Журнал учета СКЗИ

Подскажите как быть, если в Формуляре на СКЗИ Крипто Про 3.9 написано:"Формуляр входит в комплект поставки СКЗИ ЖТЯИ.00083-01 и должен постоянно храниться в органе (подразделении), ответственном за эксплуатацию СКЗИ". Я так понимаю это означает хранение в сейфе Ответственного пользователя СКЗИ в Организации?
При это УФК в Актах установки требуют распечатать формуляр и передать на хранение пользователю СКЗИ. А при разговоре с сотрудниками УФК они вообще сказали отксерить Формуляр который они выдали, и раздать пользователям. Это не противоречит тому что я цитировал из Формуляра?

Доброго времени суток. Так как я раньше не занимался СКЗИ, то у меня вопрос. Заранее спасибо за ответ.

У нас в организации поставили:
1) VipNET
2) Крипто-ПРО
3) а также имеются Рутокены и ЭЦП на обычных флэш носителях.

Используется все это для обмена информации с банком и финансовой отчетности Таском.

Должен ли я руководствоваться и применять Приказ ФАПСИ 152 и ПЗК-2005,

xpressive пишет: Используется все это для обмена информации с банком и финансовой отчетности Таском.
Должен ли я руководствоваться и применять Приказ ФАПСИ 152 и ПЗК-2005,

Приказ ФАПСИ № 152 касается всех пользователей СКЗИ, поэтому - да, должны им руководствоваться.
Про ПЗК-2005 не могу сказать определенно, возможно тоже "да".

Если вы не генерируете (производите) средства защиты, то ПКЗ-2005 вам не нужно.

Являются ли корневые сертификаты "Сертификат Головного удостоверяющего центра" и "Сертификат Удостоверяющего центра ФК" ключевой информацией? Ведь, мы скачиваем, устанавливаем их и грубо говоря установленные сертификаты уже находятся на своих местах где положено быть по инструкции ФК, на ключевом носителе а это уже жесткий диск. Если они считаются ключевой информацией, верно ли полагать что их нужно записывать в Журнал учета СКЗИ?
Да, я понимаю что написано мною многим может наверное показаться очень странной занятие, но....

нет, т.к. они находятся в свободном доступе

Добрый день. Прошу по возможности разъяснить несколько моментов.
1. Должен ли пользователь ЭЦП сдавать ключевой носитель после окончания рабочего дня с занесением данного факта в журнал учета СКЗИ (ЭЦП)? Или достаточно выдать под роспись до момента окончания срока действия, либо увольнени? В 152 ФАПСИ не нашел. Данный вопрос возник, из-за того что в организации несколько зданий в черте одного города. Если должны сдавать ежедневно, то на кого можно возложить данную обязанность? Нужно ли спец образование?
2. Нужно ли вносить в журнал все жесткие диски ПК на которых стоит VipNET, КриптоПРО или просто программа в которой есть персональные данные. Да и в принципе что делать с VipNET? Свободное ПО же
3.Организовать обучение сотрудников допущенных к работе с СКЗИ. ЧТо это? Всех сотрудников которые используют ЭЦП, или только админов ИБ? Если всех то кто имеет право учить?

1. Пользователю СКЗИ выдаётся: ключевой носитель, формуляр. Хранится и эксплуатируется согласно формуляра. Заносятся соотв. записи в журнал учёта. С этого момента (по идее и по политике ИБ организации) вся ответственность на нём.
2. Да, вносится каждый дистрибутив, т.к. они нумерованные. VipNet нам выдавали на диске, я присвоил ему внутренний номер + распечатал всем пользователям формуляры (хотя закрытых ключей не используем)
3. В организации разрабатывается и утверждается программа обучения, план обучения (будущих) пользователей СКЗИ (сотрудников, допущенных до работы с СКЗИ). По окончанию обучения проводится аттестация (можно в форме тестов), издается приказ по организации "О сотрудниках, допущенных до работы с СКЗИ". Право учить имеет (насколько я понимаю) Администратор ИБ организации.
ИМХО, но вроде не далеко от реальности.

Доброго времени суток! Вопросы такие, в журнале учета СКЗИ обязательно ли учитывать ключевые носители или если есть журнал учета ключевых носителей то там может их и регистрировать? А ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ? И извинияюсь, что вопрос не по теме, а в журнал учета машинных носителей информации включаются ibutton (таблетки к соболям)? А их потом надо включать в журнал ключевых носителей информации? Они же содержат ключ по который соболь понимает пользователь это или нет. Извините еще раз за сумбурные вопросы, просто в голове каша, не знаю с какого журнала учета начать, т.к. до меня журналы эти благополучно не велись...

mikeabramyan пишет: Доброго времени суток! Вопросы такие, в журнале учета СКЗИ обязательно ли учитывать ключевые носители или если есть журнал учета ключевых носителей то там может их и регистрировать? А ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ? И извинияюсь, что вопрос не по теме, а в журнал учета машинных носителей информации включаются ibutton (таблетки к соболям)? А их потом надо включать в журнал ключевых носителей информации? Они же содержат ключ по который соболь понимает пользователь это или нет. Извините еще раз за сумбурные вопросы, просто в голове каша, не знаю с какого журнала учета начать, т.к. до меня журналы эти благополучно не велись...

для ключевых носителей с отдельно создал "Журнал учета". если ПАК Соболь - СКЗИ, то в журнал учёта СКЗИ.
ibutton такой же ключ, просто в другом форм-факторе, соответственно в "Журнал учета ключевых носителей".
Начните с прочтения 152 Приказа, параллельно делайте Журнал учета СКЗИ, совмещая теорию с практикой)! Успехов!

Часть сообщения скрыта для гостей. Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы увидеть его.

Верно, кроме защиты от несанкционированного доступа ПАК Соболь можно использовать со СКЗИ КриптоПро CSP или SecurityCode CSP, тогда Соболь выступает в качестве аппаратного датчика случайных чисел и считывателя ibutton. Поэтому в некоторых случаях Соболь включается в поставку КриптоПро классов КС2 и выше. В зависимости от использования и обстоятельств получения возможно его расценивать просто как считыватель для другого СКЗИ.

mikeabramyan пишет: ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ?

Beck пишет: ПАК Соболь - программно-аппаратный комплекс от несанкционированного доступа, и для таких штук есть отдельный журнал

Коллега прав, и называться он может, к примеру "Журнал учета СЗИ" (средств защиты информации), коим и является ПАК "Соболь".
И в остальном Beck выше всё правильно посоветовал - попробуйте именно так и сделать.

Нашел тут образцы по заполнению документов по учету СКЗИ: Образцы документов.

Из примеров пришел к выводу, что удобней будет завести несколько журналов учета СКЗИ.

Добрый день! Организации УФК выдало 1 диск с "Континент АП", который в дальнейшем был установлен на несколько компьютеров. Как правильно мне зафиксировать данное действие в журнале учета СКЗИ?