Что кому упёрлось, а кому не упёрлось, пусть решает каждый сам для себя. Я никого не заставляю, повторяю в пятый раз. И вы не решаете, что упёрлось, а что не упёрлось. Делайте так, как считаете нужным, ТС тоже сделает, что он посчитает нужным из предложенного. В чём проблема? Я не нуждаюсь ни в судьях, ни в комментаторах. Я предложил сетап со словами - не нужно вам, дак будет нужно другому. Можете выполнить часть, можете вообще ничё не выполнять. Всё. Я вас не звал, чтобы вы рассуждали, что из этого православное, а что нет, что дорого, а что дёшево. О чём разговор?
Adamos, Ну ваша позиция очень удобная, мол, утрировать не надо, и ничего не делать не надо, там понятие размытое, а тут цирк накрутили, поэтому буду делать так, как сам посчитаю нужным... ну как бы. Да делайте как хотите, я же уже третий раз повторяю. Не хотите, чтобы назначали виновных - так прокурору можно будет и сказать - сразу оправдают) Кому всё-равно, может и настраивать инфраструктуру под понятие "всё-равно", пожалуйста. Я что, заставляю кого-то? Нет. Ну вот и наплюйте на мои рекомендации
Adamos, Я же написал, что может кто-то другой воспользуется, я никого не заставляю. Я написал, как было бы более менее. ИБшник должен быть, если с персоналкой работают и с СКЗИ, и заставлять будет прокуратура или ФСТЭК, мне-то без разницы. Я просто накидал базу, изучив которую, кстати, уже перестанешь быть недоучкой. И не говорю, что это всё по щелчку пальцев и за один раз. Можно стремиться к этому, но сделать по-своему, ради Бога)
Можно вообще ничё не делать, не создавать AD, не делать бэкапы, не изолировать сети, а просто рубиться в доту и получать копеечку
А бюджет выделяют? Всё зависит от наличия денег\оснащения. Меня многие закидают, но всё же я свой вариант подкину, может не вы, дак кто-то другой вспользуется.
Бухгалтерия с 1С работает? Персоналка хранится? Скорее всего. Возможно ещё и с СКЗИ работают, чтобы подписывать отчёты в налоговую, СФР и прочее-прочее.
Берём один хороший железный сервер, делаем из него гипервизор виртуализации. Берём два небольших NAS.
На гипервизоре поднимаем виртуальные серверы: Сервер по 1С (тут вариантов куча, тема холиварная с этими толстыми/тонкими/RDS клиентами), файловый сервер, сервер контроллера домена (на нём же можно поднять DHCP и DNS сервер сразу), сервер бэкапов, желательно сервер администрирования антивирусного ПО (типа KSC).
NASы подключаем по iSCSI к гипервизору, на одном NAS лежат виртуальные машины (полностью, с конфигурацией, жёсткими дисками, контрольными точками). На втором NAS лежат бэкапы сервера бэкапов, и бэкапы баз данных (сейчас только 1С, в будущем может что-то ещё добавится). Этот NAS максимально нужно защитить.
Делаем несколько VLAN, разделяем машины, на которых ведётся обработка персональных данных (желательно порезать интернеты хотябы чуть-чуть), обычные машины с полным доступом в интернеты, серверные машины (эти тоже защитить). На межсетевом экране также делаем правила, из какого VLAN куда можно попасть и по каким протоколам\портам. Например, на вебку NAS только с админского компа по протоколам 80, 443 (и всё в таком духе). Желательно на каждый порт микротика привязать не только тэг VLAN но и разрешённый MAC, чтобы никто не мог просто прийти и врезаться в сеть со своим кабелем и ноутбуком. Например на каждый порт прописать VLAN телефонного аппарата (у каждого же сотрудника он есть?), на телефонном аппарате уже снимать тэг и отправлять трафик на конечное устройство. Телефоны, кстати, тоже в свой VLAN засунуть, чтобы всё было отсортировано: телефоны в своей подсетке, открытые машины в своей, машины с ПДН в своей, серверная группировка в своей и т.д.
Вот более менее подготовленная и структурированная база для работы) Потом можно дальше будет модернизироваться. Отказоустойчивый кластер виртуализации поднять, сервер с СЗИ от НСД если приспичит, корпоративный сервер VPN с шифрованием каналов и так далее
Drno, Не успел) Сетевух несколько, по идее если один мак не нравится, почему другой точно также себя видёт? А в Линуксе не ведёт? Ведь от ОС MAC не меняется) Но в общем помогло заклинание netsh int tcp set global autotuninglevel=normal