В чем разница между дискретными и мандатными методами контроля доступа в информационной безопасности?

Разница между дискретными и мандатными методами контроля доступа в информационной безопасности заключается в том, как определяются права доступа к ресурсам. habr.com {7-host}

Дискретный метод предполагает, что пользователям непосредственно прописываются права на чтение, запись и выполнение. habr.com Для каждого объекта или совокупности объектов есть владелец, который их создал и определяет уровень доступа к ним и то, какие действия можно совершить с объектами. {7-host} В дискретной модели возможно как централизованное, так и децентрализованное управление безопасностью. {7-host}

Мандатный метод подразумевает, что управление доступом происходит неявным образом. habr.com Всем пользователям (субъектам) и файлам (объектам) назначаются уровни доступа, например, «секретно», «совершенно секретно». habr.com Пользователи не имеют возможности изменить права доступа к объекту, поскольку они определены политикой безопасности. {7-host} Последняя назначается централизованно администратором и полностью определяет пользовательский доступ к объекту на основе метки. {7-host}

Таким образом, дискретный метод позволяет пользователям полностью определять доступность своих ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям. {9-host} Мандатный метод, в свою очередь, ограничивает пользователя в управлении доступом, так как политика безопасности системы, установленная администратором, полностью определяет доступ. {9-host}

Мандатная модель предназначена для государственных учреждений и компаний, которым требуется повышенный уровень безопасности, а дискретная модель подойдёт там, где не требуется высокий уровень безопасности. habr.com