Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения. Information protection. Secure software development. Software development life cycle threats. УДК 004.006.354 ОКС 35.020. Редакция от 12.12.2023.

5.6 Угрозы безопасности информации при решении проблем в программном обеспечении в процессе эксплуатации ГОСТ Р 58412-2019

    5.6.1 Угроза неисправления обнаруженных уязвимостей программы ГОСТ Р 58412-2019

    Данная угроза заключается в том, что обнаруженные ошибки ПО, которые могут стать причиной появления уязвимостей, не исправляют или исправляют несвоевременно вследствие неквалифицированных действий работников разработчика при определении и реализации процедур отслеживания и исправления обнаруженных ошибок ПО.

    Обнаруженные ошибки могут быть не исправлены (или несвоевременно исправлены) из–за отсутствия информации, необходимой для устранения, либо по причине того, что информация, необходимая для устранения ошибки, является некорректной. Разработчик в силу различных причин может принять осознанное решение о неисправлении отдельных обнаруженных ошибок, являющихся причиной появления уязвимостей программы, либо отказаться от реализации процедур отслеживания и исправления обнаруженных ошибок программы, принимая последствия негативного влияния такого решения на безопасность разрабатываемого ПО. Причиной отсутствия или некорректности информации, необходимой для устранения ошибок, может являться преднамеренная модификация объектов среды разработки ПО, создаваемых и используемых для определения и реализации процедур отслеживания и исправления обнаруженных ошибок программы. Модификации могут подвергаться как объекты, содержащие информацию, необходимую для устранения ошибок (например, специальная база данных или документально оформленный перечень обнаруженных ошибок), так и инструментальные средства, используемые для реализации процедур отслеживания и устранения обнаруженных ошибок программы, и (или) объекты среды разработки ПО, содержащие необходимую информацию о процедурах отслеживания и устранения ошибок ПО или информацию об использовании и параметрах используемых инструментальных средств. Ошибки программы, которые не были исправлены, могут стать причиной уязвимостей передаваемой пользователю программы. Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

    Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на определение и реализацию процедур отслеживания и исправления обнаруженных ошибок программы или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при отслеживании и исправлении обнаруженных ошибок программы, путем осуществления санкционированного или несанкционированного доступа.

    Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при отслеживании и исправлении обнаруженных ошибок программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

    Угроза обусловлена недостатками в реализованных разработчиком ПО механизмах контроля доступа к объектам среды разработки ПО и контроля целостности объектов среды разработки ПО, а также мерах по разработке безопасного ПО, в частности: отсутствием мер, связанных с решением проблем в ПО в процессе эксплуатации, недостатками в процедурах, связанных с отслеживанием и исправлением обнаруженных ошибок ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.6.1 Угроза неисправления обнаруженных уязвимостей программы ГОСТ Р 58412–2019]

      5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412-2019

      Данная угроза заключается в преднамеренном или непреднамеренном (из–за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации об обнаруженных ошибках ПО и уязвимостях программы. Нарушение конфиденциальности данной информации может способствовать выявлению уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

      Примечание — В качестве примеров источников информации можно привести: документально оформленный перечень обнаруженных ошибок ПО и уязвимостей программы, базу данных с информацией об обнаруженных ошибках ПО и уязвимостях программы.

      Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при реализации процедур отслеживания и исправления ошибок, вследствие санкционированного или несанкционированного доступа к указанным объектам.

      Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при реализации процедур отслеживания и исправления ошибок. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

      Угроза обусловлена:

      [из 5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412–2019]

        5.7 Угрозы безопасности информации в процессе менеджмента документацией и конфигурацией программы ГОСТ Р 58412-2019

        В 5.7.1 представлена угроза безопасности информации, связанная с использованием системы управления конфигурацией ПО. Для процесса менеджмента документацией и конфигурацией программы актуальны иные угрозы безопасности информации, связанные с доступом к элементам конфигурации. Эти угрозы безопасности информации представлены в соответствующих пунктах настоящего стандарта с учетом типа элемента конфигурации следующим образом:

        • угроза безопасности информации для элементов конфигурации, связанная с определением требований по безопасности, предъявляемых к создаваемому ПО: 5.1.1;
        • угроза безопасности информации для элементов конфигурации, связанная с проектированием архитектуры программы: 5.2.1;
        • угроза безопасности информации, связанная с исходным кодом программы: 5.3.1;
        • угроза безопасности информации, связанная с программными модулями сторонних разработчиков ПО: 5.3.2;
        • угроза безопасности информации, связанная с инструментальными средствами: 5.3.3;
        • угрозы безопасности информации, связанные с эксплуатационными документами: 5.3.4, 5.5.2;
        • угроза безопасности информации, связанная с тестовой документацией: 5.4.1;
        • угроза безопасности информации, связанная с программой (дистрибутивом программы) и обновлениями ПО: 5.5.1;
        • угроза безопасности информации, связанная с отслеживанием и исправлением обнаруженных ошибок ПО и уязвимостей программы: 5.6.1.

        [из 5.7 Угрозы безопасности информации в процессе менеджмента документацией и конфигурацией программы ГОСТ Р 58412–2019]

          5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения ГОСТ Р 58412-2019

          Данная угроза заключается в непреднамеренном совершении ошибок работниками разработчика ПО при управлении конфигурацией ПО или преднамеренной модификации объектов среды разработки ПО, создаваемых или используемых разработчиком ПО при управлении конфигурацией ПО, что может стать причиной появления уязвимостей программы в случае необнаружения модификаций. Совершаемые ошибки могут носить случайный характер или быть связаны с неверным планированием управления конфигурацией ПО, неверной идентификацией элементов конфигурации или эксплуатацией системы управления конфигурацией ПО способами, не соответствующими порядку ее использования, вследствие случайных неверных или неквалифицированных действий работников разработчика ПО. Совершенные ошибки, при условии их необнаружения или неисправления, могут стать причиной передачи пользователю программы, содержащей известные уязвимости, или эксплуатационных документов, не соответствующих передаваемой программе, что может стать причиной неверной конфигурации программы и (или) ее среды функционирования. Уязвимости программы, появившиеся из–за использования модифицированных объектов среды разработки ПО, создаваемых или используемых разработчиком ПО при управлении конфигурацией ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

          Примечание — В качестве примера можно привести внесение программных закладок в используемые для управления конфигурацией ПО инструментальные средства, которые будут внедрять уязвимости в создаваемую программу.

          Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на процесс управления конфигурацией ПО или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при управлении конфигурацией ПО, путем осуществления санкционированного или несанкционированного доступа.

          Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при управлении конфигурацией ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

          Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

          Примечание — В качестве примеров объектов среды разработки ПО можно привести: инструментальные средства, используемые для управления конфигурацией ПО, связанную с ними информацию, документы, описывающие использование системы управления конфигурацией ПО.

          [из 5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения ГОСТ Р 58412–2019]

            5.8 Угрозы безопасности информации в процессе менеджмента инфраструктурой среды разработки программного обеспечения ГОСТ Р 58412-2019

            Для процесса менеджмента инфраструктурой среды разработки ПО актуальны угрозы безопасности информации, связанные с доступом к объектам среды разработки, в том числе элементам конфигурации. Эти угрозы безопасности информации представлены в соответствующих пунктах настоящего стандарта с учетом типа объекта среды разработки следующим образом:

            • угрозы безопасности информации для элементов конфигурации, связанных с определением требований по безопасности, предъявляемых к создаваемому ПО: 5.1.1, 5.1.2;
            • угрозы безопасности информации для элементов конфигурации, связанных с проектированием архитектуры программы: 5.2.1, 5.2.2;
            • угрозы безопасности информации, связанные с исходным кодом программы: 5.3.1, 5.3.5;
            • угроза безопасности информации, связанная с программными модулями сторонних разработчиков ПО: 5.3.2;
            • угроза безопасности информации, связанная с инструментальными средствами: 5.3.3;
            • угрозы безопасности информации, связанные с эксплуатационными документами: 5.3.4, 5.5.2;
            • угрозы безопасности информации, связанные с тестовой документацией: 5.4.1, 5.4.2;
            • угрозы безопасности информации, связанные с программой (дистрибутивом программы) и обновлениями ПО: 5.5.1, 5.5.3.
            • угрозы безопасности информации, связанные с отслеживанием и исправлением обнаруженных ошибок ПО и уязвимостей программы: 5.6.1, 5.6.2;
            • угрозы безопасности информации, связанные с инструментальными средствами и объектами среды разработки ПО, используемыми для управления конфигурацией ПО: 5.7.1.

            При идентификации иных угроз безопасности информации, которые могут возникнуть в процессе менеджмента инфраструктурой среды разработки ПО, разработчик ПО должен руководствоваться положениями ГОСТ Р ИСО/МЭК 27001. При выполнении идентификации активов разработчику ПО следует рассматривать следующие объекты среды разработки ПО и элементы конфигурации:

            • программа (дистрибутив программы);
            • программные и эксплуатационные документы;
            • исходный код программы;
            • программные модули, в том числе модули сторонних разработчиков ПО;
            • инструментальные средства и связанная с ними информация;
            • информация, связанная с обновлениями ПО и устранениями уязвимостей программы;
            • перечень выявленных уязвимостей программы.

            [из 5.8 Угрозы безопасности информации в процессе менеджмента инфраструктурой среды разработки программного обеспечения ГОСТ Р 58412–2019]

              5.9 Угрозы безопасности информации в процессе менеджмента людскими ресурсами ГОСТ Р 58412-2019

                5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения ГОСТ Р 58412-2019

                Данная угроза заключается в непреднамеренном совершении ошибок разработчиком ПО при обучении своих работников в области разработки безопасного ПО. Совершаемые ошибки могут носить случайный характер или быть связаны с отсутствием процесса обучения (повышения квалификации) работников, неверным планированием процесса обучения работников или отсутствием пересмотра программ обучения с учетом тенденций в области разработки безопасного ПО. Совершенные ошибки могут стать причиной низкой квалификации работников разработчика ПО в области разработки безопасного ПО. Уязвимости программы, появившиеся из–за низкой квалификации работников разработчика ПО, могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

                Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на процесс обучения работников или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при их обучении. Изменения при этом вносят путем санкционированного доступа к объектам среды разработки ПО.

                Угроза обусловлена недостатками в реализованных разработчиком ПО мерах по разработке безопасного ПО, в частности, некачественным обучением работников в области разработки безопасного ПО [из 5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения ГОСТ Р 58412–2019]

                  ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

                  ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения. Information protection. Secure software development. Software development life cycle threats. УДК 004.006.354 ОКС 35.020. Редакция от 12.12.2023.

                    Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

                    Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

                    ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения. Information protection. Secure software development. Software development life cycle threats. УДК 004.006.354 ОКС 35.020. Редакция от 12.12.2023.

                      Страницы

                      Подписка на Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения