Разница между угрозами первого, второго и третьего типа в информационных системах заключается в месте возникновения и характере воздействия:

1. Угрозы первого типа связаны с наличием недокументированных (незадекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. 34 Например, с помощью закладок в операционной системе злоумышленник может в любой момент получить к ней доступ. 2
2. Угрозы второго типа возникают из-за наличия недокументированных возможностей в прикладном программном обеспечении, например, в 1С или веб-приложении. 23 Обычно такие угрозы появляются в ситуациях, когда ПО разрабатывалось специально для заказчика. 2
3. Угрозы третьего типа не связаны с системными или программными закладками. 2 К ним относят все остальные угрозы, например, взлом пароля. 2

Тип угроз, актуальных для информационной системы, определяется оператором с учётом оценки возможного вреда. 4