создаём ПО для своих нужд
но, к сожалению, в 99-ФЗ деление на собственные нужды и не собственные относится только к техническому обслуживанию ...

Согласно части 1 статьи 2 Гражданского кодекса, (цитирую) предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.

Таким образом, налицо противоречие в двух законах: 99-ФЗ и Гражданский кодекс.

Если Вы посмотрите обзор судебной практике, то увидите, что решения принимаются в пользу Кодекса.
Как доктор Вам говорю: не бойтесь! Никто Вас и Вашего руководителя организации не будет привлекать к ответственности за отсутвие лицензии в этом случае. Правда на Вашей стороне. Можете спросить об этом своих юристов и они подтвердят.

Прочитал всю ветку. Так и не понял надо проводить "контроль встраивания" или нет.
И так имеем два документа: приказ №66 от 09.02.2005 (ПКЗ-2005) зарегистрированный в Минюсте и методические рекомендации №149/54-144 от 21.02.2008.
В ПКЗ-2005 нет понятия «контроля встраивания», есть понятие «контроль за соблюдением правил пользования СКЗИ». Так вот этот самый контроль строго добровольный «……вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ», пункт 52.
А вот в методических рекомендациях уже есть понятия "контроль встраивания". В пункте 5.1 сказано: «Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России ....». Далее в этом пункте идет текст «Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России», а вот это уже противоречит ПКЗ-2005.
Замете нет ни одного упоминания о том, что если СКЗИ встраивается в программы эксплуатируемые в госструктурах, значит обязательно проходить "контроль встраивания" или «контроль за соблюдением правил пользования СКЗИ».
А вот теперь интересные момент. В формуляре к КриптоПро CSP есть такой текст (весь приводить не буду):
«При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований:
- для исполнений 1 (уровень защиты КС1) и 2 (уровень защиты КС2) - в следующих случаях:
1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;»
Теперь давайте попробуем практически применить эти документы. Есть программа по сдачи отчетности в ФНС, ПФР и т.д. устанавливаемая у налогоплательщиков. В эту программу встроено СКЗИ класса КС1. Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур. И вот, что получаем, в соответствии с ПКЗ-2005 и методическими рекомендациями «контроль встраивания» проводить не надо, а в соответствии с формуляром надо, но формуляр противоречит законодательству, как быть?

Ведь перед тем как отправить отчет я формирую ЭЦП потом шифрую, это разве не обработка?