Softline объяснила, как бизнесу снизить риски при лицензионном контроле ФСТЭК
Эксперты ГК Softline проанализировали новый обзор правоприменительной практики ФСТЭК за 2025 год и сравнили его с данными за предыдущий. Для ИТ и ИБ-компаний, государственных организаций, объектов критической информационной инфраструктуры (КИИ) и бизнеса это сигнал: формальное соответствие требованиям больше не защищает от предписаний и административных мер.
Контроль становится точнее: что изменилось в практике ФСТЭК
ФСТЭК опубликовала обзор практики лицензионного контроля в сфере технической защиты конфиденциальной информации и разработки средств защиты за 2025 год. Документ важен не только для держателей лицензий, но и для компаний, которые выбирают подрядчиков для проектов по информационной безопасности.
Сравнение двух обзоров показывает несколько изменений. В новом документе указано 3396 лицензий на деятельность по технической защите конфиденциальной информации и 1544 лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. В предыдущем обзоре было 3447 и 1557 соответственно – снижение составило 64 лицензии.
Это значит, что часть компаний либо не смогла подтвердить соответствие требованиям, либо ушла с рынка. В результате усиливается консолидация: остаются игроки с более зрелыми процессами, ресурсами и выстроенной системой соответствия. Для заказчиков это снижает риск работы с формально лицензированными, но фактически неподготовленными подрядчиками, и одновременно сужает выбор и повышает требования к проверке партнеров.
При этом число проведенных проверок осталось на прежнем уровне: в 2024 году ФСТЭК провела 27 проверок из 36 запланированных, в 2025 году – 27 из 31. Однако количество организаций с выявленными нарушениями выросло с 9 до 11. То есть ФСТЭК находит больше нарушений при меньшем числе проверок: это признак того, что контроль стал более жестким и точечным.
Ключевой риск – квалификация сотрудников
Главный сигнал 2025 года связан с квалификацией сотрудников. ФСТЭК указала, что наиболее частые нарушения касаются требований к повышению квалификации по лицензируемым видам деятельности.
Эксперты Softline отмечают несколько типичных проблем, с которыми сталкиваются ИБ-компании и интеграторы. Во-первых, обучение проводится нерегулярно и часто откладывается до момента проверки. Во-вторых, документы о повышении квалификации не всегда соответствуют фактическим ролям сотрудников в проектах. В-третьих, ответственность за лицензионное соответствие размыта между ИБ, HR, юридическим блоком и руководителями проектов.
«Для лицензиатов ФСТЭК сейчас ключевой риск связан с тем, что проверки стали более предметными. Регулятор чаще выявляет формальные несоответствия — прежде всего по повышению квалификации сотрудников и подтверждению их участия в лицензируемой деятельности. Поэтому компаниям важно заранее проверить не только комплект документов, но и реальные процессы: кто отвечает за соответствие, как организовано обучение и как устраняются замечания», – комментирует Анатолий Сазонов, руководитель департамента соответствия требованиям по информационной безопасности Infosecurity (входит в «Софтлайн Решения», ГК Softline).
Не только штрафы: реальные последствия для бизнеса
Динамика мер воздействия со стороны ФСТЭК указывает на смену подхода. В 2024 году ведомство вынесло четыре штрафа, в 2025-м – всего один штраф и два предупреждения. При этом число организаций с выявленными нарушениями выросло с 9 до 11.
Разрыв между ростом нарушений и падением штрафов объясняется переходом к превентивной модели. В 2025 году регулятор провел 953 профилактических мероприятия, из них 937 – консультации. Бизнес получает шанс устранить недочеты без финансовых потерь. Но если рекомендации игнорируются, ФСТЭК действует адресно и жестко. Контроль стал детальнее, а взаимодействие – плотнее, хотя формальных санкций меньше.
Для бизнеса риски сместились из административной плоскости в операционную. Главная угроза – не штраф, потеря доверия клиентов, срывы сроков проектов, ограничения при участии в закупках и необходимость срочно устранять замечания регулятора.
Для заказчиков из госсектора, КИИ, промышленности и финансового сектора ситуация также критична: несоответствие подрядчика требованиям может повлиять на устойчивость всей цепочки поставки ИБ-услуг.
Softline отмечает, что снижение числа штрафов не означает смягчения контроля. Регулятор усиливает профилактическую работу, но при выявлении нарушений действует адресно и более точно.
Что проверить в первую очередь: практический чек-лист
ГК Softline рекомендует компаниям начать с внутреннего аудита лицензионного соответствия:
- Сопоставить фактические роли сотрудников с документами о квалификации.
- Ввести регулярный график повышения квалификации.
- Проверить комплект лицензионных документов: приказы, должностные инструкции, сведения о специалистах, подтверждение обучения.
- Убедиться, что документы отражают реальные процессы и распределение ответственности.
- Назначить ответственного за лицензионное соответствие и закрепить зоны ответственности между подразделениями.
- Проработать ранее полученные замечания и сформировать план их устранения.
При выборе подрядчиков специалисты Softline советуют оценивать не только наличие лицензии, но и зрелость процессов: актуальность квалификации специалистов, опыт прохождения проверок и прозрачность внутренних процедур.
Как компаниям выстроить устойчивое соответствие требованиям
ГК Softline рассматривает лицензионное соответствие как управляемый процесс, а не разовую подготовку к проверке. Эксперты помогают оценить текущий уровень готовности, выявить разрывы между документами и реальной практикой, выстроить систему контроля и подготовиться к проверкам.
Такой подход особенно востребован у организаций с высокой регуляторной нагрузкой – интеграторов, поставщиков ИБ-услуг, промышленных предприятий, компаний госсектора и операторов критической инфраструктуры. Задача – не просто пройти проверку, а обеспечить устойчивость процессов после нее.
Вывод
Обзор ФСТЭК за 2025 год показывает: контроль становится более точным, а требования – более чувствительными к деталям. Рост числа выявленных нарушений и снижение количества лицензий указывают на усиление требований к рынку.
Для бизнеса это означает необходимость перехода от формального соответствия к системной работе с процессами и квалификацией сотрудников. В таких проектах особенно важно иметь надежного ИТ-партнера, который поможет выстроить устойчивую модель соответствия и снизить риски при взаимодействии с регулятором.



