Che cos'è un obiettivo di sicurezza?
Un obiettivo di sicurezza (ST) è il nome di un documento creato da una società di sicurezza informatica o da un'impresa in relazione a una particolare applicazione o società con cui sta lavorando. Ad esempio, un particolare sviluppatore di software che crea programmi antivirus potrebbe fornire una ST per un programma specifico per documentare i tipi di minacce alla sicurezza che è progettato per rilevare e gestire per un cliente. Un obiettivo di sicurezza può anche essere emesso da un servizio di sicurezza IT per una particolare azienda con cui sta lavorando, in cui descrive in dettaglio i modi specifici in cui quella società è vulnerabile agli attacchi e fornisce informazioni su come la sicurezza potrebbe essere aumentata per quella società.
Il nome "obiettivo di sicurezza" si riferisce al documento effettivo elaborato da una società di sicurezza IT per dettagliare i modi in cui tale società può aiutare a proteggere gli altri. Le informazioni specifiche fornite in questo tipo di documento possono variare a seconda del tipo di minacce che una società potrebbe essere di fronte o dei servizi che l'azienda può fornire. In generale, tuttavia, un obiettivo di sicurezza in genere fornisce informazioni dettagliate sulle esigenze di sicurezza di un individuo o di un'azienda e su come tali esigenze potrebbero essere soddisfatte.
Uno sviluppatore di software può, ad esempio, definire un obiettivo di sicurezza per indicare i tipi di minacce che un nuovo programma di sicurezza può affrontare. Il target di sicurezza per un nuovo programma antivirus potrebbe indicare i tipi di virus e altri malware che il software può trovare e gestire per un cliente. Se ci sono problemi specifici che questo programma ha con falsi positivi o non trova certe forme di malware, questo può essere incluso nel documento. Tutte queste informazioni sono in genere fornite in riferimento al target di valutazione (TOE), che in genere è una particolare azienda che potrebbe utilizzare un determinato prodotto o servizio.
L'obiettivo di sicurezza generato da un servizio di sicurezza IT potrebbe anche soddisfare le esigenze e le minacce specifiche per una determinata azienda. In questo caso, il TOE non è solo la società stessa, ma anche file e tipi di informazioni specifici della società. Una volta che il TOE è stato nominato e dettagliato, l'obiettivo di sicurezza solitamente fornisce informazioni su come gestire le minacce, sebbene in un modo abbastanza generale che non fornisca assistenza di sicurezza senza l'uso dei servizi di quell'azienda. Tutte queste informazioni vengono in genere create e fornite utilizzando Criteri comuni per la valutazione della sicurezza informatica o "criteri comuni", che si riferiscono a una serie di standard utilizzati nel settore IT e della sicurezza.