Co to jest cel bezpieczeństwa?
Cel bezpieczeństwa (ST) to nazwa dokumentu utworzonego przez firmę lub firmę zajmującą się bezpieczeństwem technologii informatycznych (IT) w odniesieniu do konkretnej aplikacji lub firmy, z którą współpracuje. Na przykład konkretny twórca oprogramowania, który tworzy programy antywirusowe, może udostępnić ST dla określonego programu w celu udokumentowania rodzajów zagrożeń bezpieczeństwa, które ma wykrywać i radzić sobie z klientem. Cel bezpieczeństwa może być również wydany przez usługę bezpieczeństwa IT dla konkretnej firmy, z którą współpracuje, w której wyszczególnia konkretne sposoby narażenia tej firmy na atak i dostarcza informacji o tym, w jaki sposób można zwiększyć bezpieczeństwo dla tej firmy.
Nazwa „cel bezpieczeństwa” odnosi się do faktycznego dokumentu sporządzonego przez firmę zajmującą się bezpieczeństwem IT, aby szczegółowo opisać, w jaki sposób firma ta może pomóc zabezpieczyć innych. Szczegółowe informacje zawarte w tego rodzaju dokumentach mogą się różnić w zależności od rodzajów zagrożeń, przed którymi może stanąć firma, lub usług, które może zapewnić firma. Zasadniczo jednak cel dotyczący bezpieczeństwa zwykle dostarcza obszernych informacji na temat potrzeb bezpieczeństwa danej osoby lub firmy oraz sposobu, w jaki można je zaspokoić.
Deweloper oprogramowania może na przykład ustalić cel bezpieczeństwa, aby wskazać rodzaje zagrożeń, z którymi może poradzić sobie nowy program bezpieczeństwa. Cel bezpieczeństwa nowego programu antywirusowego może wskazywać rodzaje wirusów i innego złośliwego oprogramowania, które oprogramowanie może znaleźć i z którym może sobie poradzić klient. Jeśli są jakieś specyficzne problemy, które ten program ma z fałszywymi alarmami lub nie znajduje określonych form złośliwego oprogramowania, może to zostać uwzględnione w dokumencie. Wszystkie te informacje są zazwyczaj podawane w odniesieniu do celu oceny (TOE), którym zazwyczaj jest konkretna firma, która może skorzystać z danego produktu lub usługi.
Cel bezpieczeństwa generowany przez usługę bezpieczeństwa IT może również uwzględniać określone potrzeby i zagrożenia dla konkretnej firmy. W tym przypadku TOE to nie tylko sama firma, ale także określone pliki i rodzaje informacji, które firma ma. Gdy nazwa TOE zostanie nazwana i wyszczególniona, cel bezpieczeństwa zwykle zawiera informacje o tym, jak można sobie radzić z zagrożeniami, choć w dość ogólny sposób, który nie zapewnia pomocy w zakresie bezpieczeństwa bez korzystania z usług tej firmy. Wszystkie te informacje są zazwyczaj tworzone i przekazywane przy użyciu wspólnych kryteriów oceny bezpieczeństwa technologii informatycznych lub „wspólnych kryteriów”, które odnoszą się do zestawu standardów stosowanych w branży IT i branży bezpieczeństwa.