Стандарт SCAP
Стандарт SCAP
Протокол автоматизации управления данными безопасности (SCAP) — набор открытых стандартов, определяющих технические спецификации для представления и обмена данными по безопасности. Эти данные могут быть использованы для нескольких целей, включая автоматизацию процесса поиска уязвимостей, оценки соответствия технических механизмов контроля и измерения уровня защищенности. Правительство, совместно с научными и коммерческими организациями, использует и поддерживает распространение SCAP.
SCAP состоит из следующих стандартов:
- Типовые уязвимости и ошибки конфигурации (Common Vulnerabilities and Exposures CVE(r)) [1]
- Список типовых конфигураций (Common Configuration Enumeration CCE™) [2]
- Список типовых платформ (Common Platform Enumeration CPE) [3]
- Единая система определения величины уязвимостей (Common Vulnerability Scoring System CVSS) [4]
- Расширяемый формат описания списка проверки конфигурации (Extensible Configuration Checklist Description Format XCCDF) [5]
- Открытый язык описания уязвимостей и оценки (Open Vulnerability and Assessment Language OVAL™) [6]
SCAP — это часть более широкой программы, Программы Автоматизации ИБ (ISAP). ISAP создана для выполнения задач автоматизации процессов внедрения и проверки механизмов безопасности информационных систем (ИС). Цели ISAP включают в себя разработку требований для автоматического обмена данными ИБ, настройку и управление базовыми конфигурациями для различных ИТ продуктов, оценку ИС и проверку соответствия требованиям, использование стандартных метрик для оценки и подсчёта интегрального влияния уязвимостей, устранение обнаруженных уязвимостей. NIST осуществляет руководство данной инициативой совместно с Управлением информационных систем (англ. Defense Information Systems Agency), NSA и DHS (в качестве спонсора).
Примечания
- Стандарт CVE, (англ.)
- Стандарт CCE, (англ.)
- Стандарт CPE, (англ.)
- Стандарт CVSS, (англ.)
- Стандарт XCCDF, (англ.)
- Стандарт OVAL, (англ.)
Ссылки
- Официальный сайт SCAP (англ.)
- Официальный сайт ISAP (англ.)