Насчёт сертифицированных СКЗИ - такое требование есть в 382-П. Но это требование только если используете СКЗИ российского производства. Всё остальное действительно нигде не регламентировано. Использование конкретных средств защиты личное дело каждого банка. Что считаете нужным (полезным/удобным/надёжным), то и используете.

Проанализировал 17-П все равно не увидел там необходимость использования криптографической подписи. Но в то же время все банки в общем прорыве делать ИКБ для ЮЛ только через криптографическую подпись, может кто из старожилов знает причину такого явления?

Сертифицированное СКЗИ ставит квалифицированную электронную подпись (в терминологии 63-ФЗ «Об электронной подписи»), что приравнивает электронный документ к бумажному собственноручно подписанному (статья 6 пункт 1 63-ФЗ).
Теоретически, можно для этих целей обойтись несертифицированным средством подписи (63-ФЗ это допускает, если в соглашении между участниками электронного взаимодействия прописать нюансы признания документов), но против этого будет 382-П. Круг замыкается.

Прямой связи между сертифицированным СКЗИ и квалифицированной ЭП нет, не вводите в заблуждение.
Давайте тогда уж с терминами разберёмся.
АСП (аналог собственноручной подписи) - термин из ГК, включает в себя все виды ЭП и вообще всё что угодно, что вы решите считать таким аналогом. При этом любой АСП придаёт юридическую значимость документообороту, если он соответствует договору. Банк имеет право использовать любой АСП и при работе с любыми клиентами.
Электронная подпись регулируется 63-ФЗ. Как правило, простая ЭП используется при работе с физиками, усиленная с юриками. Квалифицированная в банках при работе с клиентами используется исключительно редко. Кто постоянно путает усиленную и усиленную квалифицированную ЭП - велкам читать закон.
Вопросы сертификации несколько сбоку от ЭП, но всё же... Банк имеет право использовать любую криптографию, какую сочтёт нужным. Хотите зарубежную, хотите российскую. Но если выбрали российскую, то ваши СКЗИ должны быть сертифицированы (это требование 382-П). Зарубежные, естественно, никто сертифицировать не требует. Вопрос использования зарубежной крипты особенно актуален если банк иностранный или клиенты за границей.
Теперь о причинах того, почему исторически сложилось такое разделение в подписях физиков и юриков. Криптографию банки начали использовать после истории с фальшивыми авизо (кто не слышал, почитайте, очень интересная история был). Самое главное, что позволяет криптография - она не только удостоверяет отправителя документа, но и позволяет гарантировать неизменность этого документа. При правильном применении, естественно.
Что касается физиков, то было бы неплохо и их перевести на криптографию, но СКЗИ для физиков оказались дороги, клиенты не хотят платить 2-3-5 т.р. за возможность пару раз в месяц закинуть денег на телефон и за ЖКХ, поэтому простая подпись для физиков - это в большинстве случаев результат компромисса между безопасностью, стоимостью защиты и рисками для банка и клиента.

Полностью согласен с Tor.

Вот только с зарубежными СКЗИ тоже не все так просто.
Сертифицировать их не нужно, но требуется получить согласие в ФСБ на их ввоз в Таможенный союз.

Согласен, для получения квалифицированной ЭП кроме сертифицированного СКЗИ нужен еще и квалифицированный сертификат ключа ЭП, который выдается аккредитованным удостоверяющим центром. Такой УЦ есть сейчас только у очень небольшого числа банков.

С зарубежными СКЗИ всё непросто, Вы правы. Но согласие ФСБ на ввоз нужно не для всех СКЗИ, по каждому надо смотреть отдельно - не попадает ли в исключения.
А сертифицировать их не просто не нужно, а в принципе невозможно в большинстве случаев, т.к. там не используются ГОСТы, а ФСБ другое не сертифицирует.

ПКЗ-2005 п. 3 первый подпункт. А далее пункт 47. Это по поводу сертифицированного СКЗИ.

Всё абсолютно правильно. И заодно там же смотрим п. 5. Это по поводу зарубежного СКЗИ.

У нас в регионе один банк наказали конкретно за БК и конкретно за работу с СКЗИ иностранного производства, так мне сказали в местном ФСБ.
Правда по какой статье не помню, какой то не существенный штраф.

А если не секрет, каким сертифицированным СКЗИ российского производства обеспечивается шифрование канала например между клиентами-физиками и всеми остальными, не наказанными банками? Скорее всего используют зарубежный SSL, правильно? И никого за это вроде не наказывали.
И если уж сайт госуслуг не брезгует использовать SSL (несертифицированный естественно), то какой спрос за зарубежную криптографию с банка?
Так что наказывать за БК с иностранными СКЗИ, кмк., перебор.

Скорее всего сам БК использовал СКЗИ типа PGP. При проверке это выяснилось и их наказали.

Как я понял из разговора: "Если есть возможность использования российской криптографии - используйте ее". В моем случае предметом беседы был толстый клиент (классический Банк-Клиент с устанавливаемым ПО на обычный компьютер) и речь о тонком клиенте (Онлайн банкинге) не шла.

Знаю ситуацию когда заставили Банк использовать российскую криптографию для связи с ДО.

В первую очередь, если вам интересны госклиенты (бюджетники и т.п.), то требуется сертифицированное СКЗИ, т.к. не сертифицированные СЗИ такие организации в большенстве случаев использовать не могут, а раз им надо, то проще уж всем сделать.
Вторая причина это модель рисков, т.к. суммы у юриков выше, то требуется более надёжные схемы доказательства авторства. В тоже время для юриков, есть примеры облегченных систем ДБО у Сбера, например, есть по "SMS-подпись", сам видел, как переводили миллионы через такую системы с iPad'a. 8)
Третья причина в том, что деятельность по оказанию услуг лицензируемая, если ваше СКЗИ не подпадает под исключения, а строгая криптография в общем случае не подпадает (в этой теме много нюансов, есть некоторые исключения, но в общем это так), то у вас нет просто выбора не использовать сертифицированные СКЗИ.

Для связи с ДО вполне может быть из-за ПДн, там сложнее отвертеться. Хотя интересно, кто заставил. ФСБ не имеет права проверять банки в части ПДн, РКН не имеет права проверять криптографию ))
А что касается ДБО - правильно сказали, если есть возможность использовать российскую сертифицированную крипту - используйте её. Хотя бы потому, что это проще. Зарубежная крипта не запрещена, но, как в приведённом Вами примере, если попадутся дубовые проверяющие, придётся им это доказывать.
Использовать зарубежную имеет смысл только либо если клиент заграничный, либо если нашего аналога нет или его сложнее использовать.

Они заставили на этапе получения Банком лицензии на крипту.

Криптозащита канала с собственными ДО - нелицензируемый вид деятельности, т.к. осуществляется для собственных нужд, при получении лицензии проверяющим вообще знать не обязательно, что мы там используем.
Кроме того, даже для лицензируемых видов деятельности зарубежная крипта не запрещена. Главное, она должна быть законно ввезена в РФ, см. ПП-313:
6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются:
ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств;
Т.е. при получении лицензии просто необходимо предоставить перечень и тех.документацию зарубежной крипты, и если она легальная, никто не имеет права запретить ею пользоваться.

Да, запретить не могут, например, HSM для процессинга без проблем так используются. Но касательно не лицензируемых видов деятельности, есть только одно исключение в перечне, даже установка того же HSM, по сути лицензируемый вид деятельности. Да, есть разные точки зрения, например, ФСТЭК различает деятельность для собственных нужд, но проверяющие ФСБ открывают перечень лицензируемых видов деятельности и если СКЗИ подпадает под действие ПП-313 (не исключается из области его действия) могут потребовать включить такую деятельность в список лицензируемых. Собственно для этого и запрашивается перечень СКЗИ с назначением для чего они используются.

Не, давайте не путать виды деятельности и СКЗИ, попадающие под исключения в ПП-313 (там, кстати, не одно исключение, а больше десятка).
Если деятельность осуществляется для собственных нужд - она вообще не регулируется ни 99-ФЗ, ни ПП-313. Поэтому попадает или не попадает СКЗИ там под исключения - неважно, т.к. оно вообще не попадает под весь ПП-313.
Если же деятельность лицензируемая, т.е. банк оказывает услугу кому-то, то вот тогда уже смотрим исключения в ПП-313.
И не надо проверяющим при лицензировании вываливать вообще всё, что в банке лежало рядом со всеми СКЗИ. Документы, которые нужно предоставить, должны касаться только тех СКЗИ, с помощью которых оказываются услуги для других (в т.ч. за деньги).
Выяснили
1) какие услуги оказываете другим с применением крипты
2) с помощью каких СКЗИ это делаете
И всё, собрали документы именно на эти СКЗИ и отдали проверяющим. Не надо им лишних бумажек, они тоже люди, им тоже не хочется лишнюю работу работать )))

Формально только один вид деятельности может осуществляться для собственных нужд без лицензии, всё остальное лицензируется, не важно для собственных нужд или нет.

Я же писал, что тот же ФСТЭК может так и считает, но практика работы с ФСБ и прочие свидетельства говорят об обратном. Зачем по вашему в ПП-313 сделано исключение только по одному виду деятельности?

Всё остальное, да, верно, но ФСБ реально запрашивает перечень СКЗИ всех, в том числе и не для оказания лицензируемой деятельности (мне давали памятку, в которой именно так и написано). Я понимаю, что это особенности, но есть закон, а есть практика.

У нас, значит, другая практика была. Памяток нам, правда, не давали, но и претензий не было.
А разговор тут вообще начался с того, что ФСБ кого-то наказал за зарубежную крипту, но в этом Вы, похоже, со мной согласны, что ни запретить использовать, ни наказывать не должны.

Да, согласен, но одно дело, когда у вас есть старые Cisco, которые как-то были ввезены со строгой криптой на борту, а другое дело сейчас, когда их просто почти нельзя приобрести, или тот же CheckPoint импортируется без строгой криптографии и нужно скачивать прошивку. Но сделать туннель на базе Windows между двумя хостами, это можно без проблем.

Что касается темы защиты каналов связи и лицензии ФСБ, то нам пришлось тоже перейти на сертифицированное СКЗИ при продлении лицензии для этих целей, а так же по причине замечаний со стороны ЦБ (проводили проверку по Комплексу СТО БР ИББС и сказали вы мол не выполняете: нужны сертифицированные СКЗИ и только КС2, делайте, и это с учётом того, что у нас не введён приказом Комплекс СТО БР ИББС, а рекомендован к применению путём включения на него ссылок). Второе даже больше чем первое повлияло, но в ФСБ интересовались как именно защищаются каналы связи между офисами, и просили указывать все СКЗИ, т.к. ПП-313 не конкретизирует, что нужно предоставить именно перечень СКЗИ только по лицензируемой деятельности (Вы сами же цитировали выше).
А по HSM для процессинга вопросов не было вообще, есть официальные бумаги на ввоз и приобретения, всё ок, пользуйтесь, но, например, про OpenSSL или крипту в JRE я предпочитаю молчать, т.к. её правовой статус шаткий. ЦБ реально при проверке требовало предъявить документацию на крипту из состава почтовой системы http://www.rex400.ru/, к которой ЦБ само и подключено. Там есть OpenSSL для шифрования трафика между серверами, а ещё там есть OpenVPN. )))