Учёт средств защиты информации — обязательный процесс для любой организации, эксплуатирующей сертифицированные СЗИ. Без структурированного реестра невозможно контролировать сроки сертификатов ФСТЭК и лицензий, обеспечивать полноту покрытия мерами защиты и проходить проверки регуляторов. В этом руководстве — полная структура реестра СЗИ, классификация типов средств защиты, контроль сроков и переход от Excel к автоматизированному учёту в SGRC-платформе.
Зачем нужен учёт средств защиты информации
Требования нормативных актов
Учёт СЗИ — не добровольная практика, а требование регуляторов. Приказы ФСТЭК №117, №21, №31 и №239 обязывают оператора обеспечивать контроль состава средств защиты, установленных в информационных системах. Приказ ФАПСИ №152 устанавливает отдельные требования к поэкземплярному учёту СКЗИ. 152-ФЗ «О персональных данных» обязывает оператора принимать меры по обеспечению безопасности ПДн, а 187-ФЗ «О безопасности КИИ» — обеспечивать защиту значимых объектов.
На практике при любой проверке ФСТЭК или ФСБ инспектор запрашивает перечень применяемых средств защиты с указанием номеров сертификатов и сроков их действия.
Операционная необходимость: контроль лицензий и сертификатов
Помимо регуляторных требований, учёт СЗИ решает практические задачи:
- Контроль сертификатов. Сертификат ФСТЭК выдаётся на 5 лет. Использование СЗИ с истёкшим сертификатом — нарушение при проверке.
- Управление лицензиями. Несвоевременное продление лицензии антивируса или МЭ оставляет системы без защиты.
- Планирование бюджета. Реестр СЗИ позволяет заранее планировать расходы на продление лицензий и замену оборудования.
- Контроль обновлений. Отслеживание версий СЗИ и их совместимости с сертифицированными сборками.
Роль учёта СЗИ при аудите и проверках
При подготовке к аудиту ИБ или проверке ФСТЭК реестр СЗИ — первый документ, который запрашивают проверяющие. Полный и актуальный реестр позволяет:
- подтвердить наличие необходимых средств защиты по каждой мере приказа;
- продемонстрировать действительность сертификатов и лицензий;
- показать привязку СЗИ к конкретным информационным системам;
- представить историю обновлений и изменений.
Организации, ведущие реестр СЗИ в структурированном виде, проходят проверки ФСТЭК в среднем в 3-5 раз быстрее, чем те, кто собирает данные из разрозненных источников.
Какие СЗИ подлежат учёту
Учёту подлежат все средства защиты информации, используемые для выполнения требований регуляторов. Ниже — классификация по типам.
Антивирусные средства
Средства антивирусной защиты (АВЗ) — обязательная мера по всем основным приказам ФСТЭК. Примеры сертифицированных продуктов: Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite, PT MultiScanner. Учитывается версия, количество лицензий, место установки (серверы, АРМ).
Межсетевые экраны и средства обнаружения вторжений
Межсетевые экраны (МЭ) и системы обнаружения вторжений (СОВ/IDS/IPS) — базовые средства сетевой защиты. Примеры: UserGate, Континент, ViPNet Coordinator, Ideco UTM. Для МЭ и СОВ ФСТЭК устанавливает классы (типы) — от 1 до 6 уровня, что необходимо отражать в реестре.
DLP-системы и средства контроля доступа
DLP-системы (защита от утечек): SearchInform, InfoWatch Traffic Monitor, Staffcop. Средства контроля доступа: Dallas Lock, Secret Net Studio. Эти СЗИ обеспечивают меры по управлению доступом (УПД) и защите от несанкционированного доступа.
СКЗИ (особенности учёта)
Средства криптографической защиты информации учитываются с дополнительными требованиями по Приказу ФАПСИ №152: поэкземплярный учёт, специальные журналы, контроль выдачи и возврата ключевых документов. Примеры: КриптоПро CSP, ViPNet Client, Континент-АП. Подробнее — в разделе об отличиях учёта СЗИ и СКЗИ.
Средства анализа защищённости
Сканеры уязвимостей и средства анализа защищённости: MaxPatrol 8, MaxPatrol VM, RedCheck, XSpider. Используются для выполнения мер по контролю (анализу) защищённости (АНЗ). В реестре фиксируется версия, тип лицензии (по количеству хостов/IP), наличие сертификата.
Аппаратные средства защиты
Аппаратные СЗИ: аппаратно-программные МЭ, криптошлюзы, аппаратные модули доверенной загрузки (АПМДЗ), токены и смарт-карты. Для аппаратных СЗИ в реестре дополнительно фиксируются серийный номер, инвентарный номер и физическое местоположение.
Структура реестра СЗИ: обязательные и рекомендуемые поля
Шаблон реестра СЗИ
| № | Поле | Обязательность | Пример значения |
|---|---|---|---|
| 1 | Наименование СЗИ | Обязательно | Kaspersky Endpoint Security 12.5 |
| 2 | Тип СЗИ | Обязательно | Антивирусное средство (АВЗ) |
| 3 | Производитель | Обязательно | АО «Лаборатория Касперского» |
| 4 | Версия/редакция | Обязательно | 12.5.0.539 |
| 5 | Сертификат ФСТЭК (номер) | Обязательно | №4068 |
| 6 | Срок действия сертификата | Обязательно | 22.01.2029 |
| 7 | Номер лицензии | Обязательно | XXXX-XXXX-XXXX-XXXX |
| 8 | Срок действия лицензии | Обязательно | 31.12.2026 |
| 9 | Количество лицензий | Обязательно | 500 |
| 10 | Место установки | Обязательно | Серверы: SRV-01, SRV-02; АРМ: 450 шт. |
| 11 | Связанная ИС | Обязательно | ИСПДн «Кадры», ГИС «Электронный документооборот» |
| 12 | Ответственный | Обязательно | Иванов И.И., ведущий специалист ИБ |
| 13 | Дата установки | Рекомендуется | 15.03.2025 |
| 14 | Дата последнего обновления | Рекомендуется | 10.01.2026 |
| 15 | Статус | Рекомендуется | Активно / Выведено из эксплуатации |
| 16 | Примечания | Рекомендуется | Обновление до v13 запланировано на Q2 2026 |
Создайте реестр СЗИ автоматически — загрузите данные в КиберОснова. Платформа содержит готовую структуру реестра с предзаполненными типами СЗИ и интеграцией с реестром ФСТЭК.
Идентификационные поля
Поля 1-4 (наименование, тип, производитель, версия) — минимальный набор для идентификации СЗИ. Критически важно фиксировать точную версию, так как сертификат ФСТЭК выдаётся на конкретную сборку. Обновление до версии, не указанной в сертификате, формально лишает СЗИ сертифицированного статуса.
Сертификационные и лицензионные данные
Поля 5-9 — ядро реестра для целей комплаенса. Номер сертификата ФСТЭК или ФСБ, срок его действия, параметры лицензии. Эти данные проверяются при любом аудите. Актуальность проверяется через реестр ФСТЭК на reestr.fstec.ru.
Привязка к активам и информационным системам
Поля 10-11 обеспечивают связь СЗИ с инфраструктурой: на каких активах установлено, какие информационные системы защищает. Эта связка критична для gap-анализа — возможности увидеть, какие системы покрыты мерами защиты, а какие нет.
Контроль версий и обновлений СЗИ
Зачем обновлять СЗИ и как контролировать
Обновление СЗИ необходимо для устранения уязвимостей, поддержки новых операционных систем и расширения функциональности. При этом обновление должно быть контролируемым: необходимо проверять, что новая версия входит в область действия сертификата ФСТЭК.
Совместимость обновлений с сертификатами
Типичная проблема: производитель выпускает обновление до версии 13.0, а сертификат ФСТЭК выдан на версии 11.0-12.5. Установка версии 13.0 формально лишает СЗИ сертифицированного статуса. Реестр СЗИ должен содержать информацию о сертифицированных версиях и контролировать соответствие установленной версии.
Политика обновления СЗИ
Рекомендуется разработать политику обновления СЗИ, включающую:
- периодичность проверки наличия обновлений (ежемесячно);
- порядок тестирования обновлений перед развёртыванием;
- проверку совместимости с сертификатом ФСТЭК;
- порядок согласования и утверждения обновления;
- фиксацию обновления в реестре СЗИ.
Контроль сроков действия сертификатов и лицензий
Сертификаты ФСТЭК: реестр и сроки
Сертификат ФСТЭК на СЗИ обычно действует 5 лет. По истечении срока производитель может оформить продление (процедура длительная — до 6 месяцев). Организация должна:
- отслеживать сроки действия сертификатов всех эксплуатируемых СЗИ;
- инициировать процесс замены или продления за 6-12 месяцев до истечения;
- проверять актуальность через реестр ФСТЭК (reestr.fstec.ru).
Лицензии: продление и замена
Лицензии на СЗИ (особенно антивирусные средства и сканеры уязвимостей) требуют ежегодного продления. Просроченная лицензия означает прекращение обновления баз — СЗИ фактически не выполняет свою функцию.
Автоматические уведомления о приближении сроков
Ручной контроль сроков при 20+ наименованиях СЗИ — гарантированный путь к пропущенным дедлайнам. SGRC-платформа решает эту задачу автоматическими уведомлениями: за 6 месяцев до истечения сертификата, за 3 месяца до истечения лицензии, при обнаружении несоответствия установленной версии и сертифицированной.
Автоматические уведомления об истечении сертификатов — встроенная функция КиберОснова. Запросите демо, чтобы увидеть систему контроля сроков в действии.
Учёт СЗИ и учёт СКЗИ: общее и отличия
Требования Приказа ФАПСИ №152 к СКЗИ
Учёт СКЗИ регулируется значительно строже, чем учёт остальных СЗИ. Приказ ФАПСИ №152 требует:
- поэкземплярный учёт каждого экземпляра СКЗИ (по серийному номеру);
- ведение специализированных журналов учёта (журнал поэкземплярного учёта, технический журнал);
- контроль выдачи и возврата ключевых документов и носителей;
- акты установки/уничтожения СКЗИ;
- назначение ответственного за учёт СКЗИ (орган криптографической защиты).
Подробнее о ведении журналов учёта СКЗИ — в отдельных материалах блога.
Единый реестр с раздельным учётом
Оптимальный подход — вести единый реестр СЗИ, в котором СКЗИ выделены в отдельную категорию с расширенным набором полей. Это позволяет:
- видеть полную картину средств защиты организации в одном месте;
- обеспечивать дополнительные поля для СКЗИ (серийный номер, ключевые документы, акты);
- формировать отдельные отчёты по СКЗИ для проверок ФСБ;
- сохранять связь СКЗИ с общей инфраструктурой (активы, ИС).
Модуль учёта СКЗИ в КиберОснова интегрирован с общим реестром СЗИ и модулем инвентаризации.
Связь учёта СЗИ с инвентаризацией активов
Актив — СЗИ — Информационная система
Учёт СЗИ наиболее эффективен, когда встроен в общую модель инвентаризации ИТ-активов. Связка выглядит так:
- Актив (сервер, АРМ, сетевое оборудование) — на нём установлено СЗИ.
- СЗИ (антивирус, МЭ, DLP) — защищает актив и входящие в него данные.
- Информационная система (ГИС, ИСПДн, объект КИИ) — включает активы и требует определённых мер защиты по приказу ФСТЭК.
Эта трёхуровневая связка позволяет ответить на ключевые вопросы: все ли активы ИСПДн защищены антивирусом? На всех ли серверах ГИС установлен сертифицированный МЭ?
Покрытие мерами защиты
На основе связки «актив — СЗИ — ИС» формируется карта покрытия мерами защиты. Для каждой меры приказа ФСТЭК (например, АВЗ.1 «Реализация антивирусной защиты») можно определить:
- какие СЗИ реализуют эту меру;
- на каких активах установлены эти СЗИ;
- какие активы не покрыты.
Анализ пробелов (gap-анализ)
Gap-анализ — сопоставление требуемых мер защиты (по приказу ФСТЭК) с фактически реализованными (через реестр СЗИ). Результат — список пробелов: мер, которые не закрыты или закрыты частично. Автоматизированный gap-анализ — одно из ключевых преимуществ SGRC-платформы перед ведением реестра в Excel.
Автоматизация учёта СЗИ: от Excel к SGRC
Проблемы ведения реестра в Excel
Большинство организаций начинают учёт СЗИ в Excel. При небольшом количестве СЗИ (до 10-15 наименований) это допустимо. Но при росте количества возникают системные проблемы:
| Проблема | Excel | SGRC-платформа |
|---|---|---|
| Контроль сроков | Ручной, легко пропустить | Автоматические уведомления |
| Связь с активами | Ручная, через ссылки | Автоматическая, в модели данных |
| Многопользовательский доступ | Конфликты версий | Ролевой доступ, одна база |
| История изменений | Отсутствует | Полный аудиторский след |
| Отчёты для аудита | Ручная компиляция | Генерация одним кликом |
| Масштабирование | Ломается при 50+ записях | Без ограничений |
| Связь с комплаенсом | Отсутствует | Gap-анализ по приказам ФСТЭК |
Возможности SGRC-платформы
SGRC-платформа трансформирует учёт СЗИ из статической таблицы в динамическую систему управления:
- Автоматический импорт. Загрузка данных из существующих реестров (Excel, CSV) при первичной миграции.
- Интеграция с реестром ФСТЭК. Автоматическая проверка актуальности сертификатов.
- Связь с инвентаризацией. Каждое СЗИ привязано к активам и информационным системам.
- Контроль комплаенса. Автоматический gap-анализ по приказам ФСТЭК №117, №21, №31, №239.
- Уведомления. Напоминания об истечении сертификатов, лицензий, необходимости обновления.
- Аудиторский след. Полная история изменений каждой записи — кто, когда, что изменил.
- Отчёты. Формирование отчётов для проверок ФСТЭК и ФСБ в один клик.
КиберОснова: реестр СЗИ + инвентаризация + комплаенс
КиберОснова объединяет учёт СЗИ с полным циклом управления ИБ:
- Реестр СЗИ с готовой структурой полей и классификацией типов.
- Модуль инвентаризации — учёт всех ИТ-активов с привязкой к СЗИ.
- Модуль учёта СКЗИ — поэкземплярный учёт с журналами по Приказу ФАПСИ №152.
- Документы ИБ — политики, регламенты, акты в связке с реестром СЗИ.
- Контроль соответствия требованиям ФСТЭК (Приказы №117, №21, №31, №239) с автоматическим gap-анализом.
Перенесите учёт СЗИ из Excel в профессиональную платформу. Запросите демо КиберОснова, чтобы увидеть реестр СЗИ с автоматическим контролем сроков и gap-анализом.
FAQ — Частые вопросы об учёте СЗИ
Какие средства защиты информации подлежат учёту?
Учёту подлежат все СЗИ: антивирусные средства, межсетевые экраны, IDS/IPS, DLP-системы, средства контроля доступа, СКЗИ, сканеры уязвимостей, средства защиты виртуализации, аппаратные средства защиты. Учитываются как программные, так и аппаратные СЗИ.
Чем учёт СЗИ отличается от учёта СКЗИ?
Учёт СКЗИ — частный случай учёта СЗИ с дополнительными требованиями по Приказу ФАПСИ №152: поэкземплярный учёт, специальные журналы, контроль ключевых документов. Рекомендуется вести единый реестр СЗИ с выделенным разделом для СКЗИ.
Какие поля должен содержать реестр СЗИ?
Обязательные поля: наименование, тип, производитель, версия, сертификат ФСТЭК/ФСБ (номер и срок), лицензия (номер и срок), количество лицензий, место установки, связанная ИС, ответственный. Рекомендуемые: дата установки, дата последнего обновления, статус, примечания.
Зачем контролировать сроки действия сертификатов СЗИ?
СЗИ с истёкшим сертификатом ФСТЭК квалифицируется как нарушение при проверке. Последствия: предписание о замене, штраф по ст. 13.12 КоАП, отзыв аттестата ИС. Сертификаты выдаются на 5 лет — необходимо начинать процесс продления за 6-12 месяцев до истечения.
Можно ли вести учёт СЗИ в Excel?
При количестве до 15-20 наименований — допустимо. При большем объёме Excel не обеспечивает контроль сроков, связь с активами, аудиторский след и отчётность для проверок. SGRC-платформа КиберОснова решает все эти задачи с автоматическими уведомлениями и gap-анализом.
Заключение
Учёт средств защиты информации — фундаментальный процесс, без которого невозможно ни обеспечить реальную безопасность, ни пройти проверку регулятора. Структурированный реестр СЗИ с контролем сертификатов, лицензий и привязкой к активам — обязательный элемент системы управления ИБ.
Ключевые рекомендации:
- Ведите единый реестр всех СЗИ с минимум 12 обязательными полями.
- Контролируйте сроки сертификатов ФСТЭК — начинайте продление за 6-12 месяцев.
- Обеспечьте связку «СЗИ — актив — информационная система» для gap-анализа.
- Выделите СКЗИ в отдельную категорию с дополнительными полями по Приказу ФАПСИ №152.
- Перейдите от Excel к SGRC-платформе при объёме более 20 наименований СЗИ.
КиберОснова объединяет реестр СЗИ, инвентаризацию активов, учёт СКЗИ и контроль соответствия требованиям ФСТЭК в единой платформе. Запросите демо, чтобы увидеть автоматизированный учёт СЗИ в действии.
