Content Security Automation Protocol ( СПКИ ) представляет собой метод с использованием стандартов , характерными для включения автоматического управления уязвимостями, измерения и оценки соответствия политики систем , развернутых в организациях, в том числе , например, FISMA (Федеральный закон об управлении информационной безопасности, 2002) соответствия. Национальная база данных уязвимостей (NVD) является правительство США хранилища контента для СПОК. Примером реализации SCAP является OpenSCAP.
Цель
Для защиты от угроз безопасности организациям необходимо постоянно контролировать компьютерные системы и приложения, которые они развернули, включать обновления безопасности в программное обеспечение и развертывать обновления конфигураций. Протокол автоматизации безопасности содержимого (SCAP), произносится как «ess-cap», но чаще всего как «skap», включает в себя ряд открытых стандартов, которые широко используются для перечисления недостатков программного обеспечения и проблем конфигурации, связанных с безопасностью. Приложения, которые проводят мониторинг безопасности, используют стандарты при измерении систем для поиска уязвимостей и предлагают методы оценки этих результатов для оценки возможного воздействия. Набор спецификаций SCAP стандартизирует номенклатуру и форматы, используемые этими продуктами для автоматического управления уязвимостями, измерения и обеспечения соответствия политикам.
Поставщик сканера конфигурации компьютерной системы может проверить свой продукт по протоколу SCAP, продемонстрировав, что он будет взаимодействовать с другими сканерами и выражать результаты сканирования стандартизированным способом.
SCAP определяет, как сочетаются следующие стандарты (называемые «Компоненты SCAP»):
Компоненты SCAP
Начиная с версии 1.0 SCAP (ноябрь 2009 г.)
- Общие уязвимости и воздействия (CVE)
- Common Configuration Enumeration (CCE) ( предыдущий веб-сайт MITER )
- Перечисление общей платформы (CPE)
- Общая система оценки уязвимостей (CVSS)
- Расширяемый формат описания контрольного списка конфигурации (XCCDF)
- Открытый язык уязвимостей и оценки (OVAL)
Начиная с версии 1.1 SCAP (февраль 2011 г.)
Начиная с версии 1.2 SCAP (сентябрь 2011 г.)
- Идентификация активов (AID)
- Формат отчетности по активам (ARF)
- Общая система оценки конфигурации (CCSS)
- Модель доверия для данных автоматизации безопасности (TMSAD)
Начиная с версии 1.3 SCAP (февраль 2018 г.)
Контрольные списки SCAP
Контрольные списки протокола автоматизации безопасности контента (SCAP) стандартизируют и обеспечивают автоматизацию связи между конфигурациями компьютерной безопасности и структурой управления NIST Special Publication 800-53 (SP 800-53). Текущее [ когда? ] версия SCAP предназначена для выполнения начального измерения и постоянного мониторинга настроек безопасности и соответствующих элементов управления SP 800-53. Будущие версии, вероятно, будут стандартизированы и позволят автоматизировать внедрение и изменение настроек безопасности соответствующих элементов управления SP 800-53. Таким образом, SCAP способствует реализации, оценке и мониторингу структуры управления рисками NIST. Соответственно, SCAP является неотъемлемой частью проекта внедрения NIST FISMA .
Программа валидации SCAP
Программа проверки SCAP проверяет способность продуктов использовать стандарты SCAP. Национальная программа добровольной аккредитации лабораторий NIST (NVLAP) аккредитует независимые лаборатории в рамках программы для выполнения валидации SCAP.
Поставщик, желающий провести валидацию продукта, может обратиться в аккредитованную NVLAP лабораторию валидации SCAP за помощью в процессе валидации.
Заказчик, который подчиняется требованиям FISMA или желает использовать продукты безопасности, которые были протестированы и подтверждены в соответствии со стандартом SCAP независимой сторонней лабораторией, должен посетить веб-страницу продуктов, прошедших валидацию SCAP, чтобы проверить статус продукта (ов) ) рассматривается.