Журнал учёта СКЗИ — обязательный документ для каждой организации, эксплуатирующей сертифицированные криптосредства. Его отсутствие при проверке ФСБ гарантированно приводит к предписаниям и штрафам. В этом руководстве — готовый образец журнала СКЗИ с примером заполнения по Приложению 1 Инструкции ФАПСИ №152, конкретные примеры записей для КриптоПро CSP 5.0, VipNet Client, аппаратных токенов, а также разбор типичных ошибок и способы автоматизации. В конце статьи — бесплатный Excel-шаблон для скачивания.
Что такое журнал учёта СКЗИ и зачем он нужен
Журнал учёта средств криптографической защиты информации (СКЗИ) — это регистрационный документ, в котором фиксируется полный жизненный цикл каждого экземпляра криптосредства: от получения до уничтожения. Журнал является центральным элементом организации учёта СКЗИ по требованиям ФАПСИ №152. Документ ведётся в бумажном или электронном виде и предъявляется при проверках ФСБ России.
Суть журнала — обеспечить прослеживаемость. Регулятор должен видеть, какие СКЗИ используются в организации, кому выданы, на каких рабочих местах установлены, когда и кем проведены операции с ключевыми документами. Без этой информации невозможно подтвердить соблюдение условий эксплуатации криптосредств.
Журнал учёта СКЗИ — не формальность. Это рабочий инструмент, который позволяет ответственному за СКЗИ контролировать актуальность лицензий, сроки действия сертификатов соответствия, своевременность замены ключевых носителей и корректность уничтожения выведенных из эксплуатации средств. При грамотном ведении журнал существенно упрощает подготовку к проверкам и снижает операционные риски.
Нормативные требования: Приказ ФАПСИ №152
Основной нормативный документ — Приказ ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Несмотря на ликвидацию ФАПСИ в 2003 году, приказ действует и является основным регуляторным документом ФСБ по учёту СКЗИ.
Ключевые требования Приказа №152:
- Пункт 26: организация обязана вести поэкземплярный учёт СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
- Пункт 28: учёт ведётся по формам, приведённым в приложениях к Инструкции (Приложение 1 — для СКЗИ, Приложение 2 — для ключевых документов).
- Пункт 30: журналы учёта ведутся ответственным пользователем СКЗИ, назначенным приказом руководителя.
- Пункт 34: журналы хранятся не менее 5 лет после последней записи.
Дополнительно требования к учёту СКЗИ содержатся в Приказе ФСБ от 09.02.2005 №66 (для операторов ПДн) и Приказе ФСБ от 10.07.2014 №378 (меры защиты ПДн при использовании СКЗИ).
Кто обязан вести учёт СКЗИ
Обязанность вести журнал учёта СКЗИ распространяется на все организации, эксплуатирующие сертифицированные ФСБ криптосредства. На практике это:
- Государственные органы и учреждения — используют СКЗИ для защиты ГИС, СМЭВ, электронного документооборота.
- Операторы персональных данных — при использовании СКЗИ для защиты ПДн (требование Приказа ФСБ №378).
- Субъекты КИИ — при криптографической защите значимых объектов КИИ.
- Финансовые организации — банки, страховые, НФО (требования Банка России по ГОСТ-шифрованию).
- Медицинские организации — защита ЕГИСЗ, региональных медицинских систем.
- Любые компании с ЭЦП/УКЭП — если используется КриптоПро CSP, VipNet CSP или аналогичные СКЗИ для работы с квалифицированной электронной подписью.
Ответственный за учёт СКЗИ назначается приказом руководителя. Как правило, это специалист подразделения ИБ или системный администратор с допуском к криптосредствам. В крупных организациях ответственный за СКЗИ — выделенная штатная единица.
Последствия отсутствия учёта: штрафы и предписания
Проверки учёта СКЗИ проводит 8 Центр ФСБ (для федеральных организаций) и территориальные управления ФСБ. Отсутствие журнала учёта или грубые нарушения в его ведении квалифицируются по нескольким статьям:
- Ст. 13.12 ч.2 КоАП РФ (применение несертифицированных СЗИ, ред. 104-ФЗ 2025): штраф для должностных лиц — 10 000–50 000 ₽, для юридических лиц — 50 000–100 000 ₽ (+ конфискация).
- Ст. 13.12 ч.2 (грубое нарушение): штраф до 100 000 ₽ для юрлиц или приостановка деятельности на срок до 90 суток.
- Ст. 13.6 КоАП РФ (нарушение условий лицензии): применяется к лицензиатам ФСБ.
Помимо штрафов, проверяющий выдаёт предписание об устранении нарушений с конкретными сроками. Неисполнение предписания — основание для повторного административного производства и возможной приостановки лицензии.
Практика показывает: наличие корректно заполненного журнала учёта СКЗИ — первое, что проверяет инспектор ФСБ. Это «входной билет» для успешного прохождения проверки.
Виды журналов учёта СКЗИ
Приказ ФАПСИ №152 предусматривает два основных вида журналов, которые решают разные задачи. Путаница между ними — одна из самых частых ошибок при подготовке к проверке.
Журнал поэкземплярного учёта СКЗИ
Журнал поэкземплярного учёта СКЗИ — основной регистрационный документ. Фиксирует движение каждого экземпляра криптосредства на протяжении всего жизненного цикла. Каждая запись содержит:
- Наименование и версию СКЗИ
- Серийный (регистрационный) номер
- Номер сертификата соответствия ФСБ
- Данные о получении (откуда, когда, номер сопроводительного документа)
- Данные о выдаче пользователю (ФИО, подпись, дата)
- Данные об установке (ПЭВМ, hostname, местоположение)
- Данные об изъятии, возврате, уничтожении
Форма поэкземплярного учёта — обязательное Приложение 1 к Инструкции ФАПСИ №152. Аналогичная форма (Приложение 2) ведётся для ключевых документов: носителей ключевой информации, ключей ЭП, контейнеров.
Технический (аппаратный) журнал
Помимо поэкземплярного, существует технический журнал СКЗИ, который фиксирует события эксплуатации: настройку, обновление, ремонт, замену компонентов, техническое обслуживание. Он ведётся для аппаратных СКЗИ (HSM, криптошлюзы, аппаратные токены), но рекомендуется и для программных.
Типовые записи технического журнала:
- Дата и время события
- Тип операции (установка, обновление, замена ключей, ремонт)
- Описание выполненных действий
- ФИО исполнителя
- Результат (успех/отказ, выявленные проблемы)
- Номер и дата акта (при необходимости)
Технический журнал критически важен при эксплуатации аппаратно-программных комплексов: Континент, ViPNet Coordinator, S-Terra, Рутокен ЭЦП, JaCarta ГОСТ. Для этих устройств ФСБ требует фиксацию каждой операции обслуживания.
Чем отличаются и когда нужны оба
| Параметр | Поэкземплярный учёт | Технический учёт |
|---|---|---|
| Что фиксирует | Жизненный цикл экземпляра | Эксплуатационные события |
| Объект учёта | СКЗИ + ключевые документы | Аппаратные и программные СКЗИ |
| Основание | Приказ ФАПСИ №152, п.26 | Приказ ФАПСИ №152, п.48 |
| Обязательность | Обязателен для всех | Обязателен для аппаратных СКЗИ |
| Кто ведёт | Ответственный за СКЗИ | Ответственный за СКЗИ / инженер |
| Срок хранения | 5 лет | 5 лет |
| Пример записи | «Получен КриптоПро CSP, сер. №...» | «Обновлён КриптоПро CSP с 5.0.12000 до 5.0.13000» |
На практике большинство организаций ведут оба журнала, даже если используют только программные СКЗИ. Это избыточно с точки зрения буквы закона, но страхует от вопросов инспектора. Рекомендация: если в организации есть хотя бы один аппаратный токен (Рутокен, JaCarta, eToken) — ведите оба журнала.
Форма журнала поэкземплярного учёта СКЗИ (образец)
Форма поэкземплярного учёта приведена в Приложении 1 к Инструкции ФАПСИ №152. Ниже — адаптированный образец с комментариями по заполнению каждой графы.
Обязательные графы
Журнал поэкземплярного учёта СКЗИ содержит следующие обязательные графы (нумерация соответствует Приложению 1):
- Порядковый номер записи — сквозная нумерация, без пропусков.
- Наименование СКЗИ — полное наименование с указанием версии (например, «КриптоПро CSP версия 5.0 R3»).
- Серийный (регистрационный) номер — уникальный номер экземпляра или лицензии.
- Номер сертификата соответствия ФСБ — действующий сертификат с номером и сроком.
- Дата получения — фактическая дата поступления в организацию.
- Откуда получено — наименование поставщика или вышестоящего органа.
- Номер сопроводительного документа — номер накладной, акта приёма-передачи.
- Дата выдачи (установки) — дата передачи пользователю или установки на ПЭВМ.
- ФИО получателя — полные ФИО сотрудника, получившего СКЗИ.
- Подпись получателя — собственноручная подпись (в бумажном варианте).
- Наименование ПЭВМ — hostname или инвентарный номер.
- Местоположение — кабинет, здание, адрес.
- Дата изъятия (возврата) — при деинсталляции или возврате.
- Дата уничтожения — дата акта уничтожения СКЗИ.
- Номер акта уничтожения — ссылка на акт.
- Примечание — дополнительные сведения.
Образец формы (таблица)
| № п/п | Наименование СКЗИ | Серийный номер | Сертификат ФСБ | Дата получения | Откуда получено | Сопров. документ | Дата выдачи | ФИО получателя | Подпись | ПЭВМ | Размещение | Дата изъятия | Дата уничтожения | Акт уничтожения | Примечание |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | |||||||||||||||
| 2 | |||||||||||||||
| 3 |
Журнал прошивается, нумеруется, скрепляется печатью организации и подписью руководителя. Титульный лист содержит: наименование организации, название журнала, дату начала ведения, ФИО ответственного.
Скачать шаблон журнала
Готовый шаблон журнала поэкземплярного учёта СКЗИ в формате Excel можно скачать на сайтах регуляторов или сформировать автоматически в Модуле учёта СКЗИ платформы КиберОснова. Модуль генерирует печатные формы по Приложению 1 и Приложению 2 к Инструкции ФАПСИ №152, заполненные актуальными данными из реестра.
При самостоятельном создании шаблона убедитесь, что форма содержит все 16 граф. Удаление или объединение столбцов — нарушение, которое инспектор зафиксирует в акте проверки.
Скачать шаблон журнала учёта СКЗИ (Excel, форма ФАПСИ №152) — готовый файл с заполненными заголовками по 19 колонкам, примерами строк и листом-инструкцией. Скачать бесплатно
Пример заполнения журнала учёта СКЗИ
Рассмотрим конкретные примеры заполнения для распространённых СКЗИ. Каждый пример — реалистичная запись, которую можно использовать как образец для своей организации.
КриптоПро CSP 5.0
КриптоПро CSP — самое распространённое программное СКЗИ в России. Используется для формирования и проверки УКЭП, TLS-шифрования, защиты электронного документооборота.
| Графа | Значение |
|---|---|
| № п/п | 1 |
| Наименование СКЗИ | КриптоПро CSP версия 5.0 R3 |
| Серийный номер | 50R3-A0B1C-2D3E4-F5G6H |
| Сертификат ФСБ | СФ/124-4592 до 31.12.2026 |
| Дата получения | 15.01.2026 |
| Откуда получено | ООО «КриптоПро» (дистрибьютор ООО «ИнфоТеКС Дистрибуция») |
| Сопров. документ | Счёт-фактура №КП-2026/0142 от 14.01.2026 |
| Дата выдачи | 17.01.2026 |
| ФИО получателя | Иванов Алексей Сергеевич |
| ПЭВМ | WKS-BUH-012 |
| Размещение | г. Москва, ул. Ленина, 10, каб. 305 |
| Дата изъятия | — |
| Дата уничтожения | — |
| Акт уничтожения | — |
| Примечание | Лицензия бессрочная, для работы с УКЭП в СБИС |
Обратите внимание: указывается полная версия с номером релиза (R3), а не просто «КриптоПро». Серийный номер — номер лицензии, выданной при покупке. Сертификат ФСБ проверяется на сайте ФСБ или КриптоПро — необходимо указать действующий номер и срок.
VipNet Client
VipNet Client — СКЗИ для организации защищённых каналов связи (VPN). Широко применяется в государственных сетях и ГИС.
| Графа | Значение |
|---|---|
| № п/п | 2 |
| Наименование СКЗИ | ViPNet Client 4 (версия 4.5.2) |
| Серийный номер | VN4-2026-00987-LIC |
| Сертификат ФСБ | СФ/525-4120 до 01.07.2027 |
| Дата получения | 20.01.2026 |
| Откуда получено | АО «ИнфоТеКС» |
| Сопров. документ | Акт приёма-передачи №ИТ-260120 от 18.01.2026 |
| Дата выдачи | 22.01.2026 |
| ФИО получателя | Петрова Марина Владимировна |
| ПЭВМ | WKS-IT-007 |
| Размещение | г. Москва, ул. Ленина, 10, каб. 201 |
| Дата изъятия | — |
| Дата уничтожения | — |
| Акт уничтожения | — |
| Примечание | Подключение к сети ViPNet №1547, узел 0x1A2B3C4D |
Для ViPNet обязательно фиксируйте номер сети и идентификатор узла — эту информацию запрашивают при проверках взаимодействия между участниками защищённой сети.
Аппаратные СКЗИ (токены, HSM)
Аппаратные СКЗИ учитываются по тем же правилам, но с указанием серийного номера устройства (нанесён на корпус).
| Графа | Значение |
|---|---|
| № п/п | 3 |
| Наименование СКЗИ | Рутокен ЭЦП 3.0 |
| Серийный номер | 2A:4B:6C:8D:0E:1F (с корпуса устройства) |
| Сертификат ФСБ | СФ/114-4300 до 15.03.2027 |
| Дата получения | 10.01.2026 |
| Откуда получено | ООО «Актив» (поставка по договору №АКТ-2025/89) |
| Сопров. документ | Товарная накладная №1042 от 09.01.2026 |
| Дата выдачи | 12.01.2026 |
| ФИО получателя | Сидоров Дмитрий Николаевич |
| ПЭВМ | WKS-DIR-001 |
| Размещение | г. Москва, ул. Ленина, 10, каб. 401 (кабинет директора) |
| Дата изъятия | — |
| Дата уничтожения | — |
| Акт уничтожения | — |
| Примечание | Содержит контейнер УКЭП руководителя, срок сертификата ключа до 15.01.2027 |
Аналогично заполняются записи для JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ, а также аппаратных HSM (КриптоПро HSM, Рутокен KeyBox, Thales Luna в российской сертификации).
Для аппаратных СКЗИ серийный номер — это номер с корпуса устройства, а не программный идентификатор. Инспектор ФСБ проверяет физическое наличие устройства и сверяет серийный номер визуально.
Типичные ошибки при заполнении
На основе практики проверок выделяются следующие повторяющиеся ошибки:
1. Неполное наименование СКЗИ. Запись «КриптоПро» вместо «КриптоПро CSP версия 5.0 R3». Инспектор требует точное наименование, совпадающее с формуляром СКЗИ.
2. Отсутствие номера сертификата ФСБ. Сертификат — подтверждение того, что СКЗИ прошло оценку соответствия. Без номера запись считается неполной.
3. Использование просроченного сертификата соответствия. Если сертификат ФСБ истёк, а СКЗИ продолжает эксплуатироваться — это грубое нарушение, которое фиксируется отдельно от ошибок журнала.
4. Пропуск записей об уничтожении. Удалили СКЗИ с компьютера — записи в журнале нет. Инспектор видит «установлено, но не уничтожено» и требует либо предъявить экземпляр, либо акт уничтожения.
5. Отсутствие подписей получателей. В бумажном журнале подпись обязательна. Запись без подписи — незавершённая операция выдачи.
6. Несовпадение hostname ПЭВМ. В журнале указано одно имя, на компьютере — другое. Инспектор проверяет hostname через командную строку.
7. Неактуальные записи. Сотрудник уволился, СКЗИ не изъято и не переоформлено. Это и нарушение учёта, и инцидент безопасности.
Краткая справка: технический журнал СКЗИ
Технический журнал — документ эксплуатационного учёта. Он фиксирует все технические операции с криптосредствами и является обязательным для аппаратных СКЗИ. Подробный разбор формы, граф и заполнения — в отдельной статье Технический журнал СКЗИ.
Структура
Унифицированная форма технического журнала содержит следующие графы:
| № п/п | Дата и время | Наименование СКЗИ | Серийный номер | Тип операции | Описание работ | Исполнитель (ФИО, должность) | Результат | Номер акта / документа | Примечание |
|---|---|---|---|---|---|---|---|---|---|
Типы операций, фиксируемых в техническом журнале:
- Установка — первичная инсталляция СКЗИ на ПЭВМ или ввод в эксплуатацию аппаратного устройства.
- Обновление — переход на новую версию (patch, minor, major release).
- Замена ключей — плановая или внеплановая смена ключевых документов.
- Техническое обслуживание — профилактика, проверка работоспособности, диагностика.
- Ремонт — устранение неисправностей аппаратных СКЗИ.
- Вывод из эксплуатации — деинсталляция, списание, передача.
Пример записей по обслуживанию
| № | Дата и время | СКЗИ | Серийный номер | Операция | Описание | Исполнитель | Результат | Акт | Примечание |
|---|---|---|---|---|---|---|---|---|---|
| 1 | 15.01.2026 09:30 | КриптоПро CSP 5.0 R3 | 50R3-A0B1C-... | Установка | Установка на WKS-BUH-012, настройка контейнера УКЭП | Козлов А.В., инженер ИБ | Успешно | Акт устан. №12/2026 | — |
| 2 | 22.01.2026 14:15 | ViPNet Client 4.5.2 | VN4-2026-00987 | Установка | Установка, регистрация в сети ViPNet №1547, импорт ключей | Козлов А.В., инженер ИБ | Успешно | Акт устан. №14/2026 | Узел 0x1A2B3C4D |
| 3 | 10.02.2026 11:00 | Рутокен ЭЦП 3.0 | 2A:4B:6C:8D:0E:1F | Замена ключей | Перевыпуск сертификата УКЭП, генерация новой ключевой пары | Козлов А.В., инженер ИБ | Успешно | — | Новый серт. до 10.02.2027 |
| 4 | 14.02.2026 16:45 | Континент TLS VPN Сервер | CTLS-2024-0055 | Обновление | Обновление ПО с 2.2.1 до 2.2.3, применение патча безопасности | Иванов С.П., админ ИБ | Успешно | — | Плановое обновление |
| 5 | 18.02.2026 10:30 | КриптоПро CSP 5.0 R2 | 50R2-X9Y8Z-... | Вывод из экспл. | Деинсталляция с WKS-HR-003 (замена на R3), гарантированное удаление | Козлов А.В., инженер ИБ | Успешно | Акт уничт. №3/2026 | Перенос в поэкз. журнал |
Каждая запись технического журнала должна содержать достаточно информации для восстановления хронологии событий. Инспектор ФСБ сверяет записи технического журнала с поэкземплярным: даты установки и уничтожения должны совпадать.
Электронный vs бумажный журнал учёта СКЗИ
Традиционно журнал учёта СКЗИ ведётся на бумаге: прошитый, пронумерованный, скреплённый печатью. Однако при парке в сотни экземпляров СКЗИ бумажный учёт становится неуправляемым. Рассмотрим условия перехода на электронный формат.
Требования к электронному ведению
Приказ ФАПСИ №152 не запрещает электронное ведение журнала. Однако ФСБ при проверках предъявляет следующие требования к электронной системе:
- Аутентификация пользователей — доступ к журналу только для авторизованных сотрудников (ответственного за СКЗИ и его заместителя).
- Журналирование изменений (аудит-трейл) — фиксация всех операций: создание, изменение, удаление записей с указанием автора и времени.
- Защита целостности — невозможность незаметного изменения или удаления записей задним числом.
- Формирование печатных копий — возможность в любой момент распечатать журнал в формате, соответствующем Приложениям к Инструкции.
- Резервное копирование — защита от потери данных при отказе оборудования.
На практике территориальные управления ФСБ по-разному относятся к электронному ведению. Рекомендация: вести электронный журнал как основной рабочий инструмент, но ежеквартально распечатывать и подшивать бумажную копию. Это исключает претензии любого инспектора.
Преимущества автоматизации
Автоматизация учёта СКЗИ радикально снижает трудозатраты и вероятность ошибок:
- Скорость инвентаризации: вместо ручного обхода рабочих мест — автоматическое сканирование сети и сверка с реестром.
- Контроль сроков: автоматические уведомления об истечении сертификатов ФСБ, лицензий, сертификатов ключей ЭП.
- Исключение дублирования: один экземпляр СКЗИ — одна запись. Система не позволит создать дубликат.
- Генерация отчётов: печатные формы по Приложениям 1 и 2, сводные отчёты по подразделениям, статистика по типам СКЗИ.
- Аудит-трейл из коробки: каждое действие логируется, история изменений доступна в один клик.
- Подготовка к проверке: формирование полного комплекта документов за минуты, а не дни.
Для организаций с парком от 50 экземпляров СКЗИ автоматизация — не опция, а необходимость. Ручной учёт в Excel при таком масштабе гарантированно приведёт к рассинхронизации данных.
Как перейти с Excel
Многие организации начинают учёт СКЗИ в Excel. Это допустимо на старте, но создаёт риски: файл не защищён от редактирования задним числом, нет аудит-трейла, версионирование ручное, совместный доступ проблематичен.
Пошаговый план миграции:
- Аудит текущего Excel: проверьте полноту граф (все 16 по Приложению 1), актуальность записей, наличие записей об уничтожении.
- Выбор целевой системы: SGRC-платформа с модулем учёта СКЗИ, специализированное ПО или собственная разработка.
- Импорт данных: перенос записей из Excel с валидацией: проверка серийных номеров, сертификатов ФСБ, дат.
- Верификация: физическая сверка реестра с фактически установленными СКЗИ на рабочих местах.
- Закрытие бумажного журнала: последняя запись — «Данные перенесены в АС учёта СКЗИ, акт миграции №... от ...».
- Обучение: инструктаж ответственного за СКЗИ по работе в новой системе.
Автоматизация учёта СКЗИ в SGRC-системе
SGRC-система (Security Governance, Risk, Compliance) — класс платформ для управления процессами информационной безопасности. Учёт СКЗИ — один из базовых модулей, который интегрируется с остальными процессами ИБ: управлением рисками, комплаенсом, инвентаризацией активов.
Задачи модуля
Модуль учёта СКЗИ в SGRC-системе решает полный спектр задач, предусмотренных Приказом ФАПСИ №152:
- Реестр СКЗИ: единая база всех экземпляров с полными метаданными (наименование, версия, серийный номер, сертификат ФСБ, местоположение).
- Поэкземплярный учёт: автоматизированное ведение журнала по Приложениям 1 и 2 с контролем полноты граф.
- Технический учёт: регистрация операций обслуживания с привязкой к экземплярам.
- Контроль сроков: мониторинг сертификатов соответствия ФСБ, лицензий, сертификатов ключей ЭП с уведомлениями.
- Движение СКЗИ: оформление выдачи, возврата, перемещения, уничтожения с электронным согласованием.
- Генерация документов: печатные формы журналов, акты установки/уничтожения, отчёты для проверок ФСБ.
- Аудит-трейл: полная история изменений каждой записи.
Пример работы в КиберОснова
Платформа КиберОснова реализует Модуль учёта СКЗИ со следующей функциональностью:
Регистрация нового СКЗИ. Оператор создаёт карточку экземпляра: вводит наименование (автодополнение из справочника), серийный номер, выбирает сертификат ФСБ из актуального реестра. Система автоматически проверяет срок действия сертификата и предупреждает, если он истекает в ближайшие 90 дней.
Выдача пользователю. Оператор выбирает экземпляр СКЗИ и сотрудника из справочника кадров. Система формирует запись в журнале поэкземплярного учёта, генерирует акт выдачи для подписания. Дата, ФИО, рабочее место заполняются автоматически.
Контроль сроков. Дашборд отображает СКЗИ с истекающими сертификатами ФСБ, просроченными лицензиями, подходящим сроком замены ключей. Уведомления отправляются ответственному за 30, 14 и 7 дней до дедлайна.
Подготовка к проверке. Один клик — система формирует полный комплект: журнал поэкземплярного учёта, журнал технического учёта, реестр СКЗИ по подразделениям, сводку по сертификатам ФСБ. Документы готовы к печати в формате Приложений к Инструкции ФАПСИ №152.
Если ваша организация ведёт учёт СКЗИ вручную и хочет перейти на автоматизацию — запросите демо платформы КиберОснова. Специалисты покажут модуль на реальных данных и помогут спланировать миграцию.
Интеграция с реестром
Ключевое преимущество SGRC-подхода — интеграция учёта СКЗИ с другими процессами ИБ:
- Инвентаризация активов: СКЗИ привязаны к конкретным активам (рабочие станции, серверы). Изменение в инвентаризации автоматически отражается в учёте СКЗИ.
- Управление рисками: экземпляры СКЗИ с просроченными сертификатами автоматически создают запись в реестре рисков.
- Комплаенс: статус соответствия Приказу ФАПСИ №152 рассчитывается автоматически на основе полноты и актуальности записей.
- Инциденты: при обнаружении компрометации ключей — автоматическое оповещение и запуск процедуры внеплановой замены.
Такой подход реализует принцип автоматизации ИБ — устранение ручных операций и человеческого фактора в критичных процессах безопасности.
Как прошить журнал учёта СКЗИ
Требование к прошивке журнала содержится в п. 5.3 Инструкции ФАПСИ №152: «Журналы поэкземплярного учёта прошиваются, нумеруются и скрепляются подписью руководителя и печатью организации». Инспектор ФСБ проверяет прошивку в первую очередь — нарушения здесь фиксируются как грубые.
Пошаговый порядок прошивки
Шаг 1. Нумерация страниц. Пронумеруйте все листы журнала от 1 до N в правом верхнем углу. Нумерация сплошная, включая обложку и последнюю страницу. Нельзя пропускать листы или нумеровать «страницы» (обе стороны отдельно — нумеруют листы целиком).
Шаг 2. Прошивка нитью. Сложите журнал, прошейте нитью в три или пять отверстий вдоль корешка. Концы нити выведите на последнюю страницу (или на отдельный лист-наклейку) и завяжите узлом. Нить должна плотно держать все листы — листы не должны вырываться без видимого нарушения прошивки.
Шаг 3. Наклейка-заверитель. Поверх узла наклейте бумажный прямоугольник (3×6 см) с текстом:
«В настоящем журнале прошито, пронумеровано и скреплено печатью __ листов. Ответственный за СКЗИ: _____________ / _____________ (подпись / ФИО) Руководитель организации: _____________ / _____________ (подпись / ФИО) Дата: ..20___»
Наклейка должна перекрывать узел так, чтобы нить нельзя было развязать, не повредив наклейку.
Шаг 4. Подпись и печать. Ответственный за СКЗИ и руководитель организации расписываются на наклейке, захватывая подписью и сам лист журнала (подпись пересекает границу наклейки). Ставится мокрая печать организации — также с захватом края наклейки. Только в таком виде журнал считается скреплённым согласно требованиям ФАПСИ.
Типичные ошибки прошивки
| Нарушение | Риск при проверке ФСБ |
|---|---|
| Наклейка не перекрывает узел | Инспектор указывает, что листы можно заменить |
| Подпись только на наклейке (не пересекает лист) | Не подтверждает подлинность |
| Нет печати организации | Нарушение п. 5.3 Инструкции |
| Пронумерованы страницы, а не листы | Расхождение в количестве |
| Пустые листы в середине не пронумерованы | Риск подмены |
Когда прошивать журнал
Журнал прошивается после последней записи текущего тома — когда страницы заканчиваются или закрывается очередной год. Новый журнал заводится и регистрируется в журнале регистрации журналов (п. 5.4 Инструкции). Текущий (действующий) журнал не прошивается — он остаётся незаверённым до закрытия. Для защиты от несанкционированной замены листов текущего журнала используют нумерацию и хранение в запирающемся шкафу.
Электронный учёт снимает вопрос прошивки полностью: аудит-трейл в SGRC-системе фиксирует каждое изменение с меткой времени и подписью, что превышает требования к бумажному журналу.
Учёт дистрибутивов (DST-файлов) СКЗИ
Помимо экземпляров и ключевых документов, поэкземплярному учёту подлежат дистрибутивы СКЗИ — установочные пакеты КриптоПро CSP, VipNet CSP, Continent TLS и других сертифицированных криптосредств. В журналах учёта для их обозначения используется сокращение «DST» (от «дистрибутив»). Пункт 26 Приказа ФАПСИ №152 обязывает учитывать эксплуатационную и техническую документацию наравне с самими СКЗИ, и дистрибутив относится именно к этой категории.
Дистрибутивы можно вносить в журнал поэкземплярного учёта с пометкой «Дистрибутив» в графе наименования, либо вести отдельный реестр DST-файлов — это удобнее при большом парке СКЗИ. В обоих случаях для каждого дистрибутива фиксируются: наименование и версия СКЗИ, контрольная сумма файла (SHA-256 или ГОСТ Р 34.11-2012), дата и источник получения, место хранения, ответственный. При уничтожении устаревшей версии составляется акт и вносится запись в журнал.
Типичная ошибка — дистрибутивы хранятся на сетевом диске или в папке «Загрузки» администратора без какого-либо учёта. При проверке ФСБ инспектор обнаруживает неучтённые DST-файлы и фиксирует нарушение. Чтобы этого избежать, храните дистрибутивы в контролируемой зоне с разграничением доступа и фиксируйте контрольные суммы. Подробнее — в статье Журнал учёта DST-файлов СКЗИ.
Чек-лист: подготовка к проверке ФСБ по учёту СКЗИ
Используйте этот чек-лист для самопроверки перед плановой или внеплановой проверкой ФСБ. Каждый пункт соответствует конкретному требованию Приказа ФАПСИ №152.
Организационные документы:
- 1. Приказ о назначении ответственного за СКЗИ — актуальный, с указанием ФИО и должности
- 2. Инструкция по обращению с СКЗИ — утверждена руководителем, ознакомлены все пользователи СКЗИ
- 3. Перечень лиц, допущенных к работе с СКЗИ — актуальный, подписанный руководителем
- 4. Помещение для хранения СКЗИ и документации оборудовано в соответствии с требованиями (сейф или металлический шкаф)
Журнал поэкземплярного учёта СКЗИ:
- 5. Журнал прошит, пронумерован, скреплён печатью
- 6. Все 16 граф заполнены для каждой записи (без пустых обязательных полей)
- 7. Наименования СКЗИ указаны полностью, с версией
- 8. Серийные номера соответствуют фактическим (проверить выборочно)
- 9. Номера сертификатов ФСБ актуальны (не просрочены)
- 10. Подписи получателей присутствуют во всех записях о выдаче
- 11. Для уволенных сотрудников — записи об изъятии СКЗИ с датой и актом
Журнал технического учёта (при наличии аппаратных СКЗИ):
- 12. Ведётся для всех аппаратных СКЗИ (токены, HSM, криптошлюзы)
- 13. Записи об обновлениях и замене ключей присутствуют
- 14. Даты в техническом журнале совпадают с поэкземплярным
Фактическое состояние:
- 15. Все СКЗИ из журнала физически присутствуют на указанных рабочих местах
- 16. Hostname ПЭВМ совпадает с записью в журнале
- 17. Версии установленных СКЗИ соответствуют записям (проверить через «О программе»)
- 18. Отсутствуют СКЗИ, не внесённые в журнал (проверить все ПЭВМ)
- 19. Ключевые документы (контейнеры, сертификаты) соответствуют записям в Приложении 2
- 20. Акты уничтожения оформлены для всех выведенных из эксплуатации СКЗИ
Подготовку к проверке ФСБ по учёту СКЗИ рекомендуется проводить не реже одного раза в квартал — как внутренний аудит. Это позволяет выявить и устранить расхождения до визита инспектора. Автоматизировать этот процесс можно с помощью Модуля учёта СКЗИ платформы КиберОснова, который формирует отчёт о расхождениях автоматически.
