возможность обслуживания сети и генерации ключей самостоятельно

[elly]

помогите, пожалуйста, разобраться с не техническими тонкостями. 

Дано:

Государственная ИС (ИСПДн), функции оператора ИС выполняет некоммерческая организация, не имеющая лицензий ФСТЭК и ФСБ. С помощью лицензиата развернута сеть випнет. Ответственный пользователь криптосредств прошел обучение в инфотексе, имеет возможность продлить сертификаты (в которых, насколько я помню,  что-то  написано о возможности предоставления услуг).

Среди пользователей ИС – работники органов гос. власти и других организаций, выполнение определенных функций которых в данной ИС закреплено законодательно. Небольшая часть вышеупомянутых организаций в силу непреодолимых обстоятельств (например, удаленные сельские районы или не положено) не имеет подключения к ГМСПД и работает в ИС через випнет монитор как абонентский пункт сети випнет организации-оператора. Сеть ГМСПД - доверенная по отношению к сети оператора. В самой организации-операторе также есть несколько рабочих мест, подключенных через випнет монитор.

ИС дважды успешно прошла аттестацию, к которой организация-оператор готовилась с привлечением лицензиата. По изданным при первой аттестации документам организация-оператор являлась органом криптозащиты в своей сети випнет и могла генерировать ключи для использования внутри себя и внутри своей сети випнет. При второй аттестации, документы которой я сейчас разбираю,  про это не было упомянуто.

Вопрос:

возможно ли создание ключей работником организации-оператора для передачи их ОГВ и прочим организациям-пользователям ИС? а для установки на рабочих местах работников организации-оператора? вроде как, эксплуатация СКЗИ - это нелицензируемый вид деятельности, согласно ПП №313.

имеет ли смысл ответственному пользователю криптосредств для этого в очередной раз подтвердить сертификат в инфотексе?

(договор с лицензиатом есть, но хотелось бы с ключами справиться своими силами, если это возможно)

[Vintik]

Если вы являетесь владельцем сети (Администраторам УКЦ ЦУС), то кто вам запретить может выдавать (генерировать) ключи и т.п.? Кому хотите тому и давайте, вопрос лишь в том, как у вас ИСПДн организована, скорее всего тут придётся больше думать. Потом уже "обучить" и выполнить требования СКЗИ (если потребуется то приобрести ПО (СКЗИ, АНТ, НСД) инструкции завести, журналы и т.п. у оператора). Ну и не забывать, что передача должна быть так же по требованиям (лично в руки или по доверенным каналам).

Послушаем конечно ещё мнение. 

[Xenobius]

1 час назад, Vintik сказал:

Если вы являетесь владельцем сети (Администраторам УКЦ ЦУС), то кто вам запретить может выдавать (генерировать) ключи и т.п.? Кому хотите тому и давайте,

Вот тут не согласен. В соответствии с п.1 ч.1 ст.12 Федерального закона от 04.05.2011 г. 99-ФЗ "О лицензировании отдельных видов деятельности":

Цитата

 разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

Т.е. "кому угодно" раздавать ключи, в соответствии с требованиями ФЗ, не получится. Как указано, осуществлять какую-либо деятельность с шифровальными средствами без наличия соответствующей лицензии ФСБ можно только "для собственных нужд юридического лица или индивидуального предпринимателя".

По вопросу elly не совсем понятно - Вы интересуетесь по продлению лицензии именно ФСБ, или по сертификату (какому-то) от "ИнфоТеКС"? Что именно это за сертификат от производителя? На что именно - партнерство, обученный персонал (администратор или инженер)?

[elly]

53 минуты назад, Xenobius сказал:

По вопросу elly не совсем понятно - Вы интересуетесь по продлению лицензии именно ФСБ, или по сертификату (какому-то) от "ИнфоТеКС"? Что именно это за сертификат от производителя? На что именно - партнерство, обученный персонал (администратор или инженер)?

работник организации-оператора прошел обучение в инфотекс. у него есть корочки о прохождении обучения (2 курса) и сертификаты, подлежащие подтверждению ежегодно, вот такого типа (первый попавшийся нагугленный): 

у работника организации-оператора таких сертификата 2: администратор и инженер.

меня интересует, что в данном случае означает фраза "дает право оказывать услуги...", и дает ли данный сертификат право оказывать услуги в описанной мною ситуации, т.е. генерировать ключи не только для собственных нужд, но и для работы других организаций в собственной сети.

[Xenobius]

Так это в корне разные вопросы. Этот сертификат - подтверждение того, что конкретный работник имеет технические навыки для работы с комплексом VipNet для Windows. К ПП-313 это не имеет вообще никакого отношения. В этом постановлении говорится о наличии совершенно другой необходимой квалификации, зависящей от исполняемого виды деятельности. Если стоит вопрос продления именно этого сертификата - то, думаю, это на усмотрение именно этого работника и организации владельца сети. Если возможность и деньги есть - значит нужно ехать учиться. Правда есть другой момент - в случае проведения проверки ФСБ или ФСТЭК могут спросить: "Кто создавал сеть? Кто эксплуатирует? Кто осуществляет техническую поддержку". И если такого действующего сертификата не будет - это будет лишний повод написать замечание, что сеть сопровождает не квалифицированный именно у этого вендора специалист. Оборудование, ведь, специфическое, информации по настройке и сопровождению в открытых источниках практически нет. Поэтому, отвечая на Ваш вопрос в самом первом сообщении - я думаю, что смысл продлевать сертификаты есть. Тем более, что Вы из гос. организации - как известно тут проверке чаще, и контролирующих органов больше, чем проверяющих коммерческие компании.

А вот, что касается требований к персоналу по ПП-313, то там мало иметь такой сертификат от ИнфоТеКСа, как Вы привели в качестве примера. Ответственный работник должен иметь профильное образование по информационной безопасности, либо пройти курсы повышения квалификации (переквалификации) по информационной безопасности, в размере 100, 500 или 1000 аудиторных часов, в зависимости от занимаемой должности (технический специалист или руководитель) и выполняемого вида деятельности. Собственно, в учебном центре ИнфоТеКСа (как и в других учебных центрах) такой курс тоже есть, длится он порядка 4-5 месяцев ,в зависимости от требуемого количества аудиторных часов.

[Vintik]

1 час назад, Xenobius сказал:

.... можно только "для собственных нужд юридического лица иди индивидуального предпринимателя".....

Так я и понял они для своих нужд, т.е. своим же операторам выдают ключи, ни каких собственных СКЗИ они не производят, не продают и не внедряют.

Сертификаты от Инфотекса, это хорошее подтверждение, что человек может использовать их ПО, хотя он так же может и от Кода Б. или от Стерра внедрять продукты, т.к. скорее всего имеет общую подготовку по СКЗИ, а не шарлотан как я допустим.

Конечно, если речь идёт о внедрении как сторонняя организация и там где требуется лиц. ФСБ, то сертификаты от инфотекс помогут только в том, если те кто имеют серт. ФСБ наймут этого человека для работы. 

[elly]

простите, но вопрос звучал немного иначе: 

возможно ли согласно действующим НПА создание ключей прошедшим обучение работником организации-оператора, которая является владельцем сети випнет, для передачи их организациям-пользователям ИС, которые работают в этой сети, и для установки на рабочих местах работников организации-оператора?

все остальное - уточнения, на мой взгляд, необходимые для прояснения текущей ситуации.

в рамках данной темы я не касаюсь вопросов обучения работников, получения лицензий и выполнения требований законодательства по защите пдн)

[Xenobius]

3 минуты назад, Vintik сказал:

Так я и понял они для своих нужд, т.е. своим же операторам выдают ключи, ни каких собственных СКЗИ они не производят, не продают и не внедряют.

А вот это - очень большой вопрос, на который нет однозначного ответа. Что значит "собственные нужды"? Из-за того, что в ФЗ нет чёткого определения этого понятия, мнения делятся на два лагеря. Одни считают, что "собственные нужды" - это эксплуатация шифровальных средств в рамках одного юридического лица. Лично я придерживаюсь такого мнения.

Другие считают, что можно выдавать ключи шифрования вообще всем подряд (другим юридическим и физическим лицам), но на безвозмездной основе и для каких-то "собственных" нужд организации владельца ViPNet-сети. Считаю это не правильным, хотя бы потому, что это суждении вообще никак не коррелирует с Инструкцией ФАПСИ №152 (не буду вдаваться в подробности).

3 часа назад, elly сказал:

Среди пользователей ИС – работники органов гос. власти и других организаций, выполнение определенных функций которых в данной ИС закреплено законодательно. Небольшая часть вышеупомянутых организаций в силу непреодолимых обстоятельств (например, удаленные сельские районы или не положено) не имеет подключения к ГМСПД и работает в ИС через випнет монитор как абонентский пункт сети випнет организации-оператора. Сеть ГМСПД - доверенная по отношению к сети оператора. В самой организации-операторе также есть несколько рабочих мест, подключенных через випнет монитор.

В данном рассматриваемом случае идёт прямое упоминание того, что ключи передаются и сторонним организациям. Поэтому считаю, что кроме всего прочего необходима лицензия ФСБ на деятельность с шифровальными средствами. То, что ИС проходила аттестацию, это, безусловно, хорошо. Но право на эксплуатацию СКЗИ, получается, в данном случае под вопросом. К тому же учитывая, что речь идёт о государственном предприятии - странно, что проверяющие из УФСБ до сих туда не заглянули.

По поводу обсуждения понятия "собственные нужды" приведу пару ссылок ИБ-блогера Сергея Борисова, там весьма интересное обсуждение этого понятия и применения криптографии в целом. В целом я с ним согласен. Но сразу замечу - он заместитель директора по ИБ в одном интеграторе, со всеми вытекающими из этого особенностями...

[elly]

22 минуты назад, Xenobius сказал:

А вот это - очень большой вопрос, на который нет однозначного ответа. Что значит "собственные нужды"? Из-за того, что в ФЗ нет чёткого определения этого понятия, мнения делятся на два лагеря. 

поэтому я и не могу определиться, можно или нет)

забыла добавить в 1 сообщении, что ключи выдаются безвозмездно, и пользование ИС тоже безвозмездно

организация не является госорганом. выдача ключей планируется, и я выясняю, как это сделать правильно.

спасибо за ссылки.

[elly]

насколько я поняла из 2 ссылки, ОКЗИ в подобных случаях, когда у оператора нет лицензии, является лицензиат ФСБ, и он должен контролировать выполнение всех изложенных в документации требований? т.е. существующего договора с лицензиатом (техзащита) мало, нужен еще договор на ОКЗИ?

[Vintik]

Ссылки хорошие, тоже соглашусь, спасибо.

На счёт договоров на ОКЗИ не уверен, т.к. я понял у вас уже есть некая ИСПДн, атетстованая, где чётко прописано как её использовать, и так же указано, что при подключении операторов (а кто они это уже вам решать), они должны использовать определённые меры, в том числе и канал СКЗИ Випент. И вот тут как раз вы выполняете то, что вам прописали ОКЗИ и это их ответственность, а выполнение - это ваша и тут не кто следить за этим не станет (обычно).

На пример я стану вашим операторам, вы впишиет мня, возьмёте о неразглашении, по всем правилам инструкциям ознакомите, обязуете применять всё и тогда выдадите мне ключ, т.е. просто "допуск". А если я не использую серт. антивирус на пример, что требует СКЗИ или на НСД не стал тратиться, что требуется в общем к раб. месту, то виноват уже я (хотя без этих данных вы мне и ключа не дадите по сути).

Но это всё условно, т.к. обычно ИСПДн вроде подразумевает уже какое то кол-во участников, хотя у вас всё по другому может быть.

===

Как например вот подключаются к неким порталам по докуемнтообороту и т.п.?

Той же россакредитации, есть требования приобрести СКЗИ ВИпнет КС3 и КЭП, дальше они получают ключи и вперёд, НО кто то требует от них атетстованное место и все данные которое нужно реально для КС3? А сколько бухгалтеров (я в общем беру всех кто сдаёт отчётность) все работают с СКЗИ и понятно только по ГОСТ, но.....

===

Так что мне кажется, когда есть ИСПДн и ".. ИС дважды успешно прошла аттестацию .."  то надо перечитать документы по Атетстации, как там изложена модель угроз, какие функции определены и как должны исполняться. Допустим там написано, что участники при подключении удалённо по открытым сетям (не в рамках локальной сети (ДМЗ)), должны обеспечить подключение по шифрованному "ГОСТовому" каналу, для чего применяется ПО Випент имеющее действующий сетификат...

Вот и всё вроде, канал обеспечили - да. Предупредили оператора, что при использовании СКЗИ надо выполнять требования ФСБ - да, Взяли автографы. если требуется, что ознакомлены с инструкциями, вводный инструктаж провели, а что там дальше будет (ну про КС в росакред. я уже не стану вспоминать).

[elly]

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

[Xenobius]

38 минуты назад, Vintik сказал:

На счёт договоров на ОКЗИ не уверен, т.к. я понял у вас уже есть некая ИСПДн, атетстованая, где чётко прописано как её использовать, и так же указано, что при подключении операторов (а кто они это уже вам решать), они должны использовать определённые меры, в том числе и канал СКЗИ Випент. И вот тут как раз вы выполняете то, что вам прописали ОКЗИ и это их ответственность, а выполнение - это ваша и тут не кто следить за этим не станет (обычно).

В соответствии с Инструкцией ФАПСИ №152 ОКЗИ в любом случае должен быть. Либо свой (при наличии лицензии ФСБ), либо сторонний по заключению договора с лицензиатом ФСБ.

38 минуты назад, Vintik сказал:

Вот и всё вроде, канал обеспечили - да. Предупредили оператора, что при использовании СКЗИ надо выполнять требования ФСБ - да, Взяли автографы. если требуется, что ознакомлены с инструкциями, вводный инструктаж провели, а что там дальше будет (ну про КС в росакред. я уже не стану вспоминать).

Здесь Вы описали исполнение требований ст. 18.1 и 19 152-ФЗ "О персональных данных" по обеспечению безопасности обработки ПДн. Но требования ФСБ для всего этого, получается, не учитываются от слова "никак". В том-то и заключается самая большая сложность убедить работодателя/клиента, что мало исполнить требования ФЗ. Нужно ещё их правильно исполнить.

30 минуты назад, elly сказал:

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

То есть, абонентские пункты не являются именно клиентами Вашей сети (вашей лицензии)? У вас установлено межсетевое взаимодействие с другими ViPNet-сетями? Если это так, то тогда нет необходимости получать лицензию именно на лицензируемый вид деятельности с шифровальными средствами, нормально отрабатывается понятие "для собственных нужд". Но с ОКЗИ для себя всё равно что-то нужно решать. А это, получается, либо получать, всё же, свою лицензию, либо заключать договор на оказание услуг ОКЗИ с кем-то другим. Потому что по факту вы всё равно, тем или иным способом, эксплуатируете СКЗИ.

[Vintik]

17 минуту назад, elly сказал:

дополнительный нюанс.

ПО випнет, установленное в абонентских пунктах организаций-пользователей, принадлежит организации-оператору.

Ну вот видите, т.е. мне не видать подключения к вам если я не буду работать в вашей организации, тогда и вовсе получается "обычная" распределённая ИСПДн внутри организации. Ключи генирить вы можете как новым сотрудникам (операторам) так и прежним (может у вас по регламенту прописано менять их кажды пол года и выдавать лично в руки, откуда нам знать) и всё ограничение, ограничиваются структурой ИСПДн (на пример у вас там прописано 33 соединения, а вы решили увеличить до 33000, то коенчно уже тут может и уровень другой появиться и требования т.к. данные значительно расширятся).

[Xenobius]

С одной стороны, казалось бы, лучше получить лицензию ФСБ на деятельность с шифровальными средствами - и нет вопросов. Да, это не очень дешёвое дело (аттестация объекта информатизации, где располагаются технические средства, на которых функционирует ЦУС и УКЦ), формирование всех необходимых документов, получение самой лицензии. Необходимые документы, обычно, формирует та же фирма, которая производится аттестацию ОИ. Сейчас достаточно много таких фирм, которые помогают получить такую лицензию - были бы деньги.

Но с другой стороны, и это наиболее отталкивающий от такого шага фактор - получив лицензию Ваша компания станет объектом регулярных (плановых и внеплановых) проверок ФСБ в рамках этого вида деятельности.

Консультироваться по этому поводу с "конторой" смысла нет, скорее всего ответ будет "Да, лицензия нужна".

[elly]

15 минуту назад, Xenobius сказал:

То есть, абонентские пункты не являются именно клиентами Вашей сети (вашей лицензии)? У вас установлено межсетевое взаимодействие с другими ViPNet-сетями? Если это так, то тогда нет необходимости получать лицензию именно на лицензируемый вид деятельности с шифровальными средствами, нормально отрабатывается понятие "для собственных нужд". Но с ОКЗИ для себя всё равно что-то нужно решать. А это, получается, либо получать, всё же, свою лицензию, либо заключать договор на оказание услуг ОКЗИ с кем-то другим. Потому что по факту вы всё равно, тем или иным способом, эксплуатируете СКЗИ.

абонентские пункты используют лицензии организации-оператора ИС (по совместительству, владельца сети випнет), но работают там не везде работники организации-оператора, причем, абсолютно безвозмездно)

это можно назвать "для собственных нужд"?

15 минуту назад, Xenobius сказал:

У вас установлено межсетевое взаимодействие с другими ViPNet-сетями?

да, пользователями других сетей випнет управляют организации-владельцы этих сетей.

15 минуту назад, Xenobius сказал:

В соответствии с Инструкцией ФАПСИ №152 ОКЗИ в любом случае должен быть. Либо свой (при наличии лицензии ФСБ), либо сторонний по заключению договора с лицензиатом ФСБ.

договор есть.

денег нет.

приходится экономить на всем, что не запрещено законодательно..

[Vintik]

6 минут назад, Xenobius сказал:

...Здесь Вы описали исполнение требований ст. 18.1 и 19 152-ФЗ "О персональных данных" по обеспечению безопасности обработки ПДн. Но требования ФСБ для всего этого, получается, не учитываются от слова "никак". В том-то я заключается самая большая сложность убедить работодателя/клиента, что мало исполнить требования ФЗ. Нужно ещё их правильно исполнить....

Ага. Спасибо за разъяснения. Приятно читать, даже все пункты знаете.

НО как же тогда Выполнения и Аттестат (на 3 года они же максимум), не имеет ли это тот же смысл, что я выполняю все требования, если в течении отведённого времени не нарушаю то что там написано. Зачем мне ещё договор с ними не понимаю? Я обучился (Ну.. это.. доп. курс на 1056 ч. прошёл, выбрал тему "Криптографи" на троечку  ). Что мне даст этот договор не могу точно понять?

[Xenobius]

Он даст исполнение требований документов ФСБ по вопросам касающихся эксплуатации СКЗИ, не зависимо от обработки ПДн. Аттестовали ИСПДн по требованиям обработки этих самых ПДн в ней в соответствии с ФЗ - всё хорошо, тут вопросов нет. Но я сейчас вообще не про ПДн. Я про СКЗИ. Но даже если и про ПДн - мало просто установить и запустить эти СКЗИ для обеспечения безопасности обработки ПДн. Эти СКЗИ нужно ещё правильно эксплуатировать. А тут уже аттестат на ИСПДн не причём.

[Vintik]

А кто их не правильно будет обеспечивать, если все указания получили? Ключевые носители в сейфах, как написано.

А те кто типа ОКЗИ как бы если бы и были, то больше чем эти же инструкции не дадут, максимум проверят, что СКЗИ введены верно, но они же и вводили, и используются верно, но они же и обучили и инструкции дали.

Или вы думаете от договора они будут каждый день ездить в района за 100-500 км и смотреть, а верно ли там сегодня пользователь включил ПК т.к. там СКЗИ всё равно так и так обязывают вводить и не кто не когда не будет обучать и в штат специально брать сотрудника, хорошо если там хоть сист. адм. администратор есть.

Думаю они заключат договора по возможности, с теми, кто будет аттестовал, т.к. всё равно не чего им делать уже не надо будет т.к. всё сделано, но как вариант типа договор есть и не надо не чего платить, так же тоже пойдёт? 

[elly]

кстати, при последующей аттестации мы будем согласовывать с ФСБ модель угроз)

[Vintik]

ФСБ разве этим занимается? Они могут сказать - это не наше дело, чтоб на себя не брать всю "вину", они обычно любят только проверять и указывать недочёты.

Но как вариант договора с теми кто делал аттестат думаю не плохо было бы, и им как бы хорошо, след переатестацию значит у них будете делать и у вас тот самый договор на оказание услуг ОКЗИ есть. Как бы и "И волки сыты и овцы на в порядке" :-)

[Xenobius]

9 часов назад, elly сказал:

кстати, при последующей аттестации мы будем согласовывать с ФСБ модель угроз)

С ФСБ Вы должны (опять же - раз вы не гос. предприятие, то можете изъявить добровольное желание, или можете не изъявлять его) будете согласовывать "Модель нарушителя". Точнее, в соответствии с приказом ФСБ от 10.07.2015 №378-п, "Совокупность предположений...". "Модель угроз" - это про ФСТЭК.

51 минуту назад, Vintik сказал:

ФСБ разве этим занимается? Они могут сказать - это не наше дело, чтоб на себя не брать всю "вину", они обычно любят только проверять и указывать недочёты.

Это зависит от множества факторов... Поэтому нельзя однозначно утверждать. Насколько я помню, отраслевые модели гос. компаний именно необходимо согласовывать с регуляторами. Частные модели, тем более коммерческих фирм - по желанию.

Коллеги, вы поймите разницу^ аттестация ИСПДн - это одно, исполнение требований по эксплуатации и хранении СКЗИ, даже входящих в уже аттестованную ИСПДн - это совершенно другое, никак не связанное между собой.

[basid]

В 07.08.2017в13:44, elly сказал:

возможно ли создание ключей работником организации-оператора для передачи их ОГВ и прочим организациям-пользователям ИС?
а для установки на рабочих местах работников организации-оператора?

Что такое лицензия на встраивание СКЗИ и когда она нужна.
Общий смысл: если нет деятельности (договора подряда, оказания услуг и т.п.), то нет и предмета лицензирования.
Правда, чтобы защитить такую позицию, ваши технические специалисты, юристы и руководство должны её выработать и, самое главное, быть готовы её отстаивать. Ну и, само собой, иметь грамотно оформленные документацию и инструкции.

[Xenobius]

Ключевая фраза - "готовы отстаивать". При чём отстаивать в процессе той же проверки её скорее всего не придётся. Так как офицер ФСБ, послушав какие-то доводы, просто напишет предписание об устранении выявленных нарушений, например, в полуторамесячный срок. И придётся отстаивать эту позицию уже в суде. Так как проверяющий в любом случае выносит предписание об устранении выявленных, пускай даже на его взгляд, нарушений. И просто предъявляет их руководителю предприятия. Оспаривать это предписание можно только в суде. Ваши юристы и технические специалисты с начальниками готовы судиться с ФСБ? Если да, то тогда искренне желаю удачи.

А какой-либо документ, на основании которого осуществляется подключение к сети пользователей существует? Например, регламент удостоверяющего центра? И договор присоединения к этому регламенту? Или всё настолько просто, что можно прийти, сказать: "Подключите меня. Пожалуйста!" и сразу выдадут комплект из установочного набора и dst-файла, даже не спросив необходимый перечень персональных данных для выпуска сертификата? Кстати, если используется электронная подпись, а не просто туннелирование между сетевыми узлами, то АРМ админа сети - это тоже ИСПДн, со всеми вытекающими в виде моделей угроз и нарушителя, установленных на этом АРМ СЗИ от НСД и т.д.

Вместо того, чтобы искать дыры в законодательстве (а это не может продолжаться сколь-нибудь долго) иногда, всё же, стоит попытаться максимально возможно выполнить требования этого самого законодательства.

[Xenobius]

3 часа назад, basid сказал:

Что такое лицензия на встраивание СКЗИ и когда она нужна.

Вот тот же самый вопрос, на который, к сожалению, по ссылке нет ответа, что значит "для себя"? Для тех самых "собственных нужд"? Для использования в пределах одного предприятия, или его филиальной сети, только для работников только этого предприятия и/или работников филиалов только этого предприятия? Да, тогда лицензия не нужна... В противном случае, получается предоставление услуг, пусть даже безвозмездных, другим предприятиям. Да и заметка несколько устаревшая, как мне кажется. В ПП-313 же говорится не только о "разработке", но и о других видах  деятельности, к каждому из которых предъявляются свои требования. В данном случае будет осуществляться не разработка и встраивание СКЗИ, а, например, внедрение.