:: ENERJİ SEKTÖRÜNDE BİLİŞİM GÜVENLİĞİNİN SAĞLANMASINA DAİR YÖNETMELİK…
Ülkemiz Ulusal Güvenlik Stratejisi Eylem Planları kapsamında olan kritik enerji altyapıları (KEA) bilgi sistemleri süreçlerinin izlenmesi ve güvenliğinin sağlanmasına ilişkin usul ve esasların düzenlenmesine ilişkin yönetmelik taslağı EPDK tarafından hazırlandı.
Bu yönetmelik 4628 sayılı EPDK Kanununun 5’inci maddesinin (e) bedinden belirtilen “Üretim, iletim ve dağıtım şirketleri ile otoprodüktör ve otoprodüktör grubu tesisleri için güvenlik standartları ve şartlarını tespit etmek ve bunların uygulanmasını sağlamak.” maddesine dayanmakta ve Bilgi Güvenliği Yönetim Sistemi açısından ISO 27001 Standardını referans almaktadır.
Yönetmelikte;
Hizmet kalitesinin yükseltilmesi,
Ulusal düzenleme ile ulusal ve /uluslararası standartların dikkate alınması
Müşteri bilgilerinin gizliliğinin korunması,
Kaynakların düzenli, şeffaf ve etkin kullanımının sağlanması,
Lisans sahibi tüm tüzel kişilerin standart kapsamında bilişim güvenlik önlemlerini almalarının ve uygulamalarının temini amaçlanmaktadır.
Yönetmelik, bir “Enerji Sistemleri Bilişim Komisyonunu” ve Yükümlü grupları ciro, enerji üretim oranlarına göre A ve B olarak gruplandırmaktadır.
Yükümlülerden beklenen temel rol ve görevler ise;
Kurum bilişim güvenliği politikasını belirlemek, ilan etmek ve personelin farkındalığını sağlamak,
Bilişim sorumlusunun yeterliliğini sağlamak ve atamak,
Yeterli personel bulundurmak, hizmet almak ve personeli eğitmek,
Bilişim Güvenliği Sorumlusunu belirlemek, İç tetkik birimi oluşturmak,
Kaynak aktarmak, raporun doğruluğunu sağlamak ve raporu onaylamak,
Tebliğde belirtilen güvenlik kurallarını sağlamak ve temin etmek,
Müşteri bilgilerinin bulunduğu dijital ortamların güvenliğini temin etmek,
Varlık envanterini ve risk analizlerini mevzuat tarafından belirlenen veya Komisyon tarafından öngörülen süre içerisinde hazırlamak ve güncellemek,
Risk iyileştirme planı hazırlatmak ve planda yer alan önlemleri uygulatmak,
Varlık envanteri, ağ topolojisi ve olay kayıtların tutulmasında azami hassasiyet gösterilmesi. Bu kayıtlar her hangi bir saldırı girişimi durumunda kolluk kuvvetlerine bildirilmek üzere saklanması.
A. Grubu sorumlular 2015 itibariyle, B grubu sorumluların ise 2017 sonu itibariyle yönetmelik ve standarda ( ISO 27001:2013 ) uymaları beklenmekte.
Ayrıca A. grubu sorumluların çalışmaların %70’ini 2014 yılı içerisinde gerçekleştirmesi beklenmekte.
YASA REFERANS:
* https://www.tbmm.gov.tr/kanunlar/k4628.html
* https://www.sibersan.com/ulusal-siber-guvenlik-stratejisi-ve-2013-2014-eylem-plani/
* https://www.sibersan.com/sanal-ortamda-islenen-suclar-sozlesmesi-6533-sayili-yasa/