ISTQB CT-SEC

Beschrijving

De ISTQB® CT - Security Tester-certificering is gericht op softwareprofessionals die al in het bezit zijn van het ISTQB® Foundation-certificaat en op zoek zijn naar een dieper begrip van softwaretesten om Security Tester te worden.

De Security Tester-kwalificatie is gericht op mensen die al een gevorderd niveau in hun carrière in softwaretesten hebben bereikt en hun expertise in geautomatiseerd testen verder willen ontwikkelen.

Hoofdstuk 1: De Basis van Security Testing

Hoofdstuk 2: Doelen, Doelstellingen en Strategieën van Security Testing

Hoofdstuk 3: Security Testing-processen

Hoofdstuk 4: Security Testing gedurende de Softwarelevenscyclus

Hoofdstuk 5: Testen van Beveiligingsmechanismen

Hoofdstuk 6: Menselijke Factoren in Security Testing

Hoofdstuk 7: Evaluatie en Rapportage van Security Tests

Hoofdstuk 8: Security Testing-tools

Hoofdstuk 9: Standaarden en Trends in de Industrie

Zakelijke Resultaten

Het behalen van dit niveau toont aan dat kandidaten in staat zijn om:

• De rol van risicobeoordeling te begrijpen bij het leveren van informatie voor security testplanning en -ontwerp, en het afstemmen van security testing op bedrijfsbehoeften.

• De belangrijke assets te identificeren die beschermd moeten worden, de waarde van elke asset en de gegevens die nodig zijn om het vereiste beveiligingsniveau te beoordelen.

• De effectieve toepassing van risicobeoordelingstechnieken in een gegeven situatie te analyseren om huidige en toekomstige beveiligingsbedreigingen te identificeren.

• Het concept van beveiligingsbeleid en -procedures te begrijpen en hoe deze worden toegepast in informatiesystemen.

• Een gegeven set beveiligingsbeleid en -procedures te analyseren, samen met de resultaten van security tests, om de effectiviteit te bepalen.

• Het doel van een beveiligingsaudit te begrijpen.

• Te begrijpen waarom security testing nodig is in een organisatie, inclusief de voordelen zoals risicoreductie en hogere niveaus van vertrouwen.

• Te begrijpen hoe projectrealiteiten, bedrijfsbeperkingen, de softwareontwikkelingslevenscyclus en andere overwegingen de missie van het security testing-team beïnvloeden.

• Uit te leggen waarom doelen en doelstellingen van security testing moeten aansluiten bij het beveiligingsbeleid van de organisatie en andere testdoelen binnen de organisatie.

• Voor een gegeven projectscenario, in staat te zijn om security testdoelstellingen te identificeren op basis van functionaliteit, technologische attributen en bekende kwetsbaarheden.

• De relatie tussen informatiebeveiliging en security testing te begrijpen.

• Voor een gegeven project, de relatie tussen security testdoelstellingen en de behoefte aan integriteit van gevoelige digitale en fysieke assets te definiëren.

• Een gegeven situatie te analyseren en te bepalen welke benaderingen voor security testing het meest succesvol zullen zijn.

• Een situatie te analyseren waarin een bepaalde security testing-benadering is mislukt en de waarschijnlijke oorzaken van het falen te identificeren.

• Voor een gegeven scenario in staat te zijn om verschillende belanghebbenden te identificeren en de voordelen van security testing voor elke belanghebbendengroep te illustreren.

• KPI's (kritieke prestatie-indicatoren) te analyseren om security testing-praktijken te identificeren die verbeterd moeten worden.

• Voor een gegeven project in staat te zijn de elementen van een effectief security testproces te definiëren.

• Een gegeven security testplan te analyseren en feedback te geven over de sterke en zwakke punten van het plan.

• Voor een gegeven project conceptuele (abstracte) security tests te implementeren, gebaseerd op een gegeven security testbenadering en geïdentificeerde functionele en structurele beveiligingsrisico's.

• Testcases te implementeren om beveiligingsbeleid en -procedures te valideren.

• De belangrijkste elementen en kenmerken van een effectieve security testomgeving te begrijpen.

• Het belang van planning en het verkrijgen van goedkeuringen voordat een security test wordt uitgevoerd te begrijpen.

• Security testresultaten te analyseren om het volgende te bepalen:

  • Aard van de beveiligingskwetsbaarheid

  • Omvang van de beveiligingskwetsbaarheid

  • Potentiële impact van de beveiligingskwetsbaarheid

  • Voorgestelde oplossingen

• Het belang van het onderhouden van security testing-processen te begrijpen, gezien de evoluerende aard van technologie en bedreigingen.

• Uit te leggen waarom beveiliging het best wordt bereikt binnen een levenscyclusproces.

• De juiste beveiligingsgerelateerde activiteiten voor een gegeven softwarelevenscyclus te implementeren (bijv. iteratief, sequentieel).

• Een gegeven set vereisten vanuit het beveiligingsperspectief te analyseren om tekortkomingen te identificeren.

• Een gegeven ontwerpdokument vanuit het beveiligingsperspectief te analyseren om tekortkomingen te identificeren.

• De rol van security testing tijdens componenttesten te begrijpen.

• Security tests op componentniveau te implementeren (abstract) op basis van een gedefinieerde codespecificatie.

• De resultaten van een gegeven componentniveau-test te analyseren om de geschiktheid van de code vanuit beveiligingsperspectief te bepalen.

• De rol van security testing tijdens componentintegratietesten te begrijpen.

• Security tests voor componentintegratie te implementeren (abstract) op basis van een gedefinieerde systeem specificatie.

• Een end-to-end testschema voor security testing te implementeren dat een of meer gegeven beveiligingsvereisten verifieert en een beschreven functioneel proces test.

• In staat te zijn om een set acceptatiecriteria te definiëren voor de beveiligingsaspecten van een gegeven acceptatietest.

• Een end-to-end beveiligingshertest-/regressietestbenadering te implementeren op basis van een gegeven scenario.

• Het concept van systeemverharding te begrijpen en de rol ervan bij het verbeteren van beveiliging.

• Aan te tonen hoe de effectiviteit van veelvoorkomende systeemverhardingsmechanismen te testen.

• De relatie tussen authenticatie en autorisatie te begrijpen en hoe deze worden toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van gangbare authenticatie- en autorisatiemechanismen te testen.

• Het concept van versleuteling te begrijpen en hoe dit wordt toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van gangbare versleutelingmechanismen te testen.

• Het concept van firewalls en het gebruik van netwerkzones te begrijpen en hoe deze worden toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van bestaande firewallimplementaties en netwerkzones te testen.

• Het concept van inbraakdetectietools te begrijpen en hoe deze worden toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van bestaande inbraakdetectietoolimplementaties te testen.

• Het concept van malware-scantools te begrijpen en hoe deze worden toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van bestaande malware-scantoolimplementaties te testen.

• Het concept van data-obfuscationtools te begrijpen en hoe deze worden toegepast bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van data-obfuscationbenaderingen te testen.

• Het concept van beveiligingstraining als een activiteit binnen de softwarelevenscyclus te begrijpen en waarom het nodig is bij het beveiligen van informatiesystemen.

• Aan te tonen hoe de effectiviteit van beveiligingstraining te testen.