ISTQB CT-SEC

Описание

ISTQB® CT - Security Tester certification предназначена для профессионалов в области программного обеспечения, которые уже имеют сертификат ISTQB® Foundation certificate (Базового Уровня) и хотят глубже понять тестирование программного обеспечения, чтобы стать Security Tester.

Квалификация Security Tester предназначена для людей, которые уже достигли продвинутого этапа в своей карьере в области тестирования программного обеспечения и хотят развивать свои знания в области автоматизации тестирования.

Цели обучения

Успешное прохождение этого уровня демонстрирует, что кандидаты могут:

• Понять роль оценки рисков в предоставлении информации для планирования и разработки тестов безопасности и согласования тестирования безопасности с потребностями бизнеса.
• Определить значительные объекты, подлежащие защите, стоимость каждого объекта и данные, необходимые для оценки уровня безопасности, необходимого для каждого объекта.
• Анализировать эффективное использование методов оценки рисков в конкретной ситуации для выявления текущих и будущих угроз безопасности.
• Понимать концепцию принципов и процедур безопасности и то, как они применяются в информационных системах.
• Проанализировать заданный набор принципов и процедур безопасности вместе с результатами тестирования безопасности для определения эффективности. 
• Понять цель аудита безопасности.
• Понять, почему тестирование безопасности необходимо в организации, включая такие преимущества для организации, как снижение рисков и повышение уровня уверенности и доверия.
• Понять, как реализация проекта, бизнес-ограничения, жизненный цикл разработки программного обеспечения и другие факторы влияют на миссию команды тестирования безопасности.
• Объяснить, почему цели и задачи тестирования безопасности должны согласовываться с установкой безопасности организации и другими целями тестирования в организации.
• Определить цели тестирования безопасности на основе функциональности, технологических атрибутов и имеющихся уязвимостей для создания проэкта.
• Понять взаимосвязь между обеспечением безопасности информации и тестированием безопасности.
• Для конкретного проекта продемонстрировать способность определить взаимосвязь между целями тестирования безопасности и необходимостью обеспечения прочности целостности конфиденциальных цифровых и физических активов.
• Проанализировать конкретную ситуацию и определить, какие подходы к тестированию безопасности наиболее вероятны для достижения успеха.
• Проанализировать ситуацию, в которой данный подход к тестированию безопасности не сработал, определив вероятные причины неудачи.
• Для данного сценария продемонстрировать способность определить различные заинтересованные стороны и представить преимущества тестирования безопасности для каждой группы заинтересованных сторон.
• Анализировать KPI (ключевые показатели эффективности) для выявления методов тестирования безопасности, требующих улучшения, и элементов, не требующих улучшения.
• Для конкретного проекта продемонстрировать способность определить элементы эффективного процесса тестирования безопасности.
• Анализировать заданный план тестирования безопасности, предоставляя отзывы о сильных и слабых сторонах плана.
• Для конкретного проекта реализовать концептуальные (абстрактные) тесты безопасности, основанные на заданном подходе к тестированию безопасности, наряду с идентифицированными функциональными и структурными рисками безопасности.
• Внедрение тестовых примеров для проверки политик и процедур безопасности.
• Понять ключевые элементы и характеристики эффективной среды тестирования безопасности.
• Понять важность планирования и получения разрешений перед проведением любого теста безопасности.
• Проанализировать результаты тестирования безопасности, чтобы определить следующее:
  • Характер уязвимости системы безопасности
  • Степень уязвимости системы безопасности
  • Потенциальное воздействие уязвимости безопасности
  • Предлагаемые меры по исправлению ситуации
• Понять важность поддержания процессов тестирования безопасности с учетом меняющегося характера технологий и угроз.
• Объяснить, почему безопасность лучше всего достигается в рамках процесса жизненного цикла.
• Осуществлять соответствующие действия, связанные с безопасностью, для данного жизненного цикла программного обеспечения (например, итеративный, последовательный).
• Анализ заданного набора требований с точки зрения безопасности для выявления недостатков.
• Проанализировать заданный проектный документ с точки зрения безопасности для выявления недостатков.
• Понять роль тестирования безопасности во время тестирования компонентов.
• Реализовать тесты безопасности на уровне компонентов (абстрактные), учитывая определенную спецификацию кодирования.
• Анализировать результаты тестирования на определенном уровне компонентов для определения адекватности кода с точки зрения безопасности.
• Понять роль тестирования безопасности во время тестирования интеграции компонентов.
• Реализовать тесты безопасности интеграции компонентов (абстрактные) с учетом определенной спецификации системы.
• Реализовать сценарий для проведения комплексного тестирования безопасности, который проверяет одно или несколько заданных требований безопасности и тестирует описанный функциональный процесс.
• Продемонстрировать способность определения набора критериев приемки для аспектов безопасности данного приемочного испытания.
• Реализация подхода к сквозному тестированию/регрессионному тестированию безопасности на основе заданного сценария.
• Понять концепцию укрепления системы и ее роль в повышении безопасности AS-5.1.2 (K3) Продемонстрировать, как можно проверить эффективность общих механизмов укрепления системы.
• Понимать взаимосвязь между удостоверением и авторизацией и то, как они применяются для защиты информационных систем.
• Продемонстрировать, как можно проверить эффективность общих механизмов аутентификации и авторизации.
• Понять концепцию шифрования и его применение для обеспечения безопасности информационных систем.
• Продемонстрировать, как можно проверить эффективность распространенных механизмов шифрования.
• Понимать концепцию межсетевых экранов и использование сетевых зон и их применение для обеспечения безопасности информационных систем.
• Продемонстрировать, как можно проверить эффективность существующих внедрений брандмауэров и сетевых зон.
• Понять концепцию средств обнаружения вторжений и их применение для обеспечения безопасности информационных систем.
• Продемонстрировать, как можно проверить эффективность существующих внедрений средств обнаружения вторжений.
• Понять концепцию инструментов сканирования вредоносного ПО и их применение для обеспечения безопасности информационных систем.
• Продемонстрировать, как можно проверить эффективность существующих инструментов сканирования вредоносных программ.
• Понять концепцию инструментов обфускации данных и их применение для защиты информационных систем.
• Продемонстрировать, как можно проверить эффективность подходов к обфускации данных.
• Понять концепцию обучения безопасности как деятельности в рамках жизненного цикла программного обеспечения и понять, почему оно необходимо для обеспечения безопасности информационных систем.
• Продемонстрировать, как можно проверить эффективность обучения по вопросам безопасности.
• Объяснить, как поведение человека может привести к рискам безопасности и как оно влияет на эффективность тестирования безопасности.
• Для данного сценария продемонстрировать способность определить способы, с помощью которых злоумышленник может обнаружить ключевую информацию о цели и применить меры по защите среды.
• Объяснить общие мотивы и источники для проведения атак на компьютерные системы (K4) Проанализировать сценарий атаки (проведенная и обнаруженная атака) и определить возможные источники и мотивы атаки.
• Объяснить, как средства защиты безопасности могут быть скомпрометированы с помощью социальной инженерии.
• Понять важность осведомленности о безопасности во всей организации.
• Учитывая определенные результаты тестирования, применить соответствующие действия для повышения осведомленности о безопасности.
• Понимать необходимость пересмотра ожиданий безопасности и критериев приемки по мере изменения масштаба и целей проекта.
• Понимать важность сохранения конфиденциальности и безопасности результатов тестирования безопасности. 
• Понять необходимость создания надлежащих механизмов контроля и сбора данных для своевременного, точного и достоверного предоставления исходных данных для отчетов о состоянии тестирования безопасности (например, приборная панель тестирования безопасности).
• Проанализировать данный промежуточный отчет о состоянии тестирования безопасности для определения уровня точности, понятности и соответствия требованиям заинтересованных сторон.
• Объяснить роль инструментов статического и динамического анализа в тестировании безопасности.
• Анализировать и документировать потребности тестирования безопасности, которые должны быть удовлетворены с помощью одного или нескольких инструментов (K2).
• Понять необходимость оценки возможностей поставщика по частому обновлению инструментов, чтобы оставаться в курсе угроз безопасности.