Selektiv åtkomstkontroll ( engelsk diskretionär åtkomstkontroll , DAC ) - åtkomstkontroll av objekt till objekt baserad på åtkomstkontrolllistor eller en åtkomstmatris. Andra namn som används är diskretionär åtkomstkontroll , kontrollerad åtkomstkontroll och restriktiv åtkomstkontroll .
Åtkomstsubjektet "Användare nr 1" har rätt att endast få tillgång till åtkomstobjektet nr 3, så dess begäran till åtkomstobjektet nr 2 avslås. Ämnet "Användare nr 2" har rätt att få tillgång till både åtkomstobjektet nr 1 och åtkomstobjektet nr 2, så hans förfrågningar om dessa objekt avslås inte.
För varje par (ämne - objekt) måste en explicit och entydig uppräkning av tillåtna typer av åtkomst (läsa, skriva, etc.) ges, det vill säga de typer av åtkomst som är auktoriserade för detta ämne (individ eller grupp av individer) ) till denna resurs (objekt) [1] .
Det finns flera metoder för att konstruera diskretionär åtkomstkontroll:
Blandade konstruktionsalternativ är också möjliga, när det samtidigt finns både ägare i systemet som sätter åtkomsträttigheter till sina objekt, och en superanvändare som har möjlighet att ändra rättigheter för vilket objekt som helst och/eller byta ägare. Det är denna blandade version som är implementerad i de flesta operativsystem, som Unix eller Windows NT .
Selektiv åtkomstkontroll är den huvudsakliga implementeringen av den restriktiva policyn för tillgång till resurser vid behandling av konfidentiell information, enligt kraven för informationssäkerhetssystemet.