كتابة نموذج التهديد

مرحباً بالجميع ، نواصل سلسلة مقالاتنا حول "أمان الورق". اليوم سنتحدث عن تطوير نموذج تهديد. إذا كان الغرض من قراءة هذه المقالة هو اكتساب مهارات عملية ، فمن الأفضل تنزيل قوالب المستندات فورًا ، والتي تحتوي أيضًا على قالب نموذج التهديد. لكن حتى بدون وجود قالب في متناول اليد ، يمكن العثور على المقالة أيضًا لأغراض تعليمية.

لماذا نحتاج إلى نموذج تهديد؟

يتم تنظيم الحاجة إلى تطوير نموذج تهديد بواسطة عدد من الوثائق التنظيمية. وهنا بعض منهم.

الجزء 2 من المادة 19 من القانون رقم 152-FZ "بشأن البيانات الشخصية":

2. يتم تحقيق أمن البيانات الشخصية ، ولا سيما:

1) تحديد التهديدات التي تهدد أمن البيانات الشخصية أثناء معالجتها في نظم معلومات البيانات الشخصية ؛

تكوين ومحتوى التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية (تمت الموافقة عليها بموجب أمر FSTEC في روسيا بتاريخ 18 فبراير 2013 ، رقم 21):

4. يتم تنفيذ تدابير لضمان أمن البيانات الشخصية ، من بين أمور أخرى ، من خلال استخدام أدوات حماية المعلومات في نظام المعلومات الذي أقر إجراء تقييم المطابقة بالطريقة المحددة ، في الحالات التي يكون فيها استخدام هذه الأدوات ضروريًا لتحييد التهديدات الحالية لأمن البيانات الشخصية.

متطلبات حماية المعلومات التي لا تشكل أسرار دولة واردة في أنظمة معلومات الدولة (أقرتها FSTEC في روسيا بتاريخ 11 فبراير 2013 ، رقم 17)

تشكيل متطلبات أمن المعلومات ... بما في ذلك:
...
تحديد تهديدات أمن المعلومات ، والتي قد يؤدي تنفيذها إلى انتهاك لأمن المعلومات في نظام المعلومات ، وتطوير على أساس نموذج من تهديدات أمن المعلومات ؛
...

متطلبات حماية المعلومات في أنظمة التحكم الآلي للإنتاج والعمليات التكنولوجية في المنشآت الحيوية ، والمرافق التي يحتمل أن تكون خطرة ، وكذلك المنشآت التي تشكل خطرا متزايدا على حياة الإنسان وصحته والبيئة (تم اعتماده بأمر من FSTEC في روسيا بتاريخ 14 مارس 2014 ، لا. 31):

تشكيل متطلبات أمن المعلومات في نظام التحكم الآلي ... بما في ذلك ما يلي:
...
تحديد تهديدات أمن المعلومات ، والتي قد يؤدي تنفيذها إلى انتهاك الأداء الطبيعي لنظام التحكم الآلي ، وتطوير نموذج لتهديدات أمن المعلومات على أساسها ؛

متطلبات ضمان أمن الأشياء المهمة للبنية التحتية للمعلومات الهامة في الاتحاد الروسي (تمت الموافقة عليها بموجب أمر FSTEC في روسيا بتاريخ 25 ديسمبر 2017 ، الرقم 239):

11. يتم وضع التدابير التنظيمية والتقنية لضمان أمن جسم مهم من خلال موضوع البنية التحتية الحيوية للمعلومات ... وينبغي أن يشمل:

أ) تحليل تهديدات أمن المعلومات وتطوير نموذج لتهديدات أمن المعلومات أو تنقيحها (إن وجد) ؛

لذلك ، الاستنتاج من هذا بسيط: بالنسبة لأي أنظمة معلومات محمية بطريقة أو بأخرى وفقًا للقانون ، من الضروري تطوير نموذج تهديد.

محتوى نموذج التهديد

لقد اكتشفنا الحاجة إلى إنشاء مستند ، دعونا نرى ما ينص عليه التشريع لمحتواه. من الغريب هنا أن كل شيء نادر.

وكمثال على الكتب المدرسية لوصف محتوى نموذج التهديد ، يمكننا ذكر 17 طلبًا من FSTEC:

يجب أن يحتوي نموذج تهديدات أمن المعلومات على وصف لنظام المعلومات وخصائصه الهيكلية والوظيفية ، بالإضافة إلى وصف لتهديدات أمن المعلومات ، بما في ذلك وصف لقدرات المخالفين (نموذج المخالف) ، ونقاط الضعف المحتملة لنظام المعلومات ، وطرق تنفيذ تهديدات أمن المعلومات وعواقب انتهاك خصائص أمن المعلومات.

لن تصدق ذلك ، لكن هذا كله. ولكن من ناحية أخرى ، على الرغم من عدم وجود نص كبير ، إلا أنه مفيد للغاية. دعنا نعيد قراءة ونكتب ما يجب أن يكون في نموذج تهديدنا:

• وصف نظام المعلومات ؛
• الخصائص الهيكلية والوظيفية ؛
• وصف التهديدات الأمنية
• نموذج الدخيل.
• نقاط الضعف المحتملة ؛
• طرق لتنفيذ التهديدات ؛
• عواقب انتهاك خصائص أمن المعلومات.

هذا بموجب القانون ، الذي يتطلب FSTEC. هناك أيضًا متطلبات إضافية لـ FSB (حولها لاحقًا) وبعض المتطلبات غير الرسمية ورغبات FSTEC التي واجهناها في عملية الاتفاق على نماذج تهديد لنظم معلومات الحالة.

جزء تمهيدي من نموذج التهديد

حسنًا ، دعنا ننتقل إلى محتويات المستند.

أفكر في صفحة العنوان ، قائمة الاختصارات ، المصطلحات والتعاريف ، كل شيء واضح. على الرغم من أنه ، ربما ، من المفيد التوضيح ... فجأة صفحة العنوان.

في القالب يتم توقيعه من قبل رئيس مالك نظام المعلومات. الأمر ليس كذلك.

مرسوم حكومة الاتحاد الروسي المؤرخ 11 مايو 2017 رقم 555:

4. يتم اعتماد اختصاصات إنشاء النظام ونموذج تهديدات أمن المعلومات من قبل مسؤول السلطة التنفيذية ، المنوط بها الصلاحيات المناظرة.

بطبيعة الحال ، إذا لم يكن نظام المعلومات مملوكًا للدولة ولم يكن مشغل النظام سلطة تنفيذية ، فيمكن لأي شخص التوقيع على نموذج تهديد. إنه لمجرد أننا صادفنا مرارًا وتكرارًا عندما ، عندما تم استيفاء الشروط المذكورة أعلاه (نظام المعلومات الحكومي للسلطة التنفيذية) ، طلب منا العميل تغيير صفحة الغلاف بحيث يتم توقيع ممثلين فقط عن شركة المرخص له (مثلنا). كان علي أن أشرح لماذا ستعيد FSTEC هذا النموذج من التهديدات للمراجعة.

القسم "الدعم المعياري والمنهجي"

أود هنا أن أذكر أنه يمكن تطوير نموذج التهديد لأنظمة مختلفة تمامًا - من ISDN إلى KII. لذلك ، قد تختلف قائمة الوثائق التنظيمية. على سبيل المثال ، إذا قمنا بتطوير نموذج تهديد لأنظمة التحكم في العمليات الآلية ، فيجب إزالة 21 و 17 طلبًا من FSTEC من القالب وإضافة 31.

المستندات المميزة بالاختصار "SKZI" هي وثائق تنظيمية لـ FSB تحكم التعامل مع أدوات التشفير. إذا لم تستخدم العملات المشفرة في نظام المعلومات (أصبح الآن أمرًا نادرًا ، ولكن لا يزال) ، فيجب إزالة هذه المستندات التنظيمية من القائمة.

الخطأ الشائع هنا هو إضافة العديد من GOSTs وغيرها من الوثائق التنظيمية (يرغبون في إدخال STR-K هنا كثيرًا) ، والتي لا علاقة لها بنمذجة التهديد. أو المستندات الملغاة. على سبيل المثال ، في كثير من الأحيان في نماذج التهديد ، يمكن للمرء أن يجد في قائمة الوثائق التنظيمية FSB ما يسمى "التوصيات المنهجية ..." و "المتطلبات النموذجية ..." ، والتي لم تكن ذات صلة لفترة طويلة.

أحكام عامة

هنا ، يقدم القالب المياه القياسية - لماذا نحتاج إلى نموذج تهديد ، إلخ. ما نحتاج إلى التركيز عليه هنا هو تعليق حول نوع المعلومات قيد الدراسة. بشكل افتراضي ، يتم تقديم الخيار الأكثر شيوعًا في القالب - البيانات الشخصية (PD). لكن قد لا يحتوي النظام على بيانات شخصية ، ولكن قد تكون هناك معلومات سرية أخرى (CI) ، وقد لا تكون المعلومات سرية ، ولكن محمية (CI) وفقًا لخصائص أخرى - السلامة والتوافر.

وصف نظام المعلومات

هنا يمكنك العثور على معلومات عامة حول نظام المعلومات - حيث يوجد ، كما يطلق عليه ، ما هي البيانات والفئة (مستوى الأمان ، الفئة) التي تتم معالجتها. هنا ، بالطبع ، يهتم الكثيرون بمدى ضرورة وصف نظام المعلومات بدقة.

في عملية الحصول على الموافقات المتعددة لنماذج التهديد لأنظمة معلومات الدولة ، قمنا بتطوير حل فيما يتعلق بهذا - يجب أن يكون هناك حل وسط. لا ينبغي أن يكون هذا معجون نسخة من جواز السفر الفني يشير إلى الأرقام التسلسلية للمعدات التقنية. ولكن من ناحية أخرى ، فإن الشخص الذي لا يعرف النظام ، والذي يقرأ وصفه في نموذج التهديد ، يجب أن يفهم تقريبًا كيف يعمل هذا النظام.

مثال:

جزء الخادم من نظام معلومات Nipel هو مجموعة من الخوادم الفعلية التي يتم نشر برنامج Hypervisor ESXi 6.x عليها. يتم توفير جزء الخادم من الخدمات الرئيسية لنظام المعلومات بواسطة خوادم افتراضية (أسماء الخوادم) تحت سيطرة أنظمة التشغيل (قائمة نظام التشغيل). البرنامج الرئيسي الذي ينفذ عمليات المعالجة هو (اسم البرنامج). برنامج التطبيق هو تطبيق خادم عميل. يعمل جزء العميل كعميل كثيف على محطات عمل المستخدم التي تستخدم أنظمة التشغيل (قائمة OS). يمكن للمستخدمين الوصول إلى نظام المعلومات ، سواء من الشبكة المحلية أو عبر الإنترنت باستخدام قنوات اتصال آمنة. بشكل عام ، يعمل نظام المعلومات كما هو موضح في المخطط.

يتم تطبيق مخطط وظيفي (غير طوبولوجي!) لنظام المعلومات.

هذا حول ما يبدو عادة. بالطبع ، قد يكون الأسلوب والتفاصيل الأخرى مختلفة تمامًا ، الشيء الرئيسي هو المعلومات التي يمكن استخلاصها من الوصف.

يوجد أيضًا قسم "أمن المباني". نوضح هنا كيفية حماية المبنى أثناء ساعات العمل وغير ساعات العمل - المراقبة بالفيديو ، ACS ، حارس الأمن ، الحارس ، المنبه ، وهذا كل شيء.

يتم أيضًا تضمين أقسام FSB "تحديد مدى أهمية استخدام حماية معلومات التشفير لضمان أمان البيانات الشخصية" و "كائنات إضافية للحماية" في قالب نموذج التهديد. في حالة عدم استخدام التشفير ، تتم إزالة هذه الأقسام ببساطة ، وإذا تم استخدامها ، فلا يوجد شيء خاص للتغيير ، بشكل عام ، ولا تحتاج إلى إدخال اسم نظام المعلومات.

لا يمكن أيضًا تغيير قسم "مبادئ نموذج التهديد". لاحظ فقط أن هناك خيارًا للحالات التي تستخدم فيها العملات المشفرة في النظام ، وعندما لا تستخدمها. اختيار واحد تحتاج والمضي قدما.

نموذج الدخيل

هنا يمكنك تقسيم هذا الجزء إلى كلاسيكي وجديد. الكلاسيكية هي التي يتم فيها وصف المخالفين المحتملين للفئات 1 و 2 وما بعدها. في الواقع ، يتم ترك هذا الجزء من نموذج الدخيل في القالب فقط لأن الهيئات التنظيمية تعجبه عندما يكون. تتمثل القيمة العملية في قسم "المخالفين وفقًا لبنك بيانات تهديدات FSTEC في روسيا".

هذا القسم ذو قيمة عملية لأن تهديدات بنك معلومات التهديد FSTEC (المشار إليها فيما يلي - BDU) مرتبطة بالمخالفين ذوي الإمكانيات المنخفضة والمتوسطة والعالية. القسم نفسه عبارة عن نسخة من الأوصاف لخصائص المنتهكين ذوي الإمكانات المنخفضة والمتوسطة والعالية. ما يلي هو استنتاج طريقتنا "الخبيرة" المفضلة - أي الجاني مناسب لنا. وهذا هو ، في الواقع ، فإن المترجم يختار الدخيل "بالعين" ، لأنه ببساطة لا توجد طرق لاختيار الجاني.
لن نعطي هذه الأوصاف كاملة هنا ، وسنحاول صياغة باختصار كيف تختلف احتمالات المخالفين. بالإضافة إلى التمييز في الإمكانات ، لا يزال المنتهكون خارجيين وداخليين.

أكثر المتسللين الموهوبين في العالم الذين يستخدمون الأدوات الموجودة بشكل مثالي ويمكنهم إنشاء أدواته الخاصة هم فجأة دخيل ذو إمكانات منخفضة. إن المتسلل الذي لديه نفس الإمكانيات ، ولكن وجود بعض المعلومات الداخلية حول النظام هو بالفعل احتمال متوسط. العبارة الرئيسية التي تميز الإمكانات المتوسطة عن المنخفضة: "لديهم إمكانية الوصول إلى المعلومات حول الخصائص والوظائف الهيكلية والوظيفية لعمل نظام المعلومات." هنا تحتاج إلى التفكير بعناية حول مدى احتمال تسرب هذه المعلومات. وباختصار ، فإن المخالفين المحتملين المرتفعة ، باختصار ، هم وكالات مخابرات. هنا لدينا الفرصة لجذب المنظمات العلمية المتخصصة والحصول على المعلومات من المجالات المادية ، وهذا كل شيء.

في المواقف الواقعية ، تكون إمكانات الدخيل منخفضة أو متوسطة.

أقسام "FSB"

فيما يلي القسمان "القدرات العامة لمصادر الهجوم" و "تنفيذ تهديدات أمن المعلومات المحددة بقدرات مصادر الهجوم". هذه الأقسام غير مطلوبة إذا لم يتم استخدام العملات المشفرة. إذا كانت لا تزال مستخدمة ، فإن البيانات الأولية ، وعمومًا لا تحتاج إلى اختراع الجداول الخاصة بهذه الأقسام ، فهي مأخوذة من الوثيقة المعيارية FSB "التوصيات المنهجية لتطوير الإجراءات القانونية التنظيمية التي تحدد التهديدات لأمن البيانات الشخصية ذات الصلة بمعالجة البيانات الشخصية في المعلومات" تعمل أنظمة البيانات الشخصية في سياق الأنشطة المعنية "(التي وافقت عليها إدارة المركز الثامن لجهاز الأمن الفيدرالي لروسيا في 31 مارس 2015 ، رقم 149/7/2 / 6-432).

حقيقتنا في القالب ، والنتيجة تختلف إلى حد ما عن الافتراضي ، الوارد في وثيقة FSB المذكورة أعلاه.

الهدف النهائي من هذه الأقسام هو إنشاء فئة من وسائل حماية معلومات التشفير (CPSI) ، والتي يمكن استخدامها في النظام قيد النظر. تعتمد هذه الفئة بشكل مباشر على إمكانات المخالف ويتم ضبطها وفقًا لترتيب 378 من FSB (للبيانات الشخصية ، ولكن لأنواع المعلومات الأخرى لا توجد متطلبات من هذا القبيل).

في معظم الأحيان ، تكون فئة العملات المشفرة المطبقة هي KC3. الآن دعنا نخبرك لماذا.

بشكل عام ، في المستند "تكوين ومحتوى التدابير التنظيمية والتقنية لضمان أمان البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية باستخدام حماية معلومات التشفير يعني ضروريًا للوفاء بمتطلبات حماية البيانات الشخصية التي وضعتها حكومة الاتحاد الروسي لكل مستوى من مستويات الأمان" ( تمت الموافقة عليه بموجب أمر صادر عن جهاز الأمن الفيدرالي الروسي بتاريخ 10 يوليو 2014 رقم 378) تم إنشاء فئة حماية معلومات التشفير للنظام المعني ، أولاً ، بناءً على والتهديدات، وثانيا على أساس المتعدين الممكنة.

لن نتناول بالتفصيل أنواع التهديدات بالتفصيل ؛ فهناك الكثير من المعلومات على الإنترنت. دعونا نتحدث عن حقيقة أن هناك ثلاثة أنواع من التهديدات ولنا عن طريق ربط أو عن طريق المحتال ، إذا كنت تخطط لاستخدام التشفير ، نحن بحاجة إلى القيام بالضبط النوع الثالث من التهديد (التهديدات غير ذات الصلة المرتبطة بقدرات غير معلنة في التطبيق والبرمجيات على مستوى النظام). لماذا؟

لأن النظام 378 FSB:

• CPS class KA في الحالات التي تكون فيها تهديدات النوع 1 ذات صلة بنظام المعلومات ؛
• CIPF للفئة KV وأعلى في الحالات التي تكون فيها تهديدات النوع 2 ذات صلة بنظام المعلومات ؛
• CIPF من الفئة KS1 وأعلى في الحالات التي تكون فيها تهديدات النوع 3 ذات صلة بنظام المعلومات.

يبدو واضحا ، ولكن ما هي المشكلة؟ المشكلة هي أنه لا يمكنك شراء CPS من الفئات KA1 و KV1 و KV2 مثل هذا ، حتى لو كان لديك الكثير من المال بتكلفة.

سنقوم بإجراء "تحقيق" صغير. قم بتنزيل السجل الجديد لأدوات حماية معلومات التشفير ، نحن نبحث عن فئة حماية معلومات التشفير KA1. جاء البحث الأول عبر "برنامج تشفير الأجهزة M-543K." نذهب إلى Google ، نكتب "شراء برنامج تشفير الأجهزة M-543K" - فشل. محاولة "شراء" العملة المشفرة التالية - مرة أخرى ، الفشل. نحن ببساطة نقود في "KA1 cryptocurrency to buy" - فشل. نحصل على روابط فقط لفئات تشفير العملات الأخرى KS1-KC3 أو إلى المنتديات التي تتم فيها مناقشة التشفير. ولكن الحقيقة هي أنه ، كما ذكرنا سابقًا ، لا يمكنك شراء فئات SCZI من المركبات الفضائية والمركبات الفضائية ، إلا من خلال وحدات عسكرية متخصصة. لماذا تم ذكر هذه العملات المشفرة عمومًا في المستند الخاص بالبيانات الشخصية لا يزال غير واضح. لذلك ، في ISDN العادي ، هو فقط النوع الثالث من التهديد.

مع KA و KV برزت ، ولكن لماذا KC3 ، وليس KS2 و KS1؟ هنا الشرط الثاني هو بالفعل اللوم - الجاني.

378 طلب FSB:

12. تُستخدم أنظمة حماية معلومات تشفير فئة CKS3 لتحييد الهجمات ، عند إنشاء أساليب وإعداد وإجراء استخدام الفرص من الرقم الوارد في الفقرتين 10 و 11 من هذه الوثيقة وواحدة من الميزات الإضافية التالية على الأقل:

أ) النفاذ المادي إلى العلاج المعرفي السلوكي ، الذي يتم فيه تنفيذ CIPF و SF
ب) القدرة على تحديد موقع مكونات الأجهزة لنظام حماية معلومات التشفير و SF ، مقيدة بالإجراءات المطبقة في نظام المعلومات الذي يستخدم فيه نظام حماية معلومات التشفير ، ويهدف إلى منع وقمع الإجراءات غير المصرح بها.

هنا المنطق هو هذا:

• يتم تطبيق أدوات حماية معلومات التشفير الشائعة مثل ، على سبيل المثال ، عميل ViPNet أو CryptoPRO CSP في محطات عمل المستخدم ؛
• المستخدمين هم المنتهكون المحتملين.
• لدى أي متسلل محتمل وصول فعلي إلى مرافق الكمبيوتر التي تنفذ عليها حماية معلومات التشفير وبيئة التشغيل.

وبالتالي ، من الممكن تبرير فئة أقل من أنظمة حماية معلومات التشفير فقط من خلال إثبات أن مستخدمينا ليسوا منتهكين محتملين (صعبًا) ، أو استخدام بوابات تشفير فقط موجودة في غرف الخوادم ، والتي ، بدورها ، لا يمكن الوصول إليها إلا للمستخدمين المميزين ، الذين استبعدناهم من قائمة المخالفين المحتملين.

نقاط الضعف

كما نذكر ، يجب الإشارة إلى نموذج الضعف في نموذج التهديد. لا يحتوي هذا القسم حتى الآن على نموذج قابل للتحميل من نموذج التهديد ، لذلك سنشرح بإيجاز كيفية التعامل مع هذا.

يجب على برنامج التحويل البرمجي لنموذج التهديد طرح سؤال على الفور: ما الذي يجب تطبيقه على المستند مباشرة من نقاط الضعف التي حددها الماسح الضوئي؟ السؤال جيد والإجابة ليست فريدة من نوعها. نحن نعرف الزملاء الذين يقومون بذلك ، لكننا نعتقد أن هذا النهج خاطئ وهذا هو السبب.

أولاً ، نموذج التهديدات التي يتعرض لها أمن المعلومات هو مستند ، رغم أنه قابل للتغيير ، ولكنه لا يزال ثابتًا إلى حد ما. وضعت مرة واحدة ونسي تغييرات البنية التحتية الهامة في النظام.

قائمة الثغرات الأمنية التي يتم إنشاؤها بواسطة الماسحات الضوئية هي معلومات حيوية للغاية. حددنا اليوم نقاط الضعف ، وغدا تم إصلاحها ومسحها ضوئيا - تلقينا تقريرا جديدا. في اليوم التالي للغد ظهرت توقيعات جديدة ، تم تحديث الماسحة الضوئية والعثور على نقاط ضعف جديدة ، وهكذا في دائرة. ما هي الفائدة من تطبيق تقرير الماسح الضوئي الضعف في وقت تم تطوير نموذج التهديد؟ لا.

ثانياً ، يمكن إنشاء نموذج تهديد لنظام معلومات غير موجود فعليًا (مصمم ، لكن غير مبني). في هذه الحالة ، لا يمكننا حتى فحص أي شيء.

المخرج من هذا الموقف بسيط. لا تحدد في نموذج التهديد الثغرات الأمنية المحددة بمعرف CVE وتصنيف CVSS ، ولكن عليك سرد فئات الثغرات المحتملة لنظام معلومات معين. ولمنح هذه القائمة صلابة ، سنأخذ هذه القائمة من الرأس ، ولكن من GOST R 56546-2015 "حماية المعلومات. نقاط الضعف في نظم المعلومات. تصنيف نقاط الضعف في نظم المعلومات. " قائمة تحت المفسد. نحن نأخذها ونزيل الخصائص غير الضرورية التي لا تتوافق مع الخصائص الهيكلية والوظيفية لنظامنا. القسم جاهز!

.
2008 . , – , . , , .

. 213 .

. – , , . – .

. . , , - . , , BIOS/UEFI - , . , , , , -.

, -, , 213 , , , .

– . , - . , , .

.

, – . , .

( Y1) , .

.



, . . – , . «» «» 70% , (Y1 = 5), , – (Y1 = 10).

« ( )». , , , , , , « » – .

, , , , .

— – . , . – , .

, . , - , – SQL- ( - !). « », , . , . , .

«»

, – .

:

• , -, ;
• , ;
• , ;
• , ;
• ;
• , ;
• , .

:

• , , ;
• , ;
• , .

, . , , « », . , .

– . « » « » — . « ...». – . , « ». .



. , 1, 2 3. , .

« » — .

« » — , , , – , .

– «» « ». – Y2, , .



, . . , , , , .

, - . , . , , . - , .

, . , , , , .

:

• Y1 – , ;
• – , , .

. – .

« » — «» , (, — «», ). : ; , ; (+, +-, — ).

, (Y2), – .

– Y. Y = (Y1+Y2)/20.

– Y. :



– , . .

– . :



الصيحة! .