Для определения актуальных угроз безопасности информации в реальных условиях используют различные методы, например:

• Моделирование информационных потоков. 1 Позволяет выявить тенденции в поведении системы, потенциальные ошибки, масштаб уязвимостей и последствия от вероятной угрозы. 1
• Моделирование угроз. 1 Обычно используют сочетание экспертного и факторного анализа. 1 Специалисты тестируют все жизненно важные системы предприятия на наличие уязвимостей. 1
• Поиск уязвимых зон. 1 Для этого используют, например, матрицу угроз, которая представляет собой сводную таблицу вероятности возникновения угроз и степени их влияния. 1 Также применяют деревья атак, которые описывают возможную атаку и её цель, связывая с целью атаки задачи злоумышленников, а также возможные способы реализации. 1
• Статистический анализ рисков. 1 Позволяет определить, в каких местах система наиболее уязвима. 1 Для такого анализа необходим большой объём данных о ранее совершённых атаках. 1
• Факторный анализ. 1 ИТ-специалисты выделяют основные факторы, которые влияют на возникновение той или иной угрозы. 1

Также для определения актуальных угроз используют модель угроз — документ, в котором указаны угрозы, актуальные для конкретной системы. 3 Общий перечень угроз безопасности информации содержится в Банке данных угроз ФСТЭК России. 35