Где должны храниться СКЗИ по требованиям ФАПСИ-152?

Инструкция ФАПСИ №152 от 13.06.2001 требует хранить СКЗИ в выделенных помещениях или опечатанных сейфах, защищённых от несанкционированного доступа. Типовые требования на практике: прочные стены, двери с замками, окна с решётками или противоударной плёнкой. Для СКЗИ высоких классов защиты дополнительно применяют СКУД, видеонаблюдение и охрану. Конкретный набор мер устанавливается внутренним документом организации — Положением о хранении СКЗИ — на основании требований регулятора и класса защиты используемых средств.

Какие документы регулируют хранение СКЗИ?

Основные документы: Инструкция ФАПСИ №152 от 13.06.2001 (правила работы со СКЗИ, включая хранение), Положение ПКЗ-2005, утверждённое Приказом ФСБ №66 от 09.02.2005 (порядок разработки, производства, реализации и эксплуатации СКЗИ), Приказ ФСБ №378 для операторов персональных данных. На уровне организации разрабатывается «Положение о порядке хранения СКЗИ» — локальный документ, конкретизирующий нормативные требования под инфраструктуру компании.

Можно ли хранить СКЗИ и ключевые документы в одном сейфе?

Можно, если сейф соответствует требованиям к хранилищу высшего класса защиты среди хранящихся в нём СКЗИ. Рекомендуется разделение: отдельный отсек или отдельные опечатанные пакеты внутри сейфа. Для СКЗИ КС3 и выше — лучше раздельное хранение самих средств и ключевых документов.

Какой сейф нужен для хранения СКЗИ?

Требования зависят от класса защиты СКЗИ (КС1/КС2/КС3) и закрепляются во внутреннем Положении о хранении СКЗИ организации. В практике используют сертифицированные сейфы по ГОСТ Р 50862 «Сейфы, сейфовые комнаты и хранилища ценностей» — чем выше класс СКЗИ, тем выше требования к классу устойчивости сейфа, к опечатыванию и к параметрам помещения (отдельное помещение, СКУД, видеонаблюдение). Ключи от сейфа хранятся в металлическом ящике у ответственного лица, с журналом выдачи.

Что делать при смене ответственного за хранение СКЗИ?

Приказом руководителя назначается новый ответственный. Создаётся комиссия, которая принимает СКЗИ и ключевые документы по акту приёма-передачи, сверяет фактическое наличие с журналом учёта. Расхождения фиксируются отдельным актом. Прежний ответственный сдаёт ключи от сейфа, получает подпись об отсутствии претензий.

Как правильно опечатывать СКЗИ?

Опечатывание выполняется специальной пломбой или мастичной печатью с уникальным номером. Факт опечатывания документируется актом с указанием: даты, места, ФИО членов комиссии, серийных номеров СКЗИ, номера пломбы. При распечатывании составляется отдельный акт. В КиберОснова скан акта прикрепляется к карточке СКЗИ.

Нужен ли отдельный журнал ключей от хранилищ?

Да. Журнал учёта ключей — обязательный документ: фиксирует, кому и когда выдан ключ от сейфа/помещения с СКЗИ, время возврата, подпись. Это критично для расследования инцидентов — если СКЗИ пропал, по журналу ключей можно установить круг лиц, имевших доступ.

Что проверяют инспекторы ФСБ в части хранения СКЗИ?

При проверке инспекторы смотрят: соответствие помещений требованиям (осмотр сейфов, дверей, окон, СКУД), наличие приказа о назначении ответственного, наличие Положения о хранении, ведение журналов (хранилищ, ключей, входа-выхода), акты опечатывания, сверку фактического наличия СКЗИ с журналом учёта. Расхождения между журналом и фактическим наличием фиксируются в акте проверки как нарушение порядка учёта, что может повлечь предписание с требованием устранить недостатки и повторную проверку.

Хранение СКЗИ

Хранение СКЗИ: требования ФАПСИ-152 и организация помещений

Как подготовить помещения и сейфы к проверке ФСБ: нормативные требования ФАПСИ №152 и ПКЗ-2005, классы защиты КС1/КС2/КС3, журналы хранилищ и ключей, готовые шаблоны документов.

Запросить демо Модуль учёта СКЗИ

Нормативные требования к хранению СКЗИ

Хранение сертифицированных СКЗИ регулирует Инструкция ФАПСИ №152 от 13.06.2001 — ключевой документ по организации работы со средствами криптографической защиты. Инструкция устанавливает, что СКЗИ хранятся в выделенных помещениях или опечатанных сейфах, доступ к которым имеет строго ограниченный круг лиц, утверждённый приказом руководителя. Документ имеет гриф «Для служебного пользования», поэтому конкретные номера пунктов не цитируются в открытых источниках — применяются через внутренние нормативные акты организации.

Дополняют требования Положение ПКЗ-2005 (утверждено Приказом ФСБ №66 от 09.02.2005) — определяет порядок разработки, производства, реализации и эксплуатации СКЗИ, — и Приказ ФСБ №378 для операторов персональных данных. Для ИСПДн 1–4 уровней защищённости Приказ №378 закрепляет обязанность обеспечивать условия хранения СКЗИ, исключающие несанкционированный доступ к ключевой информации.

На уровне организации разрабатывается Положение о порядке хранения СКЗИ — локальный документ, конкретизирующий нормативные требования под инфраструктуру компании: перечень помещений, классы сейфов, список допущенных лиц, порядок опечатывания, журналы, действия при нештатных ситуациях. Положение утверждается руководителем и доводится до ответственных под подпись. См. также правила работы с СКЗИ по ФАПСИ-152.

Нормативные документы по хранению СКЗИ

Регуляторная база, на которой строится Положение о порядке хранения СКЗИ в организации

Инструкция ФАПСИ №152

от 13.06.2001, раздел о хранении СКЗИ

Устанавливает, что сертифицированные СКЗИ хранятся в выделенных помещениях или опечатанных сейфах, защищённых от несанкционированного доступа. Доступ — по утверждённому списку лиц. Документ имеет гриф ДСП: конкретные номера пунктов не публикуются в открытых источниках, применяется внутренними нормативными актами организации.

Положение ПКЗ-2005

утверждено Приказом ФСБ №66 от 09.02.2005

Порядок разработки, производства, реализации и эксплуатации СКЗИ. Содержит требования к технической эксплуатации, учёту, хранению и взаимодействию с ФСБ. Определяет обязанности оператора СКЗИ и критерии соответствия условий эксплуатации классу защиты средства (КС1, КС2, КС3 и выше).

Приказ ФСБ №378

от 10.07.2014 — требования для операторов ПДн

Определяет требования к защите персональных данных при обработке с использованием СКЗИ. Для ИСПДн 1–4 уровней защищённости устанавливает, что СКЗИ должны храниться в условиях, исключающих несанкционированный доступ, а оператор ведёт учёт СКЗИ, ключевых документов и носителей.

ГОСТ Р 50862

Сейфы, сейфовые комнаты и хранилища ценностей

Классифицирует сейфы по устойчивости к взлому. В практике учёта СКЗИ применяется как ориентир при выборе сейфа: чем выше класс защиты СКЗИ, тем выше требуемый класс устойчивости хранилища и тем строже требования к помещению.

Проверьте готовность к проверке ФСБ по чеклисту из 30 пунктов

Требования к хранению по классам защиты СКЗИ

Чем выше класс СКЗИ, тем строже требования к сейфу, помещению и контролю доступа

Класс	Хранилище	Контроль доступа	Обследование/сертификация
КС1	Опечатанный металлический сейф или шкаф в помещении с ограниченным доступом. Отдельное помещение не обязательно.	Доступ по списку лиц, утверждённому приказом. Журнал входа-выхода может вестись в свободной форме.	Базовые требования. Сертификация помещения не требуется, достаточно внутреннего акта обследования.
КС2	Сейф повышенного класса устойчивости в выделенном помещении или зоне с контролем доступа. Замки — не ниже класса B.	СКУД обязательна. Список допущенных лиц — под подпись. Журнал входа-выхода ведётся постоянно, в том числе для посетителей.	Помещение должно соответствовать внутренним требованиям организации, согласованным с эксплуатирующим подразделением.
КС3	Сертифицированный сейф или сейфовая комната в отдельном выделенном помещении. Стены, двери, окна — повышенной прочности.	СКУД + видеонаблюдение с архивом записей. Двухфакторный контроль доступа. Охрана в рабочее и нерабочее время.	Помещение проходит обследование с оформлением акта. Рекомендуется привлечение лицензиата ФСБ для выверки соответствия.

Требования ориентировочные — точный перечень утверждается внутренним Положением о хранении СКЗИ организации на основании эксплуатационной документации и рекомендаций лицензиата ФСБ.

Требования к помещениям для хранения СКЗИ

Физическая защита. Помещение, в котором хранятся СКЗИ, должно иметь капитальные стены и перегородки, исключающие несанкционированное проникновение. Входная дверь — металлическая или усиленная, с замками не ниже класса B. Окна — с решётками или противоударной плёнкой, особенно для помещений на первом и последнем этажах. Помещение оснащается пожарной и охранной сигнализацией с выводом на пост охраны или пульт вневедомственной охраны.

СКУД и контроль доступа. Для СКЗИ классов КС2 и выше обязательна система контроля и управления доступом: пропускные карты с привязкой к ФИО сотрудника, журнал входа-выхода, автоматическая фиксация времени. Обезличенные карты доступа запрещены. Посетители допускаются только в сопровождении ответственного лица, с обязательной отметкой в журнале входа-выхода и указанием цели визита.

Видеонаблюдение и охрана. Для СКЗИ класса КС3 дополнительно устанавливается видеонаблюдение зоны хранилища с архивом записей не менее 30 суток. Камеры размещаются так, чтобы в поле обзора попадали сейф и подходы к нему. Резервный источник питания для СКУД и видеонаблюдения позволяет сохранить контроль при отключении электроэнергии. В нерабочее время обеспечивается охрана помещения силами пост охраны или охранной сигнализации.

Сейфы и шкафы для хранения. Сейф подбирается по классу устойчивости, соответствующему классу защиты хранящихся СКЗИ — ориентир даёт ГОСТ Р 50862 «Сейфы, сейфовые комнаты и хранилища ценностей». Сейф прикрепляется к полу или стене анкерами (или имеет массу, исключающую вынос), опечатывается пломбой с уникальным номером. Ключи от сейфа хранятся у ответственного лица в отдельном металлическом ящике. Дубликаты ключей опечатываются и хранятся у руководителя или в другом помещении — на случай утраты основных.

Правила доступа в помещения СКЗИ

Список допущенных лиц. К помещению, где хранятся СКЗИ, допускаются только сотрудники, включённые в список, утверждённый приказом руководителя. Список пересматривается при кадровых изменениях и при изменении состава комиссии по СКЗИ. Каждый сотрудник знакомится со списком под подпись и с требованиями Положения о хранении СКЗИ. Расширение списка оформляется приказом, сокращение — дополнительно с изъятием пропусков и карт доступа.

Журнал входа-выхода. Доступ в помещение фиксируется в журнале: дата, время входа, ФИО, цель посещения, время выхода, подпись. Для помещений со СКУД данные дублируются электронной системой. Посетители (не из списка допущенных) — только в сопровождении ответственного, с отдельной отметкой и указанием сопровождающего. Журнал ведётся непрерывно, хранится не менее срока, установленного внутренним регламентом.

Процедуры в нерабочее время. По окончании рабочего дня ответственный проверяет закрытие сейфов, опечатывание (при необходимости), запирает помещение и передаёт ключи охране с распиской. При утренней приёмке проводится внешний осмотр пломб и замков — если обнаружены следы вскрытия, немедленно составляется акт и начинается служебная проверка без вскрытия сейфа до прибытия комиссии.

Опечатывание и распечатывание СКЗИ

Когда требуется опечатывание. Опечатывание применяется к сейфам, шкафам и помещениям хранения СКЗИ, а также к самим средствам — при передаче на хранение, консервации или при выявлении признаков несанкционированного доступа. Опечатывание выполняется пломбой с уникальным номером или мастичной печатью комиссии по СКЗИ. Номера пломб учитываются в отдельном журнале пломб, что позволяет отследить использование каждой пломбы и исключить повторное применение.

Процедура и документирование. Факт опечатывания оформляется актом, в котором указывают: дату и место, состав комиссии (ФИО, должности), серийные номера СКЗИ или описание объекта, номер пломбы, подписи членов комиссии. Акт хранится в архиве комиссии по СКЗИ. При распечатывании составляется отдельный акт — с указанием причины (плановая проверка, передача, уничтожение) и состояния пломбы на момент вскрытия (целая / повреждена).

Акт опечатывания в КиберОснова. Скан акта прикрепляется к карточке СКЗИ или хранилища — документ хранится в системе с полной историей операций. При проверке ФСБ ответственный показывает акты опечатывания за любой период одним кликом, не поднимая бумажный архив. Такая прозрачность существенно сокращает время подготовки к проверке.

Журналы хранилищ и ключей СКЗИ

Два обязательных журнала: учёт самих хранилищ (сейф №1, шкаф №2…) и учёт ключей от них

Журнал учёта хранилищ СКЗИ

Фиксирует все хранилища организации: номер/название хранилища, тип (сейф, шкаф, сейфовая комната), помещение, класс устойчивости, ответственный, перечень хранимых СКЗИ, дата последнего опечатывания. При централизованном учёте филиалов — единый реестр хранилищ по всей компании в одном интерфейсе.

• Номер и тип хранилища
• Ответственный (ФИО, должность, приказ)
• Список хранящихся СКЗИ и ключевых документов
• История опечатываний и проверок

Журнал учёта ключей от хранилищ

Фиксирует выдачу ключей: кому, когда, на какое время. Критичен для расследования инцидентов — если СКЗИ пропало, по журналу ключей быстро устанавливается круг лиц, имевших доступ. Отдельно учитываются дубликаты ключей — где хранятся, кто имеет к ним доступ.

• ФИО получателя ключа
• Дата и время выдачи/возврата
• Цель получения (плановая работа, приёмка)
• Подпись получателя и ответственного

Связь хранения с модулем учёта СКЗИ

Изъятие из хранилища фиксируется в карточке СКЗИ — статусы обновляются автоматически

Нажмите на изображение, чтобы увеличить

Хранение ключевых документов и носителей

Ключевые документы (сертификаты, закрытые ключи, эксплуатационная документация к СКЗИ) хранятся в сейфе рядом с самими средствами или в отдельном опечатанном отсеке. Для СКЗИ классов КС3 и выше рекомендуется раздельное хранение — разные сейфы или разные помещения, чтобы при компрометации одного элемента не был утрачен весь комплект. Сроки хранения ключевых документов определяются сроком действия ключей и требованиями эксплуатационной документации.

Ключевые носители (Рутокен, eToken, JaCarta) учитываются в журнале ключевых документов с серийным номером, ФИО пользователя и сроком действия сертификата. Носители, выданные пользователям для эксплуатации, возвращаются в хранилище при увольнении, отпуске или при выявлении признаков компрометации. В КиберОснова карточка носителя связана с карточкой пользователя — при увольнении система подскажет, какие носители нужно принять обратно.

Уничтожение — связь с учётом. При окончании срока действия или при выводе из эксплуатации СКЗИ и ключевые документы подлежат уничтожению по акту комиссии. Акт уничтожения фиксируется в журнале с номером, датой, составом комиссии, способом уничтожения. Смотрите подробности в статье «Акты уничтожения и передачи СКЗИ» — образцы актов и порядок оформления. Для смены ответственных — загляните на страницу Комиссии по СКЗИ. Общее понятие криптосредств — в разделе что такое СКЗИ.

Как КиберОснова помогает с учётом хранения СКЗИ

Журналы хранилищ и ключей, отметки об изъятии, классы КС1/КС2/КС3, акты опечатывания — всё в одном модуле

Журнал хранилищ в модуле

Отдельная форма для фиксации хранилищ (сейф №1, сейф №2, металлический шкаф) с ответственным за каждое. Привязка к помещению, классу защиты и списку хранящихся СКЗИ.

Журнал учёта ключей

ФИО получившего ключ, дата, время возврата, подпись. Можно вести через модуль или выгружать в бумагу для физического заверения.

Отметки об изъятии в карточке СКЗИ

Поле «Отметка об изъятии»: дата, ФИО сотрудника, номер акта. Связано с журналом хранилищ — при изъятии автоматически меняется статус хранения.

Классы защиты КС1/КС2/КС3

Требования к помещениям отличаются для каждого класса. В карточке СКЗИ выбирается класс — система подсказывает применимые требования ФАПСИ-152 и ПКЗ-2005.

Централизованный учёт филиалов

Для организаций с сетью офисов все хранилища и ответственные видны в одном интерфейсе. Отчёт по готовности к проверке — в разрезе филиалов.

Акты опечатывания

Скан акта опечатывания/распечатывания прикрепляется к карточке СКЗИ или хранилища. Полная история операций сохраняется с аудит-логом.

Чеклист готовности к проверке ФСБ

30 пунктов соответствия требованиям ФАПСИ-152 по хранению. Можно отмечать выполненные пункты и выгружать отчёт для внутреннего аудита.

Чеклист готовности к проверке ФСБ по хранению СКЗИ

30 пунктов, которые чаще всего проверяют инспекторы при выездных проверках. Сгруппированы по 6 категориям.

Скачать полный пакет: Положение о хранении + чеклист 30 пунктов

Word-шаблон Положения о порядке хранения СКЗИ (8 разделов) + PDF-чеклист с чекбоксами. Отправим ссылку на скачивание после заявки.

Автоматизируйте учёт хранения СКЗИ в КиберОснова

FAQ · Хранение СКЗИ

Часто задаваемые вопросы о хранении СКЗИ

Не нашли ответ? Напишите нам

Связанные разделы

Запросить демо + скачать пакет шаблонов

Покажем модуль учёта СКЗИ за 30 минут и пришлём Положение о хранении + чеклист 30 пунктов. Настройка — за 1 день.