Журнал учета СКЗИ

Здравствуйте. Такая ситуация.
Имею ключ подписи на обычной юсб флешке. Этот ключ учтён в журнале и юсб носителю присвоен номер №12 по порядку из журнала.На юсб флешку нанесё учётный номер №12. Истёк срок сертификата данного ключа. Информацию на флешке я уничтожил о чем сделал запись в журнале. Далее использую эту флешку для генерации нового ключа подписи при этом в журнале учёта делаю запись о новом ключе под следующем идущем по порядку номером №40.
ВОПРОС
01. На юсб флешке оставлять старый номер 12 или нанести новый номер 40?
02. Эти номера в журнале вписываются только в колонку №1 или же ещё в какую то колонку их надо вписать?

levastk пишет: Как ведется учет криптоключей в журнале?

Затрудняюсь с точным ответом, наверно в каждом УФК свои рекомендации. Возможно достаточно указывать серийный номер сертификата.

Пётр пишет: ВОПРОС
01. На юсб флешке оставлять старый номер 12 или нанести новый номер 40?
02. Эти номера в журнале вписываются только в колонку №1 или же ещё в какую то колонку их надо вписать?

ОТВЕТ:
01. Нанести новый номер 40.
02. Именно в колонку №1 - из нее и вписываются.

Учёт формуляров.
Я являюсь ответственным на предприятии по информационной безопасности.

1 Правильно ли я понимаю.
Формуляр в электронном виде я получил вместе с дистрибутивом ТО УФК. Мои действия после.
01. Учёл сд диски с дистрибутивом в Журнал учета СКЗИ,
02. Распечатал один раз формуляр и в соответствующем разделе формуляра расписался, закрепив формуляр за собой.
03. Внёс запись о распечатанном формуляр в Журнал учета СКЗИ
04. Расписался в Журнал учета СКЗИ о том что сам себе выдал формуляр. (это особенно интересует)

2 Насколько я понял своим сотрудникам, при установке на их компьютеры программ СКЗИ, я формуляры не распечатываю и сотрудники нигде в формулярах не расписываются. Формуляр идет строгой привязкой к дистрибутиву на носителе, а не к факту установки на компьютер.?

Пётр пишет: ... 02. Распечатал один раз формуляр и в соответствующем разделе формуляра расписался, закрепив формуляр за собой. ...

Примерно как--то так, за искл. этого п.02, о чем как раз дальше:

2 ... своим сотрудникам, при установке на их компьютеры программ СКЗИ, я формуляры не распечатываю и сотрудники нигде в формулярах не расписываются. Формуляр идет строгой привязкой к дистрибутиву на носителе, а не к факту установки на компьютер.?

Нет, неправильно. Вместе со СКЗИ на CD из ТОФК получаете лицензии на СКЗИ по числу компьютеров пользователей СКЗИ. А это значит, что формуляры на СКЗИ привязаны к числу компов, на которые оно установлено. т.е. сколько компов со СКЗИ - столько распечаток формуляров, в каждом из которых прописывается конкретный пользователь (а не 1 козел отпущения в лице ИТ-спеца), несущий ответственность за эксплуатацию СКЗИ с указанным в лицензии номером.

Здравствуйте!

Не подскажете по заведению журнала учета и учету криптографических средств:
1. Может ли журнал заводиться на основе приказа пример которого я нашел на сайте УФК Свердловской области - ofk18.ru/Raz/SKZI_razyasneniya.pdf
2. Как лучше поступить если ключевые носители СКЗИ уже используются а журнал заводится только сейчас?
3. В формуляре на СКЗИ есть графы Номер и дата приказа о назначении ответственного за эксплуатацию СКЗИ. Речь идет о пользователе СКЗИ? Нет ли примеров этих приказов?

С уважением,
Александр.

alax1 пишет: 1. Может ли журнал заводиться на основе приказа

Приказом назначается админ ИБ, а ведение данного журнала - это уже его обязанность в соответствии с приказом ФАПСИ. По большому счету, если раньше не было приказа об АИБ, то журнал все-равно кто-то д.б. вести, но не будем углубляться - не вижу смысла толочь воду в ступе, выясняя причины его неведения.

2. Как лучше поступить если ключевые носители СКЗИ уже используются а журнал заводится только сейчас?

ИМХО, исходя из выше написанного сугубо моего мнения (не факт, что правильного) - в журнале ставить реальные даты (или хотя-бы близкие к ним) получения или действий со СКЗИ, ключевыми носителями и т.п.

3. В формуляре на СКЗИ есть графы Номер и дата приказа о назначении ответственного за эксплуатацию СКЗИ. Речь идет о пользователе СКЗИ? Нет ли примеров этих приказов?

Да, речь о каждом пользователе СКЗИ, на компе которого оно установлено. Основание - приказы о наделением правом электронной подписи или работы со СКЗИ в том-то и там-то и т.п., в которых отдельным пунктом можно указать что-то подобное этому:

3. Указанные в пунктах 1-2 настоящего приказа (распоряжения или постановления) уполномоченные лица несут персональную ответственность за:
• сохранение в тайне конфиденциальной информации, ставшей им известной в процессе электронного документооборота между НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ и Управлением Федерального казначейства по ...;
• сохранение в тайне закрытых ключей проверки электронной подписи и иной ключевой информации;
• соблюдение правил эксплуатации средств АРМ ППО СУФД-online, средств проверки электронной подписи и средств криптографической защиты информации.

Спасибо большое за помощь.

Не подскажете еще по поводу приказа:

Alex_04 пишет: Приказом назначается админ ИБ, а ведение данного журнала - это уже его обязанность в соответствии с приказом ФАПСИ. По большому счету, если раньше не было приказа об АИБ, то журнал все-равно кто-то д.б. вести, но не будем углубляться - не вижу смысла толочь воду в ступе, выясняя причины его неведения.

У нас есть приказ о назначении АИБ для информационных систем УФК (тот который ранее требовали при получении сертификатов). Должен ли еще быть общий приказ или для каждой системы ( у нас еще есть банк-клиенты с ключами) издается отдельный приказ, или нужен и общий приказ о назначении АИБ и отдельные приказы по каждой системе?

С уважением,
Александр.

alax1 пишет: Должен ли еще быть общий приказ или для каждой системы ( у нас еще есть банк-клиенты с ключами) издается отдельный приказ, или нужен и общий приказ о назначении АИБ и отдельные приказы по каждой системе?

Не знаю как в других УФК, но в нашем ТОФК раньше требовали 1 общий приказ о назначении админа ИБ и на каждую систему/программу отдельные. По новому Регламенту УЦ ФК копии приказов больше не предоставляются в ТОФК, но клиентам все же рекомендую их делать или обновлять для внутреннего пользования - мало кто вздумает их проверить?

Спасибо за ответ. Не могли бы Вы разрешить еще несколько вопросов:
1. Мне выдали дистрибутивы Continent_TLS_Client и Jinn-Client на флешке. Бумагу с серийным номером выдали только на Jinn-Client. Continent_TLS_Client при установке ключа не потребовал. В бумаге на Jinn-Client поле для номера диска оставлено пустым. Я планирую заполнить серийный номер в бумаге на Jinn-Client согласно журналу и переписать информацию на диск с этим номером с флешки и поставить на учет в журнал оформив соответствующий акт. А как быть с Continent_TLS_Client если на него нет никакой бумаги - попросить сооотв. бумагу в нашем территориальном казначействе? Для Continent_TLS_Client нужно создавать отдельный диск с номером?
2. при работе мы использовали купленный крипто-про. При этом при покупке нам выдали только бумагу и номером, а дистрибутив я скачал с сайта производителя. Может ли в журнале учета СКЗИ учитываться такое программное обеспечение или необходимо приобрести дистибутив крипто-про с формулярами и после этого оформить его в журнале? Можем ли мы приобрести 1 дистрибутив Крипто-про с несколькими лицензиями и в качестве отдельных экземпляров делать копию этого дистрибутива?
3. В некоторых системах (например закупках) компоненты формирования электронной подписи скачиваются прямо с сайта. Их можно не учитывать в журнале?

Читаю про журналы и чем дальше тем печальнее. Из обсуждения ведения журналов на сайте Крипто-про - сообщение № 69 - www.cryptopro.ru/forum2/default.aspx?g=posts&t=3810&p=4

1.Для того что бы создавать ключи и распространять ключевую информацию должен быть создан орган криптографической защиты информации. Для разработки и осуществления мероприятий по организации и обеспечению безопасности конфиденциальной информации с использованием СКЗИ создается орган криптографической защиты. Орган криптографической защиты создается только лицензиатом
Основание: (п. 6 приказа ФАПСИ № 152).
2.Орган криптографической защиты осуществляет:
разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
поэкземплярный учет, используемых СКЗИ, эксплуатационной и технической документации к ним;
Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;
Основание: (п. 7 приказа ФАПСИ № 152).
3.Для изготовления и распространения ключевой информации необходимо получить лицензию.
Основание п.28 Приложения к Положению о лицензировании, утв. Постановление правительства от 16 апреля 2012 г. N 313 (См. Перечень работ и услуг требующих лицензии ФСБ).
4.Если организация не является лицензиатом ФСБ (не создан орган криптозащиты и не осуществляет соответствующие работы), а является только обладателем конфиденциальной информации, то достаточно только ведение журнала (для обладателя конфиденциальной информации).
Основание: (п.26 приказа ФАПСИ № 152)

Учитывая что ключи для работы с казначейством генерируются в организации по идее организация должна для этого получать лицензию ФСБ

alax1 пишет: как быть с Continent_TLS_Client если на него нет никакой бумаги - попросить сооотв. бумагу в нашем территориальном казначействе? Для Continent_TLS_Client нужно создавать отдельный диск с номером?

Да - просить "бумажку" и на континент TLS. Если сразу не записали на диск и Jinn (?!) - пусть TLS хотя-бы пишут. Вообще довольно "странно" мягко говоря была произведена выдача...
По второму вопросу затрудняюсь ответить, лучше проконсультируйтесь со спецами отдела безопасности Вашего УФК - не укусят (надеюсь).

3. В некоторых системах (например закупках) компоненты формирования электронной подписи скачиваются прямо с сайта. Их можно не учитывать в журнале?

Имхо - не учитывать, т.к. это плагины, не требующие лицензирования, не заморачиваюсь на счет них.

alax1 пишет: Читаю про журналы и чем дальше тем печальнее. Из обсуждения ведения журналов на сайте Крипто-про - сообщение № 69 - www.cryptopro.ru/forum2/default.aspx?g=posts&t=3810&p=4

Приведенное Вами касается Органа криптографической защиты информации, коим является, в частности, Отдел режима секретности и безопасности информации УФК! Вы работаете в ОРСиБИ? Если нет - ложитесь спасть спокойно, пока крышу окончательно не снесло от журналистики...

Спасибо за ответы!

Я хотел бы уточнить правильно ли я понимаю алгоритм заполнения граф журнала учета средств СКЗИ и связанных с этим действий.
Если я получаю ПО из казначейства (например jinn client) я заношу в журнал запись:
Номер СКЗИ (этот номер наносится маркером на диск на который записывается СКЗИ и он указывается в акте установки) (колона № 1), наименование СКЗИ («Jinn-Client», версия 1.0.1130.0) (колонка № 2), серийный номер СКЗИ (колонка № 3)

Вопрос - в карточки на СКЗИ выданной в казначействе указано номер лицензии. Нужно ли его указывать в этой колонке?

Номер экземпляра 1 (колонка № 4), Наименование казначейства где получено ПО (колонка № 5), дата и номер письма с запросом о выдачи ПО (колонка № 6)

Вопрос по колонкам №№ 7 и 8. Здесь должен указываться сотрудник которому в конечном счете установлена ПО и дата передачи ПО сотруднику совпадающая с датой установки или ФИО сотрудника который получил ПО в казначействе и дата получения ПО в казначействе?

Или вообще на каждое ПО 2 строки - в 1-й оформляется получение ПО в Казначействе сотрудником и заполняются колонки с 1-й по 8 а во 2-й установка ПО сотруднику и заполняются колонки с 1-й по 12. При этом в 1-й строке указыватся сотрудник получивший ПО в колонках 7-8 он же указывается во 2-й строке в колонках 5-6 и в колонках 7-8 сотрудник на АРМ которого устанавливается ПО? А столбцы 1-4 для этих 2-х строк совпадают?

Правильно ли я понимаю что карточка учета СКЗИ и диск с дистрибутивом, акт установки хранится у администратора безопасности в сейфе а у сотрудника на АРМ которого установлено СКЗИ хранится формуляр на СКЗИ с заполненной записью об установке? На каждое СКЗИ при его установки оформляется запись в журнале учета, акт, формуляр, получается карточка учета СКЗИ и все или что-то еще?

Если СКЗИ приобретается у коммерческой фирмы что указывать в колонке № 6 - просто дату получения СКЗИ или ссылку на какой-то документ? При приобретении СКЗИ в коммерческой фирме передается документ с номером лицензии который не носит наименования карточка учета. Нужно ли для него отдельно заводить бумажную карточку учета или достаточно оставить этот документ?

В каком виде должен оформляться журнал? Могут ли это быть листы в пружинной папке или это должен быть сшитый журнал? Нужно ли где-то ставить печати организации при его заведении?

С уважением,
Александр.

alax1 пишет: Вопрос - в карточки на СКЗИ выданной в казначействе указано номер лицензии. Нужно ли его указывать в этой колонке?

Нет, длинный лицензионный номер (с тире который) не надо светить ни в Журнале, ни в Акте установки - это конфиденциальная информация.

Вопрос по колонкам №№ 7 и 8. Здесь должен указываться сотрудник которому в конечном счете установлена ПО и дата передачи ПО сотруднику совпадающая с датой установки или ФИО сотрудника который получил ПО в казначействе и дата получения ПО в казначействе?

ИМХО:
- если выдача носителя под сертификат ЭП, то речь о конечном пользователе, т.е. о владельце сертификата, дата в гр.8 м.б. раньше даты в гр.10 (сгенерил сегодня, а сертификат получил завтра или еще позже);
- если выдача носителя под дистрибутив СКЗИ, то речь об администраторе ИБ, который получает его в ТОФК, с датами аналогично (получил сегодня, установил завтра,...).

Правильно ли я понимаю что карточка учета СКЗИ и диск с дистрибутивом, акт установки хранится у администратора безопасности в сейфе а у сотрудника на АРМ которого установлено СКЗИ хранится формуляр на СКЗИ с заполненной записью об установке?

Да, все правильно.

На каждое СКЗИ при его установки оформляется запись в журнале учета, акт, формуляр, получается карточка учета СКЗИ и все или что-то еще?

Не знаю правильно-ли делаю, но каждую установку СКЗИ не записываю в Журнал - зачем, если они оформляются Актом? У пользователя хранятся формуляр и карточка учета, раз в ней его подпись в получении.

Если СКЗИ приобретается у коммерческой фирмы...

то в гр.6 указываете реквизиты официального письма вашей организации с просьбой о его приобретении у них, в гр.5 - наименование данной фирмы. Вообще данный журнал ведется не для учета только казначейских СКЗИ и т.п. - ЛЮБОГО от ЛЮБОЙ организации.

В каком виде должен оформляться журнал? Могут ли это быть листы в пружинной папке или это должен быть сшитый журнал? Нужно ли где-то ставить печати организации при его заведении?

Ведется он в соответствии с Инструкцией по делопроизводству, утвержденной в вашей организации, если ее нет - в соответствии с типовыми рекомендациями по ведению делопроизводства. Это надо погуглить в инете. Везде м.б. свои "нюансы", могу и ошибаться, но обычно в конце каждого года листы журналов складываются в обычный скоросшиватель, прошиваются, нумеруются и заверяются на последней странице печатью и подписью специалиста с правом заверения.