Данная угроза заключается в преднамеренной несанкционированной модификации программы (дистрибутива программы) в ходе осуществления ее передачи пользователю или непреднамеренной поставке пользователю программы (дистрибутива программы), содержащей известные разработчику ПО уязвимости программы.

Передача пользователю программы, содержащей уязвимости, может быть связана:

• с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю;
• с внедрением в передаваемую программу уязвимостей, а также подмену передаваемой программы на программу, содержащую уязвимости.

Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в программу (дистрибутив программы), которая передается пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к программе при ее передаче пользователю.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к программе (дистрибутиву программы) при ее поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемой программе, и мерах по разработке безопасного ПО, в частности, недостатками в процедуре передачи программы пользователю и (или) поставщику ПО, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемой программы (дистрибутива программы) следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.

[из 5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки ГОСТ Р 58412–2019]

Данная угроза заключается в получении пользователем обновлений ПО, содержащих внедренные уязвимости программы или уязвимости программы, появившиеся в результате ошибок или неквалифицированных действий работников разработчика ПО при определении и реализации процедуры обновления ПО. Уязвимости программы могут быть внедрены в обновления компонентов ПО собственной разработки, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Внедрение уязвимостей программы может быть осуществлено путем модификации (включая подмену) обновлений ПО при их передаче пользователю из среды разработки ПО, при их передаче пользователю из среды разработки стороннего разработчика ПО и при их передаче разработчику из среды разработки стороннего разработчика ПО. Уязвимости программы могут быть внедрены в обновления заимствованных у сторонних разработчиков ПО компонентов путем их модификации в среде разработки стороннего разработчика ПО. Внедренные уязвимости программы в дальнейшем могут быть использованы нарушителем с целью выполнения компьютерных атак на информационную систему пользователя.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в обновления компонентов ПО, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к обновлениям ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к обновлениям компонентов ПО, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

• недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к обновлениям компонентов ПО собственной разработки, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков;
• недостатками в процедуре передачи обновлений программы пользователю и (или) поставщику ПО, связанными с отсутствием возможности у пользователя и (или) поставщика ПО обнаружения несанкционированных изменений в полученных обновлениях компонентов ПО собственной разработки, а также в обновлениях компонентов ПО, которые заимствуют у сторонних разработчиков;
• недостатками реализованных разработчиком ПО мерах по разработке безопасного ПО, связанных с проведением систематического поиска уязвимостей программы и обучением работников разработчика ПО в области разработки безопасного ПО.

Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемого обновления программы следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.

[из 5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения ГОСТ Р 58412–2019]