Защита КИИ - Форум по вопросам информационной безопасности

: http://lib.itsec.ru/forum.php?sub=16200&from=0

К списку тем | Добавить сообщение


Автор: Dfg | 83035 03.12.2017 07:59
*ФСТЭК вынесла на общественное обсуждение проект приказа «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

http://regulation.gov.ru/projects#npa=75863
***

На мой взгляд толковый документ. Отмечу следующие плюсы.
+Не стали душить обязательной сертификацией СЗИ. При этом разъяснено как оценивать СЗИ в форме приемки и ввода в эксплуатацию (ПДнщикам с 3 уровнем защищенности на заметку ;)

+Указанно про возможность использования встроенных в систему внутренних средств безопасности.

+Указано про возможность включения документации по защите КИИ в состав общих документов защиты ИС Предприятия в целом п23. (действительно практические требования ИБ зачастую одинаковые)

Посмотрим что утвердят в итоге :)

Автор: oko | 83037 03.12.2017 13:33
*в сторону* лучше бы они на других Требованиях сконцентировались. Серьезно по ФСТЭК ударила ГосСОПКА, ничего не скажешь...

to Dfg
imho, не разъяснено, увы, относительно обязательной сертификации ничего. Если в КИИ обрабатывается ИОД, охраняемая законом (любым) РФ, то нужны сертификаты на СЗИ. В противном случае, не нужны. И что-то мне подсказывает, что таких КИИ будет не так много (вернее, регулятор однозначно найдет, что в таких КИИ также имеется охраняемая законом ИОД)...
Если, положим, такой ИОД в КИИ нет, то в Требованиях вопросы приемки существующих СЗИ без сертификата не раскрыты. Очевидно, надо ждать какой-нибудь методики. В противном случае, рискуем попасть на кучу контор-лицензиатов, которые будут выдавать положительные Заключения о приемке (того же avast!, ага) по криво разработанным ПиМ за определенную сумму рублей...
Фразу про встроенные СЗИ можно истолковать как реверанс в сторону тех же ОС в защищенном исполнении, для которых уже разработаны сертификационные профили, ага :)
А вот отсутствие явно указанного перечня документов, базового набора, так сказать, при описании СЗИ КИИ, это явный косяк. К сожалению, большинство исполнителей в стране любит пользоваться принципом "разрешено (не требуется) все, что не запрещено (не указано) явно". Поэтому текущий вид новых Требований, imho, может спровоцировать их на описание какой-нибудь распределенной КИИ на рулоне туалетной бумаги с подзаголовками: "технический уровень", "организационный уровень", "модель угроз", "приемка СЗИ" и т.п. Бессмысленно и беспощадно...

ЗЫ Поглядим, что будет в итоге. Радует одно - документ пока не испытывает избыточный вес и внутреннюю противоречивость, все вроде бы логично и стройно, но немного сыровато...

Автор: Dfg | 83041 03.12.2017 15:05
To oko
*В противном случае, не нужны. И что-то мне подсказывает, что таких КИИ будет не так много (вернее, регулятор однозначно найдет, что в таких КИИ также имеется охраняемая законом ИОД).*

Ну вот например система управления электростанцией. Какая там ИОД. Как правило нет.

*Требованиях вопросы приемки существующих СЗИ без сертификата не раскрыты. Очевидно, надо ждать какой-нибудь методики. В противном случае, рискуем попасть на кучу контор-лицензиатов, которые будут выдавать положительные Заключения о приемке (того же avast!, ага) по криво разработанным ПиМ за определенную сумму рублей...*

Не вижу тут трагедии. Такие писульки конторки рисуют и для ИОД не ГТ.
Тут посыл для КИИ принципиально озаботиться защитой, и при этом дают свободу маневра. А кто не хочет заниматься ИБ, тот и не будет этого делать, закрывшись только бумажками.

Остальные подробности расписаны давно в 31 приказе. Странно что в проекте не ссылаются на него.

Автор: oko | 83043 03.12.2017 16:52
to Dfg
<Остальные подробности расписаны давно в 31 приказе. Странно что в проекте не ссылаются на него> - вот да, +1...

<Не вижу тут трагедии. Такие писульки конторки рисуют и для ИОД не ГТ.> - ну, по-идее, каждый новый документ/требование/норма регулятора должен учитывать опыт внедрения предыдущих. Конечно, защиты от дурака и подлеца принципиально не существует. Но, imho, минимизировать (риски, ага) кривотолки нормотворец обязан...

<Ну вот например система управления электростанцией. Какая там ИОД> - ИОД-то есть, потому что все, что не является ИОД, является по-умолчанию общедоступным. Т.е. протоколы, потоки технологической информации и проч. тогда стоит выкладывать в общий доступ (равно как и средства их управления, ага). Тут, на мой взгляд, все опять упирается в пресловутую "служебную тайну". Коммерческой такая ИОД быть не всегда может, ибо не всегда коммерсы владеет той же электростанцией в полной мере. А вот "служебка" (как ИОД, с которой ознакомлен персонал по факту своей работы/службы)... и подвиды ее (ту же технологическую инфу, места подключений, допустимые мощности до перегрузки, "слабые узлы" и проч. - в примере электростанции)... давно пора в законе расписать и утвердить. Тогда и проблем сразу станет меньше...
И потом, если бы не было ИОД, не было бы необходимости писать про КИИ. Да, в первую голову "доступность" и "целостность", а во вторую - "конфиденциальность". Но это никак не отменяет факта самой ИОД...

Автор: WORM, MK | 83045 03.12.2017 17:44
Все смешалось в доме Облонских.....
Похоже, многие ГИС превратятся еще и в объекты КИИ.
Плюс вступивший позавчера в силу Приказ №31-дсп (не путать просто с 31-м!). А он устанавливает обязательность аттестации ИС управления производством ОПК. А это, опять же КИИ. И по какому приказу (и закону) их защищать??
А если в КИИ-ГИС еще и персональные данные....

Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички...

Автор: GVBH | 83053 04.12.2017 10:54
to WORM,
Дату приказа не подскажете?

Автор: WORM, MK | 83059 04.12.2017 13:23
от 28.02.2017 г.
В открытом доступе пока мало. Тут, например, Д. Шевцов обмолвился:
http://www.oborona.ru/includes/periodics/pressrelease/2017/0626/110520925/detail.shtml

Ну, и Лукацкий что-то у себя писал весной...

Автор: Dfg | 83097 06.12.2017 10:33
To oko
***И потом, если бы не было ИОД, не было бы необходимости писать про КИИ. Да, в первую голову "доступность" и "целостность", а во вторую - "конфиденциальность". Но это никак не отменяет факта самой ИОД...***

Вот именно, что КИИ может и не иметь собственно информации, это АСУТП представляющая собой потоки управления. Доступность и целостность.

Схемы Асутп пожалуйста - храним на аттестованном арм. Саму асутп защишаем исходя из технической возможности, опираясь на штатные механизмы зашиты.
Вы при всем желании не засунете на управляющий асутп контролер лохматого года под управлением *nix какой нибудь SecretNet

***ИОД-то есть, потому что все, что не является ИОД, является по-умолчанию общедоступным. Т.е. протоколы, потоки технологической информации и проч. тогда стоит выкладывать в общий доступ (равно как и средства их управления, ага).***

Как то попадалась документация к одной системе, которая звучала так. "Информационная система для обработки открытой информации, не подлежащей свободному распостранению" и перечень внутренних мер защиты . :)
Если не может быть КТ, то могут быть применены внутренние отраслевые требования. Другое дело, что по закону за разглашение, тогда привлечь работника может быть труднее, даже если под роспись об ознакомлении допускать.

Автор: oko | 83098 06.12.2017 11:39
to Dfg
Доступность и целостность, да. И если не нравится аббревиатура "ИОД", можно заменить ее на "защищаемую информацию" - суть дела не меняется...
А про "открытую информацию, не подлежащую свободному распространению"... В КИИ заранее сложно сказать (без многораундовой оценки), какая информация о структуре, потоках и проч. будет угрожать КИИ при ее раскрытии третьим лицам (это если мы говорим о чисто технологических системах). Поэтому, есть допуск у сотрудника - ознакомлен, обязан хранить в "условном секрете" от других. Нет допуска - гуляй. Вот вам и ИОД. А если совсем на конфиденциальность положить, можно и обжечься потом (о трубу, в которой по канонам должна течь холодная вода, а из-за злобных хацкеров теперь течет кипяток, ага)...
КИИ = некая совокупность ИС, АСУТП и проч. АС, применяемых для обеспечения нужд населения в широком масштабе. Нарушение одного или нескольких свойств Триады в такой "совокупной ИС" может причинить вред населению страны или субъекту Федерации / всей стране в целом в какой-либо сфере. Размыто, конечно, но интуитивно понятно, о каких объектах идет речь. И главное отличие КИИ от АСУТП - это одна из точек входа - из внешних сетей связи. Аля АСУТП + управляющая ИС + доступность из той же ИТКС "Интернет". Чтобы УБИ и потенциальных нарушителей было по-больше, а вариаций системы защиты по-меньше, ага :)

Прошло несколько недель

Автор: Dfg | 84261 29.12.2017 23:24
Ещё один проект.

Если первый был "О создании", то тут "Об обеспечении"

http://regulation.gov.ru/projects#npa=76118

Ну тут уж все по хардкору, свобода выбора сзи "в создании", задушена на корню п.23. Об обеспечении.

Звучит так, что пожалуйста используйте встроенные средства ИБ, но чтобы класс такой то, да ещё с проверкой на НДВ.
В итоге вся встройка оказывается не легитимна.

Автор: oko | 84262 30.12.2017 01:02
to Dfg
Не все так плохо... Зато есть вот это:
1. "Если принятые в значимом объекте меры по обеспечению ... безопасности ... достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры ... могут не применяться" Конечно, надо обосновать. Зато теперь будет контраргумент на "Вот этот пункт обязателен, а вы его не реализовали - не порядок!"...
2. п. 29, если его оставят в текущей форме, вообще странный. Чувствуется рука автора новых Требований ГТ, ага (п. 1 - ВСЕГДА НЕЛЬЗЯ! п. 2 - Если ооочень надо, то можно... п. 3 В принципе, не возбраняется...) Но опять-таки, место для маневра есть. + не написано черным по русскому, в какой системе сертификации (МО, ФСТЭК, ФСБ и т.д.). Так что живем, как говорится...
3. Ой как порадовал запрет удаленного доступа НЕсотрудников к средствам управления ИС (АС, КИИ, как хотите). Наконец отпадет идиотия типа "А у нас СПО **** админит такая-то контора через TeamViewer, поэтому нам надо!"
4. ТКУИ. С одной стороны, хорошо, что нет обязаловки. С другой стороны... хорошо, что хотя бы явно это указали...
5. ДМЗ!
6. Обучение персонала! Ну наконец фраза "квалификация персонала в целом соответствует..." перестанет быть пустым звуком (надеюсь, ага)...

ЗЫ На днях перечитаю, многое наверняка не увидел. Но положительное впечатление, imho...

Автор: Dfg | 84268 30.12.2017 08:57
Им надо было добавить слово " --в случае-- использования серт. Сзи, применять что-то" как в 31 приказе. ( который будет заменен на этот якобы).

Иначе будет отличный повод для перегибов на местах, "ах у вас регламентирован доступ к оборудованию через встроенную аутентификацию, а вот пунктик говорит что класс такой то должен быть, покажи бумажку. А что по ндв. А ну как производитель внедрил метод обхода какой."

В одной части документа заложена гибкость, а в другой тут-же дают по рукам жесткими формулировками.

2. По мерам вопросов нет. Очень хорошо и понятно прописанны. Лучше чем в 21 и 17 приказах. Сам документ тоже достаточно ясный. Без мозголомных вывертов и растеканий по древу ( как в 358 приказе например )

Прошла пара месяцев

Автор: Dfg | 90245 24.03.2018 08:58
Слушал тут выступления ФСТЭК на одной из конференций.
Нас ждут великие дела. КИИ теперь в тренде и во главе угла.

1.ФСТЭК утвердил все проекты уже в виде приказов.

Приказ ФСТЭК России от 21 декабря 2017 г. No 235 «Об утверждении Требований к
созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»

Приказ ФСТЭК России от 25 декабря 2017 г. No 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

2. Всем субьектам КИИ (включая комерсов) нужно прокатегорировать свои ИС и направить во ФСТЭК. Включая объекты которые не значимые по вашему мнению. (Т.к по последним ФСТЭК может не согласиться)

Форма отправки есть
ФСТЭК России ПРИКАЗ от 22 декабря 2017 г. No 236 Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

3. Ко всем ИС помимо требований 17,21,31 приказов, нужно будет применять приказ 239. Это будет основной боевой приказ ИБ-шников на ближайшие годы. ФСТЭК выпустит разъяснения по порядку и приоритетам применения приказов.

4. Теперь ФСТЭК будет проводить проверки субъектов КИИ. Если раньше комерсы ИСПДН-щики соскакивали с требований ФСТЭК, мол все равно у них нет полномочий проверять. То теперь если ИСПД при этом КИИ, к вам придут. Причем внезапно)

Порядок проверки тут
http://rulaws.ru/goverment/Postanovlenie-Pravitelstva-RF-ot-17.02.2018-N-162/

Автор: Тихий | 90449 28.03.2018 14:59
Всем заинтересованным безопасностью КИИ: опубликован приказ ФСТЭК от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов КИИ"
http://publication.pravo.gov.ru/Document/View/0001201803270041

Автор: Dfg | 90457 29.03.2018 07:21
Хорошо, что вернули гибкость в выборе СЗИ.

Хорошие обзоры документов у Лукацкого, в том числе скрины презентации Е.С.Торбенко.

http://lukatsky.blogspot.ru/2018/02/blog-post_20.html?m=1
http://lukatsky.blogspot.ru/2018/02/blog-post_9.html?m=1

Автор: Константин | 90459 29.03.2018 10:15
А вот информационную систему в сфере закупок можно отнести к объекту КИИ?!

из определения субъекта КИИ не понятно..

Иные сферы финансового рынка можно подтянуть до системы госзакупок?

Автор: malotavr | 90476 29.03.2018 23:04
"Сферы финансового рынка" - это все, что относится к ведению ЦБ: банки, кредитные организации, микрокредитные организации, платежные системы, биржи, страховые компании, коллекторские агентства. Все, список исчерпывающий. Госзакупки - это фера государственного управления, она к финансовым рынкам никакого отношения не имеет.

Автор: malotavr | 90477 29.03.2018 23:17
> 4. Теперь ФСТЭК будет проводить проверки субъектов КИИ. Если раньше комерсы ИСПДН-щики соскакивали с требований ФСТЭК, мол все равно у них нет полномочий проверять. То теперь если ИСПД при этом КИИ, к вам придут. Причем внезапно)

Этот тезис вы поняли неверно. Согласно ФЗ предметом регулирования ФСТЭК являются только значимые объекты КИИ, а одним из необходимых условий для плановой проверки является факт внесения сведений об информационной системе в реестр значимых объектов КИИ. Придут только к тем, кто а) проведет категорирование и б) по результатам категорирования присвоит хотя бы одной ИС категорию значимости. Причем предметом проверки будут только значимые объекты. Я вас уверяю, 99% коммерсов тупо не собираются проводить категорирование (наказания за это пока нет), а оставшийся 1% дружно решит, что к их ИС ни один из критериев категорирования не подходит.

Со вторым еще можно бороться на стадии согласования результатов категорирования. С "молчунами" ФСТЭК теоретически тоже может бороться (у службы есть право потребовать провести категорирование, но по факту для этого нужно, чтобы или в уставе организации был прописан определенный код ОКВЭД, или была лицензия, соответствующая одной из упомянутых в ФЗ сфер. Вот только будут ли у ФСТЭК ресурсы для работы с "молчунами" - большой вопрос. Лютиков на эту тему высказывается очень осторожно.

Автор: Кирк | 90640 02.04.2018 13:32
Насколько я помню при организации государственного контроля (надзора) в соответствие с федеральным законом от 26.12.2008 N 294-ФЗ должен применяться риск-ориентированный подход. Этот подход позволяет регулятору предварительно оценить позиции значимых "молчунов" и при необходимости проверить все что требуется.

Автор: Константин | 90641 02.04.2018 13:34
2 malotavr
Спасибо!

Прошла пара недель

Автор: Игорь, КрасКом | 91290 17.04.2018 12:25
Не понятно подадают ли под действие закона 187-ФЗ предприятия ЖКХ (водоснабжение, водоотведение)

Автор: malotavr | 91293 17.04.2018 13:09
Понятно. Не подпадают :)
Законодатели забыли внести в перечень сфер жизнеобеспечение, сейчас это признают. Со временем исправят, но не в ближайшее время

Прошло несколько месяцев

Автор: Russo, RTR | 100089 16.08.2018 16:01
Господа, добрый день! Кто-нибудь сможет разъяснить какую роль в процессе регулирования и контроля играет комитет экономического развития и инвестиционной деятельности региональной администрации? Организация получила уведомление о необходимости соблюсти все требования ФСТЭК в части обеспечения безопасности КИИ (расписаны необходимые мероприятия со сроками), с просьбой направить в указанные сроки информацию о выполнении данных требований! Какое отношение указанный орган имеет к контролю выполнения требований 187-фз?

Автор: oko | 100101 16.08.2018 17:42
to Russo
А не лучше ли этот вопрос задать представителям самого комитета? Или заглянуть в их "уставные" документы?
Или ваш вопрос в том, что из оного комитета в некую организацию пришли требования и предписания? Тогда надо связываться опять-таки с комитетом и узнавать все из первых уст. Модуль экстрасенсорики подсказывает, что имеет место "нагиб" комитета по линии КИИ, а они уже "нагибают" свои подведомственные учреждения. В таком ракурсе, им стоит напомнить, что рыба *вырезано* гниет */вырезано* управляется головой, а не плавниками, ага...

Автор: GVBH | 100437 20.08.2018 11:21
2 Russo

Есть еще вариант...
До выхода 187-фз какие-то инф. системы региона были занесены в реестр как КСИИ. Управление ФСТЭК по федеральному округу могло мягко спросить на счет выполнения требований НПА в отношении этих систем.

Автор: Гость | 100571 22.08.2018 16:41
Коллеги!
Возможно или нет детализировать качественные характеристики "степени возможного ущерба" для ГИС (Приложение №1 к Требованиям, утвержденным приказом ФСТЭК России от 11.02.2013 №17) количественными характеристиками "показателей критериев значимости" объектов КИИ (Перечень, утверждённый ППРФ от 8/02.2018 №127)?

Если "Да", то получается, что на основании ошибочно определенной степени возможного ущерба, могли быть установлены завышенные требования по защите информации. Соответственно закуплено больше нужного средств защиты информации, введены новые должности и т.п., т.е. возник вполне реальный материальный ущерб, а причиной ущерба получается является необоснованные требования полномочного федерального органа исполнительной власти.

Автор: oko | 100576 22.08.2018 19:31
to Гость
Красиво-волшебно...
Только, primo, "возможный ущерб" рассматривается от УБИ, реализуемых для ГИС. Никто в здравом уме не станет писать (и принимать, а потом доказывать в суде, ага) ОГВ или ФОИВ (тем более) в качестве источника УБИ...
Secundo, показатель критерия значимости для конкретной ГИС/КИИ ФОИВ установил? Или вы на ФСТЭК намекаете? Так ФСТЭК по конкретным объектам ничего не устанавлиает - владельцы объектов сами должны, что в случае с ГИС, что для КИИ. И, если владелец перестраховался или ошибся и вложился "больше положенного", то понесенный "ущерб" от избытка - это всецело вина владельца ГИС/КИИ, а не кого-то другого...

ЗЫ А так... понятия критериев значимости и степеней ущерба настолько размытые, что можно, в принципе, мешать одно с другим и в общий котел. Один черт, если надо, то те, кому следует, объяснят тем, кому положено то, что надобно переработать, когда и к чему применительно, ага...

Автор: Гость | 100577 22.08.2018 20:01
oko | 100576
>Красиво-волшебно...

Красиво-волшебный развод:
- ГИС;
- АСУ ТП;
- ГИС;
- ИСПДн...

А если оценить совокупный ущерб для государства, исходя из затрат заказчиков и владельцев?
Или оценить прибыль аффелированных лиц и должностных лиц, лоббирующих принятие соответствующих правовых актов?

"Это какие-то неправильные пчелы..."
Может быть истоки коррупции-то не том, что кем-то кому-то передана "инкогнито" нн-ая сумма, а в неправильной разработке конкретных процессов лицами, не являющимися специалистами в предметной области?
К примеру, специалисты ФСТЭК России, как правило, не ориентированы на защиту информации, доступ к которой ограничен федеральными законами (за исключением гостайны):
Это и техническая защита сведений о технологиях, в отношении которых установлен экспортный контроль; это и РИДы, права на которые принадлежат РФ; это и сведения об изобретениях; это и информация, конфиденциальность которой должна обеспечиваться согласно договору и много ещё чего...

Автор: oko | 100586 22.08.2018 23:01
*в сторону* Тов. Нефедьев, разлогинтесь...

to Гость
Идеи правильные. Но реализация любых правильных (как показывает историческая практика) идей у нас всегда через ж*. Зато "напильник" с течением времени используем умело, если замотивированы. Так что думайте над мотивацией, если хотите что-то изменить, а не над первопричинами. Оно, конечно, нихрена не по заветам мудрости "болезнь лучше предупреждать, чем лечить". Но, с другой стороны, ubi nil vales ibi nil velis, потому что альтернативный революционный путь весьма кровав и жесток, знаете ли...
Если же вы не согласны с реализацией однозначно, то есть еще одна мудрость: в своем огороде и пугало царь (особенно для тупых ворон, ага). Так что исполняйте требования так, чтобы и де юре было красиво, и де факто не страдало...
И да, если вы принципиально не понимаете, зачем вообще заниматься защитой ПДн, госИОД, техпроцессов производства и критических объектов - милости прошу в другие ветки форума. В Агасофию, например, а то там в последнее время скучно совсем...

Автор: Гость | 100590 23.08.2018 07:59
oko | 100586
*в сторону* Тов. Нефедьев, разлогинтесь...

Благодарю за приятную для меня сравнительную оценку.
Не скрою, что внимательно наблюдаю за обменом репликами между Нефедьевым С.Г. и оkо.

WORM, MK | 83045
Все смешалось в доме Облонских.....
Похоже, многие ГИС превратятся еще и в объекты КИИ.
Плюс вступивший позавчера в силу Приказ №31-дсп (не путать просто с 31-м!). А он устанавливает обязательность аттестации ИС управления производством ОПК. А это, опять же КИИ. И по какому приказу (и закону) их защищать??
А если в КИИ-ГИС еще и персональные данные....

Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички...

WORM, Нефедьев, Атаманов, Гость...
Это только те, кто высказался...
Сколько предпочитающих не высказываться, неся крест "царя-пугала в своём огороде" "осталось за кадром".

Теперь по существу.
К примеру, Заказчику нужно определить требования по защите информации в АСУ по 17-му приказу.
Заказчиком определено, что "степень возможного ущерба может быть:
высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции".

Как аудитору подтвердить, перепроверить правильность субъективной оценки Заказчика о "существенных негативных последствиях"? Каков масштаб последствий? Чья деятельность оценивается: государства, субъекта РФ, органа власти, организации?
Для ответа на эти вопросы как раз и предлагается использовать количественные характеристики "показателей критериев значимости" объектов КИИ.

С другой стороны "умиляю" красиво-волшебные показатели типа "более или равно 1, но менее или равно 50". А если не 50, а 51? А по каким методикам определить например цифровой показатель "причинения ущерба жизни и здоровью людей (человек)"?

Красиво - на бумаге...


Автор: oko | 100612 23.08.2018 12:53
to Гость
<Благодарю за приятную для меня сравнительную оценку> - ох, японский ж бог...

<Уж чего-чего, а приказы регулятор писать умеет. Не то, что методички...> - не в бровь, а в глаз. Но сути дела это не меняет...

<...Заказчику нужно определить требования по защите информации в АСУ по 17-му приказу...> - зачем к АСУ ТП приплетать требования ГИС? Это государственный станок с ЧПУ (эта фраза не оставляла мне выбора, ага)? Или технологическая информация, обрабатываемая в данной системе, имеет отношение к ИОД-ОГВ/МУ? От этого надо плясать (goto Metka)...

<Заказчиком определено, что "степень возможного ущерба может быть:
высокой...> - молодец, заказчик (надеюсь, имеется в виду "владелец ИС"/"владелец ИОД". В целом, имеет полное право. Только есть один нюанс (goto Metka)...

<Как аудитору подтвердить, перепроверить правильность субъективной оценки Заказчика о "существенных негативных последствиях"?> - логикой, мать ее. А если не выходит логикой, то есть такая классная штука, как тестовые испытания. Желательно, на стенде, конечно. А масштаб и тип деятельности Заказчик должен был указать для своей ИС (конкретно, без размытых фраз), по которым аудитор осуществляет проверку. В чем проблема-то?

<красиво-волшебные показатели типа "более или равно 1, но менее или равно 50". А если не 50, а 51?> - это вы откуда взяли? Ежели из моих сообщений на форуме, то, primo, это пример, и secundo, см. контекст...

<по каким методикам определить например цифровой показатель "причинения ущерба жизни и здоровью людей (человек)"?> - а по каким методикам в соответствии с ст. 111 УК РФ оцениваются "тяжкие телесные", а? Или на этом моменте начнется классическое "вот поэтому у нас суды/эксперты/полиция/правительство/дворники/etc. так и работают - разворовали всю страну, ко-ко-ко..."?

Автор: oko | 100613 23.08.2018 13:13
to Гость
METKA:
Еще раз для тех, кто в танке, либо прикидывается...
1) В любой ИС или АС мы защищаем ИОД, на ней фокусируемся. При этом к ИОД могут относиться как конечные сведения по перечням (на уровне ФЗ, на уровне частных решений и проч.), так и доп. информация, касающаяся данной ИС (АС) или ее организации-владельца.
2) В ИСПДн мы защищаем ИОД = ПДн в э/в представления. Своих ли сотрудников, чужих ли - ФЗ и проч. Важно: ИС может предоставлять услуги внешним пользователям (т.е. не сотрудникам оператора, а, например, физ.лицам). Последствия - для юзеров ИС и для организации-владельца (оператора) ИС. Масштаб - по охвату юзеров, ага...
3) В ГИС мы защищаем ИОД = гос-не-ГТ в э/в представления. Важно: ИС может предоставлять услуги внешним пользователям (т.е. не сотрудникам оператора, а, например, физ.лицам), но тогда такая ИОД может лишиться параметра "К", и, следовательно, защита должна сосредоточиться на параметрах "Ц" и "Д". Последствия - для юзеров ИС и для государства (его "представителей"). Масштаб - по охвату юзеров, ага...
4) АСУ ТП уже не ИС! В АСУ ТП мы защищаем сам техпроцесс, т.е. информационные потоки производственного характера на уровне "ТС-ТС" и "ТС-управляющаяИС". В первую голову по параметрам "Д" и "Ц", "К" уже вторично (третично). Последствия - для организации-владельца, для эксплуатантов и заказчиков. Масштаб - по масштабам производства, ага...
5) КИИ уже не ИС! В КИИ мы защищаем уже не ИОД (ее там, в целом, нет), а более низкий уровень - уровень информационных связей, уровень предоставления "транспорта" для обмена информацией. И в масштабах РФ, а не отдельно взятой организации. И почему об этом все забывают? По последствиям, думаю, понятно от чего плясать...
6) ГТ/КТ - no comments, уже давно все разжевано...

ЗЫ Разумеется, на правах imho. Разумеется, меня тоже не радует, что ФЗ и проч. акты не смогли по такому же принципу доходчивое все это описать. Разумеется, нужен свой велосипед, поскольку ездить хочется. Но, как говорил один мой знакомый покойник - ты специалист? вот и разбирайся, и решай, а время покажет, кто, зачем и куда...

Автор: oko | 100614 23.08.2018 13:19
to Гость

Последнее...
Если вы считаете, что в вашем ведении имеется ИСПДн-которая ГИС-которая АСУ ТП-которая КИИ, то отойдите от стола, протрите глаза, проспитесь и посчитайте еще раз...
Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - вы завод по линии ГС ПВДНП, не иначе. Тогда вам к "другому регулятору", ага...
Для всего остального есть способ разделения контуров. Как по факту, так и на бумаге. Ключевые меры ЗИ выбираются по-максимуму, чтобы никому обидно не было. А меры ЗИ применительно к каждому контуру уже по факту ценности защищаемого ресурса (все в полном соответствии с методиками/приказами, ага)...

ЗЫ Если вы ничего из вышесказанного не понимаете или принципиально не желаете принять, то могу одолжить табельное и 1 патрон, ага...

Автор: Гость | 100625 23.08.2018 20:29
oko | 100612
<...Заказчику нужно определить требования по защите информации в АСУ по 17-му приказу...> - зачем к АСУ ТП приплетать требования ГИС?

«Дык эта тово этова», заказчику нужно определить требования к защите информации в ГИС по 17-му приказу, а не по 31-му. Однако за «наводку» благодарствуйте.

Ссылка в 31-м приказе что-то понемногу начинает прояснять:
«степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера <*> или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
<*> Устанавливается в соответствии с постановлением Правительства Российской Федерации от 21 мая 2007 г. N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2011, N 21, ст. 2971)».

oko | 100613
>5) КИИ уже не ИС!

«Шедеврально».
Согласно статьи 2 ФЗ от 26.07.2017 №187:
6) критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

>В КИИ мы защищаем уже не ИОД (ее там, в целом, нет)
Если объектом КИИ является АСУ ТП, то согласно 31-му приказу:
«В автоматизированной системе управления объектами защиты являются:
информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация)»;

Если «аудитор включит логику», то поймет, что это и будет ИОД, и если такая информация ИОД не будет, то за каким шутом её нужно защищать и применять требования 31-го приказа?

oko | 100614
>Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - ……… Тогда вам к "другому регулятору»

А давайте пошлем к «другому регулятору» мастеров нормотворческого жанра, заваривших эту неперевариваемую желудком кашу из методичек?

Автор: oko | 100626 23.08.2018 21:45
to Гость
Еще раз помедитируйте над разницей ИС в контексте защиты чистой ИОД по факту ключевого параметра "К", и над ИС, в которых ключевыми являются параметры "Д" и "Ц". Поймете и мои слова, и смысловую разницу в документах регулятора. Как минимум:
<иная критически важная (технологическая) информация> - это не ИОД в прямом смысле слова. Ее основными характеристиками являются "Д" и "Ц". Кому в голову придет, условно, секретить"протоколы обмена" аппаратуры (ну, кроме конторы-разработчика, только это уже в другую степь), отвечающей за обеспечение ядерного реактора? Security through obscurity не жизнеспособная позиция. Вот обеспечить их штатное использование и отсутствие посторонних "вкраплений" в режиме реального времени - главная задача. Как и в любой АСУ ТП. Как, в целом, в любой КИИ...
<...неперевариваемую желудком кашу из методичек...> + <Ссылка в 31-м приказе что-то понемногу начинает прояснять...> = судя по всему, любезнейший, вы эти методички и приказы сейчас впервые читать и начали. Рекомендую либо потратить время с пользой и изучить мат.базу, а потом уже лезть на форум со своим самоваром. Либо наконец проср*ся, раз уж желудок слабоват и не выдерживает. Только учтите, что полихеция - дело сугубо интимное, личное. И тут не общественный сортир (официальной вывески не наблюдал во всяком случае)...

Прошло несколько недель

Автор: Dfg | 102084 18.09.2018 16:49
После очередного рассмотрения 239 приказа , заметил (внезапно ), что контроль целостности требуется для всех категорий.
В порядке дискусси, опуская спец СЗИ (SN, DL), которые могут просто не взлететь на ОКИИ, или доставить больше проблем чем пользы . Какие будут предложения у коллег, по части интегрированных решений , контроля соответствия, а может даже компенсирующих мер.

Автор: oko | 102150 20.09.2018 11:18
to Dfg
Разрешено же юзать несертиф. СЗИ с проведением испытаний и доказательством их валидности. А дописать или "налепить поверх" для любого софта механизм КЦ на базе того же CRC32 не такая уж и сложна задача...

Автор: Dfg | 102160 20.09.2018 14:01
Вообще представляю, если систем сотни и тысячи, какой поток пойдёт изменений хэшей после очередного обновления. Самое интересное, что вот изменилась контрольная сумма у вот этой dll (одной из тысяч) , где взять столько человеко часов , чтобы анализировать какой вред несёт это изменение. Требование выпоним, а практическая польза где.

Автор: oko | 102170 20.09.2018 16:48
to Dfg
Не сгущайте краски. Акт: "бла-бла-бла необходимость обновления -> экспертная группа установила корректность обновления -> экспертная группа решила, что последствий по части защищенности объекта обновления не несут -> КС "источника" обновлений (для софта в целом, а не каждого файла, если вы не извращенец, конечно), рассчитанная таким-то способом, приведена ниже"...
<...где взять столько человеко часов , чтобы анализировать какой вред несёт это изменение...> - меж тем, самый главный вопрос. Достаточно 1 вредоносного/багнутого файла из сотни тысяч, чтобы "свалить" не только весь программный комплекс, но и, теоретически, всю систему защиты и/или операционную среду. Как быть? Думать, решать, моделировать, тестировать, оценивать необходимость (вложенные силы к возможным последствиям, ага) подобных действий изначально вообще и т.д. Т.е. заниматься обеспечением безопасности, а не ругаться на требования, ага...

Автор: Dfg | 102174 20.09.2018 20:08
Oko
"Достаточно 1 вредоносного/багнутого файла из сотни тысяч, чтобы "свалить" не только весь программный комплекс, но и, теоретически, всю систему защиты и/или операционную среду. Как быть? "
Явно не решать такие вещи контролем целостности, который просто забьет siem алертами и распылит силы аналитиков. Вредоносность сейчас определяется поведенческими моделями (mitre att&ck и прочими ).
Практический контроль целостности был бы полезен, если бы система была неизменяемая. Ну или как предлагают некоторые решения - готовые пополняемые базы хэшей легитимного ПО, врукопашную это не разгребешь.

"Акт: "бла-бла-бла необходимость обновления -> экспертная группа установила корректность обновления -> экспертная группа решила, что последствий по части защищенности объекта обновления не несут -> КС "источника" обновлений (для софта в целом, а не каждого файла, если вы не извращенец, конечно), рассчитанная таким-то способом, приведена ниже"...

Так категорично думаю не стоит писать, если это не комиссия матерых ресерчей.
Скорее имеет смысл прописать, что "обновления производить исключительно с офф. источников". А что там прилетает и как это повлияет на защищенность, никакая комиссия с наскоку не скажет , все основанной на доверии.

Автор: oko | 102180 20.09.2018 23:56
to Dfg
КЦ полезен для отслеживания изменений. Штатными или нештатными они были, несут ли вред или не несут - это вопрос другой степи. Комплексность же...
Хотя да, мы с вами говорим о разных системах принципиально. В целом, ФСТЭК тоже считает, что "защищенность = неизменности" (иначе не было бы такой возни с аттестацией и пунктами "льзя/нельзя", ага). Как это все приспособить в реальной жизни к "потоковым" ИС - тоже другой вопрос. Но компромисс возможен всегда - нужно лишь правильно расставить приоритеты. Например, условное "ядро" ИС меняется/обновляется редко, а "обвязка"... с ней правильнее всего взвесить риски и возможные УБИ (потенциальные атаки) и на основании этого уже решать, куда там прикручивать КЦ, а куда не нужно. И влияют ли УБИ "обвязки" на "ядро". И каковы последствия от нарушения К/Ц/Д для "обвязки", а каковы для "ядра". И т.д., и т.п., все по классике, ага...
Благо (и одновременно грех, но об этом не будем), требования и формулировки того же 239 Приказа (равно как и остальных КОНФИ-приказов) далеко не однозначные + многое решается в ЧМУ. Т.е. компромиссный люфт возможен при должном обосновании...

Прошла пара месяцев

Автор: Игорь | 105190 07.12.2018 12:01
Подниму тему.

Нужен совет знающих и уже имеющих опыт по составлению перечня объектов КИИ в поликлинике.

Ситуация така. Мы- учреждение здравоохранения, стоматология.
Соответственно деятельность - стоматологическая практика.
Из всех процессов определили, что критическими будут только оказание медицинских услуг.
Решаем выделить две системы в объекты КИИ. Это ИС для взаимодейсвия с ЕМИАС и автономный АРМ для обработки рентгеновских снимков.
Вопрос такой: правильно ли мы будем относить к объектам КИИ ИС для взаимодействия с ЕМИАС, т.к.это всего 10 АРМ, БД своей нет, все хранится в Минздраве, доступ осуществляется через веб-интерфейс. Все что делаем, это заносим сведения об оказанной медицинской помощи в электронную МК и ведем кадровый учет. Эта система у нас аттестованная и имеет подключение только к ЕМИАС через сеть Правительства Московской области, ни в ЛВС, ни в интернет доступа нет.
Может есть такие кто сталкивался с такой же проблемой?

Автор: oko | 105199 07.12.2018 16:04
to Игорь
В вашем случае к КИИ вообще ничего бы не относил. Особенно, если вы - частная контора, пусть и под Минздравом, ага...
КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак. Все остальное от лукавого. Сиречь, если ЕМИАС, primo, не ваша (т.е. это уже головная боль владельца ИС, а уж явно не филиала/абон.пункта) и, secundo, не имеет подключения к внешним ИТКС, включая Интернет (хотя тут бабушка надвое сказала - знаем мы эти правительственные сети "для смертных", ага), то и к КИИ она отношения не имеет...
Автономный АРМ рентгена тем паче...

Автор: malotavr | 105200 07.12.2018 16:24
Вашей коллеге в КИИшном чатике уже отвечают :)

Судя по описанному, у вас нет процессов, критических в смысле ПП127. Поэтому можете не считать свою систему объектом КИИ или считать его незначимым объектом КИИ. Результат одинаковый (от вас ничего не требуется), но во втором случае бумаг больше.

Автор: Гость | 105208 07.12.2018 20:31
"Гость | 100625
oko | 100614
>Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - ……… Тогда вам к "другому регулятору»

А давайте пошлем к «другому регулятору» мастеров нормотворческого жанра, заваривших эту неперевариваемую желудком кашу из методичек?

oko | 100626
Рекомендую либо потратить время с пользой и изучить мат.базу, а потом уже лезть на форум со своим самоваром. Либо наконец проср*ся, раз уж желудок слабоват и не выдерживает. Только учтите, что полихеция - дело сугубо интимное, личное. И тут не общественный сортир (официальной вывески не наблюдал во всяком случае)...

Игорь | 105190
Ситуация така. Мы- учреждение здравоохранения, стоматология.
Соответственно деятельность - стоматологическая практика.
Из всех процессов определили, что критическими будут только оказание медицинских услуг.

oko | 105199
КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак. Все остальное от лукавого.

:)))) «ЯПлакалъ»

Автор: oko | 105217 07.12.2018 23:58
to Гость
oko | 100613: <В КИИ мы защищаем уже не ИОД...И в масштабах РФ, а не отдельно взятой организации>
oko | 105199: <КИИ касаются ОИ в масштабах РФ (нанесение ущерба) + от компьютерных атак>
Увлекательная викторина "Найди 10 отличий", ага...

Ах да, не рвите цитаты из контекста - худо будет (предупреждал уже одного деятеля, и где он теперь?)
<Если у вас все-таки имеется ОИ, в котором ИСПДн, ГИС, АСУ ТП и КИИ перемешаны в одну кучу, то поздравляю - вы завод по линии ГС ПВДНП, не иначе. Тогда вам к "другому регулятору", ага...>
Хоть бы загуглили, что такое ПВДНП и подумали, зачем был упомянут "другой регулятор". Мимо бьете, товарищ. В который уже раз...

Автор: Нефедьев С.Г. | 105221 08.12.2018 10:54
> Гость | 105208
:)))) «ЯПлакалъ»


Хоть крестись, но кажется. что Гость "плакалъ" от театра абсурда, связанного с правоприменением закона о КИИ.

К слову,

КОММЕНТАРИЙ К ФЕДЕРАЛЬНОМУ ЗАКОНУ
ОТ 29 ИЮЛЯ 2004 Г. N 98-ФЗ "О КОММЕРЧЕСКОЙ ТАЙНЕ"

Материал подготовлен с использованием правовых актов
по состоянию на 20 апреля 2015 года

С.Н. ДАНИЛИН

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Комментарий к статье 3

В статье определен понятийный аппарат, который используется комментируемым Законом. По общему правилу юридической техники определения понятий (предписания-дефиниции) включаются в законодательные акты в следующих случаях: когда юридический (правовой) термин сформирован с использованием специальных слов - редких либо малоупотребительных иностранных слов, а также переосмысленных общеупотребительных слов; когда правовое понятие формируется из слов, позволяющих неоднозначно истолковывать его смысл, порождающих разнообразные смысловые ассоциации.

У меня к примеру возникли сразу вопросы:
- кем был сформирован термин с использованием редких или малоупотребительных иностранных слов;
- кем были переосмыслены общеупотребительные слова;
- для какой цели требуется использовать при формировании термина редкие или малоупотребительные иностранные слова и переосмысленные общеупотребительные слова.

То есть законы пишутся для тех, кому даны более юридически приоритетным законом полномочия истолковывать смысл (и наверное порождать смысловые галлюцинации :) )



Автор: oko | 105231 08.12.2018 15:25
*в сторону*
<То есть законы пишутся для тех, кому даны более юридически приоритетным законом полномочия истолковывать смысл> - нельзя победить, находясь внутри системы. Как дети малые миру удивляются, право слово...

Автор: malotavr | 105243 08.12.2018 20:32
*туда же*
Может, стоит предупредить человека, чтобы не вздумал читать гражданский или налоговый кодексы? А то там через слово "оферты", "акцепты", "эмансипации" да "кооперативы". Вдруг не переживет такого потрясения?

Автор: Нефедьев С.Г. | 105252 08.12.2018 22:42
>oko | 105231
"Как дети малые" говорите?

Может быть так будет более понятно?

https://bis-expert.ru/blog/4042/58559

Ужас настоящего момента состоит не в том, что мы живём в условиях абсолютно кривого законодательства, административного беспредела и судебного произвола. Весь ужас состоит в том, что мы к этому привыкли и воспринимаем всё выше перечисленное как само собой разумеющееся и естественное.

К чему я это всё?

Совсем недавно – 9 ноября 2018 г. – состоялось событие, о котором ТЗИшная общественность узнала из постов некоторых известных блогеров – встреча этих самых блогеров с руководством ФСТЭК. Учитывая, что организаторы мероприятия не позволили задать приглашённым блогерам заранее заготовленные ими вопросы, по форме это был брифинг, на котором представители ФСТЭК признавая, что определения понятий, приведенные в 187-ФЗ «О безопасности КИИ», неверны, объявляют о том, что не собираются принимать никаких мер по их исправлению, и дают разъяснения, как это понимают они, и как следует понимать это всем остальным. Не разъяснение положений закона (что тоже было бы нонсенсом: написать закон, а потом разъяснять, как это понимать), а то, как они собираются трактовать «понятия, используемые в законе»!

Из сериалов мы знаем, что так поступает криминалитет: устраивают стрелки, чтобы договориться о понятиях или поговорить «по понятиям». Но криминалитет живёт по неписанным правилам и законам и договариваться о понятиях для них жизненно необходимо, а мы живём (или должны жить) по законам писанным. И не просто писанным, а конституированным! А до чего мы докатились? В законе написано так, а мы будет понимать это этак, а вы разъясните народу, чтобы он не вякал и готовился молча переносить предстоящие экзекуции. Если перевести это на современный русский язык, то получится, примерно, следующее: паханы забили стрелку авторитетам, чтобы те объяснили братве, по каким понятиям они собираются щемить терпил.

В принципе, всё это логично вытекает из, казалось бы, мелочей. Сначала во всех законах вместо раздела «Термины и определения» появился раздел «Понятия, используемые в законе». А потом не кто-нибудь, а органы государственной власти (сначала Роскомнадзор, а теперь вот и ФСТЭК) начали и свою деятельность строить по понятиям.

.....

Главное – отныне нам всем предстоит жить не по закону, а по понятиям. Не только криминалитету, как раньше, а всем, без исключения.


Автор: Нефедьев С.Г. | 105265 09.12.2018 12:33
Из песни в кинофильме про "Красную шапочку":
- "Если Ты такой ленивый
- Если Ты такой пугливый
- Сиди дома - не гуляй..."

>Нефедьев С.Г. | 105221
КОММЕНТАРИЙ К ФЕДЕРАЛЬНОМУ ЗАКОНУ ОТ 29 ИЮЛЯ 2004 Г. N 98-ФЗ "О КОММЕРЧЕСКОЙ ТАЙНЕ"

По общему правилу юридической техники определения понятий (предписания-дефиниции) включаются в законодательные акты в следующих случаях: когда юридический (правовой) термин сформирован с использованием специальных слов - редких либо малоупотребительных иностранных слов, а также переосмысленных общеупотребительных слов; когда правовое понятие формируется из слов, позволяющих неоднозначно истолковывать его смысл, порождающих разнообразные смысловые ассоциации.

А вот что по данному вопросу говорит "МЕТОДИКА ПРОВЕДЕНИЯ АНТИКОРРУПЦИОННОЙ ЭКСПЕРТИЗЫ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ПРОЕКТОВ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ" (Утверждена Постановлением Правительства Российской Федерации от 26 февраля 2010 г. N 96):

"3. Коррупциогенными факторами, устанавливающими для правоприменителя необоснованно широкие пределы усмотрения или возможность необоснованного применения исключений из общих правил, являются: ...
и) нормативные коллизии - противоречия, в том числе внутренние, между нормами, создающие для государственных органов, органов местного самоуправления или организаций (их должностных лиц) возможность произвольного выбора норм, подлежащих применению в конкретном случае.

4. Коррупциогенными факторами, содержащими неопределенные, трудновыполнимые и (или) обременительные требования к гражданам и организациям, являются:...
в) юридико-лингвистическая неопределенность - употребление неустоявшихся, двусмысленных терминов и категорий оценочного характера".

Сопоставление "общего правила юридической техники определения понятий (предписания-дефиниции)" с определенными Методикой коррупциогенными факторами показывает, что наличие "понятийного аппарата", возможность толкования котрого предоставлена тем, в интересах которых принимается закон, это и есть самый гнлавный коррупциогенный фактор.

Не взятка!!!
А понятийный аппарат в законе.

>oko | 105231
нельзя победить, находясь внутри системы...

Нельзя, если действовать по установенным для функционирования системы правилам.
Тяжело, но можно, если называть вещи своими именами, значения которых определено русским языком.
Пример - изменение внешней политики России с 2014 года.



Просмотров темы: 10452


Copyright 2004-2010, ""

Rambler's Top100 Rambler's Top100