Контроль встраивания межу cryptcp и КриптоПро CSP - тут всё понятно.
Если мы разработаем приложение, которое будет работать с cryptcp, то получается нам нужно будет проводить контроль встраивания cryptcp в наше приложение?

Я поняла, что cryptcp прошло контроль встраивания.
По идее, дальше без разницы, кто будет с ним работать - другое ПО или пользователь

Все эти проверки, которые Вы перечисли, это наши проблемы :)
Главное чтобы cryptcp с CSP работало нормально :)
по идее с cryptcp что сторонняя прога, что пользователь может работать с ошибками ...
Но работу ПО необходимо проверять на встраивание, а пользователя нет ... :)

Этот контроль встраивания сильно связывает руки при разработке приложений для автоматической работы с ЭП

Мы Вам конечно можем сказать, что наплюйте на контроль встраивания и не связывайте себе руки. Да и про Ваше ПО всё понимаем. Но Вы всё таки ждёте от нас не этого, а отета "как правильно со всех точек зрения".
Поэтому говорим, что если Вы орган власти, если Вы государственная система, если у Вас cryptcp применяется для шифрования - то Вы должны пройти контроль встраивания. Вот теперь посмотрите, может Вы не такие? :-)

Всё нормально!

Согласно части 4 статьи 19 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных", состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

В соответствии со статьёй 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России.

Во исполнение Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" подготовлены "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённые руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.

В соответствии с пунктом 5.1 указанных выше "Методических рекомендаций..." (цитирую) "Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).".

Таким образом, если у Вас есть утверждённая оператором ИСПДн модель угроз и модель нарушите, которая определяет, что Вы используете для защиты ПДн СКЗИ класса КС1 или КС2, то Вы контроль встраивания в ФСБ НЕ ПРОИЗВОДИТЕ!

Убедил? :-)

А это уже не имеет отношение к встраиванию как таковоу или контролю встраивания. Это относится к статье 171 "незаконное предпринимательство" Уголовного кодекса РФ. Цитирую: Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна. Ибо Вы не встраиваете, а разрабатываете защищенную с использованием шифровальных (криптографических) средств информационную систему. Такая деятельность подлежит обязательному лицензированию в соответствии с частью 1 статьи 12 Федерального закона 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности". Читайте об этой лицензии тут http://www.cryptopro.ru/...sts&m=6712&#6712

Так что если Вам не хочется получать такую лимцензию и Вашему директору не хочется, что бы его стремали по 171 статье, Вам нужно подумать... Вы сами будете эксплуатировать эту информационную систему. Т.е. сами создаёте и сами эксплуатируете? Если да, то Вам лицензия не нужна. Или Вы делаете под заказ?