Наверняка через эту процедуру уже кто-то проходил. Проконсультируйте, пожалуйста. Нуждаются ли VPN-маршрутизаторы D-Link в сертификации на соответствие вступающему в силу закону о персональных данных? Какие бумаги требуются для легального использования с Нового года IPSec-туннелей, поднятых на устройствах D-Link, для передачи и обработки персональных данных 3-й категории (кадры и бухгалтерия до 1000 человек)?

Предварительно (заочно) можно сказать, что согласно документа "Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"" Ваша система может быть классифицирована как ИСПДн 3 класса. Поправка - не 3 категории, а класса.
Причем, согласно законодательства, Ваша система, если она действительно будет классифицирована как ИСПДн 3 класса, не требует аттестации соответствия требованиям безопасности информации - Вам достаточно ПРОДЕКЛАРИРОВАТЬ соответствие требованиям. Это означает, что Вам в любом случае необходимо разработать и внедрить систему защиты информации, но достаточно только продекларировать факт защиты.
Что касается межсетевого взаимодействия: любой обмен конфиденциальной информацией (персональные данные тоже конфиденциальная информация) между объектами РАСПРЕДЕЛЕННОЙ системы требует использование в такой системе криптографических систем, иными словами - шифрования. Причем, это важно, шифрование должно быть реализовано согласно ГОСТ 28147-89. К сожалению устройства D-Link не реализуют алгоритмы шифрования согласно ГОСТ 28147-89.
Таким образом, чтобы не иметь проблем с регуляторами Вам необходимо использовать устройства криптографии, сертифицированные ФСБ России.

P.S. Вы пишете о вступлении закона о персональных данных с 1 января 2010 года - это не совсем верно... Закон принят 27 июля 2006 года, карательные меры начнут применяться с 1 января 2010 года.

_________________
Осилит дорогу идущий...

Понятно, спасибо. Жаль. А хотя бы в качестве "межсетевого экрана 5-го уровня защищенности" (кто бы расшифровал формальные требования по этому уровню), устройства DI-804/808HV, DI-824VUP+ и им подобные могут использоваться?

Что касается требований:
Руководящий документ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации."
Это "открытый" документ, ссылка:
http://www.fstec.ru/_razd/_ispo.htm

По основному вопросу:
Уважаемый, ЛЮБЫЕ средства защиты информации применяемые для защиты информации любого класса должны быть сертифицированы. В системе сертификации ФСТЭК России или, при использовании шифрования, в системе сертификации ФСБ.

_________________
Осилит дорогу идущий...

Формально получается, что большинство устройств D-Link требованиям, установленным для межсетевых экранов как минимум 4-го уровня защищенности, удовлетворяют. Тогда логично задать следующий вопрос: планирует ли D-Link получать сертификаты ФСТЭК?