Данная угроза заключается в преднамеренном или непреднамеренном внесении ошибок в эксплуатационные документы, которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования. Реализация угрозы может быть связана:
- с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в эксплуатационных документах ошибок в силу различных причин, например, для сокращения времени разработки программы.
- с некорректным, неточным или неполным изложением описания конфигурации (параметров настройки) программы и (или) ее среды функционирования, либо неисправлением обнаруженных ошибок в данных описаниях, вследствие случайных неверных действий или неквалифицированных действий.
Уязвимости программы, связанные с определением ее конфигурации (параметров настройки) и (или) конфигурации ее среды функционирования, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование описаний конфигурации (параметров настройки) программы и (или) ее среды функционирования в процессе разработки эксплуатационных документов или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при разработке эксплуатационных документов. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.
Примечание — В качестве примеров объектов среды разработки можно привести: документы, разрабатываемые по требованиям ГОСТ Р 56939 (например, описание применения, руководство оператора), постановки задач, иные документы, в том числе электронные, создаваемые или используемые при разработке эксплуатационных документов. При выполнении анализа данной угрозы безопасности информации следует учитывать, что объекты среды разработки ПО, создаваемые или используемые при разработке эксплуатационных документов, могут не являться элементами конфигурации, контролируемыми системой управления конфигурацией ПО.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при разработке эксплуатационных документов. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах ло разработке безопасного ПО, в частности: в мерах, связанных с управлением конфигурацией ПО, определением в эксплуатационных документах конфигурации (параметров настройки) программы или ее среды функционирования. обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.
Примечание — В качестве примеров ошибок, которые могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования можно привести: ошибки в инструкциях по первоначальной настройке программы (например, отсутствие требования к смене пароля администратора, который был задан разработчиком программы), ошибки в инструкциях по безопасному конфигурированию программы в процессе эксплуатации (например, отсутствие требований о запрете использования словарных паролей), ошибки в инструкциях по безопасному конфигурированию среды функционирования программы (например, отсутствие требования к обязательному применению актуальных обновлений ПО среды функционирования).
[из 5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения ГОСТ Р 58412–2019]