Основными источниками угроз в сфере информационной безопасности являются деятельность иностранных разведывательных и специальных служб, преступных групп и формирований, противозаконная деятельность отдельных лиц, нарушение установленных регламентов сбора, обработки и передачи информации, преднамеренные действия и непреднамеренные ошибки персонала информационных систем, отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.
Источники угроз информационной безопасности разделяются на угрозы, источник которых расположен вне контролируемой зоны (внешние), и угрозы, источник которых расположен в пределах контролируемой зоны (внутренние).
К внешним угрозам информационной безопасности относятся:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
перехват и утечка информации по техническим каналам;
неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
стихийные бедствия, катастрофы, пожары и аварии.
Внутренними угрозами информационной безопасности являются:
невыполнение требований действующего законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
внедрение несовершенных или устаревших информационных технологий и средств информатизации;
умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации в случаях, когда такое требование законодательно установлено;