Redakcja
Dla kogo?
Sylabus kierowany jest do testerów mających już na swoim koncie certyfikat ISTQB® Foundation Level, którzy chcą specjalizować się w testowaniu bezpieczeństwa aplikacji i systemów. Nowa ścieżka certyfikacji nie wymaga doświadczenia w testowaniu bezpieczeństwa, wystarczy podstawowa znajomość testowania i zainteresowanie tematyką bezpieczeństwa.
Struktura i zakres sylabusa
Sylabus podzielono na 9 rozdziałów, które prowadzą czytelnika od podstawowych paradygmatów bezpieczeństwa, przez techniki i procesy testowe, po narzędzia i raportowanie. Znalazły się w nim elementy poświęcone dostosowaniu testów bezpieczeństwa do różnych modeli wytwarzania oprogramowania oraz integracji z systemami zarządzania bezpieczeństwem informacji (ISMS).
Przegląd rozdziałów
1. Fundamenty bezpieczeństwa (Security Paradigms)
Pierwszy rozdział wprowadza kluczowe koncepcje bezpieczeństwa. Omawia poziomy bezpieczeństwa zasobów oraz zasadę CIA (Confidentiality, Integrity, Availability). Nie zabrakło w nim ujęcia koncepcji Zero Trust, zakładającej brak domyślnego zaufania do jakichkolwiek elementów systemu. Rozdział porusza także kwestię oprogramowania open-source i związanych z nim wyzwań bezpieczeństwa.
2. Techniki testowania bezpieczeństwa (Security Test Techniques)
Jest to rozdział przedstawiający różne podejścia do testowania - od testów black-box po white-box, oraz od testów statycznych po dynamiczne. Szczegółowo omawia testowanie mechanizmów uwierzytelniania, autoryzacji i szyfrowania. Jednym z elementów jest część poświęcona testowaniu technologii ochronnych, takich jak firewalle czy systemy wykrywania włamań.
3. Proces testowania bezpieczeństwa (The Security Test Process)
Rozdział omawia systematyczne podejście do procesu testowego, zaczynając od planowania, aż po raportowanie wyników. Sporo uwagi poświęcono projektowaniu testów na różnych poziomach, od testów komponentów po testy akceptacyjne. Omówiono też specyfikę środowisk testowych dla testów bezpieczeństwa.
4. Standardy i dobre praktyki (Standards and Best Practices)
Ta część sylabusa koncentruje się na standardach branżowych i najlepszych praktykach w testowaniu bezpieczeństwa. Przedstawia najważniejsze dostępne standardy jak ISO 27001 oraz zbiory dobrych praktyk takich jak OWASP. Omawia też praktyczne aspekty wykorzystania tych standardów w codziennej pracy testera.
5. Dostosowanie do kontekstu organizacyjnego (Adjusting To the Organizational Context)
Rozdział piąty jest analizą wpływu struktury organizacyjnej na testowanie bezpieczeństwa, poruszając przy okazji kwestie regulacji prawnych i ich wpływu na polityki bezpieczeństwa. Znajdziemy w nim również sekcję poświęconą analizie scenariuszy ataków i odpowiedzi na incydenty.
6. Dostosowanie do modeli wytwarzania oprogramowania (Adjusting to Software Development Lifecycle Models)
Ta część sylabusa pokazuje, w jaki sposób dostosować testowanie bezpieczeństwa do różnych modeli rozwoju oprogramowania, od tradycyjnego modelu kaskadowego po DevOps. Omówiono w nim także specyfikę testowania bezpieczeństwa w metodykach zwinnych.
7. Testowanie bezpieczeństwa w ISMS (Security Testing as Part of an Information Security Management System)
Znajdziemy tu omówienie roli testowania bezpieczeństwa w ramach systemu zarządzania bezpieczeństwem informacji. Rozdział przedstawia kryteria akceptacji testów oraz sposoby wykorzystania wyników testów do doskonalenia ISMS.
8. Raportowanie wyników testów (Reporting Test Results)
Rozdział ósmy koncentruje się na skutecznym komunikowaniu wyników testów bezpieczeństwa, omawia identyfikację i analizę podatności oraz różne techniki ich eliminacji, autorzy poświęcili też uwagę kwestii poufności raportów z testów bezpieczeństwa.
9. Narzędzia do testowania bezpieczeństwa (Security Test Tools)
Ostatni rozdział przedstawia kategoryzację i zastosowanie różnych narzędzi do testowania bezpieczeństwa. Omawia narzędzia do testów statycznych i dynamicznych, wskazując ich mocne i słabe strony.
Ocena
W sylabusie znajdziemy całościowe podejście do testowania bezpieczeństwa, które nie ogranicza się do samych technik testowych, ale omawia również standardy branżowe, najlepsze praktyki oraz aspekty organizacyjne. Autorzy sylabusa podeszli do tematu praktycznie, ponieważ w każdym rozdziale zawarto konkretne przykłady zastosowania opisywanych koncepcji, uwzględniono też najnowsze trendy, takie jak DevSecOps czy testowanie w środowiskach chmurowych. Sylabus prezentuje nam więc zrównoważone połączenie tradycyjnych i nowoczesnych metod wytwarzania oprogramowania.
Niektóre zagadnienia, szczególnie w obszarze nowych technologii i zagrożeń, mogłyby zostać rozszerzone w kolejnych wersjach sylabusa. Dotyczy to zwłaszcza tematyki sztucznej inteligencji i uczenia maszynowego w kontekście bezpieczeństwa.
Przygotowanie do egzaminu wymaga około 22 godzin szkolenia, co wydaje się rozsądnym wymiarem czasowym. Materiał jest dobrze uporządkowany i zawiera jasno określone cele nauczania dla każdego rozdziału.
Podsumowanie
Nowy sylabus Security Test Engineer może być w pewnym sensie uzupełnieniem testerskiego portfolio certyfikacji ISTQB® ze względu na zastosowane w nim połączenie podstawowej wiedzy, którą powinien posiadać każdy tester, z praktycznymi aspektami bezpieczeństwa systemów informatycznych. Sylabus podchodzi do tematu bezpieczeństwa w sposób praktyczny, a dla testerów zainteresowanych specjalizacją w testowaniu bezpieczeństwa będzie to solidna podstawa rozwoju kariery w tym kierunku.
