Разумеется, если вы готовы потом выполнять ее (читай ФСТЭКовские/ФСБшные) рекомендации, т.к. в систему заложены именно методики построения модели угроз от наших регуляторов. Ну а так как большинство отечественных интеграторов тоже не сильно отклоняются от рекомендаций ФСТЭК и ФСБ, то система автоматизации тут как нельзя кстати. Особенно если учесть, что стоит она всего каких-то 12 тысяч рублей. Супротив ценника в несколько сотен тысяч (хотя я слышал про предложение одного интегратора - 17 миллионов рублей), который выставляют отечественные компании, специализирующиеся на данной тематике. Не удивлюсь, если появятся конторы, которые начнут демпинговать и предлагать разработку модели угроз на основе WingDoc ПД за смешные деньги ;-)
Но вернемся к программе. Более подробно она описана на сайте разработчиков. Что мне понравилось:
- Модуль ИСПДн-К позволяет построить модель угроз по методике ФСБ. А это уже немало. Исходя из существующих публичных документов самостоятельно построить модель нереально. Тут же автоматически строится и модель нарушителя и модель угроз. Правда, задача нетривиальная оказалась ;-( Придется вначале заняться инвентаризацией всех своих ресурсов, а уж потом браться за моделирование.
- Модуль ИСПДн автоматизирует процесс создания модели угроз по методике ФСТЭК. При этом по умолчанию модуль содержит список угроз из "Базовой модели", но как я понял, этот список может быть расширен. Вот если бы разработчики добавили в систему каталог угроз BSI и классификации из наших ГОСТов, то программе бы цены вообще не было. Итоговый документ у меня получился около 45 страниц с кучей разных таблиц.
- Система построена на анкетировании пользователя (около 100 вопросов). С одной стороны это позволяет автоматизировать процесс определения актуальных угроз, а с другой заставляет пользователя сначала собрать немало информации о своей системе. Но зато она потом вся хранится в базе.
- Хоть это и не так просто, но система программируема. Можно в анкету добавлять свои вопросы и связывать их с угрозами, список которых тоже можно пополнять. Единственное, что врядли можно поменять сам алгоритм определения актуальности угрозы. Если бы можно было поменять и его, то из WingDoc можно было сделать систему моделирования угроз не только для ПДн, но и других приложений и систем.
- Модуль "Техническое задание" позволяет на основе модели угроз составить ТЗ на разработку системы защиты ИСПДн.
- Система позволяет сформировать целый набор документов - Акт классификации, модель угроз, 8 разных приказов, требуемых при проверках, а также ТЗ на разработку системы защиты ИСПДн.
В заключение хочу еще раз порадоваться за специалистов НТЦ "Сфера", которые выпустили нужный продукт в нужное время. Сегодня это редкость ;-)
Собственно эта программа существует уже довольно давно. Применять ее можно, только вот мало кому понравится тот результат, который она выдает. Это ведь еще и выполнить надо. Интеграторы тем и берут, что оптимизируют. Кроме того, Уральское управление ФСТЭК в своих методических указаниях хочет видеть на модели угроз и ТЗ согласующие визы лицензиата ФСТЭК, чего программа сама по себе обеспечить не может. Разве только разработчик включит в стоимость ПО соответствующую услугу ;)
ОтветитьУдалитьПрограмма видимо рассчитана на тех, кто последние три года ндаже не пытался вникать в тему персданных и ихз защиты.
ОтветитьУдалитьКонечно сделать всё красиво и быстро с помощью программы это здорово, но ведь ещё надо бы самим иметь возможность оценить правильность выданных результатов. А это можно сделать опять же если разбираться в теме.
Так не проще ли сесть разобраться и сделать всё самому?
8 приказов??
ОтветитьУдалитьэто интересно, а про что должны быть остальные 6? :))
Только не 12000, а 15. Цена указана без НДС.
ОтветитьУдалитьНасколько я знаю ниразу не удалось сделать программу достойную автоматизации на хорошем уровне (запад не рассматриваю по причине особенностей их стандартов и индустрии ИБ)
ОтветитьУдалитьХотя "за бугром" таких ПО много...
Нет, все-таки 12000 без НДС. С НДС не продается.
ОтветитьУдалитьAndrewZ: А где в уральских методиках написано про визу ФСТЭК? Я чего-то не нашел.
ОтветитьУдалитьМне программа понравилась тем, что она быстро выдает результат ;-) который может устроить проверяющих ;-)
Александру: Если все делать самому, то и компьютеры не нужны. Мы же не знаем, как и что они делают на уровне элементной базы.
Евгению: А что ты думаешь про DS Office?
DS Office - неплохая штука только с вышеуказанным продуктом есть разница - если DS Office для подготовленных специалистов и результаты и входные данные нужно глубоко понимать, то WingDoc ПД видимо для широкого круга как бы сказать...специалистов... на уровне известного бесплатного продукта микрософт...
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьГ-ну Лукацкому
ОтветитьУдалитьЯ о том речь и веду.
Такая программа, по моему исключительно субъективному мнению, очень хороший способ подзаработать денег на желании некоторых товарищей побыстрее разделаться с вопросом обеспечения безопасности ПДн.
И это уже немало. Т.к. то, как это советуют делать регуляторы, грамотным не назовешь. Поэтому многие хотят по быстрому сделать это "для галочки", а платить миллионы, как того хотят интеграторы, не готовы. Поэтому предложение Сферы очень даже в кассу ;-)
ОтветитьУдалитьПросто интересно было бы сравнить документы собственного сочинения и автоматически сгенерированные))
ОтветитьУдалитьТак напиши авторам ;-)
ОтветитьУдалитьУж лучше я пока своими силами обходиться буду)
ОтветитьУдалить