Die nicht diskretionäre Zugriffskontrolle (Non Discretionary Access Control) umfasst die rollenbasierte Zugriffskontrolle (RBAC) (Role Based Access Control) und die regelbasierte Zugriffskontrolle (RBAC oder RuBAC) (Rule Based Access Control).
Da RBAC eine Untermenge von NDAC ist, war es einfach, RBAC zu eliminieren, da es bereits unter NDAC abgedeckt war.
Die nichtdiskretionäre Zugriffskontrolle basiert ebenfalls auf der Zuweisung von Berechtigungen zum Lesen, Schreiben und Ausführen von Dateien auf einem System.
Im Gegensatz zur diskretionären Zugriffskontrolle, die es dem Dateieigentümer erlaubt, diese Berechtigungen festzulegen, erfordert die nicht-diskretionäre Zugriffskontrolle jedoch, dass der Administrator eines Systems die Zugriffsregeln für Dateien im System definiert und streng kontrolliert.

Diskretionäre (Discretionary) und obligatorische (Mandatory Access Controls) Zugriffskontrollen
Eine der grundlegendsten Entscheidungen zur Datenzugriffskontrolle, die eine Organisation treffen muss, ist die Frage, wie viel Kontrolle sie den System- und Dateneigentümern einräumt, um den Grad des Zugriffs zu bestimmen, den die Benutzer dieser Daten haben. In jeder Organisation gibt es ein Gleichgewicht zwischen den Zugriffskontrollen, die durch die Unternehmens- und Systemrichtlinien erzwungen werden, und der Möglichkeit für die Informationseigentümer, zu bestimmen, wer basierend auf spezifischen Geschäftsanforderungen Zugriff haben darf.
Der Prozess der Umsetzung dieses Gleichgewicht in ein praktikables Zugriffskontrollmodell zu übersetzen, kann durch drei allgemeine Zugriffsrahmen definiert werden:
Diskretionäre Zugriffskontrolle
Obligatorische Zugriffskontrolle
Nicht-diskretionäre Zugriffskontrolle

Diskretionäre Zugriffskontrollen (DACs) (Discretionary Access Control)
Kontrollen, die vom Eigentümer der Daten auf die Daten gelegt werden. Der Eigentümer bestimmt, wer auf die Daten zugreifen darf und welche Berechtigungen er hat. Diskretionäre Zugriffskontrollen stellen eine sehr frühe Form der Zugriffskontrolle dar und wurden vor der Entwicklung von Personalcomputern häufig in VAX-, VMS-, UNIX- und anderen Minicomputern in Universitäten und anderen Organisationen eingesetzt. Heute sind DACs weit verbreitet, damit Benutzer ihre eigenen Daten und die Sicherheit dieser Informationen verwalten können, und fast jedes gängige Betriebssystem, von Microsoft und Apple bis hin zu mobilen Betriebssystemen und Linux, unterstützt DAC. Der Vorteil eines DAC-basierten Systems ist, dass es in erster Linie benutzerzentriert ist. Der Eigentümer der Daten hat die Macht zu bestimmen, wer auf diese Daten zugreifen kann (und wer nicht), basierend auf den geschäftlichen Anforderungen und Einschränkungen, die diesen Eigentümer betreffen.
Eigentümer. Während der Eigentümer niemals die Möglichkeit hat, die Zugriffskontrollrichtlinien der Organisation zu ignorieren oder ihnen zu widersprechen, hat er die Möglichkeit, diese Richtlinien so zu interpretieren, dass sie den spezifischen Anforderungen seines Systems und seiner Benutzer entsprechen.

Mandatory Access Controls (MACs)
Kontrollen, die vom System festgelegt werden und in erster Linie auf den Richtlinien der Organisation basieren. Das System wendet Kontrollen basierend auf der Freigabe eines Benutzers und der Klassifizierung eines Objekts oder von Daten an. Bei DACs kann der Benutzer die Kontrollen nach eigenem Ermessen anwenden, nicht basierend auf dem Gesamtwert oder der Klassifizierung der Daten. Im Gegensatz dazu erfordert ein MAC, dass das System selbst die Zugriffskontrollen in Übereinstimmung mit den Sicherheitsrichtlinien des Unternehmens verwaltet. MACs werden typischerweise für Systeme und Daten verwendet, die hochsensibel sind und bei denen die Systembesitzer nicht zulassen wollen, dass Benutzer potenziell den organisatorisch vorgeschriebenen Zugriffskontrollen widersprechen oder diese umgehen. Die Zuweisung der Sicherheitskontrollen eines Objekts basierend auf seiner Klassifizierung und der Freigabe von Subjekten sorgt für ein sicheres System, das eine mehrschichtige Informationsverarbeitung ermöglicht.
MAC basiert auf einer kooperativen Interaktion zwischen dem System und dem Informationseigentümer. Die Entscheidung des Systems steuert den Zugriff und der Eigentümer sorgt für die „Need-to-know“-Kontrolle. Nicht jeder, der freigeschaltet ist, sollte Zugriff haben, sondern nur diejenigen, die freigeschaltet sind und wissen müssen. Selbst wenn der Eigentümer feststellt, dass ein Benutzer den Bedarf an Wissen hat, muss das System sicherstellen, dass der Benutzer freigegeben ist, sonst wird kein Zugriff gewährt. Um dies zu erreichen, müssen die Daten hinsichtlich ihrer Klassifizierung gekennzeichnet werden, so dass spezifische Kontrollen auf der Grundlage dieser Klassifizierung angewendet werden können.
Zugriffsberechtigungen werden auf ein Objekt basierend auf der Freigabestufe einer Person angewendet. Das dargestellte Beispiel stellt nur einige der möglichen Berechtigungen dar, die einem Objekt zugewiesen werden können. So ist z. B. „Liste“ ein in gängigen Betriebssystemen anzutreffendes Recht, das Benutzern nur erlaubt, die Dateien in einem Verzeichnis aufzulisten, nicht aber diese Dateien zu lesen, zu löschen, zu ändern oder auszuführen.

Bedeutungen:
diskretionär · nach freiem Ermessen

Autor: Richard Hunkeler