Открыть сервис

InfoWatch Device Monitor

InfoWatch Device Monitor — это программное обеспечение класса DLP (Data Loss Prevention, предотвращение утечек данных), предназначенное для контроля и блокировки передачи конфиденциальной информации с компьютеров и серверов на внешние устройства и по каналам связи. Разрабатывается и поддерживается российской компанией «ИнфоВотч» (InfoWatch), входящей в группу компаний «Астра» (до 2022 года — в группу «Лаборатория Касперского»). Продукт является частью комплексной платформы InfoWatch Traffic Monitor и используется для защиты корпоративных данных от несанкционированного выноса, копирования и пересылки.

История

Разработка InfoWatch Device Monitor началась в середине 2000-х годов как ответ на растущие угрозы, связанные с утечками данных через сменные носители, такие как USB-флешки, внешние жёсткие диски, CD/DVD-диски, а также через периферийные устройства (принтеры, сканеры, модемы). Первая версия продукта была выпущена в 2007 году. Изначально система ориентировалась на российский рынок и регулирование, в частности, на требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федерального закона «О персональных данных» (152-ФЗ).

В 2010-е годы функционал был расширен: добавлена поддержка контроля сетевых протоколов (FTP, HTTP, SMTP), облачных хранилищ и мессенджеров (Telegram, WhatsApp, Skype, Viber — все эти приложения используются в России). В 2014 году, после ужесточения требований к защите государственной тайны и коммерческой тайны, продукт получил сертификаты ФСТЭК России (в том числе на соответствие требованиям к средствам защиты информации от несанкционированного доступа — НСД). В 2020-е годы InfoWatch Device Monitor был интегрирован с другими продуктами экосистемы InfoWatch, включая InfoWatch Traffic Monitor, InfoWatch Data Discovery и InfoWatch Mail Monitor.

Архитектура и принцип работы

InfoWatch Device Monitor состоит из двух основных компонентов:

  • Агент (клиентская часть) — устанавливается на каждое защищаемое рабочее место или сервер. Агент перехватывает все операции с внешними устройствами, файлами и сетевыми соединениями. Он работает на уровне ядра операционной системы (драйверы для Windows, Linux) и не может быть отключён пользователем без прав администратора.
  • Сервер управления (Management Server) — централизованная консоль, через которую администратор задаёт политики безопасности, просматривает журналы событий, формирует отчёты и управляет обновлениями. Сервер может работать в распределённой конфигурации (несколько серверов для разных филиалов).

Принцип работы основан на анализе контента (контентный анализ) и контекста (контекстный анализ). Контентный анализ включает:

  • Сигнатурный анализ — поиск по заранее заданным шаблонам (например, номера паспортов, кредитных карт, ИНН).
  • Лингвистический анализ — определение тематики текста (например, «финансовый отчёт», «медицинская карта»).
  • Морфологический анализ — поиск ключевых слов с учётом словоформ русского языка.
  • Анализ цифровых отпечатков (fingerprinting) — сравнение файлов с эталонными образцами (например, с базами данных конфиденциальных документов).

Контекстный анализ учитывает:

  • Тип устройства (USB-накопитель, принтер, Bluetooth-адаптер).
  • Роль пользователя (руководитель, бухгалтер, IT-специалист).
  • Время и место (рабочее время, удалённый доступ).
  • Направление передачи (внутренняя сеть, внешний канал).

Основные функции

Контроль устройств

  • USB-портыблокировка или разрешение только определённых типов устройств (например, только клавиатуры и мыши, но не флешки).
  • CD/DVD/Blu-ray — запрет записи или чтения.
  • Внешние жёсткие диски — полный запрет или разрешение только для авторизованных носителей.
  • Принтеры — контроль печати с возможностью водяных знаков (например, «Конфиденциально»).
  • Сканеры — блокировка сканирования документов.
  • Bluetooth — отключение или разрешение только для гарнитур.
  • Модемы и Wi-Fi-адаптеры — запрет использования.

Контроль каналов связи

  • Электронная почта — анализ вложений и текста писем (SMTP, POP3, IMAP, MAPI).
  • Веб-трафик — контроль загрузки файлов на сайты (HTTP/HTTPS), включая облачные хранилища (Google Drive, Яндекс.Диск, Dropbox).
  • Мессенджеры — перехват и анализ сообщений и файлов в Telegram, WhatsApp (продукт Meta, признанной экстремистской и запрещённой в РФ), Skype, Viber, Slack, Microsoft Teams.
  • FTP — контроль передачи файлов.
  • Локальные сетимониторинг копирования файлов на сетевые папки.

Реагирование на инциденты

  • Блокировка — немедленное прерывание операции (например, отказ в копировании файла на флешку).
  • Уведомление — отправка сообщения администратору или пользователю.
  • Карантин — перемещение файла в изолированную папку для анализа.
  • Логированиезапись всех действий в журнал событий.
  • Создание теневой копии — сохранение копии файла, который пытались скопировать.

Совместимость и системные требования

InfoWatch Device Monitor поддерживает операционные системы:

  • Microsoft WindowsWindows 7, 8, 10, 11 (все редакции, включая Server 2008–2022).
  • Linux — дистрибутивы на базе ядра 2.6 и выше (Red Hat, CentOS, Ubuntu, Astra Linux Special Edition, Alt Linux).
  • macOS — версии 10.12 и выше (ограниченная поддержка).

Агент требует от 512 МБ оперативной памяти и 1 ГБ дискового пространства. Сервер управления — от 4 ГБ ОЗУ и 100 ГБ дискового пространства (в зависимости от количества агентов).

Применение

InfoWatch Device Monitor используется в организациях различных отраслей:

  • Государственные учреждения — защита государственной тайны, персональных данных граждан, служебной информации.
  • Финансовый сектор — банки, страховые компании, инвестиционные фонды (защита коммерческой тайны, данных клиентов).
  • Промышленность — предприятия оборонно-промышленного комплекса, энергетики, машиностроения.
  • Медицина — защита медицинских карт, результатов анализов, персональных данных пациентов.
  • IT-компании — защита исходного кода, баз данных, интеллектуальной собственности.
  • Образование — вузы, научно-исследовательские институты.

Сертификация и соответствие стандартам

Продукт имеет сертификаты ФСТЭК России по классам защиты информации от несанкционированного доступа (НСД) — до 1-го класса включительно, а также сертификаты на соответствие требованиям к средствам криптографической защиты информации (СКЗИ) — при использовании с модулями шифрования. InfoWatch Device Monitor соответствует требованиям:

  • Федерального закона № 152-ФЗ «О персональных данных».
  • Федерального закона № 98-ФЗ «О коммерческой тайне».
  • Федерального закона № 5485-1 «О государственной тайне».
  • Приказов ФСТЭК России № 17, 21, 31.

Критика и ограничения

Основные претензии к InfoWatch Device Monitor связаны с:

  • Высокой нагрузкой на систему — агент потребляет значительные ресурсы процессора и оперативной памяти, особенно при анализе больших файлов (например, видео или баз данных).
  • Сложностью настройки — для корректной работы требуется квалифицированный администратор, знакомый с DLP-системами.
  • Ложными срабатываниями — система может блокировать легитимные операции (например, копирование рабочего документа на личную флешку), если политики настроены слишком жёстко.
  • Ограниченной поддержкой мобильных устройств — продукт не контролирует смартфоны и планшеты (только через USB-подключение к ПК).
  • Зависимостью от российского законодательства — продукт ориентирован на российские стандарты, что может быть неудобно для международных компаний.

См. также

  • InfoWatch Traffic Monitor
  • InfoWatch Data Discovery
  • DLP-система
  • Защита от утечек данных
  • ФСТЭК России

Источники

  • Официальный сайт InfoWatch (раздел «Продукты»)
  • Документация по InfoWatch Device Monitor (версия 12.0, 2023)
  • Материалы конференций InfoWatch Security Day (2019–2023)
  • Статьи в журналах «Information Security» и «Защита информации. Инсайд» (2018–2024)
  • Реестр сертифицированных средств защиты информации ФСТЭК России

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →