Протокол автоматизации содержимого безопасности (SCAP ) - это метод использования специальные стандарты для обеспечения автоматического управления уязвимостями, измерения и оценки соответствия политикам систем, развернутых в организации, включая, например, соответствие FISMA (Федеральный закон об управлении информационной безопасностью, 2002 г.). Национальная база данных об уязвимостях (NVD) - это хранилище правительственного контента США для SCAP. Примером реализации SCAP является OpenSCAP.
Для защиты от угроз безопасности, организациям необходимо постоянно контролировать компьютерные системы и приложения, которые они развернули, включать обновления безопасности в программное обеспечение и развертывать обновления конфигураций. Протокол автоматизации безопасности содержимого (SCAP), произносится как «ess-cap», но чаще всего как «skap», включает в себя ряд открытых стандартов, которые широко используются для перечисления недостатков программного обеспечения и проблем конфигурации, связанных с безопасностью. Приложения, которые проводят мониторинг безопасности, используют стандарты при измерении систем для поиска уязвимостей и предлагают методы оценки этих результатов для оценки возможного воздействия. Набор спецификаций SCAP стандартизирует номенклатуру и форматы, используемые этими продуктами для автоматического управления уязвимостями, измерения и соблюдения политик.
Производитель сканера конфигурации компьютерной системы может проверить свой продукт по протоколу SCAP, продемонстрировав, что он будет взаимодействовать с другими сканерами и выражать результаты сканирования стандартизированным способом.
SCAP определяет, как объединяются следующие стандарты (называемые «Компоненты SCAP»):
Начиная с версии 1.0 SCAP (ноябрь 2009 г.)
Начиная с версии 1.1 SCAP (февраль, 2011)
Начиная с версии 1.2 SCAP (сентябрь 2011 г.)
Начиная с SCAP версии 1.3 (февраль 2018 г.)
Безопасность Протокол автоматизации контента Контрольные списки (SCAP) стандартизируют и позволяют автоматизировать связь между конфигурациями компьютерной безопасности и структурой управления NIST специальной публикации 800-53 (SP 800-53). Текущая версия SCAP предназначена для выполнения начальных измерений и постоянного мониторинга настроек безопасности и соответствующих элементов управления SP 800-53. В будущих версиях, скорее всего, будет стандартизована и обеспечена автоматизация внедрения и изменения настроек безопасности соответствующих элементов управления SP 800-53. Таким образом, SCAP способствует этапам реализации, оценки и мониторинга структуры управления рисками NIST. Соответственно, SCAP является неотъемлемой частью проекта внедрения NIST FISMA.
Программа проверки SCAP проверяет способность продуктов использовать стандарты SCAP. NIST (NVLAP) аккредитует независимые лаборатории в рамках программы для выполнения валидации SCAP.
Поставщик, которому требуется валидация продукта, может обратиться в аккредитованную NVLAP лабораторию валидации SCAP за помощью в процессе валидации.
Заказчик, который подчиняется требованиям FISMA или желает использовать продукты безопасности, которые были протестированы и подтверждены в соответствии со стандартом SCAP независимой сторонней лабораторией, должен посетить Веб-страница продуктов, прошедших валидацию SCAP, для проверки статуса рассматриваемых продуктов.