1. Kişisel Verilerin Güvenliği
Sisteme giriş yapan kullanıcılar sadece kendisine ait bilgilere erişebilmekte ve kendilerine ait verileri kurumlardan anlık olarak sorgulamaktadırlar. e-Devlet Kapısı vatandaşların profil bilgileri dışında herhangi kişisel bir bilgi tutmamaktadır. Kişilerin, E-Devlet Kapısı ile paylaşmış olduğu bilgiler, kişilerin onayı dışında ya da yargı kararı ve/veya yasal bir yükümlülük altında bulunmadığı sürece herhangi bir üçüncü şahıs, kurum ve kuruluşa hiçbir nedenden ötürü paylaşılmayacak ya da verilmeyecektir. Yasal düzenlemelerle bu bilgilerin açıklanmasını gerektiren bir durum tekâmül etmediği sürece hiçbir istisna ile bu bilgiler açıklanmayacaktır.
2. e-Devlet ve Güvenlik
Türksat A.Ş. ISO 27001 Bilgi güvenliği yönetim sistemi sertifikasına sahiptir ve düzenli olarak denetimlerden geçmektedir. Ek olarak, e-Devlet Kapısı için bağımsız güvenlik firmalarına güvenlik ve sızma testleri yaptırılmaktadır. Bu test sonuçlarında elde edilen bulgular ışığında gerekli önlemler alınmaktadır. e-Devlet Kapısı üzerinde sunulan tüm bilgiler anlık olarak ilgili kurumlardan alınmakta ve derlenerek vatandaşlarımıza sunulmaktadır. e-Devlet Kapısı sadece vatandaşın kimlik doğrulamasını yapmakta ve güvenli iletişim ağları üzerinden verinin sahibi olan kuruma ait sistemlerden bilgileri alarak vatandaşa göstermektedir. Her vatandaş sadece kendine ait bilgilere erişebilir. e-Devlet Kapısı üzerinden erişilebilen hizmetlere ait bilgilerin hepsi ilgili kamu kurumu tarafından sunulmaktadır. e-Devlet Kapısı sistemleri üzerinde bilgi tutulmadığı ve anlık olarak kurumlardan alınarak gösterildiği için kurumlar ve e-Devlet Kapısı sistemleri arasındaki veri trafiği mümkün olan en yüksek seviyede korunmaktadır. Verinin dışarı sızması, başkası tarafından dinlenmesi veya iletişim sırasında değiştirilmesi mümkün olmamaktadır. Bunlara ek olarak tüm sistem 7/24 esasına göre izlenmekte ve sıra dışı tüm olaylara hızlı bir şekilde müdahale edilmektedir. Bazı durumlarda Kurumların kendi verilerini sunarken veya diğer kurumlar ile paylaşırken aldıkları güvenlik önlemleri haricinde e-Devlet Kapısı tarafından da ek güvenlik önlemleri de alınabilmektedir.
3. E-Devlet Güvenlik Mimarisi
e-Devlet Kapısı hizmet almak isteyen vatandaşın kimlik doğrulamasını yaparak ve güvenli iletişim ağları üzerinden hizmet almak istediği kuruma ait sistemlerden vatandaşa ait veriyi alarak görüntülemektedir. Her vatandaş sadece kendine ait bilgilere erişebilir. e-Devlet Kapısı üzerinden erişilebilen hizmetlere ait bilgilerin hepsi ilgili kamu kurumu tarafından sunulmaktadır.
e-Devlet Kapısı sistemleri üzerinde bilgi tutulmadığı ve anlık olarak kurumlardan alınarak gösterildiği için kurumlar ve e-Devlet Kapısı sistemleri arasındaki veri trafiği mümkün olan en yüksek seviyede korunmaktadır. Verinin dışarı sızması, başkası tarafından dinlenmesi veya iletişim sırasında değiştirilmesi mümkün olmamaktadır.
Kurumların kendi verilerini sunarken veya diğer kurumlar ile paylaşırken aldıkları güvenlik önlemleri haricinde e-Devlet Kapısı tarafından da güvenlik önlemleri de alınmaktadır. TÜRKSAT A.Ş. e-devlet kapısı işletiminde ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), ISO 22301 İş Sürekliliği Yönetim Sistemi ve ISO 20000-1 Bilgi Teknolojileri Hizmet Yönetim Sistemi uygulamaktadır. TÜRKSAT içerisinde süreçler bilgi güvenliği ve alt politikaları çerçevesinde işletilmekte ve politikaların esaslarına uyum sağlamaktadır. BGYS ile ilgili olarak iç yapılanma tamamlanmış, süreçler oluşturulmuş, sistemin verimli çalışması düzenli olarak kontrol edilmekte ve uygulanmaktadır ve sürekli iyileştirme yapılmaktadır.
-
Varlık ve Risk Yönetimi
Veri merkezinde bulunan e-devlet kapısı ile ilgili tüm varlıkların envanteri tutulmakta, tüm varlıklar sahiplendirilmektedir. Ayrıca bu varlıklara yönelik risk analizi çalışması periyodik olarak yılda 2 defa yapılmakta ve yüksek çıkan riskler sürekli kabul edilebilir risk seviyesinin altına düşürülmeye çalışılmaktadır.
-
Bilgi Güvenliği Organizasyonu
e-Devlet Kapısı ile ilgili yazılım geliştirme, sistem yönetimi ve bilgi güvenliği ile ilgili roller ve sorumluluklar tanımlanmış, görevlerin ayrılığı prensibince çelişen rol ve sorumluluklar farklı kişilere atanmıştır.
Personelin uzaktan çalışmalarına yönelik SSL VPN bağlantısı etkin hale getirilmiş ve uzaktan bağlantılar şifreli olarak sağlanmaktadır. Sistemlere uzaktan bağlanan kullanıcıların bağlantı süreleri belirlenmekte ve bu süre sonunda bağlantı otomatik olarak kesilmektedir. -
İnsan Kaynakları Güvenliği
e-Devlet Kapısı için çalışan tüm personellerin güvenlik taramaları gerçekleştirilmekte, istihdamları buna göre sağlanmaktadır. Ayrıca tüm personel yıllık olarak bilgi güvenliği farkındalık eğitimi ve uzmanlık alanlarına göre teknik eğitim almaktadır. Görevi sonlanan veya görev yeri değiştirilen personeller içi erişim hakları anlık olarak düzenlenmekte ve varlıklar iade edilmektedir.
-
Erişim Güvenliği
e-Devlet Kapısı mimarisi çerçevesinde yazılım geliştirme ortamları, test ortamı ve canlı ortam ayrıştırılmış ve bu ortamlara erişim kontrollü sağlanmaktadır. Her bir tekil kullanıcı için ayrı erişimler onay mekanizması ile sağlanmakta ve periyodik olarak kontrol edilmektedir. Sistemler için minimum yetki prensibine göre yetkilendirme yapılmaktadır.
-
Kriptografi
e-Devlet kapısında tutulan log kayıtları zaman damgası ile damgalanarak saklanmakta ve bütünlüğü korunmaktadır. Web sitesi erişimi SSL protokolü ile şifrelenmekte ve anahtar yönetimi yapılmaktadır. Şifreler güçlü algoritmalar ile hashlenerek saklanmaktadır.
-
Fiziksel ve Çevresel Güvenlik
e-Devlet Kapısının bulunduğu Veri Merkezi’nin fiziksel ve çevresel güvenliği kampüs içerisinde TÜRKSAT güvenliği tarafından Nato Güvenlik standartlarına göre sağlanmaktadır. Kampüs güvenliği dikenli teller, kamera ve alarm sistemleri ve silahlı güvenlik personelleri tarafından sağlanmaktadır. Buna ek olarak veri merkezi güvenliğinde retina tarama, parmak izi gibi ilave güvenlik kontrolleri uygulanmaktadır. Ayrıca veri merkezine girişler sadece yetkilendirilmiş personel tarafından yapılmakta ve takip edilmektedir.
-
İşletim Güvenliği
İzleme
e-Devlet Kapısı sistemlerinin 7/24 takibi yapılmakta ve bunun için nöbetçi personel bulundurulmaktadır. Herhangi bir acil durumda, acil durum prosedürüne göre hareket edilerek karşılaşılan problem çözülmektedir.
Hizmet Yönetimi
Hizmet Yönetimi çerçevesinde çalışmalar ISO 20000-1 standardına göre yürütülmektedir. e-Devlet Kapısı kapsamında oluşan olay ve servis talepleri için hizmet seviye hedefleri belirlenmiştir. Tüm açılan kayıtlar bu hedefler çerçevesinde takip edilmektedir. Çözülemeyen kayıtlar problem kaydına dönüştürülerek çalışma yapılmaktadır. Sistemde yapılacak olan sürüm yükseltme ve değişiklikler onay mekanizmaları çerçevesinde planlı, risk çalışması yapılmış ve geri dönüş planları hazırlanarak gerçekleştirilmektedir. Hizmetler ile alakalı kapasite planları gerçekleştirilmekte ve müşteri memnuniyet ve şikâyetleri değerlendirilmektedir.
Yedekleme
e-Devlet Kapısı sistemlerinde bütün verilerin yedekleri hassasiyetlerine göre düzenli olarak yedeklenmektedir. Tüm kritik donanımlar (Firewall, Load Balancer, IPS/IDS vs.) yedekli ve failover olarak çalışılmaktadır. Ayrıca, kritik destek sistemleri (iklimlendirme, enerji vb.) de yine yedekli olarak çalıştırılmaktadır.
Kayıt Yönetimi
e-Devlet Kapısı’nda çalışan bütün uygulama ve sistemlerin kayıtları merkezi kayıt saklama sistemi tarafından tutulmakta ve tutulan kayıtların bütünlüğü zaman damgası ile korunmaktadır.
Güvenlik Testi ve Tetkikler
e-Devlet Kapısı’nda bulunan uygulama ve sistemler, düzenli aralıklarla sızma testi yapılarak test edilmekte ve test edilen açıklıklar ivedilikle giderilmektedir. Açıklıkların tespiti hem TÜRKSAT’ın kendi uzman personelleri tarafından hem de dışarıdan hizmet alımı olarak yapılmaktadır.
e-Devlet Kapısı’nda hem yönetimsel anlamda, hem de teknik anlamda yıllık olarak TÜRKSAT iç tetkiklerinden geçirilmekte ve tespit edilen hususlar düzenleyici faaliyetlerle giderilmektedir.
-
Ağ güvenliği
e-Devlet Kapısı bulunan ağlara erişim, erişim kontrol politikası esaslarına göre düzenlenmektedir. Erişim yönetimi temelinde e-Devlet Kapısı ağında tam ayrım uygulanmaktadır. Bu VLAN’lar firewall hizmeti ile güvenlik altına alınmaktadır. Misafir kullanıcılar TÜRKSAT ağında dâhil edilmemekte ve misafir ağını kullanmakta, erişim yetkileri yetkili kullanıcılar tarafından tanımlanmaktadır.
Kurum içinde güvenlik duvarları, IDS/IPS ve ddos koruma cihazları ile bağlantılar kontrollü bir şekilde sağlanmaktadır.
Internet servis sağlayıcı üzerinden Dağıtık Servis Dışı Bırakma saldırılarına karşı koruma ve aynı zamanda mevcut bant genişliğinin dolmasını engellemek için DDoS engelleme hizmeti alınmaktadır. Siber saldırılara karşı IPS/IDS (Saldırı tespit ve engelleme) hizmeti alınmaktadır. -
Sistem Temini, Geliştirme ve Bakımı
e-Devlet Kapısı için temin edilen veya geliştirilen sistemlerin kabulünde, sistem kabul testleri yapılmakta ve sistemlerin birbirine olumsuz etkisi olmadığı görüldükten sonra temini geçilmektedir. Veri merkezi bünyesinde herhangi bir yazılım geliştirme faaliyeti yapılmamaktadır.
-
Tedarikçi ilişkileri
e-Devlet Kapısı için tedarik edilen ürünlerde tedarikçi ile ilgili ilişkileri “TÜRKSAT tedarikçi ilişkileri bilgi güvenliği politikası” çerçevesinde düzenlenmiştir. Tedarikçilerle mutlak surette gizlilik anlaşmaları imzalanmakta ve tedarikçilerden kaynaklanabilecek problemlerde tazminat şartları belirtilmektedir. Tedarik edilen ürünler güvenlik taramasından geçirilmektedir.
-
Bilgi güvenliği ihlal olayı yönetimi
Bilgi güvenliği ihlal olay yönetimi, TÜRKSAT siber olaylara müdahale ekibi tarafından koordine edilmekte ve veri merkezinde gerçekleşebilecek ihlal olaylarına SOME tarafından müdahale edilmektedir.
-
İş sürekliliği yönetiminin bilgi güvenliği hususları
e-Devlet Kapısı’nda bilgi güvenliğinin iş sürekliliğine yönelik planları çerçevesinde düzenli aralıklarla süreklilik testleri yapılmaktadır. Herhangi bir felaket durumunda veri merkezi personelleri yapılması gereken işlemler konusunda hazır hale getirilmektedir.
-
Uyum
e-Devlet Kapısı ile ilgili olan uygulanabilir yasalar ve sözleşmeler tespit edilmiş olup, buradaki şartlara uyum sürekli olarak kontrol edilmektedir. Ayrıca veri merkezi bünyesinde TIER3 sertifikası alınması çalışmaları halen devam etmektedir. Veri merkezi işletilmesi kapsamında ISO 27001 ve ISO 20000 standartlarına uyum sağlanmış olup işletim bu çerçevede yapılmaktadır.
-
Yazılım Geliştirme Güvenliği
e-Devlet Kapısı için geliştirilen yazılımlar güvenli yazılım geliştirme döngüsü prensiplerine göre geliştirilmektedir. Girdi kontrolü, çıktı kontrolü, erişim, mesaj bütünlüğü esasları çerçevesinde geliştirilen yazılımlar periyodik kaynak kod güvenlik taramasından geçirilmektedir. Her bir servis devreye alınmadan önce fonksiyonel ve güvenlik testlerine tabi tutulmakta ayrıca; belli periyotlarda tüm sistem güvenlik testlerinden 2. ve 3. taraflarca geçirilmektedir.