Open-Source Security Testing Methodology Manual (OSSTMM, “остъм”) е методология за изпълнение на тестове в сферата на информационна сигурност. Този подход дава точен измерител и подробни репорти, след приключване на тестовете. Те от своя страна са разделени в пет различни секции, като обхващат: контроли за защита на информацията и данните, нивото на лична отговорност и сигурност, нивото на сигурност от гледна точка на измамите и социалния инженеринг, компютърните и телекомуникационните мрежи, безжичните устройства, мобилните устройства, физическата сигурност, контролите за достъп и физическата локация. Остъм се фокусира върху техническите детайли на това, какво ще бъде тествано, какво трябва да бъде направено преди, по време и след приключване на тестовете, както и как резултатите могат да бъдат оразмерени.
OSSTM методологията се разделя в следните направления:
- Data Networks (ComSec) Data Networks (COMSEC)
- Telecommunications (ComSec) Telecommunications (COMSEC)
- Wireless Networks (SpecSec) Wireless Networks (SpecSec)
- Human (PhysSec) Human (PhysSec)
- Physical Security (PhysSec) Physical Security (PhysSec)
Позволява да бъдат тествани дефинирани и проверени множество направления на информационната сигурност, като:
- DMZ & Perimeter protection
- Remote access
- Backend (eg ERP, CRM, network segmentation and etc.)
- SCADA and Process control
- Applications
- Middleware
- Storage
- VoIP& Telecom
- Wireless
- Mobile Devices
- Building Safety and physical perimeter protection
- Human Factor by Securing Awareness & Social Engineering Training and audits)
В най-новата си версия, остъм обхваща тестове от всички канали – човешки фактор, физическа сигурност, безжични комуникации и мрежи за данни, както и набор от измерители на сигурността, наречени стойности за оценка на риска (Risk Assessment Values). Те предоставят мощен инструмент, който дава представа за състоянието на сигурността в графичен вид и показва промените в течение на времето. Също така, добре се интегрира с регулярните прегледи от управата и води до резултати, както при вътрешно така и при външно сканиране. По този начин се дава възможност за сравняване и/или комбиниране между двете. Друга важна особеност е, че количествено управление на риска може да бъде изготвено след одит и репорт, предоставяйки много по-добър резултат, поради по-точната и безгрешна оценка. Тази методология може много лесно да бъде напасната и интегрирана с наличните законови рамки и политики, както и да осигури всеобхватен одит на сигурността в аспекта на всички канали.