Журнал учёта средств защиты информации: как вести и заполнять

19.06.2026
6 мин
8035
Анна Золотарева

Анна Золотарева

Юрист, стаж работы более 10 лет в надзорной деятельности. Эксперт в сфере финансового мониторинга и защиты персональных данных. Руководитель юридического отдела ООО «Научно-Практический Центр Финансового Мониторинга»

Регистрация в Роскомнадзоре за 1 день

Не откладывайте на завтра, чтобы избежать штрафов

Журнал учёта средств защиты информации (СЗИ) - обязательный документ для организаций, которые обрабатывают защищаемую информацию (в т. ч. персональные данные). Он нужен для контроля за использованием технических и программных средств защиты, а также для подтверждения соответствия требованиям регуляторов — прежде всего ФСТЭК России.

Кто обязан вести журнал

Вести журнал учёта СЗИ обязаны:

  • операторы персональных данных (в т. ч. компании, работающие с ПДн в ИСПДн);

  • организации, обрабатывающие информацию ограниченного доступа;

  • государственные информационные системы (ГИС);

  • компании, подпадающие под требования приказов и методических рекомендаций ФСТЭК.

Отсутствие журнала или его неправильное ведение может привести к штрафам и предписаниям при проверках.

Журнал учёта средств защиты информации

Нормативная база

Требования к учёту СЗИ закреплены в следующих документах:

  • приказы ФСТЭК России (в т. ч. № 21, № 17, № 239);

  • Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»;

  • требования по защите информации в государственных информационных системах;

  • внутренние регламенты и политики информационной безопасности организации.

ФСТЭК рекомендует фиксировать все операции с СЗИ для обеспечения прозрачности и возможности аудита.


Что относится к средствам защиты информации

В журнал вносят сведения о следующих СЗИ:

  • программные средства: антивирусы, системы обнаружения вторжений (IDS/IPS), SIEM‑системы, средства шифрования;

  • аппаратные средства: межсетевые экраны, модули доверенной загрузки, аппаратные шифраторы, СКЗИ (средства криптографической защиты информации);

  • криптографические средства: ключи шифрования, сертификаты электронной подписи, ключевые носители;

  • организационно‑технические решения: системы контроля доступа, видеонаблюдения, сигнализации в помещениях с оборудованием.


Правила ведения журнала

Журнал можно вести:

  • в бумажной форме — прошнурованный, пронумерованный, с подписью ответственного и печатью организации;

  • в электронной форме — с электронной подписью и защитой от несанкционированного доступа.

Ответственный за ведение журнала назначается приказом руководителя. Обычно это:

  • специалист по информационной безопасности;

  • администратор информационной системы;

  • сотрудник ИТ‑отдела с соответствующими полномочиями.

Периодичность внесения записей: сразу после установки, замены, ремонта, списания или передачи СЗИ другому подразделению.

Как правильно вести журнал учёта СЗИ

Структура и содержание журнала

Типовая форма журнала учёта СЗИ включает следующие графы:

Порядковый номер записи.

  1. Наименование СЗИ (модель, версия ПО, серийный номер).

  2. Тип средства (антивирус, межсетевой экран, СКЗИ и т. д.).

  3. Место установки (помещение, адрес, ответственный сотрудник).

  4. Дата ввода в эксплуатацию.

  5. Реквизиты документов (сертификаты соответствия, лицензии, акты установки).

  6. Сведения о техническом обслуживании (даты проверок, ремонтов, обновлений).

  7. Статус СЗИ (в эксплуатации, на ремонте, списано).

  8. ФИО и подпись ответственного лица.


Журнал учета средств защиты информации образец заполнения (фрагмент)

Журнал учета средств защиты информации образец

Ответственность за нарушение правил ведения

Неведение журнала учёта СЗИ или его некорректное заполнение расценивается как нарушение требований по защите информации. Это может повлечь:

  • административные штрафы по ст. 13.12 КоАП РФ (до 50 000 руб. для юрлиц);

  • предписания Роскомнадзора или ФСТЭК об устранении нарушений;

  • приостановление обработки данных до устранения недостатков;

  • репутационные риски при утечках информации.

Типовая форма журнала учёта средств защиты информации

Где скачать типовую форму

  • Типовую форму журнала учёта средств защиты информации можно скачать:

  • на официальном сайте ФСТЭК России в разделе «Документы»;

  • в справочно‑правовых системах («КонсультантПлюс», «Гарант»);

  • на профильных порталах по информационной безопасности.

Ведение журнала учёта СЗИ - не бюрократическая формальность, а важный элемент системы информационной безопасности. Грамотно заполненный журнал позволяет:

  • оперативно отслеживать состояние средств защиты;

  • подтверждать соответствие требованиям ФСТЭК и 152‑ФЗ;

  • минимизировать риски инцидентов из‑за устаревших или неисправных СЗИ;

  • успешно проходить проверки регуляторов.

Регулярно обновляйте данные в журнале и назначайте ответственного - это поможет избежать штрафов и защитит информацию компании.


Другие статьи

Как защитить персональные данные?
7497

Как защитить персональные данные?

Полезные рекомендации об обеспечении защиты персональных данных в организации и в сети

Что такое персональные данные: простое объяснение, что входит и как понимать
6793

Что такое персональные данные: простое объяснение, что входит и как понимать

Простыми словами о том, что относится к персональным данным: основные правила работы и аспекты, о которых важно знать

Для чего необходима локализация персональных данных?
11517

Для чего необходима локализация персональных данных?

Подробнее о правилах хранения и обработки персональных данных граждан на серверах, расположенных на территории России

Зарегистрируйтесь на вебинар или получите консультацию по любому вопросу

Ваше имя
Номер телефона *
Это поле обязательно для заполнения
E-mail *
Введён некорректный e-mail
Реквизиты компании
Запрещено загружать файл данного типа
Источник
Я даю согласие на обработку моих персональных данных, подтверждаю ознакомление с политикой конфиденциальности и пользовательским соглашением. Оповещен, что на сайте используются файлы cookie и сервисы сбора технических данных посетителей.