Die Festlegung der Zugriffsberechtigungen unterliegt einer zentralen Verwaltung. Meist erfolgt diese durch eine Particular person in der Organisation, die ausreichend Kenntnis über die Aufgaben von Nutzern hat. Das stellt sicher, dass alle Mitarbeiter ihren Tätigkeiten uneingeschränkt nachgehen können und nicht durch fehlende Berechtigungen eingeschränkt sind. In Unternehmen übernehmen diese Aufgabe meist Systemadministratoren. Durchsetzung und laufende Aktualisierung erfolgen in der Regel automatisiert durch das Betriebssystem oder einen Safety-Kernel. Versucht ein Anwender Zugriff auf Daten zu erhalten, gibt das System die Anfrage entweder frei oder verweigert diese. Der Vorteil der automatisierten Umsetzung ist der bestmögliche Ausschluss einer Manipulation.
Die Entscheidungen über Zugriffsberechtigungen werden auf Foundation folgender Faktoren festgelegt:
- Benutzer und Prozesse
- Objekte: die Ressource, auf die zugegriffen wird
- Regeln und Eigenschaften: Kategorisierungen, Labels, Code-Wörter
Obligatory Entry Management verfolgt einen hierarchischen Ansatz: Jedem Objekt eines Dateisystems wird eine Sicherheitsstufe zugeordnet, je nach Sensibilität der Daten. Typische Sicherheitsstufen sind „vertraulich“ oder „streng geheim“. Dieselbe Einstufung erhalten auch Anwender und Geräte. Versucht ein Anwender auf eine Ressource zuzugreifen, erfolgt eine automatisierte Überprüfung, ob der Zugriff gestattet oder abgelehnt wird. Zusätzlich werden alle Informationen und Nutzer einer Kategorie zugeteilt. Auch diese Übereinstimmung prüft das System automatisch bei einem versuchten Aufruf. Ein Nutzer muss beide Kriterien – Sicherheitsstufe und Kategorie – erfüllen, um Daten aufrufen zu können.