Журнал учёта СКЗИ: образец заполнения, 3 формы журналов и правила ведения

СКЗИ (средства криптографической защиты информации) — программные, аппаратные или программно-аппаратные средства, реализующие криптографические алгоритмы: шифрование, электронную подпись, имитозащиту, хеширование. К СКЗИ относятся КриптоПро CSP, ViPNet Client, ViPNet Coordinator, Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ, «Континент-АП», Signal-COM. Ключевые носители (Рутокен, eToken, JaCarta) тоже подлежат учёту как составная часть криптосистемы.

Обязанность поэкземплярного учёта СКЗИ установлена Приказом ФАПСИ от 13.06.2001 № 152 — «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». После ликвидации ФАПСИ в 2003 году функции перешли к ФСБ России, но Инструкция продолжает действовать без изменений.

Дополнительные требования содержат:

• Инструкция ФСБ № 66 от 2014 — правила разработки, производства и эксплуатации шифровальных средств
• Приказ ФСБ № 378 от 10.07.2014 — состав и содержание организационных и технических мер для защиты ПДн с использованием СКЗИ
• Положение ПКЗ-2005 — порядок разработки, производства, реализации и эксплуатации СКЗИ

Учёт нужен не как формальность. Он решает конкретные задачи: контроль наличия каждого экземпляра СКЗИ при инвентаризации, фиксация ответственного за каждый экземпляр, отслеживание жизненного цикла от приобретения до уничтожения, доказательная база при проверках ФСБ. Без журнала невозможно определить, кто и когда получил конкретный экземпляр, установлен ли он на штатном рабочем месте, не скомпрометирован ли ключевой носитель.

Инструкция ФАПСИ № 152 предусматривает ведение трёх самостоятельных журналов. Это не альтернативы — нужны все три одновременно. Каждый закрывает свой участок учёта.

1. Журнал поэкземплярного учёта СКЗИ — центральный документ. Фиксирует каждую единицу хранения: дистрибутив ПО, лицензию, аппаратное средство. Содержит 10 граф, включая серийный номер, данные о получателе и отметку об уничтожении. По этому журналу проводится ежегодная инвентаризация. Скачать образец поэкземплярного журнала.

2. Технический (аппаратный) журнал СКЗИ — журнал операций. Фиксирует все действия с СКЗИ на рабочих местах: установку, обновление, настройку, перенос, удаление. По сути это changelog криптосистемы организации. Если поэкземплярный журнал отвечает на вопрос «что есть», технический — «что делали». Скачать образец технического журнала.

3. Журнал учёта ключевых документов — учёт ключевой информации: сертификаты ЭП, контейнеры закрытых ключей, ключи шифрования VPN-каналов, аппаратные токены с неизвлекаемыми ключами. Самый критичный журнал, потому что компрометация ключей — инцидент с максимальными последствиями.

Сравнение по ключевым параметрам:

• Объект учёта: поэкземплярный — экземпляр ПО или устройства; технический — операция на рабочем месте; ключевых документов — ключ или сертификат
• Кто ведёт: все три — ответственный за СКЗИ, назначенный приказом руководителя
• Периодичность записей: поэкземплярный — при поступлении / выбытии; технический — при каждом действии; ключевых документов — при выдаче / уничтожении ключей
• Связь с другими документами: поэкземплярный ссылается на накладные и акты; технический — на заявки и бюллетени обновлений; ключевых документов — на акты уничтожения СКЗИ

Журнал поэкземплярного учёта содержит 10 граф. Разберём каждую с конкретным примером записи для КриптоПро CSP 5.0 R2.

1. Порядковый номер записи — сквозная нумерация: 1, 2, 3... Пропуски и дублирование запрещены
2. Наименование СКЗИ — «КриптоПро CSP версия 5.0 R2, исполнение 2 (КС1)». Указывайте полное наименование из формуляра, включая версию и класс защиты
3. Серийный (регистрационный) номер СКЗИ — номер лицензии, например: «50501-50000-00821-ААААА». Для аппаратного СКЗИ — серийный номер устройства из паспорта
4. Номер экземпляра (копии) — «Экз. 1 из 15». Если закуплено 15 лицензий, каждая получает порядковый номер экземпляра
5. Откуда получено, номер сопроводительного документа — «ООО "Крипто-Про", товарная накладная № 1847 от 15.01.2026»
6. Дата получения — «18.01.2026» (фактическая дата поступления в организацию)
7. ФИО пользователя СКЗИ — «Иванов И.И., системный администратор, отдел ИТ»
8. Дата и расписка в получении — «20.01.2026, подпись Иванова И.И.». Подпись собственноручная, не факсимиле
9. Дата и расписка о возврате — заполняется при увольнении, смене ответственного или уничтожении. Пока СКЗИ в эксплуатации — графа пуста
10. Примечание — «Установлено на РМ-017 (инв. № 00453). Акт уничтожения от 12.12.2026 № 7» — заполняется при необходимости

Для аппаратных средств (Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ) в графе 3 указывается серийный номер токена с корпуса или из паспорта устройства. В графе «Примечание» фиксируется привязка к конкретному сертификату ЭП или контейнеру ключей.

Для ViPNet Client принцип тот же: наименование с версией, номер из дистрибутивного комплекта, идентификатор абонентского пункта (АП). Каждый АП — отдельная строка журнала.

Технический журнал фиксирует операции, а не единицы хранения. Каждая запись — одно действие с СКЗИ на конкретном рабочем месте. Типичные записи:

Установка СКЗИ:

• Дата: 20.01.2026
• Действие: Установка КриптоПро CSP 5.0 R2 на РМ-017 (инв. № 00453)
• Основание: Заявка ИТ-отдела № 12 от 18.01.2026
• Исполнитель: Петров П.П., администратор ИБ
• Подпись исполнителя: [подпись]
• Подпись ответственного за СКЗИ: [подпись]

Обновление версии:

• Дата: 15.03.2026
• Действие: Обновление КриптоПро CSP с 5.0 R2 до 5.0 R3 на РМ-017
• Основание: Бюллетень безопасности КриптоПро от 01.03.2026, письмо разработчика № 284
• Исполнитель: Петров П.П.

Удаление СКЗИ:

• Дата: 12.12.2026
• Действие: Удаление КриптоПро CSP 5.0 R3 с РМ-017 в связи с выводом из эксплуатации
• Основание: Приказ руководителя № 89 от 10.12.2026
• Способ: Штатная деинсталляция через панель управления, гарантированное затирание ключевых контейнеров утилитой cpclean

Отдельно фиксируются замена аппаратных компонентов ПК, на котором установлено СКЗИ (замена жёсткого диска, материнской платы), перенос СКЗИ между рабочими местами, подключение и отключение ключевых носителей. Журнал можно вести единый на организацию или отдельный на каждое рабочее место — решение за руководителем. Для организаций с 5+ СКЗИ на разных площадках рекомендуется раздельное ведение. Данные технического журнала пригодятся при составлении модели угроз — он позволяет восстановить полную историю изменений конфигурации средств защиты. При проверке ФСБ технический журнал подтверждает, что обновления применялись своевременно, а выведенные из эксплуатации СКЗИ были корректно удалены.

Готовы оформить документы по СКЗИ? Создайте полный пакет в конструкторе за 15 минут — все три формы журналов, акт уничтожения и приказ о назначении ответственного.

Ключевой документ по Инструкции ФАПСИ № 152 — носитель ключевой информации, участвующей в криптографических преобразованиях. Понятие шире, чем «токен» или «сертификат». Ключевые документы включают:

• Квалифицированные сертификаты ЭП — выданные аккредитованными УЦ (ФНС, Казначейство, коммерческие УЦ)
• Неквалифицированные сертификаты ЭП — для внутреннего ЭДО, VPN-аутентификации
• Контейнеры закрытых ключей — файлы в формате КриптоПро (.000 директории), ViPNet (dst-файлы), «Континент» (ключевые дискеты)
• Аппаратные токены с неизвлекаемыми ключами — Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ, где ключевая пара генерируется на устройстве и не покидает его
• Ключи шифрования каналов связи — симметричные ключи VPN-шлюзов, ключевые наборы ViPNet
• Инициализирующая ключевая информация (ИКИ) — разовые ключи для первичной инициализации СКЗИ

Графы журнала ключевых документов: регистрационный номер, тип ключевого документа, серийный номер носителя (для токенов — номер с корпуса), наименование СКЗИ, с которым используется, дата изготовления (выпуска сертификата), срок действия, ФИО владельца, подразделение, дата выдачи, подпись получателя, дата возврата / уничтожения, номер акта уничтожения.

Критический момент — уничтожение ключевых документов. Обязательно фиксируется при истечении срока сертификата, компрометации ключа (утеря токена, подозрение на НСД), увольнении сотрудника-владельца. Уничтожение закрытых ключей с токена выполняется форматированием или сбросом через административное ПО (rtAdmin для Рутокен, Единый Клиент JaCarta). Результат оформляется актом уничтожения СКЗИ, номер акта вносится в журнал. Учёт ключевых документов напрямую связан с требованиями Приказа ФСТЭК № 21 по защите ПДн — при использовании СКЗИ для обеспечения безопасности ПДн. СКЗИ часто применяются для защиты биометрических персональных данных — в этом случае требования к учёту ещё строже, а уровень защищённости ИСПДн должен быть не ниже УЗ-2.

Инструкция ФАПСИ № 152 не запрещает электронную форму, но устанавливает требования, которые делают бумажный вариант проще для большинства организаций.

Бумажный журнал:

• Листы пронумерованы, прошиты нитью, скреплены печатью организации
• На последнем листе — запись «В журнале пронумеровано и прошито NN листов», подпись руководителя
• Исправления — только зачёркиванием. Зачёркнутый текст должен читаться. Рядом — верный текст, дата исправления, подпись ответственного
• Подписи — собственноручные. Факсимиле, штампы, копии подписей не допускаются
• Хранение — в сейфе или запираемом шкафу, в помещении ответственного за СКЗИ

Электронный журнал:

• Каждая запись подписывается квалифицированной электронной подписью (КЭП) ответственного лица
• Ретроспективная запись (с датой в прошлом) — технически возможна, но журнал утрачивает доказательную силу
• Формат: структурированный (база данных, XML) предпочтительнее, чем Word/Excel
• Резервное копирование — обязательно, на отдельный носитель
• При проверке ФСБ может потребоваться распечатка, заверенная подписью руководителя

Большинство организаций ведут бумажные журналы. Электронная форма оправдана при количестве экземпляров СКЗИ более 50 и наличии системы ЭДО с КЭП. В крупных компаниях используют специализированные системы учёта СКЗИ (модули в ViPNet Administrator, автоматизированные системы класса SGRC), но журнал как документ всё равно формируется.

Срок хранения журналов — не менее 5 лет после внесения последней записи. Для журнала ключевых документов рекомендуется увеличить срок до 10 лет, поскольку при расследовании инцидентов может потребоваться восстановить историю обращения с ключами за длительный период.

При плановых и внеплановых проверках ФСБ фиксирует типовые нарушения. Ниже — ранжированный список по частоте выявления (по данным практики проверок 2024–2026).

1. Отсутствие подписей пользователей — графы «расписка в получении» и «расписка о возврате» пусты. Самое частое нарушение. ФСБ квалифицирует как отсутствие учёта, даже если журнал физически существует и содержит записи
2. Серийные номера не указаны или указаны неверно — вместо номера лицензии КриптоПро написано «КриптоПро CSP». Для ФСБ это равнозначно отсутствию записи: без идентификации экземпляра учёт бессмыслен
3. Уничтожение не зафиксировано — СКЗИ удалено с ПК, старый токен списан, но в журнале запись не закрыта, акт уничтожения не оформлен. Формально экземпляр числится за организацией
4. Нет приказа о назначении ответственного — журнал заполняет системный администратор «по умолчанию», без приказа руководителя. При проверке это квалифицируется как ведение учёта неуполномоченным лицом
5. Не ведётся журнал ключевых документов — организация учитывает ПО (КриптоПро, ViPNet), но сертификаты ЭП и токены не регистрирует в отдельном журнале
6. Журнал не прошит — бумажный журнал существует, но листы не пронумерованы, нить отсутствует, печать не стоит. При проверке может быть признан недействительным
7. Электронный журнал без КЭП — таблица в Excel с хронологией действий. Без квалифицированной подписи не имеет юридической силы

Последствия нарушений: предписание ФСБ об устранении в установленный срок, повторная проверка, а для организаций-лицензиатов — риск приостановки лицензии. Административная ответственность — по ч. 1 ст. 13.12 КоАП РФ (нарушение условий, предусмотренных лицензией на осуществление деятельности в области шифрования).

Выбор способа зависит от количества СКЗИ и наличия специалиста ИБ в штате.

Способ 1. В онлайн-конструкторе (рекомендуется)

Используйте конструктор документов Кибероснова: заполните карточку организации, укажите перечень СКЗИ и ответственных — система сгенерирует все три формы журналов за 10–15 минут. Формы соответствуют Приложениям к Инструкции ФАПСИ № 152. Конструктор автоматически подставляет реквизиты организации, формирует нумерацию граф и примечания. Результат — готовые DOCX-файлы для печати.

Способ 2. По готовому шаблону

Скачайте шаблоны и заполните вручную:

• Журнал поэкземплярного учёта СКЗИ — основная форма с 10 графами
• Технический (аппаратный) журнал СКЗИ — для фиксации операций
• Акт уничтожения СКЗИ — сопроводительный документ при списании

Способ 3. Самостоятельно

Создайте таблицу по форме из Приложения к Инструкции. Подходит если в штате есть специалист, знакомый с требованиями ФСБ к оформлению документов. Необходимо подготовить все три формы и обеспечить их соответствие Инструкции.

Вне зависимости от способа, после создания журналов обязательно:

• Издать приказ о назначении ответственного за учёт СКЗИ (с указанием ФИО, должности и перечня обязанностей)
• Прошить и пронумеровать бумажные журналы, скрепить печатью
• Провести первичную инвентаризацию — внести ВСЕ имеющиеся СКЗИ, включая лицензии «на полке»
• Ознакомить пользователей СКЗИ с порядком учёта под подпись
• Определить место хранения журналов (сейф, металлический шкаф)

Полный комплект документов по СКЗИ, помимо журналов, включает: приказ о назначении ответственного, инструкцию пользователя СКЗИ, акты установки и уничтожения. Организациям — субъектам КИИ потребуются дополнительные документы по 187-ФЗ. При проведении аудита на соответствие 152-ФЗ обязательно проверяйте полноту учёта СКЗИ — это один из пунктов, на которые обращает внимание ФСБ. Актуальные штрафы за нарушения в области ПДн и криптографии постоянно растут.