Серверы начального(?) уровня

[abc]

Нужна предварительная оценка, во что выльется поставленная задача: выполнить ряд формальных требований (ФЗ-152 и иже с ним), а также обеспечить разграничение во внутренней локальной сети на зоны с разным уровнем доступа и защиты информации. В качестве решения предполагается произвести сегментирование сети посредством ISA2006 и вынести в защищенный сегмент критические ресурсы.

Для этого нужны дополнительные сервера.
Сервер для файловой 1С 8 ЗиК в терминальном режиме для 5-6 пользователей, из них одновременных 2-3.
Сервер для архивирования, объемы небольшие, ~ несколько ГБ в день, но нужно обеспечить длительное хранение информации ограниченного доступа и потому нужны съемные носители (ленты).
Сервер для ISA2006, которая и должна осуществить необходимое разграничение и защиту, с общим числом сетевых интерфейсов... не меньше 4 точно.
Организация малая, и нагрузка будет небольшая, но хочется начать с "правильной" конструкции, которую потом будут урезать.
Дополнительные условия, в порядке убывания значимости:
- полноценный IPMI с возможностью KVM over LAN
- 19" форм-фактор, с минимальным общим числом U (это в первую очередь к ленточному устройству)
- общая платформа, хотя бы для 2-х серверов, для взамозаменяемости
- хотсвопные диски
- очень хочется автолоадер

Бюджета пока нет:(, поэтому нужна оценка порядка стоимости решения. Рекомендации и возможные альтернативные решения, особенно апробированные, приветствуются.

[gs]

Я правильно понимаю, что класс системы максимум К2, а то и К3 и системы шифрования не требутся?
Защите подлежит фактически только бухгалтерия?

[LCF_R]

abc
А чем не устраивает разграничение двух подсетей физически? Бухгалтерия - отдельно, остальная сеть организации отдельно? На крайний случай можно соединить эти подсети роутером, выход из сети бухгалтерам дать (ограниченно, естественно - только по определенным портам), а вход закрыть (ну или разграничить по вкусу)? Это намного проще, чем городить огород из ISA или Forefront.

[gs]

А почему старая ИСА? Лицензия уже есть?

[abc]

gs
Класс не выше К3, а лучше бы остаться в К4. Защите подлежит (если о формальной стороне) даже не бухгалтерия, а "Зарплата и кадры". Бухгалтерия целиком тоже нуждается в защите, но уже не по формальным, а по практическим критериям, и круг лиц, имеющих доступ, существенно шире.
То есть делается попытка убить двух зайцев: решить формальную задачу, и в прицеп к ней - практическую.
ISA2006 выбрана потому, что она сертифицирована ФСТЭК... другие продукты, прошедшие сертификацию, нравятся мне намного меньше.

LCF_R

А чем не устраивает разграничение двух подсетей физически?

"Любая сложная задача имеет всем понятное, простое, неправильное решение" А как же, с этого и начали, только выяснилось, что разорваны некоторые процессы. Сложность и состоит в том, чтобы выполнить набор формальных (и не только) требований не в ущерб основной работе. Впрочем, я же не настаиваю, что выбранное решение - правильное, если есть проверенный на практике вариант, прошу поделиться. На практике - это значит: "удовлетворивший контроллирующие органы", варианты "неформального" решения - не предлагать.

[gs]

Вообще-то сертификация в Вашем классе не требуется. Там более мягкая и обтекаемая формулировка. Хотя в принципе конечно не помешает.
По большому счету, для компании Вашего класса требуется в основном куча организационно-распорядительной документации, а не технические средства.

Но по технике ребята сейчас напишут.

[LCF_R]

abc,
Дело в том, что в данной теме нет конкретики вообще. А Вы просите вполне себе конкретное решение =) Не могли ли Вы описать в чем именно вы испытываете трудности. Дело в том, что пока я не вижу смысла усложнять систему, навешивая на нее ISA2006. В чем проблема использовать маршрутизатор с функцией файрвола? Даже если использовать программное решение, Вы не ответили на вопрос gs почему Вы не хотите использовать Forefront, который современнее, чем ISA и также сертифицирован ФСТЭК.
Поймите, наша задача как компании-интегратора предложить Вам оптимальное решение, а не продать какую-то железку. А для этого нам нужно хотя-бы примерно представлять специфику выполняемых Вами задач.

[gs]

На рынке есть компании, которые за сумму менее 100тыр сделают Вам пакет необходимых документов в части ПДн. Он Вам все равно потребуется. И это на порядок важнее, чем техника.
У нас тоже есть группа, которая такими делами занимается, но это не их масштаб (да и они уже ангажированы надолго).

[gs]

Что касается сервера и софта - мы посчитаем, не вопрос. Просто Вы не в ту сторону копаете - так что примите мой совет.

[abc]

gs
Первый заброс рекомендуемого Вами варианта уже был, теперь к нему можно будет вернуться только после проработки текущего. Документы разрабатываем сами. Параллельно должна быть решена задача практической защиты критических данных и разграничения доступа к ним.
Раз у вас есть опыт, то может скажете, в чем ошибка (за рекомендации как правильно надо ведь платить?)

LCF_R
Можно использовать и маршрутизатор с функцией фаервола, надо посмотреть варианты, но в списке ФСТЭК ничего знакомого, кроме цисок не увидел, а по мне так с исой попроще будет. Что касается FireFront, он в перечне MS фигурирует как антивирусное решение, а брандмауэр там только ISA2006 (смотрел здесь http://www.microsoft.com/Rus/Security/C ... sults.aspx)
Если можете, дайте пожалуйста ссылки, где посмотреть списки сертифицированных продуктов в пригодном для использования виде (на сайте ФСТЭК был, это ужасно)

[LCF_R]

abc
"Microsoft Forefront — это всеобъемлющий набор продуктов для обеспечения безопасности бизнеса, повышающий безопасность и контроль благодаря интеграции с существующей ИТ-инфраструктурой и упрощению развертывания, управления и анализа. Продукты Forefront помогают защищать клиентские и серверные операционные системы, серверы приложений и периметр сети."
Подробнее:
http://www.microsoft.com/forefront/ru/ru/default.aspx

[Tar]

Можно использовать и маршрутизатор с функцией фаервола, надо посмотреть варианты, но в списке ФСТЭК ничего знакомого, кроме цисок не увидел, а по мне так с исой попроще будет. Что касается FireFront, он в перечне MS фигурирует как антивирусное решение, а брандмауэр там только ISA2006 (смотрел здесь http://www.microsoft.com/Rus/Security/C ... sults.aspx)
Если можете, дайте пожалуйста ссылки, где посмотреть списки сертифицированных продуктов в пригодном для использования виде (на сайте ФСТЭК был, это ужасно)

А почему Вы так заморочились именно сертифицированными продуктами? Что мешает обеспечить защиту другими доступными средствами? Организация у Вас государственная или часная?
Для организации нормальной защиты ПДн необходимо выполнить следующие требования (не считая организационных мероприятий):
1) антивирусная защита рабочих мест;
2) разграничение доступа к персональным (и не только) данным на уровнях: сети, ОС (AD) и приложений;
3) обнаружение и защита от вторжений (IDS);
4) контроль за утечками данных.
5) реагирование на инциденты по всем предыдущим пунктам (хотя это уже больше организационные меропрития).
6) контроль периметра сети и доступа в интернет (в том числе и удалённый доступ в сеть предприятия).

Вот и подбирайте по каждому пункту продукт, который это закрывает.
Если хочеться чего-то сертифицированного, то посмотрите на Symantec EndPoint Protection, но только small business suite, он как раз сертифицирован ФСТЭК. Это персональный firewall, антивирус и IDS в одном флаконе. Ставите на каждую машину и закрываете пункты 1,3 и частично 6. Для закрытия пункта 6 на уровне всего предприятия можете использовать ISA. Пункт 2 закрывается грамотной настройкой AD и приложения, работающего с персональными данными... ну и политикой безопасности вообще. Пункт 4 не такой уж и обязательный, больше для того, чтобы самому держать всё под контролем, для этого есть отдельные продукты, типа Secure Tower... но оно вам надо? Есть ещё такие вещи как инвентаризация всего железа и приложений, установленных на компьютерах пользователей и контроль уязвимостей - посмотрите на XSpider. Но можно найти и что-то фриварное... плюс допилить под себя.
В общем огромный простор для фантазии и творческого подхода. Главное не перестараться, а то пользователи устроят "тёмную"

[gs]

На всякий случай уточню, что предыдущий оратор как раз и занимается у нас технической частью в проектах защиты ПДн.