Qu'est-ce qu'une cible de sécurité?
Un objectif de sécurité (ST) est le nom d'un document créé par une entreprise ou une entreprise de sécurité des technologies de l'information (informatique en ce qui concerne une application ou une entreprise particulière avec laquelle elle travaille. Par exemple, un développeur de logiciels particulier qui crée des programmes antivirus pourrait fournir un ST à un programme spécifique pour documenter les types de menaces de sécurité qu'il est conçu pour détecter et traiter pour un client. Un objectif de sécurité peut également être émis par un service de sécurité informatique pour une entreprise particulière avec laquelle elle travaille, dans laquelle les informations détaillent les moyens spécifiques desquels cette entreprise est vulnérable aux attaques et fournit des informations sur la façon dont la sécurité pourrait être augmentée pour cette entreprise.
Le nom de «cible de sécurité» fait référence au document réel rédigé par une société de sécurité informatique pour détailler les moyens de détail dans lesquels cette entreprise peut aider les autres. Les informations spécifiques fournies dans ce type de document peuvent varier en fonction des types de menaces auxquelles une entreprise peut être confrontée ou des services que l'entreprise peut fournir.En général, cependant, un objectif de sécurité fournit généralement des informations approfondies concernant les besoins de sécurité d'un individu ou d'une entreprise et comment ces besoins peuvent être satisfaits.
Un développeur de logiciels peut, par exemple, atteindre un objectif de sécurité pour indiquer les types de menaces avec lesquelles un nouveau programme de sécurité peut gérer. L'objectif de sécurité pour un nouveau programme antivirus pourrait indiquer les types de virus et autres logiciels malveillants que le logiciel peut trouver et gérer pour un client. S'il y a des problèmes spécifiques que ce programme a avec de faux positifs ou de ne pas trouver certaines formes de logiciels malveillants, cela peut être inclus dans le document. Toutes ces informations sont généralement fournies en référence à la cible de l'évaluation (TOE), qui est généralement une entreprise particulière qui pourrait utiliser un produit ou un service donné.
La cible de sécurité générée par un service de sécurité informatique peut également répondre aux besoins et menaces spécifiquesune entreprise particulière. Dans ce cas, l'orteil n'est pas seulement l'entreprise elle-même, mais aussi des fichiers et des types d'informations spécifiques de la société. Une fois que l'orteil est nommé et détaillé, l'objectif de sécurité fournit généralement des informations sur la façon dont les menaces peuvent être gérées, bien que d'une manière assez générale qui ne fournit pas d'aide à la sécurité sans l'utilisation des services de cette entreprise. Toutes ces informations sont généralement créées et fournies en utilisant des critères communs pour l'évaluation de la sécurité des technologies de l'information ou des «critères communs», qui se réfère à un ensemble de normes utilisées dans l'industrie informatique et de la sécurité.