Безопасность информационных систем: Комплексный анализ угроз, законодательства РФ и экономические аспекты защиты (Актуально на 2025 год)

Введение: Актуальность проблемы и структура исследования

Современный бизнес-ландшафт характеризуется тотальной цифровизацией, что, с одной стороны, открывает беспрецедентные возможности для роста и оптимизации, а с другой — создает критическую зависимость от устойчивости и безопасности информационных систем. Актуальность изучения информационной безопасности (ИБ) обусловлена не просто ростом числа кибератак, а их нарастающей изощренностью и прямым экономическим ущербом.

В 2024 году, согласно статистическим данным, наблюдался существенный рост ключевых киберугроз: количество атак программ-вымогателей (Ransomware) увеличилось на 8%, а утечки персональных данных в России выросли на 30%, при этом общий объем скомпрометированных записей превысил 1,58 миллиарда. Эти факты демонстрируют, что ИБ перестала быть исключительно технической задачей и прочно вошла в зону стратегического и экономического управления организацией. И что из этого следует? Это означает, что инвестиции в защиту ИС теперь следует рассматривать не как затраты, а как критически важный инструмент минимизации финансового риска и обеспечения непрерывности бизнеса, что требует внимания высшего руководства.

Целью данной работы является комплексный академический анализ теоретических основ, нормативно-правового регулирования, современных угроз, механизмов защиты и экономической целесообразности обеспечения безопасности информационных систем в Российской Федерации.

Реферат структурирован для последовательного раскрытия темы: от определения базовых понятий, через анализ актуального законодательства и ландшафта угроз, к рассмотрению методов технологической защиты и внедрения системного менеджмента ИБ с учетом оценки финансовых рисков.

Теоретические основы информационной безопасности

Базовые термины и концепция свойств информации

Для обеспечения академической строгости необходимо опираться на терминологический аппарат, установленный государственными стандартами.

Согласно ГОСТ Р 53113.1-2008, Информационная безопасность (ИБ) определяется как все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Центральным элементом концепции ИБ является модель, базирующаяся на трех фундаментальных свойствах информации, известная как модель CIA (Confidentiality, Integrity, Availability):

1. Конфиденциальность: Свойство информации быть доступной только тем субъектам, которые имеют на это полномочия.
2. Целостность: Свойство, обеспечивающее сохранение информации в исходном, неискаженном виде, гарантируя ее полноту и корректность.
3. Доступность: Свойство, обеспечивающее возможность авторизованного доступа и использования информации и связанных активов по требованию.

Российские стандарты, такие как ГОСТ Р 53113.1, расширяют классическую модель CIA, добавляя критически важные для правовой и управленческой сферы свойства:

• Неотказуемость (Non-repudiation): Гарантия того, что сторона, отправившая или получившая данные, не сможет впоследствии отказаться от этого факта.
• Аутентичность (Authenticity): Свойство, гарантирующее, что субъект или ресурс является тем, за кого он себя выдает.

Понимание этих свойств критически важно для определения целей защиты. Каков же важный нюанс здесь упускается? Упускается тот факт, что в условиях современных угроз, особенно в сферах КИИ и государственных систем, приоритет смещается с классической триады CIA на обеспечение непрерывности и отказоустойчивости, поскольку недоступность системы может вызвать не меньший ущерб, чем утечка данных.

Далее необходимо определить факторы, угрожающие этим свойствам. Угроза информационной безопасности, согласно ГОСТ Р 53114-2008, — это совокупность факторов и условий, создающих опасность нарушения ИБ, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации. Реализация угрозы становится возможной при наличии уязвимости — свойства информационной системы, обусловливающего возможность реализации угроз безопасности. В случае успешной реализации угрозы фиксируется Инцидент информационной безопасности — неблагоприятное событие в системе или сети, а также угроза такого события (ГОСТ Р 59505-2021).

Классификация угроз информационной безопасности

Для эффективного управления рисками необходима четкая классификация угроз. Наиболее распространенным является деление по источнику возникновения, что позволяет определить адекватные контрмеры и организационные механизмы защиты.

Угрозы классифицируются на три основные группы:

Группа угроз	Определение и источник	Примеры
Антропогенные (Человеческие)	Связаны с действиями субъектов (людей), которые могут быть как умышленными, так и случайными.	Умышленные: Внешние (хакерские атаки, шпионаж), Внутренние (инсайдеры, кража данных). Неумышленные: Ошибки операторов, несоблюдение политики безопасности, случайное удаление информации.
Техногенные	Вызваны сбоями, отказами и неисправностями технических средств, программного обеспечения или систем связи.	Отказ аппаратного обеспечения (дисков, серверов), ошибки в конфигурации сетевого оборудования, сбои электропитания, ошибки при обновлении ПО.
Естественные (Природные)	Вызваны стихийными явлениями, не зависящими от деятельности человека.	Пожар, наводнение, землетрясение, гроза, экстремальные температуры.

Особое внимание в контексте экономической безопасности уделяется антропогенным угрозам, поскольку, по статистике, до 70% всех инцидентов инициированы либо внутренними сотрудниками (инсайдерами), либо внешними злоумышленниками, использующими социальную инженерию для обхода технической защиты.

Нормативно-правовая база регулирования ИБ в РФ

Государственное регулирование информационной безопасности в Российской Федерации имеет комплексный и многоуровневый характер, основанный на федеральных законах, подзаконных актах Правительства и ведомственных приказах ФСТЭК и ФСБ России.

Законодательная основа защиты информации

Ключевым нормативным фундаментом является триада федеральных законов, охватывающих общие вопросы информации, защиту частных данных и безопасность критически важных систем:

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот закон устанавливает общие положения о правовом режиме информации, праве на доступ к ней и, что наиболее важно, определяет основы правовой защиты информации, включая обязательство по принятию мер по ее защите.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Данный акт является краеугольным камнем в защите частной жизни граждан. Он устанавливает строгие требования к обработке, хранению и защите персональных данных (ПДн) операторами, а также определяет перечень мер по предотвращению несанкционированного доступа. Соблюдение ФЗ № 152-ФЗ является обязательным условием для любого экономического субъекта, оперирующего данными клиентов или сотрудников.
3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ). Этот закон направлен на защиту информационных систем, которые являются критически важными для государства и общества (в сферах энергетики, транспорта, финансового сектора, здравоохранения). Он вводит обязательное категорирование объектов КИИ и устанавливает особые требования к их безопасности, контроль за исполнением которых осуществляет ФСТЭК и ФСБ России. Правила категорирования объектов КИИ регулируются Постановлением Правительства РФ от 08.02.2018 № 127.

Ведомственные требования и стандарты

В дополнение к федеральным законам, регуляторы (ФСТЭК России и ФСБ России) выпускают подзаконные акты, детализирующие технические и организационные требования к защите конкретных типов систем:

Нормативный документ	Сфера регулирования	Ключевые требования и особенности
Приказ ФСТЭК России от 18.02.2013 № 21	Защита персональных данных (ПДн) в ИСПДн.	Утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн. Является ключевым документом для исполнения ФЗ № 152.
Приказ ФСТЭК России от 11.02.2013 № 17	Защита информации в государственных информационных системах (ГИС).	Устанавливает требования к защите информации, не составляющей государственную тайну, содержащейся в ГИС. Важно отметить, что данный Приказ будет действовать до 1 марта 2026 года, после чего вступит в силу новый, утвержденный Приказом ФСТЭК России от 11.04.2025 N 117, что подчеркивает динамику регуляторного поля.
Указ Президента РФ от 05.12.2016 № 646	Доктрина информационной безопасности Российской Федерации.	Определяет стратегические цели, задачи и направления государственной политики в области обеспечения ИБ.
ГОСТ Р ИСО/МЭК 27001	Система менеджмента информационной безопасности (СМИБ).	Аутентичный перевод международного стандарта, который используется организациями для построения и сертификации системы управления ИБ как бизнес-процесса.

Таким образом, регуляторное поле РФ требует от организаций не только реагировать на инциденты, но и превентивно выстраивать комплексную систему защиты в строгом соответствии с применимыми нормами, включая специфические требования к КИИ, ПДн и ГИС.

Актуальный ландшафт угроз и тенденции 2024–2025 гг.

Анализ современного ландшафта угроз показывает, что злоумышленники активно смещают фокус с массовых атак на целевые, финансово мотивированные и политически окрашенные операции. Не пора ли признать, что простые антивирусы и файрволы давно утратили свою эффективность перед лицом столь изощренных противников?

Основные виды кибератак

В период 2024–2025 годов доминирующими векторами атак на российские организации стали:

1. Программы-вымогатели (Ransomware). Это остается одной из наиболее разрушительных угроз. В 2024 году, по сравнению с 2023 годом, количество атак с применением шифровальщиков увеличилось на 8%. Злоумышленники используют модель двойного вымогательства: сначала шифруют данные, а затем угрожают их публикацией (утечкой), что делает атаку более прибыльной и опасной с точки зрения регуляторного соответствия (ФЗ № 152).
2. Утечки персональных данных (ПДн). Утечки баз данных российских компаний стали системной угрозой. Рост количества скомпрометированных записей на 30% в 2024 году свидетельствует о недостаточной защищенности периметра и критических активов. Значительный ущерб наносится не только прямыми штрафами, но и косвенными репутационными потерями.
3. Фишинг и социальная инженерия. Фишинг остается самым популярным типом атаки. В 2024 году до 80% всех успешных кибератак на российские организации начинались с фишинговых рассылок. Злоумышленники активно мигрируют в мессенджеры и используют методы социальной инженерии, чтобы заставить сотрудника самостоятельно открыть доступ к корпоративной сети.
4. APT-группировки и хактивисты. Наблюдается рост числа политически мотивированных атак (рост на 116% в 2023 году по сравнению с 2022 годом). Группировки, использующие передовые устойчивые угрозы (Advanced Persistent Threat, APT), сосредотачиваются на долговременном присутствии в сетях жертвы для хищения конфиденциальной информации или разрушения IT-инфраструктуры, атакуя преимущественно КИИ, госучреждения и предприятия ОПК.

Отраслевой фокус угроз

Хотя кибератаки представляют опасность для всех секторов экономики, некоторые отрасли по-прежнему остаются приоритетными целями из-за высокой ценности их данных и критичности инфраструктуры:

Отрасль	Число инцидентов (Примерная выборка 2024 г.)	Причина приоритетности
Финансовый сектор	118 инцидентов	Высокая финансовая мотивация, прямой доступ к денежным средствам, ценность ПДн клиентов.
Государственные предприятия	112 инцидентов	Политическая мотивация, хищение государственных секретов, доступ к критической инфраструктуре.
Промышленность (в т.ч. ОПК)	89 инцидентов	Промышленный шпионаж, нарушение операционной деятельности, вывод из строя систем АСУ ТП (технологические сети).
ИТ и Телекоммуникации	Высокая частота	Использование в качестве плацдарма для атак на конечных клиентов (атаки на цепочку поставок, Supply Chain Attacks).

Преимущественное внимание к финансовому сектору объясняется высокой экономической отдачей от успешных атак, а также тем, что финансовые организации обладают наиболее детальными и ценными массивами персональных данных.

Технологии и методы комплексного обеспечения защиты информации

Учитывая сложность и многовекторность современных угроз, невозможно обеспечить адекватный уровень защиты с помощью одного инструмента. Эффективная стратегия основана на концепции эшелонированной защиты.

Концепция глубокоэшелонированной защиты (Defense in Depth)

Концепция Defense in Depth предполагает создание многоуровневого комплекса средств защиты информации (СЗИ), где каждый уровень защиты дублирует и дополняет остальные, замедляя или предотвращая реализацию угрозы. Если один барьер пробит, злоумышленник неизбежно сталкивается со следующим, что значительно повышает общую устойчивость системы.

Эта модель включает защиту на уровне:

1. Периметра (МСЭ, IPS).
2. Сетевой инфраструктуры (сегментация, VPN).
3. Хоста (антивирусы, контроль целостности).
4. Данных (шифрование, DLP).
5. Управления (политики, СМИБ).

Средства контроля периметра и данных

На практике комплексная защита опирается на ряд ключевых технических решений:

Средство защиты	Основная функция	Детализированный функционал
Межсетевой экран нового поколения (NGFW)	Контроль и фильтрация сетевого трафика на уровне периметра.	Отличается от традиционных МСЭ глубоким анализом трафика (DPI), интегрированной Системой предотвращения вторжений (IPS), контролем приложений и способностью к проверке зашифрованного трафика (SSL/TLS Inspection).
Система предотвращения утечек данных (DLP)	Обнаружение, мониторинг и контроль конфиденциальных данных.	Предотвращает несанкционированную передачу данных. Обнаружение базируется на методах контентного анализа, включая цифровые отпечатки (Digital Fingerprinting) — уникальные хэши чувствительных документов, регулярные выражения (для поиска номеров карт, паспортов) и лингвистический анализ.

Системы мониторинга и реагирования (SIEM)

Системы управления событиями и информацией безопасности (SIEM) являются центральным элементом мониторинга и оперативного реагирования в любой крупной организации.

Роль SIEM:

SIEM-система выполняет сбор, нормализацию и агрегацию событий безопасности (логов) от сотен источников (серверов, NGFW, DLP, операционных систем). Ключевой функцией является корреляция событий — применение логических правил для обнаружения комплексных атак, которые невозможно выявить по одному изолированному событию.

Пример правила корреляции:

Сложный инцидент, например, попытка взлома с последующим несанкционированным доступом, может быть обнаружен следующим образом:

1. Событие 1 (Firewall): Зафиксировано 10 неудачных попыток входа с внешнего IP-адреса на VPN-шлюз.
2. Событие 2 (Active Directory): Зафиксирован успешный вход под той же учетной записью с нового (неиспользуемого ранее) внутреннего IP-адреса.
3. Событие 3 (Endpoint Security): Зафиксирован запуск системной утилиты для дампа паролей на скомпрометированном хосте.

Правило корреляции в SIEM связывает эти три разрозненных события в течение короткого временного интервала и генерирует единый, критический инцидент, требующий немедленного реагирования. SIEM-системы, таким образом, обеспечивают централизованное управление инцидентами и помогают выполнять требования регуляторов (например, по аудиту событий).

Система менеджмента ИБ (СМИБ) и экономическая целесообразность

Информационная безопасность — это не набор технологий, а управляемый бизнес-процесс, что требует внедрения комплекс��ой системы менеджмента. Экономическая целесообразность инвестиций в ИБ определяется методами оценки рисков и потенциального ущерба.

Внедрение СМИБ по стандарту ГОСТ Р ИСО/МЭК 27001

Система менеджмента информационной безопасности (СМИБ) — это совокупность политик, процессов, процедур, организационных структур и программных/аппаратных средств, разработанная для управления рисками ИБ.

В России основой для построения и сертификации СМИБ служит ГОСТ Р ИСО/МЭК 27001, аутентичный международному стандарту ISO/IEC 27001.

Структура стандарта базируется на цикле PDCA (Plan-Do-Check-Act):

1. Планирование (Plan): Определение области применения СМИБ, оценка рисков, разработка Политики ИБ.
2. Выполнение (Do): Внедрение и эксплуатация средств контроля, управление ресурсами.
3. Проверка (Check): Мониторинг, измерение производительности СМИБ, внутренние аудиты.
4. Действие (Act): Улучшение СМИБ на основе результатов проверки и аудитов.

Внедрение СМИБ позволяет гармонизировать управление ИБ с общими процессами менеджмента (например, ISO 9001), обеспечивая непрерывность и совершенствование системы защиты.

Оценка экономических потерь и рисков ИБ

Для обоснования инвестиций в ИБ необходимо провести финансовую оценку потенциального ущерба. Потери от инцидентов ИБ делятся на:

• Прямые потери: Непосредственные затраты на устранение последствий (привлечение внешних экспертов, восстановление данных, оплата штрафов по ФЗ № 152, выкуп у Ransomware).
• Косвенные потери: Ущерб, который сложно измерить напрямую (потеря репутации, отток клиентов, потеря конкурентных преимуществ, судебные издержки).

Одним из наиболее распространенных количественных методов оценки рисков является расчет Ожидаемых среднегодовых потерь (Annualized Loss Expectancy, ALE). Этот метод позволяет перевести риски в финансовые показатели, что критически важно для принятия управленческих решений.

Формула расчета ALE:

ALE = SLE × ARO

Где:

• ALE — Ожидаемые среднегодовые потери.
• ARO (Annualized Rate of Occurrence) — Годовая частота возникновения инцидента (ожидаемое количество инцидентов в год).
• SLE (Single Loss Expectancy) — Однократные ожидаемые потери.

SLE, в свою очередь, рассчитывается с учетом ценности актива и степени его уязвимости:

SLE = AV × EF

Где:

• AV (Asset Value) — Ценность актива (например, стоимость базы данных или информационной системы).
• EF (Exposure Factor) — Фактор уязвимости (процент ущерба, который будет нанесен активу в случае реализации угрозы; 0 ≤ EF ≤ 1).

Пример применения формулы:

Предположим, ценность базы данных клиентов (AV) составляет 10 000 000 рублей. Оценка показывает, что в случае успешной атаки программы-вымогателя ущерб составит 60% (EF = 0.6). Статистика за последние годы показывает, что такой инцидент возникает в среднем раз в два года (ARO = 0.5).

1. Расчет SLE:
   SLE = 10 000 000 руб. × 0.6 = 6 000 000 руб.
2. Расчет ALE:
   ALE = 6 000 000 руб. × 0.5 = 3 000 000 руб.

Таким образом, ожидаемые среднегодовые потери от данной угрозы составляют 3 000 000 рублей, что является экономическим обоснованием для инвестиций в СЗИ, предотвращающие данную атаку.

Концепция недопустимых событий

В 2025 году особую актуальность приобретает концепция обеспечения непрерывности операционной деятельности, центральным элементом которой является определение недопустимых событий.

Согласно «Методическим рекомендациям по формированию перечня недопустимых событий…», утвержденным Минцифры России, под недопустимым событием понимается такое событие, которое делает невозможным достижение стратегических целей компании или приводит к значительному нарушению ее основной деятельности.

Переход к управлению на основе недопустимых событий означает, что фокус ИБ смещается с защиты всех активов на защиту критически важных бизнес-процессов. Например, для банка недопустимым событием может стать полная остановка расчетов на срок более 4 часов, а для промышленного предприятия — несанкционированная остановка технологического конвейера, ведущая к многомиллионным убыткам. Эта концепция позволяет высшему руководству четко определить приоритеты инвестирования в ИБ.

Заключение

Информационная безопасность в условиях тотальной цифровизации является неотъемлемой частью экономической безопасности и стратегического управления любой организации. Данный академический анализ подтвердил, что эффективная защита информационных систем строится на трех взаимосвязанных столпах:

1. Правовая строгость: Неукоснительное соблюдение актуального и динамично меняющегося законодательства РФ (ФЗ № 149, 152, 187, Приказы ФСТЭК), регулирующего защиту ПДн, ГИС и КИИ.
2. Технологическая эшелонированность: Применение концепции Defense in Depth и комплексных СЗИ (NGFW, DLP, SIEM) для нейтрализации современных, высокотехнологичных угроз, таких как целевые Ransomware-атаки, APT-группировки и массовые фишинговые кампании.
3. Системный менеджмент и экономическое обоснование: Внедрение СМИБ на основе ГОСТ Р ИСО/МЭК 27001 и использование количественных методов оценки рисков (формула ALE) для обоснования инвестиций. Актуальное введение концепции недопустимых событий позволяет руководству сфокусировать усилия и ресурсы на защите наиболее критичных для бизнеса функций.

Только интеграция этих трех компонентов позволяет обеспечить устойчивость информационных систем и минимизировать финансовые потери от киберугроз, трансформируя ИБ из центра затрат в ключевой фактор обеспечения непрерывности и конкурентоспособности.

Список использованной литературы

1. Балдин К. В., Уткин В. Б. Информационные системы в экономике: Учебник. 5-е изд. Москва: Дашков и К0, 2008. 395 с.
2. Информационные системы в экономике: Учебник / под ред. Г.А. Титоренко. 2-е изд., перераб. и доп. Москва: ЮНИТИ-ДАНА, 2008. 463 с.
3. Карминский A.M., Черников Б.В. Информационные системы в экономике: В 2-х ч. Ч. 1. Методология создания: Учеб. пособие. Москва: Финансы и статистика, 2006. 336 с.
4. Уткин В. Б. Основы автоматизации профессиональной деятельности. Москва: РДЛ, 2001.
5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ // КонсультантПлюс. URL: http://www.consultant.ru/ (дата обращения: 23.10.2025).
6. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. URL: https://vashdom.ru/ (дата обращения: 23.10.2025).
7. ГОСТ Р 59505-2021 Измерение, управление и автоматизация промышлен // stroyinf.ru. URL: https://stroyinf.ru/ (дата обращения: 23.10.2025).
8. ISO/IEC 27001:2022 (ГОСТ Р ИСО МЭК 27001-2021) — Системы менеджмента информационной безопасности // Альфа Регистр. URL: https://alfaregister.ru/ (дата обращения: 23.10.2025).
9. ГОСТ Р 53113.1— ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ // УрФУ. URL: https://urfu.ru/ (дата обращения: 23.10.2025).
10. Актуальные киберугрозы: IV квартал 2024 года — I квартал 2025 года // Positive Technologies. URL: https://ptsecurity.com/ (дата обращения: 23.10.2025).
11. Разведение угроз: с какими кибератаками столкнулись российские компании в 2023 году // Forbes.ru. URL: https://forbes.ru/ (дата обращения: 23.10.2025).
12. Оценка ущерба от нарушения информационной безопасности (ИБ) // Audit-ib. URL: https://audit-ib.ru/ (дата обращения: 23.10.2025).
13. Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию // VK Cloud. URL: https://vk.com/ (дата обращения: 23.10.2025).
14. Нормативные документы определяющие требования по обработке и защите персональных данных // Институт мониторинга и оценки информационной безопасности. URL: https://imoib.ru/ (дата обращения: 23.10.2025).
15. КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // ЭЛВИС-ПЛЮС. URL: https://elvis.ru/ (дата обращения: 23.10.2025).
16. Межсетевой экран для организаций: виды инструментов для бизнеса разного масштаба // Ростелеком-Солар. URL: https://rt-solar.ru/ (дата обращения: 23.10.2025).
17. Как работают системы ИБ: обзор для начинающих безопасников // Habr. URL: https://habr.com/ (дата обращения: 23.10.2025).
18. Что такое средства защиты сети? // Trend Micro (RU). URL: https://trendmicro.com/ (дата обращения: 23.10.2025).
19. НПА в области защиты информации // admin-smolensk.ru. URL: https://admin-smolensk.ru/ (дата обращения: 23.10.2025).
20. Методика оценки угроз безопасности информации ФСТЭК России // ussc.ru. URL: https://ussc.ru/ (дата обращения: 23.10.2025).
21. SIEM-системы: Современный инструмент для управления кибербезопасностью // sprutmonitor.ru. URL: https://sprutmonitor.ru/ (дата обращения: 23.10.2025).
22. Вебинар: Персональные данные и информационная безопасность. Новые требования и штрафы с 30.05.2025 // youtube.com (дата обращения: 23.10.2025).
23. Какие документы регулируют изменения в составе комиссии по КИИ // Zdrav.ru. URL: https://zdrav.ru/ (дата обращения: 23.10.2025).
24. Основные нормативно-правовые документы в области защиты информации // cap.ru. URL: https://cap.ru/ (дата обращения: 23.10.2025).
25. Василий Часовской, Почта России: Для каждого изменения в ИТ-инфраструктуре должны автоматически проверяться ИБ-требования // CNews. URL: https://cnews.ru/ (дата обращения: 23.10.2025).