Большинство информационных систем (возможно, за исключением учреждений с повышенным уровнем секретности) функционируют исходя из того, что аппаратное обеспечение не представляет собой угрозу. При этом не производится даже начальной, не говоря уже о регулярной, проверки на наличие аппаратных закладок. Напомним, что закладкой называется логическое, в данном случае аппаратное, устройство, которое выполняет некоторые недокументированные или недекларированные функции обычно в ущерб пользователю данной информационной системы. (more…)

Атака под условным названием социальная инженерия отнесена нами к разряду локальных (хотя она может быть использована и удаленно), поскольку злоумышленнику все же необходим некий минимальный контакт с представителем атакуемой системы, а именно — пользователем.
Термином социальная инженерия обычно называют набор мероприятий по сбору сведений об информационной системе, напрямую не связанный с техническими подробностями реализации системы, а основанный на человеческом факторе. (more…)

Для определения наиболее вероятных (или наиболее часто реализуемых) атак на информационную безопасность необходимо установить, на каких, не подкрепленных реальными средствами теоретических принципах, построена модель безопасности. Например, если одним из ключевых положений является то, что к компьютеру сможет физически приблизится только уполномоченный человек, и при этом не установлено никаких систем ограничения физического доступа — значит, наиболее вероятны атаки именно на физическую безопасность.