SPK ve Siber Güvenlik: Uyulması Gereken Regülasyonlar ve Düzenlemeler

Kurum, kuruluş ve ortaklıklar, yasal mevzuata uygun hareket eder. Bu kapsamda hem fiziksel süreçlere hem de dijital işlemlere dair düzenlemeler yer alır. Dijital dünyadaki faaliyetlere yönelik regülasyonlar, bilgi sistemlerinin siber güvenlik prosedürlerine uygun olmasını sağlar. Sermaye Piyasası Kurulu tarafından yayımlanan SPK Bilgi Sistemleri Yönetimi Tebliği hükümlerine göre yerine getirilmesi gereken bazı temel hususları içerir. Yazının devamında önce SPK’ya, ardından siber güvenlik mevzuatına ilişkin detayları açıkladık.

Sermaye Piyasası Kurulu (SPK) Nedir?

Kurumların uyacağı siber güvenlik mevzuatları, SPK Bilgi Sistemleri Yönetimi Tebliği maddelerinde açıkça belirtilir. Bu tebliğin esaslarını belirleyen Sermaye Piyasası Kurulu (SPK), idari ve mali özerkliğe sahip bir kamu tüzel kişisidir. Hazine ve Maliye Bakanlığına bağlı hizmet veren kurul, görev ve yetkilerini kendi sorumluluğu altında bağımsız olarak yerine getirir. 

SPK’nın Görevleri ve Rolleri Nelerdir?

Sermaye Piyasası Kurulu, 2499 sayılı kanunla 1981’de hayata geçirilmiştir. Ardından güncel hükümleri içeren 6362 sayılı kanun ile kurulun görev, yetki ve sorumlulukları yeniden düzenlenmiştir. Düzenleyici ve denetleyici bir kamu kurumu olan SPK’nın görevleri aşağıdaki gibidir.

• Tasarrufların menkul kıymetlere yatırılmasını ve halkın iktisadi kalkınmaya etkin şekilde katılımını hedefler.
• Sermaye piyasasının güven, açıklık ve kararlılık ilkeleri çerçevesinde çalışmasına olanak tanır.
• Tasarruf sahiplerinin haklarını ve menfaatlerini korur.
• Piyasadan fon kullanan firmaların bu kaynaklardan belli kurallara uygun olarak en iyi şekilde yararlanmasını sağlar.

SPK’nın rolleri arasında piyasaların adil ve etkin çalışması da yer alır. Bu kurulun yapısı, karar organı ve hizmet birimlerinden meydana gelir. Karar organındaki başkan, ikinci başkan, vekiller ve üyeler, Cumhurbaşkanı tarafından atanır. Hizmet birimleri ise denetleme, ortaklıklar finansmanı, aracılık faaliyetleri ve muhasebe standartları gibi farklı amaçlara hizmet eden dairelerden oluşur.

Sermaye Piyasası Kuruluna Göre Yerine Getirilmesi Gereken Temel Hususlar Nelerdir?

Sermaye Piyasası Kurulu, görev alanına giren tüm konularda bazı temel esaslar belirlemiştir. Veri toplama ve işleme süreçlerine yönelik esaslar, 5 Ocak 2018 tarihli Resmî Gazete ile yürürlüğe giren SPK Bilgi Sistemleri Yönetimi Tebliği hükümlerinde yer alır. İlgili tebliğe göre bilgi sistemleri, kurum ve kuruluşların operasyonlarını istikrarlı, rekabetçi ve güvenli bir çizgide sürdürebilmesi için iş hedefleriyle uyumlu olmalıdır. Bu kapsamda bilgi sistemleri yönetiminin oluşturulmasından belirli periyotlarda sızma testlerinin yapılmasına kadar pek çok adım bulunur.

Bilgi Sistemleri Yönetiminin Oluşturulması

Bilgi sistemleri yönetimi tebliğinin temel hususlarından ilki, bu süreçte baz alınacak yönetim standartlarının oluşturulmasıdır. SPK Bilgi Sistemleri Yönetimi Tebliği’nin 5. maddesine göre kurum, kuruluş ve ortaklıklar, bazı esaslar çerçevesinde politikalar tesis eder. Söz konusu politikalar; bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin ayrıntıları içerir. Üst yönetimce düzenlenir ve yönetim kurulu tarafından tasdiklenir. 

Bilgi Sistemlerinin Kontrolü, Risk Yönetimi ve Sürekliliği

Üst yönetim birimleri, SPK bilgi sistemleri yönetimi mevzuatını gözetmekle sorumludur. SPK Bilgi Sistemleri Yönetimi Tebliği’nin 7. maddesine göre üst yönetimin görevleri aşağıdaki gibidir.

• Yeni bilgi sistemlerinin kullanıma alınmasına dair projeleri gözden geçirmek.
• Projelerdeki risklerin yönetilebilirliğini değerlendirmek.
• Personel uzmanlığının, kritik projelerin teknik gereksinimlerini karşılayabilecek nitelikte olmasını sağlamak.
• Bilgi güvenliği ihlallerini takip etmek ve her yıl değerlendirmek.
• Risk önceliklerine göre iş sürekliliği planı hazırlamak.

Ayrıca üst yönetim, SPK ve siber güvenlik ilkeleri konusunda çalışanlarını düzenli olarak bilgilendirmelidir. Eğitimler vererek personelin veri güvenliği farkındalığını artırmalıdır. Öte yandan, kurum bünyesinde riskler hakkında üst yönetime rapor veren ve yeterli niteliklere sahip bir bilgi sistemleri güvenliği sorumlusu görev almalıdır.

Müşteri Bilgilerinin Gizliliği ve Müşterilerin Bilgilendirilmesi

Kurum, kuruluş ve ortaklıklar, bilgi sistemleri aracılığıyla ulaştığı müşteri bilgilerinin gizliliğini korur. Personelin kişisel verilerin korunması ve işlenmesine uygun hareket etmesini sağlar. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre ek tedbirler alınır. Elektronik ortamdaki hizmetlerden yararlanan müşteriler, sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili açıkça bilgilendirilir. Ayrıca müşterilerden alınan geri bildirimler değerlendirilerek aksaklıkları giderici çalışmalar gerçekleştirilir.

Kayıt Mekanizmasının Oluşturulması ve Zaman Senkronizasyonu

SPK Bilgi Sistemleri Yönetimi Tebliği’ne göre kurumlar, etkin bir denetim izi kayıt mekanizması tesis eder. Denetim izlerinin bütünlüğü, düzenli olarak kontrol edilir. Tespit edilen olağandışı durumlar, üst yönetime raporlanır. Denetim izinde aşağıdaki bilgiler kayıt altında tutulur: 

• Yapılan işlemlerin türü ve niteliği
• İşlemlere ilişkin yetkisiz erişim teşebbüsleri
• İşlemi gerçekleştiren uygulama
• İşlemi gerçekleştiren kişinin kimliği
• Yapılan işlemlerin zamanı

Denetim izleri, minimum 5 yıl saklanır. Yeterli güvenlik düzeyine sahip ortamlarda korunmalı ve yetkili kişiler tarafından yedeklenmelidir. Dış kaynak hizmeti alınan kuruluşlar, müşteriler ve personel, bu kayıtlar hakkında bilgilendirilir.

Ağ Yönetimi ve Veri Gizliliği

SPK bilgi sistemleri siber güvenlik mevzuatında ağların tehditlere karşı korunmasına dair hükümler vardır. Bu kapsamda mobil cihazların ağ erişimine dair güvenlik önlemleri alınır. Bilgi sistemleri altyapısındaki yetkisiz erişimler engellenir. Risk düzeyi yüksek uygulamaların güvenlik seviyesini artırmak için bağlantı süreleri kısıtlanır. Kurumlar, dış ağlardan gelebilecek tehditler için güvenlik duvarı çözümleri ve denetimli geçişi destekleyen kontroller tesis eder.

Belirli Periyotlarda Sızma Testleri

Kurum, kuruluş ve ortaklıkların bilgi sistemleri, ilgili konuda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından yılda en az 1 defa sızma testine tabi tutulur. Siber güvenlik zafiyetlerini açığa çıkaran bu testler, SPK Bilgi Sistemleri Yönetimi Tebliği’nin 1 nolu ekindeki usullere ve esaslara göre gerçekleştirilir. Kurum ve kuruluşlar; KVKK, TSE-Güven Damgası, PCI-DSS, ISO27001 sertifikasyonlar için bu testleri düzenli olarak yaptırmalıdır.

SPK’nın Oluşturduğu Siber Güvenlik Mevzuatına Uyması Gereken Kurum ve Kuruluşlar Nelerdir?

SPK bilgi sistemleri yönetimi güvenlik tebliğinin 2. maddesinde bu hükümlere uyması gerekenler yer alır. Bilgi Sistemleri Yönetimi Tebliği’ndeki kurum ve kuruluşlar şunlardır:

• Borsa İstanbul A.Ş.
• Borsalar ve piyasa işleticileri
• Teşkilatlanmış diğer pazar yerleri
• Emeklilik yatırım fonları
• İstanbul Takas ve Saklama Bankası A.Ş.
• Merkezî Kayıt Kuruluşu A.Ş.
• Portföy saklayıcısı kuruluşlar
• Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu
• Sermaye piyasası kurumları
• Halka açık ortaklıklar

Siber güvenlik alanında uzman inventiv, Securvent hizmetiyle bilgi sistemlerine yönelik gelişmiş çözümler sunar. OSCP, ECSA,LPT,CEH sertifikasyonlarına sahip ekibiyle TSE onaylı sızma testleri gerçekleştirir. Bu hizmetten yararlanarak bilişim altyapınızın sürdürülebilir; itibarınızın ve verilerinizin ise güvende olmasını sağlayabilirsiniz.