Внедрение СУИБ на основе ISO27001 Система Управления Информационной Безопасностью - Минск 2013
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Внедрение СУИБ на
основе ISO27001
Система Управления
Информационной
Безопасностью
Минск 2013
Содержание Нормативные и регуляторные требования Основные понятия, суть и место ИБ в структуре компании Этапы внедрения процессов и системы управления информационной безопасностью Выгоды от внедрения СУИБ Приложения 2 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»
Нормативные и
регуляторные требования в
области информационной
безопасности
3 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»
Нормативные и регуляторные требования
ISO27001
PCI DSS v. 2.0
ISO27002
PA-DSS v.2.0
ISO9001
Sarbanes- Oxley Act of 2002/ Federal SOX
Energy Regulatory Commission – Critical (Sec.404) Basel II Basel II: International
Infrastructure Protection, National Institute NERC/FERC- Convergence of Capital
of Standards and Technology CIP, FISMA, (III) Measurement and Capital
NIST Standards: a Revised Framework
EU Data Directive 95/46 of the European Parliament
Национальный банк Protection and the Council of 24 October 1995
СОУ Н НБУ 65.1 СУИБ Directive
1.0:2010 (Directive Вопросы защиты ПДн при их обработке,
95/46/EC) обмене и хранении в странах-членах ЕС
4 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»
4Основные понятия,
суть и место
Информационной
Безопасности в
структуре
организации
5 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Определение ИБ
Информация –
данные наделенные смыслом и целью.
Информация занимает позицию наравне с другими
критическими ресурсами организации, и требует
должного внимания, осторожности, благоразумия,
защиты и т.д.
Информационная безопасность становится критическим
фактором для выживания бизнеса, причем для
адекватной защиты информации эта проблема должна
рассматриваться на уровне Правления компании,
наравне с критическими бизнес функциями
организации.
6 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Суть информационной безопасности
Доступность
Важная информация
доступна, когда она
необходима
Конфиденциальность Целостность
Только уполномоченные
Информация достоверная и
лица получают доступ к
целостная
информации
Информация
7 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Финансовые потери от инцидентов ИБ
Исследование Information Security Status Survey 2012 (Information Security Forum)
Макс. ущерб
Причина инцидента Описание инцидента Область:
(долл. США)
60 млн. Внутренние Саботаж администраторами системы. Доступность
злоупотребления
12 млн. Внутренние Большой сервисный центр неоднократно отключен от Доступность
злоупотребления глобальной сети из-за перегрузки, вызванной сотрудниками,
которые обменивались мультимедийными файлами через сеть
компании.
7,7 млн. Внешняя атака Заражение вирусом Conficker. Доступность
Человеческие ошибки
2,5 млн. Внешняя атака Чрезвычайно высокие нагрузки сети извне – атака отказ в Доступность
обслуживании.
1,4 млн. Сбои в работе Кэш-память устройства в SAN вышла из строя. Затронуло Целостность
системы несколько сотен серверов. Восстановление системы в целом Доступность
Человеческие ошибки заняло одну неделю и данные были утрачены из-за неудачного
резервного копирования.
1,4 млн. Человеческие ошибки Неправильная настройка системы, обусловлена потерей Целостность
Управление управления половины кластера, в результате чего длительный Доступность
изменениями простой приложений сотрудников.
1 млн. Внешняя атака Использование учетной записи сотрудника злоумышленником Конфиденциаль
и использование уязвимостей сети для кражи данных ность
970 000 Прерывания сервисов Низкая производительность инцидента, вызванного Доступности
Непредвиденные непредвиденными последствиями
последствия изменения и прерывания процесса.
изменений
8 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»
8Суть информационной безопасности (продолжение)
Управление,
• Политики, стандарты, процедуры, процессы, риски,
осведомленность, непрерывность
Информационная безопасность
• Действия уволенного сотрудника, ограбление, рейдерские
атаки, человеческие ошибки
Технологии
• Системы, оборудование, архитектура
IT безопасность
• Вирусы, DDOS, системные ошибки, сбой оборудования
Информационная безопасность – это
процесс управления
(а не технические средства), который,
в свою очередь, является одним из
важнейших элементов
корпоративного управления.
9 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Суть информационной безопасности (продолжение)
Система безопасности
Недостатки
угроза
Активы
10 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Суть информационной безопасности (продолжение)
Информационные системы
Информационные услуги (сервисы)
Средства для обработки информации
Электронная документация
Бумажная документация
11 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Суть информационной безопасности (продолжение)
ИБ
12 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Этапы внедрения
системы управления
ИБ (СУИБ)
13 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Методика и этапы внедрения СУИБ
Этап 1 Анализ 1.1 изучение 1.2 Изучение 1.3 Изучение
1.4 Оценка
структуры бизнеса политик и действующих
текущего состояния и процессов стандартов, практик и
недостатков к
требованиям 27001
ИБ предприятия требований к ИБ процессов ИБ
2.3 Определить 2.4 Определить
Этап 2 Мероприятия 2.1 Обязательства 2.2 Назначение
границы политику
руководства по ответственных лиц
по организации ИБ управлению ИБ по СУИБ
использования информационной
СУИБ безопасности
Этап 3 3.1 Описание
3.2 Определение и
3.3 Определение
3.4 Согласование
Инвентаризация и бизнес процессов, влияния на бизнес
согласование Реестра
определение инфо и оценка
классификация активов (бизнес
владельцев бизнес
критичности бизнес
информационных
активов активов
активов актив) активов
4.3 Оценка уровней
Этап 4 Оценка и 4.1 Определение 4.2 Оценка 4.4 Выбор мер
риска для
уязвимостей и вероятности защиты для
Обработка рисков угроз реализации угроз
информационных
снижения рисков
активов
51 Составление
Этап 5 Дорожная Плана обработки 5.2 Составление 5.3 Составление 5.3 Реализация
рисков и Плана внедрения рекомендаций по планов внедрения
карта Положения о СУИБ внедрению СУИБ СУИБ
применимости
6.1 Разработка
Этап 6 Внедрение документации по
6.2 Разработка
документации по
мероприятий по проведению
проверке процесса
внутреннего аудита
мониторингу СУИБ СУИБ
оценки рисков
14 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Выгоды и возврат инвестиций в ИБ
Один из крупных международных банков Украины, внедрив информационную
безопасность, получил такие выгоды:
• В результате проведения оценки информационных рисков и своевременному внедрению
соответствующих мер безопасности, фактические потери от инцидентов в 2011 году
снизились на 60%;
• Потенциальные потери от операционных инцидентов в 2011 году составили более $ 100 тыс.
Но благодаря своевременному выявлению и реагированию на инциденты, потери удалось
сократить более чем на 75%.
• Благодаря быстрому выявлению инцидентов и своевременному адекватному реагированию
на них, в более 40% случаев удалось избежать потенциального ущерба.
• Внедрив программу обучения персонала распознаванию и реагированию на инцидент, общее
количество сообщений о инцидентах увеличилось в два раза, более 80% этих сообщений
– являлись потенциальными инцидентами.
• Проведенный тест на проникновение показал улучшение противодействия методам
социальной инженерии более чем в три раза по сравнению с предыдущим годом.
• Принятие решений на основе оценки рисков позволило обеспечить прозрачность
инвестиций в ИТ и оптимизировать бюджет.
15 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»Приложения 16 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК»
Анализ текущего состояния ИБ
Цели:
Основной целью этого этапа является изучение структуры бизнеса и процессов
предприятия, определение требований информационной безопасности и специфики
бизнес процессов. Получить экспертную оценку действующих процессов управления и
организации ИБ, определить степень соответствия ISO27001.
Этапы и методика
Сбор информации, изучение структуры •Изучение видов деятельности предприятия
•Изучение организационной структуры предприятия
бизнеса и процессов предприятия •Изучение структуры бизнес процессов предприятия
Изучение политик и стандартов, требований к • Изучение требований бизнеса к ИБ
• Изучение требований политик и стандартов ИБ
обеспечению информационной безопасности
Изучение действующих практик и процессов к • Изучение процессов и процедур ИБ
• Изучение требований ИБ к допустимому использованию активов
обеспечению информационной безопасности
Оценка соответствия СУИБ требованиям • Выявление основных мер безопасности
• Оценка соответствия ИБ внутренним политикам и процедурам
27001 • Оценка соответствия внедренных процессов управления ИБ стандартам ISO27001\27002
Соответствие законодательству
Процент выполнения
Обеспечение непрерывности бизнеса
требований разделов
Менеджмент инцидентов информационной безопасности
стандарта
Приобретение, разработка и обслуживание информационных систем
Управление доступом к системе
Менеджмент компьютеров и сетей
Физическая и внешняя безопасность
Безопасность и персонал
Разделы Классификация активов и управление
стандарта Организация системы безопасности
Политика в области безопасности
Основные процессы управления
0% 20% 40% 60% 80%
17 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001
20.11.2013 17Мероприятия по организации ИБ
Цели:
Основной целью этого этапа является установление обязательства руководства по
управлению информационной безопасностью, назначение ответственных лиц за
внедрение и функционирование СУИБ, определить сферу и пределы использования
СУИБ, определить политику информационной безопасности
Этапы и методика
На этом этапе проводятся организационные работы и проводится следующие действия
• Создание Комитета по обеспечению информационной безопасности (или Риск
комитет)
• Создание Концепция управления информационной безопасностью;
• Создание Руководства по определению ролей и ответственных за организацию
информационной безопасности;
• Создание Политики информационной безопасности
18 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 18Инвентаризация и классификация активов
Цели:
Основной целью этого этапа является описание бизнес процессов и функций, выявление
информационных активов, которые используются бизнесом для выполнения процесса (бизнес
активы), и дальнейшее их описание: инвентаризация аппаратных, программных, инфраструктурных
ресурсов и объектов.
Объекты серверная, ЦОД, архив
Согласование и составление Реестра
информационных активов
находятся на Инженерная
инфраструктура электропитание, охлаждение
поддерживаются
Оборудование сервер, маршрутизатор,хаб
размещены на
Описание бизнес активов: инвентаризация ПО\Базы данных SQL, Oracle, ПО ERP SAP
аппаратных, программных, инфр. ресурсов
используют IT сервисы сеть, AD, удаленный доступ
зависят от Бизнес
активы ERP, клиент банк, e-mail,
Определение и согласование владельцев
Необходимы для выполнения БП
бизнес активов
Описание бизнес процессов, определение
используемых активов в процесса (бизнес
актив)
19 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 19Определение влияния на бизнес и оценка
критичности активов
Цели:
Определение влияния на бизнес и оценка критичности дает понимание того, какой
информационный актив является критическим для бизнеса, максимально возможный ущерб, в
случае нарушения его работ, а так же степень зависимости бизнеса от информационного актива.
Этапы и методика
•Финансовый ущерб
Определени •Операционный ущерб Рейтинг Оценки Ущерба
е Конфиденциальность
возможного •Ущерб, связанный с Рейтинг оценки ущерба
ущерба для потребителем Ref. Тип ущерба A-критический, B-высокий, C-средний, D-низкий, E-малый
бизнеса •Ущерб, связанный с Финансовые
A B C D E
Критичность информационного
сотрудниками
Потеря продаж, заказов и
20% + 11% to 20% 6% to 10% 1% to 5% Меньше 1%
актива за тремя свойствами
F1
контрактов X информации
Потери материальных $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K (конфиденциальность,
F2 активов (например,
мошенничество, кража денег) X целостность, доступность)
Оценка •Конфиденциальность
Взыскание / юридическая $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K определяется на основании
критичности •Целостность ответственность (например, влияния на бизнес в случае
актива •Доступность F3
нарушения нормативно-правовых X
или договорных обязательств) инцидентов ИБ по таким
Непредвиденные расходы $20m+ $1m to $20m $100K to $1m $10K to $100K Меньше $10K критериям:
F4 (например, возмещение
расходов) X • финансовый ущерб
Снижение стоимости акции 25% + 11% to 25% 6% to 10% 1% to 5% Меньше 1% • операционный ущерб
F5 (например, внезапная потеря
стоимости акций) X • ущерб, связанный с
Общая •Критичный Операционные потребителем
классифика •Средний Потеря контроля над
Критична
втрата
Серйозна
втрата
Значна втрата
контролю
Умеренная
потеря
Минимальная
потеря
• ущерб, связанный с
ция актива •Малый O1 управлением (например,
сотрудниками
нарушениями принятия решений) X
20 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 20Оценка и Обработка рисков
Цели:
Идентификация угроз и уязвимостей критических информационных активов, выявление, анализ и
уменьшение рисков до приемлемого уровня для бизнеса.
Управление рисками включает в себя анализ рисков, оценку, обработку, принятие и мониторинг
риска и является основой для последующего создания Плана обработки рисков - плана действий
информационной безопасности предприятия.
Этапы и методика
Определение объемов и границ
Выявление рисков
Мониторинг рисков
Анализ рисков
Оценка рисков
Избежание Уменьшение Передача Принятие
риска риска риска риска
Принятие остаточного риска
21 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 21Дорожная карта
Цели:
Предоставить рекомендации по мерам безопасности для уменьшения или устранения рисков,
рекомендации относительно необходимых изменений СУИБ. Уменьшение рисков включает в себя:
приоритезацию рисков, оценку мероприятий по снижению рисков для информационного актива,
рассмотрение возможных затрат и выгод, выбор стратегии обработки рисков, разработка плана
обработки рисков и планирование необходимых изменений СУИБ.
Этапы и методика
Оценк Аудит
Используя результаты аудита, оценки рисков и оценки защищенности на
а
предыдущих этапах, разрабатываются рекомендации по таким направлениям: рисков
• Построение/оптимизация процессов ИБ/ИТ и организационной структуры Оценк
• Автоматизация процессов ИБ/ИТ а
защищ
• Создание/изменение документации и договоров
енност
• Требования к знаниям и квалификации персонала и
• Внедрение метрик (KPI, SPI) для оценки эффективности процессов ИБ\ИТ
После согласования рекомендаций с руководством, разрабатывается Дорожная
карта с указанием этапов и зависимостей по построению и оптимизации
ID
процессов ИБ/ИТ. Задание
Срок Ответственный
Дорожная карта
I квартал 2013 ІI квартал 2013 ІІI квартал 2013
Сокращения: ДС - Деркач Сергей, РСП - Руководители структурных подразделений Січ. Лют. Бер. Квіт. Трав. Черв. Лип. Серп. Вер.
57 5. Внедрение процесса Управления изменениями 180 дней ААА, ДС
58 5.1 Проведение аудита процесса приобретения, разработки и поддержки информационных активов Done ААА
59 5.2 Разработка политик и руководств по организации процесса управления изменениями 60 дней ААА
60 5.2.1 Политика управления изменениями
61 5.2.2 Положение о Комитете управления изменениями
62 5.2.3 Руководство по управлению изменениями
63 5.2.4 Политика распределения ролей и обязанностей в процессе управления изменениями
64 5.2.5 Политика приобретения, разработки и поддержки прикладного программного обеспечения
65 5.3 Утверждение, введение и распространение среди заинтересованных лиц 30 дней ДС
66 5.4 Организация ИТ инфраструктуры 90 дней ИТ
67 5.4.1 Приобретение сетевого и серверного оборудования для разграничения сред разработки и тестирования
68 5.4.2 Сегментация сети
69 5.4.3 Разграничения среды разработки, опытной и промышленной эксплуатации
70 5.5 Разработка процедур по управлению изменениями 90 дней ИТ
71 5.5.1 Процедура внедрения изменений 90 дней ААА
72 5.5.2 Процедура внедрения срочных изменений 90 дней ААА
73 5.5.3 Процедура опытной эксплуатации изменений 90 дней ААА
74 5.5.4 Процедура внедрения релизов 90 дней ААА
75 5.5 Утверждение и внедрение процедур по управлению изменениями
76 6. Организовать процесс безопасной работы с Внешними сторонами 60 дней ААА, ДС
77 6.1 Разработать Политику взаимодействия с третьими сторонами 30 дней ААА
78 6.2 Разработать Соглашение о конфиденциальности 30 дней ААА
79 6.3 Разработать Обязательства "Обязательства о неразглашении работникам третьих Компаний 30 дней ААА
80 6.4 Утверждение, введение и распространение среди заинтересованных лиц 30 дней ДС
Внедрение
22Пример
Рис.1 СУИБ
дорожной карты на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 22Внедрение процессов СУИБ
Управление Устойчивость Использова- Управление
Безопасность Управление Мониторинг
инфраструктур ние услуг критически-ми
доступом платформ
ы
изменениями
третьих сторон
безопасности
ситуациями
Устойчивость Мониторинг Мероприятия
Управление Защита ОС Управление событий
доступом аппаратного Управление обеспечения
обеспечения изменениями взаимодействи безопасности беспрерыв-
пользователей
Защита ем с ности ИТ
сетевых Управление процессов
поставщиками инцидентами
компонентов Устойчивость
Распределение програмного безопасности
обязанностей обеспечения Распределение Мероприятия
Защита среды Соответствие по
базового ПО техническим восстановле-
Устойчи-вость Управление требованиям нию после
Разграниче-ние Защита
центров услугами, аварий
доступа прикладного
обработки Планирование которые
ПО и процесс предоставляют Тестирова-ние
данных Управление
Управление Защита (серверных ввода в ся третьими на проникнове-
предоставлени эксплуата-цию сторонами ние в систему кризисными
рабочих помещений
ем доступа ситуациями
станций
Основные задания организации ИТ
Операционные
Владение Классификация процедуры и Соответствие Осведомлен-
информационн Управление
информационн Архитектура ИТ зоны внутренним ность
конфигурацией
ыми активами ых активов ответственност требованиям пользователей
и
23 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 23Внедрение мероприятий по мониторингу
эффективности СУИБ
Цели:
Мониторинг и оценка эффективности системы управления информационной безопасностью - это
системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях
и событиях происходящих в ней, устанавливающий уровень их соответствия определенным
критериям.
Этапы и методика
Код I.IA2
Процесс Аутентификация для удаленного администрирования сетевых устройств и серверов
Риск финансовых и репутационных потерь при реализации угроз безопасности (вредные воздействия скоординированных
Риск злоумышленников, получение несанкционированного доступа к системам и сетям и т.д. и т.п.), которые эксплуатируют уязвимость, того что
при удаленном администрировании серверов и сетевых устройств не проводится идентификация оборудования.
В случае когда допускается удаленное администрирование серверов и сетевых устройств, все оборудование, с которого будет
Меры безопасности производиться удаленное администрирование, должно проходить идентификацию для проверки подлинности.
Требования Смотреть на Смотреть что
Удаленный доступ к системе, особенно системными
администраторами, вносит дополнительный риск
несанкционированного доступа. Следовательно,
• Область удаленного администрирования.
необходимо ограничить удаленный доступ только с
• Анализ рисков.
определенных устройств. Выполнение этого мероприятия • Политика для удаленного администрирования.
• Узлы(в сети), откуда было выполнено удаленное администрирование.
безопасности должно обеспечивать связь для • Рассмотрены ли вопросы удаленного администрирования.
администрирования системы только из известных мест • Является ли узел физически защищенным.
или оборудования. Идентификатор (например MAC-адрес
или IP-адрес) можно использовать, чтобы указать,
разрешено ли этому оборудованию подключаться к сети.
Эти идентификаторы должны четко указать, к какой сети
разрешается подключить оборудование.
Выполнение
Дата тестирования
Кем выполняется тестирование
Отдел
Местонахождение доказательств
Оценка (эффективные, неэффективные)
Вывод
24 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.
Внедрение СУИБ на основе ISO27001 24Контакты
Андрей Красный Игорь Черненко
Старший менеджер Менеджер
Консалтинг, Консалтинг,
Информационная Услуги для организаций
безопасность финансового сектора
Тел: +380 44 490 90 000 Тел: +380 44 490 90 000
Моб. тел.: +38 050 464 81 45 Моб. тел.: +38 (050) 464 80 73
Email: akrasnyy@deloitte.ua Email: ichernenko@deloitte.ua
25 Внедрение СУИБ на основе ISO27001 © 2013 ПрАТ «Делойт энд Туш ЮСК» Все права защищены.Наименование «Делойт» относится к одному либо любому количеству юридических лиц, входящих в «Делойт Туш Томацу Лимитед», частную компанию с ответственностью участников в гарантированных ими пределах, зарегистрированную в соответствии с законодательством Великобритании; каждое такое юридическое лицо является самостоятельным и независимым юридическим лицом. Подробная информация о юридической структуре «Делойт Туш Томацу Лимитед» и входящих в нее юридических лиц представлена на сайте www.deloitte.com/about. Подробная информация о юридической структуре «Делойта» в СНГ представлена на сайте www.deloitte.com/ru/about. «Делойт» предоставляет услуги в области аудита, налогообложения, управленческого и финансового консультирования государственным и частным компаниям, работающим в различных отраслях промышленности. «Делойт» международная сеть компаний, которые используют свои обширные отраслевые знания и многолетний опыт практической работы при обслуживании клиентов в любых сферах деятельности в более чем 150 странах мира. Около 200 000 специалистов «Делойта» по всему миру привержены идеям достижения совершенства в предоставлении профессиональных услуг своим клиентам. Сотрудники «Делойта» объединены особой культурой сотрудничества, которая в сочетании с преимуществами культурного разнообразия направлена на развитие высоких моральных качеств и командного духа и повышает ценность наших услуг для клиентов и рынков. Большое внимание «Делойт» уделяет постоянному обучению своих сотрудников, получению ими опыта практической работы и предоставлению возможностей карьерного роста. Специалисты «Делойта» способствуют укреплению корпоративной ответственности, повышению общественного доверия к компаниям объединения и созданию благоприятной атмосферы в обществе. © 2013 ПрАТ «Делойт энд Туш ЮСК». Все права защищены.
Вы также можете почитать
