Çalıştaya katılmadan önce taslağın ilk çıkan hali ve çalıştay öncesinde ulaştırılan hali arasındaki farklılıkları ve bu farklılıklara ilişkin hazırladığım notlarımı bu yazı ile paylaşıyorum. Faydalı olması dileğiyle.
- Dış hizmet tanımındaki
her türlü hizmetin tanımı daraltılmıştır. Yenilenmiş yönetmelik taslağında
bankanın güvenliğini, sürekliliğini etkileyen ve veri erişimi ya da veri
paylaşımı olan hizmetler olarak tanım güncellenmiştir.
- Hassas veri tanımı
düzenlenmiştir. Hassas veri; Kimlik doğrulamada kullanılan veriler başta
olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza
edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri
olan kişilerle ayırt edilebilme mekanizmalarının büyük ölçüde zarar
göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına
imkan verebilecek nitelikteki verilerdir.
- Siber olay tanımı ilgili
yönetmelik refere edilerek güncellenmiştir. Siber olay: 11/11/2013
tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale
Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında
Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
- BS strateji planının
yılda en az bir kere gözden geçirilmesi açıkca ifade edilmiştir. Öncesinde
periyodik olarak gözden geçirilmesi gerektiği belirtilmişti.
- BS Yönlendirme
Komitesinin BS Strateji Komitesine raporlama sıklığı yıllık iki kereden,
yıllık bir kere düşürülmüştür.
- Risk analizinde
gerçekleştirilen çalışmaların bütününü temsil ederek özetleyecek risk
değerlendirme raporunun üst yönetime sunulması eklenmiştir.
- Riskin kabul edilmesi
için mevzuata aykırılık teşkil etmemesine ek olarak BS stratejisine aykırı
olmaması da eklenmiştir.
- Bilgi Güvenliği Yönetim
Sisteminin ulusal ya da Uluslar arası bir standarda dayandırılması
beklentisi kaldırılmıştır.
- Bilgi Güvenliği
Komitesine Genel Müdürün Başkanlık etmesi maddesine ek olarak bir YK üyesi
koşulu getirilmiştir. Bu yaklaşımla BG Komitesinin öneminin altı bir ton
daha kalın çizilmiştir.
- Dokumanın genelinde tüm
süreçler, tüm çalışanlar gibi ifadeler yumuşatılmıştır.
- BG Komitesi
paydaşlarının tanımlandığı madde içerisinde İç Denetim temsilcisi
belirtilmişti. Bu temsilcinin İç Denetim Biriminin üst düzey yöneticisi
olduğu açıkca tanımlanmıştır.
- BS fonksiyonundan
tamamen ayrı ve bağımsız kurulması talep edilen BS güvenlik fonksiyonunun
direkt Genel Müdüre bağlı olmasının yanı sıra Yönetim Kuruluna da
bağlanabileceği eklenmiştir.
- Bilgi Güvenliği
sorumlusunun bilgi güvenliği personelinin işe alınması ve yetiştirilmesine
yönelik sorumluluğunun kaldırıldığı görülmüştür.
- Hassas verilerin
taranmasına yönelik madde içerisinde ilk taslakta yer verilen TC Kimlik
numarası ve IBAN numarası gibi örnekler kaldırılmıştır.
- Banka personeline ve dış
hizmet alımı yapılan firma temsilcilerine zorunlu gereksinim olmadıkça ve
bilgi güvenliği sorumlusu tarafından onaylanmadıkça yerel yönetici
yetkileri verilmez.
- Bilgi sistemleri
dahilinde gerçekleşen ve bankacılık faaliyetlerine ait kayıtlarda
değişikliğe sebep olan işlemler ile hassas verilere erişilmesi veya
bunların sorgulanması, görüntülenmesi, kopyalanması, değiştirilmesine
yönelik işlemler ve kritik bilgi varlıklarına yönelik erişim yetkilerinin
verilmesi, değiştirilmesi ve geri alınmasına yönelik aktiviteler ile bu
varlıklara yönelik yetkisiz erişim teşebbüslerine ilişkin iz kayıtları
asgari üç yıl boyunca banka nezdinde erişime açık olur şeklinde yapılan
tanım saklanma olarak güncellenmiştir.
- Olağandışı durumlar ile
dolandırıcılık riski bulunan ya da yüksek riskli işlemlere yönelik rapor
üretilmesi ve rapor sonuçlarının takip edilmesi konusu banka denetim
birimlerince gerçekleştirilecektir şeklinde netlik kazandırılmıştır. 12-6
- Madde 13 yeni taslakta
Madde 17de ele alınmıştır. Siber olay yönetimi; sızma testi ve istihbarat
paylaşımı başlığı ile birlikte ele alınmıştır. Öncesinde acil ve
beklenmedik durum müdahale planı ile birlikte ele alınmıştır.
- Uzaktan erişim sadece
Bilgi Güvenliği Sorumlusunun onayı ile çok faktörlü kimlik doğrulaması ile
gerçekleştirilebilir.
- Banka iç ağından banka
dışına gerçekleştirilen bağlantıların vekil sunucu üzerinden
gerçekleştirilmesine yönelik madde içerisinde vekil sunucu kaldırılmıştır.
- Kamera kayıt sistemleri
tarafından kaydedilen görüntülerin farklı bir lokasyonda yedeklenmesinin
sağlanması eklenmiştir.
- Büyük ve önemli
projelerde risk analizlerinin sürekli gerçekleştirilmesine yönelik madde
kaldırılmıştır.
- Üretim ortamına
aktarılacak projelerle ilgili eğitim planı hazırlanması konusu
kaldırılmıştır.
- Bankanın yazılım
geliştirme sürecinde iş birimleri ile diğer paydaşların hangi aşamalarda
sürece dahil olacağının yazılı hale getirilmesi eklenmiştir.
- Emanet sözleşmesi terimi
yerine saklama sözleşmesi terimi kullanılmıştır.
- Waterfall yaklaşımını
refere eden ifadeler net bir şekilde çıkarılmıştır.
- Madde 24-2'de sermaye
yeterliliği hesaplanması gibi konularda Elektronik çizelge kullanımının
kısıtlanmasına yönelik madde kaldırılmıştır.
- Kaynak kodların ilk
versiyondan itibaren saklanmasına yönelik madde ana versiyonunun kaydını
tutar şeklinde güncellenmiştir. Madde 23-3
- Değişikliklerin üretim
ortamına aktarımdan önce hem iş birimi hem de teknik birim tarafından
onaylanmasına yönelik madde sadece ilgili iş birimi şeklinde
güncellenmiştir.
- İkincil merkezlerin
birincil merkezlerle aynı riski barındırmamalarına yönelik talep edilen
akademik rapor kaldırılmıştır.
- Birincil merkezlerin
tamamen kapatılarak testlerin yapılması zorunluluğu kaldırılmıştır.
- Arama motorları ve
sosyal medya mecralarından hizmet alınamaması koşulları biraz daha
yumuşatılmıştır. 22-4
- Kritik bilgi sistemleri
ve güvenlik kapsamında alınacak ürün ve hizmetlerin
- Türkiye'de üretilmesi
veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması tercih
edilmesine yönelik madde azami özen gösterilmesi ve dış hizmet alımında
önemli bir kriter olarak değerlendirilmesi şeklinde güncellenmiştir.
- Bulut hizmet alımı
koşulu sadece bankalara yönelik özel bulut altyapı ile sağlanması
konusununda kurul tarafından onaylanmış işletmeler tarafından sunulmasına
yönelik alt yapı hazırlanmıştır.
- BS İç Kontrol ve Uyum
ile BS İç denetim sorumlularının 7 yıl olarak belirlenmiş tecrübesi, 5 yıl
olarak güncellenmiştir.
- BS İç denetiminin
gerçekleştirilmesine yönelik 13/1/2010 tarih ve 27461 nolu RG'de
yayınlanan yönetmelik referesi kaldırılmıştır.
- Madde 37 Hizmet
Kalitesinin sağlanması maddesi ile sürekliliğe yönelik raporlamaların
yapılması zorunluluğu kaldırılmıştır.
- Bankaların kendi web
siteleri ya da internet bankacılığı hizmeti verdikleri web sitelerinde
mevduatların sigortalanma koşul ve kapsamına yer verilmesi kaldırılmıştır.
- Siber güvenlik
olaylarına ilişkin müşterilerin bilgilendirilmesine yönelik web siteleri
üzerinden duyuru yapılması madde kaldırılmıştır.
- İlk taslakta yer alan
güvenli iletişim kanalına ilişkin tanımın kaldırıldığı ve buna ilişkin
dokümanın tamamında düzenlemeler yapıldığı,
- Kayıp ve çalıntı
durumlarında görevliye bağlanan müşterilerin kimlik doğrulaması
yapılmaksızın görevlinin bilmesi gerektiği kadar bilgiye erişmesi sağlanır
ve gerekli güvenlik önlemleri alınır açıklaması gelmiştir.
- Bankaların yurtdışına
veri aktarımının kanunun 73. Maddesindeki durumlar için mümkün olduğu
açıkca belirtilmiştir.
- Müşteri kimlik tespiti
için video konferansların kullanılabilmesi konusu getirilmiştir.
- İlkeler Tebliğinin
geçerliliği ve bu yönetmeliğin yürürlüğe girmesi net bir şekilde 1/1/2020
tarihinde olacaktır diye belirtilmiştir.