Обзор DocShell 4.0, комплексной системы управления информационной безопасностью

1. Введение
2. Актуальность внедрения
3. Целевая аудитория
4. Функциональные возможности DocShell 4.0
   1. 4.1. Преимущества использования
5. Архитектура DocShell 4.0
   1. 5.1. Варианты развёртывания
      1. 5.1.1. Локальное размещение DocShell 4.0
      2. 5.1.2. Облачный DocShell 4.0 (SaaS)
   2. 5.2. Тарифы и демоверсия
6. Системные требования DocShell 4.0
7. Работа с системой DocShell 4.0
   1. 7.1. Стартовая страница
   2. 7.2. Управление данными
   3. 7.3. Сведения об организации
   4. 7.4. Ответственность
   5. 7.5. Политика для веб-сайта
   6. 7.6. Инвентаризация
   7. 7.7. Обработка персональных данных
   8. 7.8. КИИ
   9. 7.9. Модель угроз
   10. 7.10. Модель нарушителя
   11. 7.11. Работа с документами
   12. 7.12. Работа с журналами
   13. 7.13. Закупки ИБ
   14. 7.14. Инциденты
   15. 7.15. Мероприятия
   16. 7.16. Задачи
   17. 7.17. Обучение и тесты
   18. 7.18. Календарь
   19. 7.19. Взаимодействие
   20. 7.20. Контроль и отчётность
   21. 7.21. Техническая поддержка
8. Выводы

Введение

Продукт DocShell 4.0 был выпущен на российский рынок в 2012 году. С тех пор он стал очень популярным среди корпоративных пользователей, государственных органов и интеграторов со всей страны. На сегодняшний день у системы DocShell 4.0 более 100 компаний-партнёров, связанных с отраслью информационных технологий.

С учётом резкого скачка цифровизации и общей тенденцией к импортозамещению, тематика ИБ стала остро актуальной, не обращать на неё внимание становится невозможным. DocShell 4.0 позволяет разработать и в дальнейшем сопровождать и актуализировать организационно-распорядительную документацию по ИБ, а также планировать и реализовывать мероприятия по соблюдению требований законодательства. 

Сейчас DocShell 4.0 и другие услуги от компании-производителя «АйТи Новация» используются для решения задач в сфере информационной безопасности госучреждениями и коммерческими организациями разных масштабов: от детских садов и небольших стоматологических клиник до крупных производственных предприятий и министерств с разветвлённой структурой.

Разработчики системы оперативно отслеживают изменения в законодательстве по части ИБ, каждое обновление DocShell 4.0 выходит с их учётом. Продукт развивается и функционально, на базе анализа пользовательского опыта.

Актуальность внедрения

Все государственные организации и коммерческие компании должны соблюдать законодательство РФ. Сфера ИБ при этом регулируется целым рядом федеральных законов и подзаконных актов.

Своевременно отслеживать законодательные изменения в сфере ИБ для многих руководителей проблематично, поскольку это занимает много времени и требует особых компетенций. Можно делегировать задачу подчинённым, однако на практике далеко не каждый способен разобраться в тонкостях подобных вопросов. 

Следует также учитывать, что законодательством предусмотрены весьма высокие требования к назначению ответственных лиц по части ИБ, при этом наблюдается острый дефицит специалистов с должным уровнем знаний. Это не только негативно влияет на защищённость организаций, но и приводит к тому, что они оказываются неготовыми к проверкам со стороны надзорных органов.

Программный продукт DocShell 4.0 создан с целью облегчить исполнение ряда законодательных норм, в частности, обеспечить соответствие требованиям 152–ФЗ, 187–ФЗ, ФАПСИ–152 и ряда других нормативно-правовых документов. Продукт внесён в реестр отечественного ПО (реестровая запись от 20.09.2019 г. № 5835). 

DocShell 4.0 оперативно отслеживает все изменения в области ИБ и защиты персональных данных. При этом он не просто информирует пользователя об их появлении, а сигнализирует и обращает внимание на необходимость своевременной актуализации документации и корректировки соответствующих данных, необходимых для соответствия нововведениям. Компания «АйТи Новация» стремится сделать поддержание ИБ простым и понятным процессом, поэтому для применения DocShell 4.0 не обязательно иметь экспертный уровень квалификации.

Пользователям продукта доступна возможность формирования таких важных, но непростых для понимания документов, как модель угроз, модель нарушителя и политика обработки ПДн. Также в программе учтены вопросы хранения разработанных документов, загрузки соответствующих скан-копий. Все эти меры призваны минимизировать риск получения замечаний от контролирующих органов.

Целевая аудитория

Продукт DocShell 4.0 ориентирован на следующие категории потребителей: любые организации и структуры, выступающие в роли операторов ПДн и владельцев информационных систем персональных данных, государственные и муниципальные органы, а также субъекты критической информационной инфраструктуры.

Вендор уделяет особое внимание обеспечению безопасности на всех этапах разработки и предоставления продукта. Механизмы идентификации и аутентификации в DocShell 4.0 реализованы на нескольких уровнях: виртуализации, операционной системы и приложения. Безопасный обмен данными достигается за счёт использования защищённых каналов связи и виртуальных сетей. Среды разработки, тестирования и эксплуатации продукта разделены. Благодаря этому инфраструктура продукта, связанная с обработкой пользовательских данных, изолирована от других составляющих системы.

Система DocShell 4.0 предназначена для:

• выполнения требований законодательства в области ИБ;
• автоматизированного формирования документов в области ИБ и управления ими;
• управления информационными активами компании;
• организации обучения и тестирования персонала;
• управления инцидентами в области ИБ;
• планирования и контроля организационных мероприятий.

Функциональные возможности DocShell 4.0

DocShell 4.0 обеспечивает предприятиям всех организационно-правовых форм возможность управлять ИБ, организовывать защиту критической инфраструктуры, а также соблюдать требования в области защиты информации, предусмотренные федеральным законодательством (152–ФЗ, 187–ФЗ, 149–ФЗ) и другими НПА.

Система DocShell 4.0 помогает прорабатывать защищённость предприятия на четырёх уровнях: 

1. Документация: разработка и актуализация документов в сфере ИБ. 
2. Активы: мониторинг информационных систем, средств защиты, действующих лицензий и других ресурсов компании. 
3. Компетенции сотрудников: назначение ответственных лиц, обучение и тестирование пользователей.
4. События: отслеживание инцидентов в сфере ИБ, календарь мероприятий. 

Благодаря этому пользователь системы DocShell 4.0 может осуществлять мониторинг своих активов, заблаговременно планировать необходимые закупки для нужд защиты информации, а также повысить уровень ИБ-осведомлённости сотрудников — всех без исключения, чтобы уменьшить риск появления внутреннего нарушителя.

Продукт поддерживает полную интеграцию с ViPNet TIAS, также в нём реализована возможность импорта инцидентов из сканера безопасности Red Check.

На базе компании «АйТи Новация» создан собственный центр мониторинга (ЦМ), который является корпоративным центром ГосСОПКА. Используя DocShell 4.0 в комплексе с услугами ЦМ, можно эффективно автоматизировать работу с инцидентами и взаимодействие с НКЦКИ.

Преимущества использования

Основные выгоды, которые организация может получить от внедрения DocShell 4.0:

1. Подготовка полного комплекта организационно-распорядительной документации (ОРД). DocShell 4.0 упрощает создание ОРД, позволяя оперативно подготовить необходимые документы, соответствующие актуальным требованиям законодательства, и впоследствии оперативно актуализировать их в случае изменений.
2. Моделирование угроз и нарушителя. Продукт упрощает создание модели угроз и модели нарушителя за счёт автоматизации формирования таких документов, ускоряя работу исполнителей над решением этой кропотливой задачи.
3. Обучение и тестирование персонала. DocShell 4.0 позволяет организовать обучение и оценку знаний специалистов по ИБ или рядовых сотрудников.
4. Контроль подчинённых учреждений. Удобный интерфейс программы позволяет легко отслеживать состояние ИБ в подразделениях компании с возможностью гибкой настройки иерархии, подсказками и уведомлениями.

Разработчик предоставляет пользователю инструмент для создания документов, планирования мероприятий и управления инцидентами в сфере ИБ. Благодаря его внедрению можно оптимизировать рабочие процессы в организации и облегчить решение стоящих перед нею задач.

В то же время потенциальным клиентам следует учитывать, что DocShell 4.0 — это не средство защиты, а система управления ИБ. Соответственно, для обеспечения безопасности данных при использовании локальной версии пользователю не обойтись без внедрения других инструментов.

Архитектура DocShell 4.0

Система DocShell 4.0 имеет клиент-серверную архитектуру. Работа пользователей осуществляется через web-интерфейс, а все операции бизнес-логики производятся на стороне сервера.

Серверная часть DocShell 4.0 включает в себя сервер баз данных и веб-сервер (сервер приложений), взаимодействующие с веб-представлениями данных и интерфейсов.

Клиентская часть представляет собой совокупность веб-форм пользовательского интерфейса, позволяющих пользователям решать возлагаемые на них функциональные обязанности.

Рисунок 1. Форма для входа на сайте DocShell

Доступ пользователей к DocShell 4.0 осуществляется через Интернет. Допускается установление допуска пользователей к системе DocShell 4.0 только из закрытой корпоративной (ведомственной) сети передачи данных организации.

DocShell 4.0 базируется на открытом исходном коде и поддерживает консоль PostgreSQL. Продукт написан на динамическом языке программирования Ruby и с привлечением фреймворка Ruby on Rails. Благодаря сервисной архитектуре возможно размещение на разных серверах, балансировка нагрузки и ограничение доступа к отдельным продуктам для увеличения безопасности приложения.

Электронные контейнеры с DocShell 4.0, а также регулярные обновления системы, загружаются с внешнего репозитория разработчика, расположенного на территории РФ.

Варианты развёртывания

Продукт DocShell 4.0 предполагает два варианта развёртывания: на облачных серверах (по модели SaaS) или на серверах заказчика (on-premise).

Локальное размещение DocShell 4.0 

Рисунок 2. Внедрение DocShell 4.0 на сервере клиента

Этот вариант актуален для предприятий с закрытым телекоммуникационным контуром или организаций с повышенными требованиями по ИБ, не намеренных хранить свои данные на внешних ресурсах. В этом случае заказчику предстоит использовать в серверной части собственный комплекс средств защиты.

Программный комплекс DocShell 4.0 можно применять в организациях со сложной иерархической структурой, включающей в себя региональные филиалы, подведомственные подразделения или обособленные учреждения, которые также могут функционировать в закрытом контуре. Для полного соответствия требованиям заказчика возможна доработка или модификация функциональности. 

Облачный DocShell 4.0 (SaaS)

Рисунок 3. Развёртывание DocShell 4.0 на облачном сервере

Такой вариант обеспечивает максимально быстрый старт работы в системе, ускоряет развёртывание и не создаёт дополнительных расходов. Использование модели SaaS предусматривает возможность доступа пользователя к личному кабинету с любого мобильного устройства. При этом работоспособность продукта полностью находится в зоне ответственности вендора.

Тарифы и демоверсия

Стоимость зависит от ряда факторов, которые вендор уточняет у потенциального заказчика для правильного подбора версии и тарифного плана.

Таблица 1. Версии и тарифы DocShell

В таблице указана стоимость одной лицензии для юридического лица, в рамках которой возможно подключение нескольких пользователей.

Для предварительного ознакомления с продуктом в DocShell 4.0 предусмотрена возможность оформить тестовый период без привязки платёжной информации. При этом в демо-режиме доступны для полноценного формирования четыре документа:

1. Приказ об установлении границ контролируемой зоны объектов информатизации.
2. План мероприятий по защите ПДн.
3. Приказ об утверждении мест хранения материальных носителей, перечня лиц, ответственных за их сохранность и имеющих доступ к ним.
4. Акт установления уровня защищённости ПДн в ИСПДн.

Системные требования DocShell 4.0

Установка DocShell 4.0 возможна на серверные операционные системы:

• Ubuntu Server 16.04+ x64 (рекомендовано Ubuntu 20.04);
• Debian 9+ (рекомендовано Debian 11);
• Astra Linux 1.7*.

*Развёртывание на Astra Linux рекомендовано только при необходимости сертификации ФСТЭК. В иных случаях рекомендуется использовать Ubuntu / Debian.

Функционирование серверной части DocShell 4.0 допускается на аппаратном обеспечении организации со следующими характеристиками.

Таблица 2. Технические требования к аппаратному обеспечению серверной части

Работа с системой DocShell 4.0

Рассмотрим основные функциональные модули программы, упрощающие повседневную работу сотрудников ИБ.

Стоит выделить, что сервис DocShell 4.0 ориентирован на разный уровень экспертности. В помощь каждому пользователю — как на старте работы, так и в последующем — предлагается ознакомиться с сервисом посредством онбординга, изучить Руководство пользователя, ознакомиться со справками к каждому документу, а также прибегнуть к подсказкам в сервисе на каждом этапе работы.

Стартовая страница

Чтобы пользователю было легче спланировать свою работу, в DocShell 4.0 подготовлен список «шагов», которые ему предстоит пройти для реализации всех возможностей системы. Этот список выводится на стартовой странице с информационной панелью. 

По мере выполнения требуемых действий, пройденные шаги можно отмечать галочками.

Рисунок 4. Стартовая страница продукта DocShell 4.0

Управление данными

Этот раздел предназначен для загрузки информации из специально подготовленного файла в формате JSON. Файл может быть сформирован в других информационных системах. Импорт возможен при условии соответствия названий и содержания полей в файле формату, установленному в DocShell 4.0. 

Рисунок 5. Пример файла для загрузки в систему

Сведения об организации

В DocShell 4.0 реализована возможность управления информацией об организации, сотрудниках и должностях с помощью единого справочника. Это позволяет не вносить одни и те же данные несколько раз. 

Справочная информация о работниках используется для быстрого их выбора при подготовке документов, назначении лиц, ответственных за мероприятия по ИБ, а также допуске работников к защищаемой информации, хранилищам и помещениям.

Рисунок 6. Пример всплывающих подсказок при внесении информации в систему

Ответственность

Этот блок служит для определения лиц, ответственных за обработку ПДн, использование СКЗИ, деятельность, связанную с КИИ, назначения состава комиссии по классификации ГИС и прочих комиссий. Внесённая в него информация будет в дальнейшем использоваться при подготовке связанных документов.

Рисунок 7. Назначение ответственных лиц

Политика для веб-сайта

Для владельцев веб-сайтов, на которых осуществляется обработка ПДн, в системе DocShell 4.0 реализована возможность формирования документа «Политика конфиденциальности для сайта», содержащего следующие сведения:

• наименование и адрес организации;
• цели сбора и обработки ПДн;
• сведения о третьих лицах, имеющих доступ к ПДн;
• группы обрабатываемых данных, сроки их обработки и хранения;
• места хранения и обработки ПДн;
• меры защиты ПДн.

Рисунок 8. Составление политики обработки персональных данных

Инвентаризация

С помощью DocShell 4.0 можно организовать учёт информационных активов различных типов:

• информационные системы, обрабатывающие ПДн;
• ГИС;
• аттестаты соответствия информационных систем требованиям безопасности информации;
• СЗИ с указанием реализуемых подсистем ИБ;
• знаки и сертификаты соответствия имеющихся СЗИ требованиям безопасности информации;
• действующие лицензии на право использования СЗИ;
• технические средства с указанием принадлежности к информационным системам;
• логически объединённые группы технических средств;
• лица, ответственные за эксплуатацию технических средств;
• лица, допущенные к эксплуатации СКЗИ;
• помещения, в которых происходит работа с СКЗИ;
• сведения об обучении и стаже в области ИБ ответственных лиц.

Эти сведения могут быть использованы для подготовки документов, анализа состояния ИБ, формирования отчётности и планирования потребностей в области ИБ.

При необходимости, в DocShell 4.0 реализована возможность импортировать информацию о технических средствах из файла отчёта в формате XML, сгенерированного в системе RedCheck. Кроме того, у пользователя есть возможность массового внесения данных по техническим средствам путём импорта предлагаемого для заполнения шаблона.

Рисунок 9. Настройка представления данных при инвентаризации инфраструктуры

Обработка персональных данных

Этот раздел используют для обобщения и учёта следующей информации о ПДн: целей обработки, субъектов ПДн, категорий и перечня обрабатываемых данных, фактов передачи ПДн третьим лицам (при наличии), мест хранения материальных носителей, оценка возможного вреда для субъектов ПДн, выполняемых мер защиты.

Рисунок 10. Перечень выполняемых мер при обработке персональных данных

КИИ

Если организация подпадает под действие закона № 187–ФЗ, DocShell 4.0 предлагает ей следующие возможности по обеспечению безопасности объектов КИИ:

• анализ критической значимости процессов;
• анализ и категорирование объектов КИИ;
• предварительный анализ угроз и нарушителей для объектов КИИ;
• распределение ответственности в области категорирования и обеспечения безопасности объектов КИИ;
• подготовка организационно-распорядительной документации.

Для реализации этих возможностей в продукте предусмотрены подразделы «Процессы», «Сети связи» и «Информационные системы», в которые надлежит ввести информацию, связанную с критическими процессами.

Рисунок 11. Добавления нового процесса КИИ

Модель угроз

Этот раздел используют при необходимости сформировать документ «Модель угроз безопасности информации» для ИСПДн, ГИС или значимого объекта КИИ. В частности, продукт позволяет сформировать модель угроз для ГИС, использующих СКЗИ, в соответствии с приказом ФСБ России от 24.10.2022 № 524.

Рисунок 12. Составление модели угроз

Модель нарушителя

Этот раздел следует использовать, если необходимо сформировать документ «Модель нарушителя безопасности информации» для ИСПДн или ГИС с обработкой ПДн. DocShell 4.0 позволяет разработать модель нарушителя, скачать и распечатать готовый документ, утвердить и направить его на согласование регулятору (в случае с ГИС).

Рисунок 13. Составление модели нарушителя

Работа с документами

В системе DocShell 4.0 реализован комплект автоматизированных шаблонов документов для организации обработки и защиты ПДн, разработки политик ИБ и прочих.

Подготовка документов с помощью DocShell 4.0 подразумевает следующие возможности:

1. Сведения, заполненные и обновляемые в соответствующих разделах системы, автоматически попадают в документы.
2. Подготавливать документы и заполнять сведения можно в любом порядке, а умная система тегов и подсказок упрощает и ускоряет этот процесс.
3. Большие массивы данных (например, списки АРМ или должности с доступом к ПДн) можно импортировать из таблиц Excel.
4. Некоторые шаблоны документов могут использовать сведения, внесённые пользователями подчинённых структурных подразделений или организаций. Это облегчает процесс сбора сведений и ускоряет подготовку документов.

Кроме того, здесь можно хранить документы, которые были созданы вне системы DocShell 4.0, и работать с документацией от вышестоящей организации.

Рисунок 14. Возможности подготовки документов в DocShell

Работа с журналами

Раздел позволяет вести в электронном виде необходимые журналы, импортировать в них информацию, выгружать в файл, печатать журнал целиком или отдельные его страницы.

Подразделы позволяют организовать работу со следующими журналами:

• учёта носителей информации для объектов КИИ;
• учёта носителей ПДн;
• ознакомления работников с положениями о безопасности КИИ;
• ознакомления работников с положениями по ПДн;
• учёта СКЗИ.

Рисунок 15. Ведение журнала ознакомления сотрудников в DocShell 4.0

Закупки ИБ

Раздел предназначен для планирования закупок СЗИ, технических средств, ПО или услуг в области ИБ. Сведения о потребностях подчинённых организаций обобщаются в рамках соответствующей совместной закупки.

Чтобы создать заявку на участие в совместных закупках, созданных вышестоящими организациями, необходимо перейти в подраздел «Участие в совместных закупках».

Слева на странице вы увидите область для поиска, сортировки и фильтрации закупок. Справа – область для отображения перечня совместных закупок, где содержится ключевая информация о них:

• статус;
• наименование совместной закупки;
• наименование вышестоящей организации – автора закупки;
• тематика закупки;
• дата окончания сбора заявок.

Рисунок 16. Добавление новой закупки в DocShell 4.0

Инциденты

С помощью DocShell 4.0 можно осуществлять регистрацию инцидентов ИБ и принимать меры реагирования на них. Управление реагированием подразумевает следующие возможности:

• просмотр сводной информации по инцидентам (списка инцидентов);
• регистрация инцидента;
• назначение и выполнение задач по реагированию на инцидент;
• просмотр текущей информации по инциденту;
• настройка интеграции с системой выявления инцидентов VipNet TIAS;
• импорт инцидентов из системы VipNet TIAS;
• формирование паспорта инцидента для отправки в НКЦКИ.

Рисунок 17. Представление инцидентов с возможностью фильтрации и сортировки

Мероприятия

Этот раздел предназначен для планирования и контроля выполнения различных мероприятий в области защиты ПДн и обеспечения ИБ. В нём отображаются мероприятия, которые были назначены для текущей организации, либо инициатором которых она выступает. Управление мероприятиями по ИБ подразумевает следующие возможности:

• загрузка возможных мероприятий из предустановленного набора;
• создание собственных мероприятий;
• определение перечня мероприятий, обязательных для выбранного множества организаций (групповое назначение мероприятий);
• определение перечня обязательных мероприятий для отдельной организации (индивидуальное назначение мероприятий);
• контроль выполнения мероприятий организациями нижестоящих уровней иерархии.

Рисунок 18. Создание и назначение мероприятий в DocShell 4.0

Задачи

Раздел предназначен для назначения задач и контроля их выполнения.

Назначение задач конкретному работнику или группе проводится через кнопку «Добавить задачу». В открывшемся окне нужно заполнить следующие поля:

• тема;
• планируемая дата выполнения задачи;
• текущий исполнитель (работник или группа исполнителей);
• статус выполнения;
• приоритет;
• инцидент, с которым связана задача (при наличии);
• описание.

После нажатия кнопки «Сохранить», новая задача появится в списке.

Рисунок 19. Добавление новой задачи

Обучение и тесты

В этом блоке представлен готовый набор онлайн-инструктажей и тестов по вопросам защиты ПДн, эксплуатации СКЗИ, фишингу и другим актуальным угрозам для пользователей.

С помощью системы DocShell 4 вы можете организовать повышение осведомлённости работников в вопросах информационной безопасности:

• назначать работникам онлайн-инструктажи (уроки) из числа доступных в DocShell 4;
• тестировать работников по результатам прохождения онлайн-инструктажей;
• назначать работникам отдельные тесты из числа доступных в DocShell 4;
• создавать собственные уроки и тесты;
• вести электронный журнал проведённых онлайн-инструктажей и тестов.

Для тестов, у которых определены варианты правильных ответов, результаты определяются автоматически. Также есть возможность создавать тесты без указания правильных вариантов ответов. Для таких тестов результаты и корректность ответов определяются вручную.

Рисунок 20. Примеры готовых инструктажей

Календарь

С помощью системы DocShell 4.0 можно отслеживать наступление различных событий, связанных с ИБ (например, сроки действия лицензий), или отслеживать процессы, внесённые в календарь.

Рисунок 21. Отслеживание задач и процессов по календарю

Взаимодействие

Этот блок предназначен для организаций, которые объединены в ведомственную или корпоративную структуру. Он позволяет организовать информационное взаимодействие головного управления с отдельными подразделениями по вопросам обеспечения ИБ, например, в отношении закупок СЗИ.

Рисунок 22. Добавление заявки на получение СЗИ

Контроль и отчётность

Система DocShell 4.0 позволяет контролировать активность пользователей структурных подразделений и получать сводную информацию о степени готовности/актуальности документов, выполнении мероприятий и других показателях в соответствии с иерархической структурой. Вместе с контролем подчинённых организаций реализована возможность предоставлять сводную отчётность вышестоящим структурам.

Рисунок 23. Просмотр статистики по инцидентам

Техническая поддержка

Раздел предназначен для направления обращений в техподдержку в рамках гарантийного сопровождения системы и отслеживания хода их выполнения.

Чтобы создать обращение, нужно заполнить форму заявки:

1. Сформулировать тему обращения.
2. Как можно подробнее описать проблему: указать, какие действия привели к проблеме, на какой странице она появляется и т.д.
3. Прикрепить скрины экрана или другие необходимые файлы.
4. Указать тип обращения.

Кроме формы для направления обращений блок содержит также раздел F.A.Q. с описанием распространённых затруднений пользователя.

Рисунок 24. Вкладка «Часто задаваемые вопросы»

Выводы

Система DocShell 4.0 помогает управлять ИБ, обеспечивать защищённость инфраструктуры предприятия и соблюдать требования законодательства для ПДн, ГИС и КИИ.

В то же время продукт DocShell 4.0 не способен генерировать документы без участия пользователя: при их подготовке должны учитываться особенности обработки данных, функционирования информационных систем и распределения обязанностей среди сотрудников. Всеми этими сведениями владеет только компания-клиент.

Следует учитывать, что компания «АйТи Новация» является не только вендором продукта, но и лицензиатом ФСТЭК и ФСБ России. Это значит, что эксперты компании способны закрывать потребности заказчиков по части ИБ «под ключ», если выполнена интеграция продукта DocShell 4.0 в корпоративную инфраструктуру. 

Достоинства: 

• Позволяет оптимизировать защиту данных и ведение соответствующей документации, что по-прежнему остаётся одним из проблемных вопросов в работе многих предприятий.
• Позволяет подготовить и поддерживать в актуальном состоянии весь перечень необходимых документов (приказов, инструкций, журналов и т. д.), проверяемых Роскомнадзором.
• Интуитивно понятный и удобный интерфейс, всплывающие подсказки (тур по системе), подробное руководство пользователя.
• Автоматизация контроля и взаимодействия между подразделениями компании по направлению ИБ, что особенно актуально для крупных организаций, отличающихся многозадачностью и многоуровневостью.
• Гибкий механизм обучения и тестирования пользователей позволяет подстроиться под нужды каждой организации. С помощью системы DocShell 4.0 можно назначать работникам онлайн-инструктажи (уроки) и отдельные тесты из числа доступных, создавать собственные уроки и тесты. Можно, взяв за основу готовый урок или тест, внести собственные корректировки и дополнения, а также вести электронный журнал инструктажей. 
• Безопасность продукта достигается за счёт использования сертифицированных средств защиты информации и компонентов с открытым исходным кодом на нескольких уровнях, в соответствии с принципом «defence in depth».
• Есть возможность автоматизировать сбор заявок от всех структурных подразделений для проведения единой совместной закупки по потребностям в СЗИ, ТС, ПО и т. д.

Недостатки: 

• Хотя создание документации в системе оптимизировано (вместе с приказами автоматически формируются формы согласий, журналов и т. д.), пакеты документов требуется формировать вручную.
• Не предусмотрено автоматическое назначение задач исполнителям согласно запланированным мероприятиям, а также внесение в календарь.
• Импорт списка сотрудников возможен только из заранее подготовленного файла Excel, для чего пользователю потребуется предварительно заполнить шаблон.