Классы безопасности
Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.Класс B1 (в дополнение к C2): доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом; доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам; доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств; группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию; должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.Класс B2 (в дополнение к B1): снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам; к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации; должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью; доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули; системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала; должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения; модель политики безопасности должна быть формальной.