Следующий шаг – перечисление угроз, которым может подвергаться информационная среда (). Источники угроз могут быть внешними и внутренними.
К внешним источникам относятся стихийные бедствия (извержение вулкана, наводнение, землетрясение)или же целенаправленные и, как правило, вредоносные действия посторонних людей.
Не следует исключать из черного списка третью сторону, то есть лиц, которые относятся к внешней среде, но имеют доступ к ресурсам внутри организации. Это партнеры (торговые агенты, партнеры по контракту), представители служб доставки, служб поддержки (ремонтные бригады, уборщики, охрана), поставщики услуг (телекоммуникационные услуги, системные интеграторы).
Особую категорию источников угроз составляют конкуренты. Известно, что в условиях особо жесткой конкуренции наблюдение за развитием бизнеса у соперника, сбор различной информации о нем является обычным делом. однако, как показывает статистика, куда более серьезным с точки зрения последствий является наличие нарушений и нарушителей внутри самой организации. Внутренние источники, угрожающие информационной безопасности, в 70% случаев являются причиной возникновения инцидентов (выход из строя оборудования при несоблюдении требований к эксплуатации, неверные управленческие решения из за ввода информации в базу данных, несоблюдение требований пожарной или электробезопасности). А следствием этих инцидентов становится серьезный материальный ущерб.