Если в ЗБ утверждается о соответствии одному или более пакету и (или) профилю защиты, оценка данного ЗБ будет (среди других характеристик данного ЗБ) демонстрировать, что ЗБ действительно соответствует этим пакетам и (или) ПЗ, по отношению к которым утверждается о соответствии. Подробности этого определения соответствия можно найти в приложении А.
Это делает возможным следующий процесс:
- организация, заинтересованная в приобретении конкретного типа продукта безопасности ИТ, излагает свои потребности в безопасности в ПЗ, затем обеспечивает его оценку и выпуск;
- разработчик получает этот ПЗ, разрабатывает ЗБ, которое содержит утверждение о соответствии данному ПЗ, и обеспечивает оценку этого ЗБ;
- затем разработчик создает ОО (или использует существующий) и обеспечивает его оценку на соответствие ЗБ.
В результате разработчик может доказать, что его ОО удовлетворяет потребностям в безопасности организации: поэтому организация может закупить этот ОО. Аналогичный порядок может применяться в отношении пакетов [из 8.4 Использование ПЗ и пакетов ГОСТ Р ИСО/МЭК 15408–1–2012]