Это означает, что построение механизмов защиты должно также носить многоуровневый характер. Проще пояснить это на примерах. Если нас интересует только защита конфиденциальности и целостности данных в приложениях, то, обычно, этот вопрос можно решить на верхних уровнях (приложения или представления данных). Если встает вопрос об обеспечении надежной доставки — акценты смещаются к транспортному уровню. Если обмен информацией между системами должен скрывать внутреннюю сетевую структуру систем, то речь идет о сетевом уровне. Если необходимо учесть опасность широковещательных сообщений (например, угрозы использования пассивного прослушивания сегмента), следует говорить о канальном уровне. Физический уровень обычно затрагивается, когда речь идет о защите от побочных электромагнитных излучениях или возможности физического внедрения злоумышленника в канал связи.

Когда в начале этой статьи рассматривалась проблема инвентаризации информационных систем, одними из рекомендуемых ко включению в обследование вопросов были источники получения и цели отправления информации. Если это обследование было произведено качественно, то становится легко составить схему информационных потоков (причем не виртуально, а именно нарисовать на бумаге). Возможно, части этой схемы следует показать обследуемым и опрашиваемым пользователям для уточнения. Теперь, имея подобную схему, можно проанализировать тонкие места построенной или планируемой системы защиты данных.

Если обе системы, между которыми происходит обмен данными, поддерживают одни и те же протоколы безопасности, то при соответствующей настройке они смогут обеспечить требуемый уровень безопасности.