Hva er et sikkerhetsmål?
Et sikkerhetsmål (ST) er navnet på et dokument opprettet av et IT-sikkerhetsselskap (IT) eller virksomhet med hensyn til en bestemt applikasjon eller et selskap den jobber med. For eksempel kan en bestemt programvareutvikler som lager antivirusprogrammer, gi en ST for et spesifikt program for å dokumentere hvilke typer sikkerhetstrusler den er designet for å oppdage og håndtere for en kunde. Et sikkerhetsmål kan også bli utstedt av en IT-sikkerhetstjeneste for et bestemt selskap det jobber med, der det beskriver spesifikke måter det selskapet er utsatt for angrep på og gir informasjon om hvordan sikkerheten kan økes for det selskapet.
Navnet “sikkerhetsmål” refererer til det faktiske dokumentet som er utarbeidet av et IT-sikkerhetsselskap for å detaljere måter det selskapet kan bidra til å sikre andre på. Spesifikk informasjon gitt i denne typen dokumenter kan variere avhengig av hvilke trusler et selskap kan bli utsatt for eller hvilke tjenester virksomheten kan tilby. Generelt gir imidlertid et sikkerhetsmål vanligvis omfattende informasjon om sikkerhetsbehovene til et individ eller selskap og hvordan disse behovene kan oppfylles.
En programvareutvikler kan for eksempel utarbeide et sikkerhetsmål for å indikere hvilke trusler et nytt sikkerhetsprogram kan håndtere. Sikkerhetsmålet for et nytt antivirusprogram kan indikere hvilke typer virus og annen skadelig programvare programvaren kan finne og håndtere for en kunde. Hvis det er noen spesifikke problemer dette programmet har med falske positiver eller ikke finner visse former for skadelig programvare, kan dette være inkludert i dokumentet. All denne informasjonen blir vanligvis gitt med henvisning til evalueringsmålet (TOE), som typisk er et bestemt selskap som kan bruke et gitt produkt eller tjeneste.
Sikkerhetsmålet generert av en IT-sikkerhetstjeneste kan også håndtere de spesifikke behovene og truslene for et bestemt selskap. I dette tilfellet er TOE ikke bare selskapet selv, men også spesifikke filer og typer informasjon selskapet har. Når TOE er navngitt og detaljert, gir sikkerhetsmålet vanligvis informasjon om hvordan trusler kan håndteres, men på en ganske generell måte som ikke gir sikkerhetshjelp uten bruk av det selskapets tjenester. All denne informasjonen er vanligvis laget og gitt ved bruk av vanlige kriterier for informasjonsteknologisikkerhetsvurdering eller "vanlige kriterier", som refererer til et sett med standarder brukt i IT- og sikkerhetsbransjen.