Kamuda Emza EBelge ve EYazma Taner ERASLAN Deneti
Kamuda E-İmza, EBelge ve E-Yazışma Taner ERASLAN – İç Denetçi https: //facebook. com/mevzuatdoktoru/ teraslan 76@gmail. com
Logo İÇİNDEKİLER 1. Kavramsal Çerçeve 2. Uyumlaşma Süreci 3. Bilgi Kaynakları 4. Beklentiler
Logo RESMÎ YAZIŞMALARDA UYGULANACAK ESAS VE USULLER Tanımlar Bu Yönetmelikte geçen; a) Resmî yazı: Kamu kurum ve kuruluşlarının kendi aralarında veya gerçek ve tüzel kişilerle iletişimlerini sağlamak amacıyla yazılan yazı, resmî belge, resmî bilgi ve elektronik belgeyi, b) Resmî belge: Kamu kurum ve kuruluşlarının kendi aralarında veya gerçek ve tüzel kişilerle iletişimlerini sağlamak amacıyla oluşturdukları, gönderdikleri veya sakladıkları belirli bir standart ve içeriği olan belgeleri, c) Resmî bilgi: Kamu kurum ve kuruluşlarının kendi aralarında veya gerçek ve tüzel kişilerle iletişimleri sırasında metin, ses ve görüntü şeklinde oluşturdukları, gönderdikleri veya sakladıkları bilgileri,
Logo RESMÎ YAZIŞMALARDA UYGULANACAK ESAS VE USULLER d) Elektronik ortam: Belge ve bilgilerin üzerinde bulunduğu her türlü bilgisayarı, gezgin elektronik araçları, bilgi ve iletişim teknolojisi ürünlerini, e) Elektronik belge: Elektronik ortamda oluşturulan, gönderilen ve saklanan her türlü belgeyi, h) Güvenli elektronik imza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin ve imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzayı, ifade eder.
Logo RESMÎ YAZIŞMALARDA UYGULANACAK ESAS VE USULLER Kamu kurum ve kuruluşları arasında yazılı iletişim, kâğıt kullanılarak veya elektronik ortamda yapılır. Kâğıtla yapılan resmî yazışmalarda, daktilo veya bilgisayar kullanılır. Yazışmalar, yazının içeriğine ve ivedilik durumuna göre faks ile de gönderilebilir. Faksla yapılan yazışmalarda, yazıda belirtilen hususlarda hemen işlem yapılabilir, ancak bunların beş gün içerisinde resmî yazı ile teyidinin yapılması gerekir. Elektronik ortamdaki yazışmalar ilgili mevzuatta belirtilen güvenlik önlemlerine uyularak yapılır.
Logo RESMÎ YAZIŞMALARDA UYGULANACAK ESAS VE USULLER Elektronik ortamda yapılan yazışmalar bu ortamın özellikleri dikkate alınarak kaydedilir, dosyalanır ve ilgili yere iletilir. Gerekli durumlarda, gelen yazı kağıda dökülerek de işleme alınır. Her kurum kendisi ve gerektiğinde kurum içindeki birimler adına resmî elektronik posta (e-posta) adresi belirler. Bu adreslerin belirlenmesinde koordinasyon Başbakanlık tarafından yapılır. Elektronik ortamdaki resmî yazışmalar bu adresler arasında yapılır. Kamu kurum ve kuruluşları elektronik ortamda yapılacak yazışmalarda, bu Yönetmeliğe aykırı olmamak kaydıyla gerekli düzenlemeleri yapabilir.
Logo Elektronik İmza 5070 sayılı Kanun’daki tanım: “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” Yasal olmayan elektronik imzalar: v Kağıt üzerindeki imzanın elektronik ortama aktarılmasıyla oluşturulan resim v Ekrana atılan imza v Parmak izinin elektronik ortama aktarılması v vs. . 7
Logo v E-imza Nedir? • Nitelikli Elektronik Sertifika ve Elektronik Sertifika Hizmet Sağlayıcıları • E-imza Teknolojisi v E-imzaya Geçiş Süreci • Kurumun Yapması Gereken Çalışmalar Belirlemesi Gereken Politikalar • Belgenin E-imza ile İmzalanması Süreci • Kurumlar Arası E-imzalı Yazışma • E-mühür v E-imza Türleri v Kamu Sertifikasyon Merkezi (KSM) ve Elektronik Sertifika Başvurusu 8
Logo Elektronik İmza Neleri Sağlar? v – Bilgi bütünlüğü v – Kimlik doğrulama v – İnkar edilemezlik Elektronik imza, imza sahibinin kimliğini imzalanan veriyle ilişkilendirir ve imzalanan verinin değiştirilmediğini ispat eder. 9
Logo Elektronik İmza Neden Daha Güvenli? • İmza taklidini çok zor hale getiriyor • İmza oluşturma ve doğrulama işlemlerini, teknolojik araçların kullanıldığı süreçlere dönüştürüyor • İmzalanan verinin sonradan değiştirilmediğini ispata yarıyor 10
Logo Kullanılan Teknoloji v Açık Anahtarlı Altyapı Teknolojisi v Matematiksel şifreleme yöntemleri kullanılır. Şifreleme için büyük sayı dizilerinden oluşan 2 anahtar kullanılır. Özel anahtar (imza oluşturma verisi) n E-imzayı oluşturmak için kullanılır. n Sadece kişinin kendisinde bulunur. n Akıllı kart içinde saklanır ve bu araçtan dışarıya çıkarılamaz. Açık anahtar (imza doğrulama verisi) n E-imzayı doğrulamak için kullanılır. n Gizli olmayan, herkese açık bir veridir. 11
Logo Anahtarların Kullanım Amaçları v v Özel anahtar: Güvenli elektronik imza oluşturma amacıyla kullanılır. Başka bir amaç için kullanılmaz. Açık anahtar: Oluşturulan güvenli elektronik imzanın doğrulanması için kullanılır. Başka bir amaç için kullanılmaz. Elektronik Sertifikanın Geçerlilik Süresi v Anahtarların kriptografik açıdan güvenlik süresi: n 1024 -bit : 1 yıl n 2048 -bit : 10 yıl Geçerlilik süresi dolan elektronik sertifikaya ait özel anahtar imza oluşturma amaçlı kullanılmaz. Açık anahtar geçmişte oluşturulmuş imzaların doğrulanması için kullanılır. 12
Logo Elektronik Sertifikanın Yenilenmesi v Elektronik sertifikanın geçerlilik süresi dolduğunda (veya dolmasına yakın bir süre önce) ESHS’ye başvurulur ve kullanıcıya yeni bir sertifika üretilir. v Yenilemede imza sahibine yeni anahtar çiftleri üretilir. v Eski özel anahtar, sahibi tarafından imha edilmelidir. v Eski sertifika, geçmişte oluşturulmuş e-imzaların doğrulanması amaçlı arşivlenir. 13
Logo Elektronik Sertifikanın İptal Edilmesi v v v Geçerlilik süresi dolmadan özel anahtarın kullanımı engellenebilir. Özel anahtarın kullanımının engellendiği sertifikanın iptal edilmesi ile duyurulur. Sertifikanın iptal edildiği sertifikayı veren ESHS tarafından duyurulur. n n Sertifika İptal Listesi (SİL) OCSP (Online Certificate Status Protocol - Çevrimiçi Sertifika Durum Protokolü) 14
Logo Elektronik İmza Oluşturma İletişim kanalıve Doğrulama İmzayı atan taraf İmzayı doğrulayan taraf Hesaba 10 000 TL aktarıyorum ; +? (^!’ İmza Oluşturma Yazılımı Adı, soyadı ; +? (^!’ İmza Doğrulama Yazılımı • İmza doğrulandı • İmza doğrulanamadı • İmza doğrulama işlemi tamamlana 15
Logo E-imzaya Geçiş Süreci v Yazılım ve donanım altyapısının oluşturulması v İş süreçlerinin elektronik ortama aktarılarak uygulamalar geliştirilmesi v Uluslararası standartlara ve Türkiye’deki e-imza mevzuatına uygun eimza oluşturma ve doğrulama yapan yazılım kütüphanelerinin uygulamaya entegre edilmesi v E-imza ile ilgili kurum politikalarının belirlenmesi v E-imzanın uygulandığı sistemlerde güvenliğin sağlanması n Ağ güvenliği n Erişim hakları n İşlevlerin düzgünlüğü ve sürekliliği n Kayıtların tutulması n Yedekleme n Arşivleme n Felaket kurtarma 16
Logo Belgenin E-imza ile İmzalanması Süreci 17
Logo Belgenin E-imza ile İmzalanması Süreci 18
Logo Belgenin E-imza ile İmzalanması Süreci 19
Logo İmzalı Belgenin Metin Görüntüsü 20
Logo Kurumun Belirlemesi Gereken Politikalar v Elektronik olarak imzalanacak doküman tipleri belirlenmelidir. Doküman, imzanın güvenliğini tehlikeye düşürecek dinamik veri (program parçacığı) içermemelidir. v Paraf gerektiren yerlerde imzanın kullanılıp kullanılmayacağı belirlenmelidir. v Eklerin imzalanması konusu belirlenmelidir. v İmzalı belgelerin kaç yıl saklanacağı belirlenmelidir. • Uzun dönem saklanacak imzalı belgeler e-imza arşiv formatına çevrilerek saklanmalıdır. v İmza sahibine maddi yükümlülük getiren belge tipleri belirlenmeli, bu belgelerle ilgili uygulamada gerekli kontroller yapılmalıdır. 21
Logo Kurumlar Arası E-imzalı Yazışma 1. E-imzalı ortak yazışma paketi BAŞBAKANLIK İdareyi Geliştirme Başkanlığı: Resmî Yazışmalarda Uygulanacak Usul ve Esaslar Hakkında Yönetmelik KALKINMA BAKANLIĞI Bilgi Toplumu Dairesi: E- yazışma Teknik Rehberi (http: //www. e-yazisma. gov. tr/) v Üst yazı, ekler, üst veri elemanları ve e-imzayı barındıran paket yapısını tanımlamaktadır. v Paketin gizliliğini sağlamak amacıyla şifrelenmesinin nasıl yapılacağını tanımlamaktadır. v Pakete elektronik mühürün nasıl alınacağını tanımlamaktadır. (E-mühür henüz yasal olarak düzenlenmemiştir) 2. Paketin gönderimi (Kayıtlı e-posta sistemi- KEP) 22
Logo Başvuru Sürecinde Kurumun Belirlemesi Gereken Konular v Elektronik sertifika alacak kişilerin belirlenmesi v Kurum yetkilisi atanmalı v Gözetmen ihtiyacı belirlenmeli v Sertifika başvuru süreci ile ilgili raporları alacak kişilerin atanması v Kaç yıl geçerli sertifika alınacağı belirlenmeli (3 yıl, 5 yıl) v Teslimatların topluca kurum yetkilisine mi, kişiye mi yapılacağı belirlenmeli v Zaman damgası kontör ihtiyacı belirlenmeli v Niteliksiz sertifika (Log-in, VPN sertifikaları) ihtiyacı belirlenmeli v Akıllı kart okuyucu tipi belirlenmeli 23
Logo Elektronik İmzanın Özellikleri Elektronik imza kullanıcılarına aşağıda belirtilen üç temel özelliği sağlamaktadır: v Bilgi Bütünlüğü: Verinin izinsiz ya da yanlışlıkla değiştirilmesini, silinmesini ve veriye ekleme yapılmasını önlemek, v Kimlik Doğrulama ve Onaylama: Mesajın ve mesaj sahibinin iletiminin geçerliliğini sağlamak, v İnkar Edilemezlik: Bireylerin elektronik ortamda gerçekleştirdikleri işlemleri inkar etmelerini önlemek. 24
Logo Elektronik İmza Neden Daha Güvenli? • İmzalanan veriyi kimin imzaladığını kanıtlıyor • İmza atacak kişinin kimlik doğrulaması güvenilir sertifika hizmet sağlayıcıları tarafından sertifika verilirken yapılıyor 25
Logo 26 Kaynak: TUBİTAK-UEKAE
Logo Elektronik imzanın hukuki sonuçları nedir? Elektronik İmza Kanunu’nda; güvenli elektronik imza, elle atılan imzaya eşdeğer kabul edilmiş ve elektronik imza ile oluşturulmuş verilerin senet hükmünde olacağı belirtilmiştir. Ancak kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinin güvenli elektronik imza ile gerçekleştirilemeyeceği hükme bağlanmıştır. 27
Logo Elektronik imzanın hukuki sonuçları nedir? Kanunların merasimi ya da üçüncü tarafların şahitliğini gerek gördüğü emlak alım satımı, veraset ve intikal, evlenme gibi işlemler elektronik imza ile gerçekleştirilememektedir. 28
Logo E-İMZA NASIL ÇALIŞIR? v Göndericinin belgenin hashini kendi özel anahtarı ile şifrelemesiyle sayısal imza yaratılır. v Sayısal imza mesaja ve özel anahtara özgü olduğundan, değişmesi mümkün değildir. v Sonra, yaratılan bu imza belgeye eklenir ve gönderenin açık anahtarı ile birlikte alıcıya gönderilir. Alıcı belgeden hashi tekrar yaratır ve genel anahtarla hashin şifresini çözer. v Hashler aynıysa, belgeyi gönderenin yetkinliği ve belgenin doğruluğu onaylanmıştır. v Bu alışveriş sırasında elektronik sertifika kullanılıyorsa, ayrıca göndericinin kimliği sertifika ile onaylanır ve belgenin bir kopyası onay makamınca (CA) alınır. 29
Logo 30
Logo ÖZEL ANAHTARIN KORUNMASI Özel anahtarın kullanıcının bilgisayarında bir parola ile korunması ile sağlanabilir; ancak bunun iki dezavantajı vardır. Kullanıcı başka bir bilgisayarda belge imzalayamaz ve bilgisayarın güvenliği ile özel anahtarın güvenliği birdir. Bu sorunları aşmak için özel anahtarlar akıllı kart (smart card) denen minik cihazlarda saklanır. Cihazın pin kodu girildikten sonra, hashin şifresinin çözülmesi bu cihazda yapılır. Akıllı kart çalınırsa, birincisi kullanıcı bunu daha kolay fark eder, ikincisi de gizli anahtarı ele geçirmek için hala bir parolaya ihtiyaç vardır. İlaveten, bu parolanın keyloggerlara karşı korunması için bazı akıllı kartların kendi ayrı sayısal klavyeleri vardır. 31
Logo 32 Kaynak: TUBİTAK-UEKAE
Logo “Güvenli Elektronik İmza” nasıl temin edilebilir ? Güvenli Elektronik İmza ancak Nitelikli Elektronik Sertifika ile sağlanabilir. Nitelikli Elektronik Sertifika almak için başvurulabilecek yerler olan Elektronik Sertifika Hizmet Sağlayıcıları Bilgi Teknolojileri ve İletişim Kurumu’nun Internet sayfasında yayımlanmaktadır. 33
Logo 34 Kaynak: Bilgi Teknolojileri ve İletişim Kurumu
Logo Elektronik sertifika hizmet sağlayıcısı kimdir? Ne yapar? Elektronik sertifika hizmet sağlayıcısı 5070 sayılı Kanununa göre; “Elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. ” Kullanıcılar için sertifika yayımlar, sertifika durum bilgilerini güncel tutar ve sertifika iptal listeleri hazırlar, güncel sertifikaları ve sertifika iptal listelerini isteyen kişilere sunar, süresi dolan ya da iptal edilen sertifikaların arşivini tutar. 35
Logo Elektronik Sertifika Hizmet Sağlayıcısının (ESHS) yükümlülükleri nedir ? Elektronik Sertifika Hizmet Sağlayıcısı; v Güvenli ürün ve sistemleri kullanmak, v Hizmeti güvenilir biçimde yürütmek, v Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri alma ile ilgili şartları sağlamakla yükümlüdür. 36
Logo E-İmzayı Nasıl Kullanabilirim? Elektronik imzanızı çalıştırabilmeniz için öncelikle kart sürücü yazılımını kurmanız gerekmektedir. Bu yazılım elektronik imza ile beraber gönderilen CD veya diğer medyalar içerisinde bulunabilir veya e-imzanızı aldığınız firmanın internet sitesinden edinilebilir. Bilgisayarınıza kurulan program ile elektronik sertifikanıza giriş gerçekleştirebiliyorsanız sertifikanız kullanıma hazırdır. 37
Logo Elektronik İmzanın Uygulama Alanları Elektronik imzanın; bankalar ve finans kurumları, şube ağına sahip sigorta şirketleri, kamu kurum ve kuruluşları, holdingler ve diğer büyük şirketler, üniversiteler, yüksek iletişim ve bilgi güvenliği gereksinimi olan organizasyonlar başta olmak üzere orta ve uzun vadede yaygın bir uygulama alanı bulabileceği değerlendirilmektedir. Kamusal Alandaki Uygulamalar - Her türlü başvurular (ÖSS, KPSS, LES, pasaport vb) - Kurumlararası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vb) - Sosyal güvenlik uygulamaları - Sağlık uygulamaları (Sağlık personeli - hastaneler - eczaneler) - Vergi ödemeleri - Elektronik oy verme işlemleri 38
Logo KAMUDA E- YAZIŞMA 58. Hükümet tarafından hazırlanan Acil Eylem Planı'nda e. Dönüşüm Türkiye Projesi'ne yer verilmiş, söz konusu projenin koordinasyonu, izlenmesi, değerlendirilmesi ve yönlendirilmesi ile ilgili olarak DPT Müsteşarlığı görevlendirilmiştir. Ayrıca, 27 Şubat 2003 tarihinde yayımlanan 2003/12 sayılı Başbakanlık Genelgesi ile e-Dönüşüm Türkiye Projesi'nin amaçları, kurumsal yapısı ve uygulama esasları belirlenmiştir. e-Dönüşüm Türkiye Projesi'nin koordinasyonunu yürütmek, kamu kurumlarının bilgi ve iletişim teknolojisi yatırımları arasında eşgüdüm sağlamak ve bilgi toplumu olma yolunda atılması gereken adımlara ilişkin stratejileri belirlemek üzere 2003 yılı Mart ayında DPT bünyesinde Bilgi Toplumu Dairesi (BTD) kurulmuştur. 39
Logo
Logo
Logo
Logo
Logo
Logo
- Slides: 45