Обязательной сертификации СЗИ в 31 приказе нет. Есть обязательна оценка соответствия, это следствие того, что не для всех промышленных процессов существуют сертифицированные решения.
11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
Если же вы применяете сертифицированные СЗИ, то никакой отдельной линии по сертификации для АСУ ТП нет. Используйте
Государственный реестр СЗИ , и требования к классам защиты из 24 пункта 31 приказа.
ФСТЭК это разъяснял в своем
информационном сообщении3. По вопросам применения в автоматизированных системах управления производственными и технологическими процессами средств защиты информации.
В соответствии с пунктом 11 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, в автоматизированных системах управления производственными и технологическими процессами применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
При этом формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (испытания, подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы).
В соответствии с пунктом 13 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, требования к защите информации в автоматизированной системе управления производственными и технологическими процессами устанавливаются заказчиком и включаются в техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления.
Таким образом, в автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в форме, установленной заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании».
При этом пунктом 24 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, установлены классы средств защиты информации, применяемые в автоматизированной системе управления производственными и технологическим процессами, в случае если заказчиком принято решение об использовании средств защиты информации, прошедших оценку соответствии в форме обязательной сертификации.