Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать, если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.
Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»
Через матюги с шутками выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, чтобы хоть как-то было похоже на правду.
Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.
Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).
Самая засада с дистрибутивом — он должен быть на диске. Нет диска — вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика) и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.
Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и ни хера не понятно, что же надо взять, чтобы нормально сертифицированную винду приобрести.
Запоминайте.
Гайд по ориентированию в прайсе сертифицированной винды
Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.
- Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупки в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.
Берем по количеству машин.
- Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Также берете по количеству машин.
- Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
- Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
- Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Также очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).
Кстати, именно в WSUS воткнете свой ключ для обновлений.
- Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают. Да и сами сотрудники СИС и дистиков не всегда в курсе темы, но, судя по всему, лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать: 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
- А если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.
Как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.
Понравилось про прайсы? Пишите в комментариях.
Дмитрий, подскажите чем сертифицированная Windows лучше не сертифицированной?
И ваше мнение по поводу выбора варианта для защиты ПДн?
Сертифицированные позволяют выполнить требования законодательства, не сертифицированные — нет (конечно, есть всякие хитрые способы, но за ними надо к экспертам идти).
По поводу средств защиты… а мы продаем или покупаем?