Анализ приложений B и C ИСО/МЭК 15408-1 и разделов 3-5 ИСО/МЭК 15408-3 показывает, что разработка ПЗ и ЗБ осуществляется в следующей (нисходящей) последовательности:
a) идентификация аспектов среды безопасности;
b) определение целей безопасности, учитывающих идентифицированные аспекты среды безопасности;
c) формирование требований безопасности ИТ, направленных на удовлетворение целей безопасности.
В общем случае, хотя и с учетом данной последовательности действий, процесс разработки ПЗ и ЗБ носит итеративный характер. Например, формирование требований безопасности может способствовать корректировке целей безопасности или даже потребностей в безопасности. В целом, может потребоваться целый ряд итераций для наиболее полного учета взаимосвязей между угрозами, ПБОр, целями и требованиями безопасности, а также функциями безопасности, в частности, при формировании "Обоснования" ПЗ и ЗБ. При этом только когда все проблемы формирования "Обоснования" ПЗ и ЗБ решены, процесс разработки ПЗ и ЗБ можно считать завершенным.
Процесс разработки ПЗ и ЗБ может также включать внесение изменений в документ с тем, чтобы отразить изменения условий применения, например:
a) идентификацию новых угроз;
b) изменение ПБОр;
c) связанные со стоимостными и временными ограничениями изменения в разделении ответственности обеспечения безопасности, возлагаемой соответственно на ОО и среду ОО;
d) корректировку требований безопасности ИТ, функций безопасности и/или мер доверия к безопасности, связанную с изменениями в технологии и затратах на разработку ОО.
Также возможно (например, для существующего продукта ИТ), что разработчики ПЗ и ЗБ имеют четкое представление относительно ФТБ, которым соответствует ОО (даже если эти требования не были выражены в стандартах серии ИСО/МЭК 15408). В таких случаях определение аспектов среды безопасности и целей безопасности будет осуществляться, исходя из этих ФТБ. Процесс разработки ПЗ и ЗБ в таком случае будет "восходящим".