Все рубрики

Продукты по направлению

Электронная подпись для ФЛ, работы на госпорталах, участия в торгах и ЭДО

Рутокен Lite

Защищенный носитель закрытых ключей электронной подписи для электронного документооборота

JaCarta LT

Сертифицированный ФСТЭК USB-токен электронной подписи

JaCarta-2 SE

Сертифицированный ФСБ и ФСТЭК USB-токен для работы в ЕГАИС

Рутокен ЭЦП 3.0

Защищенный носитель для генерации и хранения ключей шифрования и электронной подписи

Криптография

Токен vs локальный КЭП: как вести учет и минимизировать риски

Сергей Феоктистов

18.09.2025

Электронная подпись — это инструмент, подтверждающий личность владельца и обеспечивающий юридическую силу документов. Однако небрежное хранение или учет ключей ЭП может привести к утечке данных, мошенничеству и финансовым потерям.

Закрытый ключ и сертификат ЭП содержат информацию, которая требует защиты в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», № 63-ФЗ «Об электронной подписи» и требованиями ФСБ России к криптографии.

В этой статье мы объясним, как безопасно работать с ЭП, кто является оператором персональных данных и какие шаги помогут защитить ваш бизнес.

Астрал Подпись — инструмент для работы на госпорталах, участия в торгах, ЭДО и сдачи отчётности

Выберите сертификат электронной подписи для ваших задач

Подробнее

Квалифицированная электронная подпись (КЭП) состоит из двух элементов:

Закрытый ключ — уникальная последовательность символов, доступная только владельцу. Компрометация ключа позволяет злоумышленникам действовать от вашего имени, как будто они завладели вашей рукописной подписью.

Сертификат ключа проверки — содержит данные владельца, такие как ФИО и СНИЛС, которые позволяют идентифицировать человека и проверить подпись.

Каждое использование КЭП для подписания документа фиксирует информацию о владельце: кто, когда и что подписал. Это считается обработкой персональных данных и требует соблюдения 152-ФЗ.

Электронная подпись

Электронная подпись в 2025 году: ответы на вопросы

Сергей Феоктистов

16.02.2025

146 836

Оператором персональных данных считается любое лицо или организация, которые собирают, хранят или обрабатывают персональные данные. Это могут быть компании, предприниматели, самозанятые или даже частные лица. Персональные данные могут относиться как к сотрудникам внутри организации, так и к клиентам, пациентам, ученикам и другим людям извне.

Безопасность и защита информации

Оператор обработки персональных данных: обязанности и функции в 2025 году

Дарья Алексеева

10.04.2025

7 475

Аккредитованный удостоверяющий центр также является оператором персональных данных, так как при оформлении сертификата КЭП он собирает и обрабатывает персональные данные своих клиентов. Каждый оператор обязан защищать эти данные и соблюдать законодательство.

Кто с кем взаимодействует

Владелец сертификата ЭП использует КЭП для подписания документов.
Аккредитованный удостоверяющий центр, например, Калуга Астрал, выпускает сертификат КЭП и хранит информацию о выданном сертификате.
Контрагенты и госорганы проверяют подписи через сертификаты подписи.

Какие данные хранятся

У владельца ЭП: закрытый ключ на токене или компьютере и сертификат.
В УЦ: информация о выпущенных сертификатах: ФИО, СНИЛС, сроки действия.

Зачем нужно соблюдать правила цифровой безопасности

Неправильное хранение ключей может привести к их краже, что позволит мошенникам подписывать документы от вашего имени, оформлять сделки или брать кредиты.

Работа с ЭП регулируется следующими нормами.

152-ФЗ «О персональных данных»:

Обработка данных владельца ЭП должна быть законной на основании договора или согласия. Например, УЦ заключают соглашение с клиентом.
Данные должны быть защищены от утечек и несанкционированного доступа.
Компании, работающие с ЭП, обязаны уведомить Роскомнадзор об обработке данных, если не подпадают под исключения.
Необходимы локальные акты: политика обработки данных, приказ о назначении ответственного, оценка вреда.

Бизнес

Реклама и персональные данные с 1 сентября: что изменилось

Дарья Алексеева

28.08.2025

9 830

63-ФЗ «Об электронной подписи»:

Устанавливает юридическую силу КЭП и ответственность владельца за конфиденциальность ключей.
Требует немедленного отзыва скомпрометированного ключа через УЦ.
Регулирует работу аккредитованных УЦ, выпускающих КЭП.

Требования ФСБ России:

Использование сертифицированных средств криптографической защиты информации, например, КриптоПро CSP и сертифицированных токенов, таких как Рутокен.
Соблюдение правил хранения и использования криптографических средств.

Криптография

Переход на КриптоПро CSP 5

Сергей Феоктистов

16.07.2024

15 699

Электронная подпись

Правила безопасности ЭЦП: защита от мошенничества

Сергей Феоктистов

30.03.2023

26 102

Для защиты ЭП и соответствия законодательству выполните следующие действия:

Инвентаризация ЭП:

Ведите реестр: кто владеет сертификатом ЭП, каким УЦ выдан, для чего используется, когда истекает срок действия.
Проверяйте сертификаты на Госуслугах: в разделе «Профиль» → «Электронная подпись» отображаются данные о КЭП (номер, сроки, УЦ).

Безопасное хранение ключей:

Храните закрытые ключи на сертифицированных токенах с уникальным пин-кодом, отличным от заводского.
Запретите хранение ключей на незащищенных устройствах, например, в файлах на компьютере.
Не оставляйте токен в компьютере без присмотра. Храните его в сейфе или носите с собой.

Регламентация процессов:

Разработайте документы: инструкцию по использованию ЭП, порядок выдачи, учета и возврата носителей, процедуру отзыва ключей при увольнении или компрометации.
Назначьте ответственного за учет ЭП и СКЗИ

Обучение сотрудников:

Проводите инструктажи о правилах работы с ЭП, рисках передачи ключей и фишинга.
Подчеркните: передача КЭП (даже коллегам) запрещена по 63-ФЗ, ответственность лежит на владельце.

Техническая защита:

Установите антивирус, межсетевой экран и регулярно обновляйте ПО на рабочих местах.
Блокируйте компьютер при уходе с рабочего места, если токен подключен.

Работа с УЦ:

Выбирайте аккредитованные УЦ, такие как Калуга Астрал, соответствующие 63-ФЗ.
При подозрении на компрометацию подайте заявление в УЦ на отзыв сертификата в течение 12 часов.

Отзыв МЧД при увольнении:

Если сотрудник использует КЭП физлица с машиночитаемой доверенностью, отзовите МЧД через ФНС при его увольнении, чтобы предотвратить несанкционированные действия.

Подробные инструкции и примеры вы получите на нашем вебинаре. Зарегистрируйтесь сейчас.

Кража ключей ЭП может привести к серьезным последствиям:

Недвижимость. Злоумышленники могут оформить сделку с имуществом, если не подано заявление в Росреестр о запрете сделок с ЭП (по 286-ФЗ).
Регистрация юрлиц. КЭП позволяет открыть компанию на ваше имя без вашего ведома.
Финансовые потери. Мошенники могут взять кредиты, вывести деньги или подписать подложные документы.
Госзакупки. Конкуренты могут использовать ЭП для ограничения доступа к торгам.

Как минимизировать риски?

Никому не передавайте ключи ЭП, даже коллегам.
Регулярно проверяйте сертификаты на Госуслугах и в личном кабинете ФНС (nalog.ru, раздел «Обращения»).
При утере токена или подозрении на кражу:
- Подайте заявление в УЦ на отзыв сертификата. Используйте бланк из регламента УЦ, подпишите его и отправьте лично или удаленно.
- Уведомите ФНС (форма Р38001), если есть риск регистрации юрлица.
- Обратитесь в полицию при материальном ущербе, предоставив документы от УЦ.
Храните токен в сейфе или носите с собой, не оставляйте в компьютере.

Электронная подпись

Что делать, если украли электронную подпись

Команда Астрал

15.12.2023

22 962

Токен: Обеспечивает высокий уровень защиты благодаря сертифицированным СКЗИ, но требует строгого учета и безопасного хранения.
Локальная КЭП: Хранится на компьютере, удобна, но уязвима для кражи при слабой защите устройства.

На вебинаре мы разберем плюсы и минусы каждого варианта, а также дадим рекомендации по настройке учета.

Электронная подпись — это цифровая идентичность, требующая строгого учета и защиты. Работодатель или УЦ как оператор персональных данных отвечает за безопасность данных владельца ЭП, а владелец — за сохранность ключей. Соблюдение 152-ФЗ, 63-ФЗ и требований ФСБ России позволяет избежать мошенничества и финансовых потерь.

Присоединяйтесь к нашему вебинару «Токен vs локальный КЭП: как вести учет и минимизировать риски» в сентябре 2025 года, чтобы освоить практические шаги по учету ЭП и СКЗИ. Зарегистрируйтесь сейчас и обеспечьте безопасность вашего бизнеса.

Сергей Феоктистов

18 сентября 2025

Читайте по теме

Криптография

Сколько ЭЦП можно записать на один токен

Сергей Феоктистов

11.11.2024

42 024

Криптография

Смарт-карта и токен: в чём отличие

Сергей Феоктистов

11.11.2024