30.10.2009

Автоматизация работы по персданным

Довелось мне тут поглубже ознакомиться с продукцией екатеринбургской компании НТЦ "Сфера" - системой WingDoc ПД. Продукт зачетный, надо сказать прямо. Конечно, у него есть свои недочеты, как с точки зрения удобства пользования, так и с точки зрения некоторых вопросов безопасности. Но если перед организацией встала задача выполнить требования ФСТЭК и ФСБ в части разработки модели угроз (а именно это один из камней преткновения сейчас), то WingDoc ПД отлично справится с этой задачей.

Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора - 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги ;-)

Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:
  • Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
  • Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из "Базовой модели", но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
  • Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
  • Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
  • Модуль "Техническое задание" позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
  • Система позволяет сформировать целый набор документов - Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.

В заключение хочу еще раз порадоваться за специалистов НТЦ "Сфера", которые выпустили нужный продукт в нужное время. Сегодня это редкость ;-)

14 коммент.:

AndrewZ комментирует...

Собственно эта программа существует уже довольно давно. Применять ее можно, только вот мало кому понравится тот результат, который она выдает. Это ведь еще и выполнить надо. Интеграторы тем и берут, что оптимизируют. Кроме того, Уральское управление ФСТЭК в своих методических указаниях хочет видеть на модели угроз и ТЗ согласующие визы лицензиата ФСТЭК, чего программа сама по себе обеспечить не может. Разве только разработчик включит в стоимость ПО соответствующую услугу ;)

Александр Шелипов комментирует...

Программа видимо рассчитана на тех, кто последние три года ндаже не пытался вникать в тему персданных и ихз защиты.
Конечно сделать всё красиво и быстро с помощью программы это здорово, но ведь ещё надо бы самим иметь возможность оценить правильность выданных результатов. А это можно сделать опять же если разбираться в теме.
Так не проще ли сесть разобраться и сделать всё самому?

Анонимный комментирует...

8 приказов??
это интересно, а про что должны быть остальные 6? :))

Dmitry комментирует...

Только не 12000, а 15. Цена указана без НДС.

Евгений Родыгин комментирует...

Насколько я знаю ниразу не удалось сделать программу достойную автоматизации на хорошем уровне (запад не рассматриваю по причине особенностей их стандартов и индустрии ИБ)
Хотя "за бугром" таких ПО много...

Анонимный комментирует...

Нет, все-таки 12000 без НДС. С НДС не продается.

Алексей Лукацкий комментирует...

AndrewZ: А где в уральских методиках написано про визу ФСТЭК? Я чего-то не нашел.

Мне программа понравилась тем, что она быстро выдает результат ;-) который может устроить проверяющих ;-)

Александру: Если все делать самому, то и компьютеры не нужны. Мы же не знаем, как и что они делают на уровне элементной базы.

Евгению: А что ты думаешь про DS Office?

Евгений Родыгин комментирует...

DS Office - неплохая штука только с вышеуказанным продуктом есть разница - если DS Office для подготовленных специалистов и результаты и входные данные нужно глубоко понимать, то WingDoc ПД видимо для широкого круга как бы сказать...специалистов... на уровне известного бесплатного продукта микрософт...

Александр Шелипов комментирует...
Этот комментарий был удален автором.
Александр Шелипов комментирует...

Г-ну Лукацкому
Я о том речь и веду.
Такая программа, по моему исключительно субъективному мнению, очень хороший способ подзаработать денег на желании некоторых товарищей побыстрее разделаться с вопросом обеспечения безопасности ПДн.

Алексей Лукацкий комментирует...

И это уже немало. Т.к. то, как это советуют делать регуляторы, грамотным не назовешь. Поэтому многие хотят по быстрому сделать это "для галочки", а платить миллионы, как того хотят интеграторы, не готовы. Поэтому предложение Сферы очень даже в кассу ;-)

Александр Шелипов комментирует...

Просто интересно было бы сравнить документы собственного сочинения и автоматически сгенерированные))

Алексей Лукацкий комментирует...

Так напиши авторам ;-)

Александр Шелипов комментирует...

Уж лучше я пока своими силами обходиться буду)