ГрамотаИБ ГрамотаИБ

Учёт и хранение СКЗИ в организации: требования ФАПСИ №152 и ФСБ №378

22.06.2026

Как организовать поэкземплярный учёт, хранение и режим работы со средствами криптографической защиты (СКЗИ), чтобы пройти проверку ФСБ: назначение ответственных, журнал поэкземплярного учёта по Инструкции ФАПСИ №152, хранение и помещения, дифференциация мер по уровню защищённости (приказ ФСБ №378), уничтожение и контроль.

СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. нельзя просто установить и забыть: вокруг них выстраивается режим учёта и хранения. Его правила задают два документа — Инструкция ФАПСИ №152 (организация и обеспечение безопасности работы с СКЗИ) и приказ ФСБ России №378 (меры с СКЗИ для защиты персональных данных по уровням защищённости). Проверяет это ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА., и большинство нарушений здесь — организационные: не ведётся учёт, нет приказов, СКЗИ хранятся как попало.

Два документа, которые задают правила

  • Инструкция ФАПСИ №152 — базовый порядок организации работы с СКЗИ: поэкземплярный учёт, допуск лиц, условия хранения, режим помещений, уничтожение. Применяется к СКЗИ, защищающим информацию ограниченного доступа без гостайны.
  • Приказ ФСБ №378 — состав мер при использовании СКЗИ для защиты ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., различающийся по уровню защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4). Он опирается на поэкземплярный учёт по правилам ФАПСИ №152 и ужесточает режим для высоких уровней.

1. Назначить ответственных

Организация определяет, кто отвечает за СКЗИ: создаётся орган криптографической защиты либо приказом назначается ответственный пользователь СКЗИ. Отдельным приказом оформляется допуск работников к работе с СКЗИ — с предварительным инструктажем и под обязательство о сохранении конфиденциальности. К работе допускаются только включённые в перечень и прошедшие инструктаж лица.

2. Поэкземплярный учёт

Каждый экземпляр СКЗИ, эксплуатационная и техническая документация к ним, а также ключевые документы (ключевые носители) подлежат поэкземплярному учёту. Учёт ведётся в журналах по формам приложений к Инструкции ФАПСИ №152 — отдельно органом криптозащиты и обладателем защищаемой информации.

  • каждый экземпляр учитывается по серийному (регистрационному) номеру;
  • фиксируются получение, выдача исполнителю, возврат и уничтожение;
  • видно, у кого на руках находится конкретный экземпляр и ключевой носитель.

3. Хранение СКЗИ и ключевых документов

СКЗИ и ключевые документы хранятся в условиях, исключающих несанкционированный доступ:

  • в сейфах или металлических запираемых шкафах (хранилищах);
  • ключевые документы — отдельно от прочих, по возможности раздельно по разным СКЗИ;
  • хранилища опечатываются (опломбируются); ведётся учёт ключей от хранилищ и лиц, имеющих к ним доступ;
  • исключается бесконтрольный доступ посторонних к местам хранения.

4. Режим помещений

Помещения, где размещены и хранятся СКЗИ и ключевые документы, должны иметь режим, исключающий несанкционированный доступ: надёжные двери и замки, защита окон, контроль доступа, перечень лиц, имеющих право входа, при необходимости — опечатывание помещений. Это снимает значительную часть рисков ещё до технических мер.

5. Что меняет уровень защищённости (приказ ФСБ №378)

Для ИСПДн с низкими требованиями (УЗ-4, УЗ-3) применяется базовый набор организационных мер. Для УЗ-2 и УЗ-1 приказ ФСБ №378 добавляет более строгие требования: поэкземплярный учёт с регистрацией и контролем действий, опечатывание и контроль вскрытия носителей, оснащение помещений специальным оборудованием, утверждённый перечень допущенных лиц. Класс самого СКЗИ (КС1, КС2, КС3 и выше) выбирается отдельно — об этом в статье «Как выбрать класс СКЗИ по приказу ФСБ №378». Когда обработка ПДн автоматизирована, СКЗИ — часть общего контура защиты ИСПДн (см. обработку ПДн с использованием средств автоматизации).

6. Уничтожение

Отслужившие СКЗИ, ключевые документы и носители уничтожаются способом, исключающим восстановление, — как правило, комиссией и с оформлением акта. Факт уничтожения отражается в журнале поэкземплярного учёта. Нельзя просто выбросить ключевой носитель: его выбытие должно быть зафиксировано.

7. Контроль

Периодически проверяется фактическое наличие СКЗИ и ключевых документов, соответствие записям учёта и условия хранения. Выявленные нарушения (несоответствие журналам, нарушение опечатывания, доступ посторонних) устраняются — именно это в первую очередь смотрит проверяющий.

Какие документы и журналы нужны

  • приказ о назначении ответственного пользователя СКЗИ (или о создании органа криптографической защиты);
  • приказ о допуске работников к работе с СКЗИ и их обязательства о неразглашении;
  • журнал поэкземплярного учёта СКЗИ, документации и ключевых документов;
  • перечень помещений и перечень лиц, допущенных к работе с СКЗИ и к местам хранения;
  • акты уничтожения СКЗИ и ключевых документов.

Короткий пример: малый бизнес, УКЭП руководителя и главбуха

Типичная ситуация: в ООО нет ИТ-службы, а руководитель и главный бухгалтер подписывают отчётность, банк-клиент и ЭДО квалифицированной электронной подписью (УКЭПУсиленная квалифицированная электронная подпись — Наиболее защищённый вид электронной подписи; равнозначна собственноручной без дополнительных условий.). Для этого на их компьютерах установлен криптопровайдер (например, КриптоПро CSP), а закрытые ключи хранятся на токенах (Рутокен, eToken). Криптопровайдер и токен — это и есть СКЗИ, поэтому формально такая организация попадает под требования ФАПСИ №152 (а если теми же средствами защищаются персональные данные — то и ФСБ №378). Пугаться не нужно: для этого масштаба достаточно нескольких приказов, одного журнала и дисциплины хранения.

Минимально достаточный порядок действий:

  1. приказом назначить ответственного за работу с СКЗИ (можно одного из сотрудников) — создавать отдельный орган криптографической защиты малому бизнесу не нужно;
  2. приказом допустить к работе с СКЗИ тех, кто реально ими пользуется (руководитель, главный бухгалтер), под обязательство соблюдать правила обращения;
  3. завести журнал поэкземплярного учёта и внести в него криптопровайдер и токены с сертификатами по серийным номерам, отметив, у кого какой токен;
  4. хранить токены в запираемом ящике или сейфе, не оставлять их в компьютере без присмотра и не записывать ПИН-код рядом; каждый владеет своим токеном и никому его не передаёт;
  5. не передавать УКЭП руководителя другим лицам — ключ персональный (это и требование закона, и риск): главный бухгалтер подписывает своей подписью в пределах полномочий или по машиночитаемой доверенности, см. почему руководитель не должен передавать ЭЦП;
  6. при увольнении или смене сотрудника — отозвать сертификат, зафиксировать возврат либо уничтожение токена в журнале и оформить акт.

Этого набора достаточно, чтобы у небольшой организации был порядок по СКЗИ, соразмерный её масштабу, и было что показать проверяющему.

Главное

Соответствие по СКЗИ — это прежде всего порядок: назначены ответственные, ведётся поэкземплярный учёт, организованы хранение и режим помещений, оформляется уничтожение. Журналы должны вестись фактически — пустой журнал учёта равноценен его отсутствию (об этом же — какие журналы проверяют). Раздел «СКЗИ» в ГрамотаИБ ведёт поэкземплярный учёт, помещения и допущенных лиц и формирует нужные приказы и акты — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «СКЗИ и криптография» →

Как выбрать класс СКЗИ по приказу ФСБ №378

Разбираемся, как определить требуемый класс СКЗИ (КС1–КА1) для защиты ПДн в ИСПДн в зависимости от уровня защищённости и модели угроз.

Как не допустить утечку персональных данных и коммерческой тайны

Профилактика утечек персональных данных и коммерческой тайны: почему большинство утечек идёт от своих сотрудников и небрежности, а не от хакеров, и какие организационные и технические меры реально снижают риск. Разграничение доступа, режим коммерческой тайны, NDA, контроль носителей и подрядчиков, обучение людей и порядок при увольнении.

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ

Честный разбор: что в защите персональных данных малый бизнес реально делает своими силами и бесплатно, а где нужен лицензиат. По трём регуляторам — Роскомнадзор (организационная часть), ФСТЭК (техническая защита ИСПДн, лицензия и аттестация) и ФСБ (СКЗИ и криптография). Когда подрядчик действительно необходим, а когда это лишние расходы.