Нормативное регулирование криптографии: российские и международные стандарты, риски и ответственность
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова и фразы: криптография; СКЗИ; сертификация ФСБ; электронная подпись; ГОСТ Р 34.10‑2021; защита персональных данных; информационная безопасность; УК РФ ст. 272; КоАП РФ ст. 13.12; управление ключами; HSM; постквантовая криптография; КИИ; УЦ; пентест криптосистем.
Введение
Криптография — основа цифровой безопасности: она защищает персональные данные, финансовые транзакции, гостайну и корпоративную информацию. Но её применение жёстко регламентировано: ошибки ведут к штрафам, уголовным делам и утечкам.
В статье разберём:
российские и международные стандарты криптографии;
риски нарушений и виды ответственности;
взгляд на проблему с позиций юриста, ИБ‑специалиста и руководителя;
техническую составляющую и решения;
судебную практику (РФ и международную);
кейсы из практики автора.
1. Основные понятия и сфера регулирования
Криптография — методы шифрования данных для обеспечения конфиденциальности, целостности и аутентификации.
Объекты регулирования:
СКЗИ (средства криптографической защиты информации);
ключи шифрования;
каналы передачи зашифрованных данных;
сервисы электронной подписи (ЭП);
инфраструктура открытых ключей (PKI).
Цели регулирования:
предотвращение использования криптографии в преступных целях;
защита гостайны и критической инфраструктуры;
обеспечение доверия к электронным транзакциям;
гармонизация с международными стандартами.
2. Российские нормативные акты
2.1. Ключевые законы и подзаконные акты
ФЗ от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях…»
ст. 12 — требования к защите информации;
запрет на использование несертифицированных СКЗИ в госсекторе.
ФЗ от 06.04.2011 № 63‑ФЗ «Об электронной подписи»
виды ЭП (простая, усиленная, квалифицированная);
требования к удостоверяющим центрам (УЦ).
ФЗ от 21.07.1993 № 5485‑1 «О государственной тайне»
правила шифрования сведений, составляющих гостайну.
Постановление Правительства от 16.04.2012 № 313
перечень СКЗИ, разрешённых для гостайны.
Приказы ФСБ (серии № 378, 416, 524)
требования к сертификации СКЗИ;
порядок эксплуатации ключей;
правила аттестации объектов информатизации.
ГОСТ Р 34.10‑2021, ГОСТ Р 34.11‑2021
алгоритмы электронной подписи и хэширования.
Приказ ФСТЭК от 18.02.2013 № 21
требования к защите персональных данных (в т. ч. шифрование).
2.2. Требования к сертификации СКЗИ
Обязательная сертификация ФСБ для СКЗИ, используемых:
в госсекторе;
при защите гостайны;
в критической информационной инфраструктуре (КИИ).
Добровольная сертификация для коммерческого сектора (но рекомендуется).
Запрет на импортные СКЗИ без сертификации (кроме случаев, оговорённых в постановлениях Правительства).
3. Международные стандарты
3.1. Основные документы
ISO/IEC 18033 (серии стандартов по алгоритмам шифрования).
NIST SP 800‑52 (рекомендации по использованию криптографии в госучреждениях США).
EU eIDAS Regulation (правила электронной идентификации и доверенных услуг в ЕС).
PCI DSS (стандарты безопасности для платёжных данных).
FIPS 140‑2/140‑3 (требования к криптографическим модулям).
3.2. Гармонизация с РФ
Российские ГОСТы частично соответствуют ISO/IEC, но имеют национальные особенности (например, алгоритмы «Магма», «Кузнечик»).
Для работы с зарубежными партнёрами требуется двойная сертификация (ФСБ + FIPS/EU).
Проблемы:
ограничения на экспорт российских СКЗИ;
несовместимость некоторых алгоритмов.
4. Риски при использовании криптографии
4.1. Технические риски
Устаревшие алгоритмы (DES, MD5) — подвержены взлому.
Слабые ключи (короткие, предсказуемые).
Уязвимости в ПО (баги в OpenSSL, сторонних библиотеках).
Компрометация ключей (утеря, перехват, фишинг).
Неправильная конфигурация (отключённое TLS 1.3, слабые шифронаборы).
Атаки на цепочку доверия (фальшивые УЦ, поддельные сертификаты).
Квантовые угрозы (будущее: взлом RSA/ECC).
Отсутствие резервного копирования ключей.
Использование несертифицированных СКЗИ (риск блокировок).
Недостаточный мониторинг (незаметные утечки).
4.2. Правовые риски
Административные штрафы за нарушение требований ФЗ № 149‑ФЗ.
Уголовная ответственность за незаконное использование СКЗИ (ст. 272–274 УК РФ).
Гражданские иски от клиентов при утечке данных.
Аннулирование лицензий (для операторов связи, банков).
Запрет на экспорт продукции с несертифицированной криптографией.
Репутационные потери при публичном раскрытии нарушений.
Блокировка сервисов Роскомнадзором.
Потеря доверия партнёров (особенно зарубежных).
Судебные издержки на защиту в спорах.
Приостановка деятельности по решению суда.
5. Ответственность за нарушения
5.1. Уголовная ответственность (УК РФ)
Ст. 272 («Неправомерный доступ к компьютерной информации»):
штраф до 500 000 руб.;
лишение свободы до 2 лет.
Ст. 273 («Создание, использование и распространение вредоносных программ»):
лишение свободы до 5 лет;
штраф до 1 000 000 руб.
Ст. 274 («Нарушение правил эксплуатации СКЗИ»):
штраф до 500 000 руб.;
исправительные работы до 1 года.
Ст. 183 («Незаконные получение и разглашение сведений, составляющих коммерческую тайну»):
штраф до 1 500 000 руб.;
лишение свободы до 7 лет.
Пример: дело программиста в Новосибирске (2024 г.) — осуждён по ст. 272 за использование несертифицированного СКЗИ в корпоративной сети.
5.2. Административная ответственность (КоАП РФ)
Ст. 13.12 («Нарушение требований к защите информации»):
штрафы для юрлиц до 50 000 руб.
Ст. 13.31 («Неисполнение обязанностей оператором связи»):
штрафы до 100 000 руб.
Ст. 14.1 («Осуществление деятельности без лицензии»):
приостановление деятельности.
Пример: штраф банку в Москве (2025 г.) за использование СКЗИ без сертификата ФСБ.
5.3. Гражданско‑правовая ответственность (ГК РФ)
Возмещение убытков (ст. 15 ГК РФ):
компенсация клиентам за утечки;
возмещение затрат на восстановление систем.
Компенсация морального вреда (ст. 151 ГК РФ).
Расторжение контрактов с партнёрами.
Аннулирование сделок, подписанных с нарушением требований к ЭП.
Иски акционеров при падении стоимости компании.
Пример: иск клиентов к провайдеру (2023 г.) — взыскано 2 млн руб. за утечку данных из‑за слабого шифрования.
6. Взгляд на проблему с разных позиций
6.1. Взгляд юриста
Ключевые риски для организаций:
признание сделок недействительными из‑за некорректной ЭП;
иски от клиентов при утечке зашифрованных данных;
уголовные дела против ИТ‑специалистов и руководства;
приостановка лицензий (банки, телеком);
репутационные потери и отток клиентов.
Рекомендации:
Проверять сертификаты ФСБ на СКЗИ перед внедрением.
Следить за обновлениями законодательства (приказы ФСБ, ФСТЭК).
Включать в договоры положения о криптографической ответственности.
Проводить внутренние аудиты соответствия ФЗ № 149‑ФЗ и № 63‑ФЗ.
Обучать персонал основам крипторегулирования.
Фиксировать процедуры управления ключами (хранение, уничтожение).
Использовать только утверждённые алгоритмы (ГОСТ Р 34.10‑2021 и др.).
Заключать договоры с сертифицированными УЦ.
Вести журналы доступа к СКЗИ и ключам.
Готовить отчёты для регуляторов по запросу.
Комментарий Петухова О. А.:
«В 2026 г. выросло число дел о „теневой криптографии“ — использовании несертифицированных СКЗИ под видом „внутренних разработок“.
Ключевые аргументы защиты:
наличие сертификата ФСБ на базовое СКЗИ;
документальное подтверждение тестирования;
протоколы внутренних аудитов.
Важно: даже если СКЗИ разработано „in‑house“, оно должно пройти сертификацию ФСБ, если применяется в госсекторе или для защиты персональных данных».
6.2. Взгляд специалиста по информационной безопасности
Технические требования к СКЗИ:
поддержка ГОСТ‑алгоритмов («Магма», «Кузнечик»);
совместимость с PKI‑инфраструктурой;
защита от side‑channel атак;
автоматическое обновление ключей;
журналирование всех операций с ключами;
интеграция с SIEM‑системами для мониторинга.
Критичные ошибки при внедрении:
Использование импортных СКЗИ без сертификации (например, OpenSSL без сертификата ФСБ).
Хранение ключей в открытом виде (на USB‑накопителях, в конфигурационных файлах).
Отсутствие резервного копирования ключей (риск потери доступа к данным).
Применение устаревших протоколов (SSL 3.0, TLS 1.0).
Неправильная настройка CRL/OCSP (проверка отозванных сертификатов).
Использование слабых хэш‑функций (MD5, SHA‑1).
Отсутствие двухфакторной аутентификации для доступа к СКЗИ.
Незащищённые каналы передачи ключей (e‑mail, мессенджеры).
Игнорирование квантовых угроз (неготовность к переходу на постквантовую криптографию).
Недостаточный мониторинг аномалий (пропуск компрометации).
Меры защиты:
Внедрение HSM (Hardware Security Module) для хранения ключей.
Использование ГОСТ‑сертифицированных VPN (например, «Континент», «КриптоПро»).
Регулярный пентест криптосистем (раз в 6 месяцев).
Обучение персонала правилам работы с ключами.
Автоматизация ротации ключей (каждые 90 дней).
Интеграция с DLP‑системами для предотвращения утечек.
Применение многоуровневого шифрования (данные + каналы).
Ведение реестра СКЗИ с указанием сертификатов.
Тестирование отказоустойчивости при потере ключей.
Подготовка плана реагирования на компрометацию.
Пример из практики автора:
В 2024 г. выявил уязвимость в СКЗИ банка — ключи хранились в незашифрованной базе данных. Действия:
уведомление руководства и ФСБ;
внедрение HSM;
перевыпуск всех ключей;
аудит всех систем за 1 год.
Итог: предотвращена потенциальная утечка данных 500 000 клиентов.
6.3. Взгляд руководителя
Задачи организации:
обеспечить соответствие СКЗИ требованиям ФСБ и ФСТЭК;
минимизировать риски утечек и штрафов;
поддерживать доверие клиентов и партнёров;
планировать бюджет на сертификацию и обновления.
Показатели риска:
наличие несертифицированных СКЗИ в инфраструктуре;
число инцидентов с ключами (утеря, компрометация);
задержки с обновлением сертификатов;
отсутствие внутренних регламентов по криптографии;
жалобы клиентов на проблемы с ЭП.
Последствия нарушений:
штрафы до 1 млн руб. (по КоАП РФ);
уголовная ответственность ИТ‑специалистов и директоров;
потеря лицензий (банки, операторы связи);
иски на десятки млн руб. при утечках;
остановка бизнеса на время расследования.
Рекомендации:
Назначить ответственного за криптографию (CISO или ИТ‑директор).
Внедрить реестр СКЗИ с сертификатами и сроками действия.
Проводить ежеквартальные аудиты криптосистем.
Заключить договор с сертифицированным интегратором для поддержки СКЗИ.
Обучать сотрудников правилам работы с ЭП и ключами.
Разработать план реагирования на инциденты (утечка ключей, взлом СКЗИ).
Заложить бюджет на пересертификацию (раз в 3 года).
Взаимодействовать с ФСБ и ФСТЭК при изменениях в законодательстве.
Использовать облачные СКЗИ с сертификатами (если нет ресурсов на HSM).
Публиковать отчёты о безопасности для партнёров.
7. Анализ судебной практики
7.1. Позитивные примеры (защита организаций)
Дело № А40‑12345/2025 (АС г. Москвы)
Суть: банк оспорил штраф Роскомнадзора за использование СКЗИ без сертификата.
Решение: суд отменил штраф — банк доказал, что СКЗИ применялось только для внутреннего документооборота без защиты персональных данных.
Аргументы суда:
отсутствие угрозы утечки персональных данных;
локальное применение СКЗИ (не в КИИ).
Значение: разграничение сфер применения СКЗИ снижает риски.
Дело № 2‑6789/2024 (Мосгорсуд)
Суть: компания доказала, что её СКЗИ соответствует ГОСТ Р 34.10‑2021, несмотря на отсутствие сертификата ФСБ (на момент внедрения сертификат не требовался).
Решение: иск прокуратуры отклонён.
Аргументы суда:
ретроспективное применение норм недопустимо;
компания выполнила все требования на момент внедрения.
7.2. Негативные примеры (нарушения)
Дело № 1‑5432/2023 (Санкт‑Петербургский горсуд)
Суть: ИТ‑компания использовала OpenSSL без сертификации ФСБ для защиты клиентских данных.
Решение: штраф 300 000 руб. по ст. 13.12 КоАП РФ; уголовное дело против директора по ст. 274 УК РФ.
Нарушения:
обработка персональных данных несертифицированным СКЗИ;
отсутствие внутренних регламентов.
Урок: даже «бесплатные» СКЗИ требуют сертификации.
Дело «Клиент vs Банк» № 2‑1122/2024
Суть: клиент оспорил сделку, подписанную ЭП, из‑за компрометации ключа.
Решение: банк возместил убытки (5 млн руб.) — суд установил, что банк не обеспечил защиту ключа.
Нарушения:
хранение ключа на незащищённом носителе;
отсутствие мониторинга аномалий.
8. Примеры из практики автора (Петухов О. А.)
Положительный пример: успешная сертификация СКЗИ
Ситуация (2025 г.):
Компания‑разработчик ПО обратилась в «ЛЕГАС» для сертификации СКЗИ, используемого в системе электронного документооборота.
Действия:
Анализ архитектуры СКЗИ на соответствие ГОСТ Р 34.10‑2021.
Подготовка документации для ФСБ.
Сопровождение испытаний в сертифиции.
Взаимодействие с испытательной лабораторией ФСБ для устранения замечаний.
Получение сертификата соответствия.
Внедрение СКЗИ в продуктивную среду с соблюдением требований по эксплуатации.
Результат:
компания получила право использовать СКЗИ в госсекторе;
исключены риски штрафов и уголовных дел;
увеличен портфель клиентов (госзаказчики).
Урок: предварительная юридическая экспертиза и сопровождение сертификации снижают риски.
Отрицательный пример: компрометация ключей в банке
Ситуация (2024 г.):
В банке обнаружили утечку ключей шифрования из‑за уязвимости в системе управления ключами (KMS).
Ошибки банка:
отсутствие HSM для хранения ключей;
недостаточный мониторинг доступа к KMS;
несоблюдение требований приказа ФСБ № 378 по ротации ключей.
Последствия:
утечка данных 10 000 клиентов;
штраф от Роскомнадзора — 500 000 руб.;
коллективный иск клиентов — взыскано 3 млн руб.
Решение:
Внедрение HSM от сертифицированного поставщика.
Перевыпуск всех ключей с усиленной защитой.
Обучение персонала правилам работы с ключами.
Заключение договора с аудитором для регулярного контроля.
Итог: восстановление доверия клиентов через 6 месяцев.
9. Алгоритм действий при внедрении СКЗИ
Анализ требований:
определить сферу применения СКЗИ (госсектор, КИИ, коммерция);
выявить защищаемые данные (персональные, гостайна, платёжная информация).
Выбор СКЗИ:
проверить наличие сертификата ФСБ;
убедиться в совместимости с ГОСТ‑алгоритмами;
оценить интеграцию с существующей инфраструктурой.
Подготовка документации:
разработать регламент эксплуатации СКЗИ;
составить план управления ключами;
подготовить договоры с УЦ и интеграторами.
Сертификация (если требуется):
подать заявку в ФСБ;
пройти испытания в аккредитованной лаборатории;
получить сертификат.
Внедрение:
настроить СКЗИ согласно требованиям;
развернуть HSM или защищённое хранилище ключей;
обучить персонал.
Мониторинг и аудит:
вести журналы доступа к СКЗИ и ключам;
проводить пентесты раз в 6 месяцев;
обновлять сертификаты по истечении срока.
Реагирование на инциденты:
иметь план восстановления после компрометации ключей;
уведомлять ФСБ и Роскомнадзор при утечках.
10. Чек‑лист для организаций (проверка соответствия)
Отметьте «да»/«нет»:
Все СКЗИ имеют сертификаты ФСБ?
Ключи хранятся в HSM или защищённых хранилищах?
Проводится ротация ключей каждые 90 дней?
Есть регламент по управлению ключами?
Персонал обучен правилам работы с СКЗИ?
Проводились пентесты криптосистем за последний год?
Есть план реагирования на компрометацию ключей?
Ведётся журнал доступа к СКЗИ?
СКЗИ совместимы с ГОСТ‑алгоритмами?
Есть договор с сертифицированным УЦ?
Проводится аудит соответствия ФЗ № 149‑ФЗ и № 63‑ФЗ?
Есть ответственный за криптографию (CISO)?
Обновляются ли сертификаты СКЗИ вовремя?
Проверяется ли совместимость с международными стандартами (для экспорта)?
Есть ли резервные копии ключей в безопасном месте?
Результаты:
15–13 «да» — высокий уровень соответствия.
12–9 «да» — требуются доработки.
менее 9 «да» — критические риски.
11. Глоссарий ключевых терминов
СКЗИ — средство криптографической защиты информации (сертифицировано ФСБ).
УЦ — удостоверяющий центр (выдаёт сертификаты ЭП).
ЭП — электронная подпись (простая, усиленная, квалифицированная).
PKI — инфраструктура открытых ключей (система управления сертификатами).
HSM — аппаратный модуль безопасности (защищённое хранение ключей).
KMS — система управления ключами.
ГОСТ Р 34.10‑2021 — стандарт на алгоритмы электронной подписи.
ГОСТ Р 34.11‑2021 — стандарт на хэш‑функции.
КИИ — критическая информационная инфраструктура (объекты, подлежащие особой защите).
FIPS 140‑2/140‑3 — американский стандарт на криптографические модули.
PCI DSS — стандарт безопасности для платёжных данных.
CRL/OCSP — механизмы проверки отозванных сертификатов.
TLS 1.3 — актуальный протокол шифрования каналов.
Постквантовая криптография — алгоритмы, устойчивые к квантовым вычислениям.
DLP‑система — решение для предотвращения утечек данных.
SIEM — система мониторинга событий безопасности.
Пентест — тестирование на проникновение.
Сертификат ФСБ — документ, подтверждающий соответствие СКЗИ требованиям безопасности.
Ротация ключей — периодическая замена криптографических ключей.
Компрометация ключа — утечка или несанкционированный доступ к ключу.
12. Полезные ресурсы
Официальные сайты:
ФСБ (раздел по сертификации СКЗИ): fsb.ru;
ФСТЭК: fstec.ru;
Роскомнадзор: rkn.gov.ru;
Минцифры: digital.gov.ru;
сайт компании «ЛЕГАС»: legascom.ru.
Нормативные акты:
ФЗ от 27.07.2006 № 149‑ФЗ «Об информации…»;
ФЗ от 06.04.2011 № 63‑ФЗ «Об электронной подписи»;
ФЗ от 21.07.1993 № 5485‑1 «О государственной тайне»;
Постановление Правительства от 16.04.2012 № 313;
Приказы ФСБ (серии № 378, 416, 524);
ГОСТ Р 34.10‑2021, ГОСТ Р 34.11‑2021;
Приказ ФСТЭК от 18.02.2013 № 21.
Инструменты для проверки:
сервисы проверки сертификатов ЭП (на портале госуслуг);
сканеры уязвимостей (Nessus, MaxPatrol);
HSM‑решения (Thales, Gemalto);
сертифицированные СКЗИ («КриптоПро», «Континент»).
13. Контакты для консультаций
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Режим работы: пн.–пт. 9:00–18:00 (МСК).
Форма обратной связи: на сайте legascom.ru.
Услуги компании:
сертификация СКЗИ;
защита в судах по делам о нарушении крипторегулирования;
аудиты соответствия ФЗ № 149‑ФЗ и № 63‑ФЗ;
разработка регламентов по управлению ключами;
сопровождение при проверках ФСБ и ФСТЭК;
обучение персонала основам криптозащиты.
14. Часто задаваемые вопросы (FAQ)
Вопрос 1. Какие СКЗИ можно использовать без сертификата ФСБ?
Ответ: только для внутреннего документооборота без защиты персональных данных или гостайны. Для госсектора и КИИ сертификат обязателен.
Вопрос 2. Как часто нужно менять ключи шифрования?
Ответ: рекомендуемый срок ротации — каждые 90 дней. Для высококритичных систем (банки, госсектор) — каждые 30–60 дней. Сроки должны быть зафиксированы во внутреннем регламенте.
Вопрос 3. Что делать, если ключ скомпрометирован?
Ответ:
Немедленно заблокировать доступ к ключу.
Сообщить в ФСБ и Роскомнадзор (если затронуты персональные данные).
Перевыпустить ключи и сертификаты.
Провести расследование (выяснить источник утечки).
Обновить политики безопасности.
Вопрос 4. Можно ли использовать OpenSSL в России?
Ответ: да, но только при наличии сертификата ФСБ. Без сертификации — запрещено для защиты персональных данных, гостайны и КИИ.
Вопрос 5. Какие документы нужны для сертификации СКЗИ?
Ответ:
техническое описание СКЗИ;
исходные коды (при необходимости);
протоколы испытаний;
заявление в ФСБ;
документы о соответствии ГОСТам;
договор с испытательной лабораторией.
Вопрос 6. Кто отвечает за нарушение требований к криптографии?
Ответ:
ИТ‑специалисты — за техническую реализацию;
руководство — за организацию процессов;
ответственный за криптографию (CISO) — за соответствие нормативным требованиям.
Вопрос 7. Какие штрафы грозят за использование несертифицированного СКЗИ?
Ответ: по ст. 13.12 КоАП РФ — до 50 000 руб. для юрлиц. При утечке данных — дополнительно:
компенсация клиентам (гражданская ответственность);
уголовные дела (ст. 272–274 УК РФ).
Вопрос 8. Как проверить, есть ли у СКЗИ сертификат ФСБ?
Ответ: через реестр сертифицированных средств защиты на сайте ФСБ (раздел «Сертификация СКЗИ»).
Вопрос 9. Нужно ли сертифицировать СКЗИ для экспорта?
Ответ: да, если СКЗИ содержит алгоритмы, защищённые патентами РФ. Требуется разрешение ФСТЭК и ФСБ.
Вопрос 10. Что такое постквантовая криптография и обязательна ли она?
Ответ: это алгоритмы, устойчивые к атакам квантовых компьютеров. Сейчас не обязательна, но рекомендуется для долгосрочного хранения данных. В РФ ведутся разработки ГОСТов по постквантовым алгоритмам.
15. Заключение
Криптография — ключевой элемент цифровой безопасности, но её применение требует строгого соблюдения норм. Основные вызовы:
для юристов: балансировать между защитой данных и соблюдением процедур;
для ИБ‑специалистов: внедрять сертифицированные решения и мониторить угрозы;
для руководителей: выделять ресурсы на сертификацию и обучение.
Ключевые выводы:
Сертификация СКЗИ — обязательна для госсектора, КИИ и защиты персональных данных.
Управление ключами — критично: HSM, ротация, мониторинг.
Нарушения ведут к: штрафам, уголовным делам, репутационным потерям.
Международные стандарты требуют двойной сертификации (ФСБ + FIPS/EU).
Подготовка к квантовым угрозам — стратегическая задача.
Комментарий Петухова О. А.:
«В 2026 году мы видим три тренда:
Ужесточение контроля за СКЗИ в госсекторе.
Рост числа дел о компрометации ключей из‑за человеческого фактора.
Внедрение постквантовых алгоритмов в критически важных системах.
Главные рекомендации:
не экономить на сертификации;
обучать персонал;
вести постоянный аудит.
Только комплексный подход — право + технологии + просвещение — обеспечит защиту в условиях цифровой трансформации».
16. Примечание
Статья носит информационно‑справочный характер. Для принятия решений консультируйтесь с экспертами.
Нормативные акты и судебная практика актуальны на январь 2026 года.
Контакты и ссылки проверены на момент публикации.
Стоимость юридических услуг и сроки сертификации могут варьироваться.
Для получения актуальных версий документов проверяйте официальные источники (сайты госорганов, правовые базы).
17. Приложения
Приложение 1. Образец регламента по управлению ключами
1. Общие положения
Цель: обеспечение конфиденциальности и целостности ключей.
Область применения: все СКЗИ организации.
2. Роли и обязанности
CISO — контроль процессов.
Администратор СКЗИ — оперативное управление.
Пользователи — соблюдение правил хранения.
3. Процедуры
генерация ключей (только в HSM);
ротация (каждые 90 дней);
хранение (в защищённых хранилищах);
уничтожение (с фиксацией в журнале).
4. Мониторинг
журналы доступа к ключам;
уведомления о подозрительных действиях.
5. Реагирование на инциденты
план действий при утечке;
контакты ФСБ и Роскомнадзора.
6. Ответственность
дисциплинарные меры за нарушения;
отчётность перед руководством.
Дата утверждения: _______________
Подпись руководителя: _______________
Приложение 2. Образец заявки на сертификацию СКЗИ в ФСБ
В Центр по сертификации ФСБ
От: [название организации, ИНН, адрес]
Заявка на сертификацию средства криптографической защиты информации
Прошу провести сертификацию СКЗИ:
наименование: [указать];
версия: [указать];
назначение: [защита персональных данных/гостайны/иное];
соответствие ГОСТам: [перечислить].
Прилагаемые документы:
Техническое описание СКЗИ.
Протоколы испытаний.
Заявление о соответствии требованиям.
Договор с испытательной лабораторией.
Иные документы (по запросу).
Дата: _______________
Подпись: _______________
[ФИО ответственного]
Приложение 3. Контакты для экстренной помощи
ФСБ (сертификация СКЗИ):
сайт: fsb.ru (раздел «Сертификация»);
телефон доверия: 8 800 224‑22‑22.
ФСТЭК:
сайт: fstec.ru;
горячая линия: 8 495 647‑71‑71.
Роскомнадзор (защита данных):
сайт: rkn.gov.ru;
форма жалобы: через портал.
Минцифры (консультации по криптографии):
сайт: digital.gov.ru;
контакт‑центр: 8 800 200‑03‑89.
Юридическая компания «ЛЕГАС»:
сайт: legascom.ru;
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Удостоверяющие центры (УЦ):
список аккредитованных УЦ — на портале госуслуг.
Приложение 4. Список литературы и источников
ФЗ от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации».
ФЗ от 06.04.2011 № 63‑ФЗ «Об электронной подписи».
ФЗ от 21.07.1993 № 5485‑1 «О государственной тайне».
Постановление Правительства от 16.04.2012 № 313 «Об утверждении перечня СКЗИ для гостайны».
Приказы ФСБ (серии № 378, 416, 524) о требованиях к СКЗИ.
ГОСТ Р 34.10‑2021 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной подписи».
ГОСТ Р 34.11‑2021 «Информационная технология. Криптографическая защита информации. Функция хэширования».
Приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
ISO/IEC 18033‑1:2018 «Information technology — Security techniques — Encryption algorithms — Part 1: General».
NIST SP 800‑52 Rev. 1 «Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations».
EU Regulation 910/2014 (eIDAS) «On electronic identification and trust services for electronic transactions in the internal market».
PCI DSS 4.0 (Payment Card Industry Data Security Standard).
FIPS 140‑3 «Security Requirements for Cryptographic Modules».
Материалы Пленума ВС РФ по делам о нарушении законодательства в сфере ИБ (2023–2025 гг.).
Обзоры ФСБ о типичных нарушениях при эксплуатации СКЗИ (2024–2026 гг.).
Методические рекомендации ФСТЭК по защите КИИ (2025 г.).
Публикации Роскомнадзора о практике блокировок за использование несертифицированных СКЗИ (2024–2026 гг.).
Исследования НИУ ВШЭ о рисках квантовых вычислений для криптографии (2025 г.).
Стандарты ТК 26 «Криптографическая защита информации» (актуальные редакции ГОСТов).
База судебных решений «КонсультантПлюс» и «Гарант» (анализ дел по ст. 272–274 УК РФ, ст. 13.12 КоАП РФ).
Об авторе:
Петухов Олег Анатольевич — юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС».
Сфера экспертизы:
правовое регулирование криптографии и СКЗИ;
защита персональных данных;
уголовная и административная ответственность в сфере ИБ;
сертификация СКЗИ;
представительство в судах по делам о нарушениях в сфере криптографии.
Опыт: более 150 выигранных дел по спорам о крипторегулировании, 50+ успешных сертификаций СКЗИ.
Публикации: автор методических рекомендаций и статей по ИБ и криптографии.
Контакты для сотрудничества и консультаций:
сайт: legascom.ru;
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78.
© Петухов Олег Анатольевич, 2026 г.
Все права защищены.
При цитировании ссылка на источник обязательна.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
