Описание
ISTQB® CT - Security Tester certification предназначена для профессионалов в области программного обеспечения, которые уже имеют сертификат ISTQB® Foundation certificate (Базового Уровня) и хотят глубже понять тестирование программного обеспечения, чтобы стать Security Tester.
Квалификация Security Tester предназначена для людей, которые уже достигли продвинутого этапа в своей карьере в области тестирования программного обеспечения и хотят развивать свои знания в области автоматизации тестирования.
Цели обучения
Успешное прохождение этого уровня демонстрирует, что кандидаты могут:
- Понять роль оценки рисков в предоставлении информации для планирования и разработки тестов безопасности и согласования тестирования безопасности с потребностями бизнеса.
- Определить значительные объекты, подлежащие защите, стоимость каждого объекта и данные, необходимые для оценки уровня безопасности, необходимого для каждого объекта.
- Анализировать эффективное использование методов оценки рисков в конкретной ситуации для выявления текущих и будущих угроз безопасности.
- Понимать концепцию принципов и процедур безопасности и то, как они применяются в информационных системах.
- Проанализировать заданный набор принципов и процедур безопасности вместе с результатами тестирования безопасности для определения эффективности.
- Понять цель аудита безопасности.
- Понять, почему тестирование безопасности необходимо в организации, включая такие преимущества для организации, как снижение рисков и повышение уровня уверенности и доверия.
- Понять, как реализация проекта, бизнес-ограничения, жизненный цикл разработки программного обеспечения и другие факторы влияют на миссию команды тестирования безопасности.
- Объяснить, почему цели и задачи тестирования безопасности должны согласовываться с установкой безопасности организации и другими целями тестирования в организации.
- Определить цели тестирования безопасности на основе функциональности, технологических атрибутов и имеющихся уязвимостей для создания проэкта.
- Понять взаимосвязь между обеспечением безопасности информации и тестированием безопасности.
- Для конкретного проекта продемонстрировать способность определить взаимосвязь между целями тестирования безопасности и необходимостью обеспечения прочности целостности конфиденциальных цифровых и физических активов.
- Проанализировать конкретную ситуацию и определить, какие подходы к тестированию безопасности наиболее вероятны для достижения успеха.
- Проанализировать ситуацию, в которой данный подход к тестированию безопасности не сработал, определив вероятные причины неудачи.
- Для данного сценария продемонстрировать способность определить различные заинтересованные стороны и представить преимущества тестирования безопасности для каждой группы заинтересованных сторон.
- Анализировать KPI (ключевые показатели эффективности) для выявления методов тестирования безопасности, требующих улучшения, и элементов, не требующих улучшения.
- Для конкретного проекта продемонстрировать способность определить элементы эффективного процесса тестирования безопасности.
- Анализировать заданный план тестирования безопасности, предоставляя отзывы о сильных и слабых сторонах плана.
- Для конкретного проекта реализовать концептуальные (абстрактные) тесты безопасности, основанные на заданном подходе к тестированию безопасности, наряду с идентифицированными функциональными и структурными рисками безопасности.
- Внедрение тестовых примеров для проверки политик и процедур безопасности.
- Понять ключевые элементы и характеристики эффективной среды тестирования безопасности.
- Понять важность планирования и получения разрешений перед проведением любого теста безопасности.
- Проанализировать результаты тестирования безопасности, чтобы определить следующее:
- Характер уязвимости системы безопасности
- Степень уязвимости системы безопасности
- Потенциальное воздействие уязвимости безопасности
- Предлагаемые меры по исправлению ситуации
- Понять важность поддержания процессов тестирования безопасности с учетом меняющегося характера технологий и угроз.
- Объяснить, почему безопасность лучше всего достигается в рамках процесса жизненного цикла.
- Осуществлять соответствующие действия, связанные с безопасностью, для данного жизненного цикла программного обеспечения (например, итеративный, последовательный).
- Анализ заданного набора требований с точки зрения безопасности для выявления недостатков.
- Проанализировать заданный проектный документ с точки зрения безопасности для выявления недостатков.
- Понять роль тестирования безопасности во время тестирования компонентов.
- Реализовать тесты безопасности на уровне компонентов (абстрактные), учитывая определенную спецификацию кодирования.
- Анализировать результаты тестирования на определенном уровне компонентов для определения адекватности кода с точки зрения безопасности.
- Понять роль тестирования безопасности во время тестирования интеграции компонентов.
- Реализовать тесты безопасности интеграции компонентов (абстрактные) с учетом определенной спецификации системы.
- Реализовать сценарий для проведения комплексного тестирования безопасности, который проверяет одно или несколько заданных требований безопасности и тестирует описанный функциональный процесс.
- Продемонстрировать способность определения набора критериев приемки для аспектов безопасности данного приемочного испытания.
- Реализация подхода к сквозному тестированию/регрессионному тестированию безопасности на основе заданного сценария.
- Понять концепцию укрепления системы и ее роль в повышении безопасности AS-5.1.2 (K3) Продемонстрировать, как можно проверить эффективность общих механизмов укрепления системы.
- Понимать взаимосвязь между удостоверением и авторизацией и то, как они применяются для защиты информационных систем.
- Продемонстрировать, как можно проверить эффективность общих механизмов аутентификации и авторизации.
- Понять концепцию шифрования и его применение для обеспечения безопасности информационных систем.
- Продемонстрировать, как можно проверить эффективность распространенных механизмов шифрования.
- Понимать концепцию межсетевых экранов и использование сетевых зон и их применение для обеспечения безопасности информационных систем.
- Продемонстрировать, как можно проверить эффективность существующих внедрений брандмауэров и сетевых зон.
- Понять концепцию средств обнаружения вторжений и их применение для обеспечения безопасности информационных систем.
- Продемонстрировать, как можно проверить эффективность существующих внедрений средств обнаружения вторжений.
- Понять концепцию инструментов сканирования вредоносного ПО и их применение для обеспечения безопасности информационных систем.
- Продемонстрировать, как можно проверить эффективность существующих инструментов сканирования вредоносных программ.
- Понять концепцию инструментов обфускации данных и их применение для защиты информационных систем.
- Продемонстрировать, как можно проверить эффективность подходов к обфускации данных.
- Понять концепцию обучения безопасности как деятельности в рамках жизненного цикла программного обеспечения и понять, почему оно необходимо для обеспечения безопасности информационных систем.
- Продемонстрировать, как можно проверить эффективность обучения по вопросам безопасности.
- Объяснить, как поведение человека может привести к рискам безопасности и как оно влияет на эффективность тестирования безопасности.
- Для данного сценария продемонстрировать способность определить способы, с помощью которых злоумышленник может обнаружить ключевую информацию о цели и применить меры по защите среды.
- Объяснить общие мотивы и источники для проведения атак на компьютерные системы (K4) Проанализировать сценарий атаки (проведенная и обнаруженная атака) и определить возможные источники и мотивы атаки.
- Объяснить, как средства защиты безопасности могут быть скомпрометированы с помощью социальной инженерии.
- Понять важность осведомленности о безопасности во всей организации.
- Учитывая определенные результаты тестирования, применить соответствующие действия для повышения осведомленности о безопасности.
- Понимать необходимость пересмотра ожиданий безопасности и критериев приемки по мере изменения масштаба и целей проекта.
- Понимать важность сохранения конфиденциальности и безопасности результатов тестирования безопасности.
- Понять необходимость создания надлежащих механизмов контроля и сбора данных для своевременного, точного и достоверного предоставления исходных данных для отчетов о состоянии тестирования безопасности (например, приборная панель тестирования безопасности).
- Проанализировать данный промежуточный отчет о состоянии тестирования безопасности для определения уровня точности, понятности и соответствия требованиям заинтересованных сторон.
- Объяснить роль инструментов статического и динамического анализа в тестировании безопасности.
- Анализировать и документировать потребности тестирования безопасности, которые должны быть удовлетворены с помощью одного или нескольких инструментов (K2).
- Понять необходимость оценки возможностей поставщика по частому обновлению инструментов, чтобы оставаться в курсе угроз безопасности.