Безопасность с Microsoft

Развитие AD RMS SDK

A. Luchnik — Sun, 14 Apr 2013 16:53:00 GMT

Active Directory Rights Management SDK позволяет разрабатывать приложения для работы с файлами любого формата, защищенными с помощью AD RMS, - шифровать и расшифровывать содержимое, назначать права, находить сервис AD RMS и получать лицензии. С помощью AD RMS SDK можно создать приложение, которое позволяет предотвратить печать секретных чертежей или планов нового штаба, ограничить возможность печати работ иллюстраторского агентства без приобретения лицензии, или обезопасить пересылку маркетинговых материалов по новому продукту, ограничив круг лиц, которые могут просмотреть, переслать или напечатать защищенные файлы.

AD RMS SDK использует возможности библиотек, входящих в состав Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista, Windows 7 и Windows 8 - Msdrm.dll в AD RMS SDK 1.0 и Msipc.dll, начиная с AD RMS SDK 2.0.

Вторая версия SDK позволяет значительно упростить процесс первоначального изучения и непосредственно разработки. Интерфейсы были существенно переработаны для того, чтобы избавить разработчиков от необходимости погружения в детали «внутренней кухни» AD RMS. В результате количество функций сократилось с 84 в первой версии до 20.

SDK продолжает довольно стремительно развиваться. В анонсированные на днях AD RMS SDK 2.1 и AD RMS Client 2.1 добавлены:

поддержка Windows Azure Active Directory Rights Management (AADRM);
обновленный File API, который мы описывали ранее;
поддержка «Generic Protection» для возможности работы с любыми типами файлов.

А на Microsoft Connect уже можно ознакомиться с бета версией AD RMS SDK v3 ¹, которая расширяет поддержку возможностей по защите информации для приложений на мобильных платформах iOS, Windows RT и Android. Пример того, как реализовать поддержку AD RMS для iOS приложения показан в этой веб-трансляции.

Регулярно обновляемую документацию по AD RMS SDK 2.1 можно найти на MSDN. Кроме этого, можно скачать примеры (IPCNotepad, IpcDLP, Interop Library) и виртуальные диски, с развернутой инфраструктурой AD RMS, или почитать заметки для разработчиков в блоге Active Directory Rights Management Services (AD RMS) Developer's Corner.

¹ Если страница недоступна, то надо предварительно присоединиться к программе Rights Management Services SDK. Для этого после входа на http://connect.microsoft.com можно задать «Rights Management Services» в поиске и выбрать затем «Join».

Встречайте Forefront UAG 2010 SP3

Artyom Sinitsyn — Thu, 28 Feb 2013 13:24:00 GMT

В преддверии весны вышел очередной пакет обслуживания для шлюза приложений Forefront UAG 2010 Service Pack 3. И вашему вниманию представляется описание всего того "горяченького", что он принес с собой…

Что добавили

Поддержка публикации:

Нового поколения почтовых систем Microsoft Exchange Server 2013
Нового поколения корпоративных порталов Microsoft SharePoint Server 2013

Поддержка новых клиентских ОС:

Windows 8 c новой версией браузера Internet Explorer 10 и Internet Explorer 10 for Desktop, почтовым клиентом Mail app и терминальным клиентом Remote Desktop Connection (RDC) 8.0

Поддержка мобильных платформ:

Windows RT
Windows Phone 8

Поддержка клиентских приложений

Internet Explorer 10
Основные приложения нового офисного пакета Microsoft Office 2013:
- Microsoft Outlook 2013
- Microsoft Word 2013
- Microsoft Excel 2013
- Microsoft Outlook 2013
Mail app в Windows 8/RT при подключении к Exchange Server, опубликованному через UAG SP3
Remote Desktop Client (RDC) 8.0, причем не только в составе Windows 8, но и установленный на Windows 7 SP1 (за подробностями обращаться сюда)

Что исправили

Пакет содержит более 15 "заплаток" для решения наиболее популярных проблем, сообщаемых нашими заказчиками. Подробный список всех исправлений можете посмотреть здесь.

Что убрали

Как водится, одновременно с добавлением нового функционала, часть старого постепенно уходит на пенсию. Полный перечень функций Forefront UAG SP3, не рекомендуемых к использованию, вместе с соответствующими альтернативами приведен здесь. Я отмечу лишь наиболее значимые:

для внедрения DirectAccess рекомендуется использовать роль Remote Access, входящую в состав новой платформы Windows Server 2012
для VPN-подключений SSTP/Network Connector также рекомендуется использовать роль Remote Access, входящую в состав Windows Server 2012
вместо политик здоровья Network Access Protection (NAP) рекомендуется использовать встроенные функции Forefront UAG Endpoint Detection
вместо публикации сетевых файловых ресурсов File Access и публикации сетевых дисков Local Drive Mapping рекомендуется перейти к библиотекам документов SharePoint
для публикации систем CRM вместо шаблона Microsoft Dynamics CRM 4.0 рекомендуется использовать шаблон Microsoft Dynamics CRM 2011

Как установить

Стоит отметить, что:

Forefront UAG SP3 не включает в себя предыдущие пакеты обслуживания и требует для своей установки SP2!
при установке на массив Forefront UAG нужно четко следовать правилу: сначала обновляете узел с ролью Array Manager и только затем все остальные Array Members в любом порядке.
Нужно помнить, что есть три категории людей: те которые ещё не делают бэкапы, те кто уже делает бэкапы и те кто проверяет сделанные бэкапы. Поэтому перед установкой Forefront UAG SP3 обязательно сделайте резервную копию конфигурации UAG и самой системы.
И последнее, установка SP3 требует перезагрузки сервера UAG, поэтому запланируйте окно обслуживания или просто разверните массив UAG.

Что дальше

Загрузить пакет Forefront UAG SP3 можно и нужно здесь, предварительно ознакомившись с разделом Known Issues.

И помните, что безопасность начинается в вашей голове.

Артём Синицын

Microsoft Secure Software Conference

Ivanov Andrey — Wed, 13 Feb 2013 16:31:11 GMT

Друзья, 5-го марта в Москве Microsoft проводит вторую конференцию, посвященную подходам к безопасной разработке http://mssdcon.ru. Так называемый жизненный цикл безопасный разработки (Security Development Lifecуcle) становится все более популярным среди профессиональных разработчиков. В наше время, когда без IT нельзя практически ступить и шагу, безопасности технологий, которые мы все используем, посвящается все больше и больше внимания, материалов и даже законов и постановлений: закон о персональных данных, указ Президента о создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и т.д.

Как всем нам хорошо известно безопасность должна быть комплексной, а ее обеспечение должно носить процессный характер. Так вот SDL – это лишь один из компонентов обеспечения безопасности конечной системы, но при этом весьма важный и даже, в какой-то степени, особенный, так как является вкладом со стороны разработчика в защищенность будущей информационной системы, функционирующей на стороне заказчика. Основными целями SDL являются сокращение количества и снижения опасности уязвимостей. Формулировка целей не оперирует абсолютными значениями, так как полное избавление от уязвимостей, во-первых, скорей всего, невозможно, а, во-вторых, не факт, что экономически целесообразно. Собственно, SDL использует классический риск-ориентированный подход, основная цель которого – снизить риски до приемлемого уровня, а не тратить огромное количество сил и средств на их полную ликвидацию.

Опубликованные по SDL материалы (http://www.microsoft.com/security/sdl/discover/default.aspx) подробно описывают процессы, обеспечивающие безопасность при разработке, роли задействованных в этих процессах специалистов и используемые в работе утилиты. К слову, Microsoft предоставляет большой набор бесплатных утилит, которые можно задействовать на том или ином этапе жизненного цикла безопасной разработки (http://www.microsoft.com/security/sdl/adopt/tools.aspx). Но, конечно же, никакие документы не заменят живого общения и возможности поучаствовать в обсуждении последних тенденций, к каковым, безусловно, можно отнести разработку безопасных мобильных или облачных приложений. Именно поэтому Российское представительство Microsoft на регулярной основе проводит конференции, посвященные столь интересной и важной теме. На это раз один из приглашенных спикеров – легендарный Стив Липнер, который стоял у истоков внедрения SDL в Microsoft, именно под его руководством данный процесс вырос до существующей версии и стал использоваться во многих компаниях по всему миру.

Участие в конференции бесплатно, ждем всех проявляющих интерес к теме безопасной разработке!

Ну и напоследок: сессии конференции будут полезны не только представителям девелоперских компаний, – компании, заказывающие разработку, также смогут почерпнуть много полезного, включая правильное формирование требований к процессам поставщика для повышения степени безопасности поставляемой продукции.

BHOLD. Реализация ролевой модели контроля доступа

Andrey Moskvitin — Tue, 12 Feb 2013 09:09:00 GMT

Как вы уже знаете в состав FIM 2010 R2 вошёл таинственный компонент BHOLD, сегодня я подробней расскажу о нём. Одноимённая голландская компания была основана в 1997 году и всю свою историю занималась вопросами управления доступом и соответствия нормативным требованиям. Осенью 2011 года команда разработчиков влилась в компанию Microsoft.

BHOLD позволяет эффективно управлять правами доступа и создан в соответствии с требованиями стандартов, о которых мы рассказывали ранее. Функции ролевого управления доступом реализуются средствами модуля BHOLD Core, о котором сегодня и пойдёт речь.

Основы

BHOLD Core оперирует следующими логическими сущностями:

Пользователь (user)
Роль (role)
Полномочие (permission)
Организационная единица (organizational unit)
Прикладная система (application)
Учётная запись (alias)

У каждого сотрудника компании (user) есть одна или несколько учётных записей (alias) в подключенных прикладных системах (applications). Базовой сущностью является permission – полномочие в одной из прикладных систем. С помощью FIM полномочие может быть транслировано во всё что угодно – членство в группе AD, роль SAP, доступ к разделу портала на чтение или запись, пользовательский или администраторский уровень доступа и т.п.

Полномочия назначаются не напрямую пользователям, а их ролям (как и в любой другой реализации ролевой модели). Рассмотрим как это может быть реализовано на примере абстрактной компании:

Назначать роли пользователям вручную крайне неблагодарное занятие и существует несколько способов автоматизации этого процесса

Автоматическое назначение ролей на основании оргструктуры

BHOLD позволяет смоделировать организационную структуру предприятия вручную или на основе выгрузки из кадровой системы. Организационная структура может включать в себя несколько деревьев и отражать не только подразделения компании, но и проектную, функциональную и другие структуры. Узлами деревьев являются организационные единицы (OU). Рассмотрим на примере той же абстрактной организации:

Пользователи могут быть одновременно отнесены к нескольким OU, при этом они унаследуют роли от вышестоящих OU.

В интерфейсе BHOLD организационная структура отображается в виде иерархического списка:

Автоматическое назначение ролей на основании атрибутов пользователя

С помощью механизма Attribute-based authorization (ABA) возможно автоматическое назначение ролей если пользователь удовлетворяет заданных критериям. В качестве критерия может использоваться любой атрибут пользователя. Примером политики ABA может являться наличие в должности слова «аналитик» или уровень допуска «коммерческая тайна».

Кроме автоматизации назначения ролей возможно автоматизировать и создание новых ролей. Например:

Роли типа “Membership role” (MR) – создаются для каждого нового OU, например MR-Бухгалтерия
Роли типа “JobTitle” (JT) – создаются для каждой новой должности, например JT-Аналитик

Прочие возможности

Даже в самых стройных матрицах доступа должно быть место для исключений. В BHOLD каждому сотруднику присваивается автоматически создаваемая персональная роль (PR), через которую в виде исключения можно назначать полномочия напрямую пользователю.

При управлении ролями доступно большинство возможностей, доступных при управлении традиционными группами FIM:

Портал самообслуживания с помощью которого пользователь самостоятельно выбирает роли из перечня доступных и отправляет запрос на их получение
Обязательное согласование перед назначением определённых ролей c одним или несколькими согласующими, например с начальником сотрудника, владельцем роли/системы, офицером безопасности
Назначение роли на определённый интервал времени, например на время отпуска другого сотрудника, и её отзыв по окончанию интервала
Разграничивать права на создание и изменение ролей, например только начальникам департаментов и только для ролей в их департаменте
Разделение полномочий (segregation of duties, SoD) – запрет на накопление взаимоисключающих полномочий у одного сотрудника, например “создавать платежи” и “подтверждать платежи”

Остальные не менее интересные компоненты и возможности BHOLD Suite будут освещены в дальнейших постах.

Stay tuned ;)

Записи докладов трека ИБ на TechEd Russia 2012

Виктор Джейранов — Fri, 08 Feb 2013 16:09:39 GMT

В преддверии выходных спешу сообщить, что записи докладов трека Информационная безопасность доступны онлайн. Приятного просмотра.

Пленарный доклад трека по информационной безопасности: практический подход к современным угрозам, Андрей Бешков, Артем Синицын, http://www.techdays.ru/videos/6486.html

Управление идентификационными данными и доступом на базе Forefront Identity Manager 2010 R2 и BHold, Виктор Джейранов, Николай Сальников, http://www.techdays.ru/videos/6490.html

Защита конфиденциальной информации с помощью Active Directory Rights Management Services в гибридных средах, Андрей Москвитин, http://www.techdays.ru/videos/6487.html

За кулисами Advanced Persistent Threat: практические способы защиты от современных атак, Андрей Бешков, Александр Трофимов, http://www.techdays.ru/videos/6491.html

Круглый стол. Информационная безопасность 2012: современные тенденции, задачи и решения, Андрей Бешков, Виктор Джейранов, Артем Синицын, Алексей Голдбергс, http://www.techdays.ru/videos/6492.html

Централизованное управление доступом к файловым ресурсам с использованием классификации данных, Артем Синицын, Виктор Джейранов, http://www.techdays.ru/videos/6493.html

Лицензия на убийство: обнаружение и устранение вредоносного кода с помощью утилит Sysinternals, Марк Руссинович, на русском http://www.techdays.ru/videos/6495.html и английском http://www.techdays.ru/videos/6494.html

Безопасный доступ к частному и публичному облаку из любой точки мира, Артем Синицын, http://www.techdays.ru/videos/6488.html

Windows 8: Функции безопасности, Слава Кавсан, http://www.techdays.ru/videos/6509.html

Практическое применение механизмов безопасности в публичном облаке, Алексей Голдбергс, http://www.techdays.ru/videos/6489.html

Защищаем воздушный периметр: безопасный беспроводной доступ для мобильных устройств, Артем Синицын, Андрей Бешков, http://www.techdays.ru/videos/6496.html

Аутентификация на основе утверждений в традиционных и облачных средах с Active Directory Federation Services, Николай Сальников, http://www.techdays.ru/videos/6445.html

Модель безопасности гибридной организации Exchange Server 2013 и Office 365 – вместе спокойнее, Олег Крылов, http://www.techdays.ru/videos/6390.html

Также вам могут быть интересны сессии наших коллег, не попавшие формально в трек ИБ, но тематически близкие к нему:

Устройство Windows Server 2012 Dynamic Access Control, Бутников Дмитрий, Суховей Александр, http://www.techdays.ru/videos/6431.html

Использование Windows Azure Access Control Service для решения задачи централизованной аутентификации пользователей, Андрей Моор, http://www.techdays.ru/videos/6462.html

Как обеспечивается безопасность клиентов и их сервисов в облаке Windows Azure, Слава Касан, на русском http://www.techdays.ru/videos/6466.html и английском http://www.techdays.ru/videos/6465.html

Объявлен релиз Forefront Identity Manager 2010 R2 SP1

A. Luchnik — Fri, 01 Feb 2013 19:08:00 GMT

Вчера был официально объявлен выход первого пакета обновлений для Microsoft Forefront Identity Manager 2010 R2, который включает в себя следующие основные нововведения:

1. Поддержка новых версий продуктов.

a. FIM 2010 R2 SP1 теперь может использовать в качестве платформы Windows Server 2012, SQL Server 2012, System Center 2012 Service Manager и SharePoint Foundation 2013. Сценарии обновления с существующих версий компонентов платформы, на которых работает FIM 2010 R2 описаны в Release Notes for Forefront Identity Manager 2010 R2 SP1.

b. К порталу FIM теперь можно обращаться через IE 10, а клиентские надстройки могут быть установлены на Windows 8 и Outlook 2013.

c. В соответствующих стандартных коннекторах добавлена поддержка Active Directory 2012, Exchange 2013, SQL Server 2012, Sun 7.x и Oracle 11.

2. Продолжились улучшения в области производительности, начатые в R2.

a. В SP1 значительно снижено время обновления с FIM 2010 до FIM 2010 R2 (в некоторых конфигурациях время снижено с дней до нескольких часов).

b. В коннекторах Active Directory Domain Services, FIM Service Management Agent и Extensible Connectivity 2.0 увеличена скорость импорта объектов с большим количеством ссылочных атрибутов, например, групп.

c. При наличии нескольких тысяч групп, формируемых на основании критериев, можно настроить обновление членства в этих группах по расписанию. Данную возможность целесообразно использовать, когда становятся заметны проблемы с производительностью при изменении атрибутов пользователей из-за вхождении в большое количество групп, и использовать только для тех групп, для которых не критично отражение изменений членства в реальном времени.

3. Изменения в модуле BHOLD.

a. Из комплекта доступен Access Management Connector, упрощающий интеграцию между FIM и BHOLD, поддерживающий настройку принадлежности пользователей к нескольким организационным подразделениям и работающий быстрее, чем предыдущее решение на базе модуля BHOLD FIM Provisioning. Модуль FIM Provisioning более не используется. Пример настройки коннектора приведён в Test Lab Guide: BHOLD Access Management Connector.

b. Изменен формат файл импорта для модуля BHOLD Model Generator.

c. Детали по SP1 для BHOLD можно найти по следующим ссылкам: What's New in Microsoft BHOLD Suite SP1, Release Notes for BHOLD Suite SP1 и Microsoft BHOLD Suite SP1 Installation Guide.

Кроме того опубликован список возможностей FIM 2010 R2, которые доступны в текущей версии, но могут быть исключены в любом следующем обновлении. Не все из данного списка будет обязательно исключено в следующие релизе, но тем, кто осуществляет новые внедрения стоит обратить внимание на другие пути решения, которые опубликованы в этом же разделе - Deprecated Features And Planning For The Future.

Безопасность с Microsoft

Виктор Джейранов — Fri, 01 Feb 2013 10:01:00 GMT

Так звучит новое название нашего блога. Обновился и дизайн.

Надеемся, что изменения придутся вам по вкусу.

Неизменными остаются наша любовь к технологиями и желание рассказывать про них, делится знаниями и опытом. Постновогоднее затишье несколько затянулось, но зато мы набрались сил и накопили интересный материал.

До скорых постов,

Команда Блога

C Новым Годом и Рождеством!

Виктор Джейранов — Sun, 30 Dec 2012 19:41:00 GMT

Дорогие читатели блога, друзья и коллеги!

Скоро, скоро Новый год примет нас в свои объятия.

Но прежде чем бой курантов сольется со звоном бокалов и новогодними поздравлениями, давайте вспомним год уходящий. Високосный 2012-ый запомнился нам несколькими событиями.

Главное событие года - выход операционных систем Windows 8, Windows Phone 8 и Windows Server 2012 и сопутствующих им устройств, продуктов и сервисов. Без преувеличения это событие знаменует новую эру в истории компании Майкрософт и открывает много новых возможностей для наших партнеров и клиентов. Мы продолжим знакомить вас с новшествами, интересными с точки зрения ИБ, в наших будущих постах.

Конечно, все мы помним объявленное в начале осени решение об изменении планов развития продуктов семейства Forefront. Стратегическая перегруппировка сил состоялась и первые результаты этого мы уже наблюдаем. Мы держим руку на пульсе и впредь будем писать обо всем новом и интересном.

Безусловно, ярким событием стала конференция TechEd Russia 2012. Записи докладов трека ИБ, в котором многие из нас приняли активное участие, в скором времени будут доступны для просмотра онлайн (а тем временем подготовка к TechEd Russia 2013 уже стартовала ).

В новом году наш блог тоже будет меняться. И мы очень рассчитываем на вашу помощь, чтобы сделать его более интересным и полезным. Пишите нам, предлагайте, хвалите, критикуйте – нам важно знать ваше мнение.

А пока желаем вам приятного отдыха. Набирайтесь сил, новых впечатлений, наслаждайтесь теплотой друзей и близких вам людей и дарите тепло другим.

С Новым Годом и Рождеством!

Команда Блога

Защита файлов PDF с помощью RMS

Andrey Moskvitin — Mon, 17 Dec 2012 06:00:00 GMT

Файлы формата PDF плотно вошли в нашу жизнь и сегодня мы рассмотрим как защитить их с помощью RMS.

Один из вариантов это защита в соответствии с последними дополнениями к открытому стандарту ISO 32000, регламентирующему формат PDF. Защита в соответствии с данным стандартом уже реализована в SharePoint 2013 и SharePoint Online, а чтение возможно с помощью Foxit PDF Reader. В будущем ожидается что поддержка данного стандарта появится в ПО Adobe и продуктах семейства Office.

Не теряют актуальности и партнёрские решения, например ПО от компании Foxit Software. Для защиты файлов используется платный PhantomPDF, а для открытия – бесплатный PDF Reader. Также недавно выпущена утилита командной строки CLI PDF protector, автоматизирующая рутинные операции.

О Foxit CLI PDF Protector мы обещали рассказать ещё в посте об автоматической защите файлов с помощью RMS. Утилита принимает на вход набор параметров и защищает указанный PDF-файл (файлы) с помощью существующих шаблонов RMS. Подавать параметры можно как вручную, так и через механизмы классификации файлового сервера (FCI). При классификации также возможен и поиск внутри файлов, для этого нужно установить соответствующий iFilter, например от Adobe или Foxit.

Рассмотрим шаги по установке Foxit CLI PDF Protector и интеграции с FCI:

Установить AD RMS Client 2.0
Распаковать утилиту в локальную папку на файловом сервере, установить разрешения “только чтение” для папки и исполняемого файла
В свойствах File Management Task (FMT) выбрать действие Custom Action и указать путь к утилите
В поле Arguments ввести /encrypt [Source File Path] /template <Имя_RMS_шаблона>
В поле Arguments можно добавить дополнительные ключи, которые можно найти в руководстве к утилите, например /preserveattributes сохраняющий атрибуты оригинального файла (Владелец, дата и время создания и т.д.)

Свойства FMT теперь похожи на отображённые ниже

Открываем файл, видим описание и название RMS-политики над документом

Попытка скопировать содержимое или сделать скриншот заканчивается неудачей. При просмотре свойств политики видим что разрешён только просмотр документа.

Stay tuned ;)

Поддержка российских криптографических алгоритмов в новом поколении продуктов Microsoft

Artyom Sinitsyn — Wed, 05 Dec 2012 08:04:12 GMT

С выходом нового поколения продуктов Microsoft возникает резонный вопрос: "А как обстоят дела с поддержкой российских криптографических алгоритмов в новых версиях Windows и Office?"

Еще в преддверии официального старта продаж ОС Windows 8 наши партнеры - компания КРИПТО-ПРО - объявили о выходе новой версии их криптопровайдера КриптоПро CSP с поддержкой реализации алгоритмов ГОСТ Р 34.10 94, ГОСТ Р 34.10-2001 и ГОСТ 28147-89 на базе "восьмёрки". Версия КриптоПро CSP 3.6 R3 поддерживает как 32х, так и 64х-разрядные редакции Windows 8, а также новое поколение серверной ОС Windows Server 2012.

А совсем недавно на сайте КРИПТО-ПРО появилась новость о выходе очередной версии продукта КриптоПро Office Signature, позволяющей реализовать возможность создания и проверки электронной подписи по алгоритму ГОСТ Р 34.10-2001 в стандартном интерфейсе приложений Microsoft Word 2013 и Microsoft Excel 2013 пакета Microsoft Office 2013 (32х и 64х-разрядные редакции).

Более того, еще до официального анонса поддержки Microsoft Office 2013 заместитель технического директора КРИПТО-ПРО Алексей Голдбергс, в рамках доклада на конференции Microsoft TechEd 2012, продемонстрировал создание и проверку электронной подписи по алгоритму ГОСТ Р 34.10-2001 на базе Microsoft Office 2013, установленного в Windows 8, и облачного сервиса Office 365. Запись доклада в ближайшее время будет выложена на портале Microsoft TechDays.

Так что Вы можете использовать российскую криптографию в системах на базе Windows 8/Windows Server 2012 и приложениях пакета Microsoft Office 2013 уже сейчас.

Нам также важно, насколько тема реализации российской криптографии в продуктах Microsoft Вам интересна? Напишите в комментариях, что бы Вы хотели увидеть в будущих статьях на страницах нашего блога.

И помните, Ваша безопасность начинается в Вашей голове,

Артём Синицын