Континент TLS стоит на порталах госуслуг, в личных кабинетах банков и системах электронного документооборота. Его выбирают, когда нужен HTTPS с отечественной криптографией ГОСТ — требование всё чаще встречается в технических заданиях на ГИС, ИСПДн и объекты КИИ. Но при внедрении часто упускают одно требование: Континент TLS — это СКЗИ с сертификатом ФСБ. Это значит, что каждый экземпляр подлежит поэкземплярному учёту по Инструкции ФАПСИ №152. Статья объясняет, что такое Континент TLS, как работает его архитектура, как настроить, что именно нужно учитывать и как выстроить этот процесс без лишних Excel-таблиц.
Что такое Континент TLS
Назначение и разработчик
Континент TLS разработан НПО «Код Безопасности» — российским производителем средств защиты информации, известным также по межсетевому экрану «Континент», СЗИ Secret Net и VPN-шлюзам.
Назначение продукта: TLS-прокси с поддержкой ГОСТ-шифрования. Он позволяет организациям предоставлять HTTPS-доступ к своим ресурсам с использованием российских криптографических алгоритмов ГОСТ 34.10-2018 и ГОСТ 34.12-2018. Для пользователя это выглядит как обычный HTTPS, но под капотом работает российская криптография.
Где применяют Континент TLS:
- Порталы госуслуг и ведомственные системы — СМЭВ, МФЦ, порталы региональных органов власти требуют ГОСТ-TLS для соответствия требованиям приказов ФСТЭК
- Системы ЭДО — защита каналов передачи юридически значимых документов
- Личные кабинеты банков и страховых компаний — там, где регулятор требует российскую криптографию
- Корпоративные интранет-ресурсы — защита внутренних порталов организаций с требованиями по ГОСТ
Архитектура Континент TLS
Продукт состоит из двух компонентов.
Континент TLS Сервер — серверная часть. Устанавливается в демилитаризованной зоне или перед защищаемым ресурсом. Принимает TLS-соединения от клиентов по ГОСТ-алгоритмам, расшифровывает и передаёт трафик во внутреннюю сеть по HTTP или HTTPS.
Схема работы:
Клиент (браузер / Континент TLS Клиент)
↓ TLS-соединение с ГОСТ-шифрованием
Континент TLS Сервер (ДМЗ)
↓ HTTP/HTTPS
Защищаемый веб-ресурс (интранет)
Континент TLS Клиент — клиентская часть. Устанавливается на ПК пользователя при необходимости двусторонней TLS-аутентификации. Клиент обрабатывает ГОСТ-сертификат пользователя и обеспечивает ГОСТ-TLS-соединение со стороны браузера или приложения.
Если двусторонняя аутентификация не нужна (сервер только шифрует трафик, клиент не предъявляет сертификат), Континент TLS Клиент не требуется. В этом случае к системе можно подключиться через специальный плагин или через браузер с поддержкой ГОСТ.
Поддерживаемые операционные системы для серверной части: Astra Linux, ALT Linux, Red OS, а также Windows Server. Это важно для организаций с требованием по российским ОС.
Сертификация ФСБ
Континент TLS сертифицирован ФСБ России как средство криптографической защиты информации (СКЗИ). Актуальный номер сертификата соответствия следует проверять на официальном сайте ФСБ (fsb.ru) в реестре сертифицированных СКЗИ — он обновляется при выходе новых версий.
Классы защиты:
- КС1 — программное СКЗИ, защита от атак без физического доступа к аппаратным средствам
- КС2 — усиленная конфигурация с дополнительными требованиями к среде функционирования
Класс защиты влияет на требования к среде функционирования и организационные меры при эксплуатации. Это важно учитывать при проектировании системы защиты.
Почему Континент TLS — это СКЗИ и что это означает
Правовая природа
Сертификат соответствия ФСБ России — ключевой факт. Как только у продукта есть действующий сертификат ФСБ на класс СКЗИ, он автоматически подпадает под действие Инструкции ФАПСИ от 13.06.2001 №152 «О порядке организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом».
Инструкция ФАПСИ №152 до сих пор действует и распространяется на все организации, эксплуатирующие сертифицированные СКЗИ: государственные органы, субъектов КИИ, операторов ПДн, финансовые и медицинские организации.
Что требует ФАПСИ №152 для учёта Континент TLS
Для каждого экземпляра Континент TLS организация обязана:
- Поэкземплярный журнал учёта СКЗИ — серийный номер, версия ПО, класс защиты, номер сертификата ФСБ, ответственный за эксплуатацию, место эксплуатации, дата ввода в работу
- Акт ввода в эксплуатацию — составляется при установке каждого экземпляра
- Журнал ключевых документов — если используются клиентские ГОСТ-сертификаты (двусторонняя аутентификация), каждый сертификат и носитель учитывается отдельно
- Акт уничтожения или передачи — при выводе экземпляра из эксплуатации
Требование относится к каждому отдельному экземпляру. Нельзя сделать одну запись «Континент TLS Сервер — 4 шт.». Каждый сервер — отдельная строка с уникальными атрибутами.
Подробнее о том, как выстроить весь процесс учёта, — в полном руководстве по учёту СКЗИ в организации.
Настройка Континент TLS: общая схема
Шаг 1 — Подготовка инфраструктуры
Перед установкой определите:
- Сервер: Linux (Astra Linux, ALT, Red OS) или Windows Server с ресурсами, достаточными под нагрузку TLS-проксирования
- ГОСТ-сертификат сервера: выпускается в аккредитованном удостоверяющем центре с лицензией ФСБ на деятельность в области СКЗИ; срок действия сертификата — обычно 1–3 года
- Сетевая схема: клиент подключается к внешнему адресу Континент TLS Сервера по TLS/ГОСТ (порт 443), сервер проксирует запросы на внутренний ресурс
Шаг 2 — Установка и конфигурирование сервера
Основные шаги:
- Установить пакет Континент TLS Сервер из дистрибутива «Кода Безопасности»
- Импортировать ГОСТ-сертификат сервера — закрытый ключ размещается в защищённом хранилище
- Настроить виртуальный хост: внешний TLS-адрес и порт → проксирование на внутренний адрес ресурса
- Определить политику: требовать ли клиентский сертификат (при двусторонней аутентификации) или работать без него
- Проверить корректность ГОСТ-TLS-соединения тестовым браузером с поддержкой ГОСТ
Шаг 3 — Клиентская часть (при двусторонней аутентификации)
Если ресурс требует аутентификации пользователя по ГОСТ-сертификату:
- На ПК пользователя устанавливается Континент TLS Клиент
- Пользователь получает ГОСТ-сертификат на ключевом носителе (токен Рутокен или JaCarta с ГОСТ-ключом)
- Клиентский ГОСТ-сертификат и ключевой носитель — это ключевые документы СКЗИ. Каждый подлежит учёту в журнале ключевых документов по ФАПСИ №152
Типичные ошибки при настройке и эксплуатации
1. Не отслеживают срок действия сертификата сервера. ГОСТ-сертификат Континент TLS Сервера истекает — и все пользователи получают TLS-ошибку при попытке подключиться к ресурсу. Узнают об этом уже после инцидента.
2. Клиентский сертификат истёк у пользователя. Пользователь не может пройти аутентификацию, обращается в helpdesk — тратятся время и ресурсы на выяснение причины.
3. Нет контроля актуальности сертификата ФСБ на продукт. Версия Континент TLS, для которой истёк сертификат ФСБ, перестаёт быть сертифицированным СКЗИ. Организация продолжает её использовать, не подозревая о нарушении требований.
4. Документация на СКЗИ не ведётся. Акты не составлены, журнал учёта отсутствует. При плановой проверке это нарушение, которое фиксируется в акте.
Учёт Континент TLS как СКЗИ: что конкретно фиксировать
Поэкземплярный журнал: поля и примеры
Для каждого экземпляра Континент TLS Сервер в журнале учёта СКЗИ фиксируются следующие данные:
| Поле | Описание | Пример |
|---|---|---|
| Серийный номер | Из документации на ПО или лицензионного ключа | KTLS-SRV-2025-00089 |
| Наименование СКЗИ | Полное название с версией | Континент TLS Сервер 2.1.2 |
| Класс защиты (ФСБ) | КС1 или КС2 | КС1 |
| Номер сертификата ФСБ | Из реестра ФСБ | СФ/124-3841 |
| Срок действия сертификата ФСБ | Дата истечения | до 01.12.2027 |
| Место эксплуатации | Сервер, ЦОД, адрес | ЦОД «Арбат», сервер web-01 |
| Ответственный за эксплуатацию | ФИО, должность | Козлов П.С., системный администратор |
| Дата ввода в эксплуатацию | Фактическая дата | 15.02.2026 |
| Номер акта ввода | Ссылка на акт | №7 от 15.02.2026 |
| Статус | Активен / Выведен из эксплуатации | Активен |
Обратите внимание на два поля, которые часто не заполняют: номер сертификата ФСБ и дата его истечения. Именно они позволяют понять, действует ли сертификат на эксплуатируемую версию СКЗИ.
Как ведётся журнал учёта СКЗИ — форма, обязательные реквизиты, примеры заполнения.
Учёт клиентских ГОСТ-сертификатов и ключевых носителей
Если в системе применяется двусторонняя TLS-аутентификация, возникает дополнительный объект учёта: клиентские ГОСТ-сертификаты и ключевые носители (токены Рутокен, JaCarta).
Каждый ключевой носитель учитывается в журнале ключевых документов. При выдаче носителя пользователю фиксируется: наименование, серийный номер токена, привязанный сертификат, ФИО получателя, дата выдачи.
При увольнении пользователя порядок действий:
- Отозвать клиентский сертификат в удостоверяющем центре
- Получить ключевой носитель от увольняющегося
- Зафиксировать возврат в журнале ключевых документов
- Принять решение об уничтожении носителя или его повторном использовании
Если носитель уничтожается — составляется акт уничтожения. Подробнее об актах СКЗИ: уничтожение и передача.
Особенности учёта нескольких серверов
Организации с несколькими площадками часто развёртывают Континент TLS Сервер в каждом ЦОД или офисе. Типичная конфигурация: 3–5 серверов в разных локациях с разными ответственными.
Каждый такой сервер — отдельный экземпляр СКЗИ. Каждый требует отдельной строки в журнале учёта, отдельного акта ввода в эксплуатацию и отдельного контроля срока действия сертификата ФСБ. При этом сертификат ФСБ — на продукт в целом, но конкретная версия, установленная на каждом сервере, должна соответствовать действующей сертифицированной.
Ведёте реестр СКЗИ в Excel? Покажем, как это выглядит в SGRC-платформе КиберОснова — запросить демо.
Проблемы ручного учёта при нескольких серверах
Когда Excel перестаёт справляться
При трёх и более серверах Континент TLS в разных локациях ручной учёт создаёт предсказуемые проблемы:
- Разные ответственные — разные файлы. Администратор каждой площадки ведёт свою таблицу. Данные расходятся, актуальность непонятна.
- Сертификат ФСБ истёк у одного из серверов — замечают при проверке. Никто не уведомляет о приближении срока. В Excel нет встроенного контроля дат.
- Ключевой носитель пользователя не сдан при увольнении. В журнале записи нет, физически токен где-то лежит. Это нарушение по ФАПСИ №152, которое выявляется только при проверке.
- Инспектор ФСТЭК запрашивает реестр СКЗИ — сборка занимает полдня. Нужно собрать данные с нескольких файлов, свести, проверить актуальность.
Сравнение ручного учёта и SGRC-платформы
| Критерий | Excel / бумажные журналы | КиберОснова SGRC |
|---|---|---|
| Актуальность данных | Обновляется вручную | Обновляется при любом изменении |
| Контроль срока сертификата ФСБ | Нет автоматического контроля | Уведомление за 30 и 7 дней |
| Учёт ключевых носителей | Отдельная таблица или журнал | Единая база с привязкой к экземпляру |
| Аудит-трейл | Нет — данные редактируются без следа | Полная история изменений с датой и ФИО |
| Отчёт для инспектора ФСТЭК | Несколько часов сборки | Выгрузка в один клик |
| Связь с активами | Нет | Привязка к серверу, ЦОД, ответственному |
| Акты ввода / уничтожения | Шаблоны Word, хранятся в папке | Формируются из карточки, хранятся в системе |
Получите демо-доступ и посмотрите, как реестр СКЗИ работает на реальных данных. Попробовать КиберОснова →
Континент TLS и SGRC: как КиберОснова автоматизирует учёт
Как это работает в платформе
В SGRC-платформе КиберОснова Континент TLS — актив типа «СКЗИ» с полным набором атрибутов по ФАПСИ №152. Не нужно отдельных таблиц или журналов.
Что умеет платформа:
- Хранит все данные поэкземплярного журнала — серийный номер, версия, класс защиты КС1/КС2, номер и срок сертификата ФСБ, ответственный, место эксплуатации
- Контролирует срок сертификата ФСБ — уведомляет ответственного за 30 и 7 дней до истечения; так вы обновляете версию до дедлайна, а не узнаёте о просрочке при проверке
- Связывает серверные и клиентские СКЗИ — серверный экземпляр Континент TLS Сервер связан с записями о клиентских ГОСТ-сертификатах и ключевых носителях пользователей
- Формирует выгрузку реестра СКЗИ — печатная форма журнала для предъявления инспектору
- Хранит документы — сканы актов, формуляра, лицензии прикрепляются к карточке экземпляра
Учёт VipNet и Континент TLS в единой базе
Если в организации используются и VipNet, и Континент TLS, оба продукта ведутся в одной базе КиберОснова. Не нужно отдельных реестров для каждого вендора — один модуль закрывает все СКЗИ независимо от производителя.
VipNet для ИБ: учёт СКЗИ — как устроен учёт другого популярного СКЗИ в той же системе.
Модуль учёта СКЗИ КиберОснова — полный функционал: реестр, акты, контроль сроков, отчётность.
Что это даёт при проверке
Организации с SGRC-платформой проходят проверки иначе. Вместо сборки данных из разных файлов — выгрузка актуального реестра СКЗИ за несколько секунд. Вместо поиска актов в папках — документы прикреплены к карточке каждого экземпляра. Вместо объяснений почему сертификат истёк — подтверждённое уведомление ответственному.
Автоматизируйте учёт Континент TLS и всех СКЗИ организации в одной системе. Попробовать КиберОснова →
Кто в организации отвечает за учёт Континент TLS
Вопрос ответственности часто вызывает споры между ИТ-отделом и ИБ-службой.
ИТ-отдел устанавливает и настраивает Континент TLS Сервер, обновляет версии, управляет ГОСТ-сертификатами, выпускает клиентские сертификаты. Это техническая эксплуатация.
ИБ-служба отвечает за учёт СКЗИ по ФАПСИ №152: журнал поэкземплярного учёта, журнал ключевых документов, акты ввода и вывода из эксплуатации, контроль сроков сертификатов ФСБ. Это документальное сопровождение.
На практике разделение выглядит так: ИТ обновил версию → ИБ обновил запись в журнале. ИТ выпустил новый клиентский сертификат → ИБ зафиксировал ключевой носитель в журнале ключевых документов. Увольняется сотрудник с клиентским сертификатом → ИТ отзывает сертификат, ИБ фиксирует возврат носителя.
В небольших организациях обе роли часто выполняет один человек. SGRC-система помогает формализовать процесс: каждое изменение фиксируется с датой и автором, ничего не теряется при смене ответственного.
Континент TLS и требования импортозамещения
Для государственных органов и субъектов КИИ импортозамещение — не рекомендация, а требование (ПП-1236 для госорганов, ПП-1478 для КИИ). Континент TLS входит в Единый реестр российского ПО Минцифры. Это означает, что продукт соответствует критериям импортозамещения для государственных закупок.
Серверная часть Континент TLS работает на Astra Linux, ALT Linux и Red OS — сертифицированных российских операционных системах. Это позволяет выстроить полностью отечественный стек: российская ОС + российское СКЗИ + российские ГОСТ-алгоритмы.
При планировании перехода с западных TLS-решений (F5, Citrix ADC) на Континент TLS учитывайте: помимо технической миграции, нужно наладить учёт нового СКЗИ по ФАПСИ №152 с первого дня эксплуатации. SGRC-платформа упрощает этот процесс — карточка экземпляра создаётся параллельно с установкой, а не через месяц после неё.
Учёт СКЗИ в организации: полное руководство →
Часто задаваемые вопросы
Что такое Континент TLS?
Континент TLS — программный комплекс производства НПО «Код Безопасности» для организации защищённых HTTPS-соединений с использованием отечественной криптографии ГОСТ. Продукт применяют там, где нужен TLS-прокси с российскими алгоритмами: порталы госуслуг, личные кабинеты банков, системы ЭДО, внутренние ресурсы с требованием ГОСТ-шифрования. Сертифицирован ФСБ России как СКЗИ классов КС1 и КС2. Состоит из двух компонентов: Континент TLS Сервер (серверная часть) и Континент TLS Клиент (клиентская часть при двусторонней аутентификации).
Является ли Континент TLS средством СКЗИ?
Да. Континент TLS сертифицирован ФСБ России как СКЗИ классов КС1 и КС2 в зависимости от версии и конфигурации. Это означает, что каждый экземпляр — и серверная, и клиентская часть при наличии — подлежит поэкземплярному учёту по Инструкции ФАПСИ №152 от 13.06.2001. Организации, эксплуатирующие Континент TLS, обязаны вести журнал учёта СКЗИ, составлять акты ввода в эксплуатацию и уничтожения, а также хранить документацию на весь срок жизненного цикла продукта.
Как настроить Континент TLS?
Общая схема настройки: установить серверный компонент (Континент TLS Сервер) на Linux или Windows Server, импортировать ГОСТ-сертификат от аккредитованного удостоверяющего центра, настроить виртуальный хост — проксирование с внешнего TLS-адреса на внутренний ресурс, определить политику клиентской аутентификации. При двусторонней TLS-аутентификации устанавливается Континент TLS Клиент на рабочие станции пользователей. Детальная инструкция описана в документации «Кода Безопасности»; конкретные шаги зависят от версии продукта и операционной системы.
Какой сертификат ФСБ у Континент TLS?
Актуальный номер сертификата соответствия ФСБ России следует проверять на официальном сайте fsb.ru в разделе реестра сертифицированных СКЗИ — номер обновляется при выходе каждой новой версии продукта. Класс защиты (КС1 или КС2) зависит от конфигурации. При ведении поэкземплярного учёта СКЗИ важно фиксировать номер сертификата ФСБ и дату его истечения для каждого экземпляра. Использование версии с истёкшим сертификатом лишает продукт статуса сертифицированного СКЗИ и нарушает требования регуляторов.
Чем Континент TLS отличается от VipNet?
Оба продукта — СКЗИ с сертификатом ФСБ, но решают разные задачи. VipNet строит VPN-сеть: шифрует IP-трафик между узлами сети организации. Континент TLS защищает веб-соединения: HTTPS с ГОСТ для доступа к конкретному веб-ресурсу или порталу. В организациях оба продукта могут работать одновременно — VipNet для защиты корпоративной сети, Континент TLS для защиты веб-порталов. Каждый из них — самостоятельный СКЗИ с отдельным поэкземплярным учётом по ФАПСИ №152.
Нужно ли регистрировать Континент TLS в ФСБ или ФСТЭК?
Уведомительного порядка регистрации для пользователей СКЗИ не установлено. Однако организация обязана хранить следующие документы: копию сертификата соответствия ФСБ на используемую версию, лицензию «Кода Безопасности» на продукт, формуляр на каждый экземпляр, акты ввода в эксплуатацию и уничтожения. При проверках ФСТЭК и ФСБ инспектор вправе запросить реестр СКЗИ и документацию на экземпляры. Отсутствие учётной документации квалифицируется как нарушение требований по обращению с криптосредствами.
Как автоматизировать учёт Континент TLS при нескольких серверах?
При трёх и более серверах Континент TLS в разных локациях Excel теряет управляемость: разные ответственные, разные файлы, рассинхронизация данных. В SGRC-платформе КиберОснова каждый экземпляр Континент TLS — запись в реестре СКЗИ с полным набором атрибутов: версия, серийный номер, номер и срок действия сертификата ФСБ, ответственный, местоположение. Система уведомляет о приближении срока истечения сертификата за 30 и 7 дней, ведёт аудит-трейл всех изменений и позволяет выгрузить журнал для инспектора в один клик.
Итоги
Континент TLS — это TLS-шлюз с ГОСТ-шифрованием от «Кода Безопасности». Продукт применяют на порталах госуслуг, в системах ЭДО и банковских личных кабинетах. Поскольку Континент TLS сертифицирован ФСБ как СКЗИ, каждый экземпляр подлежит поэкземплярному учёту по Инструкции ФАПСИ №152: журнал учёта, акты, хранение документации.
При одном-двух серверах этот учёт можно вести вручную. При трёх и более — Excel перестаёт справляться: нет контроля сроков сертификата ФСБ, нет аудит-трейла, сборка реестра занимает часы.
КиберОснова ведёт реестр СКЗИ в одной базе для всех продуктов организации — и Континент TLS, и КриптоПро, и VipNet. Контролирует сроки действия сертификатов, формирует учётные документы, готовит выгрузку реестра для инспектора. Подробнее об автоматизации — в глоссарии SGRC.
