2020 yılı Mart ayı itibariyle, bankacılık sektörünü heyecanlandıran önemli bir değişiklik ile, 2011 yılından beri yürürlükte olan “Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği” yerine “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” yürürlüğe girdi.
Özellikle bu yönetmelik ile, bankacılık sektörü bilgi sistemleri faaliyetleri ve dinamiklerinin, yürürlükte olan diğer mevzuat, kanun ve benzeri yönetmelikler ile hizalamasının beklendiğini görebilmekteyiz. Bir başka deyişle, diğer kanun ve mevzuatların gereksinimleri ile bütünleşik veya paralel noktalar bulunmaktadır, bunu özellikle Kişisel Verilerin Korunması Kanunu ile gelen uyum esaslarıyla anlayabiliriz.
Elbette diğer çoğu mevzuat ve yönetmelikte olduğu gibi BDDK’nın bankacılık sektöründen beklentisi, verilen süre zarfında geçişlerin tamamlanarak uyumun sağlanması olacaktır. Hali hazırda hem sektör dinamikleri hem de diğer mevzuat ve yönetmeliklere uyum süreçleri nedeniyle, sektörün yabancı olmadığı kavram ve süreçleri içermesinden dolayı geçiş aşamasının nispeten daha planlı olabileceğini öngörmekteyiz.
Her ne kadar resmi olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi beklentisi olmamasına rağmen, çizilen çerçeve incelendiğinde standardın iz düşümü olan gereksinimlerin bulunması dikkat çekmektedir. Her zaman olduğu gibi yine diğer çerçeve yapılar da (COBIT, ITIL vs.) referans alınmıştır.
Uyum sürecinde ise hem yönetişim bakış açısıyla değerlendirilmesi gereken hem de geçiş aşamasında köklü süreç değişikliklerine neden olabilecek birtakım başlıklar getirilmiştir.
- Bilgi sistemleri yönetişim rol ve sorumluluklarına getirilen yeni düzenlemeler ile hem yazılı tanımlamalar ile yeni rol ve sorumlulukların tahsis edilmesi hem de görevlerin ayrılığı prensibinin daha keskinleştirilerek bilgi güvenliği fonksiyonunun doğrudan Yönetim Kurulu’na ya da genel Müdür’e bağlı olması esas olarak belirtilmiştir (Ref. Madde 4, Madde 8).
- Banka bünyesinde varlık envanteri hazırlanması ve bu envantere paralel olarak sınıflandırma kılavuzlarının hazırlanması beklenmektedir, bu beklenti için ise referans tanımlamalar ve gereksinimler ayrıca detaylandırılmıştır, ilgili tanımlamalar incelendiğinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi çerçevesinde belirtilen bilgi varlığı envanteri ile paralellikler bulunduğu söylenebilir, ek olarak ise kişisel veri ve hassas veri kavramlarına da dikkat çekilmiştir (Ref. Madde 6).
- Nihai sorumluluğu Yönetim Kurulu’na ait olmak kaydıyla bir bilgi güvenliği yönetim sistemi tesis edilmesi ve bu yönetim sistemi çerçevesinde dikkate alınacak esaslar düzenlenmiştir (Ref. Madde 8).
- Kişisel Verilerin Korunması Kanunu’na paralel olacak şekilde “Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” hususu belirtilmiş ve ilgili verilerin paylaşımına yönelik net ifadelerle sınırlandırılma yapılmıştır (Ref. Madde 10).
- Kimlik ve erişim yönetimi ile ilgili olarak doğrulama mekanizmaları veri gizliliği esas alınarak düzenlenmiş ve bunlara ilişkin isterler somutlaştırılmıştır (Ref. Madde 11).
- Siber olayların ele alınmasına yönelik olay yönetim süreç yapısının oluşturulması ile birlikte Kurumsal SOME kurulması ve raporlama kriterleri kıstasları, özellikle Kurumsal SOME’ye ilişkin iletişim bilgilerinin BDDK’ya iletilmesi önem arz etmektedir (Ref. Madde 18).
- Birincil ve ikincil sistemler için bulut bilişim veya dış hizmet sağlayıcının kullanımına izin verilmekle beraber ön koşul olarak yurt içinde barındırma zorunluluğu getirilmiştir (Ref. Madde 25)
- Dış hizmet alımına ilişkin kriterler daha detaylı hale getirilerek bankaların süreçleri dahilinde tedarikçi yönetim ve değerlendirme/denetim yapısının oluşturulması ve işletilmesi hususları ön planda olmaktadır. Bu kriterler kapsamında en dikkat çeken husus ise hizmet sağlayıcıların da banka standartlarına paralel olacak bir güvenlik yaklaşımı beklentisi ile, “Dış hizmet alımı kapsamında banka verilerinin dış hizmet sağlayıcıya aktarılmasının gerekli olduğu durumlarda, dış hizmet sağlayıcının güvenlik konusundaki prensip ve uygulamalarının en az bankanın uyguladığı düzeyde olması için gerekli tedbirlerin alınması,” olacaktır (Ref. Madde 29).
- Elektronik bankacılık, internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık hizmetleri ve ATM bankacılığına ilişkin kimlik doğrulama ve işlem güvenliği kriterleri belirlenmiştir (Ref. Madde 34, Madde 38, Madde 39, Madde 40, Madde 41, Madde 42, Madde 43).
Yönetmelik 20 Haziran 2020 tarihli ve 31161 sayılı Resmi Gazete’de yayımlanan yönetmelikle tadil edildi COVID-19 nedeniyle uzatma verilmiş olup istisnalar haricinde Yönetmelik hükümlerinin 1 Ocak 2021’de yürürlüğe girmesi kararlaştırılmıştır.