Подписание и проверка электронной подписи на документе — две стороны одного процесса, без которого кадровый ЭДО теряет юридическую силу. Подписать файл ЭП — полдела; если получатель не проверит валидность сертификата и целостность документа, подпись не стоит ничего. Ниже разберем, какие инструменты использовать для подписания и верификации, чем отличаются присоединенная и отсоединенная подписи, и как не промахнуться с выбором типа ЭП для конкретного кадрового документа. Тема связана с общим разбором программ для подписания документов ЭЦП, где описаны все доступные решения на рынке.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Виды электронных подписей и где какую применять
63-ФЗ определяет три вида электронных подписей — ПЭП, НЭП и УКЭП. На практике путаница возникает не с самими видами, а с тем, какой вид допустим для какого документа. Работодатель подписывает кадровые документы УКЭП — это требование ст. 22.3 ТК РФ. Сотрудник в большинстве случаев обходится ПЭП или НЭП, но для трудового договора, допсоглашения, договора о материальной ответственности и ученического договора нужна минимум НЭП.
ПЭП — это связка логин-пароль плюс СМС-код. Технически она не защищает документ от изменений после подписания и не фиксирует момент подписания. Для заявлений на отпуск, ознакомления с ЛНА, служебных записок ПЭП подходит. Для документов, которые могут стать предметом трудового спора — нет.
НЭП использует криптографические алгоритмы: хеш документа шифруется закрытым ключом подписанта. Любое изменение файла после подписания делает подпись невалидной. НЭП выпускается внутри КЭДО-сервиса за пару кликов, не требует визита в удостоверяющий центр. В сервисе Добыто мы выпускаем НЭП сотрудникам бесплатно — подпись входит в тариф.
УКЭП — подпись с сертификатом от аккредитованного УЦ. Юридически приравнена к собственноручной без дополнительных соглашений. Выпускается в ФНС для руководителей организаций (бесплатно) или в коммерческих УЦ для сотрудников (от 3000 руб./год). С 2023 года сотрудники работают с личным сертификатом физлица плюс МЧД.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Главная ошибка при выборе вида ЭП — натягивать УКЭП на все документы скопом. Для внутренних кадровых документов в 90% случаев хватает НЭП, а это совсем другие денежки для работодателя. УКЭП нужна работодателю и для ограниченного перечня документов со стороны сотрудника. Мы в Добыто всегда начинаем внедрение с аудита документов — какой вид ЭП куда ставить.»
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Присоединенная и отсоединенная подпись — в чем разница
При подписании документа формируется криптографический файл подписи. Он бывает двух типов: присоединенный (встраивается в сам документ) и отсоединенный (создается отдельным .sig-файлом рядом с оригиналом).
Присоединенная подпись удобна тем, что файл один — отправил и забыл. Но открыть такой файл без специального ПО (КриптоАРМ, КриптоПро и т.д.) не получится. Исходный документ зашит внутри контейнера подписи.
Отсоединенная подпись — это когда рядом с договором.pdf лежит договором.pdf.sig. Оригинал открывается любой программой, подпись проверяется отдельно. Для проверки нужны оба файла. Потеряли .sig — подпись потеряна. В практике КЭДО отсоединенная подпись встречается чаще, потому что кадровики привыкли видеть документ в привычном виде.
В сервисе Добыто оба формата поддерживаются, но по умолчанию мы используем присоединенную подпись с визуальной плашкой — кадровик видит штампик с данными подписанта прямо на документе, и сам файл юридически значим.
Мария Ж, судебный эксперт по трудовому праву:
«Штампик на документе — это визуализация для человека. Юридическую силу имеет криптографический файл подписи, а не синенький квадратик. В суде проверяют именно sig-файл или встроенный CMS-контейнер, а не картинку. Но кадровикам плашка нужна — без нее они нервничают и не верят, что документ подписан.»
Как подписать документ электронной подписью: инструменты и порядок действий
Для подписания нужны три компонента: криптопровайдер (программа криптографии), сертификат ЭП (на токене, в облаке или на мобильном устройстве) и программа для подписания. Набор зависит от типа подписи и задачи.
КриптоПро CSP + КриптоАРМ ГОСТ 3
Классический вариант для подписания файлов УКЭП на рабочем месте. КриптоПро CSP — крипто-провайдер, сертифицированный ФСБ. КриптоАРМ ГОСТ 3 — программа от компании «Цифровые Технологии» для подписания, проверки и шифрования файлов. Поддерживает CMS, CAdES (включая архивные подписи CAdES-A с метками времени), подписание PDF.
Порядок: устанавливаете КриптоПро CSP 5.0, вставляете токен с сертификатом, открываете КриптоАРМ, выбираете файл, указываете сертификат, нажимаете «Подписать». На выходе — файл .sig (отсоединенная) или подписанный контейнер (присоединенная). Процедура занимает меньше минуты, если всё настроено.
Версия КриптоПро CSP 5.0 R3 добавила встроенный браузерный плагин, поддержку TLS 1.3 по ГОСТ и работу в Docker/Kubernetes — для тех, кому нужна серверная автоматизация подписания. Сертификат действует до мая 2027 года. Лицензия единая на всю линейку 5.0.
Госключ — подписание через мобильное приложение
Госключ — мобильное приложение от Минцифры для подписания документов УНЭП и УКЭП. УНЭП выпускается бесплатно через подтвержденный аккаунт на Госуслугах. УКЭП через Госключ требует биометрический загранпаспорт нового образца с NFC.
Закрытый ключ хранится на устройстве пользователя, а не в облаке — с точки зрения безопасности это принципиальный момент. Подписание одного документа занимает порядка 52 секунд. Приложение установили более 41 млн пользователей (данные на апрель 2026). Более 3200 компаний интегрировали Госключ, из них свыше 1000 используют его в КЭДО.
Ограничение: Госключ пока не поддерживает метки времени (TSP). Время подписания фиксируется только в операционных логах системы. Для кадровых документов с длительным сроком хранения это создает определенные риски — доказать в суде точный момент подписания будет сложнее.
Добыто.Подпись — подписание и проверка онлайн
Для тех, кому не нужен десктопный софт, сервис Добыто.Подпись позволяет подписать и проверить документ прямо в браузере. Загружаете файл, выбираете сертификат, получаете подписанный документ. Без установки КриптоАРМ и прочих программ.
Подписание кадровых документов — процедура, в которой ошибка стоит дороже, чем сам сервис. Неверно выбранный вид подписи, просроченный сертификат, отсутствие метки времени — каждый из этих промахов превращает электронный документ в бумажку без юридической силы. В сервисе Добыто мы берем на себя настройку маршрутов подписания, выпуск подписей сотрудникам и контроль сроков действия сертификатов.
Как проверить электронную подпись на документе
Проверка ЭП — это три операции: проверка целостности документа (не изменялся ли файл после подписания), проверка сертификата подписанта (действителен ли, не отозван ли) и проверка цепочки доверия (кто выдал сертификат, аккредитован ли УЦ). Если хоть одна проверка не пройдена — подпись невалидна.
Проверка через Госуслуги
На портале Госуслуг есть бесплатный сервис проверки электронной подписи. Загружаете документ и файл подписи (.sig), сервис проверяет валидность. Ограничение: работает только с УКЭП (квалифицированными сертификатами). НЭП и ПЭП не проверяет.
Проверка через КриптоПро
КриптоПро предоставляет онлайн-сервис проверки подписи, а также проверку через десктопную программу КриптоАРМ. В КриптоАРМ достаточно открыть подписанный файл — программа автоматически проверит цепочку сертификатов, статус отзыва по CRL или OCSP и целостность данных.
Нюанс: для проверки НЭП необходимо установить корневые сертификаты удостоверяющего центра, который выпустил подпись. В отличие от УКЭП, где цепочка от Минцифры до конечного сертификата устанавливается автоматически, для НЭП корневые серты нужно ставить вручную. Без них проверка завершится ошибкой «невозможно построить цепочку сертификатов».
Мария Ж, соучредитель сервиса КЭДО Добыто:
«80% запросов от наших клиентов на автоматизацию связаны именно с проверкой подписей, а не с подписанием. Подписать — это разовое действие. А вот массово проверить входящие документы от контрагентов, убедиться что серт не отозван, что метка времени на месте — это рутина, которая съедает часы. Мы автоматизируем эту проверку на стороне сервера.»
Метки времени и усовершенствованная подпись — зачем это нужно
Обычная ЭП (формат CAdES-BES) подтверждает, кто подписал и что документ не изменялся. Но она не фиксирует, когда именно произошло подписание. А ещё через год-два, когда сертификат истечет, проверить подпись станет невозможно — статус отзыва сертификата на момент подписания уже не восстановить.
Усовершенствованная подпись (CAdES-XLong Type 1 или CAdES-A) добавляет к подписи метку времени от доверенного TSP-сервера и ответ OCSP о статусе сертификата на момент подписания. Это критически важно для кадровых документов с длительными сроками хранения. Трудовой договор хранится 50 лет. Без TSP через 50 лет невозможно доказать, что он был подписан действующим сертификатом.
По нашему опыту в Добыто, метки времени — самый недооцененный элемент при внедрении КЭДО. Компании тратят месяцы на выбор сервиса, на обучение сотрудников, на интеграцию с 1С — и забывают про TSP. А потом в суде трудовой договор с электронной подписью рассыпается, потому что доказать момент подписания нечем.
Мария Ж, юрист со стажем более 20 лет:
«Судебная практика по КЭДО пока ничтожно мала. Суды сами не всегда понимают, как работает ЭП. Был кейс с компанией, где сотрудник оспорил увольнение — утверждал, что не подписывал соглашение. УНЭП хранилась на токенах в сейфе, который иногда оставался открытым. Суд встал на сторону работника. Без метки времени и без доказательства, что именно этот документ был предъявлен подписанту, работодатель проиграл.»
Токены, флешки и облако — где хранить ключ ЭП
Закрытый ключ подписи хранится на носителе. Вариантов три: аппаратный токен (Рутокен, JaCarta), программный контейнер на компьютере, облако (ключ на сервере УЦ).
Аппаратный токен бывает пассивный (Рутокен Lite) и активный (Рутокен ЭЦП 2.0 / 3.0). Пассивный — обычная флешка с PIN-кодом, ключ при подписании попадает в оперативную память компьютера. Активный — содержит криптографическое ядро, подпись формируется внутри чипа токена, ключ никогда не покидает устройство. Для УКЭП рекомендуется активный токен.
Рутокен ЭЦП 3.0 поддерживает USB + NFC, 128 Кб защищенной памяти, вмещает до 31 контейнера КриптоПро. Совместим с КриптоПро CSP 5.0 R2 и выше.
Облачная подпись — ключ на сервере УЦ, подтверждение через СМС. Удобно, но в суде облачная подпись имеет меньший вес, чем мобильная или токенная.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО (образец) | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ ФСБ № 795 (требования к КЭП) | Скачать |
| Криптографическая защита информации (стандарт) | Скачать |
| Письмо Минтруда № 14-6/ООГ-2314 (КЭДО) | Скачать |
Типичные ошибки при подписании и проверке ЭП
За время работы сервиса Добыто мы столкнулись с набором повторяющихся ошибок, которые допускают компании при работе с электронными подписями. Вот конкретные грабли.
Ошибка 1. Подписание документа просроченным сертификатом. Сертификат УКЭП действует 12 месяцев (некоторые УЦ выдают на более длительный срок). Кадровик подписывает трудовой договор, не проверив срок действия серта. Документ подписан невалидной подписью. При проверке ГИТ — предписание, штраф по ст. 5.27 КоАП до 50 000 руб.
Ошибка 2. Отсутствие корневых сертификатов для НЭП. УКЭП встраивается в цепочку доверия автоматически (корень от Минцифры). У НЭП корневые сертификаты не устанавливаются по умолчанию. Результат: проверка подписи выдаёт ошибку «невозможно построить цепочку». Документ юридически значим, но программа этого не видит.
Ошибка 3. Путаница между визуализацией и подписью. Плашка (штампик) на PDF — это картинка для человека. Юридическая сила — в криптографическом файле. Кадровик распечатывает PDF с плашкой и считает, что это «подписанный документ». Нет. Подписанный документ — это файл + sig (или файл с встроенным CMS-контейнером).
Ошибка 4. Неотозванный сертификат уволенного сотрудника. Сотрудник уволился, но УКЭП с МЧД осталась действующей. Технически бывший сотрудник может подписывать документы от имени организации до истечения срока сертификата. МЧД нужно отзывать отдельно через реестр ФНС.
Ошибка 5. Подписание без метки времени документов длительного хранения. Трудовой договор, приказ о приеме — хранятся 50 лет. Без TSP через год после истечения сертификата невозможно подтвердить, когда документ был подписан и был ли сертификат действителен на тот момент. Цена ошибки — полная потеря юридической значимости документа.
Мария Ж, HR-эксперт с 13-летним стажем:
«На одном из наших проектов кадровик три месяца подписывал допсоглашения просроченным сертификатом. Триста с лишним документов. Узнали только при подготовке к проверке ГИТ. Пришлось переподписывать всю пачку — скопом, с актуальным сертом. Мы после этого встроили в сервис Добыто автоматическое предупреждение за 30 дней до истечения подписи.»
Подписание документа в КЭДО — как это работает на практике
В системе КЭДО подписание — часть маршрута согласования. Кадровик создает документ (из шаблона или загружает готовый), задает маршрут (кто подписывает, в каком порядке, каким видом ЭП), запускает процесс. Система отправляет уведомление подписанту — пуш, email или СМС. Подписант открывает документ в личном кабинете или мобильном приложении, знакомится с содержимым, нажимает «Подписать». Подпись формируется автоматически.
Принципиальный момент: сотрудник сам инициирует подписание — нажимает кнопку, получает СМС-код, подтверждает. Работодатель не вправе выпустить ЭП сотрудника от его имени и подписать за него. При проверке ГИТ инспектор проверяет именно этот момент — кто инициировал подписание.
Был кейс (дело «ВинЛаб»): грузчик думал, что подписывает заявление на больничный, а фактически подписал заявление на увольнение. Суд признал увольнение незаконным, работника восстановили с компенсацией. Система КЭДО должна доказать, какой именно документ был предъявлен подписанту. Без «доверенной визуализации» (когда содержимое документа гарантированно соответствует тому, что видит человек) возникает риск подмены.
Как подписать документ ЭП: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Убедитесь, что на компьютере установлен криптопровайдер (КриптоПро CSP 5.0 или аналог). Для мобильного подписания — установите Госключ или приложение КЭДО-сервиса.
- Шаг 2. Вставьте USB-токен с сертификатом в компьютер (или убедитесь, что мобильная подпись активна). Проверьте срок действия сертификата — он должен быть валиден на момент подписания.
- Шаг 3. Откройте программу для подписания (КриптоАРМ, онлайн-сервис Добыто.Подпись, или личный кабинет КЭДО-системы). Загрузите файл, который нужно подписать.
- Шаг 4. Выберите сертификат подписанта и тип подписи (присоединенная или отсоединенная). Для документов длительного хранения рекомендуется усовершенствованная подпись с меткой времени.
- Шаг 5. Нажмите «Подписать». Введите PIN-код токена (если требуется) или подтвердите СМС-кодом. Сохраните подписанный файл и файл подписи (.sig) — оба нужны для проверки.
Стоимость подписания и проверки ЭЦП в 2026 году
Стоимость зависит от того, какой инструмент вы используете и какой вид подписи нужен. УКЭП обходится дороже, потому что требует лицензии на криптопровайдер и ежегодного обновления сертификата. НЭП через КЭДО-сервис — дешевле, потому что выпускается внутри системы.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| КЭДО Добыто — тариф «Старт» (подписание ПЭП, УНЭП) | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| КЭДО Добыто — тариф «Бизнес» (ПЭП, УНЭП, УКЭП) | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| КЭДО Добыто — тариф «Корпорация» | По запросу | Выделенный сервер, SLA 99.9% |
| УКЭП от ФНС (для руководителя) | Бесплатно | Личный визит в ФНС |
| УКЭП от коммерческого УЦ (для сотрудника) | от 3 000 ₽ / год | Ежегодное продление |
| НЭП через Госключ | Бесплатно | Нужна учетная запись Госуслуг |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут рассчитать бюджет точнее. Электронные подписи ПЭП и УНЭП для сотрудников входят в тариф на всех планах — покупать их отдельно не нужно.
Выводы: подписание и проверка ЭЦП в кадровом документообороте
Подписание электронной подписью кадровых документов регулируется 63-ФЗ и ст. 22.1-22.3 ТК РФ. Работодатель подписывает УКЭП, сотрудник — НЭП или ПЭП (кроме ограниченного перечня документов, где нужна минимум НЭП). Для проверки подписи используются Госуслуги (только УКЭП), КриптоАРМ, КриптоПро или онлайн-сервисы. Проверяются три параметра: целостность документа, валидность сертификата и цепочка доверия.
Практические рекомендации: используйте усовершенствованную подпись с меткой времени для документов длительного хранения (трудовые договоры, приказы о приеме). Контролируйте сроки действия сертификатов — просроченная подпись делает документ юридически ничтожным. При использовании НЭП устанавливайте корневые сертификаты на все рабочие места, где будет проводиться проверка. Отзывайте сертификаты и МЧД уволенных сотрудников в день увольнения.
Рынок КЭДО движется к обязательному внедрению в ближайшие 2-3 года. Более 41 млн пользователей Госключа и свыше 7 млн работников, уже использующих электронный кадровый документооборот, — показатели, которые говорят сами за себя. Компаниям, которые пока работают с бумагой, стоит начинать переход сейчас — пока это можно сделать в комфортном темпе, а не по предписанию.
Часто задаваемые вопросы
Чем ПЭП отличается от НЭП при подписании кадровых документов?
Обязан ли работодатель всегда подписывать УКЭП?
Что такое отсоединённая подпись и когда она нужна?
Где бесплатно проверить электронную подпись на документе?
Зачем нужна метка времени (TSP) при подписании?
Можно ли подписать документ электронной подписью с телефона?
Что делать, если проверка подписи выдает ошибку «невозможно построить цепочку сертификатов»?
Чем отличается пассивный токен от активного?
Сколько сертификатов помещается на один токен?
Нужно ли устанавливать КриптоПро, если подпись на токене с криптографическим ядром?
Как проверить, не отозван ли сертификат электронной подписи?
Можно ли подписать документ задним числом в системе КЭДО?
Подписание и проверка ЭП — процессы, в которых нет права на ошибку: просроченный сертификат, отсутствие метки времени или неотозванная МЧД уволенного сотрудника превращают юридически значимый документ в пустышку. Сервис КЭДО Добыто автоматизирует весь цикл — от выпуска подписей сотрудникам до контроля сроков действия сертификатов и формирования усовершенствованных подписей с TSP.
За время работы мы подключили более 500 компаний к электронному кадровому документообороту. Наши специалисты настраивают маршруты подписания под конкретную оргструктуру, подключают интеграцию с 1С за 1 день и обеспечивают сопровождение до момента полностью самостоятельной работы.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок осуществления, формы согласий сотрудников
- Виджеты входящих и исполнительской дисциплины — кадровик видит, кто не подписал, у кого заканчивается подпись