Требования ФСТЭК к системам КЭДО регулируют то, какие лицензии должны быть у разработчика, в каких случаях система должна быть сертифицирована, а сама информационная система с кадровыми документами — аттестована. Из статьи вы поймёте, нужна ли вашей компании именно сертифицированная по требованиям ФСТЭК система, что проверять у вендора перед покупкой, чем лицензия отличается от сертификата и аттестата, и какие штрафы грозят за обработку персональных данных сотрудников без должной защиты. Это часть большого материала про кадровый электронный документооборот, где разобран весь путь от выбора системы до перевода штата на электронные документы.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Кто и за что отвечает: ФСТЭК и ФСБ в информационной безопасности КЭДО
Деятельность в области защиты информации в России подлежит лицензированию, и регуляторов тут два — ФСТЭК и ФСБ. Граница между ними проходит по простому признаку. Всё, что шифрует, — зона ФСБ: криптография, средства электронной подписи, шифрование каналов связи. Всё, что защищает без шифрования, — зона ФСТЭК: разграничение доступа, антивирусная защита, обнаружение вторжений, контроль целостности. Система КЭДО задевает обе зоны сразу, потому что в ней есть и функции безопасности без крипты, и работа с электронной подписью, под которой стоит сертифицированное СКЗИ.
Сразу разведём три документа, которые путают чаще всего. Лицензия разрешает заниматься деятельностью — разрабатывать средства защиты или оказывать услуги по защите информации. Сертификат подтверждает соответствие на продукт, на конкретную версию программы. Аттестат — на один экземпляр, готовую развёрнутую у заказчика систему. Лицензия и сертификат — зона вендора, аттестация — зона оператора, то есть вашей компании. Именно на стыке этих документов кэдошники чаще всего и спотыкаются.
Лицензии ФСТЭК и ФСБ у разработчика системы КЭДО
Лицензию получает производитель ПО, а не покупатель. Но проверить её наличие у разработчика — забота покупателя. Не сделаете — и в невесёлый момент можно остаться без поставщика или вовсе без системы: регуляторы вправе приостановить деятельность организации или запретить использование продукта. Для компании, уже переведшей штат на электронные документы, это серьёзный затык.
Лицензия ФСТЭК на разработку средств защиты информации
Любая система, где реализована хотя бы одна функция безопасности — пусть даже простая проверка пароля, — с точки зрения регулятора уже относится к разработке средств защиты информации. Значит, если продукт продаётся в России, разработчику нужна лицензия ФСТЭК на разработку и производство СЗИ. У КЭДО таких функций десятки: аутентификация, разграничение прав, журналирование действий, фиксация цепочки подписей. Вопрос не в том, нужна ли вендору эта лицензия, а в том, есть ли она.
Лицензия ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ)
Вторая лицензия ФСТЭК — на техническую защиту конфиденциальной информации. Её получают те, кто оказывает услуги по защите информации: проводит обследование информационных систем, аттестует их, выдаёт заключения. Если ваш вендор берётся не просто поставить коробку, а помочь привести систему персональных данных в соответствие требованиям и провести аттестацию, у него (или у привлечённого подрядчика) должна быть именно лицензия на ТЗКИ.
Лицензии ФСБ на работу с криптографией
Электронная подпись работает на криптографии, а криптография — это ФСБ. Средство электронной подписи и средство удостоверяющего центра проходят оценку соответствия (сертификацию) в ФСБ по приказам № 795 (форма квалифицированного сертификата) и № 796 (требования к средствам ЭП и УЦ). Квалифицированный сертификат выпускает аккредитованный при Минцифры удостоверяющий центр. У поставщика КЭДО, который раздаёт сотрудникам подписи, эта часть тоже должна быть закрыта.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, что мы советуем проверять при выборе вендора, — не маркетинговый буклет, а две вещи: лицензии ФСТЭК и ФСБ и наличие продукта в реестрах. Потому что красивая демка не спасёт, если у разработчика нет права заниматься этой деятельностью. В практике Добыто мы держим весь комплект лицензий, и это не из любви к бумажкам, а потому что без него систему просто нельзя продавать в России.»
Как проверить лицензии и сертификаты вендора КЭДО: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Запросите у вендора реестр лицензий ФСТЭК на разработку (производство) СЗИ и на техническую защиту конфиденциальной информации с номерами и датами.
- Шаг 2. Проверьте лицензии и сертификаты на средства электронной подписи и СКЗИ по линии ФСБ — они должны соответствовать приказам № 795 и № 796.
- Шаг 3. Найдите сертифицированные средства защиты в Государственном реестре средств защиты информации ФСТЭК — реестр открытый и регулярно обновляется.
- Шаг 4. Сверьте версию продукта: сертификат выдаётся на конкретную версию, поэтому убедитесь, что сертифицирована именно та сборка, которую вам поставляют.
- Шаг 5. Проверьте, входит ли система в реестр отечественного ПО Минцифры, — для госсектора это обязательное условие.
Сертификация системы КЭДО во ФСТЭК: продукт, версия и процессы разработки
Сертификат на продукт получают по правилам системы сертификации регулятора. У ФСТЭК это устроено многоступенчато: первая испытательная лаборатория разрабатывает программу-методику испытаний и проводит проверки, вторая проверяет первую, а сам регулятор контролирует обе лаборатории и заявителя. Процесс долгий и недешёвый.
Главный нюанс — сертификат выдаётся на конкретную версию продукта. А ПО живёт релизами: вышла новая версия — нужен новый сертификат. Поэтому сертификация для вендора не разовое мероприятие, а постоянная история. Система сертификации ФСТЭК последние годы меняется, и появилась альтернатива: сертифицировать не каждую версию, а весь процесс разработки безопасного программного обеспечения.
Все средства защиты, прошедшие сертификацию ФСТЭК, попадают в Государственный реестр средств защиты информации — открытый и постоянно обновляемый перечень со сведениями о лицензиях, сертификатах и сроках их действия. С официальным реестром и требованиями удобнее всего сверяться на сайте ФСТЭК России — там же выложены приказы и методические документы.
Отдельная характеристика сертифицированного СЗИ — уровень доверия. ФСТЭК ввела шкалу из шести уровней доверия (первый — высший, шестой — базовый), которые показывают глубину проверки продукта, в том числе на отсутствие недекларированных возможностей. Для систем персональных данных правило такое: классам К1 и К2 нужен повышенный уровень доверия СЗИ, классу К3 хватает базового.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Сертификация на каждую версию — это головняк для любого вендора, честно. Поэтому рынок и двинулся в сторону сертификации процессов безопасной разработки. Мы сертифицируем не только текущую сборку, но и планомерно идём по этому пути, чтобы каждая новая версия выходила уже из проверенного конвейера, а не ждала отдельной темки на полгода.»
Нужна ли вашей компании сертифицированная по требованиям ФСТЭК система КЭДО
Тут и кроется главный нюанс, на котором ломаются десятки технических заданий. Сказать «всегда используйте сертифицированный продукт» нельзя — это неверно. Нужно анализировать конкретную ситуацию: тип организации, категорию обрабатываемых данных, актуальную модель угроз. Сертифицированные средства защиты обязательны там, где это прямо требует закон.
Обязательность определяется уровнем защищённости ИСПДн. Постановление № 1119 устанавливает четыре уровня — УЗ-1, УЗ-2, УЗ-3, УЗ-4. Уровень зависит не от желания, а от объективных критериев: категории персональных данных, типа актуальных угроз и числа субъектов. Кадровая система обрабатывает данные всех работников, нередко включая специальные категории (сведения о здоровье из больничных), поэтому уровень там обычно не самый низкий. Приказ ФСТЭК № 21 переводит требования 152-ФЗ в конкретные меры для каждого уровня — всего пятнадцать групп, от идентификации и управления доступом до антивирусной защиты, обнаружения вторжений и контроля целостности данных.
Точно нужны сертифицированные продукты государственным организациям и тем, у кого по закону высокие уровни защищённости. Для коммерческой компании со средним уровнем защищённости и угрозами третьего типа жёсткого требования брать именно ФСТЭК-сертифицированную систему КЭДО может и не быть — всё решает модель угроз. Определить это самостоятельно сложно: обследование лицензиата ФСТЭК покажет конкретно, что должно быть сертифицировано, а что нет.
Образцы документов для запуска КЭДО с учётом защиты персональных данных
Открыть список документов
| Документ | Скачать |
|---|---|
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Примерная форма трудового договора | Скачать |
Аттестация ИСПДн с системой КЭДО: обязанность оператора
Аттестация — это подтверждение соответствия требованиям конкретного, уже развёрнутого экземпляра информационной системы. И это зона ответственности не вендора, а оператора, то есть вашей компании. По 152-ФЗ оценка соответствия обязательна, но проводить её можно двумя способами.
Первый — самостоятельно. Тогда документ называется актом оценки соответствия: оператор сам анализирует свою систему и фиксирует результат. Второй способ — привлечь третье лицо, лицензиата ФСТЭК. Он проводит процедуру аттестации и по результатам либо выдаёт замечания, либо аттестат соответствия. Какой путь выбрать, определяют нормативные документы под конкретный случай. Для государственных информационных систем аттестация обязательна. Оценку эффективности принятых мер по приказу № 21 нужно проводить не реже одного раза в три года — это не разовая галочка.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Тем, у кого нет своего подразделения информационной безопасности, разумно привлечь лицензиата ФСТЭК хотя бы для того, чтобы убедиться: аттестация в вашем случае не требуется и достаточно акта оценки соответствия. В практике Добыто мы помогаем оператору разложить этот этап по полочкам — какие документы готовить, какую модель угроз закладывать, какой вид оценки достаточен под его уровень защищённости.
С 1 марта 2026 года вступил в силу приказ ФСТЭК № 117 от 11 апреля 2025 года, заменивший приказ № 17 для государственных информационных систем. Изменилась сама модель регулирования: раньше организация проходила аттестацию и до следующей проверки жила спокойно, а теперь регулятор выстраивает режим непрерывного контроля и регулярной отчётности. Аттестаты, выданные на ГИС до вступления приказа в силу, продолжают действовать, но новые системы и существенная модернизация идут уже по обновлённым требованиям. Для бюджетников, внедряющих КЭДО, это прямо влияет на проект.
Аттестация и оценка соответствия ИСПДн — тот этап, на котором кадровая служба обычно зависает: непонятно, какой уровень защищённости у системы, нужна ли аттестация именно вам и какие СЗИ брать. Здесь проще не гадать самостоятельно, а опереться на тех, кто проходил это десятки раз. Специалисты Добыто помогают определить уровень защищённости вашей системы КЭДО, подобрать сертифицированные средства защиты под модель угроз и собрать пакет документов под проверку.
СКЗИ и классы защиты для КЭДО: требования ФСБ
Криптография в КЭДО лежит под электронной подписью, а средства криптографической защиты обязаны быть сертифицированы ФСБ. Класс СКЗИ для системы персональных данных определяется по приказу ФСБ № 378 от 10 июля 2014 года. Классов пять: КС1, КС2, КС3, КВ и КА. Каждый следующий перекрывает возможности предыдущего и зависит от того, какого нарушителя вы считаете актуальным.
КС1 рассчитан на нарушителя без физического доступа в помещение с СКЗИ — условно удалённого хакера. КС2 учитывает нарушителя внутри контролируемой зоны (подрядчик, сотрудник), и для него уже нужен аппаратно-программный модуль доверенной загрузки — электронный замок, контролирующий загрузку компьютера до старта операционной системы. КС3 — доступ к стойке и правам администратора, суды, банки. КВ и КА закрывают нарушителя с максимальными ресурсами и применяются для КИИ и гостайны. Большинству коммерческих систем хватает КС1 или КС2. На рабочих местах это обычно связка токена и криптопровайдера: КриптоПро CSP сертифицирован ФСБ по КС1, КС2 и КС3, и его чаще всего и ставят в ЭДО; прикинуть лицензии под рабочие места помогает калькулятор КриптоПро.
Важный момент про реестры: средства криптозащиты ищут в реестре ФСБ, а некриптографические средства (антивирусы, межсетевые экраны) — в реестре ФСТЭК. При проверках ФСБ чаще всего ловит компании на неправильно определённой модели угроз — когда класс СКЗИ берут ниже, чем требует приказ № 378, нет действующего сертификата соответствия, журналов учёта средств или формуляров. Эту часть нужно закрыть до того, как раздавать сотрудникам подписи на флешках.
Мария Ж, судебный эксперт по трудовому праву:
«Самый частый косяк — компания берёт КС1, потому что дешевле, а по модели угроз ей нужен КС2 с аппаратным модулем доверенной загрузки. И всё, формально защита есть, а юридически система несостоятельна. Если потом случится спор или проверка, такой подписи под трудовым договором грош цена. Лучше один раз честно посчитать класс, чем потом разгребать.»
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Файл подписи
Штрафы за нарушение требований к защите персональных данных в КЭДО
С 30 мая 2025 года заработали поправки в статью 13.11 КоАП РФ (Федеральный закон № 420-ФЗ от 30 ноября 2024 года), которые радикально подняли ответственность операторов персональных данных. Кадровая система — это база данных на всех работников, поэтому требования ФСТЭК и ФСБ тут не абстракция, а прямая защита от штрафов.
Базовый штраф по части 1 статьи 13.11 для организаций вырос до 150 000-300 000 рублей. Неуведомление Роскомнадзора об утечке в течение 24 часов — 1-3 млн рублей. Утечка данных от 1 000 до 10 000 субъектов — 3-5 млн рублей; от 10 000 до 100 000 — 5-10 млн; свыше 100 000 — 10-15 млн. Утечка биометрических или специальных категорий персональных данных — до 15-20 млн рублей. А вот за повторную утечку любой категории введён оборотный штраф — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20-25 млн и не более 500 млн рублей. Вдобавок с декабря 2024 года в Уголовном кодексе появилась статья 272.1 — до 10 лет лишения свободы за незаконные операции с персональными данными.
Закон принимался не ради сбора штрафов, а чтобы поднять уровень информационной безопасности, и он работает: запросы по защите данных в проектах внедрения КЭДО за пару лет выросли на порядок. Грамотная защита данных сотрудников — прямой способ не попасть под эти суммы.
Облако или локальная поставка системы КЭДО под требования ИБ
Способ развёртывания напрямую завязан на безопасность. Система КЭДО ставится в облаке, локально (on-premise) или в гибридном варианте. Для государственных органов выбор по сути предопределён: никаких сторонних облаков, только государственное, и работают типовые, отработанные на других системах решения. Меньше свободы, зато не нужно самим тратить ресурсы на выбор мер защиты.
В коммерции запросов на локальное развёртывание стало заметно больше, особенно у среднего и крупного бизнеса. Причина в информационной безопасности: облака под усиленные требования стоят дороже, а часть компаний целенаправленно уходит на локальную инфраструктуру, чтобы держать данные внутри своего периметра. В сервисе Добыто доступны три вида поставки — облачная, on-premise и гибридная, — и выбор делается под требования службы безопасности и VPN-периметра. Для госсектора отдельно важно, что система должна входить в реестр отечественного ПО Минцифры — это часть импортозамещения, без неё бюджетник систему не примет.
Типичные ошибки при оценке безопасности и сертификации системы КЭДО
Первая ошибка — покупать систему КЭДО, не проверив лицензии и сертификаты вендора, ориентируясь только на цену и интерфейс. Цена ошибки — риск остаться без поставщика, если регулятор приостановит его деятельность, плюс штраф при проверке за использование несертифицированного решения там, где оно обязательно. Для компании, уже переведшей штат на электронные документы, это остановка кадровых процессов.
Вторая ошибка — брать класс СКЗИ ниже, чем требует модель угроз, чтобы сэкономить на крипте и аппаратных модулях. Цена ошибки — юридически несостоятельная защита: подпись под кадровым документом формально стоит, но при споре или проверке ФСБ выявит несоответствие приказу № 378, и документ окажется уязвим. Переделывать придётся всё.
Третья ошибка — считать аттестацию заботой вендора и забывать про оценку соответствия ИСПДн. Аттестация и оценка соответствия — обязанность оператора, и сертификат продукта её не закрывает. Цена ошибки — предписание при проверке и тот самый оборотный штраф по статье 13.11 КоАП.
Стоимость системы КЭДО с поддержкой требований ФСТЭК и тарифы Добыто
Итоговая стоимость складывается из численности персонала, выбранного тарифа, вида поставки (облако дешевле, локальная установка под усиленные требования ИБ дороже) и набора подписей. Сертифицированные СКЗИ и лицензии на криптопровайдер считаются отдельно. Базовые тарифы сервиса Добыто выглядят так.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Корпорация | По запросу | Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции |
Итоговая сумма зависит от численности, вида поставки и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу конфигурацию.
Выводы: требования ФСТЭК к системам КЭДО
Требования к безопасности системы КЭДО распределены между двумя регуляторами: ФСТЭК отвечает за защиту без шифрования и сертификацию средств защиты, ФСБ — за криптографию и средства электронной подписи. У разработчика системы должны быть лицензии ФСТЭК на разработку СЗИ и при необходимости на техническую защиту конфиденциальной информации, а также сертификаты ФСБ на средства подписи. Сертификат выдаётся на конкретную версию продукта, поэтому проверять нужно именно ту сборку, которую вам поставляют, а сертифицированные средства искать в Государственном реестре СЗИ ФСТЭК.
Обязательность сертифицированной системы зависит от уровня защищённости ИСПДн по постановлению № 1119 и модели угроз: для госорганизаций и систем с высокими уровнями защищённости она обязательна, для коммерции со средним уровнем — определяется обследованием. Аттестация или оценка соответствия информационной системы — обязанность оператора, а не вендора, и проводится не реже одного раза в три года; для государственных систем с 1 марта 2026 года действует приказ ФСТЭК № 117 с режимом непрерывного контроля. Класс СКЗИ (от КС1 до КА) определяется по приказу ФСБ № 378 исходя из модели нарушителя, и занижать его опасно.
Финансовая цена несоблюдения с 30 мая 2025 года стала ощутимой: штрафы по статье 13.11 КоАП доходят до 15-20 млн рублей за крупную утечку, а за повторную — оборотный штраф 1-3% годовой выручки в пределах от 20-25 до 500 млн рублей. Проверка лицензий и сертификатов вендора, корректное определение уровня защищённости и класса СКЗИ, а также аттестация на стороне оператора стали условием спокойной работы кадровой службы.
Часто задаваемые вопросы
Обязательно ли система КЭДО должна быть сертифицирована ФСТЭК?
Чем лицензия отличается от сертификата и аттестата?
Какие лицензии ФСТЭК должны быть у разработчика КЭДО?
Где проверить, что средство защиты сертифицировано?
Что такое уровни защищённости ИСПДн и как они определяются?
Какой класс СКЗИ нужен для КЭДО?
Кто проводит аттестацию информационной системы с КЭДО?
Что изменил приказ ФСТЭК № 117 с 1 марта 2026 года?
Какие штрафы за нарушение требований к защите персональных данных в КЭДО?
Нужно ли системе КЭДО входить в реестр отечественного ПО?
Можно ли размещать систему КЭДО в облаке с точки зрения требований ИБ?
Какими приказами ФСТЭК регулируется защита разных типов систем?
Разобраться, нужна ли вашей компании сертифицированная по требованиям ФСТЭК система КЭДО, какой класс СКЗИ заложить и нужна ли аттестация ИСПДн, в одиночку тяжело — на стыке требований ФСТЭК, ФСБ и 152-ФЗ легко занизить класс защиты или забыть про оценку соответствия. Сервис Добыто закрывает этот вопрос с первого захода.
За время работы мы подключили к КЭДО сотни компаний — от небольших организаций до распределённых предприятий с тысячами сотрудников. Мы знаем практику регуляторов и помогаем пройти путь от определения уровня защищённости до запуска без замечаний на проверке.
- Юридическая значимость по 63-ФЗ и 377-ФЗ, лицензии ФСТЭК и ФСБ, соответствие 152-ФЗ
- Три вида поставки — облачная, on-premise и гибридная — под требования ИБ и VPN-периметра компании
- Поддержка всех трёх видов подписей — ПЭП, УНЭП и УКЭП — с сертифицированными СКЗИ
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Нагрузочное тестирование на 50 000 одновременных пользователей при массовой рассылке ЛНА
- Хранение документов до 50 лет с доступом к архиву даже при расторжении договора с провайдером
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок и формы согласий сотрудников