Manual de la Metodología Abierta de Testeo de Seguridad
Actualmente se encuentra la versión número 3 de este completo manual en ingles http://www.isecom.org/osstmm.
Finalidad o contenido de este extenso manual de metodología
El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet.
Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:
ContenidosPrólogo
Introducción
Ámbito
Público al que va dirigido
Acreditación
Resultado Final
Análisis
Términos Relacionados a Internet y Redes
Concordancia
Legislación
Mejores Prácticas
Lineamientos de Acción
Reglas Adicionales
P r o c e s o
Mapa de Seguridad
Lista de Módulos del Mapa de Seguridad
Evaluación de Riesgo
Valores de la Evaluación de Riesgo
Tipos de Riesgos
Secciones y Módulos
Módulos de Tests y Tareas
Metodología
Sección A – Seguridad de la Información
Valores de la Evaluación de Riesgo
1. Revisión de la Inteligencia Competitiva
2. Revision de Privacidad
3. Recolección de Documentos
Sección B – Seguridad de los Procesos
Valores de la Evaluación de Riesgo
1. Testeo de Solicitud
2. Testeo de Sugerencia Dirigida
3. Testeo de las Personas Confiables
Sección C – Seguridad en las tecnologías de Internet
Valores de la Evaluación de Riesgo
Subconjuntos de Protocolos
1. Logística y Controles
2. Sondeo de Red
3. Identificación de los Servicios de Sistemas
4. Búsqueda de Información Competitiva
5. Revisión de Privacidad
6. Obtención de Documentos
7. Búsqueda y Verificación de Vulnerabilidades
8. Testeo de Aplicaciones de Internet
9. Enrutamiento
10. Testeo de Sistemas Confiados
11. Testeo de Control de Acceso
12. Testeo de Sistema de Detección de Intrusos
13. Testeo de Medidas de Contingencia
14. Descifrado de Contraseñas
15. Testeo de Denegación de Servicios
16. Evaluación de Políticas de Seguridad
Sección D – Seguridad en las Comunicaciones
Valores de la Evaluación de Riesgo
1. Testeo de PBX
2. Testeo del Correo de Voz
3. Revisión del FAX
4. Testeo del Modem
Sección E – Seguridad Inalámbrica
Valores de la Evaluación de Riesgo
1. Verificación de Radiación Electromagnética (EMR)
2. Verificación de Redes Inalámbricas [802.11]
3. Verificación de Redes Bluetooth
4. Verificación de Dispositivos de Entrada Inalámbricos
5. Verificación de Dispositivos de Mano Inalámbricos
6. Verificación de Comunicaciones sin Cable
7. Verificación de Dispositivos de Vigilancia Inalámbricos
8. Verificación de Dispositivos de Transacción Inalámbricos
9. Verficación de RFID
10. Verificación de Sistemas Infrarrojos
11. Revisión de Privacidad
Sección F – Seguridad Física
Valores de la Evaluación de Riesgo
1. Revisión de Perímetro
2. Revisión de monitoreo
3. Evaluación de Controles de Acceso
4. Revisión de Respuesta de Alarmas
5. Revisión de Ubicación
6. Revisión de Entorno
Requisitos de las Plantillas de Informes
Plantilla de Perfil de Red
Plantilla de Datos del Servidor
Plantilla de Análisis del Cortafuegos
Plantilla de Testeo Avanzado del Cortafuegos
Plantilla de Testeo de Sistemas de Detección de Intrusiones (IDS)
Plantilla de Ingeniería Social sobre el Objetivo
Plantilla de Ataque Telefónico usando Técnicas de Ingeniería Social
Plantilla de Ataque por Correo Electrónico usando Técnicas de Ingeniería Social
Plantilla de Análisis de Confianza
Plantilla de Revisión de Políticas de Privacidad
Plantilla de Revisión de Medidas de Contención
Plantilla de Correo Electrónico falseado
Plantilla de Informacion Competitiva
Plantilla de Ataques a Contraseñas
Plantilla de Denegación de Servicio (Denial of Service)
Plantilla de Análisis de Documentos
Plantilla de Ingeniería Social
Lista de Comprobación de Tests de Seguridad Legales
Lista de Comprobación de Tests de Seguridad Legales
Referencias de Testeo
Protocolos
Licencia de Metodología Abierta (OML)
No hay comentarios:
Publicar un comentario