Базовые требования по безопасности информационных систем:
1. Система должна иметь сертификат безопасности.
2. Каждый объект должен иметь собственную метку
3. Все пользователи должны быть идентифицированы
4. Система должна накапливать данные и применять для контроля системы защиты
5. Система должна быть открыта для независимого оценивания
6. Система должна быть защищена от изменений любой конфигурации
7. Система должна обслуживаться квалифицированными и надежными специалистами(70% вторжений происходит изнутри)
8. Экономическая эффективность. Стоимость средств защиты должна быть меньше размера возможного ущерба (взлом защиты дороже чем сама информация)
9. Минимум привилегий
10. Простота
11. Неотключаемость защиты
12. Сами эксплуататоры защиты должны себе представлять, что защита делает, где и как
13. Всеобщий контроль. Любые исключения из множества контролируемых субъектов снижают защищенность
14. Независимость самой системы защиты от того что защищается
15. Отчетность и подконтрольность. Система должна предоставлять доказательства правильности своей работы
16. Ответственность. Личная ответственность лиц, занимающихся обеспечением безопасности.
17. Изоляция и разделение. Объекты защиты должны быть разбиты на группы, чтобы отказ одной не влиял на отказ других.
18. Полнота и согласованность. Надежность системы защиты должна быть специфицирована, протестирована и согласованна с теми задачами, которые необходимо выполнить.
19. Должны допускаться изменения параметров.
20. Принцип «враждебного окружения». Система должна проектироваться из наихудших предположений.
21. Наиболее важные решения должны приниматься человеком.
22. Отсутствие изменений информации о существующих механизмах защиты.
Периметр безопасности- граница надёжной вычислительной базы. Надёжность системы- система, обеспечивающая одновременную обработку информации с различным уровнем секретности, без нарушением прав доступа.