Anche se le funzioni di sicurezza del TOE non possono essere superate, disattivate o modificate può essere sempre possibile aggirarle perchè è presente una vulnerabilità concettuale nei meccanismi di sicurezza su cui si basano. Per queste funzioni una qualifica del loro comportamento di sicurezza può essere creata usando i risultati di un'analisi quantitativa o statistica dei comportamenti di sicurezza di questi meccanismi e dello sforzo necessario per superarli. La qualifica è fatta nella forma della domanda di forza di una funzione di sicurezza del TOE.
Le funzioni di sicurezza sono implementate dai meccanismi di sicurezza. Ad esempio un meccanismo di password può essere usato nell'implementazione della funzione di sicurezza di identificazione ed autentificazione.
La valutazione della forza di una funzione di sicurezza del TOE è effettuata al livello del meccanismo di sicurezza ma i risultati forniscono una conoscenza riguardo l'abilità della relativa funzione di sicurezza di fronteggiare i rischi identificati.
L'analisi della forza di una funzione di sicurezza del TOE deve considerare almeno i contenuti di tutti i TOE che vengono rilasciato, includendo il ST per L'EAL desiderato.
La famiglia è composta da un solo elemento: Valutazione della forza di una funzione di sicurezza del TOE (AVA_SOF.1)
