Журнал поэкемплярного учета - Форум по вопросам информационной безопасности

Казалось бы заполнить журнал поэкземплярного учета СКЗИ - дело плевое, но вот нет.

Журнала ранее не было, крипосредства были, при том по некоторым позиция журнала (например дат и подпись при получении) информация трудновосстановима.
Или другой пример, была куплена лицензия Крипто Про, а дистрибутива не было (точнее был - с сайта). Спустя более года купили диск с документами.
Сертификаты ЭП - ну ладно они скоро закончатся, хотя это опять еще только скоро (но не завтра).

Короче не знаю как выстроить логическую последовательность заполнения. Прошу пожалуйста помощи опытных товарищей.

И еще вопрос, товарищи!

Есть криптосредство Vipnet Client координатор находится у вышестоящей организации - другого ЮЛ.
Эта организация не является УЦ, однако фактически выполняет эту роль для подведомственных учреждений.
Естественно никаких документов в соответствии с требованиями ФСБ не заполняются.
Вот как быть стоит ли данное криптосредство учитывать в журнале или (в случае проверки) сделать вид, что Vipnet Client используюется как МЭ и не более?

И заранее спасибо!

"Есть криптосредство Vipnet Client координатор находится у вышестоящей организации - другого ЮЛ. Эта организация не является УЦ, однако фактически выполняет эту роль для подведомственных учреждений."
Они выполняют функцию администратора защищенной сети (или нанимают кого то - это лицензируемый вид работ). Получите от них официальные инструкции (бумажные, утвержденные) и ознакомьте под роспись вашего пользователя. Что он ответственный пользователь VipNet отразить в должностной инструкции. Обычно назначается 2 человека - ответственный от администрации и непосредтвенно эксплуатирующий специалист. Но это должен разработать и указать владелец сети.
Журналы выдачи и организация учета - тоже проблемы владельца сети. Проверьте, чтобы Client был передан официально (или уж наоборот - их сеть и собственность, пусть они и думают ))))

Практик
Да, пожалуй определение - "администратор защищенной сети" будет более правильное.
Но м/б я немного не понял, но все:
Купили в свое время Vipnet Client. Он конечно года полтора валялся без дела, но это не суть важно.
Потом вышестоящая контора - другое ЮЛ сказало, что будем организовывать сеть там для определенных операций.
Дальше все, кто входит т.с. в структуру этой вышестоящей конторы и мы в т.ч. установили кто координатор, кто клиент (не суть важно). DST-шник скинул нам админ из Конторы - сеть работает - все ок.
Только я все не пойму как учитывать и этот Vipnet Client и особенно те сертификаты ключа, которые обновляет администратор Конторы (удаленно)?
Хотя бы на примере Журнала.
- Нужно ли оформлять "приемку" Vipnet Client по форме?
- Нужно ли оформлять каждый новый сертификат, так же, как скажем это делается в бухгалтерии? Но тогда вопрос, а на каком основании МЫ используем Vipnet Client как криптосредство и получаем сертификаты ключа подписи? Я понимаю, что право УЦ это не наша головная боль, но реально есть СКЗИ и сертификаты ключа подписи, которые не имеют ни какого юридического подтверждения на право их использовать.

Если сертификат с ключами на ключевом носителе (eToken, Rutoken, JaCarta. обычная usb-флэшка), то конечно можно учитывать факт генерации и записи сертификата и выдачи/сдачи КН в журнале учета КН.

Vipnet Вам, видимо, передали не просто так, а на основании какого-то документа (письмо, договор, распоряжение вышестоящей орг-и). Укажите номер этого документа в журнале учета СКЗИ.


1. Проведите инвентаризацию эксплуатируемых СКЗИ, лицензий, бумажной документации и пр.
2. Присваивайте учетные (инвентарные) номера отдельно бланку лицензии, отдельно диску с дистрибутивом и документацией и т. д.
3. Соберите с пользователей подписи за установленные СКЗИ.

>Если сертификат с ключами на ключевом носителе
Сертификат не на ключевом носителе, обновление происходит по средством сети Интернет (по защищенной сети). Его можно распечатать, но печать УЦ там не будет ибо нет УЦ, как лицензированной организации - есть просто администратор.

>Vipnet Вам, видимо, передали не просто так
Купили мы его вообще сами по себе, т.е. заключали договор и т.д.

Т.е. я могу конечно заполнить информацию на факт покупки Vipnet, но в случае проверки (что, кстати не исключено) может возникнуть вопрос, мол если Vipnet у вас (нас) числиться и установлен, как СКЗИ, а не просто МЭ, то значит д/б сертификаты, оформленные должным образом, а их нет.

Вот я и думаю, м/б раз все это на полулегальном уровне то Vipnet вообще не учитывать как СКЗИ, соответственно не заносить в Журнал и т.д.

Сертификаты ФСТЭК и ФСБ можно прямо с сайта производителя распечатать, заверяет пусть Контора, в VPNсети которой вы работаете http://www.infotecs.ru/products/cert/
Вы купили лицензию на ПО (бухгалтерская задача), а как криптосредство оно Конторы - обновления, ключи и сертификаты контролируют они. Без актуальных DST файлов Конторы ПО перестанет быть средством криптографической защиты, регистрировать в журналах должны тоже они, .
Покажете приказ о назначении вашего ответственного и, для надежности, заверенную выписку журнала Конторы с его росписью, их инструкцию (с росписями ответственного и начальника), в которую включены нужные выписки из НМД ФСБ. Во исполнение этой инструкции должен быть организован доступ к ПЭВМ с ВипНет, в помещение с ним и пр.
Контора, как владелец защищенной сети (и скорее всего лицензиат ФСБ), обязана все это разработать и вести учеты (Инфотекс тоже ведет учет VipNet сетей по "администраторам"), вы только пользователь.

Т.е. резюмируя можно сказать.
Т.к. администратором защищенной сети является другое ЮЛ, то данное ПО, как криптосредство находится не в зоне ответственности нашей организации.
Соответственно никаких записей в журналах и где бы-то ни было делать не нужно.
Единственное, что было бы неплохо - это получить документ, подтверждающий, что администратором сети является вышестоящая Контора?

Документом таким является обычно договор на предоставление услуг VIPNet, в которой должно быть прописано кто за что отвечает. В вашем случае, в соответствии с п.4 152 "розовой инструкцией ФАПСИ" необходимо назначить админа безопасности по предприятию, который будет получать dst-файлы пользователей и выдавать их под роспись в книге лицевых счетов.
Надеюсь мое подрезюмирование будет полезно)