Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер"

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

  • Введение
  • автоматизированный информационный пользователь безопасность
  • Актуальность темы дипломной работы определяется постоянным уровнем проблем связанных с информационной безопасностью. Вопрос информационной безопасности — один из основных для любой организации. Для ее реализации требуется совокупность мероприятий, направленных на обеспечение конфиденциальности, доступности и целостности обрабатываемой информации. Таким образом, информационную безопасность следует понимать как комплекс организационных, программных, технических и физических мер, гарантирующих достижение целостности, конфиденциальности и доступности.
  • Многие угрозы связанные с безопасностью возникают вследствие зависимости организаций от информационных систем и услуг. Взаимодействие сетей общего и частного пользования, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Вопрос эффективности централизованного контроля возникает в связи с тенденцией использования распределенной системой обработки данных.
  • При проектировании и построении многих информационных систем, довольно часто, вопросы информационной безопасности попросту не учитываются. Уровень безопасности, который достигается только техническими средствами, имеет ряд ограничений и недостатков и, следовательно, должен сопровождаться надлежащими организационными мерами. Для достижения необходимого уровня информационной безопасности требуется реализация комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.
  • Информация — это актив организации, который имеет ценность и, следовательно, должен иметь необходимый уровень защиты. Цель информационной безопасности заключается в защите информации от широкого диапазона угроз и обеспечение непрерывности бизнеса, минимизации ущерба и получение максимальной прибыли.
  • В настоящее время все большее количество организаций уделяет внимание вопросам информационной безопасности. Особенно это касается компаний, занимающихся розничной торговлей, таких как ОАО «АйТиПартнер», так как конфиденциальность, целостность и доступность информации являются важными характеристиками непрерывности бизнеса. Комплекс мер направленный на обеспечение информационной безопасности может существенно повлиять на конкурентоспособность, соответствие законодательству, ликвидность и доходность организации.

Цель дипломной работы состоит в разработке и внедрении комплекса мероприятий по обеспечению информационной безопасности компьютера и предприятия ОАО «АйТиПартнер»

Достижения цели дипломной работы потребовало решения следующих задач:

1. Анализ существующих стандартов и подходов в области обеспечения информационной безопасности.

2. Определение информационной структуры и анализ информационных рисков в ОАО «АйТиПартнер».

3. Разработка комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО «АйТиПартнер»

4. Внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы в ОАО «АйТиПартнер» и анализ результатов внедрения.

Предметом исследования в дипломной работы являются система защиты информационной безопасности компьютерной системы в ОАО «АйТиПартнер».

В ходе дипломной работы использовалась информация из международных и отечественных стандартов в области информационной безопасности.

Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке мероприятии в области информационной безопасности.

Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации в организации путем внедрения организационных и технических мер защиты информации.

Новизна дипломной работы заключается в разработке комплекса методов и средств обеспечения информационной безопасности в организации.

1. Анализ предметной области оао «АйТиПартнёр»

1.1 Описание АИС ОАО «АйТиПартнёр»

ОАО «АйТиПартнер» — Компания, специализирующаяся на поставках компьютерной и организационной техники, расходных материалов и комплектующих. В настоящее время компания состоит из центрального офиса и двух розничных магазинов.

Более подробно, структурная схема организации изображена на Рисунке 1.

Рисунок 1-Структурная схема организации

Работа магазинов осуществляется путем подключения с рабочего места к Терминальному серверу (Serv_term) и запуска Бизнес-приложения Axapta.

Данный раздел описывает существующую информационную сеть Центрального офиса организации ОАО «АйТиПартнер» (Рисунок 2).

Основные параметры информационной сети Центрального офиса:

· Рабочая сеть обеспечивает основную бизнес — деятельность сотрудников компании.

· Адресация рабочей сети — 192. 168. 100. 0/24

Схема сети:

Рисунок 2-Схема Локальной сети Центрального офиса

Основные параметры информационной сети Магазина 1:

· Рабочая сеть — обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников, работу POS-терминалов, универсального места тестирования.

· Адресация рабочей сети — 192. 168. 100. 0/24

· Скорость канала связи до центрального офиса — 100Мбит/с;

Схема сети:

Рисунок 3-Схема Локальной сети Магазина 1

Оборудование локальной сети:

Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

Основные настройки коммутатора AT-8326GB:

· Имя sw-bk-01;

· IP-адрес 192. 168. 100. 111;

Основные настройки маршрутизатора Cisco 871:

· Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192. 168. 100.5 и partner. local соответственно. В подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

Основные параметры информационной сети Магазина 2:

· Рабочая сеть — обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования.

· Адресация рабочей сети — 192. 168. 100. 0/24

· Скорость канала связи до центрального офиса — 2048Кбит/с;

Схема сети:

Рисунок 4-Схема Локальной сети Магазина 2

Оборудование локальной сети:

Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 1841. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

Основные настройки коммутатора AT-8326GB:

· Имя sw-prmr-01;

· IP-адрес 192. 168. 100. 151;

Основные настройки маршрутизатора Cisco 1841:

· Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192. 168. 100.5 и partner. local соответственно. В подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

1.2 Категории информационных ресурсов, подлежащих защите

Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации:

— «Строго конфиденциальная» — к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

— «Конфиденциальная» — к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);

— «Открытая» — к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Сведения составляющие коммерческую тайну:

Клиенты:

— Ф.И.О., адрес проживания, данные паспортного и медицинского учета

Персонал:

— сведения о работниках, содержащиеся в их личных делах, учетных карточках,

— материалы по аттестации и проверкам;

— сведения о штатном расписании, заработной плате работников, условиях оплаты труда;

— материалы персонального учета работников (Ф.И.О., адрес проживания, состав семьи, домашний телефон, данные паспортного и медицинского учета);

Организационно-распорядительная информация:

должностные инструкции;

внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров.

К критическим для ИС объектам можно отнести:

— Сервера и хранящаяся на них информация.

— Сведения конфиденциального характера (коммерческая, служебная тайны), персональные данные.

— Хранящаяся в базе данных информация.

— Процедуры доступа к информационным ресурсам.

1.3 Категории пользователей, режимы использования и уровни доступа к информации

Так как в «АйТиПартнёр» проявляется произвольное управление доступом, то все права доступа пользователей устанавливаются администратором. Администратор имеет неограниченные права доступа ко всем компьютерным ресурсам предприятия

Администратор предоставляет директору предприятия права суперпользователя, поэтому директор имеет широкий доступ к документам предприятия, но не имеет доступа к системным ресурсам, к программным файлам и базам паролей.

Главный бухгалтер имеет пользовательский доступ только к документам бухгалтерии.

Сотрудник по работе с кадрами имеет доступ к персональным данным сотрудников компании, а так же к различным кадровым документам.

Менеджеры имеют доступ пользователей только к документам, необходимым для их работы.

Продавцы магазинов имеют пользовательский доступ к документам и программам, позволяющим им осуществлять торговые операции.

2. Анализ политики информационной безопасности ОАО «АйтиПартнёр»

2.1 Оценка рисков предприятия

Идентификация ресурсов

Ресурсы — это то, что имеет ценность для организации, ее деловых операций и их непрерывности. Поэтому ресурсы необходимо защищать для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет ресурсов являются жизненно важными и должны являться основной обязанностью для руководства всех уровней.

Важные ресурсы организации должны быть четко идентифицированы и должным образом оценены, а реестры этих ресурсов должны быть собраны вместе и поддерживаться в актуальном состоянии. Объединение похожих или связанных ресурсов в управляемые наборы позволяют облегчить усилия, затрачиваемые на процесс оценки рисков.

Подотчетность за ресурсы позволяет обеспечить поддержание адекватной информационной безопасности. Для каждого из идентифицированных ресурсов или группы ресурсов должен быть определен их владелец, и ответственность за сопровождение соответствующих механизмов безопасности должна быть возложена на этого владельца.

Источники требований:

В любой организации, требования безопасности происходят из трех основных источников:

· Уникальный набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации.

· Применимые к организации, ее коммерческим партнерам, подрядчикам и сервис провайдерам требования законодательства, нормативной базы и договоров.

· Уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов, и который применяется к информационным системам организации.

После того, как требования законодательства и бизнес требования были определены, необходимо рассмотреть их в процессе определения стоимости ресурсов и сформулировать их в терминах конфиденциальности, целостности и доступности.

Определение стоимости ресурсов:

Основные факторы в оценке риска — идентификация и определение стоимости ресурсов, исходя из потребностей бизнеса организации. Для определения требуемого уровня защиты ресурсов, необходимо оценить их стоимость исходя из степени их важности для бизнеса или их ценности для различных возможностей деловой деятельности. Также необходимо учитывать идентифицированные законодательные требования, требования бизнеса и последствия нарушения конфиденциальности, целостности и доступности.

Одним из способов выражения стоимости ресурса является использование последствий для бизнеса, возникающих в отношении ресурса и связанных с ним деловых интересов, которым будет нанесен прямой или косвенный ущерб в результате нежелательных инцидентов, таких как раскрытие, модификация, недоступность и / или уничтожение ресурсов. Эти инциденты могут, в свою очередь, привести к потере дохода или прибыли, поэтому эти соображения должны быть отражены в стоимости ресурсов.

Исходные данные для определения стоимости ресурсов должны быть предоставлены владельцами и пользователями этих ресурсов, которые могут авторитетно рассуждать о стоимости ресурсов и конкретной информации для организации и ее бизнеса. Для того чтобы единообразно определять стоимость ресурсов, должна быть определена шкала стоимости ресурсов.

Для каждого из ресурсов должна быть определена его стоимость, отражающая потенциальные последствия для бизнеса в случае нарушения конфиденциальности, целостности, доступности или любых других важных свойств этого ресурса. Для каждого из этих свойств должно быть определено отдельное значение стоимости, так как они являются независимыми и могут варьироваться для каждого из ресурсов.

Информация и другие ресурсы должны быть соответствующим образом классифицированы в соответствии с идентифицированной стоимостью ресурсов, законодательными и бизнес требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца ресурса.

Идентификация угроз и уязвимостей:

Ресурсы являются объектом для многих видов угроз. Угроза может стать причиной нежелательного инцидента, в результате которого организации или ее ресурсам будет причинен ущерб. Этот ущерб может возникнуть в результате атаки на информацию, принадлежащую организации, например, приводящей к ее несанкционированному раскрытию, модификации, повреждению, уничтожению, недоступности или потери. Угрозы могут исходить от случайных или преднамеренных источников или событий. При реализации угрозы используется одна или более уязвимостей используемых организацией систем, приложений или сервисов с целью успешного причинения ущерба ресурсам. Угрозы могут исходить как изнутри организации, так и извне.

Уязвимости представляют собой слабости защиты, ассоциированные с ресурсами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов, которые могут привести к потере, повреждению или ущербу для ресурсов и бизнеса организации. Идентификация уязвимостей должна определять связанные с ресурсами слабости в:

· физическом окружении;

· персонале, процедурах управления, администрирования и механизмах контроля;

· деловых операциях и предоставлении сервисов;

· технических средствах, программном обеспечении или телекоммуникационном оборудовании и поддерживающей инфраструктуре.

Оценка угроз и уязвимостей:

После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости.

Оценка вероятности угроз должна учитывать следующее:

· Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности ресурсов для реализации изощренных атак.

· Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, такими как химические вещества или бензин. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены.

· Прошлые инциденты. Это инциденты, происходившие в прошлом, которые иллюстрируют проблемы, имеющиеся в существующих защитных мерах.

· Новые разработки и тенденции. Это включает в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей или от других организаций, которые помогают оценивать ситуацию с угрозами.

Вероятность реализации угроз должна оцениваться на основе такой оценки и на базе шкалы, выбранной для оценки угроз и уязвимостей. Общая вероятность инцидента также зависит от уязвимостей ресурсов, т. е. насколько легко уязвимости могут быть использованы.

Вычисление и оценивание рисков:

Вычисление уровней рисков производиться путем комбинирования стоимости ресурсов, выражающей вероятные последствия нарушения конфиденциальности, целостности и / или доступности, с оценочной вероятностью связанных с ними угроз и величиной уязвимостей, которые при объединении становятся причиной инцидента.

Организация сама должна определить метод оценки рисков, наиболее подходящий для ее бизнес требований и требований безопасности. Вычисленные уровни рисков позволяют ранжировать риски и идентифицировать те риски, которые являются наиболее проблематичными для организации.

Существуют различные способы установления отношений между стоимостью, присвоенной ресурсам, вероятностью угроз и величиной уязвимостей для получения единиц измерения рисков.

Риск определяется двумя факторами, один их них выражает последствия, наступающие в случае осуществления риска, а другой выражает вероятность того, что это событие может произойти.

Фактор, определяющий последствия риска, основан на определении стоимости ресурса, а вероятностный фактор риска, базируется на угрозах и уязвимостях и их оценочных величинах.

Следующей частью оценивания риска является сравнение вычисленных уровней риска со шкалой уровня риска. Уровни риска должны быть выражены в терминах потерь для бизнеса и времени восстановления, как, например, «серьезный ущерб для бизнеса организации, от которого организация не может восстановиться раньше, чем за полгода». Установление связи между уровнями риска и бизнесом организации необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые в большинстве случаев уровни риска, т. е. те уровни риска, при которых оцениваемый ущерб настолько мал, что организация справляется с ним не прерывая своего повседневного бизнеса, и при которых, поэтому, дальнейшие действия не требуются.

2.2 Анализ информационных рисков

Модель нарушителя:

Модель нарушителя представляет из себя некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Чаще всего они подразделяются на внешних, внутренних и прочих (соответственно, категории А, В и C). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории.

Таблица 1. Модель нарушителя

Идентификатор

Наименование

Описание возможностей

A1

Внешний нарушитель

B1

Внутренний нарушитель

Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к информационному ресурсу.

B2

Внутренний нарушитель

Зарегистрированный пользователь информационного ресурса, имеющий ограниченные права доступа к данным.

C1

Вредоносная программа

Программные закладки («Троянский конь», специальные программы: клавиатурные шпионы, программы подбора паролей удаленного доступа и др.)

Программные вирусы.

C2

Сбои, отказы оборудования

Ресурсы информационной системы:

В качестве объектов информационной системы, к которым применялся обзор угроз, были выбраны основные компоненты сети:

· Domain Controller

· Exchange

· Сервер БД

· Терминальный Сервер

· Маршрутизатор

· Коммутатор

· Рабочее место центрального офиса

· Рабочее место магазина

· Канал связи

Компьютеры рабочих мест центрального офиса и магазина были объединены в группы Рабочее место центрального офиса и Рабочее место магазина соответственно, в виду схожести рабочих мест, отдельное их рассмотрение нецелесообразно. Также в группы были объединены Маршрутизаторы и Коммутаторы. Для каждого сервера организации составлялся собственный список угроз и оценка рисков.

Был выбран обобщенный список угроз, для их устранения на данном, начальном этапе. Ряд перечисленных угроз включает в себя определенный перечень (BS 7799−3: 2006).

Угроза получения полного удаленного контроля над системой включает в себя:

· несанкционированный доступ;

· несанкционированный доступ к журналам аудита;

· присвоение идентификатора пользователя;

· доступ к сети неавторизованных лиц;

Угроза нарушения целостности, правильного функционирования системы включает в себя:

· нарушение целостности;

· ошибки;

· внедрение несанкционированного или не протестированного кода;

· вредоносный код;

Угроза нарушения доступности системы включает в себя:

· отказ в обслуживании, недоступность системных ресурсов, информации;

· уничтожение записей;

· сбой оборудования;

· сбой коммуникационных сервисов;

Физическое повреждение аппаратных средств включает в себя:

· сбой системы кондиционирования воздуха;

· повреждение носителей информации;

· бедствия (стихийные или вызванные действиями людей);

· несанкционированный физический доступ;

· вандализм;

Возможность негласного получения и разглашение (публикация) защищаемой информации включает в себя:

· несанкционированное раскрытие информации.

· утечка информации;

· раскрытие информации;

· раскрытие паролей;

· перехват информации;

· фальсификация записей;

Расчет информационных рисков:

Стоимость ресурса (Asset Value, AV). Характеристика ценности данного ресурса. 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса, 3 — максимальная стоимость ресурса.

Мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. 1 — минимальная мера уязвимости, 2 — средняя мера уязвимости, 3 — максимальная мера уязвимости.

Оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени, и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).

На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):

Оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле: SLE = AV x EF;

Итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле: ALE = SLE x ARO.

Конечная формула расчета рисков представляет собой произведение: ALE = ((AV x EF = SLE) x ARO). [17]

Определение значение ущерба и вероятностей производилась техническими специалистами и заместителем директора по информационной безопасности ОАО «АйТиПартнер», в составе 3-х человек.

Таблица 2 — Перечень угроз, представляющих потенциальную опасность для данных

Ресурс

AV

Угроза

Модель нарушителя

EF

ARO

SLE

ALE

Domain Controller

3

Угроза получения полного удаленного контроля над системой

A1, B2

3

2

9

18

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

3

3

9

27

Угроза нарушения доступности системы

A1, B2, C1

3

2

9

18

Подмена сетевого адреса.

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств.

B1

1

1

3

3

Exchange

3

Угроза получения полного удаленного контроля над системой

A1, B2

3

2

9

18

Возможность негласного получения и разглашение (публикация) защищаемой информации.

A1, B2, C1

2

2

6

12

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

3

3

9

27

Угроза нарушения доступности системы.

A1, B2, C1

3

2

9

18

Ресурс

AV

Угроза

Модель нарушителя

EF

ARO

SLE

ALE

Exchange

3

Подмена сетевого адреса

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств

B1

1

1

3

3

Сервер БД

3

Угроза получения полного удаленного контроля над системой.

A1, B2

3

2

9

18

Возможность негласного получения и разглашение (публикация) защищаемой информации.

A1, B2, C1

2

2

6

12

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

3

3

9

27

Угроза нарушения доступности системы.

A1, B2, C1

3

2

9

18

Подмена сетевого адреса

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств

B1

1

1

3

3

Терминальный Сервер

3

Угроза получения полного удаленного контроля над системой.

A1, B2

3

2

9

18

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

3

2

9

18

Угроза нарушения доступности системы.

A1, B2, C1

3

2

9

18

Подмена сетевого адреса

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств

B1

1

1

3

3

Маршрутизатор

3

Угроза получения полного удаленного контроля над системой

A1, B2

2

2

6

12

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

2

2

6

12

Угроза нарушения доступности системы

A1, B2, C1

3

2

9

18

Подмена сетевого адреса.

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств.

B1

1

1

3

3

Коммутатор

3

Угроза получения полного удаленного контроля над системой

A1, B2

2

2

6

12

Угроза нарушения целостности, правильного функционирования системы.

A1, B2, C1, C2

2

2

6

12

Угроза нарушения доступности системы

A1, B2, C1

3

2

9

18

Ресурс

AV

Угроза

Модель нарушителя

EF

ARO

SLE

ALE

Коммутатор

3

Подмена сетевого адреса.

A1, B2

3

3

9

27

Физическое повреждение аппаратных средств.

B1

1

1

3

3

Рабочее место центрального офиса

1

Угроза получения полного удаленного контроля над системой.

A1, B2

3

2

3

6

Угроза нарушения целостности, правильного функционирования системы.

A1, C1, C2

3

3

3

9

Угроза нарушения доступности системы.

A1, C1

3

2

3

6

Подмена сетевого адреса

A1

3

3

3

9

Физическое повреждение аппаратных средств

A1, B1

3

2

3

6

Угроза утечки видовой информации

A1, B1

3

2

3

6

Рабочее место магазина

1

Угроза нарушения целостности, правильного функционирования системы.

A1, C1, C2

2

3

2

6

Подмена сетевого адреса

A1

3

1

3

3

Физическое повреждение аппаратных средств

A1, B1

2

2

2

4

Угроза утечки видовой информации

A1, B1

1

2

1

2

Канал связи

3

Угроза перехвата сетевого трафика с целью дальнейшего анализа

A1, C1

3

1

9

9

Физическое повреждение

A1, C2

3

2

9

18

Технические и организационные меры устранения информационных угроз:

Сервера:

Таблица 3-Меры по устранению информационных угроз Серверов

Угроза

Техническое решение

Организационное решение

Угроза получения полного удаленного контроля над системой

Своевременное обновление операционной системы

Развертывание лицензионного антивирусного ПО

Фильтрация сетевого трафика, доверенный список портов.

Применение более жестких шаблонов безопасности.

Периодическая проверка уровня безопасности (использование специализированных сканеров)

Настройка системы обнаружения вторжений (на уровне маршрутизатора cisco)

Инструкция по обновлению серверных систем.

Инструкция по антивирусной защите серверных систем.

Инструкция по парольной защите.

Регламент ИБ

Угроза нарушения целостности, правильного функционирования системы.

Своевременное обновление операционной системы

Развертывание лицензионного антивирусного ПО

Регулярное резервное копирование

Тестирование обновлений на специализированных компьютерах для выявления возможных проблем

Инструкция по обновлению серверных систем.

Инструкция по антивирусной защите серверных систем.

Инструкция по резервному копированию серверных систем.

Угроза нарушения доступности системы

Обеспечение резервного питания.

Наличие резервного сервера.

Контроль доступа в серверное помещение.

Регламент ИБ.

Подмена сетевого адреса.

Вывод в отдельный сегмент сети.

Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).

Portsecurity на коммутаторах cisco

Регламент ИБ.

Физическое повреждение аппаратных средств.

Контроль температуры, влажности серверного помещения.

Обеспечение резервного питания.

Контроль доступа в серверное помещение.

Инструкция по эксплуатации оборудования

Регламент ИБ.

Маршрутизатор:

Таблица 4. Меры по устранению информационных угроз Маршрутизаторов

Угроза

Техническое решение

Организационное решение

Угроза получения полного удаленного контроля над системой

Своевременное обновление.

Вывод управляющего интерфейса в отдельный сегмент сети.

Использование ssh.

Использование стойких паролей.

Инструкция по парольной защите.

Регламент ИБ.

Угроза нарушения целостности, правильного функционирования системы.

Своевременное обновление

Регулярное резервное копирование конфигурации

Инструкция по обновлению серверных систем.

Инструкция по резервному копированию.

Угроза нарушения доступности системы

Обеспечение резервного питания.

Наличие резервного Маршрутизатора.

Резервирование конфигурации оборудования.

Контроль доступа.

Регламент ИБ.

Физическое повреждение аппаратных средств.

Обеспечение резервного питания.

Контроль доступа.

Регламент ИБ.

Коммутатор:

Таблица 5. Меры по устранению информационных угроз Коммутаторов

Угроза

Техническое решение

Организационное решение

Угроза нарушения целостности, правильного функционирования системы.

Применение ACL листов.

Фильтрация трафика по доверенному списку портов.

Использование стойких паролей.

Внедрение системы аудита.

Инструкция по парольной защите.

Регламент ИБ.

Угроза нарушения доступности системы

Обеспечение резервного питания.

Наличие резервного Коммутатора.

Резервирование конфигурации оборудования.

Контроль доступа.

Регламент ИБ.

Физическое повреждение аппаратных средств.

Обеспечение резервного питания.

Контроль доступа.

Регламент ИБ.

Рабочее место центрального офиса:

Таблица 6. Меры по устранению информационных угроз Рабочих мест центрального офиса

Угроза

Техническое решение

Организационное решение

Угроза получения полного удаленного контроля над системой

Своевременное обновление операционной системы.

Развертывание лицензионного антивирусного ПО.

Настройка персонального межсетевого экрана.

Применение политик безопасности.

Инструкция по обновлению операционных систем.

Инструкция по антивирусной защите.

Инструкция по парольной защите.

Регламент ИБ.

Угроза нарушения целостности, правильного функционирования системы.

Своевременное обновление операционной системы.

Развертывание лицензионного антивирусного ПО.

Регулярное резервное копирование.

Инструкция по обновлению операционных систем.

Инструкция по антивирусной защите.

Инструкция по резервному копированию.

Угроза нарушения доступности системы

Обеспечение резервного питания.

Наличие резервного РМ.

Подмена сетевого адреса.

Вывод в отдельный сегмент сети.

Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).

Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций.

Настройка portsecurity на коммутаторах.

Регламент ИБ.

Физическое повреждение аппаратных средств.

Обеспечение резервного питания.

Контроль доступа в помещение.

Инструкция по эксплуатации рабочего места.

Угроза утечки видовой информации

Контроль доступа в помещение.

Правильное расположение мониторов на рабочих местах.

Принудительное включение заставок экрана

Инструкция по парольной защите

Рабочее место магазинов:

Таблица 7. Меры по устранению информационных угроз Рабочих мест магазинов

Угроза

Техническое решение

Организационное решение

Угроза нарушения целостности, правильного функционирования системы.

Своевременное обновление операционной системы

Развертывание лицензионного антивирусного ПО

Настройка персонального межсетевого экрана.

Применение политик безопасности.

Инструкция по обновлению операционных систем.

Инструкция по антивирусной защите.

Инструкция по парольной защите.

Подмена сетевого адреса.

Вывод в отдельный сегмент сети.

Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций).

Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций.

Настройка portsecurity на коммутаторах.

Регламент ИБ.

Физическое повреждение аппаратных средств.

Обеспечение резервного питания.

Инструкция по эксплуатации рабочего места.

Угроза утечки видовой информации

Правильное расположение мониторов на рабочих местах.

Инструкция по парольной защите

Канал связи:

Таблица 8. Меры по устранению информационных угроз Каналов связи

Угроза

Техническое решение

Организационное решение

Угроза перехвата сетевого трафика с целью дальнейшего анализа

Организация IPsec site-to-site vpn

Регламент ИБ

Инструкция по подключению удаленных мест и филиалов.

Физическое повреждение

Организация резервного канала связи

Инструкция по подключению удаленных мест и филиалов.

2.3 Выводы

Была рассмотрена существующая схема организации сети в ОАО «АйТиПартнер». На основе этой схемы были выделены основные ресурсы организации и выполнен анализ рисков.

В ходе проведения анализа рисков были определены следующие, наиболее актуальные, угрозы:

· Угроза получения полного удаленного контроля над системой.

· Угроза нарушения целостности, правильного функционирования системы.

· Угроза нарушения доступности системы.

· Подмена сетевого адреса.

Был предложен ряд мер по снижению возникновения этих угроз:

· Своевременное обновление операционной системы.

· Фильтрация сетевого трафика, доверенный список портов.

· Вывод в отдельный сегмент сети.

· Внедрение системы сертификатов.

· Инструкция по обновлению серверных систем.

· Инструкция по антивирусной защите серверных систем.

· Регламент И Б.

3. Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия АИС ОАО «АйТиПартнёр»

Для уменьшения рисков угроз безопасности коммерческой информации в ОАО «АйТиПартнер» необходимо принять следующие меры по защите информации:

1. Изменение информационной сети Центрального офиса — Выведение основных серверов в отдельную подсеть; Выведение рабочих компьютеров сотрудников и принтеров в отдельную подсеть (Рисунок 5).

2. Изменение информационной сети Магазинов — Разделение сети на рабочую и гостевую подсети; настройка ACL листов на маршрутизаторах; обеспечение резервного канала связи.

3. Система цифровых сертификатов — Внедрение сервера сертификатов x. 509; Внедрение Radius сервера для проверки подлинности сертификатов.

4. Организационные меры по защите информации — Описание регламентов информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите.

Рисунок 5-Структурная схема организации

3.1 Проект по изменению информационной сети Центрального офиса

Цель проекта:

В настоящее время в сети ОАО «АйТиПартнер» все сервера, а также компьютеры пользователей и принтеры в центральном офисе компании находятся вместе в одной подсети (192. 168. 100. 0/24). Данное обстоятельство не является обязательным для функционирования рабочих процессов и, кроме того, негативно сказывается на безопасности серверов. Например, включение через патчкорд (через который был подключен принтер или компьютер сотрудника) принесенного «левого» ноутбука позволяет получить последнему по DHCP адрес из подсети, в которой находятся все сервера компании.

Принято решение разработать данный план, согласно которому вывести важные для бизнеса сервера в отдельную подсеть, а также отделить рабочие компьютеры сотрудников и принтеры в отдельную подсеть (Рисунок 6).

Таблица 9-Адресация серверов центрального офиса.

Название сервера

Текущий IP-адрес

Новый IP-адрес

Serv_dc (Domain Controller)

192. 168. 100. 5

192. 168. 120. 5

Serv_exch (Exchange Server)

192. 168. 100. 6

192. 168. 120. 6

Serv_term (Terminal Server)

192. 168. 100. 10

192. 168. 120. 10

Serv_bd (DataBase Server)

192. 168. 100. 11

192. 168. 120. 11

План разделения на подсети:

Таблица 10-план разделения центрального офиса на подсети.

Подсеть

Содержимое

1

vlan100 (DEFAULT) — 192. 168. 100. 0/24

Рабочие места

2

vlan120 (ITNET) — 192. 168. 120. 0/27

Новая подсеть для серверов

Схема сети:

Рисунок 6-Схема сети центрального офиса

3.2 Проект по изменению информационной сети Магазина 1

Цель проекта:

Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 7).

В рамках проекта решаются следующие задачи:

· работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;

· работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);

· повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети;

Наложенные ограничения и условия:

· Необходимость подключения к сети оборудования сторонних сотрудников, универсального места тестирования и связанные с этим риски;

· Скорость основного канала связи до центрального офиса — 100Мбит/с, резервного — 256Кбит/с;

· Из гостевой сети доступны интернет-сервера активации продаваемого ПО, доступ в Интернет через прокси-сервер, доступ до серверов организаций сторонних сотрудников;

Общие принципы организации:

Основная задача, которая решается проектом информационной системы — обеспечить с одной стороны изоляцию рабочей среды от деструктивной активности зараженных или неправильно настроенных рабочих мест, а с другой предоставить максимальный уровень сервиса всем подключенным клиентам системы.

Реализованный вариант информационной системы представляет собой логически (на уровне коммутатора) поделенную на две части сеть:

1. рабочая сеть;

2. гостевая сеть.

Рабочая сеть — обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании.

Гостевая сеть — обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования. Наложенные ограничения — доступ к Интернет через прокси-сервер, доступ к серверам активации продаваемого ПО;

Таблица 11-План разделения Магазина 1 на подсети

Тип сети

Адрес сети

Маршрутизатор

Рабочая сеть

192. 168. 110. 64/255. 255. 255. 224

192. 168. 110. 65

Гостевая сеть

192. 168. 111. 32/255. 255. 255. 240

192. 168. 111. 33

Схема сети:

Рисунок 7-Схема Локальной сети и организации связи Магазина 1.

Оборудование локальной сети:

Для подключения клиентов рабочей и гостевой сетей использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

VLAN 1 — рабочая сеть, адресация: 192. 168. 110. 64/27

VLAN 2 — гостевая сеть, адресация: 192. 168. 111. 32/28

Основные настройки коммутатора AT-8326GB:

· Имя sw-bk-01;

· IP-адрес 192. 168. 110. 66;

· Настройка топологии — VLAN, назначение портов в VLAN;

· Настройка авторизации пользователей — регистрация на сервере RADIUS, определение портов для поддержки авторизации (за исключением устройств, не поддерживающих авторизацию по сертификату);

· Настройка дополнительных параметров — SNMP-community (public), пароля администратора.

Основные настройки маршрутизатора Cisco 871:

1. Настройка ACL для рабочей сети;

2. Применение ACL рабочей сети к sub-интерфейсу с направлением in.

3. Настройка ACL для гостевой сети;

4. Применение ACL гостевой сети к sub-интерфейсу с направлением in.

5. Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. Выдача IP-адресов выполняется в рабочей и гостевой подсетях. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192. 168. 120.5 и partner. local соответственно. При выдаче IP-адресов для клиентов гостевой сети адрес DNS-сервера 192. 168. 120.5. В каждой подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

3.3 Проект по изменению информационной сети Магазина 2

Цель проекта:

Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 8).

В рамках проекта решаются следующие задачи:

· работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;

· работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);

· повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети;

Наложенные ограничения и условия:

· Необходимость подключения к сети оборудования сторонних сотрудников, универсального места тестирования и связанные с этим риски;

· Скорость основного канала связи до центрального офиса — 100Мбит/с, резервного — 256Кбит/с;

· Из гостевой сети доступны интернет-сервера активации продаваемого ПО, доступ в Интернет через прокси-сервер, доступ до серверов организаций сторонних сотрудников;

Общие принципы организации:

Основная задача, которая решается проектом информационной системы — обеспечить с одной стороны изоляцию рабочей среды от деструктивной активности зараженных или неправильно настроенных рабочих мест, а с другой предоставить максимальный уровень сервиса всем подключенным клиентам системы.

Реализованный вариант информационной системы представляет собой логически (на уровне коммутатора) поделенную на две части сеть:

3. рабочая сеть;

4. гостевая сеть.

Рабочая сеть обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании.

Гостевая сеть — обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования. Наложенные ограничения — доступ к Интернет через прокси-сервер, доступ к серверам активации продаваемого ПО;

Таблица 12-План разделения Магазина 2 на подсети.

Тип сети

Адрес сети

Маршрутизатор

Рабочая сеть

192. 168. 110. 128/255. 255. 255. 224

192. 168. 110. 129

Гостевая сеть

192. 168. 111. 16/255. 255. 255. 240

192. 168. 111. 17

Схема сети

Рисунок 8-Схема Локальной сети и организации связи Магазина 2

Оборудование локальной сети:

Для подключения клиентов рабочей и гостевой сетей использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 1841. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

VLAN 1 — рабочая сеть, адресация: 192. 168. 110. 128/27

VLAN 2 — гостевая сеть, адресация: 192. 168. 111. 16/28

Основные настройки коммутатора AT-8326GB:

· Имя sw-prmr-01;

· IP-адрес 192. 168. 110. 130;

· Настройка топологии — VLAN, назначение портов в VLAN;

· Настройка авторизации пользователей — регистрация на сервере RADIUS, определение портов для поддержки авторизации (за исключением устройств, не поддерживающих авторизацию по сертификату);

· Настройка дополнительных параметров — SNMP-community (public), пароля администратора.

Основные настройки маршрутизатора Cisco 1841:

6. Настройка ACL для рабочей сети;

7. Применение ACL рабочей сети к sub-интерфейсу с направлением in.

8. Настройка ACL для гостевой сети;

9. Применение ACL гостевой сети к sub-интерфейсу с направлением in.

10. Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. Выдача IP-адресов выполняется в рабочей и гостевой подсетях. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192. 168. 120.5 и partner. local соответственно. При выдаче IP-адресов для клиентов гостевой сети адрес DNS-сервера 192. 168. 120.5. В каждой подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

3.4 Внедрение системы цифровых сертификатов

Формат сертификатов открытых ключей X. 509:

Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X. 509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе.

Описание:

Сертификат открытого ключа подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата. В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

· серийный номер сертификата Certificate Serial Number;

· идентификатор алгоритма подписи Signature Algorithm Identifier;

· имя издателя Issuer Name;

· период действия Validity (Not Before/After);

· открытый ключ субъекта Subject Public Key Information;

· имя субъекта сертификата Subject Name.

Под субъектом сертификата понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения.

Дополнения сертификата:

Дополнения позволяют включать в сертификат информацию, которая отсутствует в основном содержании. В дополнениях содержится технологическая информация, позволяющая проверить подлинность сертификата.

Опциональное поле «Extensions» появляется в сертификатах третьей версии. Каждое дополнение состоит из идентификатора типа дополнения Extension identifier, признака критичности Criticality flag и собственно значения дополнения Extension value.

Дополнения сертификатов X. 509 определены рекомендациями Х. 509 версии 3 Международного Союза по телекоммуникациям и документом RFC 3280. Все эти дополнения можно разделить на две категории: ограничивающие и информационные. Первые ограничивают область применения ключа, определенного сертификатом, или самого сертификата. Вторые содержат дополнительную информацию, которая может быть использована в прикладном программном обеспечении пользователем сертификата. К ограничивающим дополнениям относятся:

· основные ограничения (Basic Constraints);

· назначение ключа (Key Usage);

· расширенное назначение ключа (Extended Key Usage);

· политики применения сертификата (Certificates Policies, Policy Mappings, Policy Constraints);

· ограничения на имена (Name Constraints).

К информационным дополнениям относятся:

· идентификаторы ключей (Subject Key Identifier, Authority Key Identifier);

· альтернативные имена (Subject Alternative Name, Issuer Alternative Name);

· пункт распространения списка аннулированных сертификатов (CRL Distribution Point, Issuing Distribution Point);

· способ доступа к информации УЦ (Authority Access Info). [22]

RADIUS — Сервер:

Аббревиатура RADIUS расшифровывается как Remote Authentication Dial-In User Service (Служба удаленной аутентификации входящих пользователей). Изначально концепция RADIUS состояла в обеспечении удаленного доступа через коммутируемое телефонное соединение. Сейчас же протокол RADIUS используется для авторизации, аутентификации и учета пользователей в различных системах (в том числе и беспроводных). Протокол RADIUS полностью абстрагирован не только от технологии связи, но и от протоколов передачи данных в сети, в которой происходит авторизация. Фактически функция сервера RADIUS сводится к тому, что сервер принимает информацию, которую пользователь сети предоставляет в процессе аутентификации, и авторизует пользователя. Использование сервера RADIUS не может сделать безопаснее сам процесс передачи данных в сети, оно может обезопасить только процесс передачи данных в ходе аутентификации. После того как процесс авторизации пользователя в сети завершился, сервер RADIUS ему больше не нужен, по крайней мере, до тех пор, пока пользователю не понадобится снова авторизоваться в системе.

ПоказатьСвернуть
Заполнить форму текущей работой