Hvad er et sikkerhedsmål?
Et sikkerhedsmål (ST) er navnet på et dokument oprettet af et IT-sikkerhedsfirma eller -virksomhed med hensyn til en bestemt applikation eller virksomhed, det arbejder med. For eksempel kan en bestemt softwareudvikler, der opretter antivirusprogrammer, give en ST til et specifikt program til at dokumentere de typer sikkerhedstrusler, den er designet til at opdage og håndtere for en kunde. Et sikkerhedsmål kan også udstedes af en it-sikkerhedstjeneste for en bestemt virksomhed, den arbejder med, hvor den specificerer specifikke måder, hvorpå virksomheden er sårbar overfor angreb, og giver oplysninger om, hvordan sikkerhed kan øges for det pågældende firma.
Navnet “sikkerhedsmål” henviser til det faktiske dokument, der er udarbejdet af et it-sikkerhedsfirma for at specificere måder, hvorpå virksomheden kan hjælpe med at sikre andre. Specifik information, der leveres i denne type dokumenter, kan variere afhængigt af den slags trusler, en virksomhed kan blive udsat for, eller hvilke tjenester virksomheden kan tilbyde. Generelt giver et sikkerhedsmål normalt omfattende information om sikkerhedsbehovene for en enkeltperson eller virksomhed, og hvordan disse behov kan imødekommes.
En softwareudvikler kan for eksempel udarbejde et sikkerhedsmål for at indikere, hvilke typer trusler et nyt sikkerhedsprogram kan håndtere. Sikkerhedsmålet for et nyt antivirusprogram kan muligvis angive, hvilke typer vira og anden malware softwaren kan finde og håndtere for en kunde. Hvis der er nogle specifikke problemer, dette program har med falske positiver eller ikke finder visse former for malware, kan dette være inkluderet i dokumentet. Al denne information leveres typisk under henvisning til evalueringsmålet (TOE), som typisk er et bestemt firma, der muligvis bruger et givet produkt eller tjeneste.
Sikkerhedsmålet, der genereres af en it-sikkerhedstjeneste, kan også håndtere de specifikke behov og trusler mod en bestemt virksomhed. I dette tilfælde er TOE ikke kun virksomheden selv, men også specifikke filer og typer information, som virksomheden har. Når TOE er navngivet og detaljeret, giver sikkerhedsmålet normalt information om, hvordan trusler kan håndteres, dog på en forholdsvis generel måde, som ikke yder sikkerhedsbistand uden brug af det selskabs tjenester. Al denne information oprettes og leveres typisk ved hjælp af fælles kriterier for evaluering af informationsteknologisikkerhed eller "fælles kriterier", der henviser til et sæt standarder, der anvendes i IT- og sikkerhedsbranchen.