Протокол автоматизации контента безопасности
Эта статья включает список общих ссылок , но в ней отсутствуют достаточные соответствующие встроенные цитаты . ( сентябрь 2023 г. ) |
Протокол автоматизации контента безопасности ( SCAP ) — это метод использования конкретных стандартов для обеспечения автоматического управления уязвимостями, измерения и оценки соответствия политикам систем, развернутых в организации, включая, например, FISMA (Федеральному закону об управлении информационной безопасностью, 2002 г.) соответствие . Национальная база данных уязвимостей (NVD) — это хранилище контента правительства США для SCAP. Примером реализации SCAP является OpenSCAP. SCAP — это набор инструментов, скомпилированных для совместимости с различными протоколами для таких задач, как управление конфигурацией, требования соответствия, дефекты программного обеспечения или исправление уязвимостей. Накопление этих стандартов обеспечивает средства для эффективной передачи данных между людьми и машинами. Целью структуры является продвижение коллективного подхода к реализации автоматизированных механизмов безопасности, которые не являются монополизированными. [1]
Цель
[ редактировать ]Чтобы защититься от угроз безопасности, организациям необходимо постоянно контролировать развернутые ими компьютерные системы и приложения, внедрять обновления безопасности программного обеспечения и развертывать обновления конфигураций. Протокол автоматизации контента безопасности (SCAP), произносится как «ess-cap». [2] но чаще всего «skap» включает в себя ряд открытых стандартов, которые широко используются для перечисления недостатков программного обеспечения и проблем конфигурации, связанных с безопасностью. Приложения, которые проводят мониторинг безопасности, используют стандарты при измерении систем для поиска уязвимостей и предлагают методы оценки этих результатов для оценки возможного воздействия. Набор спецификаций SCAP стандартизирует номенклатуру и форматы, используемые этими продуктами для автоматического управления уязвимостями, измерениями и соответствием политикам.
Контрольные списки SCAP
[ редактировать ]Контрольные списки протокола автоматизации контента безопасности (SCAP) стандартизируют и позволяют автоматизировать связь между конфигурациями компьютерной безопасности и NIST структурой средств управления специальной публикации 800-53 (SP 800-53). С 2018 года версия 1.3 SCAP предназначена для выполнения первоначального измерения и постоянного мониторинга настроек безопасности и соответствующих элементов управления SP 800-53. Будущие версии, вероятно, будут стандартизировать и позволят автоматизировать внедрение и изменение настроек безопасности соответствующих элементов управления SP 800-53. Таким образом, SCAP способствует реализации, оценке и мониторингу системы управления рисками NIST. Соответственно, SCAP является неотъемлемой частью проекта внедрения NIST FISMA .
Программа проверки SCAP
[ редактировать ]Программа проверки SCAP проверяет способность продуктов использовать стандарты SCAP. NIST Национальная программа добровольной аккредитации лабораторий (NVLAP) аккредитует независимые лаборатории в рамках программы для проведения проверок SCAP. Поставщик сканера конфигурации компьютерной системы может проверить свой продукт на соответствие SCAP, продемонстрировав, что он будет взаимодействовать с другими сканерами и отображать результаты сканирования стандартизированным способом. Поставщики, желающие пройти валидацию продукта, могут обратиться в лабораторию SCAP, аккредитованную NVLAP, для получения помощи в процессе валидации.
Клиент, на которого распространяются требования FISMA или который хочет использовать продукты безопасности, которые были протестированы и проверены на соответствие стандарту SCAP независимой сторонней лабораторией, должен посетить веб-страницу продуктов, проверенных SCAP, чтобы проверить статус продукта(ов). ) рассматривается.
Компоненты SCAP
[ редактировать ]SCAP определяет, как объединяются следующие стандарты (называемые «Компонентами SCAP»): Начиная с версии SCAP 1.0 (ноябрь 2009 г.)
- Распространенные уязвимости и риски (CVE)
- Общее перечисление конфигурации (CCE) ( предыдущий веб-сайт MITRE )
- Общее перечисление платформ (CPE)
- Общая система оценки уязвимостей (CVSS)
- Формат описания расширяемого контрольного списка конфигурации (XCCDF)
- Открытый язык уязвимостей и оценки (OVAL)
Начиная с версии SCAP 1.1 (февраль 2011 г.)
Начиная с версии SCAP 1.2 (сентябрь 2011 г.)
- Идентификация активов (AID)
- Формат отчетности об активах (ARF)
- Общая система оценки конфигурации (CCSS)
- Модель доверия для данных автоматизации безопасности (TMSAD)
Начиная с версии SCAP 1.3 (февраль 2018 г.)
Ссылки
[ редактировать ]- ^ Отдел компьютерной безопасности Лаборатории информационных технологий (7 декабря 2016 г.). «Протокол автоматизации контента безопасности | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 15 января 2024 г.
- ^ Радак, Ширли; Кун, Рик (4 февраля 2011 г.). «Управление безопасностью: протокол автоматизации содержимого безопасности» . ИТ-специалист . 13 (1): 9–11. дои : 10.1109/MITP.2011.11 . ISSN 1520-9202 . S2CID 5344382 .