В соответствии со стандартом ISO 15408, весь комплекс информационной безопасности можно разделить на отдельные функции, к результатам выполнения которых могут быть предъявлены особые требования.
Оценка эффективности системы безопасности производится по цепочке: общая оценка базируется на суммарной эффективности выполнения функций. В свою очередь, степень выполнения каждой функции зависит от удовлетворения соответствующих требований, которые обусловлены вероятностью возникновения нарушений (потенциальные возможности нарушителя, выгоды в случае удачного нарушения и т.п.).