

Оговорюсь сразу: во-первых, отнеситесь к этому опусу немного с юмором, но серьёзно. Во-вторых, недокументированные (недекларированные) возможности здесь я рассматриваю в частном случае, когда возможности системы, скрытые от (или неочевидные для) конечного потребителя, являются недекларированными функциями.
Если классическая дефиниция ГОСТа предполагает две части: описание сущности и вызванные ею последствия (нарушения свойств информации), что и придаёт этому понятию отрицательную коннотацию, то здесь мы ограничимся исключительно описательной частью (недокументированные возможности – это возможности технических устройств и/или программного обеспечения, не отражённые в документации) и тем самым устраним эту отрицательную коннотацию.
Дело в том, что разработчик (изобретатель) в силу своей зашоренности на решении основной задачи не задумывается над побочными функциями, которые может выполнять его детище. А иногда эти побочные функции оказываются весьма полезными и нужными. Попробую объяснить это «на яблоках». Все знают, что пресс-папье – это один из предметов письменного набора, представляющий собою полукруглый брусок с рукояткой сверху и с прикрепляемым снизу листком промокательной бумаги, который служит для промокания написанного. Здесь основная функция – это промокание написанного. Но, так как сейчас мало кто пользуется перьевыми ручками, потребность в промокании ушла в прошлое и пресс-папье пылится без дела на столе. Но вот если посмотреть на это устройство немного шире, то окажется, что его можно довольно ловко использовать для колки орехов или подпорки для створки окна, чтобы оно не закрылось. Да, эти функции не описаны при продаже пресс-папье, но они существуют! И открывают эти побочные, но полезные функции не сам разработчик, а, как правило, пользователь в процессе эксплуатации. А потому они не всегда известны другим пользователям, но знание их бывает весьма полезным.
Конечно, проанализировать все продукты, которые используются для обеспечения безопасности информации, у меня не получится, к сожалению, у меня нет таких возможностей, но показать на примере наиболее знакомого мне продукта я попробую. Думаю, что это исследование подвигнет и других посмотреть на продукты немного под другим углом и обнаружить те самые полезные недокументированные функции. Буду благодарен всем, кто проведёт и обнародует такую работу, ведь это позволит ещё эффективнее использовать средства защиты информации, и не только для её защиты.
Итак, речь пойдёт об известном многим продукте «САКУРА». Поскольку это средство мониторинга, то основное назначение этого комплекса, заявленное разработчиком, – мониторинг рабочих мест информационной системы, регистрация событий безопасности и управление безопасностью информации. Эти функции оказались полезными для ИБшников и нашли у них свой положительный отклик.
Но давайте посмотрим, кому ещё могут быть полезны результаты мониторинга, проводимого продуктом «САКУРА». Продукт одновременно контролирует множество параметров информационной системы, в том числе фиксирует, на какие сайты «ходит» пользователь и сколько времени он там проводит. При правильном анализе такая информация может быть очень полезна для HR-службы. Можно, например, определить, какие кафе предпочитают посещать сотрудники, и организовать там корпоративный праздник. Или помочь составить топ игр, в которые играют сотрудники, и организовать своеобразные и популярные сейчас фиджитал-игры для командообразования. А может быть, выявить список наиболее популярных стран для отдыха и устроить (если, конечно, позволяют средства) там выездной семинар для партнёров и заказчиков.
Полезна и другая незаявленная функция комплекса. «САКУРА» позволяет определить и зафиксировать, сколько времени проводит пользователь в той или иной прикладной программе или сколько времени он использует принтер. Кроме того, что это помогает администратору безопасности следить за правильностью действий пользователя, это может быть очень полезно сисадмину или офис-менеджеру. Например, компания закупила 100 лицензий для достаточно дорогого ПО по заявкам руководителей подразделений. При этом заявки подавались из расчёта всех пользователей, включая начальника, его секретаршу (на всякий случай!), помощника начальника и ещё кого-то. А по прошествии времени оказалось, что активно используют это ПО всего 5 человек. Представляете, какая экономия, если продлевать не 100, а только 5 лицензий! Также и с принтером – можно оптимизировать закупку бумаги исходя из реальной потребности. Да и отличить, с какого компьютера выходит в сеть удалёнщик: «правильный» рабочий или «худой» домашний – тоже не проблема.
В общем, «недекларированных функций» может оказаться не меньше заявленных. Поэтому я и обращаюсь к другим пользователям (да и производителям!): может быть, пора провести ревизию таких «недекларированных» функций других продуктов и поделиться своими наблюдениями с обществом? Может получиться неплохой реестр! И в заключение оговорюсь ещё раз: в этой статье речь не идёт о НДВ в классическом, ГОСТовом понимании, которые могут привести к нарушению защищаемых свойств информации. Наоборот, надеюсь, что продукты, которые могут быть помещены в этот реестр, будут свободны от таких классических НДВ.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных