Loading (custom)...

ISTQB CT-SEC

ISTQB® CT - Security Tester

Опис

Сертифікація ISTQB® CT - Security Tester призначена для професіоналів у сфері програмного забезпечення, які вже мають сертифікат ISTQB® Foundation і бажають отримати більш глибоке розуміння тестування програмного забезпечення, щоб стати тестувальником безпеки.

Кваліфікація Security Tester призначена для людей, які вже досягли певного рівня в своїй кар'єрі в тестуванні програмного забезпечення і бажають розвивати свої знання в області автоматизації тестування.

Розділ 1: Основи тестування безпеки

Розділ 2: Цілі, завдання та стратегії тестування безпеки

Розділ 3: Процеси тестування безпеки

Розділ 4: Тестування безпеки протягом життєвого циклу програмного забезпечення

Розділ 5: Тестування механізмів безпеки

Розділ 6: Людський фактор у тестуванні безпеки

Розділ 7: Оцінка та звітування за результатами тестування безпеки

Розділ 8: Інструменти тестування безпеки

Розділ 9: Стандарти та галузеві тенденції

 

Мета навчання

Проходження цього рівня демонструє, що кандидати можуть

  • Розуміти роль оцінки ризиків у наданні інформації для планування та розробки тестів безпеки та узгодження тестування безпеки з бізнес-потребами.
  • Визначати важливі активи, що підлягають захисту, цінність кожного активу та дані, необхідні для оцінки рівня безпеки, необхідного для кожного активу.
  • Проаналізувати ефективне використання методів оцінки ризиків в конкретній ситуації для виявлення поточних і майбутніх загроз безпеці.
  • Розуміти концепцію політик і процедур безпеки та їх застосування в інформаційних системах.
  • Аналізувати заданий набір політик і процедур безпеки разом з результатами тестів безпеки для визначення їх ефективності. 
  • Розуміти мету аудиту безпеки.
  • Розуміти, чому тестування безпеки необхідне в організації, включаючи переваги для організації, такі як зниження ризиків і підвищення рівня впевненості та довіри.
  • Розуміти, як реалії проекту, бізнес-обмеження, життєвий цикл розробки програмного забезпечення та інші фактори впливають на місію команди тестування безпеки.
  • Пояснити, чому цілі та завдання тестування безпеки повинні узгоджуватися з політикою безпеки організації та іншими цілями тестування в організації.
  • Для заданого сценарію проекту продемонструвати здатність визначати цілі тестування безпеки на основі функціональності, технологічних атрибутів та відомих вразливостей.
  • Розуміти взаємозв'язок між забезпеченням захисту інформації та тестуванням безпеки.
  • Для конкретного проєкту продемонструвати здатність визначати взаємозв'язок між цілями тестування безпеки та потребою у забезпеченні цілісності критично важливих цифрових та фізичних активів.
  • Проаналізувати ситуацію та визначте, які підходи до тестування безпеки мають найбільше шансів на успіх.
  • Проаналізувати ситуацію, в якій певний підхід до тестування безпеки не спрацював, визначивши ймовірні причини невдачі.
  • Для заданого сценарію продемонструвати вміння визначати різні зацікавлені сторони та проілюструвати переваги тестування безпеки для кожної групи зацікавлених сторін.
  • Проаналізувати KPI (ключові показники ефективності), щоб визначити практики тестування безпеки, які потребують вдосконалення, та елементи, які не потребують вдосконалення.
  • На прикладі конкретного проекту продемонструвати вміння визначати елементи ефективного процесу тестування безпеки.
  • Проаналізувати заданий план тестування безпеки, надаючи зворотній зв'язок щодо сильних та слабких сторін плану.
  • Для заданого проекту реалізувати концептуальні (абстрактні) тести безпеки, засновані на заданому підході до тестування безпеки, разом з виявленими функціональними та структурними ризиками безпеки.
  • Реалізувати тестові кейси для перевірки політик і процедур безпеки.
  • Розуміти ключові елементи та характеристики ефективного середовища тестування безпеки.
  • Розуміти важливість планування та отримання дозволів перед виконанням будь-якого тесту безпеки.
  • Аналізувати результати тестування безпеки, щоб визначити наступне:
    • Сутність вразливостей в системі безпеки
    • Ступінь вразливості безпеки
    • Потенційний вплив вразливості безпеки
    • Запропоновані заходи щодо усунення вразливості
  • Розуміти важливість підтримки процесів тестування безпеки з огляду на розвиток технологій та загроз.
  • Пояснити, чому безпека найкраще досягається в рамках процесу життєвого циклу.
  • Впроваджувати відповідні заходи, пов'язані з безпекою, для певного життєвого циклу програмного забезпечення (наприклад, ітеративний, послідовний).
  • Аналізувати заданий набір вимог з точки зору безпеки для виявлення недоліків.
  • Аналізувати заданий проектний документ з точки зору безпеки для виявлення недоліків.
  • Розуміти роль тестування безпеки під час тестування компонентів.
  • Реалізувати тести безпеки на рівні компонентів (абстрактно), маючи визначену специфікацію кодування.
  • Аналізувати результати тестів на рівні компонентів для визначення адекватності коду з точки зору безпеки.
  • Розуміти роль тестування безпеки під час тестування інтеграції компонентів.
  • Реалізувати тести безпеки інтеграції компонентів (абстрактні), враховуючи визначену специфікацію системи.
  • Реалізувати наскрізний тестовий сценарій для тестування безпеки, який перевіряє одну або декілька заданих вимог безпеки та тестує описаний функціональний процес.
  • Продемонструвати вміння визначати набір критеріїв прийнятності для аспектів безпеки даного приймального тесту.
  • Реалізувати наскрізний підхід до ретестування/регресійного тестування безпеки на основі заданого сценарію.
  • Розуміти концепцію зміцнення системи та її роль у підвищенні безпеки AS-5.1.2 (K3) Демонструвати, як тестувати ефективність загальних механізмів зміцнення системи.
  • Розуміти взаємозв'язок між автентифікацією та авторизацією і як вони застосовуються для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність загальних механізмів автентифікації та авторизації.
  • Розуміння концепції шифрування та його застосування в захисті інформаційних систем.
  • Продемонструвати, як перевіряти ефективність поширених механізмів шифрування.
  • Розуміння концепції брандмауерів та використання мережевих зон, а також їх застосування для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність існуючих реалізацій брандмауерів та мережевих зон.
  • Розуміння концепції засобів виявлення вторгнень та їх застосування для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність існуючих реалізацій засобів виявлення вторгнень.
  • Розуміння концепції інструментів сканування шкідливого програмного забезпечення та їх застосування для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність існуючих реалізацій інструментів для аналізу шкідливого програмного забезпечення.
  • Розуміння концепції інструментів маскування даних та їх застосування для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність підходів до маскування даних.
  • Розуміння концепції навчання з безпеки як діяльності протягом життєвого циклу програмного забезпечення і чому воно необхідне для захисту інформаційних систем.
  • Продемонструвати, як перевіряти ефективність навчання з безпеки.
  • Пояснити, як людська поведінка може призвести до ризиків для безпеки і як вона впливає на ефективність тестування безпеки.
  • Для заданого сценарію продемонструвати вміння визначати способи, за допомогою яких зловмисник може дізнатися ключову інформацію про об'єкт, і застосовувати заходи для захисту навколишнього середовища.
  • Пояснювати загальні мотиви та джерела здійснення атак на комп'ютерні системи (К4) Проаналізувати сценарій атаки (здійснену та виявлену атаку) та визначити можливі джерела та мотивацію атаки.
  • Пояснити, як засоби захисту можуть бути скомпрометовані соціальною інженерією.
  • Розуміти важливість обізнаності з питань безпеки в організації.
  • Враховуючи певні результати тестування, застосовувати відповідні дії для підвищення обізнаності щодо безпеки.
  • Розуміти необхідність перегляду очікувань щодо безпеки та критеріїв прийнятності в міру того, як змінюються масштаби та цілі проекту.
  • Розуміти важливість збереження конфіденційності та безпеки результатів тестування безпеки. 
  • Розуміти необхідність створення належних засобів контролю та механізмів збору даних для своєчасного, точного та достовірного надання вихідних даних для звітів про стан тестування безпеки (наприклад, інформаційна панель тестування безпеки).
  • Проаналізувати певний проміжний звіт про стан тестування безпеки, щоб визначити рівень його точності, зрозумілості та відповідності вимогам зацікавлених сторін.
  • Пояснювати роль інструментів статичного та динамічного аналізу в тестуванні безпеки.
  • Аналізувати та документувати потреби в тестуванні безпеки за допомогою одного або декількох інструментів (К2) Розуміти проблеми, пов'язані з інструментами з відкритим вихідним кодом.
  • Розуміти необхідність оцінювати можливості постачальника щодо частого оновлення інструментів, щоб залишатися в курсі загроз безпеці.
  • Розуміти важливість збереження конфіденційності та безпеки результатів тестування безпеки. 
  • Розуміти необхідність створення належних засобів контролю та механізмів збору даних для своєчасного, точного та достовірного надання вихідних даних для звітів про стан тестування безпеки (наприклад, інформаційна панель тестування безпеки).
  • Проаналізувати заданий проміжний звіт про стан тестування безпеки, щоб визначити рівень точності, зрозумілості та прийнятності для зацікавлених сторін.
  • Пояснювати роль інструментів статичного та динамічного аналізу в тестуванні безпеки.
  • Аналізувати та документувати потреби в тестуванні безпеки за допомогою одного або декількох інструментів (К2) Розуміти проблеми, пов'язані з інструментами з відкритим вихідним кодом.
  • Розуміти необхідність оцінювати можливості постачальника щодо частого оновлення інструментів, щоб залишатися в курсі загроз безпеці.

 

Цільова аудиторія

Тестувальники, тестові аналітики, тестові інженери, тестові консультанти та розробники програмного забезпечення.

Вимоги

  • Успішно скласти сертифікаційний іспит ISTQB® CTFL та мати сертифікат.
  • Достатній відповідний досвід роботи в галузі тестування програмного забезпечення, як правило, не менше 18 місяців. 

Завантажте навчальні програми для цієї сертифікації або перегляньте зразки іспитів.

Перейти до ресурсів

Зареєструватися на сертифікаційний іспит

brightest private exams

Brightest Private

Exam

Електронні іспити для індивідуальних користувачів, які проводить експерт на сайті Pearson VUE в режимі реального часу через вебкамеру(тепер також доступні для ISTQB).

brightest-center-exam

Brightest Center

Exam

Електронний іспит для індивідуальних користувачів у будь-якому із 5200+ центрів тестування з легкою реєстрацією на вебсайті Pearson VUE.

brightest green exam

Brightest Green

Exam

Електронні групові іспити щонайменше 6 учасників шістьма різними мовами у будь-якій точці світу.

brightest paper exam

Brightest Paper

Exam

Класичний іспит для груп щонайменше із 6 учасників дедалі більшою кількістю мов.