Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р 58412–2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения. Information protection. Secure software development. Software development life cycle threats. УДК 004.006.354 ОКС 35.020. Редакция от 12.12.2023.

1 Область применения ГОСТ Р 58412-2019

Настоящий стандарт устанавливает перечень и содержит описание угроз безопасности информации, которые могут возникать при разработке программного обеспечения. Настоящий стандарт предназначен для разработчиков и производителей программного обеспечения и применяется совместно с ГОСТ Р 56939. Информация о мерах по разработке безопасного (защищенного) программного обеспечения, установленных ГОСТ Р 56939, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения, приведена в приложении А.

Перечень и описание угроз безопасности информации, представленные в настоящем стандарте, могут использоваться для определения угроз безопасности, актуальных для среды разработки программного обеспечения и разрабатываемого программного обеспечения. В некоторых случаях, например, в процессе разработки программ для ЭВМ с открытым кодом или при использовании программ для ЭВМ с открытым кодом в составе разрабатываемого ПО разработчик может принять осознанное решение об отсутствии необходимости сохранения конфиденциальности определенных компонентов ПО, что соответствующим образом может отразиться на результатах идентификации и оценки угроз безопасности информации: угрозы нарушения конфиденциальности информации, содержащейся в указанных компонентах ПО будут являться неактуальными [из 1 Область применения ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23704 💥

Открыть в новой вкладке

2 Нормативные ссылки ГОСТ Р 58412-2019

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
ГОСТ Р 54593 Информационные технологии. Свободное программное обеспечение. Общие положения
ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования
ГОСТ Р ИСО 10007 Менеджмент организации. Руководящие указания по управлению конфигурацией
ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств
ГОСТ Р ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

[из 2 Нормативные ссылки ГОСТ Р 58412-2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23704 💥

Открыть в новой вкладке

3 Термины и определения ГОСТ Р 58412-2019

В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, ГОСТ Р ИСО 10007, ГОСТ 19781, ГОСТ Р 50922, ГОСТ Р 51275, ГОСТ Р 54593, ГОСТ Р 56939, а также следующие термины с соответствующими определениями:

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23704 💥

Открыть в новой вкладке

4 Общие положения ГОСТ Р 58412-2019

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23704 💥

Открыть в новой вкладке

4.1 ГОСТ Р 58412-2019

4.1 При реализации требований ГОСТ Р 56939 разработчиком безопасного программного обеспечения (ПО) должен быть определен перечень мер, подлежащих реализации при его разработке в целях предотвращения появления и устранения уязвимостей программ в процессах их жизненного цикла. Выбор и уточнение мер по разработке безопасного ПО должен основываться на результатах проводимого разработчиком ПО анализа угроз безопасности информации, в результате которого должны быть определены актуальные для среды разработки ПО угрозы безопасности информации. Угрозы безопасности информации при разработке ПО, представленные в настоящем стандарте, могут являться основой для проведения анализа угроз безопасности информации конкретной среды разработки ПО [из 4.1 ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23668 💥

Открыть в новой вкладке

4.2 ГОСТ Р 58412-2019

4.2 Перечень угроз безопасности информации, приведенный в настоящем стандарте, является специфичным для процессов жизненного цикла ПО, в ходе которых в ПО могут быть внедрены уязвимости программы или нарушена конфиденциальность информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы. Угрозы безопасности информации, приведенные в настоящем стандарте, являются антропогенными. В настоящем стандарте не рассматриваются угрозы безопасности информации, связанные со стихийными бедствиями, природными явлениями и утечкой информации по техническим каналам [из 4.2 ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23668 💥

Открыть в новой вкладке

4.3 ГОСТ Р 58412-2019

4.3 Перечень угроз безопасности информации не является исчерпывающим и может быть дополнен и (или) уточнен в процессе идентификации угроз безопасности информации для конкретной среды разработки ПО [из 4.3 ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23668 💥

Открыть в новой вкладке

4.4 ГОСТ Р 58412-2019

4.4 В качестве источников угроз безопасности информации при разработке ПО могут выступать:

лица (нарушители), осуществляющие преднамеренные или непреднамеренные действия, направленные на внедрение в ПО уязвимостей программы или нарушение конфиденциальности информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы;
инструментальные средства, применяемые при разработке ПО, алгоритм работы которых может стать причиной внедрения в ПО уязвимостей программы.

Примечание — К инструментальным средствам относятся, например, трансляторы, компиляторы, прикладные программы, используемые для проектирования и документирования, редакторы исходного кода программ, отладчики, интегрированные среды разработки.

Непреднамеренные угрозы безопасности информации при разработке ПО возникают из–за неосторожности или неквалифицированных действий работников разработчика ПО и связаны с недостаточной осведомленностью работников в области защиты информации и разработки безопасного ПО [из 4.4 ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23668 💥

Открыть в новой вкладке

4.5 ГОСТ Р 58412-2019

4.5 С учетом возможностей по доступу к среде разработки ПО нарушителей в настоящем стандарте подразделяют на два типа:

внешние нарушители – лица, не имеющие доступа к среде разработки ПО и реализующие угрозы безопасности информации из выделенных (ведомственных, корпоративных) сетей связи, внешних сетей связи общего пользования;
внутренние нарушители – лица, имеющие постоянный или разовый доступ к среде разработки ПО.

Внутренние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем:

влияния на процессы жизненного цикла ПО;
осуществления преднамеренных или непреднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя санкционированный доступ;
осуществления преднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя несанкционированный доступ.

Внешние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем удаленного доступа (из внешних сетей связи общего пользования) к объектам среды разработки ПО, в том числе элементам конфигурации, выполняя несанкционированный доступ. Внешние нарушители для повышения своих возможностей по доступу к объектам среды разработки ПО могут вступать в сговор с внутренними нарушителями [из 4.5 ГОСТ Р 58412–2019]

Из ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

⇪В 23668 💥

Открыть в новой вкладке

5 Угрозы безопасности информации при разработке программного обеспечения ГОСТ Р 58412-2019

Номенклатура угроз безопасности информации при разработке ПО, представленная в данном разделе, приведена применительно к процессам жизненного цикла ПО, установленных ГОСТ Р ИСО/МЭК 12207 [из 5 Угрозы безопасности информации при разработке программного обеспечения ГОСТ Р 58412–2019]