Данный стандарт уточняет действия оценщика, определенные семейством доверия AVA_VAN ИСО/МЭК 18045:2008(E), и представляет более детализированное руководство по идентификации, выбору и оценке актуальных потенциальных уязвимостей при проведении оценки ОО, являющихся программным обеспечением, в соответствии с ИСО/МЭК 15408. «Данный стандарт предусматривает использование общедоступных ресурсов по информационной безопасности для поддержки методов освоения и выполнения действий по анализу уязвимостей в соответствии с ИСО/МЭК 18045:2008(E). Данный стандарт использует Общий перечень дефектов безопасности (CWE) и Общий перечень шаблонов атак и их классификация (CAPEC), но не исключает использование других соответствующих ресурсов». Кроме того, данный стандарт не предусматривает учет всех возможных методов анализа уязвимостей, включая те, которые выходят за пределы области действий, описанных в ИСО/МЭК 18045:2008(E).
Данный стандарт не содержит описаний действий оценщика, выполняемых для высокоуровневых компонентов доверия ИСО/МЭК 15408. В настоящее время полное руководство по проведению оценки уязвимостей отсутствует.
