarinin dagitilmasina iliskin standartlari ve
yöntemleri belirlemek ve denetlemek,
n)Ulusal bilgi güvenligi gerekleri,
ihtiyaçlar, ticaret ve gizlilik arasinda uygun bir denge kurarak kriptolojik
malzemelerin ihracat ve ithalatiyla ilgili Genelkurmay Baskanligi ve Disisleri
Bakanligi'nin uygun görüsleri alinarak gerekli lisanslari vermek,
o)Ulusal
bilgi güvenligi ile ilgili mevzuat degisikliklerine iliskin teklifleri Üst
Kurula sunmak, ö) Bilgi çaginin gerektirdigi çagdas güvenlik tedbirlerini
belirleyerek Üst Kurula teklif etmek,
p)Üst Kurulun almis oldugu karar ve
direktifleri uygulamak,
r) Ulusal bilgi güvenligi amaciyla, Genelkurmay
Baskanligi ve Disisleri Bakanligi ile koordineli olarak diger ülkelerle ve
uluslararasi kuruluslarla isbirligi yapmak, Sistemlerin, nihai sistem güvenlik
kriterlerini belirlemek ve onay islemlerini yapmak.
s) Ulusal bilgi
güvenligi konusunda egitim standartlarini belirlemek, plan ve programlari
yapmak,
t) ulusal bilgi güvenligi konusunda arastirma ve gelistirme
faaliyetlerini saglamak,
u) Kamu ve özel kurum ve kuruluslar için gizlilik
dereceli bilgi veya kripto cihazlarina iliskin her türlü yetki belgesi (klerans)
düzenlemek ve onay yöntem ve usullerini belirlemek, uygulanmasini saglamak, ü)
Ulusal bilgi güvenligi konusunda üretim yapan kamu ve özel kurum ve
kuruluslarini bir program çerçevesinde denetlemek ve üretilen ürünleri
onaylamak.
Uluslararasi Iliskiler ve Hukuk Müsavirligi
Madde 9- Uluslararasi
Iliskiler ve Hukuk Müsavirligi, Kurum Baskanina dogrudan bagli olup görevleri
asagida belirtilmistir :
a) Uluslararasi Bilgi Güvenligi politikasinin
olusturulmasinda uluslararasi iliskileri ve gelismeleri takip etmek,
degerlendirmek, koordine etmek ve önerilerde bulunmak, gerekli kanun tasarisi
taslaklarini hazirlamak,
b) Ulusal bilgi güvenligi konusunda Kurum
tarafindan hazirlanan veya Basbakanlik, Bakanliklar ve kuruluslardan gönderilen
kanun, tüzük ve yönetmelik Taslaklarini hukuki açidan inceleyerek, görüs
bildirmek,
c) Ulusal Bilgi Güvenligine iliskin konularda altyapi temina
modelinin olusturulmasi ve altyapinin güvenirliginin saglanarak kullanima hazir
tutulmasi için gerekli yasal düzenlemeleri ve sözlesmeleri hazirlamak,
d)
Bireysel mahremiyeti koruma ve birey için gerekli kamu bilgisine erisimi
saglayici yasal düzenlemeleri belirlemek,
e) Uluslararasi Bilisim
güvenligine iliskin suçlarin mevzuatimizda yer almasi için gerekli kanun
tasarisi taslaklarini hazirlamak,
f) 4353 sayili kanun hükümlerine göre adli
ve idari davalara iliskin gerekli bilgileri hazirlamak, Maliye Bakanligi
Bashukuk Müsavirligi ve Muhakemat Genel Müdürlügünü ilgilendirmeyen idari
davalarda kurumu temsill etmek,
g) Uluslararasi Bilgi Güvenligi tehdide
ugradigi hallerde ekonomik kisitlama, diplomatik yanit gibi tedbirlerin
kullanimini Disisleri Bakanligi ve ilgili Bakanliklarla koordine etmek ve
önerilerde bulunmak,
h) Kurum tarafindan verilen diger görevleri yapmaktir.
Ulusal Bilgi Güvenligi Merkezi
Madde 10- Ulusal Bilgi güvenligi merkezinin görevleri asagida belirtilmistir
:
a) Güvenli bilgi sistemlerinin genis bir sekilde, kullanimini tesvik
etmek,
b) Endüstri ve Kamu tarafindan gelistirilmis sistemlerin, teknik
koruma yeteneklerini degerlendirmek,
c) Bilgi güvenligi konusunda faaliyet
gösteren, kamu ve endüstri Gruplarinin teknik destegini saglamak,
d) Bilgi
sistemlerinin degerlendirilmesi için, gerekli teknik kriterleri gelistirmek,
e) Ticari Sistemleri degerlendirmek,
f) Bilgisayar ve Ag Güvenlik
teknoloji arastirmalarini icra ve yönlendirmek,
g) Güvenli Bilgi
Sistemlerini gelistirme ve test etmede kullanmak için, gerekli modifikasyon ve
analiz techizatini gelistirmek ve bilisim emniyetini saglamak,
h) Bilgi
güvenligi sahasinda egitim vermek,
i) Kamu ve Endüstrinin diger bölümlerine
bilgi güvenlik bilgisini dagitmak,
j) Tehdidin türüne göre gelistirilen
karsi tedbirleri gerektiginde uygulamaya koymak,
Genel Sekreterlik
Madde 11- Genel Sekreterligin Görevleri Asagida Belirtilmistir :
a) Kurum
Baskaninin resmi ve özel yazismalarini yürütmek,
b) Kurumun idari,
bakim-onarim ve idame hizmetlerine iliskin görevlerini yürütmek,
c) Kurumun
maliye ve satin alma hizmetlerini saglamak,
d) Kurumun güvenlikle ilgili
hizmetlerini yürütmek,
e) Üst Kurulun sekreteryasini yapmak,
ÜÇÜNCÜ BÖLÜM
ANA HIZMET BIRIMLERI VE GÖREVLERI
Plan, Program ve Koordinasyon Dairesi Baskanligi
Madde 12- Plan, Program ve Koordinasyon Dairesi Baskanliginin Görevleri
asagida belirtilmistir :
a) Telekomünikasyon ve Bilgi sistemleri ortamindaki
degisimlere uyum saglayacak Ulusal bilgi güvenligi politikasinin olusturulmasi
için gerekli verileri hazirlamak, prensipleri belirlemek,
b) Ulusal Bilgi
güvenligi ile ilgili olarak görev alanina iliskin planlama ve programlama
faaliyetlerinde bulunmak, gerekli mevzuati düzenlemek,
c) Ulusal Bilgi
güvenligi altyapi esaslarini ortaya koymak yapilmis olan risk analizleri
neticelerine göre altyapiyi iyilestirici tedbirleri belirlemek
d) Uyusum
standartlari ve kriterlerini ortaya koymak,
e) Ulusal Bilgi güvenligi
konusunda bilgilendirme ve egitim faaliyetlerini planlamak,
f) Kamu ve özel
sektöre Ulusal bilgi güvenligine iliskin danismanlik ve teknik yardim saglamak,
g) Kurumun personel faaliyetlerini yürütmek ve koordine etmek,
h) Ulusal
Bilgi Güvenligi Baskanliginin bütçe düzenleme faaliyetlerini yürütmektir.
Bilgi Güvenlik Dairesi Baskanligi
Madde 13- Bilgi Güvenlik Dairesi Baskanliginin Görevleri asagida
belirtilmistir :
a) Ulusal bilgi Güvenligi ihlallerine karsi alinacak
tedbirleri belirlemek, ihlallere karsi gerekli tedbirleri almak ve ilgili
makamlarla koordineli olarak uygulanmasini saglamak,
b) Ulusal Bilgi
güvenligi açisindan Personel güvenligine, fiziki güvenlige ve donanim ve yazilim
güvenligine iliskin usul, kriter ve prensipleri belirleyerek dökümantasyonunu
hazirlamak,
c) Kurumun , ulusal bilgi agi TEMPEST, haberlesme güvenligi ve
teknik güvenligine iliskin usul, kriter ve prensiplerini belirleyerek
dökümantasyonunu hazirlamak,
d) Elektronik kripto disinda ihtiyaç duyulacak
kod ve parola sistemlerini belirlemek, gelistirmek ve üretmek,
e) Iletisim
ortamlari , donanim ve aglar için tehdidi ve zafiyeti dikkate alarak risk
analizleri yapmak, ve risk yönetim usullerini belirlemek, risk analizleri
sonucunda belirlenmis koruyucu tedbirleri uygulamaya koymak,
f) Yazilim
Güvenlik, kriter ve standartlarini belirlemek,
g) Ulusal ve uluslararasi
iletisim aglarina iliskin olarak ulusal bilgi güvenligi açisindan güvenlik,
usul, kriter ve prensipleri belirlemek, dökümantasyonunu sagllamak,
h)
Güvenlik denetimlerine ilgi alani itibariyle katilmak, alt kurulara sekreterya
hizmeti vermek ve görev alanina iliskin mevzuat degisikliklerine iliskin
teklifleri hazirlamaktir.
Kriptoloji Dairesi Baskanligi
Madde 14- Kriptoloji Dairesi
Baskanliginin görevleri asagida belirtilmistir :
a) Kriptografik algoritma
,ihtiyaçlarini belirlemek, üretiminin denetimini yapmak ve kütüphanesini
olusturmak,
b) Kripto cihaz ve kriptografik bilginin ihracat ve ithalatinda
Genel Kurmay baskanligi, Disisleri Bakanligi ve gerektiginde ilgili diger
bakanliklarla koordineli olarak esas ve usulleri belirlemek, lisans belgesi
vermek,
c) Risk analizleri ve risk azaltma planlari yapmak , kabul
edilebilir riski tespit etmek,
d) Kripto merkezlerinin saglamasi gereken
kriterlerini ve denetleme usul ve esaslarini belirlemek, denetleme raporlarini
degerlendirerek onay vermek, kripto anahtar üretimi ve dagitimini yapmak,
gerektiginde kurum ve kuruluslara kendi kripto anahtar üretimi ve dagitimi
konusunda yetki vermek,
e) Gizlilik derecesiz uygulamalarda da kripto
kullanim esaslarini belirlemek, uygulamalari tesvik etmek ve denetlemek
f)
Kripto cihaz ve dökümantasyonu için, kripto saymanlik, isletme, bakim ve onarim
usullerini belirlemek,
g) Kripto ihlallerine karsi alinacak tedbirleri
belirlemek ve gerekli tedbirleri almak,
h) Her tür kriptografik yöntem ve
teçhizata iliskin sertifikasyon ve onay usullerini belirlemek,
I) Kripto
hizmetlerinde çalistirilacak personele kripto yetki belgesi verilmesi esas ve
usullerini belirlemektir.
Bilgi destek dairesi baskanligi
Madde 15- Bilgi Destek Dairesi
Baskanliginin görevleri asagida belirtilmistir; a) Ulusal bilgi güvenligi
altyapisina karsi iç ve dis tehdidi teshis etmek, tanimlamak, genel tehdit
degerlendirilmesi yapmak ve Üst Kurula sunmak, b) Ulusal bilgi güvenligine karsi
tehdidin teknik özelliklerini ve muhtemel etkilerini belirlemek, karsi
tedbirleri gelistirmek, c) Istihbarat üreten kurum ve kuruluslar ile bilgi
güvenligine iliskin istihbarat bilgisi degisimi için protokoller yapmak, d)
Mevcut ve tasarlanan iletisim ortamlari, donanim ve aglar için tehdidi ve
zafiyeti dikkate alarak risk analizleri yapmaktir.
Denetleme ve degerlendirme dairesi baskanligi
Madde 16- Denetleme
ve Degerlendirme Dairesi Baskanliginin görevleri asagida belirtilmistir;
a)
Ulusal bilgi güvenligi açisindan kripto, bilgi güvenlik ve TEMPEST denetleme
kriter ve usullerini belirlemek ve gelistirmek, b) Kripto denetleme
programlarini hazirlamak, kripto merkezlerinin kriterlere uygunlugunun
denetlemesini saglamak, gerektiginde denetlemek ve denetleme raporlarini
degerlendirmek, c) Ulusal bilgi güvenligi sistemlerine karsi yapilan saldirilari
ve güvenlik ihlallerini degerlendirmek, d) Egitim, ögretim ve biçimlendirme
ihtiyaçlarini tespit etmek, e) Genel degerlendirme raporu hazirlayarak Üst
Kurula sunmak, f) Iletisim ortamlari, sebeke, yazilimlara ait güvenlik
sistemleri ile ilgili denetleme usul ve kriterlerine belirlemek, gelistirmek,
denetleme yapilmasini saglamak, gerektiginde denetlemek ve denetleme raporlarini
degerlendirmek, g) TEMPEST standartlarini hazirlamak ve onay islemlerini
gerçeklestirmek, h) Ulusal bilgi güvenlik alt yapisina ait sistemlerin nihai
sistem güvenlik kriterlerini belirlemek ve onay islemlerini yapmak.
DÖRDÜNCÜ BÖLÜM
Çesitli Hükümler
Gizlilik dereceleri
Madde 17- Bilgi güvenliginin saglanmasindan
kullanilacak gizlilik dereceleri ile hangi makam tarafindan ne sekilde
verilecegi hususlari Kurum tarafindan çikartilacak yönetmelikte düzenlenir.
Kamu ve özel kurum ve kuruluslarinin yükümlülügü
Madde 18- Tüm kamu ve
özel kurum ve kuruluslari, ulusal güvenligi ilgilendiren bilginin korunmasi için
kendi idari yapilari içerisinde gereken organizasyonu kurmak veya degisiklikleri
yapmak ve gerekli tedbirleri almak konusunda sorumludurlar.
Ulusal bilgi
güvenligi, tüm kamu ve özel kurum ve kuruluslarda bir bütün olarak
degerlendirilir ve gerekli koordinasyon Kurum tarafindan saglanir. Bu amaca
yönelik tüm kaynaklar yerinde, zamaninda ve en etkin bir sekilde kullanilir.
Kamu ve özel kurum ve kuruluslari, Kurum tarafindan bu Kanunun uygulanmasina
iliskin olarak yayimlanan esas ve usullere uymak zorundadir.
Kurum, gerekli
gördügü ulusal bilgi güvenliginin saglamaya iliskin bilgileri, bu Kanun
kapsamina giren kamu ve özel kurum ve kuruluslardan dogrudan istemeye
yetkilidir. Bu konuda istenen gizlilik dereceli her türlü bilgi, makam onayi ile
en kisa zamanda verilir.
Özel kanunlardaki hükümler saklidir.
Kisi ve
kurumlarin hizmetlerinden yararlanma
Madde-19 Genel ve katma bütçeli
idareler, kamu iktisadi tesebbüsleri ile bunlara bagli kuruluslar ve
müesseselerde çalisanlar, Kurumda sözlesmeli olarak istihdam edilebilirler. Bu
personel kurumundan ayliksiz izinli sayilir. Izinli olduklari sürece
memuriyetleri ile ilgili özlük haklari devam ettigi gibi bu süreler terfi ve
emekliliklerinde hesaba katilir. Kurumda çalistiklari sürece bunlarin sicilleri
Kurum tarafindan verilir ve bu sicillere göre kendi kurum ve kuruluslarinca
terfileri yapilir. Bu personelin, çalisma usul, esas, ücret ve sayilarina
iliskin hususlar, Bakanlar Kurulu Karariyla tespit edilir. Ancak bu personelin
ayliklari, hiçi bir halde kendi kurum ve kuruluslarinda aldiklari ayliklardan az
olamaz.
Birinci fikrada belirtilen kurum ve kuruluslarda görevli personel,
gerektigi hallerde aylik, ek gösterge, ödenek, her türlü zam ve tazminatlar ile
diger mali ve sosyal hak ve yardimlari kendi kurumlarinca ödenmek tabi olduklari
kanun hükümleri çerçevesinde geçici olarak Kurumda görevlendirilebilirler.
Kadrolar ve personel
Madde 20- Kadrolarin tespit, ihdas, kullanim
ve iptali ile kadrolara ait diger hususlar, 190 sayili Genel Kadro ve Usulü
Hakkinda Kanun Hükmünde Kararname hükümlerine göre düzenlenir.
Kurumda
baskan, baskan yardimcilari, hukuk müsavirleri, daire baskanlari, sube
müdürleri, mühendisler ve yüksek ögrenim görmüs olanlar, kadro karsilik
gösterilmek kaydiyla 657 sayili Devlet Memurlari Kanunu ve diger kanunlarin
sözlesmeli personel hakkindaki hükümlerine bagli olmaksizin sözlesmeli olarak
çalistirilabilir. Kurumda baskan, baskan yardimcilari ve daire baskanlari olarak
atanacak personelde bu sahada en az lisans düzeyinde egitim yapmalari ve kamu
kurum ve kuruluslarinda Kurumun ilgi alanini olusturan görevlerde en az 10 yil
görev yapmis olmalari sarti aranir.
Bu sekilde çalistirilacak sözlesmeli
personelin sayisi, sözlesme usul ve esaslari Basbakanlikça tespit edilir.
Sözlesme ile çalistirilacak personel, istekleri üzerine Türkiye Cumhuriyeti
Emekli Sandigi ile ilgilendirilir.
Atama
Madde 21- Kurum Baskani, baskan yardimcilari, birinci hukuk
müsaviri ve daire baskanlari sözlesmeli olarak çalistirilmadiklari takdirde,
haklarinda 657 sayili Devlet Memurlari Kanununun istisnai memuriyete iliskin
hükümleri uygulanir. Bunlardan Baskan, Basbakan'in onayi ile; diger personel
ise, Baskanin onayi ile atanir.
Sözlesme ile arastirma, etüd, proje ve program yaptirma
Madde 22-
Kurumun hizmetlerine iliskin arastirma, etüd, proje ve program isleri,
üniversiteler ile gerçek ve tüzel kisilere sözlesme ile yaptirilabilir.
Kurumun gelirleri
Madde 23- Kurumun gelirleri asagida belirtilmistir; a)
Genel bütçeden yapilacak hazine yardimi b) Döner sermaye gelirleri
Döner
Sermaye Isletmesi
Madde 24- Kurumda, bu Kanunda öngörülen faaliyet temel ve
sürekli görevlere bagli olarak ortaya çikan üretim ve hizmet fazlasinin
degerlendirilmesi amaciyla döner sermaye isletmesi kurulabilir.
Döner
sermaye isletmesinin sermaye limiti 2.5 trilyon Türk Lirasidir. Tahsis edilen
sermaye miktari, Maliye Bakanliginin uygun görüsü üzerine Bakanlar Kurulunca on
katina kadar artirilabilir. Bu suretle artirilan sermaye, elde edilen gelirle
karsilanir.
Döner sermaye, Basbakanlik bütçesine konulan ödenekle, Hazinece
verilecek ayni yardimlar, döner sermaye gelirinden elde edilecek karlar, bagis
ve yardimlardan olusur.
Ödenmis sermaye tutari, tahsis edilen sermaye
tutarina ulastiktan sonra elde edilen karlar, hesap dönemini izleyen yilin Subat
ayi sonuna kadar Hazineye gelir kaydedilmek üzere Kurum saymanligina yatirilir.
Döner sermaye faaliyetlerinin gerektirdigi giderler ile Bütçedeki ödenekten
karsilanamayan kiralama, satin alma, araç, gereç, arastirma ve benzeri diger
ihtiyaçlar döner sermayeden karsilanir.
Döner sermaye isletmesinin faaliyet
alanlari, gelir kaynaklari, mali ve idari islemlerine iliskin usul ve esaslar
Maliye Bakanligi ile Sayistay'in görüsleri alinarak hazirlanacak yönetmelikle
düzenlenir.
Döner sermaye isleri 1050 ve 832 sayili Kanunlarin vizeye
iliskin hükümlerine tabi degildir. Ancak gelir ve giderler için bütçe yili
sonundan itibaren 3 ay içinde düzenlenecek yillik bilançolar ve ekleri gelir ve
gider belgeleri ile birlikte Sayistay Baskanligina, tasdikli birer sureti de
Maliye Bakanligina gönderilir.
Ceza Hükmü
Madde 25- Kamu ve özel Kurum kuruluslarin yöneticisi
durumunda olan personelden, bu kanunun 18.maddesinde belirtilen yükümlülükleri
yerine getirmeyenler, bu fiilleri baska bir suça vücut verse bile ayrica bir
yildan bes yila kadar hapis cezasi ile cezalandirilirlar. Failin bu fiilden
kendisi veya bir baskasi yararina bir menfaat temin etmesi veya fiilin bir
zarara sebebiyet vermesi halinde hapis cezasi iki yildan az olamaz.
Geçici
Madde- 1- Üst Kurul ile Kurumun çalisma usul ve esaslari dairelerin alt
birimlerinin kurulus ve görevlerine iliskin usul ve esaslar, Döner sermaye
isletmesine iliskin usul ve esaslar ile Kanunun uygulanmasinda ihtiyaç duyulacak
usul ve esaslar, Kanunun yürürlüge girdigi tarihten itibaren bir yil içinde
Kurum tarafindan hazirlanacak ve Bakanlar Kurulu karariyla yürürlüge konulacak
yönetmeliklerde gösterilecektir.
Geçici madde 2- Ekli (1) sayili listede
belirtilen kadrolar ihtas edilerek 190 sayili Kanun hükmünde Karanamenin (1)
sayili cetveline " Ulusal Bilgi Güvenligi Üstkurulu ileUlusal Bilgi güvenligi
Kurumu Baskanligi" bölümü olarak eklenmistir.
Geçici Madde 3- Bu Kanunun
kabulu ile asgari ihtiyaçlari karsilayacak çekirdek kadro ile faaliyete
geçirilecek kendi ihtiyaçlari dogrultusunda azami üç yil içinde nihai
teskilatini kuracaktir.
Yürürlük
Madde 26- Bu Kanun yayimi tarihinde
yürürlüge girer.
Yürütme
Madde 27- Bu Kanun hükümlerini Bakanlar Kurulu
yürütür.
EK-A DEVAMI EK (1) SAYILI CETVEL
ULUSAL BILGI GÜVENLIGI
KURUMU BASKANLIGI TESKILATI
i)BASBANLIK
Baskan
ii)DANISMA BIRIMLERI
Uluslararasi Iliskiler ve Hukuk Müsavirligi
iii) ANA HIZMET BIRIMLERI
1.Plan Program ve Koord. D.Bsk.ligi
2.Bilgi Güvenlik D.Bsk.ligi
3.Kriptoloji D.Bsk.ligi
4.Bilgi Destek D.Bsk.ligi
5.Denetleme ve Degerlendirme D.Bsk.ligi
iv) YARDIMCI BIRIMLER
1.UlusalBilgisayarGüvenlik Merkezi Müdürlügü
2.Genel Sekreterlik
GENEL GEREKÇE
Günümüzde bilgi; tarih boyunca oldugundan süratle
iletilmekte, buna bagli olarak da üretilen bilginin saklanmasi, kullanilmasi,
bir yerden diger bir yere nakledilmesi ve imhasi için klasik usullerin disinda,
gelisen teknolojiden sonuna kadar yararlanma geregi ortaya çikmistir.
Teknolojiye ve bilgiye olan bu bagimlilik, ülkeleri, bilginin korunmasi için
yeni usuller gelistirmeye ve yasal düzenlemeler yapmaya mecbur birakmistir.
Bilgi teknolojisine giderek artan bagimliligin sonucu olarak, merkezi
kontrol, devlet yönetimi, ekonomik ve toplumsal hayatin her yönünün ortak
bileseni bilgi altyapisinin kötü niyetli kisilere, terörist faaliyetlere ve
dogal afetlere karsi korunmasi önem kazanmistir. Kamu ve özel kurum ve
kuruluslarin kendi yapilarina uygun farkli bir güvenlik önlemleri almalari ve bu
konuda ulusal bir politikanin olmayisi, Ülkemizin ulusal güvenligini hassas hale
getirmektedir. Bilgi güvenligi konusundaki ulusal politika ile; motivasyonlari
ve görev alanlari farkli olan kamu ve özel sektörün, gerek kendi islerinde,
gerekse karsilikli iliskilerinde her türlü tehdit ve hassasiyete karsi bilgi
güvenligini tam olarak saglayacak ilke ve önceliklerin tespiti gerekmektedir.
Ulusal bilgi güvenligine yönelik tehdidin ulusal bilgi altyapimizi
etkilemek, zarar vermek ve taarruz etmek için birçok farkli seçenegi vardir.
Altyapiya karsi saldirilar teknik yeteneklerden, motivasyona kadar birçok
degisiklik arz ederek, veri tabanini karistirmasi veya programlarin
uygulamalarini bozma yada fiziksel olarak yok edecek biçimde çatisma seviyesine
(baris, kriz ve savas) uygun olarak yapilir. Nispi baris periyodu sirasinda dahi
tehdidin, degisik seviyelerde devamli olarak mevcut oldugunu unutmamak gerekir.
Tehdidin kaynaklari bireylerden (muhbir ve yetkisiz kullanicilar) karmasik
ulusal organizasyonlara (yabanci istihbarat servisleri ve askeri istihbarat
unsurlari) kadar genis bir yelpaze olarak ortaya çikmaktadir. Bu gruplar
arasindaki sinirlar belirsiz oldugundan, genellikle olayin kaynagini tespit
etmek oldukça zordur.
Türkiye Cumhuriyeti Devleti'nin ulusal ve ekonomik
güvenligini etkileyen ulusal bilgi altyapisinin bugünkü haliyle güvenirlik ve
hizmete hazir olma kriterleri açisindan ihtiyaçlari tam olarak karsilamadigi
degerlendirilmektedir. Altyapinin tehtide ve hassasiyetlere karsi yetersiz
olusu, altyapida muhtemel kesintilere ve olabilecek kötü niyetli saldirilara
karsi hassasiyeti arttirmaktadir. Bu nedenle, bu tür tehtidleri ortaya çikarmak
ve gerekli önlemleri almak üzere merkezi bir yönetim birimine ihtiyaç
duyulmaktadir.
Bu çerçevede, Devletin kamu ve özel tüm kurum ve
kuruluslarinin endüstriyel, politik, ekonomik ve sosyal alanlarda kaçinilmaz
olarak etkilesim içinde oldugu hususu dikkate alinarak, ortak olarak
kullandiklari altyapinin, Devletin ulusal ve ekonomik çikarlari için güvence
altina alinmasi amaçlanmistir. Öngörülen ana esaslar çerçevesinde sorunun;
ulusal güvenlik politikasindan sorumlu üst organin direktiflerine uygun olarak,
gecikmeksizin çözümlenmesi için merkezi bir ulusal bilgi güvenligi yönetim
yapisinin olusturulmasi ihtiyaci ortaya çikmistir. Bu baglamda, Hükümet
seviyesinde ulusal güvenlik ihtiyaçlari dogrultusunda genel prensipleri vazeden
bir üst organ; direktifleri ve yasalarda verilen görevleri uygulayacak ve ulusal
bilgi güvenlik sistemini isletecek bir yönetim birimi teskili yoluna
gidilmektedir. Taslak ile; ulusal güvenligi ilgilendiren bilgilerin korunmasi ve
devletin bilgi güvenligi faaliyetlerinin gelistirilmesi, gerekli stratejilerin
(politikalarin) üretilmesi ve belirlenmesi, kisa ve uzun dönemli planlarin
hazirlanmasi, kriter ve standartlarin saptanmasi, ihracat ve ithalat izinlerinin
ve sertifikalarin verilmesi, bilgi sistemlerinin teknolojiye uyumunun
saglanmasi, uygulamanin takip ve denetimi, kamu ve özel kurum ve kuruluslari
arasinda koordinasyonun saglanmasi amaçlarini gerçeklestirmek üzere olusturulan
teskilatin görevlerine iliskin esas ve usuller ile bunlara ilave olarak, bu
yasal düzenleme ile kamu ve özel bütün kurum ve kuruluslarda, bilgi güvenligini
saglayacak gerekli yapilanmaya geçilmesi hususu düzenlenmektedir.
MADDE GEREKÇELERI
Madde 1- Madde ile, Kanunun düzenlenme amaci belirtilmektedir.
Madde 2 - Madde ile, Kanunun kapsami belirtilmektedir.
Madde 3 - Madde ile,Kanunda yer verilen deyimlerden ulusal bilgi güvenligi,
haberlesme güvenligi, fiziki güvenlik, personel güvenligi, teknik güvenlik,
TEMPEST, güvenlik ihlali, kripto, kriptoloji, kripto sistemleri, algoritma,
ulusal bilgi agi, üst kurul, kurum terimleri açiklanmaktadir.
Madde 4 -Madde ile Ulusal Bilgi Güvenligi Üst Kurullu ile Basbakanliga bagli
olarak Ulusal Bilgi Güvenligi Kurumu Baskanliginin kurulusu düzenlenmektedir.
Madde 5 - Madde ile, Ulusal Bilgi Güvenligi Üst Kurulunun asil üyelerinin
kimlerden olustugu, Üst Kurula baskanlik usulü, diger kamu ve özel kurum ve
kuruluslarin temsilcilerinin katilim durumu, oy verme ve karar yeter sayisi,
olagan toplantili tarihleri, gündem, olaganüstü toplantiya çagri usulü, sekreter
ya hizmetleri düzenlenmekte ve üst Kurulun çalisma usul ve esaslarinin daha
sonra çikarilacak Yönetmelikle düzenlenecegi belirtilmektedir.
Madde 6- Madde ile, Ulusal Bilgi Güvenligi Kurumu Baskanliginin alt birimlerini
olusturan daire baskanliklari ile uluslar arasi iliskiler ve hukuk müsavirligi,
ulusal bilgisayar güvenlik merkezi ve genel sekreterligin kurulusu düzenlenmekte
ve dairelerin alt birimlerinin kurulus sekillerinin ve görevlerinin çikarilacak
Yönetmelikle düzenlenecegi belirtilmektedir.
Madde 7-Madde ile, Ulusal Bilgi Güvenligi Üst Kurulunun görevleri düzenlenmekte
Madde 8- Madde ile, Ulusal Bilgi Güvenligi Üst Kurumu Baskanliginin görevleri
düzenlenmektedir.
Madde 9 - Madde ile ,Uluslararasi Iliskiler ve Hukuk Müsavirliginin görevleri
düzenlenmektedir.
Madde 10 -Madde ile , Ulusal Bilgisayar Güvenligi Merkezinin görevleri
düzenlenmektedir.
Madde 11 -Madde ile , Genel Sekreterligin görevleri düzenlenmektedir.
Madde 12- Madde ile,Plan Program ve Koordinasyon Baskanliginin görevleri
düzenlenmektedir.
Madde 13-Madde ile , Bilgi Güvenligi Dairesi Baskanliginin görevleri
düzenlenmektedir.
Madde 14- Madde ile , Kriptoloji Dairesi Baskanliginin görevleri
düzenlenmektedir.
Madde 15- Madde ile Bilgi Destek Dairesi Baskanliginin görevleri
düzenlenmektedir.
Madde 16 -Madde ile, Denetleme ve Degerlendirme Dairesi Baskanliginin görevleri
düzenlenmektedir.
Madde 17- Madde ile, bilgi güvenliginde kullanilacak gizlilik dereceleri ile
hangi makam tarafindan ne sekilde verebileceginin Kurum tarafindan çikarilacak
bir Yönetmelikle düzenlenecegi belirtilmektedir.
Madde 18- Madde ile, ulusal bilgi güvenligi, tüm kamu ve özel kurum ve
kuruluslarda bir bütün olarak degerlendirildiginden, her kurum ve kurulusun
kendi bünyesinde gereken organizasyonu olusturmasi ve ulusal bilgi güvenligi
konusunda belirtilen önlemleri alinmasi için yükümlülük düzenlenmektedir.
Belirtilen hükümlülüklerin yerine getirilmesinde özel kanunlara tabi kurum ve
kuruluslara iliskin hükümler sakli tutulmaktadir.
Madde 19-Madde ile, olusturulan teskilatin görevlerinin yerine getirilmesinde,
diger kurum ve kuruluslarinin ihtiyaç duyulan hizmetlerinden ve personelinden
yararlanma esaslari ile söz konusu personelin mali ve sosyal haklari saklidir.
Madde 20- Madde ile, olusturulan teskilatin kadrolari ve bu kadrolarda
görevlendirilecek personelin yasal dayanagi, sözlesmeli olarak çalistirilacak
personel, Emekli Sandigi ile ilgilendirilme ve özel uzmanlik gerektiren islerde
uzman personel çalistirabilmesi hususlari düzenlenmektedir.
Madde 21- Kurum Baskani, daire baskanlari ve birinci bashukuk müsavirleri
hakkinda istisnai memurluk statüsünün uygulanmasi ve personelin atama onay usulü
düzenlenmektedir.
Madde 22- Madde ile, olusturulan teskilatin yaptiracagi arastirma, etüt, program
ve proje islerinin sözlesmeyle yaptirabilmesi hususu ve ihaleyle ilgili esaslar
düzenlenmektedir.
Madde 23- Madde ile, Ulusal Bilgi Güvenligi Kurumu Baskanliginin gelirleri
düzenlenmektedir.
Madde 24- Ulusal Bilgi Güvenligi Kurumu Baskanliginin faaliyet alanina giren
konularda gerçek ve tüzel kisilere verilecek hizmetlerin yerine getirilmesine
arastirma-gelistirme faaliyetleri için gerekli olan kaynagin elde edilmesine
yönelik olarak bir döner sermaye isletmesi kurulmasi ve bunun isletilmesi
esaslari düzenlenmektedir.
Madde 25- Ceza hükmü düzenlenmektedir ve kanunda belirtilen yükümlülükleri
yerine getirmeyenler hakkinda caydirici nitelikte hükümler
düzenlenmektedir.
Madde 26- Yürürlük maddesidir.
Madde 27- Yürütme maddesidir.
