Соглашение об уровне предоставления услуг (SLA)
Соглашение об уровне предоставления услуг (SLA) – это формальный договор между заказчиком и поставщиком услуги, гарантирующее предоставление услуги с уровнем качества не ниже согласованного и содержащее:
описание состава предоставляемой услуги (сервиса);
обязательства поставщика услуг и условия предоставления услуг;
права и обязанности сторон, описание и распределение зон ответственности;
согласованный уровень качества услуги (перечень ключевых параметров качества);
описание расчета ключевых параметров качества и частоты отчетов;
методы и средства контроля ключевых параметров качества;
описание процедуры контроля за исполнением соглашения;
описание процедуры отчетов о проблемах и условия эскалации проблем;
описание процедуры восстановления работы в случае перебоев;
описание процедуры решения рассогласований (спорных вопросов);
описание процедуры запросов на изменение;
описание порядка платежей, связанных с оказанием услуги (сервиса).
Описание состава услуги, предоставляемой поставщиком услуг, должно содержать:
стороны, вовлеченные в соглашение, и сроки действия соглашения;
общее описание услуги;
функции безопасности информации, реализуемые поставщиком услуг;
состав используемого программного и аппаратно-программного обеспечения;
местоположение оборудования, используемого для оказания услуги;
каналы связи, используемые поставщиком услуг для оказания услуги;
состав входящей информации, обеспечивающей выполнение услуги;
процедуры, используемые поставщиком услуг и порядок их применения;
стандарты безопасности информации, используемые поставщиком услуг;
наличие необходимых лицензий у поставщика услуг на выполнение работ;
наличие лицензий на использование задействованного программного обеспечения;
состав работников, занятых для оказания услуги, их функции, роли и обязанности;
уровень квалификации работников, занятых для оказания услуги;
состав ведущейся поставщиком услуг документации и отчетность по услуге.
Контрольные параметры качества услуги (сервиса), вносимые в соглашение должны быть измеримыми и представляться в виде числовых метрик. Состав ключевых параметров качества зависит от состава заказываемых услуг. Для выбора ключевых параметров качества рекомендуется использовать стандарты ITIL и COBIT. Например, в качестве параметров качества услуги могут выступать:
Время реакции на обращение пользователя – время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение пользователя о проблеме) до момента фактического начала работ по факту обращения.
Время решения проблемы – время, прошедшее с момента фактического начала работ над проблемой до закрытия заявки. Временем начала работы над проблемой считается момент отправки заказчику уведомления о начале работ. Временем решения проблемы считается момент отправки заказчиком сообщения, подтверждающего закрытие заявки.
Время жизни инцидента – суммарное время, прошедшее с момента поступления и регистрации обращения, до момента закрытия заявки на обслуживание.
Минимальное время реакции исполнителя – минимальное время, необходимое поставщику услуг при аварийных ситуациях для устранения их последствий.
Уровень брака — это количественное или процентное выражение количества сбоев, включающее в себя число отказов за отчетный период, число случаев несоблюдения сроков и случаев предоставления услуги неприемлемого качества, приведших к необходимости ее повторного оказания.
Техническое качество – в случае разработки приложений в режиме аутсорсинга этот критерий определяет уровень технического качества предоставленного программного кода. Контроль за этим параметром обычно осуществляется при помощи коммерческих программных инструментов, проверяющих такие характеристики, как длина кода, уровень структурированности, уровень сложности, а также погрешности кода.
Доступность услуги – количество времени или временной промежуток, в котором услуги, предоставляемые поставщиком услуг, остаются доступными. Параметр может принимать значения «да» или «нет». Оговаривается допустимый уровень (максимальное время недоступности).
Средняя доступность услуги – среднее количество сбоев (фактов, когда предоставляемые поставщиком услуг, остаются доступными) за период предоставления услуги.
Удовлетворенность сервисом – степень удовлетворенности заказчика услуг уровнем предоставленной поставщиком услуги (сервиса). Параметр определяется отдельно для каждой значимой функции при помощи внутренних и внешних опросов. Опросы могут проводиться нейтральной третьей стороной.
Количество параметров качества услуги (сервиса), вносимых в соглашение должно быть минимальным, но достаточным для проведения объективной оценки качества предоставляемой услуги. При выборе значений показателей параметров качества услуги (сервиса) можно исходить из текущего состояния процесса, передаваемого на аутсорсинг. Установленные параметры должны быть достижимы в текущей обстановке и при существующих обстоятельствах. При определении метрик параметров качества услуги (сервиса) необходимо учитывать, что разные работники заказчика могут требовать разных условий оказания одних и тех же услуг.
В соглашении об уровне предоставления услуг должна быть также отражена ответственность заказчика при использовании услуги (сервиса), например:
необходимость подготовки и поддержки соответствующих конфигураций оборудования и программного обеспечения;
соблюдение правил настройки и проведения регламентных работ;
процедура изменения согласованной конфигурации.Соглашение об уровне предоставления услуг требует периодического пересмотра и внесения изменений в случаях изменения:
внешних обстоятельств;
ожиданий и/или потребностей заказчика;
рабочей нагрузки;
появление лучших средств, процедур и параметров измерения качества услуг.
Соглашение о конфиденциальности (NDA)
Соглашение о конфиденциальности (NDA) – это формальный договор между заказчиком и поставщиком услуги, направленный на урегулирование вопросов обмена информацией, подлежащей защите, и создания правового основания для возложения на виновную в нарушении конфиденциальности информации сторону обязанности по компенсации убытков невиновной стороне.
Соглашение о конфиденциальности является одной из мер по защите информации, но самостоятельно не является достаточным механизмом защиты информации. Для создания правовой основы действия Соглашения о конфиденциальности, как правового механизма, позволяющего защитить коммерческую тайну, у заказчика должен быть введен режим коммерческой тайны в соответствии с законодательством Российской Федерации, а само соглашение должно учитывать требования этого законодательства и включать следующие существенные условия:
предмет соглашения, определение конфиденциальной информации;
формы и способы предоставления конфиденциальной информации;
условия обеспечения конфиденциальности информации;
сроки действия режима конфиденциальности информации;
права и обязанности сторон по сохранению конфиденциальности информации;
допустимость раскрытия конфиденциальной информации в определенных случаях;
ответственность за нарушение Соглашения о конфиденциальности;
порядок разрешения споров.
При определении предмета соглашения необходимо закрепить в Соглашении о конфиденциальности полный перечень информации, которая не подлежит разглашению и требует защиты. Целесообразно использовать перечень (выписку из перечня) информации, составляющий коммерческую тайну у заказчика. Необходимо также в данный перечень включать информацию, подлежащую защите в силу закона (персональные данные, банковская тайна и др.) и которая может стать известной поставщику услуг при оказании услуги.
При определении форм и способов представления информации необходимо исходить из того, что информация может передаваться как в письменной или электронной форме, так и устно. При этом необходимо определить порядок маркирования (нанесения грифа, атрибутирования) на носители информации и порядок фиксирования конфиденциальности устной информации.
При определении условий обеспечения конфиденциальности необходимо:
определить состав мер, которые надлежит исполнить для защиты информации;
регламентировать порядок защиты, хранения, обмена (предоставления) информации;
установить порядок допуска работников поставщика услуг к защищаемой информации;
определить порядок возврата и/или уничтожения информации по окончании услуги.
Сроки действия режима конфиденциальности определяются по согласованию сторон, но не могут быть меньше сроков хранения документов и соблюдения конфиденциальности, установленных законодательством Российской Федерации для различных видов информации.
При определении прав и обязанностей сторон в Соглашении о конфиденциальности необходимо отразить право заказчика осуществлять контроль за соблюдением установленного режима защиты информации и обязанность поставщика услуг предоставлять возможность такого контроля. Необходимо также оговорить право сторон на обращение в суд за разрешением спорных вопросов и истребованием понесенных убытков (ущерба).
В Соглашении о конфиденциальности должны быть оговорены случаи при которых допускается раскрытие конфиденциальной информации, предусмотренные законодательством.
Меры ответственности сторон за нарушение Соглашения о конфиденциальности определяются в соответствии с общими нормами, установленными ст. ст. 15, 330, 394 ГК РФ и могут включать как возмещение убытков в полном объеме, так и реального ущерба.
При определении порядка разрешения споров, целесообразно использовать обязательный претензионный досудебный порядок разрешения споров.
Требования по безопасности информации
Составление Требований по безопасности информации характерно для технологических сервисов безопасности информации и в частности при оказании услуг:
по реализации мер защиты
по предоставлению защищенной инфраструктуры ИС
по обработке защищаемой информации.
Не будем забывать, что ответственность за правильный выбор мер защиты и формирование требований к механизмам и функциям защиты лежит на заказчике. В случае, если поставщик услуг в рамках оказания услуги проводит оценку угроз безопасности информации и состояния защищенности информационной системы заказчика, он может подготовить предложения по необходимым требованиям безопасности информации, однако, окончательное решение о достаточности данных требований принимает непосредственно заказчик.
Требования по безопасности информации, которые надлежит выполнить поставщику услуг могут быть оформлены в виде ссылки на необходимость выполнения требований, изложенных в руководящих и методических документах ЦБ РФ, ФСТЭК России и ФСБ России для соответствующего класса защищенности используемых средств защиты, либо как самостоятельный документ, описывающий конкретные функции (механизмы) безопасности и их параметры, которые должны быть реализованы при оказании услуги.
В качестве методического материала при выборе требований к механизмам (функциям) безопасности информации можно использовать «Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах», утвержденный 11.02.2014 г.
Поручение на обработку защищаемой информации
Поручение на обработку информации характерно при передаче поставщику услуг обработки информации (технологический сервис), в том числе обязательно для сведений, содержащих персональные данные. При этом, поручение должно содержать:
цель обработки и состав персональных данных, подлежащих обработке;
перечень действий (операций) поставщика услуг с обрабатываемой информацией;
уровень защищенности ИС, который должен быть обеспечен;
требования к защите обрабатываемой информации;
порядок уничтожения информации по завершении е обработки;
порядок оценки эффективности принятых мер защиты.
Регламент взаимодействия
Регламент взаимодействия – документ, определяющий порядок взаимодействия подразделений и работников поставщика услуг и заказчика в рамках процесса предоставления услуги (сервиса). Регламент представляет собой свод правил принятия решений исполнителями в разных ситуациях и позволяет организовать горизонтальные взаимодействия подразделений и/или работников поставщика услуг и заказчика услуг. Регламент должен содержать:
терминологию, используемую при оказании услуги;
состав процессов, регулируемых регламентом;
порядок инициирования, выполнения, эскалации и закрытия регулируемых процессов;
порядок контроля исполнения процессов.
В качестве формы регламента можно использовать ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов».
Регламент может содержать описание процессов взаимодействия подразделений и/или работников поставщика услуг и заказчика при:
нештатных ситуациях;
инцидентах безопасности информации;
при эскалации возникающих проблем;
осуществлении контроля и мониторинга качества предоставляемых услуг;
размещении и эксплуатации оборудования и программного обеспечения;
обеспечении физического допуска на объекты поставщика услуг.Конкретный состав регламентируемых процессов определяется объемом и составом предоставляемых услуг. При описании регламентируемых процессов надо указывать:
событие, запускающее процесс;
событие, завершающее процесс;
срок выполнения процесса;
место выполнения процесса;
функции (действия), выполняемые в рамках процесса;
правила и методы выполнения процесса;
исполнителей процесса;
права и ответственность исполнителей;
средства документирования процесса;
средства контроля выполнения процесса.К событиям, запускающим процесс (наступление определенных условий), как правило, относятся:
получение внешнего сигнала или воздействия (должны быть указаны допустимый вид и источник такого сигнала);
инициатива определенных работников (право инициативы должно быть установлено нормативным актом);
наступление определенных сроков (календарных или относительных).
Событие, завершающее процесс, состоит, как правило, в получении всех требуемых выходных объектов и достижении цели регулируемого процесса. Момент события, завершающего процесс, как правило, жестко связан с моментом учета выполнения данного процесса.
Срок выполнения процесса задается либо как общая продолжительность процесса с момента запуска процесса до момента его завершения, либо как требуемое время завершения процесса. Для учета выполнения процесса, рекомендуется в регламенте предусмотреть порядок фиксации моментов запуска и завершения процесса.
Функции (действия), выполняемые в рамках процесса, должны соответствовать функциям, установленным в должностных инструкциях, положениях о подразделениях.
В регламенте указываются конкретные исполнители процесса. В случае, если указать конкретного исполнителя невозможно, в рамках регламента надо определить роль (совокупность функций, прав и ответственности), необходимая для выполнения регулируемого процесса и установить порядок определения конкретного работника, исполняющего данный процесс. Указываемый исполнитель должен соответствовать масштабу процесса.
В регламенте четко фиксируются моменты передачи управления процессом (или передачи объектов процесса) от одного исполнителя к другому.
Как приложение к регламенту могут оформляться графические схемы процессов, описываемых регламентом, которые служат для иллюстративных, облегчающих понимание регламента целей и не заменяют собой текст регламента. Такие схемы, как правило, оформляются для часто повторяющихся процессов.
ЧАСТЬ 4. КТО ЛУЧШЕ?
Действительно, кто лучше? Кого выбрать поставщиком услуг безопасности информации? Вопрос далеко не праздный. Авторы уже не раз отмечали, что отношения между поставщиком услуг и заказчиком строятся на доверии. А доверие, в свою очередь, определяется той степенью осведомленности заказчика о деятельности поставщика, которую он может себе позволить. Поэтому, на предварительном этапе необходимо сосредоточиться на всесторонней оценке претендента и подходить к этому так, как подходит расчетливая будущая теща к выбору будущего зятя. К оценке поставщика услуг надо привлекать все силы службы собственной безопасности заказчика, риск-менеджеров и всех, кто отвечает за оценку контрагентов. Такая оценка должна проводиться на основе сбора и анализа информации, имеющейся в открытом доступе, а также сведений, предоставляемых самими поставщиком услуг или полученным в ходе предварительных переговоров. Каждый поставщик должен соответствовать тем требованиям, которые выдвигает заказчик. А требования эти могут быть как объективные, так и субъективны.
Объективные требования к поставщику услуг
При выборе поставщика услуг (сервисов) безопасности информации необходимо удостовериться в наличии у него:
необходимых лицензий;
необходимых ресурсов производственных мощностей;
системы менеджмента сервисами и качеством;
квалифицированных кадров;
опыта оказания аналогичных услуг;
аттестата соответствия требованиям безопасности или
заключения независимых экспертов.
Большинство видов услуг (сервисов) безопасности информации, а также передаче информации относятся к лицензируемым видам деятельности. В соответствии с законодательством Российской Федерации поставщик услуг должен иметь действующую на все время оказания услуги и на территории на которой осуществляет деятельность заказчик услуги:
Лицензию на оказание телематических услуг связи[1] – для поставщиков операционных и технологических сервисов, связанных с предоставлением хостинга, доступа в Интернет, электронной почты, доступа к информации с использованием инфокоммуникационных технологий.
Лицензию на оказание услуг по предоставлению каналов связи в соответствии[2] – для поставщиков технологических услуг (услуга по предоставлению защищенной инфраструктуры ИС), связанных с предоставлением (арендой) каналов связи.
Лицензию на деятельность по технической защите конфиденциальной информации[3], в том числе на проектирование в защищенном исполнении средств и систем информатизации, установка, монтаж, испытания, ремонт средств защиты информации, защищенных программных (программно-технических) средств обработки информации – для всех поставщиков сервисов (услуг) безопасности информации.
Лицензию на деятельность по технической защите конфиденциальной информации[4], в том числе контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации – для поставщиков управленческих сервисов безопасности информации.
Лицензию на предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[5] – для поставщиков технологических сервисов (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с использованием средств криптографической защиты информации.
Лицензию на предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей[6] – для поставщиков технологических сервисов (услуга по предоставлению защищенной инфраструктуры ИС, услуга по обработке защищаемой информации, услуга по реализации мер защиты), связанных с использованием имитозащиты обрабатываемой информации.
Лицензию на предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации[7] – для поставщиков технологических сервисов, связанных с предоставлением (арендой) каналов связи.
Лицензию на изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств[8] – для поставщиков технологических сервисов безопасности информации (услуга по реализации мер защиты, услуга по предоставлению защищенной инфраструктуры ИС), связанных с формированием и использованием сертификатов электронных подписей или формированием исходной ключевой информации.
Оценка необходимых ресурсов и производственных мощностей поставщика услуг связано с тем, что при оказании услуги заказчик услуги непосредственно присутствует в процессе, передаваемом на аутсорсинг, а также с необходимостью индивидуализации предоставляемого сервиса под нужды заказчика. При изучении наличия необходимых ресурсов и производственных мощностей поставщика услуг необходимо оценить:
объемы выделяемых ресурсов для предоставления услуги;
наличие у поставщика услуг собственных средств и специалистов;
наличие и достаточность для оказания услуги производственных площадей;
номенклатуру (спецификацию) имеющихся у поставщика услуг средств и ресурсов;
наличие резервного оборудования и мощностей, используемых для оказания услуги;
период времени, необходимый на получение ресурсов.
Оказание сервиса (услуги) безопасности информации предполагает необходимость управления персоналом поставщика услуг, регламентации процессов и системы обеспечения безопасности информации, задействованных при оказании услуги. При изучении системы менеджмента сервисами и качеством поставщика услуг необходимо изучить:
организацию управления процессами у поставщика услуг;
организацию управления качеством предоставляемой услуги;
организацию управления безопасностью информации.
Для оценки организации управления целесообразно опираться на требования национальных стандартов Российской Федерации[9].
Соответствие требованиям данных стандартов свидетельствует о некотором уровне надежности поставщика и добротности его компании, поэтому целесообразно, чтобы поставщик услуг имел соответствующие сертификаты соответствия требованиям данных стандартов, являющихся внешним независимым подтверждением достижения требований стандарта.
При рассмотрении сертификатов необходимо обращать внимание на объект оценки, которая должна соответствовать содержанию предоставляемой услуги (сервиса). Необходимо также учитывать, что наличие сертификата соответствия требованиям ГОСТ Р ИСО/МЭК 27001-2006 свидетельствует о наличии у поставщика услуг системы управления информационной безопасностью, но не гарантирует соответствие самой системы обеспечения безопасности установленным требованиям.
Квалификация и компетентность работников поставщика услуг, участвующих в оказании услуги, оценивается по наличию у них сертификатов производителей оборудования и программного обеспечения, свидетельств обучения и повышения квалификации по направлению информационных технологий и обеспечения безопасности информации, стаж работы по требуемым направлениям деятельности.
При оценке квалификации и компетентности работников поставщика услуг, необходимо убедиться, что внутренними документами поставщика услуг определен порядок организации работ по повышению квалификации (профессиональному обучению и (или) дополнительному образованию) работников.
Опыт оказания аналогичных услуг оценивается по представляемым поставщиком услуг сведений о таких работах и анализу запросов о качестве услуг, направляемых в адрес предшествующих заказчиков или публичных отзывов о деятельности поставщика услуг.
Наличие аттестата соответствия требованиям безопасности или заключения независимых экспертов является свидетельством того, что система обеспечения безопасности информации поставщика услуг соответствует установленным требованиям по безопасности информации. При этом, необходимо оценить достаточность подтвержденного уровня защищенности информационной системы поставщика услуг требуемому для заказчика услуг.
Субъективные требования к поставщику услуг
При выборе поставщика услуг должны учитываться также качественные показатели. К таким показателям относятся:
сведения о владельцах и администрации поставщика услуг;
специализация поставщика услуг;
репутация (имидж) поставщика услуг;
отсутствие негативных сообщений о нем в средствах массовой информации;
кредитоспособность и финансовое положение поставщика услуг;
конкурентное положение (рейтинг) поставщика услуг на рынке аналогичных услуг;
способность к контакту и длительным доверительным отношениям;
психологический климат в трудовом коллективе поставщика услуг, риск забастовок.
Негативная оценка хотя бы по одному из таких показателей может служить поводом в отказе от его услуг.
Мониторинг порядка и качества предоставления услуг
При аутсорсинге главное правило: доверяй, но проверяй! Поэтому вопросу мониторинга порядка и качества предоставления услуг поставщиком надо уделять особое внимание. Такой мониторинг может проводиться на основе:
анализа отчетов провайдера услуг;
опроса работников (потребителей) заказчика услуг;
инспекционного контроля;
мониторинга с привлечением третьей стороны.
Не будем забывать, что именно поставщик услуг должен организовать мониторинг предоставления услуги по оговоренным с заказчиком параметрам, это и в его интересах. Результаты мониторинга предоставляются заказчику периодически или по требованию.
Со своей стороны, заказчик должен организовать регулярный опрос работников (потребителей) с целью определения качества услуг, предоставляемых поставщиком и удовлетворенности ожиданий. Такой опрос проводится на основе заранее разработанных опросных листов (чек-лист), охватывающих основные параметры предоставляемой услуги и оценку ожиданий потребителя.
Инспекционный контроль проводится на основе договоренностей с поставщиком услуг и в объеме, установленном в договорных документах (не забудьте включить это в договор). Заказчик должен иметь возможность проведения внезапного инспекционного контроля.
При наличии возможности, контроль услуг может производится заказчиком путем получения и анализа информации с использованием предоставленных поставщиком услуг консолей мониторинга и управления.
Для оценки выполнения порядка и качества предоставляемой услуги может привлекаться третья независимая сторона, которая осуществляет такую оценку на основе опроса работников поставщика и заказчика и анализа результатов технического мониторинга, предоставляемого поставщиком услуг или проводимого самостоятельно.
ЭПИЛОГ
Резюмируя все сказанное, можно отметить, что аутсорсинг безопасности информации возможен и даже где-то полезен. Да, особенности есть, их надо помнить и учитывать, но ничего невозможного нет. Хотя… В заключении несколько слов о проблемах применения аутсорсинга в госучреждениях и иже с ними. Встает вопрос, могут ли такие учреждения применять схему аутсорсинга? Вопрос не праздный. Теоретически – да, никто не запрещает. А на практике? Мы много говорили о том. Что отношения между поставщиком и заказчиком услуг строятся на доверии, которое во многом зависит от изучения возможностей и репутации поставщика. И в то же время, законом прямо определено: не допускается включение в документацию о закупке требований к участнику закупки, в том числе требования к квалификации участника закупки, включая наличие опыта работы, а также требования к деловой репутации участника закупки, требования к наличию у него производственных мощностей, технологического оборудования, трудовых, финансовых и других ресурсов, необходимых для выполнения работы или оказания услуги, являющихся предметом контракта[10]. Вот и приплыли. Либо покупай кота в мешке, либо откажись от аутсорсинга…
[1] Постановление Правительства Российской Федерации от 18.02.2005 г. № 87
[2] Постановление Правительства Российской Федерации от 18.02.2005 г. № 87
[3] Постановление Правительства Российской Федерации от 03.02.2012 г. № 79
[4] Постановление Правительства Российской Федерации от 03.02.2012 г. № 79
[5] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313
[6] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313
[7] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313
[8] Постановление Правительства Российской Федерации от 16.04.2012 г. № 313
[9] ГОСТ Р 54869-2011, ГОСТ Р 54870-2011, ГОСТ Р 54871-2011, ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО/МЭК 2000, ГОСТ Р ИСО/МЭК 27001-2006
[10] Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», ст. 33, часть 3.