Согласно ИСО/МЭК 15408 необходимо, чтобы требования основывались на компонентах из ИСО/МЭК 15408–2 или ИСО/МЭК 15408–3 с двумя исключениями:

1. существуют цели безопасности для ОО, которые не могут быть преобразованы в ФТБ из ИСО/МЭК 15408–2, или существуют требования «третьей стороны» (например, законы, стандарты), которые не могут быть преобразованы в ТДБ из ИСО/МЭК 15408–3 (например, относящиеся к оценке криптографии);
2. цели безопасности могут быть выражены на основе компонентов из ИСО/МЭК 15408–2 и (или) ИСО/МЭК 15408–3, но только с большими трудностями и (или) сложностями.

В обоих случаях от разработчика ПЗ/ЗБ требуется определить собственные компоненты. Эти вновь определенные компоненты называются расширенными компонентами. Точно определенный расширенный компонент необходим для обеспечения контекста и значения расширенных ФТБ или ТДБ, основанных на этом компоненте.

После корректного определения новых компонентов разработчик ПЗ/ЗБ может затем базировать одно или более ФТБ или ТДБ на этих вновь определенных расширенных компонентах и использовать ихтаким же образом, как и другие ФТБ и ТДБ. С этого момента не существует каких–либо различий между ФТБ и ТДБ, основанными на ИСО/МЭК 15408, и ФТБ и ТДБ, основанными на расширенных компонентах. Дополнительные требования к расширенным компонентам изложены в семействах «Определение расширенных компонентов» (APE_ECD) и «Определение расширенных компонентов» (ASE_ECD) ИСО/МЭК 15408–3 [из 7.3 Расширенные компоненты ГОСТ Р ИСО/МЭК 15408–1–2012]