ProHoster > блог > адміністраванне > IaaS 152-ФЗ: такім чынам, вам патрэбна бяспека

IaaS 152-ФЗ: такім чынам, вам патрэбна бяспека

IaaS 152-ФЗ: такім чынам, вам патрэбна бяспека

Колькі б ні разбіралі міфы і легенды, якімі акружана адпаведнасць 152-ФЗ, нешта заўсёды застаецца за кадрам. Сёння мы хочам абмеркаваць не заўсёды відавочныя нюансы, з якімі могуць сутыкнуцца як буйныя кампаніі, так і зусім невялікія прадпрыемствы.

  • тонкасці класіфікацыі ПДН па катэгорыях - калі невялікі інтэрнэт-крама збірае дадзеныя, якія адносяцца да спецыяльнай катэгорыі, нават не ведаючы пра гэта;

  • дзе можна захоўваць бэкапы сабраных ПДн і вырабляць над імі аперацыі;

  • чым адрозніваецца атэстат і заключэнне аб адпаведнасці, якія ўвогуле дакументы запытваць у правайдэра і ўсё ў такім духу.

Напрыканцы мы падзелімся з вамі ўласным досведам праходжання атэстацыі. Паехалі!

Экспертам у сённяшнім артыкуле выступіць Аляксей Афанасьеў, спецыяліст па пытаннях ИБ хмарных правайдэраў «ІТ-ГРАД» і #CloudМТS (уваходзяць у групу МТС).

Тонкасці класіфікацыі

Мы часта сутыкаемся жаданнем кліента хутка, без аўдыту ІС вызначыць патрабаваны ўзровень абароненасці для ИСПДн. Некаторыя матэрыялы ў інтэрнэце на гэтую тэму ствараюць ілжывае ўражанне, што гэта простая задача і дапусціць памылку дастаткова складана.

Для вызначэння УАЗ неабходна разумець, якія дадзеныя будуць збірацца і апрацоўвацца ІС кліента. Часам адназначна вызначыць патрабаванні да абароны і катэгорыю ПДН, якімі аперуе бізнэс, бывае няпроста. Адны і тыя ж тыпы персанальных дадзеных могуць быць зусім па-рознаму ацэнены і класіфікаваны. Таму ў шэрагу выпадку меркаванне бізнесу можа разыходзіцца з меркаваннем аўдытара ці нават правяраючага. Разгледзім некалькі прыкладаў.

Аўтапарк. Здавалася б, дастаткова традыцыйны від бізнесу. Многія аўтапаркі працуюць дзесяцігоддзямі, і іх уладальнікі наймаюць ІП, фізічных асоб. Як правіла, дадзеныя супрацоўнікаў падпадаюць пад патрабаванні УАЗ-4. Аднак для працы з кіроўцамі неабходна не толькі збіраць анкетныя дадзеныя, але і вырабляць медыцынскі кантроль на тэрыторыі аўтапарка перад выхадам на змену, і інфармацыя, якая збіраецца ў працэсе, адразу трапляе ў катэгорыю медыцынскіх дадзеных – а гэта персанальныя дадзеныя спецыяльнай катэгорыі. Акрамя таго, аўтапарк можа запытваць даведкі, якія далей будуць захоўвацца ў справе вадзіцеля. Скан такой даведкі ў электронным выглядзе - дадзеныя аб стане здароўя, персанальныя дадзеныя спецыяльнай катэгорыі. Значыць, УАЗ-4 ужо не абыйсціся, патрабуецца мінімум УАЗ-3.

Інтэрнэт крама. Здавалася б, якія збіраюцца імёны, emailы і тэлефоны ўкладваюцца ў агульнадаступную катэгорыю. Аднак, калі вашы кліенты паказваюць гастранамічныя перавагі, напрыклад, халяль або кошер, такая інфармацыя можа быць расцэнена як дадзеныя аб рэлігійнай прыналежнасці і перакананнях. Таму пры праверцы або правядзенні іншых кантрольных мерапрыемстваў правяраючы можа аднесці якія збіраюцца вамі дадзеныя да спецыяльнай катэгорыі ПДн. Вось калі б інтэрнэт-крама збіраў інфармацыю аб тым, ці аддае перавагу яго пакупнік мяса або рыбу, дадзеныя можна было б аднесці да катэгорыі іншых ПДн. Дарэчы, а што рабіць з вегетарыянцамі? Бо гэта таксама можна аднесці да філасофскіх перакананняў, якія таксама адносяцца да спецкатэгорыі. Але, з іншага боку, гэта можа быць проста пазіцыяй чалавека, які выключыў мяса са свайго рацыёну. Нажаль, ніякай таблічкі, якая адназначна вызначала катэгорыю ПДН у такіх "тонкіх" сітуацыях, няма.

Рэкламнае агенцтва з дапамогай якога-небудзь заходняга хмарнага сэрвісу апрацоўвае агульнадаступныя дадзеныя сваіх кліентаў - ПІБ, адрасы электроннай пошты і тэлефоны. Гэтыя анкетныя дадзеныя, вядома, адносяцца да ПДн. Узнікае пытанне: легальна праводзіць такую ​​апрацоўку? Ці можна наогул перамяшчаць такія дадзеныя без абязлічвання за межы РФ, напрыклад, захоўваць бэкапы ў якіх-небудзь замежных аблоках? Канешне, можна. Агенцтва мае права захоўваць гэтыя дадзеныя і не ў Расіі, аднак першапачатковы збор, паводле нашага заканадаўства, неабходна выконваць на тэрыторыі РФ. Калі вы бэкапіце такую ​​інфармацыю, разлічваеце на яе аснове нейкую статыстыку, праводзіце даследаванні або выконваеце з імі нейкія іншыя аперацыі - усё гэта можна рабіць і на заходніх рэсурсах. Ключавы момант з пункту гледжання заканадаўства - дзе адбываецца збор ПДН. Таму важна не блытаць першапачатковы збор і апрацоўку.

Як вынікае з гэтых кароткіх прыкладаў, не заўсёды праца з ПДН адназначная і простая. Патрабуецца не проста ведаць, што вы з імі працуеце, але і ўмець іх правільна класіфікаваць, разумець, як працуе ІС, каб правільна вызначыць неабходны ўзровень абароненасці. У некаторых выпадках можа стаяць пытанне, які аб'ём ПДН рэальна неабходны арганізацыі для працы. Ці магчыма адмовіцца ад найболей "сур'ёзных" ці проста лішніх дадзеных? Акрамя таго, рэгулятар рэкамендуе абязлічваць ПДн там, дзе гэта магчыма. 

Як у прыкладах вышэй, часам можна сутыкнуцца з тым, што правяраючыя органы інтэрпрэтуюць збіраныя ПДн некалькі інакш, чым вы самі іх ацанілі.

Вядома, можна ўзяць у памагатыя аўдытара або сістэмнага інтэгратара, але ці будзе "памочнік" адказны за абраныя рашэнні ў выпадку праверкі? Варта адзначыць, што адказнасць заўсёды ляжыць на ўладальніку ИСПДн - аператары персанальных дадзеных. Менавіта таму, калі кампанія праводзіць падобныя працы, важна звярнуцца да сур'ёзных гульцоў на рынку такіх паслуг, напрыклад, да кампаній, якія праводзяць атэстацыйныя працы. Кампаніі-атэстатары маюць вялікі досвед у правядзенні падобных прац.

Варыянты пабудовы ИСПДн

Пабудова ИСПДн - не толькі тэхнічнае, але і шмат у чым юрыдычнае пытанне. ІТ-дырэктар або дырэктар па бяспецы павінен абавязкова пракансультавацца з юрыстам. Паколькі ў кампаніі далёка не заўсёды ёсць адмысловец з патрэбным вам профілем, варта паглядзець у бок аўдытараў-кансалтараў. Многія слізкія моманты могуць зусім не відавочныя.

Кансультацыя дазволіць вызначыць, з якімі персанальнымі дадзенымі вы маеце справу, які ўзровень абароненасці ім патрабуецца. Адпаведна, вы атрымаеце ўяўленне аб ІС, якую неабходна стварыць або дапоўніць сродкамі абароны і ОРД.

Часта выбар для кампаніі стаіць з двух варыянтаў:

  1. Пабудаваць адпаведную ІС на сваіх праграмна-апаратных рашэннях, магчыма, у сваёй сервернай.

  2. Звярнуцца да хмарнага правайдэру і абраць эластычнае рашэнне, ужо атэставаную такую ​​«віртуальную серверную».

Большасць ІС, якія апрацоўваюць ПДН, выкарыстоўвае традыцыйны падыход, які, з пункту гледжання бізнэсу, складана назваць лёгкім і ўдалым. Пры выбары гэтага варыянту неабходна разумець, што тэхнічны праект будзе ўключаць апісанне абсталявання, у тым ліку праграмна-апаратныя рашэнні і платформы. А значыць, вам давядзецца сутыкнуцца з наступнымі цяжкасцямі і абмежаваннямі:

  • складанасць маштабавання;

  • доўгі тэрмін рэалізацыі праекту: патрабуецца абраць, закупіць, усталяваць, наладзіць і апісаць сістэму;

  • маса «папяровай» працы, як прыклад – распрацоўка поўнага пакета дакументацыі на ўсю ИСПДн.

Акрамя таго, бізнэс, як правіла, разбіраецца толькі ў «верхнім» узроўні сваёй ІС – у выкарыстоўваных бізнэс-прыкладаннях. Іншымі словамі, ІТ-персанал кваліфікаваны ў сваёй вузкай вобласці. Адсутнічае разуменне таго, як працуюць усе "ніжнія ўзроўні": праграмна-апаратныя сродкі абароны, сістэмы захоўвання, рэзервовае капіраванне і, вядома, як з захаваннем усіх патрабаванняў наладзіць сродкі абароны, пабудаваць "жалезную" частку канфігурацыі. Важна разумець: гэта вялізны пласт ведаў, якія ляжаць за межамі бізнесу кліента. Менавіта тут і можа спатрэбіцца досвед хмарнага правайдэра, які прадстаўляе атэставаную «віртуальную серверную».

У сваю чаргу, хмарныя правайдэры валодаюць побач пераваг, якія, без перабольшання, здольныя зачыніць 99% запатрабаванняў бізнэсу ў вобласці абароны персанальных дадзеных:

  • капітальныя выдаткі пераўтворацца ў аперацыйныя;

  • правайдэр са свайго боку гарантуе забеспячэнне неабходнага ўзроўня бяспекі і даступнасці на базе праверанага тыпавога рашэння;

  • няма неабходнасці ўтрымліваць штат спецыялістаў, якія будуць забяспечваць працу ИСПДн на ўзроўні "жалеза";

  • правайдэры прапануюць значна больш гнуткія і эластычныя рашэнні;

  • спецыялісты правайдэра маюць усе неабходныя сертыфікаты;

  • compliance не ніжэй, чым пры пабудове ўласнай архітэктуры, з улікам патрабаванняў і рэкамендацый рэгулятараў.

Стары міф аб тым, што размяшчаць персанальныя дадзеныя ў аблоках нельга, да гэтага часу незвычайна папулярны. Праўдзівы ён толькі збольшага: ПДн сапраўды нельга размяшчаць у першым які трапіў воблаку. Патрабуецца выкананне некаторых тэхнічных мер, прымяненне пэўных сертыфікаваных рашэнняў. Калі правайдэр адпавядае ўсім патрабаванням заканадаўства, рызыкі, звязаныя з уцечкай ПДН, зводзяцца да мінімуму. У многіх правайдэраў ёсць асобная інфраструктура для апрацоўкі ПДН у адпаведнасці з 152-ФЗ. Аднак да выбару пастаўшчыка таксама трэба падыходзіць з веданнем пэўных крытэрыяў, іх мы абавязкова кранем ніжэй. 

Кліенты нярэдка прыходзяць да нас з некаторымі асцярогамі з нагоды размяшчэння ПДН у воблаку правайдэра. Што ж, давайце адразу іх абмяркуем.

  • Дадзеныя могуць быць выкрадзены пры перадачы ці міграцыі

Асцерагацца гэтага не варта - правайдэр прапануе кліенту стварэнне абароненага канала перадачы дадзеных, пабудаванага на сертыфікаваных рашэннях, узмоцненыя меры аўтэнтыфікацыі для контрагентаў і супрацоўнікаў. Застаецца выбраць прыдатныя спосабы абароны і імплементаваць іх у рамках працы з кліентам.

  • Прыедуць маскі-шоў і панясуць/апячатаюць/абясточаць сервер

Суцэль можна зразумець замоўцаў, якія асцерагаюцца, што іх бізнэс-працэсы будуць парушаныя з прычыны недастатковага кантролю над інфраструктурай. Як правіла, пра гэта думаюць тыя кліенты, чыё жалеза раней размяшчалася ў невялікіх серверных, а не спецыялізаваных ЦАД. У рэальнасці ЦАДы абсталяваны сучаснымі сродкамі як фізічнай, так і інфармацыйнай абароны. Любыя аперацыі ў такім дата-цэнтры амаль немагчыма зрабіць без дастатковых падстаў і папер, а падобныя актыўнасці патрабуюць захавання цэлага шэрагу працэдур. У дадатак «выдзіранне» вашага сервера з ЦАД можа закрануць іншых кліентаў правайдэра, і гэта ўжо сапраўды нікому не трэба. Да таго ж, ніхто не зможа паказаць пальцам менавіта на «ваш» віртуальны сервер, таму, калі хтосьці і захоча яго скрасці або задаволіць маскі-шоў, спачатку яму прыйдзецца сутыкнуцца з масай бюракратычных паравалок. За гэты час вы, хутчэй за ўсё, паспееце некалькі разоў міграваць на іншую пляцоўку.

  • Хакеры ўзламаюць воблака і выкрадуць дадзеныя

Інтэрнэт і друкаваная прэса мільгаюць загалоўкамі аб тым, як чарговае воблака ўпала ахвярай кіберзлачынцаў, а мільёны запісаў з ПДН выцеклі ў сетку. У пераважнай большасці выпадкаў уразлівасці выяўляліся зусім не на боку правайдэра, а ў ІС ахвяр: слабыя ці наогул паролі па змаўчанні, "дзюры" у рухавічках сайтаў і БД, банальная бестурботнасць бізнэсу пры выбары сродкаў абароны і арганізацыі працэдур доступу да дадзеных. Усе атэставаныя рашэнні правяраюцца на наяўнасць уразлівасцяў. Мы таксама рэгулярна праводзім "кантрольныя" пентэсты і аўдыты бяспекі як самастойна, так і сродкамі знешніх арганізацый. Для правайдэра гэта пытанне рэпутацыі і бізнэсу ў цэлым.

  • Правайдэр/супрацоўнікі правайдэра скрадуць ПДН у карыслівых мэтах

Гэта дастаткова педантычны момант. Шэраг кампаній са свету ИБ "пужаюць" сваіх кліентаў і настойваюць, што "ўнутраныя супрацоўнікі небяспечней хакераў звонку". Магчыма, у шэрагу выпадкаў гэта так, але бізнэс нельга пабудаваць без даверу. Часам мільгаюць навіны аб тым, што ўласныя супрацоўнікі арганізацый зліваюць дадзеныя кліентаў зламыснікам, а ўнутраная бяспека часам арганізавана нашмат горш, чым знешняя. Тут важна разумець, што любы буйны правайдэр вельмі не зацікаўлены ў негатыўных кейсах. Дзеянні супрацоўнікаў правайдэра добра рэгламентаваны, падзелены ролі і зоны адказнасці. Усе бізнес-працэсы пабудаваны так, што выпадкі ўцечкі дадзеных вельмі малаверагодныя і заўсёды прыкметныя унутраным службам, таму кліентам праблем з гэтага боку баяцца не варта.

  • Вы мала плаціце, бо аплачваеце паслугі дадзенымі свайго бізнэсу.

Яшчэ адзін міф: кліент, які арандуе абароненую інфраструктуру па камфортным кошце, на самай справе плаціць за яе сваімі дадзенымі - так нярэдка думаюць спецыялісты, якія не супраць прачытаць перад сном пару тэорый змовы. Па-першае, магчымасць правядзення нейкіх аперацый з вашымі дадзенымі апроч тых, што пазначаны ў даручэнні, па сутнасці роўная нулю. Па-другое, адэкватны правайдэр шануе адносінамі з вамі і сваёй рэпутацыяй - акрамя вас у яго яшчэ мноства кліентаў. Больш верагодны зваротны сцэнар, пры якім правайдэр будзе заўзята абараняць дадзеныя сваіх кліентаў, на якіх трымаецца ў тым ліку і яго бізнэс.

Выбіраемы хмарнага правайдэра для ИСПДн

На сённяшні дзень рынак прапануе нямала рашэнняў для кампаній, якія з'яўляюцца аператарамі ПДн. Прывядзем ніжэй агульны спіс рэкамендацый па выбары прыдатнага.

  • Правайдэр павінен быць гатовы заключыць афіцыйную дамову з апісаннем абавязкаў бакоў, SLA і зон адказнасці ў ключы апрацоўкі ПДн. Фактычна, паміж вамі і правайдэрам, акрамя дамовы на сэрвіс, павінна быць падпісана даручэнне на апрацоўку ПДн. У любым выпадку варта ўважліва іх вывучыць. Важна разумець размежаванне зон адказнасці паміж вамі і правайдэрам.

  • Звярніце ўвагу, што сегмент павінен адпавядаць патрабаванням, а значыць, мець атэстат з указаннем узроўня абароненасці не ніжэй, чым патрабуецца вашай ІС. Бывае, што правайдэры публікуюць толькі першую старонку атэстата, з якой мала што зразумела, ці спасылаюцца на аўдыт ці праходжанне працэдур адпаведнасці, не публікуючы сам атэстат («а ці быў хлопчык?»). Варта яго запытаць - гэта публічны дакумент, у якім паказваецца, кім была праведзена атэстацыя, тэрмін дзеяння, размяшчэнне аблокі і да т.п.

  • Правайдэр павінен падаваць інфармацыю аб тым, дзе знаходзяцца яго пляцоўкі (аб'екты абароны), каб вы маглі кантраляваць размяшчэнне вашых дадзеных. Нагадаем, што першапачатковы збор ПДН павінен выконвацца на тэрыторыі РФ, адпаведна ў дамове/атэстаце пажадана бачыць адрасы ЦАД.

  • Правайдэр павінен выкарыстоўваць сертыфікаваныя СЗІ і СКЗІ. Вядома, большасць правайдэраў не афішуюць выкарыстоўваныя тэхнічныя сродкі абароны і архітэктуру рашэнняў. Але вы як кліент не зможаце не ведаць аб гэтым. Так, напрыклад, для выдаленага падлучэння да сістэмы кіравання (парталу кіравання) неабходна выкарыстоўваць сродкі абароны. Правайдэр не зможа абыйсці гэтае патрабаванне і прадаставіць вам (ці запатрабуе ад вас выкарыстоўваць) сертыфікаваныя рашэнні. Вазьміце ў тэст рэсурсы і вы адразу зразумееце, як і што ўладкована. 

  • Вельмі пажадана, каб хмарны правайдэр аказваў дадатковыя паслугі ў сферы ИБ. Гэта могуць быць розныя сэрвісы: абарона ад DDoS-нападаў і WAF, антывірусны сэрвіс або пясочніца і да т.п. Усё гэта дазволіць вам атрымліваць абарону як сэрвіс, не адцягваць увагу на пабудову сістэм абароны, а займацца бізнес-праграмамі.

  • Правайдэр павінен быць ліцэнзіятам ФСТЭК і ФСБ. Як правіла, такая інфармацыя размяшчаецца прама на сайце. Абавязкова запытайце гэтыя дакументы і праверце, ці правільна пазначаны адрасы прадастаўлення паслуг, назва кампаніі правайдэра і да т.п. 

Давайце падсумуем. Арэнда інфраструктуры дазволіць адмовіцца ад CAPEX і пакінуць у сваёй зоне адказнасці толькі свае бізнэс-прыкладанні і самі дадзеныя, а цяжкі цяжар атэстацыі "жалеза" і праграмна-апаратных сродкаў перадаць правайдэру.

Як мы праходзілі атэстацыю

Зусім нядаўна мы паспяхова мінуў пераатэстацыю інфраструктуры «Абараненага аблокі ФЗ-152» на адпаведнасць патрабаванням для працы з персанальным дадзенымі. Працы праводзіў "Нацыянальны атэстацыйны цэнтр".

На бягучы момант "Абараненае воблака ФЗ-152" атэставана для размяшчэння інфармацыйных сістэм, якія ўдзельнічаюць у апрацоўцы, захоўванні або перадачы персанальных дадзеных (ИСПДн) згодна з патрабаваннямі ўзроўню УАЗ-3.

Працэдура атэстацыі прадугледжвае праверку адпаведнасці інфраструктуры хмарнага правайдэра на адпаведнасць узроўню абароны. Сам правайдэр дае сэрвіс IaaS і не з'яўляецца аператарам персанальных дадзеных. Працэс прадугледжвае ацэнку як арганізацыйных (дакументацыя, загады і да т.п.), так і тэхнічных мер (настройка сродкаў абароны і інш.).

Трывіяльным яго назваць нельга. Нягледзячы на ​​тое, што ДАСТ па праграмах і методыках правядзення атэстацыйных мерапрыемстваў з'явіўся яшчэ ў 2013 годзе, жорсткіх праграм для хмарных аб'ектаў да гэтага часу не існуе. Атэстацыйныя цэнтры распрацоўваюць гэтыя праграмы, засноўваючыся на ўласнай экспертызе. Са з'яўленнем новых тэхналогій праграмы ўскладняюцца і мадэрнізуюцца, адпаведна, атэстатар павінен мець досвед працы з хмарнымі рашэннямі і разумець спецыфіку.

У нашым выпадку аб'ект абароны складаецца з дзвюх лакацый.

  • Непасрэдна ў ЦАД размешчаны хмарныя рэсурсы (сервера, СГД, сеткавая інфраструктура, сродкі абароны і інш.). Безумоўна, такі віртуальны ЦАД падлучаны да сетак агульнага карыстання, адпаведна, павінны выконвацца вызначаныя патрабаванні па міжсеткавым экранаванні, напрыклад, выкарыстанне сертыфікаваных міжсеткавых экранаў.

  • Другая частка аб'екта - сродкі кіравання воблакам. Гэта працоўныя станцыі (АРМ адміністратара), з якіх ажыццяўляецца кіраванне абароненым сегментам.

Лакацыі звязваюцца праз VPN-канал, пабудаваны на СКЗІ.

Паколькі тэхналогіі віртуалізацыі ствараюць перадумовы для з'яўлення пагроз, мы выкарыстоўваем і дадатковыя сертыфікаваныя сродкі аховы.

IaaS 152-ФЗ: такім чынам, вам патрэбна бяспекаСтруктурная схема «вачамі атэстатара»

Калі кліенту патрабуецца атэстацыя яго ИСПДн, пасля арэнды IaaS яму застанецца толькі правесці ацэнку інфармацыйнай сістэмы вышэй за ўзровень віртуальнага ЦАД. Гэтая працэдура мае на ўвазе праверку інфраструктуры і выкарыстоўванага на ім ПЗ. Бо па ўсіх інфраструктурных пытаннях вы можаце спасылацца на атэстат правайдэра, вам застанецца толькі правесці працы з ПЗ.

IaaS 152-ФЗ: такім чынам, вам патрэбна бяспекаПадзел на ўзроўні абстракцыі

У заключэнне прывядзем невялікі чэк-ліст для кампаній, якія ўжо працуюць з ПДН ці толькі плануюць. Такім чынам, як апрацоўваць і не апячыся.

  1. Для аўдыту і распрацоўкі мадэляў пагроз і парушальніка запрасіце дасведчанага кансалтара з ліку атэстацыйных лабараторый, якія дапамогуць распрацаваць неабходныя дакументы і давядуць вас ужо да этапу тэхнічных рашэнняў.

  2. На этапе выбару хмарнага правайдэра зважайце на наяўнасць атэстата. Добра, калі кампанія публічна размясціла яго на сайце. Правайдэр павінен быць ліцэнзіятам ФСТЭК і ФСБ, а прапанаваны ім сэрвіс атэставаны.

  3. Пераканайцеся, што ў вас будзе заключана афіцыйная дамова і падпісана даручэнне на апрацоўку ПДн. На падставе гэтага вы зможаце правесці як праверку на адпаведнасць, так атэстацыю ИСПДн. Калі гэтыя працы на этапе тэхнічнага праекта і стварэння праектна-тэхнічнай дакументацыі вам здаюцца цяжкімі, варта звярнуцца да іншых кансалтынгавых кампаній з ліку атэстацыйных лабараторый.

Калі для вас актуальныя пытанні апрацоўкі ПДн, 18 верасня, у гэтую пятніцу, будзем рады бачыць вас на вэбінары. «Асаблівасці пабудовы атэставаных аблокаў».

Крыніца: habr.com

Дадаць каментар