5.6.1 Угроза неисправления обнаруженных уязвимостей программы ГОСТ Р 58412-2019
Данная угроза заключается в том, что обнаруженные ошибки ПО, которые могут стать причиной появления уязвимостей, не исправляют или исправляют несвоевременно вследствие неквалифицированных действий работников разработчика при определении и реализации процедур отслеживания и исправления обнаруженных ошибок ПО.
Обнаруженные ошибки могут быть не исправлены (или несвоевременно исправлены) из–за отсутствия информации, необходимой для устранения, либо по причине того, что информация, необходимая для устранения ошибки, является некорректной. Разработчик в силу различных причин может принять осознанное решение о неисправлении отдельных обнаруженных ошибок, являющихся причиной появления уязвимостей программы, либо отказаться от реализации процедур отслеживания и исправления обнаруженных ошибок программы, принимая последствия негативного влияния такого решения на безопасность разрабатываемого ПО. Причиной отсутствия или некорректности информации, необходимой для устранения ошибок, может являться преднамеренная модификация объектов среды разработки ПО, создаваемых и используемых для определения и реализации процедур отслеживания и исправления обнаруженных ошибок программы. Модификации могут подвергаться как объекты, содержащие информацию, необходимую для устранения ошибок (например, специальная база данных или документально оформленный перечень обнаруженных ошибок), так и инструментальные средства, используемые для реализации процедур отслеживания и устранения обнаруженных ошибок программы, и (или) объекты среды разработки ПО, содержащие необходимую информацию о процедурах отслеживания и устранения ошибок ПО или информацию об использовании и параметрах используемых инструментальных средств. Ошибки программы, которые не были исправлены, могут стать причиной уязвимостей передаваемой пользователю программы. Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на определение и реализацию процедур отслеживания и исправления обнаруженных ошибок программы или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при отслеживании и исправлении обнаруженных ошибок программы, путем осуществления санкционированного или несанкционированного доступа.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при отслеживании и исправлении обнаруженных ошибок программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО механизмах контроля доступа к объектам среды разработки ПО и контроля целостности объектов среды разработки ПО, а также мерах по разработке безопасного ПО, в частности: отсутствием мер, связанных с решением проблем в ПО в процессе эксплуатации, недостатками в процедурах, связанных с отслеживанием и исправлением обнаруженных ошибок ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.6.1 Угроза неисправления обнаруженных уязвимостей программы ГОСТ Р 58412–2019]
5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412-2019
Данная угроза заключается в преднамеренном или непреднамеренном (из–за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации об обнаруженных ошибках ПО и уязвимостях программы. Нарушение конфиденциальности данной информации может способствовать выявлению уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Примечание — В качестве примеров источников информации можно привести: документально оформленный перечень обнаруженных ошибок ПО и уязвимостей программы, базу данных с информацией об обнаруженных ошибках ПО и уязвимостях программы.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при реализации процедур отслеживания и исправления ошибок, вследствие санкционированного или несанкционированного доступа к указанным объектам.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при реализации процедур отслеживания и исправления ошибок. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена:
- недостатками в реализованных разработчиком ПО мерах контроля доступа, применяемых к объектам среды разработки ПО и направленных на ограничение круга лиц, имеющих доступ к критичной информации, и операций, которые могут быть выполнены с объектами среды разработки (например, вывод информации с использованием носителей информации или каналов передачи данных);
- недостаточной осведомленностью работников разработчика ПО в области обеспечения конфиденциальности информации.
[из 5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412–2019]