Если в ЗБ утверждается о соответствии одному или более пакету и (или) профилю защиты, оценка данного ЗБ будет (среди других характеристик данного ЗБ) демонстрировать, что ЗБ действительно соответствует этим пакетам и (или) ПЗ, по отношению к которым утверждается о соответствии. Подробности этого определения соответствия можно найти в приложении А.

Это делает возможным следующий процесс:

1. организация, заинтересованная в приобретении конкретного типа продукта безопасности ИТ, излагает свои потребности в безопасности в ПЗ, затем обеспечивает его оценку и выпуск;
2. разработчик получает этот ПЗ, разрабатывает ЗБ, которое содержит утверждение о соответствии данному ПЗ, и обеспечивает оценку этого ЗБ;
3. затем разработчик создает ОО (или использует существующий) и обеспечивает его оценку на соответствие ЗБ.

В результате разработчик может доказать, что его ОО удовлетворяет потребностям в безопасности организации: поэтому организация может закупить этот ОО. Аналогичный порядок может применяться в отношении пакетов [из 8.4 Использование ПЗ и пакетов ГОСТ Р ИСО/МЭК 15408–1–2012]