ISTQB CT-SEC

Beschreibung

Die Zertifizierung zum ISTQB® CT - Security Tester richtet sich an Software-Profis, die bereits das ISTQB® Foundation-Zertifikat besitzen und ein tieferes Verständnis des Software-Testens anstreben, um Security Tester zu werden.

Die Qualifikation Security Tester richtet sich an Personen, die bereits einen fortgeschrittenen Punkt in ihrer Karriere im Software-Testen erreicht haben und ihre Fachkenntnisse im Bereich der Testautomatisierung weiterentwickeln möchten.

Geschäftsergebnisse

Das Bestehen dieser Stufe zeigt, dass die Kandidaten dazu in der Lage sind:

• die Rolle der Risikobewertung bei der Bereitstellung von Informationen für die Planung und den Entwurf von Sicherheitstests und bei der Ausrichtung von Sicherheitstests auf die Geschäftsanforderungen verstehen.
• Die wesentlichen zu schützenden Vermögenswerte, den Wert jedes Vermögenswerts und die Daten identifizieren, die zur Beurteilung des für jeden Vermögenswert erforderlichen Sicherheitsniveaus erforderlich sind.
• Analyse des effektiven Einsatzes von Risikobewertungstechniken in einer gegebenen Situation, um aktuelle und zukünftige Sicherheitsbedrohungen zu identifizieren.
• Verstehen des Konzepts der Sicherheitsrichtlinien und -verfahren und ihrer Anwendung in Informationssystemen.
• einen gegebenen Satz von Sicherheitsrichtlinien und -verfahren zusammen mit den Ergebnissen von Sicherheitstests analysieren, um die Wirksamkeit zu bestimmen.
• den Zweck eines Sicherheitsaudits zu verstehen.
• Verstehen, warum Sicherheitsprüfungen in einer Organisation erforderlich sind, einschließlich der Vorteile für die Organisation, wie z.B. Risikominderung und ein höheres Maß an Vertrauen und Zuversicht.
• Verstehen, wie Projektrealitäten, geschäftliche Zwänge, der Software-Entwicklungslebenszyklus und andere Überlegungen die Aufgabe des Sicherheitsprüfungsteams beeinflussen.
• Erklären, warum Sicherheitstestziele und -vorgaben mit der Sicherheitspolitik der Organisation und anderen Testzielen in der Organisation übereinstimmen müssen.
• Demonstrieren Sie für ein gegebenes Projektszenario die Fähigkeit, Sicherheitstestziele auf der Grundlage von Funktionalität, Technologieattributen und bekannten Schwachstellen zu identifizieren.
• Verstehen der Beziehung zwischen Informationssicherung und Sicherheitstests.
• Für ein gegebenes Projekt die Fähigkeit unter Beweis stellen, die Beziehung zwischen Sicherheitstestzielen und der Notwendigkeit einer starken Integrität sensibler digitaler und physischer Vermögenswerte zu definieren.
• Eine gegebene Situation analysieren und bestimmen, welche Sicherheitstestansätze am ehesten Erfolg versprechend sind.
• Analysieren Sie eine Situation, in der ein bestimmter Sicherheitstestansatz fehlgeschlagen ist, und ermitteln Sie die wahrscheinlichen Ursachen für das Scheitern.
• Zeigen Sie für ein gegebenes Szenario die Fähigkeit, die verschiedenen Interessengruppen zu identifizieren, und veranschaulichen Sie die Vorteile von Sicherheitstests für jede Interessengruppe.
• Analysieren Sie KPIs (Key Performance Indicators), um verbesserungsbedürftige Sicherheitstestpraktiken und nicht verbesserungsbedürftige Elemente zu identifizieren.
• Für ein gegebenes Projekt die Fähigkeit unter Beweis stellen, die Elemente eines effektiven Sicherheitstestprozesses zu definieren.
• Analysieren Sie einen bestimmten Sicherheitstestplan und geben Sie Feedback zu den Stärken und Schwächen des Plans.
• Für ein gegebenes Projekt konzeptionelle (abstrakte) Sicherheitstests auf der Grundlage eines gegebenen Sicherheitstestansatzes zusammen mit identifizierten funktionalen und strukturellen Sicherheitsrisiken durchführen.
• Implementierung von Testfällen zur Validierung von Sicherheitsrichtlinien und -verfahren.
• Verstehen der Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung.
• Verstehen, wie wichtig es ist, vor der Durchführung eines Sicherheitstests zu planen und Genehmigungen einzuholen.
• die Ergebnisse von Sicherheitstests analysieren, um Folgendes zu bestimmen:
  • Art der Sicherheitslücke
  • Ausmaß der Sicherheitsanfälligkeit
  • Potentielle Auswirkungen der Sicherheitsanfälligkeit
  • Vorgeschlagene Abhilfemaßnahmen
• Verstehen, wie wichtig die Aufrechterhaltung von Sicherheitsprüfprozessen angesichts der sich entwickelnden Natur von Technologie und Bedrohungen ist.
• Erklären, warum Sicherheit am besten innerhalb eines Lebenszyklusprozesses erreicht wird.
• Implementieren Sie die geeigneten sicherheitsbezogenen Aktivitäten für einen gegebenen Software-Lebenszyklus (z.B. iterativ, sequentiell).
• Analysieren Sie einen gegebenen Anforderungskatalog aus der Sicherheitsperspektive, um Schwachstellen zu identifizieren.
• Ein gegebenes Entwurfsdokument aus der Sicherheitsperspektive analysieren, um Schwachstellen zu identifizieren.
• Die Rolle von Sicherheitstests während der Komponententests verstehen.
• Implementieren von Sicherheitstests auf Komponentenebene (Zusammenfassung) mit einer definierten Codierungsspezifikation.
• die Ergebnisse eines bestimmten Tests auf Komponentenebene analysieren, um die Angemessenheit des Codes aus der Sicherheitsperspektive zu bestimmen.
• Die Rolle von Sicherheitstests während der Komponentenintegrationstests verstehen.
• Sicherheitstests auf Komponentenintegrationsebene (Zusammenfassung) anhand einer definierten Systemspezifikation implementieren.
• ein End-to-End-Testszenario für Sicherheitstests implementieren, das eine oder mehrere gegebene Sicherheitsanforderungen verifiziert und einen beschriebenen funktionalen Prozess testet.
• Demonstration der Fähigkeit, einen Satz von Akzeptanzkriterien für die Sicherheitsaspekte eines gegebenen Akzeptanztests zu definieren.
• Implementieren eines End-to-End-Ansatzes für Sicherheitswiederholungs-/Regressionstests auf der Grundlage eines gegebenen Szenarios.
• Verstehen des Konzepts der Systemhärtung und seiner Rolle bei der Erhöhung der Sicherheit AS-5.1.2 (K3) Demonstration, wie die Wirksamkeit gängiger Mechanismen zur Systemhärtung getestet werden kann.
• die Beziehung zwischen Authentifizierung und Autorisierung und deren Anwendung bei der Absicherung von Informationssystemen verstehen.
• demonstrieren, wie die Wirksamkeit üblicher Authentifizierungs- und Autorisierungsmechanismen getestet werden kann.
• Das Konzept der Verschlüsselung und ihre Anwendung bei der Sicherung von Informationssystemen verstehen.
• Demonstrieren, wie die Wirksamkeit gängiger Verschlüsselungsmechanismen getestet werden kann.
• Verstehen des Konzepts von Firewalls und der Verwendung von Netzwerkzonen und wie sie bei der Sicherung von Informationssystemen angewendet werden.
• Demonstrieren Sie, wie die Wirksamkeit bestehender Firewall-Implementierungen und Netzwerkzonen getestet werden kann.
• das Konzept von Intrusion-Detection-Tools und ihre Anwendung bei der Sicherung von Informationssystemen verstehen.
• Demonstrieren Sie, wie die Wirksamkeit vorhandener Einbruchserkennungs-Tool-Implementierungen getestet werden kann.
• Verstehen des Konzepts von Malware-Scan-Tools und wie sie bei der Sicherung von Informationssystemen eingesetzt werden.
• Demonstrieren, wie die Wirksamkeit vorhandener Malware-Scan-Tool-Implementierungen getestet werden kann.
• Verstehen des Konzepts von Datenverschleierungswerkzeugen und ihrer Anwendung bei der Sicherung von Informationssystemen.
• Demonstrieren Sie, wie die Wirksamkeit von Datenverschleierungsansätzen getestet werden kann.
• Verstehen des Konzepts der Sicherheitsschulung als Aktivität im Software-Lebenszyklus und warum sie zur Sicherung von Informationssystemen erforderlich ist.
• demonstrieren, wie die Wirksamkeit von Sicherheitsschulungen getestet werden kann.
• Erklären, wie menschliches Verhalten zu Sicherheitsrisiken führen kann und wie es sich auf die Wirksamkeit von Sicherheitstests auswirkt.
• Demonstrieren Sie für ein gegebenes Szenario die Fähigkeit, Möglichkeiten zu erkennen, wie ein Angreifer Schlüsselinformationen über ein Ziel entdecken und Maßnahmen zum Schutz der Umwelt anwenden kann.
• Erklären Sie die üblichen Motivationen und Quellen für die Durchführung von Angriffen auf Computersysteme (K4) Analysieren Sie ein Angriffsszenario (durchgeführter und entdeckter Angriff) und identifizieren Sie mögliche Quellen und Motivationen für den Angriff.
• Erklären Sie, wie die Sicherheitsverteidigung durch Social Engineering beeinträchtigt werden kann.
• Verstehen Sie die Bedeutung des Sicherheitsbewusstseins in der gesamten Organisation.
• Wenden Sie angesichts bestimmter Testergebnisse geeignete Maßnahmen an, um das Sicherheitsbewusstsein zu erhöhen.
• Verstehen Sie die Notwendigkeit, die Sicherheitserwartungen und Akzeptanzkriterien im Zuge der Entwicklung des Umfangs und der Ziele eines Projekts zu überarbeiten.
• Verstehen, wie wichtig es ist, die Ergebnisse von Sicherheitstests vertraulich und sicher zu behandeln.
• die Notwendigkeit verstehen, angemessene Kontrollen und Datenerfassungsmechanismen zu schaffen, um die Quelldaten für die Statusberichte der Sicherheitstests rechtzeitig, genau und präzise zur Verfügung zu stellen (z.B. ein Dashboard für Sicherheitstests).
• einen gegebenen Zwischenbericht zum Sicherheitsteststatus analysieren, um den Grad der Genauigkeit, Verständlichkeit und Angemessenheit für die Interessengruppen zu bestimmen.
• Erklären Sie die Rolle statischer und dynamischer Analysewerkzeuge bei Sicherheitstests.
• Analysieren und dokumentieren Sie Sicherheitstests, die mit einem oder mehreren Werkzeugen durchgeführt werden müssen (K2) Verstehen Sie die Probleme mit Open-Source-Werkzeugen.
• Die Notwendigkeit verstehen, die Fähigkeiten des Anbieters zur häufigen Aktualisierung von Tools zu bewerten, um bei Sicherheitsbedrohungen auf dem neuesten Stand zu bleiben.