Articulo de referencia

Security Content Automation Protocol

The Security Content Automation Protocol ( SCAP ) is a method for using specific standards to enable automated vulnerability management, measurement, and policy compliance evalu...

The Security Content Automation Protocol (SCAP) is a method for using specific standards to enable automated vulnerability management, measurement, and policy compliance evaluation of systems deployed in an organization, including e.g., FISMA (Federal Information Security Management Act, 2002) compliance. The National Vulnerability Database (NVD) is the U.S. government content repository for SCAP. An example of an implementation of SCAP is OpenSCAP. SCAP is a suite of tools that have been compiled to be compatible with various protocols for things like configuration management, compliance requirements, software flaws, or vulnerabilities patching. Accumulation of these standards provides a means for data to be communicated between humans and machines efficiently. The objective of the framework is to promote a communal approach to the implementation of automated security mechanisms that are not monopolized.[1]

Purpose

To guard against security threats, organizations need to continuously monitor the computer systems and applications they have deployed, incorporate security upgrades to software and deploy updates to configurations. The Security Content Automation Protocol (SCAP), pronounced "ess-cap"[2] but most commonly as "skap", comprises a number of open standards that are widely used to enumerate software flaws and configuration issues related to security. Applications which conduct security monitoring use the standards when measuring systems to find vulnerabilities, and offer methods to score those findings in order to evaluate the possible impact. The SCAP suite of specifications standardize the nomenclature and formats used by these automated vulnerability management, measurement, and policy compliance products.

SCAP Checklists

Las listas de verificación del Protocolo de Automatización de Contenido de Seguridad (SCAP) estandarizan y automatizan la vinculación entre las configuraciones de seguridad informática y el marco de controles de la Publicación Especial 800-53 (SP 800-53) del NIST . Desde 2018, la versión 1.3 de SCAP se utiliza para la medición inicial y el monitoreo continuo de la configuración de seguridad y los controles SP 800-53 correspondientes. Es probable que las futuras versiones estandaricen y automaticen la implementación y modificación de la configuración de seguridad de los controles SP 800-53 correspondientes. De esta manera, SCAP contribuye a las etapas de implementación, evaluación y monitoreo del Marco de Gestión de Riesgos del NIST. Por consiguiente, SCAP forma parte integral del proyecto de implementación de NIST FISMA .

Programa de validación SCAP

El Programa de Validación SCAP evalúa la capacidad de los productos para cumplir con los estándares SCAP. El Programa Nacional Voluntario de Acreditación de Laboratorios (NVLAP) del NIST acredita laboratorios independientes para realizar validaciones SCAP. Un proveedor de un escáner de configuración de sistemas informáticos puede validar su producto según SCAP, demostrando así su interoperabilidad con otros escáneres y la presentación estandarizada de los resultados. Los proveedores que deseen validar un producto pueden contactar con un laboratorio de validación SCAP acreditado por NVLAP para obtener asistencia durante el proceso.

Los clientes que estén sujetos a los requisitos de la FISMA o que deseen utilizar productos de seguridad que hayan sido probados y validados según el estándar SCAP por un laboratorio independiente externo, deben visitar la página web de productos validados por SCAP para verificar el estado de los productos que estén considerando.

Componentes SCAP

SCAP define cómo se combinan los siguientes estándares (denominados "Componentes" de SCAP): A partir de la versión 1.0 de SCAP (noviembre de 2009).

A partir de la versión 1.1 de SCAP (febrero de 2011)

  • Lenguaje interactivo de listas de verificación abiertas (OCIL) Versión 2.0

A partir de la versión 1.2 de SCAP (septiembre de 2011)

  • Identificación de Activos (AID)
  • Formato de informe de activos (ARF)
  • Sistema de puntuación de configuración común (CCSS)
  • Modelo de confianza para datos de automatización de seguridad (TMSAD)

A partir de la versión 1.3 de SCAP (febrero de 2018)

  • Etiquetas de identificación de software (SWID)

Referencias

  1. ^ División de Seguridad Informática, Laboratorio de Tecnología de la Información (7 de diciembre de 2016). "Protocolo de automatización de contenido seguro | CSRC | CSRC" . CSRC | NIST . Consultado el 15 de enero de 2024 .
  2. ^ Radack, Shirley; Kuhn, Rick (4 de febrero de 2011). "Gestión de la seguridad: el protocolo de automatización de contenido de seguridad". IT Professional . 13 (1): 9– 11. Bibcode : 2011ITPro..13a...9R . doi : 10.1109/MITP.2011.11 . ISSN 1520-9202 . S2CID 5344382 .  
  • Sitio web del Protocolo de automatización de contenido seguro
  • Sitio web de la Base de Datos Nacional de Vulnerabilidad
  • Sitio web de Mitre "Haciendo que la seguridad sea medible"
  • Búsqueda SCAP
Obtenido de " https://en.wikipedia.org/w/index.php?title=Security_Content_Automation_Protocol&oldid=1359662327 "