5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки ГОСТ Р 58412-2019
Данная угроза заключается в преднамеренной несанкционированной модификации программы (дистрибутива программы) в ходе осуществления ее передачи пользователю или непреднамеренной поставке пользователю программы (дистрибутива программы), содержащей известные разработчику ПО уязвимости программы.
Передача пользователю программы, содержащей уязвимости, может быть связана:
- с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю;
- с внедрением в передаваемую программу уязвимостей, а также подмену передаваемой программы на программу, содержащую уязвимости.
Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в программу (дистрибутив программы), которая передается пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к программе при ее передаче пользователю.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к программе (дистрибутиву программы) при ее поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемой программе, и мерах по разработке безопасного ПО, в частности, недостатками в процедуре передачи программы пользователю и (или) поставщику ПО, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.
Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемой программы (дистрибутива программы) следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.
[из 5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки ГОСТ Р 58412–2019]
5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю ГОСТ Р 58412-2019
Данная угроза заключается в преднамеренной или непреднамеренной модификации эксплуатационных документов, включая их подмену, с целью внесения в них сведений (некорректных или неточных данных), которые, в случае их необнаружения, могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования. Передача пользователю эксплуатационных документов, содержащих ошибки, может быть связана с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю. Уязвимости программы, связанные с определением ее конфигурации (параметров настройки) и (или) конфигурации ее среды функционирования, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в эксплуатационные документы, которые передают пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к эксплуатационным документам.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к эксплуатационным документам при их поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемым эксплуатационным документам, и мерах по разработке безопасного ПО, связанных с возможностью обнаружения пользователем несанкционированных изменений в полученных эксплуатационных документах, управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю ГОСТ Р 58412–2019]
5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения ГОСТ Р 58412-2019
Данная угроза заключается в получении пользователем обновлений ПО, содержащих внедренные уязвимости программы или уязвимости программы, появившиеся в результате ошибок или неквалифицированных действий работников разработчика ПО при определении и реализации процедуры обновления ПО. Уязвимости программы могут быть внедрены в обновления компонентов ПО собственной разработки, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Внедрение уязвимостей программы может быть осуществлено путем модификации (включая подмену) обновлений ПО при их передаче пользователю из среды разработки ПО, при их передаче пользователю из среды разработки стороннего разработчика ПО и при их передаче разработчику из среды разработки стороннего разработчика ПО. Уязвимости программы могут быть внедрены в обновления заимствованных у сторонних разработчиков ПО компонентов путем их модификации в среде разработки стороннего разработчика ПО. Внедренные уязвимости программы в дальнейшем могут быть использованы нарушителем с целью выполнения компьютерных атак на информационную систему пользователя.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в обновления компонентов ПО, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к обновлениям ПО.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к обновлениям компонентов ПО, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена:
- недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к обновлениям компонентов ПО собственной разработки, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков;
- недостатками в процедуре передачи обновлений программы пользователю и (или) поставщику ПО, связанными с отсутствием возможности у пользователя и (или) поставщика ПО обнаружения несанкционированных изменений в полученных обновлениях компонентов ПО собственной разработки, а также в обновлениях компонентов ПО, которые заимствуют у сторонних разработчиков;
- недостатками реализованных разработчиком ПО мерах по разработке безопасного ПО, связанных с проведением систематического поиска уязвимостей программы и обучением работников разработчика ПО в области разработки безопасного ПО.
Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемого обновления программы следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.
[из 5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения ГОСТ Р 58412–2019]