Из ГОСТ Р 51241-2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний

ГОСТ Р 51241-2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. Access control units and systems. Classification. General technical requiremеnts. Test methods. УДК 621.398:006.354 ОКС 13.320 П77 ОКП43 7200. Редакция от 11.10.2022.

3 Термины и определения ГОСТ Р 51241-2008

В настоящем стандарте применены следующие термины с соответствующими определениями:

Идентификатор доступа (носитель идентификационного признака) по ГОСТ Р 51241-2008

Уникальный признак субъекта или объекта доступа. В качестве идентификатора может использоваться запоминаемый код, биометрический признак или вещественный код. Идентификатор, использующий вещественный код - предмет, в который (на который) с помощью специальной технологии занесен идентификационный признак в виде кодовой информации (карты, электронные ключи, брелоки и др. устройства) [из 3.10 ГОСТ Р 51241-2008]

Идентификация по ГОСТ Р 51241-2008

Процесс опознавания субъекта или объекта по присущему ему или присвоенному ему идентификационному признаку. Под идентификацией понимают также присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов [из 3.11 ГОСТ Р 51241-2008]

Манипулирование по ГОСТ Р 51241-2008

Действия с устройствами контроля доступа, находящимися в рабочем режиме, без их разрушения, с целью получения действующего кода или приведения в открытое состояние УПУ. Устройства контроля доступа могут при этом продолжать правильно функционировать во время манипулирования и после него; следы такого действия будут незаметны. Манипулирование включает в себя также действия над программным обеспечением и действия по съему информации с каналов связи и интерфейсов устройств доступа [из 3.16 ГОСТ Р 51241-2008]

Принуждение по ГОСТ Р 51241-2008

Насильственные действия по отношению к лицу, имеющему право доступа, с целью несанкционированного проникновения через УПУ. Устройства контроля и управления доступом при этом могут функционировать нормально [из 3.22 ГОСТ Р 51241-2008]

Средства управления (СУ) по ГОСТ Р 51241-2008

Аппаратные средства (устройства) и программные средства, обеспечивающие установку режимов доступа, прием и обработку информации со считывателей, проведение идентификации и аутентификации, управление исполнительными и преграждающими устройствами, отображение и регистрацию информации [из 3.29 ГОСТ Р 51241-2008]

Средства контроля и управления доступом (средства КУД) по ГОСТ Р 51241-2008

Механические, электромеханические устройства и конструкции, электрические, электронные, электронные программируемые устройства, программные средства, обеспечивающие реализацию контроля и управления доступом [из 3.30 ГОСТ Р 51241-2008]

Уровень доступа по ГОСТ Р 51241-2008

Совокупность временных интервалов доступа (окон времени) и точек доступа, которые назначаются определенному лицу или группе лиц, имеющим доступ в заданные точки доступа в заданные временные интервалы [из 3.32 ГОСТ Р 51241-2008]

Устройства преграждающие управляемые (УПУ) по ГОСТ Р 51241-2008

Устройства, обеспечивающие физическое препятствие доступу и оборудованные исполнительными устройствами для управления их состоянием (турникеты, шлюзы, проходные кабины, двери и ворота, оборудованные исполнительными устройствами СКУД, а также другие подобные устройства) [из 3.35 ГОСТ Р 51241-2008]

Устройства исполнительные (УИ) по ГОСТ Р 51241-2008

Устройства или механизмы, обеспечивающие приведение в открытое или закрытое состояние УПУ (электромеханические, электромагнитные замки, электромагнитные защелки, механизмы привода шлюзов, ворот, турникетов и другие подобные устройства) [из 3.36 ГОСТ Р 51241-2008]

4 Классификация ГОСТ Р 51241-2008

4.1 Классификация средств КУД ГОСТ Р 51241-2008

4.1.2 Средства КУД по функциональному назначению устройств подразделяют на следующие основные средства:

В состав СКУД могут входить другие дополнительные средства: источники электропитания; датчики (извещатели) состояния УПУ; дверные доводчики; световые и звуковые оповещатели; кнопки ручного управления УПУ; устройства преобразования интерфейсов сетей связи, аппаратура передачи данных по различным каналам связи и другие устройства, предназначенные для обеспечения работы СКУД.

В состав СКУД могут входить также аппаратно-программные средства - средства вычислительной техники (СВТ) общего назначения (компьютерное оборудование, оборудование для компьютерных сетей, общее программное обеспечение) [из 4.1.2 ГОСТ Р 51241-2008]

4.1.3 Средства КУД по функциональным характеристикам подразделяют на следующие группы:

4.1.3.1 УПУ - по виду перекрытия проема прохода:

  • с частичным перекрытием (турникеты, шлагбаумы);
  • с полным перекрытием (полноростовые турникеты, специализированные ворота);
  • со сплошным перекрытием проема (сплошные двери, ворота);
  • с блокированием объекта в проеме (шлюзы, кабины проходные).

[из 4.1.3.1 ГОСТ Р 51241-2008]

4.1.3.2 УИ - по способу запирания:

  • электромеханические замки;
  • электромагнитные замки;
  • электромагнитные защелки;
  • механизмы привода дверей, ворот.

[из 4.1.3.2 ГОСТ Р 51241-2008]

4.1.3.4 Идентификаторы и считыватели – по следующим признакам:

  • виду используемых идентификационных признаков (идентификаторы и считыватели);
  • способу считывания идентификационных признаков (считыватели).

По виду используемых идентификационных признаков идентификаторы и считыватели могут быть:

  • механическими - представляют собой элементы конструкции идентификаторов (перфорационные отверстия, элементы механических ключей и т.д.):
  • магнитными - представляют собой намагниченные участки поверхности или магнитные элементы идентификатора (карты с магнитной полосой, карты Виганда и т.д.);
  • оптическими - представляют собой нанесенные на поверхность или внутри идентификатора метки, имеющие различные оптические характеристики в отраженном или проходящем оптическом излучении (карты со штриховым кодом, голографические метки и т.д.);
  • электронными контактными - представляют собой электронный код, записанный в электронной микросхеме идентификатора (дистанционные карты, электронные ключи и т.д.);
  • электронными радиочастотными - считывание кода с электронных идентификаторов происходит путем передачи данных по радиоканалу;
  • акустическими - представляют собой кодированный акустический сигнал;
  • биометрическими (только для считывателей) - представляют собой индивидуальные физические признаки человека (отпечатки пальцев, геометрию ладони, рисунок сетчатки глаза, голос, динамику подписи и т.д.);
  • комбинированными - для идентификации используют одновременно несколько идентификационных признаков.

По способу считывания идентификационных признаков считыватели могут быть:

  • с ручным вводом - ввод осуществляется с помощью нажатия клавиш, поворотом переключателей или других подобных элементов;
  • контактными - ввод происходит при непосредственном, в том числе и при электрическом, контакте между считывателем и идентификатором;
  • бесконтактными - считывание кода происходит при поднесении идентификатора на определенное расстояние к считывателю;
  • комбинированными.

[из 4.1.3.4 ГОСТ Р 51241-2008]

4.2 Классификация СКУД ГОСТ Р 51241-2008

4.2.2 По способу управления СКУД подразделяют на:

  • автономные - для управления одним или несколькими УПУ без передачи информации на центральное устройство управления и контроля со стороны оператора;
  • централизованные (сетевые) - для управления УПУ с обменом информацией с центральным пультом и контролем и управлением системой со стороны центрального устройства управления;
  • универсальные (сетевые) - включающие в себя функции как автономных, так и сетевых систем, работающие в сетевом режиме под управлением центрального устройства управления и переходящие в автономный режим при возникновении отказов в сетевом оборудовании, центральном устройстве или обрыве связи.

[из 4.2.2 ГОСТ Р 51241-2008]

4.3 Классификация средств и систем КУД по устойчивости к НСД ГОСТ Р 51241-2008

4.3.2 УПУ классифицируют по устойчивости к разрушающим воздействиям.

Устойчивость УПУ устанавливают по:

  1. устойчивости к взлому;
  2. пулестойкости (только для УПУ со сплошным перекрытием проема);
  3. устойчивости к взрыву.

Нормальная устойчивость УПУ обеспечивается механической прочностью конструкции без оценки по показателям устойчивости к разрушающим воздействиям.

Для УПУ повышенной и высокой устойчивости со сплошным перекрытием проема (сплошные двери, ворота) и блокированием объекта в проеме (шлюзы, кабины проходные) устанавливается классификация по устойчивости к взлому, взрыву и пулестойкости как для защитных дверей по ГОСТ Р 51072 [из 4.3.2 ГОСТ Р 51241-2008]

4.3.4 По устойчивости к неразрушающим воздействиям средства КУД в зависимости от их функционального назначения классифицируют по следующим показателям:

Классификацию по устойчивости к неразрушающим воздействиям: вскрытию, манипулированию, наблюдению, копированию устанавливают в стандартах и нормативных документах на средства КУД конкретного типа [из 4.3.4 ГОСТ Р 51241-2008]

4.3.5 Классификацию СКУД к НСД определяют как для систем с централизованным управлением по защищенности от несанкционированного доступа к информации ПО СКУД и средств СВТ, входящих в состав сетевых СКУД.

Классификацию систем КУД по защищенности от НСД к информации устанавливают как для автоматизированных систем в соответствии с [1] по приложению А, таблица А.1, с учетом классификации средств СВТ, входящих в состав сетевых СКУД по устойчивости от НСД к информации в соответствии с [2] по приложению Б, таблица Б.1 [из 4.3.5 ГОСТ Р 51241-2008]

4.4 Условные обозначения средств и систем КУД ГОСТ Р 51241-2008

4.4.1 Условное обозначение указывают в стандартах и (или) нормативных документах на средства КУД конкретного типа.

Размещение символа условного обозначения средства КУД должно быть осуществлено как часть технической информации и не должно быть совмещено с обозначением торговой марки [из 4.4.1 ГОСТ Р 51241-2008]

4.4.2 Условное обозначение средств КУД в документации и заказе должно содержать:

  1. наименование или сокращенное обозначение устройства (средства) в соответствии с таблицей 1;
  2. аббревиатуру СКУД;
  3. группу символов обозначений в соответствии с 4.4.3;
  4. обозначение технических условий (ТУ).

Таблица 1 - Наименование и сокращенное обозначение средств КУД

Наименование средств КУД

Сокращенное обозначение

Устройство преграждающее управляемое

УПУ

Устройство исполнительное

УИ

Устройство считывающее (считыватель)

УС

Идентификатор

ИД

Средства управления - аппаратные устройства:

- контроллер доступа

КД

- прибор приемно-контрольный доступа

ППКД

Средства управления - программные:

- программное обеспечение

ПО

[из 4.4.2 ГОСТ Р 51241-2008]

4.4.3 Структура группы символов обозначения для различных средств КУД:

Х1Х2 - Х34Х5

где

Порядковый номер Х3 регистрируется соответствующим государственным органом, ответственным за проведение технической политики в данной сфере.

Таблица 2 - Обозначение классификации по функциональным характеристикам средств КУД

Средства КУД по функциональному назначению

Классификация по функциональным характеристикам

Обозначение

УПУ
X, - по виду перекрытия прохода

С частичным перекрытием (турникеты, шлагбаумы)
С полным перекрытием (полноростовые турникеты, специализированные ворота)

1
2

Со сплошным перекрытием проема (сплошные двери, ворота)

3

С блокированием объекта в проеме (шлюзы, кабины проходные)

4

УИ
X,- по способу запирания

Электромеханические замки
Электромагнитные замки

1
2

Электромагнитные защелки

3

Механизмы привода ворот

4

УС
X, - по способу считывания идентификационных признаков

С ручным вводом
контактные
бесконтактные

1
2
3

Биометрические

4

Комбинированные

5

ИД
X, - по виду идентификационных признаков

Механические
Магнитные
Оптические

1
2
3

Электронные контактные

4

Электронные радиочастотные

5

Акустические

6

Комбинированные

7

КД, ППКД
X, - по способу управления

Автономный
Централизованный

1
2

Универсальный

3

Пример условного обозначения идентификатора КУД электронного радиочастотного, нормальной устойчивости к НСД, порядкового номера разработки 5, конструктивного исполнения 8, модификации А:

ИД СКУД 5Н - 5/8А ТУ

[из 4.4.3 ГОСТ Р 51241-2008]

4.4.5 Структура группы символов обозначения системы КУД:

X1Х2Х3Х4 - Х56Х7.

где

X1 - способ управления:

  • 1 - автономное;
  • 2 - централизованное (сетевое);
  • 3 - универсальное (сетевое).

Х2 - число контролируемых точек доступа:

  • 1 - система малой емкости;
  • 2 - система средней емкости;
  • 3 - система большой емкости.

Х3 - класс по функциональным характеристикам;

Х4 - класс защищенности системы от несанкционированного доступа к информации для систем повышенной и высокой устойчивости к НСД или буква «Н» для систем нормальной устойчивости:

Х5 - порядковый номер разработки;

X6 - обозначение конструктивного исполнения:

Х7 - обозначение модернизации (обозначается русской прописной буквой в алфавитном порядке, первая модернизация – А, вторая - Б и т.д.).

Порядковый номер Х5 регистрируется соответствующим государственным органом, ответственным за проведение технической политики в данной сфере.

Пример условного обозначения системы контроля и управления доступом сетевой, малой емкости, второго класса по функциональным возможностям, нормальной устойчивости к НСД, номера разработки 7, конструктивного исполнения 9, модернизации - Б:

СКУД - 212Н-7/9Б ТУ

[из 4.4.5 ГОСТ Р 51241-2008]

5 Технические требования ГОСТ Р 51241-2008

5.1 Общие положения ГОСТ Р 51241-2008

5.1.5 Системы КУД в рабочем режиме должны обеспечивать автоматическую работу. Режим ручного или автоматизированного управления (с участием оператора) должен обеспечиваться только при возникновении чрезвычайных, аварийных или тревожных ситуаций, а также по требованию заказчика [из 5.1.5 ГОСТ Р 51241-2008]

5.1.7 Средства и системы КУД в составе систем противокриминальной защиты объектов должны обеспечивать:

[из 5.1.7 ГОСТ Р 51241-2008]

5.2 Требования к функциональным характеристикам средств КУД ГОСТ Р 51241-2008

5.2.1 Требования к функциональным характеристикам УПУ и УИ ГОСТ Р 51241-2008

5.2.1.1 УПУ в закрытом состоянии должны обеспечивать физическое препятствие доступу в соответствии с классификацией по виду перекрытия проема:

  • частичное перекрытие (турникеты, шлагбаумы);
  • полное перекрытие (полноростовые турникеты, специализированные ворота);
  • сплошное перекрытие проема (сплошные двери, сплошные ворота);
  • блокирование объекта в проеме (шлюзы, кабины проходные).

[из 5.2.1.1 ГОСТ Р 51241-2008]

5.2.1.2 УПУ в рабочем режиме могут быть двух следующих типов:

  • тип 1 - нормально открытые;
  • тип 2 - нормально закрытые.

Нормально открытые УПУ должны быть оснащены датчиком приближения субъекта и объекта доступа, обеспечивать свободный проход при санкционированном доступе и переходить в закрытое состояние, если доступ не санкционирован.

Нормально закрытые УПУ должны открываться при санкционированном доступе [из 5.2.1.2 ГОСТ Р 51241-2008]

5.2.1.5 УПУ при санкционированном доступе должны переходить в открытое состояние при подаче управляющего сигнала на УИ от устройства управления.

Параметры управляющего сигнала (напряжение, токи, длительность) должны быть указаны в нормативных документах на УПУ конкретного типа.

Нормально закрытые УПУ при необходимости должны быть оборудованы средствами звуковой сигнализации, которая включается после их открывания и при отсутствии прохода в течение установленного времени, и должны иметь средства возвращения в закрытое состояние [из 5.2.1.5 ГОСТ Р 51241-2008]

5.2.1.7 УПУ должны иметь возможность механического аварийного открывания в случае пропадания электропитания, возникновения пожара или других чрезвычайных ситуаций. Аварийная система открывания должна быть защищена от использования ее для несанкционированного проникновения [из 5.2.1.7 ГОСТ Р 51241-2008]

5.2.1.8 В конструкции УПУ должны быть предусмотрены меры защиты внешних электрических соединительных цепей УПУ от несанкционированных воздействий (подачи напряжения, обрыва, короткого замыкания), приводящих к открыванию УПУ [из 5.2.1.8 ГОСТ Р 51241-2008]

5.2.1.9 УПУ могут иметь дополнительные средства специального контроля (металлодетекторы, обнаружители радиоактивных веществ и др.), встроенные или совместно функционирующие с устройством преграждающим управляемым. Требования к УПУ, в состав которых входят встроенные средства специального контроля, устанавливают в нормативных документах на устройства преграждающие управляемые конкретного типа [из 5.2.1.9 ГОСТ Р 51241-2008]

5.2.1.11 УИ должны обеспечивать приведение УПУ в закрытое или открытое состояние.

УИ могут быть конструктивно законченными изделиями или составлять часть конструкции УПУ.

Требования к конструкции, механическим характеристикам УИ замкового типа (электромеханическим замкам, электромеханическим защелкам) должны соответствовать ГОСТ Р 52582, ГОСТ 19091, ГОСТ 5089, ГОСТ Р 51053 [из 5.2.1.11 ГОСТ Р 51241-2008]

5.2.2 Требования к функциональным характеристикам ИД и УС ГОСТ Р 51241-2008

5.2.2.1 Считыватели должны обеспечивать.

[из 5.2.2.1 ГОСТ Р 51241-2008]

5.2.2.2 Считыватели должны иметь световую индикацию работоспособности и состояния доступа. Рекомендуемый режим работы:

  • непрерывное свечение индикатора красного цвета - доступ закрыт;
  • непрерывное свечение индикатора зеленого цвета - доступ открыт.

Допускается в режиме экономии электропитания световую индикацию работоспособности и состояния доступа отображать кратковременными вспышками соответствующего цвета.

При необходимости считыватели должны быть оборудованы звуковым сигнализатором. Параметры звуковых сигналов и события, которые они индицируют, должны быть описаны в документации на ИД и УС.

Допускается отсутствие индикации в считывателе, при этом в документации на УС должно быть указано, что такие считыватели должны использоваться с контроллерами СКУД, которые обеспечивают управление внешними световыми и звуковыми индикаторами [из 5.2.2.2 ГОСТ Р 51241-2008]

5.2.2.3 Считыватели должны быть защищены от манипулирования путем перебора и подбора идентификационных признаков. Виды и степень защиты должны быть указаны в документации на устройства конкретного типа. Информация, содержащаяся в документации, не должна снижать степень защиты [из 5.2.2.3 ГОСТ Р 51241-2008]

5.2.2.4 Считыватели не должны вызывать открывания УПУ в случае взлома или вскрытия, а также при обрыве или коротком замыкании электрических цепей. При этом автономные системы должны выдавать звуковой сигнал тревоги, а системы с централизованным управлением - дополнительно передавать сигнал тревоги на пункт управления [из 5.2.2.4 ГОСТ Р 51241-2008]

5.2.2.6 Идентификаторы должны иметь уникальный идентификационный признак (код, номер), который не должен повторяться. В случае если такое повторение возможно, в документации на конкретное изделие должны быть указаны условия повторяемости кода и меры по предотвращению использования идентификаторов с одинаковыми кодами [из 5.2.2.6 ГОСТ Р 51241-2008]

5.2.2.9 В зависимости от конструктивного исполнения и вида используемого идентификационного признака идентификаторы в части, касающейся их применения в СКУД, должны соответствовать требованиям ГОСТ Р ИСО/МЭК 7810, ГОСТ Р ИСО/МЭК 7811-1, ГОСТ Р ИСО/МЭК 7811-2, ГОСТ Р ИСО/МЭК 7811-3, ГОСТ Р ИСО/МЭК 7811-6, ГОСТ Р ИСО/МЭК 7816-1, ГОСТ Р ИСО/МЭК 7816-2, ГОСТ Р ИСО/МЭК 7816-4, ГОСТ Р ИСО/МЭК 7816-6, ГОСТ Р ИСО/МЭК 7816-10, ГОСТ Р ИСО/МЭК 10373-1, ГОСТ Р ИСО/МЭК 10373-2, ГОСТ Р ИСО/МЭК 10536-2, ГОСТ Р ИСО/МЭК 10536-3, ГОСТ Р ИСО/МЭК 11693, ГОСТ Р ИСО/МЭК 11694-1, ГОСТ Р ИСО/МЭК 11694-2, ГОСТ Р ИСО/МЭК 11694-3, ГОСТ Р ИСО/МЭК 15693-1, ГОСТ Р ИСО/МЭК 15693-2, ГОСТ Р ИСО/МЭК 15963 [из 5.2.2.9 ГОСТ Р 51241-2008]

5.2.3 Требования к функциональным характеристикам СУ ГОСТ Р 51241-2008

5.2.3.2 Контроллеры в системах с централизованным управлением и универсальных систем должны обеспечивать:

  • обмен информацией по линии связи между контроллерами и средствами централизованного управления;
  • сохранность данных в памяти системы, при обрыве линий связи со средствами централизованного управления, отключении питания и при переходе на резервное питание;
  • контроль линий связи между контроллерами и средствами централизованного управления.

Протоколы обмена информацией должны обеспечивать необходимую помехоустойчивость, скорость обмена информацией, а также (при необходимости) имитостойкость и защиту информации (для систем повышенной и высокой устойчивости).

Виды и параметры протоколов и интерфейсов должны быть установлены в нормативных документах на контроллеры конкретного типа [из 5.2.3.2 ГОСТ Р 51241-2008]

5.2.3.3 Контроллеры должны иметь входы для подключения цепей сигнализации состояния УПУ, кнопки запроса на выход, контакта вскрытия корпуса, контакта отрыва от стены. Контроллеры СКУД дополнительно могут иметь входы для подключения шлейфов охранной сигнализации. Параметры шлейфов должны соответствовать требованиям ГОСТ Р 52436 [из 5.2.3.3 ГОСТ Р 51241-2008]

5.2.3.4 Контроллеры должны иметь выходы для подключения цепей управления исполнительными устройствами, выходы управления световой индикацией состояния доступа по каждому направлению, выходы управления световой и звуковой индикацией тревожных состояний [из 5.2.3.4 ГОСТ Р 51241-2008]

5.2.3.5 Сетевые СКУД должны иметь средства централизованного управления, в качестве которых могут использоваться СВТ общего назначения (персональные или специализированные компьютеры). Основным компонентом средств управления сетевых СКУД является программное обеспечение (ПО).

В комплект эксплуатационных документов сетевой СКУД должно входить «Руководство по эксплуатации программного обеспечения», в котором должны быть указаны требования к компьютеру и составу общесистемных программ, необходимых для работы ПО СКУД [из 5.2.3.5 ГОСТ Р 51241-2008]

5.2.3.6 Программное обеспечение сетевых СКУД должно обеспечивать.

[из 5.2.3.6 ГОСТ Р 51241-2008]

5.2.3.7 Программное обеспечение должно быть устойчиво к случайным и преднамеренным воздействиям следующего вида:

После указанных воздействий и перезапуске программы должна сохраняться работоспособность системы и сохранность установленных данных. Указанные воздействия не должны приводить к открыванию УПУ и изменению действующих кодов доступа [из 5.2.3.7 ГОСТ Р 51241-2008]

5.3 Требования к функциональным характеристикам СКУД ГОСТ Р 51241-2008

5.3.1 Автономные СКУД должны обеспечивать:

  • выдачу сигнала на открывание УПУ при считывании зарегистрированного в памяти системы идентификационного признака;
  • запрет открывания УПУ при считывании незарегистрированного в памяти системы идентификационного признака;
  • запись идентификационных признаков в память системы;
  • защиту от несанкционированного доступа при записи кодов идентификационных признаков в памяти системы;
  • сохранение идентификационных признаков в памяти системы при отказе и отключении электропитания;
  • ручное, полуавтоматическое или автоматическое открывание УПУ для прохода при аварийных ситуациях, пожаре, технических неисправностях в соответствии с правилами установленного режима и правилами противопожарной безопасности;
  • автоматическое формирование сигнала закрытия на УПУ при отсутствии факта прохода;
  • выдачу сигнала тревоги при аварийном открывании УПУ для несанкционированного проникновения.

[из 5.3.1 ГОСТ Р 51241-2008]

5.3.2 Дополнительные характеристики автономных систем в зависимости от класса по функциональным характеристикам приведены в таблице 3.

В систему любого класса могут быть введены дополнительные характеристики.

Таблица 3 - Функциональные характеристики автономных систем

Функциональная характеристика автономных систем

Класс

1

2

3

1 Установка уровней доступа

-

-

+

2 Установка временных интервалов доступа

-

+

+

3 Возможность регулирования времени открывания УИ

-

+

+

4 Возможность идентификации по двум признакам

-

-

+

5 Защита от повторного использования идентификатора для прохода в одном направлении

-

-

+

6 Ввод специального идентификационного признака для открывания под принуждением

-

-

+

7 Подключение считывателей различных типов

-

+

+

8 Доступ по «правилу двух (и более) лиц»

-

-

+

9 Световая индикация о состоянии доступа

+

+

+

10 Контроль состояния УПУ

-

+

+

11 Световое и (или) звуковое оповещение о попытках НСД

-

-

+

12 Регистрация и хранение информации о событиях в энергонезависимой памяти

-

+

+

13 Число событий, хранимых в энергонезависимой памяти, не менее

-

64

256

14 Ведение даты и времени возникновения событий

-

+

+

15 Возможность подключения устройства для вывода информации о событиях

-

+

+

16 Возможность передачи информации о событиях на ЭВМ

-

-

+

17 Возможность интегрирования с системой охранной сигнализации на релейном уровне

-

+

+

18 Возможность интегрирования с системой охранного телевидения на релейном уровне

-

-

+

Примечание - Знак «+» означает наличие функции и обязательность ее проверки при установлении класса, знак «-» - отсутствие функции

[из 5.3.2 ГОСТ Р 51241-2008]

5.3.3 СКУД с централизованным управлением и универсальные должны соответствовать общим функциональным требованиям для автономных систем и дополнительно обеспечивать:

[из 5.3.3 ГОСТ Р 51241-2008]

5.3.4 Дополнительные характеристики систем с централизованным управлением в зависимости от класса по функциональным характеристикам приведены в таблице 4.

В систему любого класса могут быть введены дополнительные характеристики.

Таблица 4 - Функциональные характеристики систем с централизованным управлением и универсальных

Функциональные характеристики систем с централизованным управлением (сетевых) и универсальных

Класс системы

1

2

3

1 Число уровней доступа, не менее

16

64

256

2 Число временных интервалов доступа, не менее

16

64

256

3 Защита от повторного использования идентификатора для прохода в одном направлении:

- локальная

-

+

+

- глобальная

-

-

+

4 Возможность двойной идентификации

-

+

+

5 Поддержка биометрической идентификации

-

-

+

6 Ввод специального идентификационного признака для открывания под принуждением

-

+

+

7 Подключение считывателей различных типов

-

+

+

8 Доступ по «правилу двух (и более) лиц»

-

+

+

9 Число событий, сохраняемых в энергонезависимой памяти контроллеров, не менее

1000

5000

10000

10 Возможность интегрирования с системой охранной и пожарной сигнализации на релейном уровне

+

-

-

11 Возможность интегрирования с системой видеоконтроля на релейном уровне

+

-

-

12 Возможность интегрирования с системами охранной и пожарной сигнализации и системами видеоконтроля на системном уровне

-

+

+

13 Возможность управления работой дополнительных устройств в точках доступа (освещение, вентиляция, лифты, технологическое оборудование и т.п.)

-

-

+

14 Обеспечение изображения на экране ЭВМ плана объекта и (или) помещений объекта с указанием мест расположения средств контроля доступа, охранной и пожарной сигнализации, средств видеоконтроля и графическим отображением тревожных состояний в контрольных точках на плане

-

+

+

15 Интерактивное управление средствами по изображению плана объекта на экране ЭВМ

-

-

+

16 Ведение баз данных на пользователей

-

+

+

17 Поддержание фотографических данных пользователей в базе данных

-

-

+

18 Контроль за НАД перемещением и поиск пользователей

-

-

+

Примечание - Знак «+» означает наличие функции и обязательность ее проверки при установлении класса, знак «-» - отсутствие функции

[из 5.3.4 ГОСТ Р 51241-2008]

5.3.5 Универсальные системы должны обеспечивать автономную работу при возникновении отказов в сетевом оборудовании, центральном устройстве или обрыве связи, а также восстановление режимов работы после устранения отказов и восстановлении связи [из 5.3.5 ГОСТ Р 51241-2008]

5.3.6 СКУД должны иметь характеристики, значения которых должны быть установлены в стандартах и (или) ТУ на системы конкретного типа:

[из 5.3.6 ГОСТ Р 51241-2008]

5.4 Требования к электромагнитной совместимости ГОСТ Р 51241-2008

5.4.1 Средства и системы КУД в зависимости от устойчивости к воздействию электромагнитных помех должны иметь следующие степени жесткости по ГОСТ Р 50009:

  • первую или вторую - при нормальной устойчивости;
  • третью - при повышенной устойчивости;
  • четвертую или пятую - при высокой устойчивости.

Требования по устойчивости к электромагнитным помехам предъявляются к устройствам, имеющим степень жесткости не ниже второй, и должны быть установлены в ТУ на средства и системы КУД конкретного типа [из 5.4.1 ГОСТ Р 51241-2008]

5.5 Требования к устойчивости средств и систем КУД к НСД ГОСТ Р 51241-2008

5.5.1 Требования к устойчивости к НСД разрушающего действия распространяются на УПУ, за исключением УПУ с частичным перекрытием проема. Требования включают в себя:

[из 5.5.1 ГОСТ Р 51241-2008]

5.5.3 Для УПУ повышенной устойчивости со сплошным перекрытием проема (сплошные двери, ворота) и с блокированием объекта в проеме (шлюзы, кабины проходные) должны обеспечиваться требования по устойчивости к взлому как для защитных дверей по ГОСТ Р 51072 [из 5.5.3 ГОСТ Р 51241-2008]

5.5.4 Для УПУ высокой устойчивости со сплошным перекрытием проема (сплошные двери, ворота) и блокированием объекта в проеме (шлюзы, кабины проходные) должны обеспечиваться дополнительно требования по устойчивости к взрыву и пулестойкости как для защитных дверей по ГОСТ Р 51072 [из 5.5.4 ГОСТ Р 51241-2008]

5.5.6 Требования устойчивости к НСД неразрушающего воздействия устанавливают для средств КУД в зависимости от функционального назначения и должны включать в себя:

[из 5.5.6 ГОСТ Р 51241-2008]

5.5.7 Программное обеспечение сетевых систем должно быть защищено от несанкционированного доступа. Требования по защите программного обеспечения СКУД должны обеспечиваться средствами ограничения и администрирования доступа операционных систем управляющего компьютера СКУД и разграничением доступа к ПО СКУД. Рекомендуемые уровни защиты доступа к ПО с помощью паролей с разделением по типу пользователей:

  • первый («администратор») - доступ ко всем функциям:
  • второй («дежурный оператор») - доступ только к функциям текущего контроля:
  • третий («системный оператор») - доступ к функциям конфигурации программного обеспечения без доступа к функциям, обеспечивающим управление УПУ.

Число знаков в пароле должно быть не менее шести.

При вводе пароля в систему вводимые знаки не должны отображаться на средствах отображения информации. После ввода в систему пароли должны быть защищены от просмотра средствами операционных систем [из 5.5.7 ГОСТ Р 51241-2008]

5.5.8 Требования к защите систем КУД с централизованным управлением и универсальных от несанкционированного доступа к информации и к защите средств СВТ, входящих в состав СКУД от несанкционированного доступа к информации, должны для систем нормальной устойчивости к НСД соответствовать требованиям настоящего стандарта.

Для систем повышенной и высокой устойчивости требования к защите от несанкционированного доступа к информации устанавливают по классам в соответствии с [1] и приложением А.

При этом классы защиты системы от несанкционированного доступа к информации должны соответствовать:

  • ЗА, ЗБ, 2Б - для систем повышенной устойчивости;
  • 1Г и 1В - для систем высокой устойчивости.

Для средств СВТ, входящих в состав СКУД повышенной и высокой устойчивости, требования к защите средств СВТ от несанкционированного доступа к информации устанавливают по классам в соответствии с [2] и приложением Б.

При этом классы защиты средств СВТ, входящих в состав СКУД от несанкционированного доступа к информации, должны соответствовать:

  • 5 или 6 - для систем повышенной устойчивости;
  • 4 - для систем высокой устойчивости.

[из 5.5.8 ГОСТ Р 51241-2008]

5.6 Требования к надежности ГОСТ Р 51241-2008

5.6.1 В стандартах и (или) ТУ на средства и системы КУД конкретного типа должны быть установлены следующие показатели надежности в соответствии с ГОСТ 27.002 и ГОСТ 27.003:

При установлении показателей надежности должны быть указаны критерии отказа.

Показатели надежности средств КУД устанавливают, исходя из необходимости обеспечения надежности системы в целом.

По требованию заказчика в ТУ на конкретные средства и системы могут быть установлены дополнительные требования к надежности [из 5.6.1 ГОСТ Р 51241-2008]

5.7 Требования устойчивости к внешним воздействующим факторам ГОСТ Р 51241-2008

5.7.1 Требования устойчивости в части воздействия климатических факторов устанавливают в стандартах и нормативных документах на средства и системы контроля и управления доступом конкретных видов в соответствии с климатическим исполнением и категорией изделий по ГОСТ 15150 [из 5.7.1 ГОСТ Р 51241-2008]

5.7.3 В зависимости от условий применения в части воздействия механических нагрузок средства и системы КУД должны обеспечивать требования к прочности и устойчивости при воздействии этих нагрузок. К средствам и системам, не предназначенным для функционирования в условиях воздействия механических нагрузок, предъявляют требования только по прочности при воздействии этих нагрузок.

Требования устойчивости воздействию механических факторов устанавливают в нормативных документах на средства и системы контроля и управления доступом конкретных видов в соответствии с условиями эксплуатации и группами исполнения изделий по ГОСТ 16962 [из 5.7.3 ГОСТ Р 51241-2008]

5.8 Требования к электропитанию ГОСТ Р 51241-2008

5.8.1 Основное электропитание средств и систем КУД должно осуществляться от сети переменного тока частотой 50 Гц номинальным напряжением 220 В.

Средства и системы КУД должны быть работоспособны при допустимых отклонениях напряжения сети от минус 15 % до плюс 10%.

Электропитание отдельных средств КУД допускается осуществлять от других источников с иными параметрами выходных напряжений, требования к которым устанавливают в нормативных документах на средства КУД конкретных типов [из 5.8.1 ГОСТ Р 51241-2008]

5.8.2 Средства и системы КУД должны быть снабжены резервным электропитанием при пропадании напряжения основного источника питания. В качестве резервного источника питания может использоваться резервная сеть переменного тока или источники питания постоянного тока.

Номинальное напряжение резервного источника питания постоянного тока выбирают из ряда: 12; 24 В.

Примечание - В технически обоснованных случаях допускается устанавливать напряжение питания по согласованию с потребителем.

Переход на резервное питание должен осуществляться автоматически без нарушения установленных режимов работы и функционального состояния средств и систем КУД.

Средства и системы КУД должны быть работоспособны при допустимых отклонениях напряжения резервного источника от минус 15 % до плюс 10 % номинального значения [из 5.8.2 ГОСТ Р 51241-2008]

5.8.3 Резервный источник питания должен обеспечивать выполнение основных функций системы при пропадании напряжений в сети на время не менее 0,5 ч для систем первого и второго классов по функциональным характеристикам и не менее 1 ч - для систем третьего класса.

Допускается не применять резервирование электропитания с помощью аккумуляторных батарей для УПУ, которые требуют для управления значительных мощностей приводных механизмов (приводы ворот, шлюзы и т.п.). При этом такие УПУ должны быть оборудованы аварийными механическими средствами открывания и системными средствами индикации аварии электропитания [из 5.8.3 ГОСТ Р 51241-2008]

5.8.5 При использовании в качестве источника резервного питания СКУД аккумуляторных или сухих батарей рекомендуется иметь индикацию разряда батареи ниже допустимого предела. Для автономных систем СКУД индикация разряда может быть световой или звуковой, для сетевых систем сигнал разряда батарей может передаваться на пункт управления [из 5.8.5 ГОСТ Р 51241-2008]

5.9 Требования безопасности ГОСТ Р 51241-2008

5.9.4 Электрическое сопротивление изоляции средств и систем КУД между цепями сетевого питания и корпусом, а также между цепями сетевого питания и входными/выходными цепями должно быть не менее значений, указанных в таблице 5.

Таблица 5 - Сопротивление изоляции

Климатические условия эксплуатации

Сопротивление изоляции, мОм, не менее

Нормальные

20,0

При наибольшем значении рабочей температуры

5,0

При наибольшем значении относительной влажности

1,0

[из 5.9.4 ГОСТ Р 51241-2008]

5.9.8 Средства и системы КУД, предназначенные для эксплуатации в зонах с взрывоопасной средой должны соответствовать требованиям ГОСТ Р 51330.0 и нормативных документов, регламентирующих требования к изделиям, предназначенным для работы во взрывоопасных средах [из 5.9.8 ГОСТ Р 51241-2008]

5.10 Требования к конструкции ГОСТ Р 51241-2008

5.10.1 Габаритные размеры средств КУД и их отдельных функционально и конструктивно законченных устройств, блоков должны обеспечивать транспортирование через типовые проемы зданий, сборку, установку и монтаж на месте эксплуатации [из 5.10.1 ГОСТ Р 51241-2008]

5.10.2 Конструкции средств КУД должны быть построены по модульному и блочно-агрегатному принципу и обеспечивать:

[из 5.10.2 ГОСТ Р 51241-2008]

5.10.3 Конструкционные, электроизоляционные материалы, покрытия и комплектующие изделия должны обеспечивать:

[из 5.10.3 ГОСТ Р 51241-2008]

5.11 Требования к маркировке ГОСТ Р 51241-2008

5.11.1 Маркировка средств и систем КУД должна быть выполнена в соответствии с ГОСТ 26828 и содержать:

[из 5.11.1 ГОСТ Р 51241-2008]

6 Методы испытаний ГОСТ Р 51241-2008

6.1 Общие положения ГОСТ Р 51241-2008

6.1.1 Испытания средств и систем КУД проводят методами, приведенными в настоящем стандарте, а также по методикам испытаний в соответствии с действующими нормативными документами на конкретные типы испытаний и ТУ на конкретные средства и системы КУД.

Объем и последовательность испытаний устанавливают в программе испытаний на конкретные средства и системы контроля и управления доступом [из 6.1.1 ГОСТ Р 51241-2008]

6.1.3 При проведении испытаний средств и систем контроля и управления доступом должны быть обеспечены требования техники безопасности и другие условия в соответствии с требованиями используемых нормативных документов.

Безопасность проведения работ, использования приборов, инструментов и оборудования должна обеспечиваться выполнением требований ГОСТ 12.1.006, ГОСТ 12.1.019 [3] - [5].

Помещения для проведения испытаний должны соответствовать необходимому уровню безопасности работ, а приборы и оборудование - использоваться в соответствии с предусмотренными инструкциями [из 6.1.3 ГОСТ Р 51241-2008]

6.1.4 Образцы средств и систем контроля и управления доступом, предназначенные для проведения испытаний, должны иметь техническую документацию в объеме, необходимом для проведения испытаний, и быть полностью ею укомплектованы [из 6.1.4 ГОСТ Р 51241-2008]

6.2 Испытания на соответствие средств и систем КУД техническим требованиям ГОСТ Р 51241-2008

6.2.1 Испытания на соответствия средств и систем КУД техническим требованиям к функциональным характеристикам (см. 5.2, 5.3) проводят по методикам испытаний, приведенным в стандартах и ТУ на средства и системы КУД конкретного типа [из 6.2.1 ГОСТ Р 51241-2008]

6.2.7 Испытания по защите программного обеспечения СКУД от несанкционированного доступа (см. 5.5.5) систем КУД с централизованным управлением и универсальных от несанкционированного доступа к информации и защите средств СВТ, входящих в состав СКУД, от несанкционированного доступа к информации (см. 5.5.6) проводят проверкой на соответствие ГОСТ Р 50739 [1] и [2] [из 6.2.7 ГОСТ Р 51241-2008]

Приложение А (обязательное) - Автоматизированные системы. Классификация автоматизированных систем и требований по защите информации ГОСТ Р 51241-2008

А.1 Классификация автоматизированных систем ГОСТ Р 51241-2008

Классификация автоматизированных систем - по [1] и таблице А.1.

Таблица А.1 - Требования к автоматизированным системам по группам

Подсистемы и требования

Группы и классы

3

2

1

ЗБ

ЗА

1 Подсистема управления доступом
1.1 Идентификация, проверка подлинности и контроль доступа субъектов:

- в систему

+

+

+

+

+

- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

-

-

-

+

+

- к программам

-

-

-

+

+

- к томам, каталогам, файлам, записям, полям записей

-

-

-

+

+

1.2 Управление потоками информации

-

-

-

-

+

2 Подсистема регистрации и учета
2.1 Регистрация и учет:

- входа/выхода субъектов доступа в/из системы (узла сети)

+

+

+

+

+

- выдачи печатных (графических) выходных документов

-

+

-

+

+

- запуска/завершения программ и процессов (заданий, задач)

-

-

-

+

+

- доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

-

-

-

¦

+

- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

-

-

-

+

+

- изменения полномочий субъектов доступа

-

-

-

-

+

- создаваемых защищаемых объектов доступа

-

-

-

-

+

2.2 Учет носителей информации

+

+

+

+

+

2.3 Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

-

+

-

+

+

2.4 Сигнализация попыток нарушения защиты

-

-

-

-

+

3 Подсистема обеспечения целостности

3.1 Обеспечение целостности программных средств и обрабатываемой информации

+

+

+

+

+

3.2 Физическая охрана средств вычислительной техники и носителей информации

+

+

+

+

+

3.3 Наличие администратора (службы) защиты информации в АС

-

-

-

-

+

3.4 Периодическое тестирование СЗИ НСД

+

+

+

+

+

3.5 Наличие средств восстановления СЗИ НСД

+

+

+

+

+

3.6 Использование сертифицированных средств защиты

-

+

-

-

+

Примечание - Знак «+» означает наличие требований к данному классу, знак «-» - отсутствие требования к данному классу

[из А.1 Классификация автоматизированных систем ГОСТ Р 51241-2008]

А.2 Пояснения к требованиям ГОСТ Р 51241-2008

А.2.1 Термины и определения к приложению А ГОСТ Р 51241-2008

Аутентификация (Authentication) по РД ГТК РФ. Защита от НСД. Термины и определения

Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности [из 17 РД ГТК РФ. Защита от НСД. Термины и определения]

Безопасность информации (Information security) по РД ГТК РФ. Защита от НСД. Термины и определения

Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз [из 21 РД ГТК РФ. Защита от НСД. Термины и определения]

Дискреционное управление доступом (Discretionary access control) по РД ГТК РФ. Защита от НСД. Термины и определения

Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту [из 24 РД ГТК РФ. Защита от НСД. Термины и определения]

Доступ к информации (Access to information) по РД ГТК РФ. Защита от НСД. Термины и определения

Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации [из 1 РД ГТК РФ. Защита от НСД. Термины и определения]

Защита от несанкционированного доступа к информации (Protection from unauthorized access) по РД ГТК РФ. Защита от НСД. Термины и определения

Предотвращение или существенное затруднение несанкционированного доступа [из 5 РД ГТК РФ. Защита от НСД. Термины и определения]

Класс защищенности средств вычислительной техники (автоматизированной системы) (Protection class of computer systems) по РД ГТК РФ. Защита от НСД. Термины и определения

Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации [из 32 РД ГТК РФ. Защита от НСД. Термины и определения]

Несанкционированный доступ к информации (Unauthorized access to information) по РД ГТК РФ. Защита от НСД. Термины и определения

Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Примечание - Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем [из 4 РД ГТК РФ. Защита от НСД. Термины и определения]

Объект доступа (Access object) по РД ГТК РФ. Защита от НСД. Термины и определения

Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа [из 7 РД ГТК РФ. Защита от НСД. Термины и определения]

Правила разграничения доступа (Security policy) по РД ГТК РФ. Защита от НСД. Термины и определения

Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа [из 2 РД ГТК РФ. Защита от НСД. Термины и определения]

Сертификация уровня защиты (Protection level certification) по РД ГТК РФ. Защита от НСД. Термины и определения

Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите [из 38 РД ГТК РФ. Защита от НСД. Термины и определения]

Средство защиты от несанкционированного доступа (Protection facility) по РД ГТК РФ. Защита от НСД. Термины и определения

Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа [из 19 РД ГТК РФ. Защита от НСД. Термины и определения]

Целостность информации (Information integrity) по РД ГТК РФ. Защита от НСД. Термины и определения

Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [из 22 РД ГТК РФ. Защита от НСД. Термины и определения]

А.З Подсистема управления доступом ГОСТ Р 51241-2008

А.3.1 Идентификация, проверка подлинности и контроль доступа субъектов должны осуществляться:

[из А.3.1 ГОСТ Р 51241-2008]

А.3.2 Управление потоками информации должно осуществляться с помощью меток конфиденциальности, при этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации [из А.3.2 ГОСТ Р 51241-2008]

А.4 Подсистема регистрации и учета ГОСТ Р 51241-2008

А.4.1 Подсистема должна осуществлять регистрацию:

[из А.4.1 ГОСТ Р 51241-2008]

А.4.2 Подсистема должна осуществлять учет:

[из А.4.2 ГОСТ Р 51241-2008]

А.4.3 Подсистема должна осуществлять очистку двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации.

При регистрации и учете указывают время и дату, характеристики и результаты проведенной операции [из А.4.3 ГОСТ Р 51241-2008]

А.5 Подсистема обеспечения целостности ГОСТ Р 51241-2008

А.5.1 Подсистема должна осуществлять целостность программных средств СЗИ НСД установлением при загрузке системы по контрольным суммам компонент СЗИ и обеспечением использования трансляторов с языками высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации [из А.5.1 ГОСТ Р 51241-2008]

Приложение Б (обязательное) - Средства вычислительной техники (СВТ). Показатели защищенности от НСД к информации по классам защищенности ГОСТ Р 51241-2008

Б.1 Показатели защищенности от НСД к информации ГОСТ Р 51241-2008

Показатели защищенности от НСД к информации по классам защищенности - по [1] и таблице Б.1.

Таблица Б.1

Наименование показателя

Класс защищенности

6

5

4

1 Дискреционный принцип контроля доступа

+

+

+

2 Мандатный принцип контроля доступа

-

-

+

3 Очистка памяти

-

+

+

4 Изоляция модулей

-

-

+

5 Маркировка документов

-

-

+

6 Защита ввода и вывода на отчуждаемый физический носитель информации

-

-

+

7 Сопоставление пользователя с устройством

-

-

+

8 Идентификация и аутенфикация

-

=

+

9 Гарантии проектирования

-

+

+

10 Регистрация

-

+

+

11 Целостность КСЗ

-

+

+

12 Тестирование

+

+

+

13 Руководство попьзоватепя

+

=

=

14 Руководство по КСЗ

+

+

=

15 Тестовая документация

+

+

+

16 Конструкторская (проектная) документация

+

+

+

Примечание - Знак «-» означает отсутствие требования к данному классу, знак «+» - наличие новых или дополнительных требований, знак «=» в - требования совпадают с требованиями к СВТ предыдущего класса

[из Б.1 Показатели защищенности от НСД к информации ГОСТ Р 51241-2008]

Б.2 Пояснения к требованиям по показателям защищенности ГОСТ Р 51241-2008

Б.2.1 Дискреционный принцип контроля доступа ГОСТ Р 51241-2008

Б.2.1.1 Дискреционный принцип контроля доступа по всем классам защищенности ГОСТ Р 51241-2008

Комплекс средств защиты (КСЗ) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа («читать», «писать» и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа (ПРД).

Контроль доступа должен быть применим к каждому объекту и субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможность санкционированного изменения ПРД, в том числе санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.) [из Б.2.1.1 Дискреционный принцип контроля доступа по всем классам защищенности ГОСТ Р 51241-2008]

Б.2.1.3 Дополнительно по классу 4 защищенности ГОСТ Р 51241-2008

КЗИ должен содержать механизм, претворяющий в жизнь 🤣 РЕАЛИЗУЮЩИЙ дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, недопустимого с точки зрения заданного ПРД). Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под «скрытыми» - иные действия, в том числе с использованием собственных программ работы с устройствами.

Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД [из Б.2.1.3 Дополнительно по классу 4 защищенности ГОСТ Р 51241-2008]

Б.3 Мандатный принцип контроля доступа ГОСТ Р 51241-2008

Для реализации мандатного принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление КСЗ классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступах со стороны любого из субъектов:

  • субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
  • субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В CBT должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его дискреционными и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации [из Б.3 Мандатный принцип контроля доступа ГОСТ Р 51241-2008]

Б.4 Очистка памяти ГОСТ Р 51241-2008

Б.4.2 По классу 6: при первоначальном назначении или перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти КСЗ должен осуществлять ее очистку [из Б.4.2 ГОСТ Р 51241-2008]

Б.5 Изоляция модулей ГОСТ Р 51241-2008

При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга [из Б.5 Изоляция модулей ГОСТ Р 51241-2008]

Б.7 Защита ввода и вывода на отчуждаемый физический носитель информации ГОСТ Р 51241-2008

КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (вывода на «помеченное» устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с «помеченным» каналом связи.

Изменения в назначении и разметке устройств и каналов должны вноситься только под контролем КСЗ [из Б.7 Защита ввода и вывода на отчуждаемый физический носитель информации ГОСТ Р 51241-2008]

Б.8 Сопоставление пользователя с устройствами ГОСТ Р 51241-2008

КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство, как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).

Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству [из Б.8 Сопоставление пользователя с устройствами ГОСТ Р 51241-2008]

Б.9 Идентификация и аутентификация ГОСТ Р 51241-2008

Б.9.1 По классам защищенности 6 и 5 ГОСТ Р 51241-2008

КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации, т.е. осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась [из 6.9.1 По классам защищенности 6 и 5 ГОСТ Р 51241-2008]

Б.10 Гарантии проектирования ГОСТ Р 51241-2008

Б.10.1 По классу защищенности 5 ГОСТ Р 51241-2008

На начальном этапе проектирования СВТ должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД [из Б.10.1 По классу защищенности 5 ГОСТ Р 51241-2008]

Б.11 Регистрация ГОСТ Р 51241-2008

Б.11.1 По классу защищенности 5 ГОСТ Р 51241-2008

КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:

Для каждого из этих событий должна регистрироваться следующая информация:

  • дата и время;
  • субъект, осуществляющий регистрируемое действие;
  • тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
  • успешно ли осуществилось событие (обслужен или нет запрос на доступ).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией [из Б.11.1 По классу защищенности 5 ГОСТ Р 51241-2008]

Б.12 Целостность КСЗ ГОСТ Р 51241-2008

Б.12.1 Целостность КСЗ по классу защищенности 5 ГОСТ Р 51241-2008

В СВТ данного класса защищенности должны быть предусмотрены средства периодического контроля за НАД целостностью программной и информационной части КСЗ [из Б.12.1 Целостность КСЗ по классу защищенности 5 ГОСТ Р 51241-2008]

Б.12.2 По классу защищенности 4 ГОСТ Р 51241-2008

В СВТ данного класса защищенности должен осуществляться периодический контроль за НАД целостностью КСЗ.

Программы КСЗ должны выполняться отдельной части оперативной памяти [из Б.12.2 По классу защищенности 4 ГОСТ Р 51241-2008]

Б.13 Тестирование ГОСТ Р 51241-2008

Б.13.1 По классу защищенности 6 должны тестироваться.

  • реализация дискреционных ПРД (перехват явных и скрытых запросов, правильное распознавание санкционированных и несанкционированных запросов на доступ, средства защиты механизма разграничения доступа, санкционированные изменения ПРД);
  • успешное осуществление идентификации и аутентификации, а также их средств защиты.

[из Б.13.1 ГОСТ Р 51241-2008]

Б.13.2 Дополнительно по классу 5 должны тестироваться:

[из Б.13.2 ГОСТ Р 51241-2008]

Б.13.3 По классу 4 должны тестироваться:

[из Б.13.3 ГОСТ Р 51241-2008]

Б.14 Руководство пользователя ГОСТ Р 51241-2008

Руководство пользователя по документации для всех классов должно включать в себя описание способов использования КСЗ и его интерфейса с пользователем [из Б.14 Руководство пользователя ГОСТ Р 51241-2008]

Б.15 Руководство по КСЗ ГОСТ Р 51241-2008

Документ адресован администрации защиты [из Б.15 Руководство по КСЗ ГОСТ Р 51241-2008]

Б.17 Конструкторская (проектная) документация ГОСТ Р 51241-2008

Б.17.1 По классу защищенности 6 конструкторская (проектная) документация должна содержать общее описание принципов работы СВТ, общую схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов частей КСЗ между собой, описание механизмов идентификации и аутентификации [из Б.17.1 ГОСТ Р 51241-2008]

Б.17.2 По классу 5 конструкторская (проектная) документация должна содержать описание принципов работы СВТ, общую схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов модулей КСЗ, модель защиты, описание механизмов контроля целостности КСЗ, очистки памяти, идентификации и аутентификации [из Б.17.2 ГОСТ Р 51241-2008]

Б.17.3 По классу защищенности 4 конструкторская (проектная) документация должна содержать:

[из Б.17.3 ГОСТ Р 51241-2008]

Библиография ГОСТ Р 51241-2008

[1] Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. Государственная техническая комиссия при президенте Российской Федерации (Гостехкомиссия России). Утвержден решением председателя Государственной технической комиссии при президенте Российской Федерации от 30 марта 1992 г. М.: 1992

[2] Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации*. Государственная техническая комиссия при президенте Российской Федерации (Гостехкомиссия России). Утвержден решением председателя Государственной технической комиссии при президенте Российской Федерации от 30 марта 1992 г. М.: 1992

[3] ПУЭ-76 Правила устройства электроустановок, утверждены Главным техническим управлением по эксплуатации энергосистем и Государственной инспекцией по энергонадзору Министерства энергетики и электрификации СССР. 6-е и 7-е издания. Издательство ДЕАН М.: 2008

[4] Правила техники безопасности при эксплуатации электроустановок потребителей. Утверждены Глввгосэнергонадзором 21.12.1984 г. Издание 4-е. Издательство АОЗТ «Энергосервис». М.: 1994

[5] Единые правила безопасности при взрывных работах. Утверждены Госгортехнадзором 24 марта 1992 г. Издательство НПО ОБТ. Москва. 1992

[6] Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомисия России. М.: 1992

[из Библиография ГОСТ Р 51241-2008]