Запропоновано формалізований підхід, у межах якого цілі захисту (конфіденційність, цілісність, доступність) позначаються на рівні доменної моделі, а атрибути безпеки (властивості суб'єктів/об'єктів/сесій) маркуються для реалізації політик доступу з використанням мета-моделювання та моделей загроз. Сформульовано математичну постановку із множинами об'єктів, загроз і атрибутів, вагами ризику та критерієм мінімізації інтегрального ризику. Ключовим внеском є формальна функція атрибуції, що дозволяє ідентифікувати критичні об'єкти, визначати зони підвищеної небезпеки й узгоджено застосовувати політики доступу (RBAC/ABAC) і відповідні технічні механізми (авторизація, шифрування) з урахуванням контексту інформаційних потоків і зовнішніх інтеграцій.