вторник, 30 октября 2012 г.

Общее. С чего начать CISO?


Недавно с коллегами обсуждали интересный вопрос – с чего начать CISO недавно пришедшему в компанию, если до него полноценно ИБ не занимались, доверия от руководства ещё нет, бюджеты, выделяемые раньше на ИБ были минимальными, хочется в кратчайшие сроки укрепить лично свои позиции перед руководством, а службу ИБ вывести в состав важнейших, хотя бы на уровне службы ИТ?

Тут я вижу 3 варианта действий: бизнес подход, жесткий контроль, лучший специалист.

Вариант ИБ бизнес подход”:
·         Собрать комитет по ИБ
·         Определить требования бизнеса к ИБ, цели и приоритеты
·         Разработка концепции ИБ, политики менеджмента ИБ
·         Определить показатели эффективности службы ИБ
·         Довести до всех членов комитета важность вопросов ИБ
·         Убедить всех членов комитета принять активное участие в дальнейших мероприятиях по ИБ
·         Провести инвентаризацию, классификацию и оценку информационных активов
·         Провести классификацию угроз и оценку рисков ИБ
·         Составить план мероприятий по ИБ (обработки рисков ИБ),  внедрения СУИБ и СМИБ
·         Внедрить мероприятия, СУИБ, СМИБ
·         Провести аудит, оценку показателей эффективности службы ИБ и доказать руководству свою значимость и эффективность

Выглядит слишком долгосрочным и негарантированным? Тогда быстрый вариант “жесткий контроль”:
·         Получить на короткое время (испытательное) полномочия в корпоративной системе
·         Развернуть небольшой пилотный или демо проект по контролю всех коммуникаций (электронная почта, переговоры, интернет, файловые хранилища, съемные носители, печать) и работой (скриншоты рабочего процесса) ряда пользователей. Даже если не найдем преступников, то будет обнаружено нецелевое использование ресурсов, халатность или нарушение этических норм
·         Заказать недорогой внешний пентест и провести внутренней сканирование  и как следствие понизить репутацию CIO и предстать тем, кто может спасти  компанию и знает правильный путь
·         В итоге предыдущей работы собран компромат свидетельства нарушений на половину топ менеджеров, подружится со второй половиной менеджеров, которые захотят получить  послабления по контролю для себя
·         В итоге собрать Комитет по ИБ, с поддержкой менеджеров получить бюджет на расширение  системы тотального контроля на всю организацию и увеличение штата службы ИБ
·         Через некоторое время нагнать страху на  провести презентацию про пару новых, непонятных, но очень опасных угроз для Генерального директора и выбить бюджет ещё на несколько систем защиты мирового уровня (особой потребности для нас в этом нет, после внедрения системы тотального контроля, но ведь бюджет на ИБ нужно сделать побольше)

Цели достигнуты, бюджет и репутация в наличие, но вам кажется жестковатым? Тогда помягче вариант “лучший специалист” (хоть он не вполне достигает целей, но имеет место быть):
·         Подход “главное не навредить”. Не делать ничего необдуманного, чтобы не потерять и так небольшую репутацию
·         Сходить на обучение для CISO
·         Научится готовить и читать презентации
·         Изучить психологию
·         Изучить популярные технологии обеспечения ИБ
·         Изучить технологические процессы и системы компании
·         Изучить различные методологии, стандарты и лучшие практики ИБ
·         Ждать подходящего повода - пока руководство обратится за советом, помощью или случится критический инцидент
·         Выдать и презентовать свой идеальный план, стратегию или политику для данного случая.
·         Показав свой профессионализм, убедить руководство выделить ресурсы на реализацию плана и реализовать его  

Вот такие получились варианты. Не готов сходу сказать что только один из них идеальный и подходит для всех случаев.

Интересно было бы услышать, какой-то ещё возможный вариант действий, а так-же о том, встречался ли вам успешный CISO в одной из этих трех ипостасей?


PS: статьи и заметки от коллег по этой теме:

Алексей Лукацкий. 5 дней из жизни CISO
Алексей Лукацкий. Психология для CISO
Александр Бондаренко. Вам достался отдел ИБ
Евгений Царев. Бизнес-курс для CISO
Дмитрий Орлов. Почему не нужен CISO?
Дмитрий Орлов.  CISO. Проведение презентаций 1 и 2


среда, 24 октября 2012 г.

СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России


В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.

Из основного могу отметить:
В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов, но каким именно документом руководствоваться для конкретных определений – непонятно. Учитывая несогласованность разных уже существующих документов – это может стать проблемой.
Для примера: есть требования о сертификации всех средств защиты информации, но нет определения средства защиты информации. В своем блоге я уже поднимал эту тему и приводил к каким сложностям приводит неоднозначность  в этом определении.
Так-же в документе есть несогласованность с законодательством в области защиты ПДн.  Так например применительно к ИСПДн используется класс (К) ИСПДн и уровень защищенности (УЗ).  В рассматриваемых Требованиях вводится класс защищенности (К) и уровень значимости (УЗ). Это приведет к большой путанице при пересечении ИСПДн и ГИС.

В остальном документ приличный.  Если будет гибкая методика определения контрмер в зависимости от актуальности угроз то документ можно будет использовать для построения эффективных систем обеспечения информационной безопасности.

Существенным новшеством является требование аттестовать  только часть типовых сегментов ГИС, если обеспечивается их соответствие друг другу.

Получившиеся в итоге замечания и предложения отправлены в ФСТЭК России в соответствии с информационным сообщением.

Просьба при использовании материалов делать ссылку на источник и/или указывать соавторство.

понедельник, 22 октября 2012 г.

СОИБ. Анализ. Вызовы для ИБ


В ряде случаев возникает необходимость привести примеры инцидентов ИБ и других сложных ситуаций, которые возникают у ответственных за ИБ в случае отсутствия комплексной системы обеспечения информационной безопасности.
Привожу ниже те случаи и инциденты, которые связаны с наиболее ценной защищаемой информацией (остальные остались за границами данной заметки):
1.      Администратор бизнес приложения или БД, используя локальный доступ к консоли сервера, сделал копию большого объема данных и записал её на свой АРМ или съемный носитель;
2.      Пользователь бизнес приложения за короткий промежуток времени выполнил просмотр ценной информации по большому количеству ключевых клиентов (в том числе тех, с которыми ранее не работал), распечатал или сохранил информацию в файл
3.      Пользователь бизнес приложения, скачал в сети Интернет клиентское ПО для подключения к БД, подключился напрямую к БД с использованием своей учетной записи и получил доступ к ценной информации, которая обычно не отображается в  бизнес приложении;
4.      Сотрудник  Организации, знал, подсмотрел или подслушал пароль другого сотрудника; подключился к бизнес приложению со своего АРМ от имени другого пользователя и получил несанкционированный доступ к информации
5.      На АРМ сотрудника Организации произошло заражение и выполнение вредоносного кода, который автоматически просканировал сервера приложений и БД и получил несанкционированный доступ к ним через не устранённую уязвимость
6.      Клиент Организации, используя уязвимость фильтрации данных в бизнес приложении выполнил атаку (например, SQL injection) и получил несанкционированный доступ к ценной информации
7.      В рамках контроля выполнения требований ФЗ в области защиты ПДн, аудитор просит предоставить свидетельства регистрации всех фактов доступа к персональным данным
8.      В рамках контроля выполнения требований PCI DSS, аудитор просит предоставить свидетельства регистрации всех фактов доступа к информации о пластиковых картах (Cardholder Data)
9.      В рамках контроля выполнения требований ЦБ РФ, аудитор просит предоставить свидетельства регистрации всех фактов доступа к платежной информации
10.   В результате жалобы клиента банка обнаружено, что одним из сотрудников месяц назад была выполнена несанкционированная операция (например, перевод денежных средств); Необходимо расследование инцидента

Хотелось бы услышать что произойдет в вашей организации не имеющей СОИБ? (будет ли что-то зарегистрировано в журналах, будет ли предотвращено автоматически какое-то нарушение, будет ли кто-то автоматически уведомлен, будет ли у вас необходимая информация для свидетельств)

Хотелось бы услышать что произойдет в вашей организации имеющей СОИБ?

Что предложите использовать в качестве контрмеры для данных инцидентов или случаев ИБ?

Можно по части пунктов.
Потом, соответственно, я приведу свои варианты.

вторник, 16 октября 2012 г.

Общее. Вебинары NGS Distribution


Новый дистрибьютор решений по ИБ NGS Distribution провел ряд вебинаров:
·        11 октября совместный с Stonesoft вебинар “Настройка StoneGate SSL VPN с нуля”; видеозапись
·        16 октября вебинар “BackBox – аварийное восстановление конфигураций сетевого оборудования и устройств информационной безопасности”; презентация; видеозапись
·        18 октября совместный с Stonesoft вебинар “Что такое StoneGate IPS и почему это хорошо?”. видеозапись

По прошедшим вебинарам:

Вебинар по Stonegate SSL VPN оценю на 3 балла по глубине (из 5) – с одной стороны пошаговая конфигурация Stonegate SSL VPN в реальном времени, с комментариями и использованием GOST кприптоалгоритмов, русскими специалистами, c другой стороны показаны были только базовые настройки (кластеры, SSO, работа с мобильными устройствами, работа в смешанном режиме GOST и AES - остались на потом) и во время вебинара были сложности с отображением  окон (было видно только основное окно, другие всплывающие окна были для слушателей невидны, что препятствовало получению целостной картины).
Про само решение Stonegate SSL VPN я уже писал в заметках ранее. То что установка и базовая настройка основных возможностей заняла всего 40 минут – уже говорит о многом.

Вебинар по BackBox оценю на 2 балла по глубине  – с одной стороны было описание функций продукта плюс демонстрация на стенде нескольких задач, с другой стороны рассказывал инженер на английском и систематизировано подходы к управлению конфигурациями и устройствами описаны не были, продемонстрированы не все возможности (например, не была отработана процедура восстановления).

Само решение BackBox достаточно интересное и позволяет:
·        управлять сетевыми устройствами (в части резервного копирования и восстановления)
·        управлять конфигурациями (в части контроля изменений и резервного копирования)
·        поддержку огромного количества вендоров сетевых устройств и устройств безопасности
 Но лично я вижу некоторые ограничения по области применения:
·        сеть Организации должна быть достаточно крупной – меньше 10 устройств не стоит и заморачиваться
·        наиболее применимо когда в Организации  сетевые устройства разных производителей; если у вас все устройства на базе одного вендора, то для управления устройствами и конфигурациями лучше использовать систему из портфеля того же вендора (например, Cisco Systems и CSM, Stonegate и SMC, Check Point и Smart-1)
·        не поддерживаются российские МЭ и VPN (такие как Випнет, Континент и т.п.), а также популярный у нас Stonegate.

вторник, 9 октября 2012 г.

Общее. Материалы с мероприятий по ИБ за сентябрь-октябрь (UPDATE)


В этот раз не смог посетить очно ряд мероприятий по ИБ, так что смотрел онлайн или пересматривал в записи. Возможно вам тоже пригодится подборка..

ХI конференция "Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2012":

Конференция DLP-RUSSIA 2012:

Выставка InfoSecurity Russia 2012:
·      материалы конференции доступны после регистрации,  входа с аутентификацией, добавлении нужных докладов себе в отчет и просмотра отчета

Конференция Yet another Conference 2012 (Яндекс). Секция по ИБ:
·      доклады и видеозаписи

Международная выставка-конференция INFOBEZ-EXPO 2012:
·        презентации докладов и "официальные" видеозаписи докладов (UPD)
·        неофициальные релизы видео от Алексея Никитенко и Андрея Кондратенко 


воскресенье, 7 октября 2012 г.

СОИБ. Анализ. Регистрация событий доступа.


После реализации ряда проектов связанных и использованием специализированных средств защиты приложений и БД стал задумываться - как без них удается реализовать требования по регистрации и аудиту доступа к защищаемым данным?

О необходимости такой таких мероприятий для эффективного обеспечения ИБ я писал в одной из предыдущих заметок.

Но кроме этого есть ещё требования законодательства:
·         149-ФЗ, Статья 16:
“4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
2) своевременное обнаружение фактов несанкционированного доступа к информации;”
·         152-ФЗ, Статья 19:
“2. Обеспечение безопасности персональных данных достигается, в частности:
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;”
·         ПП 781 (ПДн):
“11. При обработке персональных данных в информационной системе должно быть обеспечено: … б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.”
·         382-П ЦБ РФ (НПС):
“2.4.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль и регистрацию действий лиц, которым назначены роли, определенные в подпункте 2.4.1 настоящего пункта.
2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта  оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: …
регистрацию действий при осуществлении доступа своих работников к защищаемой информации;
…При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.”

Для целей своевременного обнаружения фактов несанкционированного доступа к защищаемой информации,  расследования инцидентов ИБ и выполнения требований  у нас есть необходимость регистрировать все действия с защищаемой информацией, иметь возможность оперативного мониторинга/аудита и желательно автоматизированной реакции.

Но что такое защищаемая информация в корпоративных приложениях? Сколько существует возможных способов доступа к одной и той же информации (Через окно1 приложения, через окно 2 приложения, через сочетание нескольких окон приложения, через удаленные запросы к СУБД, через локальные запросы к СУБД, через временные файлы хранящиеся на сервере)? Какие действия может совершить пользователь или администратор во всех этих случаях?

 Регистрирует ли наше приложение все действия всех лиц при всех способах доступа к защищаемой информации? Есть ли в приложении или СУБД возможность оперативно просматривать и контролировать данные события? Есть ли возможность автоматического анализа и реагирования? Во всех ли наших корпоративных приложениях и СУБД это выполняется?  

Если мы ответили положительно не на все вопросы, то приходим к выводу что не можем выполнить поставленные цели.

Решение в данном случае будет применение дополнительных систем защиты: защиты приложений, защиты БД, SIMS и т.п, которые добавят необходимые функции для наших объектов защиты.


вторник, 2 октября 2012 г.

СЗПДн. Проектирование. Сертифицированные ОС


В сегодняшней заметке хотелось бы уделить внимание сертифицированным в системе ФСТЭК России операционным системам, использующимся в качестве средств защиты информации, на примере ОС семейства Microsoft Windows.

В большинстве случаев сертификация ОС в системе сертификации ФСТЭК России применяется не для уменьшения рисков ИБ, поэтому проводить экспресс анализ рисков, как в предыдущих заметках, смысла нет.

А вот для уменьшения регуляторных рисков, то есть для выполнения требований законодательства, данная мера применяется очень часто (разрабатываемые в данный момент постановления правительства, о которых я писал ранее, могут уменьшить область применения сертифицированных ОС).

Посмотрим, для выполнения, каких требований используется сертификация ОС.
1.        152-ФЗ о ПДн статья 19:
“2. Обеспечение безопасности персональных данных достигается, в частности:
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;”

2.       ПП 781:
“5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.”

3.       Приказ ФСТЭК России №58. Положение:
“2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учёта, обеспечения целостности,…. Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, … в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.”

4.       Приказ ФСТЭК России №58. Приложение к положению:
“2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
а) управление доступом:
- идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
б) регистрация и учет:
- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
в) обеспечение целостности:
- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
2.2. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
2.3. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
--//--
3.1. Для информационных систем 2. класса при однопользовательском режиме обработки персональных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки.
3.2. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей.
3.3. Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей.”

5.       СТР-К:
“Для управления, контроля защищенности ЛВС и управления системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты”

Возможными вариантами выполнения данных требований является использование накладных или сертифицированных СЗИ от НСД либо сертификация ОС.
В область охвата попадают все Операторы ПДн , все АС обрабатывающие конфиденциальную информацию в государственных организациях.

Важным плюсом варианта сертификации ОС является минимальная стоимость по сравнению с другими средствами защиты от НСД. Этим и обусловлена его популярность – можно создать СЗПДн с минимальным бюджетом.

Рассмотрим другие особенности, которые надо учитывать, выбирая или не выбирая данную меру:
·         Ваши лицензии на ОС должны входить в то подмножество, которое в принципе, возможно, сертифицировать  - OLP, OV, OVS, EA, EAS, OEM, DOEM, русские версии, из перечня сертифицированных ОС .   Если у вас какие-то проблемы с лицензиями (например, используются версии Home) придется приобретать ещё и лицензии на ОС;

·         На сертификацию необходимо предоставить все официальные дистрибутивы Windows, с которых производилась установка. Дистрибутивы должны полностью соответствовать  имеющимся лицензиям.  Если у вас лицензии OEM, а ставили с дистрибутива от OLP – сертификация невозможна, покупаем новые лицензии. Если у вас 100 OEM лицензий, а дисков OEM сохранилось только 1 - сертификация остальных невозможна, покупаем новые лицензии. По моей практике – лучше всего когда есть корпоративная лицензия, но и тогда как правила закупается несколько официальных дистрибутивов от Microsoft.

·         Если на предыдущих этапах нам пришлось закупить новые дистрибутивы Windows от Microsoft (а чаще всего так и бывает), то с этих сертифицированных дистрибутивов потребуется провести переустановку ОС. Переустановка одной ОС в зависимости от перечня корпоративного ПО и служебных библиотек займет от 4 часов до нескольких дней. А это уже на порядок больше чем установка накладного СЗИ от НСД и это надо учитывать при сравнении стоимости решений.

·         Если речь идет о сертификации ОС сервера, то добавляется ещё несколько дополнительных затрат. Если используются сервисы Microsoft (AD, файловый сервис и другие попадающие под лицензирование CAL) то необходимо приобретение пакетов сертифицированного клиентского доступа (сертификация CAL). Если используются сервисы терминального доступа Microsoft, то необходимо приобретение  пакетов сертифицированного терминального клиентского доступа (сертификация Terminal CAL). Приведенные пакеты могут существенно повысить стоимость решения.

·         Если количество сертифицированных ОС велико (более 50), необходимо закладывать систему централизованного управления контролем и настройкой сертифицированных ОС – Net Check. Это тоже небольшое увеличение стоимости.
·         Теперь о хорошем – ухудшение работы ИС от добавления СЗИ минимальное. Функция контроля целостности настраивается за пару минут и отрабатывает при запуске ОС.

·         Применение политик безопасности (в частности по управлению доступом). Не накладывает на нас никаких ограничений. Хотим – применяем те же политики, что были до сертификации. Хотим – используем как рекомендации защищенные шаблоны от Microsoft. Только длину пароля сделаем не менее 6 символов и ведение журналов ОС отключать не будем.

·         Обновление ОС. Особых проблем не вызывает, хотя приходится отключать автоматическую загрузку обновлений с сайта Microsoft. Во первых решает проблему Net Check – который централизованно распространяет обновления по всем сертифицированным ОС.  Во вторых не будет нарушением использование WSUS, если вы перед распространением новых обновлений проверяете их на соответствие контрольным суммам сертифицированных обновлений с сайта алтекс-софта (если в компании отлажена процедура работы с обновлениями, то добавить такую операцию не проблема). Задержка в сертификации обновлений 2-4 недели.

·         В связи с выходом версии Seven_Check+  появились дополнительные возможности по анализу защищенности ОС и ПО, контролю соответствия международным стандартам и лучшим практикам, контролю сетевой активности ПО.

Приведенные выше особенности надо учитывать при проектировании защиты  сертифицированными СЗИ от НСД. В определенных условиях (всё идеально с лицензиями Microsoft и официальными дистрибутивами, необходимо минимальное вмешательство в работу КИС) сертификация ОС будет лучшим выбором.  В других ситуациях – можно проиграть в суммарных затратах и необходимости существенно вмешиваться в работу КИС.