Исключение из реестров ФСТЭК России - ИНСТИТУТ СИСТЕМНОГО СИНТЕЗА

Настоящий отчет представляет собой фундаментальное исследование системы государственных реестров, ведение которых осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В документе проводится глубокий анализ нормативно-правовой базы, регламентирующей жизненный цикл записей в реестрах, с особым акцентом на процедурные аспекты прекращения действия правоустанавливающих документов (лицензий, сертификатов соответствия, аттестатов аккредитации).

Исследование базируется на анализе федеральных законов, приказов ФСТЭК России (в частности, № 55, № 84, № 33, № 76), административных регламентов и правоприменительной практики периода 2022–2025 годов. Особое внимание уделено механизмам «очистки» реестров в условиях геополитической турбулентности, ухода иностранных вендоров и ужесточения требований к технологическому суверенитету. Отчет содержит детальные протоколы действий для субъектов экономической деятельности, инициирующих процедуру добровольного исключения из реестров, а также анализ рисков принудительного аннулирования разрешительных документов.

Содержание

Глава 1. Концептуальные основы регуляторной экосистемы ФСТЭК России

1.1. Роль реестров в обеспечении национальной безопасности

Федеральная служба по техническому и экспортному контролю является центральным органом исполнительной власти, реализующим государственную политику в области обеспечения информационной безопасности (в части, не касающейся криптографии) и экспортного контроля. Инструментарий службы базируется на системе разрешительных реестров, которые выполняют функцию фильтрации участников рынка и используемых технологий.

В условиях современной кибервойны реестры ФСТЭК трансформировались из статических баз данных в динамические инструменты управления рисками. Присутствие в реестре (будь то реестр СЗИ, лицензиатов или аккредитованных лиц) является подтверждением соответствия жестким критериям доверия, установленным государством. Исключение из реестра, в свою очередь, является юридическим фактом, влекущим немедленную потерю права на осуществление профильной деятельности или использование конкретных продуктов в защищенных контурах.

1.2. Типология реестров и нормативная база

Система реестров ФСТЭК является многоуровневой и охватывает различные аспекты защиты информации. На основе анализа нормативных документов , можно выделить четыре ключевые группы реестров:

Государственный реестр сертифицированных средств защиты информации (СЗИ). Регулируется Приказом ФСТЭК России от 03.04.2018 № 55. Содержит сведения о программных и аппаратных продуктах, прошедших оценку соответствия.
Реестр лицензиатов ФСТЭК России. Регулируется Федеральным законом № 99-ФЗ и Административным регламентом (Приказ № 84). Включает организации, допущенные к деятельности по технической защите конфиденциальной информации (ТЗКИ) и разработке СЗИ.
Реестр аккредитованных органов по сертификации и испытательных лабораторий. Регулируется Приказом ФСТЭК России от 10.04.2015 № 33. Включает инфраструктурные организации, уполномоченные проводить испытания.
Реестры системы экспортного контроля. Списки товаров и технологий двойного назначения (например, специфические сплавы и материалы, указанные в , такие как А7, А6, АМг61 и др.), контроль за перемещением которых осуществляет служба.

Глава 2. Государственный реестр сертифицированных средств защиты информации (СЗИ)

2.1. Жизненный цикл сертификата соответствия согласно Приказу № 55

Центральным элементом системы технического регулирования в сфере ИБ является сертификат соответствия. Процедуры, связанные с его выдачей и аннулированием, строго регламентированы «Положением о системе сертификации средств защиты информации», утвержденным Приказом ФСТЭК № 55.

Согласно пункту 14 данного Положения, стандартный срок действия сертификата соответствия не может превышать 5 лет. Этот временной лаг установлен исходя из скорости устаревания технологий защиты и появления новых векторов атак. Однако, наличие действующего по срокам сертификата не гарантирует его легитимность. Регулятор внедрил механизм непрерывного мониторинга, который позволяет прекратить действие сертификата досрочно.

2.2. Протокол исключения из реестра СЗИ: Основания и Процедуры

Исключение средства защиты информации из реестра (прекращение действия сертификата) регламентируется разделом «Прекращение действия сертификата соответствия» (пункты 89–92 Приказа № 55). Анализ нормативного текста позволяет выделить три группы оснований для исключения.

2.2.1. Группа А: Исключение по инициативе заявителя (Добровольное)

Это стандартная процедура вывода продукта из эксплуатации (End-of-Life) или прекращения его поставок на российский рынок.

Процедурный алгоритм:

Инициация: Заявитель (разработчик или производитель) направляет во ФСТЭК России официальное обращение (заявление) о прекращении действия сертификата.
Формализация решения: На основании заявления ФСТЭК России издает приказ о прекращении действия сертификата.
Уведомление: В соответствии с пунктом 89 Положения, регулятор в течение 5 рабочих дней со дня принятия решения направляет заявителю уведомление заказным почтовым отправлением с уведомлением о вручении или вручает его лично.
Публикация: Сведения вносятся в Государственный реестр, и статус сертификата меняется на «Действие прекращено».

2.2.2. Группа Б: Принудительное исключение за нарушения (Санкционное)

Наиболее критичный сценарий для пользователей СЗИ. Действие сертификата прекращается принудительно в следующих случаях :

Неустранение несоответствий: Если в ходе инспекционного контроля выявлены уязвимости или отклонения от технических условий, и заявитель не представил доказательства их устранения в установленный срок.
Отказ от технической поддержки: Формулировка «невозобновление заявителем в установленный срок технической поддержки средства защиты информации» стала ключевым юридическим инструментом в 2022–2023 годах для отзыва сертификатов иностранных компаний.

2.2.3. Кейс массовых исключений 2022 года (Exodus Protocol)

Анализ исторических данных показывает беспрецедентное применение процедур исключения в ответ на геополитические события. 31 марта 2022 года ФСТЭК России произвела пакетное прекращение действия 40 сертификатов. Под удар попали продукты IBM, Microsoft, Oracle, SAP и VMware.

Механизм реализации:

Западные вендоры публично объявили о приостановке деятельности в РФ. ФСТЭК интерпретировала это как невозможность выполнения требований по техподдержке и устранению уязвимостей (согласно п. 89 Приказа № 55). Результатом стало немедленное исключение из реестра. Для российских пользователей (особенно в сфере КИИ) это означало необходимость экстренной миграции, так как использование несертифицированных средств в аттестованных системах является нарушением законодательства.

2.3. Влияние уязвимостей на статус в реестре (Связь с БДУ)

Существует прямая процедурная связь между Банком данных угроз (БДУ) ФСТЭК и реестром СЗИ. Согласно методическим документам и регламентам управления уязвимостями , установлены жесткие SLA (Service Level Agreements) на устранение «дыр» в безопасности:

Критический уровень: устранение до 24 часов.
Высокий уровень: до 7 дней.
Средний уровень: до 4 недель.

Если вендор не выпускает патч в эти сроки, срабатывает триггер «неустранение несоответствия требованиям по безопасности информации» (п. 89 Приказа № 55), что запускает процедуру исключения сертификата. Это превращает реестр СЗИ из статического списка в инструмент оперативного контроля качества кода.

2.4. Последствия исключения

Согласно пункту 91 Приказа № 55, с момента прекращения действия сертификата заявитель обязан прекратить производство и реализацию сертифицированного средства. Реализация остатков со склада под видом сертифицированной продукции квалифицируется как административное правонарушение (ст. 13.12 КоАП РФ).

Глава 3. Реестр лицензиатов ФСТЭК: протоколы входа и выхода

3.1. Лицензируемые виды деятельности

Деятельность по технической защите конфиденциальной информации (ТЗКИ) и деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) подлежат обязательному лицензированию. Реестр лицензиатов является публичным доказательством компетентности интеграторов и разработчиков.

3.2. Административный регламент прекращения действия лицензии

Процедура исключения из реестра лицензиатов (добровольный отказ или аннулирование) детально описана в Административном регламенте, утвержденном Приказом ФСТЭК России от 12.07.2012 № 84.

3.2.1. Основания для исключения (п. 3.52 Регламента)

Заявление лицензиата: Добровольное решение о прекращении деятельности.
Ликвидация юридического лица: Автоматическое прекращение лицензии при исключении компании из ЕГРЮЛ (за исключением форм реорганизации или слияния, где есть правопреемство).
Прекращение статуса ИП.
Решение суда: Аннулирование лицензии по иску регулятора (обычно за грубые нарушения лицензионных требований, выявленные в ходе проверок).

3.2.2. Протокол добровольного прекращения действия лицензии

Для организации, желающей корректно выйти из-под регуляторного надзора и исключиться из реестра, установлен строгий временной и документальный протокол.

Шаг 1: Соблюдение сроков (Rule of 15 Days) Лицензиат обязан представить заявление в ФСТЭК России не позднее чем за 15 календарных дней до дня фактического прекращения осуществления деятельности. Нарушение этого срока может привести к коллизии, когда деятельность уже остановлена, но юридически компания несет ответственность за соблюдение лицензионных требований.

Шаг 2: Подготовка пакета документов Главным документом является заявление по установленной форме (Приложение № 7 к Административному регламенту). Анализ образца заявления показывает необходимость указания следующих данных:

Полное и сокращенное наименование лицензиата.
Адрес места нахождения и осуществления деятельности.
Контактные данные (телефон, e-mail).
Регистрационный номер лицензии и срок ее действия (для старых лицензий).
Четкая формулировка: «Прошу прекратить действие лицензии №…».
Указание конкретного вида деятельности (ТЗКИ или Разработка).

Шаг 3: Каналы подачи Заявление может быть подано двумя способами :

Традиционный: Заказным почтовым отправлением с уведомлением о вручении.
Цифровой: В форме электронного документа, подписанного усиленной квалифицированной электронной подписью (ЭЦП). Использование ЭЦП требует наличия действующего сертификата ключа проверки, выданного аккредитованным удостоверяющим центром.

Шаг 4: Принятие решения Регулятор рассматривает заявление и принимает решение о прекращении действия лицензии в течение 10 рабочих дней со дня получения документов. С этого момента организация исключается из реестра действующих лицензиатов.

Глава 4. Реестр аккредитованных органов и лабораторий: Инфраструктура доверия

4.1. Специфика аккредитации

Испытательные лаборатории и органы по сертификации являются «руками» ФСТЭК, проводящими технические испытания. Их деятельность регулируется наиболее жестко, так как от качества их работы зависит безопасность всей экосистемы. Основным документом здесь выступает Приказ ФСТЭК от 10.04.2015 № 33 «Об утверждении Правил выполнения отдельных работ по аккредитации…».

4.2. Механизмы приостановления и прекращения аккредитации

В отличие от лицензий, где приостановление — редкая мера, в сфере аккредитации механизм приостановления действия аттестата используется регулятором активно как инструмент дисциплинарного воздействия.

4.2.1. Приостановление (Suspension)

Решение о приостановлении оформляется приказом ФСТЭК. Согласно практике и регламентам , срок приостановления не может превышать 90 календарных дней.

Кейс 2025 года: В период с сентября по ноябрь 2025 года ФСТЭК России приостановила действие аттестатов аккредитации 12 испытательных лабораторий, включая такие значимые структуры рынка, как «Газинформсервис», «НТЦ “Ирбис”», «ЛИССИ-Софт» и подразделения АО «НТЦ «Атлас». Это свидетельствует о масштабной кампании по перепроверке компетентности лабораторий. В период приостановки лаборатории запрещено выдавать протоколы испытаний, что парализует процессы сертификации их клиентов.

4.2.2. Прекращение (Revocation)

Окончательное исключение из реестра аккредитованных лиц происходит в случае:

Неустранения нарушений, повлекших приостановление, в течение 90 дней.
Подачи заявления аккредитованным лицом (добровольный выход). Срок рассмотрения такого заявления обычно не превышает 5 рабочих дней (по аналогии с процедурами ФСА, интегрированными в общие правила аккредитации).

Исключение лаборатории из реестра несет высокие вторичные риски: результаты испытаний, проведенных такой лабораторией незадолго до отзыва аттестата, могут быть подвергнуты ревизии, что ставит под угрозу действие сертификатов на проверенные ею продукты.

Глава 5. Процедурная матрица исключения (Сводные данные)

Для удобства профессионального использования ниже приведена сводная таблица процедурных требований для исключения из различных реестров ФСТЭК.

Параметр	Реестр СЗИ (Сертификаты)	Реестр Лицензиатов (ТЗКИ/СЗКИ)	Реестр Аккредитованных лиц
Нормативная база	Приказ ФСТЭК № 55 (п. 89-92)	Приказ ФСТЭК № 84, 99-ФЗ	Приказ ФСТЭК № 33
Срок уведомления	Не регламентирован жестко (по факту решения)	За 15 дней до прекращения деятельности	По факту решения
Форма заявления	Произвольная (с обязательными реквизитами) / Приложение к договору	Приложение № 7 к Регламенту	Установленная форма заявления
Срок принятия решения	5 рабочих дней (на уведомление)	10 рабочих дней	До 5 рабочих дней
Ключевые риски	Принудительное исключение за отсутствие техподдержки	Административная ответственность за неуведомление	Аннулирование протоколов испытаний
Ссылка на документ	³	¹¹	⁴

Глава 6. Анализ последствий и стратегические выводы

6.1. От «бумажной» безопасности к реальной

Анализ динамики реестров за 2022–2026 годы демонстрирует смену парадигмы. Реестры перестали быть «кладбищем» бессрочных документов. Введение требований по уровням доверия (Приказ № 76 ) и жесткая привязка к базам уязвимостей (БДУ) превратили реестры в оперативные дашборды состояния кибербезопасности страны.

6.2. Риски для бизнеса

Для интеграторов и вендоров процедура исключения из реестра (особенно принудительная) несет экзистенциальные риски.

Репутационный крах: Информация о приостановлении действия аттестата или сертификата публикуется в открытом доступе и мониторится конкурентами и заказчиками.
Финансовые потери: Запрет на реализацию остатков продукции (п. 91 Приказа № 55) ведет к прямым убыткам.
Юридическая ответственность: Продолжение деятельности после исключения из реестра лицензиатов подпадает под действие статьи 171 УК РФ (Незаконное предпринимательство), если доход превышает установленные лимиты.

6.3. Рекомендации по комплаенсу

Участникам рынка рекомендуется внедрить внутренние регламенты мониторинга статусов в реестрах ФСТЭК.

Для вендоров: Автоматизировать отслеживание уязвимостей в БДУ и синхронизировать процессы патч-менеджмента с SLA регулятора (24 часа для критических уязвимостей).
Для лицензиатов: В случае реорганизации или смены адреса подавать заявления заблаговременно, не дожидаясь плановых проверок.
Для заказчиков: Использовать автоматизированные средства проверки валидности сертификатов СЗИ в режиме реального времени, так как статус «Действует» сегодня может смениться на «Прекращено» завтра.

Заключение

Протоколы ведения реестров ФСТЭК России представляют собой сложную, бюрократически выверенную систему, интегрированную в общую стратегию национальной безопасности. Исключение из этих реестров — это строго формализованный процесс, имеющий как добровольную, так и принудительную природу.

Понимание механизмов, описанных в приказах № 55, № 84 и № 33, позволяет организациям управлять своими регуляторными рисками. В текущих реалиях «пассивное» нахождение в реестре невозможно: правовой статус требует активного подтверждения через техническую поддержку, устранение уязвимостей и соблюдение лицензионных требований. Любое отклонение от протокола (будь то пропуск срока патчинга или непредоставление отчетности) запускает административный механизм исключения, остановить который постфактум практически невозможно.