TÜRKİYE DE KAMU KURUMLARININ ELEKTRONİK İMZA ALT YAPI VE UYGULAMALARININ DEĞERLENDİRİLMESİ



Benzer belgeler
Türkiye de Kamu Kurumlarının Elektronik İmza Alt Yapı ve Uygulamalarının Değerlendirilmesi

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312)

İNTERNET SİTESİ YÜKÜMLÜLÜĞÜNE TABİ ŞİRKETLERİN VEYA MTHS LERİN ALACAKLARI TEKNİK RAPORDA YER ALMASI GEREKEN TEKNİK KRİTERLER REHBERİ

E-İmza Oluşturma ve Doğrulama

ELEKTRONİK İMZA OLUŞTURMA VE DOĞRULAMA STANDARTLARI

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ BİRİNCİ BÖLÜM. Genel Hükümler

Kamuda Elektronik İmza Uygulamaları

Kamu Sertifikasyon Merkezi

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0

ITMS DAYS Information Technologies Management Systems Days

ELEKTRONĠK ĠMZA ĠLE ĠLGĠLĠ SÜREÇLERE VE TEKNĠK KRĠTERLERE ĠLĠġKĠN TEBLĠĞ

e-defter Hakkında Uygulayıcılara Notlar

ELEKTRONİK ARŞİV BAŞVURU KILAVUZU

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

ELEKTRONİK ARŞİV BAŞVURU KILAVUZU

E-İMZA UYGULAMASI KONTROL LİSTESİ

ELEKTRONĠK ARġĠV BAġVURU KILAVUZU

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

Türkiye'de E':'İmza Altyapısı ve Kamu. Kurumlarında Uygulamalar*

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

E-DEVLET UYGULAMALARI İÇİN ELEKTRONİK İMZA FORMATLARI

LOGO DA E-DEFTER VE E-FATURA UYGULAMALARI. Serdar TEKİN Ürün Uzmanı

Elektronik Đmza ve Güvenlik

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

Bankacılık İşlemlerinde Güvenli Elektronik İmza Kullanımı. Taner Kerman. Philip Morris SA Finans Direktörü Yönetim Kurulu Üyesi.

KAPSAM YEMİNLİ MALİ MÜŞAVİRLİK LTD. ŞTİ.

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

LOGO e-defter Uygulaması

E-DÖNÜŞÜM M UYGULAMALARI: GÜVENLİK K SORUNLARI VE ÇÖZÜM ÖNERİLERİ

e-lift e-devlet Çözümleri

ERTÜRK YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM A.Ş. SİRKÜLER 2014/85

DARÜŞŞAFAKA CEMİYETİ HOTSPOT İNTERNET ERİŞİMİ YAZILIM VE DONANIM ALTYAPISI KURULUMU VE BAKIM HİZMETİ TEKNİK ŞARTNAMESİ

Kurumsal bilgiye hızlı ve kolay erişim Bütünleşik Belge Yönetimi ve İş Akış Sistemi içinde belgeler, Türkçe ve İngilizce metin arama desteği ile içeri

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

Mobil Elektronik İmza İşlemi Kullanıcı Kılavuzu

ELEKTRONİK İMZA BAŞVURU SÜRECİ

Mali Mühür. Mesut ŞENEL / Serbest Muhasebeci Mali Müşavir. İSTANBUL İkitelli KOSGEB 15 Ekim 2015

T.C. KUZEY ANADOLU KALKINMA AJANSI. Elektronik Yazışma ve Belge Yönetim Sistemi Yönergesi

Elektronik Belge Yönetim Sistemi Kullanım Kılavuzu

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

Proceedings/Bildiriler Kitabı I. G G. kurumlardan ve devletten hizmet beklentileri de September /Eylül 2013 Ankara / TURKEY

E-İMZA KULLANIM REHBERİ

Yazılım-donanım destek birimi bulunmalıdır.

w w w. a n k a r a b t. c o m

Bütünleşik e-kurum Sistemleri ve Kurumsal Yapılanmalara Yansıması: Ankara Üniversitesi e-beyas Uygulaması ve Kurumsal Yapılanma

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

ELEKTRONİK ARŞİV BAŞVURU KILAVUZU

T.C. MİLLİ EĞİTİM BAKANLIĞI BALIKESİR / BANDIRMA İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ. Büro Yönetimi ve Resmi Yazışma Kuralları Kursu

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

E-FATURA UYGULAMASINDA DİKKAT EDİLMESİ GEREKEN HUSUSLAR

FEF LİSANS PROGRAMLARI DEĞERLENDİRME ÖLÇÜTLERİ

KAYITLI ELEKTRONİK POSTA (KEP) yasal ve güvenli e-posta

denetim mali müşavirlik hizmetleri

TÜRKİYE İLAÇ VE TIBBİ CİHAZ KURUMU (TİTCK) ELEKTRONİK SÜREÇ YÖNETİM (ESY) PROJESİ ELEKTRONİK BAŞVURU KULLANICI KILAVUZU

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü

E- FATURA UYGULAMASI BAŞVURU

CELAL BAYAR ÜNİVERSİTESİ ELEKTRONİK BELGE YÖNETİM SİSTEMİ EK-YARDIM DOKÜMANI

ÖZ DEĞERLENDİRME SORU LİSTESİ

DEVLET PLANLAMA TEŞKİLATI BİLGİ TOPLUMU DAİRESİ BAŞKANLIĞI. e-yazışma Projesi. Paket Yapısı

Tüm personel kendi KEP hesapları üzerinden mevcut ve önceki maaş bordrolarını görüntüleyebilecektir.

ISLAK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

e-yazışma Projesi TBD Kamu-BİB Aylık Bilgilendirme Toplantısı

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır.

Sayı : 2014 / 197 Konu: Bilgilendirme 26 Ağustos 2014

Türkiye de E-devlet ve E-imza Uygulamaları: E-belge Yönetimi Açısından Bir Değerlendirme Denemesi ESİN ALTIN

Üniversite Yerleşkelerinde İletişim Gereksinimi ve Bir Çözüm Önerisi

NES (Nitelikli Elektronik Sertifika) Talep Kılavuzu

ULUSAL GRID ÇALIŞTAYI 2005

E-İMZA & KEP-Kayıtlı Elektronik Posta Sunumu

ISLAK İMZALI BAŞVURU ARAYÜZÜ TALİMATI

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

İSG Yönetim Sistemi Prensipleri

3. ELEKTRONİK BELGE YÖNETİMİ. Öğretim Görevlisi Meral GÜNEŞ ERGİN

SERA GAZI EMİSYON AZALTIMI SAĞLAYAN PROJELERE İLİŞKİN SİCİL İŞLEMLERİ TEBLİĞİ

Yabancı Bölgeye İhracat e-fatura Gönderimi

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2011)

Unvan Değişikliğinde Ne Yapılması Gerekiyor?

Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu

e-defter Uygulaması Başvuru Kılavuzu Versiyon 2.0 Ağustos 2014 ANKARA e-defter Uygulaması Başvuru Kılavuzu Ağustos 2014 Versiyon : 2.

BATMAN ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

2004/21 SAYILI BAŞBAKANLIK GENELGESİ

T.C KAYMAKAMLIĞI.. Anadolu Lisesi Müdürlüğü ÖĞRETMEN/ÖĞRENCİYE TABLET TESLİM T U T A N A ĞI

e-fatura UYGULAMASI (Başvuru Kılavuzu) Ağustos 2013 ANKARA e-fatura Uygulaması Başvuru Kılavuzu Ağustos 2013 Versiyon : 1.3 1/9

HAKKARİ ÜNİVERSİTESİ Bilgi İşlem Daire Başkanlığı Hizmet Envanteri Tablosu Hizmetin Sunum Sürecinde. Hizmetin Dayanağı Mevzuatın Adı

YEŞİL HAVAALANI PROJESİ SERA GAZI KRİTERLERİ DOKÜMANI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

Komisyon 7 Özel Eğitim Komisyonu Kararları

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ

AMASYA ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

ULUSAL GRID ÇALIŞTAYI 2005

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

DEVLET DESTEKLERİ BAŞVURULARINDA KEP

TAKASNET SİSTEM KATILIM KURALLARI

MÜCAHİT MUTLUGÜN

UDOS TA DEĞİŞİKLİKLER

DEVLET DESTEKLERİ BAŞVURULARINDA KEP

e-müstahsil Makbuzu Nedir?

Transkript:

TÜRKİYE DE KAMU KURUMLARININ ELEKTRONİK İMZA ALT YAPI VE UYGULAMALARININ DEĞERLENDİRİLMESİ Doç. Dr. Türksel Kaya Bensghir, Öğretim Üyesi TODAİE, 1. Cd. No.8 Yücetepe Ankara tkaya@todaie.gov.tr Ferda Topcan, Elektrik-Elektronik Yük. Mühendisi TÜBİTAK UEKAE KSM Atatürk Blv. No: 211 Kavaklıdere Ankara ferdat@uekae.tubitak.gov.tr ÖZET: Bu bildiride, Kamu Sertifikasyon Merkezi ne (KSM) başvuruda bulunan kamu kurumlarının elektronik imza konusunda yaptıkları çalışmalar temel alınarak, Türkiye de kamu kurumlarının elektronik imza alt yapısı ve kullanımlarına ilişkin genel bir değerlendirme yapılmaktadır. Bu kapsamda, ülkemizde kamu kurumlarının elektronik imzaya geçiş sürecinde geldiği aşamalar, karşılaşılaşılan sorunlar ele alınmış ve bu sorunlara çözüm önerileri getirilmiştir. Ayrıca, kamu kurumlarının elektronik imza kullanımına ihtiyaç duyduğu alanlar ve bu ihtiyacı karşılamak üzere yapılan çalışmalara da yer verilmiştir. Bu bildiri çerçevesinde, kamu kurumlarının elektronik imzaya geçiş sürecinden elde edilecek bulguların, elektronik imzanının ülkemizin diğer tüm alanlarında yaygın kullanımına yönelik politika geliştirmede önemli ip uçları sunması hedeflenmektedir. ANAHTAR KELİMELER: Elektronik imza, kamu kesimi, Kamu Sertifikasyon Merkezi, KSM, Türkiye. SUBJECT OF THE PAPER THE EVALUATION OF ELECTRONIC SIGNATURE INFRASTRUCTURE AND APPLICATIONS IN TURKISH PUBLIC ORGANIZATION ABSTRACT: In this paper, a general evaluation of electronic signature infrastructure and applications in Turkish public organizations is made. This evaluation is based on the digital signature activities performed by the government agencies which applied to the Public Certification Services. The stages of adapting electronic signature for the applications, the problems that are faced and the solutions of these problems are discussed. The areas that public organizations need electronic signature adaptation, the remedies to provide solutions for these needs are presented. In this paper s framework, the intention is to present the findings that will be obtained from the electronic signature adaptation process in government agencies. These findings provide important clues in order to develop necessary policies for the widespread usage of electronic signatures in the other areas of Turkey. KEYWORDS: Electronic signature, public sector, Public Certification Services, PCS, Turkey. 1. Giriş Bu bildiride KSM nin kurumlarla yaptığı çalışmalardan yola çıkarak kamuda elektronik imza kullanımının genel bir değerlendirmesi yapılmıştır. Değerlendirmede, KSM nin bu güne kadar elektronik sertifika başvurusu yapan kamu kurumlarıyla yaptığı görüşmelerden ve çalışmalarından elde edilen veriler kullanılmıştır. Kamu kurumlarının elektronik imzaya geçişte içinde bulunduğu durum üç grupta toplanabilir. Birincisi; kurumun yeterli düzeyde bilgisayar altyapısı mevcuttur ve elektronik imzaya geçmek için çalışmalara başlamıştır. İkincisi; kurumun bilgisayar altyapısı mevcut değildir, ancak, elektronik imzaya geçme konusunda isteklidir ve ihtiyaç duymaktadır. 1

Üçüncüsü, ise kurum elektronik imza konusunda faaliyet içinde değildir. Bildiride, son gruba giren kurumlarla iletişime geçilmemiş olduğundan değerlendirme dışında tutulmuştur. Bildirinin ilk bölümünde, elektronik imzaya geçişte izlenen süreç ve sağlanması gereken koşullara yer verilmiştir. İkinci bölümde, kamu kurumlarının elektronik imzaya geçişte geldiği aşamalar, hangi uygulamalarda elektronik imzaya ihtiyaç duyulduğu ve sertifika kullanıcı profili konusunda değerlendirme yapılmıştır. Son bölümde ise, elektronik ortamda var olan iş süreçlerine elektronik imzanın eklenmesi aşamalarında karşılaşılaşılan sorunlara değinilmiş ve çözüm önerilerinde bulunulmuştur. 2. Elektronik İmzaya Geçiş Süreci Güvenli ve birlikte çalışmaya uygun e-imza süreci için gerek ulusal düzeyde; gerek kurumlar düzeyinde atılması gereken adımlar ve uyulması gereken kurallar vardır. Ulusal düzeyde atılması gereken en öncelikli adım güvenli, ekonomik ve sorunsuz çalışan ulusal e-imza sistemi için gerekli yasal ve teknik alt yapıyı oluşturmaktır. Ülkemizde bu adımda ön görülen yasal düzenlemelere (5070 sayılı e-imza yasası ve ikincil düzenlemeler) gidilmiş ve teknik altyapının oluşturulması için de başta TÜBİTAK bünyesinde kurulan KSM yapılanması ile gerekli adımlar atılmıştır. Ulusal düzeyde atılması gereken diğer bir adım ise, güvenli elektronik imza oluşturma ve doğrulama yazılım ve donanımları için etkin bir denetim sisteminin kurulmasıdır. Özellikle güvenli elektronik imza yazılımlarını denetleyen ve onay veren bir mekanizmanın olması, imzaya olan güveni arttıracak ve yaygınlaşmasını sağlayacaktır. Kurumsal düzeyde yapılması gerekenleri ise şöyle özetleyebiliriz: Bilgisayar altyapısını oluşturan gerekli yazılım ve donanım mevcut olmalıdır. Elektronik imza, açık/kapalı ağlar üzerinde veya çevrimdışı olarak çalışan yazılım ve donanımlar kullanılarak oluşturulur. Elektronik imzadan bahsedebilmek için öncelikle kağıt üzerinde yapılan işlemler ve iş süreçlerinin yazılımlar aracılığıyla bilgisayar ortamına aktarılmış olması gerekmektedir. Kurum, elektronik imza oluşturma ve doğrulama uygulamalarının gerçekleştirilmesinde politikalar belirlemeli ve yazılımlar bu politikalara uygun gerçekleştirilmelidir. Bilgisayar ortamına aktarılmış işlemler üzerinde elektronik imza oluşturulan noktalarda, uluslararası standartlara uygun güvenli elektronik imza oluşturma yazılımları kullanılmalıdır. Elektronik olarak imzalanmış belgelerin gerektiğinde doğrulamasının yapılmasına imkan tanınmalıdır. Doğrulama işlemi uluslararası standartlara uygun olarak yapılmalıdır. Bunlara ek olarak elektronik imzanın uygulandığı sistemler ile ilgili aşağıdaki koşullar da yerine getirilmelidir: Elektronik imzanın oluşturulacağı ve saklanacağı sistemlerin bulunduğu ortamlar kurumun güvenlik politikalarına uygun seviyelerde ağ güvenliği şartlarını sağlamalı, sisteme erişim hakları da yine bu politikalara uygun olarak tanımlanmalıdır. Sistemin işlevlerini düzgün bir biçimde yerine getirmesi ve sürekliliğinin sağlanması için gerekli önlemler alınmalıdır. Sistemde yapılan işlemlerin güvenilir koşullarda kayıtları tutulmalıdır. Elektronik olarak imzalanan belgelerin düzenli aralıklarla yedekleri alınmalı, arşivleme yapılmalıdır. Arşivleme yapılırken, elektronik imzanın uzun dönemde güvenliğini sağlamaya yönelik kabul görmüş standart yöntemler uygulanmalıdır. Kurumlar e-imza sistemlerini kurarken, büyüklüğü kurumların ihtiyaçlarına, teknik altyapılarına ve personel sayılarına bağlı olarak değişen maliyetleri karşılayacak sağlıklı bir finansman modeli geliştirmelidir. 3. Ülkemizde Kamu Kurumlarının E- İmzaya Geçiş Sürecinde Mevcut Durumu 13 Ekim 2006 tarihi itibariyle 65 kamu kurumu KSM ile elektronik imza konusunda görüşmelerde bulunmuştur. Bu kurumlarla yapılan görüşmelerden elde edilen bilgiler ışığında tespit ettiğimiz bulguları şöyle özetleyebiliriz: 13 Ekim 2006 tarihi itibariyle 19 kuruma toplam 2518 adet Nitelikli Elektronik Sertifika verilmiştir. Aktif olarak kullanılan sertifika sayısı 350 dir. KSM ye başvuran 65 kurumun %35 inde e-imza altyapı çalışması henüz başlamamıştır. Öte yandan, e-imza altyapı çalışması tamamlanan kurumların oranı (%2) oldukça düşüktür. E-imza ekleme çalışması devam edenlerin oranı ise %20 dir (Şekil 1) 1. 1 Tamamlanmış: Kurum elektronik imza uygulamasını faaliyete açmıştır. Elektronik imza eklenmesi çalışmaları devam ediyor: Kurumun bilgisayar altyapısı ve elektronik ortama aktarılmış bir iş 2

35% Elektronik imza Çalışmalarının Durumu 2% 20% Tamamlanmış Elektronik imza eklenmesi çalışmaları devam ediyor Altyapısı mevcut ancak elektronik imza çalışmalarına başlanmamış Altyapı hazırlıkları tamamlanmamış Kurum personeli dışı potansiyel kullanıcıları olan kurumların sayısı azınlıkta kalmaktadır (Şekil 3). Kurumlar, ilişkide bulundukları diğer kurumların elektronik imzaya geçmemiş olmasından dolayı öncelikli olarak kendi iç uygulamalarını elektronik imzaya geçirmeyi uygun bulmaktadırlar. 22% Altyapı çalışması henüz başlamamış Başka bir kurumun uygulamasında kullanıcı Sertifika Kullanıcısı Profili Şekil 1 Kurumlarda elektronik imza uygulaması büyük çoğunlukla (%54) yazılım firmaları tarafından geliştirilmektedir. Kurumların %17 si ise, kendi uygulamalarını gerçekleştirirken; %9 u da diğer kurumların uygulamalarından yararlanmaktadır (Şekil 2). 15% Sadece kurum içi personel 3% Sadece kamu personeli Kamu/özel sektör personeli 2% 68% Vatandaş Uygulamayı Geliştiren Taraf Şekil 3 20% 17% 54% Yazılım firması Kurumun kendisi Diğer kurum uygulaması kullanılıyor Uygulamayı kendisi geliştiren kurumlar, genelde kurum içi yazışmaları elektronik imza kullanarak elektronik ortama geçirme çalışması yapmaktadır. Kurumların çoğu (%32) elektronik imza uygulamalarını kurum içi yazışma amacıyla kullanılan doküman/evrak akış sistemlerinde kullanmayı düşünmektedir (Şekil 4). Şekil 2 İmza Uygulamasının Türü Kurumların büyük bir bölümü (%68) Nitelikli Elektronik Sertifika yı kurum içi personele kullandırmayı düşünmektedir. Kurumlar, çoğunlukla kendi iç yazışmalarını elektronik ortama geçirmek için elektronik imzaya ihtiyaç duymaktadır. Bu durumda pek çok kurumun kullanıcısı kendi personelinden oluşmaktadır. 22% 25% 32% Kurum iş sürecinin elektronik ortama aktarılması Doküman/evrak akış sistemi İş süreci ve doküman/evrak akış sistemleri Başka kurum projesinde kullanıcı süreci mevcuttur ve elektronik imzayı kendi sistemine eklemek için çalışma içerisindedir. Altyapısı mevcut ancak elektronik imza çalışmalarına başlanmamış: Kurumun bilgisayar altyapısı ve elektronik ortama aktarılmış bir iş sürecinin hazır olduğu veya hazırlıkların devam ettiği belirlenmiştir. Ancak henüz elektronik imza ekleme çalışmalarına başlanmamıştır. Altyapı hazırlıkları tamamlanmamış: Kurumun elektronik ortama aktarılacak bir iş sürecinin hazırlıkları devam etmektedir. Elektronik imza ekleme aşamasına gelinmemiştir. Altyapı çalışması henüz başlamamış: Kurumun bilgisayar altyapısı ve elektronik ortama aktarılmış bir iş süreci henüz mevcut değildir. Bu kategorideki kurumların bazılarının planladıkları altyapı çalışmaları mevcuttur. Bazılarının ise elektronik imzaya geçmek istemelerine rağmen altyapı çalışması bulunmamaktadır. Başka bir kurum uygulamasında kullanıcı: Kurum diğer bir kurumun elektronik imza uygulamasında kullanıcıdır. Şekil 4 Kurumların iş süreçlerini elektronik imza ile elektronik ortama aktarmak için başlattıkları projelerin sayısı doküman/evrak akış sistemleri kullanımı ile kıyaslandığında azınlıkta kalmaktadır. Buna sebep olarak, iş süreçlerinin elektronik ortama aktarılması için daha detaylı çalışma içerisine girilmesi gerektiği gösterilebilir. Hazır bir doküman/evrak akış sisteminin satın alınıp yazışmaların elektronik ortama aktarılması ve elektronik imzanın eklenmesiyle elektronik imzaya geçiş daha kolay olabilmektedir. 3

Görüşülen kurumların çoğunun henüz bir altyapı çalışması mevcut değildir. Kurumlar elektronik imza uygulayacakları bir elektronik iş süreçleri olmamasına rağmen elektronik imzaya geçmeyi talep edebilmektedirler. Kurumların öncelikle bu hazırlıkları tamamlamaları gerekmektedir. Elektronik imzaya istekli olan kurumların elektronik imzaya geçiş süreleri uzun olabilmektedir. Bunun en önemli nedenlerinden birisi kurumun uygulaması ile ilgili altyapı hazırlıklarını tamamlamamış olmasıdır. 4. Elektronik İmza Uygulama Sürecindeki Temel Sorun Alanları ve Öneriler Kurumlar e-imza alt yapılarını oluşturup kullanmaya geçtiklerinde, kimi potansiyel sorunlarla yüzyüze gelebilir. Bunları kısaca üç başlık altında özetleyebiliriz. I. Kurumlar Arası Uyum Problemi Elektronik imzanın veri formatı, genel kabul görmüş bir format olarak belirlenmelidir. Tüm kurumlar elektronik imzayı standart bir formata uygun olarak oluşturmalıdır. Aksi durumda, ileride kurumların kendi sistemleri içinde oluşturdukları imzanın bir diğer kurumun sistemi içinde anlaşılamaması ve imzanın doğrulanamaması problemi ile karşılaşılacaktır. Bu konuda Telekomünikasyon Kurumu nun 1 Haziran 2006 tarihli Kurul Kararı nda tavsiye edilen, ETSI nin (European Telecommunications Standards Institute) yayınladığı TS 101 733 veya TS 101 903 dokümanlarında yer alan imza formatları kamu kurumlarında standart olarak kabul görmelidir. II. Elektronik İmza Yazılımlarının Güvenilirliğinin Sağlanması Elektronik imzanın güvenliği, kullandığı açık anahtarlı altyapı teknolojilerine dayanmaktadır. Ancak, elektronik olarak imzalanan dokümanın formatı ve elektronik imzayı oluşturan yazılımlar da bu teknolojiden bağımsız olarak imzanın güvenilirliği ile doğrudan ilgilidir. Dokümanların içinde barındırdığı macro, script gibi program parçacıkları elektronik imzanın güvenilirliğini tehlikeye düşürmektedir. Bu tür program parçacıkları yaygın virüs taşıyıcılar oldukları gibi, dokümanın farklı ortamlarda (işletim sistemi, dokümanı görüntüleyen program, vs.) farklı biçimlerde ekrandan kullanıcıya gösterilmesine neden olabilir. Bu durumda, imza doğrulanabildiği halde, imzalayan kişi ile imzayı doğrulayan kişinin ekrandan gördüğü metin veya anlamlı bilgiler farklılık gösterebilir. Bu olumsuz duruma meydan vermemek için kamu kurumlarının, uygulamalarında güvenli kabul edecekleri şartlar altında elektronik imza kullanımına izin veren bir politika oluşturması gereklidir. Kurumlar veya özel firmalar tarafından geliştirilen elektronik imza oluşturma ve doğrulama yazılımlarının, mevzuatta belirtilen standartlara uygun olması sağlanmalıdır. Ancak, mevzuatta bu standartlara uyum zorunluluğu sadece ESHS lere (Elektronik Sertifika Hizmet Sağlayıcısı) şart koşulmuştur. Oysaki imza yazılımları çoğunlukla ESHS ler dışındaki yazılım firmaları tarafından geliştirilmektedir. Yazılımı geliştiren tarafların aşağıdaki standartlara uyması, elektronik imzanın güvenilirliği açısından oldukça önemlidir: CWA 14170: Security Requirements for Signature Creation Applications (İmza Oluşturma Uygulamaları için Güvenlik Gereksinimleri) CWA 14171: Procedures for Electronic Signature Verification (İmza Doğrulama için Prosedürler) Yazılımlarda güvenilirliğin sağlanması için kurumların elektronik imzaya geçişlerinde kullanımı kolay araçlar geliştirilmelidir. Böylece kurumlar elektronik imza eklemeyi, teknolojisini ve ilgili standartları çok fazla bilmeye gerek kalmadan gerçekleştirebilirler. Ayrıca, ülke içinde güvenli elektronik imza oluşturma ve doğrulama yazılımlarını denetleyen ve onay veren bir mekanizmanın kurulması da bu yazılımların güvenilirliğinin sağlanmasına katkıda bulunacaktır. Kurumlar e-imzayı, yaygınlıkla kulladıkları e-posta yazılımları üzerinden gerçekleştirmeyi düşünmektedirler. Ancak, bu tür e-posta uygulamaları ETSI TS 101 733 ve 101 903 ile yukarıda belirtilen CWA standartlarına uygun olmayabilir. Ayrıca, e- posta ile gönderilen iletiler, üçüncü kişilerce kolaylıkla görülebilir. Bu yolla oluşabilecek güvenlik risklerini en aza indirgemek için, pratik bir yol olarak kurumların güvenli elektronik imza oluşturma yazılımları kullanması düşünülebilir. Bu noktada dokümanların bu yazılımlar kullanılarak imzalanması ve e-postaya eklenerek gönderilmesi önerilir. Ancak, alıcıların da benzer bir güvenli elektronik imza doğrulama yazılımına sahip olması gerekir. III. Kurumlar Arası Yazışmaların Elektronik İmzaya Geçirilmesi için Çalışmalar Yapılması Altyapısı olmadığı halde, genellikle kurum içi veya dışı yazışmalarını kağıt olmadan, elektronik imza ile elektronik ortamdan yapmak isteyen kurumlar mevcuttur. Tüm kamu kurumlarının özellikle diğer kurumlarla olan yazışmalarını elektronik ortamdan yapacakları bir altyapının sağlanması için çalışma yapılması gerekliliği ortaya çıkmaktadır. 4

Yapılacak çalışma içerisinde aşağıdaki konulara açıklık getirilmesi ve tüm kurumların bu çalışmanın çıktılarına uygun yazılımlar geliştirerek yazışmaları elektronik ortama aktarması gerekmektedir: Resmi yazışmalarda üst yazı için standart veri tipi tanımlanmalıdır. Veri tipi tanımlanırken Resmi Yazışmalarda Uygulanacak Esas ve Usuller Hakkında Yönetmelik te belirtilen şartlara uyulmalıdır. Üst yazının eklerinin imzalanması konusunda bir yöntem belirlenmelidir. Paraf atılması gereken noktalarda elektronik imzanın kullanılıp kullanılmayacağı konusu netleştirilmelidir. Kurumlar arasında resmi yazışmaların iletilmesi için ortak bir protokol belirlenmelidir. Elektronik ortamdaki yazışmalarda mühür kullanımının tanımı yapılmalıdır. Elektronik imzanın doğru kullanımını sağlamak ve ileride oluşabilecek, öngörülen problemleri engellemek için uygulamalar gerçekleştirilirken bu bölümde değinilen hususlara dikkat edilmelidir. Kamu kurumları elektronik imzaya geçerken bu husuları göz önünde bulundurmalı ve elektronik imzanın oluşturulması ve doğrulanması aşamasında uygulanacak politikaları belirlemelidir. 5. Sonuç Türkiye de elektronik imzanın yasal altyapısının hazır olduğu, ESHS lerin faaliyete başladığı, kullanılacak standartların ve sağlanması gereken teknik şartların belirli olduğu düşünüldüğünde elektronik imzaya geçmek için hiçbir engelin olmadığı görülmektedir. Ancak, buna rağmen elektronik imzaya geçiş beklenen düzeyde değildir. Bunun en önemli nedeni genel olarak kurumların elektronik ortamda iş yapmaya başlamamış olmasıdır. Elektronik ortamda iş yapmaya başlamamış olan kurumların elektronik imzaya geçmesinden bahsedilememektedir. Yeterli düzeyde bilgisayar ve iletişim altyapısı olan ve elektronik ortama aktarılmış iş süreçleri bulunan kurumların elektronik imzaya geçmesi daha kolay olmaktadır. İş süreçlerinin elektronik ortamdan yürütülmesi ise Türkiye deki bilgisayar altyapısı ve bilgisayar kullanımının yeterli düzeyde olmasını gerektirir. Bunun sağlanması başlangıçta kurumlara büyük maaliyetler getirmektedir. Ancak, sağlıklı finansman modelleri geliştirilerek bu yatırımların kısa bir zaman içinde daha verimli ve daha ucuz iş yapılmasına imkan vereceği göz önünde bulundurulmalıdır. Elektronik imza uygulamalarının belli standartlara ve kriterlere uygun olarak gerçekleştirilmesi, ileride yaşanabilecek problemlerin en aza veya çözülebilir düzeye indirilmesi için bir zorunluluk olarak karşımıza çıkmaktadır. Elektronik imza mevzuatı temelde uyulması gereken kriterleri ve standartları sunmaktadır. Ancak, bunlar yeterli değildir. Bunlara ek olarak bazı kriterlerin de pratikte ne şekilde uygulanması gerektiği kurum politikaları çerçevesinde ortaya konmalıdır. Kurumların bu konuda yeterli düzeyde bilgilendirilmesi ve farkındalığın da sağlanması gerekmektedir. Kaynaklar [1] Telekomünikasyon Kurumu, Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ, 6 Ocak 2006 [2] Telekomünikasyon Kurulu Kararı, Karar No: 2006/DK-77/353, 1 Haziran 2006 [3] ETSI TS 101 733: Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats [4] ETSI TS 101 903: XML Advanced Electronic Signatures (XAdES) [5] CEN (Comité Européen De Normalisation) Workshop Agreement, (CWA) 14170: Security Requirements for Signature Creation Applications [6] CEN (Comité Européen De Normalisation) Workshop Agreement, (CWA) 14171: Procedures for Electronic Signature Verification. [7] 5070 Sayılı Elektronik İmza Kanunu. [8] Resmi Yazışmalarda Uygulanacak Esas ve Usuller Hakkında Yönetmelik, 2 Aralık 2004 tarih ve 25658 sayılı yönetmelik 5

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim