|
|
| (66 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''topic''' - Kurzbeschreibung
| | [[Kategorie:IT-Grundschutz/Kompendium]] |
| == Modellierung ==
| | [[Kategorie:BSI/200-2]] |
| In den vorangegangenen Schritten haben Sie die einzelnen Komponenten ermittelt, die Zielobjekte des Sicherheitskonzepts für den betrachteten Informationsverbund sind, und detailliert deren Schutzbedarf bewertet. Darauf aufbauend sind im nächsten Schritt, der '''Modellierung gemäß -Grundschutz''', die relevanten Sicherheitsanforderungen für die einzelnen Zielobjekte zu bestimmen. Als Ergebnis erhalten Sie ein '''-Grundschutz-Modell''' des Informationsverbundes.
| |
| | |
| Dieses Modell kann sowohl dazu dienen, die Sicherheit bestehender Systeme und Verfahren zu bewerten, als auch zu einer angemessenen Berücksichtigung der Informationssicherheit bei der Einführung neuer Elemente beitragen. Kurz gesagt liefert es* für bestehende Teile des Informationsverbundes die Vorgaben für einen '''Prüfplan''' und
| |
| * für geplante Teile die Vorgaben für ein '''Entwicklungskonzept'''
| |
| | |
| zur Informationssicherheit.
| |
| | |
| [[Image:Abb_5_00_IT-Grundschutz-Modell.png?__blob=normal&v=1Bild3.png|top|alt="Die Grafik veranschaulicht, dass das IT-Grundschutz-Modell sowohl ein Prüf- als auch ein Entwicklungskonzept sein kann."]] | |
| | |
| Bei der Entwicklung des -Grundschutz-Modells werden Sie durch das '''-Grundschutz-Kompendium''' unterstützt. In dieser Lektion lernen Sie daher den Aufbau und die Inhalte dieses Dokuments kennen und erfahren,* wie Sie es verwenden, um ein -Grundschutz-Modell eines Informationsverbundes anzufertigen,
| |
| * wie Sie spezielle Szenarien, zum Beispiel virtualisierte Systeme in einem solchen Modell berücksichtigen und
| |
| * wie Sie die Ergebnisse der Modellierung geeignet dokumentieren.
| |
| | |
| == Grundschutz-Bausteine ==
| |
| Das -Grundschutz-Kompendium ist modular aufgebaut. Den Kern bilden die jeweils rund zehn Seiten langen '''-Grundschutz-Bausteine''', in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen beschrieben werden. Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
| |
| | |
| Den Bausteinen sind einleitende Kapitel vorangestellt, die unter anderem Hinweise zur Anwendung des -Grundschutz-Kompendiums und eine Übersicht Elementarer Gefährdungen enthalten. Zu dieser Übersicht und ihrem Stellenwert im Rahmen der -Grundschutz-Methodik erfahren Sie in [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html Lektion 7: Risikoanalyse] mehr.
| |
| | |
| Alle Bausteine sind in gleicher Weise gegliedert:
| |
| * Sie beginnen mit einer '''kurzen Beschreibung''' und Abgrenzung des behandelten Sachverhalts.
| |
| * Es folgt eine Darstellung der spezifischen '''Gefährdungslage''' '''mit Hilfe exemplarischer Gefährdungen'''.
| |
| * Den Kern bilden die in drei Gruppen unterteilten '''Sicherheitsanforderungen''':
| |
| ** vorrangig zu erfüllende '''Basis-Anforderungen''',
| |
| ** für eine vollständige Umsetzung des -Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende '''Standard-Anforderungen''' sowie
| |
| ** Anforderungen für den '''erhöhten Schutzbedarf'''.
| |
| * Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
| |
| | |
| Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE. In Großbuchstaben gesetzte Verben zeigen dabei die '''Verbindlichkeit einer''' '''Anforderung'''. Die folgende Tabelle gibt hierzu eine Übersicht:
| |
| | |
| Verben zur Angabe der Verbindlichkeit
| |
| | |
| {| style="border-spacing:0;width:17cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| ! align=center| Ausdruck
| |
| ! align=center| Bedeutung
| |
| |- style="border:none;padding:0.049cm;"
| |
| || MUSS, DARF NUR
| |
| || So gekennzeichnete Anforderungen müssen unbedingt erfüllt werden.
| |
| |- style="border:none;padding:0.049cm;"
| |
| || DARF NICHT, DARF KEIN
| |
| || Etwas darf in keinem Fall getan werden.
| |
| |- style="border:none;padding:0.049cm;"
| |
| || SOLLTE
| |
| || Dieser Ausdruck bedeutet, dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann.
| |
| |- style="border:none;padding:0.049cm;"
| |
| || SOLLTE NICHT, SOLLTE KEIN
| |
| || Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
| |
| | |
| |-
| |
| |}
| |
| == Schichtenmodell ==
| |
| [[Image:Abb_5_02_Schichtenmodell.png?__blob=normal&v=1Bild2.png|top|alt="Das Schichtenmodell des IT-Grundschutz-Kompendiums - Einzelheiten werden im Text erläutert."]]
| |
| | |
| Die verschiedenen [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html -Grundschutz-Bausteine] sind in ein '''Schichtenmodell''' gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):* '''Prozess-Bausteine:'''
| |
| ** ISMS: Sicherheitsmanagement (ISMS.1 ''Sicherheitsmanagement'')
| |
| ** ORP: Organisation und Personal (ORP.1 ''Organisation'', ORP.2 ''Personal'', ORP.3 ''Sensibilisierung und Schulung'', ORP.4'' Identitäts- und Berechtigungsmanagement,'' ORP.5 ''Compliance Management'')
| |
| ** CON: Konzeption und Vorgehensweisen (CON.1 ''Kryptokonzept'', CON.2 ''Datenschutz'', CON.3 ''Datensicherungskonzept'', CON.4 ''Auswahl und Einsatz von Standardsoftware,'' CON.5 ''Entwicklung und Einsatz von Allgemeinen Anwendungen,'' CON.6 ''Löschen und Vernichten'', CON.7 ''Informationssicherheit auf Auslandsreisen'')
| |
| ** OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 ''Ordnungsgemäße IT-Administration,'' OPS.1.1.3'' Patch- und Änderungsmanagement,'' OPS.1.1.4 ''Schutz vor Schadprogrammen'', OPS.1.1.5 ''Protokollierung'', OPS.2.1 ''Outsourcing für Kunden'', OPS.2.4 ''Fernwartung'')
| |
| ** DER: Detektion und Reaktion (DER.1 ''Detektion von sicherheitsrelevanten Ereignissen'', DER.2.1 ''Behandlung von Sicherheitsvorfällen'', DER2.2 ''Vorsorge für die IT-Forensik'', DER.3.1 ''Audits und Revisionen'', DER.4 ''Notfallmanagement'')
| |
| * '''System-Bausteine:'''
| |
| ** : Anwendungen (APP.1.1 ''Office Produkte'', APP.1.2 ''Webbrowser'', APP.3.2 ''Webserver'', APP.5.1 ''Allgemeine Groupware'', APP.5.2 ''Microsoft Exchange und Outlook'')
| |
| ** : -Systeme (SYS.1.1'' Allgemeiner Server'', SYS.1.2.2 ''Windows Server 2012'', SYS.1.5 ''Virtualisierung'', SYS.2.1 ''Allgemeiner Client'', SYS.2.3 ''Client unter Windows 10,'' SYS.3.1 ''Laptops'', SYS 3.2.1 ''Allgemeine Smartphones und Tablets'', SYS.3.4'' Mobile Datenträger'', SYS.4.4 ''Allgemeines IoT-Gerä''t)
| |
| ** : Industrielle (IND.1 ''Betriebs- und Steuerungstechnik'', IND.2.1 ''Allgemeine ICS-Komponente'', IND.2.3 ''Sensoren und Aktoren'')
| |
| ** : Netze und Kommunikation (NET.1.1 ''Netzarchitektur und Design'', NET.1.2 ''Netzmanagement'', NET.2.1 ''WLAN-Betrieb'', NET.2.2 ''WLAN-Nutzung'', NET.3.1 ''Router und Switches'', NET.3.2 ''Firewall'')
| |
| ** : Infrastruktur (INF.1 ''Allgemeines Gebäude'', INF.2 ''Rechenzentrum sowie Serverraum'', INF.3 ''Elektrotechnische Verkabelung'', INF.4 ''IT-Verkabelung'', INF.7 ''Büroarbeitsplatz'', INF.8 ''Häuslicher Arbeitsplatz'')
| |
| | |
| === Vorteile des Schichtenmodells ===
| |
| Die im -Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen. So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden. Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.
| |
| | |
| Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind. So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.
| |
| | |
| Das '''-Grundschutz-Kompendium''' wird '''kontinuierlich aktualisiert und erweitert'''. Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender. Wenn Sie regelmäßige aktuelle Informationen zum -Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des '''-Grundschutz-Newsletters''' registrieren lassen ([https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html zur Registrierung]). Für den '''fachlichen Austausch''' und die Information über Aktuelles zum -Grundschutz haben Sie hierzu in einer eigenen [https://www.xing.com/communities/groups/it-grundschutz-9cee-1062424 Gruppe zum -Grundschutz bei XING] Gelegenheit.
| |
| | |
| == Vorgehen ==
| |
| Bei der Modellierung wählen Sie diejenigen -Grundschutz-Bausteine aus, die Sie für die Sicherheit des betrachteten Informationsverbundes benötigen. Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und entscheiden Sie, ob und auf welche Zielobjekte ein Baustein angewendet werden kann. Hilfestellungen dazu finden Sie in Kapitel 2.2 ''Zuordnung anhand Schichtenmodell'' des [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html -Grundschutz-Kompendiums].
| |
| | |
| Im Ergebnis sind idealerweise '''alle Zielobjekte''' des Informationsverbundes '''angemessen durch -Grundschutz-Bausteine abgebildet'''. Für Zielobjekte, für die es '''keinen hinreichend passenden Baustein''' gibt, muss explizit eine Risikoanalyse durchgeführt werden. Die im Rahmen der Risikoanalyse identifizierten Gefährdungen und Sicherheitsanforderungen können in einem benutzerdefinierten Baustein zusammengeführt werden.
| |
| | |
| Folgende Punkte sollten Sie darüber hinaus bei der Modellierung berücksichtigen:* Die '''prozessorientierten Bausteine''' beschreiben Aspekte, die den technischen Aspekten eines Informationsverbundes übergeordnet und üblicherweise einheitlich zu regeln sind. Diese Bausteine sind daher in der Regel einmal pro Informationsverbund anzuwenden. Besonders wichtig sind die Bausteine zum Informationssicherheitsmanagement, der Organisation des -Betriebs, der Schulung und Sensibilisierung des Personals sowie der Detektion von und Reaktion auf Sicherheitsvorfälle.
| |
| * Die '''systemorientierten Bausteine''' beziehen sich auf bestimmte technische Objekte und sind auf jedes technische System oder jede Gruppe technischer Systeme anzuwenden, die jeweils im Baustein adressiert werden. Dies können bestimmte Anwendungen, -Systeme (z. B. Client, Server oder mobile Geräte), Objekte aus dem Bereich der industriellen , Netze oder auch Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung) sein.
| |
| * Für eine Reihe technischer Systeme sind '''mehrere Bausteine anzuwenden''', um die Gesamtheit der für das System relevanten Sicherheitsanforderungen abzudecken: So gibt es für Clients und Server zum einen betriebssystemunabhängige Bausteine (SYS.2.1 ''Allgemeiner Client'', SYS.1.1 ''Allgemeiner Server''), in denen die grundsätzlichen Sicherheitsanforderungen dieser Systeme beschrieben werden, zum anderen aber auch betriebssystemspezifische Bausteine (z. B. SYS.2.2.3 ''Client unter Windows 10'', SYS.1.2.2 ''Windows Server 2012''), in denen ergänzend die besonderen Anforderungen dargestellt sind, die für dieses Betriebssystem gelten. Für einen Webserver, der mit einer Unix-Variante betrieben wird, sind damit die folgenden drei Bausteine in das -Grundschutz-Modell aufzunehmen:
| |
| ** SYS.1.1 ''Allgemeiner Server''
| |
| ** SYS.1.3 ''Server unter Unix''
| |
| ** APP.3.2 ''Webserver''
| |
| | |
| '''Virtuelle Systeme''' sind in gleicher Weise zu modellieren wie physische, es sind also die Funktionen der Systeme, ihr Betriebssystem und die bereitgestellten Anwendungen und Dienste zu berücksichtigen. Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind auf diesen die drei Bausteine SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung'' anzuwenden. Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden. Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden -Grundschutz-Baustein. Solche -Systeme sind daher für eine Risikoanalyse vorzumerken.
| |
| | |
| '''Nicht jeder Baustein ist relevant.''' Zum Beispiel müssen Sie den Baustein CON.7'' Informationssicherheit auf Auslandsreisen'' natürlich nur dann anwenden, wenn solche Reisen in Ihrer Einrichtung üblich sind, und ebenso selbstverständlich erübrigt sich die Anwendung spezieller technischer Bausteine wie SYS.2.2.2 C''lients unter Windows 8.1'', wenn dieser Typ von -Systemen bei Ihnen nicht eingesetzt wird. Geben Sie in solchen Fällen gleichwohl eine hinreichende Begründung für die Nichtanwendung eines Bausteins an, sie muss aussagekräftig, aber nicht lang sein.
| |
| | |
| == Dokumentation ==
| |
| Ein Beispiel dafür, wie Sie die vorgenommene Modellierung dokumentieren können, finden Sie in folgendem Auszug aus der Modellierung für die RECPLAST . In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht. Diese Entscheidung können Sie unter ''Begründung'' näher erläutern. Wenn Sie einen Baustein für nicht relevant einstufen, ist eine hinreichende Begründung unabdingbar.
| |
| | |
| Dokumentation der Modellierung
| |
| | |
| {| style="border-spacing:0;width:17cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| ! align=center| Baustein (Ansprechpartner)
| |
| ! align=center| Zielobjekte
| |
| ! align=center| Relevanz
| |
| ! align=center| Begründung
| |
| ! align=center| Ansprechpartner
| |
| |- style="border:none;padding:0.049cm;"
| |
| || APP.5.2 ''Microsoft Exchange/Outlook''
| |
| ||
| |
| || Ja
| |
| ||
| |
| || IT-Betrieb
| |
| |- style="border:none;padding:0.049cm;"
| |
| || INF.1 ''Allgemeines Gebäude''
| |
| ||
| |
| || Ja
| |
| ||
| |
| || Haustechnik
| |
| |- style="border:none;padding:0.049cm;"
| |
| || INF.2'' Rechenzentrum sowie Serverraum''
| |
| ||
| |
| || Ja
| |
| ||
| |
| || -Betrieb
| |
| |- style="border:none;padding:0.049cm;"
| |
| || INF.4 ''IT-Verkabelung''
| |
| || Informationsverbund
| |
| || Ja
| |
| ||
| |
| ||
| |
| |- style="border:none;padding:0.049cm;"
| |
| || INF.7 ''Büroarbeitsplatz''
| |
| || bis
| |
| || Ja
| |
| ||
| |
| ||
| |
| |- style="border:none;padding:0.049cm;"
| |
| || INF.8 ''Häuslicher Arbeitsplatz''
| |
| ||
| |
| || Ja
| |
| || Die Vertriebsbüros werden wie Home Offices behandelt.
| |
| ||
| |
| |- style="border:none;padding:0.049cm;"
| |
| || IND.2.2 ''Speicherprogrammierbare Steuerung (SPS'')
| |
| ||
| |
| || Ja
| |
| ||
| |
| ||
| |
| |- style="border:none;padding:0.049cm;"
| |
| || SYS.1.5 ''Virtualisierung''
| |
| ||
| |
| || Ja
| |
| ||
| |
| || -Betrieb
| |
| |- style="border:none;padding:0.049cm;"
| |
| || SYS.3.1 ''Laptops''
| |
| || bis
| |
| || Ja
| |
| ||
| |
| || -Betrieb
| |
| |- style="border:none;padding:0.049cm;"
| |
| || OPS.3.1 O''utsourcing für Dienstleister''
| |
| ||
| |
| || Nein
| |
| || Solche Dienste werden nicht angeboten.
| |
| ||
| |
| |-
| |
| |}
| |
| | |
| Die Angabe von Ansprechpartnern ist bei der Modellierung optional. Sie kann aber dazu dienen, spätere Phasen der Methodik vorzubereiten, insbesondere den -Grundschutz-Check. Bei der Auswahl der betreffenden Personen können die Angaben zu Rollen und Verantwortlichkeiten in den Bausteinen hilfreich sein.
| |
| | |
| == Anforderungen anpassen ==
| |
| Wie bereits erwähnt, beschreiben die -Grundschutz-Bausteine Anforderungen, die eine Institution umsetzen MUSS oder SOLLTE. In ihnen ist also dargestellt, '''was''' zu geschehen ist, nicht aber, '''wie''' dies zu erfolgen hat. Für die Ausarbeitung von Sicherheitskonzepten wie auch für ein Prüfkonzept ist es notwendig, zu den einzelnen Anforderungen geeignete Sicherheitsmaßnahmen zu formulieren. Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des -Grundschutz-Kompendiums '''Umsetzungshinweise'''.
| |
| | |
| Maßnahmen, mit denen eine Anforderung erfüllt wird, müssen '''angemessen''' sein. Im Einzelnen bedeutet dies, dass sie* '''wirksam''' sind, also vor den möglichen Gefährdungen schützen und den identifizierten Schutzbedarf abdecken,
| |
| * '''geeignet''' sind, also tatsächlich umsetzbar sind, ohne die Organisationsabläufe unverhältnismäßig zu behindern oder andere Sicherheitsmaßnahmen auszuhebeln,
| |
| * '''praktikabel''' sind, also leicht verständlich, einfach anzuwenden und wenig fehleranfällig,
| |
| * '''Akzeptanz''' finden, also auch barrierefrei sind und niemanden diskriminieren oder beeinträchtigen,
| |
| * '''wirtschaftlich''' eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
| |
| | |
| Bei der Vorgehensweise Standard-Absicherung sollten neben den verpflichtenden Basis-Anforderungen in der Regel immer auch alle Standard-Anforderungen eines Bausteins erfüllt werden. Gleichwohl kann es in Einzelfällen zu Ausnahmen kommen, etwa weil eine Anforderung nicht relevant ist oder ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht. Dies ist auch bei Basis-Anforderungen möglich. Solche Abweichungen sollten Sie nachvollziehbar begründen. Für zwar relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Sie Ersatzlösungen festlegen.
| |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| ==== Unterseiten ====
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Sicherheit ====
| |
| ==== Dokumentation ====
| |
| ===== RFC =====
| |
| ===== Man-Pages =====
| |
| ===== Info-Pages =====
| |
| ==== Links ====
| |
| ===== Einzelnachweise =====
| |
| <references />
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| <noinclude>
| |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">'''Antwort1'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
| </noinclude>
| |
| | |
| [[Kategorie:IT-Grundschutz]]
| |