ISTQB CT-STE

Описание

ISTQB® Certified Security Test Engineer может:

• Понимать основные парадигмы безопасности и их влияние на безопасность тестирования.
• Применять соответствующие техники безопасности тестирования, учитывая их сильные и слабые стороны.
• Вносить вклад в планирование, проектирование и выполнение тестов безопасности.
• Эффективно использовать стандарты тестирования безопасности и лучшие практики.
• Адаптировать мероприятия по тестированию безопасности в зависимости от специфики организации.
• Согласовывать тестирование безопасности с различными методами разработки и жизненным циклом разработки программного обеспечения.
• Интегрировать результаты тестирования безопасности в систему управления информационной безопасностью (Information Security Management System) для активного управления рисками.
• Собрать, оценить и консолидировать результаты тестирования, создавая подробный отчет с результатами и доказательствами.
• Определять требования к инструментам тестирования безопасности и помогать в выборе соответствующих инструментов в зависимости от необходимого подхода.

Часть 1: Парадигмы безопасности

• Уровни безопасности активов
  • Объяснить различные уровни безопасности активов и соответствующий уровень их защиты.
  • Объяснить связь между чувствительностью информации и безопасностью тестирования.
• Аудиты безопасности
  • Описать роль тестирования безопасности в контексте аудитов безопасности.
• Концепция Zero Trust
  • Объяснить концепцию Zero Trust.
  • Применить концепцию Zero Trust в тестировании безопасности.
• Открытое программное обеспечение
  • Привести примеры повторного использования открытого программного обеспечения в разработке программного обеспечения и его влияние на тестирование безопасности.

Часть 2: Техники тестирования безопасности

• Применение типов тестов безопасности в зависимости от контекста тестирования
  • Привести примеры типов тестов безопасности в зависимости от контекста черного ящика, серого ящика или белого ящика.
  • Привести примеры типов тестов безопасности в зависимости от динамического или статического тестирования безопасности.
• Применение типов тестов безопасности в зависимости от проекта и технического контекста
  • Применить тесты безопасности на основе заданного подхода тестирования безопасности вместе с выявленными функциональными и структурными рисками безопасности.
  • Описать, как проводить повторную сертификацию и тестирование согласования для идентификаций и разрешений.
  • Описать, как тестировать управление идентификацией и доступом.
  • Описать, как тестировать контроль защиты данных.
  • Описать, как тестировать защитные технологии.

Часть 3: Процесс тестирования безопасности

• Процесс тестирования безопасности
  • Объяснить различные виды деятельности, задачи и обязанности в процессе тестирования безопасности.
  • Понимать ключевые элементы и характеристики эффективной среды тестирования безопасности.
• Проектирование тестов безопасности
  • Привести примеры тестов безопасности на основе заданного исходного кода на уровне компонентных тестов.
  • Привести примеры тестов безопасности на основе проектных спецификаций на уровне интеграции компонентов.
  • Реализовать комплексный тест безопасности, который проверяет одно или несколько требований безопасности, относящихся к одному или нескольким бизнес-процессам.

Часть 4: Стандарты и лучшие практики

• Введение в стандарты и лучшие практики
  • Объяснить различные источники стандартов тестирования и лучших практик и их применимость.
• Применить необходимые стандарты и лучшие практики для тестирования безопасности.
  • Применение концепций OWASP, CVE и CVSS и изучение того, как использовать их для тестирования безопасности.
• Использование стандартов и лучших практик
  • Объясните плюсы и минусы использования ореклов тестирования для тестирования безопасности.
  • Понимать плюсы и минусы использования лучших практик и стандартов безопасности.

Часть 5: Адаптация к организационному контексту

• Влияние организационных структур в контексте тестирования безопасности
  • Проанализировать конкретный организационный контекст и определить, какие аспекты следует учитывать для тестирования безопасности.
• Влияние нормативных актов на политику безопасности и как их тестировать
  • Проанализировать влияние нормативных актов на политику безопасности и методы их тестирования.
• Анализ сценария атаки
  • Проанализировать сценарий атаки (проведенную и обнаруженную атаку) и выявить возможные источники и мотивацию атаки.

Часть 6: Адаптация к моделям жизненного цикла разработки программного обеспечения

• Влияние различных моделей жизненного цикла разработки программного обеспечения
  • Подытожить, почему мероприятия по тестированию безопасности должны охватывать жизненный цикл разработки программного обеспечения.
  • Проанализировать, как различные модели разработки системы влияют на мероприятия по тестированию безопасности.
• Тестирование безопасности в процессе обслуживания
  • Определить и выполнить регрессионное тестирование безопасности и тестирование подтверждения на основе изменений в системе.
  • Проанализировать результаты тестирования безопасности, чтобы определить характер уязвимости безопасности и ее возможное техническое воздействие.

Часть 7: Тестирование безопасности как часть системы управления информационной безопасностью

• Критерии приемки для тестирования безопасности
  • Понимать критерии приемки тестирования безопасности и как они влияют на выбор подходов и техник тестирования безопасности.
• Входные данные для системы управления информационной безопасностью
  • Понимать роль тестирования безопасности для эффективной системы управления информационной безопасностью.
• Улучшение ISMS с помощью адаптированного тестирования безопасности
  • Оценить зрелость ISMS, применяя различные подходы тестирования, новые объекты тестирования или улучшенное покрытие.
  • Понимать измеримость в рамках ISMS.

Часть 8: Отчетность по результатам тестирования

• Отчетность по тестированию безопасности
  • Понимать критичность результатов тестирования безопасности и как это влияет на их обработку и коммуникацию.
• Идентификация и анализ уязвимостей
  • Оценить результаты теста безопасности, чтобы выявить уязвимости безопасности.
• Закрытие уязвимостей
  • Оценить различные техники закрытия выявленных уязвимостей.

Часть 9: Инструменты тестирования безопасности

• Категоризация инструментов тестирования безопасности
  • Проанализировать различные случаи использования и применить категоризацию инструментов тестирования безопасности.
• Выбор инструментов тестирования безопасности
• Понимать использование и концепции инструментов динамического тестирования безопасности.
• Понимать использование и концепции инструментов статического тестирования безопасности.