Алексей Апкаликов, директор Удостоверяющего центра СберКорус, оператора электронного документооборота рассказал Cyber Media, как обезопасить себя и свой бизнес при работе с электронной подписью, как ее получить и пользоваться.
Cyber Media: Какие виды электронной подписи существуют? Чем они отличаются с точки зрения форматов носителей, стоимости, уровня значимости?
Алексей Апкаликов: Электронная подпись — это цифровые данные, которые позволяют определить лицо, подписавшее электронный документ. ЭП имеет такую же юридическую силу, как собственноручная подпись на бумажном документе.
Различают следующие виды ЭП: простая ЭП, усиленная квалифицированная ЭП и усиленная неквалифицированная ЭП.
Простая ЭП (ПЭП) формируется с использованием кодов и паролей. К примеру, СМС-код подтверждает факт формирования электронной подписи определенным лицом. Чаще всего используется для авторизации на интернет-сайтах и порталах, в мобильных приложениях. ПЭП не позволяет проверить и установить отсутствие изменений в подписанном электронном документе после его подписания.
Использование ПЭП равнозначно собственноручной подписи. Оно регулируется соглашением между участниками электронного взаимодействия, или в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, нормативными актами ЦБ РФ, за исключением тех, которые оформляются только на бумажном носителе или с использованием усиленной квалифицированной электронной подписи (УКЭП).
УКЭП — это аналог собственноручной подписи на бумажном носителе в силу Федерального закона № 63-ФЗ «Об электронной подписи» и используется в любых юридически значимых электронных действиях и сделках, за исключением случаев, когда документы должны быть подписаны только на бумаге.
Для формирования УКЭП необходимы сертифицированные ФСБ России средства ЭП. Такой вид ЭП применяется в следующих случаях:
Усиленная неквалифицированная электронная подпись (УНЭП) позволяет обнаружить факт внесения изменений в электронном документе после подписания. УНЭП, как и простая ЭП, имеет юридическую силу при заключении соглашения между участниками электронного взаимодействия. Чаще всего использование и применение УНЭП ограничено определенной системой или сервисами, и использование вовне невозможно.
Средняя стоимость базового квалифицированного сертификата ЭП начинается от 1000 рублей и может увеличиваться за счет дополнительных услуг: настройки рабочего места, выездной идентификации заказчика ЭП, лицензии для криптопровайдера.
Cyber Media: Где нужно получать сертификат ЭП, куда обращаться, чтобы подпись была валидной?
Алексей Апкаликов: Физическим лицам услуги по выдаче квалифицированных сертификатов ЭП оказывают коммерческие аккредитованные удостоверяющие центры — можно обратиться в любой ближайший. Список аккредитованных удостоверяющих центров доступен на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Руководители юрлиц получают сертификат электронной подписи в Удостоверяющем центре ФНС или у его доверенных лиц. В коммерческих УЦ можно приобрести токен и лицензию КриптоПро CSP – средство криптографической защиты информации. Они потребуются для получения и работы с сертификатом от УЦ ФНС. УЦ Федерального казначейства выдает сертификаты всем бюджетным организациям и их руководителям. Удостоверяющий центр ЦБ РФ выдает сертификаты руководителям кредитных и финансовых организаций.
Индивидуальный предприниматель для использования в правоотношениях предпринимательской деятельности выпускает квалифицированный сертификат ЭП физического лица, но в нем указаны не только его персональные данные, но и основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП), В электронном взаимодействии как ИП обязательно применение сертификата ИП, содержащего ОГРНИП. ИП также получают сертификат ЭП в УЦ ФНС или у его доверенных лиц на сайте ФНС, а токен и лицензию КриптоПро CSP ИП могут купить в коммерческих УЦ.
Cyber Media: Существуют ли различия в токенах, на которые записывается усиленная квалифицированная подпись? В чем эти различия?
Алексей Апкаликов: В практике используется два вида токенов: токены без СКЗИ (пассивные) и токены с СКЗИ (активные), которые чаще всего сертифицированы ФСБ России. Продажа последних токенов разрешена тем, у кого имеется лицензия спецслужбы на распространение шифровальных средств.
Активные токены могут работать как пассивные, но одновременно являются СКЗИ и для работы КЭП не требуется внешняя программа криптозащиты.
Пассивные токены не имеют встроенного СКЗИ, а для работоспособности КЭП придется установить дополнительную программу – средство криптографической защиты информации, чаще всего используется КриптоПро CSP, для которого необходимо приобретать дополнительную лицензию на право использования программного обеспечения.
Также возможен способ хранения ключей ЭП в мобильном приложении, созданном на базе сертифицированного средства электронной подписи. Использование такой ЭП доступно в рамках ограниченных сервисов или порталов, которых становится все больше.
Cyber Media: Когда для использования ЭП понадобится расширенная лицензия «КриптоПро CSP»? И сколько стоит приобретение такой лицензии?
Алексей Апкаликов: Приобретение лицензии требуется в случае, если сертификат ЭП записан на токен с пассивным хранением ключа, бессрочная лицензия в среднем стоит 2700 рублей, годовая лицензия — около 1350 рублей. Также есть лицензия, встраиваемая в состав сертификата в момент его создания, она стоит около 1000 рублей.
Cyber Media: Как обезопасить себя при использовании ЭП для заключения сделок?
Алексей Апкаликов: Для любого типа ЭП необходимо обеспечивать конфиденциальность ключа электронной подписи, с помощью которого создается ЭП к электронному документу, а также не передавать носитель ключа электронной подписи посторонним лицам, чтобы обеспечить сохранность данных и предотвратить ущерб и потерю активов.
Главные меры предосторожности и профилактики для защиты ключа ЭП включают такие действия:
В случае столкновения с угрозой компрометации ключа электронной подписи или же потере носителя ключа (токена) ЭП необходимо немедленно уведомить удостоверяющий центр, где был получен сертификат ЭП для прекращения действия соответствующего сертификата ЭП.
Если потеряли или повредили токен ключа ЭП, то нужно незамедлительно сообщить о случившемся в УЦ, где он был выпущен для его отзыва и получения нового после повторного прохождения идентификации. Восстановить ключ ЭП невозможно, потому что он хранится в единственном экземпляре у его владельца.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
