Инфраструктура открытых ключей (PKI) в России: Руководство по выбору и внедрению отечественных решений. Основы PKI в условиях суверенной цифровой экономики России.
Инфраструктура открытых ключей (Public Key Infrastructure, PKI) представляет собой комплекс организационных, процедурных и технологических мер, обеспечивающих создание, управление, распределение, использование, хранение и аннулирование цифровых сертификатов и пар ключей криптографической защиты информации. В своей основе PKI является критически важным элементом современной информационной безопасности, позволяющим решать три фундаментальные задачи: аутентификацию (подтверждение личности отправителя или получателя), конфиденциальность (шифрование данных) и целостность (защита от несанкционированного изменения информации). Для любой организации, работающей в глобальной сети, PKI является неотъемлемой частью безопасного взаимодействия, будь то шифрование электронной почты, защита веб-серверов через TLS/SSL-сертификаты или формирование электронной подписи для юридически значимых документов.
В Российской Федерации рыночный ландшафт PKI претерпел кардинальную трансформацию, обусловленную ужесточением государственного регулирования и последствиями международных санкций. Сегодня выбор PKI-решения для российского бизнеса — это не просто технический вопрос, а стратегическое решение, определяющее доступ к государственным заказам, совместимость с критической инфраструктурой и возможность дальнейшего развития в условиях суверенной цифровой экономики.
Центральным элементом этой трансформации стало доминирование государственно-регуляторного фактора. Информационная безопасность в России, особенно в секторах, связанных с критической информационной инфраструктурой (КИИ), государственными органами и финансовыми рынками, находится под жестким контролем регуляторов, таких как Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России). Любое средство защиты информации (СЗИ), которое используется при обработке персональных данных, защищенных государством сведений или при работе в рамках КИИ, обязано быть включено в Государственный реестр сертифицированных средств защиты информации, который ведется ФСТЭК. Это требование носит обязательный характер и установлено законодательно, например, в Постановлении Правительства РФ №676 от 06.07.2015, которое обязывает проходить аттестацию по требованиям ИБ перед вводом в эксплуатацию государственных информационных систем. Таким образом, наличие сертификата соответствия от ФСТЭК становится «входным билетом» на рынок для любого поставщика ПО и аппаратного обеспечения, предназначенного для использования в госсекторе, финтехе и других чувствительных отраслях.
Важно отметить четкое разделение ответственности между регуляторами. ФСТЭК России отвечает за сертификацию СЗИ для использования в государственных информационных системах (ГИС), системах оперативно-розыскной деятельности (СОРМ) и отраслевых системах, включая КИИ. Сертификаты ФСТЭК являются обязательными для участия в государственных закупках по 44-ФЗ и 223-ФЗ. С другой стороны, ФСБ России сертифицирует средства криптографической защиты информации (СКЗИ) и средства электронной подписи (ЭП) для защиты информации, которая не содержит государственную тайну, но требует повышенной степени безопасности. Сертификаты ФСБ также играют критическую роль, особенно в финансовой сфере и при разработке программного обеспечения для государственных органов. Этот дуализм означает, что для полного покрытия потребностей бизнеса необходимо выбирать продукты, которые имеют действующие сертификаты и ФСТЭК, и ФСБ.
Нормативные акты этих регуляторов выступают в качестве главного драйвера спроса на конкретные PKI-технологии. Банк России, являясь одним из ключевых регуляторов, активно формирует рынок через директивы и инструкции. Например, Директива №851-M, вступившая в силу 29 марта 2025 года, обязывает банки использовать усиленную квалифицированную электронную подпись (УКЭП) и TLS-сертификаты на основе ГОСТ для межбанковского сообщения, а также интегрироваться со Системой межведомственного электронного взаимодействия (СМЭВ). Аналогично, Центральный Банк запускает цифровой рубль, где использование его собственного удостоверяющего центра (УЦ) и сертификатов становится обязательным для банков.
Эти действия напрямую стимулируют спрос на отечественные решения, такие как ViPNet, которые явно указаны в качестве одобренных для выполнения этих требований. Министерство здравоохранения РФ мандатирует переход на электронные медицинские карты (ЭМК) и электронные рецепты (ЭР), требуя обязательного использования УКЭП на базе ГОСТ и интеграции с Единой государственной информационной системой здравоохранения (ЕГИСЗ). Это создает огромный спрос на PKI-решения в здравоохранении, особенно на аппаратные носители ЭП. Федеральная налоговая служба (ФНС) также влияет на рынок, требуя от налогоплательщиков использование новых ГОСТ-алгоритмов для электронной отчетности, что делает актуальным переход на криптопровайдер КриптоПро версии 5.0, так как более старые версии, например 4.0, теряют свою юридическую силу.
Последствия международных санкций сыграли решающую роль в формировании текущего состояния российского PKI-рынка. Компании, такие как DigiCert, Sectigo и Entrust, прекратили все коммерческие операции в России и Беларуси. DigiCert заблокировал выпуск всех типов сертификатов, связанных с Россией и Беларусью, начиная с ноября 2025 года, а Sectigo прекратил прием новых заказов еще в марте 2022 года. Entrust официально завершила все бизнес-активности в регионе в ноябре 2024 года, отказавшись от предоставления любых услуг, включая техническую поддержку, замену запчастей и web-сервисы.
Эти шаги были продиктованы как международными санкциями, так и собственной политикой компаний, направленной на прекращение сотрудничества с российским рынком. В результате этого фактически произошла полная блокировка доступа к зарубежным PKI-решениям для российских клиентов, работающих с чувствительной информацией.
Даже если бы эти компании продолжали работать, их продукты не могли бы соответствовать ключевым российским требованиям. Они не поддерживают российские криптографические стандарты ГОСТ, не имеют сертификатов ФСТЭК/ФСБ и не интегрированы с государственными платформами, такими как Единая система идентификации и аутентификации (ЕСИА) и СМЭВ. Все их продукты ориентированы на западные рынки и стандарты NIST. Таким образом, для российских компаний, стремящихся к стабильности, соответствию законодательству и долгосрочной поддержке, импортозамещение в области PKI стало не просто желательным, а абсолютно необходимым. Выбор между отечественными экосистемами, такими как КриптоПро и ViPNet, является выбором между двумя зрелыми, сертифицированными и поддерживающими друг друга решениями, способными обеспечить бесперебойную работу в условиях нового регуляторного и геополитического окружения.
На фоне исключения зарубежных игроков с российского рынка PKI, два отечественных производителя — АО «КриптоПро» и АО «ИнфоТеКС» — заняли доминирующие позиции, предлагая комплексные экосистемы, а не отдельные продукты. Эти экосистемы представляют собой единые наборы программного и аппаратного обеспечения, интегрированных для решения широкого круга задач по криптографической защите информации. Для ИТ-специалиста и руководителя компании понимание ключевых различий между этими двумя подходами имеет решающее значение при планировании внедрения или модернизации PKI-инфраструктуры. Выбор сводится не столько к сравнению отдельных компонентов, сколько к оценке зрелости, масштаба, специализации и готовности к решению конкретных отраслевых задач.
Экосистема КриптоПро, представленная программно-аппаратным комплексом (ПАК) «Удостоверяющий центр «КриптоПро УЦ» версии 2.0, является одной из самых крупных и широко распространенных PKI-платформ в России. Она предлагает широкий спектр продуктов, включающих криптопровайдер (CSP), программно-аппаратный комплекс УЦ, аппаратные криптографические модули (HSM), а также дополнительные компоненты для работы с Java, IPsec и другими технологиями. Одним из главных преимуществ КриптоПро является его долгая история и высокий уровень доверия, подкрепленный многолетним опытом эксплуатации. Первый сертифицированный УЦ в РФ был выпущен еще в 2003 году, что говорит о его раннем выходе на рынок и глубокой адаптации под меняющееся законодательство. Широкая сертификация является еще одним ключевым преимуществом: продукты КриптоПро имеют множество действующих сертификатов соответствия ФСБ России для различных исполнений и классов защиты (КС1, КС2, КС3), что гарантирует их легитимность для использования в самых разных секторах экономики, от госзакупок до налоговой отчетности. Кроме того, КриптоПро демонстрирует глубокую интеграцию с отечественными операционными системами, такими как Альт СП и Аврора, что является критически важным для создания полностью локализованной IT-инфраструктуры. Программно-аппаратный комплекс «КриптоПро УЦ» 2.0 поддерживает до 10 000 пользователей и включает все необходимые компоненты для автоматизации деятельности УЦ, такие как Центр сертификации, Центр регистрации и службы публикации сертификатов. Наиболее показательным свидетельством лидерства КриптоПро на рынке является его доля среди удостоверяющих центров. За первое полугодие 2025 года Федеральная налоговая служба (ФНС) России выдала 2,77 миллиона квалифицированных сертификатов электронной подписи, что составило около 33% от всего рынка, что свидетельствует о его доминирующих позициях. Однако у экосистемы есть и ограничения. Некоторые источники указывают на то, что версия CSP 4.0 может устаревать с точки зрения алгоритмов, что требует принятия решения о переходе на версию 5.0 для обеспечения юридической силы электронных подписей и соответствия новым требованиям регуляторов.
Экосистема ViPNet, разработанная АО «ИнфоТеКС», предлагает более сфокусированный и гибкий подход, позиционируя себя как поставщик готовых решений для конкретных, часто сложных, задач. Ее продукт ViPNet PKI представляет собой комплексное решение, включающее сервер подписи (ViPNet PKI Service), клиентское программное обеспечение (ViPNet PKI Client), программно-аппаратные модули (ViPNet HSM), специализированные шлюзы (ViPNet TLS Gateway, ViPNet EDI Soap Gate) и полнофункциональные УЦ. Главное преимущество ViPNet заключается в его специализации и готовности к решению проблем, стоящих перед ключевыми отраслями. Например, в контексте межбанковского взаимодействия и платежных систем, Bank of Russia Directive No. 851-M (эфф. с 29.03.2025) прямо указывает ViPNet OSSL Server, ViPNet PKI Service, ViPNet TLS Gateway и другие компоненты ViPNet PKI как одобренные решения для выполнения этих требований. Это делает ViPNet практически безальтернативным выбором для банков, стремящихся быстро соответствовать новым нормативам. Поддержка современных API, в частности REST API в ViPNet PKI Service, значительно упрощает автоматизацию и интеграцию с другими корпоративными системами, что является важным преимуществом в современных DevOps-процессах. ViPNet также демонстрирует гибкость лицензирования, предлагая потенциальным клиентам бесплатные демо-версии для тестирования совместимости и time-unlimited release версии с no-cost usage лицензиями, что снижает порог входа и позволяет провести детальное тестирование перед принятием окончательного решения. Все ключевые компоненты ViPNet также имеют действующие сертификаты ФСТЭК и ФСБ, что подтверждает их соответствие всем требованиям российского рынка. Хотя информация о доле рынка ViPNet менее детализирована по сравнению с КриптоПро, успешное внедрение его VPN-решения ViPNet Prime для обслуживания 20 000–50 000 мобильных клиентов и использование его компонентов в 7 банках для SBP-сервисов говорят о серьезных позициях компании на рынке.
| Характеристика | Экосистема КриптоПро | Экосистема ViPNet |
| Ключевые продукты | КриптоПро CSP, КриптоПро УЦ 2.0, КриптоПро HSM, Ngate, JavaCSP и др. | ViPNet PKI Service, ViPNet PKI Client, ViPNet HSM, ViPNet TLS Gateway, ViPNet CA Web Service, ViPNet УЦ |
| Основное позиционирование | Комплексная, зрелая экосистема с широкой историей и доверием; универсальное решение для многих отраслей | Специализированные решения для конкретных задач, особенно в финтехе (SBP, ЦБР); гибкость и готовность к интеграции |
| Поддержка API | Поддерживает стандартные интерфейсы CNG, CAPILite, PKCS#11 | Поддерживает REST API, что упрощает автоматизацию и интеграцию |
| Лицензирование | Традиционные лицензии на количество пользователей (до 10 000) | Предлагает демо-версии, time-unlimited версии с no-cost лицензиями, бета-версии |
| Сертификация | Многочисленные сертификаты ФСБ России для CSP, УЦ, HSM и других компонентов | Все ключевые компоненты имеют сертификаты ФСТЭК и ФСБ |
| Примеры внедрения | Лидер рынка квалифицированных сертификатов (33% рынка ФНС за 1П 2025); внедрение в госсекторе, МСБ | 7 банков для SBP-сервисов; VPN-решение для 20–50 тыс. мобильных клиентов |
Выбор между этими двумя экосистемами зависит от специфики задачи и стратегических целей компании. Если компания нуждается в надежном, проверенном временем и универсальном решении, имеющем широкое применение по всей стране, особенно в бюджетных и малых предприятиях, КриптоПро является очевидным выбором. Его широкая поддержка российских ОС и длительная история делают его надежным фундаментом для построения PKI-инфраструктуры. С другой стороны, если задача стоит в быстрой и эффективной реализации сложных проектов, связанных с финансовыми инструментами, межведомственным взаимодействием или обеспечением безопасности цифровых валют, ViPNet предлагает более сфокусированные и готовые к использованию решения, которые уже протестированы и одобрены ключевыми регуляторами. В конечном счете, обе экосистемы предоставляют необходимый функционал и соответствуют всем регуляторным требованиям, поэтому выбор сводится к оценке конкретных потребностей, бюджета и долгосрочных планов развития IT-ландшафта компании.
Построение эффективной и защищенной инфраструктуры открытых ключей невозможно без использования специализированного программного и аппаратного обеспечения. Российский рынок предлагает широкий спектр отечественных решений, которые можно условно разделить на несколько категорий: криптографические провайдеры (CSP), удостоверяющие центры (УЦ), аппаратные криптографические модули (HSM), клиентские приложения и специализированные устройства для аутентификации и шифрования. Каждый из этих компонентов выполняет свою уникальную роль и должен соответствовать строгим требованиям сертификации ФСТЭК и ФСБ для использования в защищенных информационных системах.
Криптографические провайдеры (CSP) являются ядром любой PKI-системы. Это программные библиотеки, которые предоставляют операционной системе и приложениям унифицированный интерфейс для выполнения криптографических операций, таких как генерация ключей, вычисление электронной подписи, шифрование и дешифрование. В России доминируют два основных CSP: КриптоПро CSP и ViPNet CSP. КриптоПро CSP — это давно известный и широко распространенный продукт, который сертифицирован ФСБ России и поддерживает все основные российские криптографические стандарты ГОСТ, включая ГОСТ Р 34.10-2001/2012 для ЭП и ГОСТ Р 34.11-94/2012 для хэширования. Он поддерживает различные классы защищенности (КС1, КС2, КС3) и работает с большинством популярных операционных систем, включая Windows, Linux, Astra Linux и даже Android и iOS. ViPNet CSP также является сертифицированным ФСБ средством криптографической защиты информации и поддерживает те же стандарты ГОСТ. Важным отличием является то, что для некоторых операций, например, создания контейнеров ключей, требуется именно ViPNet CSP, что делает его несовместимым с КриптоПро CSP в этом аспекте. Выбор между ними часто зависит от выбранной основной экосистемы (КриптоПро или ViPNet).
Удостоверяющие центры (УЦ) — это централизованные системы, которые выпускают и управляют цифровыми сертификатами. Они являются доверенным третьим лицом в PKI-схеме. В России наиболее известными решениями являются ПАК «Удостоверяющий центр «КриптоПро УЦ» версии 2.0 и ViPNet Удостоверяющий центр 4. КриптоПро УЦ 2.0 — это программно-аппаратный комплекс, который позволяет автоматизировать всю деятельность УЦ в соответствии с требованиями ФЗ-63 «Об электронной подписи». Он состоит из нескольких компонентов: Центра сертификации (ЦС), Центра регистрации (ЦР) и служб публикации сертификатов и списков недействительных сертификатов (CRL). УЦ поддерживает выдачу квалифицированных сертификатов, аннулирование и приостановку, а также установление доверительных отношений со сторонними УЦ. ViPNet Удостоверяющий центр 4 также является комплексным решением, включающим административный интерфейс, центр регистрации, сервисы публикации и OCSP/TSP. Оба продукта сертифицированы ФСБ России и предназначены для работы в защищенных ИТ-инфраструктурах.
Аппаратные криптографические модули (HSM) — это специализированное физическое оборудование, предназначенное для безопасного хранения криптографических ключей и выполнения криптографических операций с их использованием. Использование HSM является обязательным для защиты ключей от несанкционированного доступа и обеспечения высокого уровня безопасности. В России лидером в этой области является АСКОН с продуктом Rutoken EDS 3.0 и компанией ИнфоТеКС с ViPNet HSM. Rutoken EDS 3.0 — это семейство USB-токенов и смарт-карт, которые сертифицированы ФСТЭК России на высокий уровень доверия (Level 4) и поддерживают ГОСТ-алгоритмы, а также RSA. Все криптографические операции внутри токена происходят в защищенной среде, а приватные ключи никогда не покидают его границы, что обеспечивает максимальную безопасность. ViPNet HSM — это программно-аппаратный модуль класса КВ, сертифицированный ФСТЭК России, который также поддерживает все основные ГОСТ-алгоритмы, включая «Кузнечик» и «Магма». Он имеет физическую защиту от вскрытия, схему разделения секрета и кворумное управление, что делает его подходящим для защиты ключей в государственных системах. Интересно, что ViPNet HSM также выпускает виртуальную версию (VA), которая может быть развернута в средах виртуализации VirtualBox/VMware/KVM для тестирования, что снижает порог входа для разработчиков и системных интеграторов.
Клиентское программное обеспечение позволяет пользователям работать с PKI-инфраструктурой. Ключевым продуктом здесь является ViPNet PKI Client — универсальный комплекс от ИнфоТеКС, который поддерживает заверение документов ЭП, шифрование файлов, аутентификацию для веб-сервисов и построение защищенных TLS-соединений по ГОСТ. Он включает ряд компонентов, таких как File Unit, Web Unit, TLS Unit и Cloud Unit, и работает на всех распространенных платформах, включая Windows, Linux, Android и iOS. Клиентская часть КриптоПро, включающая КриптоАРМ ГОСТ, также предоставляет схожий набор функций для управления сертификатами, создания и проверки ЭП и шифрования. Оба клиента сертифицированы ФСБ России и требуют наличия соответствующего криптопровайдера для работы.
Наконец, существует специализированное оборудование для двухфакторной аутентификации и хранения ключей. Яркими примерами являются JaCarta WebPass и JaCarta Authentication Server (JAS). JaCarta WebPass — это USB-токен, который поддерживает одноразовые пароли (TOTP/HOTP) и может хранить криптоконтейнеры для программных СКЗИ, таких как КриптоПро CSP. JAS — это автономный сервер аутентификации, который интегрируется с различными шлюзами удаленного доступа и корпоративными системами, обеспечивая безопасный доступ к ресурсам. Эти устройства также имеют сертификаты ФСТЭК России и широко применяются в госсекторе и финтехе для соответствия требованиям по управлению доступом.
| Категория | Продукт | Разработчик | Ключевые особенности и сертификация |
| Криптопровайдер (CSP) | КриптоПро CSP | КриптоПро | Сертифицирован ФСБ РФ, поддерживает ГОСТ Р 34.10/34.11, классы КС1–КС3, работает на Windows/Linux/Astra Linux. |
| ViPNet CSP | ИнфоТеКС | Сертифицирован ФСБ РФ, поддерживает ГОСТ Р 34.10/34.11, классы КС1–КС3. Необходим для работы с ViPNet PKI Client. | |
| Удостоверяющий центр (УЦ) | ПАК «КриптоПро УЦ» 2.0 | КриптоПро | Программно-аппаратный комплекс, сертифицирован ФСБ РФ, поддерживает до 10 000 пользователей, исполнения КС2/КС3. |
| ViPNet Удостоверяющий центр 4 | ИнфоТеКС | Программно-аппаратный комплекс, сертифицирован ФСБ РФ, поддерживает выдачу квалифицированных сертификатов, исполнения КС2/КС3. | |
| Аппаратный модуль (HSM) | ViPNet HSM | ИнфоТеКС | Программно-аппаратный модуль, сертифицирован ФСТЭК РФ, класс КВ, поддерживает ГОСТ 28147-89, Кузнечик, Магма. Есть виртуальная версия (VA). |
| Rutoken EDS 3.0 | АСКОН | USB-токен/смарт-карта, сертифицирован ФСТЭК РФ (Level 4), поддерживает ГОСТ и RSA, физическая защита ключей. | |
| Клиентское ПО | ViPNet PKI Client | ИнфоТеКС | Универсальный клиент, сертифицирован ФСБ РФ, поддерживает ЭП, шифрование, TLS ГОСТ, работает на Windows, Linux, Android, iOS. |
| КриптоАРМ ГОСТ | КриптоПро | Мультиплатформенное решение для управления сертификатами, создания и проверки ЭП, шифрования. | |
| Устройства аутентификации | JaCarta WebPass / JAS | JaCarta | USB-токен с TOTP/HOTP и сервер аутентификации, сертифицированы ФСТЭК РФ, используются в госсекторе и финтехе. |
Таким образом, российский рынок предлагает всеобъемлющий спектр отечественных продуктов для построения PKI-инфраструктуры. Выбор конкретных компонентов должен основываться на требованиях к уровню защиты, совместимости с существующей операционной системой и специфике используемых приложений, а также на наличии действующих сертификатов соответствия ФСТЭК и ФСБ.
В условиях растущих требований к информационной безопасности и регулированию со стороны ФСТЭК и ФСБ, аппаратные носители ключей перестали быть опциональным элементом PKI и стали обязательным компонентом для защиты критических операций — от создания электронной подписи до аутентификации в корпоративных сетях. Российский рынок предлагает широкий спектр отечественных решений, которые обеспечивают не только безопасное хранение закрытых ключей, но и поддержку многофакторной аутентификации, интеграцию с системами контроля и управления доступом (СКУД), а также совместимость с ключевыми PKI-платформами.
Наиболее распространёнными аппаратными носителями в России являются токены в форм-факторе USB и контактные/бесконтактные смарт-карты. Среди лидеров рынка выделяются несколько ключевых производителей:
Современные аппаратные носители в РФ предлагают гораздо больше, чем просто хранение закрытых ключей:
Удобство массового развёртывания — ключевой фактор при выборе аппаратных носителей для крупных организаций. Все ведущие российские производители предоставляют центральные системы управления:
Аппаратные носители всё чаще становятся универсальным ключом не только к IT-ресурсам, но и к физическим зонам:
С прекращением работы таких международных вендоров, как Yubico (YubiKey) и Feitian, на российском рынке (из-за санкций и отказа от локального присутствия), отечественные токены заняли вакуум. При этом они не просто заменяют западные аналоги, но и превосходят их в контексте локальных требований:
В отличие от YubiKey, который поддерживает в основном FIDO2/WebAuthn и PIV, но не имеет сертификатов ФСТЭК и не поддерживает ГОСТ, российские токены созданы именно для работы в регулируемой среде РФ.
Рынок PKI в России развивается не только благодаря наличию отечественных технологий, но и под влиянием мощных внешних драйверов — директивных указов ключевых государственных регуляторов. В секторах госуправления и финансов PKI перестала быть просто технологией безопасности и стала фундаментальным элементом, обеспечивающим функционирование цифровых государственных услуг и финансовых систем. Выбор и внедрение PKI-решений в этих отраслях определяются не столько коммерческой выгодой, сколько необходимостью соответствия строгим нормативным требованиям, что формирует уникальный рыночный спрос.
Государственный сектор является одним из главных заказчиков PKI-решений. Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает жесткие правила для работы с КИИ, обязывая госорганы и значимые организации использовать только сертифицированные средства защиты информации (СЗИ) с сертификатами ФСТЭК или ФСБ. Это означает, что любая организация, получающая доступ к госсистемам, должна гарантировать, что ее PKI-инфраструктура соответствует этим требованиям. Операционная среда также сильно влияет на выбор технологий. Использование российских операционных систем, таких как Astra Linux Special Edition (ALE) и ALD Pro, становится стандартом де-факто в госсекторе и критической инфраструктуре. Astra Linux SE 1.8 сертифицирована для защиты информации, содержащей сведения, составляющие государственную тайну, и используется в министерствах, госкорпорациях и региональных правительствах. ALD Pro от «Группы Астра» — это российская служба каталогов корпоративного уровня на базе FreeIPA, которая поддерживает поэтапную миграцию с Microsoft Active Directory и имеет более 40 интеграций с PKI. Успешное внедрение PKI-решений в этих средах, например, опыт с ViPNet, который активно используется в production с 20 000–50 000 мобильными клиентами на Astra Linux, является важным конкурентным преимуществом. Кроме того, федеральные информационные системы, такие как Единая система идентификации и аутентификации (ЕСИА) и Система межведомственного электронного взаимодействия (СМЭВ), требуют обязательной интеграции с PKI-инфраструктурой для обеспечения безопасного взаимодействия между государственными ведомствами. Решения, такие как TrustGate от «Инфотекс Интернет Траст», специально разработаны для подключения к ЕСИА Госуслуг и уже внедрены, например, в национальном мессенджере МАХ, что демонстрирует практическую реализацию этих требований.
Финансовый сектор является вторым мощнейшим драйвером спроса на PKI-технологии. Центральный Банк России выступает в роли главного регулятора и активно формирует рынок через свои директивы. Директива №851-M, вступившая в силу 29 марта 2025 года, является поворотным моментом, поскольку она обязывает все банки использовать усиленную квалифицированную электронную подпись (УКЭП) и TLS-сертификаты на основе ГОСТ для межбанковского сообщения, а также интегрироваться со СМЭВ и EDI-системами. Это создает огромный спрос на PKI-решения, способные обеспечить безопасную и юридически значимую передачу данных между банками. В этом контексте Bank of Russia явно указывает в своих документах ViPNet OSSL Server, ViPNet PKI Service, ViPNet TLS Gateway и другие компоненты ViPNet PKI как одобренные решения для выполнения этих требований, что делает эту экосистему практически безальтернативным выбором для многих финансовых институтов. Более того, запуск Центральным Банком цифрового рубля создает новые вызовы и потребности. По данным на август 2023 года, для проведения транзакций с цифровым рублем банки должны использовать электронные подписи, сертификаты которых выданы исключительно ЦБР, и следовать минимальным требованиям к классу криптографической защиты информации. Это еще больше усиливает зависимость банков от сертифицированных и одобренных регулятором PKI-решений. ЦБР также оперирует собственным удостоверяющим центром, который выдает квалифицированные сертификаты электронной подписи всем участникам финансового рынка с 1 января 2022 года, что делает этот УЦ ключевой точкой контроля в финансовой PKI-экосистеме.
Внедрение PKI в этих отраслях сопряжено с рядом вызовов. Во-первых, это сложность миграции. Переход с устаревших версий криптопровайдеров, например, с КриптоПро CSP 4.0 на версию 5.0, является необходимым шагом, так как первая теряет юридическую силу с точки зрения ФНС. Этот процесс требует тщательного планирования и может быть трудоемким. Особенно сложной является миграция с Microsoft Active Directory Certificate Services (AD CS) на отечественные службы каталогов, такие как ALD Pro или Avanpost DS, которые должны иметь встроенный CA-функционал, чтобы обеспечить полную замену. Во-вторых, возникают проблемы совместимости. Успешное внедрение PKI-решения невозможно без тщательной проверки его совместимости с используемой операционной системой и другими компонентами IT-ландшафта. Например, опыт работы с ViPNet на Astra Linux подчеркивает необходимость знаний в администрировании этой ОС для эффективного управления PKI-инфраструктурой. В-третьих, несмотря на наличие законодательных требований и технологических решений, практическая реализация может сталкиваться с трудностями. Например, хотя Минздрав РФ объявил обязательный переход на электронные медицинские карты с 2024 года, исследования показывают, что лишь малая часть врачей и фармацевтов имеет практический опыт работы с электронными рецептами, а основными барьерами являются региональные различия в развитии цифровой инфраструктуры и проблемы с надежностью интернет-соединений. Это демонстрирует, что даже наличие технологии не гарантирует ее массового успеха и требует дополнительных усилий по обучению пользователей, интеграции и обеспечению стабильности работы систем.
В секторе здравоохранения и при предоставлении государственных услуг PKI-технологии перестали быть нишевой областью информационной безопасности и стали ключевым инструментом для реализации масштабных государственных программ по цифровизации. Здесь PKI выполняет роль фундаментального механизма, обеспечивающего юридическую значимость электронных документов, безопасность передачи конфиденциальных данных и единую систему аутентификации для граждан и медицинских работников. Развитие электронных медицинских карт (ЭМК), электронных рецептов (ЭР) и интеграция с Единой государственной информационной системой здравоохранения (ЕГИСЗ) невозможны без мощной и надежной PKI-инфраструктуры, соответствующей строгим требованиям законодательства и регуляторов.
Переход на электронные медицинские карты стал одним из главных приоритетов Министерства здравоохранения РФ. Михаил Мурашко, министр здравоохранения, объявил, что с 2024 года этот переход станет обязательным для всех медицинских учреждений страны. Цель этого шага — создание преемственности данных между уровнями оказания помощи, непрерывное сопровождение пациента и формирование структурированного цифрового ресурса для системного управления здравоохранением. Для реализации этой программы медицинские организации обязаны подключиться к ЕГИСЗ, использовать медицинскую информационную систему (МИС) и применять усиленную квалифицированную электронную подпись (УКЭП) для формирования и подписания электронных документов. Приказ Минздрава РФ №4н от 14.01.2019 и приказ №1093н от 24.11.2021 закрепили юридическую силу электронных рецептов, которые теперь являются полноценным юридически значимым электронным документом, подписываемым УКЭП лечащего врача. Это требование распространяется на весь процесс: от выписки рецепта до его отпуска в аптеке. Вся эта цепочка требует обязательной интеграции с ЕГИСЗ и ЕМИАС (Единая межведомственная информационная система) и использования МИС, поддерживающей ГОСТ Р 34.10/34.11.
Технологической основой для выполнения этих требований является PKI. Медицинские работники должны обладать сертификатами электронной подписи, выданными аккредитованным удостоверяющим центром, и использовать криптопровайдер, поддерживающий ГОСТ-алгоритмы. Для удобства хранения ключей и выполнения подписей в медицинской среде широко применяются аппаратные носители электронной подписи, такие как токены и смарт-карты. Продукты семейства Rutoken EDS 3.0 от АСКОН, сертифицированные ФСТЭК России, являются одними из самых популярных в этой сфере. Они интегрированы в различные медицинские информационные системы, такие как BARS. Healthcare-MIS, KPS SAMSON medical IS и BioMIS, и используются для подписания электронных рецептов, документов об осмотре пациентов и платежных документов. JaCarta WebPass также сертифицирован ФСТЭК и используется в здравоохранении. Эти устройства обеспечивают строгую двухфакторную аутентификацию и безопасное хранение ключей, что критически важно при работе с персональными данными пациентов. Кроме того, в медучреждениях используются и другие PKI-решения, такие как КриптоПро CSP, который сертифицирован ФСБ и поддерживается в различных МИС.
Однако, несмотря на законодательные мандаты и наличие технологических решений, практическая реализация электронных рецептов и медицинских карт сталкивается с серьезными препятствиями. Исследование, проведенное в 2022–2023 годах, показало, что только 20% врачей и 12,5% фармацевтов имели практический опыт работы с системой электронных рецептов (EPS). Ключевыми барьерами называются региональные различия в уровне развития цифровой инфраструктуры (87,5% врачей), требование сохранения бумажных копий вместе с электронными (87,5%) и проблемы с надежностью интернет-соединений (87,5%). Это указывает на то, что внедрение PKI-инфраструктуры в здравоохранении — это не только технологический, но и социально-экономический процесс, требующий согласования действий всех участников, включая государство, региональные власти, медицинские учреждения, аптеки и самих граждан. Без решения этих проблем даже самое совершенное PKI-решение может оказаться неэффективным.
Помимо здравоохранения, PKI играет ключевую роль в обеспечении доступа к государственным и муниципальным услугам. Единая система идентификации и аутентификации (ЕСИА) — это портал, который позволяет гражданам и организациям авторизоваться на различных государственных сайтах, используя свой логин и пароль от Госуслуг. Для обеспечения безопасности этого процесса используется протокол OpenID Connect, и для его реализации на стороне госучреждений внедряются специализированные решения, такие как TrustGate от «Инфотекс Интернет Траст». Такие решения должны быть сертифицированы и соответствовать требованиям ФСТЭК и ФСБ, чтобы гарантировать безопасность пользовательских данных и предотвратить несанкционированный доступ. Интеграция с ЕСИА требует от разработчиков ПО на территории РФ обеспечивать предварительную установку сертификатов безопасности национального удостоверяющего центра (НУЦ) для доступа к сайтам, что дополнительно усложняет процесс, но повышает уровень безопасности всей системы. Таким образом, PKI становится неотъемлемой частью инфраструктуры цифрового правительства, обеспечивая доверие между гражданином, государством и бизнесом.
Выбор PKI-решения для российской организации сегодня — это не просто техническое решение, а стратегический шаг, который определяет ее способность функционировать в условиях суверенной цифровой экономики, соответствовать законодательству и обеспечивать долгосрочную информационную безопасность. Для ИТ-специалистов, руководителей компаний и менеджеров по продажам крайне важно понимать не только технические характеристики продуктов, но и их место в общем рыночном контексте, а также практические аспекты внедрения и интеграции. Процесс выбора должен основываться на анализе регуляторных требований, отраслевых особенностей, совместимости с существующей IT-инфраструктурой и стратегических целей компании.
Первым и самым важным шагом в процессе выбора является анализ регуляторных требований. Любой проект, затрагивающий работу с персональными данными, государственными информационными системами или критической инфраструктурой, должен начинаться с проверки, какие сертификаты соответствия (ФСТЭК или ФСБ) обязательны для используемых продуктов. Государственный реестр сертифицированных средств защиты информации, ведомый ФСТЭК, является единственным источником достоверной информации о легитимности того или иного решения. Проверка включения закупаемых решений в этот реестр является обязательным условием для участия в госзакупках по 44-ФЗ и 223-ФЗ. Кроме того, необходимо учитывать директивы отраслевых регуляторов. Для банков это будут инструкции ЦБР, для медицинских учреждений — приказы Минздрава, а для государственных органов — требования ФСТЭК. Решения, которые явно рекомендованы или одобрены этими регуляторами, как, например, компоненты ViPNet PKI для банковской сферы, могут значительно упростить процесс сертификации и внедрения.
Вторым шагом является оценка совместимости выбранного решения с существующим IT-ландшафтом. Успешное внедрение PKI невозможно без тщательной проверки совместимости с используемыми операционными системами, сетевым оборудованием и приложениями. В российском госсекторе и критической инфраструктуре доминируют российские ОС, такие как Astra Linux Special Edition и ALD Pro. Поэтому выбор PKI-решения, которое имеет сертификаты и успешно эксплуатируется на этих платформах, является критически важным. Например, опыт применения ViPNet на Astra Linux для обслуживания десятков тысяч мобильных клиентов является весомым аргументом в пользу данной экосистемы в подобных средах. Также необходимо учитывать, будет ли PKI-решение интегрироваться с другими системами безопасности, такими как SIEM, PAM и DLP. Современные PKI-платформы, такие как ALD Pro, уже встраиваются с учетом этих интеграций, что позволяет создавать комплексные и согласованные системы защиты информации.
Процесс внедрения и миграции является одним из самых сложных этапов. Перевод существующих систем на новые ГОСТ-алгоритмы, например, переход с КриптоПро CSP 4.0 на версию 5.0, требует планирования и может быть трудоемким. Необходимо учитывать, что лицензии на старые версии не всегда переносятся на новые, что может потребовать дополнительных инвестиций. Миграция с зарубежных или устаревших отечественных PKI-решений, таких как Microsoft AD CS, на полностью отечественную инфраструктуру является нетривиальной задачей. Эксперты подчеркивают, что PKI-инфраструктура не может быть сохранена «из коробки» при такой миграции, и службы каталогов должны иметь встроенный CA-функционал для обеспечения полной замены. Это означает, что выбор новой PKI-экосистемы должен рассматриваться как часть более широкой стратегии по замене всей IT-инфраструктуры на отечественные компоненты.
Наконец, следует рассмотреть вопросы интеграции с облачными технологиями. Несмотря на жесткие требования к защите информации, наблюдается развитие PKI-решений в облачном формате. Например, ViPNet предлагает виртуальную версию своего аппаратного модуля HSM (VA) для тестирования в средах VMware/KVM, а его клиентское ПО включает компонент Cloud Unit для реализации облачной подписи. Rostelecom запустил CII Cloud — первую в России многопользовательскую защищенную облачную платформу на отечественном ПО, способную хостить объекты критической инфраструктуры. Однако применение cloud-HSMs и других облачных PKI-сервисов в строго защищенных системах все еще требует тщательной оценки рисков и соответствия регуляторным требованиям, особенно в части физической защиты ключей и контроля доступа.
В заключение, для ИТ-специалиста и руководителя компании правильный выбор PKI-решения в России сегодня — это выбор между двумя зрелыми, сертифицированными и поддерживающими друг друга отечественными экосистемами: КриптоПро и ViPNet. КриптоПро предлагает широкое, универсальное решение с большой историей и широкой распространенностью, что делает его хорошим выбором для многих отраслей. ViPNet, в свою очередь, предлагает более сфокусированные и готовые к решению конкретных отраслевых задач, особенно в финтехе и при работе с регуляторами. Независимо от выбора, ключевыми критериями должны стать наличие действующих сертификатов ФСТЭК и ФСБ, совместимость с операционной системой и приложениями, а также готовность поставщика к долгосрочной поддержке и сопровождению. Для менеджера по продажам аргументация должна быть сфокусирована на минимизации рисков: использование сертифицированных решений — это не только требование закона, но и защита от штрафов, недопуска к госзакупкам и обеспечение долгосрочной стабильности и развития IT-системы.