Ролевая политика безопасности представляет собой существенно усовершенствованную модель Харрисона–Руззо–Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандатным моделям.
В ролевой политике безопасности классическое понятие субъекта заменяется понятиями пользователь и роль.
Пользователь – это человек, работающий с системой и выполняющий определенные служебные обязанности, а с понятием роли связывается набор полномочий, необходимых для выполнения этих служебных обязанностей.
При использовании ролевой политики безопасности управление доступом осуществляется в две стадии:
· каждому пользователю назначается список доступных эму ролей;
· для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам.
Причем полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей роли набором полномочий.
Ролевая политика представляет широкий выбор для разработчиков систем управления доступом – с одной стороны, использование матрицы прав доступа может превратить ее в разновидность дискреционной модели, но, с другой стороны, применение жестких правил распределения ролей между сеансами и пользователями, а также полномочий между ролями, позволяет построить на ее основе полноценную нормативную политику.