SCAP Compliance Checker — це автоматизований інструмент сканування відповідності, який використовує рекомендації щодо технічної реалізації безпеки DISA (STIG) і специфічні базові параметри операційної системи (ОС) для аналізу конфігурації безпеки інформаційної системи та звітування про неї.

Більшість, якщо не всі, STIG базуються на SRG і беруть загальні вимоги та додатково визначають, як продукт конкретного постачальника має бути налаштований для задоволення вимог SRG. У той час як STIG вкаже вам конкретні параметри, які потрібно заблокувати, SRG(s) надасть вказівки щодо захисту операційної системи в цілому.

Кожен STIG надає технічні вказівки щодо захисту інформаційних систем/програмного забезпечення, які інакше можуть бути вразливими. Міністерство оборони регулярно оновлює STIG, щоб переконатися, що розробники можуть: Налаштовувати обладнання та програмне забезпечення належним чином. Впровадити протоколи безпеки.

Перший спосіб полягає в тому, щоб експортуйте скан як формат XCCDF та імпортуйте в NIWC STIGViewer (https://public.cyber.mil/stigs/srg-stig-tools/). Ви можете імпортувати сканований файл SCAP і перетворити його на контрольний список в інструменті NIWC STIGViewer, щоб побачити елементи, які зі сканування є відкритими, не знайденими або не перевіреними.

2.2 Визначення SCAP SCAP має кілька застосувань, включаючи автоматизацію перевірок на відомі вразливості, автоматизацію перевірки параметрів конфігурації безпеки та створення звітів, які пов’язують параметри низького рівня з вимогами високого рівня.