Jump to content

Протокол автоматизации контента безопасности

Протокол автоматизации контента безопасности ( SCAP ) — это метод использования конкретных стандартов для обеспечения автоматического управления уязвимостями, измерения и оценки соответствия политикам систем, развернутых в организации, включая, например, FISMA (Федеральному закону об управлении информационной безопасностью, 2002 г.) соответствие . Национальная база данных уязвимостей (NVD) — это хранилище контента правительства США для SCAP. Примером реализации SCAP является OpenSCAP. SCAP — это набор инструментов, скомпилированных для совместимости с различными протоколами для таких задач, как управление конфигурацией, требования соответствия, дефекты программного обеспечения или исправление уязвимостей. Накопление этих стандартов обеспечивает средства для эффективной передачи данных между людьми и машинами. Целью структуры является продвижение коллективного подхода к реализации автоматизированных механизмов безопасности, которые не являются монополизированными. [1]

Чтобы защититься от угроз безопасности, организациям необходимо постоянно контролировать развернутые ими компьютерные системы и приложения, внедрять обновления безопасности программного обеспечения и развертывать обновления конфигураций. Протокол автоматизации контента безопасности (SCAP), произносится как «ess-cap». [2] но чаще всего «skap» включает в себя ряд открытых стандартов, которые широко используются для перечисления недостатков программного обеспечения и проблем конфигурации, связанных с безопасностью. Приложения, которые проводят мониторинг безопасности, используют стандарты при измерении систем для поиска уязвимостей и предлагают методы оценки этих результатов для оценки возможного воздействия. Набор спецификаций SCAP стандартизирует номенклатуру и форматы, используемые этими продуктами для автоматического управления уязвимостями, измерениями и соответствием политикам.

Контрольные списки SCAP

[ редактировать ]

Контрольные списки протокола автоматизации контента безопасности (SCAP) стандартизируют и позволяют автоматизировать связь между конфигурациями компьютерной безопасности и NIST структурой средств управления специальной публикации 800-53 (SP 800-53). С 2018 года версия 1.3 SCAP предназначена для выполнения первоначального измерения и постоянного мониторинга настроек безопасности и соответствующих элементов управления SP 800-53. Будущие версии, вероятно, будут стандартизировать и позволят автоматизировать внедрение и изменение настроек безопасности соответствующих элементов управления SP 800-53. Таким образом, SCAP способствует реализации, оценке и мониторингу системы управления рисками NIST. Соответственно, SCAP является неотъемлемой частью проекта внедрения NIST FISMA .

Программа проверки SCAP

[ редактировать ]

Программа проверки SCAP проверяет способность продуктов использовать стандарты SCAP. NIST Национальная программа добровольной аккредитации лабораторий (NVLAP) аккредитует независимые лаборатории в рамках программы для проведения проверок SCAP. Поставщик сканера конфигурации компьютерной системы может проверить свой продукт на соответствие SCAP, продемонстрировав, что он будет взаимодействовать с другими сканерами и отображать результаты сканирования стандартизированным способом. Поставщики, желающие пройти валидацию продукта, могут обратиться в лабораторию SCAP, аккредитованную NVLAP, для получения помощи в процессе валидации.

Клиент, на которого распространяются требования FISMA или который хочет использовать продукты безопасности, которые были протестированы и проверены на соответствие стандарту SCAP независимой сторонней лабораторией, должен посетить веб-страницу продуктов, проверенных SCAP, чтобы проверить статус продукта(ов). ) рассматривается.

Компоненты SCAP

[ редактировать ]

SCAP определяет, как объединяются следующие стандарты (называемые «Компонентами SCAP»): Начиная с версии SCAP 1.0 (ноябрь 2009 г.)

Начиная с версии SCAP 1.1 (февраль 2011 г.)

Начиная с версии SCAP 1.2 (сентябрь 2011 г.)

Начиная с версии SCAP 1.3 (февраль 2018 г.)

  1. ^ Отдел компьютерной безопасности Лаборатории информационных технологий (7 декабря 2016 г.). «Протокол автоматизации контента безопасности | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 15 января 2024 г.
  2. ^ Радак, Ширли; Кун, Рик (4 февраля 2011 г.). «Управление безопасностью: протокол автоматизации содержимого безопасности» . ИТ-специалист . 13 (1): 9–11. дои : 10.1109/MITP.2011.11 . ISSN   1520-9202 . S2CID   5344382 .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 930af488600f2f7923eace555cac74f9__1706320140
URL1:https://arc.ask3.ru/arc/aa/93/f9/930af488600f2f7923eace555cac74f9.html
Заголовок, (Title) документа по адресу, URL1:
Security Content Automation Protocol - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)