Добавить в корзинуПозвонить
Найти в Дзене

ФАПСИ № 152 на практике: как хранить СКЗИ без нарушений

Приказ ФАПСИ от 13.06.2001 №152 формально подписан ведомством, которое уже упразднено. Однако утвержденная этим приказом Инструкция продолжает применяться в 2026 году. Полномочия в области криптографии после ликвидации ФАПСИ перешли к ФСБ России, а сам документ официально не отменен. На его основании ФСБ проверяет операторов персональных данных, держателей лицензий и любые компании, применяющие сертифицированные средства криптографической защиты информации (СКЗИ). Большинство нарушений на проверках связаны вовсе не со сложной техникой, а с тремя бытовыми факторами: отсутствует приказ о назначении ответственного, ключевые носители валяются в выдвижном ящике стола, журналы либо не ведутся, либо заполняются «для галочки». При проверке каждая такая ошибка квалифицируется отдельным составом, а штрафы по ст. 13.12 КоАП РФ суммируются. Действие Инструкции, утвержденной приказом ФАПСИ № 152, распространяется на обладателей конфиденциальной информации, применяющих сертифицированные СКЗИ. В эту
Оглавление

Приказ ФАПСИ от 13.06.2001 №152 формально подписан ведомством, которое уже упразднено. Однако утвержденная этим приказом Инструкция продолжает применяться в 2026 году. Полномочия в области криптографии после ликвидации ФАПСИ перешли к ФСБ России, а сам документ официально не отменен. На его основании ФСБ проверяет операторов персональных данных, держателей лицензий и любые компании, применяющие сертифицированные средства криптографической защиты информации (СКЗИ).

Большинство нарушений на проверках связаны вовсе не со сложной техникой, а с тремя бытовыми факторами: отсутствует приказ о назначении ответственного, ключевые носители валяются в выдвижном ящике стола, журналы либо не ведутся, либо заполняются «для галочки». При проверке каждая такая ошибка квалифицируется отдельным составом, а штрафы по ст. 13.12 КоАП РФ суммируются.

На кого распространяется действие приказа

Действие Инструкции, утвержденной приказом ФАПСИ № 152, распространяется на обладателей конфиденциальной информации, применяющих сертифицированные СКЗИ. В эту категорию попадают:

  • операторы персональных данных, обязанные применять СКЗИ по требованиям ч. 2 ст. 19 ФЗ № 152-ФЗ и Приказа ФСБ России от 10.07.2014 № 378;
  • участники электронного документооборота с ФНС, СФР, Росстатом и банками, где применяется квалифицированная электронная подпись (ст. 5, 8 ФЗ №63-ФЗ);
  • лицензиаты ФСБ по Постановлению Правительства РФ от 16.04.2012 № 313;
  • субъекты КИИ при использовании криптосредств для защиты значимых объектов.
Персональные данные в СЭД
Дарья Алексеева

Орган криптографической защиты или ответственный сотрудник

Пункт 22 Инструкции делит организации на две категории.

  • Крупные обладатели конфиденциальной информации формируют орган криптографической защиты информации (ОКЗИ): отдельное подразделение или штатную единицу с допуском к работе с криптосредствами.
  • В остальных случаях функции ОКЗИ выполняет ответственный пользователь СКЗИ, назначенный приказом.

Четкого порога «когда нужен ОКЗИ» в Инструкции не зафиксировано. Сложившаяся практика: ОКЗИ создают, если в организации больше 20–30 пользователей СКЗИ, есть лицензия ФСБ на деятельность по распространению или техническому обслуживанию шифровальных средств, либо организация работает с ГИС или ИСПДн высокого уровня защищенности.

Малому и среднему бизнесу достаточно приказа о назначении одного ответственного. На эту роль подходит IT-специалист, системный администратор или внешний подрядчик по договору. Последний вариант рискованный: ответственный должен быть штатным сотрудником, у которого есть фактический доступ к местам хранения СКЗИ.

Журналы учета СКЗИ

В силу п. 26 Инструкции организация должна вести поэкземплярный учет всех СКЗИ, эксплуатационной и технической документации, ключевых документов. Для учета предусмотрены две формы:

  • Приложение 1 — Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации, ключевых документов;
  • Приложение 2 — Журнал учета ключевых документов для пользователей СКЗИ.

Типовая форма Приложения 1 содержит 16 граф: от серийного номера СКЗИ до отметки об уничтожении. Что фиксируется в каждой графе:

-2

Требование к оформлению журнала вытекает из общего порядка ведения учетной документации, установленного разделом II Инструкции (п. 26–30) и самими формами Приложений 1 и 2. Листы прошиваются, нумеруются, скрепляются подписью руководителя и печатью организации.

Прямой срок хранения журналов учета СКЗИ в самой Инструкции ФАПСИ №152 не закреплен. На практике применяется срок не менее 5 лет после внесения последней записи: он соответствует общим срокам хранения документов по защите информации (Приказ Росархива от 20.12.2019 №236) и используется ФСБ при проверках. По истечении этого срока журналы уничтожаются с составлением акта.

Хранение СКЗИ и ключевых носителей

Раздел V Инструкции определяет правила физического хранения. Ключевые требования сводятся к следующему:

  • ключевые носители (USB-токены, смарт-карты, дискеты, флеш-носители с ключами) хранятся в индивидуальных металлических шкафах или сейфах, запирающихся на ключ;
  • запрещено держать ключевые носители в общих шкафах с другими сотрудниками, в столах, в незапирающейся мебели;
  • запрещено оставлять ключевой носитель подключенным к ПЭВМ при отсутствии пользователя;
  • ключи от сейфа с ключевыми носителями пользователь хранит лично, передача третьим лицам запрещена.

Нельзя хранить токен в столе. Это самое распространенное нарушение в коммерческих организациях. Утром бухгалтер приходит, вставляет токен в USB-порт, работает с банк-клиентом и отчетностью, а на ночь оставляет токен в столе или прямо в системнике. Любой из этих сценариев — нарушение раздела V Инструкции. Минимально допустимый вариант: индивидуальный металлический ящик у каждого пользователя СКЗИ. Ключ от ящика лежит лично у пользователя, дубликат хранится у сотрудника, ответственного за СКЗИ.

Остается спорным вопрос хранения криптографических средств в рамках удаленной работы. Официальных разъяснений ФСБ по нему нет. Инструкция ФАПСИ № 152 была создана в эпоху, когда удаленной работы с конфиденциальной информацией почти не было. Формально требования к хранению (металлический шкаф, журнал учета, инструктаж) распространяются на любое место эксплуатации СКЗИ.

Организации, разрешающие удаленку с СКЗИ, чаще всего оформляют это так:

  • с сотрудником подписывается дополнительное соглашение, где зафиксировано место хранения ключевого носителя (домашний сейф или металлический ящик);
  • работник под подпись принимает обязательства по соблюдению Инструкции.
Токен vs локальный КЭП: как вести учет и минимизировать риски
Сергей Феоктистов

Помещения для размещения СКЗИ

Требования к помещениям, где размещаются СКЗИ и хранятся ключевые документы, закреплены разделом IV Инструкции:

  • двери оборудуются замками, исключающими несанкционированное проникновение;
  • окна первого и последнего этажей, а также окна, доступные с балконов и пожарных лестниц, оснащаются металлическими решетками или защитными ставнями;
  • помещение оборудуется охранной сигнализацией с выводом на пульт охраны;
  • доступ в помещение имеет ограниченный круг лиц, утвержденный приказом руководителя;
  • в нерабочее время помещение опечатывается.

Полный объем требований к помещению зависит от класса СКЗИ (КС1, КС2, КС3, КВ, КА) и категории защищаемой информации. Для класса КС1 требования минимальные, для КА — максимальные. Класс СКЗИ определяется по модели угроз согласно Приказу ФСБ России от 10.07.2014 № 378.

Инструктаж пользователей

Пункт 27 Инструкции обязывает проводить инструктаж каждого пользователя СКЗИ до начала работы. Это не формальность: при инциденте отсутствие инструктажа автоматически означает, что пользователь не несет персональной ответственности, и вся она ложится на руководителя.

В журнале инструктажа фиксируются дата проведения, Ф.И.О. пользователя, наименование СКЗИ, по которому проводился инструктаж, подпись пользователя и подпись лица, проводившего инструктаж (ответственного за СКЗИ). К инструктажу прикладывается «Лист ознакомления с Инструкцией пользователей СКЗИ» (Приложение № 4 к типовой Инструкции), где пользователь подписывается под перечнем своих обязанностей.

Проводите инструктаж не только при приеме на работу, но и при смене СКЗИ, выпуске нового ключа, обновлении версии криптопровайдера. Каждый инструктаж — это отдельная запись в журнале.

Уничтожение ключевых документов

Под «ключевыми документами» в терминологии Приказа № 152 понимаются физические носители (токены, смарт-карты, флешки, дискеты), на которых записаны криптографические ключи.

Порядок уничтожения ключевых документов установлен разделом III Инструкции. Процедуру проводит комиссия не менее чем из двух человек, по итогам составляется акт. Уничтожение необходимо в следующих случаях:

  • по истечении срока действия ключа;
  • при выводе СКЗИ из эксплуатации;
  • при увольнении пользователя СКЗИ;
  • при компрометации (после внутреннего разбирательства).

Физические носители (флешки, смарт-карты, дискеты) уничтожаются физически: разрезанием, разломом микросхемы, сжиганием. Простое форматирование или удаление файла с носителя уничтожением по Инструкции не считается. Электронные ключи на сертифицированных токенах удаляются штатными средствами токена с фиксацией факта удаления.

Компрометация ключей

Под компрометацией понимается любое событие, дающее основания считать, что ключ стал известен посторонним. Сюда относятся утеря ключевого носителя, хищение носителя или компьютера, на котором хранился ключ, вскрытие сейфа в отсутствие пользователя, увольнение сотрудника без сдачи носителя, подозрение на копирование ключа, а также работа на ПЭВМ, зараженной вредоносным ПО.

Пошаговый алгоритм:

1. Пользователь СКЗИ немедленно прекращает работу и письменно уведомляет ответственного за СКЗИ и руководителя организации.

2. Ответственный за СКЗИ блокирует действие скомпрометированного ключа: если речь о УКЭП, направляется заявление в удостоверяющий центр о досрочном прекращении действия сертификата.

3. Создается комиссия по расследованию инцидента: устанавливаются обстоятельства, виновные лица, объем информации, защищенной скомпрометированным ключом.

4. Скомпрометированный ключевой документ изымается и уничтожается с составлением акта.

5. Выпускается новый ключевой документ.

6. Все события (уведомление, расследование, уничтожение, выпуск нового ключа) фиксируются в журналах учета.

Если компрометация повлекла утечку персональных данных, дополнительно действует обязанность уведомить Роскомнадзор: о факте инцидента — в течение 24 часов, о результатах внутреннего расследования — в течение 72 часов.

Электронная подпись для работы с ФНС, ЭДО и госпорталами
Получите УКЭП в аккредитованном удостоверяющем центре Астрал — быстро, с поддержкой и настройкой рабочего места. Сертификат выпускается обычно за 1 рабочий день, продление — через личный кабинет без бумаг.
Оформить электронную подпись

Штрафы и ответственность в 2026 году

Ответственность за нарушение порядка обращения со СКЗИ наступает по нескольким статьям КоАП РФ.

Статья 13.12 КоАП РФ

В зависимости от состава нарушения квалификация идет по разным частям ст. 13.12 КоАП РФ:

-3

Статья 13.6 КоАП РФ

Отдельный состав — за использование несертифицированных средств связи или шифрования (кодирования) в сетях связи, если сертификация обязательна:

  • Граждане: 3 000 - 5 000 руб. с конфискацией или без;
  • Должностные лица: 15 000 - 30 000 руб. с конфискацией или без;
  • Юридические лица: 60 000 - 300 000 руб. с конфискацией или без.

Уголовная ответственность

Если нарушение правил хранения и обращения с СКЗИ привело к утечке персональных данных или компрометации ключей с крупным ущербом (свыше 1 млн рублей ), возможна квалификация по статьям УК РФ:

  • Ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») — до 200 000 руб. штрафа или лишение свободы на срок до 7 лет (при тяжких последствиях).
  • Ст. 272.1 УК РФ («Незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные»), введена ФЗ №421-ФЗ от 30.11.2024. Максимальное наказание — до 10 лет лишения свободы со штрафом до 3 млн рублей.
  • Ст. 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») — применяется при нарушении правил, повлекшем уничтожение, блокирование или модификацию охраняемой информации .

Сертификация СКЗИ и проверка сертификата

К эксплуатации в России допускаются только СКЗИ, прошедшие сертификацию ФСБ России (ст. 8, 12 закона от 06.04.2011 № 63-ФЗ, Положение ПКЗ-2005, Приказ ФСБ России от 09.02.2005 № 66). Актуальность сертификата проверяется в реестре сертифицированных средств защиты информации на сайте ФСБ.

При проверке сертификата нужно убедиться в следующем:

  • наименование и версия СКЗИ совпадают с используемыми в организации;
  • срок действия сертификата не истек;
  • класс СКЗИ соответствует уровню защищенности информационной системы;
  • сертификат не отозван.

Облачные СКЗИ и серверы подписи, где ключевой носитель физически отсутствует у пользователя, часто воспринимаются как выводящие из-под требований раздела V Инструкции №152 (хранение токена в сейфе). Однако эксплуатация СКЗИ должна строго соответствовать его формуляру — это условие сертификата. Если в формуляре прописано хранение ключа в сейфе, эту обязанность нельзя снять, просто перенеся ключ в облако. Облачная инфраструктура в таком случае должна быть аттестована для работы с этим классом СКЗИ, а оператор — иметь лицензию ФСБ.

Официальных разъяснений ФСБ о неприменении Инструкции №152 к облачным сервисам в открытом доступе нет. Поэтому стороны разграничивают зоны ответственности в договоре: оператор отвечает за инфраструктуру, пользователь — за соблюдение требований учета и хранения ключей, а также за конфиденциальность аутентификационных данных.

Актуальный сертификат ФСБ — работа без нарушений
КриптоПро CSP 5.0 имеет действующий сертификат ФСБ России и полностью соответствует требованиям к сертифицированным СКЗИ.
Получить

Популярные вопросы

Распространяется ли Приказ ФАПСИ №152 на бухгалтерские программы и сервисы отчетности?

На сами программы — нет. Но если на рабочем месте установлен сертифицированный криптопровайдер (например, для работы с УКЭП), требования к учету, хранению токена, инструктажу и журналам действуют для всей организации, в каком бы продукте этот криптопровайдер ни применялся.

Можно ли вести журнал учета СКЗИ в электронном виде?

Прямого запрета нет, но Инструкция требует прошивки, нумерации и скрепления подписью руководителя и печатью. Электронный журнал без бумажной выгрузки с прошивкой на проверке не принимается. Допустимый компромисс выглядит так: вести в электронной форме как рабочую копию, а ежемесячно или ежеквартально распечатывать, прошивать и заверять.

Кто отвечает за нарушение порядка хранения СКЗИ: пользователь, IT или руководитель?

Ответ зависит от того, проведен ли инструктаж под подпись. Если пользователь расписался в журнале инструктажа и подтвердил ознакомление с Инструкцией, за нарушения порядка хранения отвечает пользователь и ответственный за СКЗИ. Если инструктажа не было, ответственность переходит на руководителя организации. Юридическое лицо при этом привлекается параллельно с должностным.

Нужно ли уничтожать токен после увольнения сотрудника?

Сам токен (если это многоразовое устройство) уничтожать не нужно: он передается ответственному за СКЗИ и хранится до выдачи следующему пользователю. Уничтожается ключевой документ, записанный на токене: ключ удаляется, действие сертификата прекращается в удостоверяющем центре, составляется акт. После этого токен может использоваться повторно с новым ключом.

Какой срок хранения журналов учета СКЗИ?

В Приказе ФАПСИ №152 прямой срок не закреплен. На практике применяется не менее 5 лет после внесения последней записи: этот срок используется ФСБ при проверках и соответствует Перечню типовых управленческих архивных документов. После истечения срока журналы уничтожаются по акту, который сам также подлежит хранению.