Методика обследования объектов критической информационной инфраструктуры компании

Внимание! В связи с Указом Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации” рекомендуем ознакомиться с материалами:

  • Критическая информационная инфраструктура 2022 год
  • Категорирование и проектирование объектов КИИ (критической информационной инфраструктуры)

Прежде чем приступить к категорированию объектов КИИ, нужно определиться с основными понятиями, которые разъясняются в Федеральном  законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»:

Критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Компьютерный инцидент – факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Исходя из этих определений, появляется ясность, что такое КИИ, что является «объектом КИИ», а что «субъектом», и в каких именно отраслях функционируют объекты и субъекты КИИ.

Все ИС, ИТС и АСУ субъекта КИИ – это объекты КИИ.

ИС – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ИТС – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

АСУ – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами.

Какие же объекты КИИ подлежат категорированию? На этот вопрос есть ответ в  Постановлении Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (ПП №127).  В данном постановлении четко определено:

«Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и (или) иные процессы в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры».

Прежде чем перейти непосредственно к детальному разбору методики категорирования объектов КИИ (согласно ПП №127)  советуем Вам внимательно  изучить наши предыдущие статьи по данной теме:

  • КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА НА ПОРОГЕ 2019 ГОДА
  • КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ (ЭКСПЕРТИЗА ПРОВЕДЕННЫХ РАБОТ)

Там вы найдете полный перечень базовых понятий по КИИ, основные НПА в этой сфере и образцы документов, а также описание этапов работ по категорированию КИИ. В этой статье мы не будем повторять материал из наших предыдущих публикаций, а сразу перейдем к разъяснению, как именно работать с  Постановлением Правительства РФ от 08.02.2018 № 127.

КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ: РАБОЧИЙ АЛГОРИТМ

Если вы не специалист в области ИБ и комплаенса (compliance), то просто прочитав  ПП №127, вам будет непросто самостоятельно выполнить работы в области категорирования объектов КИИ, поэтому лучше обратиться за консультацией к профессионалам, а также желательно изучить практические рекомендации по этому вопросу.

Первое, что нужно сделать – это составить для себя алгоритм категорирования объектов КИИ:

  1. Отвечаем на вопрос, является ли наша организация субъектом КИИ (согласно № 187-ФЗ, см. выше, определены конкретные отрасли).
  2. Определяем все процессы в нашей организации и составляем их полный перечень (процессы могут быть управленческие, технологические, финансово-экономические, производственные и т.д.).
  3. Выявляем из всех процессов именно критические процессы.
  4. Выделяем объекты, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов и (или) осуществляют управление, контроль или мониторинг критических процессов.
  5. Смотрим  ПП №127 и оцениваем, исходя из перечня показателей критериев значимости и учитывая дополнительные исходные данные, к какой категории относятся объекты КИИ.
  6. Готовим Акт категорирования объектов КИИ для отправки во ФСТЭК.

Для того чтобы было понятно, как выполнять работы на этапе 5, расскажем подробней про показатели критериев значимости (они есть в таблицах  ПП №127).

ПЕРЕЧЕНЬ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ ЗНАЧИМОСТИ

  1. Социальная
  2. Политическая
  3. Экономическая
  4. Экологическая
  5. Значимость для обеспечения обороны страны, безопасности государства и правопорядка.

В таблице  ПП №127 детально расписаны эти показатели. Например, по «социальному критерию» идет подразделение на «причинение ущерба жизни и здоровью людей», «прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения» и т.д.   Потенциальный ущерб учитывается по охваченной территории и по количеству пострадавших людей, детальную информацию по всем показателям можно найти в данной таблице.  Устанавливаются 3 категории значимости. Самая высокая категория – первая, самая низкая – третья, а также объекту КИИ  может быть вообще не присвоена категория (т.е. «без категории»).

Исходя из нормативных документов, организации (субъекты КИИ) будут сами составлять перечень процессов (управленческие, технологические, финансово-экономические, производственные и др. процессы) и сами оценивать их критичность. Таким образом,  количество объектов КИИ, которые войдут в перечень, зависит от решения самих организаций.

Важное примечание: может  получиться так, что у субъекта КИИ вообще не будет объектов КИИ, подлежащих категорированию (т.е. они будут обозначены, как «без категории»). Однако надо учитывать, что «Перечень объектов КИИ» согласовывается с отраслевым регулятором (например, с Министерством энергетики, Банком России и пр.) и перечень объектов КИИ отправляется во ФСТЭК.

По вопросам оформления перечня объектов КИИ советуем ознакомиться с «Информационным сообщением» ФСТЭК от 24 августа 2018 г. N 240/25/3752

Какие именно исходные данные понадобятся для категорирования объектов КИИ, можно посмотреть здесь:  Этап 5. Сбор исходных данных для категорирования объектов КИИ.

КАКАЯ ИНФОРМАЦИЯ ПОНАДОБИТСЯ  ДЛЯ ПОДАЧИ ВО ФСТЭК?

  •  Сведения о субъекте КИИ;
  •  Сведения об объекте КИИ;
  •  Сведения о взаимодействии объекта КИИ и сетей электросвязи;
  •  Сведения о лице, эксплуатирующем объект КИИ;
  •  Сведения о ИС, ИТС, АСУ;
  •  Анализ угроз и категории нарушителей;
  •  Оценка возможных последствий инцидента;
  •  Акт категорирования объектов КИИ.

КАК ОПРЕДЕЛИТЬСЯ ПО СРОКАМ?

  1. Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов.
  2. Перечень объектов КИИ надо подать во ФСТЭК в течение 5 дней после утверждения.
  3. Акт категорирования объектов КИИ подается в течение 10 дней со дня утверждения Акта.
  4. Пересмотр категории объекта КИИ проводится не реже 1 раз в 5 лет.

ПРАКТИЧЕСКИЕ ПРИМЕРЫ ПО КОНКРЕТНЫМ ОТРАСЛЯМ И ОРГАНИЗАЦИЯМ

Изучив НПА и алгоритм  категорирования объектов КИИ (см. выше) можно непосредственно приступить к практике. Здесь хотелось бы дать ряд советов и показать практические кейсы для организаций финансовой и банковской сферы.

Изначально решаем вопрос: «Является ли наша организация субъектом КИИ»? В определении субъектов КИИ указаны организации финансовой и банковской сферы. Любой ли банк является субъектом КИИ? Если внимательно изучить таблицу в  ПП №127 в части  экономических критериев значимости, то напрашивается следующие выводы о том, что субъектами КИИ могут быть:

  •  Системно значимые кредитные организации (см. перечень ЦБ РФ, это 11 организаций);
  •  Финансовые организации с участием государства;
  •  Системно значимые инфраструктурные организации финансового рынка (например, депозитарии);
  •  Операторы услуг платежной инфраструктуры системно и (или) социально значимых ПС.

Это говорит о том, что не каждый банк или финансовая структура вообще подпадает под законодательство о КИИ. Надо помнить, что категорируем мы не субъект, а объект КИИ, для каждого объекта КИИ будет присвоена своя категория, оценку последствий инцидента надо делать для каждого объекта.

Формирование комиссии:

На начальном этапе нужно сформировать комиссию. Подробнее об этом  можно прочитать по ссылке: Этап 1. Создание комиссии по категорированию объектов КИИ (там же и образец «Приказа о создании комиссии по категорированию КИИ»).

Определение процессов:

Затем необходимо определиться с процессами, которые есть в организации, составить их полный перечень. На этом этапе нам не обойтись без помощи специалистов и руководителей различных подразделений. Рассмотрим, как действовать, на примере банка. Как правило, основные виды деятельности  организации уже задокументированы, специалисту ИБ надо внимательно изучить учредительные и др. документы (лицензии, сертификаты), для банков опираемся на  Федеральный закон  от 02.12.1990 N 395-1 «О банках и банковской деятельности»  и нормативные документы Центрального Банка РФ.

Виды деятельности банка по  Код ОКВЭД 64: «Деятельность по предоставлению финансовых услуг, кроме услуг по страхованию и пенсионному обеспечению».  Затем, исходя из видов деятельности, необходимо прописать бизнес-процессы в финансовой организации. Есть различные классификации бизнес-процессов в банковской сфере (в конкретном банке они, как правило, уже задокументированы).

Рассмотрим типовой  пример (источник):

Основные бизнес-процессы банка:

  • Создание продукта (услуги), представляющего ценность для внешнего клиента.
  • Получение добавленной стоимости.
  • Получение прибыли, как цель коммерческой деятельности.

Обеспечивающие бизнес-процессы банка:

  • Процессы, клиентами которых являются основные процессы.
  • Процессы, которые создают и поддерживают инфраструктуру банка.

Управляющие бизнес-процессы банка:

  • Процессы, основной целью которых является управление деятельностью банка.
  • Процессы, которые обеспечивают развитие банка и регулируют его текущую деятельность.

Анализ процессов при категорировании КИИАнализ процессов при категорировании КИИ 2Анализ процессов при категорировании КИИ 3

Рис.1. Бизнес-процессы банка (типовой пример)

Переходим от процессов к критическим процессам:

Для начала ответим на важный вопрос: нарушение (или остановка)  каких процессов в банке приведет негативным экономическим последствиям, согласно ПП №127? Т.е.  другими словами, в ходе категорирования мы попытаемся решить, попадают ли возможные последствия от компьютерных инцидентов на объекте КИИ (ИС, ИТС, АСУ) в категории значимости (ПП 127).

См.  таблицу в ПП №127, п.3. «Экономическая значимость» п. 8,9,10.

Оценка значимости КИИ Оценка значимости КИИ 2Оценка значимости КИИ 3Оценка значимости КИИ 4

Как выделить из всех процессов именно критические и связать с ними объекты КИИ видно на рис  2.  Например, Процесс 2 не критический.

Выявление критических процессов КИИ

Рис 2. Выявление критических процессов

Далее переходим от процессов к объектам КИИ:

Выделяем объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, т.е. осуществляют управление, контроль, мониторинг критических процессов.

Для соответствия процессов и объектов можно составить такую простую таблицу:

Объекты КИИ и процессы

Таблица 1. Объекты КИИ и процессы

Например, в качестве объектов КИИ в банке есть:

  •  Система дистанционного банковского обслуживания (СДБО);
  •  Процессинговая система;
  •  Антифрод система;
  •  Автоматизированная банковская система (АБС) и др.

На этом этапе уже можно занести объекты КИИ в «Перечень объектов КИИ».

Принимаем решение о значимости объекта КИИ: перечень объектов у нас есть, также построена взаимосвязь объектов с процессами (Таблица 1).

Далее оцениваем:

  •  действия нарушителей;
  •  уязвимости и потенциальные угрозы;
  •  масштаб возможных последствий (оценим по таблице из ПП 127).

Для этой работы нам потребуется: «Модель угроз», «Модель нарушителя», а также статистика по компьютерным инцидентам.  Как правило, в банках есть свои службы ИБ, у которых имеются политики безопасности и др. документы по ИБ, поэтому, думаем, что проблем с такими данными не должно быть.  В помощь службам ИБ: методические документы ФСТЭК России и «Основные положения базовой модели угроз и нарушителей безопасности информации» прил. А ГОСТ Р 57580.1-2017.

Как оценивать?

  • Нужно рассмотреть потенциальные действия нарушителей в отношении объектов КИИ, также иные источники угроз ИБ (в противном случае, кратко обосновать невозможность реализовать угрозы  ИБ нарушителем).
  • Провести анализ угроз ИБ и уязвимостей, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ (или обосновать их неактуальность).
  • Оценить в соответствии с перечнем показателей критериев значимости масштаб возможных последствий, в случае возникновения компьютерных инцидентов на объектах КИИ, (или кратко обосновать невозможность наступления компьютерных инцидентов).

Для более точной оценки при категорировании объектов КИИ, мы составили небольшой опросник.  На вопросы желательно отвечать точно: «да» или «нет».

  1. Уровень процесса выше нижней границы значения для III категории? (см. рис. 2 для наглядности).
  2. Масштаб объекта КИИ выше нижней границы значения для III категории?
  3. Есть ли источники угроз ИБ?
  4. Существуют ли актуальные угрозы ИБ?
  5. Возможны ли инциденты ИБ на объекте, например, вследствие целенаправленных компьютерных атак?
  6. Возможно ли причинение ущерба вследствие инцидентов ИБ?
  7. Какие возможные последствия от инцидента? Превышает ли их величина нижнюю границу значения показателя для 3 категории?

Таким образом, процесс принятия решения о категорировании объектов КИИ проходит на основании «моделирования угроз».  Для финансовых расчетов возможных потерь и убытков согласно табл. ПП 127 п. 8,9,10. желательно привлечь специалистов из экономических подразделений банка.

После проведения категорирования объектов КИИ составляется «Акт категорирования объектов КИИ», который отправляется во ФСТЭК в установленные законом сроки.

Ответственность по тематике КИИ

UPD: Новые штрафы для субъектов критической информационной инфраструктуры (01.06.2021)

Презентация Евгения Царева на тему:
 Перспективы привлечения к ответственности по тематике КИИ (12.12.2019)

RTM Group - Ответственность по КИИ

Источник

Обследование КИИ

Своевременное обследование субъектов КИИ позволяет выявить критические управленческие, технологические, производственные процессы в организации.

Заказать услугу

Определение (выявление) и категорирование объектов КИИ — требование Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Цели и задачи аудита:

  • определить перечень объектов КИИ;
  • присвоить категории значимости объектам КИИ.

Комплекс работ включает в себя:

  • помощь в определении состава комиссии по категорированию объектов КИИ;
  • определение и описание процессов обработки информации в информационных системах, информационно-телекоммуникационных сетях и автоматизированных системах управления;
  • выявление критических процессов, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, а также последствиям, значимым для обеспечения обороны страны, безопасности государства и правопорядка;
  • определение объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов;
  • помощь в формировании и утверждении перечня объектов КИИ;
  • описание состава информации, обрабатываемой объектами КИИ;
  • описание перечня программных и программно-аппаратных средств, используемых на объектах КИИ;
  • помощь в присвоении каждому объекту КИИ одной из категорий значимости или принятие решения об отсутствии необходимости присвоения категорий значимости;
  • подготовка проектов уведомлений в ФСТЭК России, содержащих сведения о результатах категорирования объектов КИИ.

Заказчик получает экспертную поддержку на всех этапах обследования, понятные результаты аудита и конкретные рекомендации, как обеспечить безопасность объектов КИИ согласно требованиям ФСТЭК России.

Вы всё ещё думаете? Просто попробуйте

Источник

Провести категорирование объектов КИИ;

Обеспечить интеграцию (встраивание) в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

Принять организационные и технические меры по обеспечению безопасности объектов КИИ.

Услуги по КИИ

Категорирование объектов КИИ

— Составляем приказ о создании комиссии

— Определяем объекты и формируем перечень

— Заполняем форму сведений об объекте и субъекте КИИ

— Определяем категорию значимости, если она имеется (анализируем 14 показателей категорирования и 5 видов показателей категорирования)

— Формируем акт категорирования для последующей отправки во ФСТЭК

Доп. услуга

Оценка соответствия мер по ИБ объектов КИИ

— Анализ используемых средств защиты

— Формирование адаптированного базового набора мер, на основании актуальных угроз

— Обоснование необходимости создания или модернизации существующей системы защиты

Доп. услуга

Внедрение и настройка СЗИ

Разработка и внедрение единых требований к обеспечению безопасности:

— Разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;

— Разработка модели угроз;

— Внедрение организационных мер по обеспечению безопасности

Часто задаваемые вопросы

Какая ответственность за отказ от категорирования?

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

  • влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей;
  • на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет;
  • на юридических лиц — от десяти тысяч до двадцати тысяч рублей.

    • Кто контролирует выполнение требований закона о безопасности КИИ?

    Государственный контроль будет осуществлять ФСТЭК России путем проведения плановых и внеплановых выездных проверок.

    Что мы получим по итогу категорирования?

    По итогам работы вы получите:

  • Шаблон приказа о создании комиссии по категорированию объектов КИИ;
  • Акт обследования КИИ;
  • Модель угроз безопасности информации, включающую модель нарушителя;
  • Шаблон приказа об утверждении перечня объектов КИИ;
  • Акт категорирования объектов КИИ;
  • Заполненную форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

    • Что подразумевается под интеграцией с ГосСОПКА?

    Интеграция в ГосСОПКА требует от субъекта КИИ:

    • информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;
    • оказывать содействие ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

      •  

    Кроме того, по решению субъекта КИИ на территории объекта КИИ может быть размещено оборудование ГосСОПКА. В этом случае субъект дополнительно обеспечивает его сохранность и бесперебойную работу. Иными словами, субъектом КИИ может быть организован собственный центр ГосСОПКА.

    Что такое ГосСОПКА и для чего она нужна?

    ГосСОПКА представляет собой единый территориально распределенный комплекс, включающий силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – силы и средства ОПЛ КА). К силам ОПЛ КА относятся:

  • уполномоченные подразделения ФСБ России;
  • национальный координационный центр по компьютерным инцидентам, который создается ФСБ России для координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов;
  • подразделения и должностные лица субъектов КИИ, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

    • ГосСОПКА предназначена для обеспечения и контроля безопасности КИИ в Российской Федерации и в дипломатических представительствах страны за рубежом.

    Как определить, что Вы субъект?

    Существует несколько критериев для определения, является ли организация субъектом КИИ:

  • Первый критерий – ОКВЭД организации.
  • Второй критерий — лицензии и иные разрешительные документы на различные виды деятельности которые относятся к вышеперечисленным сферам.
  • Третий критерий – учредительные документы организаций, к ним относятся уставы, положения организаций (если речь идет о государственных органах), в которых может быть прописан вид деятельности указывающий на принадлежность к критичным отраслям.

    • Не нашли, что искали?

    Почему именно мы ?

    ООО «ПНК» — это компания, оказывающая широкий спектр услуг в сфере информационных технологий. На рынке с 1999 года. ООО «ПНК» обладает лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, лицензией ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств.

    ООО «ПНК» является партнёром АО «Аналитический Центр» — доверенного лица Федеральной налоговой службы. В филиале АО «Аналитический центр» (торговая марка УЦ «Основание») вы можете получить квалифицированную электронную подпись от УЦ ФНС России и применять в информационных системах в течение всего срока действия без ограничений.

    Все сотрудники дипломированные специалисты по информационной безопасности

    Проведено более 1000 аттестационных испытаний с выдачей аттестата соответствия

    Мы являемся лицензиатами ФСБ и ФСТЭК

    За 2018 г. все клиенты прошли успешную проверку у регуляторов

    Партнёры

    Наши лицензии и сертификаты

    Лицензия Роскомнадзора

    Свидетельство Минкомсвязи об аккредитации удостоверяющего центра

    Свидетельство о внесении в реестр авторизованных удостоверяющих центров

    Сертификат партнера ООО «КРИПТО-ПРО»

    Сертификат авторизованного партнера ЗАО «Лаборатория Касперского»

    Сертификат партнера компании «Цифровые технологии»

    Сертификат официального партнера ОАО «ИнфоТеКС»

    Сертификат партнера ООО «Доктор Веб»

    Сертификат партнера компании ООО «Код безопасности»

    Контактная информация

    Источник

    Понравилась статья? Поделить с друзьями:

    Другие крутые статьи на нашем сайте:

  • Может ли работник устроиться на работу во время отпуска с последующим увольнением
  • Может ли скрипт во время работы страницы подключить к ней другие внешние js файлы
  • Как вы понимаете суть стратегического принципа компании учиться как можно быстрее
  • Как вывести деньги с расчетного счета ип на карту сбербанка через сбербанк бизнес
  • Как выглядит бизнес план для социального контракта в соцзащиту образец заполнения

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии