| Guest |
ULUSAL BILGI GÜVENLIGI TESKILATI VE GÖREVLERI HAKKINDA KANUN TASARISI TASLAGI
Amaç, Kapsam ve Tanimlar Amaç Madde 1- Bu Kanunun amaci; ulusal güvenligi ilgilendiren bilgilerin korunmasi, Devletin bilgi güvenligi faaliyetlerinin gelistirilmesi, gerekli politikalarin üretilmesi ve belirlenmesi, kisa ve uzun dönemli planlarin hazirlanmasi, kriter ve standartlarinin saptanmasi, ihracat ve ithalat izinlerinin ve sertifikalarinin verilmesi ,bilgi sistemlerinin teknolojiye uyumunun saglanmasi, uygulamanin takip ve denetimi kamu ve özel kurum ve kuruluslarin arasinda koordinasyonun saglanmasi amaciyla bir teskilatin kurulmasi ve görevlerine iliskin esas ve usulleri düzenlemektir. Kapsam Madde 2- Bu Kanun, ulusal güvenligi ilgilendiren bilgiye islem yapan kamu ve özel kurum ve kuruluslari ile yerel yönetimleri, kamu kurumu niteligindeki meslek kuruluslarini, üniversiteleri, bu yerlerde çalisan personeli, diger tüzel ve gerçek kisileri, bilgi güvenliginden faydalananlari ve faydalanacak durumda olanlari kapsar. Tanimlar Madde 3- Bu kanunda geçen deyimlerden;
a) Ulusal Bilgi Güvenligi; Ulusal güvenligi ilgilendiren, yetkisiz ellere geçtigi taktirde devletin güvenligini tehlikeye sokabilecek veya devlet aleyhine kullanilabilecek her türlü bilgiyi, üretim, kullanim ,islenme saklanma ,nakledilme ve imha sirasinda yetkisiz kisilerin erisimine ve olasi her türlü fiziksel ve elektronik müdahaleye karsi korumaya; bilgiye erisim ve kullanima ait usulleri açik sekilde belirlemeye ve bilgiyi gerektiginde hazir bulundurmaya yönelik tedbirleri, b) Haberlesme Güvenligi: Ulusal güvenligi ilgilendiren bilginin özellikle telekomünikasyon kanallarindan gönderilmesi sirasinda yetkisiz kisiler tarafindan elde edilmesinde ve içeriginin açiga çikarilmasina ve diger her türlü müdahaleye karsi alinan tüm tedbirleri, c) Fiziki Güvenlik: Ulusal güvenligi ilgilendiren bilgiyi ihtiva eden ya da bu bilgiye islem yapan cihaz, malzeme ve tesisi, yetkisiz kisilerin erisimine karsi korumak üzere alinan fiziksel tedbirleri, d) Personel Güvenligi. Ulusal güvenligi ilgilendiren bilgiye yalnizca yetki verilen kisilerin, bilmeleri gerektigi oranda erisebilmeleri için alinan tüm tedbirleri, e) Teknik Güvenlik: Yurt içinde ve yurt disinda personel,araç,donanim ve binalarda dinleme ve gözetleme amaciyla yapilan teknik yerlesmelere karsi alinan tüm güvenlik tedbirlerini, f) TEMPEST:Tüm elektronik teçhizattan ve bunlarin kurulusundan iletkenlik ve isima yoluyla istem disi yayilan bilginin önlenmesine iliskin alinan tedbirleri, g) Güvenlik hali: Bilginin güvenliginin bilerek veya istenmeyerek yapilan herhangi bir islem nedeni ile tamamen ya da kismen ortadan kaldirilmasini,
h) Kripto: Birbirleriyle haberlesen iki tarafin ,haberlesmesi esnasinda üçüncü tarafa bilgi sizdirmamak amaciyla bilginin gizlenmesini saglayan sistemleri,
i) Kriptoloji:Kriptografi ve kripto analiz konulari ile ilgilenen bir bilim dalini,
j) Kripto Sistemleri: Sifreleme ve sifre çözme etkinliklerinden birisini veya ikisini birden yerine getirmeye yarayan, bu sistemler kapsaminda veri iletisimi de dahil olmak üzere her türlü iletisim sistemlerinde kullanilan sistemleri
k) Kriptografik Algoritma: Bir bilginin gizlenmesi için yapilan matematiksel bir islemi,
l) Ulusal Bilgi Agi: Kamu ve özel kuruluslarda ulusal güvenligi ilgilendiren bilgiye islem yapan mevcut terminalleri, bilgi teatisi maksadiyla birbirine baglayan agi,
m) Üst Kurul: Ulusal Bilgi Güvenligi Üst Kurulunu
n) Kurum: Ulusal Bilgi Güvenligi Kurumu Baskanligini, ifade eder IKINCI BÖLÜM
Kurulus ve Görevler
Kurulus
Madde 4- Ulusal bilgi güvenliginin saglanmasi amaciyla basbakanliga bagli Ulusal Bilgi Güvenligi Üst Kurulu ile tüzel kisilige sahip katma bütçeli Ulusal Bilgi Güvenligi Kurumu Baskanligi kurulmustur. Ulusal Bilgi Güvenligi Üst Kurulu Madde 5- Ulusal Bilgi Güvenligi Üst Kurulu ; Ulusal bilgi güvenligi alaninda genel direktif organi olup, basbakanin baskanliginda; Adalet,Milli Savunma,Içisleri,Disisleri,Ulastirma,Sanayi ve Ticaret Bakanlari ile Milli Güvenlik Kurulu genel sekreteri, Genel Kurmay Muharebe Elektronik ve Bilgi Sistemleri Baskani,Milli Istihbarat Teskilati Müstesari, Türkiye Bilimsel Ve Teknik Arastirma Kurumu ile kurum baskanindan olusur. Basbakanin katilmadigi hallerde üst kurula, Adalet Bakani baskanlik eder. Üst kurulun daimi üyeleri tarafindan ihtiyaç duyuldugu hallerde, diger bakanlar ile kamu ve özel kurum ve kuruluslarinin temsilcileri de üst kurul toplantilarina katilabilir. Üst Kurulun toplanti yeter sayisi daima üyelerin üçte ikisidir. Kararlar, toplantiya katilan daimi üyelerin oy çoklugu ile alinir. Toplantilara katilmalari uygun görülen diger kisilerin oy hakki yoktur. Üst Kurul, Nisan ve Ekim aylarinda olmak üzere, yilda iki defa olagan olarak toplanir. Üst Kurulun gündemi, Basbakan tarafindan belirlenir. Basbakan, daimi üyelerden birisinin talebi üzerine, Üst Kurulu olaganüstü toplantiya çagirabilir.
Üst Kurulun sekreterya hizmetleri, kurum tarafindan saglanir.
Ulusal bilgi güvenligi kurumu baskanligi
Madde 6- Ulusal Bilgi Güvenligi Kurumu Baskanliginin teskilati, asagida isimleri belirtilen ana hizmet birimlerinden olusur:
a) Plan Program ve Koordinasyon Daire Baskanligi, b) Bilgi Güvenligi Daire Baskanligi, c) Kriptoloji Daire baskanligi, d)Bilgi Destek Daire Baskanligi, e)Denetleme ve Bilgilendirme Daire Baskanligi, Kurumun danisma birimi, Uluslararasi Iliskiler ve Hukuk Müsavirligi; yardimci birimleri ise, Ulusal Bilgisayar Güvenligi Merkezi Müdürlügü ve Genel Sekreterliktir. kurumun teskilati Ek'li cetvelde gösterilmistir. Ulusal bilgi güvenligi üst kurulunun görevleri
Madde 7- Ulusal Bilgi Güvenligi Üst Kurulunun görevleri asagida belirtilmistir:
a)Ulusal bilgi güvenligine yönelik tehdidi degerlendirmek, ulusal bilgi güvenligi siyasetinin tayini, tespiti ve uygulamasiyla ilgili kararlari almak ve kuruma bu konuda direktif vermek,
b)Tespit edilen ulusal bilgi güvenligi siyasetine iliskin kararlar dogrultusunda yapilan uygulamalari incelemek, degerlendirmek ve yönlendirmek,
c)Ulusal bilgi güvenligine iliskin mevzuat degisikligi tekliflerini degerlendirmek. Ulusal Bilgi Güvenligi kurumu Baskanliginin Görevleri
Madde 8- Ulusal Bilgi Güvenligi kurumu Baskanliginin görevleri asagida belirtilmistir:
a) Ulusal bilgi güvenligine karsi yurt içi ve yurt disi tehdidin tespit edilmesini saglamak, gerekli tedbirleri almak ve alinmasini saglamak,
b)Ulusal bilgi güvenligi sistemini olusturmak için politika, konsept, ilke, standart ve usulleri tespit etmek ve gelistirmek,
c)Ulusal bilgi güvenliginin saglanmasina esas olarak bilginin gizlilik, bütünlük ve kullanima hazir olmasini saglayacak tedbirleri belirlemek, uygulamak, uygulanmasini saglamak ve kontrol etmek, ç)Ulusal bilgi güvenligi risk yönetimi ve degerlendirmesini yapmak ve yapilmasini saglamak,
d)Ulusal bilgi güvenligi alt yapisini korumak maciyla gerekli görülecek ulusal bilgi güvenligi sistemi esaslarini tespit ederek kurmak ve gelistirmek,
e)Ulusal bilgi güvenligi sisteminin mimarisinin olusturulmasinda caydirma, koruma, ikaz, tespit, onarim ve tedbir unsurlarini belirlemek,
f)Ulusal bilgi güvenligi ile ilgili uluslararasi mevzuat ve teknolojideki gelismeleri takip etmek,
g)Güvenlik hassasiyeti gösteren personel, yazilim, donanim, kripto, iletisim ortamlarini ve iletisim aglarini her türlü tehdit kaynagina karsi maliyet etkin tedbirlerle koruma altina alinmasin saglamak, bu tedbirleri uygulamaya sokmak ve kontrol etmek,
h) ulusal bilgi güvenligine iliskin güvenlik kategorilerini ve sistemin minimum güvenlik ihtiyaçlarini belirlemek, uygulamasini saglamak,
i) Tüm gizlilik dereceli ve tasnif disi hassas bilgiye islem yapacak birimler ve sebekeler için onay vermek,
i) ulusal güvenligi ilgilendiren bilgiye islem yapacak donanim ve yazilim ihtiyaçlarina ait güvenlik degerlendirmesini yapmak ve degerlendirilmis ürün listelerini hazirlamak ve yayimlamak,
j) Haberlesme güvenligi sistemlerinin tehdit analizi ve hassasiyet degerlendirmelerini yapmak, k)hassas ve gizlilik dereceli bilgiyi korumak üzere, anahtarlama materyali üretim esaslarini belirlemek,
l) TEMPEST standartlarini hazirlamak ve onay islemlerini gerçeklestirmek,
m) Kripto sistemlerinde kullanilacak materyal ve anahtarlari üretecek teçhizati onaylamak, kripto anahtarlarinin dagitilmasina iliskin standartlari ve yöntemleri belirlemek ve denetlemek,
n)Ulusal bilgi güvenligi gerekleri, ihtiyaçlar, ticaret ve gizlilik arasinda uygun bir denge kurarak kriptolojik malzemelerin ihracat ve ithalatiyla ilgili Genelkurmay Baskanligi ve Disisleri Bakanligi'nin uygun görüsleri alinarak gerekli lisanslari vermek,
o)Ulusal bilgi güvenligi ile ilgili mevzuat degisikliklerine iliskin teklifleri Üst Kurula sunmak, ö) Bilgi çaginin gerektirdigi çagdas güvenlik tedbirlerini belirleyerek Üst Kurula teklif etmek,
p)Üst Kurulun almis oldugu karar ve direktifleri uygulamak,
r) Ulusal bilgi güvenligi amaciyla, Genelkurmay Baskanligi ve Disisleri Bakanligi ile koordineli olarak diger ülkelerle ve uluslararasi kuruluslarla isbirligi yapmak, Sistemlerin, nihai sistem güvenlik kriterlerini belirlemek ve onay islemlerini yapmak.
s) Ulusal bilgi güvenligi konusunda egitim standartlarini belirlemek, plan ve programlari yapmak,
t) ulusal bilgi güvenligi konusunda arastirma ve gelistirme faaliyetlerini saglamak,
u) Kamu ve özel kurum ve kuruluslar için gizlilik dereceli bilgi veya kripto cihazlarina iliskin her türlü yetki belgesi (klerans) düzenlemek ve onay yöntem ve usullerini belirlemek, uygulanmasini saglamak, ü) Ulusal bilgi güvenligi konusunda üretim yapan kamu ve özel kurum ve kuruluslarini bir program çerçevesinde denetlemek ve üretilen ürünleri onaylamak. Uluslararasi Iliskiler ve Hukuk Müsavirligi
Madde 9- Uluslararasi Iliskiler ve Hukuk Müsavirligi, Kurum Baskanina dogrudan bagli olup görevleri asagida belirtilmistir :
a) Uluslararasi Bilgi Güvenligi politikasinin olusturulmasinda uluslararasi iliskileri ve gelismeleri takip etmek, degerlendirmek, koordine etmek ve önerilerde bulunmak, gerekli kanun tasarisi taslaklarini hazirlamak,
b) Ulusal bilgi güvenligi konusunda Kurum tarafindan hazirlanan veya Basbakanlik, Bakanliklar ve kuruluslardan gönderilen kanun, tüzük ve yönetmelik Taslaklarini hukuki açidan inceleyerek, görüs bildirmek,
c) Ulusal Bilgi Güvenligine iliskin konularda altyapi temina modelinin olusturulmasi ve altyapinin güvenirliginin saglanarak kullanima hazir tutulmasi için gerekli yasal düzenlemeleri ve sözlesmeleri hazirlamak,
d) Bireysel mahremiyeti koruma ve birey için gerekli kamu bilgisine erisimi saglayici yasal düzenlemeleri belirlemek,
e) Uluslararasi Bilisim güvenligine iliskin suçlarin mevzuatimizda yer almasi için gerekli kanun tasarisi taslaklarini hazirlamak,
f) 4353 sayili kanun hükümlerine göre adli ve idari davalara iliskin gerekli bilgileri hazirlamak, Maliye Bakanligi Bashukuk Müsavirligi ve Muhakemat Genel Müdürlügünü ilgilendirmeyen idari davalarda kurumu temsill etmek,
g) Uluslararasi Bilgi Güvenligi tehdide ugradigi hallerde ekonomik kisitlama, diplomatik yanit gibi tedbirlerin kullanimini Disisleri Bakanligi ve ilgili Bakanliklarla koordine etmek ve önerilerde bulunmak,
h) Kurum tarafindan verilen diger görevleri yapmaktir. Ulusal Bilgi Güvenligi Merkezi Madde 10- Ulusal Bilgi güvenligi merkezinin görevleri asagida belirtilmistir :
a) Güvenli bilgi sistemlerinin genis bir sekilde, kullanimini tesvik etmek,
b) Endüstri ve Kamu tarafindan gelistirilmis sistemlerin, teknik koruma yeteneklerini degerlendirmek,
c) Bilgi güvenligi konusunda faaliyet gösteren, kamu ve endüstri Gruplarinin teknik destegini saglamak,
d) Bilgi sistemlerinin degerlendirilmesi için, gerekli teknik kriterleri gelistirmek,
e) Ticari Sistemleri degerlendirmek,
f) Bilgisayar ve Ag Güvenlik teknoloji arastirmalarini icra ve yönlendirmek,
g) Güvenli Bilgi Sistemlerini gelistirme ve test etmede kullanmak için, gerekli modifikasyon ve analiz techizatini gelistirmek ve bilisim emniyetini saglamak,
h) Bilgi güvenligi sahasinda egitim vermek,
i) Kamu ve Endüstrinin diger bölümlerine bilgi güvenlik bilgisini dagitmak,
j) Tehdidin türüne göre gelistirilen karsi tedbirleri gerektiginde uygulamaya koymak, Genel Sekreterlik Madde 11- Genel Sekreterligin Görevleri Asagida Belirtilmistir :
a) Kurum Baskaninin resmi ve özel yazismalarini yürütmek,
b) Kurumun idari, bakim-onarim ve idame hizmetlerine iliskin görevlerini yürütmek,
c) Kurumun maliye ve satin alma hizmetlerini saglamak,
d) Kurumun güvenlikle ilgili hizmetlerini yürütmek,
e) Üst Kurulun sekreteryasini yapmak, ÜÇÜNCÜ BÖLÜM ANA HIZMET BIRIMLERI VE GÖREVLERI Plan, Program ve Koordinasyon Dairesi Baskanligi Madde 12- Plan, Program ve Koordinasyon Dairesi Baskanliginin Görevleri asagida belirtilmistir :
a) Telekomünikasyon ve Bilgi sistemleri ortamindaki degisimlere uyum saglayacak Ulusal bilgi güvenligi politikasinin olusturulmasi için gerekli verileri hazirlamak, prensipleri belirlemek,
b) Ulusal Bilgi güvenligi ile ilgili olarak görev alanina iliskin planlama ve programlama faaliyetlerinde bulunmak, gerekli mevzuati düzenlemek,
c) Ulusal Bilgi güvenligi altyapi esaslarini ortaya koymak yapilmis olan risk analizleri neticelerine göre altyapiyi iyilestirici tedbirleri belirlemek
d) Uyusum standartlari ve kriterlerini ortaya koymak,
e) Ulusal Bilgi güvenligi konusunda bilgilendirme ve egitim faaliyetlerini planlamak,
f) Kamu ve özel sektöre Ulusal bilgi güvenligine iliskin danismanlik ve teknik yardim saglamak,
g) Kurumun personel faaliyetlerini yürütmek ve koordine etmek,
h) Ulusal Bilgi Güvenligi Baskanliginin bütçe düzenleme faaliyetlerini yürütmektir. Bilgi Güvenlik Dairesi Baskanligi Madde 13- Bilgi Güvenlik Dairesi Baskanliginin Görevleri asagida belirtilmistir :
a) Ulusal bilgi Güvenligi ihlallerine karsi alinacak tedbirleri belirlemek, ihlallere karsi gerekli tedbirleri almak ve ilgili makamlarla koordineli olarak uygulanmasini saglamak,
b) Ulusal Bilgi güvenligi açisindan Personel güvenligine, fiziki güvenlige ve donanim ve yazilim güvenligine iliskin usul, kriter ve prensipleri belirleyerek dökümantasyonunu hazirlamak,
c) Kurumun , ulusal bilgi agi TEMPEST, haberlesme güvenligi ve teknik güvenligine iliskin usul, kriter ve prensiplerini belirleyerek dökümantasyonunu hazirlamak,
d) Elektronik kripto disinda ihtiyaç duyulacak kod ve parola sistemlerini belirlemek, gelistirmek ve üretmek,
e) Iletisim ortamlari , donanim ve aglar için tehdidi ve zafiyeti dikkate alarak risk analizleri yapmak, ve risk yönetim usullerini belirlemek, risk analizleri sonucunda belirlenmis koruyucu tedbirleri uygulamaya koymak,
f) Yazilim Güvenlik, kriter ve standartlarini belirlemek,
g) Ulusal ve uluslararasi iletisim aglarina iliskin olarak ulusal bilgi güvenligi açisindan güvenlik, usul, kriter ve prensipleri belirlemek, dökümantasyonunu sagllamak,
h) Güvenlik denetimlerine ilgi alani itibariyle katilmak, alt kurulara sekreterya hizmeti vermek ve görev alanina iliskin mevzuat degisikliklerine iliskin teklifleri hazirlamaktir. Kriptoloji Dairesi Baskanligi
Madde 14- Kriptoloji Dairesi Baskanliginin görevleri asagida belirtilmistir :
a) Kriptografik algoritma ,ihtiyaçlarini belirlemek, üretiminin denetimini yapmak ve kütüphanesini olusturmak,
b) Kripto cihaz ve kriptografik bilginin ihracat ve ithalatinda Genel Kurmay baskanligi, Disisleri Bakanligi ve gerektiginde ilgili diger bakanliklarla koordineli olarak esas ve usulleri belirlemek, lisans belgesi vermek,
c) Risk analizleri ve risk azaltma planlari yapmak , kabul edilebilir riski tespit etmek,
d) Kripto merkezlerinin saglamasi gereken kriterlerini ve denetleme usul ve esaslarini belirlemek, denetleme raporlarini degerlendirerek onay vermek, kripto anahtar üretimi ve dagitimini yapmak, gerektiginde kurum ve kuruluslara kendi kripto anahtar üretimi ve dagitimi konusunda yetki vermek,
e) Gizlilik derecesiz uygulamalarda da kripto kullanim esaslarini belirlemek, uygulamalari tesvik etmek ve denetlemek
f) Kripto cihaz ve dökümantasyonu için, kripto saymanlik, isletme, bakim ve onarim usullerini belirlemek,
g) Kripto ihlallerine karsi alinacak tedbirleri belirlemek ve gerekli tedbirleri almak,
h) Her tür kriptografik yöntem ve teçhizata iliskin sertifikasyon ve onay usullerini belirlemek,
I) Kripto hizmetlerinde çalistirilacak personele kripto yetki belgesi verilmesi esas ve usullerini belirlemektir. Bilgi destek dairesi baskanligi
Madde 15- Bilgi Destek Dairesi Baskanliginin görevleri asagida belirtilmistir; a) Ulusal bilgi güvenligi altyapisina karsi iç ve dis tehdidi teshis etmek, tanimlamak, genel tehdit degerlendirilmesi yapmak ve Üst Kurula sunmak, b) Ulusal bilgi güvenligine karsi tehdidin teknik özelliklerini ve muhtemel etkilerini belirlemek, karsi tedbirleri gelistirmek, c) Istihbarat üreten kurum ve kuruluslar ile bilgi güvenligine iliskin istihbarat bilgisi degisimi için protokoller yapmak, d) Mevcut ve tasarlanan iletisim ortamlari, donanim ve aglar için tehdidi ve zafiyeti dikkate alarak risk analizleri yapmaktir. Denetleme ve degerlendirme dairesi baskanligi
Madde 16- Denetleme ve Degerlendirme Dairesi Baskanliginin görevleri asagida belirtilmistir;
a) Ulusal bilgi güvenligi açisindan kripto, bilgi güvenlik ve TEMPEST denetleme kriter ve usullerini belirlemek ve gelistirmek, b) Kripto denetleme programlarini hazirlamak, kripto merkezlerinin kriterlere uygunlugunun denetlemesini saglamak, gerektiginde denetlemek ve denetleme raporlarini degerlendirmek, c) Ulusal bilgi güvenligi sistemlerine karsi yapilan saldirilari ve güvenlik ihlallerini degerlendirmek, d) Egitim, ögretim ve biçimlendirme ihtiyaçlarini tespit etmek, e) Genel degerlendirme raporu hazirlayarak Üst Kurula sunmak, f) Iletisim ortamlari, sebeke, yazilimlara ait güvenlik sistemleri ile ilgili denetleme usul ve kriterlerine belirlemek, gelistirmek, denetleme yapilmasini saglamak, gerektiginde denetlemek ve denetleme raporlarini degerlendirmek, g) TEMPEST standartlarini hazirlamak ve onay islemlerini gerçeklestirmek, h) Ulusal bilgi güvenlik alt yapisina ait sistemlerin nihai sistem güvenlik kriterlerini belirlemek ve onay islemlerini yapmak.
DÖRDÜNCÜ BÖLÜM
Çesitli Hükümler Gizlilik dereceleri
Madde 17- Bilgi güvenliginin saglanmasindan kullanilacak gizlilik dereceleri ile hangi makam tarafindan ne sekilde verilecegi hususlari Kurum tarafindan çikartilacak yönetmelikte düzenlenir.
Kamu ve özel kurum ve kuruluslarinin yükümlülügü
Madde 18- Tüm kamu ve özel kurum ve kuruluslari, ulusal güvenligi ilgilendiren bilginin korunmasi için kendi idari yapilari içerisinde gereken organizasyonu kurmak veya degisiklikleri yapmak ve gerekli tedbirleri almak konusunda sorumludurlar.
Ulusal bilgi güvenligi, tüm kamu ve özel kurum ve kuruluslarda bir bütün olarak degerlendirilir ve gerekli koordinasyon Kurum tarafindan saglanir. Bu amaca yönelik tüm kaynaklar yerinde, zamaninda ve en etkin bir sekilde kullanilir. Kamu ve özel kurum ve kuruluslari, Kurum tarafindan bu Kanunun uygulanmasina iliskin olarak yayimlanan esas ve usullere uymak zorundadir.
Kurum, gerekli gördügü ulusal bilgi güvenliginin saglamaya iliskin bilgileri, bu Kanun kapsamina giren kamu ve özel kurum ve kuruluslardan dogrudan istemeye yetkilidir. Bu konuda istenen gizlilik dereceli her türlü bilgi, makam onayi ile en kisa zamanda verilir.
Özel kanunlardaki hükümler saklidir.
Kisi ve kurumlarin hizmetlerinden yararlanma
Madde-19 Genel ve katma bütçeli idareler, kamu iktisadi tesebbüsleri ile bunlara bagli kuruluslar ve müesseselerde çalisanlar, Kurumda sözlesmeli olarak istihdam edilebilirler. Bu personel kurumundan ayliksiz izinli sayilir. Izinli olduklari sürece memuriyetleri ile ilgili özlük haklari devam ettigi gibi bu süreler terfi ve emekliliklerinde hesaba katilir. Kurumda çalistiklari sürece bunlarin sicilleri Kurum tarafindan verilir ve bu sicillere göre kendi kurum ve kuruluslarinca terfileri yapilir. Bu personelin, çalisma usul, esas, ücret ve sayilarina iliskin hususlar, Bakanlar Kurulu Karariyla tespit edilir. Ancak bu personelin ayliklari, hiçi bir halde kendi kurum ve kuruluslarinda aldiklari ayliklardan az olamaz.
Birinci fikrada belirtilen kurum ve kuruluslarda görevli personel, gerektigi hallerde aylik, ek gösterge, ödenek, her türlü zam ve tazminatlar ile diger mali ve sosyal hak ve yardimlari kendi kurumlarinca ödenmek tabi olduklari kanun hükümleri çerçevesinde geçici olarak Kurumda görevlendirilebilirler. Kadrolar ve personel
Madde 20- Kadrolarin tespit, ihdas, kullanim ve iptali ile kadrolara ait diger hususlar, 190 sayili Genel Kadro ve Usulü Hakkinda Kanun Hükmünde Kararname hükümlerine göre düzenlenir.
Kurumda baskan, baskan yardimcilari, hukuk müsavirleri, daire baskanlari, sube müdürleri, mühendisler ve yüksek ögrenim görmüs olanlar, kadro karsilik gösterilmek kaydiyla 657 sayili Devlet Memurlari Kanunu ve diger kanunlarin sözlesmeli personel hakkindaki hükümlerine bagli olmaksizin sözlesmeli olarak çalistirilabilir. Kurumda baskan, baskan yardimcilari ve daire baskanlari olarak atanacak personelde bu sahada en az lisans düzeyinde egitim yapmalari ve kamu kurum ve kuruluslarinda Kurumun ilgi alanini olusturan görevlerde en az 10 yil görev yapmis olmalari sarti aranir.
Bu sekilde çalistirilacak sözlesmeli personelin sayisi, sözlesme usul ve esaslari Basbakanlikça tespit edilir. Sözlesme ile çalistirilacak personel, istekleri üzerine Türkiye Cumhuriyeti Emekli Sandigi ile ilgilendirilir. Atama
Madde 21- Kurum Baskani, baskan yardimcilari, birinci hukuk müsaviri ve daire baskanlari sözlesmeli olarak çalistirilmadiklari takdirde, haklarinda 657 sayili Devlet Memurlari Kanununun istisnai memuriyete iliskin hükümleri uygulanir. Bunlardan Baskan, Basbakan'in onayi ile; diger personel ise, Baskanin onayi ile atanir.
Sözlesme ile arastirma, etüd, proje ve program yaptirma
Madde 22- Kurumun hizmetlerine iliskin arastirma, etüd, proje ve program isleri, üniversiteler ile gerçek ve tüzel kisilere sözlesme ile yaptirilabilir.
Kurumun gelirleri
Madde 23- Kurumun gelirleri asagida belirtilmistir; a) Genel bütçeden yapilacak hazine yardimi b) Döner sermaye gelirleri
Döner Sermaye Isletmesi
Madde 24- Kurumda, bu Kanunda öngörülen faaliyet temel ve sürekli görevlere bagli olarak ortaya çikan üretim ve hizmet fazlasinin degerlendirilmesi amaciyla döner sermaye isletmesi kurulabilir.
Döner sermaye isletmesinin sermaye limiti 2.5 trilyon Türk Lirasidir. Tahsis edilen sermaye miktari, Maliye Bakanliginin uygun görüsü üzerine Bakanlar Kurulunca on katina kadar artirilabilir. Bu suretle artirilan sermaye, elde edilen gelirle karsilanir.
Döner sermaye, Basbakanlik bütçesine konulan ödenekle, Hazinece verilecek ayni yardimlar, döner sermaye gelirinden elde edilecek karlar, bagis ve yardimlardan olusur.
Ödenmis sermaye tutari, tahsis edilen sermaye tutarina ulastiktan sonra elde edilen karlar, hesap dönemini izleyen yilin Subat ayi sonuna kadar Hazineye gelir kaydedilmek üzere Kurum saymanligina yatirilir.
Döner sermaye faaliyetlerinin gerektirdigi giderler ile Bütçedeki ödenekten karsilanamayan kiralama, satin alma, araç, gereç, arastirma ve benzeri diger ihtiyaçlar döner sermayeden karsilanir.
Döner sermaye isletmesinin faaliyet alanlari, gelir kaynaklari, mali ve idari islemlerine iliskin usul ve esaslar Maliye Bakanligi ile Sayistay'in görüsleri alinarak hazirlanacak yönetmelikle düzenlenir.
Döner sermaye isleri 1050 ve 832 sayili Kanunlarin vizeye iliskin hükümlerine tabi degildir. Ancak gelir ve giderler için bütçe yili sonundan itibaren 3 ay içinde düzenlenecek yillik bilançolar ve ekleri gelir ve gider belgeleri ile birlikte Sayistay Baskanligina, tasdikli birer sureti de Maliye Bakanligina gönderilir. Ceza Hükmü
Madde 25- Kamu ve özel Kurum kuruluslarin yöneticisi durumunda olan personelden, bu kanunun 18.maddesinde belirtilen yükümlülükleri yerine getirmeyenler, bu fiilleri baska bir suça vücut verse bile ayrica bir yildan bes yila kadar hapis cezasi ile cezalandirilirlar. Failin bu fiilden kendisi veya bir baskasi yararina bir menfaat temin etmesi veya fiilin bir zarara sebebiyet vermesi halinde hapis cezasi iki yildan az olamaz.
Geçici Madde- 1- Üst Kurul ile Kurumun çalisma usul ve esaslari dairelerin alt birimlerinin kurulus ve görevlerine iliskin usul ve esaslar, Döner sermaye isletmesine iliskin usul ve esaslar ile Kanunun uygulanmasinda ihtiyaç duyulacak usul ve esaslar, Kanunun yürürlüge girdigi tarihten itibaren bir yil içinde Kurum tarafindan hazirlanacak ve Bakanlar Kurulu karariyla yürürlüge konulacak yönetmeliklerde gösterilecektir.
Geçici madde 2- Ekli (1) sayili listede belirtilen kadrolar ihtas edilerek 190 sayili Kanun hükmünde Karanamenin (1) sayili cetveline " Ulusal Bilgi Güvenligi Üstkurulu ileUlusal Bilgi güvenligi Kurumu Baskanligi" bölümü olarak eklenmistir.
Geçici Madde 3- Bu Kanunun kabulu ile asgari ihtiyaçlari karsilayacak çekirdek kadro ile faaliyete geçirilecek kendi ihtiyaçlari dogrultusunda azami üç yil içinde nihai teskilatini kuracaktir.
Yürürlük
Madde 26- Bu Kanun yayimi tarihinde yürürlüge girer.
Yürütme
Madde 27- Bu Kanun hükümlerini Bakanlar Kurulu yürütür.
EK-A DEVAMI EK (1) SAYILI CETVEL
ULUSAL BILGI GÜVENLIGI KURUMU BASKANLIGI TESKILATI i)BASBANLIK Baskan ii)DANISMA BIRIMLERI Uluslararasi Iliskiler ve Hukuk Müsavirligi iii) ANA HIZMET BIRIMLERI 1.Plan Program ve Koord. D.Bsk.ligi 2.Bilgi Güvenlik D.Bsk.ligi 3.Kriptoloji D.Bsk.ligi 4.Bilgi Destek D.Bsk.ligi5.Denetleme ve Degerlendirme D.Bsk.ligiiv) YARDIMCI BIRIMLER1.UlusalBilgisayarGüvenlik Merkezi Müdürlügü2.Genel Sekreterlik GENEL GEREKÇE
Günümüzde bilgi; tarih boyunca oldugundan süratle iletilmekte, buna bagli olarak da üretilen bilginin saklanmasi, kullanilmasi, bir yerden diger bir yere nakledilmesi ve imhasi için klasik usullerin disinda, gelisen teknolojiden sonuna kadar yararlanma geregi ortaya çikmistir. Teknolojiye ve bilgiye olan bu bagimlilik, ülkeleri, bilginin korunmasi için yeni usuller gelistirmeye ve yasal düzenlemeler yapmaya mecbur birakmistir.
Bilgi teknolojisine giderek artan bagimliligin sonucu olarak, merkezi kontrol, devlet yönetimi, ekonomik ve toplumsal hayatin her yönünün ortak bileseni bilgi altyapisinin kötü niyetli kisilere, terörist faaliyetlere ve dogal afetlere karsi korunmasi önem kazanmistir. Kamu ve özel kurum ve kuruluslarin kendi yapilarina uygun farkli bir güvenlik önlemleri almalari ve bu konuda ulusal bir politikanin olmayisi, Ülkemizin ulusal güvenligini hassas hale getirmektedir. Bilgi güvenligi konusundaki ulusal politika ile; motivasyonlari ve görev alanlari farkli olan kamu ve özel sektörün, gerek kendi islerinde, gerekse karsilikli iliskilerinde her türlü tehdit ve hassasiyete karsi bilgi güvenligini tam olarak saglayacak ilke ve önceliklerin tespiti gerekmektedir.
Ulusal bilgi güvenligine yönelik tehdidin ulusal bilgi altyapimizi etkilemek, zarar vermek ve taarruz etmek için birçok farkli seçenegi vardir. Altyapiya karsi saldirilar teknik yeteneklerden, motivasyona kadar birçok degisiklik arz ederek, veri tabanini karistirmasi veya programlarin uygulamalarini bozma yada fiziksel olarak yok edecek biçimde çatisma seviyesine (baris, kriz ve savas) uygun olarak yapilir. Nispi baris periyodu sirasinda dahi tehdidin, degisik seviyelerde devamli olarak mevcut oldugunu unutmamak gerekir. Tehdidin kaynaklari bireylerden (muhbir ve yetkisiz kullanicilar) karmasik ulusal organizasyonlara (yabanci istihbarat servisleri ve askeri istihbarat unsurlari) kadar genis bir yelpaze olarak ortaya çikmaktadir. Bu gruplar arasindaki sinirlar belirsiz oldugundan, genellikle olayin kaynagini tespit etmek oldukça zordur.
Türkiye Cumhuriyeti Devleti'nin ulusal ve ekonomik güvenligini etkileyen ulusal bilgi altyapisinin bugünkü haliyle güvenirlik ve hizmete hazir olma kriterleri açisindan ihtiyaçlari tam olarak karsilamadigi degerlendirilmektedir. Altyapinin tehtide ve hassasiyetlere karsi yetersiz olusu, altyapida muhtemel kesintilere ve olabilecek kötü niyetli saldirilara karsi hassasiyeti arttirmaktadir. Bu nedenle, bu tür tehtidleri ortaya çikarmak ve gerekli önlemleri almak üzere merkezi bir yönetim birimine ihtiyaç duyulmaktadir.
Bu çerçevede, Devletin kamu ve özel tüm kurum ve kuruluslarinin endüstriyel, politik, ekonomik ve sosyal alanlarda kaçinilmaz olarak etkilesim içinde oldugu hususu dikkate alinarak, ortak olarak kullandiklari altyapinin, Devletin ulusal ve ekonomik çikarlari için güvence altina alinmasi amaçlanmistir. Öngörülen ana esaslar çerçevesinde sorunun; ulusal güvenlik politikasindan sorumlu üst organin direktiflerine uygun olarak, gecikmeksizin çözümlenmesi için merkezi bir ulusal bilgi güvenligi yönetim yapisinin olusturulmasi ihtiyaci ortaya çikmistir. Bu baglamda, Hükümet seviyesinde ulusal güvenlik ihtiyaçlari dogrultusunda genel prensipleri vazeden bir üst organ; direktifleri ve yasalarda verilen görevleri uygulayacak ve ulusal bilgi güvenlik sistemini isletecek bir yönetim birimi teskili yoluna gidilmektedir. Taslak ile; ulusal güvenligi ilgilendiren bilgilerin korunmasi ve devletin bilgi güvenligi faaliyetlerinin gelistirilmesi, gerekli stratejilerin (politikalarin) üretilmesi ve belirlenmesi, kisa ve uzun dönemli planlarin hazirlanmasi, kriter ve standartlarin saptanmasi, ihracat ve ithalat izinlerinin ve sertifikalarin verilmesi, bilgi sistemlerinin teknolojiye uyumunun saglanmasi, uygulamanin takip ve denetimi, kamu ve özel kurum ve kuruluslari arasinda koordinasyonun saglanmasi amaçlarini gerçeklestirmek üzere olusturulan teskilatin görevlerine iliskin esas ve usuller ile bunlara ilave olarak, bu yasal düzenleme ile kamu ve özel bütün kurum ve kuruluslarda, bilgi güvenligini saglayacak gerekli yapilanmaya geçilmesi hususu düzenlenmektedir. MADDE GEREKÇELERI Madde 1- Madde ile, Kanunun düzenlenme amaci belirtilmektedir.Madde 2 - Madde ile, Kanunun kapsami belirtilmektedir.Madde 3 - Madde ile,Kanunda yer verilen deyimlerden ulusal bilgi güvenligi,haberlesme güvenligi, fiziki güvenlik, personel güvenligi, teknik güvenlik,TEMPEST, güvenlik ihlali, kripto, kriptoloji, kripto sistemleri, algoritma,ulusal bilgi agi, üst kurul, kurum terimleri açiklanmaktadir.Madde 4 -Madde ile Ulusal Bilgi Güvenligi Üst Kurullu ile Basbakanliga bagliolarak Ulusal Bilgi Güvenligi Kurumu Baskanliginin kurulusu düzenlenmektedir.Madde 5 - Madde ile, Ulusal Bilgi Güvenligi Üst Kurulunun asil üyelerininkimlerden olustugu, Üst Kurula baskanlik usulü, diger kamu ve özel kurum vekuruluslarin temsilcilerinin katilim durumu, oy verme ve karar yeter sayisi,olagan toplantili tarihleri, gündem, olaganüstü toplantiya çagri usulü, sekreterya hizmetleri düzenlenmekte ve üst Kurulun çalisma usul ve esaslarinin dahasonra çikarilacak Yönetmelikle düzenlenecegi belirtilmektedir.Madde 6- Madde ile, Ulusal Bilgi Güvenligi Kurumu Baskanliginin alt birimleriniolusturan daire baskanliklari ile uluslar arasi iliskiler ve hukuk müsavirligi,ulusal bilgisayar güvenlik merkezi ve genel sekreterligin kurulusu düzenlenmekteve dairelerin alt birimlerinin kurulus sekillerinin ve görevlerinin çikarilacakYönetmelikle düzenlenecegi belirtilmektedir.Madde 7-Madde ile, Ulusal Bilgi Güvenligi Üst Kurulunun görevleri düzenlenmekteMadde 8- Madde ile, Ulusal Bilgi Güvenligi Üst Kurumu Baskanliginin görevleridüzenlenmektedir.Madde 9 - Madde ile ,Uluslararasi Iliskiler ve Hukuk Müsavirliginin görevleridüzenlenmektedir.Madde 10 -Madde ile , Ulusal Bilgisayar Güvenligi Merkezinin görevleridüzenlenmektedir. Madde 11 -Madde ile , Genel Sekreterligin görevleri düzenlenmektedir.Madde 12- Madde ile,Plan Program ve Koordinasyon Baskanliginin görevleridüzenlenmektedir.Madde 13-Madde ile , Bilgi Güvenligi Dairesi Baskanliginin görevleridüzenlenmektedir. Madde 14- Madde ile , Kriptoloji Dairesi Baskanliginin görevleridüzenlenmektedir.Madde 15- Madde ile Bilgi Destek Dairesi Baskanliginin görevleridüzenlenmektedir.Madde 16 -Madde ile, Denetleme ve Degerlendirme Dairesi Baskanliginin görevleridüzenlenmektedir.Madde 17- Madde ile, bilgi güvenliginde kullanilacak gizlilik dereceleri ilehangi makam tarafindan ne sekilde verebileceginin Kurum tarafindan çikarilacakbir Yönetmelikle düzenlenecegi belirtilmektedir.Madde 18- Madde ile, ulusal bilgi güvenligi, tüm kamu ve özel kurum vekuruluslarda bir bütün olarak degerlendirildiginden, her kurum ve kurulusunkendi bünyesinde gereken organizasyonu olusturmasi ve ulusal bilgi güvenligikonusunda belirtilen önlemleri alinmasi için yükümlülük düzenlenmektedir. Belirtilen hükümlülüklerin yerine getirilmesinde özel kanunlara tabi kurum vekuruluslara iliskin hükümler sakli tutulmaktadir.Madde 19-Madde ile, olusturulan teskilatin görevlerinin yerine getirilmesinde,diger kurum ve kuruluslarinin ihtiyaç duyulan hizmetlerinden ve personelindenyararlanma esaslari ile söz konusu personelin mali ve sosyal haklari saklidir.Madde 20- Madde ile, olusturulan teskilatin kadrolari ve bu kadrolardagörevlendirilecek personelin yasal dayanagi, sözlesmeli olarak çalistirilacakpersonel, Emekli Sandigi ile ilgilendirilme ve özel uzmanlik gerektiren islerdeuzman personel çalistirabilmesi hususlari düzenlenmektedir.Madde 21- Kurum Baskani, daire baskanlari ve birinci bashukuk müsavirlerihakkinda istisnai memurluk statüsünün uygulanmasi ve personelin atama onay usulüdüzenlenmektedir.Madde 22- Madde ile, olusturulan teskilatin yaptiracagi arastirma, etüt, programve proje islerinin sözlesmeyle yaptirabilmesi hususu ve ihaleyle ilgili esaslardüzenlenmektedir.Madde 23- Madde ile, Ulusal Bilgi Güvenligi Kurumu Baskanliginin gelirleridüzenlenmektedir.Madde 24- Ulusal Bilgi Güvenligi Kurumu Baskanliginin faaliyet alanina girenkonularda gerçek ve tüzel kisilere verilecek hizmetlerin yerine getirilmesinearastirma-gelistirme faaliyetleri için gerekli olan kaynagin elde edilmesineyönelik olarak bir döner sermaye isletmesi kurulmasi ve bunun isletilmesiesaslari düzenlenmektedir.Madde 25- Ceza hükmü düzenlenmektedir ve kanunda belirtilen yükümlülükleriyerine getirmeyenler hakkinda caydirici nitelikte hükümlerdüzenlenmektedir. Madde 26- Yürürlük maddesidir.Madde 27- Yürütme maddesidir. ELEKTRONİK İMZANIN DÜZENLENMESİ HAKKINDA
KANUN TASARlSI
BİRİNCİ KISIM
Amaç, Kapsam ve Tanımlar
MADDE 1.- Bu Kanunun amacı, elektronik imzanın hukuki ve teknik yönleri ile
kullanımı için gerekli altyapının kurulmasına ilişkin esasları
düzenlemektir.
Kapsam
MADDE 2.- Bu Kanun, elektronik imzanın hukuki yapısını, elektronik imzayla
ilgili işlemleri ve sertifika hizmet sağlayıcılarının faaliyetlerini kapsar
.
Tanımlar
MADDE 3.- Bu Kanunda geçen;
a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen,
taşınan veya saklanan bilgileri,
b ) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik
veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan
elektronik veriyi,
c ) İmza sahibi: Elektronik imza oluşturmak amacıyla, bir imza oluşturma
aracını kullanan gerçek kişiyi,
d) İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından
elektronik imza oluşturmak için kullanılan ve bir eşi daha olmayan şifreler,
kriptografik gizli anahtarlar gibi verileri,
e ) İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza oluşturma
verisini kullanan yazılım veya donanım aracını,
f) İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan
şifreler, kriptografik açık anahtarlar gibi verileri,
g) İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla imza
doğrulama verisini kullanan yazılım veya donanım aracını,
h) Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği,
gönderildiği, alındığı, kaydedildiği zamanı tespit etmek üzere oluşturulan
elektronik imzayı,
i) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik
bilgilerini birbirine bağlayan elektronik kaydı,
j) Kurum: Telekomünikasyon Kurumunu,
ifade eder .
İKİNCİ KISIM
Güvenli Elektronik İmza ve Sertifika Hizmetleri
BİRİNCİ BÖLÜM
Güvenli Elektronik İmza ve Güvenli Elektronik İmza Araçları
Güvenli elektronik imza
MADDE 4.- a) Münhasıran imza sahibine bağlı olan,
b ) İmza sahibinin nitelikli elektronik sertifikaya dayanarak kimliğinin
tespitini sağlayan,
c) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza
oluşturma aracı ile oluşturulan;
d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp
yapılmadığının tespitini sağlayan,
elektronik imza, güvenli elektronik imzadır .
Güvenli elektronik imzanın hukuki sonucu ve uygulama alanı
MADDE 5.- Güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu
doğurur .
Elektronik imzaya ilişkin hükümler , taşınmazlarla ilgili aynı hak
değişikliğine yol açan hukuki işlem ve sözleşmelerde veya kanunların resmi
şekil şartı aradığı hukuki işlem ve özleşmelerde ya da özel bir merasime
tabi tuttuğu hukuki işlem ve sözleşmelerde uygulanmaz.
Güvenli elektronik imza oluşturma araçları
MADDE 6.- a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında
bir eşi daha bulunmamasını,
b ) Ürettiği elektronik imza oluşturma verilerinin araç dışına hiç bir
biçimde çıkarılamamasını ve gizliliğini,
c)Ürettiği elektronik imza oluşturma verilerinin, üçüncü kişilerce elde
edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı
korunmasını,
d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin
imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini,
sağlayan imza oluşturma araçları güvenli elektronik imza oluşturma
araçlarıdır . Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle
düzenlenir .
Güvenli elektronik imza doğrulama araçları
MADDE 7 .-a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin
doğrulama yapan kişiye gösteren,
b ) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve
doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren,
c ) İmzalanmış verinin güvenilir bir biçimde oluşturulmasını gerektiğinde
sağlayan,
d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu
ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını
değiştirmeksizin doğrulama yapan kişiye gösteren,
e ) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye
gösteren,
f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin
tespit edilebilmesini sağlayan,
imza doğrulama araçları, güvenli elektronik imza doğrulama araçlarıdır .
Araç üreticisi tarafından, bir elektronik imza doğrulama aracının yukarıdaki
bentlerde belirtilen özellikleri taşıdığı garanti edilir.
İKİNCİBÖLÜM
Elektronik 8ertifika Hizmeti Sağlayıcısı, Nitelikli Elektronik Sertifika ve
Yabancı Elektronik Sertifikalar
Elektronik sertifika hizmet sağlayıcısı
MADDE 8. -Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika,
zaman damgası ve elektronik imzalarlarla ilgili hizmetleri sağlayan gerçek
veya tüzel kişilerdir .Elektronik sertifika hizmet sağlayıcısı, Kuruma
yapacağı bir bildirimle faaliyete geçer .
Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde;
a) Hizmetin gerektirdiği nitelikte personel istihdam etmek,
b ) Güvenli ürün ve sistemleri kullanmak,
c) Hizmeti güvenilir bir biçimde yürütmek,
d) Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü
tedbiri
almak,
ile ilgili şartları sağladığını ayrıntılı bir biçimde gösterir .
Kurum, yukarıdaki şartlardan birinin eksikliği halinde, elektronik sertifika
hizmet sağlayıcısının faaliyetine son verir .Kurumun bu kararına karşı 19
uncu maddenin ikinci fıkra hükümleri gereğince itiraz edilebilir
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikte gösterilir .
Nitelikli elektronik sertifika
MADDE 9.- Nitelikli elektronik sertifikada;
a) Sertifikanın ''nitelikli sertifika'' olduğuna dair bir ibarenin,
b ) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke
adının,
c ) İmza sahibinin teşhis edilebileceği kimlik bilgilerinin,
d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama
verisinin,
e ) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin,
f) Sertifikanın seri numarasının,
g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisinin,
h) Sertifika sahibi talep ederse mesleki veya diğer kişisel bilgilerinin,
i) Varsa sertifikanın kullanım ve değer kapsamına ilişkin sınırlamaların,
j) Sertifika hizmet sağlayıcısının sertifikada yer alan bilgilerini
doğrulayan güvenli elektronik imzasının
bulunması zorunludur.
Elektronik sertifika hizmet sağlayıcısının yükümlülükleri
MADDE 10.- Elektronik sertifika hizmet sağlayıcısı;
a) Nitelikli sertifika verdiği kişilerin kimliğini resmi belgelere göre
güvenilir bir biçimde tespit etmekle,
b ) Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi,
mesleki veya diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu
bilgileri de resmi belgelere dayandırarak güvenilir bir biçimde
belirlemekle,
c ) İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya
sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına ait
yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika
hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin
güvenliğini sağlamakla,
d) Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm
yolları ile ilgili şartların ve Kanunda öngörülen sınırlamalar saklı kalmak
üzere güvenli elektronik imzanın el yazısı imza ile eşdeğer olduğu hakkında
sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak
bilgilendirmekle,
e) Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma
verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı
olarak uyarmak ve bilgilendirmekle,
f)Yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirtilen süreyle
saklamakla,
g) Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve
elektronik sertifika sahibine bildirmekle,
yükümlüdür .
Elektronik sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin
bir kopyasını alamaz veya bu veriyi saklayamaz.
Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikte gösterilir.
Nitelikli elektronik sertifikaların iptal edilmesi
MADDE 11.- Elektronik sertifika hizmet sağlayıcısı;
a) Sertifika sahibinin talebi,
b ) Sağladığı nitelikli sertifikaya ilişkin veri tabanında bulunan
bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin
değişmesi,
c ) Sertifika sahibinin fiil ehliyetinin sınırlandığının veya gaipliğinin ya
da ölümünün öğrenilmesi, durumunda vermiş olduğu nitelikli sertifikaları
derhal iptal eder .
Elektronik sertifika hizmet sağlayıcısı, sertifikaların iptal edildiği
tarihin ya da saatin tam olarak tespit edilmesine imkan veren ve üçüncü
kişilerin hızlı ve güvenli bir biçimde ulaşabildiği bir kayıt oluşturur.
Elektronik sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve o zamana
kadar vermiş olduğu elektronik sertifikaların başka bir elektronik sertifika
hizmet sağlayıcısı tarafından kullanımının sağlanamaması durumunda vermiş
olduğu elektronik sertifikaları derhal iptal eder.
Kişisel verilerin korunması
MADDE 12.- Elektronik sertifika hizmet sağlayıcısı;
Sertifika talep eden kişiden, elektronik sertifika vermek için gerekli
bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında
elde edemez.
Sertifika sahibinin izni olmaksızın sertifikayı üçüncü kişilerin
ulaşabileceği ortamlarda bulunduramaz.
Sertifika talep eden kişinin rızası olmaksızın üçüncü kişilerin kişisel
verileri elde etmesini engeller. Bu bilgileri sertifika sahibinin onayı
olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Ancak,
Cumhuriyet başsavcılıkları ile mahkemelerden gelen talepler bu sınırlamanın
dışındadır .
Kişisel verilerin korunmasına ilişkin diğer kanunlardaki hükümler saklıdır.
Sorumluluk
MADDE 13.- Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika
sahibine karşı sorumluluğu genel hükümlere tabidir .
Elektronik sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak
çıkarılan yönetmelik hükümlerinin ihlali suretiyle üçüncü kişilere verdiği
zararları tazminle yükümlüdür .Elektronik sertifika hizmet sağlayıcısı
kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz.
Elektronik sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlalinin
istihdam ettiği kişiler ile yardımcısı kişilerin davranışına dayanması
halinde de sorumludur .Elektronik sertifika hizmet sağlayıcısı, istihdam
edilenler ile yardımcı kişilerin davranışlarından dolayı sorumluluğundan,
Borçlar Kanununun 55. maddesinde öngörülen türden bir kurtuluş kanıtı
getirerek kurtulamaz.
Nitelikli elektronik sertifikanın içerdiği kullanım ve değer kapsamına
ilişkin sınırlamalar hariç olmak üzere, elektronik sertifika hizmet
sağlayıcısının üçüncü kişilere ve nitelikli elektronik imza sahibine karşı
sorumluğunu ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir
Elektronik sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini
yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika
malı sorumluluk sigortası yaptırmak zorundadır .Sigortaya ilişkin usul ve
esaslar Kurum tarafından çıkarılacak yönetmelikte gösterilir .
Yabancı sertifikalar
MADDE 14.- Yabancı bir ülkede kurulu bir elektronik sertifika hizmet
sağlayıcısı tarafından verilen nitelikli elektronik sertifikaların hukuki
sonuç doğurabilmeleri, milletlerarası andlaşmalarla belirlenir. Ancak
yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı
tarafından verilen elektronik sertifikaların, ülke içinde kurulu bir
elektronik sertifika hizmet sağlayıcısı tarafından garanti edilmesi
durumunda, bu elektronik sertifikalar da geçerli hukuki sonuç doğurur. Bu
şekilde garanti altına alınan elektronik sertifikalardan doğacak sorumluluk,
garanti eden elektronik sertifika hizmet sağlayıcısına aittir.
ÜÇÜNCÜ KISIM
Denetim ve Ceza Hükümleri
Denetim
MADDE 15.- Elektronik sertifika hizmet sağlayıcılarının bu Kanunun
uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi, Kurumca yerine
getirilir .
Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet
sağlayıcılarını denetleyebilir. Denetleme sırasında, denetleme yapmaya
yetkili görevliler tarafından her türlü defter, belge ve kayıtların
verilmesi, yönetim yerleri, binalar ve eklentilerine girme, yazılı ve sözlü
bilgi alma, örnek alma ve işlem ve hesapları denetleme isteminin elektronik
sertifika hizmet sağlayıcıları ve ilgililer tarafından yerine getirilmesi
zorunludur.
İmza yaratım verilerinin izinsiz kullanımı
MADDE 16.- Elektronik imza oluşturma amacı ile ilgili kişinin rızası
dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren,
kopyalayan ve bu araçları yeniden yaratanlar yüzmilyon liradan birmilyar
liraya kadar ağır para cezasıyla cezalandırılırlar .
İzinsiz elde edilen imza oluşturma araçları kullanılarak izinsiz elektronik
imza oluşturanlar bir yıldan aşağı olmamak üzere hapis cezası ve
beşyüzmilyon liradan ikimilyar liraya kadar ağır para cezası ile
cezalandırılırlar.
Yukarıdaki fıkralarda işlenen suçlar kendisine görevleri gereği imza
oluşturma veri ve araçları tevdi edilenler tarafından işlenirse bu cezalar
iki kat olarak verilir . Yukarıdaki fıkralardaki suçlar nedeniyle oluşan
zarar ayrıca tazmin ettirilir.
Kişisel verilerinin izinsiz kullanımı ve elde edilmesi
MADDE 17.- Bu Kanunun 12. maddesinin,
a) Birinci fıkrası hükmünü ihlal edenler hakkında üç aydan altı aya kadar
hapis ve beşmilyar lira para cezası ,
b ) İkinci fıkrası hükmünü ihlal edenler hakkında dört aydan sekiz aya kadar
hapis ve altımilyar lira para cezası ,
c) Üçüncü fıkrası hükmünü ihlal edenler hakkında altı aydan bir yıla kadar
hapis ve onmilyar lira para cezası ,
verilir .
Suçun kovuşturulması şikayete tabidir .
İdari para cezaları
|