Насчет HTTPS - по сути, организуется "узаконенная" атака MiTM. При запросе устанавливается соединение пользователь - портал провайдера и портал провайдера - запрашиваемый сайт HTTPS. Сертификат ресурса таким образом подменяется на сертификат провайдера. С точки зрения удаленной стороны, вообще ничего не заметно.
Понятное дело, что после этого сессия перехватывается с полпинка.
Кстати, этим решениям сто лет в обед. Любой портал аутентификации публичного Wi-Fi делает такую штуку в целях внедрения рекламы в просматриваемый контент.
Например, портал Московского метрополитена.
---
Про СОРМ все написали правильно. Он не является ГИС (Государственной Информационной Системой) и не является ИС, которая обрабатывает персональные данные пользователя.
А вот биллинг, складской учет и бухгалтерия у оператора связи подпадают под действие ФЗ-152 на 100%.
---
И еще - регламенты ФСТЭК и ФСБ предусматривают не "иметь сертификат ФСБ на Windows", а иметь установленное сертифицированное п/о контроля целостности, п/о шифрования согласно ГОСТ, п/о антивирусной защиты и - не поверите - п/о детектора атак на АРМах пользователей.
Такие дела... С серверным оборудованием мороки немного больше, но "сертификатов на Windows" там тоже нет, зато есть сертифицированные криптошлюзы и аппаратные сертифицированные IDS в сегменте границы сети.