Per il controllo degli accessi obbligatorio, le seguenti regole, dovute a Bell e La Padula, sono imposte:
- Utente posso recuperare l'oggetto j solo se il livello di clearance di i è maggiore o uguale al livello di classificazione di j.
- Utente posso aggiornare l'oggetto j solo se il livello di clearance di i è uguale al livello di classificazione di j.
Per la seconda regola, posso capire per il caso di inserimento. Tale regola è necessaria per impedire a un utente con classificazione segreta di copiare i dati segreti in un file di classificazione inferiore. Ma perché cancellare e modificare? Perché un utente di classe superiore non dovrebbe eliminare e modificare i dati della classe inferiore?