Определение вероятности реализации угроз по каждой из возможных точек атак.
Оценка ущерба организации в случае реализации каждой из атак.
Построение каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС.
Характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств.