Какой документ регулирует правила работы с СКЗИ?

Основной документ — Приказ ФАПСИ от 13.06.2001 №152 «Об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ». Несмотря на ликвидацию ФАПСИ в 2003 году, приказ действует и признаётся ФСБ как основной регуляторный акт. Дополнительно применяется ПКЗ-2005 (Приказ ФСБ от 09.02.2005 №66) — для операторов ПДн, и Приказ ФСБ от 10.07.2014 №378 — при защите персональных данных с помощью СКЗИ.

Что запрещено пользователю СКЗИ по Приказу ФАПСИ №152?

Пользователю СКЗИ запрещено: разглашать содержимое ключевых документов и паролей; передавать ключевые носители посторонним или оставлять без присмотра; использовать СКЗИ на неаттестованных ПЭВМ; самостоятельно устанавливать, удалять и модифицировать СКЗИ без санкции ответственного; подключать к ПЭВМ с СКЗИ постороннее оборудование. Полный перечень — в пп.35–40 Инструкции ФАПСИ №152.

Нужна ли лицензия ФСБ для использования СКЗИ?

Организациям, которые только используют СКЗИ для собственных нужд (защита ПДн, ЭДО, работа с ГИС), лицензия ФСБ не нужна. Лицензия на деятельность в области шифрования (ФСБ, ст.17 ФЗ №99) обязательна для тех, кто разрабатывает, производит, распространяет СКЗИ или оказывает услуги по шифрованию сторонним лицам. Эксплуатация сертифицированных СКЗИ — не лицензируемая деятельность, но требует соблюдения условий эксплуатации по Приказу ФАПСИ №152.

Как правильно хранить ключевые носители СКЗИ?

Ключевые носители (токены, смарт-карты, флешки с ключевым контейнером) хранятся в индивидуальном металлическом сейфе или шкафу, запирающемся на ключ. Запрещено хранить ключевые носители вместе с ПЭВМ, оставлять подключёнными без присмотра, передавать другим сотрудникам без записи в журнале. Ответственный за СКЗИ ведёт журнал учёта ключевых документов по Приложению 2 к Инструкции ФАПСИ №152. Срок хранения отработавших ключевых носителей до уничтожения — в соответствии с эксплуатационной документацией на конкретное СКЗИ.

Что делать при утере или компрометации ключа СКЗИ?

Действия регламентированы п.46–49 Инструкции ФАПСИ №152: 1) немедленно известить ответственного за СКЗИ и руководителя; 2) прекратить использование данного ключа; 3) составить акт об утере или компрометации; 4) заблокировать или отозвать сертификат (если речь идёт о ключе ЭП); 5) провести служебное расследование; 6) уведомить орган криптографической защиты информации (ОКЗИ); 7) получить и установить новый ключевой документ. При компрометации ключей шифрования немедленно прекращается передача информации по защищённым каналам до перегенерации ключей.

Какой штраф за нарушение правил эксплуатации СКЗИ?

По ст.13.12 КоАП РФ: штраф для должностных лиц — 30 000–50 000 ₽, для юридических лиц — 100 000–200 000 ₽. При грубых нарушениях (например, эксплуатация несертифицированных СКЗИ или использование СКЗИ без соблюдения условий эксплуатации) возможно административное приостановление деятельности на срок до 90 суток. Для организаций, имеющих лицензию ФСБ, дополнительно применяется ст.13.6 КоАП за нарушение условий лицензии — вплоть до её аннулирования.

Правила работы с СКЗИ по Приказу ФАПСИ №152: требования 2026

Инспектор ФСБ пришёл на плановую проверку. Первый вопрос — ответственному за СКЗИ: «Покажите инструкцию пользователя и журнал учёта ключевых документов». Сотрудник открывает ящик стола и достаёт листок бумаги без подписи руководителя. Дальше — предписание, штраф до 100 000 рублей на организацию по ст. 13.12 ч.2 КоАП (ред. 104-ФЗ 2025) или административная приостановка деятельности. Этого не случится, если знать конкретные правила работы с СКЗИ и выполнять их. Правила охватывают все процессы — от организации учёта СКЗИ до хранения ключевых носителей. В статье — полный разбор требований Приказа ФАПСИ №152 и ПКЗ-2005: кто обязан соблюдать, что запрещено пользователю, как хранить ключи и что делать при инциденте.

Нормативная база: Приказ ФАПСИ №152 и ПКЗ-2005

Почему ФАПСИ нет, а приказ действует

ФАПСИ (Федеральное агентство правительственной связи и информации) ликвидировано в марте 2003 года. Его функции по лицензированию и надзору в сфере криптографии перешли к ФСБ России. Однако Приказ ФАПСИ от 13.06.2001 №152 не был отменён и продолжает действовать.

Основание — Постановление Правительства РФ от 07.08.2003 №443, которым нормативные акты ФАПСИ в части криптографической защиты информации были переданы под юрисдикцию ФСБ. При проверках ФСБ применяет Приказ №152 как основной регуляторный документ по учёту и эксплуатации СКЗИ.

Иерархия нормативных документов

Система правил работы с СКЗИ строится из нескольких уровней:

Документ	Реквизиты	Область применения
Инструкция ФАПСИ	Приказ от 13.06.2001 №152	Все организации, использующие СКЗИ для защиты конфиденциальной информации (не гостайна)
ПКЗ-2005	Приказ ФСБ от 09.02.2005 №66	Операторы персональных данных при использовании СКЗИ
Приказ ФСБ №378	Приказ ФСБ от 10.07.2014 №378	Конкретные технические меры защиты ПДн с применением СКЗИ
Приказ ФСБ №524	Приказ ФСБ от 24.10.2022 №524	Требования к средствам криптографической защиты информации
Эксплуатационная документация	Формуляр конкретного СКЗИ	Требования производителя, обязательны к соблюдению

Главный принцип: эксплуатационная документация конкретного СКЗИ не может противоречить Приказу №152. Если в формуляре написано «хранить при температуре не ниже +5°C» — это дополнение к требованиям ФАПСИ, а не замена им.

Что изменилось в 2025–2026 году

Сам Приказ №152 не менялся с 2001 года. Изменения затронули смежную нормативку:

Приказ ФСБ №524 (2022) — обновлил классификацию СКЗИ (КС1–КА3). Это влияет на выбор класса СКЗИ в зависимости от актуальных угроз.
Постановление Правительства №1272 (2021) — ужесточило требования к СКЗИ в государственных информационных системах.
Методические рекомендации ФСБ по 152-ФЗ — уточнили требования к СКЗИ для защиты ПДн в медицинских и государственных системах.

При этом базовые правила организации работы с СКЗИ — п.22–50 Приказа №152 — остаются неизменными.

Кто обязан соблюдать правила работы с СКЗИ

Обязанность применять Приказ №152 возникает в момент, когда организация начинает эксплуатировать сертифицированные ФСБ криптосредства. Это не зависит от формы собственности и отрасли.

Категория организации	Нормативный акт	Надзорный орган
Государственные органы и ГИС	Приказ №152 + Приказ №378	8 Центр ФСБ, ФСТЭК
Операторы ПДн с СКЗИ	Приказ №152 + ПКЗ-2005 + Приказ №378	8 Центр ФСБ, Роскомнадзор
Субъекты КИИ (значимые объекты)	Приказ №152 + Приказ ФСТЭК №239	ФСБ, ФСТЭК
Финансовые организации (банки, НФО)	Приказ №152 + ГОСТ Р 57580.1	ФСБ, Банк России
Медицинские организации (ЕГИСЗ)	Приказ №152 + Приказ №378	ФСБ, Минздрав
Любые компании с УКЭП и КриптоПро	Приказ №152	Территориальные управления ФСБ

Небольшой бухгалтер, который использует КриптоПро для работы с ЭЦП в 1С, обязан соблюдать те же базовые правила, что и крупный банк. Разница — в объёме применяемых мер и степени внимания проверяющих.

Правила организации работы с СКЗИ (пп.22–30 Приказа №152)

Назначение ответственного и ОКЗИ

Пункт 22 Приказа №152 обязывает руководителя организации назначить ответственного за эксплуатацию СКЗИ. В крупных организациях создаётся орган криптографической защиты информации (ОКЗИ) — подразделение или должностное лицо, координирующее всю работу с криптосредствами.

Ответственный за СКЗИ обязан:

вести журналы поэкземплярного и технического учёта;
проводить инструктаж пользователей СКЗИ;
контролировать условия эксплуатации криптосредств;
организовывать хранение ключевых документов;
оформлять акты установки, уничтожения, компрометации.

Ответственного назначают приказом руководителя с указанием ФИО, должности и перечня полномочий. Совмещение должностей допустимо — в небольших организациях ответственным за СКЗИ нередко становится системный администратор.

Порядок инструктажа пользователей

Пункт 27 Приказа №152 требует проводить инструктаж каждого пользователя СКЗИ до начала работы. Инструктаж фиксируют в журнале инструктажа: дата, ФИО, подпись пользователя, подпись ответственного.

Инструктаж охватывает:

правила работы с конкретным СКЗИ и ключевыми носителями;
порядок хранения ключей;
запрещённые действия (см. раздел ниже);
действия при инцидентах — утере, компрометации, неисправности;
ответственность за нарушения.

Повторный инструктаж проводят при: смене ответственного за СКЗИ, выявлении нарушений, изменении нормативной базы, а также в плановом порядке — не реже одного раза в год.

Подробный порядок проведения и документирования инструктажа — в статье «Инструктаж пользователей СКЗИ».

Требования к помещению для работы с СКЗИ

Пункт 29 Приказа №152 устанавливает требования к помещениям, где обрабатывается информация с использованием СКЗИ:

Помещение должно быть защищено от несанкционированного доступа посторонних лиц.
На входе — возможность запирания на замок (механический или электронный).
СКЗИ и ключевые документы хранятся в металлических шкафах или сейфах под замком.
Доступ в помещение — только уполномоченных лиц, перечень утверждает руководитель.

Требования к защите от технических разведок (ПЭМИН, акустика) устанавливаются в зависимости от класса СКЗИ и категории обрабатываемой информации. Для КС1 и КС2 требования минимальны, для КВ2 и КА — значительно жёстче.

Учёт и хранение документации

Пункт 26 Приказа №152 обязывает вести:

журнал поэкземплярного учёта СКЗИ (Приложение 1 к Инструкции);
журнал учёта ключевых документов (Приложение 2 к Инструкции);
журнал технического (аппаратного) учёта — для аппаратных СКЗИ.

Пункт 34 устанавливает срок хранения журналов — не менее 5 лет после последней записи.

Все журналы учёта СКЗИ прошиваются, нумеруются, скрепляются подписью руководителя и печатью организации. Подробнее о формах и правилах заполнения — в статье «Журнал учёта СКЗИ».

Правила эксплуатации СКЗИ

Установка только на аттестованные ПЭВМ

Пункт 33 Приказа №152: устанавливайте СКЗИ исключительно на ПЭВМ, которые прошли соответствующую проверку и включены в перечень, согласованный с ответственным за СКЗИ. Для информационных систем ПДн и ГИС эти рабочие места должны быть включены в аттестованный сегмент системы.

Перед установкой СКЗИ:

Убедитесь, что ПЭВМ внесена в реестр — с hostname, инвентарным номером, местоположением.
Проверьте, что на ПЭВМ отсутствуют программы, несовместимые с СКЗИ (указаны в эксплуатационной документации).
Убедитесь, что к ПЭВМ не подключено постороннее оборудование.
Составьте акт установки — с указанием серийного номера, версии, даты, ФИО ответственного.

Контроль целостности

Условия эксплуатации СКЗИ требуют регулярной проверки целостности криптосредства. Это значит: программное СКЗИ не должно быть модифицировано с момента установки. Проверка целостности выполняется встроенными средствами или внешними инструментами, предусмотренными эксплуатационной документацией.

Для КриптоПро CSP — это утилита cspcheck.exe. Для VipNet — внутренние средства контроля. Результат проверки целостности фиксируют в техническом журнале.

Порядок обновления версий СКЗИ

Обновление СКЗИ — не рядовая операция, а учётное событие. Каждое обновление требует:

записи в журнале технического учёта (старая версия, новая версия, дата, исполнитель);
проверки, что новая версия имеет действующий сертификат ФСБ;
обновления записи в журнале поэкземплярного учёта.

Запрещено устанавливать версии СКЗИ, у которых истёк сертификат ФСБ. Актуальные сертификаты проверяйте на сайте ФСБ России в разделе «Реестр сертифицированных средств».

Резервное копирование

Ключевые контейнеры и ключевые носители требуют резервирования. Порядок резервного копирования устанавливается в инструкции по эксплуатации конкретного СКЗИ.

Важно: резервные копии ключевых носителей хранятся с теми же требованиями безопасности, что и оригиналы. Передача резервной копии ключевого контейнера третьим лицам — нарушение, равносильное компрометации ключа.

Правила работы с ключевыми документами

Получение под роспись

Ключевые документы (носители ключевой информации, криптоключи, ключи ЭП) выдаются пользователю под подпись. В журнале учёта ключевых документов (Приложение 2 к Инструкции ФАПСИ №152) фиксируются:

наименование ключевого документа;
серийный (регистрационный) номер носителя;
дата выдачи;
ФИО и подпись получателя;
дата возврата / уничтожения.

Без подписи в журнале выдача не считается оформленной. Если пользователь потеряет ключ и в журнале нет его подписи — это грубое нарушение в учёте.

Хранение ключевых носителей

Пункт 43 Приказа №152 устанавливает порядок хранения ключевых документов:

Хранить только в индивидуальных металлических шкафах или сейфах, запирающихся на ключ.
Запрещено хранить ключевые носители вместе с ПЭВМ или в незапирающейся мебели.
Запрещено оставлять ключевой носитель подключённым к ПЭВМ при отсутствии пользователя.
Ключи от сейфа с ключевыми носителями пользователь хранит лично и не передаёт третьим лицам.

На практике: Рутокен или JaCarta вытаскивайте из USB-порта каждый раз, когда отходите от рабочего места. Это не рекомендация — это требование п.43.

Плановая смена ключей

Сроки плановой смены ключей установлены в эксплуатационной документации конкретного СКЗИ. Как правило:

ключи шифрования для СКЗИ класса КС1/КС2 — смена не реже одного раза в год;
сертификаты ключей ЭП — в соответствии со сроком действия сертификата (обычно 15 месяцев);
ключи VipNet-сети — при изменении состава участников сети.

Плановую смену ключей фиксируют в журнале учёта ключевых документов: старый ключ — запись об уничтожении, новый ключ — запись о выдаче.

Уничтожение ключевых документов и СКЗИ

Пункт 46 Приказа №152 регламентирует уничтожение ключевых документов. Уничтожение проводит комиссия в составе не менее двух человек. По результату составляется акт уничтожения с указанием:

наименования и серийного номера уничтоженного документа/носителя;
способа уничтожения (физическое разрушение носителя или гарантированное удаление информации);
даты и места уничтожения;
состава комиссии, подписей членов комиссии.

Акт уничтожения подшивается к журналу учёта ключевых документов. Номер акта вносится в соответствующую графу журнала. Без акта запись об уничтожении считается неполной.

Программное уничтожение информации с ключевых носителей выполняется гарантированными методами — с перезаписью по ГОСТ. Физическое уничтожение носителя (механическое, термическое) фиксируется в акте с указанием метода.

Что запрещено пользователю СКЗИ (пп.35–40 Приказа №152)

Полный перечень запретов из Инструкции ФАПСИ №152:

Разглашать содержимое ключевых документов — передавать пароли, PIN-коды, ключевые контейнеры третьим лицам, в том числе коллегам и руководству, если они не являются уполномоченными пользователями.
Передавать ключевые носители посторонним лицам — даже на короткое время, даже другому сотруднику организации без оформления в журнале.
Оставлять ключевые носители без присмотра — в том числе оставлять Рутокен или JaCarta подключёнными к компьютеру при отходе с рабочего места.
Использовать СКЗИ на ПЭВМ, не предназначенных для этого — устанавливать КриптоПро на домашний ноутбук или постороннюю рабочую станцию.
Самостоятельно устанавливать, удалять, модифицировать СКЗИ без санкции ответственного за СКЗИ — любые изменения в составе СКЗИ оформляются учётной записью.
Подключать к ПЭВМ с СКЗИ постороннее оборудование — принтеры, сканеры, USB-носители, которые не предусмотрены конфигурацией аттестованного рабочего места.
Хранить ключевые носители и документацию СКЗИ совместно — ключ от сейфа хранится отдельно от носителей; документация хранится отдельно от рабочих ключей.
Записывать ключевую информацию на бумагу или другие носители — переписывать PIN-коды на стикерах, сохранять пароли в текстовых файлах на рабочем столе.
Работать с СКЗИ при обнаружении неисправности — при ошибках или подозрении на компрометацию немедленно прекратить работу и уведомить ответственного.

Особое внимание: запрет на разглашение ключевой информации распространяется на всё время действия ключевого документа и на пять лет после его уничтожения.

Правила доступа в помещения с СКЗИ

Требования к помещению

Помещение, в котором эксплуатируются СКЗИ или хранятся ключевые документы, должно соответствовать требованиям пп.29–31 Приказа №152:

Запирающийся вход — механический или электронный замок.
Металлические шкафы или сейфы для хранения ключевых носителей и документации.
Исключение визуального наблюдения с экранов ПЭВМ из коридора или от окон (при обработке конфиденциальной информации).
Для СКЗИ классов КВ и КА — дополнительные требования: защита от побочных электромагнитных излучений (ПЭМИН), звукоизоляция.

Для большинства организаций, работающих с СКЗИ класса КС1 (КриптоПро CSP для ЭДО), достаточно обычного запирающегося офиса с металлическим шкафом. Требования к ПЭМИН актуальны для государственных органов и организаций с СКЗИ классов КВ2 и КА3.

Журнал учёта посетителей

Если в помещении с СКЗИ бывают посторонние лица (сотрудники смежных подразделений, IT-специалисты, представители подрядчиков), ведётся журнал учёта посетителей. Записи содержат:

дату и время посещения;
ФИО посетителя и организацию;
цель визита;
ФИО сопровождающего;
время выхода.

Посторонние лица не должны оставаться в помещении с СКЗИ без сопровождения уполномоченного сотрудника. Доступ к рабочим местам с установленными СКЗИ — только при наличии соответствующего разрешения.

Контроль доступа к ПЭВМ с СКЗИ

Каждое рабочее место с СКЗИ должно быть защищено от несанкционированного доступа:

Вход в ОС — только с аутентификацией (пароль или ключевой носитель).
Блокировка экрана — автоматически при бездействии пользователя (рекомендуемый таймаут — 10–15 минут).
Ключевой носитель (токен, смарт-карта) — извлекать при каждом уходе с рабочего места.
Журнал аутентификации — фиксация попыток входа и выхода.

Типичные нарушения и штрафы

Нарушение	Статья КоАП	Санкция
Отсутствие журнала учёта СКЗИ	Ст. 13.12 ч.1	Штраф должностное лицо 30–50 тыс. ₽, юрлицо 100–200 тыс. ₽
Неправильное заполнение журнала (пустые обязательные графы)	Ст. 13.12 ч.1	Предписание + штраф 30–50 тыс. ₽
Использование СКЗИ с истёкшим сертификатом ФСБ	Ст. 13.12 ч.2	Штраф до 200 тыс. ₽ или приостановка до 90 суток
СКЗИ установлено на неаттестованной ПЭВМ	Ст. 13.12 ч.1	Штраф 30–200 тыс. ₽ + предписание
Ключевые носители переданы постороннему лицу	Ст. 13.12 ч.2	Штраф до 200 тыс. ₽, возможна уголовная ответственность
Нарушение условий лицензии ФСБ (для лицензиатов)	Ст. 13.6	Штраф 30–200 тыс. ₽ + угроза аннулирования лицензии
Отсутствие акта уничтожения для вышедшего из эксплуатации СКЗИ	Ст. 13.12 ч.1	Предписание + штраф
Отсутствие инструктажа пользователей СКЗИ	Ст. 13.12 ч.1	Предписание + штраф 30–50 тыс. ₽

Административные санкции — не единственный риск. При утечке информации, защищаемой с помощью СКЗИ, и доказанной халатности в соблюдении правил возможна уголовная ответственность по ст.274 УК РФ (неправомерный доступ к компьютерной информации) или ст.183 УК РФ (незаконное получение охраняемой информации).

Что такое лицензия СКЗИ и когда она нужна

Понятие «лицензия СКЗИ» используют в двух разных значениях — важно не путать.

Лицензия на программное обеспечение — коммерческий документ от производителя СКЗИ (КриптоПро, ИнфоТеКС и т.д.). Это обычная лицензия на ПО: серийный номер, срок действия, количество рабочих мест. Её реквизиты вносятся в журнал поэкземплярного учёта.

Лицензия ФСБ на деятельность (по ст.17 ФЗ №99) — разрешение государства на ведение деятельности в области шифрования. Нужна организациям, которые:

разрабатывают или производят СКЗИ;
распространяют СКЗИ;
оказывают услуги по шифрованию сторонним организациям;
осуществляют техническое обслуживание СКЗИ для третьих лиц.

Если организация только использует сертифицированные СКЗИ для защиты собственной информации — лицензия ФСБ на деятельность не нужна. Достаточно эксплуатировать СКЗИ в соответствии с Приказом №152 и эксплуатационной документацией.

Как работает СКЗИ: ключевые понятия для ответственного

Ответственный за СКЗИ должен понимать базовую терминологию — без этого невозможно корректно вести документацию и инструктировать пользователей.

СКЗИ (средство криптографической защиты информации) — программное или аппаратное средство, реализующее криптографические алгоритмы шифрования, имитозащиты, ЭЦП, аутентификации. Использует алгоритмы по российским ГОСТ: ГОСТ Р 34.10-2012 (ЭЦП), ГОСТ Р 34.11-2012 (хэш-функция), ГОСТ Р 34.12-2015 (блочный шифр «Кузнечик», «Магма»).

Ключевой документ — физический носитель, содержащий ключевую информацию: дискета, USB-токен, смарт-карта, файл-контейнер. Именно ключевые документы подлежат строгому учёту по Приложению 2 к Инструкции ФАПСИ №152.

Сертификат соответствия ФСБ — документ, подтверждающий, что данная версия СКЗИ прошла испытания в сертифицированной лаборатории и соответствует требованиям к классу защиты. Эксплуатация СКЗИ без действующего сертификата — нарушение условий эксплуатации.

Класс СКЗИ (КС1, КС2, КС3, КВ1, КВ2, КА3) — уровень защищённости. Выбор класса определяется моделью угроз: для типичного оператора ПДн достаточно КС1, для значимых объектов КИИ может потребоваться КВ1 и выше.

Как автоматизировать соблюдение требований Приказа ФАПСИ №152

Ручной учёт СКЗИ в Excel работает при 5–10 экземплярах. При 50+ экземплярах неизбежны ошибки: пропущенные записи об уничтожении, истёкшие сертификаты ФСБ, несовпадение hostname в журнале и на рабочей станции.

Модуль учёта СКЗИ платформы КиберОснова автоматизирует выполнение ключевых требований Приказа №152:

Реестр СКЗИ — единая база всех экземпляров с метаданными: серийный номер, сертификат ФСБ, местоположение, ответственный.
Поэкземплярный учёт — автоматизированное ведение журнала по Приложениям 1 и 2. Система не позволяет создать запись с пустыми обязательными полями.
Контроль сроков сертификатов — уведомления за 90, 30 и 7 дней до истечения сертификата ФСБ или лицензии на ПО.
Журнал ключевых документов — регистрация выдачи, возврата, уничтожения с электронной подписью.
Генерация документов — печатные формы журналов по Приложениям к Инструкции ФАПСИ №152, акты установки и уничтожения, отчёты для проверок.
Аудит-трейл — каждое изменение записи логируется с указанием автора, даты и времени.

Система строится на принципах автоматизации ИБ — устранение ручных операций и человеческого фактора в критичных процессах.

Для поэкземплярного учёта СКЗИ КиберОснова формирует записи автоматически при регистрации СКЗИ в реестре, исключая дублирование данных между несколькими журналами.

Если ваша организация готовится к проверке ФСБ или переходит от Excel к системному учёту — запросите демо платформы КиберОснова. Покажем модуль на реальных данных и поможем за один день перенести данные из текущих таблиц в системный реестр.

Правила работы с СКЗИ по Приказу ФАПСИ №152: что обязаны делать и что запрещено