Автоматизация работы по персданным

Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ «Сфера» — системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.

Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора — 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги 😉

Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:

  • Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
  • Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из «Базовой модели», но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
  • Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
  • Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
  • Модуль «Техническое задание» позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
  • Система позволяет сформировать целый набор документов — Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.

В заключение хочу еще раз порадоваться за специалистов НТЦ «Сфера», которые выпустили нужный продукт в нужное время. Сегодня это редкость 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. AndrewZ

    Собственно эта программа существует уже довольно давно. Применять ее можно, только вот мало кому понравится тот результат, который она выдает. Это ведь еще и выполнить надо. Интеграторы тем и берут, что оптимизируют. Кроме того, Уральское управление ФСТЭК в своих методических указаниях хочет видеть на модели угроз и ТЗ согласующие визы лицензиата ФСТЭК, чего программа сама по себе обеспечить не может. Разве только разработчик включит в стоимость ПО соответствующую услугу 😉

    Ответить
  2. Александр Шелипов

    Программа видимо рассчитана на тех, кто последние три года ндаже не пытался вникать в тему персданных и ихз защиты.
    Конечно сделать всё красиво и быстро с помощью программы это здорово, но ведь ещё надо бы самим иметь возможность оценить правильность выданных результатов. А это можно сделать опять же если разбираться в теме.
    Так не проще ли сесть разобраться и сделать всё самому?

    Ответить
  3. Анонимный

    8 приказов??
    это интересно, а про что должны быть остальные 6? :))

    Ответить
  4. Unknown

    Только не 12000, а 15. Цена указана без НДС.

    Ответить
  5. Анонимный

    Насколько я знаю ниразу не удалось сделать программу достойную автоматизации на хорошем уровне (запад не рассматриваю по причине особенностей их стандартов и индустрии ИБ)
    Хотя "за бугром" таких ПО много…

    Ответить
  6. Анонимный

    Нет, все-таки 12000 без НДС. С НДС не продается.

    Ответить
  7. Алексей Лукацкий

    AndrewZ: А где в уральских методиках написано про визу ФСТЭК? Я чего-то не нашел.

    Мне программа понравилась тем, что она быстро выдает результат 😉 который может устроить проверяющих 😉

    Александру: Если все делать самому, то и компьютеры не нужны. Мы же не знаем, как и что они делают на уровне элементной базы.

    Евгению: А что ты думаешь про DS Office?

    Ответить
  8. Анонимный

    DS Office — неплохая штука только с вышеуказанным продуктом есть разница — если DS Office для подготовленных специалистов и результаты и входные данные нужно глубоко понимать, то WingDoc ПД видимо для широкого круга как бы сказать…специалистов… на уровне известного бесплатного продукта микрософт…

    Ответить
  9. Александр Шелипов

    Этот комментарий был удален автором.

    Ответить
  10. Александр Шелипов

    Г-ну Лукацкому
    Я о том речь и веду.
    Такая программа, по моему исключительно субъективному мнению, очень хороший способ подзаработать денег на желании некоторых товарищей побыстрее разделаться с вопросом обеспечения безопасности ПДн.

    Ответить
  11. Алексей Лукацкий

    И это уже немало. Т.к. то, как это советуют делать регуляторы, грамотным не назовешь. Поэтому многие хотят по быстрому сделать это "для галочки", а платить миллионы, как того хотят интеграторы, не готовы. Поэтому предложение Сферы очень даже в кассу 😉

    Ответить
  12. Александр Шелипов

    Просто интересно было бы сравнить документы собственного сочинения и автоматически сгенерированные))

    Ответить
  13. Алексей Лукацкий

    Так напиши авторам 😉

    Ответить
  14. Александр Шелипов

    Уж лучше я пока своими силами обходиться буду)

    Ответить