https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Security_Content_Automation_ProtocolSecurity Content Automation Protocol - Versionsgeschichte2026-05-27T06:53:23ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Security_Content_Automation_Protocol&diff=2899290&oldid=previmported>Mfeilner: Link zu Schwachstellenmanagement eingefügt2023-12-20T16:55:42Z<p>Link zu Schwachstellenmanagement eingefügt</p>
<p><b>Neue Seite</b></p><div>Das '''Security Content Automation Protocol''' ('''SCAP''') ist eine Methode für die Verwendung bestimmter Standards zur automatisierten Vulnerability-Management-, Mess- und Policy-Compliance-Auswertung (z.&nbsp;B. [[FISMA]] Compliance). Die [[National Vulnerability Database]] (NVD) ist das Content-Repository der US-Regierung für SCAP.<br />
<br />
== Zweck ==<br />
Das Security Content Automation Protocol (SCAP), ausgesprochen „ess-kap“, kombiniert eine Reihe von offenen Standards, die verwendet werden, um Software-Fehler und Konfigurationsprobleme in Bezug auf Sicherheit darzustellen. Sie messen Systeme, um Schwachstellen zu finden, und bieten Methoden, um mögliche Auswirkungen zu bewerten. Es ist eine Methode zum Einsatz offener Standards für die automatisierte Auswertung von [[Schwachstellenmanagement]], Datenerfassung und Einhaltung der Regeln. SCAP definiert, wie die folgenden Standards (bezeichnet als SCAP-Komponenten) kombiniert sind:<br />
<br />
=== SCAP-Komponenten ===<br />
* [[Common Vulnerabilities and Exposures]] [http://cve.mitre.org/ (CVE)]<br />
* [https://ncp.nist.gov/cce/index Common Configuration Enumeration (CCE)]<br />
* [http://scap.nist.gov/specifications/cpe/ Common Platform Enumeration (CPE)]<br />
* [http://www.first.org/cvss/ Common Vulnerability Scoring System (CVSS)]<br />
* [[Extensible Configuration Checklist Description Format]] [http://scap.nist.gov/specifications/xccdf/ (XCCDF)]<br />
* [[Open Vulnerability and Assessment Language]] [http://oval.mitre.org/ (OVAL)]<br />
<br />
Ab SCAP Version 1.1<br />
* [http://scap.nist.gov/specifications/ocil/ Open Checklist Interactive Language (OCIL) Version 2.0]<br />
<br />
Ab SCAP Version 1.2<br />
* [http://scap.nist.gov/specifications/ai/ Asset Identification]<br />
* [http://scap.nist.gov/specifications/arf/ Asset Reporting Format (ARF)]<br />
* [http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7502 Common Configuration Scoring System (CCSS)]<br />
* [http://scap.nist.gov/specifications/tmsad/ Trust Model for Security Automation Data (TMSAD)]<br />
<br />
=== SCAP-Checklisten ===<br />
SCAP-Checklisten normieren und automatisieren die Abbildung von Sicherheitsmaßnahmen wie [[NIST Special Publication 800-53]] (SP 800-53) auf die Konfiguration von Systemen. Die aktuelle Version von SCAP soll die initiale Bewertung und fortlaufende Überwachung von Sicherheitseinstellungen und der entsprechenden Sicherheitsmaßnahmen durchführen. Zukünftige Versionen werden wahrscheinlich die automatisierte Umsetzung und Änderung der Sicherheitseinstellungen von Sicherheitsmaßnahmen standardisieren. Auf diese Weise trägt SCAP zur Umsetzung, Bewertung und Überwachung Schritte des NIST Risk Management Framework. Dementsprechend ist SCAP ein integraler Bestandteil des NIST-FISMA-Projekts.<ref>[http://csrc.nist.gov/groups/SMA/fisma/ FISMA]</ref><br />
<br />
== SCAP Validation Program ==<br />
Sicherheitsprogramme, die vom [[National Institute of Standards and Technology|NIST]] beaufsichtigt werden, haben ihren Fokus auf der Zusammenarbeit mit der Regierung und der Industrie im Bereich sichere Systeme und Netzwerke. Dafür werden Security Assessment Tools, Techniken, Dienstleistungen und Unterstützung von Programmen für Test, Evaluierung und Validierung gefördert. Folgende Bereiche werden adressiert: <br />
* Entwicklung und Pflege der Metriken<br />
* Bewertungskriterien und Evaluierungsmethoden für IT-Sicherheit<br />
* Tests und Prüfverfahren<br />
* Kriterien für die Akkreditierung von Prüfstellen<br />
* Leitlinien für die Verwendung der geprüften Produkte<br />
* Forschung zu Qualitätssicherung und systemweiter Sicherheits- und Bewertungsmethoden<br />
* Überprüfung von Sicherheitsprotokollen<br />
* Koordinierung mit Normungsgremien und Industrieorganisationen bei Bewertungsmethoden<br />
<br />
Unabhängige Prüfstellen<ref>[http://nvd.nist.gov/scapproducts.cfm#scap_labs Accredited Independent SCAP Testing Laboratories]</ref> sichern dem Anwender, dass das Produkt den NIST-Spezifikationen entspricht. Die SCAP-Standards können sehr komplex sein, und mehrere Konfigurationen müssen für jede Komponente und Funktion getestet werden, um sicherzustellen, dass das Produkt die Anforderungen erfüllt. Durch das [[National Voluntary Laboratory Accreditation Program]] (NVLAP) akkreditierte Prüfstellen bieten die Gewissheit, dass Produkte gründlich überprüft wurden und den Anforderungen entsprechen.<br />
<br />
Ein Kunde, der den Anforderungen des [[Federal Information Security Management Act von 2002|FISMA]] unterworfen ist oder Produkte verwenden will, die nach dem SCAP-Standard durch eine unabhängige Prüfstelle getestet und validiert wurden, sollten die Website der SCAP-validierten Produkte<ref>[http://nvd.nist.gov/scapproducts.cfm Website der SCAP-validierten Produkte]</ref> besuchen, um den Status des Produkts zu überprüfen.<br />
<br />
== Weblinks ==<br />
* [http://scap.nist.gov Security Content Automation Protocol Website]<br />
* [http://avleonov.com/scapproducts/ SCAP Validated Tools Comparison Table]<br />
* [http://nvd.nist.gov National Vulnerability Database Website]<br />
* [http://makingsecuritymeasurable.mitre.org/index.html Mitre „Making Security Measurable“ Website]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:IT-Standard]]</div>imported>Mfeilner