Уязвимости информационных систем
Подборка наиболее важных документов по запросу Уязвимости информационных систем (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Статьи, комментарии, ответы на вопросы
Статья: Обеспечение защиты персональных данных при осуществлении публичных функций
(Датий В.Р.)
("Legal Bulletin", 2025, N 4)Персональные данные - важный инструмент реализации конституционных прав граждан, поэтому неправомерная обработка персональных данных (в том числе биометрических) квалифицируется как нарушение прав и свобод и образует состав административного правонарушения либо преступления. В настоящее время органы публичной власти как операторы персональных данных проходят проверки Роскомнадзора и иных органов контроля на соблюдение требований к защите персональных данных. Выявленные нарушения (например, отсутствие уведомления Роскомнадзора об обработке, уязвимости информационных систем, несоблюдение порядка получения согласий) влекут как минимум выдачу предписаний об их устранении, а при наличии состава - применение мер административной ответственности (ст. 13.11 КоАП РФ) и иных мер реагирования.
(Датий В.Р.)
("Legal Bulletin", 2025, N 4)Персональные данные - важный инструмент реализации конституционных прав граждан, поэтому неправомерная обработка персональных данных (в том числе биометрических) квалифицируется как нарушение прав и свобод и образует состав административного правонарушения либо преступления. В настоящее время органы публичной власти как операторы персональных данных проходят проверки Роскомнадзора и иных органов контроля на соблюдение требований к защите персональных данных. Выявленные нарушения (например, отсутствие уведомления Роскомнадзора об обработке, уязвимости информационных систем, несоблюдение порядка получения согласий) влекут как минимум выдачу предписаний об их устранении, а при наличии состава - применение мер административной ответственности (ст. 13.11 КоАП РФ) и иных мер реагирования.
"Комментарий к Федеральному закону от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"
(постатейный)
(3-е издание, переработанное и дополненное)
(Борисов А.Н.)
("Юстицинформ", 2025)в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
(постатейный)
(3-е издание, переработанное и дополненное)
(Борисов А.Н.)
("Юстицинформ", 2025)в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
Нормативные акты
Справочная информация: "Правовой календарь на I квартал 2025 года"
(Материал подготовлен специалистами КонсультантПлюс)Методические рекомендации разработаны в целях обеспечения единого подхода к реализации кредитными организациями, некредитными финансовыми организациями, реализующими усиленный или стандартный уровень защиты информации, субъектами национальной платежной системы, а также бюро кредитных историй обязанности по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.
(Материал подготовлен специалистами КонсультантПлюс)Методические рекомендации разработаны в целях обеспечения единого подхода к реализации кредитными организациями, некредитными финансовыми организациями, реализующими усиленный или стандартный уровень защиты информации, субъектами национальной платежной системы, а также бюро кредитных историй обязанности по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.
Указ Президента РФ от 16.08.2004 N 1085
(ред. от 08.11.2023)
"Вопросы Федеральной службы по техническому и экспортному контролю"
(Выписка)6(2)) оперативно информирует в пределах своей компетенции аппараты федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления и организации об угрозах безопасности информации и уязвимостях информационных систем и иных объектов критической информационной инфраструктуры, а также о мерах по технической защите от этих угроз и уязвимостей;
(ред. от 08.11.2023)
"Вопросы Федеральной службы по техническому и экспортному контролю"
(Выписка)6(2)) оперативно информирует в пределах своей компетенции аппараты федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления и организации об угрозах безопасности информации и уязвимостях информационных систем и иных объектов критической информационной инфраструктуры, а также о мерах по технической защите от этих угроз и уязвимостей;
"Государство, общество и личность: пути преодоления вызовов и угроз в информационной сфере: монография"
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Следует учитывать, что любая информационная система уязвима. Пока еще не создано системы, которую нельзя было бы взломать. По мнению Н. Касперской, различия хорошо и плохо защищенной системы только в количестве ресурсов, которые злоумышленнику необходимо потратить на взлом. С этой точки зрения системы, содержащие биометрические данные, иные ценные сведения, наиболее привлекательны для кибератак.
(отв. ред. Л.К. Терещенко)
("Инфотропик Медиа", 2024)Следует учитывать, что любая информационная система уязвима. Пока еще не создано системы, которую нельзя было бы взломать. По мнению Н. Касперской, различия хорошо и плохо защищенной системы только в количестве ресурсов, которые злоумышленнику необходимо потратить на взлом. С этой точки зрения системы, содержащие биометрические данные, иные ценные сведения, наиболее привлекательны для кибератак.
Статья: Развитие дистанционного электронного голосования в России: конституционно-правовой аспект
(Ларичев А.А., Ржановский В.А.)
("Журнал российского права", 2022, N 9)Есть мнение, что решение проблемы открытости для наблюдения и защищенности от искажения волеизъявления избирателей практически невозможно, поскольку они являются двумя взаимоисключающими явлениями. Невозможно полностью "раскрыть все карты" и добиться отсутствия стороннего вмешательства в механизм ДЭГ. Нередко именно за счет того, что некоторые процессы остаются нераскрытыми, вмешательства не происходит, так как у субъекта, пытающегося взломать систему, отсутствует понимание, через какую "дверь" можно в нее войти. По мнению некоторых авторов, потенциальная уязвимость информационных систем ДЭГ связана с использованием сети Интернет <18>.
(Ларичев А.А., Ржановский В.А.)
("Журнал российского права", 2022, N 9)Есть мнение, что решение проблемы открытости для наблюдения и защищенности от искажения волеизъявления избирателей практически невозможно, поскольку они являются двумя взаимоисключающими явлениями. Невозможно полностью "раскрыть все карты" и добиться отсутствия стороннего вмешательства в механизм ДЭГ. Нередко именно за счет того, что некоторые процессы остаются нераскрытыми, вмешательства не происходит, так как у субъекта, пытающегося взломать систему, отсутствует понимание, через какую "дверь" можно в нее войти. По мнению некоторых авторов, потенциальная уязвимость информационных систем ДЭГ связана с использованием сети Интернет <18>.
Интервью: Анатолий Козлачков (АБР): ассоциация - это партнер регулятора
("Банковское обозрение", 2024, N 6)Однако достичь абсолютной, стопроцентной безопасности даже в теории невозможно. В любой самой современной информационной системе всегда можно найти уязвимость. Это касается не только банковских, но и любых охранных систем, автомобильных сигнализаций, сейфовых хранилищ и т.д. На наш взгляд, в России реализован взвешенный подход, который, с одной стороны, обеспечивает высокий уровень безопасности и операционной надежности, а с другой стороны, не создает препятствий для гармоничного развития технологической составляющей банковского бизнеса.
("Банковское обозрение", 2024, N 6)Однако достичь абсолютной, стопроцентной безопасности даже в теории невозможно. В любой самой современной информационной системе всегда можно найти уязвимость. Это касается не только банковских, но и любых охранных систем, автомобильных сигнализаций, сейфовых хранилищ и т.д. На наш взгляд, в России реализован взвешенный подход, который, с одной стороны, обеспечивает высокий уровень безопасности и операционной надежности, а с другой стороны, не создает препятствий для гармоничного развития технологической составляющей банковского бизнеса.
Статья: Первоосновы прокурорского надзора за исполнением законодательства в сфере информационных технологий и защиты информации
(Кипкаев О.В., Горошко И.В.)
("Вестник Университета прокуратуры Российской Федерации", 2025, N 5)Эти угрозы возникают как по причине технической уязвимости информационных систем из-за недостатков при их проектировании и маршрутизации, так и по причине ненадлежащего исполнения обязанностей руководителями организаций, администраторами и пользователями. Ключевым инструментом снижения вероятности их реализации является нормативно-правовое регулирование, в котором предметом выступает обеспечение достоверности, конфиденциальности, целостности и доступности информации.
(Кипкаев О.В., Горошко И.В.)
("Вестник Университета прокуратуры Российской Федерации", 2025, N 5)Эти угрозы возникают как по причине технической уязвимости информационных систем из-за недостатков при их проектировании и маршрутизации, так и по причине ненадлежащего исполнения обязанностей руководителями организаций, администраторами и пользователями. Ключевым инструментом снижения вероятности их реализации является нормативно-правовое регулирование, в котором предметом выступает обеспечение достоверности, конфиденциальности, целостности и доступности информации.
Статья: Механизм безопасности электронных документов - идентификация и аутентификация. Ошибки на практике
(Никулина С.)
("Делопроизводство", 2025, N 2)Примечание. Суд указал, что факт несанкционированного доступа к данным не освобождает компанию от ответственности по ч. 1 ст. 13.11 КоАП РФ. Судья отметил, что компания самостоятельно и намеренно предоставила доступ к информационной системе персональных данных через уязвимый веб-ресурс, что квалифицировано как обработка данных в случаях, не предусмотренных законом.
(Никулина С.)
("Делопроизводство", 2025, N 2)Примечание. Суд указал, что факт несанкционированного доступа к данным не освобождает компанию от ответственности по ч. 1 ст. 13.11 КоАП РФ. Судья отметил, что компания самостоятельно и намеренно предоставила доступ к информационной системе персональных данных через уязвимый веб-ресурс, что квалифицировано как обработка данных в случаях, не предусмотренных законом.
Статья: Правовая политика государства в сфере публичных финансов как средство обеспечения экономической безопасности
(Саттарова Н.А., Гараев И.Г., Гафарова Г.Р.)
("Хозяйство и право", 2024, N 12)Устойчивость финансовой системы страны - основа жизнедеятельности государства. Именно поэтому обеспечение безопасности финансовой системы - приоритетное направление экономической безопасности государства. Логично, что в Стратегии экономической безопасности Российской Федерации на период до 2030 года подверженность финансовой системы Российской Федерации глобальным рискам, уязвимость информационной инфраструктуры финансово-банковской системы названы одними из основных вызовов и угроз экономической безопасности, а устойчивое развитие национальной финансовой системы - в числе целей государственной политики в сфере обеспечения экономической безопасности.
(Саттарова Н.А., Гараев И.Г., Гафарова Г.Р.)
("Хозяйство и право", 2024, N 12)Устойчивость финансовой системы страны - основа жизнедеятельности государства. Именно поэтому обеспечение безопасности финансовой системы - приоритетное направление экономической безопасности государства. Логично, что в Стратегии экономической безопасности Российской Федерации на период до 2030 года подверженность финансовой системы Российской Федерации глобальным рискам, уязвимость информационной инфраструктуры финансово-банковской системы названы одними из основных вызовов и угроз экономической безопасности, а устойчивое развитие национальной финансовой системы - в числе целей государственной политики в сфере обеспечения экономической безопасности.