ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

     4 Общие положения

4.1 При реализации требований ГОСТ Р 56939 разработчиком безопасного программного обеспечения (ПО) должен быть определен перечень мер, подлежащих реализации при его разработке в целях предотвращения появления и устранения уязвимостей программ в процессах их жизненного цикла. Выбор и уточнение мер по разработке безопасного ПО должен основываться на результатах проводимого разработчиком ПО анализа угроз безопасности информации, в результате которого должны быть определены актуальные для среды разработки ПО угрозы безопасности информации. Угрозы безопасности информации при разработке ПО, представленные в настоящем стандарте, могут являться основой для проведения анализа угроз безопасности информации конкретной среды разработки ПО.

4.2 Перечень угроз безопасности информации, приведенный в настоящем стандарте, является специфичным для процессов жизненного цикла ПО, в ходе которых в ПО могут быть внедрены уязвимости программы или нарушена конфиденциальность информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы. Угрозы безопасности информации, приведенные в настоящем стандарте, являются антропогенными. В настоящем стандарте не рассматриваются угрозы безопасности информации, связанные со стихийными бедствиями, природными явлениями и утечкой информации по техническим каналам.

4.3 Перечень угроз безопасности информации не является исчерпывающим и может быть дополнен и (или) уточнен в процессе идентификации угроз безопасности информации для конкретной среды разработки ПО.

4.4 В качестве источников угроз безопасности информации при разработке ПО могут выступать:

- лица (нарушители), осуществляющие преднамеренные или непреднамеренные действия, направленные на внедрение в ПО уязвимостей программы или нарушение конфиденциальности информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы;

- инструментальные средства, применяемые при разработке ПО, алгоритм работы которых может стать причиной внедрения в ПО уязвимостей программы.

Примечание - К инструментальным средствам относятся, например, трансляторы, компиляторы, прикладные программы, используемые для проектирования и документирования, редакторы исходного кода программ, отладчики, интегрированные среды разработки.

Непреднамеренные угрозы безопасности информации при разработке ПО возникают из-за неосторожности или неквалифицированных действий работников разработчика ПО и связаны с недостаточной осведомленностью работников в области защиты информации и разработки безопасного ПО.

4.5 С учетом возможностей по доступу к среде разработки ПО нарушителей в настоящем стандарте подразделяют на два типа:

- внешние нарушители - лица, не имеющие доступа к среде разработки ПО и реализующие угрозы безопасности информации из выделенных (ведомственных, корпоративных) сетей связи, внешних сетей связи общего пользования;

- внутренние нарушители - лица, имеющие постоянный или разовый доступ к среде разработки ПО.

Внутренние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем:

- влияния на процессы жизненного цикла ПО;

- осуществления преднамеренных или непреднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя санкционированный доступ;

- осуществления преднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя несанкционированный доступ.

Внешние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем удаленного доступа (из внешних сетей связи общего пользования) к объектам среды разработки ПО, в том числе элементам конфигурации, выполняя несанкционированный доступ. Внешние нарушители для повышения своих возможностей по доступу к объектам среды разработки ПО могут вступать в сговор с внутренними нарушителями.