Стандарт SCAP

Протокол автоматизации управления данными безопасности (SCAP) — набор открытых стандартов, определяющих технические спецификации для представления и обмена данными по безопасности. Эти данные могут быть использованы для нескольких целей, включая автоматизацию процесса поиска уязвимостей, оценки соответствия технических механизмов контроля и измерения уровня защищенности. Правительство, совместно с научными и коммерческими организациями, использует и поддерживает распространение SCAP.

SCAP состоит из следующих стандартов:

Типовые уязвимости и ошибки конфигурации (Common Vulnerabilities and Exposures CVE(r)) ^[1]
Список типовых конфигураций (Common Configuration Enumeration CCE™) ^[2]
Список типовых платформ (Common Platform Enumeration CPE) ^[3]
Единая система определения величины уязвимостей (Common Vulnerability Scoring System CVSS) ^[4]
Расширяемый формат описания списка проверки конфигурации (Extensible Configuration Checklist Description Format XCCDF) ^[5]
Открытый язык описания уязвимостей и оценки (Open Vulnerability and Assessment Language OVAL™) ^[6]

SCAP — это часть более широкой программы, Программы Автоматизации ИБ (ISAP). ISAP создана для выполнения задач автоматизации процессов внедрения и проверки механизмов безопасности информационных систем (ИС). Цели ISAP включают в себя разработку требований для автоматического обмена данными ИБ, настройку и управление базовыми конфигурациями для различных ИТ продуктов, оценку ИС и проверку соответствия требованиям, использование стандартных метрик для оценки и подсчёта интегрального влияния уязвимостей, устранение обнаруженных уязвимостей. NIST осуществляет руководство данной инициативой совместно с Управлением информационных систем (англ. Defense Information Systems Agency), NSA и DHS (в качестве спонсора).

См. также

Примечания

↑ Стандарт CVE Архивная копия от 19 декабря 2020 на Wayback Machine, (англ.)
↑ Стандарт CCE Архивная копия от 6 января 2008 на Wayback Machine, (англ.)
↑ Стандарт CPE Архивная копия от 13 мая 2016 на Wayback Machine, (англ.)
↑ Стандарт CVSS Архивная копия от 8 марта 2022 на Wayback Machine, (англ.)
↑ Стандарт XCCDF Архивная копия от 19 июня 2016 на Wayback Machine, (англ.)
↑ Стандарт OVAL Архивная копия от 24 февраля 2021 на Wayback Machine, (англ.)

Ссылки

Официальный сайт SCAP (англ.)
Официальный сайт ISAP (англ.)

[1] Стандарт CVE Архивная копия от 19 декабря 2020 на Wayback Machine, (англ.)

[2] Стандарт CCE Архивная копия от 6 января 2008 на Wayback Machine, (англ.)

[3] Стандарт CPE Архивная копия от 13 мая 2016 на Wayback Machine, (англ.)

[4] Стандарт CVSS Архивная копия от 8 марта 2022 на Wayback Machine, (англ.)

[5] Стандарт XCCDF Архивная копия от 19 июня 2016 на Wayback Machine, (англ.)

[6] Стандарт OVAL Архивная копия от 24 февраля 2021 на Wayback Machine, (англ.)

[1]

[2]

[3]

[4]

[5]

[6]