Решили мы тут перетряхнуть свои положения о защите персональных данных и поняли, что без построения защищённой сети нам не обойтись. Походили по интернету - цены, конечно, конские. Но раз надо, значит надо.

Поэтому обращаюсь к тем, у кого есть такой опыт - с каким ПО/оборудованием работали, что удобно/что неудобно? Глюки, баги, "особенности". Расскажите, плз.

берём микротик, там есть Filter rules

(1) А сертификат ФСТЭК?

И, кстати, в микротике я разочаровался. Чем-то Apple политикой напоминает. Вроде работает, но шаг вправо-влево и всё - тупики абсолютные.

(2) первая ссылка

http://www.mikc.ru/files/article/SertiCCCizag1.jpg

(0) у вас какие данные-то? ПД сотрудников?

(3) какие тупики ?

(4) Это сертификат ФСТЭК или Минсвязи? Несколько разные сертификаты, надо сказать. И порядок сертификации разный. Оборудование с сертификатом минсвязи можно использовать, но на нём нельзя строить защищённые сети.

(5) Ну да, они. Просто сотрудников 3500.

(6) Условный DNS настроить, например. mydomain.local спрашивать у 192.168.xx.xx, а остальное у 8.8.8.8

pfSense?

(8) Аналогично. Ни у одного бесплатного продукта нет сертификата ФСТЭК. Сертификация - очень дорогое дело. Хотя пока именно pfSense и используем.

Kerio Control. Имеет сертификат ФСТЭК

(0) В системе здравоохранения стандарт
VipNet + SecretNet

Дык, сертифицированный VipNet не совместим примерно с 30-ю обновлениями винды )
А у актуальной версии косяков нет, зато и сертификата нет )

В инструкции к координатору (железка с линухом) VipNet написано, что его раз! в неделю нужно перезагружать ...
Настройки глючат ... Поэтому многие ставят координатор на вход - а дальше mikrotik/cisco - или еще чего нормального и рулят как нужно.

DrWeb - сертифицирована только 6-ая версия ES (2012!!! года), текущую версию уже год как получить сертификат не могут

И так далее и тому подобное ...

(0) если у вас все с документами для Роскомнадзора все в порядке, не парьтесь.
Штрафы за нарушение - обещали поднять, так и остались копейки. А внедрение сертифицированных продуктов обойдется в тысяч 20 на р.м.

Стоит сразу решить вы собрались выполнять "фиктивную защиту от проверок" или реально защитить? Или сделать что-то среднее?

1) Антивирус сертиф. по стоимости немного дороже (только за установ. комплект). На текущий момент кроме Касперского - ничего нет. Остальное все древнее.
2) Шлюз/vpn сервер - stonegate, cisco - можно найти с сертификатами. Хотите рюшечек? Ideco

Хотя обычные ничем не хуже, только отсутствие сертификатов
3) НСД - вполне можно средствами винды (политики и SRP)

4) Шифрование - выбора много

(0) Короче ФСТЭК с ФСБ маловероятно, что придут.
Так что смотрим план проверок на 2016 год )

А как придут - тогда и подумаете куда лишний миллион-два потратить.

(10) Один из вариантов. Но сертифицирована ФСТЭК (была до 24.12.2015) только версия 7.2, а актуальная сейчас 9. Да и по цене не похоже что пройдёт. Control на 15 пользователей будет стоить 50 тыс. Плюс системник для него нужен - ещё 15. Плюс винда (желательно серверная). Итого за сотню переваливает. А какой-нибудь Dionis DPS 1004 без всяких ограничений по количеству пользователей и VPN-туннелей, который сам по себе 4-х портовый гигабитный свич, стоит 70.

(10) это же вражеский продукт

(13) Гонево. У них есть сертифицированная 8.2. И зачем там 15 пользователей? Мне кажется и стандартных 5 хватит.

(15) 8.2 - ставится на чистое железо.

(11) О! Наконец-то что-то полезное. Спасибо.

Хотим сделать среднее. Так как нужно связывать офисы, а не отдельные рабочие места, ориентируюсь на ПАК или что-то, что сможет работать на Linux.

>Поэтому многие ставят координатор на вход - а дальше mikrotik/cisco - или еще чего нормального и рулят как нужно.

М-м-м. Что-то я не очень представляю как это? То есть координатор "чтобы было", а реально всё делать чем-то другим?

(12) Ну да, ни ФСТЭК, ни РКН к нам в 16 году по плану не приходят, но вопрос в другом в РКН подаём обновлённое заявление что являемся операторами ПД, в нём указываем что есть передача ПД по каналам связи, разве нам тут не требуется указания каким образом мы защищаем эти каналы?

(15) Упс, да. Почему-то в прошлый раз он мне не показал 8.2 в реестре. Теперь вижу, что до 18 года.

Если в подразделении 15 сотрудников и все они ходят в интернет, на них разве лицензии не нужны?

http://zlonov.ru/certified_firewalls/

(17) Сертифицированный шлюз только для тоннеля и шифрования по ГОСТ ,)

А остальное все делаешь сторонними средствами.

У знакомого админа из Росинкасс
http://rus.checkpoint.com/
очень достойные

(19) На этот список и ориентируюсь.
(20) Ясненько.
(21) Почитаем.

(22) Если обычное предприятие смотрите на убунту с рюшечками )

https://ideco.ru/

(18) Нет. Внутри керио ты можеш их не заводить. Но если нужно на каждого пользователя какие то хитрые фишки (типа объединения с AD), тогда конечно нужно по количеству пользователей. Или например нужно больше 5 vpn клиентов. Т.к. каждый клиент - это отдельный пользователь.

(23) Айдеко интересно, но я с большим подозрением отношусь к конторам, которые не пишут цены на сайте. Или там цены отфонарные, в зависимости от жирности клиента, или сразу подразумеваются откаты.

(0) AltLinux там все средства сертифицированы, openvpn уже со всроенным движком и патчами на работу VPN по GOST.

+(26) всё бесплатно

(25) а это? https://ideco.ru/buy/fstek

+(26) Альт Линукс СПТ 6.0 - Сертификат ФСТЭК №2317 от 18.04.2011 продлен до 18.04.2017
Соответствие требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации» - по 4 классу защищенности;

«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» - по 3 уровню контроля.

Может быть использован для построения автоматизированных систем по класс 1В включительно и информационных систем персональных данных (ИСПДн) по класс 1К включительно.

(28) я сюда смотрел https://ideco.ru/buy/magpro

(29) клёво!

+(30)(29) Вот только АльтЛинукс СПТ тоже платный.

(31) кто сказал? можно ссылку?

http://www.altlinux.ru/products/altlinux-spt-fstec/ внизу "цены и условия приобретения"

то есть скачать можно, установить можно, но так как ты устанавливал с несертифицированных носителей, то твоя система не считается сертифицированной.

(33) ты перепутал, это за тех.поддержку платишь. Дистрибутив, весь входящий в него софт, и его использование в любых целях - бесплатны.

http://shop.altlinux.ru/index.php?ukey=auxpage_buy-or-download

Купить или скачать?

Некоторые пользователи спрашивают, почему мы продаем то, что можно скачать. Вопрос очень актуальный, потому что практически все продукты и книги мы выпускаем под свободной лицензией и выкладываем в свободный доступ. Именно поэтому электронная версия всегда бесплатная, а купить можно только коробочную или бумажную, в виде книги.

Скачать бесплатно полнофункциональный программный продукт или полезную книгу — это здорово! Мы с вами согласны и мы хотим, чтобы вы скачивали больше. Но тем не менее, мы продаем коробочные продукты.

Что же может побудить Вас купить программный продукт, который можно скачать?

    В комплект дистрибутива входит купон базовой технической поддержки сроком от 2 месяцев до 1 года. Техническая поддержка осуществляется по E-mail, что очень удобно. Письмом можно воспользоваться еще не раз, в случае возникновения подобных вопросов.

    Если у Вас дорогой или медленный интернет, удобнее, а иногда дешевле и быстрее, купить коробочную версию нужного продукта.

(35) может быть, но вот что написано в мой ссылке:

Внимание: Загруженные по ссылке образы могут быть использованы в соответствии с лицензионным соглашением, наравне с другими дистрибутивами, выпускаемыми компанией Альт Линукс. Образы идентичны входящим в комплект Альт Линукс 6.0 СПТ, но не являются сертифицированными. Сертифицированной считается система, установленная с оригинального диска, имеющего уникальный номер, проставленный сертифицированной лабораторией, и действующую лицензию от правообладателя.

(36) о, этот момент я упустил :) когда сам столкнулся с законом о ПД, прям принуждали на альтуху перейти (в паре известных платёжно-терминальных контор а-ля киви), при этом никаких покупок, ничего не делалось - СБ, и проверки никаких замечаний не делали. Странно тогда.
Главное условие было - повсеместное использование GOST'а.

Сам AltLinux сертифицирован как ОС, а не как шлюз/VPN
Там же указано в доках, что он прошел тестирование с сертифицированными средствами защиты (приведен список)

Если смотришь дистры - еще есть такой
http://wp.rosalinux.ru/certified/
названия версий доставляют )

(38) вот блин, сколько тонкостей. Поэтому с одной стороны хочется сертифицированную железку, которая точно будет делать то, что нужно. С другой стороны непонятно как производитель будет её поддерживать - забросит через год и что дальше?

(39) Есть желание, сходите на учебу.
У нас курс по документам штук 10 стоит и тех. защите 10 в местном универе на кафедре защиты информации.
Для фирмы копейки.