Журнал учета СКЗИ - Форум по вопросам информационной безопасности

Здравствуйте.

У нас в организации, ранее завели "Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним..." и утвердили его соответствующим приказом. Но сотрудник ответственный за заполнение этого журнала, начал его заполнять в один момент и сразу забросил его. В журнале имеются данные от старых СКЗИ, срок которых закончился несколько лет назад. Новые СКЗИ туда не заносились. Нет ни актов установки, ни актов уничтожения, ничего нет короче. Действующие сертификаты, срок которых не закончился, тоже туда не занесены.
Вопрос: что делать?
1) начать новый журнал и записать туда все СКЗИ, которые у меня по факту сейчас есть в организации? в таком случае, нужно ли составлять акты установки СКЗИ, срок которых не закончился? что писать в журнале в пункте "дата и номер сопроводительного письма" если такие письма найти не могу? что писать в графе " Ф.И.О сотрудника проводивший установку"? ведь сотрудник проводивший ранее установку уволился
2) продолжить заполнять старый журнал, ища при этом информацию о сертификатах, срок которых закончился (не уверен, что эти данные вообще можно будет найти)

Я просто новый сотрудник ранее не имевший опыт работы с СКЗИ, теперь пытаюсь разобраться.
HELP ME.

to Имран:

Можете выбрать любой из вариантов. Формально административные наказания могут быть к отсутствию ведения журнала и учета СКЗИ. К качеству ведения журнала, утрате исполнительных документов по установке и эксплуатации СКЗИ могут выставить замечания и дать рекомендации по их устранению, которые надо будет учесть в своей работе.
В любом случае "старый" журнал не выбрасывайте. В случае проверок может снять ряд вопросов к лично Вам.
Рекомендую внимательно ознакомиться с Инструкцией, утвержденной приказом ФАПСИ от 13.06.2001 № 152. Документ довольно "старый", но действующий. Если административные нарушения по учету СКЗИ ФСБ России и выносит, то ссылается на требования этого документа.
О сертификатах: ни сертификаты соответствия, выданные ФСБ России на СКЗИ, ни сертификаты ключа проверки электронной подписи, выданные удостоверяющими центрами, не относятся к СКЗИ, эксплуатационной и технической документацией к ним. Поэтому вести по ним учет в указанном Вами журнале нет необходимости.

Спасибо за ответ.

еще вопрос: А Сертификаты(на рутокене которые) вообще нужно где-либо учитывать? под них нужно завести отдельный журнал, или как?

to Имран:

Если под "Сертификатами (на рутокене которые)" имеются в виду сертификаты ключа проверки электронной подписи, то для учета таких видов документов требования установлены для удостоверяющих центров, осуществляющих свою деятельность в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи" и использовании так называемых средств удостоверяющих центров, согласно требованиям приказа ФСБ России от 27.12.2011 № 796. Вряд ли это Ваш случай.
Если "Сертификатами (на рутокене которые)" имеется в виду ключ электронной подписи (так называемый закрытый ключ), то в соответствии Инструкцией, утвержденной приказом ФАПСИ от 13.06.2001 № 152, он является криптографическим ключом (криптоключом) относится к одному из видов ключевой информации. А криптографическая информация, записанная на физический носитель (в Вашем случае это Рутокен), относится к ключевым документам (см. определения в Инструкции). Пунктом 26 Инструкции предусмотрено, что для учета ключевых документов должны использоваться Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1, 2 к Инструкции).

Добрый день, а подскажите, пожалуйста, Secret Net Studio необходимо ли заносить в журнал поэкземплярного учёта СКЗИ?

Нет. Secret Net Studio это СЗИ, а не СКЗИ

2 CM:
ключевые документы относятся к СКЗИ в соотвествии с ПКЗ-2005

2 CM:
а сертификат содержит ключ