Требования закона к средствам проверки электронной подписи описаны в статье 12 Федерального закона № 63-ФЗ «Об электронной подписи» и в подзаконных актах ФСБ России. От того, какое именно средство вы используете для проверки ЭП, зависит юридическая значимость результата проверки и ваша защита при споре в суде или при инспекции ГИТ. Разберём, что обязано делать сертифицированное средство по закону, какие классы защиты бывают, чем отличается приказ ФСБ № 796 от 795-го, и какие программы можно применять без рисков для бизнеса. Это часть большого материала про проверку электронной подписи, где разобраны все способы и сервисы.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что закон называет средством электронной подписи
В пункте 9 статьи 2 закона «тройки» (это 63-ФЗ) есть прямое определение. Средство электронной подписи — это шифровальные (криптографические) средства, используемые для реализации хотя бы одной из функций: создание электронной подписи, проверка электронной подписи, создание ключа подписи и ключа проверки подписи. То есть программа или аппаратура, которая делает хотя бы что-то одно из этого набора, по закону уже считается средством ЭП. И к ней автоматически применяются требования 12-й статьи и подзаконных актов ФСБ.
Это часто упускают. Если вы скачали бесплатный сервис из интернета и проверяете на нём подписи под трудовыми договорами — формально это уже средство ЭП. И если оно не сертифицировано — результат проверки можно оспорить.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Многие думают, что ‘крипта’ — это про разработчиков, нас, кадровиков, не касается. Касается напрямую. Если вы при увольнении сотрудника ссылаетесь на электронный приказ, а проверили подпись ‘каким-то сервисом’ — в суде эта ‘зелёная галочка’ будет иметь нулевой вес. Серт средства проверки должен быть от ФСБ, точка.»
Требования статьи 12 63-ФЗ к средствам проверки электронной подписи
Статья 12 — центральная норма, в которой собран весь набор требований. Разберём по частям.
Часть 1: базовые требования к функциям
Часть 1 статьи 12 говорит: для создания и проверки ЭП, а также для создания ключей подписи и ключей проверки должны использоваться средства, которые делают три вещи. Первое — позволяют установить факт изменения подписанного документа после момента его подписания. Второе — обеспечивают практическую невозможность вычисления ключа подписи из самой ЭП или из ключа её проверки. Третье — позволяют создать ЭП в формате, который установлен Минцифры и обеспечивает возможность её проверки всеми средствами ЭП. Это базовый минимум.
На практике первое требование реализуется через хэш-функцию. При подписании средство вычисляет хэш документа и подписывает уже хэш. При проверке хэш вычисляется заново и сравнивается с тем, что зашифрован в подписи. Совпали — документ не менялся. Не совпали — в документе хоть запятую переставили.
Часть 3: что обязано делать средство при проверке подписи
Эта часть — ключевая для нашей темы. При проверке ЭП средство обязано:
- Показывать содержание электронного документа, подписанного ЭП. И визуализировать саму подпись — то есть выводить информацию, что документ подписан, плюс номер сертификата, владельца и период действия сертификата.
- Показывать информацию о внесении изменений в подписанный документ — был ли документ изменён после подписания, или целостность сохранена.
- Указывать на лицо, ключом ЭП которого подписан документ — то есть однозначно идентифицировать подписанта.
Третий пункт многим кажется техническим, а на деле он спасает в спорах. Когда работник в суде заявляет «я этот приказ не подписывал» — средство проверки выдаёт протокол, где написано «подписано Ивановым Иваном Ивановичем, СНИЛС такой-то, сертификат №…, выдан УЦ таким-то». Спорить с этим тяжело.
Часть 4: документы с защищённой информацией
Если вы подписываете документы с гостайной — средства должны быть подтверждены требованиям по защите сведений соответствующей степени секретности. Большинство компаний с этим не сталкивается, но если речь о работодателе оборонной отрасли или операторе КИИ — нюанс серьёзный. Для документов с информацией ограниченного доступа (включая персональные данные кадровиков и работников) средства не должны нарушать конфиденциальность такой информации. По сути, это требование к классу защиты СКЗИ — для ПД минимум КС1, для более серьёзных задач КС2 или КС3.
Часть 5: исключение для автоматической проверки
Тут интересный момент. Требования частей 2 и 3 (про отображение содержимого, визуализацию, подтверждение операции пользователем) не применяются к средствам, используемым для автоматического создания и автоматической проверки ЭП в информационной системе. То есть когда КЭДО-система фоном проверяет 50 000 подписей под массовыми ЛНА — она не обязана каждый раз показывать кадровику окошко «проверьте, что вы видите этот документ». Логично — иначе автоматизация бы просто не работала.
Мария Ж, юрист со стажем более 20 лет:
«Когда нам говорят ‘у нас в КЭДО подпись проверяется автоматически’, я всегда уточняю — а каким средством? Если за этим стоит сертифицированный СКЗИ типа КриптоПро — всё нормально, часть 5 статьи 12 это разрешает. Если это самописка на коленке без серта — вы просто складываете чеки в коробку, юридически это ничего не значит.»
Подзаконные акты ФСБ для средств электронной подписи
Сама статья 12 — рамочная. Конкретные технические требования прописаны в подзаконных актах. Их два главных, и кадровик хотя бы по названиям должен их знать — чтобы при выборе сервиса задавать правильные вопросы.
Приказ ФСБ № 796: технические требования к средствам ЭП
Приказ ФСБ России от 27.12.2011 № 796 — тот документ, в котором прописано, что должно делать сертифицированное средство, чтобы получить заветный сертификат регулятора. Именно по 796 приказу проводится оценка соответствия. Разработчик отправляет своё СКЗИ в лабораторию, лаборатория тестирует продукт, выдаёт заключение, и на основании заключения ФСБ выдаёт сертификат соответствия. Сертификат привязан к конкретной версии и формуляру. Если разработчик выпустил новую версию — сертификация проходится заново.
В формуляре, который идёт в комплекте с сертифицированным СКЗИ, написаны рамки безопасной эксплуатации. Например, какой максимальный срок действия ключа подписи может обеспечивать данное средство. От этого срока пляшет удостоверяющий центр при выпуске сертификата.
Приказ ФСБ № 795: требования к форме квалифицированного сертификата
Приказ ФСБ России от 27.12.2011 № 795 регулирует не сами средства, а форму квалифицированного сертификата — какие реквизиты должны быть, в каком виде. Сертификат проверяется средством ЭП по этим параметрам. Если в сертификате нет обязательных полей — подпись формально некорректна.
Удостоверяющие центры, выпускающие квалифицированные сертификаты, должны быть аккредитованы Минцифры. После реформы 2022 года аккредитованных УЦ стало несколько десятков. С 2022 года сертификаты на руководителей юрлиц выдаются только через УЦ ФНС.
Сертификация средств ЭП и классы защиты
Сертификация средств ЭП по линии ФСБ имеет несколько классов защиты. Это уровни стойкости средства к разным сценариям атак. Чем выше класс — тем серьёзнее задачи, для которых средство допущено.
| Класс защиты | Где применяется |
|---|---|
| КС1 | Для большинства задач коммерческих компаний — подписание ЛНА, кадровых документов, отчётности в ФНС. |
| КС2 | Для задач с повышенными требованиями к ИБ — финансовые операции, сделки с недвижимостью. |
| КС3 | Для критичных задач — цифровой рубль, отдельные банковские процессы. |
| КВ1, КВ2, КА1 | Для государственных и военных задач, КИИ. |
КриптоПро CSP версии 5.0 R3 сертифицирован по трём классам — КС1, КС2 и КС3. Сертификаты действуют до 1 мая 2027 года. КриптоАРМ ГОСТ 3 сертифицирован для КС1 и КС2 в составе с КриптоПро CSP 5.0 R3, действует до мая 2027 года.
Сертификация — процедура добровольная. Заявитель сам инициирует её. Но без сертификата средство не может использоваться для работы с УКЭП. То есть по факту «добровольно» звучит так: либо ты сертифицируешься, либо тебя нет на рынке квалифицированной подписи.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В практике Добыто мы подключаем сервис проверки на базе сертифицированной ‘крипты’ — КриптоПро. Это не плюшка, а необходимость. Если документ подписан УКЭП руководителя и хранится 50 лет, через 18 лет могут спросить — а кто его подписал? И тут в архив должны быть зашиты не только подпись, но и доказательства её действительности на момент создания. Иначе — юридический ноль.»
Какие программы соответствуют требованиям закона
На рынке несколько сертифицированных средств. Перечислим основные, которые используются в практике кадровиков и бухгалтеров.
КриптоПро CSP — флагман от компании КриптоПро. Самый распространённый криптопровайдер в России. Поддерживает Windows, Linux, macOS, Astra Linux Special Edition. Версия 5.0 R3 сертифицирована до 1 мая 2027 года. Это базовое СКЗИ, на котором работают почти все остальные программы для подписи и проверки.
КриптоАРМ ГОСТ 3 от компании Цифровые Технологии — универсальное приложение для работы с документами. Подписывает, шифрует, проверяет, имеет встроенный почтовый клиент с защитой по S/MIME. Сборка 3737 — сертифицированное исполнение, действует до мая 2027 года.
КриптоАРМ Server — серверное решение для автоматической проверки и подписания. Используется крупными организациями для проверки массовых пакетов документов.
Добыто.Подпись — средство подписи, сертифицированное на таком же уровне что и другие. КЭДО Добыто используется в основном для автоматизации кадровых задач.
Есть и неcертифицированные программы. Например, Crypto Expert от CrypteX — не имеет серта ФСБ. Если вам нужно подписывать что-то юридически значимое, существует список программ для подписания документов ЭЦП, который мы регулярно актуализируем.
Как проверить электронную подпись правильно
Пошаговая инструкция: проверка подписи в средстве, соответствующем закону
Показать пошаговую инструкцию
- Шаг 1. Перейдите на страницу проверки подписи Добыто. Установка программ и регистрация не требуются — сервис работает полностью в браузере.
- Шаг 2. Выберите тип подписи: «Присоединённая» (один файл, содержащий документ и подпись) или «Откреплённая» (два отдельных файла — документ и файл подписи .sig/.p7s).
- Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для откреплённой — перетащите или выберите исходный документ в поле «Документ», а файл подписи (.sig, .sgn, .p7s) — в поле «Файл подписи».
- Шаг 4. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Проверить подпись».
- Шаг 5. Дождитесь результата. Сервис проверит целостность подписи и отобразит сведения о сертификате: статус подписи (действительна или недействительна), данные владельца, удостоверяющий центр, срок действия сертификата. Если подпись недействительна — убедитесь, что выбран правильный тип и файл подписи соответствует документу.
Что именно проверяет средство при проверке электронной подписи
Когда вы загружаете документ и файл подписи в средство проверки, оно последовательно делает несколько проверок. Если хоть одна не проходит — подпись невалидна.
Целостность документа. Средство пересчитывает хэш документа и сравнивает с тем, что зашифрован в подписи. Если хоть один байт изменили — хэши не совпадут.
Цепочка сертификатов. Сертификат лица — сертификат УЦ — сертификат вышестоящего УЦ — головной удостоверяющий центр Минцифры. Цепочка должна быть полной и корректной.
Действительность сертификата на момент подписания. Сертификат не должен быть отозван. Это проверяется через CRL (список отозванных сертификатов) или через OCSP. Каждый аккредитованный УЦ обязан публиковать CRL.
Владелец сертификата. Из сертификата средство вытягивает данные владельца — ФИО, СНИЛС, для юрлица ИНН и ОГРН. Это и есть положительный результат проверки принадлежности владельца.
Штамп времени. Если подпись усовершенствованная (CAdES или CAdES-A), средство проверяет штамп времени и подтверждение действительности сертификата от службы TSP. По 63-ФЗ метка доверенного времени создаётся доверенной третьей стороной, УЦ или оператором ИС.
На пилоте мы часто сталкиваемся с такой ситуацией — заказчик хочет подписать пачку трудовых договоров за 3000 сотрудников, а на стороне его системы стоит «самописка», которая делает что-то похожее на проверку подписи, но без серта ФСБ. Через год при проверке ГИТ выясняется, что доказать подписание невозможно, потому что протоколы средства проверки никто не примет.
Если вам нужно безопасно построить процесс проверки ЭП в КЭДО — мы реализуем интеграцию с сертифицированным СКЗИ и закрываем эту задачу с первого дня.
Образцы документов и инструкций по теме электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Сервисы проверки подписи: какие средства проверки доступны
Проверить подпись можно несколькими способами.
Сервис Госуслуг. На портале gosuslugi.ru есть бесплатный сервис проверки. Использует сертифицированный СКЗИ, принимает откреплённые и присоединённые подписи. Подходит для разовых проверок. Полезный ресурс — официальный сервис проверки ЭП на Госуслугах.
Локальные программы (КриптоПро, КриптоАРМ). Ставятся на компьютер, проверяют подпись офлайн. Удобно для регулярной работы юриста или специалиста ИБ.
КЭДО-системы. В корпоративных системах кадрового документооборота проверка подписи встроена в карточку документа. Обычно это автоматическая проверка по части 5 статьи 12.
КриптоАРМ Server. Серверное решение для крупных компаний. Применяется банками, страховыми, операторами ЭДО. Помимо проверки умеет улучшать подписи (CAdES-X Long Type 1, CAdES-A) для долговременного архивного хранения. Это работает с задачами хранения файлов с откреплённой УКЭП заявителя.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике все чаще встречаются дела, где работодатель не может доказать подлинность электронной подписи работника на заявлении об увольнении или согласии на КЭДО. Причина проста — средство проверки было кустарным, а ‘плашка’ с подписью на PDF — это просто картинка, юридически не значит ровным счетом ничего. Серт ФСБ на средство проверки — не формальность, а основа доказательной базы.»
Стоимость подключения средств проверки ЭП в КЭДО Добыто
Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых модулей. В сервисе Добыто электронные подписи для сотрудников включены в тариф — отдельно покупать токены или лицензии на ПЭП и УНЭП не нужно. Проверка подписи реализована через сертифицированные средства и встроена в карточку каждого документа.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — средний бизнес | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — крупный бизнес | По запросу | Выделенный сервер, SLA 99.9%, API |
В тариф Бизнес дополнительно входят кастомные шаблоны, интеграция с 1С, приоритетная поддержка и электронный архив. УКЭП можно получить через партнёров-удостоверяющих центров. Итоговая сумма зависит от численности персонала — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.
Типичные ошибки при выборе средств проверки электронной подписи
Ошибка 1. Доверять «плашке» на PDF. Многие компании считают, что если на PDF стоит штампик «Подписано УКЭП ФИО, дата» — значит, документ подписан. На деле «плашечку» можно банально нарисовать в графическом редакторе и вставить в любой PDF. Юридическая значимость определяется не визуализацией, а проверкой средствами ЭП. Цена ошибки — проигранный суд по фиктивному документу.
Ошибка 2. Использовать несертифицированный сервис проверки. Бесплатных онлайн-проверщиков в интернете десятки. Большинство — агрегаторы или самописки без серта ФСБ. Результат их проверки нельзя предъявить ни в суде, ни на проверке ГИТ. Цена ошибки — штраф по ст. 5.27 КоАП за нарушения в кадровом учёте (до 50 000 руб. на юрлицо).
Ошибка 3. Игнорировать срок действия сертификата. Подписали документ за день до окончания срока действия серта — формально подпись валидна. Но через год без штампа времени и OCSP-ответа доказать действительность сертификата на момент подписания невозможно. Цена ошибки — юридическая ничтожность документа в архиве.
Ошибка 4. Не различать типы подписей при проверке. Откреплённая и присоединённая подпись проверяются по-разному. Если выбрать неверный тип — средство выдаст «подпись не валидна».
Ошибка 5. Хранить документы без улучшения подписи. Кадровые документы по приказу Росархива хранят 50 лет. Срок действия сертификата ЭП — 12-15 месяцев у работников, до 12 лет у обезличенных. Без перевода подписи в формат CAdES-A с штампами времени через 3-5 лет архив превратится в кучу файлов, которые нельзя проверить.
Ошибка 6. Передавать токен с УКЭП третьим лицам. Распространённая ситуация — директор отдаёт «флешку» с подписью секретарю. По части 1 статьи 10 63-ФЗ участники взаимодействия обязаны не допускать использование принадлежащих им ключей ЭП без их согласия. Юридически документ всё равно подписан владельцем токена. Цена ошибки — юрлицо несёт ответственность за всё, что подписано «флешкой» руководителя.
Выводы: что важно знать о средствах проверки электронной подписи
Требования к средствам проверки ЭП собраны в статье 12 закона 63-ФЗ и в подзаконных актах ФСБ — приказах № 796 и № 795. Любое средство, через которое вы создаёте, проверяете или храните электронную подпись, должно иметь действующий сертификат соответствия от ФСБ России. Без серта результат проверки юридически ничтожен. Регулятор — ФСБ России для средств подписи и Минцифры для аккредитации удостоверяющих центров. Класс защиты для большинства задач коммерческой компании — КС1, для финансовых и инфраструктурных — КС2 или КС3.
На практике для надёжной работы с ЭП нужно использовать связку сертифицированного криптопровайдера (КриптоПро CSP 5.0 R3) с сертифицированным средством для подписи и проверки. Локальные сервисы Госуслуг подходят для разовых проверок, КЭДО-системы — для повседневной работы кадровиков. Для долговременного архивного хранения подпись обязательно усовершенствуется до формата CAdES-A с штампами времени и OCSP-ответами — иначе через несколько лет она потеряет доказательную силу.
Часто задаваемые вопросы
Что такое средство электронной подписи по закону?
Какой нормативный акт устанавливает технические требования к средствам ЭП?
Обязательна ли сертификация средств ЭП в ФСБ?
В чём разница классов защиты КС1, КС2 и КС3?
Можно ли проверить подпись бесплатно?
Что такое штамп времени и зачем он нужен?
Какой максимальный срок проверки электронной подписи?
Кто ведёт реестр аккредитованных удостоверяющих центров?
Можно ли проверять подпись автоматически в КЭДО без участия сотрудника?
Что делать, если подпись не проходит проверку?
Какие виды электронной подписи можно проверить сертифицированным средством?
В каком формате должна быть электронная подпись для проверки всеми средствами?
Что такое доверенная третья сторона при проверке ЭП?
Можно ли использовать иностранное ПО для проверки электронной подписи?
Сервис КЭДО Добыто реализует проверку электронной подписи на базе сертифицированных средств криптографической защиты. В каждой карточке кадрового документа вы видите статус подписи, цепочку сертификатов и протокол проверки в формате PDF. При проверке ГИТ или в суде эти протоколы становятся доказательной базой — они оформлены в соответствии с требованиями статьи 12 63-ФЗ и приказа ФСБ № 796.
За время работы Добыто мы подключили более 500 компаний к КЭДО — от стартапов на 30 сотрудников до федеральных сетей со штатом 30 000+. В каждом проекте проверка подписей встроена в процесс автоматически, по части 5 статьи 12 закона. Кадровик не тратит время на ручную верификацию каждого приказа — всё фиксируется в архиве с метками времени и OCSP-ответами.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — через сертифицированные средства
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей и позиций в КП
- Скорость внедрения от 1 дня для небольших компаний