ISTQB CT-STE

Beschreibung

Ein ISTQB® Certified Security Test Engineer kann:

• Grundlegende Sicherheitsparadigmen verstehen und deren Auswirkungen auf Sicherheitstests.
• Angemessene Sicherheitstesttechniken anwenden und deren Stärken und Schwächen erkennen.
• Zur Planung, Gestaltung und Durchführung von Sicherheitstests beitragen.
• Sicherheitsprüfungsstandards und Best Practices effektiv nutzen.
• Sicherheitstestaktivitäten an den spezifischen organisatorischen Kontext anpassen.
• Sicherheitstests mit verschiedenen Entwicklungsmethoden und Software-Entwicklungslebenszyklen abstimmen.
• Ergebnisse von Sicherheitstests in ein Information Security Management System (ISMS) zur aktiven Risikobewertung integrieren.
• Testergebnisse sammeln, auswerten und konsolidieren sowie einen detaillierten Bericht mit allen Erkenntnissen und Nachweisen erstellen.
• Tool-Anforderungen für Sicherheitstests identifizieren und bei der Auswahl geeigneter Tools basierend auf dem erforderlichen Ansatz unterstützen.

Kapitel 1: Sicherheitsparadigmen

• Sicherheitsstufen von Assets
  • Verschiedene Sicherheitsstufen von Assets und deren entsprechenden Schutzgrad erklären.
  • Den Zusammenhang zwischen Informationssensitivität und Sicherheitstests erklären.
• Sicherheitsaudits
  • Die Rolle von Sicherheitstests im Kontext von Sicherheitsaudits beschreiben.
• Das Zero Trust Konzept
  • Das Konzept von Zero Trust erklären.
  • Das Zero Trust Konzept in Sicherheitstests anwenden.
• Open-Source-Software
  • Das Konzept der Wiederverwendung von Open-Source-Software (OSS) in der Softwareentwicklung veranschaulichen und dessen Auswirkungen auf Sicherheitstests erklären.

Kapitel 2: Sicherheitstesttechniken

• Anwendung von Sicherheitstesttypen in einem Testkontext
  • Beispiele für Sicherheitstesttypen im Kontext von Black-Box-, Grey-Box- oder White-Box-Tests geben.
  • Beispiele für Sicherheitstesttypen im Kontext von dynamischen oder statischen Sicherheitstests geben.
• Anwendung von Sicherheitstesttypen im Projekt- und technischen Kontext
  • Sicherheitstestfälle basierend auf einem gegebenen Sicherheitstestansatz und identifizierten funktionalen und strukturellen Sicherheitsrisiken anwenden.
  • Beschreiben, wie Rezertifizierungstests und Abgleichstests für Identitäten und Berechtigungen durchgeführt werden.
  • Beschreiben, wie die Identitäts- und Zugriffsverwaltung getestet wird.
  • Beschreiben, wie der Datenschutz kontrolliert wird.
  • Beschreiben, wie Schutztechnologien getestet werden.

Kapitel 3: Der Sicherheitstestprozess

• Der Sicherheitstestprozess
  • Verschiedene Aktivitäten, Aufgaben und Verantwortlichkeiten im Sicherheitstestprozess erklären.
  • Die Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung verstehen.
• Entwurf von Sicherheitstests
  • Beispiele für Sicherheitstests basierend auf einem gegebenen Code auf Komponenten-Testebene geben.
  • Beispiele für Sicherheitstests basierend auf Designspezifikationen auf der Komponenten-Integrationsstufe geben.
  • Einen End-to-End-Sicherheitstest implementieren, der eine oder mehrere Sicherheitsanforderungen in Bezug auf Geschäftsprozesse validiert.

Kapitel 4: Standards und Best Practices

• Einführung in Standards und Best Practices
  • Verschiedene Quellen von Teststandards und Best Practices sowie deren Anwendbarkeit erklären.
  • Notwendige Standards und Best Practices für Sicherheitstests anwenden.
  • Die Konzepte von OWASP, CVE und CVSS anwenden und lernen, wie man diese für Sicherheitstests nutzt.
• Nutzung von Standards und Best Practices
  • Vor- und Nachteile von Testorakeln für Sicherheitstests erklären.
  • Die Vor- und Nachteile der Verwendung von Sicherheitsbest Practices und Standards verstehen.

Kapitel 5: Anpassung an den organisatorischen Kontext

• Die Auswirkungen von Organisationsstrukturen im Kontext von Sicherheitstests
  • Einen gegebenen organisatorischen Kontext analysieren und bestimmen, welche spezifischen Aspekte für Sicherheitstests zu berücksichtigen sind.
• Die Auswirkungen von Vorschriften auf Sicherheitsrichtlinien und deren Tests
  • Die Auswirkungen von Vorschriften auf Sicherheitsrichtlinien analysieren und wie diese getestet werden.
• Analyse eines Angriffsszenarios
  • Ein Angriffsszenario (durchgeführter und entdeckter Angriff) analysieren und mögliche Quellen und Motivationen des Angriffs identifizieren.

Kapitel 6: Anpassung an Software-Entwicklungslebenszyklusmodelle

• Die Auswirkungen verschiedener Software-Entwicklungslebenszyklusmodelle
  • Erklären, warum Sicherheitstestaktivitäten den gesamten Software-Entwicklungslebenszyklus abdecken sollten.
  • Analysieren, wie verschiedene Systementwicklungsmodelle die Aktivitäten von Sicherheitstests beeinflussen.
• Sicherheitstests während der Wartung
  • Sicherheits-Regressionstests und Bestätigungstests basierend auf Änderungen im System definieren und durchführen.
  • Ergebnisse von Sicherheitstests analysieren, um die Art einer Sicherheitslücke und deren potenzielle technische Auswirkungen zu bestimmen.

Kapitel 7: Sicherheitstests als Teil eines Information Security Management Systems

• Akzeptanzkriterien für Sicherheitstests
  • Akzeptanzkriterien für Sicherheitstests verstehen und wie diese die Auswahl von Sicherheitstestansätzen und -techniken beeinflussen.
• Input für ein Information Security Management System (ISMS)
  • Die Rolle von Sicherheitstests für ein effektives Information Security Management System verstehen.
• Verbesserung eines ISMS durch angepasste Sicherheitstests
  • Die Reife eines ISMS bewerten, indem verschiedene Testansätze, neue Testobjekte oder verbesserte Abdeckung integriert werden.
  • Messbarkeit innerhalb eines ISMS verstehen.

Kapitel 8: Berichterstattung von Testergebnissen

• Berichterstattung von Sicherheitstests
  • Die Bedeutung von Ergebnissen von Sicherheitstests verstehen und wie dies deren Handhabung und Kommunikation beeinflusst.
• Identifizierung und Analyse von Schwachstellen
  • Ergebnisse eines gegebenen Sicherheitstests auswerten, um Sicherheitslücken zu identifizieren.
• Schließen von Schwachstellen
  • Verschiedene Techniken zur Behebung identifizierter Sicherheitslücken bewerten.

Kapitel 9: Sicherheitstest-Tools

• Kategorisierung von Sicherheitstest-Tools
  • Verschiedene Anwendungsfälle analysieren und Kategorisierungen für Sicherheitstest-Tools anwenden.
• Auswahl von Sicherheitstest-Tools
  • Die Nutzung und Konzepte von dynamischen Sicherheitstest-Tools verstehen.
  • Die Nutzung und Konzepte von statischen Sicherheitstest-Tools verstehen.