А на НДВ вы же тоже тестировались? Уязвимость это и есть НДВ.
НДВ - незадекларированные возможности (иными словами, неописанный функционал). Уязвимости - это ошибки, а не "не указанный функционал".
"
Руководящий документ. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
п. 2.1. Недекларированные возможности -
функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации".
В целом, сертификация на НДВ уже не столь актуальна, как ранее (как раз потому, что не гарантирует отсутствие уязвимостей).
По имеющейся информации, на этой неделе во ФСТЭК должно пройти повторное совещание по методике анализа уязвимостей и недекларированных возможностей, потом методика уйдет на утверждение, после ее утверждения ФСТЭК опубликует информационное сообщение о прекращении НДВ как самостоятельного вида сертификации. Вместо нее будет сертификация на оценочный уровень доверия, который включает в себя
анализ уязвимостей и
отдельно - НДВ, как одну из составляющих.