Приложение А (обязательное). Автоматизированные системы. Государственный стандарт Российской Федерации ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний" (принят и введен в действие постановлением Госстандарта РФ от 29.12.1998 N 472) (утратил силу)

Приложение А
(обязательное)

Автоматизированные системы

Классификация автоматизированных систем и требований по защите информации

Классификация автоматизированных систем - по документу [3].

Таблица А.1 - Требования к автоматизированным системам по группам

Подсистемы и требования	Группы и классы
	3		2	1
	3Б	3А	2Б	1Г	1В
1 Подсистема управления доступом
1.1 Идентификация, проверка подлинности и контроль доступа субъектов:
- в систему	+	+	+	+	+
- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-	-	+	+
- к программам	-	-	-	+	+
- к томам, каталогам, файлам, записям, полям записей	-	-	-	+	+
1.2 Управление потоками информации	-	-	-	-	+
2 Подсистема регистрации и учета
2.1 Регистрация и учет:
- входа/выхода субъектов доступа в/из системы (узла сети)	+	+	+	+	+
- выдачи печатных (графических) выходных документов	-	+	-	+	+
- запуска/завершения программ и процессов (заданий, задач)	-	-	-	+	+
- доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	-	-	+	+
- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	-	-	+	+
- изменения полномочий субъектов доступа	-	-	-	-	+
- создаваемых защищаемых объектов доступа	-	-	-	-	+
2.2 Учет носителей информации	+	+	+	+	+
2.3 Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	-	+	+
2.4 Сигнализация попыток нарушения защиты	-	-	-	-	+
3 Подсистема обеспечения целостности
3.1 Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
3.2 Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
3.3 Наличие администратора (службы) защиты информации в АС	-	-	-	-	+
3.4 Периодическое тестирование СЗИ НСД	+	+	+	+	+
3.5 Наличие средств восстановления СЗИ НСД	+	+	+	+	+
3.6 Использование сертифицированных средств защиты	-	+	-	-	+
Примечание - Знак "+" означает наличие требования к данному классу, знак "-" - отсутствие требования к данному классу.

Пояснения к требованиям

Термины и определения - по документу [7].

доступ к информации: Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

правила разграничения доступа: Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

санкционированный доступ к информации: Доступ к информации, не нарушающий правила разграничения доступа.

несанкционированный доступ к информации НСД: Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Примечание - Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

защита от несанкционированного доступа. Защита от НСД: Предотвращение или существенное затруднение несанкционированного доступа.

субъект доступа: Лицо или процесс, действия которых регламентируются правилами разграничения доступа.

объект доступа: Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

уровень полномочий субъекта доступа: Совокупность прав доступа субъектов доступа.

аутентификация: Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

пароль: Идентификатор субъекта доступа, который является его (субъекта) секретом.

средство защиты от несанкционированного доступа. Средство защиты от НСД: Программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.

безопасность информации: Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз.

целостность информации: Способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

дискреционное управление доступом: Разграничение доступа между поименованными субъектами и объектами; субъект с определенным правом доступа может передать это право любому другому субъекту.

класс защищенности средств ВТ и АС: Определенная совокупность требований по защите средств ВТ и АС от несанкционированного доступа к информации.

сертификация уровня защиты: Процесс установления соответствия средств ВТ или АС набору определенных требований по защите.

А.1 Подсистема управления доступом

А.1.1 Идентификация, проверка подлинности и контроль доступа субъектов должны осуществляться:

- при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; при количестве символов менее шести система не может классифицироваться по данным требованиям и ее класс может быть только седьмым;

- при доступе к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ по логическим именам и(или) адресам;

- при доступе к программам, томам, каталогам, файлам, записям, полям записи по именам;

- к защищенным ресурсам в соответствии с матрицей доступа.

А.1.2 Управление потоками информации должно осуществляться с помощью меток конфиденциальности;