Учёт СКЗИ в организации — процесс, от которого зависит результат проверки ФСБ. Штрафы по ч.2 ст. 13.12 КоАП РФ (ред. 104-ФЗ 2025) достигают 100 000 рублей для юридических лиц, а грубые нарушения грозят конфискацией оборудования. При этом нарушения фиксируются в большинстве плановых проверок: нет журналов, расхождение данных с фактическим наличием криптосредств, просроченные сертификаты ФСБ. Каждая компания, использующая сертифицированные СКЗИ (КриптоПро CSP, VipNet, Рутокен, Continent TLS), обязана вести поэкземплярный и технический учёт по Приказу ФАПСИ №152. Скачайте Excel-шаблон журнала учёта СКЗИ, чтобы начать вести учёт уже сегодня.
В этом руководстве — полный порядок организации учёта СКЗИ: от издания приказа о назначении ответственного до заполнения журналов и подготовки к проверке. Разберём обязательные документы, бухгалтерский учёт криптосредств, типичные нарушения и покажем, как автоматизация в SGRC-системе сокращает трудозатраты в несколько раз. Статья актуальна на март 2026 года и учитывает действующие нормативные акты: Приказ ФАПСИ №152, ПКЗ-2005, 63-ФЗ «Об электронной подписи» и Приказ ФСБ №378.
Что такое учёт СКЗИ и зачем он нужен
Учёт СКЗИ — это систематическая регистрация всех средств криптографической защиты информации, используемых в организации: программных, аппаратных, программно-аппаратных. Учёт СКЗИ охватывает полный жизненный цикл каждого экземпляра — от получения и постановки на баланс до уничтожения и списания.
Зачем это нужно организации:
- Прослеживаемость — регулятор видит, какие криптосредства используются, кому выданы, на каких рабочих местах установлены
- Контроль сроков — отслеживание действия сертификатов соответствия ФСБ, лицензий, ключевых документов
- Готовность к проверкам — корректно заполненные журналы сокращают время подготовки к проверке ФСБ с недель до часов
- Управление рисками — выявление «потерянных» экземпляров, просроченных лицензий, неучтённых носителей ключевой информации
- Соответствие НПА — выполнение требований Приказа ФАПСИ №152, ПКЗ-2005, Приказа ФСБ №378
Нормативная база
Основные нормативные акты, регулирующие порядок обращения с криптосредствами:
| Документ | Что регулирует |
|---|---|
| Приказ ФАПСИ от 13.06.2001 №152 | Основной документ: формы журналов, порядок учёта, хранения, уничтожения СКЗИ |
| ПКЗ-2005 (Приказ ФСБ от 09.02.2005 №66) | Порядок организации криптографической защиты информации |
| 63-ФЗ от 06.04.2011 | «Об электронной подписи» — требования к средствам ЭП |
| Приказ ФСБ от 10.07.2014 №378 | Меры защиты ПДн при использовании СКЗИ |
| Ст. 13.12 КоАП РФ | Ответственность за нарушение правил защиты информации |
Приказ ФАПСИ №152 действует, несмотря на ликвидацию ФАПСИ в 2003 году. Функции перешли к ФСБ России, и инструкция применяется при всех проверках учёта криптосредств.
Подробный разбор требований Инструкции — в статье правила работы с СКЗИ по ФАПСИ №152.
Кто обязан вести учёт СКЗИ
Обязанность вести учёт СКЗИ распространяется на все организации, эксплуатирующие сертифицированные ФСБ криптосредства. На практике это охватывает большинство юридических лиц в России, поскольку даже сдача отчётности в ФНС через электронную подпись требует использования сертифицированного СКЗИ.
Категории организаций
Государственные органы и учреждения — федеральные и региональные органы власти, РОИВ, подведомственные организации. Используют СКЗИ для защиты ГИС, СМЭВ, электронного документооборота. Криптосредства контролируются в рамках аттестации информационных систем.
Операторы персональных данных — все организации, обрабатывающие ПДн с применением криптосредств. Приказ ФСБ №378 прямо требует регистрации криптосредств, используемых для защиты персональных данных. Это банки, медицинские учреждения, образовательные организации, интернет-магазины с базами клиентов.
Субъекты КИИ — организации, эксплуатирующие значимые объекты критической информационной инфраструктуры с применением криптографической защиты. Требования усилены 187-ФЗ.
Финансовые организации — банки, страховые компании, НФО, микрофинансовые организации. Банк России предъявляет дополнительные требования к ГОСТ-шифрованию и учёту криптосредств.
Любые компании с УКЭП — если организация использует КриптоПро CSP, VipNet CSP или аналоги для работы с квалифицированной электронной подписью, она обязана вести учёт СКЗИ по ФАПСИ №152. Это включает компании, которые просто подают налоговую отчётность или участвуют в электронных торгах.
Назначение ответственного за криптосредства
Ответственный за СКЗИ назначается приказом руководителя организации. Это обязательное требование п. 13 Приказа ФАПСИ №152. Приказ должен содержать:
- ФИО и должность назначаемого лица
- Перечень обязанностей: ведение журналов, контроль выдачи/возврата, организация уничтожения
- Дату вступления в силу
- Подпись руководителя и ознакомление назначенного лица
В небольших организациях функции ответственного совмещает системный администратор или специалист ИБ. В крупных — это выделенная штатная единица с прямым подчинением CISO. Подробнее об обучении ответственных лиц — в материале об инструктаже пользователей СКЗИ.
Журналы учёта СКЗИ по Приказу ФАПСИ №152
Приказ ФАПСИ №152 устанавливает три типа обязательных журналов. Каждый решает свою задачу, и путаница между ними — одна из самых частых причин предписаний при проверках ФСБ.
1. Журнал поэкземплярного учёта
Поэкземплярный журнал — основной регистрационный документ. Фиксирует жизненный цикл каждого экземпляра криптосредства: получение, выдачу пользователю, установку на рабочее место, возврат и уничтожение. Форма определена Приложением 1 к Приказу ФАПСИ №152.
Обязательные графы: наименование, серийный номер, номер сертификата ФСБ, дата получения, кому выдано, дата и номер акта уничтожения. Каждая строка — один экземпляр. Подробная форма с примером заполнения — в статье поэкземплярный учёт СКЗИ.
2. Технический (аппаратный) журнал СКЗИ
Регистрирует эксплуатационные события: установку, настройку, обновление, ремонт, замену ключевых документов, техническое обслуживание. Ведётся параллельно с поэкземплярным журналом, но фиксирует не движение экземпляров, а операции над ними.
Этот журнал особенно важен для аппаратных СКЗИ — токенов, HSM-модулей, аппаратных шифраторов. Особенности учёта USB-токенов (Рутокен, JaCarta, eToken) описаны в статье учёт рутокенов и ключевых носителей. Образец и рекомендации по заполнению технического журнала — в статье технический журнал СКЗИ.
3. Журнал учёта ключевых документов
Отслеживает ключевые носители, сертификаты и дистрибутивы. Форма определена Приложением 2 к Приказу ФАПСИ №152. Фиксирует: наименование ключевого документа, серийный номер носителя, дату изготовления, кому выдан, дату уничтожения (с указанием акта).
Ключевые документы — это не только ключевые контейнеры КриптоПро, но и сертификаты ЭП, лицензионные ключи, дистрибутивы СКЗИ на физических носителях. Подробности — в статье журнал ключевых документов СКЗИ. Отдельно стоит вести учёт дистрибутивов — см. журнал дистрибутивов СКЗИ.
Все три журнала хранятся не менее 5 лет после последней записи (п. 34 Приказа ФАПСИ №152). Уничтожение журналов до истечения срока хранения — грубое нарушение.
Форма, образец и построчный пример заполнения — в статье журнал учёта СКЗИ.
Какие СКЗИ подлежат учёту
Не все средства шифрования требуют поэкземплярного учёта. Учёту подлежат только сертифицированные ФСБ криптосредства, включённые в реестр средств защиты информации.
Таблица: СКЗИ, подлежащие учёту
| Тип | Примеры | Класс | Учёт |
|---|---|---|---|
| Программные СКЗИ | КриптоПро CSP 5.0, VipNet CSP, Signal-COM CSP | КС1–КС3 | Поэкземплярный + ключевые документы |
| Аппаратные СКЗИ | Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ, eToken ГОСТ | КС1–КС2 | Поэкземплярный + технический + ключевые |
| Программно-аппаратные | Continent TLS VPN, ViPNet Coordinator HW, С-Терра Шлюз | КС1–КВ | Все три журнала |
| Средства ЭП | КриптоПро ЭЦП Browser plug-in, КриптоАРМ ГОСТ | КС1–КС3 | Поэкземплярный + ключевые документы |
| HSM-модули | КриптоПро HSM, nCipher nShield ГОСТ | КВ–КА | Все три журнала + допуск к помещению |
Специфика учёта СКЗИ КриптоПро CSP — самого распространённого криптосредства в России — разобрана в отдельной статье учёт СКЗИ КриптоПро. Для продуктов линейки ViPNet (CSP, Coordinator, Client) действуют дополнительные правила классификации — см. статью ViPNet для учёта СКЗИ.
Что НЕ подлежит поэкземплярному учёту
- Встроенные в ОС средства — BitLocker, FileVault, dm-crypt (не сертифицированы ФСБ)
- Несертифицированные VPN — OpenVPN, WireGuard, коммерческие VPN-сервисы
- SSL/TLS-сертификаты коммерческих и зарубежных удостоверяющих центров
- Шифрование в мессенджерах — Telegram, Signal (не являются СКЗИ в терминах ФАПСИ №152)
- Средства шифрования для защиты гостайны — учитываются по отдельной, более строгой процедуре через режимно-секретные органы
Если организация использует одновременно КриптоПро CSP (сертифицированное СКЗИ) и OpenVPN (несертифицированное), учёту подлежит только КриптоПро. Но для защиты ПДн и ГИС допустимо использовать только сертифицированные СКЗИ.
Пошаговый порядок организации учёта СКЗИ
Порядок организации учёта СКЗИ включает 8 последовательных шагов — от издания приказа до первой записи в журнале. Весь процесс занимает 2–4 недели для организации среднего размера.
Шаг 1. Издание приказа о назначении ответственного
Руководитель организации издаёт приказ о назначении ответственного за эксплуатацию СКЗИ. В приказе указываются: ФИО, должность, перечень обязанностей (ведение журналов, контроль выдачи, организация уничтожения), дата вступления. Приказ регистрируется в канцелярии, копия хранится у ответственного.
Шаг 2. Инвентаризация имеющихся СКЗИ
Ответственный проводит инвентаризацию криптосредств: какие СКЗИ установлены, на каких рабочих местах, у каких сотрудников. Фиксируются наименования, версии, серийные номера лицензий, номера сертификатов соответствия ФСБ, сроки их действия. Результат — реестр СКЗИ в Excel или специализированной системе.
Шаг 3. Заведение журналов учёта
На основании инвентаризации заполняются три журнала: поэкземплярный (Приложение 1), технический (свободная форма) и журнал ключевых документов (Приложение 2). Журналы нумеруются, прошиваются (при бумажном ведении), заверяются подписью ответственного. Заполнение начинается с присвоения регистрационного номера каждому экземпляру криптосредства.
Шаг 4. Внесение текущих данных
Каждый экземпляр СКЗИ из реестра вносится в журнал поэкземплярного учёта: наименование, серийный номер, номер сертификата ФСБ, дата получения, кому выдан, местоположение рабочего места. Для уже установленных СКЗИ указывается фактическая дата установки и текущее состояние.
Шаг 5. Организация учёта носителей ключевой информации
В журнал ключевых документов вносятся все ключевые носители: USB-токены с контейнерами, дистрибутивы на физических носителях, лицензионные ключи. Для каждого носителя фиксируется: тип, серийный номер, содержимое, кому выдан, место хранения. Учёт носителей СКЗИ — отдельная задача, поскольку один токен может содержать несколько ключевых контейнеров.
Шаг 6. Разработка инструкций и регламентов
Ответственный готовит внутренние документы: инструкцию по обращению с СКЗИ, порядок выдачи и возврата, регламент уничтожения, инструкцию пользователя. Руководитель утверждает документы, сотрудники знакомятся под подпись. Подробнее — в статье об инструктаже пользователей СКЗИ.
Шаг 7. Проведение первичного инструктажа
Все пользователи СКЗИ проходят инструктаж: правила обращения с ключевыми носителями, запрет на передачу третьим лицам, порядок уведомления при утрате или компрометации, действия при увольнении. Факт инструктажа фиксируется в журнале с подписью каждого сотрудника.
Шаг 8. Настройка процесса текущего учёта
Ответственный определяет порядок внесения новых записей: при получении нового СКЗИ, выдаче пользователю, замене ключевых документов, выводе из эксплуатации. Рекомендуемая периодичность сверки журнала с фактическим наличием СКЗИ — ежеквартально. Внесение записей в журналы становится частью повседневной работы ответственного.
Бухгалтерский учёт СКЗИ
Помимо поэкземплярного учёта по ФАПСИ №152, криптосредства подлежат бухгалтерскому учёту по правилам ФСБУ. Ошибки в классификации криптосредств приводят к искажению отчётности и проблемам при налоговых проверках. Бухгалтерский учёт СКЗИ зависит от типа криптосредства и его стоимости.
Программные СКЗИ: НМА или расходы
Лицензии на программные СКЗИ (КриптоПро CSP, VipNet CSP, КриптоАРМ) учитываются в зависимости от стоимости и срока использования:
| Стоимость лицензии | Срок | Бухгалтерский учёт | Счёт |
|---|---|---|---|
| Свыше 100 000 ₽ | Бессрочная | НМА с амортизацией | 04 |
| Свыше 100 000 ₽ | Срочная (1–3 года) | НМА с амортизацией за срок лицензии | 04 |
| До 100 000 ₽ | Бессрочная | Расходы единовременно | 26/44 |
| До 100 000 ₽ | Срочная | Расходы будущих периодов | 97 |
Типовые проводки для лицензии КриптоПро CSP стоимостью 2 700 ₽ (годовая):
- Дт 97 «Расходы будущих периодов» — Кт 60 «Расчёты с поставщиками»: 2 700 ₽
- Ежемесячное списание: Дт 26 «Общехозяйственные расходы» — Кт 97: 225 ₽ (2 700 / 12)
Для серверной лицензии КриптоПро CSP стоимостью 135 000 ₽ (бессрочная):
- Дт 04 «НМА» — Кт 08 «Вложения во внеоборотные активы»: 135 000 ₽
- Амортизация: определяется организацией, рекомендуемый срок — 5 лет (27 000 ₽/год)
Аппаратные СКЗИ: основные средства или МПЗ
Аппаратные токены и ключевые носители (Рутокен, JaCarta, eToken) учитываются как материальные ценности:
- Стоимость свыше 100 000 ₽ — основные средства (счёт 01), амортизация по ФСБУ 6/2020
- Стоимость до 100 000 ₽ — материальные запасы (счёт 10), списание при выдаче в эксплуатацию
На практике стоимость одного USB-токена составляет 1 500–5 000 ₽, поэтому они учитываются на счёте 10 «Материалы» и списываются в расходы при выдаче сотруднику. Для контроля наличия после списания ведётся забалансовый учёт.
Учёт лицензий СКЗИ
Учёт лицензий СКЗИ — отдельная задача, поскольку лицензии имеют сроки действия и привязку к конкретному рабочему месту. При продлении лицензии стоимость продления учитывается аналогично первоначальному приобретению. При обновлении версии СКЗИ (например, КриптоПро CSP 4.0 → 5.0) стоимость обновления может быть существенно ниже новой лицензии и учитывается как расходы текущего периода. Типовые проводки в 1С 8.3 — в статье учёт СКЗИ в 1С.
Бухгалтерский учёт криптосредств не заменяет поэкземплярный по ФАПСИ №152. Это два параллельных процесса: бухгалтерия контролирует стоимость и амортизацию, а ответственный за СКЗИ — жизненный цикл и соответствие требованиям ФСБ.
Документы учёта СКЗИ
Полный комплект документов учёта СКЗИ включает регистрационные журналы, приказы, акты и инструкции. При проверке ФСБ инспектор запрашивает все перечисленные документы, и отсутствие любого из них — основание для предписания.
Перечень обязательных документов
1. Приказ о назначении ответственного за СКЗИ. Основание для ведения учёта. Без приказа все последующие документы не имеют юридической силы. Обновляется при смене ответственного лица.
2. Журнал поэкземплярного учёта. Регистрация каждого экземпляра криптосредства. Форма — Приложение 1 к Приказу ФАПСИ №152. Ведётся непрерывно, хранится 5 лет.
3. Журнал учёта ключевых документов. Регистрация ключевых носителей, сертификатов, дистрибутивов. Форма — Приложение 2 к Приказу ФАПСИ №152.
4. Технический (аппаратный) журнал. Фиксация эксплуатационных событий: установка, обновление, ремонт, замена компонентов. Форма — свободная, утверждается организацией.
5. Акты уничтожения СКЗИ. Составляются при выводе криптосредств из эксплуатации. Фиксируют дату, способ уничтожения, состав комиссии, перечень уничтоженных экземпляров. Подробности — в статье акты уничтожения СКЗИ.
6. Акты приёма-передачи СКЗИ. Оформляются при получении СКЗИ от поставщика и при передаче между подразделениями или организациями.
7. Инструкция пользователя СКЗИ. Правила обращения с криптосредствами, порядок работы с ключевыми носителями, действия при компрометации.
8. Заключение о допуске помещения. Для хранения СКЗИ классов КС2 и выше помещение должно соответствовать требованиям: металлическая дверь, сейф, ограниченный доступ. Заключение оформляется комиссией.
9. Перечень лиц, допущенных к работе с СКЗИ. Список сотрудников с указанием должности, типа СКЗИ, даты допуска, даты инструктажа. Обновляется при кадровых изменениях. Ответственный ведёт учёт пользователей СКЗИ на основании этого перечня.
10. Журнал инструктажа пользователей СКЗИ. Фиксирует факт проведения первичного и периодического инструктажа с подписями сотрудников.
Все перечисленные документы должны быть актуальны на момент проверки. Журналы с пропусками в записях, устаревшие перечни допущенных лиц, отсутствие актов уничтожения за предыдущие годы — самые частые находки инспекторов ФСБ.
Типичные нарушения при проверке ФСБ
Проверки проводят территориальные управления ФСБ и 8-й Центр ФСБ. Инспектор сверяет данные журналов с фактическим наличием криптосредств, проверяет комплектность документации, опрашивает ответственного и пользователей. Ниже — конкретные нарушения, которые фиксируются чаще всего.
Нарушение 1. Отсутствие журналов учёта
Самое грубое нарушение. Организация использует СКЗИ, но учётные журналы не ведёт вообще. Квалифицируется по ч.2 ст. 13.12 КоАП — штраф до 100 000 ₽ для юрлиц (ред. 104-ФЗ 2025) или приостановка деятельности. Предписание с минимальным сроком устранения (30 дней).
Нарушение 2. Расхождение журнала с фактическим наличием
Инспектор обнаруживает СКЗИ, не внесённые в поэкземплярный журнал, или наоборот — журнал содержит записи о криптосредствах, которых физически нет. Типичная причина: ответственный не фиксирует выдачу новых экземпляров или не вносит записи об уничтожении старых.
Нарушение 3. Просроченные сертификаты соответствия ФСБ
Организация эксплуатирует СКЗИ с истёкшим сертификатом соответствия. Например, КриптоПро CSP 4.0 с сертификатом, действовавшим до 2024 года. Эксплуатация СКЗИ с просроченным сертификатом равнозначна использованию несертифицированного средства.
Нарушение 4. Отсутствие приказа о назначении ответственного
Журналы ведутся, но приказ не издан или утерян. Формально журналы ведёт неуполномоченное лицо, что ставит под сомнение легитимность всех записей.
Нарушение 5. Нет актов уничтожения
Организация заменила версию СКЗИ (КриптоПро 4.0 → 5.0), но акт уничтожения старой версии не составлен. Дистрибутивы, ключевые носители, лицензии предыдущей версии не уничтожены документально. Для инспектора это означает: старый экземпляр СКЗИ может использоваться неконтролируемо.
Нарушение 6. Неконтролируемое хранение ключевых носителей
USB-токены с ключами ЭП хранятся на столах сотрудников, а не в сейфе. Дистрибутивы СКЗИ записаны на общедоступный сетевой диск. Ключевые контейнеры скопированы на незащищённые носители. Каждый случай — отдельное нарушение условий эксплуатации.
Нарушение 7. Отсутствие инструктажа пользователей
Сотрудники работают с СКЗИ без проведённого инструктажа. Журнал инструктажа отсутствует или не содержит подписей. Особенно критично для бухгалтеров и юристов, использующих ЭП ежедневно, но не проходивших обучение по правилам обращения с криптосредствами.
Как избежать нарушений
- Проводите ежеквартальную сверку данных журнала с фактическим наличием СКЗИ
- Настройте уведомления об истечении сертификатов и лицензий за 90 дней
- Храните все акты уничтожения вместе с журналами — в одной папке или системе
- Обновляйте перечень допущенных лиц при каждом кадровом изменении
- Проводите повторный инструктаж не реже 1 раза в год
Как автоматизировать учёт СКЗИ
Ведение учёта СКЗИ вручную — на бумаге или в Excel — работает до тех пор, пока в организации не более 30–50 экземпляров криптосредств. При росте числа СКЗИ ручной подход создаёт системные проблемы.
Проблемы ручного учёта
Excel-таблицы:
- Нет контроля версий — непонятно, кто и когда изменил запись
- Нет разграничения доступа — любой сотрудник с доступом к файлу может изменить данные
- Нет автоматических уведомлений — просроченные сертификаты обнаруживаются только при ручной проверке
- Нет связи между журналами — поэкземплярный и технический учёт ведутся в разных файлах
- Нет audit trail — при проверке ФСБ невозможно доказать, что данные не были изменены задним числом
Бумажные журналы:
- Невозможность быстрого поиска — поиск записи по серийному номеру занимает 20–30 минут
- Физический износ и утрата — журналы повреждаются, теряются при переездах
- Невозможность формирования отчётов — нет сводной аналитики по срокам, статусам, ответственным
- Масштабирование — при 100+ СКЗИ бумажный учёт становится неуправляемым
Преимущества SGRC-системы
Платформа КиберОснова решает все перечисленные проблемы через специализированный модуль для работы с криптосредствами:
Единый реестр криптосредств. Все СКЗИ в одном месте: программные, аппаратные, ключевые документы. Привязка к рабочим местам, сотрудникам, информационным системам. Поиск по любому параметру — мгновенно.
Автоматическое формирование журналов. Поэкземплярный, технический и журнал ключевых документов формируются автоматически из данных реестра. Печатные формы соответствуют приложениям к Приказу ФАПСИ №152.
Контроль сроков. Система отслеживает даты окончания сертификатов соответствия, лицензий, ключевых документов. Уведомления ответственному — за 90, 60 и 30 дней до истечения. Ни один срок не будет пропущен.
Audit trail. Все изменения записей фиксируются: кто, когда, что изменил. При проверке ФСБ — полная история в один клик. Это устраняет главную уязвимость Excel — невозможность доказать целостность данных.
Связь с другими процессами ИБ. Модуль интегрирован с инвентаризацией ИТ-активов, управлением рисками, контролем соответствия. СКЗИ привязаны к информационным системам, которым они обеспечивают криптозащиту.
Импорт данных. Миграция из Excel или бумажных журналов — через CSV/XLSX-импорт. Процесс занимает от нескольких часов до 2–3 дней.
Результаты автоматизации
| Показатель | Ручной учёт | Автоматизация в SGRC |
|---|---|---|
| Время на поиск записи | 20–30 минут | 3–5 секунд |
| Подготовка к проверке ФСБ | 3–5 рабочих дней | 2–4 часа |
| Ошибки в журналах | 15–20% записей | Менее 1% |
| Контроль сроков сертификатов | Ручная проверка | Автоматические уведомления |
| Формирование отчётов | Невозможно или часы | 1 клик |
Переход на электронный учёт СКЗИ — стратегическое решение, которое окупается уже при первой проверке ФСБ.
Готовы автоматизировать учёт СКЗИ? Скачайте Excel-шаблон журнала, изучите модуль учёта СКЗИ КиберОснова и запросите демонстрацию — покажем реестр криптосредств, автоматическое формирование журналов и контроль сроков на ваших данных.
Часто задаваемые вопросы
Какие организации обязаны вести учёт СКЗИ?
Вести журналы обязаны все организации, эксплуатирующие сертифицированные ФСБ криптосредства. Это государственные органы, операторы персональных данных, субъекты КИИ, финансовые и медицинские организации, а также любые компании, использующие КриптоПро CSP, VipNet или аналогичные СКЗИ для работы с электронной подписью. Основание — Приказ ФАПСИ от 13.06.2001 №152.
Какие журналы обязательны по Приказу ФАПСИ №152?
Приказ ФАПСИ №152 предусматривает три обязательных журнала: поэкземплярный (Приложение 1), технический и журнал ключевых документов (Приложение 2). Каждый журнал решает свою задачу: поэкземплярный фиксирует движение экземпляров, технический — эксплуатационные события, ключевых документов — носители и сертификаты.
Какой штраф за отсутствие журналов СКЗИ?
По ч.2 ст. 13.12 КоАП РФ (ред. 104-ФЗ 2025) штраф за применение несертифицированных средств защиты составляет от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц. Возможна конфискация несертифицированных СЗИ. Дополнительно выдаётся предписание об устранении нарушений, срок давности увеличен до 1 года.
Нужно ли ставить СКЗИ на бухгалтерский учёт?
Да, криптосредства подлежат бухгалтерскому учёту. Программные СКЗИ стоимостью свыше 100 000 рублей учитываются как нематериальные активы на счёте 04 с амортизацией. Лицензии стоимостью до 100 000 рублей списываются в расходы единовременно или через расходы будущих периодов. Аппаратные СКЗИ (токены, HSM) учитываются как основные средства или материальные запасы.
Можно ли вести учёт СКЗИ в Excel?
Excel подходит для организаций с небольшим количеством криптосредств — до 30–50 экземпляров. При большем объёме таблицы создают риски: нет контроля версий, нет разграничения доступа, невозможно доказать целостность данных при проверке ФСБ. Для организаций с 50+ СКЗИ рекомендуется специализированная система с audit trail и автоматическим формированием журналов.
Кто назначается ответственным за криптосредства?
Ответственный назначается приказом руководителя организации — это обязательное требование п. 13 Приказа ФАПСИ №152. Обычно это специалист подразделения ИБ или системный администратор с допуском к криптосредствам. Ответственный ведёт все журналы, контролирует выдачу и возврат СКЗИ, организует уничтожение, готовит материалы к проверкам ФСБ.
Как часто ФСБ проверяет криптосредства?
Плановые проверки проводятся раз в 3–5 лет в зависимости от категории организации. Внеплановые проверки возможны по жалобам, инцидентам или при смене лицензиата. Инспектор сверяет данные журналов с фактическим наличием СКЗИ на рабочих местах, проверяет акты уничтожения, сроки сертификатов и наличие приказа о назначении ответственного.
Какие СКЗИ подлежат учёту, а какие нет?
Учёту подлежат все сертифицированные ФСБ криптосредства: КриптоПро CSP, VipNet, Рутокен, JaCarta, Continent TLS, КриптоАРМ и аналоги. Не подлежат учёту встроенные в ОС средства (BitLocker, FileVault), несертифицированные VPN (OpenVPN, WireGuard), SSL-сертификаты коммерческих УЦ и шифрование в мессенджерах — они не являются СКЗИ в терминах Приказа ФАПСИ №152.
Учёт СКЗИ в организации — обязательный процесс для каждой компании, работающей с сертифицированными криптосредствами. Корректно выстроенный учёт защищает от штрафов при проверках ФСБ, обеспечивает контроль сроков лицензий и сертификатов, упрощает управление жизненным циклом СКЗИ. Автоматизация в SGRC-платформе КиберОснова сокращает трудозатраты ответственного в несколько раз и исключает типичные нарушения, фиксируемые при проверках. Скачайте Excel-шаблон журнала или запросите демо — покажем, как модуль работает на ваших данных.
