ЦБ РФ: Облачные технологии меняют менталитетИсточник: cnews Наталья Николаева
С недавних пор банки стали активно обращать внимание на "облака". Эта технология постепенно завоевывает доверие крупных организаций. И хотя никто не торопится переносить в данную среду свои критические бизнес-процессы, "облака" вполне успешно используются как тестовые полигоны. О проекте по развертыванию системы облачных вычислений на опытном стенде Центробанка рассказал Александр Шибаев, начальник управления обеспечивающих систем МЦИ Банка России. CNews: Расскажите о проекте по виртуализации и развертыванию облачной среды, реализованном в Банке России. Александр Шибаев:Осенью 2011 года состоялся технический совет Банка России, на котором я доложил, что будущее - за облачными технологиями. В это время Банк России, как и любой потенциальный заказчик, был атакован предложениями построить "облако" и заверениями, что все будет здорово. Понять, что такое облако, из газет, журналов, презентаций, лекций невозможно. Поэтому в Банке России было решено организовать свой собственный облачный стенд. Промышленное "облако" создавать сразу мы не стали (и правильно сделали), решили сначала протестировать решение, разобраться в нем. При создании "облака" было одно обязательное условие - использовать для реализации облачных технологий только полностью готовые решения, предлагаемые разработчиками и вендорами по прайс-листу. Не разработать облачное решение для себя, как это сделали, например, Amazon, Google, а именно купить некий набор программных продуктов и организовать у себя "облако" в строгом соответствии с определением Американского института стандартов (NIST). Быстро выяснилось, что понятие "облако" - это не совсем то или, что чаще, совсем не то, о чем пишут в прессе и дают интервью. Так, например, обращу внимание, что виртуализация и "облако" не одно и то же, а в определение "облака" не входят виртуальные рабочие места (VDI). "Облако" - это также не ЦОД, в котором предлагают разместить серверное "железо". В нашем понимании "облако" - это совокупность центра обработки данных, обладающего рядом специфических характеристик, и комплекса программного обеспечения для управления информационной инфраструктурой, как физической (серверы, системы хранения, сетевые коммутаторы и т. д.), так и виртуальной. Облачное программное обеспечение должно быть установлено на инфраструктуру, которую можно назвать cloud ready: серверы с системами хранения и развернутым ПО виртуализации (гипервизором). CNews: Как именно выбирали поставщика облачных услуг в вашей компании? Александр Шибаев:"Облако" не требует от организаций принципиальной замены используемого программного обеспечения, смены вендоров, изменения технической политики. Организация может и должна использовать весь накопленный ИТ-опыт для перехода на следующую ступень ИТ-развития. В Банке России используются решения ведущих вендоров. Соответственно, выбор облачного решения для стенда, который потенциально может стать промышленной системой, проводился путем анализа решений традиционных поставщиков Банка России и наличия опыта эксплуатации. Набор облачного ПО состоит из множества продуктов (в нашем случае около 30-ти). Это фактически все позиции в графе "ПО систем управления" в прайс-листе производителя. Да-да, "в физической жизни" это называется системой управления и мониторинга - то, что внедряется очень трудно и долго, потому что необходимы и установка ПО на тысячах компьютеров, и последующий контроль за мириадами приложений. Но "облако" становится "облаком" только тогда, когда мы знаем все о работе всех отдельных элементов и можем предложить пользователю соглашение SLA. Тотальное управление и учет, автоматизация максимального количества рутинных операций по администрированию дают новое качество. Для создания "облака" продукты из разряда "ПО систем управления" скомпонованы вендорами в единые решения. Какое именно выбрать? На опытном участке мы ставили задачу попробовать решения тех вендоров, продукты которых уже применяются в Банке России. "Облако" - это не революция, когда все старое нужно отменить и забыть. Тот опыт, который имеется в организации, необходимо использовать, придав новое качество уже существующей практике. Если у нас, например, внедрены продукты компании Hewlett-Packard, то нет смысла переходить на решения по управлению, порталы по самообслуживанию другого вендора. Поэтому корректно сравнивать сервисы, предоставляемые публичными провайдерами, но сравнение комплексных решений для частного "облака" требует добавления субъективной составляющей - собственного опыта , оно не может быть "абстрактно" объективным. CNews: Сейчас широко используется серверная виртуализация. Какие проблемы с точки зрения управления инфраструктурой накладывает этот подход на такую крупную организацию, как ЦБ? Александр Шибаев:Преимущества виртуализации - скорость развертывания серверов, высокий уровень использования серверных ресурсов и другие положительные следствия в большей степени относятся к ИТ-технологиям. Бизнесу необходимо нечто большее. Комплексное решение имеющихся проблем виртуальной инфраструктуры приводит к одному - необходимости внедрения облачных технологий. Посмотрите сами на вопросы - ответ окажется очевидным. Как повысить управляемость виртуальной инфраструктурой, когда в виртуальной среде десятки серверов? Как автоматизировать и типизировать процессы администрирования? Как снизить нагрузку на системных администраторов и одновременно зависимость от субъективных знаний и взглядов администраторов? Как обеспечить информационную безопасность в виртуальной среде? Защитить вход, продумать процедуры. Но кто и что делает внутри? Как обеспечить оперативную масштабируемость? Виртуальный сервер может быть загружен неравномерно, от 5 % до 100 %, это значит, что или ресурсы простаивают, или пользователи недовольны. Как уменьшить время простоя сервиса? Как, в конце концов, удовлетворить потребности пользователя? Как перейти на SLA? CNews: Банки обычно настороженно относятся к "облакам". Как в вашей компании пришли к выводу об их необходимости? Александр Шибаев:Мы задали себе указанные выше вопросы. Мы проанализировали, чем и почему недовольны пользователи. Мы поняли, что облачные технологии принципиально могут помочь вывести удовлетворенность пользователей на новый уровень и сделать информационные технологии внешне такими же простыми, как электричество или водопровод. Банк России не планирует немедленно перейти в "облако", мы ставим другую задачу: полностью отказаться от предоставления физических серверов для работы приложений, при этом существенно сократить время развертывания новых решений и сделать инфраструктуру абсолютно управляемой. Легко и быстро можно создать и контролировать один, два, десять виртуальных серверов. Но как работают десятки и сотни виртуальных машин на 3-4 физических серверах? Эффективно ли используются ресурсы? От момента формулирования любого задания до внедрения автоматизированной системы проходит какой-то срок, это естественно. Как правило, на финише оказывается, что требования бизнеса изменились: что-то додумалось, а соответственно, многое нужно переделать. Замкнутый круг для ИТ-департамента. "Облако" позволяет осуществлять проекты намного оперативнее, вносить коррективы быстрее, чем любая другая технология. Банк России - не та организация, которая стремится первой внедрять ноу-хау и, соответственно, первой ошибаться. Но, с другой стороны, это и не закостеневший организм. Если мы делаем шаг, то он должен быть взвешенным, уверенным, поэтому облачные вычисления у нас развернуты в качестве тестовой среды, где мы сможем детально изучить эту технологию. CNews: Каков масштаб виртуализации в Банке России? Александр Шибаев:Проект виртуализации в Банке России реализован: созданы системы консолидированных серверов данных на основе технологии виртуализации. Эти системы развернуты во всех региональных подразделениях банка и успешно используются. Как это работает? В системе (удобно называть ее cloud-ready) при необходимости создается виртуальный сервер, на нем устанавливается необходимое ПО - и таким образом работают десятки виртуальных серверов. Cloud-ready-систему можно считать основой для облачной инфраструктуры. Но подчеркну: виртуализация и облачные технологии отнюдь не одно и то же. Виртуальные рабочие места (VDI) - прямой результат развития виртуализации. Облачные технологии и парадигма XaaS - что бы то ни было как сервис - это серьезный шаг "вперед и вверх" в ИТ-технологиях. Чтобы появилось "облако", к виртуализации необходимо добавить систему управления. Вендоры, перестав пускать маркетинговый туман, как это было год-другой назад, говорят прямо: "Нужно поставить облачную "управлялку". Очень часто при создании какой-либо системы понимание необходимости применения специализированных средств управления и мониторинга возникает поздно, почти всегда - уже вне проекта. Вопрос бизнеса "Как мы раньше работали без этого и зачем сейчас что-то внедрять?" и связанное с ним недовольство вполне закономерны. В "облаке" все происходит наоборот: система управления и мониторинга (в нашем случае состоящая из 28 продуктов) реализуется при создании "облака". Это позволяет получить управляемую инфраструктуру и предоставить огромную функциональность для администраторов, масштабируемость, полный контроль и другие преимущества для бизнеса. CNews: С какими сложностями вы столкнулись? Александр Шибаев: На опытном облачном стенде мы отрабатывали задачу по созданию системы, использующей в качестве основы комплекс виртуальных серверов, аналогичный системам, которые используются в Банке России (это физические серверы и системы хранения данных, на которые установлен слой гипервизора, и на него - виртуальные машины). На этой cloud-ready-основе мы и должны были развернуть облачные продукты. Очень быстро выяснилось, что просто облако, то есть система "cloud-ready + средства управления и мониторинга" не представляет существенной ценности для бизнеса. Более того, неконтролируемое использование огромных функциональных возможностей может привести к увеличению рисков информационной безопасности. Такое облако поможет автоматизировать процесс развертывания виртуальных машин, радикально его ускорить, взять под контроль работу всего аппаратного и программного обеспечения и т. д. Но если вопросам безопасности, которые в банке решаются очень строго и четко и имеют техническую и документальную основу, не уделить особенное внимание, то создание облака - это всего лишь упражнение айтишников для айтишников. Чтобы стенд стал полноценным и показал преимущества облачного подхода для бизнеса, необходимо добавить продукты, обеспечивающие информационную безопасность. Оказалось, что это непросто. В 2012 году, когда мы начинали, таких продуктов фактически не было. CNews: Какие требования предъявляют новые технологии к ИТ-безопасности в банках? Александр Шибаев: Как организована защита виртуальных сред сейчас? Сложившаяся парадигма такова, что доступ защищается: внутрь виртуальной среды могут попасть только доверенные люди. Прежде чем попасть в среду, пользователь сначала авторизуется, проходит несколько ступеней проверок - сколь угодно сложно и долго. Предполагается, что внутри все делаются правильно. Появление "облака" все меняет. У пользователя в "облаке" появляются инструменты по автоматизированному, простому и быстрому развертыванию виртуальных машин, установке на них разрешенного ПО. С помощью этих машин можно произвести как полезные действия, так и недопустимые. Внедрение "облака" требует пересмотреть подход к информационной безопасности: контролировать вход недостаточно, требуется защищать именно ресурсы и контролировать потребление и использование сервисов. Вход в систему должен быть единой и единственной для всех пользователей точкой подключения к "облаку". Внутри должно быть обеспечено контролируемое предоставление сервиса и контроль доступа к ресурсам. Приведу пример. Мой физический компьютер имеет IP-адрес и подключен к сетевому порту. На всем тракте подключения - ПК, сетевое оборудование, доступ к файловым серверам и др. - меня проверяют, и понятно, что работаю именно я, потому что я авторизовался - ввел пароль и т. д. Когда мне дают в пользование виртуальную машину, у меня становится уже не один IP-адрес, а два. Один используется для терминала, а второй - в той самой виртуальной среде. Можно установить, кто работал на терминале. А как проверить, какие изменения внесены в виртуальную среду? Санкционированы они или нет? Службы информационной безопасности должны получить возможность четко отвечать на эти вопросы. На стенде мы провели тестирование специализированных программных решений по информационной безопасности. CNews: Какая стратегия обеспечения безопасности "облака" выбрана в Банке России? Александр Шибаев:За основу требований к ИБ облачной инфраструктуры взяты замечания и первичный перечень уязвимостей (который сейчас уже расширен, углублен и осознан), составленные главным управлением безопасности и защиты информации. В результате опытный участок облачных вычислений представляет из себя cloud-ready-систему, на которой установлены средства автоматизации управления и мониторинга - те, которые составляют именно облачную функциональность, и продукты информационной безопасности, которые закрывают обозначенные проблемы. Если говорить о функциональности этих продуктов и не произносить слово "облачный", то требования никого не удивят. В "облаке" должна быть защита от вредоносного кода, должен быть контроль и разграничение доступа на сетевом уровне, на уровне доступа к различным приложениям и виртуальным машинам. Если мы к этим понятиям прибавим определения "виртуальный" и "облачный", то следует вывод, что все виртуальные машины нужно защищать, например, от вредоносного кода на уровне гипервизора. Основная парадигма "облака" такова: общие для виртуальных машин задачи должны выполняться централизовано, на уровне гипервизора. Узнаете? Это концептуальная основа SaaS. Если у нас сотня виртуальных машин, нет смысла на каждую ставить отдельные антивирусные средства. Правильнее сделать это централизованно.м Существует защита и на сетевом уровне. Это значит, что мы имеем виртуальную, развернутую в "облаке" локальную вычислительную сеть, которая должна подчиняться ровно таким же законам и быть настолько же удобна в эксплуатации, как и сеть физическая. Требования по авторизации и идентификации пользователей должны соблюдаться те же. При этом надо постараться избежать перехода ответственности - физическую ЛВС (другими словами, путь до "облака") администрирует "сетевик", виртуальную ЛВС (та, что в "облаке") - администратор серверов. Необходимо расширить зону администрирования сетевого администратора на виртуальную среду. Сетевые интерфейсы виртуальных машин должен настраивать серверный администратор, физические и виртуальные коммутаторы, файерволы, сети и подсети - администратор ЛВС. Решения для реализации такого подхода уже появились. Надо сказать, что год работы показал правильность нашего подхода к организации "облака". Также выявился важный факт: создание программных продуктов для "облака" - крайне сложная задача. Сделать многомиллиардную инвестицию и создать такие продукты мгновенно - нельзя. На российском рынке представлены не более пяти серьезных решений по информационной безопасности в "облаке", удовлетворяющих требованиям крупной организации. И новые что-то не появляются. CNews: Какие конкретно решения по защите у вас реализованы? Александр Шибаев:На стенде мы установили и используем несколько взаимно дополняющих продуктов по обеспечению информационной безопасности. Основа - ПО VMware vShield Endpoint, которое имеет встроенные механизмы используемых в рамках облачной инфраструктуры средств VMware vSphere/ESX/ESXi через специализированный интерфейс VMsafe API. Это позволяет сторонним производителям программного обеспечения, реализующего механизмы антивирусной защиты и информационной безопасности в виртуальной среде, оптимально интегрировать свои решения со средствами виртуализации VMware vSphere. Для программных решений виртуализации фирмы Microsoft аналогичный функционал не предлагается. Выбор Trend Micro Deep Security 8.0 обусловлен тем, что указанное ПО является первым в своем роде решением с поддержкой сред VMware vSphere 5.0 и VMware vShield Endpoint 2.0 и за счет этого занимает лидирующие позиции в ряду продуктов защиты виртуальных сред. ПО Trend Micro Deep Security представлено комплексной платформой реализации механизмов защиты информации на виртуальных серверах и рабочих станциях в составе облачной инфраструктуры. Это позволяет применять конфигурации подсистемы защиты информации с использованием программных агентов, а также без них, включая средства межсетевого экранирования, средства защиты от вредоносного программного обеспечения, средства обнаружения и предотвращения сетевых вторжений, а также средства защиты веб-приложений, средства контроля целостности и средства проверки журнальных сведений. Функции по контролю целостности реализованы с использованием агентов Deep Security Agent. Безагентская защита от вредоносного кода на уровне гипервизора позволяет надежно защищать все объекты виртуальной среды. В рамках реализации подсистемы информационной безопасности стенда предполагается использование продукта для 1 ESX или ESXi в рамках одного кластера. Продукт имеет сертификат ФСТЭК России по ТУ и уровню контроля отсутствия НДВ 4 класса. Кроме того, мы используем решение vGate от компании "Информзащита". Оно контролирует доступ и осуществляет мандатное управление в "облаке", сертифицировано ФСТЭК. HyTrust HTA - продукт, который позволяет гибко управлять теми же функциями, которыми управляет vGate, но он более глубоко интегрирован с гипервизором. Кроме этого, было начато тестирование продуктов компании "Лаборатория Касперского", которая в прошлом году заявила свое намерение развивать и облачную тему. Таким образом, сейчас мы используем 4 решения разных вендоров. Важно отметить, что это новое поколение продуктов информационной безопасности, и оно требует изменения в работе служб ИБ. Если мы ставим задачу быстрого удовлетворения требований пользователей в полном объеме, предоставления гарантированного ИТ-сервиса, то работа службы ИБ должна быть перестроена. Недостаточно обнаруживать и пресекать нарушения и составлять акты, создавать комиссии и проводить проверки соответствия состояния ИБ требованиям руководящих документов. Необходимо делать это в ритме бизнес-процесса. То есть службы ИБ должны стать полноценным и ответственным участником ИТ-процесса, а не сторонним контролером. Инструменты для этого есть. Необходимо менять документы и менталитет. CNews: Как защититься от таргетированных атак? Назовите конкретные примеры. Александр Шибаев:Сеть Банка России не связана ни с какими внешними сетями. Интернет у нас, безусловно, есть, мы им пользуемся. Для этого существует отдельная сеть, электронная почта передается через сложно организованный шлюз. Но этот сегмент отделен от промышленного "воздушной прослойкой", поэтому прямые атаки на нас невозможны. Это не делает защиту сетей сколько-нибудь проще. Я согласен и разделяю позицию Банка России в отношении информационной безопасности. Суть ее в следующем. Человек, имеющий на своем столе компьютер, является полноценно вооруженным хакером, который может нанести вред организации. И неважно, что это условный хакер, например, работник предпенсионного возраста, который только набирает текст в Word'е. Я заостряю для наглядности, но смысл, думаю, ясен: у этого сотрудника есть инструмент, и он может им воспользоваться. Системы, которые применяются внутри сети банка, позволяют отслеживать вредоносное ПО и аномальный трафик, передаваемые, например, сотрудником, который принес "заразу" на флешке. Нельзя же запретить абсолютно все, информация как-то должна к нам попадать! Внутри от потенциального нарушителя Банк России защищен очень серьезно. За годы своей работы здесь я помню всего один случай нарушения, да и тот не очень серьезный. В принципе, сотрудник банка может сделать то, что не запрещено (заметьте: не разрешено, а "не запрещено"). И породить некую аномальную ситуацию. Сеть банка контролируется и, чтобы обнаружить проблему, требуется совсем немного времени. Но все-таки время нужно! В облаке мы можем без ущерба для пользователя, не затрудняя его работу, применить другую парадигму - "запрещено все, что не разрешено". То есть конкретно и детально описать права каждого пользователя, свойства каждого ресурса. В "физическом мире" это громадная работа, начиная с инвентаризации и заканчивая настройкой всех ПК. В "облаке" - быстрое определение политик безопасности и их реализация. У пользователя просто не остается возможности что-либо нарушить. CNews: Какие сервисы перенесены в тестовую облачную среду? Александр Шибаев:Во-первых, у нас развернут сервис IaaS. Тут главное понимать, кто выступает в роли потребителя. В данном случае это ИТ-сотрудник, обслуживающий, например, экономический отдел. Нам не нужно, чтобы аналитик, бухгалтер, кладовщик имели возможность самообслуживания до такой степени, чтобы заказывать количество ядер в виртуальном процессоре. Но мы можем выделить определенный ресурс ИТ-администратору, который обслуживает данное подразделение. При этом требования к квалификации и вероятность ошибок администратора существенно снижаются. Под платформой в "облаке" мы понимаем два продукта: SQL-сервер и SharePoint как платформу для коллективной работы. Что этот сервис означает? Если у отдела возникает необходимость провести тестирование или анализ, которые предполагают наличие СУБД, то достаточно просто воспользоваться этим сервисом. Отпадает необходимость каждый раз изыскивать или покупать "железо" и думать о лицензиях, установке, администрировании. Сотрудники думают лишь о том, какие приложения будут использовать СУБД. Сервис SharePoint-портал на нашем стенде предоставлен больше для примера. Развертывание виртуальных серверов происходит за несколько минут. Настройка СУБД занимает чуть больше времени, но в любом случае речь идет о минутах, и по сравнению с тем, что было в прошлом, когда на это могла уйти неделя, это очень существенная перемена. Важное и обязательное условие для реализации IaaS и PaaS - наличие в облаке достаточных ресурсов. Наличие резерва из расчета 20-30 % от потребляемого недостаточно. Должно быть не менее 100 %. Что касается сервиса приложений, то есть SaaS, то его у нас в "облаке" нет, потому что в Банке России нет таких приложений. "Облако" достигнет своего наивысшего КПД, когда приложения будут предлагаться как сервис. Ликвидация собственного ИТ-подразделения и потребление сервиса из "облака" - весьма рискованное мероприятие, и я не думаю, что SaaS сейчас так популярен, как о нем говорят. К проблемам доступности и безопасности добавляется полная зависимость от поставщика сервиса. Почему-то считается, что малые предприятия, которые могут им воспользоваться, рискуют малым: ну что такое для бизнеса потерять миллион в случае недоступности сервиса SaaS облачного провайдера? Но для небольшой фирмы это то же самое, как для более значительной лишиться миллиардов, и может означать закрытие бизнеса. Перенос приложения в "облако" - риск, и большие организации на него пойти не могут (хотя сам подход - развернуть SaaS в собственном частном "облаке" - уже начал применяться). Мы не тестируем это решение еще и потому, что решение о переносе (на самом деле переписывании) приложений в "облако" пока не принято. Это вопрос даже не завтрашнего дня. CNews: Если говорить о бизнес-процессах, что тестируется на стенде? Александр Шибаев:Дело в том, что развертывание в "облаке" бизнес-процессов требует знаний и времени. Так просто это сделать не получится. Фактически сейчас мы испытываем инфраструктурные решения, которые за год работы привели нас к мысли, что внедрение "облака" - это не вопрос технологии, он как раз решен. Главная составляющая - в идеологии и менталитете, которые надо менять. Для служб ИБ, например, важно понять соответствие между текущими требованиями и решениями по информационной безопасности и требованиями и возможностями облачных технологий. Важно разобраться и учесть особенности технологии для разработки требований по информационной безопасности. Но, в свою очередь, требования по ИБ должны быть выполнимыми, а угрозы - реально реализуемыми. Я слышал "мощную" мысль, что "для выполнения требований информационной безопасности в случае таком-то, следует размещать каждую виртуальную машину на отдельном физическом сервере". Ответственно могу сказать: не существует проблем в информационной безопасности "облака", которые надо решать, отказываясь от виртуализации. Не теряет актуальности древнее изречение "Abusus non tollit usum", которое в одном из вариантов переводится как "злоупотребление не отменяет употребление". Ведь и космос так же осваивался: сколько бы ракет ни упало, никто эту работу не бросил. Замены облачной технологии - той, что позволяет забыть о "железе" и думать только о сервисе, - пока нет. CNews: Какие требования готовит Центробанк к ИБ в коммерческих банках? Александр Шибаев:Требования Центрального Банка жесткие. И правильность такого строгого подхода только подтверждается в различных докладах на конференциях, где я бываю. Банки всего мира - и Россия не исключение - не могут вести бизнес, если у них не обеспечен удобный доступ клиента к расчетным услугам. Это значит, что банки должны иметь, скажем так, какой-либо интернет-вход. Отсюда и возникают все опасности. Какое мнение пользователей о всяческих соцсетях? Это просто и безопасно, если я не хочу, то мою информацию никто не читает. Какое мнение сложилось у многих пользователей по отношению к "безбумажным" расчетам? Это просто и безопасно, а в случае изменения счета придет sms-уведомление. Но sms-уведомление - это не сторож пользовательского счета, а всего лишь одно из звеньев в цепи операций. А ведь к вашему счету можно прийти и не по этой цепочке, и тогда sms вовсе не придет. Вот на защиту такого наивного пользователя от неведомых ему проблем и направлены требования Центрального Банка. Но если мы все не будем серьезно относиться к собственной финансовой безопасности, то никакие самые жесткие требования не сработают. Отчасти в результате невнимательности самих пользователей злоумышленники имеют возможность проникать в системы коммерческих банков и списывать деньги в свою пользу. CNews: Уже есть какие-то прогнозы относительно того, когда облачный тестовый стенд станет промышленным решением? Александр Шибаев:Да, такой прогноз есть. Он был утвержден в октябре прошлого года. В докладе на техническом совете был озвучен тот факт, что "облако" испытано. Сделаны выводы, один из которых заключается в том, что внедрение облачных вычислений требует пересмотра стратегий облачной безопасности. Эта стратегия закреплена в большом количестве документов, по ней мы сейчас и живем. Но есть большое количество вопросов, которые, с точки зрения безопасности, в "облаке" решаются иначе, чем в физическом мире. В ходе тестов мы подтвердили: продукты вендоров зрелые, а решения по безопасности стали более удобными и функциональными. Чтобы все задуманное и протестированное осуществить, необходимо принять решение - и мы планируем сделать это до конца 2013 года. |