У вас всё смешалось. А на самом деле всё очень просто.
Вам необходима система защиты информации. Для этого приглашенные специалисты с лицензией ФСТЭК на ТЗКИ проведут обследование, спроектируют систему защиты с применением средств защиты. Вот именно средства защиты и могут быть выбраны сертифицированными. Если спроектированная система защиты информации будет подразумевать шифрование данных (например, трафик от сегмента ИС к другому сегменту ИС), то приглашенные специалисты должны также обладать лицензией ФСБ на внедрение средств шифрования.
А собственно сама ваша информационная система - чиста и свободна. Ей не нужны лицензии (а лицензия - это право использования - зачем вообще это понятие тут?..), не нужны сертификаты (сертификат - подтверждение каким-либо требованиям), поскольку её задача - предоставить бизнес-инструментарий, а сертифицируют средства защиты информации. А точнее, не вы будете сертифицировать, а приобретете уже сертифицированные СЗИ.
Стоит также отметить, что обязательность применения сертифицированных СЗИ в настоящий момент определена только для государственных информационных систем.
Короче говоря, вы можете разделить задачу на 2 части: отдельно ИС, отдельно СЗИ.
Про требования к защите можно почитать
- статью 19 ФЗ 152,
- ПП РФ 1119,
- приказы ФСТЭК 17 и 21,
- приказ ФСБ 378
Они проще, чем кажутся на первый взгляд.