SóProvas

ID
644395
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO/IEC 15408, Security Targets (ST) especificam, antes e durante a fase de avaliação, o que deve ser avaliado. Neste papel, as ST servem de base de acordo para definição das propriedades exatas de segurança do alvo da avaliação, bem como do escopo exato de avaliação negociados entre o

Alternativas
Comentários

  • In an IT product certification process according to the Common Criteria (CC), a Security Target (ST) is the central document, typically provided by the developer of the product, that specifies security evaluation criteria to substantiate the vendor's claims for the product's security properties.

    An ST defines information assurance security requirements for the given information system product, which is called the Target of Evaluation (TOE). An ST is a complete and rigorous description of a security problem in terms of TOE description, threats, assumptions, security objectives, security functional requirements (SFRs), security assurance requirements (SARs), and rationales. The SARs are typically given as a number 1 through 7 called Evaluation Assurance Level (EAL), indicating the depth and rigor of the security evaluation, usually in the form of supporting documentation and testing, that the product meets the SFRs.

    An ST contains some (but not very detailed) implementation-specific information that demonstrates how the product addresses the security requirements. It may refer to one or more Protection Profiles (PPs). In such a case, the ST must fulfill the generic security requirements given in each of these PPs, and may define further requirements.

    Fonte: http://en.wikipedia.org/wiki/Security_Target

  • Pessoal, com uma definição clara dos objetivos da norma ISO/IEC 15.408 pode-se matar a questão.
    A norma acima é um framework que visa especificar os requisitos de segurança para produtos e serviços computacionais. Com essa especificação é possível guiar o desenvolvimento e avaliação de atributos de segurança dos produtos de software. 
    Vejam que o foco é guiar o desenvolvedor e o avaliador quanto aos critérios de segurança previstos na norma, detalhados nas ST (Security Targets). Assim, a alternativa A é a correta, pois fala esses dois perfis: desenvolvedor e avaliador.

    Espero ter ajudado!

  • "Before and during the evaluation, the ST specifies “what is to be evaluated”. In this role, the ST serves as a basis for agreement between the developer and the evaluator on the exact security properties of the TOE and the exact scope of the evaluation. Technical correctness and completeness are major issues for this role. Section A.7 describes how the ST should be used in this role."

     

    Fonte:http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R4.pdf, Página 61

  • Gabarito A

    Segundo a ISO/IEC 15408:

    Alvo de Segurança (Security Target – ST): trata-se de um documento que identifica as propriedades de segurança de um alvo de avaliação. Pode fazer referência a um ou mais PPs. O Alvo de Avaliação é avaliado de acordo com os (Requisitos de Segurança Funcional – SFRs) estabelecidos no documento neste documento (ST), sem nada a mais ou a menos. Isso permite com que os fornecedores adequem a avaliação para casar de forma adequada com as capacidades pretendidas pelo produto – isso significa que um software de firewall não necessariamente tem de cumprir com os mesmos requisitos de segurança que um software de gerenciamento de banco de dados, por exemplo. Em geral, o ST é publicado, assim potenciais consumidores podem determinar as características de segurança que foram certificadas ao longo da avaliação.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !