минимизация привилегий; каждому пользователю предоставляются только действительно необходимые ему права по доступу к ресурсам системы;

невозможности перехода в небезопасное состояние; это означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ;

полнота контроля (принцип равнопрочности границ); должен осуществляться полный контроль при каждом обращении к каждому ресурсу;

распределение полномочий (принцип глубокоэшелонированной обороны); каждая важная операция должна разрешаться при соблюдении только двух или более условий;

централизованное управление системой (см. ниже);

наказуемость нарушений; должны быть предусмотрены «наказания» за нарушения (например, блокировка терминала при вводе пароля больше разрешенного числа раз).

Система защиты информации включает методы и средства. Совокупность методов защиты информации подразделяется на две категории: организационные и технические. Как правило, в чистом виде ни один из методов не используется, а конкретные решения по безопасности строятся на их сочетании.

К организационным методам защиты информации относятся:

управление; регулирование использования ресурсов системы в рамках установленного технологического цикла обработки и передачи данных;

регламентация; разработка и реализация комплексов организационных и технологических мероприятий, создающих такие условия хранения и обработки данных, при которых минимизируется риск несанкционированного доступа к ним;

идеологизация; создание такой системы подготовки и воспитания обслуживающего персонала, при которой правила обращения с защищенными данными регулируются моральными и нравственными нормами;

принуждение; обеспечение материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными;

упреждение; разработка и проведение комплекса активных мер защиты по принципу: «лучшая оборона – наступление», направленных на:

поиск и выведение из строя устройств для скрытого съёма информации;

выявление и задержание лиц, совершающих незаконные действия по доступу к информации;

выявление возможных каналов несанкционированного доступа к информации и направление по таким каналам дезинформации;

создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;