Безопасность и надежность. Без компромисов.

Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Информационная безопасность
  • Системы видеонаблюдения
  • Виртуализация
  • ИТ-инфраструктура

Критерии выбора средств защиты информации для информационных систем

Одним из важнейших этапов проектирования СиЗИ является выбор мер защиты информации в ИС.

Согласно требованиям нормативных документов ФСТЭК России проектирование системы защиты информации (СиЗИ) для информационных систем (ИС) типа:

  • ­государственные информационные системы (ГИС);
  • ­­информационные системы персональных данных (ИСПДн);
  • ­автоматизированные системы управления производственными и технологическими процессами (АСУ ТП);
  • ­информационные системы общего пользования (СОП),

осуществляется (с небольшими различиями) в следующем порядке:

  1. определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
  2. определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИС;
  3. выбираются меры защиты информации, подлежащие реализации в системе защиты информации ИС;
  4. определяются виды и типы средств защиты информации (СрЗИ), обеспечивающие реализацию технических мер защиты информации;
  5. определяется структура системы защиты информации ИС, включая состав (количество) и места размещения ее элементов;
  6. осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности ИС;
  7. определяются параметры настройки программного обеспечения, включая программное обеспечение СрЗИ, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению угроз безопасности информации;
  8. определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Выбор мер защиты информации в ИС включает:

  • определение класса защищенности ИС;
  • определение базового набора мер защиты информации для установленного класса защищенности ИС;
  • адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам ИС, информационным технологиям, особенностям функционирования ИС;
  • уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в Модель угроз безопасности информации;
  • дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации.

Меры защиты информации выбираются и реализуются в ИС в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений (если она применяется).

На основе выбранных уточненных адаптированных базовых наборов мер защиты информации (с дополнениями при необходимости) формируется перечень требований по реализации мер защиты – проще требования к средствам защиты информации входящих в систему защиты информации ИС, которые отражаются в ТЗ (ЧТЗ) на СрЗИ.

На основе требований осуществляется выбор СрЗИ.

Не претендуя на полный перечень критериев специалистами ООО «Эйснет» рекомендуется использовать следующие критерии выбора конкретных СрЗИ и средств криптографической защиты информации (СКЗИ) по приоритету для системы защиты информации ИС:

  • сфера применения СрЗИ (СКЗИ) в ИС;
  • наличие действующих сертификатов соответствия СрЗИ (СКЗИ) требованиям ФСТЭК России, ФСБ России, Госстандарта, МО РФ и др. ведомств по определенным уровням и классам защищенности и особенности схем сертификации (серия, отдельные экземпляры/партия);
  • история версий и продления сертификатов, проведения инспекционного контроля производителем;
  • совместимость СрЗИ (СКЗИ) в ИС со смежными системами (информационными технологиями) возможность работы программных СрЗИ (СКЗИ) на технических средствах и общесистемном программном обеспечении ИС. Здесь очень важно отметить необходимость предварительного проведения проверок совместимости СрЗИ (до принятия решения о их закупке) с информационными технологиями и особенно с новым разрабатываемым прикладным обеспечением для ИС. Обычно такие проверки делают на отдельном макете (стенде или сегменте имитирующем разрабатываемую ИС);
  • соответствие СрЗИ (СКЗИ) требованиям определенных мерами защиты для ИС (выполняемым функциям) для выбранного класса защищенности ИС;
  • рекомендации по применению СрЗИ (средств контроля защищенности и целостности информации) ФСТЭК России для аттестации объектов информатизации по требованиям безопасности информации, для испытательных и сертификационных лабораторий и организаций разработчиков СрЗИ;
  • простота внедрения (развертывания) СрЗИ (СКЗИ) для различных конфигураций ИС;
  • наличие у оператора опыта работы с выбираемыми СрЗИ (СКЗИ) конкретных производителей;
  • известность производителей СрЗИ (СКЗИ) и государственная направленность деятельности производителей;
  • наличие выявляемых качественных преимуществ между однотипными СрЗИ (СКЗИ);
  • наличие выявляемых ценовых преимуществ между однотипными СрЗИ (СКЗИ);
  • наличие сервисных центров и технической поддержки в РФ для СрЗИ (СКЗИ);
  • соответствие требованиям к установке программных СрЗИ (СКЗИ) к требованиям аппаратной и программной платформы ИС;
  • простота управления СрЗИ (СКЗИ);
  • проекты, какого масштаба реализованы с использованием анализируемого СрЗИ (СКЗИ), внедрение в ИС ведомств, количество внедрений;
  • сроки присутствия СрЗИ (СКЗИ) на рынке и объектах заказчиков;
  • надежность СрЗИ (СКЗИ) и их доступность на рынке РФ;
  • минимальные сроки поставки СрЗИ (СКЗИ) производителями;
  • полнота гарантийных обязательств на СрЗИ (СКЗИ);
  • наличие опыта эксплуатации СрЗИ (СКЗИ) специалистами заказчика;
  • наличие дистрибутива и документации СрЗИ (СКЗИ) в свободном доступе (демо или пробные версии) на сайте производителя;
  • наличие положительных отзывов на функционирование СрЗИ.

Кроме выше перечисленных критериев, ниже приведены дополнительные критерии выбора для СКЗИ:

  • по сферам применения и для решения, каких задач: доверенного хранения; защиты каналов связи; реализации защищенного документооборота, создания удостоверяющего центра и заверения документа – электронная подпись;
  • реализованные криптографические алгоритмы;
  • поддерживаемые ОС (показатель, важный для программно-реализованной криптобиблиотеки);
  • поддерживаемые типы ключевых носителей для СКЗИ;
  • интегрированность с продуктами и решениями компании Microsoft, а также с продуктами и решениями других производителей;
  • для удостоверяющего центра (ЭП) возможность его кросс сертификации с иными УЦ (ЭП).

При выборе СрЗИ необходимо знать их классы, для классов (уровней) защищенности ИС.

Для удобства выбора СрЗИ в существует таблица с классами сертифицированных по требованиям безопасности информации средств защиты информации.

Для определения класса защищенности ИС (ГИС), согласно Приказа ФСТЭК России от 11.02.2013г. № 17, ниже приведены справочные выдержки из данного приказа.

Класс защищенности ИС (ГИС)

Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ1 К1 К1 К1
УЗ2 К1 К2 К2
УЗ3 К2 К3 К3
УЗ4 К3 К3 К4

Класс защищенности (К) = [уровень значимости информации; масштаб системы].

Степень возможного ущерба

Степень возможного ущерба
Высокая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции.
Средняя В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций.
Низкая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].

Уровень значимости информации

Уровень значимости
Высокий уровень значимости (УЗ 1) Если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба
Средний уровень значимости (УЗ 2) Если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Минимальный уровень значимости (УЗ 4) Если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.

Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Для разработки Модели угроз необходимо разработка модели нарушителя, учитывая категории внутренних потенциальных нарушителей по требованиям ФСТЭК России, возможности нарушителя в зависимости от категории для СКЗИ по требованиям ФСБ России и предположения о возможностях нарушителя при атаках на СКЗИ.

Категории внутренних потенциальных нарушителей

Категория нарушителей Способ доступа Полномочия доступа к ПДн
Первая (Н1фстэк) Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн. Лицо этой категории, может:
  • иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
  • располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
  • располагать именами и вести выявление паролей зарегистрированных пользователей;
  • изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.
­ ­ ­ ­
Вторая (Н2фстэк) Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места. Лицо этой категории:
  • обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа;
  • ­обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
  • ­располагает конфиденциальными данными, к которым имеет доступ.
­

Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

­ ­ ­
Третья (Н3фстэк) Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам. Лицо этой категории:
  • ­обладает всеми возможностями лиц первой и второй категорий; располагает информацией о топологии ИСПДн на базе локальной и (или)
  • ­распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;
  • ­имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.
­
Четвертая (Н4фстэк) Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. Лицо этой категории:
  • обладает всеми возможностями лиц предыдущих категорий;
  • обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;
  • ­обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;
  • ­имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;
  • ­имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;
  • ­обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.
­
Пятая (Н5фстэк) Зарегистрированные пользователи с полномочиями системного администратора ИСПДн. Лицо этой категории:
  • обладает всеми возможностями лиц предыдущих категорий;
  • ­­обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
  • обладает полной информацией о технических средствах и конфигурации ИСПДн;
  • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
  • ­обладает правами конфигурирования и административной настройки технических средств ИСПДн.
­

Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.

Шестая (Н6фстэк) Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн. Лицо этой категории:
  • обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией об ИСПДн;
  • имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
  • ­не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
­

Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

Седьмая (Н7фстэк) Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте. Лицо этой категории:
  • ­обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
  • ­обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
  • ­может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
­
Восьмая (Н8фстэк) Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн. Лицо этой категории:
  • ­обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;
  • ­­может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.
­

Возможности нарушителя в зависимости от категории для СКЗИ

Возможности нарушителей Типы нарушителей
Н1фсб Н2фсб Н3фсб Н4фсб Н5фсб Н6фсб
Могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны ИС + + + + + +
Располагают используемыми, за пределами контролируемой зоны ИС, только находящимися в свободном доступе (продаже) аппаратными и программными компонентами криптосредств и среды функционирования криптосредств (СФ) с документацией, а также специально разработанными ТС и ПО. + + + + + +
Возможности по использованию штатных средств зависят от реализованных в ИС организационных мер.   + + + + +
Возможность доступа к средствам вычислительной техники, на которых расположены криптосредства) и СФ.     + + + +
Могут быть известны все сети связи, работающие на едином ключе.     + + + +
Для создания способов атак, подготовки и проведения атак могут привлекать специалистов, имеющих опыт разработки и анализа средств для проведения лабораторных исследований криптосредств, включая специалистов в области анализа сигналов, сопровождающих функционирование средства и СФ, используемых за пределами контролируемой зоны       + + +
Располагают наряду с доступными в свободной продаже документацией на криптосредства и СФ исходными текстами прикладного программного обеспечения.         + +
Могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФ.         + +
Располагают любыми аппаратными компонентами криптосредств и СФ.           +
Располагают всей документацией на криптосредства и программные компоненты СФ.           +

Предположения о возможностях, которые могут использоваться нарушителем при создании способов, подготовки и проведения атак на СКЗИ

Предположения о возможностях, которые могут использоваться нарушителем при создании способов, подготовке и проведении атак на СКЗИ Классы СКЗИ применяемые для нейтрализации атак
КС1 КС2 КС3 КВ КА
Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ. + + + + +
Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ (разработка (модернизация), производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация. + + + + +
Проведение атаки, находясь вне контролируемой зоны ИС. + + + + +
Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
  • ­ внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
  • ­ внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.
+ + + + +
Проведение атак на этапе эксплуатации СКЗИ на:
  • ­ защищаемые данные;
  • ­ ключевую, аутентифицирующую и парольную информацию СКЗИ;
  • ­ программные компоненты СКЗИ;
  • ­ аппаратные компоненты СКЗИ;
  • ­ программные компоненты СФ, включая программное обеспечение BIOS;
  • ­ аппаратные компоненты СФ;
  • ­ данные, передаваемые по каналам связи;
  • ­ иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в ИС информационных технологий, аппаратных средств и программного обеспечения.
+ + + + +
Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об ИС, в которой используется СКЗИ. При этом может быть получена следующая информация:
  • ­ общие сведения об ИС, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИС);
  • ­ сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИС совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИС совместно с СКЗИ;
  • ­ содержание конструкторской документации на СКЗИ;
  • ­ содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
  • ­ общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
  • ­ сведения о каналах связи, по которым передаются защищаемые СКЗИ данные;
  • ­ все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационными и техническими мерами;
  • ­ сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
  • ­ сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
  • ­ сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.
+ + + + +
Применение:
  • ­ находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
  • ­ специально разработанных АС и ПО.
+ + + + +
Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
  • ­ каналов связи, не защищенных от НСД к информации организационными и техническими мерами;
  • ­ каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.
+ + + + +
Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если ИС в которой используются СКЗИ, имеет выход в эти сети. + + + + +
Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств ИС, применяемых на местах эксплуатации СКЗИ. + + + + +
Проведение атаки при нахождении в пределах контролируемой зоны.   + + + +
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
  • ­ документацию на СКЗИ и компоненты СФ;
  • ­ помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ.
  + + + +
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
  • сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС;
  • ­сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИС;
  • ­сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.
  + + + +
Использование штатных средств, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.   + + + +
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.     + + +
Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.     + + +
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.       + +
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.       + +
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.       + +
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.         +
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.         +
Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.         +