КиберосноваSGRC

Журнал учёта СКЗИ: образец, пример заполнения и требования ФСБ

Образец журнала учёта СКЗИ и пример заполнения по ФАПСИ №152. Формы поэкземплярного и технического учёта, шаблон Excel, типичные ошибки и автоматизация.

Журнал учёта СКЗИ — Excel-шаблон
XLSXЖурнал учёта СКЗИ — Excel-шаблон

Норматив: Типовая форма Приложения 2 к Приказу ФАПСИ №152·Бесплатно

Скачать XLSX

Журнал учёта СКЗИ — обязательный документ для каждой организации, эксплуатирующей сертифицированные криптосредства. Его отсутствие при проверке ФСБ гарантированно приводит к предписаниям и штрафам по ст. 13.12 КоАП РФ. В этом руководстве — готовый образец журнала СКЗИ с примером заполнения по типовой форме Инструкции ФАПСИ №152, конкретные примеры записей для КриптоПро CSP 5.0, VipNet Client, аппаратных токенов, разбор типичных ошибок и способы автоматизации. Отдельно разбираем электронное ведение журнала, бухгалтерский учёт СКЗИ в 1С и особенности для участников гособоронзаказа. В конце статьи — бесплатный Excel-шаблон для скачивания.

Что такое журнал учёта СКЗИ и зачем он нужен

Журнал учёта средств криптографической защиты информации (СКЗИ) — регистрационный документ, в котором фиксируется полный жизненный цикл каждого экземпляра криптосредства: от получения до уничтожения. Журнал — центральный элемент организации учёта СКЗИ по требованиям ФАПСИ №152. Документ ведётся в бумажном или электронном виде и предъявляется при проверках ФСБ России.

Суть журнала — обеспечить прослеживаемость. Регулятор должен видеть, какие СКЗИ используются в организации, кому выданы, на каких рабочих местах установлены, когда и кем проведены операции с ключевыми документами. Без этой информации невозможно подтвердить соблюдение условий эксплуатации криптосредств.

Журнал учёта СКЗИ — не формальность. По нему ответственный за СКЗИ отслеживает актуальность лицензий, сроки действия сертификатов соответствия, своевременность замены ключевых носителей и корректность уничтожения выведенных из эксплуатации средств. Заполненный журнал сокращает подготовку к проверке с нескольких дней до пары часов и закрывает большинство вопросов инспектора.

Нормативные требования: Приказ ФАПСИ №152

Основной нормативный документ — Приказ ФАПСИ от 13.06.2001 №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Несмотря на ликвидацию ФАПСИ в 2003 году, приказ действует и в 2026 году остаётся основным регуляторным документом ФСБ по учёту СКЗИ. Новый документ взамен №152 не принят, поэтому ориентироваться нужно именно на него.

Ключевые требования Приказа №152:

  • Пункт 26: организация обязана вести поэкземплярный учёт СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
  • Пункт 28: учёт ведётся по типовым формам из приложений к Инструкции. Приложение 1 — форма для органа криптографической защиты, Приложение 2 — форма для обладателя конфиденциальной информации (то есть для обычной организации, которая использует СКЗИ). Обе формы охватывают и сами СКЗИ, и эксплуатационно-техническую документацию, и ключевые документы.
  • Пункт 30: журналы учёта ведутся ответственным пользователем СКЗИ, назначенным приказом руководителя.
  • Хранение: журналы хранятся вместе с эксплуатационной документацией к СКЗИ; срок хранения организация устанавливает в инструкции по обращению с СКЗИ (на практике — не менее 5 лет после последней записи).

Дополнительно требования к учёту СКЗИ содержатся в Приказе ФСБ от 09.02.2005 №66 (для операторов ПДн) и Приказе ФСБ от 10.07.2014 №378 (меры защиты ПДн при использовании СКЗИ).

Кто обязан вести учёт СКЗИ

Обязанность вести журнал учёта СКЗИ распространяется на все организации, эксплуатирующие сертифицированные ФСБ криптосредства. На практике это:

  • Государственные органы и учреждения — используют СКЗИ для защиты ГИС, СМЭВ, электронного документооборота.
  • Операторы персональных данных — при использовании СКЗИ для защиты ПДн (требование Приказа ФСБ №378).
  • Субъекты КИИ — при криптографической защите значимых объектов КИИ.
  • Финансовые организации — банки, страховые, НФО (требования Банка России по ГОСТ-шифрованию).
  • Медицинские организации — защита ЕГИСЗ, региональных медицинских систем.
  • Любые компании с ЭЦП/УКЭП — если используется КриптоПро CSP, VipNet CSP или аналогичные СКЗИ для работы с квалифицированной электронной подписью.

Ответственный за учёт СКЗИ назначается приказом руководителя. Как правило, это специалист подразделения ИБ или системный администратор с допуском к криптосредствам. В крупных организациях ответственный за СКЗИ — выделенная штатная единица.

Последствия отсутствия учёта: штрафы и предписания

Проверки учёта СКЗИ проводят профильное подразделение ФСБ России по криптографической защите (Центр по лицензированию, сертификации и защите гостайны) и территориальные управления ФСБ. Отсутствие журнала учёта или грубые нарушения в его ведении квалифицируются по нескольким статьям:

  • Ст. 13.12 ч.2 КоАП РФ (использование несертифицированных средств защиты информации): штраф для граждан — 5 000–10 000 ₽, для должностных лиц — 10 000–50 000 ₽, для юридических лиц — 50 000–100 000 ₽ с конфискацией несертифицированных средств или без неё.
  • Приостановка деятельности: при грубых нарушениях порядка эксплуатации СКЗИ инспектор может инициировать приостановку до устранения нарушений.
  • Ст. 13.6 КоАП РФ (нарушение условий лицензии): применяется к лицензиатам ФСБ.

Помимо штрафов, проверяющий выдаёт предписание об устранении нарушений с конкретными сроками. Неисполнение предписания — основание для повторного административного производства и возможной приостановки лицензии.

Практика показывает: наличие корректно заполненного журнала учёта СКЗИ — первое, что проверяет инспектор ФСБ. Это «входной билет» для успешного прохождения проверки.

Виды журналов учёта СКЗИ

Приказ ФАПСИ №152 предусматривает два основных вида журналов, которые решают разные задачи. Путаница между ними — одна из самых частых ошибок при подготовке к проверке.

Журнал поэкземплярного учёта СКЗИ

Журнал поэкземплярного учёта СКЗИ — основной регистрационный документ. Фиксирует движение каждого экземпляра криптосредства на протяжении всего жизненного цикла. Каждая запись содержит:

  • Наименование и версию СКЗИ
  • Серийный (регистрационный) номер
  • Номер сертификата соответствия ФСБ
  • Данные о получении (откуда, когда, номер сопроводительного документа)
  • Данные о выдаче пользователю (ФИО, подпись, дата)
  • Данные об установке (ПЭВМ, hostname, местоположение)
  • Данные об изъятии, возврате, уничтожении

Форма поэкземплярного учёта приведена в приложениях к Инструкции ФАПСИ №152: Приложение 1 — для органа криптографической защиты, Приложение 2 — для обладателя конфиденциальной информации (обычная организация ведёт форму Приложения 2). В этой же форме учитываются ключевые документы СКЗИ — носители ключевой информации, ключи ЭП, контейнеры; на практике для ключевых документов часто заводят отдельный журнал той же формы, чтобы не смешивать их с экземплярами криптосредств.

Технический (аппаратный) журнал

Помимо поэкземплярного, существует технический журнал СКЗИ, который фиксирует события эксплуатации: настройку, обновление, ремонт, замену компонентов, техническое обслуживание. Он ведётся для аппаратных СКЗИ (HSM, криптошлюзы, аппаратные токены), но рекомендуется и для программных.

Типовые записи технического журнала:

  • Дата и время события
  • Тип операции (установка, обновление, замена ключей, ремонт)
  • Описание выполненных действий
  • ФИО исполнителя
  • Результат (успех/отказ, выявленные проблемы)
  • Номер и дата акта (при необходимости)

Технический журнал критически важен при эксплуатации аппаратно-программных комплексов: Континент, ViPNet Coordinator, S-Terra, Рутокен ЭЦП, JaCarta ГОСТ. Для этих устройств ФСБ требует фиксацию каждой операции обслуживания.

Чем отличаются и когда нужны оба

ПараметрПоэкземплярный учётТехнический учёт
Что фиксируетЖизненный цикл экземпляраЭксплуатационные события
Объект учётаСКЗИ + ключевые документыАппаратные и программные СКЗИ
ОснованиеПриказ ФАПСИ №152, п.26 (типовая форма)Эксплуатационная документация на СКЗИ, требования ФСБ к обслуживанию
ОбязательностьОбязателен для всехОбязателен для аппаратных СКЗИ
Кто ведётОтветственный за СКЗИОтветственный за СКЗИ / инженер
Срок хранения5 лет5 лет
Пример записи«Получен КриптоПро CSP, сер. №...»«Обновлён КриптоПро CSP с 5.0.12000 до 5.0.13000»

На практике большинство организаций ведут оба журнала, даже если используют только программные СКЗИ. Это избыточно с точки зрения буквы закона, но страхует от вопросов инспектора. Рекомендация: если в организации есть хотя бы один аппаратный токен (Рутокен, JaCarta, eToken) — ведите оба журнала.

Форма журнала поэкземплярного учёта СКЗИ (образец)

Журнал поэкземплярного учёта СКЗИ — основной документ для регистрации каждого экземпляра криптосредства на всём жизненном цикле. Форма поэкземплярного учёта приведена в приложениях к Инструкции ФАПСИ №152 (обычная организация ведёт форму Приложения 2 — для обладателя конфиденциальной информации). Ниже — адаптированный образец с комментариями по заполнению каждой графы.

Обязательные графы

Журнал поэкземплярного учёта СКЗИ содержит следующий набор граф (структура типовой формы из приложений к Инструкции ФАПСИ №152). Точное число и формулировки граф организация фиксирует в своей инструкции по обращению с СКЗИ; ниже — типовой состав:

  1. Порядковый номер записи — сквозная нумерация, без пропусков.
  2. Наименование СКЗИ — полное наименование с указанием версии (например, «КриптоПро CSP версия 5.0 R3»).
  3. Серийный (регистрационный) номер — уникальный номер экземпляра или лицензии.
  4. Номер сертификата соответствия ФСБ — действующий сертификат с номером и сроком.
  5. Дата получения — фактическая дата поступления в организацию.
  6. Откуда получено — наименование поставщика или вышестоящего органа.
  7. Номер сопроводительного документа — номер накладной, акта приёма-передачи.
  8. Дата выдачи (установки) — дата передачи пользователю или установки на ПЭВМ.
  9. ФИО получателя — полные ФИО сотрудника, получившего СКЗИ.
  10. Подпись получателя — собственноручная подпись (в бумажном варианте).
  11. Наименование ПЭВМ — hostname или инвентарный номер.
  12. Местоположение — кабинет, здание, адрес.
  13. Дата изъятия (возврата) — при деинсталляции или возврате.
  14. Дата уничтожения — дата акта уничтожения СКЗИ.
  15. Номер акта уничтожения — ссылка на акт.
  16. Примечание — дополнительные сведения.

Образец формы (таблица)

№ п/пНаименование СКЗИСерийный номерСертификат ФСБДата полученияОткуда полученоСопров. документДата выдачиФИО получателяПодписьПЭВМРазмещениеДата изъятияДата уничтоженияАкт уничтоженияПримечание
1
2
3

Журнал прошивается, нумеруется, скрепляется печатью организации и подписью руководителя. Титульный лист содержит: наименование организации, название журнала, дату начала ведения, ФИО ответственного.

Скачать журнал учёта СКЗИ (Excel-шаблон)

Готовый шаблон журнала поэкземплярного учёта СКЗИ в формате Excel можно скачать ниже или сформировать автоматически в Модуле учёта СКЗИ платформы КиберОснова. Модуль генерирует печатные формы по Приложению 1 и Приложению 2 к Инструкции ФАПСИ №152, заполненные актуальными данными из реестра.

При самостоятельном создании шаблона убедитесь, что форма повторяет состав граф типовой формы ФАПСИ №152. Произвольное удаление или объединение обязательных столбцов инспектор может зафиксировать в акте проверки.

Скачать шаблон журнала учёта СКЗИ (Excel, форма ФАПСИ №152) — готовый файл с заполненными заголовками граф, примерами строк и листом-инструкцией. Скачать бесплатно

Пример заполнения журнала учёта СКЗИ

Заполнение журнала СКЗИ вызывает больше всего вопросов на практике. Ниже — конкретные примеры заполнения для распространённых криптосредств. Каждый пример журнала СКЗИ — реалистичная запись, которую можно использовать как образец для своей организации.

КриптоПро CSP 5.0

КриптоПро CSP — самое распространённое программное СКЗИ в России. Используется для формирования и проверки УКЭП, TLS-шифрования, защиты электронного документооборота.

ГрафаЗначение
№ п/п1
Наименование СКЗИКриптоПро CSP версия 5.0 R3
Серийный номер50R3-A0B1C-2D3E4-F5G6H
Сертификат ФСБСФ/124-4592 до 31.12.2026
Дата получения15.01.2026
Откуда полученоООО «КриптоПро» (дистрибьютор ООО «ИнфоТеКС Дистрибуция»)
Сопров. документСчёт-фактура №КП-2026/0142 от 14.01.2026
Дата выдачи17.01.2026
ФИО получателяИванов Алексей Сергеевич
ПЭВМWKS-BUH-012
Размещениег. Москва, ул. Ленина, 10, каб. 305
Дата изъятия
Дата уничтожения
Акт уничтожения
ПримечаниеЛицензия бессрочная, для работы с УКЭП в СБИС

Обратите внимание: указывается полная версия с номером релиза (R3), а не просто «КриптоПро». Серийный номер — номер лицензии, выданной при покупке. Сертификат ФСБ проверяется на сайте ФСБ или КриптоПро — необходимо указать действующий номер и срок.

VipNet Client

VipNet Client — СКЗИ для организации защищённых каналов связи (VPN). Широко применяется в государственных сетях и ГИС.

ГрафаЗначение
№ п/п2
Наименование СКЗИViPNet Client 4 (версия 4.5.2)
Серийный номерVN4-2026-00987-LIC
Сертификат ФСБСФ/525-4120 до 01.07.2027
Дата получения20.01.2026
Откуда полученоАО «ИнфоТеКС»
Сопров. документАкт приёма-передачи №ИТ-260120 от 18.01.2026
Дата выдачи22.01.2026
ФИО получателяПетрова Марина Владимировна
ПЭВМWKS-IT-007
Размещениег. Москва, ул. Ленина, 10, каб. 201
Дата изъятия
Дата уничтожения
Акт уничтожения
ПримечаниеПодключение к сети ViPNet №1547, узел 0x1A2B3C4D

Для ViPNet обязательно фиксируйте номер сети и идентификатор узла — эту информацию запрашивают при проверках взаимодействия между участниками защищённой сети.

Аппаратные СКЗИ (токены, HSM)

Аппаратные СКЗИ учитываются по тем же правилам, но с указанием серийного номера устройства (нанесён на корпус).

ГрафаЗначение
№ п/п3
Наименование СКЗИРутокен ЭЦП 3.0
Серийный номер2A:4B:6C:8D:0E:1F (с корпуса устройства)
Сертификат ФСБСФ/114-4300 до 15.03.2027
Дата получения10.01.2026
Откуда полученоООО «Актив» (поставка по договору №АКТ-2025/89)
Сопров. документТоварная накладная №1042 от 09.01.2026
Дата выдачи12.01.2026
ФИО получателяСидоров Дмитрий Николаевич
ПЭВМWKS-DIR-001
Размещениег. Москва, ул. Ленина, 10, каб. 401 (кабинет директора)
Дата изъятия
Дата уничтожения
Акт уничтожения
ПримечаниеСодержит контейнер УКЭП руководителя, срок сертификата ключа до 15.01.2027

Аналогично заполняются записи для JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ, а также аппаратных HSM (КриптоПро HSM, Рутокен KeyBox, Thales Luna в российской сертификации).

Для аппаратных СКЗИ серийный номер — это номер с корпуса устройства, а не программный идентификатор. Инспектор ФСБ проверяет физическое наличие устройства и сверяет серийный номер визуально.

Типичные ошибки при заполнении

На основе практики проверок выделяются следующие повторяющиеся ошибки:

1. Неполное наименование СКЗИ. Запись «КриптоПро» вместо «КриптоПро CSP версия 5.0 R3». Инспектор требует точное наименование, совпадающее с формуляром СКЗИ.

2. Отсутствие номера сертификата ФСБ. Сертификат — подтверждение того, что СКЗИ прошло оценку соответствия. Без номера запись считается неполной.

3. Использование просроченного сертификата соответствия. Если сертификат ФСБ истёк, а СКЗИ продолжает эксплуатироваться — это грубое нарушение, которое фиксируется отдельно от ошибок журнала.

4. Пропуск записей об уничтожении. Удалили СКЗИ с компьютера — записи в журнале нет. Инспектор видит «установлено, но не уничтожено» и требует либо предъявить экземпляр, либо акт уничтожения.

5. Отсутствие подписей получателей. В бумажном журнале подпись обязательна. Запись без подписи — незавершённая операция выдачи.

6. Несовпадение hostname ПЭВМ. В журнале указано одно имя, на компьютере — другое. Инспектор проверяет hostname через командную строку.

7. Неактуальные записи. Сотрудник уволился, СКЗИ не изъято и не переоформлено. Это и нарушение учёта, и инцидент безопасности.

Краткая справка: технический журнал СКЗИ

Технический журнал — документ эксплуатационного учёта. Он фиксирует все технические операции с криптосредствами и обязателен для аппаратных СКЗИ. Подробный разбор формы, граф и заполнения — в отдельной статье Технический журнал СКЗИ.

Структура

Унифицированная форма технического журнала содержит следующие графы:

№ п/пДата и времяНаименование СКЗИСерийный номерТип операцииОписание работИсполнитель (ФИО, должность)РезультатНомер акта / документаПримечание

Типы операций, фиксируемых в техническом журнале:

  • Установка — первичная инсталляция СКЗИ на ПЭВМ или ввод в эксплуатацию аппаратного устройства.
  • Обновление — переход на новую версию (patch, minor, major release).
  • Замена ключей — плановая или внеплановая смена ключевых документов.
  • Техническое обслуживание — профилактика, проверка работоспособности, диагностика.
  • Ремонт — устранение неисправностей аппаратных СКЗИ.
  • Вывод из эксплуатации — деинсталляция, списание, передача.

Пример записей по обслуживанию

Дата и времяСКЗИСерийный номерОперацияОписаниеИсполнительРезультатАктПримечание
115.01.2026 09:30КриптоПро CSP 5.0 R350R3-A0B1C-...УстановкаУстановка на WKS-BUH-012, настройка контейнера УКЭПКозлов А.В., инженер ИБУспешноАкт устан. №12/2026
222.01.2026 14:15ViPNet Client 4.5.2VN4-2026-00987УстановкаУстановка, регистрация в сети ViPNet №1547, импорт ключейКозлов А.В., инженер ИБУспешноАкт устан. №14/2026Узел 0x1A2B3C4D
310.02.2026 11:00Рутокен ЭЦП 3.02A:4B:6C:8D:0E:1FЗамена ключейПеревыпуск сертификата УКЭП, генерация новой ключевой парыКозлов А.В., инженер ИБУспешноНовый серт. до 10.02.2027
414.02.2026 16:45Континент TLS VPN СерверCTLS-2024-0055ОбновлениеОбновление ПО с 2.2.1 до 2.2.3, применение патча безопасностиИванов С.П., админ ИБУспешноПлановое обновление
518.02.2026 10:30КриптоПро CSP 5.0 R250R2-X9Y8Z-...Вывод из экспл.Деинсталляция с WKS-HR-003 (замена на R3), гарантированное удалениеКозлов А.В., инженер ИБУспешноАкт уничт. №3/2026Перенос в поэкз. журнал

Каждая запись технического журнала должна содержать достаточно информации для восстановления хронологии событий. Инспектор ФСБ сверяет записи технического журнала с поэкземплярным: даты установки и уничтожения должны совпадать.

Электронный vs бумажный журнал учёта СКЗИ

Традиционно журнал учёта СКЗИ ведётся на бумаге: прошитый, пронумерованный, скреплённый печатью. Однако при парке в сотни экземпляров СКЗИ бумажный учёт становится неуправляемым, и организации переходят на электронный журнал учёта СКЗИ. Главный вопрос — можно ли вести журнал в цифровом виде и что для этого требует ФСБ. Разберём условия перехода.

Требования к электронному ведению

Приказ ФАПСИ №152 не запрещает электронное ведение журнала. Однако ФСБ при проверках предъявляет следующие требования к электронной системе:

  • Аутентификация пользователей — доступ к журналу только для авторизованных сотрудников (ответственного за СКЗИ и его заместителя).
  • Журналирование изменений (аудит-трейл) — фиксация всех операций: создание, изменение, удаление записей с указанием автора и времени.
  • Защита целостности — невозможность незаметного изменения или удаления записей задним числом.
  • Формирование печатных копий — возможность в любой момент распечатать журнал в формате, соответствующем Приложениям к Инструкции.
  • Резервное копирование — защита от потери данных при отказе оборудования.

На практике территориальные управления ФСБ по-разному относятся к электронному ведению. Рекомендация: вести электронный журнал как основной рабочий инструмент, но ежеквартально распечатывать и подшивать бумажную копию. Это исключает претензии любого инспектора.

Преимущества автоматизации

Автоматизация учёта СКЗИ сокращает ручные трудозатраты и убирает типовые ошибки заполнения:

  • Скорость инвентаризации: вместо ручного обхода рабочих мест — автоматическое сканирование сети и сверка с реестром.
  • Контроль сроков: автоматические уведомления об истечении сертификатов ФСБ, лицензий, сертификатов ключей ЭП.
  • Исключение дублирования: один экземпляр СКЗИ — одна запись. Система не позволит создать дубликат.
  • Генерация отчётов: печатные формы по Приложениям 1 и 2, сводные отчёты по подразделениям, статистика по типам СКЗИ.
  • Аудит-трейл из коробки: каждое действие логируется, история изменений доступна в один клик.
  • Подготовка к проверке: формирование полного комплекта документов за минуты, а не дни.

Для организаций с парком от 50 экземпляров СКЗИ автоматизация — не опция, а необходимость. Ручной учёт в Excel при таком масштабе гарантированно приведёт к рассинхронизации данных.

Как перейти с Excel

Многие организации начинают учёт СКЗИ в Excel. Это допустимо на старте, но создаёт риски: файл не защищён от редактирования задним числом, нет аудит-трейла, версионирование ручное, совместный доступ проблематичен.

Пошаговый план миграции:

  1. Аудит текущего Excel: проверьте полноту граф (по типовой форме ФАПСИ №152), актуальность записей, наличие записей об уничтожении.
  2. Выбор целевой системы: SGRC-платформа с модулем учёта СКЗИ, специализированное ПО или собственная разработка.
  3. Импорт данных: перенос записей из Excel с валидацией: проверка серийных номеров, сертификатов ФСБ, дат.
  4. Верификация: физическая сверка реестра с фактически установленными СКЗИ на рабочих местах.
  5. Закрытие бумажного журнала: последняя запись — «Данные перенесены в АС учёта СКЗИ, акт миграции №... от ...».
  6. Обучение: инструктаж ответственного за СКЗИ по работе в новой системе.

Бухгалтерский учёт СКЗИ и лицензий

Журнал по ФАПСИ №152 фиксирует криптографический учёт — но СКЗИ и лицензии к ним проходят ещё и по бухгалтерии. Это два параллельных учёта, которые нельзя путать: инспектор ФСБ смотрит журнал поэкземплярного учёта, а налоговая — карточки и проводки в 1С.

Лицензию КриптоПро CSP в бухучёте отражают как нематериальный актив или расходы будущих периодов (счёт 97) с равномерным списанием на срок действия. Бессрочную лицензию списывают единовременно либо распределяют на условный срок по учётной политике. Аппаратные токены (Рутокен, JaCarta) учитывают как малоценные объекты или основные средства — в зависимости от стоимости. Серийный номер и сертификат ФСБ из журнала поэкземплярного учёта должны совпадать с данными инвентарной карточки: расхождение «в журнале одно, в 1С другое» инспектор и аудитор трактуют одинаково — учёт ведётся неполно.

Чтобы синхронизировать оба учёта, заведите в журнале графу с инвентарным номером из 1С. Детальный разбор лицензий и бухгалтерских проводок — в статье Учёт СКЗИ КриптоПро.

Особенности учёта СКЗИ в гособоронзаказе (АСТ ГОЗ)

Участники гособоронзаказа, работающие на электронной площадке АСТ ГОЗ, используют СКЗИ для подписи документов и доступа к спецсчетам в уполномоченных банках. Требования к журналу здесь те же — Приказ ФАПСИ №152, типовая форма Приложения 2 — но добавляется привязка к контрактам ГОЗ.

В графе «Примечание» фиксируйте идентификатор государственного контракта (ИГК) и назначение СКЗИ — «доступ к АСТ ГОЗ», «подпись на спецсчёте». При проверках по линии ГОЗ контролёры сверяют, что криптосредства для работы с гособоронзаказом учтены отдельно и не пересекаются с СКЗИ для обычной коммерческой деятельности. Версии и серийные номера должны совпадать с теми, что зарегистрированы в личном кабинете АСТ ГОЗ.

Автоматизация учёта СКЗИ в SGRC-системе

SGRC-система (Security Governance, Risk, Compliance) — класс платформ для управления процессами информационной безопасности. Учёт СКЗИ — один из базовых модулей, который интегрируется с остальными процессами ИБ: управлением рисками, комплаенсом, инвентаризацией активов.

Задачи модуля

Модуль учёта СКЗИ в SGRC-системе решает полный спектр задач, предусмотренных Приказом ФАПСИ №152:

  • Реестр СКЗИ: единая база всех экземпляров с полными метаданными (наименование, версия, серийный номер, сертификат ФСБ, местоположение).
  • Поэкземплярный учёт: автоматизированное ведение журнала по Приложениям 1 и 2 с контролем полноты граф.
  • Технический учёт: регистрация операций обслуживания с привязкой к экземплярам.
  • Контроль сроков: мониторинг сертификатов соответствия ФСБ, лицензий, сертификатов ключей ЭП с уведомлениями.
  • Движение СКЗИ: оформление выдачи, возврата, перемещения, уничтожения с электронным согласованием.
  • Генерация документов: печатные формы журналов, акты установки/уничтожения, отчёты для проверок ФСБ.
  • Аудит-трейл: полная история изменений каждой записи.

Пример работы в КиберОснова

Платформа КиберОснова реализует Модуль учёта СКЗИ со следующей функциональностью:

Регистрация нового СКЗИ. Оператор создаёт карточку экземпляра: вводит наименование (автодополнение из справочника), серийный номер, выбирает сертификат ФСБ из актуального реестра. Система автоматически проверяет срок действия сертификата и предупреждает, если он истекает в ближайшие 90 дней.

Выдача пользователю. Оператор выбирает экземпляр СКЗИ и сотрудника из справочника кадров. Система формирует запись в журнале поэкземплярного учёта, генерирует акт выдачи для подписания. Дата, ФИО, рабочее место заполняются автоматически.

Контроль сроков. Дашборд отображает СКЗИ с истекающими сертификатами ФСБ, просроченными лицензиями, подходящим сроком замены ключей. Уведомления отправляются ответственному за 30, 14 и 7 дней до дедлайна.

Подготовка к проверке. Один клик — система формирует полный комплект: журнал поэкземплярного учёта, журнал технического учёта, реестр СКЗИ по подразделениям, сводку по сертификатам ФСБ. Документы готовы к печати в формате Приложений к Инструкции ФАПСИ №152.

Если ваша организация ведёт учёт СКЗИ вручную и хочет перейти на автоматизацию — запросите демо платформы КиберОснова. Специалисты покажут модуль на реальных данных и помогут спланировать миграцию.

Интеграция с реестром

Ключевое преимущество SGRC-подхода — интеграция учёта СКЗИ с другими процессами ИБ:

  • Инвентаризация активов: СКЗИ привязаны к конкретным активам (рабочие станции, серверы). Изменение в инвентаризации автоматически отражается в учёте СКЗИ.
  • Управление рисками: экземпляры СКЗИ с просроченными сертификатами автоматически создают запись в реестре рисков.
  • Комплаенс: статус соответствия Приказу ФАПСИ №152 рассчитывается автоматически на основе полноты и актуальности записей.
  • Инциденты: при обнаружении компрометации ключей — автоматическое оповещение и запуск процедуры внеплановой замены.

Такой подход реализует принцип автоматизации ИБ — устранение ручных операций и человеческого фактора в критичных процессах безопасности.

Как прошить журнал учёта СКЗИ

Инструкция ФАПСИ №152 требует, чтобы журналы поэкземплярного учёта были прошиты, пронумерованы и скреплены подписью руководителя и печатью организации. Инспектор ФСБ проверяет прошивку в первую очередь — нарушения здесь фиксируются как грубые.

Пошаговый порядок прошивки

Шаг 1. Нумерация страниц. Пронумеруйте все листы журнала от 1 до N в правом верхнем углу. Нумерация сплошная, включая обложку и последнюю страницу. Нельзя пропускать листы или нумеровать «страницы» (обе стороны отдельно — нумеруют листы целиком).

Шаг 2. Прошивка нитью. Сложите журнал, прошейте нитью в три или пять отверстий вдоль корешка. Концы нити выведите на последнюю страницу (или на отдельный лист-наклейку) и завяжите узлом. Нить должна плотно держать все листы — листы не должны вырываться без видимого нарушения прошивки.

Шаг 3. Наклейка-заверитель. Поверх узла наклейте бумажный прямоугольник (3×6 см) с текстом:

«В настоящем журнале прошито, пронумеровано и скреплено печатью __ листов. Ответственный за СКЗИ: _____________ / _____________ (подпись / ФИО) Руководитель организации: _____________ / _____________ (подпись / ФИО) Дата: ..20___»

Наклейка должна перекрывать узел так, чтобы нить нельзя было развязать, не повредив наклейку.

Шаг 4. Подпись и печать. Ответственный за СКЗИ и руководитель организации расписываются на наклейке, захватывая подписью и сам лист журнала (подпись пересекает границу наклейки). Ставится мокрая печать организации — также с захватом края наклейки. Только в таком виде журнал считается скреплённым согласно требованиям ФАПСИ.

Типичные ошибки прошивки

НарушениеРиск при проверке ФСБ
Наклейка не перекрывает узелИнспектор указывает, что листы можно заменить
Подпись только на наклейке (не пересекает лист)Не подтверждает подлинность
Нет печати организацииНарушение п. 5.3 Инструкции
Пронумерованы страницы, а не листыРасхождение в количестве
Пустые листы в середине не пронумерованыРиск подмены

Когда прошивать журнал

Журнал прошивается после последней записи текущего тома — когда страницы заканчиваются или закрывается очередной год. Новый журнал заводится и регистрируется в журнале регистрации журналов учёта. Текущий (действующий) журнал не прошивается — он остаётся незаверённым до закрытия. Для защиты от несанкционированной замены листов текущего журнала используют нумерацию и хранение в запирающемся шкафу.

Электронный учёт снимает вопрос прошивки полностью: аудит-трейл в SGRC-системе фиксирует каждое изменение с меткой времени и подписью, что превышает требования к бумажному журналу.

Учёт дистрибутивов (DST-файлов) СКЗИ

Помимо экземпляров и ключевых документов, поэкземплярному учёту подлежат дистрибутивы СКЗИ — установочные пакеты КриптоПро CSP, VipNet CSP, Continent TLS и других сертифицированных криптосредств. В журналах учёта для их обозначения используется сокращение «DST» (от «дистрибутив»). Пункт 26 Приказа ФАПСИ №152 обязывает учитывать эксплуатационную и техническую документацию наравне с самими СКЗИ, и дистрибутив относится именно к этой категории.

Дистрибутивы можно вносить в журнал поэкземплярного учёта с пометкой «Дистрибутив» в графе наименования, либо вести отдельный реестр DST-файлов — это удобнее при большом парке СКЗИ. В обоих случаях для каждого дистрибутива фиксируются: наименование и версия СКЗИ, контрольная сумма файла (SHA-256 или ГОСТ Р 34.11-2012), дата и источник получения, место хранения, ответственный. При уничтожении устаревшей версии составляется акт и вносится запись в журнал.

Типичная ошибка — дистрибутивы хранятся на сетевом диске или в папке «Загрузки» администратора без какого-либо учёта. При проверке ФСБ инспектор обнаруживает неучтённые DST-файлы и фиксирует нарушение. Чтобы этого избежать, храните дистрибутивы в контролируемой зоне с разграничением доступа и фиксируйте контрольные суммы. Подробнее о форме поэкземплярного учёта — в статье Поэкземплярный учёт СКЗИ.

Чек-лист: подготовка к проверке ФСБ по учёту СКЗИ

Используйте этот чек-лист для самопроверки перед плановой или внеплановой проверкой ФСБ. Каждый пункт соответствует конкретному требованию Приказа ФАПСИ №152.

Организационные документы:

  • 1. Приказ о назначении ответственного за СКЗИ — актуальный, с указанием ФИО и должности
  • 2. Инструкция по обращению с СКЗИ — утверждена руководителем, ознакомлены все пользователи СКЗИ
  • 3. Перечень лиц, допущенных к работе с СКЗИ — актуальный, подписанный руководителем
  • 4. Помещение для хранения СКЗИ и документации оборудовано в соответствии с требованиями (сейф или металлический шкаф)

Журнал поэкземплярного учёта СКЗИ:

  • 5. Журнал прошит, пронумерован, скреплён печатью
  • 6. Все обязательные графы типовой формы заполнены для каждой записи (без пустых обязательных полей)
  • 7. Наименования СКЗИ указаны полностью, с версией
  • 8. Серийные номера соответствуют фактическим (проверить выборочно)
  • 9. Номера сертификатов ФСБ актуальны (не просрочены)
  • 10. Подписи получателей присутствуют во всех записях о выдаче
  • 11. Для уволенных сотрудников — записи об изъятии СКЗИ с датой и актом

Журнал технического учёта (при наличии аппаратных СКЗИ):

  • 12. Ведётся для всех аппаратных СКЗИ (токены, HSM, криптошлюзы)
  • 13. Записи об обновлениях и замене ключей присутствуют
  • 14. Даты в техническом журнале совпадают с поэкземплярным

Фактическое состояние:

  • 15. Все СКЗИ из журнала физически присутствуют на указанных рабочих местах
  • 16. Hostname ПЭВМ совпадает с записью в журнале
  • 17. Версии установленных СКЗИ соответствуют записям (проверить через «О программе»)
  • 18. Отсутствуют СКЗИ, не внесённые в журнал (проверить все ПЭВМ)
  • 19. Ключевые документы (контейнеры, сертификаты) соответствуют записям в Приложении 2
  • 20. Акты уничтожения оформлены для всех выведенных из эксплуатации СКЗИ

Подготовку к проверке ФСБ по учёту СКЗИ проводите не реже одного раза в квартал — как внутренний аудит. Так вы выявите и устраните расхождения до визита инспектора. Автоматизировать этот процесс можно с помощью Модуля учёта СКЗИ платформы КиберОснова, который формирует отчёт о расхождениях автоматически.

Коротко: что нужно сделать

  1. Заведите журнал поэкземплярного учёта СКЗИ по типовой форме ФАПСИ №152 (для обычной организации — форма Приложения 2) и журнал технического учёта, если есть аппаратные криптосредства.
  2. Заполняйте все обязательные графы без пропусков: полное наименование с версией, серийный номер, номер и срок сертификата ФСБ, данные о выдаче и установке.
  3. Прошейте, пронумеруйте и заверьте журнал печатью; ведите записи об изъятии и уничтожении.
  4. Проводите внутренний аудит по чек-листу выше раз в квартал.

Когда экземпляров СКЗИ становится больше 50, ручной журнал в Excel рассинхронизируется с реальностью. Модуль учёта СКЗИ платформы КиберОснова ведёт реестр, контролирует сроки сертификатов и формирует печатные формы по приложениям к Инструкции ФАПСИ №152 за минуты. Запросите демо — покажем модуль на ваших данных и поможем перенести учёт из Excel.

МЕ
Морозова Елена

Эксперт КиберОснова по КИИ и моделированию угроз

Аналитик ИБ с опытом категорирования объектов КИИ и построения моделей угроз по методике ФСТЭК. Автор методических материалов по оценке рисков и обеспечению безопасности критической инфраструктуры.

КИИмодель угрозФСТЭКоценка рисковкритическая инфраструктура
Все статьи автора →
FAQ

Часто задаваемые вопросы

Не нашли ответ? Напишите нам

Связанные материалы

Автоматизируйте ИБ с КиберОснова

Запросите демо-доступ — покажем, как платформа решает ваши задачи.