Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ «Сфера» — системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.
Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора — 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги 😉
Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:
- Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
- Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из «Базовой модели», но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
- Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
- Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
- Модуль «Техническое задание» позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
- Система позволяет сформировать целый набор документов — Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.
В заключение хочу еще раз порадоваться за специалистов НТЦ «Сфера», которые выпустили нужный продукт в нужное время. Сегодня это редкость 😉
Собственно эта программа существует уже довольно давно. Применять ее можно, только вот мало кому понравится тот результат, который она выдает. Это ведь еще и выполнить надо. Интеграторы тем и берут, что оптимизируют. Кроме того, Уральское управление ФСТЭК в своих методических указаниях хочет видеть на модели угроз и ТЗ согласующие визы лицензиата ФСТЭК, чего программа сама по себе обеспечить не может. Разве только разработчик включит в стоимость ПО соответствующую услугу 😉
Программа видимо рассчитана на тех, кто последние три года ндаже не пытался вникать в тему персданных и ихз защиты.
Конечно сделать всё красиво и быстро с помощью программы это здорово, но ведь ещё надо бы самим иметь возможность оценить правильность выданных результатов. А это можно сделать опять же если разбираться в теме.
Так не проще ли сесть разобраться и сделать всё самому?
8 приказов??
это интересно, а про что должны быть остальные 6? :))
Только не 12000, а 15. Цена указана без НДС.
Насколько я знаю ниразу не удалось сделать программу достойную автоматизации на хорошем уровне (запад не рассматриваю по причине особенностей их стандартов и индустрии ИБ)
Хотя "за бугром" таких ПО много…
Нет, все-таки 12000 без НДС. С НДС не продается.
AndrewZ: А где в уральских методиках написано про визу ФСТЭК? Я чего-то не нашел.
Мне программа понравилась тем, что она быстро выдает результат 😉 который может устроить проверяющих 😉
Александру: Если все делать самому, то и компьютеры не нужны. Мы же не знаем, как и что они делают на уровне элементной базы.
Евгению: А что ты думаешь про DS Office?
DS Office — неплохая штука только с вышеуказанным продуктом есть разница — если DS Office для подготовленных специалистов и результаты и входные данные нужно глубоко понимать, то WingDoc ПД видимо для широкого круга как бы сказать…специалистов… на уровне известного бесплатного продукта микрософт…
Этот комментарий был удален автором.
Г-ну Лукацкому
Я о том речь и веду.
Такая программа, по моему исключительно субъективному мнению, очень хороший способ подзаработать денег на желании некоторых товарищей побыстрее разделаться с вопросом обеспечения безопасности ПДн.
И это уже немало. Т.к. то, как это советуют делать регуляторы, грамотным не назовешь. Поэтому многие хотят по быстрому сделать это "для галочки", а платить миллионы, как того хотят интеграторы, не готовы. Поэтому предложение Сферы очень даже в кассу 😉
Просто интересно было бы сравнить документы собственного сочинения и автоматически сгенерированные))
Так напиши авторам 😉
Уж лучше я пока своими силами обходиться буду)