Сегментация сети
Проектируйте разделы сети для изоляции критически важных систем, функций или ресурсов. Применяйте физическую и логическую сегментацию для предотвращения доступа к потенциально чувствительным системам и информации. Используйте DMZ для размещения интернет-facing служб, которые не должны быть доступны из внутренней сети. Ограничивайте сетевой доступ только теми системами и службами, которые это требуется. Кроме того, запрещайте системам из других сетей или бизнес-подразделений (например, корпоративной сети) получать доступ к критически важным системам управления технологическими процессами. Например, в стандарте IEC 62443 системы, находящиеся на одном уровне безопасности, должны быть сгруппированы в зону, а доступ к этой зоне ограничен кондуитом — механизмом управления потоками данных между зонами посредством сегментации сети.