Was ist ein Sicherheitsziel?
Ein Sicherheitsziel (ST) ist der Name eines Dokuments, das von einem IT-Sicherheitsunternehmen oder -unternehmen in Bezug auf eine bestimmte Anwendung oder ein Unternehmen, mit dem es zusammenarbeitet, erstellt wurde. Beispielsweise kann ein bestimmter Softwareentwickler, der Antivirenprogramme erstellt, ein ST für ein bestimmtes Programm bereitstellen, um die Arten von Sicherheitsbedrohungen zu dokumentieren, die für einen Kunden erkannt und behandelt werden sollen. Ein Sicherheitsziel kann auch von einem IT-Sicherheitsdienst für ein bestimmtes Unternehmen, mit dem es zusammenarbeitet, festgelegt werden, wie dieses Unternehmen für Angriffe anfällig ist, und Informationen darüber, wie die Sicherheit für dieses Unternehmen erhöht werden kann.
Der Name „Sicherheitsziel“ bezieht sich auf das tatsächliche Dokument, das von einem IT-Sicherheitsunternehmen erstellt wurde, um detaillierte Informationen darüber zu erhalten, wie dieses Unternehmen zur Sicherung anderer beitragen kann. Spezifische Informationen, die in dieser Art von Dokument bereitgestellt werden, können je nach Art der Bedrohungen, denen ein Unternehmen ausgesetzt sein kann, oder den von Unternehmen angebotenen Diensten variieren. Im Allgemeinen bietet ein Sicherheitsziel jedoch in der Regel umfassende Informationen zu den Sicherheitsanforderungen einer Person oder eines Unternehmens und darüber, wie diese Anforderungen erfüllt werden können.
Ein Softwareentwickler kann beispielsweise ein Sicherheitsziel aufstellen, um anzugeben, mit welchen Arten von Bedrohungen ein neues Sicherheitsprogramm umgehen kann. Das Sicherheitsziel für ein neues Antivirenprogramm gibt möglicherweise die Arten von Viren und anderer Malware an, die die Software für einen Kunden finden und verarbeiten kann. Wenn dieses Programm bestimmte Probleme mit Fehlalarmen hat oder bestimmte Formen von Malware nicht findet, kann dies im Dokument enthalten sein. Alle diese Informationen werden in der Regel in Bezug auf das Bewertungsziel (EVG) bereitgestellt, bei dem es sich in der Regel um ein bestimmtes Unternehmen handelt, das ein bestimmtes Produkt oder eine bestimmte Dienstleistung verwenden könnte.
Das von einem IT-Sicherheitsdienst generierte Sicherheitsziel kann auch die spezifischen Anforderungen und Bedrohungen für ein bestimmtes Unternehmen berücksichtigen. In diesem Fall ist der EVG nicht nur das Unternehmen selbst, sondern auch bestimmte Dateien und Arten von Informationen, über die das Unternehmen verfügt. Sobald der EVG benannt und detailliert ist, gibt das Sicherheitsziel normalerweise Auskunft darüber, wie mit Bedrohungen umgegangen werden kann, wenngleich dies im Allgemeinen keine Sicherheitsunterstützung ohne die Inanspruchnahme der Dienste des Unternehmens darstellt. Alle diese Informationen werden in der Regel anhand allgemeiner Kriterien für die Bewertung der Sicherheit der Informationstechnologie oder „allgemeiner Kriterien“ erstellt und bereitgestellt, die sich auf eine Reihe von Standards beziehen, die in der IT- und Sicherheitsbranche verwendet werden.