ULUSAL BİLGİ GÜVENLİĞİ TEŞKİLATI VE GÖREVLERİ HAKKINDA KANUN TASARISI
BİRİNCİ BÖLÜM
Amaç, Kapsam ve Tanımlar
Amaç
Madde 1- Bu Kanunun amacı; ulusal güvenliği ilgilendiren bilgilerin korunması, Devletin bilgi güvenliği faaliyetlerinin geliştirilmesi, gerekli politikaların üretilmesi ve belirlenmesi, kısa ve uzun dönemli planların hazırlanması, kriter ve standartlarının saptanması, ihracat ve ithalat izinlerinin ve sertifikalarının verilmesi, bilgi sistemlerinin teknolojiye uyumunun sağlanması, uygulamanın takip ve denetimi kamu ve özel kurum ve kurulusların arasında koordinasyonun sağlanması amacıyla bir teşkilatın kurulması ve görevlerine ilişkin esas ve usulleri düzenlemektir.
Kapsam
Madde 2- Bu Kanun, ulusal güvenliği ilgilendiren bilgiye işlem yapan kamu ve özel kurum ve kurulusları ile yerel yönetimleri, kamu kurumu niteliğindeki meslek kuruluslarını, üniversiteleri, bu yerlerde çalişan personeli, diğer tüzel ve gerçek kişileri, bilgi güvenliğinden faydalananları ve faydalanacak durumda olanları kapsar.
Tanımlar
Madde 3- Bu kanunda geçen deyimlerden;
a) Ulusal Bilgi Güvenliği: Ulusal güvenliği ilgilendiren, yetkisiz ellere geçtiği taktirde devletin güvenliğini tehlikeye sokabilecek veya devlet aleyhine kullanilabilecek her türlü bilgiyi, üretim, kullanım ,işlenme saklanma, nakledilme ve imha sırasında yetkisiz kişilerin erişimine ve olası her türlü fiziksel ve elektronik müdahaleye karşı korumaya; bilgiye erişim ve kullanıma ait usulleri açık şekilde belirlemeye ve bilgiyi gerektiğinde hazir bulundurmaya yönelik tedbirleri,
b) Haberleşme Güvenliği: Ulusal güvenliği ilgilendiren bilginin özellikle telekomünikasyon kanallarından gönderilmesi sırasında yetkisiz kişiler tarafindan elde edilmesinde ve içeriğinin açığa çikarılmasına ve diğer her türlü müdahaleye karşı alınan tüm tedbirleri,
c) Fiziki Güvenlik: Ulusal güvenliği ilgilendiren bilgiyi ihtiva eden ya da bu bilgiye işlem yapan cihaz, malzeme ve tesisi, yetkisiz kişilerin erişimine
karşı korumak üzere alınan fiziksel tedbirleri,
d) Personel Güvenlig: Ulusal güvenliği ilgilendiren bilgiye yalnizca yetki verilen kişilerin, bilmeleri gerektigi oranda erişebilmeleri için alınan tüm tedbirleri,
e) Teknik Güvenlik: Yurt içinde ve yurt dışında personel, araç, donanım ve binalarda dinleme ve gözetleme amacıyla yapılan teknik yerleşmelere karşı alınan tüm güvenlik tedbirlerini,
f) TEMPEST: Tüm elektronik teçhizattan ve bunların kuruluşundan iletkenlik ve ışıma yoluyla istem dışı yayılan bilginin önlenmesine ilişkin alınan tedbirleri,
g) Güvenlik hali: Bilginin güvenliğinin bilerek veya istenmeyerek yapılan herhangi bir işlem nedeni ile tamamen ya da kısmen ortadan kaldırılmasını,
h) Kripto: Birbirleriyle haberleşen iki tarafin, haberleşmesi esnasında üçüncü tarafa bilgi sızdırmamak amacıyla bilginin gizlenmesini sağlayan sistemleri,
i) Kriptoloji: Kriptografi ve kripto analiz konuları ile ilgilenen bir bilim dalini,
j) Kripto Sistemleri: Şifreleme ve şifre çözme etkinliklerinden birisini veya ikisini birden yerine getirmeye yarayan, bu sistemler kapsamında veri iletişimi de dahil olmak üzere her türlü iletişim sistemlerinde kullanilan sistemleri,
k) Kriptografik Algoritma: Bir bilginin gizlenmesi için yapilan matematiksel bir islemi,
l) Ulusal Bilgi Aği: Kamu ve özel kuruluşlarda ulusal güvenliği ilgilendiren bilgiye işlem yapan mevcut terminalleri, bilgi teatisi maksadıyla birbirine baglayan ağı,
m) Üst Kurul: Ulusal Bilgi Güvenligi Üst Kurulunu,
n) Kurum: Ulusal Bilgi Güvenliği Kurumu Baskanlığını, ifade eder.
İKİNCİ BÖLÜM
Kuruluş ve Görevler
Kuruluş
Madde 4- Ulusal bilgi güvenliğinin sağlanması amacıyla başbakanlığa bağlı Ulusal Bilgi Güvenliği Üst Kurulu ile tüzel kişiliğe sahip katma bütçeli Ulusal Bilgi Güvenliği Kurumu Başkanlığı kurulmuştur.
Ulusal Bilgi Güvenliği Üst Kurulu
Madde 5- Ulusal Bilgi Güvenliği Üst Kurulu; Ulusal bilgi güvenliği alaninda genel direktif organı olup, başbakanın başkanlığında; Adalet, Milli Savunma, İçişleri, Dışişleri, Ulaştırma, Sanayi ve Ticaret Bakanları ile Milli Güvenlik Kurulu genel sekreteri, Genel Kurmay Muharebe Elektronik ve Bilgi Sistemleri Başkanı, Milli Istihbarat Teşkilatı Müsteşarı, Türkiye Bilimsel Ve Teknik Araştırma Kurumu ile kurum başkanından oluşur. Başbakanın katılmadığı hallerde üst kurula, Adalet Bakanı başkanlık eder.
Üst kurulun daimi üyeleri tarafından ihtiyaç duyulduğu hallerde, diğer bakanlar ile kamu ve özel kurum ve kuruluşlarının temsilcileri de üst kurul toplantılarına katılabilir.
Üst Kurulun toplantı yeter sayısı daima üyelerin üçte ikisidir. Kararlar, toplantıya katılan daimi üyelerin oy çokluğu ile alınır. Toplantılara katılmaları uygun görülen diğer kişilerin oy hakkı yoktur.
Üst Kurul, Nisan ve Ekim aylarında olmak üzere, yılda iki defa olağan olarak toplanır. Üst Kurulun gündemi, Başbakan tarafından belirlenir.
Başbakan, daimi üyelerden birisinin talebi üzerine, Üst Kurulu olağanüstü toplantıya çağırabilir.
Üst Kurulun sekreterya hizmetleri, kurum tarafından sağlanır.
Ulusal bilgi güvenliği kurumu başkanlığı
Madde 6- Ulusal Bilgi Güvenliği Kurumu Başkanlığının teşkilatı, aşağıda isimleri belirtilen ana hizmet birimlerinden oluşur:
a) Plan Program ve Koordinasyon Daire Başkanlığı,
b) Bilgi Güvenliği Daire Başkanlığı,
c) Kriptoloji Daire Başkanlığı,
d)Bilgi Destek Daire Başkanlığı,
e)Denetleme ve Bilgilendirme Daire Başkanlığı,
Kurumun danışma birimi, Uluslararası İlişkiler ve Hukuk Müşavirliği; yardımcı birimleri ise, Ulusal Bilgisayar Güvenliği Merkezi Müdürlüğü ve Genel
Sekreterliktir.
Kurumun teşkilatı Ek‘li cetvelde gösterilmiştir.
Ulusal bilgi güvenliği üst kurulunun görevleri
Madde 7- Ulusal Bilgi Güvenliği Üst Kurulunun görevleri aşagıda belirtilmiştir:
a)Ulusal bilgi güvenliğine yönelik tehdidi değerlendirmek, ulusal bilgi güvenliği siyasetinin tayini, tespiti ve uygulamasıyla ilgili kararları almak ve kuruma bu konuda direktif vermek,
b)Tespit edilen ulusal bilgi güvenliği siyasetine ilişkin kararlar doğrultusunda yapılan uygulamaları incelemek, değerlendirmek ve yönlendirmek,
c)Ulusal bilgi güvenliğine ilişkin mevzuat değişikliği tekliflerini değerlendirmek.
Ulusal Bilgi Güvenliği Kurumu Başkanlığının Görevleri
Madde 8- Ulusal Bilgi Güvenliği kurumu Başkanlığının görevleri aşağıda belirtilmiştir:
a) Ulusal bilgi güvenliğine karşı yurt içi ve yurt dışı tehdidin tespit edilmesini sağlamak, gerekli tedbirleri almak ve alınmasını sağlamak,
b) Ulusal bilgi güvenliği sistemini oluşturmak için politika, konsept, ilke, standart ve usulleri tespit etmek ve geliştirmek,
c) Ulusal bilgi güvenliğinin sağlanmasına esas olarak bilginin gizlilik, bütünlük ve kullanıma hazır olmasını sağlayacak tedbirleri belirlemek, uygulamak, uygulanmasını sağlamak ve kontrol etmek,
ç) Ulusal bilgi güvenliği risk yönetimi ve değerlendirmesini yapmak ve yapılmasını sağlamak,
d) Ulusal bilgi güvenliği alt yapısını korumak amacıyla gerekli görülecek ulusal bilgi güvenliği sistemi esaslarını tespit ederek kurmak ve geliştirmek,
e) Ulusal bilgi güvenliği sisteminin mimarisinin oluşturulmasında caydırma, koruma, ikaz, tespit, onarım ve tedbir unsurlarını belirlemek,
f) Ulusal bilgi güvenliği ile ilgili uluslararası mevzuat ve teknolojideki gelişmeleri takip etmek,
g) Güvenlik hassasiyeti gösteren personel, yazılım, donanım, kripto, iletişim ortamlarını ve iletişim ağlarını her türlü tehdit kaynağına karşı maliyet etkin tedbirlerle koruma altına alınmasını sağlamak, bu tedbirleri uygulamaya sokmak ve
kontrol etmek,
h) Ulusal bilgi güvenliğine ilişkin güvenlik kategorilerini ve sistemin minimum güvenlik ihtiyaçlarını belirlemek, uygulamasını sağlamak,
i) Tüm gizlilik dereceli ve tasnif dışı hassas bilgiye işlem yapacak birimler ve şebekeler için onay vermek,
i) Ulusal güvenliği ilgilendiren bilgiye işlem yapacak donanım ve yazılım ihtiyaçlarına ait güvenlik değerlendirmesini yapmak ve değerlendirilmiş ürün listelerini hazırlamak ve yayımlamak,
j) Haberleşme güvenliği sistemlerinin tehdit analizi ve hassasiyet değerlendirmelerini yapmak,
k) Hassas ve gizlilik dereceli bilgiyi korumak üzere, anahtarlama materyali üretim esaslarını belirlemek,
l) TEMPEST standartlarını hazırlamak ve onay işlemlerini gerçekleştirmek,
m) Kripto sistemlerinde kullanilacak materyal ve anahtarları üretecek teçhizatı onaylamak, kripto anahtarlarının dağıtılmasına ilişkin standartları ve yöntemleri belirlemek ve denetlemek,
n) Ulusal bilgi güvenliği gerekleri, ihtiyaçlar, ticaret ve gizlilik arasında uygun bir denge kurarak kriptolojik malzemelerin ihracat ve ithalatıyla ilgili
Genelkurmay Başkanlığı ve Dışişleri Bakanlığı‘nın uygun görüşleri alınarak gerekli lisansları vermek,
o) Ulusal bilgi güvenliği ile ilgili mevzuat değişikliklerine ilişkin teklifleri Üst Kurula sunmak,
ö) Bilgi çağının gerektirdiği çağdaş güvenlik tedbirlerini belirleyerek Üst Kurula teklif etmek,
p) Üst Kurulun almış olduğu karar ve direktifleri uygulamak,
r) Ulusal bilgi güvenliği amacıyla, Genelkurmay Başkanlığı ve Dışişleri Bakanlığı ile koordineli olarak diğer ülkelerle ve uluslararası kuruluşlarla
işbirligi yapmak, Sistemlerin, nihai sistem güvenlik kriterlerini belirlemek ve onay işlemlerini yapmak.
s) Ulusal bilgi güvenliği konusunda eğitim standartlarını belirlemek, plan ve programları yapmak,
t) Ulusal bilgi güvenliği konusunda araştırma ve geliştirme faaliyetlerini sağlamak,
u) Kamu ve özel kurum ve kuruluşlar için gizlilik dereceli bilgi veya kripto cihazlarına ilişkin her türlü yetki belgesi (klerans) düzenlemek ve onay yöntem
ve usullerini belirlemek, uygulanmasını sağlamak,
ü) Ulusal bilgi güvenliği konusunda üretim yapan kamu ve özel kurum ve kuruluşlarını bir program çerçevesinde denetlemek ve üretilen ürünleri
onaylamak.
Uluslararası İlişkiler ve Hukuk Müşavirliği
Madde 9- Uluslararası İlişkiler ve Hukuk Müşavirliği, Kurum Başkanına doğrudan bağlı olup görevleri aşağıda belirtilmistir :
a) Uluslararası Bilgi Güvenliği politikasının oluşturulmasında uluslararası ilişkileri ve gelişmeleri takip etmek, değerlendirmek, koordine etmek ve önerilerde bulunmak, gerekli kanun tasarısı taslaklarını hazırlamak,
b) Ulusal bilgi güvenliği konusunda Kurum tarafından hazırlanan veya Başbakanlık, Bakanlıklar ve kuruluşlardan gönderilen kanun, tüzük ve yönetmelik taslaklarını hukuki açıdan inceleyerek, görüş bildirmek,
c) Ulusal Bilgi Güvenliğine ilişkin konularda altyapı temini modelinin oluşturulması ve altyapının güvenirliğinin sağlanarak kullanıma hazır tutulması
için gerekli yasal düzenlemeleri ve sözleşmeleri hazırlamak,
d) Bireysel mahremiyeti koruma ve birey için gerekli kamu bilgisine erişimi sağlayıcı yasal düzenlemeleri belirlemek,
e) Uluslararası Bilişim güvenliğine ilişkin suçların mevzuatımızda yer alması için gerekli kanun tasarısı taslaklarını hazırlamak,
f) 4353 sayılı kanun hükümlerine göre adli ve idari davalara ilişkin gerekli bilgileri hazırlamak, Maliye Bakanlığı Başhukuk Müşavirliği ve Muhakemat Genel Müdürlüğünü ilgilendirmeyen idari davalarda kurumu temsill etmek,
g) Uluslararası Bilgi Güvenliği tehdide uğradığı hallerde ekonomik kısıtlama, diplomatik yanıt gibi tedbirlerin kullanımını Dışişleri Bakanlığı ve ilgili
Bakanlıklarla koordine etmek ve önerilerde bulunmak,
h) Kurum tarafından verilen diğer görevleri yapmaktır.
Ulusal Bilgi Güvenliği Merkezi
Madde 10- Ulusal Bilgi güvenliği merkezinin görevleri aşağıda belirtilmistir :
a) Güvenli bilgi sistemlerinin geniş bir şekilde, kullanımını teşvik etmek,
b) Endüstri ve Kamu tarafından geliştirilmiş sistemlerin, teknik koruma yeteneklerini değerlendirmek,
c) Bilgi güvenliği konusunda faaliyet gösteren, kamu ve endüstri Gruplarının teknik desteğini sağlamak,
d) Bilgi sistemlerinin değerlendirilmesi için, gerekli teknik kriterleri geliştirmek,
e) Ticari Sistemleri değerlendirmek,
f) Bilgisayar ve Ağ Güvenlik teknoloji araştırmalarını icra ve yönlendirmek,
g) Güvenli Bilgi Sistemlerini geliştirme ve test etmede kullanmak için, gerekli modifikasyon ve analiz teçhizatını geliştirmek ve bilişim emniyetini sağlamak,
h) Bilgi güvenliği sahasında eğitim vermek,
i) Kamu ve Endüstrinin diğer bölümlerine bilgi güvenlik bilgisini dağıtmak,
j)Tehdidin türüne göre geliştirilen karşı tedbirleri gerektiğinde uygulamaya koymak,
Genel Sekreterlik
Madde 11- Genel Sekreterliğin Görevleri Aşağıda Belirtilmiştir :
a) Kurum Başkanının resmi ve özel yazışmalarını yürütmek,
b) Kurumun idari, bakım-onarım ve idame hizmetlerine ilişkin görevlerini yürütmek,
c) Kurumun maliye ve satın alma hizmetlerini sağlamak,
d) Kurumun güvenlikle ilgili hizmetlerini yürütmek,
e) Üst Kurulun sekreteryasını yapmak,
ÜÇÜNCÜ BÖLÜM
ANA HİZMET BİRİMLERİ VE GÖREVLERİ
Plan, Program ve Koordinasyon Dairesi Başkanlığı
Madde 12- Plan, Program ve Koordinasyon Dairesi Başkanlığının Görevleri aşağıda belirtilmistir :
a) Telekomünikasyon ve Bilgi sistemleri ortamındaki değişimlere uyum sağlayacak Ulusal bilgi güvenliği politikasının oluşturulması için gerekli verileri hazırlamak, prensipleri belirlemek,
b) Ulusal Bilgi güvenliği ile ilgili olarak görev alanına ilişkin planlama ve programlama faaliyetlerinde bulunmak, gerekli mevzuatı düzenlemek,
c) Ulusal Bilgi güvenliği altyapı esaslarını ortaya koymak yapılmış olan risk analizleri neticelerine göre altyapıyı iyileştirici tedbirleri belirlemek
d) Uyuşum standartları ve kriterlerini ortaya koymak,
e) Ulusal Bilgi güvenliği konusunda bilgilendirme ve eğitim faaliyetlerini planlamak,
f) Kamu ve özel sektöre Ulusal bilgi güvenliğine ilişkin danışmanlık ve teknik yardım sağlamak,
g) Kurumun personel faaliyetlerini yürütmek ve koordine etmek,
h) Ulusal Bilgi Güvenliği Başkanlığının bütçe düzenleme faaliyetlerini yürütmektir.
Bilgi Güvenlik Dairesi Başkanlığı
Madde 13- Bilgi Güvenlik Dairesi Başkanlığının Görevleri aşağıda belirtilmiştir :
a) Ulusal bilgi Güvenliği ihlallerine karşı alınacak tedbirleri belirlemek, ihlallere karşı gerekli tedbirleri almak ve ilgili makamlarla koordineli olarak uygulanmasını sağlamak,
b) Ulusal Bilgi güvenliği açısından Personel güvenliğine, fiziki güvenliğe ve donanım ve yazılım güvenliğine ilişkin usul, kriter ve prensipleri belirleyerek dökümantasyonunu hazirlamak,
c) Kurumun, ulusal bilgi ağı TEMPEST, haberleşme güvenliği ve teknik güvenliğine ilişkin usul, kriter ve prensiplerini belirleyerek dökümantasyonunu hazırlamak,
d) Elektronik kripto dışında ihtiyaç duyulacak kod ve parola sistemlerini belirlemek, geliştirmek ve üretmek,
e) İletişim ortamları, donanım ve ağlar için tehdidi ve zafiyeti dikkate alarak risk analizleri yapmak, ve risk yönetim usullerini belirlemek, risk analizleri sonucunda belirlenmiş koruyucu tedbirleri uygulamaya koymak,
f) Yazılım Güvenlik, kriter ve standartlarını belirlemek,
g) Ulusal ve uluslararası iletişim ağlarına ilişkin olarak ulusal bilgi güvenliği açısından güvenlik, usul, kriter ve prensipleri belirlemek, dökümantasyonunu sağlamak,
h) Güvenlik denetimlerine ilgi alanı itibariyle katılmak, alt kurulara sekreterya hizmeti vermek ve görev alanına ilişkin mevzuat değişikliklerine ilişkin teklifleri hazırlamaktır.
Kriptoloji Dairesi Başkanlığı
Madde 14- Kriptoloji Dairesi Başkanlığının görevleri aşağıda belirtilmistir :
a) Kriptografik algoritma, ihtiyaçlarini belirlemek, üretiminin denetimini yapmak ve kütüphanesini oluşturmak,
b) Kripto cihaz ve kriptografik bilginin ihracat ve ithalatında Genel Kurmay Başkanlığı, Dışişleri Bakanlığı ve gerektiğinde ilgili diğer bakanlıklarla
koordineli olarak esas ve usulleri belirlemek, lisans belgesi vermek,
c) Risk analizleri ve risk azaltma planları yapmak , kabul edilebilir riski tespit etmek,
d) Kripto merkezlerinin sağlaması gereken kriterlerini ve denetleme usul ve esaslarını belirlemek, denetleme raporlarını değerlendirerek onay vermek, kripto anahtar üretimi ve dağıtımını yapmak, gerektiğinde kurum ve kuruluşlara kendi
kripto anahtar üretimi ve dağıtımı konusunda yetki vermek,
e) Gizlilik derecesiz uygulamalarda da kripto kullanım esaslarını belirlemek, uygulamaları teşvik etmek ve denetlemek,
f) Kripto cihaz ve dökümantasyonu için, kripto saymanlık, işletme, bakım ve onarım usullerini belirlemek,
g) Kripto ihlallerine karşı alınacak tedbirleri belirlemek ve gerekli tedbirleri almak,
h) Her tür kriptografik yöntem ve teçhizata ilişkin sertifikasyon ve onay usullerini belirlemek,
I) Kripto hizmetlerinde çalıştırılacak personele kripto yetki belgesi verilmesi esas ve usullerini belirlemektir.
Bilgi destek dairesi başkanlığı
Madde 15- Bilgi Destek Dairesi Başkanlığının görevleri asagida belirtilmistir;
a) Ulusal bilgi güvenliği altyapısına karşı iç ve dış tehdidi teşhis etmek, tanımlamak, genel tehdit değerlendirilmesi yapmak ve Üst Kurula sunmak,
b) Ulusal bilgi güvenliğine karşı tehdidin teknik özelliklerini ve muhtemel etkilerini belirlemek, karşı tedbirleri gelistirmek,
c) İstihbarat üreten kurum ve kuruluşlar ile bilgi güvenliğine ilişkin istihbarat bilgisi değişimi için protokoller yapmak,
d) Mevcut ve tasarlanan iletişim ortamları, donanım ve ağlar için tehdidi ve zafiyeti dikkate alarak risk analizleri yapmaktır.
Denetleme ve değerlendirme dairesi başkanlığı
Madde 16- Denetleme ve Değerlendirme Dairesi Başkanlığının görevleri aşağıda
belirtilmiştir;
a) Ulusal bilgi güvenliği açısından kripto, bilgi güvenlik ve TEMPEST denetleme kriter ve usullerini belirlemek ve gelistirmek,
b) Kripto denetleme programlarını hazırlamak, kripto merkezlerinin kriterlere uygunluğunun denetlemesini sağlamak, gerektiğinde denetlemek ve denetleme raporlarını değerlendirmek,
c) Ulusal bilgi güvenliği sistemlerine karşı yapılan saldırıları ve güvenlik ihlallerini değerlendirmek,
d) Eğitim, öğretim ve biçimlendirme ihtiyaçlarını tespit etmek,
e) Genel değerlendirme raporu hazırlayarak Üst Kurula sunmak,
f) İletişim ortamları, şebeke, yazılımlara ait güvenlik sistemleri ile ilgili denetleme usul ve kriterlerini belirlemek, geliştirmek, denetleme yapılmasını
sağlamak, gerektiğinde denetlemek ve denetleme raporlarını değerlendirmek,
g) TEMPEST standartlarını hazırlamak ve onay işlemlerini gerçekleştirmek,
h) Ulusal bilgi güvenlik alt yapısına ait sistemlerin nihai sistem güvenlik kriterlerini belirlemek ve onay işlemlerini yapmak.
DÖRDÜNCÜ BÖLÜM
Çesitli Hükümler
Gizlilik dereceleri
Madde 17- Bilgi güvenliğinin sağlanmasından kullanılacak gizlilik dereceleri ile hangi makam tarafından ne şekilde verileceği hususları Kurum tarafından çıkartılacak yönetmelikte düzenlenir.
Kamu ve özel kurum ve kuruluşlarının yükümlülüğü
Madde 18- Tüm kamu ve özel kurum ve kuruluşları, ulusal güvenliği ilgilendiren bilginin korunması için kendi idari yapıları içerisinde gereken organizasyonu kurmak veya değişiklikleri yapmak ve gerekli tedbirleri almak konusunda
sorumludurlar.
Ulusal bilgi güvenliği, tüm kamu ve özel kurum ve kuruluşlarda bir bütün olarak değerlendirilir ve gerekli koordinasyon Kurum tarafından sağlanır. Bu amaca yönelik tüm kaynaklar yerinde, zamanında ve en etkin bir şekilde kullanılır.
Kamu ve özel kurum ve kuruluşları, Kurum tarafından bu Kanunun uygulanmasına ilişkin olarak yayımlanan esas ve usullere uymak zorundadır.
Kurum, gerekli gördüğü ulusal bilgi güvenliğinin sağlamaya iliskin bilgileri, bu Kanun kapsamına giren kamu ve özel kurum ve kuruluşlardan doğrudan istemeye yetkilidir. Bu konuda istenen gizlilik dereceli her türlü bilgi, makam onayı ile
en kısa zamanda verilir.
Özel kanunlardakı hükümler saklıdır.
Kişi ve kurumların hizmetlerinden yararlanma
Madde-19- Genel ve katma bütçeli idareler, kamu iktisadi teşebbüsleri ile bunlara bağlı kuruluşlar ve müesseselerde çalışanlar, Kurumda sözlesmeli olarak istihdam edilebilirler. Bu personel kurumundan aylıksız izinli sayılır. Izinli oldukları sürece memuriyetleri ile ilgili özlük hakları devam ettiği gibi bu süreler terfi ve emekliliklerinde hesaba katılır. Kurumda çalıştıkları sürece bunların
sicilleri Kurum tarafından verilir ve bu sicillere göre kendi kurum ve kuruluslarınca terfileri yapılır. Bu personelin, çalışma usul, esas, ücret ve sayılarına ilişkin hususlar, Bakanlar Kurulu Kararıyla tespit edilir. Ancak bu personelin aylıkları, hiç bir halde kendi kurum ve kuruluşlarında aldıkları aylıklardan az olamaz.
Birinci fıkrada belirtilen kurum ve kuruluşlarda görevli personel, gerektiği hallerde aylık, ek gösterge, ödenek, her türlü zam ve tazminatlar ile diğer mali ve sosyal hak ve yardımları kendi kurumlarınca ödenmek tabi oldukları kanun
hükümleri çerçevesinde geçici olarak Kurumda görevlendirilebilirler.
Kadrolar ve personel
Madde 20- Kadroların tespit, ihdas, kullanım ve iptali ile kadrolara ait diğer hususlar, 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararname hükümlerine göre düzenlenir.
Kurumda başkan, başkan yardımcıları, hukuk müşavirleri, daire başkanları, şube müdürleri, mühendisler ve yüksek öğrenim görmüş olanlar, kadro karşılık gösterilmek kaydıyla 657 sayılı Devlet Memurları Kanunu ve diğer kanunların sözleşmeli personel hakkındakı hükümlerine bağlı olmaksızın sözleşmeli olarak çalıstırılabilir. Kurumda başkan, başkan yardımcıları ve daire başkanları olarak
atanacak personelde bu sahada en az lisans düzeyinde eğitim yapmaları ve kamu kurum ve kuruluslarında Kurumun ilgi alanını oluşturan görevlerde en az 10 yıl görev yapmış olmaları şartı aranır.
Bu şekilde çalıştırılacak sözleşmeli personelin sayısı, sözleşme usul ve esasları Başbakanlıkça tespit edilir. Sözleşme ile çalıştırılacak personel,
istekleri üzerine Türkiye Cumhuriyeti Emekli Sandığı ile ilgilendirilir.
Atama
Madde 21- Kurum Başkanı, başkan yardımcıları, birinci hukuk müşaviri ve daire
başkanları sözleşmeli olarak çalıştırılmadıkları takdirde, haklarında 657 sayılı Devlet Memurları Kanununun istisnai memuriyete ilişkin hükümleri uygulanır. Bunlardan Başkan, Başbakan‘ın onayı ile; diğer personel ise, Başkanın onayı ile atanır.
Sözleşme ile araştırma, etüd, proje ve program yaptırma
Madde 22- Kurumun hizmetlerine ilişkin araştırma, etüd, proje ve program işleri,
üniversiteler ile gerçek ve tüzel kişilere sözleşme ile yaptırılabilir.
Kurumun gelirleri
Madde 23 - Kurumun gelirleri aşağıda belirtilmistir;
a) Genel bütçeden yapılacak hazine yardımı
b) Döner sermaye gelirleri
Döner Sermaye İşletmesi
Madde 24- Kurumda, bu Kanunda öngörülen faaliyet temel ve sürekli görevlere bağlı olarak ortaya çıkan üretim ve hizmet fazlasının değerlendirilmesi amacıyla döner sermaye işletmesi kurulabilir.
Döner sermaye işletmesinin sermaye limiti 2.5 trilyon Türk Lirasıdır. Tahsis edilen sermaye miktarı, Maliye Bakanlığının uygun görüşü üzerine Bakanlar Kurulunca on katına kadar artırılabilir. Bu suretle artırılan sermaye, elde edilen gelirle karşılanır.
Döner sermaye, Başbakanlık bütçesine konulan ödenekle, Hazinece verilecek ayni yardımlar, döner sermaye gelirinden elde edilecek karlar, bağış ve yardımlardan oluşur.
Ödenmiş sermaye tutarı, tahsis edilen sermaye tutarına ulaştıktan sonra elde edilen karlar, hesap dönemini izleyen yılın Şubat ayı sonuna kadar Hazineye gelir kaydedilmek üzere Kurum saymanlığına yatırılır.
Döner sermaye faaliyetlerinin gerektirdiği giderler ile Bütçedeki ödenekten karşılanamayan kiralama, satın alma, araç, gereç, arastırma ve benzeri diğer ihtiyaçlar döner sermayeden karşılanır.
Döner sermaye işletmesinin faaliyet alanları, gelir kaynakları, mali ve idari işlemlerine ilişkin usul ve esaslar Maliye Bakanlığı ile Sayıstay‘ın görüşleri
alınarak hazırlanacak yönetmelikle düzenlenir.
Döner sermaye işleri 1050 ve 832 sayılı Kanunların vizeye ilişkin hükümlerine tabi değildir. Ancak gelir ve giderler için bütçe yılı sonundan itibaren 3 ay içinde düzenlenecek yıllık bilançolar ve ekleri gelir ve gider belgeleri ile birlikte Sayıştay Başkanlığına, tasdikli birer sureti de Maliye Bakanlığına gönderilir.
Ceza Hükmü
Madde 25- Kamu ve özel Kurum kuruluşların yöneticisi durumunda olan personelden, bu kanunun 18.maddesinde belirtilen yükümlülükleri yerine getirmeyenler, bu fiilleri başka bir suça vücut verse bile ayrıca bir yıldan beş yıla kadar hapis
cezası ile cezalandırılırlar. Failin bu fiilden kendisi veya bir başkası yararına bir menfaat temin etmesi veya fiilin bir zarara sebebiyet vermesi halinde hapis cezasi iki yıldan az olamaz.
Geçici Madde- 1- Üst Kurul ile Kurumun çalışma usul ve esasları dairelerin alt birimlerinin kuruluş ve görevlerine ilişkin usul ve esaslar, Döner sermaye işletmesine ilişkin usul ve esaslar ile Kanunun uygulanmasında ihtiyaç duyulacak
usul ve esaslar, Kanunun yürürlüğe girdiği tarihten itibaren bir yil içinde Kurum tarafından hazırlanacak ve Bakanlar Kurulu kararıyla yürürlüğe konulacak
yönetmeliklerde gösterilecektir.
Geçici madde 2- Ekli (1) sayılı listede belirtilen kadrolar ihtas edilerek 190 sayılı Kanun hükmünde Karanamenin (1) sayılı cetveline " Ulusal Bilgi Güvenliği Üstkurulu ile Ulusal Bilgi güvenliği Kurumu Başkanlığı" bölümü olarak eklenmistir.
Geçici Madde 3- Bu Kanunun kabulu ile asgari ihtiyaçları karşılayacak çekirdek kadro ile faaliyete geçirilecek kendi ihtiyaçları doğrultusunda azami üç yıl içinde nihai teşkilatını kuracaktır.
Yürürlük
Madde 26- Bu Kanun yayımı tarihinde yürürlüğe girer.
Yürütme
Madde 27- Bu Kanun hükümlerini Bakanlar Kurulu yürütür.
EK-A DEVAMI
EK (1) SAYILI CETVEL
ULUSAL BİLGİ GÜVENLİĞİ KURUMU BAŞKANLIĞI TEŞKİLATI
i)BAŞKANLIK
Başkan
ii)DANIŞMA BİRİMLERİ
Uluslararası İlişkiler ve Hukuk Müşavirliği
iii) ANA HİZMET BİRİMLERİ
1.Plan Program ve Koord. D.Bşk.lığı
2.Bilgi Güvenlik D.Bşk.lığı
3.Kriptoloji D.Bşk.lığı
4.Bilgi Destek D.Bşk.lığı
5.Denetleme ve Değerlendirme D.Bşk.lığı
iv) YARDIMCI BİRİMLER
1.Ulusal Bilgisayar Güvenlik Merkezi Müdürlüğü
2.Genel Sekreterlik
GENEL GEREKÇE
Günümüzde bilgi; tarih boyunca olduğundan süratle iletilmekte, buna bağlı olarak da üretilen bilginin saklanması, kullanılması, bir yerden diğer bir yere nakledilmesi ve imhası için klasik usullerin dışında, gelişen teknolojiden sonuna kadar yararlanma gereği ortaya çıkmıştır. Teknolojiye ve bilgiye olan bu bağımlılık, ülkeleri, bilginin korunmasi için yeni usuller geliştirmeye ve yasal
düzenlemeler yapmaya mecbur bırakmıştır.
Bilgi teknolojisine giderek artan bağımlılığın sonucu olarak, merkezi kontrol, devlet yönetimi, ekonomik ve toplumsal hayatın her yönünün ortak bileşeni bilgi altyapısının kötü niyetli kişilere, terörist faaliyetlere ve doğal afetlere karşı korunması önem kazanmıştır. Kamu ve özel kurum ve kuruluşların kendi yapılarına uygun farklı bir güvenlik önlemleri almaları ve bu konuda ulusal bir
politikanın olmayışı, Ülkemizin ulusal güvenliğini hassas hale getirmektedir. Bilgi güvenliği konusundaki ulusal politika ile; motivasyonları ve görev alanları farklı olan kamu ve özel sektörün, gerek kendi işlerinde, gerekse karşılıklı ilişkilerinde her türlü tehdit ve hassasiyete karşı bilgi güvenliğini
tam olarak sağlayacak ilke ve önceliklerin tespiti gerekmektedir.
Ulusal bilgi güvenliğine yönelik tehdidin ulusal bilgi altyapımızı etkilemek, zarar vermek ve taarruz etmek için birçok farklı seçeneği vardir. Altyapıya karşı saldırılar teknik yeteneklerden, motivasyona kadar birçok değişiklik arz ederek, veri tabanını karıştirması veya programların uygulamalarını bozma yada fiziksel olarak yok edecek biçimde çatışma seviyesine (baris, kriz ve savas) uygun olarak yapılır. Nispi barış periyodu sırasında dahi tehdidin, değişik seviyelerde devamlı olarak mevcut olduğunu unutmamak gerekir. Tehdidin kaynakları bireylerden (muhbir ve yetkisiz kullanıcılar) karmaşık ulusal organizasyonlara (yabancı istihbarat servisleri ve askeri istihbarat unsurları)
kadar geniş bir yelpaze olarak ortaya çıkmaktadır. Bu gruplar arasındaki sınırlar belirsiz olduğundan, genellikle olayın kaynağını tespit etmek oldukça
zordur.
Türkiye Cumhuriyeti Devleti‘nin ulusal ve ekonomik güvenliğini etkileyen ulusal bilgi altyapısının bugünkü haliyle güvenirlik ve hizmete hazır olma kriterleri açısından ihtiyaçları tam olarak karşılamadığı değerlendirilmektedir. Altyapının
tehtide ve hassasiyetlere karşı yetersiz oluşu, altyapıda muhtemel kesintilere ve olabilecek kötü niyetli saldırılara karsi hassasiyeti arttırmaktadir. Bu
nedenle, bu tür tehtidleri ortaya çıkarmak ve gerekli önlemleri almak üzere merkezi bir yönetim birimine ihtiyaç duyulmaktadır.
Bu çerçevede, Devletin kamu ve özel tüm kurum ve kuruluşlarının endüstriyel, politik, ekonomik ve sosyal alanlarda kaçınılmaz olarak etkileşim içinde olduğu hususu dikkate alınarak, ortak olarak kullandıkları altyapının, Devletin ulusal ve ekonomik çıkarları için güvence altına alınması amaçlanmıştır.
Öngörülen ana esaslar çerçevesinde sorunun; ulusal güvenlik politikasından sorumlu üst organın direktiflerine uygun olarak, gecikmeksizin çözümlenmesi için merkezi bir ulusal bilgi güvenliği yönetim yapısının oluşturulması ihtiyacı ortaya çıkmıştır. Bu bağlamda, Hükümet seviyesinde ulusal güvenlik ihtiyaçları doğrultusunda genel prensipleri vazeden bir üst organ; direktifleri ve
yasalarda verilen görevleri uygulayacak ve ulusal bilgi güvenlik sistemini işletecek bir yönetim birimi teşkili yoluna gidilmektedir. Taslak ile; ulusal güvenliği ilgilendiren bilgilerin korunması ve devletin bilgi güvenliği faaliyetlerinin geliştirilmesi, gerekli stratejilerin (politikaların) üretilmesi ve belirlenmesi, kısa ve uzun dönemli planların hazırlanması, kriter ve standartların saptanması, ihracat ve ithalat izinlerinin ve sertifikaların verilmesi, bilgi sistemlerinin teknolojiye uyumunun sağlanması, uygulamanın takip ve denetimi, kamu ve özel kurum ve kurulusları arasında koordinasyonun sağlanması amaçlarını gerçekleştirmek üzere oluşturulan teşkilatıng örevlerine ilişkin esas ve usuller ile bunlara ilave olarak, bu yasal düzenleme ile kamu ve özel bütün kurum ve kuruluşlarda, bilgi güvenliğini sağlayacak gerekli yapılanmaya geçilmesi hususu düzenlenmektedir.
MADDE GEREKÇELERİ
Madde 1- Madde ile, Kanunun düzenlenme amacı belirtilmektedir.
Madde 2 - Madde ile, Kanunun kapsamı belirtilmektedir.
Madde 3 - Madde ile, Kanunda yer verilen deyimlerden ulusal bilgi güvenliği, haberleşme güvenliği, fiziki güvenlik, personel güvenliği, teknik güvenlik, TEMPEST, güvenlik ihlali, kripto, kriptoloji, kripto sistemleri, algoritma, ulusal bilgi ağı, üst kurul, kurum terimleri açiklanmaktadir.
Madde 4 - Madde ile Ulusal Bilgi Güvenliği Üst Kurulu ile Başbakanlığa bağlı olarak Ulusal Bilgi Güvenliği Kurumu Başkanlığının kuruluşu düzenlenmektedir.
Madde 5 - Madde ile, Ulusal Bilgi Güvenliği Üst Kurulunun asil üyelerinin kimlerden oluştuğu, Üst Kurula başkanlık usulü, diğer kamu ve özel kurum ve kuruluşların temsilcilerinin katılım durumu, oy verme ve karar yeter sayısı, olağan toplantılı tarihleri, gündem, olağanüstü toplantıya çağrı usulü, sekreterya hizmetleri düzenlenmekte ve üst Kurulun çalışma usul ve esaslarının daha
sonra çıkarılacak Yönetmelikle düzenleneceği belirtilmektedir.
Madde 6- Madde ile, Ulusal Bilgi Güvenliği Kurumu Başkanlığının alt birimlerini oluşturan daire başkanlıkları ile uluslar arası ilişkiler ve hukuk müşavirliği, ulusal bilgisayar güvenlik merkezi ve genel sekreterliğin kuruluşu düzenlenmekte ve dairelerin alt birimlerinin kuruluş şekillerinin ve görevlerinin çıkarılacak Yönetmelikle düzenleneceği belirtilmektedir.
Madde 7-Madde ile, Ulusal Bilgi Güvenliği Üst Kurulunun görevleri düzenlenmekte.
Madde 8- Madde ile, Ulusal Bilgi Güvenliği Üst Kurumu Başkanlığının görevleri düzenlenmektedir.
Madde 9 - Madde ile, Uluslararası İlişkiler ve Hukuk Müşavirliğinin görevleri düzenlenmektedir.
Madde 10 -Madde ile, Ulusal Bilgisayar Güvenliği Merkezinin görevleri düzenlenmektedir.
Madde 11 -Madde ile, Genel Sekreterliğin görevleri düzenlenmektedir.
Madde 12- Madde ile, Plan Program ve Koordinasyon Başkanlığının görevleri düzenlenmektedir.
Madde 13-Madde ile, Bilgi Güvenliği Dairesi Başkanlığının görevleri düzenlenmektedir.
Madde 14- Madde ile, Kriptoloji Dairesi Başkanlığının görevleri düzenlenmektedir.
Madde 15- Madde ile Bilgi Destek Dairesi Başkanlığının görevleri düzenlenmektedir.
Madde 16- Madde ile, Denetleme ve Değerlendirme Dairesi Başkanlığının görevleri
düzenlenmektedir.
Madde 17- Madde ile, bilgi güvenliğinde kullanılacak gizlilik dereceleri ile hangi makam tarafından ne şekilde verebileceğinin Kurum tarafından çıkarılacak bir Yönetmelikle düzenleneceği belirtilmektedir.
Madde 18- Madde ile, ulusal bilgi güvenliği, tüm kamu ve özel kurum ve kuruluşlarda bir bütün olarak değerlendirildiğinden, her kurum ve kuruluşun kendi bünyesinde gereken organizasyonu oluşturması ve ulusal bilgi güvenliği
konusunda belirtilen önlemleri alınması için yükümlülük düzenlenmektedir.
Belirtilen hükümlülüklerin yerine getirilmesinde özel kanunlara tabi kurum ve kuruluşlara ilişkin hükümler saklı tutulmaktadır.
Madde 19- Madde ile, oluşturulan teşkilatın görevlerinin yerine getirilmesinde, diğer kurum ve kuruluşlarının ihtiyaç duyulan hizmetlerinden ve personelinden yararlanma esasları ile söz konusu personelin mali ve sosyal hakları saklidir.
Madde 20- Madde ile, oluşturulan teşkilatın kadroları ve bu kadrolarda görevlendirilecek personelin yasal dayanağı, sözleşmeli olarak çalıştırılacak personel, Emekli Sandığı ile ilgilendirilme ve özel uzmanlık gerektiren işlerde
uzman personel çalıştırabilmesi hususları düzenlenmektedir.
Madde 21- Kurum Başkanı, daire başkanları ve birinci başhukuk müşavirleri hakkında istisnai memurluk statüsünün uygulanması ve personelin atama onay usulü düzenlenmektedir.
Madde 22- Madde ile, oluşturulan teşkilatın yaptıracağı araştırma, etüt, program ve proje işlerinin sözleşmeyle yaptırabilmesi hususu ve ihaleyle ilgili esaslar düzenlenmektedir.
Madde 23- Madde ile, Ulusal Bilgi Güvenliği Kurumu Başkanlığının gelirleri düzenlenmektedir.
Madde 24- Ulusal Bilgi Güvenliği Kurumu Başkanlığının faaliyet alanına giren konularda gerçek ve tüzel kişilere verilecek hizmetlerin yerine getirilmesine araştırma-geliştirme faaliyetleri için gerekli olan kaynağın elde edilmesine yönelik olarak bir döner sermaye işletmesi kurulması ve bunun işletilmesi esasları düzenlenmektedir.
Madde 25- Ceza hükmü düzenlenmektedir ve kanunda belirtilen yükümlülükleri yerine getirmeyenler hakkında caydırıcı nitelikte hükümler
düzenlenmektedir.
Madde 26- Yürürlük maddesidir.
Madde 27- Yürütme maddesidir.