InfoWatch Device Monitor
InfoWatch Device Monitor — это программное обеспечение класса DLP (Data Loss Prevention, предотвращение утечек данных), предназначенное для контроля и блокировки передачи конфиденциальной информации с компьютеров и серверов на внешние устройства и по каналам связи. Разрабатывается и поддерживается российской компанией «ИнфоВотч» (InfoWatch), входящей в группу компаний «Астра» (до 2022 года — в группу «Лаборатория Касперского»). Продукт является частью комплексной платформы InfoWatch Traffic Monitor и используется для защиты корпоративных данных от несанкционированного выноса, копирования и пересылки.
История
Разработка InfoWatch Device Monitor началась в середине 2000-х годов как ответ на растущие угрозы, связанные с утечками данных через сменные носители, такие как USB-флешки, внешние жёсткие диски, CD/DVD-диски, а также через периферийные устройства (принтеры, сканеры, модемы). Первая версия продукта была выпущена в 2007 году. Изначально система ориентировалась на российский рынок и регулирование, в частности, на требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федерального закона «О персональных данных» (152-ФЗ).
В 2010-е годы функционал был расширен: добавлена поддержка контроля сетевых протоколов (FTP, HTTP, SMTP), облачных хранилищ и мессенджеров (Telegram, WhatsApp, Skype, Viber — все эти приложения используются в России). В 2014 году, после ужесточения требований к защите государственной тайны и коммерческой тайны, продукт получил сертификаты ФСТЭК России (в том числе на соответствие требованиям к средствам защиты информации от несанкционированного доступа — НСД). В 2020-е годы InfoWatch Device Monitor был интегрирован с другими продуктами экосистемы InfoWatch, включая InfoWatch Traffic Monitor, InfoWatch Data Discovery и InfoWatch Mail Monitor.
Архитектура и принцип работы
InfoWatch Device Monitor состоит из двух основных компонентов:
- Агент (клиентская часть) — устанавливается на каждое защищаемое рабочее место или сервер. Агент перехватывает все операции с внешними устройствами, файлами и сетевыми соединениями. Он работает на уровне ядра операционной системы (драйверы для Windows, Linux) и не может быть отключён пользователем без прав администратора.
- Сервер управления (Management Server) — централизованная консоль, через которую администратор задаёт политики безопасности, просматривает журналы событий, формирует отчёты и управляет обновлениями. Сервер может работать в распределённой конфигурации (несколько серверов для разных филиалов).
Принцип работы основан на анализе контента (контентный анализ) и контекста (контекстный анализ). Контентный анализ включает:
- Сигнатурный анализ — поиск по заранее заданным шаблонам (например, номера паспортов, кредитных карт, ИНН).
- Лингвистический анализ — определение тематики текста (например, «финансовый отчёт», «медицинская карта»).
- Морфологический анализ — поиск ключевых слов с учётом словоформ русского языка.
- Анализ цифровых отпечатков (fingerprinting) — сравнение файлов с эталонными образцами (например, с базами данных конфиденциальных документов).
Контекстный анализ учитывает:
- Тип устройства (USB-накопитель, принтер, Bluetooth-адаптер).
- Роль пользователя (руководитель, бухгалтер, IT-специалист).
- Время и место (рабочее время, удалённый доступ).
- Направление передачи (внутренняя сеть, внешний канал).
Основные функции
Контроль устройств
- USB-порты — блокировка или разрешение только определённых типов устройств (например, только клавиатуры и мыши, но не флешки).
- CD/DVD/Blu-ray — запрет записи или чтения.
- Внешние жёсткие диски — полный запрет или разрешение только для авторизованных носителей.
- Принтеры — контроль печати с возможностью водяных знаков (например, «Конфиденциально»).
- Сканеры — блокировка сканирования документов.
- Bluetooth — отключение или разрешение только для гарнитур.
- Модемы и Wi-Fi-адаптеры — запрет использования.
Контроль каналов связи
- Электронная почта — анализ вложений и текста писем (SMTP, POP3, IMAP, MAPI).
- Веб-трафик — контроль загрузки файлов на сайты (HTTP/HTTPS), включая облачные хранилища (Google Drive, Яндекс.Диск, Dropbox).
- Мессенджеры — перехват и анализ сообщений и файлов в Telegram, WhatsApp (продукт Meta, признанной экстремистской и запрещённой в РФ), Skype, Viber, Slack, Microsoft Teams.
- FTP — контроль передачи файлов.
- Локальные сети — мониторинг копирования файлов на сетевые папки.
Реагирование на инциденты
- Блокировка — немедленное прерывание операции (например, отказ в копировании файла на флешку).
- Уведомление — отправка сообщения администратору или пользователю.
- Карантин — перемещение файла в изолированную папку для анализа.
- Логирование — запись всех действий в журнал событий.
- Создание теневой копии — сохранение копии файла, который пытались скопировать.
Совместимость и системные требования
InfoWatch Device Monitor поддерживает операционные системы:
- Microsoft Windows — Windows 7, 8, 10, 11 (все редакции, включая Server 2008–2022).
- Linux — дистрибутивы на базе ядра 2.6 и выше (Red Hat, CentOS, Ubuntu, Astra Linux Special Edition, Alt Linux).
- macOS — версии 10.12 и выше (ограниченная поддержка).
Агент требует от 512 МБ оперативной памяти и 1 ГБ дискового пространства. Сервер управления — от 4 ГБ ОЗУ и 100 ГБ дискового пространства (в зависимости от количества агентов).
Применение
InfoWatch Device Monitor используется в организациях различных отраслей:
- Государственные учреждения — защита государственной тайны, персональных данных граждан, служебной информации.
- Финансовый сектор — банки, страховые компании, инвестиционные фонды (защита коммерческой тайны, данных клиентов).
- Промышленность — предприятия оборонно-промышленного комплекса, энергетики, машиностроения.
- Медицина — защита медицинских карт, результатов анализов, персональных данных пациентов.
- IT-компании — защита исходного кода, баз данных, интеллектуальной собственности.
- Образование — вузы, научно-исследовательские институты.
Сертификация и соответствие стандартам
Продукт имеет сертификаты ФСТЭК России по классам защиты информации от несанкционированного доступа (НСД) — до 1-го класса включительно, а также сертификаты на соответствие требованиям к средствам криптографической защиты информации (СКЗИ) — при использовании с модулями шифрования. InfoWatch Device Monitor соответствует требованиям:
- Федерального закона № 152-ФЗ «О персональных данных».
- Федерального закона № 98-ФЗ «О коммерческой тайне».
- Федерального закона № 5485-1 «О государственной тайне».
- Приказов ФСТЭК России № 17, 21, 31.
Критика и ограничения
Основные претензии к InfoWatch Device Monitor связаны с:
- Высокой нагрузкой на систему — агент потребляет значительные ресурсы процессора и оперативной памяти, особенно при анализе больших файлов (например, видео или баз данных).
- Сложностью настройки — для корректной работы требуется квалифицированный администратор, знакомый с DLP-системами.
- Ложными срабатываниями — система может блокировать легитимные операции (например, копирование рабочего документа на личную флешку), если политики настроены слишком жёстко.
- Ограниченной поддержкой мобильных устройств — продукт не контролирует смартфоны и планшеты (только через USB-подключение к ПК).
- Зависимостью от российского законодательства — продукт ориентирован на российские стандарты, что может быть неудобно для международных компаний.
См. также
- InfoWatch Traffic Monitor
- InfoWatch Data Discovery
- DLP-система
- Защита от утечек данных
- ФСТЭК России
Источники
- Официальный сайт InfoWatch (раздел «Продукты»)
- Документация по InfoWatch Device Monitor (версия 12.0, 2023)
- Материалы конференций InfoWatch Security Day (2019–2023)
- Статьи в журналах «Information Security» и «Защита информации. Инсайд» (2018–2024)
- Реестр сертифицированных средств защиты информации ФСТЭК России
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →