Mnoge tvrtke, kao i pojedinci, sve više ulažu u sigurnost svojih računalnih sustava. Ljudi koji će osiguravati sustave, bilo da je riječ o tvrtkinim administratorima ili vanjskim revizorima, će najčešće koristiti neki priručnik kako bi bili sigurni da nisu nište previdjeli te kako bi mogli opravdati postupke koje su pritom koristili.
Mnogo je takvih priručnika preporučenih od raznih međunarodnih tijela, no ono što OSSTM priručnik odvaja od ostalih je njegova metodologija. Dok većina priručnika opisuje načine korištenja raznih preporučenih alata, OSSTM predstavlja način mjerenja uspjeha (odnosno neuspjeha) sigurnosnog ispitivanja te pokazuje kako kvantificirati izloženost sustava prijetnjama.
Nijedan računalni sustav nije 100% siguran, a OSSTM metodologija određuje univerzalnu metriku po kojoj svi mogu znati točno koliko je koja tvrtka izložena rizicima.
OSSTM priručnik je nastao 2001. godine kroz ideju kako primijeniti znanstvene metode u određivanju sigurnosti sustava. Kako bi imali tijelo koje stoji iza ideje, Pete Herzog i Marta Barceló osnovali su ISECOM. Osim što održava priručnik, ISECOM se bavi brojnim projektima kojima je cilj promicanje svijesti o računalnoj sigurnosti kroz posebne programe prilagođene svim uzrastima – od BPP-a (The Bad People Project) za djecu predškolske i osnovnoškolske dobi, HHS-a (Hacker Highschool) za srednjoškolce do HSM-a (Home Security Methodology and Vacation Guide) koji nudi smjernice za sigurniji dom tijekom cijele godine (pa čak i kad su ukućani na praznicima). Kroz sve te projekte se koristi osnovna metodologija OSSTM-a, koji je od nastanka do danas doživio treću inačicu i proširio se s 12 na 213 stranica.
Osnovna ideja OSSTM metodologije je da se veliki problemi razbiju u manje probleme sve dok oni ne budu dovoljno mali da se mogu riješiti direktno. Osnovna svrha priručnika je pomoću znanstvene metode preciznije okarakterizirati operacijsku sigurnost kroz ispitivanja i korelaciju rezultata na dosljedan i pouzdan način.
Operacijska sigurnost je kombinacija odvajanja imovine koja se štiti od prijetnji te kontrola tih prijetnji. Pojmovi koje koristi priručnik da bi pobliže opisao operacijsku sigurnost su površina napada, vektor napada, kontrole, ograničenja, operacije, savršeno osiguranje, poroznost, sigurnost, osiguranje, rav, meta te vektor.
Kao funkciju razdvajanja imovine i prijetnje, tri su načina kako postići osiguranje sustava: fizičko ili logičko uklanjanje imovine od prijetnji, neutraliziranje prijetnje i uništavanje prijetnje. Smanjena mogućnost razdvajanja prijetnji od imovine se naziva poroznošću i dijeli se također u tri kategorije: vidljivost, pristup i povjerenje. Kontrole kao čimbenici osiguranja se dijele u dvije klase: kontrole interakcija (klasa A) te kontrole procesa (klasa B). Klasu A čine autentikacija, odšteta, otpornost, pokoravanje i kontinuiranost dok klasu B čine neporecivost, povjerljivost, privatnost, cjelovitost i alarm.
Nemogućnost funkcioniranja zaštitnih mehanizama predstavljaju ograničenja koja se dodatno dijele u pet kategorija: ranjivost, slabost, zabrinutost, izloženost te razne nepredvidive anomalije.
Osim uvođenja terminologije, OSSTM priručnik definira kako bi trebao izgledati kvalitetan test sigurnosti, koji kanali interakcije se trebaju ispitati i koji tipovi sigurnosnih revizija postoje te kako razbiti proces testiranja na manje dijelove. Prilikom testiranja se ispituju fizička sigurnost (ljudski element i fizički medijski kanali), sigurnost bežičnog spektra te sigurnost komunikacija (telekomunikacije i podatkovne mreže).
Svi se ti kanali mogu ispitivati na razne načine ovisno o tome koliko je napadač upoznat s metom te koliko je meta upoznata s postupkom testiranja. Šest najčešćih tipova testiranja su: slijepi (Etično Hakiranje, Ratne Igre, Igranje Uloga), dvostruki slijepi (Test Crne Kutije, Penetracijski Test), test sive kutije (Testiranje Ranjivosti), dvostruka siva kutija (Test Bijele Kutije), serijski (In-House revizija) te preokret (Vježba Crvenog Tima).
ISECOM dodjeljuje certifikate tvrtkama koje koriste OSSTM metodologiju (STAR, ILA, OSSTM Seal of Approval) te pojedincima koji žele provoditi revizije u skladu s metodologijom (OPST, OPSA, OPSE, OWSE, CTA). Osim OSSTMM priručnika, u svijetu se dosta koriste i priručnik o računalnoj sigurnosti preporučen od američkog instituta NIST, NIST SP 800-42 te sigurnosni okvir ISSAF od organizacije OISG.
Posljednje sigurnosne preporuke