Требования закона к средствам проверки электронной подписи установлены статьёй 12 Федерального закона 63-ФЗ «Об электронной подписи» и приказом ФСБ России от 27.12.2011 № 796: средство проверки должно показывать содержание подписанного документа, факт внесения изменений после подписания, данные сертификата (номер, владелец, срок) и указывать на подписанта, а для квалифицированной подписи быть сертифицированным ФСБ. Разберём, что именно требует закон, чем средство проверки отличается от средства создания подписи, какие программы соответствуют этим требованиям, и почему распечатка со штампиком ничего не доказывает. Это часть большого материала про проверку электронной подписи, где собраны практические способы проверки под разные площадки.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что закон понимает под средством проверки электронной подписи
Средство электронной подписи — это шифровальное (криптографическое) средство, которое выполняет хотя бы одну из функций: создание ЭП, проверку ЭП, создание ключа подписи и ключа проверки. Такое определение даёт приказ ФСБ № 796. То есть «средство проверки» — это частный случай средства ЭП, отвечающий за одну конкретную задачу: подтвердить, что подпись под документом подлинная, документ не менялся, а сертификат был действителен.
На практике средствами проверки выступают КриптоПро CSP, КриптоАРМ, плагины и серверные продукты вроде КриптоАРМ Server, онлайн-сервисы проверки на Госуслугах и на сайте КриптоПро. Все они делают одно и то же по сути — прогоняют документ и файл подписи через криптографические алгоритмы и выдают результат. Но закон предъявляет к ним вполне конкретный набор требований, и не каждая программа им соответствует.
Ключевой момент, который путают постоянно: проверка ЭП и создание ЭП — это разные функции с разными требованиями. Одно средство может уметь и то, и другое, а может только проверять. Дальше разберём требования именно к функции проверки.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Народ думает: раз программа открыла документ и показала зелёную галочку — значит, всё по закону. А по факту средство проверки обязано показать не только статус, но и содержание документа, и данные сертификата, и факт изменений. Если софт просто рисует штампик и молчит про остальное — это не та проверка, которую имеет в виду тройка.»
Требования статьи 12 63-ФЗ к средствам проверки ЭП
Статья 12 закона 63-ФЗ (в редакции от 31.07.2025) прямо перечисляет, что средство электронной подписи должно делать при проверке. Их три, и каждое важно.
Первое. Средство проверки показывает содержание подписанного электронного документа — самостоятельно или с помощью программ для отображения информации. Вместе с содержанием оно визуализирует саму подпись: показывает, что документ подписан электронной подписью, и выводит номер, владельца и период действия сертификата ключа проверки. То есть вы должны видеть не абстрактное «ок», а кто подписал, каким сертификатом и когда тот действовал.
Второе. Средство проверки показывает информацию о внесении изменений в документ после подписания. Это и есть контроль целостности: если после подписания в файл внесли хоть один символ, проверка обязана это выявить и показать. Технически работает через хэш — при подписании вычисляется хэш-функция документа, при проверке она пересчитывается и сравнивается. Хэши совпали — документ не менялся, не совпали — менялся.
Третье. Средство проверки указывает на лицо, с использованием ключа которого подписан документ. Проще говоря — однозначно идентифицирует подписанта.
Есть оговорка: эти требования к отображению (части 2 и 3 статьи 12) не применяются к средствам, которые создают и проверяют подписи автоматически в информационной системе — например, при массовом подписании обезличенным сертификатом, когда человек документы глазами не смотрит. Там визуализация физически не нужна, и закон это учитывает.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Требование сертификации ФСБ: приказ № 796
Для квалифицированной подписи закон добавляет жёсткое условие: средства её создания и проверки должны пройти оценку соответствия требованиям, установленным приказом ФСБ. Эти требования — в приказе ФСБ России от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра». Приказ действует до 1 января 2027 года.
Оценка соответствия на практике — это сертификация ФСБ. Продукт, который используется для создания и проверки квалифицированной подписи, должен быть сертифицирован и поставляться вместе с формуляром и правилами пользования. В формуляре прописаны в том числе классы защиты (КС1, КС2 и так далее) и максимальный срок действия ключа, который средство может обеспечивать. Именно отсюда удостоверяющий центр потом берёт срок действия сертификата.
Мария Ж, судебный эксперт по трудовому праву:
«В спорах всплывает вопрос: а можно ли проверять квалифицированную подпись любым удобным софтом? Нет. Для квалифицированной нужны сертифицированные средства — и для создания, и для проверки. Это прямо в тройке. С неквалифицированной свободы больше: там можно использовать любой софт и любые алгоритмы, оценка соответствия не обязательна. Но и юридическую значимость придётся обеспечивать соглашением сторон.»
Разница принципиальная. Для квалифицированной подписи — только сертифицированные ФСБ средства, и тогда документ по закону равнозначен бумажному с собственноручной подписью, никаких дополнительных соглашений не нужно. Для неквалифицированной — можно любой софт, но юридическую значимость надо отдельно закрепить: либо нормативным актом, либо соглашением между участниками, где прописан порядок создания и проверки подписи и разбора конфликтов.
Образцы документов и памятки по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Криптографическая защита информации (ГОСТ): процессы формирования и проверки подписи | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
Что средство проверки делает с сертификатом
Проверить подпись — это не только пересчитать хэш документа. Закон и подзаконные акты требуют проверять и сам сертификат ключа проверки. Здесь несколько слоёв.
Действительность на момент подписания. Сертификат имеет срок действия, и средство проверки должно подтвердить, что на момент подписания он был действителен. Если подписали просроченным или уже отозванным сертификатом — проверка даст отрицательный результат.
Проверка по списку отозванных сертификатов (СОС). Сертификат можно отозвать досрочно — например, если ключ скомпрометирован. Все отозванные попадают в список отзыва, который ведёт удостоверяющий центр. Средство проверки сверяется с этим списком: документы, подписанные после попадания сертификата в список отзыва, проверку не пройдут.
Построение цепочки доверия. У квалифицированной подписи сертификаты выстроены в иерархию. На нижнем уровне — сертификат конкретного лица, выше — сертификат удостоверяющего центра, ещё выше — головной удостоверяющий центр и Минцифры России, которая выдаёт корневые сертификаты аккредитованным УЦ. Средство проверки строит эту цепочку целиком и проверяет каждое звено. Если корневой сертификат не установлен, цепочка рвётся, и программа выдаёт, что сертификат недоверенный.
Мария Ж, юрист со стажем более 20 лет:
«Самая частая жалоба — подпись не проходит, хотя серт вроде живой. В девяти случаях из десяти дело в неустановленном корневом сертификате Минцифры: цепочка не строится, средство проверки честно показывает недоверенный корень. Скачали недостающие корневые, поставили в хранилище — и всё проходит. Это не сбой подписи, это работа требований закона к проверке.»
В практике Добыто мы настраиваем рабочее место под проверку подписи и закладываем установку всех корневых сертификатов заранее — это снимает большую часть «подпись не проходит» ещё до первой проверки.
Какие средства проверки соответствуют требованиям закона
Соответствие требованиям — не абстракция, оно подтверждается сертификатом ФСБ для квалифицированной подписи. Что есть на рынке.
КриптоПро CSP — криптопровайдер, базовое средство для большинства сценариев. Актуальная сертифицированная версия — 5.0 R2 (сборка 12000 и выше), на неё действует сертификат регулятора. Через него работают КриптоАРМ, плагины и большинство сервисов. Для проверки на компьютере: вкладка «Сервис», просмотр сертификатов в контейнере, плюс плагин КриптоПро ЭЦП Browser Plug-in для проверки в браузере.
КриптоАРМ и КриптоАРМ Server — программы для подписания, проверки и шифрования. Серверный продукт автоматически проверяет подпись пакетами, формирует протоколы проверки в виде PDF-документов и умеет визуализировать подпись штампом. Поддерживает разные форматы: присоединённую и откреплённую подпись, подписи с дополнительными доказательствами — штампами времени, ответами службы актуальных статусов сертификатов.
Сервисы проверки на Госуслугах и на сайте КриптоПро — онлайн-инструменты, куда загружаешь документ и файл подписи и получаешь результат. Удобны, когда нужно быстро проверить чужой документ без установки софта.
Отдельно про усовершенствованные подписи. Чтобы подпись можно было проверить даже после истечения срока действия сертификата, в неё добавляют доказательства подлинности: штамп времени (метку точного времени подписания) и ответ службы актуальных статусов о том, что сертификат на момент подписания не был отозван. Архивная метка объединяет обе. Средство проверки должно уметь работать и с такими форматами — иначе для долговременного хранения документов оно не годится.
Подбор средства проверки под конкретные документы — это место, где легко промахнуться: софт не умеет работать с откреплённой подписью, не строит цепочку сертификатов или не поддерживает усовершенствованные форматы для архива. В практике Добыто мы подбираем и настраиваем средство проверки под задачи компании и закладываем работу со штампами времени там, где документы хранятся годами.
Как проверить, соответствует ли средство проверки требованиям: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите вид подписи: для квалифицированной нужно средство, сертифицированное ФСБ; для неквалифицированной допустим любой софт.
- Шаг 2. Проверьте наличие сертификата ФСБ и формуляра у средства — для квалифицированной подписи это обязательное условие соответствия приказу № 796.
- Шаг 3. Убедитесь, что средство показывает содержание документа, данные сертификата (номер, владелец, срок) и факт изменений после подписания — это требования статьи 12 63-ФЗ.
- Шаг 4. Проверьте, строит ли средство цепочку сертификатов до Минцифры и сверяется ли со списком отозванных сертификатов.
- Шаг 5. Для долговременного хранения проверьте поддержку усовершенствованных форматов со штампами времени, чтобы подпись проверялась и после истечения срока сертификата.
Стоимость услуг по работе с электронной подписью и КЭДО
Само средство проверки подписи на Госуслугах бесплатно. Лицензия КриптоПро CSP, без которой не работает большинство средств, покупается отдельно — программа бесплатна 90 дней, дальше нужна постоянная лицензия. Если же подпись и её проверка нужны в компании для кадрового документооборота, подключается сервис КЭДО, и стоимость зависит от численности штата, тарифа и набора видов подписи.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса с полным набором функций (ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка) | от 50 ₽ за сотрудника / мес | минимальная оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с расширенными требованиями (выделенный сервер, SLA 99.9%, персональный менеджер, API) | По запросу | всё из тарифа Бизнес |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Средство проверки в составе сервиса уже соответствует требованиям закона, отдельно докупать сертифицированный софт под проверку не нужно.
Типичные ошибки при выборе средства проверки ЭП
На чём спотыкаются чаще всего и во что это обходится.
Ошибка первая — проверка квалифицированной подписи несертифицированным средством. Берут любой удобный софт, потому что он бесплатный или привычный. Цена ошибки — результат такой проверки юридически уязвим: в споре противная сторона укажет, что средство не прошло оценку соответствия, и проверка не считается надлежащей.
Ошибка вторая — доверие к распечатке со штампиком. Распечатка PDF, где нарисован штамп «документ подписан электронной подписью», воспринимается как доказательство. На деле этот штампик — просто картинка, он сам по себе юридической значимости не несёт. Проверить подпись можно только по электронному оригиналу с файлом подписи через средство проверки. Цена — в суде такая распечатка не подтверждает ни подписанта, ни целостность.
Ошибка третья — игнорирование цепочки сертификатов. Не установили корневые сертификаты, средство выдаёт недоверенный корень, а пользователь решает, что подпись «битая». Цена — ложный вывод о недействительности подписи и лишние действия там, где надо было просто доустановить корневой сертификат.
Ошибка четвёртая — средство не поддерживает усовершенствованные форматы. Для архива хранят документы с обычной подписью без штампа времени. Когда срок сертификата истекает, проверить такую подпись становится нечем. Цена — документ есть, а подтвердить его подлинность через годы невозможно. За время работы сервиса Добыто мы в проектах с долговременным хранением сразу закладываем усовершенствованные подписи, чтобы документ проверялся и через 10, и через 50 лет.
Выводы: требования закона к средствам проверки электронной подписи
Требования к средствам проверки ЭП задаёт статья 12 закона 63-ФЗ и приказ ФСБ № 796. Средство проверки обязано показывать содержание подписанного документа, визуализировать подпись с номером, владельцем и сроком действия сертификата, выявлять любые изменения документа после подписания и указывать на подписанта. Для квалифицированной подписи средство должно быть сертифицировано ФСБ и поставляться с формуляром — это и есть оценка соответствия. Для неквалифицированной подписи допустим любой софт, но юридическую значимость придётся закреплять соглашением.
Помимо проверки самой подписи средство обязано проверять сертификат: его действительность на момент подписания, отсутствие в списке отозванных и целостность цепочки доверия до Минцифры. Большинство проблем «подпись не проходит» — это неустановленный корневой сертификат, а не дефект подписи. Распечатка со штампом доказательством не является: значимость даёт только электронный оригинал с файлом подписи, проверенный надлежащим средством.
При выборе средства проверьте три вещи: сертификат ФСБ для работы с квалифицированной подписью, соответствие требованиям статьи 12 по отображению информации и поддержку усовершенствованных форматов со штампами времени для долговременного хранения. Приказ № 796 действует до 1 января 2027 года — стоит следить за обновлением нормативной базы, чтобы средство проверки оставалось актуальным.
Часто задаваемые вопросы
Какой закон устанавливает требования к средствам проверки ЭП?
Что средство проверки обязано показывать по закону?
Нужна ли сертификация ФСБ для средства проверки подписи?
Чем средство проверки отличается от средства создания подписи?
Должно ли средство проверки проверять сертификат?
Можно ли проверять квалифицированную подпись любым софтом?
Почему средство проверки показывает недоверенный сертификат?
Имеет ли юридическую силу распечатка со штампом «подписано ЭП»?
Применяются ли требования к отображению при автоматической проверке?
Какие программы соответствуют требованиям к средствам проверки?
Что такое усовершенствованная подпись и зачем средству её поддерживать?
Как закон обеспечивает контроль целостности документа при проверке?
Где посмотреть, что средство прошло оценку соответствия?
Разобраться, какое средство проверки соответствует закону, — половина дела. Дальше нужно встроить проверку в реальный документооборот: подписывать, проверять, хранить документы так, чтобы подпись оставалась проверяемой годами. Сервис Добыто закрывает весь цикл и работает со всеми тремя видами подписей — ПЭП, УНЭП, УКЭП — в соответствии с 63-ФЗ.
За время работы мы подключили более 500 компаний к электронному документообороту по всей стране. Наши специалисты настраивают рабочее место под проверку подписи и закладывают работу с усовершенствованными форматами для долговременного архива.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого процесса подписания и проверки
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Хранение документов до 50 лет с сохранением проверяемости подписи
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Формирование протоколов проверки подписи для предъявления контролирующим органам
- Сопровождение клиента до момента полностью самостоятельной работы с подписью