Geekly articles weekly

Schreiben eines Bedrohungsmodells



Hallo allerseits, wir setzen unsere Artikelserie zum Thema „Papiersicherheit“ fort. Heute werden wir über die Entwicklung eines Bedrohungsmodells sprechen. Wenn der Zweck des Lesens dieses Artikels darin besteht, praktische Kenntnisse zu erwerben, ist es besser, sofort unsere Dokumentvorlagen herunterzuladen, die auch eine Bedrohungsmodellvorlage enthalten. Aber auch ohne Vorlage kann der Artikel auch zu Bildungszwecken gefunden werden.



Warum brauchen wir ein Bedrohungsmodell?



Die Notwendigkeit, ein Bedrohungsmodell zu entwickeln, wird durch eine Reihe von Regulierungsdokumenten geregelt. Hier sind einige davon.

Artikel 19 Teil 2 des Gesetzes Nr. 152-FZ „Über personenbezogene Daten“:

2. Die Sicherheit personenbezogener Daten wird insbesondere erreicht:

1) Feststellung von Bedrohungen für die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten;


Zusammensetzung und Inhalt der organisatorischen und technischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten (genehmigt im Auftrag der FSTEC von Russland vom 18. Februar 2013 Nr. 21):

4. Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten werden unter anderem durch den Einsatz von Informationsschutzinstrumenten im Informationssystem umgesetzt, die das Konformitätsbewertungsverfahren in der vorgeschriebenen Weise bestanden haben, wenn der Einsatz solcher Instrumente erforderlich ist, um aktuelle Bedrohungen für die Sicherheit personenbezogener Daten zu neutralisieren.


Anforderungen an den Schutz von Informationen, die keine Staatsgeheimnisse darstellen, die in staatlichen Informationssystemen enthalten sind (genehmigt von der FSTEC Russlands vom 11. Februar 2013 Nr. 17)

Bildung von Informationssicherheitsanforderungen ... einschließlich:
...
Identifizierung von Bedrohungen der Informationssicherheit , deren Implementierung zu einer Verletzung der Informationssicherheit im Informationssystem führen kann, und Entwicklung auf der Grundlage eines Modells von Bedrohungen der Informationssicherheit;
...


Anforderungen an den Informationsschutz in automatisierten Steuerungssystemen für Produktions- und technologische Prozesse in kritischen Einrichtungen, potenziell gefährlichen Einrichtungen sowie Einrichtungen, die eine erhöhte Gefahr für das Leben und die Gesundheit von Mensch und Umwelt darstellen (genehmigt im Auftrag des FSTEC von Russland vom 14. März 2014 Nr. 31):

Bildung von Anforderungen für die Informationssicherheit in einem automatisierten Steuerungssystem ... einschließlich umfasst:
...
Identifizierung von Bedrohungen der Informationssicherheit, deren Umsetzung zu einer Verletzung der normalen Funktionsweise des automatisierten Kontrollsystems führen kann, und Entwicklung eines Modells von Bedrohungen der Informationssicherheit auf ihrer Grundlage;


Anforderungen zur Gewährleistung der Sicherheit wesentlicher Objekte der kritischen Informationsinfrastruktur der Russischen Föderation (genehmigt im Auftrag der FSTEC von Russland vom 25. Dezember 2017 Nr. 239):

11. Die Entwicklung organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit eines wesentlichen Objekts erfolgt durch das Thema der kritischen Informationsinfrastruktur ... und sollte Folgendes umfassen:

a) Analyse von Bedrohungen der Informationssicherheit und Entwicklung eines Modells für Bedrohungen der Informationssicherheit oder deren Verfeinerung (falls vorhanden);


Die Schlussfolgerung daraus ist also einfach: Für alle Informationssysteme, die in irgendeiner Weise gesetzlich geschützt werden sollen, ist es notwendig, ein Bedrohungsmodell zu entwickeln.

Inhalt des Bedrohungsmodells



Wir haben herausgefunden, dass ein Dokument erstellt werden muss. Lassen Sie uns sehen, was die Gesetzgebung für den Inhalt vorschreibt. Hier ist seltsamerweise alles eher knapp.

Als Lehrbuchbeispiel für die Beschreibung des Inhalts eines Bedrohungsmodells können wir 17 Befehle des FSTEC anführen:

Das Modell der Bedrohungen der Informationssicherheit sollte eine Beschreibung des Informationssystems und seiner strukturellen und funktionalen Merkmale sowie eine Beschreibung der Bedrohungen der Informationssicherheit enthalten, einschließlich einer Beschreibung der Fähigkeiten von Verstößen (Modell des Verstoßes), möglicher Schwachstellen des Informationssystems, Möglichkeiten zur Implementierung von Bedrohungen der Informationssicherheit und der Folgen einer Verletzung der Eigenschaften der Informationssicherheit.


Du wirst es nicht glauben, aber das ist alles. Auf der anderen Seite ist es zwar sehr viel Text, aber ziemlich informativ. Lassen Sie uns noch einmal lesen und aufschreiben, was in unserem Bedrohungsmodell enthalten sein sollte:

  • Beschreibung des Informationssystems;
  • strukturelle und funktionelle Eigenschaften;
  • Beschreibung der Sicherheitsbedrohungen
  • Eindringlingsmodell;
  • mögliche Schwachstellen;
  • Möglichkeiten zur Implementierung von Bedrohungen;
  • Folgen einer Verletzung der Eigenschaften der Informationssicherheit.


Dies ist gesetzlich vorgeschrieben, was FSTEC erfordert. Es gibt auch zusätzliche Anforderungen des FSB (etwas später) und einige inoffizielle Anforderungen und Wünsche des FSTEC, denen wir bei der Einigung auf Bedrohungsmodelle staatlicher Informationssysteme begegnet sind.

Einführender Teil des Bedrohungsmodells



Kommen wir zum Inhalt des Dokuments.

Ich denke an die Titelseite, eine Liste von Abkürzungen, Begriffen und Definitionen, alles ist klar. Obwohl es sich vielleicht lohnt, auf ... plötzlich die Titelseite einzugehen.

In der Vorlage wird sie vom Leiter des Eigentümers des Informationssystems signiert. Es ist nicht nur das.

Dekret der Regierung der Russischen Föderation vom 11. Mai 2017 Nr. 555:

4. Das Mandat für die Schaffung des Systems und das Modell der Bedrohungen der Informationssicherheit werden vom Beamten der Exekutivbehörde genehmigt, der die entsprechenden Befugnisse übertragen sind.


Wenn das Informationssystem nicht in Staatsbesitz ist und der Systembetreiber keine Exekutivbehörde ist, kann natürlich jeder ein Bedrohungsmodell unterzeichnen. Es ist nur so, dass wir wiederholt darauf gestoßen sind, dass der Kunde uns unter den oben genannten Bedingungen (staatliches Informationssystem der Exekutivbehörde) gebeten hat, das Deckblatt so zu ändern, dass nur die Vertreter des lizenzierten Unternehmens (dh unseres) dort unterschrieben haben. Ich musste erklären, warum die FSTEC ein solches Modell von Bedrohungen zur Überarbeitung zurückgeben würde.

Abschnitt "Normative und methodische Unterstützung"



An dieser Stelle möchte ich daran erinnern, dass das Bedrohungsmodell für sehr unterschiedliche Systeme entwickelt werden kann - von ISDN bis KII. Daher kann die Liste der Zulassungsdokumente variieren. Wenn wir beispielsweise ein Bedrohungsmodell für automatisierte Prozessleitsysteme entwickeln, sollten 21 und 17 Aufträge des FSTEC aus der Vorlage entfernt und der 31. hinzugefügt werden.

Mit der Abkürzung „SKZI“ gekennzeichnete Dokumente sind Zulassungsdokumente des FSB für den Umgang mit Verschlüsselungswerkzeugen. Wenn im Informationssystem keine Kryptowährungen verwendet werden (jetzt ist es eine Seltenheit, aber immer noch), sollten diese behördlichen Dokumente aus der Liste entfernt werden.

Ein häufiger Fehler ist das Hinzufügen verschiedener GOSTs und anderer behördlicher Dokumente (sie geben hier sehr gerne STR-K ein), die nichts mit Bedrohungsmodellierung zu tun haben. Oder stornierte Dokumente. Beispielsweise finden sich in Bedrohungsmodellen häufig in der Liste der Regulierungsdokumente die sogenannten „methodischen Empfehlungen ...“ und „typischen Anforderungen ...“ des FSB, die seit langem nicht mehr relevant sind .

Allgemeine Bestimmungen



Hier zeigt die Vorlage Standardwasser - warum brauchen wir ein Bedrohungsmodell usw. Worauf wir uns hier konzentrieren müssen, ist ein Kommentar zur Art der betrachteten Informationen. Standardmäßig wird die häufigste Option in der Vorlage angezeigt - Persönliche Daten (PD). Das System verfügt möglicherweise nicht über personenbezogene Daten, es gibt jedoch möglicherweise andere vertrauliche Informationen (CI), und Informationen sind möglicherweise nicht vertraulich, sondern gemäß anderen Merkmalen (Integrität und Verfügbarkeit) geschützt (CI).

Beschreibung des Informationssystems



Hier finden Sie allgemeine Informationen zum Informationssystem - wo es sich befindet, wie es heißt, welche Daten und welche Klasse (Sicherheitsstufe, Kategorie) verarbeitet werden. Hier interessiert es natürlich viele, wie gründlich das Informationssystem beschrieben werden muss.

Im Rahmen der mehrfachen Genehmigung von Bedrohungsmodellen für staatliche Informationssysteme haben wir eine entsprechende Lösung entwickelt - es muss einen Mittelweg geben. Dies sollte keine Kopie aus dem technischen Pass sein, in der die Seriennummern der technischen Geräte angegeben sind. Andererseits sollte eine Person, die mit dem System nicht vertraut ist und dessen Beschreibung im Bedrohungsmodell gelesen hat, ungefähr verstehen, wie dieses System funktioniert.

Ein Beispiel:

Der Serverteil des Nipel-Informationssystems ist ein Cluster physischer Server, auf denen der ESXi 6.x-Hypervisor bereitgestellt wird. Der Serverteil der Hauptdienste des Informationssystems wird von virtuellen Servern (Servernamen) unter der Kontrolle von Betriebssystemen (Betriebssystemliste) bereitgestellt. Die Hauptsoftware, die die Verarbeitungsprozesse implementiert, ist (Software-Name). Anwendungssoftware ist eine Client-Server-Anwendung. Der Client-Teil arbeitet als Thick-Client auf Benutzerarbeitsstationen, auf denen Betriebssysteme ausgeführt werden (Betriebssystemliste). Benutzer erhalten Zugriff auf das Informationssystem sowohl über das lokale Netzwerk als auch über das Internet über sichere Kommunikationskanäle. Im Allgemeinen funktioniert das Informationssystem wie in der Abbildung gezeigt.

Das funktionale (nicht topologische!) Schema des Informationssystems wird angewendet.


So sieht es normalerweise aus. Stil und andere Details können natürlich sehr unterschiedlich sein. Hauptsache sind Informationen, die aus der Beschreibung entnommen werden können.

Es gibt auch einen Abschnitt „Sicherheit von Räumlichkeiten“. Hier beschreiben wir, wie die Räumlichkeiten während der Arbeits- und Nichtarbeitszeit geschützt sind - Videoüberwachung, ACS, Wachmann, Wachmann, Alarm und das ist alles.

Die FSB-Abschnitte „Ermittlung der Relevanz der Verwendung des Schutzes kryptografischer Informationen zur Gewährleistung der Sicherheit personenbezogener Daten“ und „Zusätzliche Schutzobjekte“ sind ebenfalls in der Bedrohungsmodellvorlage enthalten. Wenn keine Kryptografie verwendet wird, werden diese Abschnitte einfach entfernt. Wenn sie verwendet werden, müssen im Allgemeinen keine besonderen Änderungen vorgenommen werden, und Sie müssen den Namen des Informationssystems nicht eingeben.

Der Abschnitt "Prinzipien des Bedrohungsmodells" kann ebenfalls nicht geändert werden. Beachten Sie nur, dass es eine Option für Fälle gibt, in denen Kryptowährungen im System verwendet werden und wenn nicht. Wählen Sie die gewünschte aus und fahren Sie fort.

Eindringlingsmodell



Hier können Sie diesen Teil in klassisch und neu unterteilen. Klassisch ist derjenige, bei dem potenzielle Verstöße gegen die Kategorien 1, 2 und darüber hinaus beschrieben werden. Tatsächlich bleibt dieser Teil des Eindringlingsmodells nur in der Vorlage, weil es den Regulierungsbehörden gefällt, wenn es so ist. Der praktische Wert wird durch den Abschnitt „Verstöße nach der Datenbank der Bedrohungen durch die FSTEC von Russland“ dargestellt.

Dieser Abschnitt ist von praktischem Wert, da die Bedrohungen selbst aus der FSTEC-Bedrohungsdatenbank (im Folgenden als BDU bezeichnet) an Verstöße mit geringem, mittlerem und hohem Potenzial gebunden sind. Der Abschnitt selbst ist eine Kopie der Beschreibungen der Merkmale von Verstößen mit niedrigem, mittlerem und hohem Potenzial. Das Folgende ist die Schlussfolgerung unseres bevorzugten "Experten" Weges - welcher Täter für uns relevant ist. Das heißt, der Compiler wählt den Eindringling „per Auge“ aus, da es einfach keine Methoden zur Auswahl des Täters gibt.
Wir werden diese Beschreibungen hier nicht vollständig geben, wir werden versuchen, kurz zu formulieren, wie sich die Potenziale von Verstößen unterscheiden. Neben der Differenzierung des Potenzials sind die Verstöße nach wie vor extern und intern.

Der talentierteste Hacker der Welt, der vorhandene Tools perfekt nutzt und seine eigenen Tools erstellen kann, ist plötzlich ein Eindringling mit geringem Potenzial. Ein Eindringling mit den gleichen Fähigkeiten, aber mit einigen Insiderinformationen über das System ist bereits ein durchschnittliches Potenzial. Der Hauptsatz, der das mittlere Potenzial vom niedrigen unterscheidet, lautet: "Sie haben Zugang zu Informationen über die strukturellen und funktionellen Merkmale und Merkmale der Funktionsweise des Informationssystems." Hier müssen Sie sorgfältig überlegen, wie wahrscheinlich es ist, dass solche Informationen auslaufen. Kurz gesagt, Straftäter mit hohem Potenzial sind hauptsächlich Geheimdienste. Hier haben wir die Möglichkeit, spezialisierte wissenschaftliche Organisationen anzuziehen und Informationen aus physischen Bereichen zu erhalten, und das ist alles.

In realistischen Situationen ist das Potenzial des Eindringlings entweder gering oder mittel.

"FSB" Abschnitte



Als nächstes folgen die Abschnitte "Allgemeine Funktionen von Angriffsquellen" und "Implementierung von Bedrohungen der Informationssicherheit, die durch die Funktionen von Angriffsquellen identifiziert werden". Diese Abschnitte werden nicht benötigt, wenn keine Kryptowährungen verwendet werden. Wenn sie dennoch verwendet werden, müssen die ursprünglichen Daten und im Allgemeinen die Tabellen für diese Abschnitte nicht erfunden werden. Sie stammen aus dem normativen FSB-Dokument „Methodische Empfehlungen zur Entwicklung von Rechtsakten, die Bedrohungen für die Sicherheit personenbezogener Daten definieren, die für die Verarbeitung personenbezogener Daten in Informationen relevant sind personenbezogene Datensysteme, die im Rahmen der jeweiligen Aktivitäten betrieben werden “(genehmigt von der Leitung des 8. Zentrums des Bundessicherheitsdienstes Russlands am 31. März 2015, Nr. 149/7/2 / 6-432).

Unsere Wahrheit in der Vorlage, das Ergebnis unterscheidet sich etwas von der Standardeinstellung, die im oben genannten FSB-Dokument angegeben ist.

Das letztendliche Ziel dieser Abschnitte besteht darin, eine Klasse von Mitteln zum Schutz kryptografischer Informationen (CPSI) festzulegen, die in dem betrachteten System verwendet werden können. Diese Klasse hängt direkt von den Fähigkeiten des Verletzers ab und wird gemäß der 378-Reihenfolge des FSB festgelegt (für personenbezogene Daten, für andere Arten von Informationen gibt es einfach keine derartigen Anforderungen).

Am häufigsten ist die anwendbare Klasse von Kryptowährungen KC3. Jetzt sagen wir Ihnen warum.

Im Allgemeinen bedeutet das Dokument „Zusammensetzung und Inhalt organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung in personenbezogenen Dateninformationssystemen unter Verwendung kryptografischer Informationsschutzmittel, die erforderlich sind, um die von der Regierung der Russischen Föderation für jede Sicherheitsstufe festgelegten Anforderungen an den Schutz personenbezogener Daten zu erfüllen“ ( genehmigt mit Beschluss des Bundessicherheitsdienstes Russlands vom 10. Juli 2014 Nr. 378) Die Schutzklasse für kryptografische Informationen für das betreffende System wird zunächst auf der Grundlage von festgelegt und Bedrohungen, und zweitens auf der Grundlage des möglichen Verletzer.

Wir werden nicht im Detail auf die Arten von Bedrohungen eingehen, da es im Internet viele Informationen gibt. Lassen Sie uns auf die Tatsache eingehen, dass es drei Arten von Bedrohungen gibt. Wenn Sie Kryptografie verwenden möchten, müssen Sie die dritte Art von Bedrohung ausführen (irrelevante Bedrohungen, die mit nicht deklarierten Funktionen in anwendungs- und systemweiter Software verbunden sind). Warum?

Weil die 378 FSB bestellen:

  • CPS-Klasse KA in Fällen, in denen Bedrohungen vom Typ 1 für das Informationssystem relevant sind;
  • CIPF der Klasse KV und höher in Fällen, in denen Bedrohungen des Typs 2 für das Informationssystem relevant sind;
  • CIPF der Klasse KS1 und höher in Fällen, in denen Bedrohungen vom Typ 3 für das Informationssystem relevant sind.


Es scheint klar, aber was ist das Problem? Das Problem ist, dass Sie CPS der Klassen KA1, KV1 und KV2 nicht einfach so kaufen können, selbst wenn Sie viel Geld haben, das sie kosten.

Wir werden eine kleine "Untersuchung" durchführen. Laden Sie die neue Registrierung von Tools zum Schutz kryptografischer Informationen herunter. Wir suchen nach der Schutzklasse KA1 für kryptografische Informationen. Die erste Suche ergab "Hardware-Software-Encoder M-543K". Wir gehen zu Google und schreiben "Buy Hardware-Software Encoder M-543K" - ein Fehler. Der Versuch, die nächste Kryptowährung zu "kaufen" - erneut ein Fehlschlag. Wir fahren einfach in "KA1 Kryptowährung zu kaufen" - ein Fehler. Wir erhalten nur Links zu anderen Kryptowährungsklassen KS1-KC3 oder zu Foren, in denen Kryptographie diskutiert wird. Tatsache ist jedoch, dass Sie, wie bereits erwähnt, SCZI-Klassen von Raumfahrzeugen und Raumfahrzeugen nur über spezialisierte Militäreinheiten kaufen können. Warum diese Kryptowährungen im Dokument über personenbezogene Daten allgemein erwähnt wurden, ist noch nicht klar. Daher ist es im normalen ISDN nur die dritte Art von Bedrohung.

Mit KA und KV herausgefunden, aber warum KC3 und nicht KS2 und KS1? Hier ist bereits die zweite Bedingung schuld - der Täter.

378 FSB Bestellung:

12. Die kryptografische Informationsschutzklasse KS3 wird verwendet, um Angriffe zu neutralisieren, wenn Methoden erstellt, vorbereitet und durchgeführt werden, die die Funktionen der in den Absätzen 10 und 11 dieses Dokuments aufgeführten Nummer und mindestens eine der folgenden zusätzlichen Funktionen nutzen:

a) physischer Zugang zu CBT, auf dem CIPF und SF implementiert sind ;
b) die Fähigkeit, die Hardwarekomponenten des kryptografischen Informationsschutzsystems und des SF zu lokalisieren, begrenzt durch Maßnahmen, die in dem Informationssystem implementiert sind, in dem das kryptografische Informationsschutzsystem verwendet wird, und das darauf abzielt, nicht autorisierte Aktionen zu verhindern und zu unterdrücken.


Hier ist die Logik folgende:

  • Auf Benutzerarbeitsstationen werden gängige Tools zum Schutz kryptografischer Informationen wie beispielsweise ViPNet Client oder CryptoPRO CSP implementiert.
  • Benutzer sind potenzielle Verstöße;
  • Ein potenzieller Eindringling hat physischen Zugriff auf Computereinrichtungen, auf denen der Schutz kryptografischer Informationen und die Betriebsumgebung implementiert sind.


Somit ist es möglich, eine niedrigere Klasse von Schutzsystemen für kryptografische Informationen zu rechtfertigen, die rechtfertigen, dass unsere Benutzer keine potenziellen Verstöße darstellen (schwierig), oder nur Krypto-Gateways in Serverräumen zu verwenden, die wiederum nur privilegierten Benutzern zugänglich sind, die wir ausgeschlossen haben aus der Liste der potenziellen Verstöße.

Sicherheitslücken



Wie wir uns erinnern, sollte das Schwachstellenmodell im Bedrohungsmodell angegeben werden. Das herunterladbare Modell des Bedrohungsmodells enthält diesen Abschnitt noch nicht. Daher werden wir kurz beschreiben, wie Sie damit umgehen.

Der Compiler des Bedrohungsmodells sollte sofort eine Frage stellen: Was muss eine direkte Liste der vom Scanner identifizierten Schwachstellen auf das Dokument angewendet werden? Die Frage ist gut und die Antwort ist nicht eindeutig. Wir kennen Kollegen, die genau das tun, aber wir denken, dass dieser Ansatz falsch ist, und deshalb.

Erstens ist das Modell der Bedrohung der Informationssicherheit ein Dokument, das zwar Änderungen unterliegt, aber immer noch mehr oder weniger statisch ist. Einmal entwickelt und vergessen, wesentliche Infrastrukturänderungen im System.

Die Liste der Schwachstellen, die von Scannern generiert werden, enthält sehr dynamische Informationen. Heute haben wir Schwachstellen identifiziert, morgen wurden sie behoben und erneut gescannt - wir haben einen neuen Bericht erhalten. Übermorgen wurden neue Signaturen angezeigt, der Scanner wurde aktualisiert und fand neue Schwachstellen usw. in einem Kreis. Was bringt es, einen Schwachstellenscanner-Bericht anzuwenden, der zum Zeitpunkt der Entwicklung des Bedrohungsmodells erstellt wurde? Nichts.

Zweitens kann ein Bedrohungsmodell für ein physisch nicht vorhandenes (entworfenes, aber nicht gebautes) Informationssystem erstellt werden. In diesem Fall können wir nicht einmal etwas scannen.

Der Ausweg aus dieser Situation ist einfach. Geben Sie im Bedrohungsmodell keine spezifischen Schwachstellen mit der CVE-Kennung und der CVSS-Bewertung an, sondern listen Sie mögliche Schwachstellenklassen für ein bestimmtes Informationssystem auf. Um dieser Liste Solidität zu verleihen, nehmen wir diese Liste nicht aus dem Kopf, sondern aus GOST R 56546-2015 „Informationsschutz. Sicherheitslücken in Informationssystemen. Klassifizierung von Schwachstellen in Informationssystemen. " Liste unter dem Spoiler. Wir nehmen es und entfernen unnötige, die nicht mit den strukturellen und funktionellen Eigenschaften unseres Systems kompatibel sind. Der Abschnitt ist fertig!

Schwachstellenklassen nach GOST
Ursprungsschwachstellen:

  • Code-Schwachstellen;
  • Konfigurationsschwachstellen;
  • ;
  • .


:

  • , ;
  • , ;
  • , ;
  • , ;
  • , ( );
  • , ;
  • , ;
  • , , / ;
  • , ( );
  • , , ;
  • , ;
  • , ;
  • , ;
  • , .

():

  • () ;
  • ;
  • ;
  • ;
  • ;
  • (, ) ;
  • .





.
2008 . , – , . , , .

. 213 .

. – , , . – .

Nachteile . , , - . , , BIOS/UEFI - , . , , , , -.

, -, , 213 , , , .

– . , - . , , .

.



, – . , .

( Y1) , .

.

1. :
, , ,- -- -+
, (, )- -- -+
,- -+- -
() ,- -+- -
,+- -- -
2. :
,- -- -+
,- -+- -
,+- -- -
3. () :
,+- -- -
, ,- -+- -
,- -- -+
4. :
, , ,- -+- -
, ,- -- -+
- -- -+
5. :
() , )- -- -+
, , —+- -- -
6. () :
, ( , , , . .)+- -- -
,- -+- -
, (. . , )- -- -+
7. ,
,- -- -+
,- -+- -
,+- -- -



, . . – , . «» «» 70% , (Y1 = 5), , – (Y1 = 10).



« ( )». , , , , , , « » – .

, , , , .

— – . , . – , .

, . , - , – SQL- ( - !). « », , . , . , .

«»



, – .

:

  • , -, ;
  • , ;
  • , ;
  • , ;
  • ;
  • , ;
  • , .


:

  • , , ;
  • , ;
  • , .




, . , , « », . , .

– . « » « » — . « ...». – . , « ». .



. , 1, 2 3. , .

« » — .

« » — , , , – , .

– «» « ». – Y2, , .

() , , . :

– (, , , );

– , (, );

— , ;

— .

, :

0 – ;
2 – ;
5 – ;
10 – .



, . . , , , , .

, - . , . , , . - , .



, . , , , , .

:

  • Y1 – , ;
  • – , , .


. – .

« » — «» , (, — «», ). : ; , ; (+, +-, — ).

, (Y2), – .

– Y. Y = (Y1+Y2)/20.

– Y. :



– , . .

– . :

Bild

Hurra! .

Source: https://habr.com/ru/post/de457516/

More articles:


All Articles