Проверка СКЗИ по номеру — это сверка номера сертификата соответствия средства криптографической защиты информации с записью в перечне ФСБ России, которая показывает, легитимно ли средство и для какого класса задач оно сертифицировано. Из статьи вы узнаете, где лежит реестр, как читается номер сертификата, чем отличаются классы КС1, КС2 и КС3, сколько действует сертификат и что делать, если он истёк. Тема входит в большой материал про проверку электронной подписи, где разобран весь путь от валидации подписи до проверки средства, которым её сделали.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое СКЗИ и зачем проверять его легитимность
СКЗИ — средство криптографической защиты информации. Программа или устройство, которое шифрует данные, формирует и проверяет электронную подпись, защищает канал связи. КриптоПро CSP, ViPNet CSP, КриптоАРМ ГОСТ, токены Рутокен и eSmart — всё это СКЗИ. Чем они отличаются между собой — тема отдельного обзора программ для подписания документов ЭЦП. Без сертифицированной крипты ни одна квалифицированная подпись не считается легитимной, потому что 63-ФЗ прямо требует применения средств, подтверждённых ФСБ России.
Зачем вообще сверять номер. Смотрите. На рынке гуляют сборки криптопровайдеров, которые выдают за сертифицированные, а по факту это пропатченная версия без действующего сертификата. Или версия, на которую сертификат закончился. Подпись, сделанная таким средством, формально живая — файл подписан, штампик стоит. А юридически — воздух. Если до этой подписи доберётся проверяющий или вторая сторона в суде, документ развалится.
Мария Ж, судебный эксперт по трудовому праву:
«В суде первое, что смотрят по электронному документу — чем он подписан и был ли это серт действующего, сертифицированного СКЗИ на дату подписания. Если средство нелегитимно, дальше можно не разбираться — подпись не порождает последствий. Я видела, как из-за просроченного сертификата у крипты разваливался спор на пару миллионов.»
Для субъектов критической информационной инфраструктуры это вообще не вопрос выбора. По указу Президента им запрещено использовать иностранное и несертифицированное ПО — только отечественное, имеющее сертификат соответствия ФСБ или ФСТЭК в зависимости от назначения. Госорганам и компаниям с госучастием несертифицированные средства защиты либо не рекомендованы, либо прямо запрещены.
Кто сертифицирует СКЗИ: ФСБ и ФСТЭК
Регулятора два, и путать их нельзя. ФСБ России через свой Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ) сертифицирует именно криптографию — средства шифрования, электронной подписи, имитозащиты. Всё, что связано с алгоритмами ГОСТ, проходит через ФСБ. ФСТЭК России отвечает за техническую защиту информации не криптографическими методами — средства защиты от несанкционированного доступа, межсетевые экраны, генераторы шума, антивирусы.
На практике одно устройство может иметь оба сертификата. Токен eSmart, к примеру, идёт с сертификатом ФСТЭК как носитель и одновременно в варианте с криптографией на борту — с сертификатом ФСБ по классам защиты. Поэтому первый шаг при проверке легитимности — понять, что именно вы проверяете: криптофункцию (тогда вам в реестр ФСБ) или техническую защиту (тогда в реестр ФСТЭК).
Реестр ФСТЭК с сертифицированными СЗИ лежит по адресу reestr.fstec.ru/reg3. перечень средств защиты информации, сертифицированных ФСБ опубликован на сайте ЦЛСЗ в разделе «Сертификация». В сервисе Добыто при подключении организации к КЭДО мы проверяем, какими средствами клиент подписывает кадровые документы, и сверяем их сертификаты с обоими реестрами — чтобы потом на проверке ГИТ или в суде не вылезла нелегитимная крипта.
Что такое номер сертификата соответствия СКЗИ и как он устроен
Номер сертификата ФСБ выглядит так: СФ/124-4345. Буквы «СФ» — средство в системе сертификации ФСБ. Дальше идёт код, который привязан к виду требований и классу средства, и через дефис — порядковый номер самого сертификата. Например, СФ/114-… обычно встречается у средств электронной подписи класса КС1, СФ/124-… — у класса КС2. Бывает вариант СФ/СЗИ-… для технических средств защиты. Система сертификации в целом зарегистрирована как РОСС RU.0001.030001.
В перечне по каждому сертификату вы найдёте: регистрационный номер, срок действия (дата выдачи и дата окончания), условное наименование средства с индексом, перечень выполняемых криптографических функций и алгоритмов, наименование изготовителя. Этого набора хватает, чтобы понять — то ли это средство, что заявил поставщик, и живой ли сертификат.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая подмена — когда вам показывают номер сертификата на одну версию СКЗИ, а на машинах стоит другая, не та сборка. Серт настоящий, а средство — нет. Поэтому сверяю не только номер, но и условное наименование с индексом исполнения. Эта бумажечка в пакетике с токеном — не для красоты, по ней реально надо сверяться.»
Отдельно про знак соответствия. На коробочной поставке СКЗИ клеится голографический знак, а схема сертификации (единичный экземпляр, партия, серийное производство) определяет, как именно подтверждается конкретный экземпляр. Для серийного производства достаточно номера сертификата на линейку. Для партии — сверяются ещё и номера экземпляров с голографическими знаками.
Как проверить СКЗИ по номеру в реестре ФСБ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Найдите номер сертификата. Он указан в формуляре на СКЗИ, на коробке, в личном кабинете удостоверяющего центра или в свойствах сертификата подписи. Формат — СФ/код-номер.
- Шаг 2. Зайдите на сайт ЦЛСЗ ФСБ России clsz.fsb.ru, раздел «Сертификация». Откройте выписку из перечня средств защиты информации, сертифицированных ФСБ. Это текстовый файл.
- Шаг 3. Поиском по файлу (Ctrl+F) найдите ваш номер сертификата или условное наименование средства — например, «КриптоПро CSP 5.0 R3».
- Шаг 4. Сверьте три вещи: совпадает ли наименование и индекс исполнения, не истёк ли срок действия, тот ли класс защиты (КС1, КС2, КС3), который вам нужен.
- Шаг 5. Если сертификат в перечне, срок не вышел, наименование и класс совпали — средство легитимно. Если номера нет или срок истёк — средство использовать нельзя, подпись им делать рискованно.
Косвенно легитимность средства видна и через проверку самой подписи: для отсоединённой подписи это отдельный файл с откреплённой УКЭП заявителя, и онлайн-сервис по нему показывает, каким криптопровайдером и сертификатом подписан документ, действителен ли он на момент подписания. Это быстрый способ отсеять явно нелегитимную крипту, прежде чем лезть в реестр.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Классы защиты КС1, КС2, КС3: что означают и как влияют на легитимность
Класс — это уровень криптографической стойкости средства и одновременно требование к среде, в которой оно работает. КС1 — базовый, защита от нарушителя, который действует извне. КС2 — плюс защита от внутреннего нарушителя, имеющего доступ к рабочему месту. КС3 — ещё выше, защита от нарушителя с расширенными возможностями, в том числе с доступом к аппаратной части. Дальше идут КВ и КА — для гостайны, рядовому бизнесу они не нужны.
Тут есть нюанс, на котором спотыкаются. Класс СКЗИ — это не только свойство самого продукта, но и свойство среды функционирования. Один и тот же КриптоПро CSP может работать в режиме КС1 или КС3 в зависимости от сопутствующих мер защиты на рабочем месте. То есть мало увидеть в сертификате «КС3» — надо ещё, чтобы реальная среда тянула на этот класс. На аудитах регулярно вылезает картина: заказчик показывает сертификат на КС3, а среда максимум на КС1.
Актуальные версии КриптоПро CSP — 4.0, 5.0 R1, 5.0 R2 и 5.0 R3 — сертифицированы по трём классам КС1, КС2 и КС3. Сертификаты на линейку 5.0 действуют до 1 мая 2027 года. С версии 5.0 R2 класс КС3 можно обеспечивать не только на Windows, но и на Astra Linux Special Edition, а с R3 — ещё и на Red Hat Enterprise Linux. В сервисе Добыто для кадрового документооборота это важно: класс крипты подбираем под контур безопасности клиента, а не лепим везде одинаково.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Не гонитесь за КС3 там, где задача того не требует. Для внутренних кадровых документов в большинстве случаев хватает КС1, а это совсем другие денюжки за лицензии и за обвязку рабочих мест. КС3 нужен под конкретные требования регулятора или службы безопасности, а не «чтобы было». Переплатить за класс легко, а отыграть назад — головняк.»
Образцы документов и памятки по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Криптографическая защита информации (формирование и проверка) | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
Срок действия сертификата СКЗИ и что делать при его истечении
Сертификат соответствия ФСБ на СЗИ действует три года и может быть продлён до пяти. Это не срок жизни самого средства, а срок, в течение которого ФСБ подтверждает его соответствие требованиям. Когда срок выходит, изготовитель проходит переоформление или выпускает новую версию с новым сертификатом. Производитель часто продлевает действующий серт заранее — так было с КриптоПро CSP 4.0, сертификаты на которую продлевали, а линейка 5.0 уже закрыта до мая 2027 года.
Главный риск истечения — в задним числом. Если сертификат на СКЗИ закончился, а вы продолжаете подписывать, новые подписи делаются нелегитимным средством. Старые документы при этом не теряют силу: для них важна дата подписания, когда серт был жив. Поэтому при проверке всегда сверяйте срок сертификата не с сегодняшним днём, а с датой, когда документ подписали.
Для долговременного хранения есть отдельный механизм. К подписи добавляют метку времени по протоколу TSP и складывают рядом статусы всех сертификатов — получается усовершенствованная подпись. Срок проверки растягивается до 18 лет (три года ключа плюс пятнадцать). Дальше включается «ухаживание» за подписью: система мониторит сроки и переподписывает документ, продлевая его юридическую значимость. А при смене поколения криптоалгоритмов сверху накладывают подпись архивариуса. Так электронный архив остаётся легитимным десятилетиями.
Типичные ошибки при проверке легитимности СКЗИ
Первая ошибка — проверять только наличие номера и не сверять наименование с индексом исполнения. Поставщик показывает реальный номер на одну сборку, а на рабочих местах крутится другая, не сертифицированная. Делают так ради экономии: лицензия на свежую версию дороже, проще оставить старую. Цена ошибки — все подписи спорные, а при проверке КИИ это ещё и нарушение указа Президента с понятными последствиями для ответственных лиц.
Вторая — игнорировать срок действия и дату подписания. Кадровик видит «сертификат есть» и успокаивается, а сертификат истёк полгода назад. Мотив — никто не назначен следить за сроками крипты, у эйчаров и так текучка задач. Цена — пачка документов, подписанных нелегитимным средством, которую придётся переподписывать заново, если её вообще можно спасти.
Третья — путать класс продукта и класс среды. Купили КС3, поставили на обычные рабочие места без организационных мер — и формально средство сертифицировано на КС3, а реально работает на КС1. При аудите это вскрывается сразу. Делают по незнанию: думают, что класс зашит в коробку. Цена — провал аттестации информационной системы и доработка контура за свой счёт.
Сверять номера сертификатов, отслеживать сроки крипты по каждому рабочему месту, подбирать класс под контур — на это у кадровой службы обычно нет ни времени, ни профильных знаний. В сервисе Добыто мы берём эту часть на себя: проверяем легитимность средств, которыми подписываются документы, и держим подписание на сертифицированных СКЗИ, чтобы документы не разваливались на проверках.
Стоимость сервиса КЭДО Добыто и тарифы в 2026 году
Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых функций — видов подписи, интеграции с 1С, электронного архива. Проверка легитимности СКЗИ и подписание сертифицированными средствами входят в работу сервиса, отдельной строкой за это платить не нужно.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив) | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с SLA (выделенный сервер, SLA 99.9%, API, персональный менеджер) | по запросу | неограниченно сотрудников |
Итоговая сумма складывается из числа рабочих мест и набора функций, а класс СКЗИ под контур безопасности подбирается уже на старте проекта — актуальные тарифы сервиса Добыто помогут прикинуть бюджет точнее.
Выводы: проверка легитимности СКЗИ по номеру
Легитимность СКЗИ держится на трёх проверках: номер сертификата ФСБ есть в перечне ЦЛСЗ, наименование и индекс исполнения совпадают с тем, что реально установлено, срок действия не истёк на дату подписания. Криптографию сертифицирует ФСБ, техническую защиту — ФСТЭК, и реестры у них разные. Номер сертификата формата СФ/код-номер несёт информацию о виде требований и классе, а сам перечень даёт срок, наименование, функции и изготовителя.
На практике сверяйте не только факт наличия сертификата, но и класс защиты против реальной среды функционирования — один криптопровайдер тянет от КС1 до КС3 в зависимости от мер на рабочем месте. Не переплачивайте за высокий класс там, где задача его не требует. Назначьте ответственного за отслеживание сроков сертификатов, иначе документы продолжат подписываться нелегитимной криптой, и это вскроется в самый неподходящий момент — на проверке или в суде.
В ближайшие годы линейка КриптоПро CSP 5.0 остаётся базовой — сертификаты действуют до 1 мая 2027 года, поддержка класса КС3 расширяется на российские операционные системы. Для долговременного хранения закладывайте механизм меток времени и переподписания, иначе через несколько лет проверить старые подписи будет нечем.
Часто задаваемые вопросы
Где взять номер сертификата СКЗИ для проверки?
Чем отличается реестр ФСБ от реестра ФСТЭК?
Сколько действует сертификат соответствия на СКЗИ?
Что значит «СФ» в номере сертификата?
Чем отличаются классы КС1, КС2 и КС3?
Может ли один криптопровайдер работать в разных классах?
Что будет, если подписать документ нелегитимным СКЗИ?
Как проверить срок сертификата, если документ подписан давно?
Нужен ли сертификат ФСБ токену Рутокен или eSmart?
Что такое голографический знак соответствия на СКЗИ?
Можно ли встроить СКЗИ в своё ПО без отдельной сертификации?
Как легитимность СКЗИ связана с проверкой самой подписи?
Проверка легитимности СКЗИ — это не разовое действие, а постоянная задача: следить за сроками сертификатов, сверять версии средств с реестром, подбирать класс под контур безопасности. Когда документов сотни, а рабочих мест десятки, ручной контроль ломается, и нелегитимная крипта проскакивает незаметно — до первой проверки или суда.
Сервис Добыто закрывает эту задачу внутри кадрового документооборота: подписание идёт сертифицированными СКЗИ, легитимность средств контролируется, а вся цепочка подписей фиксируется с метками времени — чтобы документ выдержал проверку ГИТ и спор в суде. Мы сопровождаем клиента от подбора средства до полностью самостоятельной работы.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Подписание на сертифицированных СКЗИ с подбором класса защиты под контур безопасности компании
- Вся цепочка подписей фиксируется с метками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет с механизмом переподписания — доступ к архиву сохраняется даже при расторжении договора
- Три вида поставки — облачная, on-premise, гибридная — под требования ИБ и VPN-периметра
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков