Дискреционная и мандатная защита данных отличаются подходами к управлению доступом к информации. 13

Дискреционная защита предполагает, что пользователям непосредственно прописываются права на чтение, запись и выполнение. 3 При таком подходе не существует возможности проверить, не приведёт ли разрешение доступа к объекту для некоторого субъекта к нарушению безопасности информации в компьютерной системе. 1 Например, владелец базы данных с конфиденциальной информацией, дав разрешение на её чтение другому пользователю, делает этого пользователя фактически владельцем защищаемой информации. 1

Мандатная защита основана на том, что всем пользователям (субъектам) и файлам (объектам) назначаются уровни доступа. 3 Все возможные уровни допуска системы чётко определены и упорядочены по возрастанию секретности. 3 Действуют два основных правила: 3

1. Пользователь может читать только объекты с уровнем допуска не выше его собственного. 3
2. Пользователь может изменять только те объекты, уровень допуска которых не ниже его собственного. 3

Таким образом, дискреционная защита не обеспечивает защиты от утечки конфиденциальной информации, в то время как мандатная защита направлена на предотвращение утечки информации определённого уровня конфиденциальности к субъектам, чей уровень допуска ниже. 12

Мандатная модель предназначена для государственных учреждений и компаний, которым требуется повышенный уровень безопасности, а дискреционная модель подойдёт там, где не требуется высокий уровень безопасности. 3