Анализ угроз. Предпроектное обследование

Доброе время суток!
Уважаемые коллеги, знает ли кто-то, как делается анализ угроз для автоматизированной системы? Слышала, что он состоит из трех составляющих:
- модель угроз
- модель нарушителя
- модель защиты.
Ну, если первые два пункта модно сделать на качественном уровне, то как делается последний? ведь это предпроектное обследование?
Кроме того, есть ведь вероятность пропустить какую-нибудь угрозу (или несколько). Как понять, что список достаточен? (и доказать заказчику?).

Буду признательна за помощь и совет
Спасибо