Каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие их места в соответствующей иерархии. По средствам этих меток субъекту и объекту должны назначаться классификационные уровни секретности.
Система защиты при вводе новых данных в систему должна получать от санкционированного пользователя классификационные метки. При регистрации пользователя также указывается классификационный уровень.
Система защиты должна реализовывать мандатный принцип контроля доступа при явном и скрытом доступе субъектов и объектов.
Субъект может читать объект только в том случае если иерархическая классификация в классификационном уровне субъекта не меньше чем у объекта. Также должно быть указанно в классификационной метки субъекта какие операции можно делать с объектом.
Субъект осуществляет запись в объект только если классификационный уровень субъекта не больше чем у объекта.
Реализация мандатных прав доступа, должна предусматривать возможность изменения классификационных уровней с помощью специальных субъектов.
В средствах вычислительной техники должен быть обеспечен диспетчер доступа, т.е. средство которое должно осуществлять перехват всех обращений субъектов и объектов и разграничивающий доступ в соответствии с заданными принципами.