ISTQB CT-STE

Опис

ISTQB® Certified Security Test Engineer може:

• Розуміти основні парадигми безпеки та їх вплив на тестування безпеки.
• Застосовувати відповідні техніки тестування безпеки, визнаючи їхні переваги та обмеження.
• Брати участь у плануванні, проектуванні та виконанні тестів безпеки.
• Ефективно використовувати стандарти тестування безпеки та найкращі практики.
• Адаптувати діяльність з тестування безпеки до конкретного організаційного контексту.
• Узгоджувати тестування безпеки з різними методами розробки та життєвими циклами розробки програмного забезпечення.
• Інтегрувати результати тестування безпеки в систему управління інформаційною безпекою (ISMS) для активного управління ризиками.
• Збирати, оцінювати та консолідувати результати тестування, створюючи детальний звіт із усіма висновками та доказами.
• Визначати вимоги до інструментів для тестування безпеки та допомагати у виборі відповідних інструментів на основі вимог.

Розділ 1: Парадигми безпеки

• Рівні безпеки активів
  • Пояснити різні рівні безпеки активів і відповідні рівні їхнього захисту.
  • Пояснити взаємозв'язок між чутливістю інформації та тестуванням безпеки.
• Аудити безпеки
  • Описати роль тестування безпеки в контексті аудитів безпеки.
• Концепція Zero Trust
  • Пояснити концепцію Zero Trust.
  • Застосувати концепцію Zero Trust у тестуванні безпеки.
• Відкрите програмне забезпечення
  • Навести приклади використання відкритого програмного забезпечення (OSS) у розробці програмного забезпечення та його впливу на тестування безпеки.

Розділ 2: Техніки тестування безпеки

• Застосування типів тестів безпеки згідно з контекстом тестування
  • Навести приклади типів тестування безпеки для чорної коробки, сірої коробки або білої коробки.
  • Навести приклади типів тестування безпеки для динамічного або статичного тестування безпеки.
• Застосування типів тестів безпеки згідно з проектом та технічним контекстом
  • Застосовувати тестові випадки безпеки, базуючись на певному підході до тестування безпеки, разом з ідентифікованими функціональними та структурними ризиками безпеки.
  • Описати, як проводити повторне сертифікаційне тестування та тестування узгодженості для ідентифікацій та прав доступу.
  • Описати, як тестувати управління ідентифікацією та доступом.
  • Описати, як тестувати контроль захисту даних.
  • Описати, як тестувати захисні технології.

Розділ 3: Процес тестування безпеки

• Процес тестування безпеки
  • Пояснити різні види діяльності, завдання та обов'язки в рамках процесу тестування безпеки.
  • Розуміти основні елементи та характеристики ефективного середовища для тестування безпеки.
• Проектування тестів безпеки
  • Навести приклади тестів безпеки на основі заданої кодової бази на рівні компонентного тестування.
  • Навести приклади тестів безпеки на основі проектних специфікацій на рівні інтеграції компонентів.
  • Реалізувати кінцеве тестування безпеки, що перевіряє одне або кілька вимог безпеки, пов'язаних з одним або кількома бізнес-процесами.

Розділ 4: Стандарти та найкращі практики

• Вступ до стандартів та найкращих практик
  • Пояснити різні джерела стандартів тестування та найкращих практик та їхню застосовність.
• Застосовувати необхідні стандарти та найкращі практики для тестування безпеки.
  • Застосування концепцій OWASP, CVE та CVSS та навчання використанню їх для тестування безпеки
• Використання стандартів та найкращих практик
  • Поясніть переваги та недоліки використання ореклів тестування для тестування безпеки.
  • Розумійте переваги та недоліки використання найкращих практик і стандартів безпеки.

Розділ 5: Адаптація до організаційного контексту

• Вплив організаційних структур у контексті тестування безпеки
  • Проаналізувати конкретний організаційний контекст і визначити, які аспекти потрібно враховувати при тестуванні безпеки.
• Вплив нормативних актів на політику безпеки і як їх тестувати
  • Проаналізувати вплив нормативних актів на політику безпеки і методи їх тестування.
• Аналіз сценарію атаки
  • Проаналізувати сценарій атаки (проведену та виявлену атаку) та визначити можливі джерела і мотивацію атаки.

Розділ 6: Адаптація до моделей життєвого циклу розробки програмного забезпечення

• Вплив різних моделей життєвого циклу розробки програмного забезпечення
  • Підсумувати, чому діяльність з тестування безпеки повинна охоплювати життєвий цикл розробки програмного забезпечення.
  • Проаналізувати, як різні моделі розробки системи впливають на діяльність з тестування безпеки.
• Тестування безпеки під час обслуговування
  • Визначити і виконати регресійне тестування безпеки та тестування підтвердження на основі змін у системі.
  • Проаналізувати результати тестування безпеки, щоб визначити характер уразливості безпеки та її можливий технічний вплив.

Розділ 7: Тестування безпеки як частина системи управління інформаційною безпекою

• Критерії прийняття для тестування безпеки
  • Розуміти критерії прийняття тестування безпеки та як вони впливають на вибір підходів до тестування безпеки та технік тестування.
• Вхідні дані для системи управління інформаційною безпекою
  • Розуміти роль тестування безпеки для ефективної системи управління інформаційною безпекою.
• Поліпшення ISMS за допомогою адаптованого тестування безпеки
  • Оцінити зрілість ISMS, застосовуючи різні підходи до тестування, нові об'єкти тестування або поліпшене покриття.
  • Розуміти вимірюваність в рамках ISMS.

Розділ 8: Звітність по результатах тестування

• Звітність по тестуванню безпеки
  • Розуміти критичність результатів тестування безпеки та як це впливає на їх обробку та комунікацію.
• Ідентифікація та аналіз уразливостей
  • Оцінити результати тестування безпеки, щоб визначити уразливості безпеки.
• Закриття уразливостей
  • Оцінити різні техніки закриття виявлених уразливостей.

Розділ 9: Інструменти тестування безпеки

• Категоризація інструментів тестування безпеки
  • Проаналізувати різні варіанти використання та застосувати категоризацію інструментів тестування безпеки.
• Вибір інструментів тестування безпеки
• Розуміти використання та концепції інструментів динамічного тестування безпеки.
• Розуміти використання та концепції інструментів статичного тестування безпеки.