Контроль доступу - це процес захисту даних і програм від їх використання об'єктами, які не мають на це права. Щоб контроль доступу був ефективним, необхідно забезпечити засоби аутентифікації кожного користувача.

Правила розмежування доступу (access mediation rules) — найважливіша  частина політики безпеки, що регламентує правила доступу користувачів і процесів до ресурсів інформаційної сфери.

Під розмежуванням доступу  прийнято розуміти встановлення повноважень суб'єктів з метою наступного контролю санкціонованого використання ресурсів доступних в системі.

Простіше кажучи, розмежування доступу полягає в тому, щоб кожному зареєстрованому користувачу надати можливості безперешкодного доступу до інформації в межах його повноважень і виключити можливості перевищення цих повноважень.

Розмежування доступу зареєстрованих користувачів до інформаційних ресурсів здійснюється системами захисту інформації відповідно до встановлених для користувачів повноважень. Повноваження користувачів встановлюються за допомогою спеціальних налаштувань системи. По відношенню до інформаційних ресурсів засобами захисту можуть встановлюватися такі повноваження, як дозвіл читання, запису, створення, запуску виконуваних файлів і інші.

Розмежування може здійснюватися:

• за рівнями таємності (секретно, цілком таємно і т.п.). Користувачеві дозволяється доступ тільки до даних свого або більш низьких рівнів. Захищаються дані розподіляються по масивах таким чином, щоб в кожному масиві містилися дані одного рівня таємності;

• спеціальними списками. При цьому розмежування доступу для кожного елемента даних, що захищаються (файлу, програми, бази) складається список всіх тих користувачів, яким надано право доступу до відповідного елементу. Можливий зворотний варіант, коли для кожного зареєстрованого користувача складається список тих елементів даних, що захищаються, до яких йому надано право доступу;

• матрицями повноважень.

При організації доступу до обладнання істотне значення мають ідентифікація і аутентифікація користувачів, а також контроль і автоматична реєстрація їх дій. Для впізнання користувача можуть бути використані паролі і індивідуальні ідентифікаційні картки, а для управління доступом до устаткуванню такі прості, але ефективні заходи, як відключення живлення або механічні замки і ключі для пристроїв.

Система розмежування доступу до програм і даних повинна містити 4 функціональні блоки:

– блок ідентифікації і аутентифікації суб'єктів доступу;

– диспетчер доступу, реалізується у вигляді апаратно-програмних механізмів і забезпечує необхідну дисципліну розмежування доступу суб'єктів до об'єктів доступу (у тому числі і до апаратних блоків, вузлів, пристроїв);

– блок криптографічного перетворення інформації при її зберіганні і передачі;

– блок очищення пам'яті.

Прийнято виділяти два основні методи розмежування доступу: дискреційне і мандатне.

Дискреційним називається розмежування доступу між названими суб'єктами (користувачами) і поіменованими об'єктами (файли, програми тощо) відповідно до матриці доступу.

Мандатне розмежування доступу зазвичай реалізується як розмежування доступу за рівнями секретності: кожному суб'єкту і кожному об'єкту призначаються класифікаційні мітки, що відображають їх рівень.

Принципова відмінність між дискреційним і мандатним розмежуванням доступу полягає в наступному: якщо у разі дискреційного розмежування доступу права на доступ до ресурсу для користувачів визначає його власник, то у разі мандатного розмежування доступу рівні секретності задаються ззовні, і власник ресурсу не може здійснювати на них вплив. Сам термін «мандатне» є поверхневою інтерпретацією слова mandatory – «обов'язковий». Тим самим, мандатне розмежування доступу слід розуміти як примусове.