Технический отчет об оценке (ТОО) — основной документ, создаваемый испытательной лабораторией по результатам сертификационных испытаний в соответствии с требованиями ИСО/МЭК 15408 (например, при проведении испытаний СОВ и САВЗ в соответствии с новыми требованиями ФСТЭК России). ТОО — аналог протокола проведения испытаний, содержащего отчет о фактических действиях, выполненных экспертами лабораторий, а также заключение по результатам испытаний. Рассмотрим, что же должно содержаться в ТОО.

Структура и требования к содержанию ТОО представлено в ГОСТ Р ИСО/МЭК 18045 в разделе 7.3. Следует отметить, что требования к  основной части ТОО (раздел «Результаты оценки») даны только нескольких абзацах, что существенно осложняет разработку данного документа испытательными лабораториями.

Приведем некоторые источники, которые могут помочь при написании ТОО:

1. Common Methodology for Information Technology Security Evaluation (на русском языке — ГОСТ Р ИСО/МЭК 18045) — для каждого шага  оценивания в документе приведено описание действий эксперта ИЛ. Данная информация может использоваться при написании раздела «Результаты оценки» ТОО.
2. Guidelines for Evaluation Reports according to Common Criteria Version 3.1. Документ от немецкого регулирующего органа (Bundesamt für Sicherheit in der Informationstechnik) о том, как писать ТОО. На 480 страницах представлена информация о проведении оценки и фиксировании ее результатов для ОУД1-ОУД4. С презентацией и текстом документа можно ознакомиться, перейдя по ссылкам.
3. На сайте компании Microsoft можно отыскать ТОО для ряда ОС.
4. Большое количество информации (например, о проведении анализа уязвимостей и выборе стратегии независимого тестирования) можно отыскать в отчетах о сертификации («Certification report» — аналог заключения Органа по сертификации), размещенных на портале commoncriteriaportal.org.

Напомню, что Центр компетенции проводит учебный курс для экспертов ИЛ, в котором, в том числе раскрываются вопросы написании ТОО.