Wat is een beveiligingsdoel?
Een beveiligingsdoel (ST) is de naam van een document dat is gemaakt door een IT-beveiligingsbedrijf of -bedrijf met betrekking tot een bepaalde toepassing of bedrijf waarmee het samenwerkt. Een bepaalde softwareontwikkelaar die antivirusprogramma's maakt, kan bijvoorbeeld een ST bieden voor een specifiek programma om de soorten beveiligingsbedreigingen te documenteren die het is ontworpen om te detecteren en af te handelen voor een klant. Een beveiligingsdoel kan ook worden uitgegeven door een IT-beveiligingsservice voor een bepaald bedrijf waarmee het werkt, waarin het specifieke manieren beschrijft waarop dat bedrijf kwetsbaar is voor aanvallen en informatie geeft over hoe de beveiliging voor dat bedrijf kan worden verhoogd.
De naam "beveiligingsdoel" verwijst naar het eigenlijke document dat is opgesteld door een IT-beveiligingsbedrijf om in detail te beschrijven hoe dat bedrijf anderen kan helpen beveiligen. Specifieke informatie in dit type document kan variëren, afhankelijk van het soort bedreigingen waarmee een bedrijf kan worden geconfronteerd of de services die bedrijven kunnen bieden. Over het algemeen biedt een beveiligingsdoel meestal echter uitgebreide informatie over de beveiligingsbehoeften van een persoon of bedrijf en hoe hieraan kan worden voldaan.
Een softwareontwikkelaar kan bijvoorbeeld een beveiligingsdoel opstellen om aan te geven met welke soorten bedreigingen een nieuw beveiligingsprogramma kan omgaan. Het beveiligingsdoel voor een nieuw antivirusprogramma kan wijzen op de soorten virussen en andere malware die de software kan vinden en waarmee een klant kan omgaan. Als er specifieke problemen zijn met dit programma met valse positieven of waarbij bepaalde vormen van malware niet worden gevonden, kan dit in het document worden opgenomen. Al deze informatie wordt meestal verstrekt met verwijzing naar het evaluatiedoel (TOE), meestal een bepaald bedrijf dat een bepaald product of een bepaalde service kan gebruiken.
Het beveiligingsdoel dat wordt gegenereerd door een IT-beveiligingsservice, kan ook betrekking hebben op de specifieke behoeften en bedreigingen voor een bepaald bedrijf. In dit geval is de TOE niet alleen het bedrijf zelf, maar ook specifieke bestanden en soorten informatie waarover het bedrijf beschikt. Zodra de TOE is benoemd en gedetailleerd, geeft het beveiligingsdoel meestal informatie over hoe bedreigingen kunnen worden aangepakt, hoewel op een vrij algemene manier die geen beveiligingshulp biedt zonder het gebruik van de services van dat bedrijf. Al deze informatie wordt meestal gemaakt en verstrekt met behulp van Common Criteria for Information Technology Security Evaluation of "common criteria", die verwijst naar een reeks normen die worden gebruikt in de IT- en beveiligingsindustrie.