|
|
| ФЗ №152: ответ Symantec |
| 16.11.2011 |
| Применение решений Symantec в области ИБ для выполнения требований Федерального закона Российской Федерации от
27 июля 2006 г. № 152-ФЗ «О защите персональных данных», Постановления правительства РФ от 17 ноября 2007 г. № 781
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных
системах персональных данных» и приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах
и способах защиты информации в информационных системах персональных данных»
Настоящий документ содержит анализ соответствия решений Symantec по обеспечению информационной безопасности требо-
ваниям Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции
Федерального закона от 25.07.2011 № 261-ФЗ), Постановления правительства РФ от 17 ноября 2007 г. № 781 и приказ ФСТЭК
России от 5 февраля 2010г. № 58.
Нормативные требования | Реализация с помощью решений Symantec |
Защита персональных данных от несанкционированного или случайного доступа. 152-ФЗ, Статья 19, п. 1. «Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных
данных» ПП 781, п. 2.
«Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным
данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий»
Приказ № 58 ФСТЭК России, раздел II
«Методы и способы защиты информации от несанкционированного доступа» | Использование следующих решений от Symantec обеспечивает безопасность персональных данных от несанкционированного или случайного доступа:
- Symantec DLP (Data Loss Prevention) представляет собой единое решение для обнаружения, контроля и защиты конфиденциальной информации в ИСПДн. Является сертифицированным ФСТЭК России, сертификат рег. № 2271 от 08.02.2011;
- Symantec Endpoint Protection обеспечивает комплексную защиту персональных данных на рабочих станциях и серверах ИСПДн от актуальных угроз безопасности. Является сертифицированным ФСТЭК России, сертификат рег. № 2033 от 02.03.2010;
- Symantec Control Compliance Suite обеспечивает контроль рисков и угроз информационной безопасности персональных данных в режиме реального времени, а также позволяет обеспечить контроль соответствия элементов ИСПДн нормативным требованиям и политикам
информационной безопасности;
- Symantec NAC (Network Access Control) обеспечивает контроль доступа (в том числе удаленного) к корпоративной сети и позволяет предоставлять доступ к персональным данным только с защищенных авторизованных рабочих мест;
- Symantec Critical System Protection Server обеспечивает надежную защиту персональных данных располагающихся на серверных платформах и обрабатываемых в ИСПДн, как от традиционных, так и от новых угроз безопасности.
Является сертифицированным ФСТЭК России, сертификат рег. № 2034 от 02.03.2010;
- Symantec Messaging Gateway обеспечивает защиту ИСПДн от угроз информационной безопасности, связанных с использованием электронной почты (распространение спама, вирусов и вредоносного ПО). Позволяет контролировать распространение персональных данных
по электронной почте в ИСПДн и за ее пределами, а также обеспечивает конфиденциальность персональных данных, содержащихся в почтовых сообщениях, при передаче.
Является сертифицированным ФСТЭК России, сертификат рег. № 2225 от 02.12.2010.
- Symantec Web Gateway обеспечивает защиту ИСПДн от угроз информационной безопасности, связанных с использованием сети Интернет (распространение вирусов и вредоносного ПО, атаки фишинга, ботнеты). |
Контроль соответствия нормативным требованиям и внутренним регламентам (политикам)
152-ФЗ, Статья 18.1
«осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора»
ПП 781, п.11 «постоянный контроль за обеспечением уровня защищенности персональных данных» | Symantec Control Compliance Suite позволяет обеспечить контроль соответствия элементов ИСПДн нормативным требованиям и политикам информационной безопасности.
Symantec NAC позволяет контролировать соответствие рабочих станций нормативным требованиям и политикам информационной безопасности при доступе (в том числе удаленном) к корпоративной сети. |
Использование средств защиты информации, прошедших в установленном порядке процедуру
оценки соответствия. 152-ФЗ, Статья 19, п.2.
ПП 781, п. 5.
Приказ ФСТЭК России № 58, п. 3.2. | Следующие продукты прошли сертификацию и имеют сертификат ФСТЭК России:
- Symantec Endpoint Protection, сертификат рег. № 2033 от 02.03.2010;
- Symantec Critical System Protection Server, сертификат рег. № 2034 от 02.03.2010;
- Symantec Data Loss Prevention, сертификат рег. № 2271 от 08.02.2011;
- Symantec Messaging Gateway, сертификат рег. № 2225 от 02.12.2010. |
152-ФЗ, Статья 19, п.2
«обнаружение фактов несанкционированного
доступа к персональным данным и принятием мер» | Symantec DLP (Компоненты Network Prevent, Endpoint Prevent) позволяют обнаруживать и блокировать факты несанкционированной передачи персональных данных по сети, электронной почте, в сеть Интернет, а также обнаруживать и блокировать несанкционированную запись персональных данных на съемные носители информации.
Symantec Endpoint Protection позволяет обнаруживать и блокировать атаки с использованием вредоносного ПО, вирусов, программ-шпионов, а также обнаруживать и блокировать сетевые атаки.
Symantec Messaging Gateway и Symantec Web Gateway позволяют обнаруживать и предотвращать попытки несанкционированного доступа в ИСПДн с использованием электронной почты и сети Интернет. |
152-ФЗ, Статья 19, п.2
«установление правил доступа к персональным данным, обрабатываемым в информационной
системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в
информационной системе персональных данных» | Symantec DLP (Компоненты Network Prevent, Endpoint Prevent) позволяют организации установить правила доступа и работы с информацией различных типов (в т.ч. с персональными данными). Решение содержит возможности регистрации и учета действий совершаемых с иинформацией заданного типа, включая возможности по оперативному уведомлению уполномоченных сотрудников о попытках нарушения правил работы с информацией.
Symantec NAC контролирует доступ пользователей к ИСПДн на уровне сети передачи данных. Работа с персональными данными возможна только с защищенных и авторизованных рабочих мест.
Symantec Endpoint Protection осуществляет регистрацию и учет действий пользователей в ИСПДн. |
152-ФЗ, Статья 19, п.2
«контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровень защищенности информационных систем персональных данных» | Symantec Control Compliance Suite и Symantec Critical System Protection Server позволяют контролировать соответствие принимаемых мер по защите персональных данным и инфраструктуры ИСПДн нормативным требованиям и политикам информационной безопасности.
Symantec Security Information Manager (SIM) – система мониторинга и управления инцидентами, связанными с информационной безопасностью, позволяет контролировать уровень защищенности информационных систем, ключевых объектов инфраструктуры и корпоративной сети в режиме реального времени. |
Настоящий документ составлен исключительно для информационных целей. По всем возникшим юридическим вопросам, пожалуйста, обращайтесь к услугам независимых юристов.
Copyright © 2011 Symantec Corporation. Все права защищены. Symantec, логотип Symantec и логотип с галочкой являются товарными знаками или зарегистрированными товарными знаками
Symantec Corporation или ее дочерних компаний в США и других странах. Другие названия могут являться товарными знаками соответствующих владельцев. |
|
|