Инспектор ФСБ пришёл с плановой проверкой. Задал сотруднику простой вопрос: «Вы проходили инструктаж перед тем, как начали работать с КриптоПро?» Сотрудник пожал плечами — он получил токен от системного администратора и начал работать. Никакого журнала нет, никакой подписи нет. В акте проверки — предписание об устранении нарушений п. 29–30 Приказа ФАПСИ №152. Срок — 30 дней. Это не редкость: отсутствие документального подтверждения инструктажа пользователей СКЗИ входит в топ-5 нарушений по итогам проверок ФСБ. В этой статье — как правильно организовать инструктаж, что включить в программу, как оформить журнал и что именно проверяет инспектор.
Зачем нужен инструктаж пользователей СКЗИ
Инструктаж пользователей СКЗИ — обязательное условие допуска к криптосредствам и неотъемлемая часть учёта СКЗИ в организации. Без него выдача СКЗИ сотруднику считается нарушением установленного порядка, даже если сотрудник технически грамотен и прекрасно умеет работать с КриптоПро или VipNet.
Нормативное основание — Приказ ФАПСИ от 13.06.2001 №152:
- Пункт 29: «Все лица, допускаемые к работе с СКЗИ, должны быть ознакомлены с настоящей Инструкцией и пройти соответствующий инструктаж по безопасности».
- Пункт 30: «Инструктаж проводится органом криптографической защиты информации (ОКЗИ) до начала работы с СКЗИ».
- Пункт 34: «Документы, подтверждающие проведение инструктажа, хранятся не менее 5 лет».
Инструктаж решает три задачи. Первая — убедиться, что сотрудник знает правила обращения с криптосредствами и ключевыми носителями. Вторая — зафиксировать этот факт документально, чтобы у организации был ответ при проверке. Третья — разграничить ответственность: сотрудник расписывается, что ознакомлен с требованиями и понимает последствия нарушений.
Связь с допуском к СКЗИ
Допуск к СКЗИ — это формально оформленное право сотрудника работать с конкретными криптосредствами. Без прохождения инструктажа допуск оформить нельзя. Цепочка выглядит так:
- Руководитель подаёт заявку в ОКЗИ на допуск сотрудника.
- ОКЗИ проводит инструктаж и фиксирует его в журнале.
- Сотрудник расписывается в журнале и в расписке об ознакомлении.
- ОКЗИ вносит сотрудника в перечень лиц, допущенных к СКЗИ.
- Только после этого СКЗИ выдаётся под роспись в журнале поэкземплярного учёта.
Нарушение этой последовательности — предписание. Нет подписи в журнале инструктажей — нет законного основания для выдачи СКЗИ.
Кто проводит инструктаж по СКЗИ
Инструктаж по работе с СКЗИ проводит ОКЗИ — орган криптографической защиты информации. Это структурное подразделение или отдельный сотрудник, созданный (назначенный) приказом руководителя организации для организации работы с СКЗИ.
Как создать ОКЗИ
ОКЗИ создаётся приказом руководителя. Приказ должен содержать:
- Наименование органа (ОКЗИ или «лицо, ответственное за эксплуатацию СКЗИ»).
- ФИО и должность руководителя ОКЗИ.
- Перечень основных функций (учёт, хранение, выдача, инструктаж, контроль).
- Ссылку на Приказ ФАПСИ №152 как нормативное основание.
В небольших организациях (до 20–30 пользователей СКЗИ) функции ОКЗИ часто выполняет один сотрудник — специалист ИБ или системный администратор с соответствующей квалификацией.
Требования к квалификации
Сотрудник ОКЗИ, проводящий инструктаж, должен:
- Знать Приказ ФАПСИ №152 и применимые приказы ФСБ.
- Иметь подготовку по вопросам криптографической защиты информации (курс по программе ФСБ или лицензированного учебного центра).
- Знать технические характеристики и правила эксплуатации СКЗИ, используемых в организации.
Строгого требования о наличии профессионального сертификата для проведения инструктажа Приказ ФАПСИ №152 не устанавливает — в отличие от, например, аттестации объектов КИИ. Но при проверке инспектор может задать вопросы о квалификации проводящего.
Можно ли нанять внешнего специалиста
Да. Организация может привлечь внешнего специалиста (лицензиата ФСБ) для проведения инструктажей. Это распространено в небольших компаниях, где нет штатного специалиста нужной квалификации. Важно: договор с внешней организацией должен явно включать проведение инструктажей, а документальное оформление (журнал, подписи) — вестись в стандартном порядке. Ответственность за организацию инструктажей остаётся на самой организации.
Виды инструктажа и периодичность
Приказ ФАПСИ №152 не вводит строгую классификацию видов инструктажа, но практика и методические рекомендации ФСБ выделяют три вида.
| Вид | Когда проводится | Основание | Кто проводит |
|---|---|---|---|
| Первичный | До начала работы с СКЗИ — перед первой выдачей | П. 29–30 Приказа ФАПСИ №152 | ОКЗИ |
| Повторный | Периодически, рекомендуется ежегодно | Методические рекомендации ФСБ, лучшая практика | ОКЗИ |
| Внеплановый | При изменении нормативки, инциденте, смене должности, изменении состава СКЗИ | П. 29 Приказа ФАПСИ №152 (изменение условий работы) | ОКЗИ |
Первичный инструктаж — ключевой. Проводится перед любой выдачей СКЗИ сотруднику, который ранее не работал с этими или аналогичными криптосредствами. Даже если сотрудник пришёл из другой организации и имеет опыт — он обязан пройти первичный инструктаж в вашей организации, поскольку в каждой организации свои регламенты и особенности конфигурации СКЗИ.
Повторный инструктаж освежает знания и фиксирует актуальность допуска. Частота — не реже одного раза в год. Некоторые организации проводят повторные инструктажи раз в полгода, особенно если используются СКЗИ класса КВ и выше.
Внеплановый инструктаж проводится без ожидания следующего планового цикла. Обязательные поводы: инцидент безопасности (компрометация ключей, несанкционированный доступ к носителям), выход нового нормативного документа, меняющего требования, существенное изменение состава используемых СКЗИ, перевод сотрудника на должность с другим набором СКЗИ.
Программа инструктажа СКЗИ: что должна включать
Структура программы инструктажа по СКЗИ
Программа инструктажа — официальный документ, утверждённый руководителем ОКЗИ. Он определяет темы, порядок изложения и ожидаемые результаты инструктажа. Без утверждённой программы инструктаж считается проведённым формально.
Стандартная программа инструктажа по СКЗИ включает 8 тем:
1. Нормативная база. Приказ ФАПСИ №152, ФЗ-149 «Об информации», применимые приказы ФСБ (№66, №378 для операторов ПДн). Цель — сотрудник понимает, что работа с СКЗИ регулируется законодательно, а не является внутренним регламентом.
2. Назначение и класс СКЗИ. Конкретные криптосредства, используемые в организации: КриптоПро CSP, VipNet Client, аппаратные токены. Класс СКЗИ (КС1, КС2, КС3, КВ, КА) и ограничения по применению. Цель — сотрудник знает, что именно он использует и для чего.
3. Порядок получения и сдачи СКЗИ. Как подать заявку, как происходит выдача под роспись, как оформляется возврат или сдача при увольнении. Цель — исключить самовольную передачу СКЗИ третьим лицам.
4. Правила работы с ключевыми носителями. Хранение токена (в сейфе или запирающемся ящике, не на рабочем столе), запрет на копирование ключевых контейнеров, правила PIN-кода (не записывать на бумаге рядом с токеном). Цель — предотвратить компрометацию ключей.
5. Запреты при работе с СКЗИ. Список конкретных запрещённых действий: несанкционированная установка СКЗИ, передача третьим лицам, работа на несертифицированном оборудовании, использование в личных целях. Цель — сотрудник знает, что именно нельзя делать.
6. Порядок действий при инцидентах. Что делать при утере токена, подозрении на компрометацию ключей, несанкционированном доступе к СКЗИ. Конкретные контакты ОКЗИ. Цель — инцидент не замалчивается и обрабатывается по установленной процедуре.
7. Правила хранения и уничтожения. Где хранить СКЗИ и документацию, как правильно уничтожить ключевые носители (физическое уничтожение), что делать при выводе СКЗИ из эксплуатации. Цель — жизненный цикл СКЗИ завершается корректно.
8. Ответственность за нарушения. Конкретные санкции: административная ответственность по ст. 13.12 КоАП РФ, дисциплинарная ответственность по ТК РФ, уголовная ответственность при умышленных нарушениях. Цель — сотрудник понимает реальные последствия, а не воспринимает инструктаж как формальность.
Пошаговый порядок допуска пользователя к СКЗИ
-
Заявка от руководителя подразделения. Непосредственный руководитель подаёт заявку в ОКЗИ: ФИО сотрудника, должность, перечень СКЗИ, к которым требуется допуск, обоснование (например, «работа в ГИС Учёт, требуется КриптоПро CSP»).
-
Проверка оснований. ОКЗИ проверяет: есть ли у сотрудника действующий трудовой договор, соответствует ли должность перечню лиц, которым разрешён доступ к данным СКЗИ, нет ли ограничений по допуску.
-
Проведение инструктажа. Сотрудник ОКЗИ проводит инструктаж по утверждённой программе. Форма — очная, индивидуальная или в малой группе (не более 5–7 человек для обеспечения усвоения). Дистанционный инструктаж допустим, но требует отдельного подтверждения прохождения.
-
Запись в журнале инструктажей. Вносится запись: дата, ФИО инструктируемого, должность, вид инструктажа, перечень рассмотренных СКЗИ, ФИО проводившего.
-
Подпись инструктируемого. Сотрудник расписывается в журнале инструктажей. Без этой подписи инструктаж не считается завершённым.
-
Оформление расписки. При первичном инструктаже оформляется расписка об ознакомлении с правилами работы с СКЗИ и ответственностью за нарушения. Расписка подшивается к личному делу сотрудника или хранится в деле ОКЗИ.
-
Внесение в перечень допущенных лиц. ОКЗИ вносит сотрудника в актуальный перечень лиц, допущенных к работе с СКЗИ. Перечень утверждается или обновляется руководителем организации.
-
Выдача СКЗИ под роспись. Только теперь СКЗИ выдаётся сотруднику под роспись в журнале поэкземплярного учёта СКЗИ. Дата выдачи не может быть раньше даты инструктажа.
Как документировать инструктаж: журнал и расписки
Журнал инструктажей по СКЗИ
Журнал инструктажей — основной документ, подтверждающий проведение инструктажей. Унифицированная форма Приказом ФАПСИ №152 не установлена, но сложившаяся практика определяет обязательные реквизиты:
| Реквизит | Назначение |
|---|---|
| Порядковый номер | Сквозная нумерация без пропусков |
| Дата проведения | Фактическая дата, не задним числом |
| ФИО инструктируемого | Полностью, без сокращений |
| Должность | По штатному расписанию |
| Вид инструктажа | Первичный / Повторный / Внеплановый |
| Перечень СКЗИ | Конкретные наименования (КриптоПро CSP 5.0 R3, Рутокен ЭЦП 3.0 и т.д.) |
| ФИО проводившего инструктаж | Сотрудник ОКЗИ |
| Подпись инструктируемого | Собственноручная |
| Подпись проводившего | Собственноручная |
Расписка об ознакомлении
При первичном инструктаже оформляется отдельная расписка. Её текст содержит:
- Ссылку на нормативные документы, с которыми ознакомлен сотрудник (Приказ ФАПСИ №152, внутренняя инструкция по работе с СКЗИ).
- Перечень конкретных СКЗИ, к работе с которыми сотрудник получает допуск.
- Подтверждение, что сотрудник предупреждён об ответственности за нарушения.
- Дату, ФИО, подпись сотрудника.
Расписка хранится отдельно от журнала — в личном деле сотрудника или в папке ОКЗИ. При увольнении сотрудника расписка не уничтожается: она остаётся в архиве как подтверждение выполнения требований при допуске.
Связь с журналом учёта СКЗИ
Дата в журнале учёта СКЗИ (выдача конкретного экземпляра сотруднику) не может быть раньше даты инструктажа в журнале инструктажей. Инспектор ФСБ сверяет эти даты — расхождение означает, что СКЗИ было выдано до инструктажа, то есть порядок допуска нарушен.
При автоматизированном учёте эту логику можно зашить в систему: Модуль учёта СКЗИ платформы КиберОснова не позволяет оформить выдачу СКЗИ сотруднику, если для него не зафиксирован инструктаж.
Сроки хранения
Согласно п. 34 Приказа ФАПСИ №152, журналы и документация по учёту СКЗИ хранятся не менее 5 лет после последней записи. Это означает: закрыли журнал инструктажей — он лежит в архиве ещё 5 лет. Уничтожать раньше нельзя.
Журнал прошивается, нумеруется и скрепляется печатью организации — по тем же правилам, что и журнал поэкземплярного учёта СКЗИ. Подробнее о прошивке — в статье «Журнал учёта СКЗИ: образец».
Типичные нарушения при проверке ФСБ
При проверках учёта СКЗИ инспектор ФСБ обязательно запрашивает журнал инструктажей и проверяет его по нескольким параметрам. Вот что чаще всего приводит к предписаниям:
| Нарушение | Как выявляется при проверке | Последствие |
|---|---|---|
| Нет журнала инструктажей вообще | Запрос документов — журнал не предъявлен | Предписание, штраф по ст. 13.12 КоАП РФ |
| Журнал есть, но нет подписей инструктируемых | Визуальный осмотр журнала | Предписание об устранении |
| Даты в журнале учёта СКЗИ раньше дат инструктажа | Сверка дат между журналами | Нарушение порядка допуска, предписание |
| Инструктаж оформлен задним числом | Бросающаяся в глаза одна дата для 20 записей | Предписание, риск административного дела |
| Устаревшая программа инструктажа | Запрос программы — нет ссылок на актуальные НД | Замечание, требование актуализировать |
| Групповой инструктаж без персональных подписей | Одна дата, одна подпись «за группу» | Предписание: инструктаж не считается проведённым |
| Инструктируемый — сотрудник ОКЗИ сам себе | Совпадение ФИО в обеих колонках | Замечание: нарушение принципа независимости проверки |
Особое внимание инспектор обращает на сотрудников, которые уже не работают в организации. Если в журнале учёта СКЗИ числится выдача токена Ивану Петрову, а Иван Петров уволился полгода назад, инспектор проверит: есть ли запись об изъятии СКЗИ и есть ли запись о проведении инструктажа при допуске. Если журнал инструктажей не сохранился — доказать соблюдение требований невозможно.
Чек-лист самопроверки по инструктажам перед проверкой ФСБ
Используйте этот список до визита инспектора — лучше выявить расхождения самостоятельно:
- Журнал инструктажей существует и прошит, пронумерован, скреплён печатью.
- Для каждого действующего пользователя СКЗИ есть запись о первичном инструктаже.
- Дата инструктажа во всех случаях предшествует дате выдачи СКЗИ в журнале учёта.
- Все записи содержат подпись инструктируемого — без пустых строк в этой графе.
- Повторные инструктажи проводились не позднее чем через год после предыдущего.
- Для уволенных сотрудников есть записи об изъятии СКЗИ — без «висящих» выдач без возврата.
- Программа инструктажа утверждена и ссылается на актуальную редакцию нормативных документов.
- При изменении состава СКЗИ или инцидентах проводились внеплановые инструктажи с записью в журнале.
- Журнал хранится в защищённом месте (сейф или запирающийся шкаф в помещении ОКЗИ).
Этот чек-лист не заменяет полный внутренний аудит, но позволяет за 15 минут выявить критичные пробелы, которые гарантированно превращаются в предписания.
Шаблон программы инструктажа СКЗИ
Ниже — готовый шаблон программы первичного инструктажа пользователей СКЗИ. Адаптируйте под конкретные СКЗИ вашей организации и утвердите у руководителя ОКЗИ.
УТВЕРЖДАЮ Руководитель ОКЗИ _____________ / _____________ «» __________ 20
ПРОГРАММА первичного инструктажа пользователей СКЗИ
Тема 1. Нормативная база организации работы с СКЗИ (15 мин.)
Краткий обзор Приказа ФАПСИ №152 и его значение. Перечень применимых нормативных документов (ФЗ-149, Приказы ФСБ №66 и №378 для операторов ПДн). Внутренняя инструкция по работе с СКЗИ в организации. Ответственность за нарушение требований.
Тема 2. Используемые СКЗИ: назначение и класс (15 мин.)
Перечень СКЗИ, разрешённых к использованию в организации. Класс каждого СКЗИ (КС1/КС2/КС3) и связанные ограничения. Номера сертификатов ФСБ, сроки действия. Запрет на использование несертифицированных аналогов.
Тема 3. Получение и сдача СКЗИ. Допуск (10 мин.)
Порядок подачи заявки на получение СКЗИ. Правила выдачи под роспись в журнале учёта. Порядок возврата СКЗИ при смене должности, командировке или увольнении. Запрет на передачу СКЗИ другим лицам без оформления через ОКЗИ.
Тема 4. Работа с ключевыми носителями (20 мин.)
Правила хранения ключевого носителя (сейф или запирающийся ящик, только у владельца). Требования к PIN-коду: длина, уникальность, запрет записывать рядом с носителем. Запрет на копирование ключевых контейнеров. Действия при необходимости резервного копирования (только через ОКЗИ). Срок действия ключей и порядок плановой замены.
Тема 5. Запрещённые действия (10 мин.)
Список запретов с конкретными формулировками: несанкционированная установка СКЗИ на новые ПЭВМ, передача ключевых носителей третьим лицам, использование в личных целях, работа на несертифицированном или заражённом оборудовании, обсуждение ключевых данных по незащищённым каналам.
Тема 6. Действия при инцидентах (10 мин.)
Признаки компрометации ключей. Действия при утере или хищении ключевого носителя (немедленно сообщить в ОКЗИ, контакты). Порядок блокировки СКЗИ при подозрении на несанкционированный доступ. Запрет на самостоятельное восстановление без уведомления ОКЗИ.
Тема 7. Хранение и уничтожение СКЗИ (10 мин.)
Где хранятся СКЗИ и документация (помещение ОКЗИ, сейф). Порядок вывода из эксплуатации: изъятие, составление акта уничтожения, физическое уничтожение ключевых носителей. Запрет на выброс носителей без уничтожения.
Тема 8. Ответственность (5 мин.)
Конкретные санкции: дисциплинарная ответственность (замечание, выговор, увольнение). Административная ответственность по ст. 13.12 КоАП РФ: штраф для должностных лиц 30 000–50 000 ₽. Уголовная ответственность при умышленных нарушениях, связанных с государственной тайной.
Итого: 95 минут. По окончании — проверка усвоения (устный опрос по темам 4–6), запись в журнале инструктажей, подпись инструктируемого.
Автоматизация учёта инструктажей и допуска
Ручное ведение журнала инструктажей в бумажном виде работает при небольшом числе пользователей СКЗИ. При парке от 50–100 пользователей начинаются системные проблемы: записи задерживаются, журнал теряют, даты не сверяют с журналом учёта.
Модуль учёта СКЗИ платформы КиберОснова решает эту задачу комплексно:
- Связанные записи: система не позволяет оформить выдачу СКЗИ сотруднику без зафиксированного инструктажа. Хронология соблюдается автоматически.
- Автонапоминания: за 30 и 7 дней до истечения годового срока с последнего инструктажа ответственный получает уведомление о необходимости провести повторный инструктаж.
- Журнал в электронном виде: каждая запись защищена аудит-трейлом — изменить или удалить её задним числом невозможно без следа в логах.
- Перечень допущенных: автоматически обновляется при добавлении записи об инструктаже и при изъятии СКЗИ у сотрудника.
- Подготовка к проверке: выгрузка журнала инструктажей в форме, готовой к предъявлению инспектору, занимает несколько секунд.
Если хотите посмотреть, как это работает на практике, — запросите демо платформы КиберОснова. Покажем модуль учёта СКЗИ на реальных данных.
Для углублённого изучения нормативной базы — статья «Правила работы с СКЗИ по ФАПСИ №152» охватывает все требования Инструкции, включая организацию хранения и порядок уничтожения. Образец журнала поэкземплярного учёта с построчным примером заполнения — в статье «Журнал учёта СКЗИ». Требования к поэкземплярному учёту СКЗИ — в отдельном материале.
