Организации-лицензиаты ФСБ России по криптографии, а также "Госики" должны, как минимум, соответствовать следующим документам:Не совсем с вами согласен, журнал учета ОКИ должен служить именно для учета ключевых документов. ( в столбце №2 так и написано, наименование СКЗИ, ключевых документов, "а не ключевой информации"). Да и журнал называется "Типовая форма
журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации). Именно ключевых и никак иначе.
Если организация имеет одну УКЭП на трех носителях ( т.е по сути три ключевых документа). То все эти три ключевых документа(КН + КИ) и должны регистрироваться в журнале ОКИ и каждый под своим номером, а в столбце №4 на против каждого ключевого документа указывается номер экземпляра(1 экз., 2 экз., 3 экз). Должен вестись учет именно КД, а единицей учета должен выступать ключевой носитель, так написано 152 ФАПСИ.
Ввод в эксплуатация для ключевых документов в журнале ОКИ не указывается вовсе, ввод в эксплуатацию указывается только для СКЗИ(столбцы 9, 10, 11 относятся только к СКЗИ, а к ключевым документам не относятся. Они объединены и в шапке написано Отметка о подключении (установке) СКЗИ). А вот столбцы 7,8 заполняются где указывается информация о Пользователе СКЗИ, у которого сейчас КД.
1. Приказ ФАПСИ 152
2. ПКЗ 2005
3. (Только лицензиаты) ПП 313.
В этих документах указаны различные определения СКЗИ. В частности по ФАПСИ 152 КД не относится к СКЗИ, а в ПП 313 и ПКЗ-2005 относятся.
Тут возникает вопрос какими определениями пользоваться?
При разработке данной системы был выбран типовой подход, рекомендуемый регуляторами - если к одному и тому же объекту выдвигаются различные требования, то результирующие требования должны удовлетворять всем ранее предъявляемым. Таким образом КД были отнесены к СКЗИ. Отсюда и учет эксплуатации КД.
Журналы ФАПСИ 152 описывает слишком примитивный жизненный цикл ключевой информации / ключевых документов.
Так Журнал учета КД для ОКЗ описывает ситуацию, когда КД сначала формируется (столбцы 5,6), затем КД передается (столбцы 5-9), затем он возвращается (10,11) и уничтожается (столбцы 14, 15). Все вроде бы здорово, но как быть если один и тоже ключевой документ эксплуатируется несколькими лицами по очереди? Например, КЭП сформирован на токене с неизвлекаемым ключом, этим токеном пользуется сначала один работник, потом он увольняется и им пользуется другой работник? Перегенерация в данном случае не требуется, поскольку лицо эксплуатирующее ключевую информацию не может ее скомпрометировать.
Журнал учета КД для ОКИ описывает жизненный цикл, при котором ключи сначала получаются (столбцы 5, 6), от ОКЗ, затем выдаются ответственному лицу (столбцы 7,8), затем устанавливаются / вводятся в эксплуатацию (стоблцы 9-11), и выводятся из эксплуатации (столбцы 12-14). Опять таки это слишком примитивный жизненный цикл, который не может описать все современные варианты использования СКЗИ. Например, когда одна и таже ключевая информация используется для различных информационных систем. Пример, КД, содержащий КЭП директора используется для сдачи отчетности в налоговую, затем в для участия в электронных торгах, а затем в электронном документообороте с контрагентами.
Изначально система разрабатывалась для автоматизации работы отдела ИБ банка и все делалось в строжайшем соответствии ФАПСИ 152, но затем стали появляться случаи, при которых данный документ не работал (см. выше), и при этом данные случаи происходили с сертифицированными СКЗИ, которые эксплуатировались правильно (в соответствии с документацией). Кроме того, журнальную систему учета, при которой в каждой строчке должна стоять живая подпись нереально вести в компаниях с развитой филиальной сетью (тот же банк например).
После это возник выбор либо вести имитацию учета в строгом соответствии с ФАПСИ 152, либо минимальным образом адаптировать методику, но вести честный учет.
Был выбран второй путь.
Поскольку методик ведения журнала в ФАПСИ 152 не прописано. Было принято решение, что учет движения КД будет вестись в журнале ОКЗ, а учет эксплуатации КИ будет вестись в журнале учета ОКИ.