Zones und Conduits sind ein Element der Netzwerksegmentierung. Sie dienen dazu, ein industrielles Automatisierungs- und Steuerungssystem in klar abgegrenzte Bereiche mit definierten Kommunikationswegen aufzuteilen. Diese Aufteilung ist eine typische Maßnahme zur Umsetzung eines Defense-in-Depth-Konzepts.
Eine Zone ist eine Gruppe von IACS-Assets mit gemeinsamen Eigenschaften. Geräte innerhalb einer Zone können dieselben Securityattribute haben. Dazu gehören insbesondere dasselbe Security Level und dieselben Foundational Requirements. Außerdem können sie dieselbe Priorität bei Verfügbarkeit, Integrität und Vertraulichkeit haben. Ebenfalls genannt werden gleiche Vermögenswerte wie Safety, Gesundheit, Umwelt, Inventar und Kapital. Zusätzlich können Funktionalität sowie physischer oder logischer Standort als gemeinsames Merkmal dienen.
Ein Conduit ist der Kommunikationskanal zwischen Zonen. Conduits können mit einem Kabelkanal verglichen werden. Sie verbinden Zonen nicht beliebig, sondern definiert und kontrolliert. Damit wird Kommunikation zwischen Zonen bewusst zugelassen und nicht nur stillschweigend vorausgesetzt.
Die Trennung von Geschäfts- und Steuerungssystemen ist ein Grundprinzip. IACS-Assets müssen in Zonen gruppiert werden, die logisch oder physisch vom Geschäfts- oder Unternehmenssystem getrennt sind. Diese Trennung ist wichtig, weil sich Unternehmens- und IACS-Systeme grundlegend unterscheiden und IACS-Systeme unmittelbare Auswirkungen auf Gesundheit, Safety und Umweltschutz haben können.
Safety-relevante Assets erfordern eine gesonderte Betrachtung. Safety-relevante Zonen benötigen ein höheres Maß an Securityschutz, weil eine Beeinträchtigung dieser Zone Folgen für Gesundheit, Safety und Umwelt haben kann. Deshalb müssen Safety-relevante IACS in Zonen zusammengefasst werden, die logisch oder physisch von Zonen mit nicht Safety-relevanten IACS getrennt sind. Wenn eine solche Trennung nicht möglich ist, muss die gesamte Zone als Safety-relevante Zone behandelt werden.
Vorübergehend angeschlossene Geräte stellen ein eigenes Problem dar, weil sie aufgrund ihrer temporären Verbindung mit anderen Netzen außerhalb der Zone verbunden sein können. Als Beispiele werden Wartungscomputer, Verarbeitungsgeräte, Securityvorrichtungen und USB-Geräte genannt. Solche Geräte sollten in einer oder mehreren separaten Zonen abgebildet werden. Ziel ist die Trennung dieser temporär verbundenen Systeme vom Rest der Anlage.
Drahtlose Geräte werden ebenfalls separat betrachtet. Drahtlose Signale sind in der Regel leichter zugänglich als verkabelte Netze und daher anfälliger für unterschiedliche und vielfältige Bedrohungen. Ein drahtloser Zugangspunkt stellt meist die Verbindung zwischen einer drahtlosen Zone und einer verkabelten Zone dar. Je nach Anzahl der zulässigen drahtlosen Zugangspunkte können zusätzliche Securitykontrollen, zum Beispiel Firewalls, erforderlich sein, um einen angemessenen Grad der Trennung zu gewährleisten.
An externe Netzwerke verbundene Geräte beziehungsweise Fernzugänge müssen ebenfalls als eigener Bereich behandelt werden. Unternehmen gewähren Mitarbeitern, Lieferanten und anderen Geschäftspartnern häufig Fernzugriff, etwa für Instandhaltung oder Prozessoptimierung. Weil dieser Fernzugriff außerhalb der physischen Grenzen des System Under Consideration liegt, sollte er einer separaten Zone mit eigenen Securityanforderungen zugeordnet werden.
Neben den Zonen selbst werden auch zugelassene Conduits benannt. Genannt werden als Beispiele ein Anlagenconduit, etwa für PROFINET oder SafetyNET, sowie ein Diagnose-Conduit, zum Beispiel für SafetyNET p. Diese Beispiele zeigen, dass Conduits als definierte und freigegebene Kommunikationsbeziehungen verstanden werden.
Zones und Conduits bilden damit die Grundlage für die weitere Security-Risikobewertung. Sie strukturieren das System in Bereiche mit gemeinsamen Eigenschaften und in definierte Kommunikationspfade zwischen diesen Bereichen. Auf dieser Grundlage können anschließend Anforderungen festgelegt und Schutzmaßnahmen gezielt zugeordnet werden. Für jede Zone und jeden Conduit wird im weiteren Verlauf ein eigenes Security Level Target festgelegt