Что значит поэкземплярный учёт СКЗИ?

Поэкземплярный учёт — это обязательная процедура фиксации жизненного цикла каждого экземпляра средства криптографической защиты информации: от получения дистрибутива или токена до уничтожения. Учёт ведётся по серийным номерам лицензий и физическим идентификаторам носителей. Регламентируется Приказом ФАПСИ №152 от 13.06.2001 и инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ.

Какие СКЗИ подлежат поэкземплярному учёту?

Поэкземплярному учёту подлежат все сертифицированные ФСБ криптосредства: программные СКЗИ (КриптоПро CSP, VipNet Client, Signal-COM CSP), аппаратные носители ключевой информации (Рутокен ЭЦП, JaCarta ГОСТ, eToken ГОСТ), программно-аппаратные комплексы шифрования (VipNet Coordinator, Континент), а также ключевые документы — как на физических носителях, так и в виде файлов.

Как часто нужно обновлять журнал поэкземплярного учёта СКЗИ?

Журнал обновляется при каждом событии жизненного цикла экземпляра: получение, выдача пользователю, установка, возврат, передача между ответственными, обновление версии, вывод из эксплуатации, уничтожение. Запись должна вноситься не позднее следующего рабочего дня после события. Кроме того, рекомендуется проводить полную сверку журнала с фактическим наличием СКЗИ не реже одного раза в квартал.

Кто проверяет ведение поэкземплярного учёта СКЗИ?

Контроль за ведением учёта осуществляют: ФСБ России — в рамках плановых и внеплановых проверок лицензиатов и операторов ПДн; лицензирующие органы — при проверке соблюдения лицензионных требований; внутренний аудит — при ежегодной инвентаризации СКЗИ; регуляторы отрасли (ЦБ РФ, ФСТЭК) — в рамках проверок соответствия отраслевым стандартам. За отсутствие или некорректное ведение журнала предусмотрены штрафы по ст. 13.12 КоАП РФ.

Что делать при утрате экземпляра СКЗИ?

При утрате экземпляра СКЗИ необходимо: немедленно уведомить ответственного за криптозащиту и руководителя организации; зафиксировать факт утраты в журнале поэкземплярного учёта с указанием даты обнаружения и обстоятельств; провести служебное расследование и составить акт; при компрометации ключей — немедленно отозвать сертификаты и перевыпустить ключевые документы; уведомить ФСБ, если утрачен носитель ключевой информации. Сроки уведомления — не позднее следующего рабочего дня.

Как учитывать аппаратные токены (Рутокен, eToken, JaCarta) в журнале поэкземплярного учёта?

Поэкземплярному учёту как СКЗИ подлежат только токены со встроенным сертифицированным ФСБ криптомодулем: Рутокен ЭЦП 2.0/3.0, JaCarta-2 ГОСТ, eToken ГОСТ. Каждый экземпляр регистрируется по заводскому серийному номеру с указанием номера сертификата ФСБ, даты получения и ФИО ответственного. Токены без криптомодуля (Рутокен Lite, JaCarta LT) учитываются только в журнале ключевых документов. Резервные токены в сейфе также обязаны быть зарегистрированы с момента поступления.

Можно ли автоматизировать поэкземплярный учёт СКЗИ?

Да. Автоматизация учёта допускается при соблюдении требований к электронным системам: аутентификация пользователей, журналирование всех изменений (аудит-трейл), защита от подмены записей и возможность формирования печатных форм. SGRC-платформы, такие как КиберОснова, автоматизируют полный жизненный цикл: от регистрации экземпляра до формирования актов уничтожения, включая уведомления об истечении лицензий и плановых проверках.

Поэкземплярный учёт СКЗИ: форма журнала и пример

Поэкземплярный учёт СКЗИ — одна из ключевых обязанностей любой организации, эксплуатирующей сертифицированные средства криптографической защиты, и важнейшая часть общего порядка учёта СКЗИ по Приказу ФАПСИ №152. Несмотря на кажущуюся простоту, именно на этом участке проверяющие из ФСБ фиксируют наибольшее количество нарушений. В этой статье разберём требования регулятора, покажем типовую форму журнала, дадим построчный пример заполнения и расскажем, как автоматизировать процесс.

Что такое поэкземплярный учёт СКЗИ

Определение и цель

Поэкземплярный учёт СКЗИ — это документированная процедура отслеживания каждого экземпляра криптосредства на протяжении всего жизненного цикла: от момента получения дистрибутива или аппаратного носителя до его уничтожения. Цель — обеспечить контроль за распространением криптографических средств внутри организации и исключить неучтённые экземпляры.

Каждый экземпляр идентифицируется уникальным набором атрибутов: серийный номер лицензии (для программных СКЗИ), заводской номер устройства (для аппаратных носителей), номер сертификата соответствия ФСБ. Это позволяет однозначно соотнести конкретный экземпляр с конкретным пользователем и рабочим местом.

Какие СКЗИ подлежат учёту

Поэкземплярному учёту подлежат все сертифицированные ФСБ криптосредства, используемые в организации:

Таблица: что фиксировать при поэкземплярном учёте каждого типа СКЗИ

СКЗИ	Версия/модель (2026)	Сертификат ФСБ	Что указывать в журнале	Особенности учёта
КриптоПро CSP	5.0 R3	СФ/124-4412	Серийный номер лицензии, hostname ПЭВМ, тип лицензии (клиент/сервер)	При обновлении 4.0→5.0 — новая запись; старая — акт уничтожения
VipNet CSP	4.4	СФ/124-4065	ID абонента, hostname, серийный номер	Привязка к VipNet-сети, контроль ключевых наборов
Рутокен ЭЦП	3.0	СФ/124-4156	Заводской номер токена, контейнеры ЭП на нём	Один токен = один экземпляр, даже если несколько контейнеров
JaCarta-2 ГОСТ	2.0	СФ/114-3987	Заводской номер, PIN-конверт, привязка к УЦ	Контроль парольных конвертов как ключевых документов
Continent TLS	4.0	СФ/524-4358	Серийный номер ПАК, сетевой адрес, сертификаты TLS	Программно-аппаратный — все три журнала
КриптоАРМ ГОСТ	3.0	СФ/124-4289	Серийный номер лицензии, hostname	Учитывается отдельно от КриптоПро CSP

Важно. Учёту подлежат даже те экземпляры, которые находятся на хранении и ещё не введены в эксплуатацию. Распространённая ошибка — не учитывать резервные токены и нераспределённые лицензии. Полный порядок организации учёта СКЗИ — в руководстве для ответственного.

Жизненный цикл экземпляра

Каждый экземпляр СКЗИ проходит следующие стадии, каждая из которых фиксируется в журнале:

Получение — организация получает СКЗИ от разработчика или дистрибьютора. Фиксируются: дата, основание (договор, накладная), серийный номер.
Регистрация — экземпляр вносится в журнал поэкземплярного учёта с присвоением внутреннего учётного номера.
Выдача — передача конкретному пользователю под роспись. Указываются: ФИО, должность, дата, номер рабочего места.
Эксплуатация — использование СКЗИ. Фиксируются обновления версий, замена ключевых документов.
Возврат — пользователь сдаёт экземпляр ответственному. Причины: увольнение, перемещение, окончание проекта.
Уничтожение — физическое или программное уничтожение экземпляра с составлением акта.

Требования ФСБ к поэкземплярному учёту

Приказ ФАПСИ №152 от 13.06.2001

Основной нормативный документ, регулирующий учёт СКЗИ, — Приказ ФАПСИ №152 «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Ключевые требования Приказа:

Вести поэкземплярный учёт всех СКЗИ по серийным (заводским) номерам
Назначить ответственного за эксплуатацию СКЗИ приказом руководителя
Обеспечить хранение журналов учёта наравне с документацией, содержащей конфиденциальную информацию
Проводить периодическую проверку наличия СКЗИ и ключевых документов
Фиксировать уничтожение экземпляров актами с подписями комиссии

Инструкция и дополнительные документы

Помимо Приказа ФАПСИ №152, необходимо учитывать:

Формуляры конкретных СКЗИ — содержат требования производителя к учёту
ПКЗ-2005 — Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации
Отраслевые требования — для банков: 382-П ЦБ РФ; для операторов ПДн: 378 Приказ ФСБ; для субъектов КИИ: 239 Приказ ФСТЭК

Ответственность за нарушения

За нарушения в ведении учёта СКЗИ предусмотрены санкции:

ст. 13.12 ч.2 КоАП РФ (ред. 104-ФЗ 2025) — применение несертифицированных СЗИ: штраф от 10 000 до 50 000 руб. для должностных лиц, от 50 000 до 100 000 руб. для юридических лиц
Приостановка лицензии ФСБ — при грубых нарушениях, включая утрату неучтённых экземпляров
Отзыв аттестата — если нарушение выявлено при аттестации информационной системы

Форма журнала поэкземплярного учёта СКЗИ

Обязательные графы

Типовая форма журнала поэкземплярного учёта СКЗИ содержит следующие обязательные графы:

№ п/п	Графа	Описание	Пример
1	№ записи	Сквозная нумерация	001
2	Наименование СКЗИ	Полное наименование с версией	КриптоПро CSP 5.0 R3
3	Серийный номер	Номер лицензии или заводской номер	50500-01234-56789
4	№ сертификата ФСБ	Номер сертификата соответствия	СФ/124-4412
5	Дата получения	Дата поступления в организацию	15.01.2026
6	Откуда получено	Поставщик или подразделение	ООО «КриптоПро»
7	Кому выдано	ФИО, должность	Иванов И. И., инженер ИБ
8	Дата выдачи	Дата передачи пользователю	20.01.2026
9	Подпись получателя	Подтверждение получения	(подпись)
10	Дата возврата	Дата сдачи экземпляра	15.12.2026
11	Дата уничтожения	Дата и номер акта	20.12.2026, акт №12
12	Примечание	Дополнительная информация	Обновлён до R3

Типовая форма

Приказ ФАПСИ №152 не утверждает единую жёсткую форму журнала, однако устанавливает минимальный набор обязательных сведений. Организация вправе расширить форму дополнительными графами. На практике большинство организаций используют форму, максимально приближённую к таблице выше.

Журнал может вестись:

На бумаге — прошнурован, пронумерован, скреплён печатью
В электронном виде — при обеспечении защиты от подмены и аудита изменений
В SGRC-системе — автоматизированный учёт с формированием печатных форм

Дополнительные графы

В зависимости от специфики организации рекомендуется добавить:

Тип СКЗИ — программное / аппаратное / ключевой документ
Hostname ПЭВМ — идентификатор рабочей станции, на которой установлено СКЗИ
Номер помещения — местоположение рабочего места
Срок действия лицензии — для контроля продлений
Номер акта установки — ссылка на сопутствующий документ

Пример заполнения журнала

Ниже — пример заполнения журнала поэкземплярного учёта для типичных сценариев: установка программного СКЗИ, выдача токена, обновление, возврат и уничтожение.

№	Наименование СКЗИ	Серийный номер	Сертификат ФСБ	Получено	Откуда	Выдано	Дата выдачи	Возврат	Уничтожение	Примечание
001	КриптоПро CSP 5.0 R3	50500-01234-56789	СФ/124-4412	15.01.2026	ООО «КриптоПро»	Иванов И. И., инженер ИБ	20.01.2026	—	—	Установлен на WS-FIN-012
002	JaCarta-2 ГОСТ	JC-2G-00045678	СФ/114-3987	15.01.2026	ООО «Аладдин Р. Д.»	Петрова А. С., бухгалтер	22.01.2026	—	—	Контейнер ЭП, сертификат до 22.01.2027
003	VipNet Client 4	VN4-LIC-098765	СФ/124-4301	10.02.2026	ОАО «ИнфоТеКС»	Сидоров К. В., сисадмин	12.02.2026	—	—	Подключён к VipNet Coordinator
004	Рутокен ЭЦП 3.0	RT-ECP3-112233	СФ/124-4156	05.11.2025	ООО «Актив»	Козлова М. Н., юрист	10.11.2025	01.02.2026	—	Возврат при увольнении
005	КриптоПро CSP 5.0 R3	50500-09876-54321	СФ/124-4412	03.06.2025	ООО «КриптоПро»	Фёдоров Д. А., экономист	05.06.2025	10.01.2026	15.01.2026, акт №3	Уничтожен: деинсталляция + акт

Пояснения к примеру

Строка 001 — установка программного СКЗИ. КриптоПро CSP 5.0 R3 получен от разработчика, зарегистрирован и выдан инженеру ИБ для установки на рабочую станцию WS-FIN-012. Указан серийный номер лицензии и номер сертификата соответствия ФСБ.

Строка 002 — выдача аппаратного токена. JaCarta-2 ГОСТ выдана бухгалтеру для подписания документов электронной подписью. В примечании зафиксирован срок действия сертификата ЭП — это позволяет контролировать дату перевыпуска.

Строка 004 — возврат. Рутокен ЭЦП 3.0 возвращён при увольнении сотрудника. Дата возврата зафиксирована, токен помещён на хранение до повторной выдачи или уничтожения.

Строка 005 — уничтожение. Программное СКЗИ деинсталлировано с рабочей станции, составлен акт уничтожения №3 от 15.01.2026. Акт подписан комиссией из трёх человек.

Поэкземплярный vs технический учёт СКЗИ

Организации обязаны вести два вида журналов учёта СКЗИ. Их часто путают — разберём различия.

Параметр	Поэкземплярный учёт	Технический (аппаратный) учёт
Что фиксирует	Жизненный цикл экземпляра	Эксплуатационные события
Объект учёта	Экземпляр СКЗИ (лицензия, токен)	Аппаратное средство, на котором работает СКЗИ
Типичные записи	Получение, выдача, возврат, уничтожение	Настройка, обновление, ремонт, замена ключей
Кто ведёт	Ответственный за СКЗИ	Ответственный за СКЗИ или администратор
Основание	Приказ ФАПСИ №152	Приказ ФАПСИ №152, формуляры СКЗИ
Периодичность	При каждом событии жизненного цикла	При каждом техническом событии
Связь	Один экземпляр = одна карточка	Одно устройство = один журнал

На практике оба журнала ведутся параллельно. Поэкземплярный учёт отвечает на вопрос «где находится каждый экземпляр», технический — «что с ним происходило в процессе эксплуатации». При проверке ФСБ запрашивают оба документа.

Подробнее о формах обоих журналов читайте в статье Журнал учёта СКЗИ: образец и пример заполнения.

Типичные ошибки при поэкземплярном учёте

Неполная регистрация экземпляров

Самая частая ошибка — учёт только «активных» экземпляров. Организации забывают регистрировать:

Резервные лицензии, хранящиеся в сейфе
Токены, выданные временным сотрудникам и подрядчикам
Обновлённые версии СКЗИ (новая версия = новая запись)
Ключевые документы на съёмных носителях

При проверке ФСБ сверяет журнал с фактическим наличием. Любой неучтённый экземпляр — нарушение.

Отсутствие записей о возврате и уничтожении

Экземпляр получен, выдан, записан — а дальше тишина. Нет записи о возврате при увольнении сотрудника, нет акта уничтожения при выводе из эксплуатации. Формально это означает, что СКЗИ до сих пор находится у пользователя, который, возможно, уже не работает в организации.

Рекомендация: интегрируйте процесс возврата СКЗИ в чек-лист увольнения. Используйте модуль учёта СКЗИ для автоматических уведомлений при кадровых изменениях.

Расхождение журнала с фактом

Журнал показывает 50 экземпляров, при инвентаризации обнаружено 47. Три экземпляра — неизвестно где. Причины: перемещение без записи, утрата без фиксации, повторная выдача без обновления журнала.

Регулярная сверка (не реже раза в квартал) и автоматизация учёта решают эту проблему.

Некорректное оформление уничтожения

Уничтожение СКЗИ — не просто удаление файла. Требуется:

Комиссия из не менее двух человек
Акт уничтожения с указанием метода (деинсталляция, физическое разрушение, размагничивание)
Подписи всех членов комиссии
Ссылка на акт в журнале поэкземплярного учёта

Программное СКЗИ уничтожается путём гарантированной деинсталляции с контрольной проверкой. Аппаратные носители — физическим разрушением или перезаписью сертифицированным средством.

Автоматизация поэкземплярного учёта

Почему Excel — плохое решение

Большинство организаций начинают учёт СКЗИ в Excel. На первый взгляд удобно, но на практике:

Нет аудита изменений — кто, когда и что изменил, неизвестно. При проверке ФСБ это критичный недостаток.
Нет контроля целостности — ячейку можно случайно перезаписать или удалить строку.
Нет уведомлений — истечение лицензии, плановая инвентаризация, увольнение сотрудника — обо всём нужно помнить вручную.
Нет связи с кадрами и ИТ — при увольнении или перемещении сотрудника Excel не знает об этом.
Множественные копии — файл живёт на нескольких компьютерах, версии расходятся.

При парке свыше 50 экземпляров СКЗИ Excel становится источником ошибок, а не инструментом контроля.

SGRC-подход к учёту СКЗИ

SGRC-платформа (Security Governance, Risk, Compliance) централизует управление всеми процессами ИБ, включая учёт криптосредств. Преимущества по сравнению с ручным учётом:

Единая база — все экземпляры СКЗИ, ключевые документы и ответственные в одном реестре
Аудит-трейл — каждое изменение логируется с указанием автора, даты и IP-адреса
Автоматические уведомления — система оповещает об истечении лицензий, сертификатов ЭП и плановых проверках
Интеграция с кадрами — при увольнении сотрудника система автоматически создаёт задачу на возврат СКЗИ
Печатные формы — журнал, акты уничтожения, ведомости выдачи формируются по кнопке
Связь с инвентаризацией — автоматическая привязка СКЗИ к рабочим станциям и серверам

Подробнее о SGRC-подходе к управлению ИБ читайте в глоссарии.

КиберОснова: модуль учёта СКЗИ

Платформа КиберОснова реализует полный цикл поэкземплярного и технического учёта СКЗИ:

Реестр экземпляров — карточка каждого СКЗИ с историей всех событий
Жизненный цикл — статусная модель: На хранении → Выдано → В эксплуатации → Возвращено → Уничтожено
Привязка к сотрудникам и активам — кто использует, на каком рабочем месте, с какой целью
Плановые проверки — система напоминает о сроках инвентаризации и формирует ведомость сверки
Акты и журналы — генерация печатных форм журнала поэкземплярного учёта, технического журнала и актов уничтожения
Dashboard — сводная панель: сколько экземпляров в эксплуатации, сколько на хранении, сколько лицензий истекает в ближайшие 30 дней

Запросить демо платформы и увидеть модуль учёта СКЗИ в действии.

Учёт рутокенов, eToken и JaCarta

Аппаратные токены — отдельная категория СКЗИ, требующая внимания при поэкземплярном учёте. Ключевое правило: учёту как СКЗИ подлежат только модели со встроенным сертифицированным ФСБ криптомодулем. Рутокен ЭЦП 2.0/3.0, JaCarta-2 ГОСТ и eToken ГОСТ — это полноценные аппаратные СКЗИ, каждый экземпляр которых регистрируется в журнале по заводскому серийному номеру. А вот Рутокен Lite, JaCarta LT и обычные USB-носители СКЗИ не являются — они учитываются только в журнале ключевых документов.

Серийный номер токена — обязательный реквизит записи. Для Рутокен его можно определить через утилиту rtAdmin -l, панель управления Рутокен в Windows или по маркировке на корпусе. Для eToken используется SafeNet Authentication Client, для JaCarta — «Единый клиент JaCarta».

Типичные ошибки при учёте токенов

Путаница моделей. Рутокен Lite учитывают как СКЗИ или, наоборот, Рутокен ЭЦП не учитывают, считая его «просто флешкой». Необходимо точно идентифицировать модель каждого устройства.
Нет серийного номера. Записи вида «Рутокен — 1 шт.» без серийного номера — нарушение. Каждый токен идентифицируется уникально.
Резервные токены не учтены. Даже токены в сейфе, ещё не выданные пользователям, обязаны быть зарегистрированы с момента поступления в организацию.
Нет акта при поломке. Вышедший из строя токен требует акта уничтожения с указанием способа физического разрушения чипа.

Подробный разбор всех моделей токенов, сравнительная таблица и примеры заполнения журнала — в статье Учёт рутокенов и ключевых носителей СКЗИ.

Чек-лист: поэкземплярный учёт СКЗИ

Используйте этот чек-лист для самопроверки перед визитом регулятора:

Поэкземплярный учёт СКЗИ — не формальность, а инструмент контроля криптографических средств в организации. Грамотно выстроенный процесс снижает риски при проверках ФСБ, предотвращает утрату носителей и обеспечивает прозрачность для руководства. Переход от таблиц Excel к SGRC-платформе сокращает трудозатраты на учёт в 3-5 раз и исключает человеческий фактор. Поэкземплярный учёт СКЗИ входит в матрицу контролей комплаенса ИБ по требованиям ФСБ и ФАПСИ — систематизированный учёт упрощает прохождение проверок и аттестаций.

Поэкземплярный учёт СКЗИ: требования ФСБ, форма журнала и пример заполнения