Na norma ISO/IEC 15408, os termos: alvo de avaliação (TOE - ...

Gabarito: Errado

Vamos entender o motivo por trás dessa resposta e clarificar os conceitos importantes da norma ISO/IEC 15408, conhecida como Critérios Comuns (Common Criteria) para avaliação de segurança de TI.

A ISO/IEC 15408 é um padrão internacional para a avaliação da segurança de sistemas de informação e produtos de TI. Dentro dessa norma, temos alguns termos-chave que são essenciais para compreender a questão:

• TOE (Target of Evaluation): refere-se ao alvo de avaliação, ou seja, o conjunto de software, hardware e/ou firmware que está sendo avaliado.
• PP (Protection Profile): trata-se de um documento que define uma classe de dispositivos, especificando as necessidades de segurança e os requisitos de segurança funcionais e de garantia que devem ser satisfeitos. Portanto, é correto dizer que um PP corresponde a uma classe de dispositivos.
• ST (Security Target): é a declaração de necessidades de segurança específicas para o TOE. Assim, descreve as necessidades e os requisitos de segurança que o TOE deve cumprir.
• SFR (Security Functional Requirements): são os requisitos funcionais de segurança que o TOE deve atender. Eles são componentes do PP e do ST.

Agora, vamos analisar as definições fornecidas na questão e compará-las com as definições corretas:

• TOE: um conjunto de software, firmware e(ou) hardware. Esta definição está correta.
• PP: uma classe de dispositivos. Esta definição também está correta.
• ST: uma declaração de necessidades de segurança. Esta definição está correta.
• SFR: um objeto a ser avaliado. Esta definição está incorreta. Os SFR são os requisitos funcionais de segurança que o TOE deve atender, não um objeto a ser avaliado.

Portanto, a alternativa é Errada porque a definição de SFR está incorreta. Os SFR são os requisitos funcionais de segurança que devem ser satisfeitos pelo TOE e não um objeto a ser avaliado.

Espero que esta explicação tenha clarificado o assunto. Caso tenha mais dúvidas, estarei à disposição para ajudar!

Os termos estão descritos na ordem errada, abaixo tento "casar" as descrições, será que está correto?

alvo de avaliação (TOE - target of evaluation) - um objeto a ser avaliado.

perfil de proteção (PP - protection profile) - uma classe de dispositivos; 

alvo de segurança (ST - security target) - um conjunto de software, firmware e(ou) hardware

requisitos funcionais de segurança (SFR - security funcional requirements)  - uma declaração de necessidades de segurança; 
 

Segundo a ISO/IEC 15408, a definição de TOE (target of evaluation) é "set of software, firmware and/or hardware possibly accompanied by guidance".

Fonte: ISO/IEC 15408-1, página 14.

Correto dessa forma:

alvo de avaliação (TOE - target of evaluation) - um conjunto de software, firmware e(ou) hardware

perfil de proteção (PP - protection profile) - uma classe de dispositivos; 

alvo de segurança (ST - security target) - um objeto a ser avaliado.

requisitos funcionais de segurança (SFR - security funcional requirements)  - uma declaração de necessidades de segurança; 

Pessoal, o mapeamento correto de conceitos é o que está feito pelo coleta André Veras, não pelo colega Thiago!

Gabarito Errado

alvo de avaliação (TOE - target of evaluation) - um conjunto de software, firmware e(ou) hardware

perfil de proteção (PP - protection profile) - uma classe de dispositivos; 

alvo de segurança (ST - security target) - um objeto a ser avaliado.

requisitos funcionais de segurança (SFR - security funcional requirements) - uma declaração de necessidades de segurança; 

"Retroceder Nunca Render-se Jamais !"

Força e Fé !

Fortuna Audaces Sequitur !