Здравствуйте, dnkolegov, Вы писали:

D>В первых отечественных публикациях по КБ это иногда переводилось как "произвольное" управление доступом.
Такого не встречал. Чаще все-таки "добровольное" или "описательное" (это к вопросу о неправильном переводе)

D>С 1993 года очень популярно ролевое управление доступом — RBAC. Здесь тоже интересно. В отечественных публикациях его рассматривают как отдельный тип политик управления доступом. Сами авторы RBAC (например, проф. Рави Сандху) говорили о том, что RBAC — это framework, являющийся инвариантным относительно дискреционного и мандатного управления доступом. В частности авторами показано, что можно построить дискреционное ролевое управление доступом, мандатное ролевое управление доступом и даже ролевое мандатное управление доступом.

RBAC, который с 93-го года это вообще немного другая область — это модель, которая должна нам позволить от бизнес-ролей и бизнес-процессов получить какие-то наборы прав доступа в системах. То, что у нас "отечественная школа КБ" зовет ролевой моделью — это совсем другая сказка (от 6 уровней классической RBAC наши авторы поняли только предпоследний — системные роли, они же группы безопасности, например).
Вообще, отечественная ТОКБ как-то не развивается — того же Харрисона-Руззо-Ульмана как давали с исторической ошибкой в доказательстве (касательно случая монооперационной системы), так и продолжают. А тема жутко интересная на самом деле.