Анализ угроз и разработка политики безопасности информационной системы районной налоговой инспекции

Описание деятельности районной налоговой инспекции. Разработка структурной и инфологической моделей информационной системы государственного учреждения. Квалификация угроз, актуальных для данной информационной системы. Разработка политОписание деятельности

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.11.2009
Размер файла 185,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

52

Министерство образования и науки РФ

Федеральное Агентство по образованию

Российский Государственный Университет инновационных технологий и предпринимательства

Дисциплина: «Информационная безопасность»

Тема: «Анализ угроз и разработка политики безопасности информационной системы районной налоговой инспекции»

Выполнил: ст. гр. 02и1

Глинский О.Г.

Принял: к.т.н., доцент

Зефиров С.Л.

Пенза 2007
Обозначения и сокращения, применяемые в данном отчете
АРМ - автоматизирование рабочее место;
СУБД - система управления базами данных;
БД - база данных;
ОБД - общая база данных налоговой службы ;
ИБ - информационная безопасность;
ИС - информационная система - любая компьютерная система, включающая технические, программные, методические средства и совокупность массивов данных, которая может осуществлять обработку, хранение и преобразование данных;
ОС - операционная система - комплекс программ в машинных кодах, предназначенных для управления всеми главными действиями процесса обработки информации и работой аппаратных средств компьютера ;
ПО - программное обеспечение;
ПК - персональный компьютер;
РФ - Российская Федерация;
ВСЗ - внешний сервер защиты;
СИБ - сервер информационной безопасности;
ИР - информационный ресурс;
ТЗ - теоретическое задание
Содержание:
  • Введение 4
  • 1 Описание деятельности государственной организации 5
  • 2. Разработка структурной и инфологической моделей информационной системы госучреждения 8
  • 3. Перечень и анализ угроз 15
  • 4. Квалификация угроз актуальных для информационной системы 43
  • 5. Разработка политики безопасности 49
  • Заключение 51
  • Список использованных источников 52

Введение

Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы.

Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы и возможная анонимность доступа, возможность "информационных диверсий". Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Проблема обеспечения защиты информации является одной из важнейших при построении надежной информационной структуры учреждения на базе ЭВМ.

В рамках данной курсовой работы проведем анализ угроз и разработана политика безопасности для информационной системы Районной налоговой инспекции.

1. Описание деятельности государственной организации

Районная налоговая инспекция (РНИ) - это государственная организация выполняющая функции связанные с соблюдением гражданами и государством налогового законодательства Российской Федерации.

РНИ, согласно Налоговому Кодексу РФ, выполняет следующие функции:

1. Учет налогоплательщиков;

2. Контроль за соблюдением налогового законодательства участниками налоговых правоотношений;

3. Определение в установленных случаях суммы налогов, подлежащих уплате в бюджет налогоплательщиками;

4. Ведение оперативно-бухгалтерского учета сумм налогов;

5. Возврат или зачет излишне уплаченных или излишне взысканных сумм налогов, пеней и штрафов;

6. Разъяснительная работа и информирование налогоплательщиков о порядке применения налогового законодательства;

7. Применение мер ответственности к нарушителям налогового законодательства;

8. Взыскание недоимок, пеней и штрафов с нарушителей налогового законодательства;

9. Контроль за соблюдением законодательства о наличном денежном обращении;

10. Сотрудничество с зарубежными и международными налоговыми инспекциями.

Из данного перечня необходимо выделить функции (бизнес - цели), автоматизируемые с помощью информационной системы:

1. Учет налогоплательщиков;

2. Контроль за соблюдением налогового законодательства участниками налоговых правоотношений;

3. Определение в установленных случаях суммы налогов, подлежащих уплате в бюджет налогоплательщиками;

4. Ведение оперативно-бухгалтерского учета сумм налогов;

5. Возврат или зачет излишне уплаченных или излишне взысканных сумм налогов, пеней и штрафов;

Ряд функций, при рассмотрении их как рабочих процессов, могут быть включены друг в друга, а именно: процесс «контроль за соблюдением налогового законодательства участниками налоговых правоотношений» может рассматриваться как один из пунктов функции «учет налогоплательщиков», так же в данную функцию можно включить процесс «определение в установленных случаях суммы налогов, подлежащих уплате в бюджет налогоплательщиками»; функция «ведение оперативно-бухгалтерского учета сумм налогов» может содержать в своем перечне процессов рабочий процесс «возврат или зачет излишне уплаченных или излишне взысканных сумм налогов, пеней и штрафов».

Представим данные функции в виде рабочих процессов:

1. Учет налогоплательщика:

- прием сведений о налогоплательщике;

- занесение сведений о налогоплательщике в БД;

- ведение учетных записей налогоплательщика;

2. Ведение оперативно-бухгалтерского учета сумм налогов:

- сбор сведений о суммах уплаченных налогов;

- сравнение с суммами необходимыми к уплате, согласно налоговому законодательству РФ;

- выдача сведений о неуплаченных или излишне уплаченных суммах, начисление пеней и штрафов;

Информационная система РНИ предназначена для автоматизации бизнес-функции описанных выше. Для этого она должна располагать системой управления базами данных (СУБД), благодаря которой она может хранить и обрабатывать информацию, которая поступает в виде сведений полученных от клиента (налогоплательщика), либо в виде сведений полученных по сети передачи данных из «общей базы данных налоговой службы» (ОБД). Полученные сведения обрабатываются, и согласно результатам обработки в учетных записях налогоплательщиков производятся необходимые изменения.

Рассмотрим более подробно бизнес-функцию «Учет налогоплательщика».

Ввод данных происходит через операторов автоматизированных рабочих мест (АРМ). АРМ не имею прямой связи между собой. Существует лишь связь АРМ с сервером на котором находится БД данной РНИ, это исключает возможность передачи информации между операторами через ИС и облегчает реализацию защиты данных. Также существует «сервер безопасности», который ведет наблюдение за АРМ и ведет журнал, в котором фиксируется пользователь, время обращение к данным и перечень данных к которым осуществлялся допуск. Ввод данных также возможен, как запрос из ОБД, при этом безопасность обеспечивается сервером внешней безопасности

Входными данными могут быть: личные данные (фамилия, имя, отчество налогоплательщика, данные о доходах), налоговые декларации, сведения об уплате налогов, штрафов, пеней и т.д.

Доступ к процессу обработки данных имеет непосредственно оператор АРМ, на котором происходит данная операция. Каждый оператор однозначно определен и это дает возможность осуществления мониторинга за действиями операторов АРМ. Фактическая обработка данных происходит также операторами АРМ при помощи специальных программных средств. Происходит изменение учетных записей о клиенте (налогоплательщике). В автоматическом режиме, при помощи программного обеспечения производятся расчеты (налоговые суммы, размеры выплат и штрафов).

Затем происходит сохранение новых данных в БД, при этом данные проходят проверку программными средствами, на соответствие установленным нормам. Также возможно удаление данных из БД учетных записей о налогоплательщике, в этом случае данная операция также проходит проверку на соответствие установленным нормам.

Рассмотрим следующую бизнес-функцию, «ведение оперативно-бухгалтерского учета сумм налогов».

Данная функция реализует регулировку соответствия данных из учетных записей и стандартов и норм, принятых законодательством РФ.

Ввод данных происходит лишь в виде запроса из БД сведений о налогоплательщике. Это также производится оператором АРМ.

В процессе обработки происходит сравнение с суммами необходимыми к уплате, согласно налоговому законодательству РФ.

Сделанные выводы могут бать представлены в виде отчетов о состоянии налогоплательщика, относительно исполнения им обязанностей перед государством, либо в виде уведомления налогоплательщика в письменной форме о необходимости выполнения своих обязательств. Также выходными сведениями могут быть статистические данные, доступ к которым имею круг уполномоченных лиц.

2. Разработка структурной и инфологической моделей информационной системы госучреждения

Исходя из краткого описания работы системы можно выделить элементы, составляющие эту систему. Это необходимо для построения структурной модели ИС приведенной на рисунке 1.

Элементы, составляющие эту систему:

- автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД и на которых происходит обработка полученных данных;

- сервер безопасности, обеспечивающий мониторинг за АРМ и сведениями поступающими в БД;

- сервер внешней защиты, через который происходит связь с ОБД;

- Администратор ИБ, отдельное АРМ администратора информационной безопасности осуществляющего контроль за СИБ;

- Сервер БД, хранящий БД и осуществляющий управление БД;

- Сервер общей базы данных налоговой службы, хранящий копии БД всех отделений налоговых инспекций РФ.

Рисунок 1 - Структурная модель

Используя сведения полученные из структурной модели составим таблицу, содержащую сведения об аппаратных ресурсах, пользователях, ответственных лицах и их обязанностях (см. подробнее таблица 1).

Таблица «Аппаратный компонент - пользователь»

Аппа-ратный ресурс

Пользователь

Права пользователя

Ответственный персонал

Обязанности ответственного персонала

АРМ

Сотрудники налоговой инспекции

Имеет доступ к БД, а также к сведениям ОБД

Сотрудники налоговой инспекции (сотрудник несет ответственность за свои действия)

Обязанности сотрудников обусловлены их деятельностью и оговорены в перечне обязанностей согласно занимаемой должности

Сервер информационной безопасности

Администратор ИБ

Имеет доступ к СИБ

Администратор ИБ

Поддержка работоспособности СИБ

Аппаратный ресурс

Пользователь

Права пользователя

Ответственный персонал

Обязанности ответственного персонала

Внешний сервер защиты

Администратор ИБ

Имеет доступ к ВСЗ

Администратор ИБ

Поддержка работоспособности ВСЗ

АРМ администратора ИБ

Администратор ИБ

Имеет доступ к СИБ

Администратор ИБ

Поддержка работоспособности СИБ и ВСЗ

Сервер БД

Сотрудники налоговой инспекции, администратор, администратор ИБ, администратор сервера ОБД

Имеет доступ к БД

Администратор

Поддержка работоспособности сервера БД, осуществление контроля за своевременным резервированием БД на ОБД, взаимодействие администратором ИБ

сервер защиты локальной сети

Админи-стратор ИБ

Доступ серверу защиты локальной сети

  • Администратор ИБ

Проверять работоспособность и исправлять неполадки в ГСБ

  • Далее проведем классификацию информации, с которой работает налоговая служба, относительно следующих понятий:
  • - критичность, то есть информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана;
  • - чувствительность - это мера влияния на организацию неправильного отношения с ней.
  • По степени критичности информация может быть следующей:
  • - существенная: персональные данные о гражданах РФ, хранящиеся в БД, носят существенный, критический характер. В случае потери или повреждении этих данных РНИ понесет значительный ущерб, вплоть до временного прекращения работы;
  • - важная: электронные копии, документов хранящихся в архива РНИ. При потере такой информации, она может быть восстановлена, не нарушая работы РНИ;
  • - нормальная: устаревшие сведения.
  • По степени чувствительности информация может быть следующей:
  • - высоко чувствительная: раскрытие персональных данных граждан РФ, может повлечь за собой нарушение в выполнении РНИ одной из своих бизнес-функций РНИ, а именно «учет налогоплательщика»;
  • - чувствительная: разглашение паролей;
  • - внутренняя: документы, касающиеся внутреннего управления, приказы, должностные инструкции;
  • - открытая: сведения о порядке налогообложения, перечни взысканий за нарушения налогового законодательства и т.д.
  • В зависимости от особенностей деятельности организации к информации может быть применена другая классификация. Например, деление информации по степени критичности относительно доступности, целостности и конфиденциальности. По степени критичности относительно доступности виды информации могут быть следующие:
  • - критическая: сведения о гражданах РФ, находящиеся в БД. В случае потере или повреждения такой информации работа РНИ остановится;
  • - очень важная: пароли, схемы организации средств обеспечения ИБ;
  • - важная: электронные копии, документов хранящихся в архива РНИ;
  • - полезная: специализированные электронные справочники, телефонные книги;
  • - несущественная: устаревшие сведения, (сведения об уже не существующих организациях и т.д.).
  • По степени критичности относительно целостности:
  • - очень важная: данные хранящиеся в БД, их несанкционированное изменение ее приведет к неправильной работе, если не будут приняты определенные действия администратором сервера БД и администратором ИБ.
  • - важная: система паролей сожжет быть отнесена к этой категории, так как при несанкционированном изменении данной информации, работа РНИ может быть нарушена, если не будут предприняты некоторые действия.
  • По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:
  • - критическая: сведения о гражданах РФ;
  • - очень важная: пароли, схемы организации средств обеспечения ИБ;
  • - важная: электронные копии, документов хранящихся в архива РНИ;
  • -незначимая: сведения о порядке налогообложения, перечни взысканий за нарушения налогового законодательства и т.д.
  • Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Если документ, файл или база данных содержат информационные ресурсы различных видов, то с ними необходимо обращаться как с информацией наивысшей степени критичности (чувствительности) из имеющихся видов. Информацией имеющей наивысшую степень критичности являются сведения о гражданах РФ, хранящиеся в БД. Для обеспечения возможности восстановления данных, БД имеет копию на сервере ОБД, которая регулярно обновляется. За ограничением доступа к информации следит СИБ, настройку и контроль которого осуществляет администратор ИБ, чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться. Такую информацию можно назвать чувствительной и конфиденциальной.
  • На основе проведенной классификации создадим таблицу, отражающую принадлежность информации к той или иной категории (см. подробнее таблица 2).
  • Таблица 2 «Информационный ресурс - пользователь»
    • Информационный

    ресурс

    Пользователь

    • Обязанности

    пользователя

    • Степень
    • Критичности

    (чувствии-тельности)

    • Фаза
    • жизненного

    цикла

    • Место

    хранения

    Персональные данные клиентов

    • Сотрудники налоговой инспекции(АРМ),

    администратор сервера БД

    Сбор данных, обработка, хранение, следить за доступом к ним

    Критическая

    • Получение
    • обработка

    хранение

    Сервер БД

    Системные пароли

    Администратор ИБ

    Следить за правом доступа

    Очень важная

    Хранение

    • АРМ

    Администратора ИБ

    Обработанная информация

    Сотрудники налоговой инспекции (АРМ)

    Передача информации, выявление несоответствий

    Важной

    Передача

    БД

    Документы, касающиеся внутреннего управления, приказы, должностные инструкции

    Сотрудники налоговой инспекции

    Следование этим указаниям

    Внутренняя

    Хранение

    АРМ сотрудников, АРМ руководителя

    Устаревшие данные

    Сотрудники налоговой инспекции, дминистратор сервера БД

    Хранение и удаление

    Несущественная

    Удаление

    Сервер БД

    • Для построения инфологической модели необходимо выявить, каким образом происходит передача информационного ресурса (ИР). Для этого определим, какое программное обеспечение (ПО) используется в данной ИС.
    • Так как РНИ занимается специфической деятельностью, то ПО, используемое ею, также имеет узкую специализацию и выполняющую функции связанные с бизнес-функциями РНИ.
    • Передача ИР, осуществляется по локальной сети, а также по выделенному каналу связи.
    • АРМ связаны с сервером БД через локальную сеть, мониторинг и администрирование которой, осуществляет сервер ИБ.
    • При передаче ИР от ОБД к БД, используется выделенный канал связи. Это исключает потерю или перехват данных во время передачи, на сетевом уровне, чего невозможно сделать при использовании сети Интернет.
    • С помощью инфологической модели ИС, приведенной на рисунке 2, можно наблюдать распределение данных.
    • Рисунок 2 - инфологическая модель ИС
    • Таблица «Информационно-технологическая инфраструктура»
    • Объект защиты

      Уровень

      Уязвимости

      1.

      • Линии связи

      Аппаратные средства

      физический

      Незащищенность от помех, открытость доступа к линиям связи

      2.

      • Устройства передачи информации по сети

      (маршрутизаторы, концентраторы, модемы и т.д.)

      Сетевой

      В зависимости от топологии сети и использованных устройств, возможны различные ограничения в использовании ИР

      4.

      ОС

      Операционных систем

      Система ввода вывода

      5.

      БД

      • Систем
      • управления

      базами данных (СУБД)

      Пароли, данные, нарушение конфиденциальности

      6.

      Вычисление сумм налогов

      • Бизнес-процессов

      организации

      • Чувствительной

      информация

      • На данной таблице отражены зоны риска, а также уровни на которых возможна реализация той или иной угрозы.

      3. Перечень и анализ угроз

      Для банковских и финансовых организаций Международная организация стандартизации в техническом отчете ИСО TR 13569 рекомендует выделять четыре типа высокоуровневых угроз:

      - несанкционированные раскрытие информации;

      - несанкционированные модификация информации;

      - несанкционированные уничтожение информации;

      - неумышленная модификация;

      - неумышленная уничтожение информации;

      - недоставка информации;

      - ошибочная доставка информации;

      - отказ в обслуживании;

      - ухудшение обслуживания.

      В связи с тем, что РНИ можно считать финансовой организацией, то и перечень угроз приведенный выше, можно рассматривать применительно к ИС РНИ.

      Описание каждой угрозы анализируем с помощью модели угроз, включающую:

      - нападения пригодные для реализации угрозы (возможность, методы, уязвимости);

      - объекты нападений;

      - тип потери (конфиденциальность, целостность, доступность и т.д.);

      - масштаб ущерба;

      - источники угрозы.

      Для источников угроз - людей модель нарушителя должна включать:

      - указание их опыта;

      - указание знаний;

      - указание доступных ресурсов, необходимых для реализации угрозы;

      - возможную мотивацию их действий.

      Проведем описание каждой угрозы на каждом из уровней.

      1. Физический уровень.

      - Несанкционированные раскрытие информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - открытость доступа к линиям связи, кабелям, нераспределенность БД, не защищенность от помех;

      Методы нападения - подключение специальных устройств съема информации к кабелям, умышленный обрыв кабеля, физическое уничтожение сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери.;

      Масштаб ущерба - высокий;

      Источник угроз - персонал, любой человек (в случае физического уничтожение сервера БД и в случае подключения к кабелю выделенной линии для обмена информацией с ОБД);

      Опыт: высокий уровень;

      Знания: необходимы специализированные знания.

      Доступные ресурсы: информационные, специальные технические средства;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - открытость доступа к линиям связи, кабелям, нераспределенность БД, незащищенность от помех;

      Методы нападения - подключение специальных устройств съема информации к кабелям, умышленный обрыв кабеля, физическое уничтожение сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - денежные потери.;

      Масштаб ущерба -высокий;

      Источник угроз - персонал, любой человек (в случае физического уничтожение сервера БД и в случае подключения к кабелю выделенной линии для обмена информацией с ОБД);

      Опыт: высокий уровень;

      Знания: необходимы специализированные знания.

      Доступные ресурсы: информационные, специальные технические средства;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - открытость доступа к линиям связи, кабелям, нераспределенность БД, не защищенность от помех;

      Методы нападения - подключение специальных устройств съема информации к кабелям, умышленный обрыв кабеля, физическое уничтожение сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал, любой человек (в случае физического уничтожение сервера БД и в случае подключения к кабелю выделенной линии для обмена информацией с ОБД);

      Опыт: высокий уровень;

      Знания: необходимы специализированные знания.

      Доступные ресурсы: информационные, специальные технические средства;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Неумышленная модификация.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - открытость доступа к линиям связи, кабелям, нераспределенность БД;

      Методы нападения - случайный обрыв кабеля;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Неумышленное уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - открытость доступа к линиям связи, кабелям, нераспределенность БД;

      Методы нападения - случайный обрыв кабеля;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Недоставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - низкая;

      Уязвимость - открытость доступа к линиям связи, кабелям, использование;

      Методы нападения - случайный обрыв кабеля, ошибка персонала;

      Объект нападения - любая информация внутри ИС;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Ошибочная доставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - низкая;

      Уязвимость - открытость доступа к линиям связи, кабелям, использование;

      Методы нападения - случайный обрыв кабеля, ошибка персонала;

      Объект нападения - любая информация внутри ИС;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Отказ в обслуживании.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - открытость доступа к линиям связи, кабелям;

      Методы нападения - случайный обрыв кабеля, перегрузка сети;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - высокий;

      Источник угроз - персонал, оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      - Ухудшение обслуживания.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - открытость доступа к линиям связи, кабелям;

      Методы нападения - случайный обрыв кабеля, перегрузка сети;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, потеря производительности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      2.Сетевой уровень.

      - Несанкционированные раскрытие информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне пользователя ПК;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне пользователя ПК;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне пользователя ПК;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Неумышленная модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - проверка изменений на сервере ИБ, а не на АРМ персонала;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Неумышленное уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - проверка изменений на сервере ИБ, а не на АРМ персонала;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Недоставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - низкая;

      Уязвимость - неверная настройка устройств связи;

      Методы нападения - ошибка персонала;

      Объект нападения - любая информация внутри ИС, передающаяся по сети;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, неисправное оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Ошибочная доставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - низкая;

      Уязвимость - неверная настройка устройств связи;

      Методы нападения - ошибка персонала;

      Объект нападения - любая информация внутри ИС, передающаяся по сети;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, неисправное оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Отказ в обслуживании.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - использование не качественного оборудования;

      Методы нападения - неверное распределение адресов;

      Объект нападения - любая информация внутри ИС, передающаяся по сети;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал, оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      - Ухудшение обслуживания.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятна;

      Уязвимость - использование не качественного оборудования;

      Методы нападения - неверное распределение адресов;

      Объект нападения - любая информация внутри ИС, передающаяся по сети;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      3. Уровень операционных систем.

      - Несанкционированные раскрытие информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - оператор АРМ имеет доступ к БД согласно определенным правам пользователя, но может вводить и выводить любые сведения, возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне сотрудника данной организации;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС.

      - Несанкционированные модификация информации .

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - оператор АРМ имеет доступ к БД согласно определенным правам пользователя, но может вводить и выводить любые сведения, возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне сотрудника данной организации;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС.

      - Несанкционированные уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - оператор АРМ имеет доступ к БД согласно определенным правам пользователя, но может вводить и выводить любые сведения, возможность обмена паролями между пользователями;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний уровень;

      Знания: требуются знания на уровне сотрудника данной организации;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС.

      -Неумышленная модификация.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - проверка изменений на сервере ИБ, а не на АРМ персонала;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: информационные;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Неумышленное уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - проверка изменений на сервере ИБ, а не на АРМ персонала;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: информационные;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Недоставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - неверная настройка протоколов связи, использование не качественного программного обеспечения;

      Методы нападения - ошибка персонала;

      Объект нападения - любая информация внутри ИС;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, неисправное оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Ошибочная доставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - неверная настройка протоколов связи, использование не качественного программного обеспечения;

      Методы нападения - ошибка персонала;

      Объект нападения - любая информация внутри ИС;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал, неисправное оборудование;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Отказ в обслуживании.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятна;

      Уязвимость - использование некачественного программного обеспечения;

      Методы нападения -перегрузка системы, сбой в операционной системе;

      Объект нападения - любая информация внутри ИС, операционная система АРМ;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал, программное обеспечение;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      - Ухудшение обслуживания.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятна;

      Уязвимость - использование некачественного программного обеспечения;

      Методы нападения -перегрузка системы, сбой в операционной системе;

      Объект нападения - любая информация внутри ИС, операционная система АРМ;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, программное обеспечение;

      Опыт: начальный уровень;

      Знания: не обязательны;

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

      4.Уровень СУБД.

      - Несанкционированные раскрытие информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в СУБД администратором сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: требуются знания работы с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в СУБД администратором сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: требуются знания работы с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Несанкционированные уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в СУБД администратором сервера БД;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: требуются знания работы с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях.

      - Неумышленная модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД;;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Неумышленное уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД;;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Недоставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД;

      Методы нападения - несвоевременное исправление ошибок СУБД;

      Объект нападения - любая информация внутри БД, СУБД;

      Тип потери - затруднение деятельности, целостность;

      Масштаб ущерба - средний;

      Источник угроз - некачественное оборудование, программное обеспечения, недобросовестная работа администратора сервера БД;

      Опыт: средний, высокий уровень;

      Знания: работа с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Ошибочная доставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД;

      Методы нападения - несвоевременное исправление ошибок СУБД;

      Объект нападения - любая информация внутри БД, СУБД;

      Тип потери - затруднение деятельности, целостность;

      Масштаб ущерба - низкий;

      Источник угроз - некачественное оборудование, программное обеспечения, недобросовестная работа администратора сервера БД;

      Опыт: средний, высокий уровень;

      Знания: работа с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Отказ в обслуживании.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятна;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД;

      Методы нападения - несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД;

      Объект нападения - любая информация внутри БД, СУБД;

      Тип потери - затруднение деятельности, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал, оборудование, программное обеспечение;

      Опыт: начальный уровень;

      Знания: необходимые для выполнения своих должностных обязанностей;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.

      - Ухудшение обслуживания.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятна;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД;

      Методы нападения - несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД;

      Объект нападения - любая информация внутри БД, СУБД;

      Тип потери - затруднение деятельности, целостность;

      Масштаб ущерба - низкий;

      Источник угроз - персонал, оборудование, программное обеспечение;

      Опыт: начальный уровень;

      Знания: необходимые для выполнения своих должностных обязанностей;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.

      5.Уровень бизнес-процессов.

      - Несанкционированные раскрытие информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД, права администратора сервера ИБ;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в БД администратором сервера БД, использование администратором ИБ должностного положения для раскрытия модификации или уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: необходимые для выполнения своих должностных обязанностей;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС организации.

      - Несанкционированные модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД, права администратора сервера ИБ;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в БД администратором сервера БД, использование администратором ИБ должностного положения для раскрытия модификации или уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: необходимые для выполнения своих должностных обязанностей;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС организации.

      - Несанкционированные уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД, права администратора сервера ИБ;

      Методы нападения - использование чужого пароля, ключа для модификации, уничтожения информации, внесение изменений в БД администратором сервера БД, использование администратором ИБ должностного положения для раскрытия модификации или уничтожения информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, денежные потери, целостность;

      Масштаб ущерба - высокий;

      Источник угроз - персонал;

      Опыт: средний, высокий уровень, в зависимости от выполняемых действий;

      Знания: необходимые для выполнения своих должностных обязанностей;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: использование полученной информации в личных целях, нанесение вреда ИС организации.

      - Неумышленная модификация информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД, права администратора сервера ИБ;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Неумышленное уничтожение информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - маловероятная;

      Уязвимость - система паролей, то есть возможность обмена паролями между пользователями, права администратора сервера БД, права администратора сервера ИБ;

      Методы нападения - неумышленное изменение или удаление информации;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности;

      Масштаб ущерба - средний;

      Источник угроз - персонал;

      Опыт: начальный уровень;

      Знания: не обязательны.

      Доступные ресурсы: не обязательны;

      Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.)

      - Недоставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД, недобросовестное исполнение должностных обязанностей;

      Методы нападения -указание неверного пути к информации, уничтожение информации приготовленной к отправке;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, целостность, денежные потери;

      Масштаб ущерба - средний;

      Источник угроз - персонал, программное обеспечения, недобросовестная работа администратора сервера БД;

      Опыт: средний, высокий уровень;

      Знания: работа с СУБД;

      Доступные ресурсы: информационные;

      Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.

      - Ошибочная доставка информации.

      Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).

      Возможность - вероятная;

      Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД, недобросовестное исполнение должностных обязанностей;

      Методы нападения - указание неверного пути к информации, уничтожение информации приготовленной к отправке;

      Объект нападения - чувствительная информация;

      Тип потери - затруднение деятельности, целостность, денежные потери;

      Масштаб ущерба - высокий;

      Источник угроз - персонал, программное обеспечения, недобросовестная работа администратора сервера БД;


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.