АИС / АВТОМАТИЗИРОВАННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ В ЭКОНОМИКЕ 2007
.pdfучет всех защищаемых носителей информации с помощью их любой маркировки (учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи / приема, должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации).
Защита информации в системах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной и ценной информации, циркулирующей по каналам связи различных видов. В своей основе данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.
Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения, контракты и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных) должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением так называемых «цифровых подписей». На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты компьютерных информационных систем.
Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в ПЭВМ от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования (ПЭВМ и средств связи).
В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительного оборудования на предмет возможного выявления специальных закладных устройств финансового шпионажа, которые могут быть внедрены с целью регистрации или записи информативных излучений компьютера, а также речевых и других, несущих уязвимую информацию сигналов.
Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ приобрела за последнее время особую актуальность. Масштабы реальных проявлений вирусных эпидемий оцениваются сотнями тысяч случаев заражения персональных компьютеров. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер. Особенно опасны вирусы для компьютеров, входящих в состав однородных локальных вычислительных сетей. Сегодня вроде бы никого не надо убеждать в необходимости построения антивирусной защиты любой более-менее ответственной информационной системы. По оценкам западных аналитиков, ежегодный общемировой ущерб от проникновения вирусов, червей, троянских коней и прочей программной "живности" составляет от 8 до 12 млрд. долларов. Достаточно вспомнить, как в 2001 году весь мир был захвачен вирусом "HoveYou" (ущерб - 2 млрд. долларов, затем "отличилась" Nimda (ущерб – до 1 млрд. долларов) и т.д. И творцы вирусов не сидят, сложа руки: по различным оценкам, ежедневно в мире неизвестные умельцы создают от 2 до 10 новых
201
вирусов! В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных – главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, по сути дела являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.
Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы. Администратор сети с готовностью отчитается, что обеспечена защита рабочих мест, серверов, электронной почты и т.д. Но проблема заключается в том, что несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:
Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках.
Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы.
Отсутствуют программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются
Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов. Некоторые особенности современных компьютерных информационных систем создают благоприятные условия для распространения вирусов. К ним, в частности, относятся:
необходимость совместного использования программного обеспечения многими пользователями;
трудность ограничения в использовании программ;
ненадежность существующих механизмов защиты;
разграничения доступа к информации в отношении противодействия вирусу и
т.д.
В методах защиты от вирусов существуют два направления:
1.Применение специальных программ-анализаторов, осуществляющих постоянный контроль возникновения отклонений в деятельности прикладных программ, периодическую проверку наличия других возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения), а также входной контроль новых программ перед их использованием (по характерным признакам наличия в их теле вирусных образований).
2.Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ ПЭВМ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочей ПЭВМ по ее уникальным характеристикам и т.д.), которая приводит исполняемый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» машинах. Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или к системной шине ПЭВМ, а также шифрование файлов, содержащих исполняемый код программы. Общим свойством средств защиты программ от несанкционированного копирования является ограниченная стойкость такой защиты, так как в конечном случае исполняемый код программы поступает на выполнение в центральный процессор в открытом виде и может быть
202
прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снимает потребительские свойства средств защиты до нуля, так как основной целью их применения является в максимальной степени затруднить, хотя бы временно, возможность несанкционированного копирования ценной информации.
Контроль целостности программного обеспечения проводится с помощью:
–внешних средств (программ контроля целостности);
–внутренних средств (встроенных в саму программу).
Контроль целостности программ внешними средствами выполняется при старте системы и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Контроль можно производить также при каждом запуске программы на выполнение.
Контроль целостности программ внутренними средствами выполняется при каждом запуске программы на выполнение и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Такой контроль используется в программах для внутреннего пользования.
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
службы общекорпоративного уровня – 1-й уровень иерархии;
службы подразделений или филиалов – 2-й уровень иерархии;
службы конечных пользователей – 3-й уровень иерархии.
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном
режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
получение обновления программного обеспечения и антивирусных баз;
управление распространением антивирусного программного обеспечения;
управление обновлением антивирусных баз;
контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
на уровне подразделений:
обновление антивирусных баз конечных пользователей;
обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
на уровне конечных пользователей:
автоматическая антивирусная защита данных пользователя.
Функциональные требования
Удаленное управление. Возможность управления всей системой с одного рабочего места (например, с рабочей станции администратора).
Ведение журналов. Ведение журналов работы в удобной настраиваемой
форме.
Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.
Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты
Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должна быть предусмотрены механизмы обнаружения неизвестных программному обеспечению вирусов.
203
Постоянная защита рабочих станций. На рабочих станциях должно работать программное обеспечение, обеспечивающее проверку файлов при их открытии и записи на диск.
Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы
иобновления антивирусной базы на клиентах.
На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.
Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
Файл-серверы;
Рабочие станции;
Рабочие станции мобильных пользователей;
Сервера резервного копирования;
Сервера электронной почты;
Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.
Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.
Основные особенности сетевых экранов для рабочих станций:
Контролируют подключения в обе стороны
Делают ПК невидимым в Интернет (прячет порты)
Предотвращают известные хакерские атаки и троянские кони
Извещают пользователя о попытках взлома
Записывают информацию о подключениях в файл
Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления.
Не дают серверам получать информацию без ведома пользователя.
Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ нарушителем с целью получения конфиденциальной информации. Эти изменения могут преследовать цель изменения правил разграничения доступа или обхода их (при внедрении в прикладные программы системы защиты) либо организацию незаметного канала получения конфиденциальной информации непосредственно из прикладных программ (при внедрении в прикладные программы). Одним из методов противодействия этому является метод контроля целостности базового программного обеспечения специальными программами. Однако этот метод недостаточен, поскольку предполагает,
204
что программы контроля целостности не могут быть подвергнуты модификации нарушителем.
При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, однако в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.
Чем выше уровень защиты, тем она дороже. Сокращение затрат идет в направлении стандартизации технических средств. В ряде случаев, исходя из конкретных целей и условий, рекомендуется применять типовые средства, прошедшие аттестацию, даже если они уступают по некоторым параметрам.
Защита информации может обеспечиваться разными методами, но наибольшей надежностью и эффективностью обладают (а для каналов связи являются единственно целесообразными) системы и средства, построенные на базе криптографических методов. В случае использования некриптографических методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступа.
Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет осуществления «проникновения» к ЭВМ, которые с достаточной степенью надежности могут быть предотвращены (например, все данные хранятся только в зашифрованном виде), но и за счет побочных электромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также каналы связи. Все без исключения электронные устройства, блоки и узлы ЭВМ излучают подобные сигналы, которые могут быть достаточно мощными и могут распространяться на расстояния от нескольких метров до нескольких километров. При этом наибольшую опасность представляет собой получение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по завладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем соответствующая открытая информация.
Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:
организационную структуру банка;
объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);
количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка – число банковских операций в день, является основой для определения параметров системы);
количество и функциональные обязанности персонала;
количество и характер клиентов;
график суточной нагрузки.
Защита АБС должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:
анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;
реализация системы защиты на основе результатов анализа риска;
постоянный контроль за работой системы защиты и АБС в целом (программный, системный и административный).
На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.
На сегодняшний день защита АБС – это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).
Главное при защите АБС специалистами (естественно после уверенности в их компетенции в данном вопросе) – наличие здравого смысла у администрации системы.
205
Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АБС и не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации, гибкость управления системой защиты т.д., без чего применение системы защиты становится трудным делом. Построение системы защиты – это процесс поиска компромисса между уровнем защищенности АБС и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.
Защита системы "Клиент-Банк". Уровни защиты
Перед передачей в банк документов по каналам связи осуществляется кодирование данных. Подготовленные документы «подписываются» лицами, имеющими право первой и второй подписи. Для подписи документов ответственное лицо вводит известный только ему пароль, реализующий функцию «электронной» подписи. После получения документов в банке «электронная» подпись расшифровывается и сверяется с фамилиями ответственных лиц из карточки клиента. «Электронная»подпись является критерием при разрешении возможных конфликтов клиента с банком: так как пароль, необходимый для формирования электронной подписи известен, только клиенту, ее невозможно подделать.
Встроенная система электронной подписи позволяет накладывать на каждый документ в отдельности несколько электронных подписей. Банковская часть системы обеспечивает проверку электронных подписей на документе, их количество, а также права подписи всех должностных лиц, подписавших документ и про верки их подписей. Получаемая клиентом выписка также персонифицируется электронной подписью, что гарантирует достоверность информации для клиента.
Встроенная система шифрации позволяет полностью исключить запись на жесткий носитель незащищенных файлов обмена - подготовка информации и шифрация происходит в оперативной памяти и лишь затем записывается в файл.
Возможно подключение внешних программ криптозащиты, что позволяет использовать любые средства защиты, имеющиеся на рынке программного обеспечения.
При передаче информации от банка клиентам может быть предусмотрено использование факсимильной связи. При этом система осуществляет автоматическую подготовку и рассылку клиентам информации с использованием факс-модемной платы, встроенной в почтовый компьютер системы.
Защита АРМа Клиента.
Защита базы данных документов.
База данных документов защищена стандартными средствами используемой Системой промышленной СУБД (Oracle, InterBase, MS SQL Server, Progress, Sybase и др.),
исключающими возможность просмотра и модификации базы не из АРМа Клиента.
Защита на уровне выполнения операций.
Для работы в АРМе Клиента необходимо знать 5 паролей:
на доступ в АРМ;
на подпись документов подписью бухгалтера;
на подпись документов подписью директора;
на вызов транспортного модуля для отправки/приема документов;
на выполнение административных функций.
Защита АРМа Банка.
Защита базы данных документов.
База данных документов защищена стандартными средствами используемой Системой промышленной СУБД (Oracle, InterBase, MS SQL Server, Progress, Sybase и др.),
исключающими возможность просмотра и модификации базы не из АРМа Банка.
Защита на уровне выполнения операций.
Для работы в АРМе Клиента необходимо знать пароля на доступ в АРМ и пароль на выполнение административных функций.
Защита на этапе передачи документов между АРМами Банка и Клиента.
Авторизация АРМа на Сервере Обмена Документами.
206
При обращении транспортного модуля АРМа Банка или Клиента Сервер Обмена Документами проверяет его имя и пароль. Эти имена берутся из конфигурации АРМа, где они хранятся в зашифрованном виде.
Шифрация документов.
Документы передаются в зашифрованном виде. Механизм шифрации, основанный на паре симметричных ключей реализует функции криптозащиты документов (шифрование по ГОСТ 28147-89) и аутентификации отправителя документа (электронная подпись по ОСТ ЦБ РФ). Кроме того возможно подключение системы защиты Верба-О.
Протоколирование
Все компоненты системы ведут протоколы своей работы, позволяющие, в случае спорных вопросов, восстановить реальную картину действий. Поскольку протоколы работы ведутся в 3 точках, даже уничтожение их злоумышленником, не сможет скрыть истинную картину.
АРМ Клиента ведет следующие протоколы:
протокол смены ключей шифрации;
протокол работы транспортного модуля;
протокол операций по обмену документами. АРМ Банка ведет следующие протоколы:
протокол работы транспортного модуля;
протокол операций по обмену документами;
реестр проведенных документов.
Сервер Обмена Документами ведет протоколы, включающие в себя все процедуры обмена сообщениями.
АРМ Банка и АРМ Клиента ведут архивы всех документов. Архив документов синхронизируется с протоколами работы всех компонент системы по уникальным идентификаторам документов.
Технология контроля программно-компьютерных комплексов банка включает ряд контрольных процедур, которые должны выполняться на регулярной основе [14]:
1.Процедура администрирования вычислительной сети банка.
Врамках указанной процедуры проверяется наличие официально утвержденного администратора сети, топологической схемы вычислительной сети, а также расположение и наличие сетевого оборудования
иразграничение прав доступа в вычислительную сеть банка.
2.Процедура контроля за соблюдением порядка предоставления сотрудникам прав доступа и его документальное оформление, а также наличие парольной защиты и соблюдение прав пользователей сети.
Указанная процедура заключается в проверке отсутствия в вычислительной системе возможности прямого доступа к различным ее компонентам, наличия необходимых документов, определяющих порядок разрешения доступа и принципы безопасности, наличия реального разграничения прав пользователей вычислительной сетью банка.
3.Процедура контроля обеспечения бесперебойной работы компьютерных и сетевых систем
банка.
Контроль должен вестись на предмет наличия плана обеспечения бесперебойной работы банка, в том числе с учетом необходимости эвакуации персонала и оборудования в случае возникновения чрезвычайной ситуации.
4.Процедура контроля конфигурации и эксплуатации рабочих станций и серверов банка, а также разграничения доступа к ним сотрудников банка.
Врамках указанной процедуры проверяется наличие необходимой документации, невозможность проникновения (в том числе и на физическом уровне) в рабочие станции и серверы, а также оборудование серверных помещений герметичными зонами.
5.Процедура контроля за эксплуатацией автоматизированных банковских систем и обеспечения надежности их функционирования.
Контроль предполагает выяснение наличия соответствующей эксплуатационной поддержки со стороны разработчиков данных программных систем, а также полноту использования указанных систем в деятельности банка.
6.Процедура контроля администрирования системы операционного дня банка.
Врамках данной процедуры контролируется наличие порядка доступа к системе операционного дня банка и разграничения прав доступа, функционирование системы безопасности данной системы, наличие контрольных программных средств, исключающих ручную корректировку базы данных операционного дня. Должны также проверяться механизмы резервирования и восстановления системы.
207
7. Процедура контроля модуля парольной защиты и подключения локальной банковской сети
кИнтернету.
Вэтом случае следует контролировать, как модуль парольной защиты выполняет функции адекватной защиты от несанкционированного доступа к вычислительной сети банка, в том числе через Интернет. Для этого необходимо обследовать организацию рабочих мест, с которых имеется доступ к сети Интернет, а также использование специальных программ, контролирующих доступ из внешних сетей в режиме он-лайн.
8.Процедура контроля администрирования подготовки СВИФТ-сообщений, системы «клиент-банк» и работы в аналогичных системах удаленного обслуживания.
Проверяется соблюдение установленного порядка обмена сообщениями, соблюдение прав пользователей в указанных системах, правил обмена ключами, наличие и эффективность средств криптографической защиты.
9.Процедура контроля организации работы с банковскими картами.
Врамках данной процедуры исследуется организация электронного документооборота между пользователями карт и банком, механизмы выполнения проводок, порядок работы банкоматов.
10.Процедура контроля работы антивирусных программ, а также соблюдения порядка закупки необходимого оборудования и программного обеспечения.
Контроль необходимо вести за наличием необходимого антивирусного программного обеспечения, а также за соблюдением обязательных процедур при покупке аппаратуры и программного обеспечения (порядок выбора контрагента, у которого закупается оборудование, наличие проверки его деловой репутации, проведение тендеров при значительных суммах покупки и т.д.).
208
Контрольные вопросы и тесты для проверки знаний по теме*)
1.Какие особенности у каждого поколения АБС?
2.Назовите основные принципы построения современных АБС.
3.Что относится к функциональным подсистемам АБС?
4.Назовите этапы жизненного цикла АБС.
5.Какие программные средства используются в АБС?
6.Что входит в состав информационного обеспечения АБС?
7.Назовите составляющие технического обеспечения АБС.
8.В чем назначение системы «клиент-банк»?
9.Что такое интернет-банкинг?
10.По каким признакам классифицируются банковские карты?
11.Какие угрозы существуют для коммерческого банка?
12.Назовите принципы построения системы безопасности АБС.
Т7 – В1. Первые серийные АБС работали
Ана основе локальных сетей;
Б на автономных персональных компьютерах;
Вс использованием профессиональных СУБД.
Т7 – В2. Клиентская часть системы обеспечивает?
Авзаимодействие пользователя с системой;
Б Функционирование системы безопасности управления доступом;
Вхранение процедур, выполняемых сервером данных.
Т7 – В3. Наиболее дешевые пластиковые кредитные карты – это..?
А с памятью на микросхемах;
Б с магнитными полосками;
Вс микропроцессором.
Т7 – В4. Самые дешевые транзакции в системе?
АИнтернет-банкинга;
БКлиент-банк;
Вбанкоматов.
Т7 – В5. “Виртуальный” банк создается на базе?
Аиспользования Интернет-банкинга;
Б помещений, расположенных в центральных городах страны;
Всистемы клиент-банк.
Т7 – В6. Банкомат может работать в режиме:
Алибо off-line, либо on-line;
Бпакетном;
Вразделения времени.
Т7 – В7.Обслуживание счетов клиента через Интернет относится к:
АПодсистеме «Клиент-Банк»;
Б Технологии компьютерной телефонии;
ВПодсистеме «Интернет-Клиент».
209
Т7 – В8. Антивирусная защита банковской информационной системы строится по:
АИерархическому принципу;
Б Принципу демократического централизма;
ВПринципу «опоры на собственные силы».
210