5.1.2 ГОСТ Р 50739–95
5.1.2 Для реализации дискретизационного (ДИСКРЕЦИОННОГО) принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).
Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискретизационный (ДИКСРЕЦИОННЫЙ) принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.
Право изменять ПРД должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).
Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.
КСЗ должен содержать механизм, претворяющий в жизнь дискретизационные ПРД, как для явных действий пользователя, так и для скрытых. Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств, а под «скрытыми» - иные действия, в том числе с использованием собственных программ работы с устройствами [из 5.1.2 ГОСТ Р 50739-95]