Открыть сервис

Поставщик криптографических услуг

Поставщик криптографических услуг — это юридическое лицо или индивидуальный предприниматель, оказывающие услуги по созданию, распространению, установке, настройке, эксплуатации, хранению, восстановлению, а также управлению ключами и сертификатами электронной подписи, шифрованию данных и обеспечению защищённого документооборота с использованием криптографических методов. В Российской Федерации деятельность таких поставщиков регулируется Федеральным законом «Об электронной подписи» (№ 63-ФЗ), а также нормативными актами ФСБ России и Минцифры России.

Правовая основа и регулирование

В России оказание криптографических услуг является лицензируемым видом деятельности. Лицензию на разработку, производство, распространение шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищённых с использованием шифровальных средств, выдаёт ФСБ России. Поставщики криптографических услуг обязаны:

  • использовать только сертифицированные криптографические алгоритмы и средства, прошедшие проверку в уполномоченных органах;
  • обеспечивать сохранность ключевой информации и защиту от несанкционированного доступа;
  • вести учёт всех операций с ключами и сертификатами;
  • соблюдать требования к хранению и уничтожению криптографических материалов.

Основные нормативные документы: Федеральный закон № 63-ФЗ «Об электронной подписи», Приказ ФСБ России № 66 от 9 февраля 2005 года (об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных средств), а также ГОСТы серии 28147–89 и 34.10–2018.

Виды криптографических услуг

Услуги по созданию и управлению электронной подписью

Наиболее массовая категория. Поставщик (удостоверяющий центр) выпускает квалифицированные сертификаты ключей проверки электронной подписи, которые используются для подписания документов, договоров, отчётности в государственных информационных системах (ГИС). Удостоверяющие центры аккредитуются Минцифры России и проходят регулярные проверки. Примеры: аккредитованные удостоверяющие центры «Контур», «Сбербанк», «Такском».

Услуги шифрования данных

Включают обеспечение конфиденциальности информации при передаче по открытым каналам связи (VPN, шифрование дисков, почтовых сообщений). Поставщики предлагают решения на основе ГОСТ 28147–89 (симметричное шифрование) и ГОСТ Р 34.10–2012/2018 (асимметричное шифрование). Применяются в корпоративных сетях, государственных системах, банковской сфере.

Услуги по обеспечению защищённого электронного документооборота

Поставщики интегрируют криптографические модули в системы электронного документооборота (СЭД), обеспечивая юридическую значимость документов, подписанных электронной подписью. Включают настройку, сопровождение, аудит безопасности.

Услуги по хранению и восстановлению ключей

Создание и обслуживание ключевых хранилищ, резервное копирование ключевой информации, восстановление доступа при утере или компрометации ключей. Требуют строгого соблюдения процедур безопасности.

Услуги по аудиту и консалтингу

Оценка соответствия криптографической защиты требованиям законодательства, разработка политик безопасности, тестирование на проникновение, анализ уязвимостей криптографических систем.

Технические аспекты

Криптографические алгоритмы

В России обязательны к применению сертифицированные алгоритмы: ГОСТ 28147–89 (симметричное шифрование с длиной ключа 256 бит), ГОСТ Р 34.10–2012/2018 (электронная подпись на основе эллиптических кривых), ГОСТ Р 34.11–2012 (хеширование, стойкость 256 и 512 бит). Поставщики используют программные и аппаратные криптографические модули, прошедшие сертификацию ФСБ России.

Инфраструктура открытых ключей (PKI)

Поставщики развёртывают и обслуживают PKI, включающую корневые и подчинённые удостоверяющие центры, серверы регистрации, репозитории сертификатов и списки отзыва. PKI обеспечивает проверку подлинности ключей и целостность цепочки сертификации.

Аппаратные средства

Для защиты ключевой информации применяются аппаратные модули безопасности (HSM, Hardware Security Module) — специализированные устройства, устойчивые к физическому взлому и несанкционированному доступу. Примеры: «КриптоПро HSM», «Актив-Софт».

Примеры поставщиков криптографических услуг в России

  • «КриптоПро» — разработчик криптографического ядра, сертифицированных средств электронной подписи и шифрования, один из лидеров рынка.
  • «Актив-Софт» — производитель аппаратных токенов (JaCarta, Рутокен) и программных средств криптографической защиты.
  • «ИнфоТеКС» — разработчик VPN-решений (ViPNet) и средств криптографической защиты сетевого трафика.
  • «Сбербанк» (удостоверяющий центр)аккредитованный удостоверяющий центр, выпускающий квалифицированные сертификаты для физических и юридических лиц.
  • «Контур» — удостоверяющий центр, предоставляющий услуги по выпуску сертификатов электронной подписи для сдачи отчётности и работы с государственными порталами.

Критика и проблемы

Основные претензии к поставщикам криптографических услуг связаны с:

  • Высокой стоимостью — сертифицированные решения и лицензирование обходятся дорого, что ограничивает доступ малого бизнеса.
  • Сложностью интеграции — необходимость адаптации к требованиям ФСБ России и Минцифры России, частые изменения нормативной базы.
  • Рисками компрометации — утечки ключей и сертификатов, атаки на удостоверяющие центры (например, инцидент с удостоверяющим центром «Ростелеком» в 2020 году).
  • Ограничениями на использование зарубежных криптоалгоритмов — в России запрещено применение несертифицированных криптографических средств в государственных и корпоративных системах, что снижает совместимость с международными стандартами.

Интересные факты

  • Первый в России удостоверяющий центр был создан в 2002 году на базе ФСБ России.
  • Количество аккредитованных удостоверяющих центров в России сократилось с более чем 500 в 2010-х годах до примерно 200 в 2025 году из-за ужесточения требований.
  • В 2023 году вступили в силу поправки к закону «Об электронной подписи», которые ввели обязательную двухфакторную аутентификацию для выпуска сертификатов.

Источники

  • Федеральный закон № 63-ФЗ «Об электронной подписи» (с изменениями на 2025 год).
  • Приказ ФСБ России № 66 от 9 февраля 2005 года «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств».
  • ГОСТ Р 34.10–2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • ГОСТ Р 34.11–2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  • Материалы сайта Минцифры России (digital.gov.ru) — раздел «Аккредитованные удостоверяющие центры».
  • Публикации компании «КриптоПро» (cryptopro.ru) — описание продуктов и услуг.
  • Отчёты и аналитика Ассоциации электронных торговых площадок (АЭТП) по рынку электронной подписи.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →