Функции перехода состояний, которые описывают все возможные изменения переменных состояния, предназначены для действий, связанных с получением допуска, возвратом допуска, созданием объекта, удалением объекта, изменением текущей задачи, выполнением процедуры преобразования , выходом из процедуры преобразования.
Кроме того, привилегированные функции необходимы для определения или изменения информации управления доступом, такой как задачи, цели, авторизованные задачи для субъектов, авторизованные процедуры преобразования для задач, классы объектов и их цели, необходимые допуски и соглашения. Эти привилегированные функции могут быть выполнены только офицером безопасности. Однако, в случае поддержки "принципа 4-х", администрирование информации управления доступом может быть выполнена совместно с другим человеком, который печётся об интересах секретности субъектов данных. Этот другой человек мог бы быть например, офицером защиты данных в организации или рабочем совете (в соответствии с Немецким постановлением о защите данных, каждая организация, занятая обработкой информации о личности, обязана назначить офицера защиты данных. В директиве ЕС о защите данных присутствует аналогичная роль "соответственного за защиту данных"). Сначала, офицер защиты данных, ответственный за внедрение инструкций секретности в организации и за становление политики секретности, определяет всю необходимую информацию управления доступом. Затем, офицер безопасности отвечающий за внедрение политики безопасности, приводит информацию управления доступом в соответствие этим требованиям.
Для определения и реализации таких схем совместного действия, существует другая системная переменная для "одноразовых" маркеров: Ticket TKT(Si, function-type, parameter-list): составлен для Субъекта Si и отправлен офицеру безопасности (пользователю с ролью "sec-officer"). Это означает, что Si запрашивает у офицера безопасности разрешение на выполнение некоторых функций с некоторыми параметрами. Обычно, составителем маркера является пользователь в роли "data-protection-officer" или пользователь, ответственный за задачу, если авторизация для этой задачи может быть предоставлена или аннулирована от другого субъекта. TKT представляет из себя набор всех составленных маркеров. Офицер охраны с соответствующим маркером может выполнять соответствующую привилегированную функцию:
Формально, для всех функций перехода, доказано, что они сохраняют инварианты секретности, ограничивая также, как инвариант информационного потока. Таким образом, при помощи математической индукции можно показать, что если система, предписывающая модель секретности, выполнена в среде ориентированной на секретность, то все последующие состояния системы также будут секрето-ориентированы.