5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы ГОСТ Р 58412-2019
Данная угроза заключается в преднамеренном или непреднамеренном изменении тестовой документации (планы тестирования, описание выполняемых тестов и инструментальных средств, используемых для тестирования программы, фактические результаты тестирования, перечень выявленных при тестировании ПО ошибок ПО и уязвимостей программы), которое может привести к сокрытию информации об уязвимостях программы. Использование модифицированных планов тестирования, описаний выполняемых тестов и описаний ожидаемых результатов тестирования может стать причиной того, что уязвимости программы, внесенные при выполнении анализа требований, проектирования архитектуры программы или конструирования и комплексирования ПО, не будут обнаружены при выполнении квалификационного тестирования ПО. Модификация фактических результатов тестирования или перечня выявленных при тестировании ПО ошибок ПО и уязвимостей программы может стать причиной того, что уязвимости программы, выявленные при тестировании, не будут исправлены. Реализация угрозы может быть связана с принятием разработчиком ПО осознанного решения о невыполнении некоторых тестовых процедур или неисправлении обнаруженных ошибок или уязвимостей программы в силу различных причин, например, для сокращения времени разработки программы. Уязвимости программы, которые не были обнаружены и (или) исправлены при выполнении тестирования ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование тестовой документации или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при выполнении тестирования ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при выполнении тестирования ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы ГОСТ Р 58412–2019]
5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения ГОСТ Р 58412-2019
Данная угроза заключается в преднамеренном или непреднамеренном раскрытии информации, связанной с тестированием ПО (планы тестирования, описание выполняемых тестов и инструментальных средств, используемых для тестирования программы, фактические результаты тестирования, перечень выявленных при тестировании ПО уязвимостей программы и ошибок ПО). Нарушение конфиденциальности данной информации может способствовать выявлению недостатков ПО и уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при выполнении тестирования ПО, вследствие санкционированного или несанкционированного доступа к указанным объектам.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при выполнении тестирования ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена:
- недостатками в реализованных разработчиком ПО мерах контроля доступа, применяемых к объектам среды разработки ПО и направленных на ограничение круга лиц, имеющих доступ к критичной информации, и операций, которые могут быть выполнены с объектами среды разработки (например, вывод информации с использованием носителей информации или каналов передачи данных);
- недостаточной осведомленностью работников разработчика ПО в области обеспечения конфиденциальности информации.
[из 5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения ГОСТ Р 58412–2019]
5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения ГОСТ Р 58412-2019
Данная угроза заключается в непреднамеренном совершении ошибок при выполнении тестирования ПО. Совершаемые ошибки могут носить случайный характер или быть связаны с неверным выбором стратегий тестирования, недостаточным покрытием тестовыми процедурами проверяемых требований, неточным описанием сценариев тестовых процедур, начальных условий и ожидаемых результатов тестирования, совершением ошибок в процессе выполнения тестирования (воспроизведение начальных условий, реализация тестовых сценариев, использование инструментальных средств способами, не соответствующими порядку их эксплуатации, использование инструментальных средств, применение которых не предусмотрено при тестировании, документирование данного процесса), ошибочной модификацией фактических результатов тестирования ПО или перечня выявленных при тестировании ПО уязвимостей программы. Уязвимости программы, которые не были обнаружены и (или) исправлены из–за ошибок при выполнении тестирования ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование планов тестирования, ожидаемых или фактических результатов тестирования, перечня выявленных при тестировании ПО уязвимостей программы или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при выполнении тестирования ПО. При этом изменения вносят путем санкционированного доступа к объектам среды разработки ПО.
Угроза обусловлена недостатками в реализованных разработчиком ПО мерах по разработке безопасного ПО, в частности: некачественным или неполным проведением функционального тестирования программы, тестирования на проникновение, динамического анализа кода программы, фаззинг–тестирования программы, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения ГОСТ Р 58412–2019]