ISTQB CT-SEC

Опис

Сертифікація ISTQB® CT - Security Tester призначена для професіоналів у сфері програмного забезпечення, які вже мають сертифікат ISTQB® Foundation і бажають отримати більш глибоке розуміння тестування програмного забезпечення, щоб стати тестувальником безпеки.

Кваліфікація Security Tester призначена для людей, які вже досягли певного рівня в своїй кар'єрі в тестуванні програмного забезпечення і бажають розвивати свої знання в області автоматизації тестування.

Розділ 1: Основи тестування безпеки

Розділ 2: Цілі, завдання та стратегії тестування безпеки

Розділ 3: Процеси тестування безпеки

Розділ 4: Тестування безпеки протягом життєвого циклу програмного забезпечення

Розділ 5: Тестування механізмів безпеки

Розділ 6: Людський фактор у тестуванні безпеки

Розділ 7: Оцінка та звітування за результатами тестування безпеки

Розділ 8: Інструменти тестування безпеки

Розділ 9: Стандарти та галузеві тенденції

Мета навчання

Проходження цього рівня демонструє, що кандидати можуть

• Розуміти роль оцінки ризиків у наданні інформації для планування та розробки тестів безпеки та узгодження тестування безпеки з бізнес-потребами.
• Визначати важливі активи, що підлягають захисту, цінність кожного активу та дані, необхідні для оцінки рівня безпеки, необхідного для кожного активу.
• Проаналізувати ефективне використання методів оцінки ризиків в конкретній ситуації для виявлення поточних і майбутніх загроз безпеці.
• Розуміти концепцію політик і процедур безпеки та їх застосування в інформаційних системах.
• Аналізувати заданий набір політик і процедур безпеки разом з результатами тестів безпеки для визначення їх ефективності. 
• Розуміти мету аудиту безпеки.
• Розуміти, чому тестування безпеки необхідне в організації, включаючи переваги для організації, такі як зниження ризиків і підвищення рівня впевненості та довіри.
• Розуміти, як реалії проекту, бізнес-обмеження, життєвий цикл розробки програмного забезпечення та інші фактори впливають на місію команди тестування безпеки.
• Пояснити, чому цілі та завдання тестування безпеки повинні узгоджуватися з політикою безпеки організації та іншими цілями тестування в організації.
• Для заданого сценарію проекту продемонструвати здатність визначати цілі тестування безпеки на основі функціональності, технологічних атрибутів та відомих вразливостей.
• Розуміти взаємозв'язок між забезпеченням захисту інформації та тестуванням безпеки.
• Для конкретного проєкту продемонструвати здатність визначати взаємозв'язок між цілями тестування безпеки та потребою у забезпеченні цілісності критично важливих цифрових та фізичних активів.
• Проаналізувати ситуацію та визначте, які підходи до тестування безпеки мають найбільше шансів на успіх.
• Проаналізувати ситуацію, в якій певний підхід до тестування безпеки не спрацював, визначивши ймовірні причини невдачі.
• Для заданого сценарію продемонструвати вміння визначати різні зацікавлені сторони та проілюструвати переваги тестування безпеки для кожної групи зацікавлених сторін.
• Проаналізувати KPI (ключові показники ефективності), щоб визначити практики тестування безпеки, які потребують вдосконалення, та елементи, які не потребують вдосконалення.
• На прикладі конкретного проекту продемонструвати вміння визначати елементи ефективного процесу тестування безпеки.
• Проаналізувати заданий план тестування безпеки, надаючи зворотній зв'язок щодо сильних та слабких сторін плану.
• Для заданого проекту реалізувати концептуальні (абстрактні) тести безпеки, засновані на заданому підході до тестування безпеки, разом з виявленими функціональними та структурними ризиками безпеки.
• Реалізувати тестові кейси для перевірки політик і процедур безпеки.
• Розуміти ключові елементи та характеристики ефективного середовища тестування безпеки.
• Розуміти важливість планування та отримання дозволів перед виконанням будь-якого тесту безпеки.
• Аналізувати результати тестування безпеки, щоб визначити наступне:
  • Сутність вразливостей в системі безпеки
  • Ступінь вразливості безпеки
  • Потенційний вплив вразливості безпеки
  • Запропоновані заходи щодо усунення вразливості
• Розуміти важливість підтримки процесів тестування безпеки з огляду на розвиток технологій та загроз.
• Пояснити, чому безпека найкраще досягається в рамках процесу життєвого циклу.
• Впроваджувати відповідні заходи, пов'язані з безпекою, для певного життєвого циклу програмного забезпечення (наприклад, ітеративний, послідовний).
• Аналізувати заданий набір вимог з точки зору безпеки для виявлення недоліків.
• Аналізувати заданий проектний документ з точки зору безпеки для виявлення недоліків.
• Розуміти роль тестування безпеки під час тестування компонентів.
• Реалізувати тести безпеки на рівні компонентів (абстрактно), маючи визначену специфікацію кодування.
• Аналізувати результати тестів на рівні компонентів для визначення адекватності коду з точки зору безпеки.
• Розуміти роль тестування безпеки під час тестування інтеграції компонентів.
• Реалізувати тести безпеки інтеграції компонентів (абстрактні), враховуючи визначену специфікацію системи.
• Реалізувати наскрізний тестовий сценарій для тестування безпеки, який перевіряє одну або декілька заданих вимог безпеки та тестує описаний функціональний процес.
• Продемонструвати вміння визначати набір критеріїв прийнятності для аспектів безпеки даного приймального тесту.
• Реалізувати наскрізний підхід до ретестування/регресійного тестування безпеки на основі заданого сценарію.
• Розуміти концепцію зміцнення системи та її роль у підвищенні безпеки AS-5.1.2 (K3) Демонструвати, як тестувати ефективність загальних механізмів зміцнення системи.
• Розуміти взаємозв'язок між автентифікацією та авторизацією і як вони застосовуються для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність загальних механізмів автентифікації та авторизації.
• Розуміння концепції шифрування та його застосування в захисті інформаційних систем.
• Продемонструвати, як перевіряти ефективність поширених механізмів шифрування.
• Розуміння концепції брандмауерів та використання мережевих зон, а також їх застосування для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність існуючих реалізацій брандмауерів та мережевих зон.
• Розуміння концепції засобів виявлення вторгнень та їх застосування для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність існуючих реалізацій засобів виявлення вторгнень.
• Розуміння концепції інструментів сканування шкідливого програмного забезпечення та їх застосування для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність існуючих реалізацій інструментів для аналізу шкідливого програмного забезпечення.
• Розуміння концепції інструментів маскування даних та їх застосування для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність підходів до маскування даних.
• Розуміння концепції навчання з безпеки як діяльності протягом життєвого циклу програмного забезпечення і чому воно необхідне для захисту інформаційних систем.
• Продемонструвати, як перевіряти ефективність навчання з безпеки.
• Пояснити, як людська поведінка може призвести до ризиків для безпеки і як вона впливає на ефективність тестування безпеки.
• Для заданого сценарію продемонструвати вміння визначати способи, за допомогою яких зловмисник може дізнатися ключову інформацію про об'єкт, і застосовувати заходи для захисту навколишнього середовища.
• Пояснювати загальні мотиви та джерела здійснення атак на комп'ютерні системи (К4) Проаналізувати сценарій атаки (здійснену та виявлену атаку) та визначити можливі джерела та мотивацію атаки.
• Пояснити, як засоби захисту можуть бути скомпрометовані соціальною інженерією.
• Розуміти важливість обізнаності з питань безпеки в організації.
• Враховуючи певні результати тестування, застосовувати відповідні дії для підвищення обізнаності щодо безпеки.
• Розуміти необхідність перегляду очікувань щодо безпеки та критеріїв прийнятності в міру того, як змінюються масштаби та цілі проекту.
• Розуміти важливість збереження конфіденційності та безпеки результатів тестування безпеки. 
• Розуміти необхідність створення належних засобів контролю та механізмів збору даних для своєчасного, точного та достовірного надання вихідних даних для звітів про стан тестування безпеки (наприклад, інформаційна панель тестування безпеки).
• Проаналізувати певний проміжний звіт про стан тестування безпеки, щоб визначити рівень його точності, зрозумілості та відповідності вимогам зацікавлених сторін.
• Пояснювати роль інструментів статичного та динамічного аналізу в тестуванні безпеки.
• Аналізувати та документувати потреби в тестуванні безпеки за допомогою одного або декількох інструментів (К2) Розуміти проблеми, пов'язані з інструментами з відкритим вихідним кодом.
• Розуміти необхідність оцінювати можливості постачальника щодо частого оновлення інструментів, щоб залишатися в курсі загроз безпеці.
• Розуміти важливість збереження конфіденційності та безпеки результатів тестування безпеки. 
• Розуміти необхідність створення належних засобів контролю та механізмів збору даних для своєчасного, точного та достовірного надання вихідних даних для звітів про стан тестування безпеки (наприклад, інформаційна панель тестування безпеки).
• Проаналізувати заданий проміжний звіт про стан тестування безпеки, щоб визначити рівень точності, зрозумілості та прийнятності для зацікавлених сторін.
• Пояснювати роль інструментів статичного та динамічного аналізу в тестуванні безпеки.
• Аналізувати та документувати потреби в тестуванні безпеки за допомогою одного або декількох інструментів (К2) Розуміти проблеми, пов'язані з інструментами з відкритим вихідним кодом.
• Розуміти необхідність оцінювати можливості постачальника щодо частого оновлення інструментів, щоб залишатися в курсі загроз безпеці.