Журнал учета СКЗИ

Александр пишет: А ваши безопасники не придираются потому как проверяют на соответствие регламента который с ФК пришел.
Ваших безопасников ФСБ уже же проверяло они в курсе этого и должны уже знать.

Откуда такая осведомленность? Вы случайно не "оттуда" ?
Что и как у наших безопасников - конфиденциальная информация, а я по ранжиру ниже стою.

) Был бы от туда. Не искал бы инфу. Да и ФСБ это контроль у них свой УЦ есть. А я довольствуюсь УФК.
Осведомленность - "знакомства". Но не во всем помогает.
А раз вы с УФК, как бы долно после проверки все по правилам делаться.
Как же вы тогда передаете, криптопро ? Только лицензию или еще, что то в комплекте?
СКЗИ могут быть переданы только комплектом, а это компашка и документы на бумаге. А иначе проблема у оператора будет при проверке ФСБ и опять идут к вам )
СКЗИ может быть установлена из достоверного источника. А он тогда учитывается, а раз есть источник должны быть и документы.
Вот и вопрос вытекает сам собой , как учитывать документы пустые (распечатаные). нарушение выходит ФСБ инструкций.

Александр пишет: А раз вы с УФК, как бы должно после проверки все по правилам делаться.

Точнее - я из теротдела УФК. А в ОРСиБИ УФК много еще каких журналов ведется, которых нет в теротделах - специфика.

Как же вы тогда передаете, криптопро ? Только лицензию или еще, что то в комплекте?

Вы дальше все правильно и перечислили, что выдается по официальному письменному запросу организации:

СКЗИ могут быть переданы только комплектом, а это компашка и документы на бумаге.

СКЗИ может быть установлена из достоверного источника. А он тогда учитывается

Все верно: достоверный источник - это дистрибутив лицензионного ПО с техдокументацией в эл. виде, записанные на CD-R организации. Он д.б. зарегистрирован в ее (не казначейском) Журнале учета СКЗИ до передачи в казначейство для записи, в руки оператора УРЦР в теротделе он должен лечь уже с нанесенным на нем учетным номером из журнала организации.

как учитывать документы пустые (распечатанные). нарушение выходит ФСБ инструкций.

Писал выше - не знаю. С одной стороны - при регистрации CD-R надо обязательно писать какая информация на нем (будет). А кто запрещает указать, к примеру, так: "лицензионное ПО СКЗИ ... и формуляр к нему"? С другой стороны - в каждом УФК свои нюансы при ревизии, в т.ч. и по части ОБИ - аксиома. Поэтому запросто где-то это посчитают недостаточным и потребуют регить распечатку формуляра отдельно - даже не удивлюсь такому.

Здравствуйте. Для системы ГИИС "Электронный бюджет" в местном УФК получил лицензионные серийные номера выданные на бумаге, необходимые для установки программ Continent_TLS_Client и Jinn-Client.. Также для получения Continent_TLS_Client и Jinn-Client я в УФК передал два чистых СД диска (так они требовали) для записи на СД диски дистрибутива и документации к Continent_TLS_Client и Jinn-Client.
ВОПРОС:
01. Как я понял я должен в своём "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..." учесть все серийные номера к программам Continent_TLS_Client и Jinn-Client.
02. Учесть два СД диска (один копия другого). Но как их учитывать? Я что должен им какие та номера присвоить? Нанести на них какие та обозначения и записать в "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..."?
Благодарю!

Пётр пишет: Я что должен им какие та номера присвоить? Нанести на них какие та обозначения и записать в "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..."?

Вы все правильно написали - именно так и надо все сделать и для лицензий, и для дисков. На CD-R диски маркером пишется порядковый номер из первой колонки Журнала, после чего они передаются в ТОФК для записи на них лицензинного ПО.

Alex_04 благодарю что откликнулись и не покидаете эту ветку форума.
Вопросов вагон и маленькая тележка.

01. Как быть с такой ситуацией. Continent_TLS_Client выдан один экземпляр (один серийный номер), а Jinn-Client три экземпляра (три серийных номера). Устанавливать нужно на 3 компьютера. Как писать в журнал, факт установки Continent_TLS_Client три раза, если серийный номер один и когда выдавали Continent_TLS_Client подразумевали его множественную установку с одним серийным номером? Сотрудники же должны подписи ставить о факте установки в "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ...". Если я напишу в журнал Continent_TLS_Client три раза то получается у меня на хранении будет числится три Continent_TLS_Client, а по факту один.

По хорошему нужно два журнала, а не один. Первый журнал это факт постановки на учет в организации СКЗИ, а второй журнал факт установки средств СКЗИ на компьютера пользователей.

Вопросы из это же тематики
02. Как отражать факт установки программы Континет-АП на несколько компьютеров (он вообще без серийного номера идёт)?
03. Как отражать выдачу ключа электронной подписи для программы Континент-АП если сам ключ один (на USB носителе), а пользуется и бухгалтер и зам бухгалтера одновременно?

Alex_04 пишет:

Пётр пишет: Я что должен им какие та номера присвоить? Нанести на них какие та обозначения и записать в "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..."?

Вы все правильно написали - именно так и надо все сделать и для лицензий, и для дисков. На CD-R диски маркером пишется порядковый номер из первой колонки Журнала, после чего они передаются в ТОФК для записи на них лицензинного ПО.

Вопросы:
01. В "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..." во второй колонке для СД диска писать вот так : "CD-ROM носитель с дистрибутивом программ "Континент TLS VPN Клиент v1.0" и jinn v1.0", а в третей колонке какой номер указывать?
02. Для СД дисков в "ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ..." начиная с 7 колонки ничего не заполнять? Эти колонки заполнять для строчек где учтены серийные номера к программам?

Пётр пишет: 01. Continent_TLS_Client выдан один экземпляр (один серийный номер) ... Устанавливать нужно на 3 компьютера. Как писать в журнал факт установки Continent_TLS_Client три раза, если серийный номер один и когда выдавали Continent_TLS_Client подразумевали его множественную установку с одним серийным номером?

"Подразумевалось" - пользователем клиента, мысленно, без обсуждения со спецом ТОФК? Имхо - это в корне неверно. Количество лицензий любого ПО СКЗИ д.б. = количеству компов, на которые оно устанавливается!
Лицензии Continent_TLS_Client не совсем удобны для "подсчета". Не знаю как в других, но ОРСиБИ нашего УФК предложило: т.к. серийный (заводской) № у всех лицензий одинаковый (корпоративная личка м.б. на несколько тысяч установок), и "Номер лицензии XXX, экз.YYY" тоже (для каждого районного ТОФК свои согласно полученным от безопасников документам), то при выдаче пользователям "Учетной карточки лицензии на право использования СКЗИ" после "экз.YYY" добавлять "/ ZZ" для удобства их учета и наглядности сколько выдано 1 организации.

По хорошему нужно два журнала, а не один. Первый журнал это факт постановки на учет в организации СКЗИ, а второй журнал факт установки средств СКЗИ на компьютера пользователей.

Фактом установки средств СКЗИ на компьютер пользователя является запись в распечатке Формуляра соответствующего СКЗИ (есть там соответствующие разделы), который должен вестись каждым ответственным пользователем, на чьем компе установлено данное СКЗИ. В электронном виде формуляры записаны на CD-R вместе с лицензионным ПО СКЗИ. Вот и весь "второй журнал".

02. Как отражать факт установки программы Континет-АП на несколько компьютеров (он вообще без серийного номера идёт)?

Ошибаетесь - и на Континент-АП выдавались лицензии, только к версии 3.5, хотя при установке он нигде не запрашивается. Принцип учета тот же: сколько компов нуждаются в Континенте, столько и д.б. лицензий. ИЛИ выполнить рекомендации из раздела "VII. НАСТРОЙКА ДОСТУПА К АРМ ПОРТАЛ СУФД В МНОГОПОЛЬЗОВАТЕЛЬСКОМ РЕЖИМЕ" из "ИНСТРУКЦИЯ АРМ Портала СУФД" (труд сотрудника ОИС УФК по ХМАО-Югре, за что ему БОЛЬШОЕ СПАСИБО!).

03. Как отражать выдачу ключа электронной подписи для программы Континент-АП если сам ключ один (на USB носителе), а пользуется и бухгалтер и зам бухгалтера одновременно?

Опять же из сказанного выше следует, что количество сертификатов ЭП д.б. = количеству лицензий на Континент-АП. Если и личка и серт 1, а пользуются двое - отвечает головой тот, на кого они выданы, на свой страх и риск. Всё просто.

Пётр пишет: Вопросы: ...

Всё предложенное мною в примере заполнения Журнала - лишь примерные наводки на правильные мысли. У безопасников УФК в разных регионах есть "нюансы" трактовки правильности заполнения каждой колонки данного Журнала. Поэтому чтобы не "попасть" при проверке лучше с ними и проконсультироваться по обоим последним возникшим у Вас вопросам. Желаю удачи!

Добрый день! Подскажите пожалуйста, новичку в этом деле.
У нас маленькое предприятие, человек кто занимался и на кого был приказ уволился. Оставил мне ключи и диск. С чего начать? Руководствоваться каким Регламентом? Умоляю ткните носом -как мне всё взять и собрать корректно, какие Журналы необходимо завести, Акты, ведомости? На предприятии недавно было сокращение и как я поняла многие ключи принадлежат сократившимся людям - как оформить сдачу или изъятие или уничтожение?
Можно ли по "Приказу о назначении администратора информационной безопасности" сделать одного директора?

Ол пишет: Руководствоваться каким Регламентом?

Главная страница сайта - раздел "Электронная подпись" - меню "Регламент УЦ ФК от 31.07.2015 № 197" - Краткая инструкция по регламенту №197 от 31.07.2015
В ней по ссылке можно скачать Приказ ФАПСИ №152 от 13.06.2001 - руководство по работе с СКЗИ.

как мне всё взять и собрать корректно, какие Журналы необходимо завести, Акты, ведомости?

Не завидую Вашему положению, еще и новичку, если вообще ничего не велось... В той же выше указанной "Краткая инструкция по регламенту №197 от 31.07.2015" есть куча ссылок на всевозможные формы документов. А разбираться придется самим что именно должно быть и чего не хватает.

Можно ли по "Приказу о назначении администратора информационной безопасности" сделать одного директора?

На все воля руководства, вопрос лишь - захочет ли оно этого?

Спасибо! Начинаю въезжать
Подскажите а если , например юрист со своим ключом переезжает в другой город и там будет продолжать пользоваться (как бы в другом филиале) -какие наши действия?

Ол пишет: юрист со своим ключом переезжает в другой город и там будет продолжать пользоваться (как бы в другом филиале)

Зависит от того, какая организация указана в его сертификате. Если головная без указания филиала, то скорей всего ничего не надо делать, имхо, если другой город в пределах того же региона конечно. Если был выдан на филиал, а будет работать в другом с отличным наименованием, то в вашем филиале надо отзывать сертификат, включая изъятие и форматирование ключевого носителя с составлением Акта об уничтожении, а в новом филиале подготовить весь пакет документов на получение нового сертификата в соответствии с Регламентом УЦ ФК.

Alex_04 пишет: ... надо отзывать сертификат, включая изъятие и форматирование ключевого носителя с составлением Акта об уничтожении...

О! Пожалуйста поподробнее, где можно почитать об изъятии или уничтожении?
Как например удалить ПО из компьютера? И каким документом это проводить? В журнале поэкзкмплярного учета СКЗИ -как отметить?
В Инструкции утвержденной Приказом № 152 в пп. 41-46 написано про уничтожение ( но непонятно как это происходит фактически - сжечь, растоптать, форматировать)

Ол пишет: Пожалуйста поподробнее...

В Регламенте УЦ ФК есть приложение 6 "Акт уничтожения средства электронной подписи".
В "Журнале поэкземплярного учета СКЗИ" колонки 12-14 как раз для этого.