Az alapfunkciók nem teljesen függetlenek egymástól. A jogkezelés, jogvizsgálat és a bizonyíték-biztonság funkciói feltételezik a felhasználó azonosítását és hitelesítését, mivel a felhasználó identitása nélkül nem teljesülhetnek. Épp így szükséges egyeztetni egymással az egyes alapfunkciók hatókörével szembeni követelményeket, mivel az egyes funkcióknál a részkövetelmények is függenek egymástól. Nem elegendô például az azonosítás és hitelesítés alapfunkciójánál csak azt követelni, hogy a felhasználó jogosultságát csupán az informatikai rendszerhez való hozzájutás során ellenôrizzék, ha a jogkezelés és jogellenôrzés alapfunkciónál a hozzáférés ellenôrzését a felhasználó azonosítása alapján követelik meg. E követelmény teljesítéséhez az informatikai rendszer használójának azonosítását az egész idô alatt meg kell tartani, mindaddig, amíg az összeköttetésben áll az adott informatikai rendszerrel.
Az elsô öt funkcionalitási osztály az amerikai TCSEC szabványban leírt C1-A1 osztályok követelményeihez igazodik. Ezáltal az olyan informatikai rendszerek értékelése, amelyeket az ITSEC alapján minôsítettek vagy minôsítenek a jövôben, összehasonlítható azokkal a rendszer értékelésekkel, amelyeket az amerikai kritériumok szerint minôsítettek. A C1-A1-ig terjedô öt osztályban az adatok megbízhatóságának mértéke (információ-áramlás ellenôrzése) áll az elôtérben. Ezért ezeket a funkcionalitási osztályokat F-C1, F-C2, F-B1, F-B2 és F-B3 formában is szokták jelölni. Meg kell jegyezni, hogy a TCSEC minôsítése szerinti A1 osztályt azonos biztonsági szintje miatt az F-B3 osztályba sorolják.
Az F-C1 funkcionalitási osztály azzal tûnik ki, hogy az alapvetô követelményeket fogalmazza meg az azonosítás és hitelesítés, a jogkezelés és jogellenôrzés alapfunkciókkal szemben. Átfogja a hozzáférés ellenôrzését, amely a felhasználó által meghatározható.
Az F-C2 funkcionalitási osztály pótlólagos követelményeket tartalmaz a bizonyítási biztonság és újraindítási képesség alapfunkciókkal szemben. Az azonosítás és hitelesítés, valamint a jogkezelés alapfunkciókkal szembeni követelmények az F-C1-hez képest bôvítettek.
Az F-B1 funkcionalitási osztály pótlólagosan megkövetel egy szabályokon alapuló hozzáférés ellenôrzést, amely a jogkezelés szubjektumokra és objektumokra vonatkozó alapvetô sajátosságain nyugszik, és további tulajdonságokat követel meg a jogellenôrzés és a bizonyítás biztonság alapfunkcióktól.
Az F-B2 funkcionalitási osztály pótlólag megkövetel egy megbízható utat az azonosítás és a hitelesítés során, a szerepek szétválasztását, a többfokozatú csatornák behatárolását, a jogkezelés alapsajátosság változásainak feltüntetését, a bizonyíték biztonság részeként pedig a védett csatornák használatának jegyzôkönyvezését.
Az F-B3 funkcionalitási osztály azzal tûnik ki, hogy további pótlólagos követelményeket támaszt az azonosítás és hitelesítés, valamint a jogkezelés és a bizonyítás-biztonság alapfunkciókkal szemben.
A következô öt funkcionalitási osztályban az alkalmazói területek olyan funkcionalitásairól van szó, amelyeket az amerikai kritériumokban nem vettek figyelembe, hanem pótlólagosan és kiegészítésképpen fogalmazódtak meg a kritériumok adaptációjában. Ezen osztályoknál az informatikai biztonság más aspektusai állnak az elôtérben.
Az F-IN funkcionalitási osztály az azonosítás és hitelesítés, a jogkezelés, jogellenôrzés és a bizonyítás-biztonság követelményeit állítja fel az integritást célozva, amely például különösen az adatbankoknál vagy a szoftver-fejlesztési környezetekben szükséges. Az ajánlást olyan informatikai rendszerekhez dolgozták ki, amelyek adatainál és programjainál magas sértetlenségi követelmények érvényesülnek. Ilyen követelményeknek való megfelelés szükséges például az adatbázis jellegû informatikai rendszereknél.
Az F-AV funkcionalitási osztály a hibaáthidalás és a funkcionalitás biztosítása alapfunkciókkal szemben támaszt követelményeket, amelyek valamely rendszer hozzáférhetôségét célozzák. Az ajánlás magas követelményeket támaszt egy teljes informatikai rendszer vagy különleges rendeltetésû informatikai rendszer biztonsága iránt. Az ilyen követelmények fontosak olyan informatikai rendszerek esetében, amelyek például gyártási folyamatokat szabályoznak.
Az F-DI funkcionalitási osztály az adatok integritását célozza az átvitel során, amely az azonosítás és hitelesítés, az átvitelbiztosítás és a bizonyítás-biztonság alapfunkciók által elérendô. Az ajánlás magas követelményeket támaszt az adattovábbításkor érvényesülô adatsértetlenség védelme tekintetében.
Az F-DC funkcionalitási osztály az adatok átvitel során történô titokban tartását tartalmazza, amelynek az átvitelbiztonság alapfunkciójával szemben támasztott követelményekbôl kell következnie. Az ajánlást olyan informatikai rendszerekhez alakították ki, amelyek az adattovábbítás során magasfokú adatvédelmet, rejtjelzést igényelnek. (Például rejtjelezô berendezések.)
Az F-DX funkcionalitási osztály az adatok hálózati rendszerekben való titokban tartásával és integritásával foglalkozik, melynek érdekében az azonosítás és hitelesítés az átvitelbiztonság és a bizonyítás-biztonság alapfunkciókkal szemben támaszt követelményeket. Az ajánlás olyan hálózatoknál használatos, amelyeknél magas az igény a továbbított információ bizalmasságának (titkosságának) és sértetlenségének biztosítására. Példa lehet erre az az eset, amikor érzékeny információ kerül továbbításra nem védett (például nyilvános) hálózatokon.
A funkcionalitási osztályok kiegészíthetôk. Egy biztonsági koncepcióból olyan követelmények is adódhatnak valamely rendszer védettségére vonatkozóan, amelyeket az adott funkcionalitási osztályok egyike sem fed le. Ebben az esetben vagy kombinálhatók az adott funkcionalitási osztályok vagy valamely osztály a szükséges követelményekkel kiegészíthetô. Itt valamely alapfunkcióval szembeni pótlólagos követelményekrôl is szó lehet, amelyet csak egy más funkcionalitási osztályban definiáltak. Elvileg az informatikai rendszerek, vagy azok részei valamennyi - a gyártó vagy a felhasználó által megfogalmazott - biztonsági követelményre alakíthatók. A minôsítéshez tehát tetszôleges követelmények támaszthatók, olyanok is, amelyek a fentebb leírt funkcionalitási osztályokon kívül esnek. Éppen ezért gondolhatunk olyan minôsített rendszerre is, amelyek egyetlen megadott funkcionalitási osztályhoz sem illeszkednek. Például egy rendszer csak hozzáférés ellenôrzést és bizonyítási biztonságot követel, ha kizárólag a sikertelen hozzáférési kísérleteket akarják felfedni. A hozzáférés ellenôrzésére nincs szükség, hogyha valamennyi feljogosított felhasználó ugyanazokkal a hozzáférési jogokkal rendelkezik.
Az ITSEC hat biztonsági szintet határoz meg, amelyek rendre egyre magasabb biztonsági követelményt elégít ki. A biztonsági szinteket E1-tôl E6-ig jelölik és gyakorlatilag megegyeznek a TCSEC-ben maghatározott C1, C2, B1, B2, B3, A1 szintekkel. A következetes megfeleltetés miatt az E0 szint a TCSEC D szintjével azonosítható.