ГрамотаИБ ГрамотаИБ

Является ли сертификат сайта СКЗИ

Редакция ГрамотаИБ · Опубликовано 29.06.2026

Нужно ли вести поэкземплярный учёт TLS/SSL-сертификата сайта как средства криптозащиты? Разбираем, чем сертификат отличается от СКЗИ, почему обычный HTTPS-сертификат не требует учёта по Инструкции ФАПСИ №152, когда возникает режим СКЗИ (ГОСТ-криптография) и что именно подлежит учёту — сертификат, закрытый ключ или криптопровайдер.

После появления бесплатных российских TLS-сертификатов и разговоров про ГОСТ-шифрование у операторов возникает вопрос: не является ли сертификат сайта средством криптографической защиты информации (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.), которое нужно ставить на поэкземплярный учёт по правилам ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА.? Разберём, где здесь СКЗИ, а где нет.

Сертификат и СКЗИ — это разные вещи

TLS/SSL-сертификат сайта — это файл данных: открытый ключ и сведения о владельце домена, заверенные удостоверяющим центром. Сам по себе он ничего не шифрует — это, по сути, «паспорт» открытого ключа.

СКЗИ — это средство (программа или устройство), которое реализует криптографические алгоритмы и фактически выполняет шифрование, расшифрование и проверку подписи: криптопровайдер (например, CryptoPro CSP, ViPNet CSP), криптобиблиотека или аппаратный модуль. Шифрует канал именно СКЗИ, а сертификат лишь участвует в установлении защищённого соединения.

Поэтому в общем виде ответ такой: сертификат сайта сам по себе — не СКЗИ. Регулируется не файл сертификата, а средство криптозащиты и ключевая информация — прежде всего закрытый ключ.

Обычный TLS-сертификат сайта — не СКЗИ и учёта не требует

Если сайт работает по обычному HTTPS с распространёнными зарубежными алгоритмами (RSA, ECDSA), то шифрование канала — это транспортная защита, а не применение сертифицированного СКЗИ в регулируемом смысле. Поэкземплярный учёт по Инструкции ФАПСИ №152 для такого сертификата вести не нужно: требования к учёту и хранению касаются сертифицированных СКЗИ и ключевых документов, а не любого HTTPS-сертификата. Это не отменяет прочих требований к защите персональных данных — речь только о том, что обычный сертификат не порождает режим поэкземплярного учёта СКЗИ.

Когда возникает режим СКЗИ

Режим СКЗИ появляется, когда вы осознанно применяете сертифицированное российское средство криптозащиты — например, ГОСТ-шифрование канала (ГОСТ-TLS) через криптопровайдер CryptoPro или ViPNet — для защиты персональных данных либо иной защищаемой информации, когда этого требуют модель угроз и применимые требования (в частности, приказ ФСБ №378 при защите ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).).

В этом случае поэкземплярному учёту и правилам пользования подлежат само СКЗИ (криптопровайдер, его дистрибутив и документация) и ключевые документы — носители ключевой информации, включая закрытый ключ. Публичный сертификат как файл при этом по-прежнему не является самостоятельным объектом учёта: учитывают средство и ключевую информацию. Порядок учёта разобран в статье «Учёт и хранение СКЗИ»; общие правила обращения с криптосредствами задаёт ПКЗ-2005 (приказ ФСБ №66).

Российские бесплатные TLS-сертификаты: RSA и ГОСТ

Национальный удостоверяющий центр Минцифры бесплатно выдаёт российским владельцам сайтов TLS-сертификаты (типов DV и OV) с использованием алгоритмов RSA и ГОСТ (см. новость). Здесь важно различать:

  • Сертификат на RSA — обычный HTTPS, сертифицированное СКЗИ не задействуется, учёт не нужен.
  • Сертификат на ГОСТ — для работы канала по ГОСТ на сервере нужна поддержка ГОСТ-TLS (российское СКЗИ), а на стороне клиента — совместимое российское ПО (криптопровайдер, браузер или плагин); сертифицированный криптопровайдер и есть СКЗИ. Тогда возникают требования к учёту и хранению, но к СКЗИ и ключевым документам, а не к самому сертификату.

Сам факт получения российского сертификата не превращает сайт в «объект СКЗИ»: значение имеет, какой криптографический механизм вы реально применяете и для защиты чего.

А электронная подпись и токен?

С электронной подписью ситуация другая: усиленная квалифицированная подпись создаётся сертифицированным СКЗИ (тем же криптопровайдером), а закрытый ключ хранится на ключевом носителе — токене. Вот токен и СКЗИ подлежат поэкземплярному учёту, тогда как сертификат подписи — снова открытая часть. Подробнее — в статье «Как хранить токены электронной подписи».

Что это значит для оператора

  • Обычный TLS-сертификат сайта (RSA, в том числе бесплатный) — не СКЗИ, поэкземплярный учёт по №152 не нужен.
  • Если вы применяете ГОСТ-СКЗИ (криптопровайдер) для защиты ПДн — учёту подлежат СКЗИ и закрытый ключ, а не сертификат как файл; оформляются ответственный, журнал учёта, правила пользования и хранение ключей.
  • Нужен ли ГОСТ-канал именно вам — определяется уровнем защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., моделью угроз и требованиями (приказ ФСБ №378, приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21). Для многих коммерческих сайтов обязательного требования ГОСТ-шифрования канала нет.

Главное

TLS/SSL-сертификат сайта — это данные (открытый ключ и сведения о владельце), а не средство криптозащиты. Шифрует канал криптопровайдер — он и есть СКЗИ. Обычный HTTPS-сертификат, в том числе бесплатный российский на RSA, поэкземплярного учёта не требует. Режим СКЗИ — учёт средства и закрытого ключа по Инструкции ФАПСИ №152 и приказу ФСБ №378 — возникает только когда вы осознанно применяете сертифицированное ГОСТ-СКЗИ для защиты персональных данных или иной защищаемой информации. Объект учёта при этом — СКЗИ и ключевая информация, а не сам сертификат.

Частые вопросы

Является ли TLS-сертификат сайта средством криптозащиты (СКЗИ)?

Нет. Сертификат — это файл данных (открытый ключ и сведения о владельце домена), он ничего не шифрует сам по себе. Шифрует канал криптопровайдер, и именно он является средством криптозащиты (СКЗИ).

Нужно ли вести поэкземплярный учёт сертификата сайта?

Для обычного HTTPS-сертификата (на RSA, в том числе бесплатного) — нет. Поэкземплярный учёт по Инструкции ФАПСИ №152 касается сертифицированных СКЗИ и ключевых документов, а не любого HTTPS-сертификата.

Когда возникает режим СКЗИ?

Когда для защиты персональных данных вы осознанно применяете сертифицированное средство криптозащиты (например, ГОСТ-криптопровайдер). Тогда учёту подлежат само СКЗИ и ключевые документы (включая закрытый ключ), но не публичный сертификат как файл.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Читайте также

Все по теме «СКЗИ и криптография» →

Зарубежные токены и криптосредства: это СКЗИ? Приказы ФСБ №378 и ФАПСИ №152

Считается ли использование зарубежного токена или криптосредства использованием СКЗИ и попадает ли оно под приказ ФСБ №378 и Инструкцию ФАПСИ №152. Разбираем, почему регуляторный режим (поэкземплярный учёт и меры защиты) построен вокруг сертифицированных ФСБ России СКЗИ, почему несертифицированное зарубежное средство не закрывает требования по защите ПДн и когда оно прямо запрещено (Указ №250).

ПКЗ-2005 (приказ ФСБ России № 66): что это и что требует от оператора СКЗИ

Что такое ПКЗ-2005 — Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утверждённое приказом ФСБ России от 09.02.2005 № 66. Кого оно касается, что требует от организации, которая просто эксплуатирует СКЗИ (электронную подпись, VPN), и как связано с Инструкцией ФАПСИ № 152 и приказом ФСБ № 378.

Как хранить токены электронной подписи (Рутокен ЭЦП 3.0, JaCarta): правила ФСБ, учёт и формуляр

Где и как правильно хранить токены электронной подписи — Рутокен ЭЦП 3.0, JaCarta и подобные. Почему многие из них считаются СКЗИ, что такое правила пользования, согласованные с ФСБ (которой перешли криптографические функции упразднённого ФАПСИ), и формуляр; как вести поэкземплярный учёт по Инструкции ФАПСИ №152, в каком хранилище держать токен, кто отвечает за СКЗИ, почему нельзя передавать токен и PIN другому и какие документы нужно оформить. Практический разбор для организаций.

Учёт и хранение СКЗИ в организации: требования ФАПСИ №152 и ФСБ №378

Как организовать поэкземплярный учёт, хранение и режим работы со средствами криптографической защиты (СКЗИ), чтобы пройти проверку ФСБ: назначение ответственных, журнал поэкземплярного учёта по Инструкции ФАПСИ №152, хранение и помещения, дифференциация мер по уровню защищённости (приказ ФСБ №378), уничтожение и контроль.