Litt beskrivelse av prinsipper rundt “zones and Conduits” (Sikkerhetssoner og “kontrollerte forbindelser” eller “informasjonskanaler” mellom dem.):
https://gca.isa.org/blog/how-to-define-zones-and-conduits
ISAGCA: Zones and conduits.
Whitepaper i fra ISACGA om ISA 62443-3-2
Begrepene “Zero trust for OT” og “Purdue modellen” er vel ikke tema som det refereres direkte til i normen, men vi kan kanskje si at de har relevans i forhold til hverandre. Perdue modellen kan vel kanskje sies å representere en overordnet modell for nettverket som helhet. Etter å ha planlagt en overordnet og “grov nettverksmodell” med utgangspunkt i Pudue modellen, så kan man implementere ICE 62443 seien mer på detaljnivå, slik at man i forholdvis større eller mindre grad oppnår prinsippet “Zero trust for OT”.
Den praktiske forskjellen mellom et nettverk som har implementert sikkerhet bygd opp ut i fra Purdue modellen og ett der man i tillegg har brukt normene i IEC 62443 serien, det er jo at i nettveket som bare bygger på Perdue modellen, så har man et lagdelt sikkerhetsnivå, der man saktens kan si at hvert enkelt lag i modellen utgjør en “sikkerhetssone”.
Legger man så inn sikkerhetssoner i retning “øst – vest”, og ut i fra en riskovurdering ut i fra behov, og kanskje også sikkerhetsbarierer rundt den enkelte komponent, da har vi kanskje også tatt i bruk IEC 62443 serien, pluss at vi kanskje også i noen grad har impkementert prinsippet “zero trust for OT”.
Det også whitpaper i fra ISACGA rundt denne betraktningen.
Daværende “Ojedirektoratet” utarbeidet i sin tid, dvs i 2021 en serie med rapporter som omhandlet prinsippene rundt cybersikkerhet for oljenæringen. Det er jo en stud siden jeg leste gjennom disse rapportene, så jeg kan ikke huske i hvilken grad det refereres konkret til IEC 62443 seien, men jeg mener nok å huske at man kan finne igjen mange av de grunnleggende prinsippene, nedfelt i IEC 62443, kanskje spesielt i forhold til risikovurdering og inndeling i sikkerhetssoner.