Створення базової системи захисту інформації в ІС грунтується на наступних принципах:
1. Комплексний підхід до побудови системи захисту при провідній ролі організаційних заходів. Він означає оптимальне поєднання програмних апаратних засобів та організаційних заходів захисту, підтверджене практикою створення вітчизняних і зарубіжних систем захисту.
2. Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедур обробки. Користувачам надається мінімум строго визначених повноважень, достатніх для успішного виконання ними своїх службових обов’язків, з точки зору автоматизованої обробки доступної їм конфіденційної інформації.
3. Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в ІС без її попередньої реєстрації.
4. Забезпечення надійності системи захисту, тобто неможливість зниження її рівня при виникненні в системі збоїв, відмов, навмисних дій порушника або ненавмисних помилок користувачів і обслуговуючого персоналу.
5. Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
6. Прозорість системи захисту інформації для загального, прикладного програмного забезпечення і користувачів ІС.
7. Економічна доцільність використання системи захисту. Вона виражається в тому, що вартість розробки та експлуатації систем захисту інформації має бути менше вартості можливого збитку, що наноситься об'єкту у разі розробки та експлуатації ІС без системи захисту інформації.
3. Методи і засоби забезпечення безпеки інформації
Функціонування системи захисту інформації від несанкціонованого доступу як комплексу програмно-технічних засобів і організаційних (процедурних) рішень передбачає:
- облік, зберігання і видачу користувачам інформаційних носіїв, паролів, ключів;
- ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу);
- оперативний контроль за функціонуванням систем захисту секретної інформації;
- контроль відповідності загальносистемного програмного середовища еталону;
- приймання нових програмних засобів, що включаються до ІС;
- контроль за ходом технологічного процесу обробки інформації шляхом реєстрації аналізу дій користувачів;
- сигналізацію щодо небезпечних подій і т. ін.
