Система безопасности основана следующих на ключевых понятиях:

1. Объект дерева – элемент безопасности
2. Пользователь
3. Группа
4. Роль
5. Действие

Возможные действия:

1. droplink - удаление ссылки на объект из информационного дерева. Такой объект остается в базе данных, но перестает отображаться на дереве системы управления и в Интернете;
2. addlink - добавление ссылки на объект на информационном дереве. Один объект, например, новость, может быть расположен на нескольких
3. change-state-r - изменение состояния объекта (удаление/архивация/редактирование/публикование)
4. dropobject - удаление объекта из базы данных.

Возможные роли:

1. Автор - создает информационные материалы и предлагает к публикации.
2. Редактор - создает информационные материалы, публикует информационные материалы.
3. Администратор - управляет политикой безопасности сайта, публикует информационные материалы.

Соответствие действий и ролей описываются специальными таблицами отношений. В таких таблицах описывается, какие действия свойственны определенной роли.

Группа пользователей - основной объект политики безопасности. С помощью групп Arp.Site определяет права пользователей, принадлежащих определенным группам. Возможности групп пользователей с помощью таблиц соответствия ролей и групп. При попытке доступа к объектам дерева  система запрашивает список групп, имеющих доступ к этому объекту.

Права пользователя определяются принадлежностью пользователя группе с определенными правами.