Разница между дискреционным и мандатным принципом управления доступом заключается в следующем:

1. Дискреционный принцип подразумевает, что доступ к информационным системам и ресурсам назначает администратор (реже владелец ресурсов). 1 На основе идентификационной информации о субъектах создаются списки на использование тех или иных ресурсов с указанием полномочий конкретных лиц. 1 При необходимости список прав можно расширить. 1
2. Мандатный принцип базируется на принципах конфиденциальности. 1 Каждому объекту (ресурсу) в информационном поле компании присваиваются метки типа «не секретно», «засекречено», «строго конфиденциально». 1 Затем администраторы или владельцы систем назначают сотрудникам полномочия в соответствии с их должностными обязанностями. 1 Например, кто-то получает право взаимодействовать только с объектами несекретного уровня, кто-то — с совершенно секретными ресурсами. 1 В рамках мандатной модели нельзя превышать назначенный уровень доступа. 1

Таким образом, дискреционный принцип предполагает прямое назначение прав доступа на основе идентификационной информации, в то время как мандатный принцип предполагает неявное управление доступом через назначение уровней доступа для субъектов и объектов. 4