3. Метод оценки защищѐнности компьютерной
системы или сети путѐм эмулирования атак от
имени подозрительного (нелигитимного)
субъекта, часто называемого как Black Hat
Hacker, or Cracker (Википедия)
4. (от hack — разрубать) — чрезвычайно
квалифицированный ИТ-
специалист, человек, который понимает самые
основы работы компьютерных систем. Это слово
также часто употребляется для обозначения
компьютерного взломщика, что в общем случае
неверно.(Википедия)
7. Pete Herzog
2001 год
Испания, Барселона
OSSTM(M)
Hacker Highschool
Accredited trainings
8. Ожидается 3.0 версия cо дня на день
В декабре 2006 года вышла v. 2.2
В 2003 году вышла v. 2.0
Старт 2001 год
9. Версия 3.0 анонсирована в 2007 году
В данный момент предлагается за деньги
золотым и серебрянным подписчикам
Соответствие бесконечному множеству норм и
стандартов
10. Версия 2.0 (выпущена в феврале 2003) ссылается
к GPL, но также содержит изречение на первой
странице документа:
"Any information contained within this document may
not be modified or sold without the express consent of
the author."
11. Версия 2.2 (выпущена в ноябре 2006)
изречение на первой странице документа:
"Any information contained within this document may
not be modified or sold without the express consent of
ISECOM. OSSTMM for free dissemination under the
Open Methodology License (OML) and CC Creative
Commons 2.5 Attribution-NonCommercial-NoDerivs"
12. "Open Methodology License":
www.isecom.org/oml.shtml
CC Creative Commons 2.5 with NoDerivs and
NonCommercial
Никто не может:
выпускать новые версии OSSTMM (кроме ISECOM)
использовать OSSTMM для коммерческих нужд
(продажа в качестве книги)
Создавать коммерческое ПО, основанное на OSSTM
13.
14. Обеспечить научную методологию для достаточной
точной характеристики безопасности при помощи
экзаменации и корреляции согласованным и надѐжным
способом
Стандартизация подхода к тестированию безопасности
To make security have sense
15. Обеспечить руководства, следуя которым позволит
аудитору выполнить сертифицированный OSSTMM
аудит
Тест совершѐн полностью
Тест охватил все необходимые каналы
Тест не нарушает законных прав задействованных лиц
Результаты тесты измеримы
Результаты теста последовательны и повторяемы
Результаты теста содержат только факты, полученные
непосредственно из теста
16.
17. безопасность информации (Information Security)
безопасность процесса (Process Security)
безопасность Интернет технологий (Internet Technology
Security)
безопасность коммуникаций (Communications
Security)
безопасность беспроводных сетей (Wireless Security)
физическая безопасность (Physical Security)
18.
19.
20. Терминология
Описание методологии тестирования
(модули, секции)
Описание примеров тестов по каждой секции
Пример документов для сбора информации и
выдачи результатов
21. Интересный пример открытого фреймворка по
организации процесса тестирования
безопасности информационных систем
Позволяет взглянуть на безопасность
приложения значительно более широко
Дает готовые примеры тестов и артефакты
тестирования
Не «готове решение»