1. При организации обмена подлежащей обязательной защите конфиденциальной информацией, участниками которого являются государственные органы, государственные организации, другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов, а также юридические лица - пользователи (потребители) конфиденциальной информации, не являющиеся государственными органами или государственными организациями и другими организациями, выполняющими государственные оборонные заказы (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), и физические лица - пользователи (потребители) конфиденциальной информации (в случае их информационного обмена с государственными органами, государственными организациями и другими организациями, выполняющими государственные оборонные заказы), необходимость криптографической защиты конфиденциальной информации и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются государственными органами или государственными организациями.
2. При организации информационного обмена конфиденциальной информацией, не подлежащей обязательной защите, необходимость ее криптографической защиты и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются соглашениями между участниками обмена.
3. Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем (в случае, если собственником информационных ресурсов или уполномоченным им лицом предварительно не определена необходимость криптографической защиты конфиденциальной информации и не выбран требуемый тип СКЗИ).
4. При принятии решения о необходимости криптографической защиты подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования настоящего Положения являются обязательными для:
государственных органов и государственных организаций;
юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ;
негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
В отношении иных лиц требования Положения ПКЗ-99 носят рекомендательный характер.
5. СКЗИ должны удовлетворять разрабатываемым ФАПСИ требованиям и допускаться к использованию после экспертизы в ФАПСИ.
6. Для криптографической защиты конфиденциальной информации могут использоваться СКЗИ, имеющие сертификат ФАПСИ (сертифицированные СКЗИ).
Порядок сертификации СКЗИ определяется соответствующей системой сертификации.