При формировании системы управления информационной безопасностью (СУИБ) важно верно расставить приоритеты, распланировать затраты и усилия, обеспечить адекватную защиту ресурсов в зависимости от ценности актива, стоимости средств защиты и затрат злоумышленников на проведение кибератаки. Для решения указанных задач используются методы риск-менеджмента, которые позволяют приоритизировать различные киберугрозы, оценить тяжесть последствий и соответствующим образом распределить ресурсы для защиты. Однако перечень киберугроз формируется отдельно - для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический документ «Методика оценки угроз безопасности информации» (утвержден 05.02.2021 г.). Положения данной методики содержат описание последовательных шагов, которые следует выполнить для формирования перечня актуальных киберугроз в конкретной организации. Следует также отметить, что до выхода в свет данного методического документа компании могли руководствоваться документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был утвержден ФСТЭК России еще в 2008 году, но последовательность действий и логика формирования модели угроз в нём существенно отличалась от изложенного в актуальном документе.

Подробнее: https://www.securityvision.ru/blog/model-ugroz-fstek/