В районной больнице на 400 коек работают 87 врачей. Каждому нужна УКЭП для подписания электронных медицинских документов, передачи данных в РЭМД ЕГИСЗ, оформления электронных больничных. Ближайший офис удостоверяющего центра находится в областном центре, в полутора часах езды. Каждый перевыпуск сертификата для одного врача обходится не только в стоимость самого сертификата, но и в полдня потерянного рабочего времени, замену на приеме и транспортные расходы.
Корпоративный центр регистрации (КЦР) снимает эту проблему: администратор медучреждения оформляет заявки на выпуск сертификатов прямо в больнице, проводит идентификацию сотрудников, а квалифицированный сертификат выпускает аккредитованный УЦ дистанционно. Врач получает ЭП на рабочем месте, не покидая клинику. Но подключение КЦР требует понимания нормативной базы, правильной организации процесса и учета специфики медицинской отрасли.
В статье вы узнаете:
-
какие функции выполняет КЦР и почему медучреждению не нужна собственная аккредитация УЦ
-
как выстроить процесс идентификации врачей и какие документы потребуются
-
какие требования предъявляет 63-ФЗ к выпуску сертификатов через КЦР
-
как интегрировать электронные подписи с ЕГИСЗ, ФРМР и медицинской информационной системой
-
что делать при увольнении врача и как управлять жизненным циклом сертификатов
Что такое КЦР и зачем он медучреждению
Для передачи данных в ЕГИСЗ каждый врач должен подписывать электронные медицинские документы своей квалифицированной электронной подписью. Согласно Постановлению Правительства РФ № 140 от 09.02.2022, медорганизации передают сведения в РЭМД в течение одного рабочего дня с момента формирования документа. Без УКЭП врач не может подписать ни электронный больничный лист, ни протокол осмотра, ни рецепт на льготный препарат.
При штате в несколько десятков медработников стандартная схема получения сертификатов через офис УЦ создает постоянную логистическую нагрузку. Срок действия сертификата, как правило, составляет 12 месяцев (максимально допустимый период зависит от срока действия средства криптографической защиты и устанавливается самим УЦ согласно п. 2 ч. 1 ст. 13 63-ФЗ). Значит, каждый год весь медицинский персонал проходит процедуру заново.
КЦР позволяет перенести часть функций удостоверяющего центра внутрь организации. Администратор, назначенный приказом руководителя медучреждения, выполняет идентификацию сотрудников, формирует заявки и загружает документы. Сам сертификат выпускает аккредитованный УЦ, что полностью соответствует нормам 63-ФЗ. Медучреждение при этом не становится удостоверяющим центром и не нуждается в аккредитации Минцифры.
Почему КЦР — не удостоверяющий центр
Путаница в терминах приводит к тому, что юридические службы медучреждений иногда блокируют подключение КЦР, ссылаясь на необходимость лицензирования. Но КЦР не выпускает сертификаты самостоятельно. Генерация ключевой информации для собственных нужд организации не попадает под требования лицензирования ФСБ России на право работы с криптографическими средствами. Квалифицированный сертификат выпускает аккредитованный УЦ, а КЦР выполняет только делегированные функции: идентификацию владельца и передачу документов.
Отдельный ОГРН для работы КЦР также не требуется. Достаточно приказа руководителя медучреждения о назначении администратора КЦР и заключения договора с аккредитованным удостоверяющим центром.
Как подключить КЦР в медучреждении: пошаговый порядок
Шаг 1. Выбор аккредитованного УЦ и модели подключения
Медучреждение заключает договор с аккредитованным удостоверяющим центром, который предоставляет сервис КЦР. На рынке работают несколько крупных операторов: среди них УЦ «Калуга Астрал» (сервис «Астрал.Подпись Корпоративный») и другие. При выборе стоит учитывать несколько параметров:
-
наличие API (Астрал.Платформа) и возможность интеграции с МИС (медицинской информационной системой), которая уже работает в учреждении
-
поддержка сертифицированных ФСТЭК и ФСБ ключевых носителей: Рутокен ЭЦП, Рутокен Lite, JaCarta
-
возможность массовой загрузки данных сотрудников из кадровых систем
-
наличие функций отзыва сертификатов и управления их жизненным циклом
-
техническая поддержка, работающая в режиме, совместимом с графиком медучреждения (круглосуточно для стационаров)
Модель подключения для медучреждений, как правило, сервисная: данные хранятся на защищенных серверах УЦ, дополнительных серверных мощностей в больнице не требуется. Вариант On-Premise (установка ПО КЦР на собственные серверы) используется реже и актуален для крупных медицинских холдингов.
Шаг 2. Назначение администратора и подготовка рабочего места
Руководитель медучреждения (главврач) издает приказ о назначении сотрудника, ответственного за работу с КЦР. Обычно это специалист IT-отдела или отдела кадров. Квалификационных требований, установленных на уровне федерального закона, к администратору КЦР нет, однако УЦ проводит обучение работе в системе перед запуском.
На рабочем месте администратора устанавливается СКЗИ (как правило, КриптоПро CSP), браузерный плагин для работы с электронной подписью и сам клиент КЦР. Администратор получает собственный сертификат УКЭП для подписания заявок.
Шаг 3. Регистрация сотрудников и идентификация
Администратор вносит данные медработников в систему КЦР. Ряд сервисов (в частности, «Астрал.Подпись Корпоративный») позволяют загружать данные массово из списков, сформированных в учетных системах, а также автоматически распознавать данные из приложенных сканов документов.
Для идентификации врача при выпуске сертификата администратор запрашивает следующие документы:
-
паспорт гражданина РФ (разворот с фото и страница регистрации)
-
СНИЛС
-
ИНН (сервис может запросить ИНН автоматически по паспортным данным)
Администратор проводит очную идентификацию: сверяет внешность сотрудника с фотографией в паспорте и проверяет достоверность представленных данных. Это ключевая обязанность, делегированная УЦ, и именно она закреплена в ст. 18 63-ФЗ.
Шаг 4. Формирование заявки и выпуск сертификата
После идентификации администратор формирует заявку на выпуск сертификата в системе КЦР и передает ее на рабочее место сотрудника. Врач на своем компьютере проверяет данные, формирует контейнер закрытого ключа, подтверждает создание сертификата и устанавливает сертификат на рабочее место или на ключевой носитель.
Весь процесс от создания заявки до получения готового сертификата занимает от нескольких минут до нескольких часов, в зависимости от тарифа. Для сравнения: при стандартной схеме через офис УЦ этот же процесс, с учетом дороги, может занять целый рабочий день.
Правовая основа работы КЦР: что говорит закон
Нормативная база работы КЦР строится на нескольких уровнях. Ключевые акты собраны в таблице ниже.
| Нормативный акт | Что регулирует в контексте КЦР |
|---|---|
| 63-ФЗ от 06.04.2011 (ред. от 21.04.2025) | Требования к УЦ, порядок выдачи квалифицированных сертификатов, делегирование функций идентификации, сроки действия сертификатов |
| 323-ФЗ от 21.11.2011, ст. 91.1 | Электронный документооборот в медорганизациях, взаимодействие с ЕГИСЗ |
| ПП РФ № 140 от 09.02.2022 | Положение о ЕГИСЗ, обязанность медорганизаций передавать данные в РЭМД |
| Приказ ФСБ России № 796 от 27.12.2011 | Требования к средствам ЭП и СКЗИ |
| Приказ Минздрава № 530н от 05.08.2022 | Формы электронных медицинских документов |
| 152-ФЗ от 27.07.2006 | Обработка персональных данных при идентификации |
По 63-ФЗ сертификат выпускает только аккредитованный УЦ. Закон позволяет УЦ делегировать часть обязанностей (в частности, идентификацию заявителя) третьим лицам, оставляя за собой непосредственный выпуск сертификата. Именно эта правовая конструкция лежит в основе КЦР.
Конкретный максимальный срок действия сертификата 63-ФЗ не устанавливает: согласно п. 2 ч. 1 ст. 13, сроки определяет сам УЦ. Стандартная практика для сертификатов физических лиц (а врачи получают именно такие сертификаты, работая затем с МЧД) составляет 12 месяцев, максимально допустимый период, как правило, не превышает 15 месяцев и зависит от срока действия лицензии СКЗИ.
Особенности КЦР для медицинских организаций
Интеграция с ЕГИСЗ и ФРМР
Электронные медицинские документы (ЭМД) врачи формируют в МИС и подписывают своей УКЭП. Помимо подписи врача, ряд документов (те, что в бумажном варианте требуют заверения от имени организации) дополнительно подписываются УКЭП главврача. Подпись должна соответствовать CMS-формату.
Медорганизация, работающая с ЭМД, должна быть зарегистрирована в реестре медицинских организаций (ФРМО) ЕГИСЗ, а медработники, формирующие и подписывающие документы, включены в Федеральный регистр медицинских работников (ФРМР). Работа в системе ведется через учетную запись на портале «Госуслуги», что обеспечивает персональную ответственность каждого сотрудника.
Сам КЦР напрямую с ЕГИСЗ не интегрируется. КЦР решает задачу выпуска и управления сертификатами, а взаимодействие с ЕГИСЗ идет через МИС. Однако при выборе сервиса КЦР стоит проверить совместимость выпускаемых сертификатов с МИС и подсистемами ЕГИСЗ, через которые работает учреждение (напрямую, через региональную систему или через оператора вроде N3.Health).
Какие сертификаты нужны разным категориям персонала
Не всем сотрудникам медучреждения нужен одинаковый тип сертификата. Ситуация выглядит так:
| Категория сотрудника | Тип сертификата | Для чего используется |
|---|---|---|
| Главврач (руководитель) | КЭП юрлица (через ФНС или доверенный УЦ ФНС) + КЭП физлица | Подписание ЭМД от имени организации, хозяйственные документы, отчетность |
| Лечащий врач | КЭП физлица + МЧД | Подписание протоколов осмотра, рецептов, больничных листов, данных для РЭМД |
| Средний медперсонал (медсестры, фельдшеры) | КЭП физлица + МЧД | Подписание листов назначений, процедурных карт, отдельных ЭМД |
| Административный персонал | КЭП физлица + МЧД (по необходимости) | Кадровый ЭДО, работа с контрагентами |
Через КЦР выпускаются сертификаты КЭП физического лица. Для действий от имени организации врач использует этот сертификат совместно с машиночитаемой доверенностью (МЧД). Главврач как единоличный исполнительный орган получает КЭП юрлица в ФНС или в УЦ со статусом доверенного лица ФНС.
Совместители и сотрудники по ГПД
КЭП физического лица привязана к человеку, а не к организации. Врач-совместитель, работающий в нескольких клиниках, может использовать один и тот же сертификат УКЭП для подписания документов в разных учреждениях, если для каждого из них оформлена отдельная МЧД. Выпускать отдельный сертификат для каждого места работы не требуется.
Со специалистами, привлеченными по гражданско-правовому договору, ситуация аналогична: если им необходимо подписывать ЭМД, они получают КЭП физлица (возможно, у них уже есть действующий сертификат) и МЧД от медучреждения на соответствующие полномочия.
Управление жизненным циклом сертификатов
Перевыпуск и продление
Сертификат УКЭП можно продлить дистанционно, пока он еще действует, без повторной очной идентификации. Если срок уже истек, потребуется новая очная идентификация через администратора КЦР. В медучреждениях с большим штатом врачей отслеживание сроков превращается в отдельную задачу. Сервисы КЦР (в частности, «Астрал.Подпись Корпоративный») предоставляют сводные отчеты по статусам всех сертификатов и уведомления о приближении сроков истечения.
В ежедневном режиме администратор видит: какие сертификаты действуют, какие истекают в ближайшие 30 дней, какие заявки находятся в обработке. Это позволяет планировать перевыпуск заранее и не допускать ситуаций, когда врач не может подписать электронный больничный из-за просроченного сертификата.
Отзыв сертификатов при увольнении
При увольнении врача медучреждение сталкивается с практическим вопросом: сертификат УКЭП физлица принадлежит самому врачу. Согласно 63-ФЗ, отозвать сертификат может только его владелец (по заявлению) или УЦ в установленных законом случаях (компрометация ключа, обнаружение недостоверных данных, судебное решение).
Медучреждение не может в одностороннем порядке аннулировать сертификат уволенного врача. Но может и должно сделать следующее: отозвать МЧД, выданную этому сотруднику. Без действующей МЧД бывший сотрудник не сможет действовать от имени организации, даже имея действующий сертификат УКЭП. Дополнительно администратор КЦР фиксирует увольнение в системе, что позволяет отслеживать, что сертификат более не используется для работы в данном учреждении.
Ряд сервисов КЦР предлагают интеграцию с HR-системами для автоматического отзыва доверенностей при увольнении, что снижает риск человеческой ошибки.
Хранение ключей и требования безопасности
Закрытый ключ электронной подписи врача может храниться в нескольких вариантах: в реестре операционной системы Windows, на обычном USB-накопителе или на сертифицированном ключевом носителе (Рутокен, JaCarta). Выбор зависит от уровня рисков и внутренней политики медучреждения.
Для учреждений, работающих с медицинскими персональными данными (а это все медорганизации), рекомендуется использовать сертифицированные ключевые носители с неизвлекаемым ключом. Сервис КЦР позволяет при выпуске сертификата сделать его неэкспортируемым при записи на ключевой носитель, что исключает копирование закрытого ключа.
Требования к защите персональных данных при работе КЦР определяются 152-ФЗ и подзаконными актами. Администратор КЦР работает с паспортными данными, СНИЛС и ИНН сотрудников, что требует соблюдения стандартных мер защиты: ограничение доступа к рабочему месту, журналирование действий, использование СКЗИ.
При сервисной модели КЦР (когда данные хранятся на серверах УЦ) ответственность за защиту серверной инфраструктуры несет удостоверяющий центр. Медучреждение отвечает за безопасность рабочих мест администратора и сотрудников, получающих сертификаты.
Финансовая сторона: расходы на КЦР в медучреждении
Стоимость подключения КЦР складывается из нескольких составляющих. Типичная структура расходов выглядит следующим образом:
| Статья расходов | Ориентировочная стоимость |
|---|---|
| Лицензия на сервис КЦР (годовая) | от 30 000 ₽ |
| Сертификат УКЭП (на одного сотрудника) | от 1 700 до 2 000 ₽ |
| Встроенная лицензия СКЗИ КриптоПро CSP (на один сертификат) | около 590 ₽ |
| Ключевой носитель Рутокен ЭЦП 3.0 (если требуется) | около 2 480 ₽ |
| Ключевой носитель Рутокен Lite (если требуется) | около 1 840 ₽ |
| Ускоренный выпуск сертификата (опционально) | около 1 000 ₽ |
- Выпуск электронной подписи для администратора
- Подготовка и настройка рабочего места
- Обучение работе в системе
- Круглосуточная техническая поддержка
Для бюджетного медучреждения с 80 врачами минимальные годовые расходы на КЦР составят порядка 190 000–200 000 ₽ (лицензия + сертификаты без токенов). Это сопоставимо с затратами на организацию поездок сотрудников в офис УЦ при традиционной схеме, а при удаленности от крупных городов КЦР экономит значительно больше.
В бюджетных учреждениях расходы на подключение и обслуживание КЦР относятся к статьям КОСГУ, связанным с информационно-коммуникационными технологиями. Конкретные коды зависят от типа учреждения (казенное, бюджетное, автономное) и характера расходов. Лицензия на ПО учитывается по КОСГУ 226 (прочие работы, услуги) или КОСГУ 352 (неисключительные права на результаты интеллектуальной деятельности), ключевые носители как материальные запасы по КОСГУ 346.
Типичные ошибки при внедрении КЦР в медорганизации
Ошибки, которые встречаются при подключении КЦР в больницах и клиниках, чаще связаны не с техникой, а с организацией процесса.
Первая и самая распространенная: администратор КЦР назначен «по совместительству» без выделения рабочего времени на эти функции. В результате заявки на выпуск сертификатов копятся, врачи ждут подпись неделями, а при истечении сроков начинаются сбои в передаче данных в ЕГИСЗ. Если в учреждении более 50 медработников с УКЭП, администрирование КЦР требует выделенного времени (хотя и не обязательно отдельной штатной единицы).
Вторая ошибка связана с несвоевременным отзывом МЧД при кадровых изменениях. Врач уволился, но МЧД продолжает действовать. В худшем случае кто-то может использовать оставленный на рабочем месте токен с ЭП. Решение: включить отзыв МЧД в стандартный чек-лист увольнения наряду со сдачей пропуска и оборудования.
Третья проблема характерна для учреждений, работающих с несколькими МИС или региональными подсистемами ЕГИСЗ: сертификат, выпущенный через КЦР, может не поддерживаться конкретной информационной системой из-за технических ограничений (например, несовместимости форматов или требований к содержанию сертификата). Перед массовым выпуском сертификатов стоит провести пилотное тестирование на 2–3 рабочих местах.
Часто задаваемые вопросы (FAQ)
Нужна ли медучреждению лицензия ФСБ для работы с КЦР?
Нет. Генерация ключевой информации для собственных нужд организации не попадает под требования лицензирования ФСБ. Квалифицированный сертификат выпускает аккредитованный УЦ, а не медучреждение.
Какой максимальный срок действия сертификата ЭП врача?
Закон 63-ФЗ не устанавливает конкретного предела: сроки определяет УЦ (п. 2 ч. 1 ст. 13 закона). Стандартный срок составляет 12 месяцев, максимально на рынке встречаются сертификаты сроком до 15 месяцев, что ограничено сроком действия лицензии на СКЗИ.
Может ли врач-совместитель использовать один сертификат в нескольких клиниках?
Да. Сертификат УКЭП физлица привязан к конкретному человеку. Для работы в каждой организации врачу нужна отдельная МЧД с соответствующими полномочиями, а сам сертификат один и тот же.
Что делать, если врач потерял токен с ЭП?
Это считается компрометацией ключа. Согласно ст. 10 63-ФЗ, владелец должен в течение одного рабочего дня уведомить УЦ, после чего сертификат аннулируется. Администратор КЦР формирует заявку на выпуск нового сертификата и проводит повторную идентификацию.
Может ли медучреждение передать функции КЦР на аутсорсинг?
Функции идентификации могут выполняться сотрудником самого учреждения (через КЦР) или в офисе аккредитованного УЦ. «Аутсорсинг КЦР» как таковой правильнее называть отказом от КЦР в пользу стандартной схемы через офис УЦ. Если офис УЦ территориально недоступен, альтернатива КЦР в медучреждении отсутствует.
Выводы
КЦР для медицинского учреждения решает конкретную задачу: снять логистическую и временную нагрузку с врачей при получении и перевыпуске сертификатов электронной подписи. При штате от 15–20 медработников с УКЭП подключение КЦР экономически оправдано и организационно проще, чем ежегодные поездки персонала в офис УЦ.
Ключевые моменты при внедрении:
-
медучреждение не становится удостоверяющим центром, не нуждается в аккредитации Минцифры и лицензии ФСБ
-
сертификаты выпускаются как КЭП физлица, для работы от имени организации врач использует МЧД
-
перед массовым выпуском нужно протестировать совместимость сертификатов с используемой МИС и подсистемами ЕГИСЗ
-
отзыв МЧД при увольнении врача должен быть включен в стандартный кадровый процесс
-
администрирование КЦР требует выделенного времени, особенно при штате более 50 медработников
Переход медицины на электронный документооборот сделал УКЭП рабочим инструментом каждого врача. КЦР позволяет этот инструмент выдавать и обслуживать внутри учреждения, не отрывая медиков от пациентов.
Сергей Феоктистов
Сергей Феоктистов
Новость
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Сергей Феоктистов
Виталий Михейкин
Сергей Феоктистов
Астрал Отчет 5.0
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Астрал.Маркировка
Продукты 1С
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
1С-ЭТП
Подпись ФНС
КриптоАРМ
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 3.0
Доки
1С-ЭПД
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
Роуминг
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы
Астрал.Безопасность
152DOC