Что писать в Роскомнадзор про использование шифровальных средств?

Что писать в Роскомнадзор про использование шифровальных средств?
Что писать в Роскомнадзор про использование шифровальных средств?
  • 👤 Автор Довбенко Владимир 📧 [email protected].
  • Публикация 2025-08-19 18:59.
  • 🖍 Последние изменения 2025-08-19 18:59.
  • 👁 Просмотров 1.

Общие положения

Круг лиц, обязанных подавать сведения

Организации

Организация, подающая информацию в Роскомнадзор о применении шифровальных средств, должна представить полную и однозначную картину своих действий. В заявлении необходимо указать название и тип используемых криптографических решений, а также их классификацию согласно действующим нормативным актам.

Важно подробно описать цели, для которых внедрены эти средства: защита персональных данных клиентов, обеспечение конфиденциальности корпоративных коммуникаций, выполнение требований международных стандартов безопасности. Каждый пункт следует подкрепить конкретными примерами: типы передаваемых данных, объём защищаемой информации, частота использования шифрования.

Список обязательных элементов отчёта:

  • название программного или аппаратного продукта, версия и производитель;
  • алгоритмы шифрования, длина ключей и режимы работы;
  • перечень систем, в которых реализовано шифрование (почтовые серверы, файловые хранилища, каналы связи);
  • юридическое обоснование применения (ссылка на закон, нормативный документ или внутреннюю политику);
  • процедура управления ключами: генерация, распределение, хранение, ротация и уничтожение;
  • меры по контролю доступа к зашифрованным ресурсам;
  • результаты аудитов и тестов на устойчивость к взлому;
  • план действий в случае обнаружения уязвимостей.

Отчёт должен содержать информацию о том, как организация обеспечивает соответствие требованиям по хранению и передаче зашифрованных данных внутри страны. Необходимо указать, где находятся серверы, какие меры приняты для предотвращения несанкционированного доступа извне, а также какие процедуры задействованы при взаимодействии с государственными органами.

Если в процессе эксплуатации шифровальных средств возникали инциденты, следует описать их характер, сроки обнаружения, принятые меры по устранению и выводы, сделанные после анализа. Такой подход демонстрирует готовность к постоянному совершенствованию системы защиты и готовность к сотрудничеству с контролирующими органами.

В заключительной части отчёта рекомендуется подтвердить, что все действия соответствуют текущему законодательству, а также указать контактные данные ответственного лица, которое будет координировать дальнейшее взаимодействие с Роскомнадзором. Такой документ позволит избежать недоразумений, ускорит процесс проверки и укрепит репутацию организации как надёжного партнёра в сфере информационной безопасности.

Индивидуальные предприниматели

Индивидуальный предприниматель, использующий шифровальные средства в своей деятельности, обязан подготовить документ, который будет направлен в Роскомнадзор. В заявлении необходимо чётко и последовательно изложить сведения, позволяющие контролирующему органу оценить соответствие использованных технологий требованиям законодательства.

Во-первых, следует указать полное наименование ИП, ОГРНИП и контактные данные. Это базовая информация, без которой запрос будет отклонён.

Во-вторых, необходимо описать тип шифровального средства: программное обеспечение, аппаратный модуль, облачное решение или комбинацию нескольких технологий. В описании стоит указать название продукта, версию, разработчика и, при наличии, сертификаты соответствия.

Третьим пунктом является цель применения шифрования. Нужно конкретизировать, какие процессы защищаются (например, передача клиентских данных, хранение бухгалтерской информации, обмен электронными документами). Чем точнее будет указана цель, тем проще будет оценить правомерность использования.

Четвёртый блок – технические характеристики. Здесь указываются алгоритмы шифрования (AES‑256, RSA‑2048 и др.), режимы работы, длина ключей, способ генерации и хранения ключей. Если используются средства управления ключами, их описание также входит в этот раздел.

Пятый элемент – объём и категории персональных данных, которые обрабатываются под защитой шифра. Необходимо перечислить типы данных (ФИО, ИНН, платежные реквизиты и т.п.) и указать, какие меры дополнительно применяются для соблюдения требований Федерального закона «О персональных данных».

Шестой пункт – юридическое обоснование. В заявлении следует сослаться на нормативные акты, регулирующие использование шифровальных средств (например, Федеральный закон № 149‑ФЗ, Приказ ФСТЭК от … ). При необходимости можно указать согласие органов надзора, если оно уже получено.

Седьмой блок – порядок взаимодействия с Роскомнадзором. Указываются контактные лица, ответы на возможные запросы, сроки предоставления дополнительной информации. Это показывает готовность к открытой коммуникации и ускоряет процесс рассмотрения.

Наконец, в заключении делается краткое резюме: подтверждается, что все указанные сведения являются достоверными, и выражается готовность соблюдать требования по использованию шифровальных средств.

Примерный перечень пунктов, которые следует включить в документ:

  • Наименование ИП, ОГРНИП, контактные данные.
  • Наименование и версия шифровального средства, разработчик, сертификаты.
  • Цель применения (какие операции защищаются).
  • Алгоритмы, длина ключей, способ генерации и хранения.
  • Перечень персональных данных, подлежащих защите.
  • Ссылки на нормативные акты, подтверждающие законность использования.
  • Контактные лица для связи и сроки предоставления дополнительной информации.

Соблюдая эту структуру, индивидуальный предприниматель формирует исчерпывающий запрос, который позволяет Роскомнадзору быстро оценить соответствие шифровальных средств действующим требованиям и принять решение о регистрации или иной форме контроля. Такой подход минимизирует риск отказа и обеспечивает законную защиту бизнес‑данных.

Виды средств, требующих декларирования

Программные средства

При подготовке обращения в Роскомнадзор по поводу применения шифровальных средств необходимо изложить информацию последовательно и полностью, чтобы продемонстрировать соблюдение требований законодательства.

Во-первых, укажите полное наименование программного продукта, его версию и разработчика. Уточните, для каких задач он используется в вашей организации (защита передаваемых данных, хранение конфиденциальных сведений и т.п.).

Во-вторых, опишите технические характеристики шифрования: тип алгоритма (AES‑256, RSA‑4096 и др.), режим работы, длину ключа, способы генерации и хранения ключей. При возможности приложите сертификаты соответствия или результаты независимых аудитов.

В-третьих, подтвердите наличие правовых оснований для применения указанных средств. Сошлитесь на соответствующие статьи Федерального закона «О персональных данных», закон «Об информации, информационных технологиях и защите информации», а также на нормативные акты Роскомнадзора, регулирующие использование криптографической защиты.

В-четвёртых, продемонстрируйте меры контроля доступа к шифрованным ресурсам: политики управления привилегиями, журналирование операций, регулярные проверки целостности ключей. Если в организации применяются процедуры ротации ключей, укажите их периодичность и порядок.

В-пятых, укажите, какие процедуры реагирования на инциденты предусмотрены. Описывайте сценарии утраты или компрометации ключей, порядок информирования уполномоченных лиц и восстановления доступа.

В-шестых, приложите документы, подтверждающие лицензирование используемого программного обеспечения, если это требуется законодательством, а также договоры с поставщиками, где фиксируются обязательства по обеспечению криптографической безопасности.

Ниже представлена краткая структура содержимого обращения:

  • Наименование и версия шифровального продукта;
  • Цели и задачи его применения;
  • Технические параметры шифрования (алгоритм, длина ключа, режим);
  • Правовые ссылки на нормативные акты;
  • Механизмы управления доступом и журналирования;
  • Политика ротации и хранения ключей;
  • План реагирования на инциденты;
  • Лицензии и договорные документы.

Предоставив эту информацию в чёткой, лаконичной форме, вы продемонстрируете готовность соблюдать требования регулятора и уверенно ответите на все возможные запросы Роскомнадзора.

Аппаратные средства

Для Роскомнадзора необходимо предоставить полную и однозначную информацию о применяемых аппаратных средствах шифрования. Описание должно включать:

  • Наименование устройства, модель и серийный номер.
  • Производителя, страну изготовления и наличие сертификатов соответствия требованиям ФСТЭК.
  • Технические характеристики: тип используемого криптографического алгоритма, длина ключа, режимы работы (например, режим «шифрование‑аутентификация»).
  • Описание среды эксплуатации: серверные стойки, сетевые коммутаторы, точки доступа, мобильные терминалы и пр.
  • Показатели надёжности: степень защиты от физического вмешательства, наличие средств обнаружения попыток модификации, защита от электромагнитных излучений.
  • Механизмы управления ключами: генерация, распределение, ротация, хранение и уничтожение. Указать, какие процедуры реализованы в соответствии с внутренними политиками информационной безопасности.
  • Порядок доступа к аппаратуре: перечень уполномоченных сотрудников, их уровни доступа и журналирование всех действий.
  • Протоколы взаимодействия с программными компонентами: какие API и драйверы используются, как обеспечивается целостность передаваемых данных.
  • Планы по обновлению микропрограммного обеспечения и поддержке актуальных криптографических стандартов.

Все перечисленные сведения следует оформить в виде единого документа, подписанного уполномоченным представителем организации. При необходимости приложить копии сертификатов, схемы подключения и результаты независимых аудитов. Такой подход демонстрирует полную открытость и соответствие нормативным требованиям, что ускорит процесс проверки и получения разрешения на эксплуатацию шифровальных средств.

Программно-аппаратные комплексы

Программно‑аппаратные комплексы, включающие средства шифрования, требуют детального и точного описания при обращении в надзорный орган. В заявлении необходимо указать, какие задачи решаются с помощью криптографических модулей, какие стандарты применяются и как обеспечивается соблюдение требований законодательства.

Во-первых, следует обозначить назначение комплекса: защита передаваемых и хранимых данных, обеспечение конфиденциальности коммуникаций, защита критически важных информационных систем. При этом указывается, какие типы данных обрабатываются (персональные, финансовые, служебные) и какие бизнес‑процессы поддерживаются.

Во-вторых, необходимо перечислить технические характеристики шифровальных средств:

  • используемые алгоритмы (AES, RSA, ECC и др.);
  • длина ключей и их параметры;
  • режимы работы (шифрование в реальном времени, архивное шифрование);
  • наличие сертификации (ФСТЭК, ГОСТ, международные стандарты).

Третьим пунктом следует описать процедуру управления ключами: генерация, распределение, ротация, хранение и уничтожение. Важно подчеркнуть, что процесс полностью автоматизирован и соответствует требованиям по защите ключевой информации.

Четвертый раздел посвящён мерам контроля и аудита. Указываются:

  • регулярные проверки целостности криптографических модулей;
  • журналирование всех криптографических операций;
  • независимый аудит со стороны аккредитованных организаций.

Пятый аспект – правовая обоснованность использования. Здесь фиксируется ссылка на нормативные акты, регулирующие применение шифрования, а также подтверждение отсутствия ограничений для выбранных алгоритмов и параметров.

Наконец, следует добавить сведения о планах развития: обновление алгоритмов, внедрение новых средств защиты, расширение спектра обслуживаемых систем. Такое описание демонстрирует готовность к поддержанию высокого уровня информационной безопасности и готовность к взаимодействию с надзорным органом.

Требования к предоставляемым сведениям

Перечень необходимой информации

Идентификационные данные средства

Идентификационные данные средства — это основной набор сведений, которые необходимо указать в отчёте в Роскомнадзор при регистрации использования шифровального оборудования или программного обеспечения. Правильное и полное заполнение этой части документации гарантирует отсутствие задержек и дополнительной проверки.

В отчёте следует перечислить следующие пункты:

  • Наименование средства – полное официальное название, как указано в сертификате поставщика.
  • Версия (модель) – конкретный номер версии программного продукта или модель аппаратного устройства.
  • Изготовитель (разработчик) – юридическое лицо, зарегистрированное в соответствии с законодательством РФ, включая ИНН и ОГРН.
  • Серийный (идентификационный) номер – уникальный код, присвоенный каждому экземпляру средства.
  • Криптографический алгоритм – точное название используемого алгоритма (например, AES‑256, RSA‑2048) и его параметров.
  • Длина ключа – количество битов в криптографическом ключе, определяющее уровень защиты.
  • Дата ввода в эксплуатацию – день, когда средство впервые было установлено и начато его использование.
  • Срок действия лицензии (если применимо) – даты начала и окончания действия лицензии на использование шифровального средства.
  • Контактные данные ответственного лица – ФИО, должность, телефон и электронная почта сотрудника, уполномоченного на взаимодействие с надзорным органом.

Эти сведения позволяют Роскомнадзору быстро идентифицировать средство, проверить соответствие требованиям закона и убедиться в законности его применения. При подготовке отчёта важно использовать официальные документы поставщика (сертификаты, технические паспорта) и избегать сокращений, которые могут вызвать недопонимание.

Если в системе используется несколько шифровальных средств, каждый из них оформляется в отдельной строке с полным набором вышеуказанных параметров. Такой подход упрощает контроль и демонстрирует готовность организации к прозрачному взаимодействию с надзорными структурами.

Не забывайте прикладывать копии сертификатов соответствия и лицензий, а также подтверждающие документы о проведении внутренних проверок безопасности. Полнота и точность данных устраняют необходимость дополнительных запросов и ускоряют процесс регистрации.

Технические характеристики

Технические характеристики шифровального средства необходимо изложить подробно, опираясь на конкретные параметры и доказательства соответствия требованиям. В первую очередь следует указать используемый криптографический алгоритм (например, AES, GOST 28147‑89, RSA) и его режим работы (CBC, GCM, CTR и др.). Укажите длину симметричного ключа (128, 192 или 256 бит) и параметры асимметричного ключа (длина модуля 2048 бит и более).

Затем перечислите характеристики генератора случайных чисел, подтверждая его соответствие стандарту NIST SP 800‑90A или ГОСТ Р 34.10‑2012. Укажите скорость шифрования и дешифрования в мегабайтах в секунду при типичном нагрузочном сценарии, а также объём памяти, требуемый для работы.

Важно описать процесс управления ключами: способ создания, хранение (аппаратный модуль HSM или защищённый контейнер), ротацию (периодичность обновления, автоматические процедуры) и уничтожение устаревших ключей. При наличии многократных уровней доступа следует указать, какие роли могут генерировать, импортировать и использовать ключи.

Список дополнительных параметров, которые следует включить в сообщение:

  • Совместимость с национальными и международными стандартами (ГОСТ Р 34.10‑2012, ISO/IEC 19790, FIPS 140‑2/3);
  • Наличие сертификатов соответствия, выдаваемых уполномоченными органами;
  • Поддержка аудита операций: журналирование создания, использования и удаления ключей, контроль доступа;
  • Защищённость канала обмена ключами (TLS 1.3, IPsec);
  • Описание процедур резервного копирования и восстановления зашифрованных данных, включая проверку целостности резервных копий.

Необходимо также указать, какие типы данных планируется защищать (персональные данные, коммерческая информация, служебные документы) и в каких системах будет интегрировано шифрование (серверные БД, клиентские приложения, облачные хранилища).

В заключение следует подтвердить, что выбранные технические решения позволяют обеспечить требуемый уровень конфиденциальности и целостности информации, а также соответствуют законодательным актам РФ, регулирующим использование криптографических средств. При необходимости приложите техническую документацию, результаты независимых тестов и отчёты о проверке безопасности.

Сфера применения и назначение

Сфера применения шифровальных средств охватывает все уровни информационной инфраструктуры: от защиты персональных данных в корпоративных сетях до обеспечения конфиденциальности коммуникаций в государственных сервисах. При обращении в орган надзора необходимо чётко обозначить, какие задачи решаются с помощью выбранных алгоритмов и средств: защита передаваемых сообщений, хранение критически важных файлов, контроль доступа к закрытым ресурсам.

Назначение шифрования определяется требованиями законодательства и внутренними политиками безопасности. В документе следует указать:

  • тип используемых криптографических методов (симметричное, асимметричное, хеш‑функции);
  • конкретные программные или аппаратные решения, их версии и конфигурацию;
  • цели применения: предотвращение несанкционированного доступа, обеспечение целостности данных, соблюдение требований по хранению персональной информации;
  • категории обрабатываемой информации (персональные данные, коммерческая тайна, государственная тайна);
  • меры контроля и мониторинга, включающие журналирование операций шифрования и дешифрования.

Указывая эти параметры, демонстрируется полное соответствие нормативным актам, а также готовность к проверке и аудиту. Такой подход позволяет Роскомнадзору быстро оценить правомерность использования криптографических средств и убедиться в их надёжной интеграции в систему защиты информации.

Формат подачи

Для подачи материалов в Роскомнадзор о применении шифровальных средств необходимо придерживаться чёткой структуры, чтобы запрос был обработан без задержек.

Во-первых, укажите полные реквизиты организации: юридическое название, ИНН, ОГРН, адрес, контактные данные ответственного лица. Эта информация должна стоять в самом начале документа.

Во-вторых, сформулируйте цель использования криптографических средств. Опишите, какие задачи решаются, какие виды данных защищаются и в каких системах они применяются.

В-третьих, предоставьте техническую характеристику используемых средств: тип алгоритма, длина ключа, режим работы, сертификаты соответствия, дата получения лицензии (если требуется). При наличии нескольких решений перечислите их в виде списка, указывая для каждого отдельные параметры.

В-четвёртых, приложите документы, подтверждающие законность применения: лицензии ФСТЭК, договоры с поставщиками, результаты аудита безопасности. Каждый документ следует пронумеровать и указать дату выдачи.

В-пятых, опишите процедуру контроля и мониторинга использования шифрования. Укажите, кто отвечает за обновление ключей, как осуществляется журналирование операций и какие меры принимаются в случае инцидентов.

В-шестых, укажите ожидаемый результат взаимодействия с органом контроля: получение разрешения, подтверждение соответствия или рекомендации по корректировке.

Ниже приводится примерный перечень пунктов, которые следует включить в заявление:

  • Наименование организации и реквизиты.
  • Цель и область применения шифровальных средств.
  • Технические параметры (алгоритм, длина ключа, сертификаты).
  • Копии лицензий и сертификатов соответствия.
  • Описание процедур контроля и аудита.
  • Запрос о предоставлении решения/разъяснений.

Соблюдая указанный порядок и предоставляя все требуемые сведения, вы гарантируете быстрый и прозрачный процесс рассмотрения вашего обращения.

Сроки подачи

При подготовке сообщения в Роскомнадзор о применении шифровальных средств необходимо строго соблюдать установленные сроки подачи. Несоблюдение этих сроков может привести к отказу в регистрации обращения и последующим санкциям.

  • Первое уведомление о начале использования шифрования должно быть направлено в течение 10 календарных дней со дня фактического ввода средств в эксплуатацию. В документе следует указать тип используемого алгоритма, цель применения и основные технические параметры.

  • Если в процессе эксплуатации появляются изменения (модернизация алгоритма, расширение зоны применения, смена провайдера услуг), о них необходимо сообщить в течение 5 рабочих дней после их внедрения. В уведомлении следует подробно описать характер изменений и их влияние на безопасность данных.

  • По требованию Роскомнадзора предоставление дополнительной информации (технические спецификации, результаты тестирования, договоры с поставщиками) должно быть выполнено в течение 15 календарных дней с момента получения запроса. Отсутствие ответа в указанный срок считается отказом от сотрудничества.

  • Финальный отчёт о соблюдении требований законодательства о шифровальных средствах подаётся не реже одного раза в полугодие. В отчёте необходимо перечислить все использованные средства, их конфигурацию, результаты проверок и меры, принятые для устранения выявленных недостатков.

Соблюдение указанных сроков гарантирует своевременную и корректную коммуникацию с контролирующим органом, упрощает процесс рассмотрения обращения и снижает риск административных последствий. При подготовке документов используйте чёткую структуру, фиксируйте даты и подписи ответственных лиц – это ускорит проверку и повысит доверие к представленной информацией.

Процедура представления сведений

Порядок заполнения форм

Выбор соответствующего бланка

При подготовке обращения в Роскомнадзор по вопросу применения шифровальных средств первым шагом является выбор правильного бланка. Ошибочный формат может привести к задержкам в рассмотрении и требовать повторной подачи. Ниже перечислены ключевые критерии, которые помогут определить, какой документ нужен в конкретной ситуации.

  • Тип организации. Для юридических лиц используется бланк «Заявление о применении средств криптографической защиты информации», а для физических лиц – форма «Сообщение о применении средств шифрования». Убедитесь, что в шапке указаны реквизиты организации (ИНН, ОГРН) или паспортные данные заявителя.

  • Цель использования. Если шифрование применяется в рамках выполнения государственных заказов, следует выбрать бланк «Отчет о применении криптографических средств в государственных закупках». Для коммерческих проектов предусмотрен вариант «Заявление о применении шифрования в коммерческой деятельности».

  • Объём и характер данных. При работе с персональными данными, содержащимися в базе клиентов, необходимо использовать форму «Заявление о применении средств защиты персональных данных». Для защиты служебной корреспонденции применяется бланк «Заявление о применении шифрования служебных сообщений».

После определения правильного бланка следует заполнить его последовательно, не упуская важные детали:

  1. Наименование организации и контактные данные – укажите полное название, юридический и фактический адрес, телефон и электронную почту ответственного лица.
  2. Описание используемых средств – укажите название программного продукта, версию, тип алгоритма (симметричный, асимметричный), длину ключа и сертификаты, если они имеются.
  3. Цели и задачи шифрования – кратко опишите, какие задачи решаются с помощью криптографии (защита передачи данных, хранение конфиденциальных файлов, обеспечение целостности информации и т.д.).
  4. Объём обрабатываемой информации – укажите количество и типы защищаемых документов, объём передаваемых данных в месяц.
  5. Меры контроля и аудита – опишите, какие процедуры проверки целостности и соответствия требованиям Роскомнадзора внедрены (регулярные аудиты, журналирование операций, управление ключами).
  6. Согласования и разрешения – при наличии внутренних актов, протоколов совещаний или разрешений от руководства приложите их копии в качестве подтверждающих документов.

Завершите документ подписью уполномоченного лица и печатью организации (если это юридическое лицо). При отправке через электронный портал Роскомнадзора прикрепите все необходимые файлы в формате PDF, соблюдая ограничения по размеру.

Тщательно выбранный бланк и полностью заполненная форма позволяют быстро получить одобрение и избежать лишних запросов со стороны контролирующего органа. Следуйте указанным рекомендациям, и процесс будет гладким и эффективным.

Детализация данных

При подготовке обращения в федеральный орган по надзору в сфере связи, информационных технологий и массовых коммуникаций необходимо предоставить максимально полную информацию о применяемых средствах шифрования. Описывая детали, следует придерживаться чёткого и лаконичного стиля, избегая двусмысленностей.

Во-первых, укажите цель использования криптографических механизмов. Ясно сформулируйте, какие задачи решаются за счёт защиты данных – например, обеспечение конфиденциальности персональной информации клиентов, защита корпоративных коммуникаций или соответствие требованиям отраслевых стандартов.

Во-вторых, детализируйте технические характеристики:

  • тип алгоритма (симметричный, асимметричный, хеш‑функция);
  • конкретные стандарты (AES‑256, RSA‑4096, SHA‑3 и т.п.);
  • режим работы (CBC, GCM, OCB и др.);
  • длина ключей и их генерация;
  • используемые библиотеки и версии программного обеспечения.

Третьим пунктом следует раскрыть порядок управления ключами:

  1. процесс генерации и распределения;
  2. хранение (аппаратные модули защиты, HSM, изолированные хранилища);
  3. ротация и срок действия;
  4. процедуры уничтожения после окончания использования.

Четвёртый аспект – правовая база. Укажите нормативные акты, регламентирующие применение шифрования в вашей сфере, а также ссылки на внутренние политики и процедуры, подтверждающие соответствие требованиям законодательства.

Пятый раздел посвящён объёму и структуре зашифрованных данных. Приведите количество записей, типы файлов, категории информации (персональные данные, коммерческие тайны, финансовая отчётность) и период их обработки.

Шестой пункт – меры контроля и аудита. Описывайте, как осуществляется мониторинг использования криптографических средств, какие журналы ведутся, как часто проводятся независимые проверки и какие результаты получены.

Наконец, укажите контактные данные ответственного лица, готовность предоставить дополнительные материалы и возможность ответить на уточняющие вопросы. Такой подход гарантирует, что предоставленная информация будет полной, структурированной и понятной для надзорного органа.

Способы отправки

Электронная форма

Электронная форма обращения в Роскомнадзор — основной инструмент для передачи сведений о применении шифровальных средств. При её заполнении следует придерживаться чёткого алгоритма, чтобы документ сразу отвечал требованиям регулятора и не требовал доработки.

Первый блок формы предназначен для идентификации заявителя. Указывайте полное наименование организации, ИНН, ОГРН, контактные данные ответственного лица и адрес электронной почты. Эти данные позволяют быстро установить связь и удостовериться в юридическом статусе отправителя.

Во втором разделе необходимо описать типы шифровальных средств, которые используются. Делайте это без лишних уточнений, перечисляя:

  • алгоритмы (например, AES‑256, RSA‑4096);
  • программные и аппаратные решения (приложения, серверы, специализированные модули);
  • цели применения (защита персональных данных, обеспечение конфиденциальности корпоративных коммуникаций, защита электронных подписей).

Третий блок формы требует указать объём и характер обработки зашифрованных данных. Приведите конкретные цифры: количество обрабатываемых файлов, средний размер транзакций, частоту использования шифрования. Это помогает регулятору оценить масштаб применения технологий.

Следующий пункт посвящён правовым основаниям. Ссылайтесь на нормативные акты, которые позволяют использовать указанные средства (ФЗ 152, ГОСТ Р 34.10‑2012 и др.). Указывайте номера статей, даты вступления в силу и ссылки на официальные источники.

В заключительном разделе формулируйте запрос или сообщение. Делайте это лаконично: «Просим подтвердить соответствие наших шифровальных средств требованиям действующего законодательства» или «Сообщаем о внедрении новых криптографических алгоритмов, соответствующих требованиям ФЗ 152». Завершите подписью уполномоченного лица и датой подачи.

Таким образом, электронная форма заполняется последовательно: идентификация → описание средств → объём обработки → правовые ссылки → формулировка запроса. Следуя этой структуре, вы гарантируете, что ваше обращение будет принято без задержек и будет соответствовать всем требованиям Роскомнадзора.

Почтовое отправление

Ваша заявка на рассмотрение использования шифровальных средств в рамках почтового отправления должна быть построена чётко и последовательно. Ниже представлены основные пункты, которые следует включить в документ, чтобы обеспечить его полноту и убедительность.

  • Наименование организации и контактные данные. Укажите полное официальное название, ИНН, ОГРН, а также адрес, телефон и электронную почту ответственного лица.
  • Описание отправляемого предмета. Детализируйте характер почтового отправления (например, электронные носители, бумажные документы, специализированное оборудование) и цель их передачи.
  • Технические характеристики шифрования. Приведите тип используемого алгоритма (AES‑256, RSA‑4096 и т.п.), режим работы, длину ключа и способ генерации. Укажите, что алгоритм соответствует международным стандартам безопасности.
  • Правовое обоснование. Сошлитесь на действующие нормативные акты, регулирующие применение шифровальных средств (ФЗ 152‑ФЗ, Приказ ФСТЭК и др.). Укажите, что выбранный метод не противоречит требованиям законодательства РФ.
  • Меры защиты ключей. Описать процедуры хранения, распределения и уничтожения криптографических ключей (аппаратные модули HSM, двухфакторная аутентификация, ограниченный доступ персонала).
  • Планируемый процесс доставки. Указать маршрут, сроки, виды транспортных средств и меры контроля, применяемые к отправлению на каждом этапе.
  • Ответственность и контроль. Оформить перечень лиц, ответственных за соблюдение требований, а также порядок проведения внутреннего аудита и документирования действий.

В заключительной части следует подчеркнуть готовность предоставить дополнительные материалы (техническую документацию, результаты тестов, сертификаты соответствия) по запросу. Завершите письмо формулой благодарности за внимание и указанием контактного лица для оперативной связи.

Подготовив документ в соответствии с перечисленными рекомендациями, вы продемонстрируете компетентность и соблюдение всех требований регулятора, что ускорит процесс рассмотрения вашей заявки.

Особые случаи

Оборот импортированных средств

Оборот импортированных шифровальных средств требует тщательного документирования и прозрачного представления в отчетных материалах, подаваемых в Роскомнадзор. При подготовке сведений необходимо подчеркнуть, что все операции соответствуют требованиям Федерального закона «О персональных данных» и нормативных актов, регулирующих использование криптографических средств.

В первую очередь следует указать полную номенклатуру импортированных изделий: тип, модель, уровень защиты, серийный номер и дату ввоза. Для каждого продукта необходимо зафиксировать его назначение – защита передаваемых данных, хранение конфиденциальной информации, обеспечение целостности сообщений и т.п. Такая детализация демонстрирует осознанный подход к использованию средств криптографии.

Далее требуется привести количественные показатели: количество единиц, общий объём в денежном выражении, сроки поставки и страны‑поставщики. Если импорт осуществлялся в рамках нескольких транзакций, каждую из них следует отразить отдельно, указав даты и суммы. При наличии контрактов на обслуживание или обновление программного обеспечения следует перечислить их условия и сроки действия.

Особое внимание следует уделить лицензированию. Необходимо подтвердить наличие всех обязательных разрешений: сертификата соответствия, лицензии ФСБ (если требуется) и иных документов, подтверждающих правомерность ввоза и эксплуатации шифровальных средств. При отсутствии обязательных лицензий следует указать причины и планы по их получению.

В отчет также следует включить сведения о мерах контроля и учёта: внутренние регистры, процедуры доступа, журналы использования, а также механизмы аудита. Описание этих процессов позволяет убедить контролирующие органы в наличии эффективной системы управления криптографическими ресурсами.

Наконец, необходимо обозначить планы дальнейшего использования импортированных средств: масштабирование, интеграция в существующие ИТ‑системы, обучение персонала и мероприятия по поддержанию актуальности криптографических протоколов. Прозрачный прогноз демонстрирует готовность к соблюдению требований безопасности и законодательных норм.

Соблюдая перечисленные пункты, вы предоставляете полную и достоверную картину оборота импортированных шифровальных средств, тем самым обеспечивая соответствие нормативным требованиям и укрепляя доверие со стороны надзорного органа.

Внесение изменений в ранее поданные сведения

Внесение изменений в ранее поданные сведения о применении шифровальных средств требует чёткого и полного описания всех актуализированных параметров. В заявлении необходимо указать:

  • реквизиты организации (полное наименование, ИНН, ОГРН, контактные данные);
  • идентификационный номер ранее поданной отчётности, к которой относится поправка;
  • точную дату и время начала использования нового или изменённого шифровального средства;
  • полное название и техническую характеристику средства (алгоритм, длина ключа, режим работы);
  • цель применения: защита передаваемых данных, обеспечение конфиденциальности внутренней коммуникации, соответствие требованиям отраслевых стандартов и пр.;
  • основания для внесения изменений: обновление программного обеспечения, переход на более надёжный алгоритм, исправление ошибок в первоначальном описании;
  • перечень документов, подтверждающих легальность использования (лицензии, сертификаты соответствия, договоры с поставщиками);
  • сведения о лицах, ответственных за внедрение и обслуживание шифровального средства, с указанием их должностных ролей.

Все пункты следует оформить в виде отдельного абзаца или короткого перечня, избегая избыточных формулировок. Текст заявления должен быть лаконичным, но полностью охватывать каждый из перечисленных элементов. После подачи исправлений рекомендуется сохранить копию подтверждающего письма и контролировать статус обработки в личном кабинете Роскомнадзора. Такой подход гарантирует соответствие требованиям регулятора и ускорит процесс утверждения внесённых изменений.

Прекращение использования средств

Мы прекращаем применение всех шифровальных средств, используемых в нашей деятельности, и официально информируем Роскомнадзор о завершении данного процесса. С момента принятия решения 01.09.2025 все соответствующие программы и аппаратные решения выводятся из эксплуатации, а их дальнейшее использование запрещено.

Для подтверждения полного отказа от шифрования мы предпринимаем следующие действия:

  • отключаем и удаляем программные модули, отвечающие за шифрование данных;
  • уничтожаем или передаём в безопасное хранение носители, содержащие криптографические ключи;
  • фиксируем дату и время прекращения работы каждого средства в журнале событий;
  • предоставляем копии журналов и актов инвентаризации в установленном порядке;
  • информируем всех сотрудников о необходимости прекратить использование шифровальных средств и обеспечиваем их переобучение.

В документе, направляемом в Роскомнадзор, указываем:

  1. точную дату начала и завершения вывода из эксплуатации;
  2. перечень всех программных и аппаратных средств, подлежащих удалению;
  3. подтверждающие подписи ответственных лиц и руководства организации;
  4. ссылки на нормативные акты, в соответствии с которыми осуществляется прекращение использования.

Мы гарантируем полное соответствие требованиям законодательства и готовы предоставить дополнительные сведения по запросу. Просим подтвердить получение сообщения и зафиксировать факт прекращения использования шифровальных средств.