Реестр лицензиатов ФСТЭК: СЗКИ и ТЗКИ — Архитектура входа и протокол суверенного выхода

МЕТАДАННЫЕ ОТЧЕТА
Целевая аудитория	Генеральные директора (CEO), Директора по безопасности (CISO), Юридические департаменты, Руководители IT-интеграторов
Ключевой риск	Регуляторная асимметрия: рост стоимости владения лицензией (TCO) на фоне ужесточения штрафной политики (КоАП 2025/26)
Горизонт планирования	2026–2029 гг. (с учетом продления адм. процедур Приказом ФСТЭК № 487)
Статус документа	Фундаментальное руководство по управлению лицензионными активами

Введение: Трансформация регуляторной парадигмы в 2026 году

К началу 2026 года ландшафт информационной безопасности (ИБ) в Российской Федерации претерпел тектонические изменения. Период экстенсивного накопления лицензий, когда компании стремились получить разрешительные документы «про запас» или ради статуса, окончательно завершился. На смену ему пришла эпоха жесткого прагматизма и регуляторной прозрачности. Лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на деятельность по технической защите конфиденциальной информации (ТЗКИ) и на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) трансформировались из статического актива в динамическое обязательство, требующее непрерывного управления ресурсами, компетенциями и рисками.

В условиях геополитической турбулентности и курса на технологический суверенитет, регулятор перешел от модели формального контроля наличия документов к модели контроля реальных процессов и цепочек поставок. Изменения в Кодексе об административных правонарушениях (КоАП РФ), вступившие в силу в 2025 году, ввели оборотные штрафы и многократно увеличили ответственность за нарушения в сфере защиты данных.  Это создало новую экономическую реальность: для многих организаций стоимость удержания лицензии начала превышать потенциальную маржинальность лицензируемой деятельности.

Данный отчет представляет собой исчерпывающее исследование экосистемы лицензирования ФСТЭК. Мы проведем глубокую деконструкцию понятий СЗКИ и ТЗКИ, проанализируем требования к соискателям через призму текущих рыночных цен на оборудование и кадры, детально разберем процедуру получения лицензии и, что является ключевым фокусом материала, представим пошаговый юридический и организационный протокол добровольного выхода из реестра лицензиатов. Особое внимание будет уделено «подводным камням» — от утилизации документов с грифом «ДСП» до управления рисками пост-лицензионного периода.

Глава 1. Онтология Реестра: СЗКИ и ТЗКИ как фундаментальные категории

Понимание различий между аббревиатурами СЗКИ и ТЗКИ является критическим для выстраивания бизнес-стратегии. Несмотря на то, что обе лицензии выдаются одним ведомством (ФСТЭК России) и часто упоминаются в едином контексте, они регулируют принципиально разные производственные процессы и требуют различных ресурсов. Ошибка в выборе типа лицензии на старте может стоить компании миллионов рублей нецелевых инвестиций.

1.1. СЗКИ: Индустрия создания защиты

Лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) регулируется Постановлением Правительства РФ от 03.03.2012 № 171 (в редакции от 27.12.2024).  Это лицензия «творцов» и «производителей» — тех, кто создает новые технологии безопасности.

Сущность деятельности

Деятельность по СЗКИ подразумевает создание отчуждаемого продукта — программного обеспечения, аппаратного устройства или программно-аппаратного комплекса (ПАК), основной функцией которого является защита информации. Ключевым маркером здесь выступает намерение сертифицировать этот продукт и продавать его как средство защиты.

Лицензированию подлежат следующие виды работ  :

1. Разработка технических средств защиты информации: Создание «железа» — шифраторов, межсетевых экранов на аппаратной платформе, генераторов шума, аппаратных модулей доверенной загрузки (АМДЗ).
2. Разработка защищенных средств обработки информации: Создание компьютеров, серверов или ноутбуков, в архитектуру которых изначально заложены механизмы защиты (например, защищенные от ПЭМИН корпуса).
3. Разработка программных средств защиты: Написание кода антивирусов, систем обнаружения вторжений (IDS), систем предотвращения утечек (DLP), сканеров уязвимостей.
4. Производство: Серийный выпуск вышеперечисленных средств. Это требует наличия производственной линии, системы контроля качества и технической документации (ТУ).

Стратегический контекст 2026 года

В 2026 году лицензия СЗКИ стала «золотым билетом» для входа в реестр отечественного ПО и оборудования. Импортозамещение, ставшее безальтернативным, требует от вендоров подтверждения того, что их разработка ведется на территории РФ, контролируется и соответствует требованиям по безопасной разработке (SDL — Security Development Lifecycle).  Без лицензии СЗКИ невозможно подать заявку на сертификацию продукта во ФСТЭК, а без сертификата — закрыт путь к государственным закупкам и субъектам критической информационной инфраструктуры (КИИ).

1.2. ТЗКИ: Индустрия внедрения и контроля

Лицензия на деятельность по технической защите конфиденциальной информации (ТЗКИ) регулируется Постановлением Правительства РФ от 03.02.2012 № 79 (в редакции от 27.12.2024). Это лицензия «интеграторов», «аудиторов» и «сервисных провайдеров».

Сущность деятельности

ТЗКИ — это процесс оказания услуг. Результатом здесь является не новый продукт, а состояние защищенности уже существующей системы заказчика или документ, подтверждающий это состояние (аттестат, протокол, отчет).

Лицензированию подлежат :

1. Контроль защищенности информации:
   • От утечки по техническим каналам (акустика, виброакустика, ПЭМИН).
   • От несанкционированного доступа (НСД). Сюда входят пентесты (тестирование на проникновение) и анализ уязвимостей.
2. Аттестационные испытания: Проверка информационных систем (ГИС, ИСПДн) и помещений на соответствие требованиям безопасности с выдачей Аттестата соответствия.
3. Проектирование в защищенном исполнении: Разработка архитектуры систем защиты, написание Технических заданий и Технических проектов.
4. Установка, монтаж, наладка и ремонт: Внедрение средств защиты (которые произвели лицензиаты СЗКИ) в инфраструктуру заказчика.
5. Мониторинг информационной безопасности: Деятельность центров SOC (Security Operations Centers) по сбору и анализу событий безопасности. 

Важный нюанс: Собственные нужды vs Услуги

Ключевым водоразделом является цель деятельности. Если организация защищает свою собственную конфиденциальную информацию (не составляющую гостайну), лицензия ТЗКИ ей, как правило, не нужна. Исключение составляют случаи, когда защита осуществляется для государственных информационных систем (ГИС) или когда деятельность по защите собственных данных неразрывно связана с получением прибыли от этой деятельности. Однако, позиция регулятора здесь строга: если вы оказываете услуги другому юридическому лицу (даже дочерней компании в рамках холдинга), лицензия обязательна. 

1.3. Сравнительная матрица различий

Для наглядности различия между двумя видами лицензий представлены в таблице ниже. Это инструмент для быстрой самодиагностики руководителя.

Критерий сравнения	Лицензия ТЗКИ (ПП № 79)	Лицензия СЗКИ (ПП № 171)
Основной фокус	Услуги, аудит, интеграция	Разработка, кодинг, производство
Результат работы	Аттестат, отчет, настроенная система	Экземпляр ПО, устройство, сертификат
Ключевой актив	Парк измерительных приборов (КИО)	Среда разработки, стенды тестирования
Требования к стажу (Руководитель)	3 года (профильное) / 5 лет (техническое)	5 лет (профильное) / 7 лет (техническое)
Регуляторный риск	Ошибки в методиках измерений, пропуск угроз	Недекларированные возможности (закладки)
Типичный обладатель	Системный интегратор, SOC, Аттестационный центр	Вендор ПО, завод радиоэлектроники

Аналитический вывод: Лицензия СЗКИ предъявляет более высокие требования к человеческому капиталу (стаж руководителей), в то время как ТЗКИ требует более значительных капитальных затрат на материальную базу (дорогостоящее измерительное оборудование).

Глава 2. Барьер входа: цена билета в клуб лицензиатов

Получение лицензии ФСТЭК — это инвестиционный проект. В 2026 году порог входа существенно вырос из-за инфляции стоимости оборудования и дефицита квалифицированных кадров. Рассмотрим детально три столпа требований: кадры, помещения, оборудование.

2.1. Кадровый императив: Битва за таланты

Требования к персоналу являются самыми жесткими и трудновыполнимыми.

Согласно ПП № 79 и № 171, лицензиат обязан иметь в штате квалифицированных специалистов по основному месту работы. Использование совместителей (ГПХ, 0.5 ставки) для закрытия лицензионных требований запрещено.

Минимальная конфигурация команды:

• Руководитель подразделения (или всей организации):
  • Высшее образование по направлению «Информационная безопасность» (группа специальностей 10.00.00).
  • Стаж работы в области лицензируемой деятельности: не менее 3 лет для ТЗКИ, не менее 5 лет для СЗКИ.
  • Альтернатива: Высшее техническое образование + переподготовка (360+ часов) + увеличенный стаж (5 лет для ТЗКИ, 7 лет для СЗКИ). 
• Инженерно-технический персонал (ИТР):
  • Минимум 2 сотрудника (для ТЗКИ) или более (для СЗКИ, в зависимости от объема производства).
  • Высшее образование (профильное или техническое с переподготовкой).
  • Стаж работы от 3 лет.

Рыночная реальность 2026 года: Найти специалиста с дипломом 10.xx.xx и подтвержденным стажем крайне сложно. Зарплатные ожидания таких сотрудников в Москве и крупных городах начинаются от 180 000 – 250 000 рублей в месяц (net). Стоимость содержания минимальной команды (ФОТ + налоги + рабочие места) составляет 6–9 миллионов рублей в год. Для малого бизнеса это становится заградительным барьером. Компании часто прибегают к найму «номинальных» сотрудников («дипломов»), однако ФСТЭК научился выявлять такие схемы через анализ отчислений в Социальный фонд России (СФР) и реальное присутствие сотрудников на проверках. 

2.2. Материально-техническая база: метрология и актуальность

Для ТЗКИ критическим требованием является наличие на праве собственности (или аренды) контрольно-измерительного оборудования (КИО).

Состав оборудования зависит от пунктов лицензии, на которые претендует заявитель.

Типовой набор для аттестации объектов (ТЗКИ):

• Анализатор спектра: для поиска побочных электромагнитных излучений и наводок (ПЭМИН). Стоимость: от 2 млн рублей (отечественные модели, т.к. доступ к Rohde & Schwarz ограничен).
• Генераторы шума и тестовых сигналов: для проверки эффективности систем зашумления.
• Антенные системы: комплект измерительных антенн.
• Программные комплексы расчетов: сертифицированное ПО для расчета зон защищенности (например, «Сигурд», «Легенда»).

Требования к оборудованию:

1. Поверка: все приборы должны быть внесены в Госреестр средств измерений и иметь действующие свидетельства о поверке. Поверка — это ежегодный процесс, стоимость которого для полного комплекта может достигать 150–300 тысяч рублей.
2. Собственность/Аренда: договоры аренды должны быть долгосрочными и прозрачными. ФСТЭК проверяет наличие оборудования физически.

Для СЗКИ требования смещаются в сторону производственного оборудования (стенды сборки, контроля монтажа) и средств разработки (серверы контроля версий, среды компиляции, средства статического и динамического анализа кода).

2.3. Помещения и Инфраструктура: «Бункер» в офисе

Лицензиат обязан располагать помещениями для размещения персонала и оборудования. Но главное требование — наличие аттестованных объектов информатизации.

1. Защищаемое помещение (ЗП): переговорная комната, аттестованная по требованиям безопасности информации для обсуждения конфиденциальных вопросов. Требует установки средств защиты от прослушивания (виброакустика) и аттестации.
2. Автоматизированная система (АС): компьютер (АРМ), предназначенный для обработки конфиденциальной информации и хранения документов «ДСП». Должен быть аттестован, иметь СЗИ от НСД (например, Dallas Lock, Secret Net) и антивирус.

Затраты на аттестацию: Создание и аттестация одного рабочего места и одной переговорной «под ключ» обходится в 250 000 – 400 000 рублей. Аттестат выдается на 3 года, после чего процедуру нужно повторять. 

2.4. Документы «ДСП»: секретная библиотека

Лицензиат обязан иметь актуальный комплект Нормативно-методических документов (НМД) ФСТЭК России. Большинство из них имеют гриф «Для служебного пользования» (ДСП).

• Их нельзя скачать в интернете.
• Их нужно покупать официально через ФАУ «ГНИИИ ПТЗИ ФСТЭК России» или региональные центры.
• Для их хранения необходимо организовать конфиденциальное делопроизводство (сейфы, журналы учета, инструкции).
• Стоимость комплекта: ~30 000 – 50 000 рублей.

Глава 3. Протокол получения: от заявки до приказа

Процесс получения лицензии — это бюрократический марафон, который занимает от 3 до 6 месяцев.

Этап 1: Подготовка (2–3 месяца)

На этом этапе компания тратит основные деньги. Необходимо:

1. Нанять или обучить персонал.
2. Закупить и поверить оборудование.
3. Подготовить помещения и аттестовать АРМ/ЗП (для этого придется нанять стороннего лицензиата ТЗКИ).
4. Разработать пакет внутренних нормативных актов (Положения, Инструкции, Руководство по качеству).
5. Закупить НМД ФСТЭК.

Этап 2: Формирование пакета документов

Соискатель подает во ФСТЭК заявление и комплект подтверждающих документов. В 2026 году подача возможна в электронном виде через Госуслуги, но объем приложений (копии трудовых книжек, дипломов, паспортов на оборудование, аттестатов) остается внушительным. 

Этап 3: Лицензионный контроль (45 рабочих дней)

ФСТЭК рассматривает заявление в течение 45 рабочих дней. 

• Документарная проверка: Эксперты в Москве или территориальном управлении проверяют бумаги.
• Выездная проверка: С высокой вероятностью (особенно для новых соискателей) назначается выездная спецэкспертиза. Инспекторы приезжают в офис, проверяют фактическое наличие людей (просят показать паспорт), включают оборудование, проверяют журналы «ДСП» и настройки СЗИ на компьютере.

Этап 4: Решение

При успешном прохождении проверки издается Приказ о выдаче лицензии, и информация вносится в Реестр лицензиатов. Лицензия действует бессрочно  , но это не означает «вечно» — она действует до момента отказа или аннулирования.

Глава 4. Операционное бремя: цена удержания актива

Получение лицензии — это только начало расходов. Статус лицензиата накладывает постоянные обязательства, неисполнение которых ведет к административной ответственности и отзыву лицензии.

Периодические расходы (OPEX)

1. Подтверждение соответствия: лицензиат обязан проходить плановые проверки ФСТЭК (обычно раз в 3 года). 
2. Повышение квалификации: каждые 5 лет сотрудники должны проходить курсы (минимум 72 часа, часто 100+ часов). Это платно.
3. Метрология: ежегодная поверка приборов. Пропуск срока поверки даже на один день делает использование оборудования незаконным.
4. Продление сертификатов на СЗИ: антивирусы и средства защиты на аттестованных АРМ требуют продления лицензий.
5. Реаттестация объектов: раз в 3 года нужно заново аттестовывать свои помещения и АРМ.

Мониторинг изменений

ФСТЭК регулярно обновляет требования и НМД. Лицензиат обязан отслеживать выход новых приказов, докупать новые методики «ДСП» и внедрять их в работу. Игнорирование новых требований (например, переход на новые ГОСТы по аттестации) является нарушением лицензионных условий.

Глава 5. ГЛАВНОЕ: стратегия выхода — протокол добровольного отказа

В 2026 году, на фоне роста штрафов и усложнения требований, вопрос «Как выйти?» стал даже более актуальным, чем «Как войти?». Многие компании, получившие лицензии в «тучные годы», осознали их токсичность: актив не приносит прибыли, но генерирует постоянные расходы и риски.

Добровольный отказ от лицензии (прекращение действия лицензии по заявлению лицензиата) — это цивилизованный способ закрыть проект и обнулить риски. Это не «сдача позиций», а инструмент стратегического управления.

5.1. Типичные причины отказа (Why Exit?)

Анализ рынка показывает три основных драйвера для выхода :

1. Экономическая неэффективность (Дорого): затраты на содержание лицензии (ФОТ 3-х специалистов + поверка + аттестация) составляют 5-10 млн руб. в год, а выручка от профильных услуг — менее этой суммы. Лицензия становится «черной дырой» бюджета.
2. Смена бизнес-модели (Нет спроса): компания ушла в облачные сервисы, разработку игр или консалтинг без технической составляющей. Лицензия ТЗКИ, полученная «на всякий случай», висит мертвым грузом.
3. Регуляторные риски (Сложно): руководство не готово нести ответственность за возможные нарушения, особенно в свете ужесточения КоАП. Страх перед внеплановыми проверками и штрафами за утечки данных побуждает закрыть непрофильное направление.

5.2. Нормативная база процедуры выхода

Процедура четко регламентирована следующими документами:

• Федеральный закон № 99-ФЗ «О лицензировании…» (статья 20). 
• Административный регламент ФСТЭК (Приказ от 17.07.2017 № 134, действие продлено Приказом № 487 до 2029 года). 
• Приказы об утверждении форм заявлений. 

Важно: сроки и последовательность процедур зафиксированы и защищены от произвола. ФСТЭК обязан их соблюдать.

5.3. Алгоритм действий: правило «15 + 10»

Процесс выхода требует строгой дисциплины. Ошибка в сроках может привести к ситуации, когда деятельность уже остановлена, а лицензия еще действует (и требует соответствия), или наоборот.

Шаг 0: Предварительный аудит (Т минус 30-60 дней)

До подачи официального заявления необходимо провести внутреннюю «зачистку»:

• Аудит обязательств: проверить все действующие договоры с заказчиками. Вы не сможете сдать работы (подписать акт), требующие лицензии, после даты прекращения ее действия. Все проекты должны быть закрыты или переданы субподрядчикам.
• Инвентаризация «ДСП»: найти все секретные книги, методички, выписки. Если что-то утеряно — лучше найти сейчас, чем объясняться с ФСБ потом.

Шаг 1: Подача заявления (Т минус 15 дней)

Согласно ч. 15 ст. 20 ФЗ-99, лицензиат обязан направить заявление не позднее чем за 15 календарных дней до дня фактического прекращения деятельности. 

• Форма заявления: строго установленная (Приложение к Адм. регламенту). В ней указываются:
  • Наименование и реквизиты юрлица (ИНН, ОГРН).
  • Номер лицензии.
  • Дата прекращения деятельности.
  • Способ получения уведомления (на бумаге или электронно).
• Способ подачи:
  • Заказным почтовым отправлением с уведомлением о вручении (Адрес: 105066, г. Москва, ул. Старая Басманная, д. 17).
  • В электронной форме, подписанной усиленной квалифицированной электронной подписью (УКЭП).¹⁹

Шаг 2: Рассмотрение регулятором (10 рабочих дней)

ФСТЭК России принимает решение о прекращении действия лицензии в течение 10 рабочих дней со дня получения заявления. 

• Решение оформляется Приказом ФСТЭК России.
• В день регистрации приказа вносится запись в Реестр лицензиатов. Именно этот момент является юридической «смертью» лицензии. 
• Госпошлина за эту процедуру не взимается. 

Шаг 3: Получение подтверждения

В течение 3 рабочих дней после принятия решения ФСТЭК направляет бывшему лицензиату уведомление о прекращении действия лицензии. С этого момента компания официально свободна от лицензионных требований.

Глава 6. Пост-лицензионный менеджмент: жизнь после отказа

Выход из реестра — это не просто бумажная работа. Это комплекс мероприятий по ликвидации инфраструктуры, созданной под лицензию. Игнорирование этого этапа чревато «фантомными болями» в виде штрафов.

6.1. Разработки и продукты (для СЗКИ)

Если компания отказывается от лицензии СЗКИ, она теряет право производить (тиражировать) средства защиты.

• Сертификаты: действие сертификатов соответствия на ранее выпущенные партии продукции сохраняется до конца срока их действия или техподдержки.
• Новые версии: выпускать обновления, патчи и новые версии сертифицированного ПО компания больше не может. Для продолжения жизни продукта права на него часто передаются партнерской организации, имеющей лицензию.
• Архив разработки: исходные коды и документация могут храниться как интеллектуальная собственность, но процесс безопасной разработки (SDL) более не контролируется ФСТЭК.

6.2. Уничтожение документов «ДСП» (Критический этап)

Это самый опасный момент. Документы с грифом «ДСП» (НМД), купленные для лицензии, нельзя просто выбросить в мусор или оставить «на память». За их утерю или разглашение грозит ответственность по ст. 13.14 КоАП РФ.²¹

Протокол уничтожения:

1. Комиссия: Приказом руководителя создается комиссия по уничтожению документов (минимум 3 человека).
2. Акт: Составляется «Акт о выделении к уничтожению документов, не подлежащих хранению» с перечнем всех инвентарных номеров НМД.
3. Физическое уничтожение: Документы должны быть уничтожены способом, исключающим восстановление текста (шредирование в мелкую крошку, сжигание). В акте фиксируется способ уничтожения.
4. Отметка: В журнале учета документов «ДСП» делается запись об уничтожении со ссылкой на Акт.
5. Альтернатива: Документы можно вернуть (сдать) в организацию, где они приобретались (ГНИИИ ПТЗИ), получив подтверждающий документ.

6.3. Персонал

Сотрудники, нанятые для соответствия требованиям (особенно если это были дорогие специалисты), становятся избыточным ресурсом.

• Перевод: Если они компетентны в IT, их можно перевести на должности, не связанные с лицензируемой деятельностью.
• Сокращение: Если сотрудники не нужны, проводится процедура сокращения штата или увольнение по соглашению сторон. Важно: увольнять их до официальной даты прекращения лицензии рискованно (см. Риски).

6.4. Оборудование и помещения

• Аттестаты: действие аттестатов соответствия на помещения и АРМ прекращается (или они просто истекают и не продлеваются). Снимать наклейки и пломбы можно, оборудование (СЗИ от НСД) можно деинсталлировать и продать.
• Приборы (КИО): специфическое оборудование (генераторы, анализаторы) можно продать на вторичном рынке другим лицензиатам. Спрос на подержанные приборы (особенно Rohde & Schwarz, Keysight) высок из-за санкций.

6.5. Архивы

Компания обязана хранить лицензионное дело и результаты работ (протоколы, заключения) в течение 5 лет после окончания деятельности. Уничтожать эти архивы сразу нельзя — они могут понадобиться при налоговых проверках или расследовании инцидентов у бывших клиентов.

Глава 7. Ландшафт рисков: где ошибаются руководители

7.1. «Серая зона» перехода

Опасный период — это 15 дней между подачей заявления и исключением из реестра.

Риск: Компания уже подала заявление и расслабилась, уволила сотрудников и продала приборы. В этот момент (теоретически) может прийти проверка.

Решение: Сохранять формальное соответствие требованиям (штат, приборы) вплоть до дня получения уведомления о прекращении лицензии.

7.2. Работа без лицензии

Самая грубая ошибка — продолжить оказывать услуги «по старой памяти» или «доделывать» проекты после отзыва лицензии.

Ответственность:

• КоАП РФ Статья 14.1 (Часть 2): осуществление предпринимательской деятельности без лицензии. Штраф для юрлиц: 40 000 – 50 000 рублей + конфискация изготовленной продукции, орудий производства и сырья. Конфискация серверов и рабочих станций может парализовать бизнес.
• УК РФ Статья 171: незаконное предпринимательство. Если доход превысил 2,25 млн рублей — уголовная ответственность для руководителя (штраф до 300 тыс. руб., арест до 6 мес.). Если доход особо крупный (9 млн руб.) или группой лиц — до 5 лет лишения свободы.