Федеральный закон №152 «О персональных данных»

Об СПО и открытых проектах, конечно, речи быть не может, с таким законом его использование просто не возможно

С какого перепугу? А как же дистрибутивы сертифицированные ФСТЭК?

Например шлюз с iptables уже не сертифицирован и должен быть заменен

По какому пункту закона он не сертифицирован, если установлен из дистрибутива, сертифицированного ФСТЭК?

ПО прошедшее сертификацию. Большинство таких продуктов стоят прилично, а качество еще неизвестно

Почему это оно не известно?