Чтобы подобрать оптимальное по цене и функционалу решение, нужно видеть всю информационную систему и знать множество нюансов, так что относитесь со скепсисом ко всему что я (да и остальные наверное) вам тут насоветую - точный рецепт, без схемы, подобрать сложно.))
Тем не менее, основное:
1. на терминальном сервере да, нужно что-то типа Аккорда (ну или по проще, ИСПДН 2 класса ведь у вас, не Гос тайна:) ) 2. для аппаратной двухфакторной аутентификации подойдет средство и подешевле Шипки, (e,ru)token к примеру.
3. антивирус безусловно нужен, любой, к какому душа лежит, главное чтобы сертифицированный (по ТУ хотя бы, НДВ-4 не обязательно) (ох уж эта сертификация:))
4. Межсетевой экран - безусловно нужен, сертифицированный по 4 классу защищенности межсетевых экранов.
5. использовать крипто или нет - ваше решение, нет документов, обязывающих вас что-то шифровать, если ПДн нигде не выходят за границу КЗ.
6. И последнее - есть средства защиты ИСПДн которые хорошо интегрируются в терминальную ИС. Поищите в интернете, не буду тут рекламу разводить.))))

спасибо за ответ! Но вот что то я не нашла кроме аккордовских терминальные сертифицированные решения. не могли бы вы подсказать какие еще есть?

И вопрос еще про межсетевое взаимодействие.Что то не могу понять. у нас есть подключение к интернету, программисты работают через TeamViewer, передают данные но не ИСПДн, по интеренету иногда передают базы данных клиенты нам. в этом случае нужно рассматривать системы Межсетевого взаимодействия?

Нужны не средства VPN, а СКЗИ.

Если у вас терминальное решение и клиенты подключаются по RDP к серверу, и на сервере стоит МЭ, то можно заявить о межсетевом разграничении. Клиентов обозвать К3 и при грамотно написанной модели угроз можно обойтись и без СКЗИ.

Цитата
Oleg пишет: У Trust Access сертификат не на терминальные решения, такой сертификат имеет Аккорд с шипками. А токены как на бездисковые машины ставить? По крайней мере нужны те , которые подтвердит сертификат именно для терминальных решений.

Огорчу, но сертификатов на терминальные решения нет!
А вот что касается Токенов на бездисковые машины это я не знаю, а вот решение на базе Шипки для бездисковых станций у того же ОКБ САПР есть!