OCHRONA I BEZPIECZEŃSTWO INFORMACJI

Omówimy zasady bezpieczeństwa w systemach operacyjnych. Niektóre narzędzia ogólnego przeznaczenia mogą być wbudowane w komputery i systemy operacyjne (OS), które obsługują różne mechanizmy ochrony i bezpieczeństwa. Generalnie chodzi o problem kontroli dostępu do systemów komputerowych i przechowywanych w nich informacji. Jedną z podstawowych koncepcji wszystkich takich dyskusji jest proces, który jest definiowany jako wykonanie określonego fragmentu kodu przez określonego użytkownika w określonym czasie na określonym procesorze. Zidentyfikowano cztery rodzaje ogólnych polityk ochrony o rosnącym stopniu trudności:

  1. Bez udostępniania. W takim przypadku procesy są całkowicie odizolowane od siebie, a każdy proces ma wyłączną kontrolę nad zasobami przypisanymi mu statycznie lub dynamicznie. Dzięki tej zasadzie procesy często „współużytkują” program lub plik danych, wykonując jego kopię i przenosząc ją do własnej pamięci wirtualnej.
  2. Udostępnianie oryginałów programów lub plików danych. Przy użyciu kodu z powtórnym wprowadzeniem pojedyncza fizyczna realizacja programu może pojawić się w wielu wirtualnych przestrzeniach adresowych, podobnie jak pliki danych tylko do odczytu. Do udostępniania zapisywalnych plików danych wymagane są specjalne mechanizmy blokujące, aby uniemożliwić jednoczesnym użytkownikom wzajemne zakłócanie się.
  3. Zamknięte lub pozbawione pamięci podsystemy. W tym przypadku procesy są pogrupowane w podsystemy w celu wymuszenia określonej polityki ochrony. Na przykład proces „klienta” wywołuje proces „serwera” w celu wykonania jakiegoś zadania na danych. Serwer ma być chroniony przed odkryciem przez klienta algorytmu, za pomocą którego wykonuje zadanie, a klient ma być chroniony przed zatrzymaniem przez serwer jakichkolwiek informacji o wykonywanym zadaniu.
  4. Kontrolowane rozpowszechnianie informacji. W niektórych systemach klasy bezpieczeństwa są definiowane w celu wymuszenia określonej polityki rozpowszechniania. Użytkownikom i aplikacjom nadaje się uprawnienia bezpieczeństwa określonego poziomu, podczas gdy dane i inne zasoby (np. Urządzenia wejścia / wyjścia [I / O]) otrzymują klasyfikacje bezpieczeństwa. Polityka bezpieczeństwa wymusza ograniczenia dotyczące tego, którzy użytkownicy mają dostęp do jakich klasyfikacji. Model ten jest przydatny nie tylko w kontekście wojskowym, ale także w zastosowaniach komercyjnych.

Większość prac związanych z bezpieczeństwem i ochroną w odniesieniu do systemów operacyjnych można z grubsza podzielić na trzy kategorie.

  1. Kontrola dostępu. Zajmuje się regulowaniem dostępu użytkowników do całego systemu, podsystemów i danych oraz regulowaniem dostępu procesów do różnych zasobów i obiektów w systemie.
  2. Kontrola przepływu informacji. Reguluje przepływ danych w systemie i ich dostarczanie do użytkowników.
  3. Certyfikacja. Odnosi się do udowodnienia, że ​​mechanizmy kontroli dostępu i przepływu działają zgodnie ze swoimi specyfikacjami oraz że egzekwują pożądane zasady ochrony i bezpieczeństwa.

Wdrożenie, odpowiedzialność i dalsze działania

Gdy wszystkie plany zostaną ukończone i zatwierdzone przez kierownictwo i kluczowych urzędników, rozpoczyna się realizacja. Ze wspomnianych wcześniej poradników pomocnych będzie FEMA 386-4, Bringing the Plan to Life. Ten pierwszy krok implementacji jest najbardziej krytyczny dla procesu ochrony bezpieczeństwa. Rozpoczyna się od szkolenia, aby wszyscy zaangażowani zrozumieli i zaakceptowali procedury. Następnie muszą odbywać się okresowe ćwiczenia i ćwiczenia, aby przetestować plan reagowania i potwierdzić, że szkolenie było skuteczne. Plany, które nie są okresowo testowane, szybko się zapomina. Każde ćwiczenie i ćwiczenie należy przeanalizować, aby określić, co poszło dobrze, a co ważniejsze, co nie, i jak zrobić to lepiej w przyszłości. Dlatego też każda reakcja awaryjna powinna zostać poddana przeglądowi. Ważna jest dokumentacja przed, w trakcie i po wydarzeniu. Z każdego wydarzenia wyciągniemy pewne wnioski, które należy wykorzystać do aktualizacji i ulepszania systemów bezpieczeństwa, aby działały lepiej w przyszłości. Niezwykle ważne jest również ustalenie odpowiedzialności za bezpieczeństwo infrastruktury. Za każdą funkcję powinna odpowiadać tylko jedna osoba. Odpowiedzialności nie można rozłożyć na kierownictwo lub działy, ani też nie można jej nosić jako drugiej czapki dla kogoś, kto ma wiele innych obowiązków. Wyższa odpowiedzialna władza musi ustalić harmonogramy okresowych przeglądów i aktualizacji planów i procedur, szkoleń i ćwiczeń, aby upewnić się, że program ochrony pozostaje aktualny i skuteczny. Dobre zarządzanie bezpieczeństwem musi również obejmować nadzór. Dobre planowanie musi rozpocząć się w sali konferencyjnej, a dyrektorzy muszą również zapewniać stały nadzór, aby zapewnić dobre bezpieczeństwo. Zewnętrzni, niezależni audytorzy kierowani z sali konferencyjnej najlepiej sprawdzają aktualny stan programu bezpieczeństwa. Pisemna opinia biegłego rewidenta jest dowodem na to, czy organizacja w pełni przestrzega przepisów. Aby zachować spokój kierownictwa (i być może jako wymóg utrzymania ubezpieczenia i uzyskania kredytu), mogą być przeprowadzane okresowe kontrole bezpieczeństwa, testowanie zabezpieczeń i niektóre testy penetracyjne, w tym oszustwa w celu uzyskania dostępu wykonane przez niezależnych specjalistów

Plan reagowania na zagrożenia

Plan łagodzenia zagrożeń jest potrzebny do udokumentowania oceny zagrożenia i wyszczególnienia opcji łagodzenia oraz przewidywanych kosztów i korzyści związanych z każdym z nich; potrzebny jest również plan reagowania w zakresie bezpieczeństwa, aby kierować każdą z zainteresowanych stron zgodnie z rodzajem napotkanego zagrożenia. Celem planu reagowania w zakresie bezpieczeństwa jest jasne określenie, kto jest odpowiedzialny i kto zrobi co, kiedy i jak, kiedy pojawi się jakiekolwiek zagrożenie. Nowy format NRF zmienia i przywraca koncepcję funkcji wsparcia w sytuacjach kryzysowych (EFS) dla każdego działania wspierającego, którego każda organizacja może potrzebować. Obecnie istnieje 16 ponumerowanych EFS, zaczynając od EFS-1, „Transport”, ESF-2, „Komunikacja i alarmowanie”, a kończąc na EFS-16, „Zdrowie zwierząt”. Zaleca się zachowanie standardowych tytułów EFS, nawet jeśli wiele z nich może nie mieć zastosowania do organizacji pozarządowych, choćby po to, by zachować jednolitość i język, który wszyscy rozumieją. Aby uzyskać skuteczną reakcję, potrzebne będą dodatkowe EFS, ale należy je policzyć na 17 i więcej. Jedną z przydatnych szybkich informacji w nowym formacie planu reagowania jest macierz przypisania funkcji wsparcia awaryjnego, jednostronicowa grafika pokazująca, która agencja lub departament jest odpowiedzialny za podstawowe, dodatkowe lub pomocnicze obowiązki dla każdego EFS. Jest to przydatny przewodnik dla kierownictwa i personelu w przypadku problemów. Gdy plan reagowania jest gotowy, każdy dział, którego to dotyczy, powinien napisać standardowe procedury operacyjne, aby nakreślić procedury, których będzie używał do reagowania. Termin ten jest podawany w cudzysłowie, ponieważ są one zwykle podawane jako wskazówki, aby zapewnić pewną elastyczność w dostosowaniu się do rzeczywistych warunków. Wymóg sztywnego przestrzegania procedury jest zaproszeniem do postępowania sądowego. Kompletny plan reagowania w zakresie bezpieczeństwa powinien być również przeznaczony wyłącznie do użytku oficjalnego i udostępniony tylko tym, którzy muszą wiedzieć. W końcu ten plan pokazuje kłopotliwym, jak zareaguje organizacja. Jednak komunikat prasowy podsumowujący plan powinien być szeroko rozpowszechniany, aby wszyscy interesariusze wiedzieli, że organizacja stara się ich chronić.

Analiza kosztów i korzyści

Bezpieczeństwo jest bezcelowe, o ile nie jest opłacalne, a także wartościowe: to znaczy, że koszt łagodzenia każdego zagrożenia musi być niższy niż potencjalne korzyści i oszczędności wynikające z nie zajścia zdarzenia, ponieważ ochrona jest skuteczna. Koszty każdej opcji można łatwo określić; są to koszty początkowe i bieżące. Jednak niektóre przyszłe korzyści będą niematerialne i wszystkie trzeba będzie w przybliżeniu. Długoterminowe korzyści wynikające z braku wydarzeń muszą odzwierciedlać przybliżone koszty:

* Zakłócenia, które mogłyby zmniejszyć produktywność firmy i wydajność jej systemów informatycznych

* Morale i wydajność, które mogą gwałtownie spaść i pozostać na bardzo niskim poziomie, ponieważ ludzie czują się zagrożeni i pozbawieni ochrony

* Utrata biznesu lub klientów do czasu przywrócenia normalnej działalności

* Koszty reakcji i zwrotu kosztów, w tym dodatkowy czas i nadgodziny, wydatki, w tym zakwaterowanie i posiłki, tymczasowe udogodnienia, relacje publiczne i koszty obrony prawnej, które prawdopodobnie zostaną poniesione

* Usługi prawne, public relations i inne usługi i wydatki w celu naprawienia szkód reputacyjnych i spadku ceny akcji oraz przywrócenia dobrej woli

Nie wszystkie te koszty będą towarzyszyć każdemu zagrożeniu. Ale z drugiej strony mogą również wystąpić dodatkowe, nieoczekiwane koszty. Ogólnie rzecz biorąc, koszty reagowania i odzyskiwania wszelkich poważnych zdarzeń związanych z bezpieczeństwem są zwykle znacznie wyższe niż oczekiwano. Niemniej jednak każdą sytuację można zbadać i określić niektóre koszty, aby ułatwić statystycznie ważną analizę kosztów i korzyści. Informacje o kosztach i korzyściach nie mają znaczenia, chyba że każda z nich jest powiązana ze wspólnym przedziałem czasowym. Prawdopodobieństwo każdego zagrożenia należy oceniać w ujęciu rocznym, tak aby zarówno koszty łagodzenia, jak i potencjalne korzyści mogły zostać zamortyzowane w tym samym cyklu życia. Istnieje wiele metod analizy wartości kosztów i większość z nich wykracza poza zakres tego rozdziału. Jednak dla tych, którzy nie są przeszkoleni finansowo, rząd federalny ma dobry system, ogólnie dostępny, który jest powszechnie wymagany w rządzie. Rząd USA nazywa ten system BCA, co oznacza analizę korzyści i kosztów. W ramach tego systemu FEMA opracowała narzędzie analizy kosztów i korzyści, które pomaga wnioskodawcom w przeprowadzaniu analiz finansowych, takich jak wartość bieżąca netto. Ta sama strona zawiera dane o zagrożeniach. Szczególną zaletą systemu BCA jest to, że OMB publikuje aktualne dane dotyczące kosztów funduszy, potrzebne do prognozowania wszelkich kosztów. Niektóre z modeli prywatnych mają tendencję do stosowania szalenie optymistycznych (lub rażąco nieaktualnych) przyszłych stóp procentowych, co unieważnia sensowne wyniki. Ponownie, rozsądnie jest zastosować model rządu federalnego po prostu jako kwestia unikania ryzyka. Model BCA jest szeroko stosowany i wymagany w przypadku wielu wniosków o dotacje

Plan łagodzenia wszystkich zagrożeń

FEMA zapewnia obszerne zasoby do planowania łagodzenia zagrożeń wielozagrożeniowych, obejmujące szeroki zakres tematów, w tym aktualizacje e-mailowe. W tym ostatnim kroku pomocne mogą być przewodniki po stanowym i lokalnym planowaniu działań łagodzących skutki.

* Publikacja FEMA 386-1, Pierwsze kroki: Budowanie wsparcia dla planowania łagodzenia skutków, określa proces ograniczania zagrożeń.

* Publikacja 386-2, Zrozumieć swoje ryzyko: identyfikacja zagrożeń i szacowanie strat, przedstawia metodę szacowania kosztów potencjalnych strat spowodowanych powodzią przy użyciu tabel, a nie obliczeń. Te tabele szybko pokazują, że straty mogą być znacznie większe niż oczekiwano.

* Publikacja 386-3 „Opracowanie planu łagodzenia skutków: identyfikacja działań łagodzących i strategii wdrażania” zawiera wytyczne dotyczące opracowywania strategii łagodzenia skutków.

* Publikacja 386-4, Bringing the Plan to Life: Implementing the Hazard Mitigation Plan, omawia wytyczne dotyczące wdrażania.

* Publikacja 386-5, Korzystanie z przeglądu korzyści i kosztów w planowaniu łagodzenia skutków, zawiera heurystykę wyboru opcji łagodzenia w celu maksymalizacji opłacalności wydatków

* Publikacja 386-6 „Integrating Historic Property and Cultural Resources Considerations to Hazard Mitigation Planning”, omawia, jak współpracować z lokalnymi władzami planistycznymi w celu ochrony kapitału kulturowego.

* Publikacja 386-7 „Integracja zagrożeń spowodowanych przez człowieka z planowaniem łagodzenia skutków” omawia jak planować ataki terrorystyczne lub przestępcze w planowaniu awaryjnym

* Publikacja 386-8, Multi-Jurisdictional Mitigation Planning, podkreśla znaczenie wspólnego planowania reagowania (Federalna Agencja Zarządzania Kryzysowego 2006).

Gdy wszystkie możliwe sytuacje zagrożenia zostaną zidentyfikowane i ocenione zgodnie z opisem we wcześniejszej części, następnym krokiem jest opracowanie jak największej liczby opcji zapobiegania, powstrzymywania lub łagodzenia zakłóceń, obrażeń lub szkód wynikających z każdego zagrożenia. Chociaż niektórym zagrożeniom nie można zapobiec, zawsze istnieją sposoby na przygotowanie się i złagodzenie ich skutków. Zwykle istnieje wiele opcji łagodzenia skutków, więc celem jest określenie, które opcje są najbardziej praktyczne i niedrogie. Jedynym obiektywnym sposobem osiągnięcia tego jest analiza kosztów i korzyści. W rzeczywistości opcje ochrony przed wieloma różnymi zagrożeniami będą podobne, ale każdą opcję należy zachować, dopóki nie zostanie określona najlepsza strategia łagodzenia skutków dla każdego zagrożenia. Tutaj również prawdopodobnie istnieje jedna wspólna strategia łagodzenia skutków wielu różnych zagrożeń. Wszystkie wiarygodne zagrożenia powinny zostać wymienione w planie łagodzenia skutków, ale przedstawionych projektów łagodzących będzie znacznie mniej. Po zakończeniu następnego kroku można ukończyć plan łagodzenia wszystkich zagrożeń. Instrukcje obsługi FEMA 386 opisane powyżej zawierają sugerowany format i zawartość. Poradnik nr 9 FEMA (FEMA 386-9), zatytułowany Korzystanie z planu łagodzenia zagrożeń do przygotowania udanych projektów łagodzenia skutków, jest obszernym przewodnikiem po korzystaniu ze wszystkich innych zasobów wymienionych powyżej. Kompletny plan łagodzenia skutków powinien być przeznaczony wyłącznie do użytku oficjalnego i nie powinien być udostępniony z wyjątkiem osób, które muszą znać te informacje. Kompletny plan byłby bardzo pomocny dla potencjalnego wichrzyciela, ponieważ pokazuje, gdzie organizacja jest narażona i na jakie zagrożenia. Jeśli ujawnienie całego planu nie jest dobrze kontrolowane, jego zawartość może zostać ujawniona, wyłudzona lub sprzedana przez osobę mającą dostęp do informacji poufnych. Jednak streszczenie planu i skrócone ustalenia powinny być szeroko rozpowszechniane, aby wszyscy interesariusze wiedzieli, że wiele się robi, aby je chronić

ZAKOŃCZENIE PROCESU PLANOWANIA BEZPIECZEŃSTWA

Ostatni krok niezbędny do ochrony infrastruktury informatycznej składa się z czterech komponentów. Bez dokładnego wykonania któregokolwiek z tych elementów dobre zabezpieczenie nie jest możliwe. Zawierają:

  1. Opracuj plan łagodzenia wszystkich zagrożeń.
  2. Opracuj wszystkie opcje łagodzenia skutków dla każdego zidentyfikowanego zagrożenia i przeprowadź analizę kosztów i korzyści, aby określić, które opcje są najlepsze.
  3. Opracuj ogólny plan reagowania w zakresie bezpieczeństwa, aby pokazać, kto jest za co odpowiedzialny.
  4. Wykonaj niezbędne procedury wdrażania, rozliczalności i działań następczych

Nagłe wypadki medyczne

Łagodzenie nagłych przypadków medycznych wymaga pomieszczenia pierwszej pomocy na terenie obiektu, pierwszej pomocy i pewnych środków medycznych, jeśli to możliwe, zarejestrowanej pielęgniarki oraz wielu pracowników przeszkolonych w zakresie udzielania pierwszej pomocy i resuscytacji krążeniowo-oddechowej (CPR). Cały personel ochrony i strażnicy powinni posiadać certyfikaty w zakresie udzielania pierwszej pomocy i RKO. Automatyczny defibrylator zewnętrzny (AED) na miejscu uratuje życie i może być obsługiwany przez każdego w sytuacji awaryjnej. Przenośny defibrylator AED kosztuje obecnie około 1000 USD, a sugerowane szkolenie jest niedrogie. AED jest teraz wymagany we wszystkich budynkach zarządzanych przez władze federalne. Wiele centrów handlowych, miejsc zgromadzeń publicznych i komercyjnych samolotów jest obecnie wyposażonych w jedną lub więcej jednostek. Tlen jest często niezbędny do ratowania życia i zapobiegania trwałej niepełnosprawności. Większość ośrodków wyposażonych w AED ma również jednostki tlenowe. Dobre przenośne jednostki kosztują 800 USD lub mniej

Bomby, groźby, przemoc i ataki

Gwałtowne wydarzenia są nieprzewidywalne i potencjalnie niszczące. To nie są wypadki, ale celowe ataki, mające na celu zakłócenie, spowodowanie szkód i szerzenie strachu. Tragiczne ataki z 11 września i ich następstwa dowiodły wrażliwości ludzi i ich infrastruktury. Luki nadal istnieją, a ryzyko jest jeszcze większe. Skuteczne odstraszanie i łagodzenie skutków staje się wówczas kwestią wzmocnienia ochrony opisanej w tym rozdziale, co nie musi być bardzo kosztowne, biorąc pod uwagę reakcję i odbudowę koszty, które w przeciwnym razie mogłyby wyniknąć. Pomieszczenia lub bezpieczeństwo korporacyjne muszą radzić sobie z większością zagrożeń przemocą, ale infrastruktura wymaga specjalnych zabezpieczeń, aby uniknąć zakłóceń i złagodzić przestoje i konsekwencje finansowe każdego takiego zdarzenia. Rozsądnie dobre środki ochrony i łagodzenia mogą być proste i niedrogie. Stanowe i regionalne oddziały bombowe lub jednostki wybuchowe mogą doradzać i pomagać na wiele sposobów, w tym na bieżących odprawach. Broń masowego rażenia (BMR), inna niż broń jądrowa, szybko staje się realnym zagrożeniem, zwłaszcza że wiele takich urządzeń jest małych i można je łatwo ukryć. Broń masowego rażenia obejmuje środki chemiczne i biologiczne oraz urządzenia zapalające, a nawet niewielkie ilości materiałów radioaktywnych wyrzuconych przez wybuchową brudną bombę mogą wywołać panikę. Rząd uważa te urządzenia za bardzo poważne zagrożenie, a potencjalnym celem są firmy i ich infrastruktura. Nowa przestrzeń biurowa musi mieć teraz certyfikat odporności na bomby, aby eksplozja lub uderzenie bomby ciężarówki nie mogło zawalić budynku. Urzędnicy mogą zazwyczaj przedstawić aktualne informacje o zagrożeniach i zasugerować środki ochronne. Chociaż małe obszary mogą zostać zniszczone, konstrukcja nie zawali się. Podobnie jak niektóre możliwe zagrożenia, istnieją również skuteczne urządzenia ochronne, o których nie można wspomnieć. Nie są one sprzedawane publicznie i dlatego nie są znane dealerom, odsprzedawcom ani dystrybutorom. Koszty mogą być rozsądne, ponieważ są sprzedawane tylko bezpośrednio. Programiści mogą dostarczać niejawne systemy do użytku wojskowego lub rządowego oraz oferować odtajnione wersje innym wybranym użytkownikom. W ten sposób programiści mogą ograniczyć wiedzę o swoich produktach do jak najmniejszej liczby osób, tak aby inni nie mogli odkryć, jak je rozpoznać lub obejść. Wielu konsultantów, którzy pracowali dla finansowych, regulowanych lub bardzo dużych prywatnych firm, zna niektórych z tych wyspecjalizowanych dostawców. Zwykle konsultant podchodzi do dostawcy i omawia potrzeby; sprzedawca może wówczas skontaktować się bezpośrednio z klientem. Wreszcie, biorąc pod uwagę dzisiejsze środowisko przemocy, poznaj kluczowych lokalnych, stanowych i federalnych organów ścigania oraz funkcjonariuszy śledczych i zapytaj ich, jak najlepiej chronić organizację.

Zdalne urządzenia szpiegowskie

Istnieją bardzo czułe odbiorniki radiowe, które mogą monitorować dane systemu informacyjnego przez ściany lub z zewnątrz budynku bez użycia wewnętrznego błędu lub podsłuchu. Urządzenia te mogą po prostu słuchać danych z daleka. Taki sprzęt nie jest publicznie dostępny i jest daleko poza zasięgiem wszystkich szpiegów oprócz najlepiej finansowanych. Jednak obecnie w użyciu jest wiele takich systemów, a znacznie więcej będzie dostępnych wraz ze spadkiem cen. Każda organizacja, której dane są bardzo cenne, jest potencjalnym celem. Najlepszą ochroną jest dobre ekranowanie wokół pomieszczeń ze sprzętem i grubościenny metalowy kanał kablowy dla kabli danych, a wszystko musi być odpowiednio uziemione. Istnieją również nadajniki zakłóceń, które mogą pomóc; te emitują biały szum, który może przytłoczyć sygnały emitowane z infrastruktury IS

ŁAGODZENIE SZCZEGÓLNYCH ZAGROŻEŃ

Zanim będzie możliwa dobra ochrona infrastruktury, należy rozważyć kilka innych zagrożeń. Niektóre z tych sytuacji są mało prawdopodobne, ale potencjalnie bardzo kosztowne, jeśli kiedykolwiek wystąpią.

Zapobieganie podsłuchom i pluskwom

Większość podsłuchów jest umieszczana w punktach połączeń przewodów. Wrażliwe miejsca znajdują się w pomieszczeniach sprzętowych, szafach z okablowaniem, skrzynkach połączeniowych, blokach okablowania lub gniazdach danych. Przewód odgałęzienia może być światłowodowy lub koncentryczny lub wykorzystywać parę nieużywanych przewodników wewnątrz istniejącego kabla. Prawdopodobnie będzie to mały przewód, który jest ledwo zauważalny i biegnie do niepozornego miejsca, gdzie może odbywać się monitorowanie i nagrywanie. Po przeniesieniu w bezpieczne miejsce dane można pobrać telefonicznie, bezprzewodowo, przez Internet lub ręcznie. Nagrane dane mogą być nawet kodowane i przechowywane we własnej sieci ofiary. Błędy wideo i / lub audio używane do szpiegowania są podobne do podsłuchów, ponieważ po monitorowaniu danych należy je następnie wysłać w inne miejsce w celu odzyskania. O ile wszystkie dane systemowe nie są zaszyfrowane, w tym wszystkie dane, głos i ruch wideo, ochrona przed podsłuchami musi być silna, ponieważ wykrycie jest w najlepszym przypadku trudne. Najpierw określ, które kable są krytyczne, i sprawdź cały przebieg kabli. Wszystkie kable powinny znajdować się wewnątrz metalowego kanału. Kable do transmisji danych i zasilania powinny wyglądać podobnie i bez oznaczeń ani etykiet z wyjątkiem kodów alfanumerycznych. Krytyczne kanały powinny być tak niepozorne, jak to tylko możliwe, z dala od miejsc, do których mogą mieć dostęp ludzie. Musi istnieć silna kontrola dostępu, alarmy włamaniowe, czujniki ruchu lub monitoring, w którym można uzyskać dostęp do zakończeń, złączy lub przewodów. Krytyczne ciągi kablowe muszą być chronione na całej długości. Kable do transmisji danych między biurkiem a gniazdkami ściennymi lub podłogowymi są potencjalnymi miejscami podsłuchu. Zagrożone mogą być również kable, wiązki i złącza w systemach mebli biurowych. Dość dobra ochrona jest możliwa dzięki starannemu projektowi, urządzeniom, które zabezpieczają okablowanie danych przed możliwością podsłuchu i wykrywają odłączenie lub manipulację przy jakichkolwiek przewodach danych. Aby zapewnić ciągłą ochronę przed podsłuchami i błędami, nawet gdy wszystkie dane są w pełni zaszyfrowane, należy przeprowadzać okresowe i dokładne inspekcje wizualne, przeszukiwać w celu wykrycia wszelkich nietypowych transmisji o częstotliwości radiowej oraz uważnie testować okablowanie w celu określenia wszelkich anomalii. Wszystko, co zostało zrobione, należy rejestrować i szybko analizować. Niestety, większość szpiegów nigdy nie jest wykrywana i może być kontynuowana niezauważona przez sprawców