ГрамотаИБ ГрамотаИБ

Зарубежные токены и криптосредства: это СКЗИ? Приказы ФСБ №378 и ФАПСИ №152

Редакция ГрамотаИБ · Опубликовано 30.06.2026

Считается ли использование зарубежного токена или криптосредства использованием СКЗИ и попадает ли оно под приказ ФСБ №378 и Инструкцию ФАПСИ №152. Разбираем, почему регуляторный режим (поэкземплярный учёт и меры защиты) построен вокруг сертифицированных ФСБ России СКЗИ, почему несертифицированное зарубежное средство не закрывает требования по защите ПДн и когда оно прямо запрещено (Указ №250).

Если в организации используется зарубежный токен или криптосредство — иностранный смарт-токен, зарубежный VPN, импортная криптобиблиотека, — возникает вопрос: считается ли это «использованием СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.» и нужно ли вести поэкземплярный учёт по Инструкции ФАПСИ №152 и выполнять меры по приказу ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. №378? Сразу уточним: профильный приказ ФСБ по защите персональных данных с использованием СКЗИ — это №378; приказа ФСБ №358 в этой области нет, скорее всего имеется в виду именно №378. Разберём по существу.

Что такое СКЗИ и почему важна сертификация

Технически средство криптографической защиты информации (СКЗИ) — это шифровальное (криптографическое) средство: программа или устройство, реализующее криптографические алгоритмы (шифрование, электронная подпись, имитозащита). Общие правила работы с такими средствами задаёт Положение ПКЗ-2005 (приказ ФСБ №66).

Но весь регуляторный режим — классы СКЗИ, меры защиты, поэкземплярный учёт — построен вокруг средств, сертифицированных ФСБ России. Именно сертификация придаёт средству статус СКЗИ в смысле требований по защите информации: только сертифицированным средством можно официально «закрыть» требование о криптографической защите.

Зарубежный токен или криптосредство — это СКЗИ?

Ответ зависит от того, в каком смысле спрашивать:

  • В широком техническом смысле — да, зарубежное средство, реализующее шифрование или подпись, является криптографическим средством.
  • В регуляторном смысле — оно не сертифицировано ФСБ России, а значит не является сертифицированным СКЗИ и не может закрыть обязательные требования по криптозащите. Это не значит, что криптосредства вообще не регулируются: обращение с шифровальными средствами подчиняется ПКЗ-2005, но статус, которым выполняют требования по защите, даёт именно сертификация.

Отдельно про токены: токен может быть как простым носителем ключа, так и криптоустройством. Российские токены (например, Рутокен или JaCarta) в исполнении СКЗИ сертифицированы; зарубежные аналоги российской сертификации ФСБ, как правило, не имеют. Как обращаться с токенами электронной подписи — в статье «Как хранить токены электронной подписи».

Попадает ли под приказ ФСБ №378

Приказ ФСБ №378 определяет организационные и технические меры при использовании СКЗИ для защиты персональных данных и требует применять сертифицированные СКЗИ класса, соответствующего уровню защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств..

Поэтому если по модели угроз криптографическая защита персональных данных необходима, выполнить это требование можно только сертифицированным ФСБ России СКЗИ (на практике — российским). Зарубежное или иное несертифицированное средство такое требование не закрывает — более того, использование несертифицированных СКЗИ (или сертифицированных, но с истёкшим сертификатом) для защиты передаваемых по каналам связи персональных данных относится к типовым нарушениям, которые ФСБ России выявляет при проверках. То есть зарубежное средство не «попадает под №378» как полноценное СКЗИ — оно просто не годится для выполнения этого приказа.

Попадает ли под Инструкцию ФАПСИ №152

Инструкция ФАПСИ №152 регулирует организацию работы, хранение, использование и поэкземплярный учёт СКЗИ и ключевых документов. На практике этот режим ведут для сертифицированных СКЗИ, которые организация эксплуатирует для защиты информации.

Ключевой момент: для выполнения обязательных требований по криптозащите нужен сертифицированный ФСБ России СКЗИ — поэкземплярно учитывают именно его и ключевые документы. Вопрос о фактическом учёте несертифицированного зарубежного средства, если оно реально применяется как криптосредство для защищаемой информации, оценивается отдельно: само по себе отсутствие сертификата не выводит обращение с криптосредствами из-под регулирования. Подробно порядок учёта — в статье «Учёт и хранение СКЗИ»; что именно подлежит учёту (средство и ключи, а не файл сертификата) — в статье «Является ли сертификат сайта СКЗИ».

Когда зарубежное криптосредство прямо запрещено

Для части организаций вопрос решается жёстко: по Указу Президента №250 государственным органам, субъектам КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. и другим адресатам Указа с 1 января 2025 года запрещено использовать средства защиты информации (включая СКЗИ), происходящие из недружественных государств либо произведённые подконтрольными им организациями. Для них зарубежные криптосредства недопустимы независимо от сертификации.

Что это значит на практике

  • Если вы обязаны защищать данные криптографией (по модели угроз и требованиям) — используйте сертифицированный ФСБ России СКЗИ (на практике — российский), ведите его поэкземплярный учёт (ФАПСИ №152) и выполняйте меры приказа ФСБ №378.
  • Зарубежный токен или криптосредство эти требования не закрывает: для регулируемой защиты оно не является СКЗИ в нужном смысле, и опираться на него нельзя.
  • Если криптографическая защита по требованиям не обязательна, выбор средства остаётся на ваше усмотрение, но статуса сертифицированного СКЗИ и связанного с ним режима учёта у зарубежного средства нет.
  • Для адресатов Указа №250 запрещены СКЗИ, происходящие из недружественных государств.

Главное

В широком техническом смысле зарубежный токен или криптосредство — это криптографическое средство, но в регуляторном смысле оно не является сертифицированным СКЗИ. Приказ ФСБ №378 (защита ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).) и Инструкция ФАПСИ №152 (поэкземплярный учёт) построены вокруг сертифицированных ФСБ России СКЗИ: там, где криптозащита обязательна, закрыть требование можно только сертифицированным ФСБ России средством, а зарубежное несертифицированное — нет (это типовое нарушение, выявляемое при проверках ФСБ). Поэтому зарубежное средство не «попадает под №378 и №152» как полноценное СКЗИ — оно просто не годится для выполнения этих требований, а для адресатов Указа №250 запрещены средства из недружественных государств. Профильный приказ ФСБ по этой теме — №378; приказа ФСБ №358 в данной области нет.

Частые вопросы

Является ли использование зарубежного токена использованием СКЗИ?

Технически зарубежное средство, реализующее шифрование или подпись, — это криптографическое средство. Но в регуляторном смысле оно не является сертифицированным СКЗИ: без сертификата ФСБ России им нельзя официально закрыть требования по защите информации.

Можно ли защищать персональные данные зарубежным криптосредством?

Нет, если криптографическая защита обязательна по требованиям. Приказ ФСБ №378 требует применять сертифицированные ФСБ России СКЗИ соответствующего класса. Использование несертифицированных (в том числе зарубежных) средств для защиты передаваемых по каналам связи персональных данных относится к типовым нарушениям, выявляемым ФСБ при проверках.

Нужно ли вести поэкземплярный учёт зарубежного токена по ФАПСИ №152?

Поэкземплярный учёт по Инструкции ФАПСИ №152 ведут для СКЗИ и ключевых документов, применяемых для защиты информации. Там, где криптозащита обязательна, нужен сертифицированный ФСБ России СКЗИ — учитывают именно его. Для адресатов Указа №250 СКЗИ из недружественных государств запрещены с 1 января 2025 года.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «СКЗИ и криптография» →

Является ли сертификат сайта СКЗИ

Нужно ли вести поэкземплярный учёт TLS/SSL-сертификата сайта как средства криптозащиты? Разбираем, чем сертификат отличается от СКЗИ, почему обычный HTTPS-сертификат не требует учёта по Инструкции ФАПСИ №152, когда возникает режим СКЗИ (ГОСТ-криптография) и что именно подлежит учёту — сертификат, закрытый ключ или криптопровайдер.

ПКЗ-2005 (приказ ФСБ России № 66): что это и что требует от оператора СКЗИ

Что такое ПКЗ-2005 — Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утверждённое приказом ФСБ России от 09.02.2005 № 66. Кого оно касается, что требует от организации, которая просто эксплуатирует СКЗИ (электронную подпись, VPN), и как связано с Инструкцией ФАПСИ № 152 и приказом ФСБ № 378.

Как хранить токены электронной подписи (Рутокен ЭЦП 3.0, JaCarta): правила ФСБ, учёт и формуляр

Где и как правильно хранить токены электронной подписи — Рутокен ЭЦП 3.0, JaCarta и подобные. Почему многие из них считаются СКЗИ, что такое правила пользования, согласованные с ФСБ (которой перешли криптографические функции упразднённого ФАПСИ), и формуляр; как вести поэкземплярный учёт по Инструкции ФАПСИ №152, в каком хранилище держать токен, кто отвечает за СКЗИ, почему нельзя передавать токен и PIN другому и какие документы нужно оформить. Практический разбор для организаций.

Учёт и хранение СКЗИ в организации: требования ФАПСИ №152 и ФСБ №378

Как организовать поэкземплярный учёт, хранение и режим работы со средствами криптографической защиты (СКЗИ), чтобы пройти проверку ФСБ: назначение ответственных, журнал поэкземплярного учёта по Инструкции ФАПСИ №152, хранение и помещения, дифференциация мер по уровню защищённости (приказ ФСБ №378), уничтожение и контроль.