Тестирование безопасности относится к функциональному, когда проверяется реализация конкретных требований безопасности, прописанных в спецификации, например:

Проверка корректной работы механизмов аутентификации и авторизации.
Тестирование применения политик паролей (длина, сложность, срок действия).
Валидация ввода данных на предмет предотвращения инъекций (SQL, XSS).
Проверка доступа к ресурсам на основе ролей пользователей.

В этом случае тестируется, что система делает в части безопасности согласно явным требованиям.

Тестирование безопасности относится к нефункциональному, когда оценивается надежность и устойчивость системы к различным видам атак и угроз, а также ее соответствие стандартам безопасности без привязки к конкретным функциональным требованиям. Примеры:

Пенетрационное тестирование (Penetration Testing) для выявления уязвимостей.
Сканирование на уязвимости (Vulnerability Scanning).
Анализ исходного кода на предмет потенциальных проблем безопасности (Static Analysis Security Testing - SAST, Dynamic Analysis Security Testing - DAST).
Тестирование на отказ в условиях атак типа DDoS.
Проверка соответствия стандартам безопасности (GDPR, HIPAA, PCI DSS).

Здесь оценивается, насколько хорошо система защищена и как она ведет себя под нагрузкой или при злонамеренных действиях.

Ключевое различие в том, что функциональное тестирование безопасности проверяет выполнение заявленных функций безопасности, а нефункциональное — общее качество и устойчивость защиты.

Когда тестирование безопасности может быть отнесено к функциональным тестам, а когда к нефункциональным?