Сертифицированные средства защиты скорее всего понадобятся вам только в случае, если вы собираетесь проходить аттестацию (обязаны, либо по какой-то причине захотели пройти добровольно), так как аттестацию будет проводить лицензиат ФСТЭК России, который, во-первых, хочет продать побольше сертифицированных СЗИ, а во-вторых, опасается, что если где-то недосмотрит, то его лицезию отзовут.
Если же аттестация вам не нужна, то подтвердить выполнение требований по защите можно и другим, также законным, способом.
Пункт 4 приказа ФСТЭК № 21 гласит:
"Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных."
Пункт 2 статьи 19 152-ФЗ говорит, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:
...
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации."
Пункт 13 Постановления Правительства РФ от 01.11.2012 N 1119:
Во всех этих документах нигде нет упоминания о требовании обязательного использования сертифицированных средств защиты.
Форм же оценки соответствия предусматривается несколько: добровольная или обязательная сертификация, а также декларирование соответствия.
Оператор может использовать любые несертифицированные средства защиты информации, для которых, в случае проверки, регулятору просто необходимо будет продемонстрировать, что для этих средств проводилась процедура оценки соответствия в какой-либо форме. Другими словами нужно дать подтверждение того, что данные средства защиты подходят для защиты от тех видов угроз, от которых нужно защитить персональные данные в данной системе.