ULUSAL
BİLGİ GÜVENLİĞİ TEŞKİLATI VE GÖREVLERİ HAKKINDA KANUN
TASARISI
BİRİNCİ BÖLÜM
Amaç,
Kapsam ve Tanımlar
Amaç
Madde 1- Bu
Kanunun amacı; ulusal güvenliği ilgilendiren bilgilerin
korunması, Devletin bilgi güvenliği faaliyetlerinin
geliştirilmesi, gerekli politikaların üretilmesi ve
belirlenmesi, kısa ve uzun dönemli planların hazırlanması,
kriter ve standartlarının saptanması, ihracat ve ithalat izinlerinin
ve sertifikalarının verilmesi, bilgi sistemlerinin teknolojiye
uyumunun sağlanması, uygulamanın takip ve denetimi kamu ve özel
kurum ve kurulusların arasında koordinasyonun sağlanması amacıyla bir
teşkilatın kurulması ve görevlerine ilişkin esas ve usulleri
düzenlemektir.
Kapsam
Madde 2- Bu Kanun,
ulusal güvenliği ilgilendiren bilgiye işlem yapan kamu ve özel
kurum ve kurulusları ile yerel yönetimleri, kamu kurumu
niteliğindeki meslek kuruluslarını, üniversiteleri, bu yerlerde
çalişan personeli, diğer tüzel ve gerçek kişileri,
bilgi güvenliğinden faydalananları ve faydalanacak durumda
olanları kapsar.
Tanımlar
Madde 3- Bu
kanunda geçen deyimlerden;
a) Ulusal Bilgi
Güvenliği: Ulusal güvenliği ilgilendiren, yetkisiz ellere
geçtiği taktirde devletin güvenliğini tehlikeye
sokabilecek veya devlet aleyhine kullanilabilecek her türlü
bilgiyi, üretim, kullanım ,işlenme saklanma, nakledilme ve imha
sırasında yetkisiz kişilerin erişimine ve olası her türlü
fiziksel ve elektronik müdahaleye karşı korumaya; bilgiye erişim
ve kullanıma ait usulleri açık şekilde belirlemeye ve bilgiyi
gerektiğinde hazir bulundurmaya yönelik tedbirleri,
b)
Haberleşme Güvenliği: Ulusal güvenliği ilgilendiren
bilginin özellikle telekomünikasyon kanallarından
gönderilmesi sırasında yetkisiz kişiler tarafindan elde
edilmesinde ve içeriğinin açığa çikarılmasına ve
diğer her türlü müdahaleye karşı alınan tüm
tedbirleri,
c) Fiziki Güvenlik: Ulusal güvenliği
ilgilendiren bilgiyi ihtiva eden ya da bu bilgiye işlem yapan cihaz,
malzeme ve tesisi, yetkisiz kişilerin erişimine
karşı korumak
üzere alınan fiziksel tedbirleri,
d) Personel
Güvenlig: Ulusal güvenliği ilgilendiren bilgiye yalnizca
yetki verilen kişilerin, bilmeleri gerektigi oranda erişebilmeleri
için alınan tüm tedbirleri,
e) Teknik
Güvenlik: Yurt içinde ve yurt dışında personel, araç,
donanım ve binalarda dinleme ve gözetleme amacıyla yapılan
teknik yerleşmelere karşı alınan tüm güvenlik tedbirlerini,
f) TEMPEST: Tüm elektronik teçhizattan ve
bunların kuruluşundan iletkenlik ve ışıma yoluyla istem dışı yayılan
bilginin önlenmesine ilişkin alınan tedbirleri,
g)
Güvenlik hali: Bilginin güvenliğinin bilerek veya
istenmeyerek yapılan herhangi bir işlem nedeni ile tamamen ya da
kısmen ortadan kaldırılmasını,
h) Kripto: Birbirleriyle
haberleşen iki tarafin, haberleşmesi esnasında üçüncü
tarafa bilgi sızdırmamak amacıyla bilginin gizlenmesini sağlayan
sistemleri,
i) Kriptoloji: Kriptografi ve kripto analiz
konuları ile ilgilenen bir bilim dalini,
j) Kripto
Sistemleri: Şifreleme ve şifre çözme etkinliklerinden
birisini veya ikisini birden yerine getirmeye yarayan, bu sistemler
kapsamında veri iletişimi de dahil olmak üzere her türlü
iletişim sistemlerinde kullanilan sistemleri,
k)
Kriptografik Algoritma: Bir bilginin gizlenmesi için yapilan
matematiksel bir islemi,
l) Ulusal Bilgi Aği: Kamu ve
özel kuruluşlarda ulusal güvenliği ilgilendiren bilgiye
işlem yapan mevcut terminalleri, bilgi teatisi maksadıyla birbirine
baglayan ağı,
m) Üst Kurul: Ulusal Bilgi Güvenligi
Üst Kurulunu,
n) Kurum: Ulusal Bilgi Güvenliği
Kurumu Baskanlığını, ifade eder.
İKİNCİ BÖLÜM
Kuruluş
ve Görevler
Kuruluş
Madde 4- Ulusal
bilgi güvenliğinin sağlanması amacıyla başbakanlığa bağlı Ulusal
Bilgi Güvenliği Üst Kurulu ile tüzel kişiliğe sahip
katma bütçeli Ulusal Bilgi Güvenliği Kurumu
Başkanlığı kurulmuştur.
Ulusal Bilgi Güvenliği Üst
Kurulu
Madde 5- Ulusal Bilgi Güvenliği Üst
Kurulu; Ulusal bilgi güvenliği alaninda genel direktif organı
olup, başbakanın başkanlığında; Adalet, Milli Savunma, İçişleri,
Dışişleri, Ulaştırma, Sanayi ve Ticaret Bakanları ile Milli Güvenlik
Kurulu genel sekreteri, Genel Kurmay Muharebe Elektronik ve Bilgi
Sistemleri Başkanı, Milli Istihbarat Teşkilatı Müsteşarı,
Türkiye Bilimsel Ve Teknik Araştırma Kurumu ile kurum
başkanından oluşur. Başbakanın katılmadığı hallerde üst kurula,
Adalet Bakanı başkanlık eder.
Üst kurulun daimi üyeleri
tarafından ihtiyaç duyulduğu hallerde, diğer bakanlar ile kamu
ve özel kurum ve kuruluşlarının temsilcileri de üst kurul
toplantılarına katılabilir.
Üst Kurulun toplantı yeter sayısı
daima üyelerin üçte ikisidir. Kararlar, toplantıya
katılan daimi üyelerin oy çokluğu ile alınır.
Toplantılara katılmaları uygun görülen diğer kişilerin oy
hakkı yoktur.
Üst Kurul, Nisan ve Ekim aylarında olmak üzere,
yılda iki defa olağan olarak toplanır. Üst Kurulun gündemi,
Başbakan tarafından belirlenir.
Başbakan, daimi üyelerden
birisinin talebi üzerine, Üst Kurulu olağanüstü
toplantıya çağırabilir.
Üst Kurulun sekreterya
hizmetleri, kurum tarafından sağlanır.
Ulusal bilgi
güvenliği kurumu başkanlığı
Madde 6- Ulusal
Bilgi Güvenliği Kurumu Başkanlığının teşkilatı, aşağıda isimleri
belirtilen ana hizmet birimlerinden oluşur:
a) Plan Program ve
Koordinasyon Daire Başkanlığı,
b) Bilgi Güvenliği Daire
Başkanlığı,
c) Kriptoloji Daire Başkanlığı,
d)Bilgi Destek
Daire Başkanlığı,
e)Denetleme ve Bilgilendirme Daire
Başkanlığı,
Kurumun danışma birimi, Uluslararası İlişkiler ve
Hukuk Müşavirliği; yardımcı birimleri ise, Ulusal Bilgisayar
Güvenliği Merkezi Müdürlüğü ve
Genel
Sekreterliktir.
Kurumun teşkilatı Ek‘li cetvelde
gösterilmiştir.
Ulusal bilgi güvenliği üst
kurulunun görevleri
Madde 7- Ulusal Bilgi
Güvenliği Üst Kurulunun görevleri aşagıda
belirtilmiştir:
a)Ulusal bilgi güvenliğine yönelik
tehdidi değerlendirmek, ulusal bilgi güvenliği siyasetinin
tayini, tespiti ve uygulamasıyla ilgili kararları almak ve kuruma bu
konuda direktif vermek,
b)Tespit edilen ulusal bilgi
güvenliği siyasetine ilişkin kararlar doğrultusunda yapılan
uygulamaları incelemek, değerlendirmek ve yönlendirmek,
c)Ulusal bilgi güvenliğine ilişkin mevzuat değişikliği
tekliflerini değerlendirmek.
Ulusal Bilgi Güvenliği
Kurumu Başkanlığının Görevleri
Madde 8- Ulusal
Bilgi Güvenliği kurumu Başkanlığının görevleri aşağıda
belirtilmiştir:
a) Ulusal bilgi güvenliğine karşı
yurt içi ve yurt dışı tehdidin tespit edilmesini sağlamak,
gerekli tedbirleri almak ve alınmasını sağlamak,
b)
Ulusal bilgi güvenliği sistemini oluşturmak için
politika, konsept, ilke, standart ve usulleri tespit etmek ve
geliştirmek,
c) Ulusal bilgi güvenliğinin
sağlanmasına esas olarak bilginin gizlilik, bütünlük
ve kullanıma hazır olmasını sağlayacak tedbirleri belirlemek,
uygulamak, uygulanmasını sağlamak ve kontrol etmek,
ç)
Ulusal bilgi güvenliği risk yönetimi ve değerlendirmesini
yapmak ve yapılmasını sağlamak,
d) Ulusal bilgi güvenliği
alt yapısını korumak amacıyla gerekli görülecek ulusal
bilgi güvenliği sistemi esaslarını tespit ederek kurmak ve
geliştirmek,
e) Ulusal bilgi güvenliği sisteminin
mimarisinin oluşturulmasında caydırma, koruma, ikaz, tespit, onarım
ve tedbir unsurlarını belirlemek,
f) Ulusal bilgi
güvenliği ile ilgili uluslararası mevzuat ve teknolojideki
gelişmeleri takip etmek,
g) Güvenlik hassasiyeti
gösteren personel, yazılım, donanım, kripto, iletişim
ortamlarını ve iletişim ağlarını her türlü tehdit kaynağına
karşı maliyet etkin tedbirlerle koruma altına alınmasını sağlamak, bu
tedbirleri uygulamaya sokmak ve
kontrol etmek,
h)
Ulusal bilgi güvenliğine ilişkin güvenlik kategorilerini ve
sistemin minimum güvenlik ihtiyaçlarını belirlemek,
uygulamasını sağlamak,
i) Tüm gizlilik dereceli ve
tasnif dışı hassas bilgiye işlem yapacak birimler ve şebekeler için
onay vermek,
i) Ulusal güvenliği ilgilendiren
bilgiye işlem yapacak donanım ve yazılım ihtiyaçlarına ait
güvenlik değerlendirmesini yapmak ve değerlendirilmiş ürün
listelerini hazırlamak ve yayımlamak,
j) Haberleşme
güvenliği sistemlerinin tehdit analizi ve hassasiyet
değerlendirmelerini yapmak,
k) Hassas ve gizlilik
dereceli bilgiyi korumak üzere, anahtarlama materyali üretim
esaslarını belirlemek,
l) TEMPEST standartlarını
hazırlamak ve onay işlemlerini gerçekleştirmek,
m)
Kripto sistemlerinde kullanilacak materyal ve anahtarları üretecek
teçhizatı onaylamak, kripto anahtarlarının dağıtılmasına
ilişkin standartları ve yöntemleri belirlemek ve denetlemek,
n) Ulusal bilgi güvenliği gerekleri, ihtiyaçlar,
ticaret ve gizlilik arasında uygun bir denge kurarak kriptolojik
malzemelerin ihracat ve ithalatıyla ilgili
Genelkurmay Başkanlığı
ve Dışişleri Bakanlığı‘nın uygun görüşleri alınarak
gerekli lisansları vermek,
o) Ulusal bilgi güvenliği
ile ilgili mevzuat değişikliklerine ilişkin teklifleri Üst
Kurula sunmak,
ö) Bilgi çağının
gerektirdiği çağdaş güvenlik tedbirlerini belirleyerek
Üst Kurula teklif etmek,
p) Üst Kurulun almış
olduğu karar ve direktifleri uygulamak,
r) Ulusal bilgi
güvenliği amacıyla, Genelkurmay Başkanlığı ve Dışişleri
Bakanlığı ile koordineli olarak diğer ülkelerle ve uluslararası
kuruluşlarla
işbirligi yapmak, Sistemlerin, nihai sistem güvenlik
kriterlerini belirlemek ve onay işlemlerini yapmak.
s)
Ulusal bilgi güvenliği konusunda eğitim standartlarını
belirlemek, plan ve programları yapmak,
t) Ulusal
bilgi güvenliği konusunda araştırma ve geliştirme faaliyetlerini
sağlamak,
u) Kamu ve özel kurum ve kuruluşlar için
gizlilik dereceli bilgi veya kripto cihazlarına ilişkin her türlü
yetki belgesi (klerans) düzenlemek ve onay yöntem
ve
usullerini belirlemek, uygulanmasını sağlamak,
ü)
Ulusal bilgi güvenliği konusunda üretim yapan kamu ve özel
kurum ve kuruluşlarını bir program çerçevesinde
denetlemek ve üretilen ürünleri
onaylamak.
Uluslararası İlişkiler ve Hukuk Müşavirliği
Madde 9- Uluslararası İlişkiler ve Hukuk Müşavirliği,
Kurum Başkanına doğrudan bağlı olup görevleri aşağıda
belirtilmistir :
a) Uluslararası Bilgi Güvenliği
politikasının oluşturulmasında uluslararası ilişkileri ve gelişmeleri
takip etmek, değerlendirmek, koordine etmek ve önerilerde
bulunmak, gerekli kanun tasarısı taslaklarını hazırlamak,
b)
Ulusal bilgi güvenliği konusunda Kurum tarafından hazırlanan
veya Başbakanlık, Bakanlıklar ve kuruluşlardan gönderilen kanun,
tüzük ve yönetmelik taslaklarını hukuki açıdan
inceleyerek, görüş bildirmek,
c) Ulusal Bilgi
Güvenliğine ilişkin konularda altyapı temini modelinin
oluşturulması ve altyapının güvenirliğinin sağlanarak kullanıma
hazır tutulması
için gerekli yasal düzenlemeleri ve
sözleşmeleri hazırlamak,
d) Bireysel mahremiyeti
koruma ve birey için gerekli kamu bilgisine erişimi sağlayıcı
yasal düzenlemeleri belirlemek,
e) Uluslararası
Bilişim güvenliğine ilişkin suçların mevzuatımızda yer
alması için gerekli kanun tasarısı taslaklarını
hazırlamak,
f) 4353 sayılı kanun hükümlerine
göre adli ve idari davalara ilişkin gerekli bilgileri
hazırlamak, Maliye Bakanlığı Başhukuk Müşavirliği ve Muhakemat
Genel Müdürlüğünü ilgilendirmeyen idari
davalarda kurumu temsill etmek,
g) Uluslararası Bilgi
Güvenliği tehdide uğradığı hallerde ekonomik kısıtlama,
diplomatik yanıt gibi tedbirlerin kullanımını Dışişleri Bakanlığı ve
ilgili
Bakanlıklarla koordine etmek ve önerilerde
bulunmak,
h) Kurum tarafından verilen diğer görevleri
yapmaktır.
Ulusal Bilgi Güvenliği Merkezi
Madde
10- Ulusal Bilgi güvenliği merkezinin görevleri aşağıda
belirtilmistir :
a) Güvenli bilgi sistemlerinin
geniş bir şekilde, kullanımını teşvik etmek,
b) Endüstri
ve Kamu tarafından geliştirilmiş sistemlerin, teknik koruma
yeteneklerini değerlendirmek,
c) Bilgi güvenliği
konusunda faaliyet gösteren, kamu ve endüstri Gruplarının
teknik desteğini sağlamak,
d) Bilgi sistemlerinin
değerlendirilmesi için, gerekli teknik kriterleri
geliştirmek,
e) Ticari Sistemleri değerlendirmek,
f)
Bilgisayar ve Ağ Güvenlik teknoloji araştırmalarını icra ve
yönlendirmek,
g) Güvenli Bilgi Sistemlerini
geliştirme ve test etmede kullanmak için, gerekli modifikasyon
ve analiz teçhizatını geliştirmek ve bilişim emniyetini
sağlamak,
h) Bilgi güvenliği sahasında eğitim
vermek,
i) Kamu ve Endüstrinin diğer bölümlerine
bilgi güvenlik bilgisini dağıtmak,
j)Tehdidin
türüne göre geliştirilen karşı tedbirleri gerektiğinde
uygulamaya koymak,
Genel Sekreterlik
Madde
11- Genel Sekreterliğin Görevleri Aşağıda Belirtilmiştir
:
a) Kurum Başkanının resmi ve özel yazışmalarını
yürütmek,
b) Kurumun idari, bakım-onarım ve
idame hizmetlerine ilişkin görevlerini yürütmek,
c)
Kurumun maliye ve satın alma hizmetlerini sağlamak,
d)
Kurumun güvenlikle ilgili hizmetlerini yürütmek,
e)
Üst Kurulun sekreteryasını yapmak,
ÜÇÜNCÜ
BÖLÜM
ANA HİZMET BİRİMLERİ VE GÖREVLERİ
Plan, Program ve Koordinasyon Dairesi Başkanlığı
Madde 12- Plan, Program ve Koordinasyon Dairesi
Başkanlığının Görevleri aşağıda belirtilmistir :
a)
Telekomünikasyon ve Bilgi sistemleri ortamındaki değişimlere
uyum sağlayacak Ulusal bilgi güvenliği politikasının
oluşturulması için gerekli verileri hazırlamak, prensipleri
belirlemek,
b) Ulusal Bilgi güvenliği ile ilgili
olarak görev alanına ilişkin planlama ve programlama
faaliyetlerinde bulunmak, gerekli mevzuatı düzenlemek,
c)
Ulusal Bilgi güvenliği altyapı esaslarını ortaya koymak yapılmış
olan risk analizleri neticelerine göre altyapıyı iyileştirici
tedbirleri belirlemek
d) Uyuşum standartları ve
kriterlerini ortaya koymak,
e) Ulusal Bilgi güvenliği
konusunda bilgilendirme ve eğitim faaliyetlerini planlamak,
f)
Kamu ve özel sektöre Ulusal bilgi güvenliğine ilişkin
danışmanlık ve teknik yardım sağlamak,
g) Kurumun
personel faaliyetlerini yürütmek ve koordine etmek,
h)
Ulusal Bilgi Güvenliği Başkanlığının bütçe düzenleme
faaliyetlerini yürütmektir.
Bilgi Güvenlik
Dairesi Başkanlığı
Madde 13- Bilgi Güvenlik Dairesi
Başkanlığının Görevleri aşağıda belirtilmiştir :
a)
Ulusal bilgi Güvenliği ihlallerine karşı alınacak tedbirleri
belirlemek, ihlallere karşı gerekli tedbirleri almak ve ilgili
makamlarla koordineli olarak uygulanmasını sağlamak,
b)
Ulusal Bilgi güvenliği açısından Personel güvenliğine,
fiziki güvenliğe ve donanım ve yazılım güvenliğine ilişkin
usul, kriter ve prensipleri belirleyerek dökümantasyonunu
hazirlamak,
c) Kurumun, ulusal bilgi ağı TEMPEST,
haberleşme güvenliği ve teknik güvenliğine ilişkin usul,
kriter ve prensiplerini belirleyerek dökümantasyonunu
hazırlamak,
d) Elektronik kripto dışında ihtiyaç
duyulacak kod ve parola sistemlerini belirlemek, geliştirmek ve
üretmek,
e) İletişim ortamları, donanım ve ağlar
için tehdidi ve zafiyeti dikkate alarak risk analizleri
yapmak, ve risk yönetim usullerini belirlemek, risk analizleri
sonucunda belirlenmiş koruyucu tedbirleri uygulamaya koymak,
f)
Yazılım Güvenlik, kriter ve standartlarını belirlemek,
g)
Ulusal ve uluslararası iletişim ağlarına ilişkin olarak ulusal bilgi
güvenliği açısından güvenlik, usul, kriter ve
prensipleri belirlemek, dökümantasyonunu sağlamak,
h)
Güvenlik denetimlerine ilgi alanı itibariyle katılmak, alt
kurulara sekreterya hizmeti vermek ve görev alanına ilişkin
mevzuat değişikliklerine ilişkin teklifleri
hazırlamaktır.
Kriptoloji Dairesi Başkanlığı
Madde
14- Kriptoloji Dairesi Başkanlığının görevleri aşağıda
belirtilmistir :
a) Kriptografik algoritma,
ihtiyaçlarini belirlemek, üretiminin denetimini yapmak ve
kütüphanesini oluşturmak,
b) Kripto cihaz ve
kriptografik bilginin ihracat ve ithalatında Genel Kurmay Başkanlığı,
Dışişleri Bakanlığı ve gerektiğinde ilgili diğer
bakanlıklarla
koordineli olarak esas ve usulleri belirlemek,
lisans belgesi vermek,
c) Risk analizleri ve risk
azaltma planları yapmak , kabul edilebilir riski tespit etmek,
d)
Kripto merkezlerinin sağlaması gereken kriterlerini ve denetleme
usul ve esaslarını belirlemek, denetleme raporlarını değerlendirerek
onay vermek, kripto anahtar üretimi ve dağıtımını yapmak,
gerektiğinde kurum ve kuruluşlara kendi
kripto anahtar üretimi
ve dağıtımı konusunda yetki vermek,
e) Gizlilik
derecesiz uygulamalarda da kripto kullanım esaslarını belirlemek,
uygulamaları teşvik etmek ve denetlemek,
f) Kripto
cihaz ve dökümantasyonu için, kripto saymanlık,
işletme, bakım ve onarım usullerini belirlemek,
g)
Kripto ihlallerine karşı alınacak tedbirleri belirlemek ve gerekli
tedbirleri almak,
h) Her tür kriptografik yöntem
ve teçhizata ilişkin sertifikasyon ve onay usullerini
belirlemek,
I) Kripto hizmetlerinde çalıştırılacak
personele kripto yetki belgesi verilmesi esas ve usullerini
belirlemektir.
Bilgi destek dairesi başkanlığı
Madde
15- Bilgi Destek Dairesi Başkanlığının görevleri asagida
belirtilmistir;
a) Ulusal bilgi güvenliği
altyapısına karşı iç ve dış tehdidi teşhis etmek, tanımlamak,
genel tehdit değerlendirilmesi yapmak ve Üst Kurula sunmak,
b)
Ulusal bilgi güvenliğine karşı tehdidin teknik özelliklerini
ve muhtemel etkilerini belirlemek, karşı tedbirleri gelistirmek,
c)
İstihbarat üreten kurum ve kuruluşlar ile bilgi güvenliğine
ilişkin istihbarat bilgisi değişimi için protokoller
yapmak,
d) Mevcut ve tasarlanan iletişim ortamları,
donanım ve ağlar için tehdidi ve zafiyeti dikkate alarak risk
analizleri yapmaktır.
Denetleme ve değerlendirme dairesi
başkanlığı
Madde 16- Denetleme ve Değerlendirme
Dairesi Başkanlığının görevleri aşağıda
belirtilmiştir;
a)
Ulusal bilgi güvenliği açısından kripto, bilgi güvenlik
ve TEMPEST denetleme kriter ve usullerini belirlemek ve
gelistirmek,
b) Kripto denetleme programlarını
hazırlamak, kripto merkezlerinin kriterlere uygunluğunun
denetlemesini sağlamak, gerektiğinde denetlemek ve denetleme
raporlarını değerlendirmek,
c) Ulusal bilgi güvenliği
sistemlerine karşı yapılan saldırıları ve güvenlik ihlallerini
değerlendirmek,
d) Eğitim, öğretim ve
biçimlendirme ihtiyaçlarını tespit etmek,
e)
Genel değerlendirme raporu hazırlayarak Üst Kurula
sunmak,
f) İletişim ortamları, şebeke, yazılımlara ait
güvenlik sistemleri ile ilgili denetleme usul ve kriterlerini
belirlemek, geliştirmek, denetleme yapılmasını
sağlamak,
gerektiğinde denetlemek ve denetleme raporlarını değerlendirmek,
g)
TEMPEST standartlarını hazırlamak ve onay işlemlerini
gerçekleştirmek,
h) Ulusal bilgi güvenlik
alt yapısına ait sistemlerin nihai sistem güvenlik kriterlerini
belirlemek ve onay işlemlerini yapmak.
DÖRDÜNCÜ
BÖLÜM
Çesitli Hükümler
Gizlilik dereceleri
Madde 17- Bilgi
güvenliğinin sağlanmasından kullanılacak gizlilik dereceleri ile
hangi makam tarafından ne şekilde verileceği hususları Kurum
tarafından çıkartılacak yönetmelikte düzenlenir.
Kamu
ve özel kurum ve kuruluşlarının yükümlülüğü
Madde 18- Tüm kamu ve özel kurum ve
kuruluşları, ulusal güvenliği ilgilendiren bilginin korunması
için kendi idari yapıları içerisinde gereken
organizasyonu kurmak veya değişiklikleri yapmak ve gerekli tedbirleri
almak konusunda
sorumludurlar.
Ulusal bilgi güvenliği,
tüm kamu ve özel kurum ve kuruluşlarda bir bütün
olarak değerlendirilir ve gerekli koordinasyon Kurum tarafından
sağlanır. Bu amaca yönelik tüm kaynaklar yerinde, zamanında
ve en etkin bir şekilde kullanılır.
Kamu ve özel kurum ve
kuruluşları, Kurum tarafından bu Kanunun uygulanmasına ilişkin olarak
yayımlanan esas ve usullere uymak zorundadır.
Kurum, gerekli
gördüğü ulusal bilgi güvenliğinin sağlamaya
iliskin bilgileri, bu Kanun kapsamına giren kamu ve özel kurum
ve kuruluşlardan doğrudan istemeye yetkilidir. Bu konuda istenen
gizlilik dereceli her türlü bilgi, makam onayı ile
en
kısa zamanda verilir.
Özel kanunlardakı hükümler
saklıdır.
Kişi ve kurumların hizmetlerinden
yararlanma
Madde-19- Genel ve katma bütçeli
idareler, kamu iktisadi teşebbüsleri ile bunlara bağlı
kuruluşlar ve müesseselerde çalışanlar, Kurumda
sözlesmeli olarak istihdam edilebilirler. Bu personel kurumundan
aylıksız izinli sayılır. Izinli oldukları sürece memuriyetleri
ile ilgili özlük hakları devam ettiği gibi bu süreler
terfi ve emekliliklerinde hesaba katılır. Kurumda çalıştıkları
sürece bunların
sicilleri Kurum tarafından verilir ve bu
sicillere göre kendi kurum ve kuruluslarınca terfileri yapılır.
Bu personelin, çalışma usul, esas, ücret ve sayılarına
ilişkin hususlar, Bakanlar Kurulu Kararıyla tespit edilir. Ancak bu
personelin aylıkları, hiç bir halde kendi kurum ve
kuruluşlarında aldıkları aylıklardan az olamaz.
Birinci
fıkrada belirtilen kurum ve kuruluşlarda görevli personel,
gerektiği hallerde aylık, ek gösterge, ödenek, her türlü
zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kendi
kurumlarınca ödenmek tabi oldukları kanun
hükümleri
çerçevesinde geçici olarak Kurumda
görevlendirilebilirler.
Kadrolar ve personel
Madde
20- Kadroların tespit, ihdas, kullanım ve iptali ile kadrolara
ait diğer hususlar, 190 sayılı Genel Kadro ve Usulü Hakkında
Kanun Hükmünde Kararname hükümlerine göre
düzenlenir.
Kurumda başkan, başkan yardımcıları, hukuk
müşavirleri, daire başkanları, şube müdürleri,
mühendisler ve yüksek öğrenim görmüş
olanlar, kadro karşılık gösterilmek kaydıyla 657 sayılı Devlet
Memurları Kanunu ve diğer kanunların sözleşmeli personel
hakkındakı hükümlerine bağlı olmaksızın sözleşmeli
olarak çalıstırılabilir. Kurumda başkan, başkan yardımcıları
ve daire başkanları olarak
atanacak personelde bu sahada en az
lisans düzeyinde eğitim yapmaları ve kamu kurum ve
kuruluslarında Kurumun ilgi alanını oluşturan görevlerde en az
10 yıl görev yapmış olmaları şartı aranır.
Bu şekilde
çalıştırılacak sözleşmeli personelin sayısı, sözleşme
usul ve esasları Başbakanlıkça tespit edilir. Sözleşme
ile çalıştırılacak personel,
istekleri üzerine Türkiye
Cumhuriyeti Emekli Sandığı ile ilgilendirilir.
Atama
Madde 21- Kurum Başkanı, başkan yardımcıları, birinci
hukuk müşaviri ve daire
başkanları sözleşmeli olarak
çalıştırılmadıkları takdirde, haklarında 657 sayılı Devlet
Memurları Kanununun istisnai memuriyete ilişkin hükümleri
uygulanır. Bunlardan Başkan, Başbakan‘ın onayı ile; diğer
personel ise, Başkanın onayı ile atanır.
Sözleşme ile
araştırma, etüd, proje ve program yaptırma
Madde
22- Kurumun hizmetlerine ilişkin araştırma, etüd, proje ve
program işleri,
üniversiteler ile gerçek ve tüzel
kişilere sözleşme ile yaptırılabilir.
Kurumun
gelirleri
Madde 23 - Kurumun gelirleri aşağıda
belirtilmistir;
a) Genel bütçeden yapılacak hazine
yardımı
b) Döner sermaye gelirleri
Döner
Sermaye İşletmesi
Madde 24- Kurumda, bu Kanunda
öngörülen faaliyet temel ve sürekli görevlere
bağlı olarak ortaya çıkan üretim ve hizmet fazlasının
değerlendirilmesi amacıyla döner sermaye işletmesi
kurulabilir.
Döner sermaye işletmesinin sermaye limiti
2.5 trilyon Türk Lirasıdır. Tahsis edilen sermaye miktarı,
Maliye Bakanlığının uygun görüşü üzerine Bakanlar
Kurulunca on katına kadar artırılabilir. Bu suretle artırılan
sermaye, elde edilen gelirle karşılanır.
Döner sermaye,
Başbakanlık bütçesine konulan ödenekle, Hazinece
verilecek ayni yardımlar, döner sermaye gelirinden elde edilecek
karlar, bağış ve yardımlardan oluşur.
Ödenmiş sermaye
tutarı, tahsis edilen sermaye tutarına ulaştıktan sonra elde edilen
karlar, hesap dönemini izleyen yılın Şubat ayı sonuna kadar
Hazineye gelir kaydedilmek üzere Kurum saymanlığına
yatırılır.
Döner sermaye faaliyetlerinin gerektirdiği
giderler ile Bütçedeki ödenekten karşılanamayan
kiralama, satın alma, araç, gereç, arastırma ve benzeri
diğer ihtiyaçlar döner sermayeden karşılanır.
Döner
sermaye işletmesinin faaliyet alanları, gelir kaynakları, mali ve
idari işlemlerine ilişkin usul ve esaslar Maliye Bakanlığı ile
Sayıstay‘ın görüşleri
alınarak hazırlanacak
yönetmelikle düzenlenir.
Döner sermaye işleri
1050 ve 832 sayılı Kanunların vizeye ilişkin hükümlerine
tabi değildir. Ancak gelir ve giderler için bütçe
yılı sonundan itibaren 3 ay içinde düzenlenecek yıllık
bilançolar ve ekleri gelir ve gider belgeleri ile birlikte
Sayıştay Başkanlığına, tasdikli birer sureti de Maliye Bakanlığına
gönderilir.
Ceza Hükmü
Madde
25- Kamu ve özel Kurum kuruluşların yöneticisi
durumunda olan personelden, bu kanunun 18.maddesinde belirtilen
yükümlülükleri yerine getirmeyenler, bu fiilleri
başka bir suça vücut verse bile ayrıca bir yıldan beş
yıla kadar hapis
cezası ile cezalandırılırlar. Failin bu fiilden
kendisi veya bir başkası yararına bir menfaat temin etmesi veya
fiilin bir zarara sebebiyet vermesi halinde hapis cezasi iki yıldan
az olamaz.
Geçici Madde- 1- Üst Kurul ile
Kurumun çalışma usul ve esasları dairelerin alt birimlerinin
kuruluş ve görevlerine ilişkin usul ve esaslar, Döner
sermaye işletmesine ilişkin usul ve esaslar ile Kanunun
uygulanmasında ihtiyaç duyulacak
usul ve esaslar, Kanunun
yürürlüğe girdiği tarihten itibaren bir yil içinde
Kurum tarafından hazırlanacak ve Bakanlar Kurulu kararıyla yürürlüğe
konulacak
yönetmeliklerde gösterilecektir.
Geçici
madde 2- Ekli (1) sayılı listede belirtilen kadrolar ihtas
edilerek 190 sayılı Kanun hükmünde Karanamenin (1) sayılı
cetveline " Ulusal Bilgi Güvenliği Üstkurulu ile
Ulusal Bilgi güvenliği Kurumu Başkanlığı" bölümü
olarak eklenmistir.
Geçici Madde 3- Bu Kanunun
kabulu ile asgari ihtiyaçları karşılayacak çekirdek
kadro ile faaliyete geçirilecek kendi ihtiyaçları
doğrultusunda azami üç yıl içinde nihai
teşkilatını kuracaktır.
Yürürlük
Madde
26- Bu Kanun yayımı tarihinde yürürlüğe
girer.
Yürütme
Madde 27- Bu Kanun
hükümlerini Bakanlar Kurulu yürütür.
EK-A
DEVAMI
EK (1) SAYILI CETVEL
ULUSAL BİLGİ GÜVENLİĞİ
KURUMU BAŞKANLIĞI TEŞKİLATI
i)BAŞKANLIK
Başkan
ii)DANIŞMA BİRİMLERİ
Uluslararası İlişkiler ve
Hukuk Müşavirliği
iii) ANA HİZMET BİRİMLERİ
1.Plan
Program ve Koord. D.Bşk.lığı
2.Bilgi Güvenlik
D.Bşk.lığı
3.Kriptoloji D.Bşk.lığı
4.Bilgi Destek
D.Bşk.lığı
5.Denetleme ve Değerlendirme D.Bşk.lığı
iv)
YARDIMCI BİRİMLER
1.Ulusal Bilgisayar Güvenlik Merkezi
Müdürlüğü
2.Genel Sekreterlik
GENEL
GEREKÇE
Günümüzde bilgi; tarih
boyunca olduğundan süratle iletilmekte, buna bağlı olarak da
üretilen bilginin saklanması, kullanılması, bir yerden diğer bir
yere nakledilmesi ve imhası için klasik usullerin dışında,
gelişen teknolojiden sonuna kadar yararlanma gereği ortaya çıkmıştır.
Teknolojiye ve bilgiye olan bu bağımlılık, ülkeleri, bilginin
korunmasi için yeni usuller geliştirmeye ve yasal
düzenlemeler
yapmaya mecbur bırakmıştır.
Bilgi teknolojisine giderek artan
bağımlılığın sonucu olarak, merkezi kontrol, devlet yönetimi,
ekonomik ve toplumsal hayatın her yönünün ortak
bileşeni bilgi altyapısının kötü niyetli kişilere, terörist
faaliyetlere ve doğal afetlere karşı korunması önem kazanmıştır.
Kamu ve özel kurum ve kuruluşların kendi yapılarına uygun farklı
bir güvenlik önlemleri almaları ve bu konuda ulusal
bir
politikanın olmayışı, Ülkemizin ulusal güvenliğini
hassas hale getirmektedir. Bilgi güvenliği konusundaki ulusal
politika ile; motivasyonları ve görev alanları farklı olan kamu
ve özel sektörün, gerek kendi işlerinde, gerekse
karşılıklı ilişkilerinde her türlü tehdit ve hassasiyete
karşı bilgi güvenliğini
tam olarak sağlayacak ilke ve
önceliklerin tespiti gerekmektedir.
Ulusal bilgi
güvenliğine yönelik tehdidin ulusal bilgi altyapımızı
etkilemek, zarar vermek ve taarruz etmek için birçok
farklı seçeneği vardir. Altyapıya karşı saldırılar teknik
yeteneklerden, motivasyona kadar birçok değişiklik arz ederek,
veri tabanını karıştirması veya programların uygulamalarını bozma
yada fiziksel olarak yok edecek biçimde çatışma
seviyesine (baris, kriz ve savas) uygun olarak yapılır. Nispi barış
periyodu sırasında dahi tehdidin, değişik seviyelerde devamlı olarak
mevcut olduğunu unutmamak gerekir. Tehdidin kaynakları bireylerden
(muhbir ve yetkisiz kullanıcılar) karmaşık ulusal organizasyonlara
(yabancı istihbarat servisleri ve askeri istihbarat unsurları)
kadar
geniş bir yelpaze olarak ortaya çıkmaktadır. Bu gruplar
arasındaki sınırlar belirsiz olduğundan, genellikle olayın kaynağını
tespit etmek oldukça
zordur.
Türkiye
Cumhuriyeti Devleti‘nin ulusal ve ekonomik güvenliğini
etkileyen ulusal bilgi altyapısının bugünkü haliyle
güvenirlik ve hizmete hazır olma kriterleri açısından
ihtiyaçları tam olarak karşılamadığı değerlendirilmektedir.
Altyapının
tehtide ve hassasiyetlere karşı yetersiz oluşu,
altyapıda muhtemel kesintilere ve olabilecek kötü niyetli
saldırılara karsi hassasiyeti arttırmaktadir. Bu
nedenle, bu tür
tehtidleri ortaya çıkarmak ve gerekli önlemleri almak
üzere merkezi bir yönetim birimine ihtiyaç
duyulmaktadır.
Bu çerçevede, Devletin kamu ve
özel tüm kurum ve kuruluşlarının endüstriyel, politik,
ekonomik ve sosyal alanlarda kaçınılmaz olarak etkileşim
içinde olduğu hususu dikkate alınarak, ortak olarak
kullandıkları altyapının, Devletin ulusal ve ekonomik çıkarları
için güvence altına alınması amaçlanmıştır.
Öngörülen
ana esaslar çerçevesinde sorunun; ulusal güvenlik
politikasından sorumlu üst organın direktiflerine uygun olarak,
gecikmeksizin çözümlenmesi için merkezi bir
ulusal bilgi güvenliği yönetim yapısının oluşturulması
ihtiyacı ortaya çıkmıştır. Bu bağlamda, Hükümet
seviyesinde ulusal güvenlik ihtiyaçları doğrultusunda
genel prensipleri vazeden bir üst organ; direktifleri ve
yasalarda verilen görevleri uygulayacak ve ulusal bilgi
güvenlik sistemini işletecek bir yönetim birimi teşkili
yoluna gidilmektedir. Taslak ile; ulusal güvenliği ilgilendiren
bilgilerin korunması ve devletin bilgi güvenliği faaliyetlerinin
geliştirilmesi, gerekli stratejilerin (politikaların) üretilmesi
ve belirlenmesi, kısa ve uzun dönemli planların hazırlanması,
kriter ve standartların saptanması, ihracat ve ithalat izinlerinin ve
sertifikaların verilmesi, bilgi sistemlerinin teknolojiye uyumunun
sağlanması, uygulamanın takip ve denetimi, kamu ve özel kurum ve
kurulusları arasında koordinasyonun sağlanması amaçlarını
gerçekleştirmek üzere oluşturulan teşkilatıng örevlerine
ilişkin esas ve usuller ile bunlara ilave olarak, bu yasal düzenleme
ile kamu ve özel bütün kurum ve kuruluşlarda, bilgi
güvenliğini sağlayacak gerekli yapılanmaya geçilmesi
hususu düzenlenmektedir.
MADDE GEREKÇELERİ
Madde
1- Madde ile, Kanunun düzenlenme amacı belirtilmektedir.
Madde
2 - Madde ile, Kanunun kapsamı belirtilmektedir.
Madde 3 - Madde
ile, Kanunda yer verilen deyimlerden ulusal bilgi güvenliği,
haberleşme güvenliği, fiziki güvenlik, personel güvenliği,
teknik güvenlik, TEMPEST, güvenlik ihlali, kripto,
kriptoloji, kripto sistemleri, algoritma, ulusal bilgi ağı, üst
kurul, kurum terimleri açiklanmaktadir.
Madde 4 - Madde ile
Ulusal Bilgi Güvenliği Üst Kurulu ile Başbakanlığa bağlı
olarak Ulusal Bilgi Güvenliği Kurumu Başkanlığının kuruluşu
düzenlenmektedir.
Madde 5 - Madde ile, Ulusal Bilgi Güvenliği
Üst Kurulunun asil üyelerinin kimlerden oluştuğu, Üst
Kurula başkanlık usulü, diğer kamu ve özel kurum ve
kuruluşların temsilcilerinin katılım durumu, oy verme ve karar yeter
sayısı, olağan toplantılı tarihleri, gündem, olağanüstü
toplantıya çağrı usulü, sekreterya hizmetleri
düzenlenmekte ve üst Kurulun çalışma usul ve
esaslarının daha
sonra çıkarılacak Yönetmelikle
düzenleneceği belirtilmektedir.
Madde 6- Madde ile, Ulusal
Bilgi Güvenliği Kurumu Başkanlığının alt birimlerini oluşturan
daire başkanlıkları ile uluslar arası ilişkiler ve hukuk müşavirliği,
ulusal bilgisayar güvenlik merkezi ve genel sekreterliğin
kuruluşu düzenlenmekte ve dairelerin alt birimlerinin kuruluş
şekillerinin ve görevlerinin çıkarılacak Yönetmelikle
düzenleneceği belirtilmektedir.
Madde 7-Madde ile, Ulusal
Bilgi Güvenliği Üst Kurulunun görevleri
düzenlenmekte.
Madde 8- Madde ile, Ulusal Bilgi Güvenliği
Üst Kurumu Başkanlığının görevleri düzenlenmektedir.
Madde
9 - Madde ile, Uluslararası İlişkiler ve Hukuk Müşavirliğinin
görevleri düzenlenmektedir.
Madde 10 -Madde ile, Ulusal
Bilgisayar Güvenliği Merkezinin görevleri düzenlenmektedir.
Madde 11 -Madde ile, Genel Sekreterliğin görevleri
düzenlenmektedir.
Madde 12- Madde ile, Plan Program ve
Koordinasyon Başkanlığının görevleri düzenlenmektedir.
Madde
13-Madde ile, Bilgi Güvenliği Dairesi Başkanlığının görevleri
düzenlenmektedir.
Madde 14- Madde ile, Kriptoloji Dairesi
Başkanlığının görevleri düzenlenmektedir.
Madde 15-
Madde ile Bilgi Destek Dairesi Başkanlığının görevleri
düzenlenmektedir.
Madde 16- Madde ile, Denetleme ve
Değerlendirme Dairesi Başkanlığının görevleri
düzenlenmektedir.
Madde
17- Madde ile, bilgi güvenliğinde kullanılacak gizlilik
dereceleri ile hangi makam tarafından ne şekilde verebileceğinin
Kurum tarafından çıkarılacak bir Yönetmelikle
düzenleneceği belirtilmektedir.
Madde 18- Madde ile, ulusal
bilgi güvenliği, tüm kamu ve özel kurum ve
kuruluşlarda bir bütün olarak değerlendirildiğinden, her
kurum ve kuruluşun kendi bünyesinde gereken organizasyonu
oluşturması ve ulusal bilgi güvenliği
konusunda belirtilen
önlemleri alınması için yükümlülük
düzenlenmektedir.
Belirtilen hükümlülüklerin
yerine getirilmesinde özel kanunlara tabi kurum ve kuruluşlara
ilişkin hükümler saklı tutulmaktadır.
Madde 19- Madde
ile, oluşturulan teşkilatın görevlerinin yerine getirilmesinde,
diğer kurum ve kuruluşlarının ihtiyaç duyulan hizmetlerinden
ve personelinden yararlanma esasları ile söz konusu personelin
mali ve sosyal hakları saklidir.
Madde 20- Madde ile, oluşturulan
teşkilatın kadroları ve bu kadrolarda görevlendirilecek
personelin yasal dayanağı, sözleşmeli olarak çalıştırılacak
personel, Emekli Sandığı ile ilgilendirilme ve özel uzmanlık
gerektiren işlerde
uzman personel çalıştırabilmesi
hususları düzenlenmektedir.
Madde 21- Kurum Başkanı, daire
başkanları ve birinci başhukuk müşavirleri hakkında istisnai
memurluk statüsünün uygulanması ve personelin atama
onay usulü düzenlenmektedir.
Madde 22- Madde ile,
oluşturulan teşkilatın yaptıracağı araştırma, etüt, program ve
proje işlerinin sözleşmeyle yaptırabilmesi hususu ve ihaleyle
ilgili esaslar düzenlenmektedir.
Madde 23- Madde ile, Ulusal
Bilgi Güvenliği Kurumu Başkanlığının gelirleri
düzenlenmektedir.
Madde 24- Ulusal Bilgi Güvenliği
Kurumu Başkanlığının faaliyet alanına giren konularda gerçek
ve tüzel kişilere verilecek hizmetlerin yerine getirilmesine
araştırma-geliştirme faaliyetleri için gerekli olan kaynağın
elde edilmesine yönelik olarak bir döner sermaye işletmesi
kurulması ve bunun işletilmesi esasları düzenlenmektedir.
Madde
25- Ceza hükmü düzenlenmektedir ve kanunda belirtilen
yükümlülükleri yerine getirmeyenler hakkında
caydırıcı nitelikte hükümler
düzenlenmektedir.
Madde 26- Yürürlük maddesidir.
Madde 27-
Yürütme maddesidir.