Was ist OSSTMM?

Das von ISECOM (Institute for Security and Open Methodologies) entwickelte OSSTMM (Open Source Security Testing Methodology Manual) beschreibt eine Methode für die Planung, Durchführung und Dokumentation von technischen Security Audits. Seit einigen Tagen ist die Software in der Version 2.2 verfügbar.

Wie bereits angekündigt, ist seit einigen Tagen der neuste Release, Version 2.2, kostenlos unter http://www.osstmm.org verfügbar. Das OSSTMM ist bezüglich technischen Security Audits kompatibel zu gängigen Standards und Weisungen wie ISO/IEC 27001/27002, IT Grundschutzhandbuch, SOX und Basel II. Aufgrund der Praxisorientierung und der Standardkonformität erfreut es sich international wachsender Beliebtheit.

Das OSSTMM kann frei verwendet werden. ISECOM bietet seit Oktober 2006 die Möglichkeit, dass sich Unternehmen oder Organisationen als ISECOM Licensed Auditor (ILA) zertifizieren lassen können. Dies ist als Qualitätssiegel gedacht, weil die zertifizierten Unternehmen eine bestimmte Anzahl an in verschiedenen Spezialisierungsrichtungen zertifizierten Auditoren beschäftigen müssen, welche die Zertifizierung mindestens mit "gut" bestanden haben müssen. Ausserdem werden die ILAs von ISECOM regelmässig überprüft.

Derzeit sind in der Schweiz nur die beiden Schweizer OSSTMM-Pioniere Dreamlab Technologies und OneConsult als ILAs zertifiziert, welche beide seit 2002 nach OSSTMM auditieren. Weitere Informationen zu Zertifizierungsmöglichkeiten von ISECOM finden sich unter diesem Link.