Co je to bezpečnostní cíl?
Zabezpečovací cíl (ST) je název dokumentu vytvořeného bezpečnostní společností nebo podnikem IT) s ohledem na konkrétní aplikaci nebo společnost, se kterou pracuje. Například konkrétní vývojář softwaru, který vytváří antivirové programy, může poskytnout ST pro konkrétní program, který dokumentuje typy bezpečnostních hrozeb, které je navrženo k detekci a řešení pro zákazníka. Bezpečnostní cíl může být také vydán službou IT bezpečnosti pro konkrétní společnost, se kterou pracuje, v nichž podrobně popisuje konkrétní způsoby, jak je tato společnost zranitelná vůči útoku, a poskytuje informace o tom, jak může být pro tuto společnost zvýšena jistota. Konkrétní informace uvedené v tomto typu dokumentu se mohou lišit v závislosti na druzích hrozeb, kterým může společnost čelit, nebo na služby, které může podnik poskytovat.Obecně však bezpečnostní cíl obvykle poskytuje rozsáhlé informace týkající se bezpečnostních potřeb jednotlivce nebo společnosti a o tom, jak by tyto potřeby mohly být uspokojeny.
Vývojář softwaru může například vytvořit bezpečnostní cíl, který označuje typy hrozeb, se kterými může nový zabezpečovací program řešit. Cíl zabezpečení nového antivirového programu může naznačovat typy virů a jiného malwaru, který software může najít a řešit pro zákazníka. Pokud existují nějaké konkrétní problémy, které má tento program s falešnými pozitivy nebo nenalezl určité formy malwaru, může to být zahrnuto do dokumentu. Všechny tyto informace jsou obvykle poskytovány v odkazu na cíl hodnocení (TOE), což je obvykle konkrétní společnost, která by mohla používat daný produkt nebo službu.
Zabezpečovací cíl generovaný službou IT bezpečnosti by se mohl také zabývat specifickými potřebami a hrozbamikonkrétní společnost. V tomto případě není špička nejen samotná společnost, ale také konkrétní soubory a typy informací, které má společnost. Jakmile je špička pojmenována a podrobný, pak bezpečnostní cíl obvykle poskytuje informace o tom, jak lze hrozby řešit, i když poměrně obecným způsobem, který neposkytuje bezpečnostní pomoc bez použití služeb této společnosti. Všechny tyto informace jsou obvykle vytvářeny a poskytovány pomocí společných kritérií pro hodnocení zabezpečení informačních technologií nebo „společná kritéria“, která se týká sady standardů použitých v IT a bezpečnostním průmyslu.