- •10. Політика інформаційної безпеки: мета, задачі та основний зміст.
- •1. Листи можливостей: для кожного суб'єкта створюється лист (файл) усіх об'єктів, до яких має доступ даний суб'єкт;
- •2. Листи контролю доступу: для кожного об'єкта створюється список усіх суб'єктів, що мають доступи до цього об'єкта;
- •Розробка й аналіз профілю захисту
- •37. Реагування на інциденти інформаційної безпеки, основні задачі.
- •38. Впровадження системи управління інцидентами інформаційної безпеки.
- •39.Обстеження об’єкту у процесі управління інцидентами
- •40. Основні труднощі при управлінні інцидентами інформаційної безпеки.
- •41.Основні етапи оцінки ризиків:
- •42. Кількісна та якісна оцінка ризиків.
- •45. Класифікація технічних каналів витоку інформації
- •50. Контроль ефективності функціонування системи захисту.
- •51. Основні завдання криптографії
Основи управління інформаційною безпекою на базі міжнародних стандартів серії ISO.
Фахівцям у галузі інформаційної безпеки сьогодні майже неможливо обійтися без знань відповідних стандартів і специфікацій. На це є декілька причин. Необхідність дотримання певних стандартів закріплена законодавчо. Також, є більш переконливі причини: по-перше, стандарти і специфікації – одна з форм накопичення знань (насамперед на процедурному і програмно-технічному рівнях інформаційної безпеки). У них зафіксовані апробовані, високоякісні рішення та методології, розроблені найбільш кваліфікованими фахівцями; по-друге, і ті, і інші є основним засобом забезпечення взаємної сумісності апаратно-програмних систем та їх компонентів. З точки зору України, можна виділити міжнародні та державні стандарти у галузі інформаційної безпеки. Серед міжнародних стандартів варто виділити серію ISO 27k, що присвячена побудові системи управління інформаційною безпекою (СУІБ).
Серія ISO 27k на сьогодні включає у себе такі міжнародні стандарти:
ISO/IEC 27000:2012 Цей стандарт містить огляд та словник термінів, що відносяться до СУІБ. Словник (глосарій) містить ретельно сформульовані формальні дефініції більшості базових термінів, пов’язаних з інформаційною безпекою.
ISO/IEC 27001:2013 Стандарт містить вимоги у галузі інформаційної безпеки щодо створення, розвитку і підтримки СУІБ. Основою стандарту є система управління ризиками, пов’язаними з інформацією.
ISO/IEC 27002:2013 Висвітлює найкращі практичні поради щодо менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування СУІБ.
ISO/IEC 27003:2010 У цьому стандарті розглядаються найважливіші аспекти, необхідні для успішної розробки та впровадження СУІБ відповідно до стандарту ISO 27001.
ISO/IEC 27004:2009 Стандарт містить рекомендації щодо розробки та використання вимірювань і мір вимірювання для проведення оцінки ефективності реалізованої СУІБ, а також заходи і засоби контролю та управління відповідно до ISO 27001.
ISO/IEC 27011:2008 Прийняття цього стандарту дозволить телекомунікаційним організаціям забезпечити базові вимоги щодо управління інформаційною безпекою (конфіденційність, цілісність, доступність).
ISO/IEC 27014:2013 Цей стандарт є керівництвом щодо створення концепції і принципів управління інформаційною безпекою, за допомогою яких організації (різних типів і розмірів) можуть оцінити, корегувати, контролювати діяльність організації щодо інформаційної безпеки.
ISO/IEC 27035:2011 Він встановлює рекомендації щодо менеджменту інцидентів інформаційної безпеки і стосується керівників підрозділів з інформаційної безпеки, інформаційних систем, сервісів та мереж.
ISO/IEC 27037:2012 Стандарт містить рекомендації для конкретних видів діяльності щодо роботи з цифровими доказами (зокрема, виявлення, збір, придбання і збереження цифрових фактів, які можуть мати доказове значення).
Основи державної інформаційної політики в сфері захисту інформації.
Політика безпеки (ПБ) ─ якісний (або якісно-кількісний) вираз властивостей захищеності в термінах, що представляють систему. Опис ПБ повинен включати або враховувати властивості загрози, об'єкта атаки та каналу дії.
За означенням, під ПБ інформації розуміється набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Державна політика у сфері ТЗІ визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень цієї Концепції, а також програм розвитку ТЗІ та окремих проектів.
Основними напрямами державної політики у сфері ТЗІ є:
нормативно-правове забезпечення;
удосконалення чинних та розроблення нових нормативних документів з питань ТЗІ;
організаційне забезпечення;
науково-технічна та виробнича діяльність.
Побудова ПБ ─ це зазвичай такі кроки:
─ в інформацію вноситься структура цінностей і проводиться аналіз ризику;
─ визначаються правила для будь-якого процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.
Серед моделей ПБ найвідомішими є дискреційна, мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації.
Інформаційні системи та технології як об'єкти інформаційної безпеки.
Інформаційна система – це організаційно впорядкована сукупність інформаційних ресурсів, технічних засобів, технологій, що реалізують інформаційні процеси в традиційному або автоматизованому режимі для задоволення інформаційних потреб користувачів.
Функціональною основою будь-якої інформаційної системи є інформаційні процеси. Інформаційні процеси – це сукупність взаємозалежних і взаємообумовлених процесів виявлення, аналізу, введення і відбору інформації, видачі її споживачеві для ухвалення управлінського рішення за допомогою різних засобів.
Об’єктом захисту виступає інформаційна система, предметом захисту інформації в інформаційній системі є інформація.
Першим завданням, що стоїть перед вирішенням проблеми захисту інформації є аналіз можливих загроз та оцінки захищеності об’єкту захисту інформації.
Інформаційні технології - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів. «Загальні критерії безпеки інформаційних технологій» (Common Criteria for Information Technology Security Evaluation) є результатом спільних зусиль авторів європейських «Критеріїв безпеки інформаційних технологій», «Федеральних критеріїв безпеки інформаційних технологій» і «Канадських критеріїв безпеки комп'ютерних систем», спрямованих на об'єднання основних положень цих документів і створення єдиного міжнародного стандарту безпеки інформаційних технологій. Розробка цього стандарту мала такі основні цілі:
уніфікація національних стандартів у сфері оцінки безпеки IT;
підвищення рівня довіри до оцінки безпеки IT;
скорочення витрат на оцінку безпеки ІТ на основі взаємного визнання сертифікатів.
Нові критерії були покликані забезпечити взаємне визнання результатів стандартизованої оцінки безпеки на світовому ринку IT.
4. Роль і місце інформаційної безпеки в загальній системі національної безпеки держави
Інформаційна безпека – захищеність (стан захищеності) основних інтересів особистості, суспільства і держави в сфері інформації, включаючи інформаційну і телекомунікаційну інфраструктуру і власне інформацію та її параметри, такі, як повнота, об’єктивність, доступність і конфіденційність. Інформаційна безпека є складовою національної безпеки. Під національною безпекою слід розуміти стан захищеності життєво важливих національних інтересів від внутрішніх і зовнішніх загроз.
Необхідною умовою нормального існування і розвитку кожного суспільства є захищеність від зовнішніх і внутрішніх загроз, стійкість до спроб зовнішнього тиску, як здатність протистояти таким спробам і нейтралізовувати виникаючі загрози, так і забезпечувати такі внутрішні і зовнішні умови існування країни, які гарантують можливість стабільного і всебічного прогресу суспільства і його громадян. Саме для характеристики цього стану використовується поняття національної безпеки.
Оскільки в умовах інформатизації країни, розвитку інформаційних технологій, інформаційні ресурси формуються у всіх сферах діяльності, і насамперед в політичній, військовій, економічній, науково-технічній , інформаційну безпеку слід розглядати як комплексний показник національної безпеки. Цим визначається її важливе місце і одна з провідних ролей в системі національної безпеки країни в сучасних умовах.
Забезпечення інформаційної безпеки здійснюється в рамках забезпечення національної безпеки.
Національна безпека досягається проведенням єдиної державної політики в області забезпечення безпеки, системою заходів економічного, політичного і іншого характеру, адекватних загрозам життєво важливих інтересів особі, суспільства і держави.
Об'єктами інформаційної безпеки є інформаційні ресурси, канали інформаційного обміну і телекомунікації, механізми забезпечення функціонування телекомунікаційних систем і мереж та інші елементи інформаційної інфраструктури країни"
5. Опишить критерії оцінки захищеності комп’ютерних систем.
Критерії оцінки безпеки комп’ютерних систем є методологічною базою для визначення вимог з захисту інформації в комп'ютерних системах від несанкціонованого доступу; створення захищених комп'ютерних систем і засобів захисту від несанкціонованого доступу; оцінки захищеності інформації в комп'ютерних системах і їх придатності для обробки критичної інформації (інформації, що вимагає захисту).
Критерії надають:
1. Порівняльну шкалу для оцінки надійності механізмів захисту інформації від несанкціонованого доступу, реалізованих в комп'ютерних системах.
2. Базу (орієнтири) для розробки комп'ютерних систем, в яких мають бути реалізовані функції захисту інформації.
В процесі оцінки спроможності комп'ютерної системи забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:
вимоги до функцій захисту (послуг безпеки);
вимоги до гарантій.
В контексті Критеріїв комп'ютерна система розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n — унікальне для кожного виду послуг.
Функціональні критерії розбиті на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів.
Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі “Критерії конфіденційності”. В цьому розділі описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).
Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі “Критерії цілісності”. В цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.
Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі “Критерії доступності”. В цьому розділі описані такі послуги: використання ресурсів, стійкість до відмов, горяча заміна, відновлення після збоїв.
Спостереженість. Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).
Оцінка рівня безпеки системи згідно з Європейськими міжнародними критеріями.
Країни Європи спільно розробили погоджені "Критерії безпеки інформаційних технологій" (Information Technology Security Evaluation Criteria, далі – "Європейські критерії"). Даний огляд ґрунтується на версії 1.2 цього документа, опублікованої в червні 1991 року від імені відповідних органів чотирьох країн: Франції, Німеччини, Нідерландів і Великобританії.
“Європейські критерії” розглядають такі задачі засобів інформаційної безпеки:
- захист інформації від несанкціонованого доступу з метою забезпечення конфіденційності;
- забезпечення цілісності інформації за допомогою захисту від її несанкціонованої модифікації або знищення;
- забезпечення працездатності систем за допомогою протидії погрозам відмови в обслуговуванні.
Для того щоб задовольнити вимогам конфіденційності, цілісності і працездатності, необхідно реалізувати відповідний набір функцій безпеки, таких, як ідентифікація й аутентифікація, керування доступом, відновлення після збоїв і т.п. . Щоб засоби захисту можна було визнати ефективними, потрібно визначена ступінь впевненості в слушності їхнього вибору і надійності функціонування. Для рішення цієї проблеми в “Європейських критеріях” уперше вводиться поняття адекватності (assurance) засобів захисту.
Адекватність містить у собі два аспекти:
- ефективність, що відбиває відповідність засобів безпеки розв'язуваним задачам;
- коректність, що характеризує процес їхньої розробки і функціонування.
"Європейські критерії" приділяють адекватності засобів захисту значно більше уваги, чим функціональним вимогам.
У "Європейських критеріях" визначені три рівні безпеки – базовий, середній і високий. Безпека вважається:
базовою, якщо засоби захисту здатні протистояти окремим випадковим атакам (зловмисник – фізична особа);
середньою, якщо засоби захисту здатні протистояти зловмисникам, що володіють обмеженими ресурсами і можливостями (корпоративний зловмисник);
високою, якщо є впевненість, що засоби захисту можуть бути подолані тільки зловмисником з високою кваліфікацією, набір можливостей і ресурсів якого виходить за рамки можливого (зловмисник – державна спецслужба).
У “Європейських критеріях” засоби, що мають відношення до інформаційної безпеки, розглядаються на трьох рівнях деталізації. На першому рівні розглядаються цілі, що переслідує забезпечення безпеки, другий рівень містить специфікації функцій захисту, а третій - реалізуючі їхні механізми. Специфікація функцій захисту пропонується розглядати з погляду таких вимог:
- ідентифікація ти аутентифікація;
- керування доступом;
- підзвітність;
- аудит;
- повторне використання об'єктів;
- цілісність інформації;
- надійність обслуговування;
- безпека обміну даними;
- конфіденційність даних;
- неможливість відмови від зроблених дій.
"Європейські критерії" визначають сім рівнів адекватності – від Е0 до Е6 (у порядку зростання). Рівень Е0 позначає мінімальну адекватність. При перевірці адекватності аналізується весь життєвий цикл системи – від початкової фази проектування до експлуатації і керування. Рівні адекватності від Е1 до Е6 вишикувані по наростанню вимог старанності контролю.
У “Європейських критеріях” засоби, що мають відношення до інформаційної безпеки, розглядаються на трьох рівнях деталізації. На першому рівні розглядаються цілі, що переслідує забезпечення безпеки, другий рівень містить специфікації функцій захисту, а третій - реалізуючі їхні механізми.
Особливості загальних критеріїв безпеки інформаційних технологій.
У загальних критеріях здійснено класифікацію широкого набору функціональних вимог і вимог довіри до безпеки, визначено структури їх групування і принципи цільового використання.
Основними відмітними рисами стандарту є:
1. Насамперед, стандарт - це певна методологія і система формування вимог і оцінки безпеки IT. Системність простежується
починаючи від термінології і рівнів абстракції висування вимог і закінчуючи їх використанням при оцінці безпеки на всіх етапах життєвого циклу виробів IT.
Загальні критерії характеризуються найповнішою на сьогоднішній день сукупністю вимог до безпеки IT.
У загальних критеріях проведено чіткий поділ вимог безпеки на функціональні вимоги і вимоги довіри до безпеки. Функціональні вимоги стосуються сервісів безпеки (ідентифікації, автентифікації, керування доступом, аудита і т. д.), а вимоги довіри -технології розробки, тестування, аналізу вразливостей, експлуатаційної документації, постачання, супроводу, тобто всіх етапів життєвого циклу виробів IT.
Загальні критерії включають шкалу довіри до безпеки (оцінні рівні довіри до безпеки), що може використовуватися для формування різних рівнів впевненості в безпеці продуктів IT.
Систематизація і класифікація вимог за ієрархією «клас»-«сімей-ство»-«компоненти»-«елемент» з унікальними ідентифікаторами вимог забезпечує зручність їх використання.
Компоненти вимог у сімействах і класах ранжовані за ступенем повноти і жорсткості, а також згруповані в пакети вимог.
Гнучкість у підході до формування вимог безпеки для різних типів виробів IT і умов їх застосування забезпечується можливістю цілеспрямованого формування необхідних наборів вимог у вигляді певних стандартизованих структур (профілів захисту і завдань безпеки).
Загальні критерії є відкритими для наступного нарощування сукупності вимог.
8. Основні положення стандарту ISO 27001.
ISO / IEC 27001 - міжнародний стандарт з інформаційної безпеки, розроблений спільно Міжнародною організацією зі стандартизації та Міжнародної електротехнічної комісією. Підготовлено до випуску підкомітетом SC27 Об'єднаного технічного комітету JTC 1.
Стандарт містить вимоги в області інформаційної безпеки для створення, розвитку і підтримки Системи менеджменту інформаційної безпеки (СМІБ).
Інформаційна безпека - збереження конфіденційності, цілісності та доступності інформації; крім того, можуть бути включені й інші властивості, такі як справжність, неможливість відмови від авторства, достовірність.
Конфіденційність - забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).
Цілісність - забезпечення точності і повноти інформації, а також методів її обробки.
Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).
Саме поняття «захисту інформації» трактується міжнародним стандартом як забезпечення конфіденційності, цілісності та доступності інформації. Основа стандарту ІСО 27001 - система управління ризиками, пов'язаними з інформацією. Система управління ризиками дозволяє отримувати відповіді на наступні питання:
на якому напрямку інформаційної безпеки потрібно зосередити увагу;
скільки часу і коштів можна витратити на дане технічне рішення для захисту інформації.
9/ Основні положення стандарту ISO 27002
ISO / IEC 27002 - стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він озаглавлений Інформаційні технології - Технології безпеки - Практичні правила менеджменту інформаційної безпеки (англ. Information technology - Security techniques - Code of practice for information security management). До 2007 року даний стандарт називався ISO / IEC 17799. Стандарт розроблений в 2005 році на основі версії ISO 17799, опублікованій в 2000, яка була повною копією Британського стандарту BS 7799-1: 1999.
Стандарт надає найкращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації і пов'язаним з нею ресурсів) ».
Поточна версія стандарту складається з наступних основних розділів:
Політика безпеки (Security policy)
Організація інформаційної безпеки (Organization of information security)
Управління ресурсами (Asset management)
Безпека персоналу (Human resources security)
Фізична безпека і безпека оточення (Physical and environmental security)
Управління комунікаціями та операціями (Communications and operations management)
Управління доступом (Access control)
Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance)
Управління інцидентами інформаційної безпеки (Information security incident management)
Управління безперебійною роботою організації (Business continuity management)
Відповідність нормативним вимогам (Compliance)
10. Політика інформаційної безпеки: мета, задачі та основний зміст.
За означенням, під ПБ інформації розуміється набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Термін політика безпеки може бути застосований до організації, КС, операційної системи (ОС), послуги, що реалізується системою (набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й формальніші стають правила.
ПБ інформації в КС є частиною загальної ПБ організації і може успадковувати, зокрема, положення державної політики у сфері захисту інформації. Для кожної системи ПБ інформації може бути індивідуальною і залежати від конкретної технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища та багатьох інших чинників.
Частина ПБ, яка регламентує правила доступу користувачів і процесів
до ресурсів комп'ютерної системи (КС), становить правила розмежування доступу.
Зважаючи на технічні та програмно-апаратні проблеми, що виникають при організації захисту в захищених АС, у багатьох випадках належний рівень захищеності досягається за рахунок вдало реалізованої ПБ, причому іноді ПБ може залишитися майже єдиним засобом забезпечення захисту. Тому розробка, дослідження та правильнее застосування ПБ є надзвичайно актуальною проблемою сучасних СЗІ.
Побудова ПБ ─ це зазвичай такі кроки:
─ в інформацію вноситься структура цінностей і проводиться аналіз ризику;
─ визначаються правила для будь-якого процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.
Однак реалізація цих кроків є дуже складним завданням. Результатом помилкового або бездумного визначення правил ПБ здебільшого є руйнування цінності інформації без порушення ПБ. Тобто при незадовільній ПБ навіть надійна СЗІ може бути прозорою для зловмисника.
ПБ може бути викладена як на описовому рівні, так і за допомогою певної формальної мови. Вона є необхідною (а іноді й достатньою) умовою безпеки системи.
Формальний вираз політики безпеки називають моделлю ПБ. Основна мета створення ПБ інформаційної системи й опису її у вигляді формальної моделі ─ це визначення умов, яким має підпорядковуватися поведінка системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при додержанні встановлених правил і обмежень. На практиці це означає, що тільки уповноважені користувачі можуть отримати доступ до інформації і здійснювати з інформацією тільки санкціоновані дії.
Незважаючи на те що створення формальних моделей вимагає суттєвих витрат, вони складні для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Слід констатувати той факт, що формальні моделі потрібні, тому що тільки за їх допомогою можна довести безпеку системи, спираючись на об'єктивні й незаперечні постулати математичної теорії. Загальним підходом щодо всіх моделей є поділ множини сутностей, що становлять систему, на множини суб'єктів і об'єктів, хоча самі визначення понять об'єкт і суб'єкт у різних моделях можуть істотно відрізнятися. Взаємодії в системі моделюються встановленням відношень певного типу між суб'єктами та об'єктами.
ПБ задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між суб'єктами та об'єктами. Взаємодії, що призводять до порушень цих правил, припиняються засобами контролю доступу й не можуть бути здійснені.
Серед моделей ПБ найвідомішими є дискреційна, мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації.
Види моделей політики безпеки, їх особливості.
Серед моделей ПБ найвідомішими є дискреційна, мандатна та рольова. Перші дві досить давно відомі й детально досліджені, а рольова політика є недавнім досягненням теорії та практики захисту інформації.
Дискреційна політика безпеки
Основою дискреційної політики безпеки (ДПБ) є дискреційне управління доступом (Discretionary Access Control - DAC), яке визначається двома властивостями:
─ усі суб'єкти й об'єкти мають бути однозначно ідентифіковані;
─ права доступу суб'єкта до об'єкта системи визначаються на основі певних зовнішніх відносно системи правил.
Назва пункту є дослівним перекладом з англійської терміна Discretionary policy, ще один варіант перекладу - розмежувальна політика. Ця політика одна з найпоширеніших в світі, в системах по замовчуванню мається на увазі саме ця політика. ДПБ реалізується за допомогою матриці доступу, яка фіксує множину об'єктів та суб'єктів, доступних кожному суб'єкту.
Наведемо приклади варіантів задания матриці доступу: