Архив
Наталия Селиверстова,
руководитель направления ИТ и риск ориентированных стандартов
Ассоциации по сертификации «Русский Регистр»,
аудитор ISO/IEC 27001:2005, ISO/IEC 20000:2005,
ISO 9001)
«Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал: – Во внешнем мире есть сто человек, которые хотели бы заполучить вашу конфиденциальную информацию. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью. Ещё Учитель сказал: – А у вас есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились»
В настоящее время стабильность бизнеса и экономики в целом во многом зависит от темпов развития компьютерных технологий, практики использования электронных систем и выполнения требований информационной безопасности (ИБ).
Успешная деятельность организации зависит не только от продуманной стратегии, умения просчитывать рыночную ситуацию и лояльного коллектива, но и от ряда существенных и не всегда очевидных факторов, влияющих на устойчивость бизнеса. Один из таких факторов — обеспечение ИБ. Достаточно много говорится о том, что наш век – век информационных технологий (ИТ), что объем перерабатываемых документов в мире растет ежегодно, что в ряде стран принимаются специальные «цифровые» законодательные акты. Однако далеко не все компании сегодня действительно задумываются над вопросом «Что такое ИБ и какие практические меры должны быть запланированы и внедрены в каждый конкретный бизнес, что бы обеспечить ему ИБ?» В данной статье рассматривается один из аспектов ИБ — внутренние угрозы.
Один из наиболее ценных активов для любого предприятия – информация. Применительно к информации существуют различные виды классификации, категории конфиденциальности, типы носителей, схемы обработки, методы защиты и пр.
Например, открытые данные, такие как перечень услуг, тарифы, режимы работы, контактные телефоны служб; конфиденциальные данные, такие как персональные данные, служебная тайна, врачебная тайна, тайна телефонных переговоров и иных сообщений, коммерческая деятельность и специфические категории информации; такие как данные геоинформационных систем, данные о пространственном расположении зданий и сооружений, о размещении различных инженерных сетей и т.д.
В большинстве организаций информация является одним из ключевых, но, к сожалению, недооцененным ресурсом. Одним из наиболее эффективных инструментов управления и защиты информации является система менеджмента информационной безопасности (далее СМИБ), построенная на базе модели международного стандарта ISO/IEC 27001:2005.
«Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал: – Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя, он облетит и укусит. Директор ещё спросил: – А какой инсайдер хуже, злонамеренный или неосторожный? Инь Фу Во ответил: – Нельзя так ставить вопрос. Оба они хуже».
Существуют различные виды угроз ИБ. Угроза эта — потенциальная причина нежелательного происшествия, которое может привести к ущербу системы или организации (ISO/IEC 27000:2009).
Источники угроз бывают злонамеренные (внутренний мошенник (инсайдер), похититель интеллектуальной собственности (шпион), похититель персональных данных (мошенник), вредительская программа (вирус), электромагнитные излучения и наводки и случайные (стихийные бедствия, сбои и отказы технических средств, ошибки пользователей и обслуживающего персонала.)
Инсайдерами принято называть сотрудников, распространяющих конфиденциальную корпоративную информацию за пределами организации, в которой они работают.
Рис. 1. Угрозы ИБ
Наиболее подверженная рискам информация — это персональные данные (46 %), детали сделок (17 %), финансовые отчеты (11 %), интеллектуальная собственность (14 %), бизнес-планы (9 %) и др. (3 %)
К инсайдерским угрозам относятся:
— утечка данных (35 %);
— искажение документации (34 %);
— кража оборудования (5 %);
— саботаж (2 %);
— утрата информации (10 %);
— сбои в работе информационных систем (6 %);
— другое (8 %).
Утечки информации сегодня – это серьезная угроза для бизнеса, и защита от них – одно из условий успешного функционирования практически любой организации. Однако выявление тех, кто является виновником утечек информации, – задача не всегда легко реализуемая.
Среди каналов утечки инсайдеры все еще отдают предпочтение мобильным устройствам (USB-флеш накопители, ноутбуки, мобильные телефоны, смартфоны, а также архивные носители) (31 %), Интернет (27 %, кроме электронной почты).
Основные факты
— Внутренний нарушитель представляет собой сотрудника организации, который обладает определенными правами на доступ к информационным ресурсам. Вследствие умышленных или ошибочных действий внутренний нарушитель может принести ущерб организации.
— По данным статистики около 80 % нарушений приходится на долю внутренних нарушителей.
— Все нарушения безопасности происходят вследствие недостаточного контроля за повседневной деятельностью пользователей.
Общие выводы
— Внутренние угрозы безопасности по-прежнему беспокоят компании значительно больше внешних угроз. Наибольшие опасения вызывают угрозы утечки информации (73 %), а также халатность служащих (70 %).
— Главной причиной актуальности внутренних проблем являются продолжающиеся утечки информации – только 5 % компаний заявили об отсутствии подобных инцидентов за последний год. Специалисты по безопасности осознали собственную незащищенность перед утечками – 42 % респондентов затруднились назвать точное количество утечек.
— Проникновение систем защиты от внутренних угроз за последний год выросло, однако не слишком сильно. Криптографические системы используют 41 % компаний, а системы защиты от утечек – 29 %.
— Спрос на системы внутренней безопасности достаточно высок, однако он сдерживается рядом объективных факторов. Главным из них являются бюджетные ограничения (46 %), которые приобрели особенную актуальность во время финансового кризиса.
— В подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности. 45 % халатных нарушителей наказываются неформальными выговорами, а 51 % злонамеренных инсайдеров увольняются из компаний по собственному желанию.
Откуда берутся инсайдеры?
Инсайдерами не рождаются, инсайдерами становятся. Наиболее распространенных мотива два: личная выгода и месть работодателю.
По данным компании PWC за 2009 существует ряд причин мошеннических действий:
К группе умышленно действующих сотрудников можно отнести внедренных, обиженных, подрабатывающих или ищущих новую работу сотрудников. Другую группу составляют те, что действуют случайно или из-за внешних манипуляций. Хотя по статистике на первую группу приходится всего 10 % инцидентов, она является причиной более половины ущерба. По данным компании InfoWatch, 71 % инцидентов относится к категории неумышленных (беспечность, халатность) и 29 % происходит по злому умыслу.
Как показали исследования, проведенные компанией SearchInform, 49,5 % всех уволенных работников готовы передать конфиденциальную информацию, к которой имели доступ на своей прошлой работе, новому работодателю.
«Однажды Системный администратор пожаловался Учителю: – Наш Технический директор не хочет выполнять требования безопасности. Всем положено иметь антивирус, а он не ставит. Как на него повлиять? – Попробуй его убедить, – сказал Инь Фу Во. Системный администратор ушёл убеждать, но вскоре вернулся разочарованным: – Я не смог убедить его, Учитель. – Почему так случилось? – спросил Инь Фу Во и сразу же заметил. – Но только ответь честно, без пристрастия и обиды. Системный администратор подумал, опустил глаза и тихо сказал: – Наверное потому, что он знает об информационной безопасности больше меня.– Ну, если Технический директор знает больше тебя, что совсем не удивительно, – заметил Учитель, – то ему виднее, где нужен антивирус, а где нет»
Специалисты по ИБ выделяют 3 специфические области для анализа и оценки защищенности: обеспечение целостности, доступности и конфиденциальности информации. Применяют математически выверенные формулировки, которые позволяют предельно точно описать сложные взаимоотношения объектов, субъектов, политик доступа и иных «узких» специфических терминов. В общих чертах определить эти области можно так:
— целостность – это способность обеспечить неизменность исходной информации. Любые изменения информации по сравнению с ее исходным видом (например, «лишний» нолик в платежке или «новая» дата платежа в контракте) должны быть обнаружены точно.
— доступность – это способность обеспечить доступ к определенной информации для легальных пользователей в определенный временной интервал (например, круглосуточная работа портала приема платежей банка);
— конфиденциальность – это способность обеспечить защиту (тайну) передаваемой информации от посторонних. Это качество особенно актуально при возможном активном вмешательстве недоброжелателей (конкурентов или хакеров).
Примечание:
Стандарт ISO/IEC 27000:2009 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь» устанавливает следующие формальные основные термины:
— Доступность (availability): Свойство быть доступным и применимым по требованию уполномоченного субъекта, п. 2.7.
— Конфиденциальность (confidentiality): Означает, что информация не может быть доступна или раскрыта неуполномоченным лицам, субъектам или процессам, п. 2.9.
— Целостность (integrity): Означает защиту точности и полноты активов, п. 2.25.
Какие способы защиты данных и средства защиты информации использовать – каждая организация решает, исходя из своих оценок допустимого риска и сопоставимых финансовых возможностей. Наиболее широко используются различные средства шифрования (криптографическая защита как информации, так и каналов связи), решения по контролю доступа (аутентификация, авторизация, биометрические системы) и различные инструментальные средства, решающие узкие специализированные задачи (системы анализа вторжений, сканеры безопасности, межсетевые экраны и иные).
«Однажды Системный администратор захотел установить в локальной сети сканер безопасности. Инь Фу Во сказал: – Не делай этого. – Но почему? – В нашей сети сто компьютеров. Сканер найдёт тебе по две-три уязвимости на каждом из них. – Ну, да, найдёт.. .– А что ты будешь делать с этими уязвимостями? Системный администратор задумался и ничего не ответил Учителю. Сканер безопасности он не поставил»
Менеджмент рисков представляет собой центральное и важнейшее требование при обеспечении ИБ, т.к. позволяет построить систему оценок, удобных для принятия решения высшим менеджментом организации. Как правило, специалисты применяют две основные методики – качественной и количественной оценки.
Внедрение современных инструментов менеджмента рисков является важным элементом при проектировании, создании, внедрении и эксплуатации СМИБ в соответствии с требованиями ISO/IEC 27001:2005.
Наличие методологии менеджмента рисков СМИБ позволит обеспечить управляемые условия для снижения ущерба от возможных негативных воздействий на активы организаций, прежде всего, направленных на персонал и конфиденциальную информацию. Пример: ISO/IEC 27005:2011.
Сегодня для каждой области ИБ предлагаются несколько (иногда свыше сотни) решений в широком ценовом и функциональном диапазоне. Каждая организация может провести исследование текущего состояния своей системы защиты (аудит ИБ) и подготовить модель рисков (какие внешние события наиболее критичны для бизнеса в случае наступления). По итогам исследования текущего состояния своей системы защиты (аудита ИБ) возможен выбор конкретных технологий (решений) по минимизации ущерба (последствий рисков) в соответствии с принятой политикой ИБ.
Примечание:
Стандарт ISO/IEC 27001:2005 устанавливает понятие ИБ:
— информационная безопасность (information security): Сохранение конфиденциальности, целостности и доступности информации; кроме того, могут охватываться и другие свойства, такие как аутентичность (достоверность), возможность идентификации, неотказуемость и надежность.
Важно обратить внимание, что понятие «ИБ» не ограничивается только средствами (решениями). Необходимо обеспечить именно систему ИБ как совокупность средств («железа» и/или программного обеспечения) и персонала, ответственного за функционирование технических средств защиты. Невозможно обеспечить эффективный режим ИБ без комплекса требований: к персоналу, к использованию мобильных накопителей («флешек»); без внедрения организационных мер и системы внутренних проверок (аудитов).
«Однажды Системный администратор пожаловался Учителю: – Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их? Инь Фу Во спросил: – Сначала скажи, почему они это делают. Системный администратор подумал и ответил: – Может быть, они не считают пароль ценным?– А разве пароль сам по себе ценный? – Не сам по себе. Ценна информация, которая под паролем.– Для кого она ценна?– Для нашего предприятия. – А для пользователей? – Для пользователей, видимо, нет. – Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было. – Что для них ценно? – спросил Системный администратор. – Догадайся с трёх раз, – рассмеялся Учитель. Системный администратор ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. А на третий день ни у кого не было видно листочков с паролями»
Задача обеспечения безопасности требует проектирования и внедрения комплексной системы безопасности в организациях. В процессе создания СМИБ реализуется внедрение комплекса технических и иных средств защиты в соответствии с адекватной моделью угроз и уязвимостей. Кратко рассмотрим основные элементы типовой модели обеспечения комплексной безопасности, основанной на требованиях международного стандарта ISO/IEC 27005:2005: Идентификация активов; Идентификация угроз и уязвимостей к конкретным активам; Оценка рисков, в т.ч. разработка плана непрерывности бизнеса; Разработка типовых политик безопасности; Рекомендация выбора конкретных средств защиты активов; Рекомендация по сертификации систем менеджмента предприятий; Практическое изучение (стажировка) на типовой модели безопасности.
Принимая во внимание широчайший перечень всех возможных схем построения корпоративных информационных систем (КИС) можно сосредоточить внимание на трех ключевых «рубежах защиты»: сервера, рабочие станции и сетевая инфраструктура. Целесообразно принять во внимание, что в последнее время достаточно известная и практически отработанная схема «периметра защиты», при которой вся сеть организации защищалась единственным межсетевым экраном в единственной точке выхода в Интернет, существенно устарела.
Прежде всего, изменилась концепция работы современного офиса: беспроводные (Wi-Fi, WiMAX) устройства позволяют работать в любой точке мира, где есть покрытие сети сотовой связи (практически в каждом аэропорту сотни человек работают на своих ноутбуках через беспроводные точки доступа). Необходимо защищать не только и не столько один «вход» в сеть, а каждое устройство. Далее: многочисленные мобильные устройства (коммуникаторы), способные подключаться к рабочим компьютерам. В таком сложном хитросплетении устройств, протоколов и серверов для создания эффективной системы ИБ будет полезно сосредоточиться на предложенных областях:
— Решения для рабочих станций: обеспечить защиту от постороннего доступа (пароли, строгие политики авторизации, шифрование персональных данных, антивирусы). Для ноутбуков топ-менеджеров, где содержится наиболее ценная информация, рекомендуется шифрование дисков, запрет подключения через USB-порты, принудительное отключение беспроводных протоколов. В случае несанкционированного доступа или хищения такого ноутбука доступ к ценной коммерческой информации будет невозможен или существенно затруднен;
— Решения для серверов: защита от постороннего доступа (аппаратная защита с помощью «электронных замков»), защита от внешнего вторжения (помещение в «демилитаризованную зону», шифрование данных, строгие политики доступа, системы анализа вторжений и анализаторы трафика;
— Решения для сетей — применение современных межсетевых экранов (МЭ), интегрированных с системами анализа контента, анализаторов спама и поддержкой «туннелей» (VPN), применение технологий цифровых сертификатов (PKI).
На практике средства защиты информации (СЗИ) применяются с учетом ряда факторов: цена, сравнительный уровень предоставляемых функций, простота установки и управления, возможность интеграции в единую систему управления ИБ. Важно отметить, что образ «крутого» ситуационного центра, где за десятком мониторов напряженно работает команда «безопасников», остался только на экранах боевиков. Все компоненты современной системы ИБ управляются с единой консоли, одновременно ведется автоматизированное управление несколькими событиями от множества сенсоров. Это достигается интеграционными решениями. Клиентам предоставляются уже собранные и протестированные решения: функциональные «базовые» (например, учетные системы, сетевое оборудование) и компоненты ИБ – конечному пользователю не нужно больше настраивать «вручную».
Например, компания Cisco предлагает ряд «узких» решений ИБ, интегрируемых в коммутаторы и маршрутизаторы локальных сетей:
— по обнаружению и предотвращению атак (IDSM-2),
— для фильтрации Web-трафика и аутентификации (Cisco Content Engine Network Module), = решение для обнаружения атак (Cisco IDS Network Module).
С экономической точки зрения СМИБ строится не на закупке «железа», а, прежде всего, на продуманной политике применения комплекса мер (в т.ч. административных), способных снизить риски ИБ до приемлемого «остаточного» уровня. Очевидно, что совокупная стоимость всей СМИБ должна учитывать критичность допустимых для данного бизнеса потерь – например, известна ситуация, возникшая в результате сбоя в технической системе ММВБ (Московской Международной Валютной Биржи) 12.04.2007 г., когда американский доллар в течение целых 28 минут стоил 14 рублей.
Таким образом, защита информации от утечек уступает место обнаружению злоупотреблений пользователей. При этом расширился и спектр сценариев злоупотреблений, из которого можно выявить ряд общих этапов. Сначала осуществляется доступ к информации, затем манипуляция с ней (распечатка, пересылка или модификация) и в конечном счете — использование информации (или результата ее модификации) за пределами организации.
«Системный администратор спросил Учителя: – Я слышал, что любое усиление безопасности снижает лояльность работников. Это правда? Инь Фу Во ответил: – На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать»
Очевидно, что вся современная, отлично настроенная и постоянно обновляемая система ИБ будет просто «мертвым железом» без тщательной и выверенной работы с персоналом. Вопрос мотивации персонала любой компании особо актуален сегодня, когда на рынке труда высокий спрос на специалистов самого разного профиля. Попробуем определить, какие риски могут нести нелояльные сотрудники для организации с позиции ИБ.
Прежде всего, нелояльный пользователь может успешно игнорировать правила и политики в этой области (ибо ни одна система защиты не может запретить все для каждого пользователя – тогда она не нужна). Возможен несанкционированный вынос конфиденциальной информации на USB-флешках, «лишняя» распечатка, «забытая» резервная копия диска и пр. Часто на столах и компьютерах забывчивых и неаккуратных пользователей можно наблюдать приклеенные листочки с паролями, открытые шкафы с документами, стопки неразобранных распечаток у сетевого принтера и пр. На столах у «очень занятых начальников» часто можно видеть распечатки Excel с финансовыми планами подразделений, списками на премирование сотрудников, графики поступления платежей от клиентов и пр. – и таких примеров множество, к сожалению…
К чему может привести такая неаккуратность и забывчивость? Во многих случаях утечка критических данных могла бы быть предотвращена, если бы руководство компаний выполняло бы минимальные требования ИБ.
Примечание:
Стандарт ISO/IEC 27001:2005 содержит требования к СМИБ:
— A.8.3.3 Удаление прав доступа – Права доступа всех служащих, подрядчиков и пользователей третьей стороны к информации и средствам обработки информации должны быть удалены по истечении срока их найма, действия договора или соглашения, или скорректированы после изменения.
— A.9.2.7 Вынос имущества – Оборудование, информация или ПО не могут быть вынесены из помещения организации без соответствующего разрешения.
— A.10.7.2 Утилизация носителей информации – Носители информации, когда в них больше нет необходимости, должны надежно и безопасно утилизироваться, используя формальные процедуры.
Ваши конкуренты будут очень рады получить самые свежие данные со стола менеджеров компании – и документы не нужно даже похищать с применением суперсовременных шпионских технологий: просто положить на ксерокс и вернуть оригинал на место. Известны случаи хищения ноутбуков в транспорте (в метро в часы пик) или из автомобилей. Конечно, стоимость информации в несколько раз превышает стоимость просто ноутбука, даже нового; снять информацию с жесткого диска не составляет особого труда.
Каждая организация вправе вести бизнес так, как это необходимо в данной стадии ее развития при неукоснительном соблюдении норм законодательства – правило, общее для всех, ведущих цивилизованный бизнес. Законы хорошо известны и бухгалтерам и юристам, но их знание не менее важно и для создания эффективной системы менеджмента ИБ (СМИБ).
Помимо материальных и репутационных рисков серьезным следствием утечки конфиденциальных сведений могут стать правовые — преследование по закону.
По данным компании PWC за 2009 соблюдение законодательства – критичный фактор обеспечения ИБ и, прежде всего, для организации как владельца ценных активов.
Примечание:
Стандарт ISO/IEC 27001:2005 устанавливает понятие СМИБ:
— система менеджмента защиты информации СМИБ
[information security management system] [ISMS] — часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации,
ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы.
Любая организация должна защищать свои информационные активы — например, определяя необходимым условием для их использования режим коммерческой тайны. В этом режиме любой пользователь информационной системы организации подписывает обязательство о неразглашении конфиденциальной информации (который включает список категорированной информации, например: стратегические маркетинговые программы, торговые объемы, структура информационных ресурсов) и информируется об ответственности за нарушение режима ИБ.
Примечание:
Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ:
— A.15.1 Соответствие требованиям законодательства.
Цель: Избегать любых нарушений действующего законодательства или договорных обязательств, а также любых требований безопасности.
— A.15.2 Соответствие политикам и стандартам безопасности, а также техническое соответствие.
Цель: Гарантировать соответствие систем организационным политикам и стандартам безопасности.
Для экспертов в области ИБ очень важно четко установить, а в ряде случаев выполнить сегментацию «маршрутов» информационного обмена в информационной системе своей организации с целью определения применимых правил и требований по внедрению СМИБ.
Каждая организация самостоятельно может определять, помимо режима ИБ, средства или комбинации средств ИБ, применяемые, например, при построении внутреннего документооборота или безопасной корпоративной почты. Важное замечание: при взаимодействии информационных систем организации и государственных органов (например, налоговые инспекции) необходимо использовать рекомендованные средства защиты.
Также настоятельно рекомендуется применять требования ISO/IEC 27001:2005 к СМИБ в части, касающейся проведения проверок (аудитов) информационных активов (систем) в организации.
Примечание:
Стандарт ISO/IEC 27001:2005 устанавливает требования к СМИБ:
— A.15.3 Вопросы аудита информационных систем
Цель: Максимизация результативности процесса аудита информационных систем и минимизация негативного влияния, связанного с данным процессом.
Законодательство РФ в области ИБ:
— ФЗ № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
— ФЗ № 152 от 27 июля 2006 г. «О персональных данных»;
— ФЗ № 98 от 29 июля 2004 г. «О коммерческой тайне»;
— ФЗ № 126 от 7 июля 2003 г. «О связи»;
— ФЗ № 218 от 30 декабря 2004 г. «О кредитных историях»;
— ФЗ № 224 от 27 июля 2010 г. «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».
В сфере информационной безопасности законотворческую деятельность в России осуществляют два регулятора: ФСБ — в части защиты национальных интересов и применения криптографии и ФСТЭК — как основной государственный орган, разрабатывающий требования к защите информации.
«Однажды Системный администратор пожаловался Учителю: – Наш Директор совершенно не разбирается в ИТ. Я не могу ему объяснить. И его указания всегда такие нелепые. Инь Фу Во ответил: – Это нормальный порядок вещей. Его забота – люди и деньги. Твоя забота – техника и программы. Вы разговариваете на разных языках. Системный администратор согласился и спросил: – Как нам изучить язык друг друга? – Это почти невозможно, – сказал Учитель. – Для этого Директору пришлось бы несколько лет проработать системным администратором, но он этого не пожелает. Для этого тебе пришлось бы несколько лет проработать руководителем, но тебя не допустят. – Как же понять друг друга тем, кто говорит на разных языках? – спросил Системный администратор. Инь Фу Во ответил: – Специально для этих целей создан промежуточный язык, доступный обоим. Имя ему – ISO/IEC 27001:2005. – Как просто! – воскликнул Системный администратор и ушёл просветлённый…»