GÜNCEL MEVZUAT
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ - MuhasebeTR

Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ

14 Eylül 2007 CUMA
Resmi Gazete Sayı : 26643

Bankacılık Düzenleme ve Denetleme Kurumundan:

BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK

İLKELERE İLİŞKİN TEBLİĞ

 

BİRİNCİ KISIM

Başlangıç Hükümleri

 

             Amaç ve kapsam

             MADDE 1 – (1) Bu Tebliğin amacı, bankaların, faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esasları düzenlemektir.

             Dayanak

             MADDE 2 – (1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93 üncü maddesi ve 1/11/2006 tarihli ve 26333 sayılı Resmî Gazete’de yayımlanan Bankaların İç Sistemleri Hakkında Yönetmeliğin 11 inci maddesinin beşinci fıkrası ile 16 ncı maddesinin üçüncü fıkrası uyarınca düzenlenmiştir.

             Tanımlar ve kısaltmalar

             MADDE 3 – (1) Bu Tebliğde yer alan;

             a) Akıllı kart: Üzerinde, bilginin kaydedilebildiği ve işlenebildiği çip barındıran kartı,

             b)  ATM: Otomatik para çekme işleminin yanı sıra diğer bankacılık işlemlerinin tamamının veya bir bölümünün gerçekleştirilmesine imkân veren elektronik işlem cihazlarını,

             c)  Banka: Kanunun 3 üncü maddesinde tanımlanan bankaları,

             ç) Bilgi sistemleri yönetimi: Bankaca gerçekleştirilen faaliyetlerin ve verilen hizmetlerin etkin, güvenilir ve kesintisiz bir şekilde yürütülmesi; mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi; muhasebe ve finansal raporlama sisteminden sağlanan bilgilerin bütünlüğünün, tutarlılığının, güvenilirliğinin, zamanında elde edilebilirliğinin ve gereken durumlarda gizliliğinin sağlanması amacıyla uygun bilgi sistemleri ortamının tesis edilmesine, bilgi sistemleri kaynaklarının verimli olarak kullanılmasına, söz konusu bilgi sistemlerinin kullanılmasından kaynaklanacak risklerin kontrolünün ve izlenmesinin sağlanmasına, bu amaçla gerekli sistemsel ve yönetsel önlemlerin alınmasına ilişkin faaliyetleri,

             d) Biyometrik: Bir kişinin diğer şahıslardan ayrılmasını sağlayan, bu kişiye ait ölçülebilir bir biyolojik veya davranışsal karakteristiğini,

             e) BSDHY: 16/5/2006 tarihli ve 26170 sayılı Resmî Gazete’de yayımlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmeliği,

             f)  COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri’nin (COBIT) güncel versiyonunu,

             g) Değişken parola: Kimlik doğrulamada kullanılan, belirli dönemlerde değiştirilmesi zorunlu kılınan gizli alfabetik ve/veya rakamsal karakterler dizisini,

             ğ) Denetim izi: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtları,

             h) Elektronik imza: 15/01/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununda tanımlanan elektronik imzayı,

             ı) Güvenlik duvarı: Farklı güvenlik hassasiyet düzeylerine sahip ağlar arasında kontrollü geçişe imkân tanıyan yazılım ya da donanım temelli çözümleri,

             i) İç Sistemler Yönetmeliği: 1/11/2006 tarihli ve 26333 sayılı Resmî Gazete’de yayımlanan Bankaların İç Sistemleri Hakkında Yönetmeliği,

             j) İnternet bankacılığı: Müşterilerin banka tarafından sunulan hizmetlere internet yoluyla ulaşmalarını ve yapmak istedikleri işlemleri gerçekleştirmelerini sağlayan bankacılık hizmeti dağıtım kanalını,

             k) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden biriyle kendisini sisteme tanıtan bir kişinin gerçekleştirmek istediği bir işlem için, bu işlemi onaylayıp onaylamadığına dair sisteme tanıttığı kimliğe yöneltilen, bir kereye mahsus kullanılmak üzere yaratılmış belirli uzunlukta alfabetik ve/veya rakamsal karakter dizisinden oluşan kodu,

             l) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,

             m) Kimlik doğrulama: Bildirilen bir kimliğin gerçekten bildiren şahsa ait olduğuna dair güvence sağlayan mekanizmayı,

             n) Kontrol: Banka içerisinde bilgi teknolojileri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin gerçekleştirilmesi, istenmeyen olayların engellenmesi, belirlenmesi ve düzeltilmesi ile ilgili olarak yeterli derecede güvenceyi oluşturma amacı güden politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,

             o) Oturum: Veri aktarımı, sunuşu veya gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal bağı,

             ö) Parola: Kimlik doğrulamada kullanılan, değiştirilmesi zorunlu kılınmayan gizli alfabetik ve/veya rakamsal karakterler dizisini,

             p) Parolanın/değişken parolanın sıfırlanması: Bir kullanıcıya ait parolanın/değişken parolanın kullanım dışı kaldığı, unutulduğu, kullanıcı hesabının kilitlendiği ya da ilk defa parolanın/değişken parolanın atanmasının gerektiği gibi durumlarda, bir yardım masası vasıtasıyla ya da sistemsel bir takım sorgulardan geçerek, kullanıcıya kendi parolasını/değişken parolasını belirleme imkânının verilmesini veya rastgele oluşturulmuş bir alfabetik ve/veya rakamsal karakterler dizisinin yeni kullanıcı parolası/değişken parolası olarak atanarak, bu parolanın/değişken parolanın kullanıcıya iletilmesini,

             r) Sızma testi: Sistemin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen atakları,

             s) Şifreleme açık anahtarı: Açık anahtarlı şifrelemede kullanılan, herkesin erişimine ve kullanımına açık olan, şifreleme gizli anahtarı ile matematiksel bağlantısı bulunan ve şifreleme gizli anahtarı ile atılan imzayı kontrol etmek, yapılan şifrelemeyi çözmek, ya da sadece şifreleme gizli anahtarının çözebileceği şekilde verinin şifrelenmesi için kullanılan şifreleme anahtarını,

             ş) Şifreleme anahtarı: Şifreleme algoritmasının şifreleme ve şifre çözme amacıyla kullandığı karakter dizisini,

             t) Şifreleme gizli anahtarı: Açık anahtarlı şifrelemede imza atma, şifreleme ve karşılığı olan şifreleme açık anahtarıyla şifrelenmiş veriyi çözmek için kullanılan, sadece sahibi tarafından bilinmesi ve kullanılması gereken anahtarı,

             u) Tek kullanımlık parola: Kimlik doğrulamada sadece bir kez kullanılmak üzere rastgele yaratılan alfabetik ve/veya rakamsal karakterler dizisini,

             ü) Üst düzey yönetim: İç Sistemler Yönetmeliğinin 3 üncü maddesinde tanımlanan üst düzey yönetimi,

             v) Üst yönetim: İç Sistemler Yönetmeliğinin 3 üncü maddesinde tanımlanan üst yönetimi,   

             y) Yama: Programlarda tespit edilen açıklıkları veya programın içeriğindeki hatalı bir fonksiyonu düzeltme amaçlı hazırlanan program eklentisini,

             z) Yetkilendirme veritabanı: Müşteri ve kullanıcı erişim haklarının ve yetkilendirmeye ilişkin bilgilerin tutulduğu yapıyı

             ifade eder.

             Bankalarda bilgi sistemleri yönetiminin önemi

             MADDE 4 – (1) Banka, bilgi sistemlerinin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele alır. Bankanın operasyonlarını istikrarlı, rekabetçi ve gelişen bir çizgide sürdürebilmesi için bilgi sistemlerine ilişkin stratejinin iş hedefleri ile uyumlu olması sağlanır, bilgi sistemleri yönetimine ilişkin unsurlar yönetsel hiyerarşi içerisinde uygun yere yerleştirilir ve bilgi sistemlerinin doğru yönetimi için gerekli finansman ve insan kaynağı tahsis edilir.

             (2) Banka, bilgi sistemlerinin yönetimine ilişkin politikalar, prosedürler ve süreçler tesis eder. Prosedürler ve süreçler ilgili iş alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda gerekiyorsa yenilenmek üzere düzenli olarak gözden geçirilir.

             (3) Bilgi sistemleri üzerinde tesis edilen yönetimin etkinliği; risk yönetimi, iç kontrol sistemi ve iç denetim kapsamında yürütülecek çalışmaların da katkısıyla sağlanır.

 

İKİNCİ KISIM

Bilgi Sistemlerine İlişkin Risk Yönetimi ve İç Kontrollerin Tesisi

 

BİRİNCİ BÖLÜM

Bilgi Sistemlerine İlişkin Risk Yönetimi

 

             Bilgi sistemleri risk yönetimi

             MADDE 5 – (1) Banka, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri ölçmek, izlemek, kontrol etmek ve raporlamak üzere gerekli önlemleri alır. Bilgi sistemlerine ilişkin risklerin yönetilmesi, bilgi sistemleri yönetiminin önemli bir bileşeni olarak ele alınır. Bilgi teknolojilerinin bankacılık faaliyetlerinde kullanılması nedeniyle oluşan risklerin temel kaynağı olarak kabul edilebilecek unsurlardan aşağıda sıralananlar banka tarafından göz önünde bulundurulur, risk yönetiminde değerlendirmeye katılır:

             a) Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda bu gelişmelere uymamanın olumsuz sonuçları ve bu gelişmelere uyma konusundaki zorluklar,

             b) Bilgi sistemlerinin bilinenlerden farklı hatalara ve dolandırıcılıklara zemin hazırlayabilmesi,

             c) Bilgi sistemlerinin bankacılık faaliyetlerinde kullanımının artmasına bağlı olarak yaygınlaşan destek hizmeti alımı, buna bağlı olarak operasyonlarda destek hizmeti kuruluşlarına bağımlılığın doğmuş olması,

             ç) Bankanın iş sürekliliğinin önemli oranda bilgi sistemlerinin işlerliğine bağlı duruma gelmesi,

             d) Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin ve tutulan, aktarılan ve işlenen verilerin güvenliğinin sağlanmasının, müşteri tanımanın, inkâr edilemezliğin ve işlem izlerine ilişkin kayıtların tutulmasının zorlaşmış olması.

             (2) Banka, risk yönetim politika ve süreçlerini, bilgi teknolojilerinin kullanımına bağlı olarak gözden geçirip, buradan kaynaklanacak risklerin yönetimini kapsayacak şekilde yeniler. Bilgi teknolojilerinden kaynaklanan risklerin operasyonel risk kapsamında değerlendirilmesinin yanısıra bu risklerin bankacılık faaliyetlerinden kaynaklanan diğer risklerin de bir çarpanı olabileceğinden, bilgi teknolojilerinden kaynaklanan riskleri de içeren bütünleşik bir risk yönetim yaklaşımı tüm bankacılık faaliyetleri için benimsenir, bilgi teknolojilerinin takibi ve gözetimine ilişkin çalışmalardan edinilen verilerin bankanın bütünsel risk yönetim çerçevesinin bir parçası haline gelmesi sağlanır.

             (3) Banka, belirleyeceği dönemlerde veya bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce planlanan değişiklikleri de göz önünde bulundurarak bilgi sistemlerine ilişkin risk analizlerini tekrarlar ve risk analizlerinin ne şekilde gerçekleştirileceğine ilişkin prosedürleri hazırlar.

             (4) Bilgi sistemlerine ilişkin risklerin yönetimi amacıyla geliştirilen politika ve prosedürlerin gerekleri, bankanın organizasyonel ve yönetsel yapıları içerisinde fiili olarak işleyecek şekilde yerleştirilir, bunların işlerliğine ilişkin gözetim ve takip gerçekleştirilir.

             (5) Risk yönetimine ilişkin politikaların, prosedürlerin ve süreçlerin bilgi teknolojilerinin kullanımından kaynaklanan riskleri de kapsayacak şekilde düzenlenmesi çalışmalarında, bu Tebliğin 6 ila 19 uncu maddeleri arasında yer alan, bilgi sistemlerinin özel niteliklerinden kaynaklanan risk yönetim prensipleri göz önünde bulundurulur. Söz konusu prensipler, üst yönetim gözetimi, güvenlik kontrolleri ile yasal ve itibar riski yönetimi başlıkları kapsamında yapılması gerekenleri ifade eder. Bankanın, kendi risk profiline, operasyonel yapısına, kurumsal yönetim kültürüne ve ilgili diğer mevzuat ile çizilen çerçeveye uygun olarak bilgi sistemlerine ilişkin risk yönetim süreçlerini geliştirmesi ve bilgi teknolojilerinden kaynaklanan riskleri de bu kapsamda değerlendirmeye alması esastır.

             Yönetim gözetimi

             MADDE 6 – (1) Banka üst yönetimi bilgi sistemleri kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütür. Bu amaçla üst yönetim tarafından değerlendirmeden geçirilmiş ve uygunluğu onaylanmış, bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesine yönelik, kapsamlı bir süreç üst düzey yönetim tarafından hazırlanır. Bu süreç sorumlulukların açıkça tanımlanması ile risklerin yönetilmesine ilişkin politikaların oluşturulması ve kontrollerin tesis edilmesi ve izlenmesi faaliyetlerini kapsar.

             (2) Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin tesis edilmesi yönetim kurulunun sorumluluğundadır.

             (3) Banka risk profili ve stratejisi üzerinde önemli etkileri olacak yeni bilgi sistemi unsurlarının kullanıma alınmasına ilişkin projeler banka üst düzey yönetimi tarafından gözden geçirilir. Üst düzey yönetim, bilgi sistemleri unsurlarına ilişkin bu yeni projelerin getireceği riskleri yönetmek için gerekli uzmanlık düzeyinin banka bünyesinde bulunduğundan emin olmadan, çalışmalara onay vermez. Projelerin banka iç kaynaklarıyla veya destek hizmeti alımı yoluyla gerçekleştirilmesine bakılmaksızın üst düzey yönetim ve personel uzmanlığının, projeye ilişkin uygulamaların ve bunu destekleyen alt yapının gerektirdiği teknik detay ve karmaşıklık ile orantılı olması esastır. Bu yapıyı desteklemek üzere oluşturulacak yönetsel rol ve sorumluluklar açıkça belirlenir.

             (4) Banka üst yönetimi, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi hususunda gerekli kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis eder. Üst yönetim, aşağıdaki faaliyetlerin yerine getirilmesini temin edecek mekanizmaları kurar:

             a) Bilgi güvenliği politikalarının ve tüm sorumlulukların belirli periyotlarla gözden geçirilmesi ve onay mekanizmasına tabi tutulması,

             b) Bilgi kaynaklarına yönelik tehditlerin periyodik olarak değerlendirilmesi,

             c) Bilgi güvenliği ihlaline ilişkin olayların izlenmesi ve periyodik olarak değerlendirilmesi,

             ç)  Bilgi güvenliği hususunda farkındalığı artıracak çalışmaların desteklenmesi.

             (5) Bankanın bilgi güvenliği politikası,  yönetim kurulunun onayından geçmeli ve tatbiki üst yönetim tarafından gözetilmelidir.

TÜMÜ İÇİN TIKLAYIN

(14.09.2007)

GÜNDEM