5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю ГОСТ Р 58412-2019

Данная угроза заключается в преднамеренной или непреднамеренной модификации эксплуатационных документов, включая их подмену, с целью внесения в них сведений (некорректных или неточных данных), которые, в случае их необнаружения, могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования. Передача пользователю эксплуатационных документов, содержащих ошибки, может быть связана с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю. Уязвимости программы, связанные с определением ее конфигурации (параметров настройки) и (или) конфигурации ее среды функционирования, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в эксплуатационные документы, которые передают пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к эксплуатационным документам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к эксплуатационным документам при их поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемым эксплуатационным документам, и мерах по разработке безопасного ПО, связанных с возможностью обнаружения пользователем несанкционированных изменений в полученных эксплуатационных документах, управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю ГОСТ Р 58412–2019]