Bilgi güvenliği, kişiye ait olan bilginin başkasının eline geçmemesini sağlamaktır. Bilginin güvenliği “gizlilik”, “bü­tünlük” ve “erişilebilirlik” olarak isimlendirilen üç ana un­surdan oluşmaktadır. Bu 3 ana unsurdan herhangi biri zarar görürse güvenlik zafiyeti oluşur.

Bilginin yetkisiz kişilerin eline geçmemesidir.

Bilginin yetkisiz kişiler tarafından değiştiril­memesidir.

Bilginin ilgili ya da yetkili kişilerce ulaşı­labilir ve kullanılabilir durumda olmasıdır.

Sistem, UYAP sistemine bağlanan her kullanıcıya teşhis ederek kul­lanıcı bazında kayıt tutabilme yeteneğine sahiptir. Bunun için her kullanıcının herhangi bir iş­lem yapmadan önce sisteme kendisini tanıtması zorunlu kılınarak kullanıcının kimliği ile kul­lanıcının kaydını tutabilmekte, bütün işlemlerini birbirine ilişkilendirebilecek kabiliyettedir.

Sistem, kayıt edilebilir olayların kayıtlarının yaratılmasını, idame­sini, analiz edilmesini ve yetkisiz değiştirme, erişim ve silmeye karşı korunmasını sağlaya­cak kabiliyettedir. Denetim kayıtları ve diğer bilgiler arasında ayrım sağlamakta, denetim kaydı verilerine sadece sistem yöneticisinin erişebilmesini sağlamakta ve izinsiz erişim­lerden korumaktadır. Kayıt işlemlerinin ve denetim kaydı verisinin normal kullanıcılar tarafından değiştirilebilmesini ve silinmesini engellemekte, seçilen bir veya birden fazla kişinin eylemleri ile ilgili kayıtların kişi bazında tutulmasını sağlamaktadır.

Sistem, sayısal imza ve mesaj özeti mekanizmalarını kullanarak kritik bilgiler izinsiz değiştirildiği ve silindiği zaman bunu tespit etmektedir. Virüs gibi izinsiz olarak sistemdeki verileri değiştirip, silinebilen zararlı kodları tespit edip yok ede­cek kabiliyette tasarlanmıştır.

Sistem, sayısal imza ve kim­lik doğrulama servislerini desteklemek üzere kurulmuş olan Açık Anahtar Altyapısı (ör­neğin; kullanıcı anahtarlarının ve sertifikalarının yaratılması, güncellenmesi, iptal edil­mesi) için sertifikasyon yetkilisi yazılımı ile Açık Anahtar Altyapısı istemci yazılımlarını kullanmaktadır.

Anahtar yönetimi, sistemdeki her gerekli birim için aşağıda belirtilen işlev­leri karşılamaktadır.

1. Anahtar Yönetimi
2. Anahtar Dağıtımı
3. Anahtar Doğrulanması Anahtar İptal Edilmesi
4. Anahtar Süresinin Bitirilmesi
5. Anahtar Bildirimi
6. Anahtar Kimlik Doğrulaması

Açık anahtar altyapısı istemcisi ise kullanıcı adına sertifikasyon yetkilisi tarafından sağlanan Açık Anahtar Altyapısı servislerini doğrudan kullanarak gerekli işlemlerin yeri­ne getirilmesini sağlamaktadır.

Sistem, belirlenmiş kullanıcılar ve uygulamalar için emniyetli mesaj servisini sağlamakta, belirlenmiş kullanıcılar tarafından gönderilen mesajların veya hazırlanan dokümanların içeriğinin yazılım olarak şifrelenmesini temin etmektedir. Sistem belirlenmiş kullanıcılar tarafından gönderilen mesajların veya hazırla­nan dokümanların sahibinin kimliğinin doğrulanması için sayısal olarak imzalanmasını, mesajın ya da dokümanın sayısal imzanın doğrulanarak mesaj veya doküman sahibinin kim olduğunun teşhisini ve doğruluğunun kanıtlanmasını sağlamaktadır.

Sistemin ağ güvenliği, her lokasyonun çıkışında tüm bağlantıları kont­rol eden güvenlik duvarı yazılımı (Firewall) ile sağlanmaktadır.

Sisteme, İnternet gibi güvensiz ortamda herhangi bir noktadan erişildiğinde iletilen bilgilerin güvenliği için aşağıdaki koşullar sağlanmıştır.

1. Sunucu ve kullanıcının birbirlerinin kimliğini doğrulaması,
2. Kullanıcının ağ üzerinde bağlantı kurduğu sunucunun DNS adresinin ve isminin sertifikalar yoluyla doğrulanması,
3. Sunucu ve istemci arasında kurulan bağlantının kriptolanması, veri bütünlüğünün sağlanması ve anahtarların değiştirilmesi,
4. Sunucu ve kullancı arasındaki veri alışverişinin güvenliği için SSL ( Secure Socket Layer) protokolü kullanılmaktadır.

Başka hiçbir kamu kurumunda olmayan bir birimdir. Dışarıdan veya içeriden gelebile­cek siber tehditlerin önlenebilmesini sağlamak amacıyla UYAP Bilişim Sistemi açıklarını araştırmak ve kapatılmasını sağlamaktan sorumludur.

UYAP Bilgi Sistemi kendisine ait müstakil bir binada hizmet vermektedir. Bina özel gü­venlik alanı olarak ilan edilmiş ve 7/24 güvenlik elemanlarınca korunmaktadır.

UYAP Bilgi Sistemleri içerisinde iç ve dış tehditlere karşı dünyaca kabul görmüş “Bilişim Güvenliği Teknolojileri” ile korunmaktadır.

Her bir sistem kendisi içerisinde ayrıca daha önce belirlenen güvenlik politikalarına uygun olarak konfigüre edilmiştir.

UYAP iç güvenlik sistemi  Bilgi Sistemi Aktive Directory (Aktif Dizin) Servisinden faydalanarak çalışır.

• Aktif dizin, Windows platformunda çalışan sistemlerde kullanılan servistir. Net­work üzerindeki nesneler (kullanıcı, kullanıcı grupları, bilgisayarlar, organizasyo­nel birimler vs.) hakkındaki bilgilerinin kayıtlı olduğu yerdir. Aktif dizine tanıtıl­mamış kullanıcı kurumun Bilişim Sisteminden faydalanamaz.
• Bilişim Sisteminde uyulması gereken temel güvenlik kurallarının merkezden belir­lenebilmesini sağlamaktadır.
• Merkezden belirlenen temel güvenlik kurallarına bütün kullanıcılar tarafından uyulduğunu garanti etmektedir.

• Kullanıcı olabilmek için Personel Genel Müdürlüğü kayıtlarında bulunmak gerek­mektedir.
• Sisteme giriş için bir “kullanıcı adı” ve “parola”ya ihtiyaç vardır. Parola Bilgi İşlem Dairesi Başkanlığı tarafından verilir. Kullanıcı tarafından sonradan değiştirilebilir.
• Uygulama Yazılımının çalıştırabilmesi için de ayrıca bir parolaya sahip olunması gerekir. Bu parola da Bilgi İşlem Dairesi Başkanlığı tarafından verilir ve ilk kullanı­mında kullanıcı tarafından değiştirilmesi zorunluluğu vardır.
• Uygulama Yazılımı da kendi içinde yetki temelli olarak çalışmaktadır. Üstelik yetki unvan, birim ve yer bazında belirlenebilir. Örneğin, Uygulama Yazılımı bir zabıt kâtibinin kullanıcı adı ve şifresi ile çalıştırıldığında kullanıcı sadece o zabıt kâtibinin görevli olduğu yerdeki, görevli olduğu mahkemede bulunan dosyaları görebilir ve sadece bu dosyalarda bir zabıt kâtibinin gerçekleştirebileceği işlemleri yapabilir. (Özel önemi olan yetkileri Bilgi İşlem Dairesi Başkanlığı değil ilgili birim verir. Örneğin teftiş yetkisini Teftiş Kurulu Başkanlığı, gizli sicil görme yetkisini Personel Genel Müdürlüğü verir gibi.)

UYAP Bilgi Sistemini kullanan kullanıcıların sistem üzerindeki hareketleri Kul­lanıcı Adı, Bilgisayar Adı, Mac Adresi, IP numarası, Tarih-Saat, Ekran, Değişiklik bazında kayıt altına alınmaktadır.

UYAP sistemi dış tehditlere karşı üstünlüğü ve etkinliği dünyaca kabul görmüş “Bilişim Güvenliği Teknolojileri” ile korunmaktadır. Dış güvenlik kapsamında aşağıdaki güvenlik tedbirleri mevcuttur:

• İntranet: UYAP kendi iç network (İnternet ağı) içinde çalışmaktadır.
• Noktadan Noktaya VPN (Virtual Private Network): Taşra birimleri UYAP’a İnter­net üzerinden erişir ama bu erişimi kendileri için özel olarak oluşturulmuş bir tü­nel içinden geçerek yaptıkları için talep ettikleri veya gönderdikleri bilgileri diğer İnternet kullanıcıları göremez.
• Firewall: İletişim trafiği Güvenlik Duvarları kontrolündedir. Tanımlanan kurallar basit ve etkilidir: “A,B,C trafiğine izin ver, bunlar dışındakilerin hepsini yasakla!”
• IDS (Saldırı Tespit Sistemi) ve IPS (Saldırı Önleme Sistemi) modüllerine sahiptir.
• NAT (Network Address Translation): Kullanıcı ve sunucuların gerçek IP’leri dışa­rıdan görülmüyor.
• Proxy (İçerik Denetimi): Kullanıcıların erişimi tek bir İnternet çıkışı üzerinden olduğu için kontrolü ve denetimi kolay ve ayrıca güvenlidir.

Kurumların İnternet veya özel iletişim hatları üzerinden akan verilerinin güvenliğinin sağ­lanması amacıyla kullanılabilecek pek çok teknoloji bulunsa da yalnız teknolojik önlem­lerle (anti-virüs, firewall sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama imkânı yoktur. Ayrıca bilgi güvenliğini tehdit eden unsurlar sadece elektronik ortamda ya­pılan saldırılarla sınırlı değildir. Yangın, sel, deprem vb. doğal afetler veya kullanıcı hataları sonucunda da bilgiler ve bilgi sistemleri tamamen ya da kısmen zarar görebilmektedir.

Vazgeçilmez ve önemli bilgi sistemlerinin korunabilmesi, iş risklerinin en aza indir­genmesi ve iş sürekliliğinin sağlanması ancak bütünsel yaklaşımlar ile mümkündür. Tüm bunlardan çıkan sonuç bilgi güvenliğinin bir teknoloji sorunu olmadığı, bunun bir iş yö­netimi sorunu olduğudur.

İşte bu nedenlerle “Kurumsal Bilgi Güvenliği” kavramı altında bir yönetim sistemi oluşturma yönünde yapılan çalışmalar 1993 yılında BS 7799 standardını, 2000 yılında ISO/IEC 17799 standardını ve 2006 yılında ISO/IEC 27001 standardını ortaya çıkarmıştır. Kısaca ISMS (Information Security Management System)/BGYS (Bilgi Güvenliği Yöne­tim Sistemi) olarak adlandırılan bu yeni yönetim sistemi standardı “bilgilerin” her türlü ortamda (kâğıt üzerinde, elektronik ortamda, yazılı ve sözlü iletişimde vb.) güvenliğini sağlamak için öngörülen yönetsel çerçeveleri oluşturur ve bilgi güvenliğini kurumsal sü­reçlerin bir parçası (iş anlayışı, yönetim ve kültür sorunu) hâline getirir.

Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının müm­kün olmadığı, bunun yanı sıra BGYS (Bilgi Güvenliği Yönetim Sistemi) gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır.

BGYS’nin sağlayacağı faydalar ana hatları itibariyle şunlardır:

• Kurum çalışanlarının, kurumdan hizmet alan kişi ve kuruluşların ve iş ortaklarının, bilgi sistemi kaynaklarını kötü amaçlı olarak kullanmalarının engellenmesini sağlamak,
• Tehdit ve risklerin belirlenmesini ve etkin bir risk yönetimini sağlamak,
• Her hangi bir güvenlik ihlalinin engellenecek olması nedeniyle ortaya çıkabilecek yüksek maliyetlerden kurtulmayı sağlamak,
• İş sürekliliğini sağlamak,
• Kurum çalışanlarının güvenlik konusundaki farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesini sağlamak,
• Bilgi güvenliğinin dikkate alındığını, gerekli bilgi güvenliği adımların uygulandığını ve kontrollerin yapıldığı yani tüm seviyelerde bilgi güvenliğinin sağlandığını göstermek,
• Bilgi sistemlerinin güvenli olduğu konusunda çalışanlara ve iş ortaklarına kendile­rinin güvende olduklarını hissettirmek,
• Kurumsal prestijin korunmasını ve artışını sağlamaktır.

Bu büyüklükte bir sistemde en önemli sıkıntı, merkezi kontrol ve yetkisiz erişimlerin de­netlenmesi ve kontrol altında tutulmasıdır. Söz konusu kontrolün sağlanması için,

• Ana ve Yedek bağlantılar Uç birim ve Merkezde kullanılan router cihazları ile temel olarak performans, süreklilik ve üst düzey güvenlik prensipleri esas alına­rak iletişimin sağlandığı Wan ortamındaki trafik DMVPN (Dinamik Multipoint VPN) yapısı içerisinde uluslararası otoritelerce kabul edilen en üst düzey yöntem ve kripto algoritmalarıyla şifrelenmekte, özel olarak crypto authentication üretilen özel sertifika ile sağlanmakta,
• Uç birim router cihazlarında uygulanan Access-List ler ile birim kullanıcılarının yalnızca belirli adreslerle iletişimine izin verilmekte ve kontrolsüz erişimler engel­lenerek izinsiz girişimler loglanmakta,
• Aynı şekilde UYAP Sistem Merkezinde birim kullanıcılarına dair iletişim tekrar ve detaylı olarak firewall kontrolünden geçmekte, izinsiz erişimler engellenerek loglanmakta,
• İzinli erişimler arasında atak vb. unsurlar için tüm trafik IPS kontrolünden geçerek engellenmekte ve loglanmakta,
• Birim lokal networkündeki iletişim ile ilgili trafik akışları düzenli olarak gözlen­mekte, izinli erişimler içerisinde yer alan olumsuz hareketler tespit edilerek müda­hale edilmekte,
• Qos uygulanarak merkezden sağlanan servisler ve bu servisleri sunan sunuculara dair trafik sınıflandırılmakta, sınıflandırılan her bir trafik için farklı bir policy uy­gulanmakta, herhangi bir servise dair trafiğin anormal seyri engellenmekte,
• Tüm Router cihazlarında güncel ve en uygun Ios/Firmware versiyonları kullanıl­makta, bu cihazlar üzerinde güvenlik açığına neden olabilecek servisler ve tanım­lamalar (CDP (Cisco Discovery Protocol), proxy-arp, redirection (Yönlendirme) vb) kullanılmamakta,
• Router cihazlarına erişim yalnızca şifreli olarak SSH (Secure Shell/Güvenli Kabuk) protokolü ile ve yalnızca belirli adreslere sahip kişiler tarafından sağlanmakta diğer erişimler engellenmekte ve loglanmakta,
• Yine router cihazlarına erişim hakkı TACACS (Terminal Access Controller Access Control System) servisi ile sağlanmakta, cihazlar üzerindeki hak ve tanımlama yet­kileri kullanıcı seviyelerine göre belirlenmekte, cihazlar üzerindeki tüm işlem ve hareketler loglanmakta,
• Yine SNMP (Simple Network Management Protocol - Basit Ağ Yönetim Proto­kolü) erişimleri yetkili ve yetkisiz seviyeler için sınıflandırılmakta, bu erişimlerin yalnızca belirli adresler üzerinden sağlanmasına izin verilmekte, izin verilmeyen ve engellenen tüm girişimler loglanmaktadır.

• Parola seçimine önem verilmelidir.
• Parolanız kesinlikle “adalet” olmamalıdır.
• Parolanız kesinlikle eş, çocuk veya herhangi bir yakın akrabanın adı, doğum tarihi, araba plakası, doğum yeri vs. gibi tahmin edilebilir bilgilerden oluşturulmamalıdır.
• Parolanız kesinlikle herhangi bir Türkçe veya yabancı dil sözlüklerinde bulunan “anlamlı bir kelime” veya anlamlı bir kelimeden türetilmiş bir kelime veya özel isim olmamalıdır. (Örnek: Kayserili, Kayserilimisin, Diana, Superman, Galatasaray vs.)
• Uluslararası kabul görmüş ve güvenli sayılan parola; büyük harf, küçük harf, ra­kam veya özel işaretlerin en az üçünün birlikte kullanıldığı ve en az 7 haneden oluşan paroladır. (Örnek: At@TuRk, K1r$eH1R)
• Belirli aralıklarla mutlaka değiştirilmelidir.
• Açıklanan kurallara uygun olarak oluşturulmamış bir parolanın kötü niyetli kişilerce ele geçirilme süresi saat ile değil dakika ve hatta saniye ile ölçülebilir bir süreçtir.
• Parola başkaları ile paylaşılmamalıdır. Parola paylaşımı ve güvenliğin sağlanma­sı konusunda ilgili yönetmeliğin (6/a) maddesinde açıklık getirilmiş, kullanıcılar temel kurallara uygun davranmakla sorumlu tutmuşlardır. Şöyle ki “Bütün kulla­nıcılar, mutlaka kendilerine ait “Kullanıcı Adı” ve “Şifre”sini kullanmalıdır. Kurum çalışanının kullanıcı adı ile yapılan işlerdeki tüm sorumluluk, kullanıcı adı kullanı­lan kurum çalışanına ait olacağından hiçbir kullanıcı kendi kullanıcı adı ve şifresi­ni başkaları ile paylaşamaz. Kendisi tarafından kullanılmakta iken çalışmaya geçici olarak ara verdiği durumlarda da başkası tarafından kullanılmaması için gereken önlemleri alacaktır.”

• Ulusal Yargı Ağının Adalet Bakanlığına bağlı tüm birimlerde yaygınlaşmasıyla bir­likte meydana gelen sorunlarda kullanıcının her zaman yanında olmak,
• Kullanıcının karşılaştığı ve tek başına çözemediği durumlarda her zaman arayaca­ğı bir pozisyonda bulunmak.
• Sistemdeki tüm kullanıcıların (e-posta sorunu, şifre verme/silme/değiştirme/.) teknik sorunlarını çözmek.
• Gelen bu talepler değerlendirilerek kullanıcıya ulaşma imkânı varsa telefonla bilgi vermek gerekli ise Türk Telekom (Avea) kurumsal hattı bulunan yerler aranarak konu hakkında açıklayıcı bilgi verilir, eğer Türk Telekom (Avea) hatlı telefon bil­dirilmemişse, gelen talebe uygun olarak üretilen çözüm yine Spectra üzerinden kullanıcıya iletmek.
• Telefonla gelen çağrıları karşılamak, arayan kişilere sistemle ilgili bilgilendirme yapmak.
• UYAP sistemine yönelik olarak gelen öneri ve istekler yine ilgili Uygulama ve Ge­liştirme Şubesi personeline aktarmak.
• Yardım Masasına telefonla gelen uygulama ile ilgili taleplerde kullanıcıya gerekli bilgiyi vermek ve sorunu en kısa sürede çözmek. Bunun yanında bundan sonraki sorunlarının çözümü için yardım masasını kullanması ve buradan talebini takip etmesi hususunda bilgi vermektir.

• UYAP yaygınlaştırma çalışmalarının sonuna gelinmesi ile birlikte Yardım Masası faaliyetlerinin taşra birimlerinde görevlendirilen uzman kullanıcılar yardımıyla yürütülmesi amacıyla taşra yardım masası birimlerinin kurulması ve bakanlık yar­dım masasının şubesi olarak görev yapmasının sağlanması.
• Spectra programının taşrada görevlendirilmiş bulunan uzman kullanıcıların da kullanımına açılması için gerekli altyapı ve program güncelleştirilmesinin ya­pılması.
• Kullanıcıların yardım masasını daha etkin kullanımının sağlanmasıdır.