1. Kişisel Verilerin Güvenliği
Sisteme giriş yapan kullanıcılar sadece kendisine ait bilgilere erişebilmekte ve kendilerine ait verileri kurumlardan anlık olarak sorgulamaktadırlar. e-Devlet Kapısı vatandaşların profil bilgileri dışında herhangi kişisel bir bilgi tutmamaktadır. Kişilerin, E-Devlet Kapısı ile paylaşmış olduğu bilgiler, kişilerin onayı dışında ya da yargı kararı ve/veya yasal bir yükümlülük altında bulunmadığı sürece herhangi bir üçüncü şahıs, kurum ve kuruluşa hiçbir nedenden ötürü paylaşılmayacak ya da verilmeyecektir. Yasal düzenlemelerle bu bilgilerin açıklanmasını gerektiren bir durum tekâmül etmediği sürece hiçbir istisna ile bu bilgiler açıklanmayacaktır.
2. E-Devlet ve Güvenlik
e-Devlet Kapısı için bağımsız güvenlik firmalarına güvenlik ve sızma testleri yaptırılmaktadır. Bu test sonuçlarında elde edilen bulgular ışığında gerekli önlemler alınmaktadır. e-Devlet Kapısı üzerinde sunulan tüm bilgiler anlık olarak ilgili kurumlardan alınmakta ve derlenerek vatandaşlarımıza sunulmaktadır. e-Devlet Kapısı sadece vatandaşın kimlik doğrulamasını yapmakta ve güvenli iletişim ağları üzerinden verinin sahibi olan kuruma ait sistemlerden bilgileri alarak vatandaşa göstermektedir. Her vatandaş sadece kendine ait bilgilere erişebilir. e-Devlet Kapısı üzerinden erişilebilen hizmetlere ait bilgilerin hepsi ilgili kamu kurumu tarafından sunulmaktadır. e-Devlet Kapısı sistemleri üzerinde bilgi tutulmadığı ve anlık olarak kurumlardan alınarak gösterildiği için kurumlar ve e-Devlet Kapısı sistemleri arasındaki veri trafiği mümkün olan en yüksek seviyede korunmaktadır. Verinin dışarı sızması, başkası tarafından dinlenmesi veya iletişim sırasında değiştirilmesi mümkün olmamaktadır. Bunlara ek olarak tüm sistem 7/24 esasına göre izlenmekte ve sıra dışı tüm olaylara hızlı bir şekilde müdahale edilmektedir. Bazı durumlarda Kurumların kendi verilerini sunarken veya diğer kurumlar ile paylaşırken aldıkları güvenlik önlemleri haricinde e-Devlet Kapısı tarafından da ek güvenlik önlemleri de alınabilmektedir.
3. E-Devlet Güvenlik Mimarisi
E-Devlet Kapısı hizmet almak isteyen vatandaşın kimlik doğrulamasını
yaparak ve güvenli iletişim ağları üzerinden hizmet almak istediği
kuruma ait sistemlerden vatandaşa ait veriyi alarak görüntülemektedir.
Her vatandaş sadece kendine ait bilgilere erişebilir. e-Devlet Kapısı
üzerinden erişilebilen hizmetlere ait bilgilerin hepsi ilgili kamu
kurumu tarafından sunulmaktadır.
E-Devlet Kapısı sistemleri
üzerinde bilgi tutulmadığı ve anlık olarak kurumlardan alınarak
gösterildiği için kurumlar ve e-Devlet Kapısı sistemleri arasındaki
veri trafiği mümkün olan en yüksek seviyede korunmaktadır. Verinin
dışarı sızması, başkası tarafından dinlenmesi veya iletişim sırasında
değiştirilmesi mümkün olmamaktadır.
Kurumların kendi
verilerini sunarken veya diğer kurumlar ile paylaşırken aldıkları
güvenlik önlemleri haricinde e-Devlet Kapısı tarafından da güvenlik
önlemleri de alınmaktadır. e-Devlet Kapısı işletiminde ISO 27001 Bilgi
Güvenliği Yönetim Sistemi (BGYS), ISO 22301 İş Sürekliliği Yönetim
Sistemi ve ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi
uygulanmaktadır. Süreçler bilgi güvenliği ve alt politikaları
çerçevesinde işletilmekte ve politikaların esaslarına uyum
sağlamaktadır. BGYS ile ilgili olarak iç yapılanma tamamlanmış,
süreçler oluşturulmuş, sistemin verimli çalışması düzenli olarak
kontrol edilmekte ve uygulanmaktadır ve sürekli iyileştirme
yapılmaktadır.
a. Bilgi Güvenliği Organizasyonu
E-Devlet Kapısı ile ilgili yazılım geliştirme, sistem yönetimi ve bilgi
güvenliği ile ilgili roller ve sorumluluklar tanımlanmış, görevlerin
ayrılığı prensibince çelişen rol ve sorumluluklar farklı kişilere
atanmıştır.
Personelin uzaktan çalışmalarına yönelik SSL VPN
bağlantısı etkin hale getirilmiş ve uzaktan bağlantılar şifreli olarak
sağlanmaktadır. Sistemlere uzaktan bağlanan kullanıcıların bağlantı
süreleri belirlenmekte ve bu süre sonunda bağlantı otomatik olarak
kesilmektedir.
b. Erişim Güvenliği
E-Devlet Kapısı mimarisi çerçevesinde yazılım geliştirme ortamları, test ortamı ve canlı ortam ayrıştırılmış ve bu ortamlara erişim kontrollü sağlanmaktadır. Her bir tekil kullanıcı için ayrı erişimler onay mekanizması ile sağlanmakta ve periyodik olarak kontrol edilmektedir. Sistemler için minimum yetki prensibine göre yetkilendirme yapılmaktadır.
c. Kriptografi
E-Devlet Kapısında tutulan log kayıtları zaman damgası ile damgalanarak saklanmakta ve bütünlüğü korunmaktadır. Web sitesi erişimi SSL protokolü ile şifrelenmekte ve anahtar yönetimi yapılmaktadır. Şifreler güçlü algoritmalar ile hashlenerek saklanmaktadır.
d. İşletim Güvenliği
i. Monitoring
E-Devlet Kapısı sistemlerinin 7/24 takibi yapılmakta ve bunun için nöbetçi personel bulundurulmaktadır. Herhangi bir acil durumda, acil durum prosedürüne göre hareket edilerek karşılaşılan problem çözülmektedir.
ii. Hizmet Yönetimi
Hizmet Yönetimi çerçevesinde çalışmalar ISO 20000-1 standardına göre yürütülmektedir. e-Devlet Kapısı kapsamında oluşan olay ve servis talepleri için hizmet seviye hedefleri belirlenmiştir. Tüm açılan kayıtlar bu hedefler çerçevesinde takip edilmektedir. Çözülemeyen kayıtlar problem kaydına dönüştürülerek çalışma yapılmaktadır. Sistemde yapılacak olan sürüm yükseltme ve değişiklikler onay mekanizmaları çerçevesinde planlı, risk çalışması yapılmış ve geri dönüş planları hazırlanarak gerçekleştirilmektedir. Hizmetler ile alakalı kapasite planları gerçekleştirilmekte ve müşteri memnuniyet ve şikâyetleri değerlendirilmektedir.
iii. Yedekleme
E-Devlet Kapısı sistemlerinde bütün verilerin yedekleri hassasiyetlerine göre düzenli olarak yedeklenmektedir. Tüm kritik donanımlar (Firewall, Load Balancer, IPS/IDS vs.) yedekli ve failover olarak çalışılmaktadır. Ayrıca, kritik destek sistemleri (iklimlendirme, enerji vb.) de yine yedekli olarak çalıştırılmaktadır.
IV. Kayıt Yönetimi
E-Devlet Kapısı’nda çalışan bütün uygulama ve sistemlerin kayıtları merkezi kayıt saklama sistemi tarafından tutulmakta ve tutulan kayıtların bütünlüğü zaman damgası ile korunmaktadır.
V. Güvenlik Testi ve Tetkikler
E-Devlet Kapısı’nda bulunan uygulama ve sistemler, düzenli aralıklarla sızma testi yapılarak test edilmekte ve test edilen açıklıklar ivedilikle giderilmektedir.
e. Ağ Güvenliği
E-Devlet Kapısı’nda bulunan ağlara erişim, erişim kontrol politikası
esaslarına göre düzenlenmektedir. Erişim yönetimi temelinde e-Devlet
Kapısı ağında tam ayrım uygulanmaktadır. Bu VLAN’lar firewall hizmeti
ile güvenlik altına alınmaktadır.
Kurum içinde güvenlik
duvarları, IDS/IPS ve DDoS koruma cihazları ile bağlantılar kontrollü
bir şekilde sağlanmaktadır.
Internet servis sağlayıcı
üzerinden Dağıtık Servis Dışı Bırakma saldırılarına karşı koruma ve
aynı zamanda mevcut bant genişliğinin dolmasını engellemek için DDoS
engelleme hizmeti alınmaktadır. Siber saldırılara karşı IPS/IDS
(Saldırı tespit ve engelleme) hizmeti alınmaktadır.
f. Sistem Temini, Geliştirme ve Bakımı
E-Devlet Kapısı için temin edilen veya geliştirilen sistemlerin kabulünde, sistem kabul testleri yapılmakta ve sistemlerin birbirine olumsuz etkisi olmadığı görüldükten sonra temini geçilmektedir.
g. Tedarikçi İlişkileri
E-Devlet Kapısı için tedarik edilen ürünlerde tedarikçi ile ilgili ilişkileri “tedarikçi ilişkileri bilgi güvenliği politikası” çerçevesinde düzenlenmiştir. Tedarikçilerle mutlak surette gizlilik anlaşmaları imzalanmakta ve tedarikçilerden kaynaklanabilecek problemlerde tazminat şartları belirtilmektedir. Tedarik edilen ürünler güvenlik taramasından geçirilmektedir.
h. Bilgi Güvenliği İhlal Olayı Yönetimi
Bilgi güvenliği ihlal olay yönetimi, siber olaylara müdahale ekibi tarafından koordine edilmekte ve veri merkezinde gerçekleşebilecek ihlal olaylarına SOME tarafından müdahale edilmektedir.
i. İş Sürekliliği Yönetiminin Bilgi Güvenliği Hususları
E-Devlet Kapısı’nda bilgi güvenliğinin iş sürekliliğine yönelik planları çerçevesinde düzenli aralıklarla süreklilik testleri yapılmaktadır. Herhangi bir felaket durumunda veri merkezi personelleri yapılması gereken işlemler konusunda hazır hale getirilmektedir.
j. Uyum
E-Devlet Kapısı ile ilgili olan uygulanabilir yasalar ve sözleşmeler tespit edilmiş olup, buradaki şartlara uyum sürekli olarak kontrol edilmektedir. Veri merkezi işletilmesi kapsamında ISO 27001 ve ISO 20000 standartlarına uyum sağlanmış olup işletim bu çerçevede yapılmaktadır.
k. Yazılım Geliştirme Güvenliği
E-Devlet Kapısı için geliştirilen yazılımlar güvenli yazılım geliştirme döngüsü prensiplerine göre geliştirilmektedir. Girdi kontrolü, çıktı kontrolü, erişim, mesaj bütünlüğü esasları çerçevesinde geliştirilen yazılımlar periyodik kaynak kod güvenlik taramasından geçirilmektedir. Her bir servis devreye alınmadan önce fonksiyonel ve güvenlik testlerine tabi tutulmakta ayrıca; belli periyotlarda tüm sistem güvenlik testlerinden 2. ve 3. taraflarca geçirilmektedir.