Vad är ett säkerhetsmål?
Ett säkerhetsmål (ST) är namnet på ett dokument skapat av ett IT-säkerhetsföretag eller ett företag med avseende på en viss applikation eller ett företag som det arbetar med. Till exempel kan en viss programutvecklare som skapar antivirusprogram tillhandahålla en ST för ett specifikt program för att dokumentera de typer av säkerhetshot som den är utformad för att upptäcka och hantera för en kund. Ett säkerhetsmål kan också utfärdas av en IT-säkerhetstjänst för ett visst företag som det arbetar med, där det specificerar specifika sätt på vilket företaget är sårbart för attacker och ger information om hur säkerheten kan öka för det företaget.
Namnet ”säkerhetsmål” hänvisar till det verkliga dokumentet som utarbetats av ett IT-säkerhetsföretag för att beskriva hur det företaget kan hjälpa till att säkra andra. Specifik information som tillhandahålls i den här typen av dokument kan variera beroende på vilken typ av hot ett företag kan utsättas för eller vilka tjänster företag kan ge. I allmänhet ger emellertid ett säkerhetsmål vanligtvis omfattande information om en individs eller företags säkerhetsbehov och hur dessa behov kan tillgodoses.
En mjukvaruutvecklare kan till exempel utarbeta ett säkerhetsmål för att ange vilka typer av hot ett nytt säkerhetsprogram kan hantera. Säkerhetsmålet för ett nytt antivirusprogram kan indikera vilka typer av virus och annan skadlig programvara programvaran kan hitta och hantera för en kund. Om det finns några specifika problem som detta program har med falska positiva effekter eller inte hittar vissa former av skadlig programvara, kan detta inkluderas i dokumentet. All denna information tillhandahålls normalt med hänvisning till utvärderingsmålet (TOE), som vanligtvis är ett visst företag som kan använda en viss produkt eller tjänst.
Säkerhetsmålet som genereras av en IT-säkerhetstjänst kan också hantera de specifika behoven och hoten för ett visst företag. I detta fall är TOE inte bara företaget självt utan också specifika filer och typer av information som företaget har. När TOE har namngivits och detaljerats, ger säkerhetsmålet vanligtvis information om hur hot kan hanteras, dock på ett ganska allmänt sätt som inte tillhandahåller säkerhetsstöd utan att använda företagets tjänster. All denna information skapas och tillhandahålls vanligtvis med hjälp av gemensamma kriterier för utvärdering av informationsteknologi eller "vanliga kriterier", som hänvisar till en uppsättning standarder som används i IT- och säkerhetsbranschen.