У меня аналогичная ситуация.
Все пустые смарт-карты помещаются в пакет с контролем вскрытия. Туда же кладётся акт приёма-передачи смарт-карты. Далее этот пакет передаётся клиенту через доп. офис, в котором он заключал соглашение на ДБО. Клиент вскрывает пакет в присутствии работника доп. офиса, расписывается в акте, работник доп. офиса проверяет подпись клиента и визирует акт (что подпись сверена), акт возвращается в головной офис и хранится в службе ИБ.
Как таковую, работники доп. офиса выдачу не осуществеляют, выступая лишь курьерами.

Уже предлагал им такой вариант - отказали. Говорят выдача хоть и опечатанных СКЗИ производится операционистом.
Еще есть некоторые лирические размышления: те же КриптоПро, например, выдают СКЗИ в виде дистрибутива на сайте и лицензий в филиале. Суть та же, но нет же у них в каждом филиале обученных по ИБ бухгалтеров.

А если по почте отправите или спецсвязью, то кто тогда считается выдающим?
Даже 152-я инструкция это доспускает.

Еще одна из претензий - журнал учета передачи не по форме. Коллеги, выручите, пожалуйста, шаблоном, если не очень сложно.

152 инструкция в помощь.

Передача дистрибутивов СКЗИ клиентам на местах - больная тема. В запечатанных конвертах тоже вариант, но тут возникает вопрос, а как обеспечивается опереативность доставки для клиента в удаленный филиал? В филиале поддерживается "запас" обезличенных конвертов с дистрибутивами СКЗИ для их оперативной выдачи клиентам?
А почему нельзя чтобы клиент скачивал дистрибутив СКЗИ с сайта банка (WEB, FTP), например закрытого раздела, доступ к которому будет иметь клиент по паролю? Аутентификация сайта банка - по SSL сертификату, аутентификация клиента - по паролю, чем не доверенный канал передачи? Там же банк размещает хэши для проверки целостности. Клиент скачивает дистрибутив, проверяет целостность и использует по назначению. Почему так нельзя, зачем эта проблема с пересылкой дистрибутивов/конвертов через всю страну (а иногда и за ее пределы) и держанием в каждом филиале человека со спец.образованием?

P.S. КриптоПро так дистрибутивы своих СКЗИ не раздает, пишет, что скачать можно только для ознакомления, а типа для работы нужно получить на диске. А вот VipNet спокойно раздает дистрибутивы своего СКЗИ для легального использования с сайта. Можно скачать, проверить целостность и законно использовать. Средства у них тоже сертифицированы ФСБ, значит допускается так СКЗИ распространять?

У меня этот мегажурнал разбит на 3 взаимосвязанных. Что, куда и откуда просматривается весьма прозрачно. Когда я это показал, то вопросов не возникло.

152 приказ фаспи, увы, никто не отменял. Ст. 25 "....... Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами." - т.е. если вы передаете клиентам транспортные ключи - до свидания!

Ст. 32 "СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями. " - т.е. нет упоминания о "скачивании" - понятно, что документ сильно устарел, но он действует и, формально, как лицензиат вы его нарушаете.

Думаю, что если порыть ПКЗ, там тоже что-нибудь про это есть.

А VipNet, наверное, так распространяет, потому что в судебной практике нет прецедентов, чтобы именно за такое распространение кого-то наказали (либо моп про это не знает )). Другими, словами, если будет такой прецедент - эксперт с большой вероятностью воспользуется этим косяком, но так как таких случаев не известно, то и йюх с ним.

Да, это так. 152 приказ давно устарел.

устарел, но не перестал быть "инструкцией" по проверке для ЦЛСЗ.