Open Source Security Testing Methodology Manual, meglio noto come OSSTMM è una manuale che descrive una metodologia riconosciuta a livello internazionale per la pianificazione e successiva esecuzione dei test di sicurezza. La metodologia è stata sviluppata dall’ISECOM, Institute for Security and Open Methodologies.
Si tratta di un progetto open source al quale contribuiscono circa 150 entità che continuano a rilasciare versioni sempre più aggiornate di OSSTMM. In particolare lo scorso primo Aprile 2008 è stata rilasciata la versione OSSTMM 3 Release Candidate 14, che quando verrà consolidata sostituirà l’attuale versione 2.
OSSTMM 2 è infatti da tempo disponibile al libero accesso, e consiste in un manuale che definisce le regole e le linee guida da seguire nell’attuazione dei test di sicurezza.
Il manuale si riferisce a sei macroaree operative, che rappresentano in modo completo l’universo ICT di ogni azienda o amministrazione pubblica.
Le aree sono:
- Information security;
- Process security;
- Internet Technology security;
- Communication security;
- Wireless security;
- Physical security.
Lo sviluppo del manuale ha cercato di seguire tutte le diverse normative di sicurezza presenti nei paesi avanzati, rispettando per quanto più possibile i termini relativi alla privacy e alle informazioni personali.
Per quanto riguarda le certificazioni professionali ISECOM ha previsto per questo ambito quattro certificazioni, delle quali gli interessati possono trovare informazioni direttamente sul sito, in particolare:
