Дискреционный принцип защиты отличается от мандатного тем, как происходит разграничение доступа к информации. 24

Дискреционный принцип предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретных пользователей или групп. 2 Права на доступ к объекту проверяются только при первом обращении к нему. 2 Субъект с определённым правом доступа может передать это право любому другому субъекту. 3

Мандатный принцип предполагает назначение объекту грифа секретности, а субъекту — уровня допуска. 2 Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». 2 Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. 2

Таким образом, дискреционный принцип фокусируется на назначении конкретных прав доступа, а мандатный — на ограничении доступа в зависимости от уровня секретности и доверия пользователей.