Вопрос №8 от 10.03.2011

Ответ: Если читать ПП №504 от 15 августа 2006г. и ФЗ №128-ФЗ от 8 августа 2001г. "О лицензировании отдельных видов деятельности", то ответ однозначен - лицензия нужна, даже для осуществления технической защиты конфиденциальной информации для собственных нужд. К тому же, не думаю что строчка некоего приказа может отменить букву закона.

С другой стороны, если вы имеете ввиду криптографическую защиту информации, то лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами. Согласно данного постановления:

1. Если оператор ПДн приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
2. Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.

Так же, по этой ссылке, Вы можете посмотреть ответ ФСТЭК России на подобный вопрос, заданный Министерством здравоохранения и социального развития РФ.