Профиль защиты изделий ИТ определенной группы для конкретного класса защищенности разрабатывается в два этапа.

На первом этапе (см. рисунок 5) формируемый ПЗ наследует характеристики группы и класса, то есть в него включается функциональный пакет группы и базовый пакет доверия соответствующего класса защищенности. Кроме того, для функций безопасности, реализуемых вероятностными или перестановочными механизмами, специфицируется уровень СФБ не ниже минимального уровня СФБ, определенного для данного класса защищенности.
На втором этапе (см. рисунок 6) в ПЗ, исходя из результатов анализа рисков, угроз, политики безопасности организации и предположений о среде функционирования изделия ИТ, включаются все необходимые дополнительные функциональные требования и требования доверия (взятые из ОК либо сформулированные в явном виде).