Учёт средств защиты информации (СЗИ) — обязательный процесс для каждой организации, эксплуатирующей сертифицированные ФСТЭК средства защиты. Антивирусы, межсетевые экраны, DLP-системы, средства контроля доступа, SIEM, WAF, средства защиты от несанкционированного доступа — всё это СЗИ, которые необходимо учитывать, контролировать и документировать. Приказы ФСТЭК №117 (для ГИС), №21 (для ИСПДн) и №239 (для КИИ) прямо требуют ведения реестра применяемых средств защиты. Отсутствие учёта — штрафы по ст. 13.12 КоАП РФ до 100 000 рублей для юрлиц (ч.2, ред. 104-ФЗ 2025) и обязательное предписание ФСТЭК.
В этом руководстве — полный порядок организации учёта СЗИ: какие средства подлежат учёту, как вести журнал и реестр, какие ошибки допускают чаще всего и как автоматизировать процесс. Статья актуальна на апрель 2026 года.
Какие СЗИ подлежат учёту
Определение СЗИ по ФСТЭК
Средство защиты информации (СЗИ) — техническое, программное или программно-аппаратное средство, предназначенное для защиты информации от несанкционированного доступа, утечки, модификации или уничтожения. ФСТЭК ведёт реестр сертифицированных СЗИ, и каждый продукт в нём имеет номер сертификата, срок действия и класс защиты.
Учёту подлежат все СЗИ, установленные в информационных системах организации, независимо от формы собственности и типа системы. Если СЗИ сертифицировано ФСТЭК и развёрнуто на активах — оно должно быть в реестре.
Классификация СЗИ
Программные СЗИ — антивирусные средства, средства защиты от НСД, DLP-системы, сканеры уязвимостей, SIEM-системы, средства анализа защищённости. Примеры: Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite, Dallas Lock 8.0-K, Secret Net Studio, InfoWatch Traffic Monitor, Positive Technologies MaxPatrol SIEM, RedCheck.
Аппаратные СЗИ — аппаратные модули доверенной загрузки (АМДЗ), электронные замки, аппаратные межсетевые экраны. Примеры: ПАК «Соболь», аппаратные платформы ViPNet Coordinator.
Программно-аппаратные СЗИ — комплексные решения, объединяющие программную и аппаратную части. Примеры: программно-аппаратные комплексы UserGate, ViPNet Coordinator HW, Continent (межсетевой экран и VPN), ПАК Secret Net LSP.
Что НЕ является СЗИ
Не подлежат учёту как СЗИ:
- Стандартные средства ОС — встроенный файрвол Windows, штатные механизмы разграничения доступа Linux, если они не прошли сертификацию ФСТЭК отдельно
- Коммерческие антивирусы без сертификата ФСТЭК — международные продукты, не представленные в реестре ФСТЭК, не являются СЗИ в терминах российского законодательства
- Средства шифрования каналов без сертификации — коммерческие SSL/TLS-сертификаты, VPN-клиенты иностранного производства
- Физические средства защиты — замки, СКУД, видеонаблюдение, сейфы — это средства физической безопасности, они учитываются отдельно
- Криптографические средства — КриптоПро CSP, VipNet CSP, Continent TLS и аналогичные продукты являются СКЗИ, а не СЗИ. Их учёт ведётся по Приказу ФАПСИ №152 и контролируется ФСБ, а не ФСТЭК. Подробнее — в статье учёт СКЗИ в организации
Разделение между СЗИ и СКЗИ — принципиальный момент. Организация может вести оба реестра в одной системе, но документы и проверяющие органы различаются. Путаница между ними — частая причина замечаний при аттестации.
Нормативные требования к учёту СЗИ
Приказы ФСТЭК: три основных документа
Требования к учёту СЗИ содержатся в трёх базовых приказах ФСТЭК. Каждый из них регулирует защиту определённого типа информационных систем, но требования к учёту СЗИ по сути одинаковы.
| Приказ ФСТЭК | Область применения | Ключевое требование к учёту СЗИ |
|---|---|---|
| №117 (с 01.03.2026, заменил №17) | Государственные информационные системы (ГИС) | Перечень применяемых СЗИ с указанием классов защиты, номеров сертификатов |
| №21 (от 18.02.2013) | Информационные системы персональных данных (ИСПДн) | Учёт средств защиты ПДн, соответствие уровню защищённости |
| №239 (от 25.12.2017) | Значимые объекты КИИ | Реестр СЗИ с привязкой к объектам КИИ, контроль обновлений |
Во всех трёх случаях ФСТЭК требует: знать, какие СЗИ установлены, на каких активах, с какими версиями и сертификатами. При проверке инспектор сверяет документацию с фактическим состоянием.
Сертификация ФСТЭК
Каждое СЗИ, применяемое в ГИС, ИСПДн или на объектах КИИ, должно иметь действующий сертификат соответствия ФСТЭК. Сертификат подтверждает, что продукт прошёл оценку соответствия требованиям безопасности и соответствует определённому классу защиты.
Сертификат ФСТЭК имеет ограниченный срок действия — обычно 5 лет. После истечения продукт формально перестаёт быть сертифицированным СЗИ. Организация обязана отслеживать сроки и своевременно обновлять СЗИ до версий с действующими сертификатами.
Актуальный реестр сертифицированных СЗИ доступен на сайте ФСТЭК. При ведении учёта рекомендуется регулярно сверять свой реестр с данными ФСТЭК.
Связь с аттестацией
Учёт СЗИ — составная часть процесса аттестации информационных систем. При аттестации ГИС или ИСПДн проверяется полнота применения средств защиты, их соответствие модели угроз и техническому проекту. Реестр СЗИ — один из ключевых документов аттестационного дела. Подробнее о процессе — в статье об аттестации информационных систем.
Ответственность за нарушения
Административная ответственность за нарушения в части учёта СЗИ предусмотрена несколькими статьями КоАП РФ:
- Ст. 13.12 ч.1 — нарушение условий лицензии в области защиты информации. Штраф (ред. 104-ФЗ 2025): 1–1,5 тыс. руб. для граждан, 1,5–2,5 тыс. руб. для должностных лиц, 15–20 тыс. руб. для юрлиц.
- Ст. 13.12 ч.2 — применение несертифицированных СЗИ (+ конфискация). Штраф (ред. 104-ФЗ 2025): 5–10 тыс. руб. для граждан, 10–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для юрлиц.
- Ст. 13.12 ч.5 — прочие нарушения требований по защите информации. Штраф (ред. 104-ФЗ 2025): 1–2 тыс. руб. для граждан, 2–4 тыс. руб. для должностных лиц, 15–30 тыс. руб. для юрлиц.
Помимо штрафов, ФСТЭК выдаёт предписание об устранении нарушений с конкретными сроками. Неисполнение предписания — основание для повторного производства и увеличенных санкций. Подробнее о проверках — в статье что проверяет ФСТЭК.
Журнал учёта СЗИ: форма и образец
Обязательные поля журнала
В отличие от СКЗИ, для СЗИ не существует единой утверждённой формы журнала — ФСТЭК не регламентирует формат на уровне приложений к приказам. Однако при проверке инспектор ожидает видеть документ, содержащий полную информацию о каждом установленном средстве защиты.
Рекомендуемые поля журнала учёта СЗИ:
| Поле | Описание | Пример |
|---|---|---|
| № п/п | Порядковый номер записи | 1 |
| Наименование СЗИ | Полное название продукта | Kaspersky Endpoint Security для бизнеса |
| Версия | Установленная версия | 12.6.0.4321 |
| Тип СЗИ | Классификация | Антивирусное средство |
| Номер сертификата ФСТЭК | Номер действующего сертификата | №4068 |
| Срок действия сертификата | Дата окончания | 23.01.2029 |
| Профиль защиты | По сертификату ФСТЭК | ИТ.САВЗ.Б4.ПЗ |
| Где установлено | Актив (сервер, АРМ) | SRV-DC-01, АРМ бухгалтерии (15 шт.) |
| Количество лицензий | Число активных лицензий | 250 |
| Ответственный | ФИО и должность | Иванов И.И., специалист ИБ |
| Дата установки | Когда развёрнуто | 15.03.2026 |
| Примечания | Дополнительная информация | Централизованное управление через KSC |
Отличие от журнала СКЗИ
Журнал учёта СЗИ и журнал учёта СКЗИ — разные документы с разной нормативной базой. Ключевые отличия:
- Регулятор: СЗИ контролирует ФСТЭК, СКЗИ — ФСБ
- Нормативная база: СЗИ — приказы ФСТЭК №117/21/239, СКЗИ — Приказ ФАПСИ №152
- Форма журнала: для СЗИ формат рекомендательный, для СКЗИ — строго регламентирован (Приложения 1 и 2 к ФАПСИ №152)
- Что фиксируется: для СЗИ — установка, версия, сертификат, привязка к активам; для СКЗИ — поэкземплярный жизненный цикл (получение, выдача, уничтожение)
- Проверяющий: СЗИ проверяет ФСТЭК (плановые проверки), СКЗИ — территориальные управления ФСБ
Если организация использует и СЗИ, и СКЗИ (а это большинство компаний), необходимо вести оба журнала. Подробности об учёте криптосредств — в руководстве по учёту СКЗИ.
Реестр СЗИ организации
Структура реестра
Реестр СЗИ — расширенная версия журнала, которая включает не только перечень установленных средств защиты, но и связи с другими объектами учёта: активами, информационными системами, нормативными требованиями.
Правильно организованный реестр СЗИ отвечает на вопросы:
- Какие СЗИ защищают конкретный актив? — SRV-DB-01: Kaspersky (антивирус) + Dallas Lock (контроль доступа) + ViPNet Coordinator (МЭ)
- Где установлено конкретное СЗИ? — Dallas Lock 8.0-K: 47 АРМ, 12 серверов
- Какие сертификаты истекают в ближайшие 6 месяцев? — 3 продукта требуют обновления
- Покрыты ли все активы необходимыми СЗИ? — 5 серверов без антивирусной защиты
Связь с активами
Реестр СЗИ без привязки к активам бесполезен. Каждое средство защиты должно быть связано с конкретными серверами, рабочими станциями, сетевым оборудованием, на которых оно установлено. Это позволяет:
- Выявлять активы без защиты (сервер есть, антивируса нет)
- Контролировать лицензионное покрытие (250 лицензий на 260 рабочих станций — дефицит)
- Формировать отчёты для проверок ФСТЭК в разрезе информационных систем
- Оперативно оценивать последствия уязвимости в конкретном СЗИ
Связь между СЗИ и активами — фундамент процесса инвентаризации ИТ-активов. Без актуального реестра активов учёт СЗИ неизбежно содержит пробелы.
Контроль версий и обновлений
Версионный контроль СЗИ — отдельная задача, которую невозможно решить без автоматизации при парке свыше 100 устройств.
Типичная ситуация: организация использует Kaspersky Endpoint Security. На 200 рабочих станциях установлено 4 разные версии. Сертификат ФСТЭК распространяется только на определённые версии. Часть машин работает на несертифицированной версии, и формально организация нарушает требования. При ручном учёте обнаружить это расхождение можно только при полном обходе всех рабочих мест.
Что необходимо отслеживать:
- Установленная версия на каждом активе
- Соответствие версии сертифицированной сборке ФСТЭК
- Наличие критических обновлений
- История изменений версий
Отслеживание сертификатов ФСТЭК
Срок действия сертификата ФСТЭК — критический параметр учёта. После истечения сертификата СЗИ формально не может применяться для защиты ГИС, ИСПДн или объектов КИИ. На практике ФСТЭК допускает продолжение эксплуатации при наличии технической поддержки от производителя, но рекомендует обновление до версии с действующим сертификатом.
Рекомендуемый порядок контроля:
- Вести реестр сертификатов с датами окончания
- Настроить уведомления за 6 месяцев до истечения
- Планировать обновление или замену СЗИ заблаговременно
- Фиксировать факт обновления в реестре
Типичные ошибки учёта СЗИ
Анализ результатов проверок ФСТЭК показывает повторяющиеся нарушения в учёте средств защиты информации.
Ошибка 1: просрочка сертификата ФСТЭК
Самая распространённая проблема. Сертификат истёк, СЗИ продолжает работать, но формально не является сертифицированным средством. При проверке это автоматическое предписание. Причина — отсутствие системы уведомлений. В Excel-реестре на 50+ продуктов ручной контроль сроков неизбежно даёт сбои.
Ошибка 2: расхождение версий
В реестре указана версия 12.5, на рабочих станциях установлена 12.6 (или наоборот). Инспектор сверяет данные реестра с фактически установленным ПО и фиксирует нарушение. Расхождение возникает, когда ИТ-отдел обновляет СЗИ, но не уведомляет подразделение ИБ, ведущее реестр.
Ошибка 3: отсутствие привязки к активам
Реестр содержит список СЗИ, но не указано, на каких конкретно серверах и рабочих станциях они установлены. При проверке невозможно подтвердить полноту покрытия информационной системы средствами защиты. ФСТЭК расценивает это как неполноту документации.
Ошибка 4: нет контроля обновлений
СЗИ не обновляется месяцами. Базы антивируса устарели, сигнатуры IDS не актуальны, патчи межсетевого экрана не установлены. Само по себе это не нарушение учёта, но при проверке ФСТЭК оценивает эффективность применяемых мер защиты, и устаревшее СЗИ — аргумент не в пользу организации.
Ошибка 5: «мёртвые души» в реестре
В реестре числится СЗИ, которое уже удалено с активов или заменено другим продуктом. Обратная ситуация: на сервере установлено СЗИ, которого нет в реестре. Обе ситуации — нарушение.
Ошибка 6: единый реестр без разделения на ИС
Организация ведёт один общий список СЗИ без разделения по информационным системам. При проверке ФСТЭК проверяет конкретную ИС (ГИС, ИСПДн, объект КИИ), и инспектору нужен перечень СЗИ именно для этой системы. Если реестр не структурирован по ИС, формирование такого перечня превращается в многочасовую задачу.
Ошибка 7: нет ответственного за конкретное СЗИ
Реестр заполнен, но графа «ответственный» пуста или содержит общую запись «отдел ИБ». При инциденте или проверке невозможно быстро определить, кто отвечает за обновление, настройку и контроль конкретного средства защиты. Каждое СЗИ должно иметь персонального ответственного с указанием ФИО и должности.
Автоматизируйте учёт СЗИ — агент КиберОснова сканирует сеть и собирает данные о всех установленных средствах защиты автоматически. Расхождения между реестром и фактическим состоянием выявляются при каждом сканировании, а не раз в год при проверке.
Автоматизация учёта: агент инвентаризации
Как работает агент
Агент инвентаризации КиберОснова — программный компонент, устанавливаемый на рабочие станции и серверы организации. Агент выполняет регулярное сканирование и передаёт данные в центральную систему учёта.
Что агент делает автоматически:
- Обнаружение СЗИ — сканирует установленное ПО и выявляет все средства защиты информации (антивирусы, МЭ, средства от НСД, DLP и др.)
- Определение версий — фиксирует точную версию и сборку каждого СЗИ на каждом активе
- Нормализация названий — приводит разные варианты написания к единой карточке продукта (например, «KES 12.6», «Kaspersky Endpoint Security 12.6.0.4321» и «Антивирус Касперский» → одна запись)
- Сверка с реестром ФСТЭК — автоматически проверяет, является ли установленная версия сертифицированной
- Контроль сертификатов — отслеживает сроки действия сертификатов ФСТЭК и уведомляет заблаговременно
- Выявление расхождений — сравнивает данные реестра с фактическим состоянием и формирует отчёт о несоответствиях
Сравнение: Excel vs агент инвентаризации
| Критерий | Excel | Агент КиберОснова |
|---|---|---|
| Обнаружение СЗИ | Ручной обход рабочих мест | Автоматическое сканирование |
| Актуальность данных | На момент последнего обхода | В реальном времени |
| Контроль версий | Ручная сверка | Автоматический, при каждом сканировании |
| Привязка к активам | Ручное заполнение | Автоматическая связь с реестром активов |
| Уведомления о сертификатах | Нет | За 6/3/1 месяц до истечения |
| Аудиторский след | Нет (или только версии файлов) | Полная история изменений |
| Формирование отчётов | Ручное | Автоматическое (по шаблонам ФСТЭК) |
| Выявление расхождений | При проверке | При каждом сканировании |
| Трудозатраты (500 АРМ) | 3–5 дней на полную сверку | 15 минут на анализ отчёта |
При парке до 30–50 устройств Excel справляется. При 100+ устройствах ручной учёт неизбежно содержит ошибки. При 500+ — это постоянная нехватка ресурсов подразделения ИБ. Подробнее о подходах к автоматизации — в статье автоматизация инвентаризации.
Интеграция с процессами ИБ
Автоматизированный учёт СЗИ становится источником данных для смежных процессов:
- Управление уязвимостями — если на СЗИ обнаружена уязвимость, система показывает все активы, на которых оно установлено
- Управление рисками — актив без СЗИ автоматически получает повышенный уровень риска
- Подготовка к проверкам — формирование отчётов в формате, ожидаемом инспектором ФСТЭК
- Категорирование КИИ — перечень СЗИ, применяемых на объектах КИИ, формируется автоматически
В SGRC-платформе КиберОснова модуль учёта СЗИ интегрирован с модулями учёта активов, управления комплаенсом и учёта СКЗИ. Это даёт единую картину состояния защищённости без дублирования данных.
Учёт СЗИ — часть комплексной инвентаризации оборудования и ИТ-активов. Для полноценного контроля состояния СЗИ на рабочих местах используйте мониторинг рабочих станций — агент автоматически проверяет наличие и версии установленных средств защиты.
Чек-лист: 5 шагов для организации учёта СЗИ
Используйте этот чек-лист для запуска или аудита процесса учёта средств защиты информации в организации.
Шаг 1. Провести инвентаризацию установленных СЗИ
Составить полный перечень всех средств защиты информации, установленных на серверах, рабочих станциях и сетевом оборудовании. Зафиксировать: наименование, версию, место установки. Для организаций с 100+ активами — использовать агент инвентаризации для автоматического сбора данных.
Шаг 2. Сверить с реестром сертифицированных СЗИ ФСТЭК
Для каждого обнаруженного СЗИ проверить наличие действующего сертификата ФСТЭК. Зафиксировать номер сертификата, дату окончания, класс защиты. Выявить несертифицированные средства и средства с истёкшими сертификатами.
Шаг 3. Создать реестр СЗИ с привязкой к активам
Оформить реестр по рекомендуемой форме (см. раздел «Журнал учёта СЗИ»). Привязать каждое СЗИ к конкретным активам. Проверить полноту покрытия — все активы в составе ГИС/ИСПДн/КИИ должны быть защищены соответствующими СЗИ.
Шаг 4. Настроить контроль обновлений и сертификатов
Определить порядок обновления СЗИ. Настроить уведомления об истечении сертификатов ФСТЭК за 6 месяцев. Зафиксировать ответственных за каждое направление (антивирус, МЭ, средства от НСД и т.д.).
Шаг 5. Автоматизировать
Перейти от ручного учёта к автоматизированному. Развернуть агент инвентаризации для автоматического обнаружения СЗИ. Настроить регулярную сверку реестра с фактическим состоянием. Автоматизировать формирование отчётов для проверок.
Учёт СЗИ — не разовая задача, а непрерывный процесс. Средства защиты обновляются, сертификаты истекают, активы добавляются и выводятся из эксплуатации. Организация, которая ведёт учёт вручную, неизбежно накапливает расхождения. Автоматизированный учёт в SGRC-платформе решает эту проблему: агент обнаруживает СЗИ, система контролирует сертификаты, отчёты формируются автоматически.
Запросите демо — покажем, как модуль учёта СЗИ КиберОснова работает на реальных данных вашей организации.
