Изучил тему контроль корректности встраивания http://www.cryptopro.ru/...aspx?g=posts&t=1534, в общем и целом согласен с заявлениями представителей КриптоПро, но у меня возник один вопрос:

Юрий Маслов сообщил, что статус документа ПКЗ-2005 выше, чем статус Методических рекомендаций по персональным данным ФСБ. И на основании этого было сказано, что для защиты персональных данных в госорганах при встраивании СКЗИ в ПО даже с уровнем КС1, КС2 оценку влияния проводить надо. Для негосударственных организаций этого делать не нужно. Однако, если считать, что ПКЗ-2005 имеет более высокий статус, то его положения обязательны для защиты любой информации, конфиденциального характера, подлежащих защите в соответствии с законодательством РФ (см п.3 ПКЗ-2005), т.е. и для защиты персональных данных, а значит оценку влияния при встраивании СКЗИ в ПО проводить обязательно вне зависимости от типа организации. Тогда зачем вообще писался п.5.1 Методических рекомендаций? На основании этого, можно сделать вывод, что для защиты персональных данных при условиях п.5.1 оценку влияния для госорганов все-таки проводить необязательно (если это не указано в ТЗ Заказчиком или не оговорено в отраслевых нормативных документах отдельно). Как вы можете прокомментировать этот момент?