1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.
1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.
1.3. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.
1.4. Самый высокий уровень контроля — первый, достаточен дляПО,используемого при защите информации с грифом «0В».
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «СС».
Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «С».
1.5 Самый низкий уровень контроля — четвертый, достаточен дляПО, используемого при защите конфиденциальной информации.