Un obiettivo di sicurezza (ST) è il nome di un documento creato da un’azienda o azienda di sicurezza informatica (IT) in relazione a una particolare applicazione o azienda con cui sta lavorando. Ad esempio, un particolare sviluppatore di software che crea programmi antivirus potrebbe fornire una ST per un programma specifico per documentare i tipi di minacce alla sicurezza che è progettato per rilevare e affrontare per un cliente. Un obiettivo di sicurezza può anche essere emesso da un servizio di sicurezza IT per una particolare azienda con cui sta lavorando, in cui descrive i modi specifici in cui tale azienda è vulnerabile agli attacchi e fornisce informazioni su come aumentare la sicurezza per quell’azienda.
Il nome “obiettivo di sicurezza” si riferisce al documento effettivo redatto da una società di sicurezza IT per dettagliare i modi in cui tale società può aiutare a proteggere gli altri. Le informazioni specifiche fornite in questo tipo di documento possono variare a seconda dei tipi di minacce che un’azienda può affrontare o dei servizi che l’azienda può fornire. In generale, tuttavia, un obiettivo di sicurezza di solito fornisce informazioni dettagliate sulle esigenze di sicurezza di un individuo o di un’azienda e su come tali esigenze potrebbero essere soddisfatte.
Uno sviluppatore di software può, ad esempio, elaborare un obiettivo di sicurezza per indicare i tipi di minacce che un nuovo programma di sicurezza può affrontare. L’obiettivo di sicurezza per un nuovo programma antivirus potrebbe indicare i tipi di virus e altri malware che il software può trovare e gestire per un cliente. Se ci sono problemi specifici che questo programma ha con falsi positivi o non trova determinate forme di malware, questo può essere incluso nel documento. Tutte queste informazioni sono generalmente fornite in riferimento all’obiettivo della valutazione (TOE), che è tipicamente una particolare azienda che potrebbe utilizzare un determinato prodotto o servizio.
L’obiettivo di sicurezza generato da un servizio di sicurezza IT potrebbe anche affrontare le esigenze e le minacce specifiche di una determinata azienda. In questo caso, il TOE non è solo l’azienda stessa, ma anche file e tipi di informazioni specifici che l’azienda ha. Una volta che il TOE è stato nominato e dettagliato, l’obiettivo della sicurezza di solito fornisce informazioni su come gestire le minacce, anche se in un modo abbastanza generale che non fornisce assistenza per la sicurezza senza l’uso dei servizi dell’azienda. Tutte queste informazioni vengono generalmente create e fornite utilizzando Common Criteria for Information Technology Security Evaluation o “criteri comuni”, che si riferiscono a una serie di standard utilizzati nel settore IT e della sicurezza.