Bilginin ve kaynakların paylaşılması gereksinimi
sonucunda kurumlar, bilgisayarlarını çeşitli yollardan birbirine
bağlayarak kendi bilgisayar ağlarını kurmuşlar ve sonra dış dünyayla
iletişim kurabilmek için bilgisayar ağlarını İnternet’e uyarlamışlardır.
Eskiden kilitli odalarla sağlanan güvenlik kavramı, bilgisayar ağları
ve İnternet gibi ortamların gündeme gelmesiyle boyut değiştirmiştir.
İnternet yasalarla denetlenemeyen bir sanal dünyadır. Bu sanal dünyada
saldırganlar bilgiye ulaşmada ağların zayıf noktalarını kullanarak
yasadışı yollar denemektedirler. Sadece yapılan saldırılarla değil, aynı
zamanda kullanıcıların bilinçsizce yaptıkları hatalar nedeniyle birçok
bilgi başka kişilerin eline geçmekte veya içeriği değiştirilmektedir.
Kurumlarda oluşan kayıplar maddi olabileceği gibi güven yitirme gibi
manevi zararlar da olabilmektedir. Bu tür durumlarla başa çıkabilmek
için bazı kuralların belirlenmesi gerekmektedir.
Kurumların kendi kurmuş oldukları ve İnternet’e uyarladıkları ağlar ve
bu ağlar üzerindeki kaynakların kullanılması ile ilgili kuralların genel
hatlar içerisinde belirlenerek yazılı hale getirilmesi ile ağ güvenlik
politikaları oluşturulur. Güvenlik politikasının en önemli özelliği
yazılı olmasıdır ve kullanıcıdan yöneticiye kurum genelinde tüm
çalışanların, kurumun sahip olduğu teknoloji ve bilgi değerlerini nasıl
kullanacaklarını kesin hatlarıyla anlatmasıdır .
Ağ güvenlik politikaları mümkünse sistem kurulmadan ve herhangi bir
güvenlik sorunuyla karşılaşmadan önce oluşturulmalıdır. Bu aynı zamanda,
kurulu olan bir sistemin güvenlik politikasını oluşturmaktan daha
kolaydır. Güvenlik politikası olmadan güvenli bir bilgisayar ağı
gerçekleştirilemez. Bu kadar öneme sahip olmasına rağmen Amerika’da
güvenlik politikalarının gerçekleştirilme oranı sadece %60’larda
kalmakta, Türkiye için bu oran daha da düşmektedir .
Ağ güvenlik politikaları, kurumların yapılarına ve gereksinimlerine göre
değiştiğinden bir şablondan söz etmek mümkün değildir. Bu bildiride
güvenlik politikası oluştururken dikkat edilmesi gerekenler
belirtilmiştir. Bilgi ve ağ güvenlik politikalarından söz
edildiğinde birçok alt politikadan söz etmek mümkündür. Bunun nedeni, politikaların konuya veya teknolojiye özgü olmasıdır .
Ağ güvenliğinin sağlanması için gerekli olan temel politikalar aşağıda sıralanmıştır :
1. Kabul edilebilir kullanım (acceptable use) politikası
2. Erişim politikası
3. Ağ güvenlik duvarı (firewall) politikası
4. İnternet politikası
5. Şifre yönetimi politikası
6. Fiziksel güvenlik politikası
7. Sosyal mühendislik politikası
Kabul Edilebilir Kullanım (Acceptable Use) Politikası
Ağ ve bilgisayar olanakların kullanımı konusunda kullanıcıların hakları
ve sorumlulukları belirtilir. Kullanıcıların ağ ile nasıl etkileşimde
oldukları çok önemlidir. Yazılacak politikada temelde aşağıdaki konular
belirlenmelidir ;
• Kaynakların kullanımına kimlerin izinli olduğu,
• Kaynakların uygun kullanımının nasıl olabileceği,
• Kimin erişim hakkını vermek ve kullanımı onaylamak için yetkili olduğu,
• Kimin yönetim önceliklerine sahip olabileceği,
• Kullanıcıların hakları ve sorumluluklarının neler olduğu,
• Sistem yöneticilerin kullanıcılar üzerindeki hakları ve sorumlulukların neler olduğu,
• Hassas bilgi ile neler yapılabileceği.
Kurumun yapısına göre başka maddeler de eklemek mümkündür. oluşturduğu politika şablonu için
Türkiye’de üniversitelerin İnternet bağlantısını sağlayan Ulakbim’in kabul edilebilir politikası için
Erişim Politikaları:
Erişim politikaları kullanıcıların ağa bağlanma yetkilerini belirler.
Her kullanıcının ağa bağlanma yetkisi farklı olmalıdır. Erişim
politikaları kullanıcılar kategorilere ayrıldıktan sonra her kategori
için ayrı ayrı belirlenmelidir. Bu kategorilere sistem yöneticileri de
girmektedir. Sistem yöneticisi için erişim kuralları belirlenmediği
takdirde sistemdeki bazı kurallar sistem yöneticisinin yetkisine
bırakılmış olacağından, bu sistem üzerindeistenmeyen güvenlik açıkları
anlamına gelebilecektir.
Ağ Güvenlik Duvarı (Firewall) Politikası:
Ağ güvenlik duvarı (network firewall), kurumun ağı ile dış ağlar
arasında bir geçit olarak görev yapan ve İnternet bağlantısında kurumun
karşılaşabileceği sorunları çözmek üzere tasarlanan çözümlerdir. Ağın
dışından ağın içine erişimin denetimi burada yapılır. Bu nedenle erişim
politikaları ile paraleldir. Güvenlik duvarları salt dış saldırılara
karşı sistemi korumakla kalmaz, performans arttırıcı ve izin politikası
uygulayıcı amaçlar için de kullanılırlar. Bu çözümler yazılım veya
donanımla yazılımın bütünleşmesi şeklinde olabilir. Güvenlik
duvarlarının grafiksel arabirimleri kullanılarak kurumun politikasına
uygun bir şekilde erişim kuralları tanımlanabilmektedir. Güvenlik duvarı
aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini
sağlayabilmektedir :
Proxy: Proxy bir bağlantı uygulamasında araya giren ve bağlantıyı
istemci (client) için kendisi gerçekleştiren bir hizmettir. Proxy’nin
kullanımı, uygulama temelli (application-level) güvenlik duvarı olarak
da adlandırılabilir. Bu tür bir uygulama aynı zamanda kimlerin bu
hizmetleri kullanacağını belirlemek ve performans amaçlı olarak bant
genişliğinin daha etkin kullanılmasını sağlamak için de kullanılır.
Anti-Virus Çözümleri: HTTP, FTP ve
SMTP trafiğini üzerinden geçirerek virüs taramasını yapmayı ve
kullanıcıya gelmeden önce virüslerden temizlemeyi hedefleyen
sistemlerdir.
İçerik Süzme (content filtering): Çeşitli yazılımlarla ulaşılmak istenen
web sayfalarını, gelen e-posta’ları süzmeye yarayan sistemlerdir.
Özel Sanal Ağlar (Virtual Private Network-VPN): Ortak kullanıma açık
veri ağları (public data network) üzerinden kurum ağına bağlantıların
daha güvenilir olması için VPN kullanılmaktadır. İletilen bilgilerin
şifrelenerek gönderilmesi, Genel/Özel (Public/Private) anahtar kullanımı
ile sağlanır. VPN kullanan birimler arttıkça daha sıkı politika
tanımları gerekli hale gelmektedir.
Nüfuz Tespit Sistemleri (Intrusion Detection Systems-IDS): Şüpheli
olayları, nüfuz ve saldırıları tespit etmeyi hedefleyen bir sistemdir.
IDS, şüpheli durumlarda e-posta veya çağrı cihazı gibi yöntemlerle
sistem yöneticisini uyarabilmektedir. Bu servislerin hepsinin
konfigürasyonu ve kullanacakları kuralların belirlenmesi güvenlik
politikasına uygun olarak yapılmalıdır.
İnternet Politikası:
Kurum bazında her kullanıcının dış kaynaklara yani İnternet’e erişmesine gerek yoktur.
İnternet erişiminin yol açabileceği sorunlar aşağıdaki gibidir:
Zararlı kodlar: Virüs veya truva atı (trojan) gibi zararlı yazılımların
sisteme girmesine yol açabilir. Virüslerden korunmak için her
kullanıcının makinasına bir antivirüs yazılımının kurulmasını sağlamak
veya İnternet (http, email, ftp) trafiğini sunucu(lar)da tarayıp
temizledikten sonra kullanıcıya ulaştırmak gibi önlemler alınabilir.
Sistemde güvenlik açıklarına neden olacak truva atlarını engellemek için
güvenlik duvarlarında kesin kurallar konulmalıdır.
Etkin Kodlar: Programların web
üzerinde dolaşmalarına olanak sağlayan Java ve ActiveX gibi etkin kodlar
saldırı amaçlı olarak da kullanılabilmektedir. Java, denetim
düzenekleri ile bu tür saldırıların gerçekleşmesini önleyen bazı
olanaklar sunmasına karşın ActiveX için aynı şeyden söz etmek mümkün
değildir. Bu
nedenle bu kodların kullanıma ilişkin ayarlar İnternet tarayıcısı üzerinde yapılmalıdır.
Amaç dışı kullanım: İnternet hattı, kurumun amacı dışında da
kullanılabilmektedir. Film, müzik gibi büyük verilerin İnternet’ten
çekilmesi hat kapasitesini gereksiz yere dolduracağından kurumun dış
kaynaklara erişim hızında yavaşlamalara yol açabilecektir.
Zaman Kaybı: İnternet ortamında gereksiz
web sitelerinde zaman geçirmek kurum çalışanlarının iş verimini
azaltabilir. Bunu engellemek için kurum politikasında bazı kullanıcılara
İnternet erişimi verilmeyebilir veya İnternet erişimi öğle molası gibi
belirli saatlerle kısıtlanabilir. Farklı bir çözüm ise web erişimini
denetim altına almak ve ulaşılabilecek web sitelerini belirlemektir. Bu
denetimler farklı kullanıcı gruplarına farklı şekillerde uygulanabilir.
Kurumda dış kullanıcılardan (çalışanlar, ortaklar, müşteriler veya
diğerleri) kimlerin kurum ağındaki hizmetlere erişebilecekleri ve ne tür
erişim haklarına sahip oldukları tanımlanmalıdır.
Şifre Yönetimi Politikası:
Şifreler kullanıcıların ulaşmak istedikleri bilgilere erişim izinlerinin
olup olmadığınıanlamamızı sağlayan bir denetim aracıdır. Şifrelerin
yanlış ve kötü amaçlı kullanımları güvenlik sorunlarına yol
açabileceğinden güvenlik politikalarında önemli bir yeri vardır.
Sistem yöneticileri kullanıcıların şifre seçimlerinde gerektiği yerlerde
müdahale etmelidirler. Basit ve kolay tahmin edilebilir şifreler
seçmelerini engellemek için kullanıcılar bilinçlendirilmeli ve
programlar kullanılarak zayıf şifreler saptanıp kullanıcılar
uyarılmalıdır. Her hesap için ayrı bir şifre kullanılmalı ve şifreler
sık sık değiştirilmelidir . Kullanıcılar şifrelerinin çalındığından
kuşkulandıklarında yetkili birimlere haber vermeli, gereken önlemleri
almalıdır. Şifre seçimi ve kullanımı konusunda ayrıntılı bilgi edinmek
için bakınız . Şifrenin seçilmesi ile birlikte kullanıcının sorumluluğu
bitmez, çünkü yeterli kaynak ve zaman olduğunda her şifre
kırılabilmektedir .
Ayrıca kurumlar güvenlik politikalarında şifre seçimi ile ilgili
aşağıdaki kısıtlamları belirleyebilmektedirler:
Şifrenin boyutu ve içeriği: Kurum, sistemlerde kullanılacak şifrenin
uzunluğunu (en az 7-8 karakter) ve içeriğinin ne olması gerektiğini
(rakam ve harflerin birer kombinasyonu) belirleyebilmektedir.
Süre dolması (eskime) politikası: Süresi dolan şifreler kullanılamamakta
ve kullanıcılar yeni şifre almak zorunda kalmaktadır. Böylece şifreler
üzerinde bir denetim düzeneği kurulmuş olmaktadır.
Tek kayıt ile herşeye erişim (Single Sign On-SSO) politikası: Kullanıcı,
tek bir şifre ile ağ üzerindeki kendisine erişim izni verilen bütün
uygulamalara ulaşabilmektedir. Kullanıcının birçok şifreyi birden
hatırlamak zorunluluğu olmadığı için son kullanıcılar için
kullanışlıdır.
Fiziksel Güvenlik Politikası: Bilgisayar veya aktif cihazlara fiziksel
olarak erişebilen saldırganın cihazın kontrolünü kolaylıkla alabileceği
unutulmamalıdır. Ağ bağlantısına erişebilen saldırgan ise kabloya özel
ekipmanla erişerek (tapping) hattı dinleyebilir veya hatta trafik
gönderebilir. Açıkça bilinmelidir ki fiziksel güvenliği sağlanmayan
cihaz üzerinde alınacak yazılımsal güvenlik önlemlerinin hiç bir kıymeti
bulunmamaktadır. Kurumun ağını oluşturan ana cihazlar ve hizmet sunan
sunucular için alınabilecek fiziksel güvenlik politikaları kurum için
belirlenmelidir. Cihazlar için alınabilecek fiziksel güvenlik önlemleri
için bakınız.
Sosyal Mühendislik Politikası: Sosyal mühendislik, kişileri inandırma
yoluyla istediğini yaptırma ve kullanıcıya ilişkin bilgileri elde etme
eylemidir. Sistem sorumlusu olduğunu söyleyerek kullanıcının şifresini
öğrenmeye çalışmak veya teknisyen kılığında kurumun içerisine fiziksel
olarak sızmak veya çöp tenekelerini karıştırarak bilgi toplamak gibi
değişik yollarla yapılabilir. Kurum çalışanları kimliğini kanıtlamayan
kişilere kesinlikle bilgi aktarmamalı, iş hayatı ile özel hayatını
birbirinden ayırmalıdır. Kurum politikasında bu tür durumlarla ilgili
gerekli uyarılar yapılmalı ve önlemler alınmalıdır .
KURUMUN İHTİYAÇLARININ BELİRLENMESİ
Güvenlik Politikalarının oluşturulması sırasındaki ilk adım olarak bu
politikanın kurumun hangi gereksinimlerine yönelik oluşturulacağı
belirlenmelidir.
Politikanın oluşması için aşağıdaki aşamalar yerine getirilmelidir :
Korunacak nesnelerin belirlenmesi: Bu yazılım ve donanım gibi bilgisayar
kaynakları olabileceği gibi, bilgisayarla ilgili olmayan ve kurum için
hayati öneme sahip yazılı belgeler olabilir. Ağ güvenliği söz konusu
olduğunda etkin iletişim cihazları ve sunucular (server)
belirlenmelidir. Ağ üzerinden hizmet veren sunucuların kimlere ne
hizmeti verdiği, hangi protokolleri kullandığı, bu sunucuları yöneten
kişilere (admin) ulaşım için kullanılabilecek e-posta adresi ve telefon
gibi bilgilerin ağ güvenliği ile uğraşan birime dilekçe ile verilmesi
sağlanmalıdır. Her birimin bilgisayar işlerinden sorumlu yerel sistem
yöneticilerine, birim yöneticilerine telefon ve/veya resmi yazı ile
ulaşmalı ve sunucu bilgileri toplanmalıdır. Ağ trafiği izlenerek de
ulaştırılmayan bilgiler edinilebilir.
Kime karşı korumanın yapılacağının belirlenmesi: Korunmak istenen
kaynaklara kimler tarafından zarar verilebileceği tüm durumlar göz
önünde bulundurularak belirlenmelidir. Bu İnternet üzerinden veya kurum
içinden saldırıda bulunan kişiler olabileceği gibi, dikkatsizlik yapan
bir kurum çalışanı da olabilir.
Bilgileri saklama yönteminin belirlenmesi: Kurumların ellerindeki
bilgilerin nasıl tutulduğunu ve bu bilgilerin nasıl aktarıldığını
belirlemeleri gereklidir. Örneğin bir kurumda tüm bilgiler sözlü olarak
aktarılırken, bir başka kurumda bilgilerin aktarımı
için resmi yazılar gerekli olabilir.
Bilgilerin arşivlenmesi ve yedeklenmesi: Kurumlar bilgi kayıplarını en
aza indirmek için yedekleme ve eski bilgilere daha sonra erişebilmek
için arşivleme yapmalıdır. Kurumlarda ne tür bilgilerin yedekleneceği,
hangi sıklıkla yedek alınacağı, yedeklemenin kimler tarafından
yapılacağı kurallarla belirlenmelidir.
Kurum içerisinde sorumlulukların belirlenmesi: Kurum çalışanlarının
görev alanları ve güvenlik politikaları üzerindeki sorumlulukları
belirlenmelidir.
Güvenlik politikasında sorumluluk alan gruplar aşağıdaki gibidir :
Yönetim: Yönetim, güvenlik politikasını oluşturmak ve uygulanmasını
sağlamak için güvenlik bölümünün oluşturulmasından sorumludur.
Güvenlik Bölümü: Bu bölümün sorumlulukları ise güvenlik politikasını
oluşturmak, yayınlamak, uygulanmasını sağlamaktır. Bir diğer görevi ise
çalışanları politika konusunda bilgilendirmek ve eğitmektir.
Kullanıcılar: Kullanıcılar güvenlik politikaları ile belirlenen kurallara göre davranmak zorundadırlar.
Yaptırım gücünün belirlenmesi: Güvenlik politikasının uygulanabilir
olabilmesi için yaptırım gücünün olması gerekir. Aksi takdirde politika
kağıt üzerindeki bir belgeden öteye gidemez. Yaptırım amacıyla
yasalardan veya kuruma ilişkin kurallardan yardım
alınabilir.
RİSK ANALİZİ ve GÜVENLİK MATRİSLERİNİN OLUŞTURULMASI
Risk analiziyle kurumun ağına, ağ kaynaklarına ve verilere yapılabilecek
saldırılarla oluşabilecek riskler tanımlanır. Amaç değişik ağ
bölümlerindeki tehdit tahminlerinin belirlenmesi ve buna uygun bir
düzeyde güvenlik önlemlerinin uygulanmasıdır. Oluşabilecek tehditin
önemine ve büyüklüğüne göre üç düzey kullanılabilir;
Düşük Risk, Orta Risk, Yüksek Risk. Riskler tanımlandıktan sonra
sistemin kullanıcıları tanımlanmalıdır. Kullanıcı türleri aşağıdaki gibi
sınıflandırılabilir :
Yöneticiler: Ağ kaynaklarını yönetme sorumluluğundaki iç kullanıcılar.
Öncelikliler (priviliged): Kullanıcılardan daha fazla erişim hakkına gereksinim duyan iç kullanıcılar.
Kullanıcılar: Genel erişim hakkına sahip iç kullanıcılar.
İş Ortakları: Bazı kaynaklara erişim gereksinimi duyacak dış kullanıcılar.
Diğer: Dış kullanıcılar veya
müşteriler. Risk düzeyleri ve kullanıcı türleri tanımları kullanılarak,
her ağ sistemine erişim tipi güvenlik matrisi dediğimiz yapılarda
tanımlanır. Güvenlik matrisi her sistem için hızlı bir başvuru ve
sonraki güvenlik ayarlamaları için başlangıç noktası oluşturur. Güvenlik
matrisi içeriğine göre çeşitli biçimlerde olabilir.
Ayrıca kurum kullandığı IP/IPX
ağlarını ve hangi alt ağların (subnet) hangi alt bölümler için
kullandığını belirlemesi gerekmektedir. Bölümlerin hangi diğer bölümlere
hangi protokoleri kullanarak erişim yapacağı da güvenlik matrisi ile
belirlenebilmektedir.. Örneğin Tablo [2]de hangi birimin (alt ağın)
hangi birime erişim hakkı olduğu belirtilmektedir. Bu çizelgeye göre;
bilgi işlem ve idari bölümler diğer bütün ağlara ulaşabilirken, diğer
birimlerin erişimleri kısıtlanmaktadır. Bu tür çizelgeler daha
ayrıntılandırılarak birimlerin kendi içlerinde sunucu(server), protokol,
kişi tabanlı erişim tanımlamaları da yapılabilir.
GÜVENLİK POLİTİKASININ UYGULANMASI
Kurumun gereksinimlerinin belirlenmesi ve risk analizi sonucunda
güvenlik politikası bir sorumlu veya bir kurul tarafından
oluşturulmaktadır. Güvenlik politikası uygulanmadan önce aşağıdaki
koşullar sağlanmalıdır:
Politika hazırlanırken katılım sağlanmalıdır: Güvenlik politikası
oluşturulurken mümkün olduğunca çok kişinin katılımı sağlanmalıdır.
Kullanıcılar ile çeşitli toplantılar yapılarak kurallar
şekillendirilmelidir. Ama bunun mümkün olmadığı durumlarda en azından
birimlerin yerel sistem yöneticileri ve sunucuların yöneticileri ile
iletişim sağlanmalıdır. Ege Üniversitesi Network Yönetim Grubu,
oluşturduğu “adminduyuru” listesi ile bu birimlere e-posta aracılığı ile
ulaşmaktadır. Yakın bir zamanda da güvenlik politikasının
tartışılabileceği forum gibi ortamların oluşturulması planlanmaktadır.
Politika standartlara uyumlu
olmalıdır: Kurumların güvenlik ortamları bazı nedenlerle birbirinden
kopuk ve parçalı hale gelebilir. Bu durumlara örnek olarak şirket
birleşmeleri ve bölünmeleri verilebilir. Ayrıca ortak kurumlar,
çalışanlar ve müşterilere hizmet ulaştırmak da gerekecektir. Sonuç
olarak her bir bölüm için ayrı politikalar oluşturulması
gerekebilmektedir. Farklı güvenlik uygulamalarının ve politikalarının
birbiriyle uyumlu çalışmasının gerekliliği güvenlik politikalarını
tanımlarken bazı standartların kullanılmasını gerektirmektedir. Bu
konudaki
standartlara örnek olarak IETF’in “Security Policy Specification
Language“ (SPSL), Sun Systems’in “Generic Security Services API“
(GSSAPI) ve “Pluggable Authentication Modules“ (PAM) verilebilir.
Yönetimin onayı alınmalı ve politika duyurulmalıdır: Bu tür güvenlik
politikalarını devreye almadan önce kurum yönetiminin onayı alınmalı,
mümkünse kurum yöneticisi tarafından bu güvenlik politikası resmi yazı
ile bütün birimlere duyurulmalıdır. Bu yazıda güvenlik politikasının
oluşturulma nedenleri ve güvenlik politikasının ana hatları verilmeli,
daha ayrıntılı bilgi için kullanılabilecek erişim bilgileri de
belirtilmelidir. Yönetimsel destek alınmayan ayarlamaların ve
kısıtlamaların birçok soruna yol açabileceği unutulmamalıdır. Aynı
zamanda bir web sayfası aracılığı ile kullanıcıların her an güvenlik
politikasına erişebilmeleri sağlanmalıdır.
Acil durum politikası oluşturulmalıdır: Güvenlik matrisinde özellikle
risk düzeyi yüksek olan sistemlerin bir saldırı veya doğal afet
sonucunda devre dışı kalması durumunda ne tür önlemlerin alınacağı acil
durum planı oluşturularak belirlenmelidir. Bu tür planın sistem
yedeklemesine gereksinim duyacağı açıktır. Sistemde önemli bilgilerin
düzenli olarak yedeklenmesine de önem gösterilmelidir. Politikalar
oluşturulduktan ve duyurulduktan sonra uygulanmalıdır. Politikada
belirtilen kuralların uygulanması için korunacak sistemler üzerinde veya
ağ cihazlarında gerekli teknik ayarlar yapılmalıdır. Örneğin güvenlik
matrisindeoluşturulan erişim kuralları ve hangi sunuculara hangi
protokoller üzerinden erişilebileceği güvenlik duvarı veya erişim
listeleri (access-list) yöntemleri kullanılarak oluşturulmalıdır. Fakat
daha önemlisi ayarlanan güvenlik sistemleri sık sık sınanmalı, risk
haritası çıkarılmalı, sistemin zayıf noktaları saptanıp gerekli önlemler
alınmalıdır. Logların incelenmesi ile güvenlik politikasının amacına
ulaşıp ulaşmadığı anlaşılabilir.
Son Olarak ..
Bilgisayar ağlarında güvenlik
politikasının uygulanması kritik önem taşımaktadır. Kurumsal güvenlik
için öncelikle yazılı olarak kurallar belirlenmelidir. Bir güvenlik
politikası yaratmanın en önemli adımı planlamadır. Güvenlik politikası
oluşturulurken kurumun en alt düzeylerine kadar inerek gereksinimler
belirlenmelidir. Aynı zamanda oluşturulan politikalar dikkatli bir
şekilde uygulanmalıdır. Güvenlik politikasının etkin olması için üst
yönetimin desteği sağlanmalı ve kurumun çalışanları kullanılan politika
konusunda bilgilendirilmelidir. Güvenlik politikaları bir kez hazırlanıp
sonra değişmeyen kurallar değildir. Güvenlik politikası değişen
tehditlere, zayıflıklara ve kurum politikalarına göre yeniden
değerlendirilmeli ve gerekli değişiklikler yapılmalıdır.
tarafından 
Konu: Bilgisayar Ağlarında Güvenlik Politikası 
