Уг­ро­зы бе­зопас­ности ин­форма­ции оп­ре­деля­ют­ся по ре­зульта­там оцен­ки воз­можно­стей (по­тен­ци­ала, ос­на­щен­ности и мо­тива­ции) внеш­них и внут­ренних на­руши­телей, ана­лиза воз­можных у­яз­ви­мос­тей ин­форма­ци­он­ной сис­те­мы, воз­можных спо­собов ре­али­зации уг­роз бе­зопас­ности ин­форма­ции и пос­ледс­твий от на­руше­ния свойств бе­зопас­ности ин­форма­ции (кон­фи­ден­ци­альнос­ти, це­лос­тнос­ти, дос­тупнос­ти):

Уг­ро­зы бе­зопас­ности ин­форма­ции = [воз­можнос­ти на­руши­теля; у­яз­ви­мос­ти ин­форма­ци­он­ной сис­те­мы; спо­соб ре­али­зации уг­ро­зы; пос­ледс­твия от ре­али­зации уг­ро­зы].

При оп­ре­деле­нии уг­роз бе­зопас­ности ин­форма­ции учи­тыва­ют­ся струк­турно-фун­кцио­нальные ха­рак­те­рис­ти­ки ин­форма­ци­он­ной сис­те­мы, при­меня­емые ин­форма­ци­он­ные тех­но­логии и осо­бен­ности (ус­ло­вия) фун­кци­они­рова­ния ин­форма­ци­он­ной сис­те­мы.
Эф­фектив­ность при­нима­емых мер за­щиты ин­форма­ции в ин­форма­ци­он­ной сис­те­ме за­висит от ка­чес­тва оп­ре­деле­ния ак­ту­альных уг­роз бе­зопас­ности ин­форма­ции для кон­крет­ной ин­форма­ци­он­ной сис­те­мы в кон­крет­ных ус­ло­ви­ях ее фун­кци­они­рова­ния.

Для оп­ре­деле­ния уг­роз бе­зопас­ности ин­форма­ции и раз­ра­бот­ки мо­дели уг­роз бе­зопас­ности ин­форма­ции при­меня­ют­ся ме­тоди­чес­кие до­кумен­ты, раз­ра­баты­ва­емые и ут­вер­жда­емые ФСТЭК Рос­сии в со­от­ветс­твии с пп. 4 п. 8 По­ложе­ния о Фе­деральной служ­бе по тех­ни­чес­ко­му и эк­спортно­му кон­тро­лю, ут­вер­жден­но­го Ука­зом Пре­зиден­та РФ от 16 ав­густа 2004 г. № 1085.