Семейство политик ocap позволяет реализовать модель безопасности на основе мандатных ссылок (object capability model).
В основе этой модели лежит принцип минимальных привилегий. Этот принцип организации доступа к ресурсам подразумевает предоставление субъекту (процессу или пользователю) только тех привилегий, которые являются абсолютно необходимыми для успешного выполнения задачи. Например, пользователю, который хочет ознакомиться с содержимым файла, должны быть выданы только права на чтение этого файла и только на период использования этого файла.
Семейство политик ocap позволяет ассоциировать SID ресурса с мандатной ссылкой (capability), которая может быть передана и отозвана. Таким образом, семейство политик ocap позволяет управлять правами доступа к ресурсам, которыми они владеют.
Для политик init, transfer, derive и check имеются соответствующие политики с постфиксом "R". Политики с постфиксом "R" отличаются тем, что список прав доступа задается статически в конфигурации политики.
Декларация семейства ocap находится в следующем файле:
/opt/KasperskyOS-StarterKit-<version>/sysroot-x86_64-pc-kos/include/kss/server/ocap.cfg