Журнал поэкемплярного учета - Форум по вопросам информационной безопасности

Андрей, человека, "который будет получать dst-файлы пользователей и выдавать их под роспись в книге лицевых счетов." в VipNet не будет - в действующей сети вся работа ведется администратором сети удаленно. Местный ответственный криптографией только пользуется (с аутентификацией в сети по паролю или ЭП). Поэтому для банк-клиент (которое строится так же) есть только 1 ответственный - за АС с установленным средством. И это часто не компьютерщик.

Практик, пусть будет по вашему. Я привел пример, как это организовано у меня, поэтому и привел такой пример. По договору с ЮР-лицом у нас описана такая практика. Не отрицаю, что в других организациях есть свои тонкости в управлении защищенной сетью.

Ребят, спасибо. за комментарии - на время оставил этот вопрос.
В итоге написал датой приемки - из документов, а дату получения - дату трудоустройства.

Но заполняя далее наткнулся еще на одну проблему.
Крипто-Про

Неограниченная лицензия на 1 РМ была приобретена в одно время. А дистрибутив приобретен не был. Тупо тот кто этим занимался установил программу. скаченную с сайта.
Ключевые документы опять же готовили.

А "коробка" (с формуляром и т.д.) были куплены спустя аж 1,5 года после приобретения лицензии.

В общем у меня есть два варианта:
1) Вношу все как оно реально было (лицензия - > криптоключи --> коробка). Но тогда получается, что пользовались левым дистрибутивом в нарушение, зато все даты как есть.

2) Делаю вид, что потенциальные проверяющие - дураки. Лицензия --> коробка (установка) -->криптоключи. Но тогда получается, что типа купили лицензию и 1,5 года не пользовались программой. Ога.

Буду благодарен за профессиональные мнения.

"Ключевые документы опять же готовили." - если они регистрировались, то для варианта №2 нужно журналы за 1.5 года ликвидировать, а также следы выдачи и пользования у юзеров
Если на момент проверки нарушение устранено (тем более виновный уволен), то наказывать не за что, максимум отметят в акте. А вот если поймают на фальсификации, вполне могут и административку,притянуть и лишение лицензии, зависит от желания проверяющих.

>поймают на фальсификации
Фальсификация или нет, но выбор фактически стоит между тем:

А)
1) Лицензия
2) криптоключи (которые заканчиваются в марте)
3) дистрибутив
4) криптоключи, которые придут на замену

либо:
Б)
1) Лицензия
2) дистрибутив
3) криптоключи, которые придут на замену

Т.е. в варианте "Б" я просто умолчу о пока еще действующих криптоключах, а они в свою очередь будут удалены со всех носителей (т.е. с ПК и флешки).

Единственное, что меня смущает - это то, что между этапом Лицензия и дистрибутив - 1,5 года, а между Лицензия и криптоключи, которые придут на замену - все 2.

Проверяющие ведь не дураки.

И вот если им упорно говорить, что сначала купили лицензию потом 1,5 года она не использовалась, потом купили дистрибутив и пол года не устанавливали, а потом вдруг все началось.

Вот я и хочу узнать мнения стоит ли так делать или просто чистосердечно признаться, что для установки СКЗИ использовали левый дистрибутив? А в модели угроз-то угрозы недокументированных возможностей ПО - неактуальны и по 1119 тоже класс определялся исходя из этих данных.

Мучительно и долго я заполняю каждую строчку этого документа.
Такой еще вопрос:

Нужно ли в журнале делать отметку о том, что произошла переустановка криптосредств на другую машину (в связи с заменой оборудования)?

Если нужно, то в каком поле?

Просто ставиться тот же дистрибутив и та же лицензия. Не могу же я вписать их в графу дата изъятия (уничтожения) или могу?

И еще вдогонку вопрос:

Если я меняю оборудование, то, наверное нужно будет оформлять акт ввода в эксплуатацию ИС

Устанавливаю криптосредства и ключи на ПК, то, вероятно нужно будет оформлять акт ввода в эксплуатацию криптосредств?
В журнале ставить дату ввода в эксплуатацию или дату реальной установки криптосредства?

Ребят, подскажите, пожалуйста, а как быть с дистрибутивами криптосредств (конкретно - КриптоПро). Есть диск со всеми документами и метками, но он один, а пользователя два и две лицензии, а вот диск один.
Я же могу обоим этим пользователям устанавливать ПО с этого диска?
Но тогда в Журнале ого определять пользователем?

Предлагаю автору определиться:

1. Является ли вышестоящее ЮЛ органом криптозащиты и соответственно имеет-ли лицензии ФСБ на работу с СКЗИ.
2. Из ваших слов - вы являетесь обладателем конфиденциальной информации (ОКИ), учет СКЗИ нужно вести в журнале поэкземплярного учета (для ОКИ), пример которого приведен в Инструкции № 152 ФАПСИ. Учитывайте диск (дистрибутив) в этом журнале используя его уникальный номер. Там же (в этом журнале) учитываете факт установки экземпляра СКЗИ на СВТ пользователя.
Некоторые заводят отдельный журнал учета дистрибутивов СКЗИ, для порядку (я советую) - т.о. в отдельном Журнале учета дистрибутива можно будет и далее вести грамотный учет КриптоПро новых версий и иных СКЗИ (форму этого журнала берите из типовой, переделав название). А уже в Журнале поэкземплярного - учет установки экземпляра дистрибутива и лицензии на конкретное СВТ под роспись пользователя.

3. "акт ввода в эксплуатацию ИС" - если у Вас объект информатизации и речь идет об ОТСС / ВТСС по СТРК-К - то нужно. Приминительно к переустановке экземпляра дистрибутива СКЗИ на другой СВТ - составляете АКТ в свободной форме (когда, где, кто, в связи с чем, уч. номер дистрибутива СКЗИ, и т.д.; так же необходимо внести запись в Формуляр СКЗИ (раздел 11 для КриптоПро)) и делается запись о выводе из эксплуатации и повторной установке.

Надеюсь хоть чем-то помог.
СУВ.

Сталкивался
Написали все подробно - спасибо большое, но все таки на счет дистрибутива СКЗИ (КриптоПро) не совсем понятно.

Есть лицензии на РМ каждого пользователя, а вот дистрибутив с формуляром и т.д. - один.

Как возможно с него устанавливать программу на несколько РМ пользователей (с разными лицензиями)?

Как тогда это отразить в Журнале.

Вот.