Проверка ЭЦП

Единый криптографический сервис: состав и цена в 2026

Мария Ж. 17 мин чтения

Единый криптографический сервис — это централизованная система, которая берёт на себя электронную подпись, шифрование, проверку сертификатов, защищённый доступ и долговременное хранение подписанных документов в одном контуре компании, вместо того чтобы держать всё это россыпью на каждом рабочем месте. Разберём, из чего он собирается на практике, чем облачная подпись отличается от локальной, сколько это стоит в 2026 году и как не переплатить за токены и лицензии там, где они не нужны. Это часть большого материала про программы для подписания документов ЭЦП, где мы разбирали отдельные приложения для подписи и их отличия.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Что такое единый криптографический сервис и зачем он нужен

Начну с простого. В классической схеме у каждого сотрудника свой токен, своя флешка, на каждой рабочей станции стоит крипто-провайдер, кто-то шарится по окнам в поиске нужного серта, кто-то потерял колпачок от рутокена. При штате в сотню человек это ещё терпимо. При тысяче — превращается в трудоёмкий процесс, где инженеры только и делают, что обновляют крипту на каждом рабочем месте и меняют закрытки при увольнениях.

Единый криптографический сервис решает это иначе. Криптографические операции — подпись, шифрование, проверка — выносятся на отдельный защищённый сервер или в облако. Пользователю уже не обязательно иметь токен и локальный крипто-провайдер. Он формирует документ в своей системе, отправляет на подпись, а само подписание происходит централизованно. По сути это криптографическое ядро, к которому подключаются любые прикладные системы: КЭДО, бухгалтерия, ЭДО с контрагентами, порталы отчётности.

Схема работы централизованного подписания документа электронной подписью

В практике Добыто мы видим, что запрос сместился. Ещё несколько лет назад заказчики просили просто встроить подпись. Сейчас 80% запросов — про автоматизацию: подписать пачку документов скопом, проверить входящие подписи фоном, зашифровать первичку перед отправкой контрагенту. Ручное подписание каждого документа по 20-30 секунд перестаёт работать, когда документов тысячи.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Главная ошибка при старте — думать, что единый криптографический сервис это просто общий сервер с подписью. Нет. Это про то, чтобы криптографию перестали обслуживать вручную на каждой машине. Когда у тебя 2000 удалёнщиков, обслуживать 2000 токенов — это головняк, который съедает бюджет незаметно.»

Из чего собирается единый криптографический сервис

Единого коробочного продукта с таким названием на рынке нет. Единый криптографический сервис — это архитектура, которая собирается из нескольких компонентов. Разберу их по порядку, как они работают вместе.

Крипто-провайдер — универсальное ядро

Крипто-провайдер типа КриптоПро CSP — это базовое криптографическое ядро, которое встраивает российскую криптографию в прикладные системы. Через него идёт и подпись, и шифрование, и отправка отчётности в налоговую, и аутентификация, и работа с электронными площадками. Актуальная версия на текущий момент — КриптоПро CSP 5.0 R3. С пятой версии появилась поддержка современных симметричных алгоритмов Магма и Кузнечик, которые Банк России настоятельно рекомендует для взаимодействия ещё с прошлого года.

Нюанс, о котором забывают: лицензии на CSP бывают бессрочные и годовые, причём годовые есть только для клиентских компьютеров, для серверов — только бессрочная. А если нужен функционал ГОСТ TLS для сервера, лицензия отдельная и считается по количеству одновременных подключений. На этом часто спотыкаются при расчёте бюджета.

Дистанционная и облачная подпись

Тут появляется альтернатива локальной подписи — дистанционная. Ключ пользователя хранится не на токене, а централизованно в защищённом сервере или в мобильном устройстве. На рабочей станции уже не нужно ставить крипто-провайдер, не нужно покупать токен. Реализуется это через связку КриптоПро DSS плюс КриптоПро HSM, где HSM — это программно-аппаратный модуль для хранения ключей по классу защиты КВ2.

Схема простая. Пользователь формирует документ, отправляет на подпись, ему на смартфон прилетает уведомление через приложение myDSS. Он открывает, читает, подтверждает или отвергает. После подтверждения команда идёт на сервер, и документ подписывается либо в HSM, либо прямо на мобильном устройстве. Снижается стоимость, не нужны токены и локальные крипто-провайдеры, обслуживание упрощается. При большом штате такая схема реально эффективнее.

Схема сравнения хранения ключа электронной подписи на токене и в облаке

При этом дистанционная подпись — не замена локальной, а второй полноценный аналог. Есть сценарии, где токен на руках у сотрудника нужнее. Мы в Добыто подключаем оба режима и на этапе пилота смотрим, какой процесс где удобнее.

Мария Ж, судебный эксперт по трудовому праву:
«Когда клиент говорит — хочу всем УКЭП на токенах, я всегда спрашиваю: а точно всем? Для внутренних кадровых документов часто хватает ПЭП или НЭП, а это совсем другие денюжки. Не надо лепить квалифицированную подпись туда, где закон её не требует.»

Долговременное архивное хранение подписи

Момент, который упускают почти все. По законодательству при проверке подписи сертификат должен быть действительным на момент проверки, либо должны быть доказательства, что он был действителен на момент подписания. Эти доказательства — метка времени по протоколу TSP плюс проверка статуса сертификата через OCSP. Вместе они формируют усовершенствованную подпись формата CAdES-X Long Type 1.

Но и у службы штампов времени свой срок. По законодательству это 3 года срок действия закрытого ключа плюс 15 лет после — максимум 18 лет можно гарантировать проверку документа. А если хранить надо дольше? Кадровые документы — это десятки лет, финансовые тоже. Тут работает механизм, который программисты КриптоПро ласково назвали ухаживанием за электронной подписью: система сама мониторит сроки и переподписывает документ, продлевая его юридическую значимость. А при смене поколения криптоалгоритмов сверху накладывается подпись архивариуса, и цикл начинается заново. Так обеспечивается условно бесконечное хранение.

Схема долговременного архивного хранения документа с электронной подписью

Хранение электронных документов регулируется 125-ФЗ Об архивном деле (статья 13, пункт 2 даёт организации право самой создавать архив), приказом Росархива от 15 июня 2020 года о типовых функциональных требованиях к СЭД и СХЭД, а также ГОСТ Р 57762-2017 о долговременной сохранности. С кадровыми документами проще — основной документ Трудовой кодекс, но как именно хранить, там не расписано, поэтому опираются на архивные правила.

Криптошлюз для защищённого доступа

Четвёртый компонент — криптошлюз, который закрывает удалённый доступ и ВПН по российской криптографии. Универсальный шлюз типа КриптоПро NGate работает в четырёх режимах на одном экземпляре: доступ к веб-сайтам по ГОСТ TLS (так работают Госуслуги — прозрачно, через зелёный замочек в браузере), портальный доступ к внутренним ресурсам через веб-портал, классический VPN-клиент и site-to-site для объединения площадок в единую сеть по протоколу IPsec IKEv2.

Актуальность тут выросла после ухода зарубежных вендоров вроде Cisco — многие компании остались без поддержки систем удалённого доступа и до сих пор думают, на что менять. Портальный режим при этом безопаснее классического VPN: доступ даётся на уровне отдельных приложений, а не всей сети, и для каждого типа пользователей можно настроить свою политику — одну для сотрудников, другую для подрядчиков.

Собственный сервис в контуре компании

Отдельная история — когда компания хочет поднять собственный криптографический сервис у себя в контуре, не отдавая ключи наружу. Такое решение ставится on-premise на сервер заказчика, поставляется в виде докер-образов с готовыми контейнерами, время на развёртывание минимальное. Оно автоматически проверяет подписи на входе, формирует и усовершенствует подпись, шифрует и расшифровывает документы, добавляет штампики визуализации на PDF, работает с обезличенным сертификатом.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Обезличенный сертификат — это отдельная тема. Оператор информсистемы получает в УЦ ФНС специальный сертификат на юрлицо, привязанный к системе, и подписывает им автоматически формируемые документы: счета, квитанции, запросы в госорганы. Сотрудник в этом не участвует, его время не тратится. Токен с таким сертификатом ставится на сервер, и всё, что попадает под правила, подписывается им фоном.

Три вида электронной подписи в едином сервисе

Единый криптографический сервис работает со всеми тремя видами подписи, которые определяет 63-ФЗ, он же тройка. Понимать разницу критично, потому что от вида подписи зависит и стоимость, и юридическая значимость, и то, какие документы можно подписывать.

Схема трёх видов электронной подписи ПЭП НЭП и УКЭП по 63-ФЗ
  • ПЭП (простая). Коды, пароли, одноразки. Фиксирует факт подписания, но не проверяет целостность документа. Подходит для внутренних процессов с низкими рисками, для физлиц в интернет-банках. Требует соглашения между участниками и правил определения лица.
  • НЭП (усиленная неквалифицированная). Получается криптографическим преобразованием, проверяет и авторство, и неизменность документа. Не требует сертифицированных средств и аккредитованного УЦ — можно развернуть свой УЦ внутри организации. Для внутреннего КЭДО часто оптимальна.
  • УКЭП (квалифицированная). Нужен квалифицированный сертификат по 795 приказу, сертифицированные средства ЭП по 796 приказу ФСБ, выпуск в аккредитованном УЦ. Юридическая значимость обеспечивается законом без дополнительных соглашений, документ признаётся любым контрагентом снаружи.

Проверить действительность сертификата и корректность подписи можно на портале Госуслуг в разделе проверки электронной подписи — это удобно, когда нужно быстро убедиться в подлинности документа от контрагента. Сертификаты, кстати, сейчас выдаются не как раньше на 15 месяцев — они могут выдаваться и на 12 лет. Но для архивного хранения даже этого мало, потому и нужны усовершенствованные форматы подписи, о которых я писала выше.

Разобраться, какой вид подписи ставить на какой документ и как не смешать требования для ПЭП, НЭП и УКЭП, — это тот момент, где проще один раз пройти через методолога, чем потом переделывать. Мы в Добыто на старте проекта раскладываем маршруты по видам подписи, чтобы кадровик не гадал, где хватит одноразки, а где нужен квалифицированный серт.

Подобрать вид подписи под процессы

Проверка электронной подписи онлайн — сервис Добыто

notify

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Файл подписи

Как внедрить единый криптографический сервис: порядок действий

Собрать компоненты — полдела. Дальше начинается внедрение, и вот тут больше всего граблей. Внедрение занимает регламентные сроки, и обещать, что всё заработает за пять минут, я не буду — это не так. Но последовательность отработана.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Как внедрить единый криптографический сервис: пошаговая инструкция

Показать пошаговую инструкцию
  1. Шаг 1. Определите сценарии: какие системы будут подключаться к сервису (КЭДО, ЭДО, отчётность, порталы), какие виды подписи нужны, кому токен, кому дистанционная подпись.
  2. Шаг 2. Выберите схему хранения ключей — локально на токенах, централизованно в HSM или гибридно. От этого зависит бюджет на токены и лицензии.
  3. Шаг 3. Разверните крипто-провайдер и, при облачной схеме, сервер дистанционной подписи с HSM. Настройте аутентификацию: логин-пароль, сертификат, одноразовые пароли или мобильное приложение.
  4. Шаг 4. Подготовьте юридическую обвязку — положение об использовании ЭП, соглашение о ПЭП и НЭП, согласия на обработку персональных данных для выпуска сертификатов.
  5. Шаг 5. Настройте усовершенствование подписи и архивное хранение: службу штампов времени, проверку статусов сертификатов, механизм переподписания для долговременного хранения.
  6. Шаг 6. Запустите пилотную группу на 2-3 недели. Отработайте маршруты, соберите вопросы пользователей, и только потом раскатывайте на всю компанию.

Про пилот скажу отдельно. Мы закладываем 2-3 недели на пилотную группу перед раскатыванием на всю компанию. Это экономит клиенту месяц на устранении грабель при массовом запуске. На одном из наших проектов запуск без пилота обернулся тем, что линейный персонал массово не мог зайти в систему в первый же день — потому что не учли зоопарк операционных систем на рабочих местах.

Образцы документов для выпуска и использования электронной подписи

Открыть список документов
Документ Скачать
Заявление на выпуск квалифицированного сертификата ЭП Скачать
Заявление на аннулирование сертификата ЭП Скачать
Доверенность на получение сертификата ЭП Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП Скачать
Соглашение об использовании ПЭП и НЭП Скачать
Памятка по настройке КЭП для налоговой Скачать
Ответы на вопросы об установке ЭЦП Скачать
Инструкция по установке ЭЦП на компьютер Скачать
Заявление о согласии на переход на КЭДО Скачать
Руководство пользователя Добыто КЭДО Скачать

Типичные ошибки при выборе криптографического сервиса

За время работы сервиса Добыто мы подключили более 500 компаний, и набор граблей повторяется из проекта в проект. Разберу три самые дорогие ошибки.

Ошибка первая — всем выдать УКЭП на токенах. Делают так ради простоты: одна подпись на все случаи, не надо думать. Мотив понятен — меньше головной боли на старте. Цена ошибки: квалифицированный сертификат и токен на каждого сотрудника при штате 500 человек — это сотни тысяч рублей в год плюс обслуживание. Хотя для внутреннего КЭДО в большинстве случаев хватает ПЭП или НЭП.

Ошибка вторая — игнорировать архивное хранение. Подписали документ, положили в архив, забыли. Через несколько лет сертификат протух, подпись не проверяется, а документ должен храниться 50 лет. Цена ошибки: при проверке ГИТ или в суде документ с непроверяемой подписью — это документ под вопросом. Восстановить постфактум сложно и дорого.

Ошибка третья — покупать четвёртую версию крипто-провайдера в 2026 году. Кажется, что дешевле. По факту стоимость лицензии на четвёртую и пятую версию одинаковая, а потом придётся докупать лицензию на обновление до пятой. Целесообразнее сразу брать пятку. Логику искать бессмысленно, это просто факт из схемы лицензирования.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самый частый затык не в технике, а в людях. Крипту раскатали, а сотрудники не понимают, зачем им заходить в приложение и жать пин-код. Поэтому мы всегда закладываем время на обучение пилотной группы — это дешевле, чем потом разгребать вал обращений в поддержку.»

Стоимость единого криптографического сервиса в 2026 году

Итоговая стоимость складывается из нескольких частей: лицензии на крипто-провайдер, оборудование или облако для хранения ключей, сертификаты, а если речь про КЭДО — подписка за рабочее место. По части КЭДО в Добыто действует три тарифа, и цена зависит от численности штата и набора модулей.

Тариф Стоимость Для кого
Старт (ПЭП и УНЭП, базовые шаблоны, до 25 сотрудников) от 30 ₽ за сотрудника / мес небольшие компании
Бизнес (ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив) от 50 ₽ за сотрудника / мес средний бизнес
Корпорация (выделенный сервер, SLA 99.9%, API, кастомные интеграции) по запросу крупный бизнес

Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Отдельно стоит посчитать лицензии на крипто-провайдер: для этого удобно использовать калькулятор КриптоПро, который сразу покажет, во что обойдётся нужное количество рабочих мест.

Выводы: единый криптографический сервис для компании

Единый криптографический сервис — это не отдельный продукт, а архитектура из четырёх компонентов: крипто-провайдер как ядро, дистанционная или локальная подпись, механизм долговременного архивного хранения и криптошлюз для защищённого доступа. Работает со всеми тремя видами подписи по 63-ФЗ, и правильный подбор вида под конкретный документ напрямую влияет на бюджет. Для внутреннего КЭДО часто достаточно ПЭП или НЭП, а УКЭП нужна там, где документ уходит наружу и должен признаваться контрагентом по закону.

На практике главное — не пытаться раскатать всё на компанию без пилота и не забывать про архивное хранение. Подпись, положенная в архив без метки времени и механизма переподписания, через несколько лет перестанет проверяться, а хранить кадровые и финансовые документы нужно десятилетиями. Усовершенствованные форматы подписи и служба штампов времени закрывают этот вопрос на срок до 18 лет, а механизм переподписания продлевает его дальше.

По бюджету считать нужно не только сертификаты, но и лицензии на крипто-провайдер с учётом версии и типа — серверные и клиентские лицензии считаются по-разному, а ГОСТ TLS для сервера лицензируется отдельно. В 2026 году брать четвёртую версию крипто-провайдера смысла нет: цена та же, что у пятой, а обновление потом обойдётся дороже.

Часто задаваемые вопросы

Чем облачная электронная подпись отличается от подписи на токене?
При облачной (дистанционной) подписи закрытый ключ хранится централизованно в защищённом сервере HSM по классу КВ2, а не на токене у пользователя. На рабочей станции не нужен крипто-провайдер и токен, подтверждение подписи идёт через мобильное приложение. При подписи на токене ключ физически у сотрудника, требуется установка крипто-провайдера. Для большого штата облачная схема снижает затраты на токены и обслуживание.
Какой вид электронной подписи выбрать для внутреннего документооборота?
Для внутренних кадровых и организационных документов в большинстве случаев достаточно ПЭП или НЭП. НЭП проверяет целостность документа и авторство, не требует аккредитованного УЦ и сертифицированных средств. УКЭП нужна, когда документ уходит внешнему контрагенту и должен признаваться по закону без дополнительных соглашений. Выбор ПЭП или НЭП оформляется соглашением между участниками.
Сколько лет можно хранить документ с электронной подписью?
С усовершенствованной подписью формата CAdES-X Long Type 1 и службой штампов времени проверку документа можно гарантировать до 18 лет (3 года срок ключа плюс 15 лет). Для более длительного хранения применяется механизм переподписания, когда система сама продлевает юридическую значимость новыми метками времени. При смене поколения криптоалгоритмов накладывается архивная подпись, и цикл начинается заново, обеспечивая практически бесконечное хранение.
Что такое обезличенный сертификат и для чего он нужен?
Обезличенный сертификат выдаётся УЦ ФНС на юридическое лицо или ИП и привязывается к информационной системе, а не к конкретному сотруднику. Он используется для автоматического подписания документов, которые система формирует массово: счетов, квитанций, запросов в госорганы. Токен с таким сертификатом устанавливается на сервер, и документы подписываются фоном без участия человека. Подписать им абсолютно любые документы нельзя, есть ограничения.
Нужна ли лицензия на крипто-провайдер для доступа к Госуслугам по ГОСТ TLS?
В режиме одностороннего TLS, когда проверяется только сертификат сервера (как при доступе к Госуслугам), лицензия на крипто-провайдер для клиента не требуется, достаточно установки самого крипто-провайдера. Если используется двухсторонний TLS с клиентским сертификатом или режим VPN-сервера удалённого доступа, лицензия нужна. Для site-to-site объединения площадок лицензия на клиента не требуется.
Что такое усовершенствование электронной подписи?
Усовершенствование — это добавление к обычной подписи дополнительных доказательств подлинности: метки времени по протоколу TSP, актуального статуса сертификата через OCSP, архивной метки. Подпись при этом переходит из формата CMS или CAdES-BES в CAdES-T или CAdES-X Long Type 1. Это позволяет проверять подпись даже после истечения срока действия сертификата и необходимо для формирования электронных архивов с длительным сроком хранения.
Можно ли развернуть криптографический сервис в своём контуре без выхода в облако?
Да, существуют on-premise решения, которые ставятся на сервер заказчика и поставляются в виде докер-образов с готовыми контейнерами. Такой сервис проверяет и формирует подпись, шифрует и расшифровывает документы, добавляет штампы визуализации на PDF, автоматически отправляет подписанные и зашифрованные документы по почте. Ключи не покидают контур организации. Развёртывание занимает минимальное время благодаря готовым контейнерам.
Какие алгоритмы шифрования актуальны в 2026 году?
Актуальны современные симметричные алгоритмы Магма и Кузнечик по ГОСТ Р 34.12-2015. Банк России ещё с прошлого года направлял банкам предписание переходить на эти алгоритмы для взаимодействия с ним. Поддержка Магмы и Кузнечика появилась в крипто-провайдере с версии 5.0. Электронная подпись формируется по ГОСТ Р 34.10-2012, хэширование — по ГОСТ Р 34.11-2012.
В каких режимах работает криптошлюз?
Криптошлюз работает в четырёх режимах на одном экземпляре: доступ к веб-сайтам по ГОСТ TLS (без клиентского ПО, нужен только браузер), портальный доступ к внутренним веб-ресурсам через веб-портал, классический удалённый доступ через VPN-клиент и site-to-site для объединения площадок в единую сеть по протоколу IPsec IKEv2. Портальный режим безопаснее, потому что даёт доступ на уровне отдельных приложений, а не всей сети.
Обязательно ли обновляться с четвёртой версии крипто-провайдера на пятую?
Формально четвёртая версия работает, пока действуют её сертификаты. Но обновление рекомендуется: пятая версия поддерживает современные алгоритмы Магма и Кузнечик, которые всё чаще требуются. Если покупать с нуля, брать сразу пятую — стоимость лицензии на четвёртую и пятую одинаковая, а потом придётся докупать лицензию на обновление. Если четвёртая уже есть, достаточно купить лицензию на обновление, она дешевле лицензии с нуля.
Как проверить электронную подпись под документом?
При проверке строится цепочка сертификатов от конкретного лица к аккредитованному УЦ и головному УЦ, проверяется отсутствие сертификата в списке отозванных, целостность документа и совпадение хэша. Для присоединённой подписи загружается один SIG-файл, для откреплённой — исходный документ и файл подписи. Проверить подпись можно онлайн через сервис Добыто, на портале Госуслуг или программами типа КриптоАРМ.

Единый криптографический сервис имеет смысл собирать один раз и правильно, чтобы потом не переделывать маршруты и не переплачивать за подписи там, где они избыточны. Мы в Добыто подключили более 500 компаний к КЭДО с электронной подписью и знаем практику работы с разными видами ЭП, дистанционным и локальным подписанием, архивным хранением.

Наши специалисты раскладывают процессы по видам подписи, настраивают интеграцию с учётной системой и ведут проект до момента, когда кадровая служба работает самостоятельно. Что закрывает сервис под задачи единого криптографического контура:

  • Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
  • Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
  • Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
  • Три вида поставки — облачная, on-premise, гибридная — под требования ИБ и VPN-периметра компании
  • Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
  • Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
  • Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному

Собрать криптографический контур с Добыто

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.