Прям так открытым текстом - нигде.

152-ФЗ: Безопасность ПДн обеспечивается, в том числе, "применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации"

А по факту регуляторы, на основании данного положения, требуют применения именно сертифицированных СЗИ.

Если оператор применяет несертифицированные СЗИ, то он должен суметь продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в установленном законом порядке.

Банки также должны учитывать различные методические рекомендации ЦБ РФ. Так, например:

Методические рекомендации Банка России от 14 февраля 2019 года №4-МР: "Рекомендуется применять средства защиты информации, сертифицированные по системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации"

Подробнее:

Миф об обязательности использования сертифицированных СЗИ для обеспечения безопасности персональных данных

@admin Спасибо, все четко и аргументировано.