HOLISTIC SECURITY AUDIT OF UYAP

Yıl 2025, Sayı: 32, 189 - 203, 16.02.2025

Hakan Yıldırım

https://doi.org/10.58348/denetisim.1532057

Öz

UYAP (National Judiciary Informatics System) is a large and multifaceted information system created to digitize Turkey's justice system. This comprehensive system aims to make judicial processes faster, more efficient, and transparent. However, it is quite normal for a system of this magnitude and with so many stakeholders to experience management complexity, and it is not possible to say that the system's security is ensured holistically. A holistic approach means that all components and security elements of the system need to be evaluated as a whole. The security of an information system is referred to as 'holistic security' when the physical, virtual, policy, data, information, privacy, personal, and national dimensions are considered together. It is of great importance that UYAP's security policies are determined and supervised by all stakeholders. However, there are uncertainties regarding who has what degree of authority and responsibility for UYAP's security in the current situation. This situation indicates that UYAP's oversight should be carried out by an independent board consisting of broad-based representation of the parties using UYAP. This board should determine both the security and audit policies and standards. This article has proposed which parties should be represented and the authorities of the board necessary for policy determination for effective management and oversight of UYAP.

Anahtar Kelimeler

UYAP (National Judiciary Informatics System), Holistic Security, Stakeholder Participation, Policy Board, Audit

UYAP’IN HOLİSTİK GÜVENLİK DENETİMİ

Öz

UYAP (Ulusal Yargı Ağı Bilişim Sistemi), Türkiye'nin adalet sisteminin dijitalleşmesi amacıyla oluşturulmuş büyük ve çok taraflı bir bilişim sistemidir. Bu geniş kapsamlı sistem, yargı süreçlerini daha hızlı, verimli ve şeffaf hale getirmeyi amaçlamaktadır. Ancak, bu büyüklükteki ve bu kadar tarafı olan bir sistemin yönetim karmaşası yaşaması çok normaldir ve sistemin Holistik olarak güvenliğinin sağlandığını söylemek mümkün değildir. Holistik yaklaşım, sistemin tüm bileşenlerinin ve güvenlik unsurlarının bir bütün olarak değerlendirilmesi gerektiğini ifade eder. Bir bilişim sisteminin güvenliğinin fiziksel, sanal, politika, veri, bilgi, mahremiyet, kişisel ve ulusal gibi pek çok boyutunun birlikte alınmasına ‘Holistik Güvenlik’ denmektedir. UYAP’ın güvenlik politikalarının tüm paydaşlarca belirlenmesi ve denetlenmesi büyük önem taşımaktadır, ancak mevcut durumda UYAP’ın güvenliğiyle ilgili olarak kimin ne ölçüde yetki ve sorumluluğu olduğuna dair belirsizlikler bulunmaktadır. Bu durum, UYAP'ın denetiminin bağımsız ve UYAP'ı kullanan tarafların geniş tabanlı temsilinden oluşan bir kurul tarafından yapılması gerektiğini ortaya koymaktadır. Bu kurul hem güvenlik hem de denetim politika ve standartlarını belirlemelidir. Bu makale, UYAP'ın etkili yönetim ve denetimi için politika belirleyici olarak oluşturulması gerekli bir kurulda temsil edilmesi gereken tarafları ve kurulun yetkileri hakkında bir öneri sunmuştur.

Anahtar Kelimeler

UYAP (Ulusal Yargı Ağı Bilişim Sistemi), Holistik Güvenlik, Paydaş Katılımı, Politika Kurulu, Denetim

Kaynakça

• Adalet Bakanlığı Bilgi İşlem Genel Müdürlüğü. (2021). UYAP Bilişim Sistemi. Adalet Bakanlığı.
• Anadolu University. (2018). Ulusal Yargı Ağı Projesi-I. Anadolu University.
• Council of Europe. (2001). Convention on Cybercrime (Budapest Convention). Council of Europe.
• Demir, G. (2021). Ulusal Yargı Ağı Bilişim Sistemi’nin (UYAP) Güvenlik Politikaları. Bilgi Güvenliği Dergisi, 15(2), 45-61.
• European Union Agency for Cybersecurity (ENISA). (2019). Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. ENISA.
• European Union Agency for Cybersecurity (ENISA). (2020). ENISA Threat Landscape 2020: Cybersecurity Challenges for the EU. ENISA.
• European Union Agency for Cybersecurity (ENISA). (2017). Guidelines on Data Protection Impact Assessment (DPIA) under Regulation (EU) 2016/679. ENISA.
• General Data Protection Regulation (GDPR). (2016). Regulation (EU) 2016/679.
• Home Office, UK Government. (2015). Security Guidance for Government Buildings. Home Office.
• Institute of Internal Auditors (IIA). (2012). Global Technology Audit Guide (GTAG): Information Technology Controls. IIA.
• ISO/IEC. (2019). ISO/IEC 22301: Business Continuity Management Systems – Requirements. ISO.
• ISO/IEC. (2013). ISO/IEC 27001: Information Security Management Systems – Requirements.
• National Institute of Standards and Technology (NIST). (2018). Framework for Improving Critical Infrastructure Cybersecurity. NIST.
• Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W.W. Norton & Company.
• Stallings, W. (2017). Network Security Essentials: Applications and Standards. Pearson. Şahin, E., & Yıldırım, E. (2020). Türkiye'de Siber Güvenlik Politikaları: UYAP Örneği. Güvenlik Stratejileri Dergisi, 16(32), 79-102.
• United Nations Conference on Trade and Development (UNCTAD). (2016). Data Protection and Privacy Legislation Worldwide. UNCTAD.
• Whitman, M. E., & Mattord, H. J. (2018). Principles of Information Security. Cengage Learning.
• İnternet Kaynakları
• Adalet Bakanlığı. (nd). UYAP İstatistikleri. Erişim tarihi: 01.05.2024. Erişim adresi: https://istatistikler.uyap.gov.tr/ Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). (nd). Erişim tarihi: 05.05.2024. Erişim adresi: https://www.bfdi.bund.de
• Cybersecurity and Infrastructure Security Agency (CISA). (nd). Erişim tarihi: 10.05.2024. Erişim adresi: https://www.cisa.gov/
• Information Commissioner's Office (ICO). (nd). Erişim tarihi: 12.05.2024. Erişim adresi: https://ico.org.uk/ Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİ). (nd). Erişim tarihi: 15.05.2024. Erişim adresi: https://www.nvi.gov.tr/
• Sosyal Güvenlik Kurumu (SGK). (nd). Erişim tarihi: 20.05.2024. Erişim adresi: https://www.sgk.gov.tr/
• Türkiye Barolar Birliği. (nd). Erişim tarihi: 25.05.2024. Erişim adresi: https://www.barobirlik.org.tr/