Статьи
Общий подход к использованию теории риска при оценке эффективности технической защиты информации от несанкционированного доступа
Применение теории риска [31, 32] сегодня считается приоритетным направлением развития методологии оценки эффективности ТЗИ. Эта теория стала широко развиваться за рубежом во второй половине двадцатого века, а также в России в последнее двадцатилетие. Она позволяет учесть целый ряд "НЕ-факторов" - неопределенность, неточность, неизвестность и (или) неполнота данных об исследуемых процессах, незамкнутость (открытость) множества условий, способствующих реализации угроз.
Модель оценки эффективности технической защиты информации на основе оценочных уровней доверия
Наиболее полно требования доверия и оценочные уровни доверия к безопасности информации в ИС определены в международном стандарте ИСО/ МЭК 15408-3 [30]. В соответствии с этим стандартом доверие - это основа для уверенности в том, что ИС отвечает целям обеспечения безопасности информации. При этом используется шкала оценок в виде 7 уровней доверия, каждый из которых соответствует определенному набору требований доверия. Для упорядочения представлений об этих требованиях все множество требований разделено на классы, семейства, компоненты и элементы доверия.
Модель оценки эффективности технической защиты информации от несанкционированного доступа с применением функционального подхода
Суть функционального подхода состоит в следующем.
Пусть в ИС в соответствии с требованиями нормативного документа для обеспечения заданного уровня (класса) защищенности к = \,К, должна применяться некоторая совокупность мер защиты Fk, однако фактически в ИС оказались реализованными только fk мер защиты из совокупности Fk. Все сочетания мер защиты из множества Fk могут быть расположены в порядке возрастания их эффективности, то есть влияния на повышение защищенности информации в ИС. Так, в соответствии с [13], если ИС должна быть защищена по третьему классу защищенности, то в ней должны применяться 63 меры защиты (Fk = 63). Количество сочетаний таких мер Nk составит величину 2п -1 = 2й -1.
Классификация моделей оценки эффективности защиты информации от несанкционированного доступа
Оценивание эффективности защиты информации как меры приближения к желаемому результату защиты должно проводиться на количественной основе, при этом результат может быть далее интерпретирован по определенным правилам в виде качественных суждений, например, «высокая», «средняя», «низкая» эффективность с возможным применением промежуточных модификаторов («очень высокая», «выше средней», «ниже средней», «очень низкая» и т.п.).
Методологические основы типизации информационных систем
В связи с огромным разнообразием ИС исследование вопросов ТЗИ, в том числе связанных с разработкой методологии количественной оценки ее эффективности, как правило, осуществляется для типовых систем. Типизация - это процедура, включающая в себя разделение всего рассматриваемого множества объектов на группы эквивалентности в соответствии с выбранной системой признаков типизации и выделение из каждой группы типового представителя, заменяющего без существенных ошибок любой из объектов группы. С учетом приведенного определения понятия «типизация» порядок проведения типизации ИС приведен.
Проблемные вопросы анализа угроз безопасности информации и пути их решения
Важной составляющей оценки эффективности зашиты информации в ИС является оценка защищенности системной (технологической, то есть обеспечивающей функционирование средств вычислительной техники, информационных систем и компьютерных сетей) и пользовательской (прикладных программ и данных) информации от возможных угроз несанкционированного воздействия (копирования, модификации, блокирования и т.д.).
В связи с этим и в соответствии с действующими нормативными документами [9-13] должен проводиться анализ угроз безопасности информации, который включает в себя:
Основные факторы, подлежащие учету при оценке эффективности защиты информации
Оценка эффективности ТЗИ чаще всего проводится на основе сравнения защищенности информации без применения и с применением мер защиты. Кроме того, оценка защищенности информации необходима:
при выявлении угроз безопасности информации, оценке их актуальности, возможности предупреждения, обнаружения и нейтрализации угроз, при выявлении уязвимостей программного и программно-аппаратного обеспечения ИС;
Онтологические аспекты проблематики оценки эффективности защиты информации от несанкционированного доступа
Необходимость рассмотрения онтологических аспектов защиты информации в ИС обусловлена рядом обстоятельств, к основным из которых относятся:
во-первых, отсутствие определений рада применяемых на практике терминов и характеристик взаимосвязей этих терминов в действующих терминологических документах и правовых актах;
во-вторых, разные трактовки или неоднозначность трактовок некоторых терминов и их определений в различных публикациях по тематике защиты информации.
Защита информации в информационных системах
Защита информации (ЗИ) в информационных системах (ИС), широко применяемых в органах государственной власти, на предприятиях и в организациях кредитно-финансовой, топливно-энергетической, транспортной и многих других сфер деятельности государства и общества, сегодня становится одной из приоритетных государственных задач.
Формирование электронно-цифровой подписи
Термин «цифровая подпись» используется для методов, позволяющих устанавливать подлинность сообщения при возникновении спора относительно его авторства. Применяется в ИС, в которых отсутствует взаимное доверие сторон. Известны два класса формирования цифровой подписи:
1) использует труднообратимые функции типа возведение в степень в конечных полях 82 большой размерности. К этому классу относится ГОСТ РФ. Он является усложнением алгоритмов цифровой подписи RSA и Эль-Гамаля;
Особенности систем защиты информации в ведущих странах мира
В настоящее время задача по ЗИ — это не только защита сведений (сообщений, данных), независимо от формы их представления, но и комплекс мер, направленных на защиту IT-инфраструктуры, в которой эти сведения хранятся и обрабатываются. Вполне допустимо привести аналогию с домом, в котором хранится и используется имущество его хозяина. В этом случае защите подлежит не только имущество внутри дома, но и сам дом, так как он есть неотъемлемая часть имущества собственника.
Асимметричное (несимметричное) шифрование и дешифрование
Асимметричное (несимметричное) шифрование - это шифрование с открытым ключом. Информация шифруется с помощью открытого ключа, а расшифровывается с использованием секретного ключа.
В несимметричных алгоритмах шифрования ключи зашифровывания и расшифровывания всегда разные (хотя и связанные между собой). Ключ зашифровывания является несекретным (открытым), ключ расшифровывания — секретным.
Дополнения от 05.06.2025 к анализу судебной практики при причинении вреда жизни или здоровью в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 23.04.2025 по делу N 33-17446/2025 (УИД 77RS0021-02-2023-011963-34)
Категория спора: Причинение вреда жизни и здоровью.
Требования потерпевшего: О взыскании компенсации морального вреда.
Дополнения от 05.06.2025 к анализу судебной практики в области защиты прав потребителей в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 14.05.2025 N 33-16016/2025 (УИД 77RS0012-02-2024-014905-43)
Категория спора: Участие в долевом строительстве.
Требования участника долевого строительства: 1) О взыскании неустойки; 2) О взыскании компенсации морального вреда.
Обстоятельства: Истец указал на несоблюдение ответчиком в добровольном порядке требований потребителя.
Решение: 1) Удовлетворено в части; 2) Удовлетворено в части.
Суд первой инстанции
Кузьминский районный суд
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 12.05.2025 N 33-20246/2025 (УИД 77RS0025-02-2023-008420-72)
Категория спора: Возмездное оказание услуг.
Требования заказчика: 1) О взыскании штрафа; 2) О взыскании денежных средств; 3) О расторжении договора; 4) О взыскании компенсации морального вреда.
Обстоятельства: Истец указал, что спорные договоры были заключены им при получении потребительского кредита и приобретении бывшего в употреблении автомобиля, в течение четырнадцати календарных дней он отказался от дополнительных услуг, обратившись с претензией об отказе дополнительных услуг и возврате уплаченных по договорам денежных средств, указанные в договоре услуги ему оказаны не были.
Решение: 1) Удовлетворено в части; 2) Удовлетворено в части; 3) Удовлетворено в части; 4) Удовлетворено в части.
Суд первой инстанции
Солнцевский районный суд
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 15.04.2025 N 33-11183/2025 (УИД 77RS0021-02-2023-007180-27)
Категория спора: Продажа недвижимости.
Требования покупателя: О признании незаконным удержания штрафа.
Обстоятельства: Истец ссылался на то, что согласно ст. 32 Закона РФ "О защите прав потребителей" потребитель вправе отказаться от исполнения договора о выполнении работ (оказании услуг) в любое время при условии оплаты исполнителю фактически понесенных им расходов, связанных с исполнением обязательств по данному договору.
Решение: Удовлетворено.
Суд первой инстанции
Пресненский районный суд
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского областного суда от 30.10.2024 по делу N 33-39000/2024 (УИД 50RS0031-01-2024-001641-74)
Категория спора: Плата за жилищно-коммунальные услуги.
Требования правообладателей помещений: 1) Об обязании произвести перерасчет платежей и взносов; 2) О взыскании компенсации морального вреда.
Обстоятельства: Истец ссылается на занижение управляющей компанией размера общей площади жилых и нежилых помещений при расчете платы потребителям за тепловую энергию.
Решение: 1) Отказано; 2) Отказано.
Суд первой инстанции
Одинцовский городской суд
Дополнения от 05.06.2025 к анализу практики в области защиты персональных данных в судах города Москвы и Московской области
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Апелляционное определение Московского городского суда от 12.05.2025 N 33-17430/2025 (УИД 77RS0021-02-2024-009096-18)
Категория спора: Заем.
Требования заемщика: 1) О признании договора незаключенным; 2) О взыскании компенсации морального вреда; 3) об обязании прекратить обработку персональных данных.
Симметричное шифрование и дешифрование
К методам шифрования с симметричным ключом относятся: методы замены (моноалфавитная, гомофоническая, полигамная и полиалфавитная, например, по матрице Вижинера или модифицированной матрице), методы перестановки (например, по маршрутам Гамильтона или с использованием аппаратных схем), аналитические методы с использованием аналитических преобразований и аддитивные методы гаммирования или с применением генераторов (датчиков) псевдослучайных чисел.
Проблематика применения СКЗИ в ЭДО
Краткие теоретические сведения
В рамках этой темы нами будет рассмотрена проблематика применения СКЗИ в таких прикладных вещах, как систмеа электронного документооборота (ЭДО). Мы обсудим, с какими вызовами сталкиваются организации при введении ЭДО. На примере Сбербанка посмотрим, как можно решить основные проблемы при переходе на ЭДО.
ЭДО: две стороны медали.
В любом процессе всегда имеется две стороны. ЭДО — не исключение.
Управление рисками кибербезопасности
Краткие теоретические сведения
Согласно Положению ЦБ РФ № 716-П от 08.04.2020, риск кибербезопасности (КБ) – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности , прикладного ПО автоматизированных систем и приложений, несоответствием указанных процессов деятельности организации.
Практики безопасной разработки и DevSecOps
Краткие теоретические сведения
Безопасность приложений (Application Security) - раздел кибербезопасности, в котором объектом защиты является программное обеспечение и его потенциальные уязвимости.
Причем основное внимание уделяется предотвращению появления уязвимостей, а не их обнаружению в уже готовом продукте. Application Security затрагивает практически каждый артефакт и шаг производства программного обеспечения.
Что защищаем:
данные;
алгоритмы;
файлы;
деньги;
иные активы.
Управление угрозами и уязвимостями кибербезопасности
Краткие теоретические сведения
В современных реалиях ситуационный подход к управлению угрозами может привести к компрометации инфраструктуры организации. Однако если заранее изучить возможные угрозы, можно защитить инфраструктуру и снизить риски.
Термины и определения
Индикатор компрометации (Indicator of compromise, IOC) - объект (IP-адрес, DNS, хеш), наблюдаемый в сети или на конкретном устройстве.
