Top menu

Вопросы и ответы по DeviceLock DLP

DeviceLock FAQ (формат PDF)

Общие вопросы

  • Что такое DeviceLock DLP и для чего он нужен?

    DeviceLock DLP - это программный комплекс, предназначенный для защиты информации от утечек (DLP), осуществляющий контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода, сетевым приложениям и протоколам. DeviceLock DLP позволяет контролировать весь спектр потенциально опасных устройств и каналов сетевых коммуникаций: USB-порты, дисководы, CD/DVD-приводы, FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, канал синхронизации с мобильными устройствами, внутренние и внешние сменные накопители и жесткие диски, буфер обмена Windows, простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, веб-почту и социальные сети, почтовые протоколы MAPI и IBM (Lotus) Notes, службы мгновенных сообщений, файловый обмен по протоколам FTP и FTP-SSL, Telnet-сессии, файлы, размещённые на локальных сетевых ресурсах (SMB) и сетевые сервисы файлового обмена и синхронизации. Поддерживаются сетевые протоколы IPv4 и IPv6. DeviceLock осуществляет детальное событийное протоколирование (аудит) и теневое копирование действий пользователей с устройствами, протоколами и данными.

    С помощью DeviceLock DLP службы информационной безопасности получают возможность своевременного оперативного реагирования на инциденты утечки данных благодаря тревожным оповещениям по протоколам SMTP, SYSLOG или SNMP.

    Кроме того, DeviceLock DLP реализует технологию Virtual DLP (DLP для виртуальных сред), предназначенную для снижения рисков утечки данных в различных вариантах виртуализации рабочих сред и приложений от трех основных разработчиков – это Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

    В состав комплекса DeviceLock DLP входят следующие лицензируемые компоненты: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server (вместе образуют комплекс DeviceLock Endpoint DLP Suite), а также DeviceLock Discovery и DeviceLock EtherSensor.

  • К какому классу ИТ-решений относится DeviceLock DLP?

    Программный продукт DeviceLock DLP, относится к классу DLP-решений (Data Loss/Leak Prevention), т.е. предназначенных для защиты корпоративной информации от утечек за пределы информационной сети организации – как намеренных, так и случайных.

    К классу DLP относятся решения, которые позволяют техническими способами (не организационными или путем расследования инцидентов!) предотвращать утечки данных через различные каналы хранения и передачи информации – такие как электронная почта, интернет-сервисы и различные устройства, подключаемые пользователями к рабочим станциям.

    Полноценная DLP-система должна уметь перехватывать и анализировать передаваемые сообщения и файлы, а также блокировать их передачу, если это указано политиками системы, например, при обнаружении конфиденциальных данных или запрете доступа к каналу передачи данных для определенного пользователя. Кроме того, DLP-система должна предоставлять возможность централизованного ведения архива передаваемых пользователями данных для их последующего анализа и расследования инцидентов безопасности.

  • Какие еще задачи решает DeviceLock DLP помимо защиты от утечек?

    Первичная задача для полноценной DLP-системы - решение задачи защиты от утечек данных ограниченного доступа (конфиденциальная информация, персональные данные и др.). Помимо этой задачи, возможности полноценной DLP-системы позволяют параллельно решать и другие задачи информационной безопасности, такие как:

    • Повышение благонадежности сотрудников и снижение репутационных рисков – за счет предотвращения передачи наружу нежелательной информации (слухов, спама, жалоб и т. п.);
    • Предотвращение использования работниками интернет-ресурсов и ресурсов сети в личных целях;
    • Защита от входящего спама и вирусов – за счет контроля сетевых протоколов и приносимых устройств хранения данных;
    • Оптимизация загрузки каналов, сокращение нецелевого трафика;
    • Обеспечение соответствия стандартам и требованиям регуляторов в области информационной безопасности и действующего законодательства.

  • Что такое «Полный комплекс DeviceLock DLP»?

    DeviceLock DLP – это собирательное маркетинговое наименование, служащее обозначением полного набора продуктов DeviceLock – комплекса DeviceLock Endpoint DLP Suite, программного продукта DeviceLock Discovery и сервера сетевого мониторинга DeviceLock EtherSensor.

    В состав комплекса DeviceLock Endpoint DLP Suite входят лицензируемые компоненты: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server. Компоненты DeviceLock Base, NetworkLock, ContentLock в совокупности образуют агент DeviceLock, устанавливаемый на защищаемых компьютерах.

  • Чем DeviceLock DLP принципиально отличается от конкурентных DLP-систем?

    Прежде всего, DeviceLock DLP – нишевой продукт, предназначенный для защиты от утечек данных, а не побочное приложение к, например, антивирусу. DeviceLock не содержит ни одного аппаратного элемента в составе своего комплекса, что существенно удешевляет процесс его внедрения и эксплуатации. Исторически DeviceLock развивался как продукт, обладающий всеми необходимыми возможностями для контроля утечек с периферийных портов и устройств. По сей день DeviceLock обладает наиболее широкими возможностями в этой области задач ИБ и является мировым стандартом де-факто в области контроля устройств. Появившиеся в 2011 г. в комплексе DeviceLock DLP компоненты NetworkLock и ContentLock перевели продукт в класс полноценных Endpoint DLP-систем, позволяя обеспечить контроль большинства сетевых протоколов и сервисов, а также повысить эффективность защиты от утечек данных с помощью различных методов контентного анализа и фильтрации. Появившийся позднее продукт DeviceLock Discovery добавил возможность контроля хранимых данных (Data-At-Rest).

    Всю историю своего развития (с 1996 г.) DeviceLock являлся технологическим лидером в области EDPC и теперь – Endpoint DLP. Некоторые функции продукта являются уникальными и запатентованы – такие, как контроль каналов синхронизации мобильных устройств.

    Комплекс DeviceLock Endpoint DLP Suite относится к продуктам класса Endpoint DLP, когда весь контроль передачи данных выполняется функционирующим на пользовательских компьютерах агентом DLP-системы. Такая архитектура гарантирует полный контроль и возможность предотвратить утечку данных, как внутри, так и за пределами корпоративной сети, а не только зафиксировать попытку передачи данных или сам факт утечки. Контроль потоков данных на используемых пользователями оконечных устройствах является наиболее эффективным способом предотвращения утечки в любых сценариях – как при работе пользователя внутри, так и за пределами корпоративной сети.

    Такой всеобъемлющий контроль принципиально недостижим для сетевых DLP-систем и устройств ИБ, потому что они не могут контролировать ни утечки через локальные порты ПК, ни через сетевые сервисы с проприетарным шифрованием, и вообще никакие каналы не могут контролироваться, если компьютер работает автономно снаружи корпоративной сети. В таких условиях немаловажным фактором становится возможность автономного функционирования Агента DeviceLock независимо от наличия подключения к корпоративной сети или серверам DLP-системы, а также функция «самозащиты» от удаления (в том числе и руткитами) пользователями, имеющими права локального администратора на локальных компьютерах, если эти пользователи не входят в список авторизованных администраторов DeviceLock.

    Одним из ключевых преимуществ DeviceLock DLP по сравнению с другими DLP-продуктами является возможность в реальном времени избирательно контролировать, то есть выполнять операции разрешения или запрета доступа, избирательно теневого копирования и отправки тревожных оповещений для операций передачи, печати, сохранения файлов и данных, на основании анализа содержимого передаваемых файлов и данных. Такой контроль реализован для локальных устройств, канала печати, буфера обмена данными, сетевых протоколов и сервисов, включая электронную почту, службы быстрых сообщений (Skype, Jabber, ICQ и др.) и т.д., причем с возможностью задания различных сценариев поведения в зависимости от наличия подключения к корпоративной сети. Кроме того, возможности мониторинга потоков данных в DeviceLock DLP не ограничены регистрированием всех событий подряд, а позволяют настроить систему отслеживания и оповещений только по заданным критериям на основании контентного анализа. Избирательность DLP-контроля в DeviceLock DLP обеспечивается принципом формирования различных политик для разных пользователей и групп.

    Совместное использование полнофункционального Endpoint-агента и сервера DeviceLock EtherSensor для защиты организации от утечек данных позволяет благодаря гибридной архитектуре комплексной DLP-системы обеспечить селективный контроль каналов сетевых коммуникаций – в режиме мониторинга на уровне сети сервером DeviceLock EtherSensor, и режимах мониторинга и/или предотвращения утечек по результатам анализа содержимого и по контекстным параметрам агентами на рабочих станциях, благодаря возможности автоматического переключения DLP-политик на агентах.

    Кратко перечислим другие основные конкурентные преимущества DeviceLock DLP:

    • полноценный контроль потенциальных каналов утечки информации, означающий возможность предотвращать утечки посредством блокировки несанкционированных попыток передачи данных и вести детальный мониторинг с поддержкой контентной фильтрации в реальном времени;
    • контентная фильтрация в реальном времени - предоставление возможности свободно пользоваться устройствами и сетевыми сервисами, без вмешательства в бизнес-процессы пользователей – с блокировкой только попыток передачи конфиденциальной информации и защищаемых персональных данных, а также помещение в архив только значимых для расследования инцидентов ИБ файлов и данных. Методы контентной фильтрации в DeviceLock DLP включают в себя анализ по цифровым отпечаткам, поиск по ключевым словам с применением морфологического анализа и поддержкой транслитерации, поиск по шаблонам на базе регулярных выражений, поиск по расширенным свойствам документов и файлов. В продукт встроено большое количество отраслевых терминологических словарей и предопределенных шаблонов регулярных выражений, а также резидентный модуль оптического распознавания символов (OCR); 
    • обеспечение оперативной реакции на попытки несанкционированной передачи данных, включая тревожные уведомления по результату проверки содержимого – как для блокированных попыток, так и для разрешенных;
    • возможность создания централизованного или распределенного архива событий и теневых копий, с централизованным управлением и анализом журналов;
    • контроль периферийных устройств и локальных портов на компьютерах Mac;
    • защита данных в средах виртуализации и терминального доступа - избирательный контроль доступа с поддержкой контентной фильтрации к перенаправленным устройствам, принтерам и буферу обмена данными, а также каналам сетевых коммуникаций, доступным из виртуализованной среды;
    • высочайший уровень самозащиты агентов, компонентов и параметров решения;
    • вариативность централизованного управления (через групповые политики контроллера домена Active Directory, через собственный сервер управления, другими способами).

    Важной отличительной особенностью DeviceLock DLP от конкурентных DLP-систем является открытость продукта – и полнофункциональный дистрибутив с триальной лицензией, и документация размещены на нашем веб-сайте в открытом доступе. Мы придерживаемся принципов полной прозрачности, нам нечего скрывать. Любой желающий имеет возможность самостоятельно составить свое мнение о нашем продукте, проверить все заявленные в DeviceLock DLP функции и убедиться в его конкурентных преимуществах. Единственное ограничение, налагаемое встроенной в дистрибутив триальной лицензией - срок использования и количество контролируемых компьютеров (до двух). Еще одним существенным конкурентным преимуществом DeviceLock DLP является покомпонентное лицензирование системы, позволяющее как приобретать только нужный функциональный набор, так и обеспечить поэтапное приобретение и ввод в эксплуатацию DLP-системы, что в свою очередь позволяет значительно снизить трудозатраты на внедрение и эксплуатацию системы.

    Клиентская база компании превышает (на 2018 г.) 7 миллионов установленных агентов DeviceLock в более чем 90 тысячах организаций по всему миру, что очевидным образом говорит о надежности продукта вследствие широчайшего тестирования в самых различных вариантах среды окружения (программное обеспечение и разнообразное оборудование, установленное на контролируемых DeviceLock компьютерах), и ценовых преимуществах продукта. Наиболее крупная инсталляция DeviceLock – это более 71 тысяч компьютеров в одной организации. Среди клиентов DeviceLock – крупнейшие российские и зарубежные компании, банки и государственные организации.

  • Что такое DeviceLock Discovery и для чего он нужен?

    DeviceLock Discovery предназначен для сканирования рабочих станций и сетевых хранилищ в целях обнаружения данных с заданным содержимым и автоматического применения к обнаруженным данным различных превентивных действий по устранению нарушений.

    DeviceLock Discovery позволяет контролировать местоположение и уровень защищенности конфиденциальных корпоративных данных, хранимых в ИТ-инфраструктуре организации (“data-at-rest”), в целях проактивного предотвращения их утечек и обеспечения соответствия корпоративным стандартам безопасности и требованиям отраслевых и государственных регуляторов. 

    В соответствии с принципами гибкого функционально-инкрементального лицензирования комплекса DeviceLock DLP, компонент DeviceLock Discovery может приобретаться и использоваться как самостоятельный продукт независимо от прочих компонентов комплекса. Для развертывания и использования DeviceLock Discovery не требуется приобретать базовый компонент DeviceLock. Лицензии на DeviceLock Discovery могут быть приобретены как на один из компонентов комплекса DeviceLock DLP, дополняя уже имеющиеся компоненты DLP-системы. Возможен и обратный порядок, когда пользователи, изначально использующие только лицензии DeviceLock Discovery, могут расширить уровень DLP-защиты корпоративных данных за счет приобретения лицензий на другие функциональные компоненты DeviceLock DLP. Лицензия требуется для каждой цели (компьютера или сетевого устройства), которые будут сканироваться DeviceLock Discovery, независимо от того, будет ли сканироваться компьютер в целом или отдельная папка.

    Более подробно прочитать о DeviceLock Discovery можно на странице https://www.devicelock.com/ru/products/devicelock_discovery.html.

  • Что такое DeviceLock EtherSensor и для чего он нужен?

    DeviceLock EtherSensor позволяет обеспечить всеобъемлющий мониторинг сетевых коммуникаций на уровне периметра корпоративной сети. Полученные сервером EtherSensor события, метаданные и файлы сохраняются в едином централизованном архиве DeviceLock DLP и используются для ретроспективного анализа событий и инцидентов ИБ в комплексе с данными, полученными от агентов DeviceLock DLP. DeviceLock EtherSensor работает на серийном серверном оборудовании или в виртуальной среде на ОС Windows с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов).

    Более подробно прочитать о DeviceLock EtherSensor и построении гибридного DLP-решения можно на странице https://www.devicelock.com/ru/products/network-hybrid-dlp.html.

  • Есть ли в DeviceLock DLP сервер и какие функции он выполняет?

    В комплексе DeviceLock Endpoint DLP Suite присутствует несколько серверных компонентов – DeviceLock Enterprise Server (DLES), DeviceLock Content Security Server (DLCSS) и DeviceLock EtherSensor.

    Сервер DeviceLock Enterprise Server в составе комплекса DeviceLock обеспечивает централизованный сбор данных событийного протоколирования (аудита) и теневого копирования, предоставление этих данных для анализа и построения отчетов, мониторинг состояния агентов и применяемых политик и, наконец, централизованное управление агентами (если использование групповых политик домена Windows для задач управления неприменимо). Важно отметить, что DeviceLock Enterprise Server – нелицензируемый (бесплатный) компонент, может быть установлен в любом количестве в локальной сети организации, а агенты могут передавать данные аудита и теневые копии на любое число DLES в зависимости от, например, текущей нагрузки на локальную сеть.

    DeviceLock Enterprise Server может выполнять роль управляющего сервера DLP-системы благодаря возможности распространять политики безопасности на установленные на рабочих станциях агенты DeviceLock. Данная возможность является альтернативой консольному управлению агентами и/или использованию групповых политик домена Windows для управления агентами DeviceLock. Для передачи агентам заданных политик (файлов с шаблоном политики) через DLES используется два способа: "push" (принудительная передача политик сервером) и "pull" (запрос обновления политик агентом DeviceLock по заданным условиям или по запросу пользователя на контролируемом компьютере).

    В сервер DeviceLock Content Security Server (DLCSS) как сервер-контейнер на текущий момент встроены серверные компоненты комплекса DeviceLock Search Server (сервер полнотекстового поиска) и DeviceLock Discovery Server (сервер обнаружения документов и файлов с заданным содержимым).

    Компонент DeviceLock Search Server (DLSS) позволяет осуществлять полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда вам необходим поиск по содержимому документов, хранимых в базе данных теневого копирования. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов.

    Компонент DeviceLock Discovery Server (DLDS), который предназначен для сканирования рабочих станций и сетевых хранилищ в целях обнаружения данных с заданным содержимым и автоматического применения к обнаруженным данным различных превентивных действий по устранению нарушений.

    Наконец, последний серверный компонент комплекса DeviceLock DLP - DeviceLock EtherSensor, который позволяет обеспечить всеобъемлющий мониторинг сетевых коммуникаций на уровне периметра корпоративной сети. Полученные сервером EtherSensor события, метаданные и файлы сохраняются в едином централизованном архиве DeviceLock DLP и используются для ретроспективного анализа событий и инцидентов ИБ в комплексе с данными, полученными от агентов DeviceLock DLP.

  • Можно ли настроить контроль только для конкретного сотрудника или группы?

    Да, конечно. Все DLP-политики в DeviceLock являются user-based, т.е. задаются для указанных пользователей и групп.

  • Зачем нужен контентный анализ (проверка содержимого)?

    В ситуации, когда простого контроля каналов передачи данных на основании контекстных параметров недостаточно и требуется более глубокий уровень контроля информации – например, проверка передаваемых данных на наличие персональных данных, особенно в условиях, когда порты ввода-вывода открыты и не контролируются - применяются механизмы контентного анализа и фильтрации, предотвращающие передачу данных ограниченного доступа.

    Применяемые в DeviceLock DLP методы контентного анализа позволяют обеспечить избирательную фильтрацию потоков данных и как следствие, снизить уровень ложных срабатываний, и избирательное теневое копирование переданных данных в зависимости от их содержимого (контента).

    В DeviceLock DLP используются такие методы контентного анализа, как поиск по создаваемым администратором шаблонам на базе регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам; поиск по ключевым словам (по целым словам или частичному совпадению), с применением морфологического анализа и поддержкой транслитерации для русского языка; поиск по встроенным комплексным шаблонам регулярных выражений (номера кредитных карт, адреса, паспортные данные и т.д.); встроенные отраслевые терминологические словари; поиск по свойствам файлов и данных (имя, размер, наличие парольной защиты, наличие текстовых данных, дата/время, др.), цифровые отпечатки.

    Кроме того, те же методы контентного анализа используются компонентом DeviceLock Discovery при анализе хранимых данных.

  • Зачем нужны регулярные выражения (шаблоны)?

    Регулярные выражения на основе языка Perl являются одним из самых мощных и эффективных средств контентного анализа и используются в компоненте ContentLock для выявления данных, имеющих четко определенную структуру, таких как адреса электронной почты, номера документов, номера телефонов и многого другого.

    Регулярные выражения являются основой для создания шаблонов, с которыми сравниваются передаваемые файлы и данные. Среди более чем 50 параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и многие другие.

  • Зачем нужны цифровые отпечатки и как они работают?

    "Цифровые отпечатки" ("Digital Fingerprints") - метод идентификации данных, основанный на сравнении хешей образцов данных и перехваченных для анализа данных.

    При использовании этого метода администратор DeviceLock вначале собирает образцы документов и файлов, которые требуется защитить, и классифицирует их на сервере DeviceLock Enterprise Server с помощью задач классификации, снимающих отпечатки каждого такого файла и его содержимого, с сохранением отпечатков в базе данных MS SQL. Файлы для снятия отпечатков могут размещаться в локальной папке сервера или в общей сетевой папке. Нет необходимости копировать файлы на компьютер, на котором работает сервер DeviceLock Enterprise Server, однако сервер должен иметь достаточные права для доступа и чтения этих файлов там, где они размещены. DeviceLock предоставляет ряд встроенных классификаций и позволяет добавлять дополнительные пользовательские классификации.

    Далее администратор DeviceLock должен создать контентные группы, ссылающиеся на классификации цифровых отпечатков, и настроить контентно-зависимые правила на основе этих контентных групп. Поскольку база данных отпечатков находится на сервере, а контентно-зависимые правила обрабатываются на клиентских компьютерах, необходимо указать хотя бы один сервер DeviceLock Enterprise Server в настройках сервиса DeviceLock.

    Агенты DeviceLock на контролируемых компьютерах обращаются к целевому DeviceLock Enterprise Серверу для сравнения цифровых отпечатков проверяемых документов с цифровыми отпечатками, хранящихся в базе DeviceLock сервера. Если процент “соответствия отпечатков” превышает требуемый порог, проверяемые документы считаются конфиденциальными, и к ним применяются действия в соответствии с заданной DLP-политикой (заблокировать, протоколировать, отправить тревожное оповещение и др.).

    Если сервер DeviceLock Enterprise Server недоступен или недоступна его база данных отпечатков, то Агент DeviceLock на контролируемом компьютере не сможет применять правила, основанные на цифровых отпечатках, а также составные правила, в состав которых входит проверка отпечатков. При этом Агент заблокирует попытки передачи информации, которая должна быть проверена такими правилами.

    Такой метод позволяет идентифицировать как документы целиком, так и выявить их частичное соответствие, например, после изменения оригинального документа или образца документа (шаблона, формы и т.п.). Таким образом, цифровые отпечатки дают возможность надежно идентифицировать классифицированные файлы по их содержимому, несмотря на возможные искажения и изменения, вызванные добавлением несущественной информации или «шумов», таких как отдельные символы, незначащие слова и т.д.

  • Можно ли с помощью DeviceLock DLP блокировать утечки таких данных, как номера кредитных карт и паспортные данные?

    Да, это задача компонента ContentLock и решается она методами контентного анализа и фильтрации. Для решения таких традиционных для ИБ задач, как контроль номеров кредитных карт и номеров документов, в компоненте ContentLock есть возможность проверять передаваемую информацию на соответствие шаблонам регулярных выражений, уже встроенным в продукт.

  • Может ли DeviceLock DLP работать в «пассивном» режиме без блокировки передачи данных, но с протоколированием?

    Да. DeviceLock может работать в любых режимах, как ему предпишет администратор. Если не заданы политики блокировки портов, устройств, сетевых протоколов, но заданы политики в части аудита и теневого копирования – DeviceLock будет работать в «пассивном» режиме, разрешая передачу данных и сохраняя соответствующие записи в журналах аудита и теневого копирования. Если же политики запрета доступа заданы, DeviceLock будет блокировать передачу, а значит – и предотвращать утечки, принимая решения в реальном времени непосредственно на рабочем компьютере пользователя.

    Кроме того, пассивный режим контроля данных, передаваемых по каналам сетевых коммуникаций, без использования мощностей endpoint-агентов DeviceLock, реализуется серверным компонентом DeviceLock EtherSensor.

  • Можно ли настроить различные политики для рабочего и нерабочего времени дня?

    Да, можно. Все политики в DeviceLock DLP устанавливаются действующими для указанного времени и дня недели, аналогично тому, как это принято в Windows-администрировании.

  • Можно ли настроить различные политики для ноутбуков, которые пользователи забирают с собой, для режимов «в сети» и «вне сети»?

    Да, можно. DeviceLock DLP поддерживает онлайн- и офлайн-политики (в терминологии DeviceLock – оперативный и автономный режимы).

  • Что такое офлайн- и онлайн-политики?

    Это два различных набора DLP-политик, именуемых в DeviceLock соответственно автономный и оперативный режимы, и применяемых автоматически агентом DeviceLock в зависимости от того, находится ли в данный момент времени контролируемый компьютер в корпоративной сети или за ее пределами.

  • Можно ли посмотреть, какую конкретно информацию пересылали пользователи?

    Да, можно. В DeviceLock DLP реализовано теневое копирование. Переданные по каналам сетевых коммуникаций, сохраненные на внешние накопители, распечатанные на любых принтерах данные будут сохранены агентом DeviceLock для дальнейшего исследования службой ИБ. Журналы теневого копирования можно хранить как локально на рабочих станциях пользователей, так и централизованно в базе данных DeviceLock Enterprise Server.

  • Что из себя представляет журнал теневого копирования, можно ли по нему искать?

    Журнал теневого копирования в DeviceLock Enterprise Server - это база данных, хранимая в сервере MS SQL. Поиск данных по этой базе можно вести как посредством встроенного в консоль DeviceLock просмотрщика, с применением различных фильтров, так и посредством сервера полнотекстового поиска DeviceLock Search Server с помощью различных лингвистических технологий, что существенно упрощает и ускоряет поиск. Предусмотрены также различные статистические и графические отчеты, включая граф связей, для анализа данных журнала теневого копирования.

  • Сколько места требуется для хранения базы данных теневого копирования?

    К сожалению, на этот вопрос невозможно дать точный ответ, не зная специфики работы пользователей. Объем накапливаемого архива зависит от выбора контролируемых устройств и сетевых коммуникаций, для которых будет выполняться теневое копирование; от объема трафика у контролируемых сотрудников, который будет перехватываться и сохраняться в виде теневых копий; от установленного срока хранения. Так, если стоит задача в течение 1 года хранить исходящую электронную почту, а ее средний совокупный объем вместе с вложениями составляет 1 Гбайт в рабочий день, то для хранения только этой переписки в базе данных понадобится около 250 Гбайт.

  • Влияет ли работа агента DeviceLock на скорость копирования файлов на съемные носители?

    Если не заданы политики, содержащие правила анализа содержимого передаваемых данных – задержек не возникает. Далее же задержки напрямую зависят от сложности заданных правил контентного анализа и размера проверяемых данных.

  • Влияет ли работа DeviceLock DLP на скорость Интернета и производительность сети в целом?

    Безусловно, DeviceLock оказывает влияние на скорость передачи данных из/в сеть Интернет, если заданы политики контроля содержимого передаваемых пользователем данных. Это объективные причины, и это неизбежно – так же, как например для антивирусов. Задача анализа содержимого передаваемых данных в реальном времени относится к ресурсоемким, и чем сложнее заданные правила анализа и больше объем проверяемых данных, тем заметнее задержка. Даже без анализа содержимого неизбежна незначительная задержка, вызванная решением задачи анализа сетевых пакетов– например, для детектирования данных, передаваемых в социальную сеть. Такого рода задержки зависят от производительности защищаемого компьютера.

    На производительность локальной сети DeviceLock принципиально не влияет, поскольку нет избыточности в виде передачи данных по сети для их анализа на сервере.

    Передача же данных событийного протоколирования и теневого копирования для их централизованного хранения может быть гибко настроена в зависимости от нагрузки на локальную сеть, а также за счет вариативного размещения серверов DeviceLock Enterprise Server.

  • Есть ли в DeviceLock DLP русский интерфейс?

    Да. А также предоставляется русская документация (опубликована в открытом доступе и включена в дистрибутив) и справочная система. Техническая поддержка русскоязычных клиентов оказывается русскоязычными сотрудниками на русском языке, мы – российская компания, а разработка, тестирование и поддержка всегда осуществлялись в головном офисе компании в Москве. Поддерживается также база знаний на русском языке, наполняемая сотрудниками техподдержки на основе реальных запросов наших клиентов.

Контроль передачи данных

  • Какие каналы утечек может контролировать DeviceLock DLP?

    В зависимости от лицензируемых компонентов DeviceLock DLP обеспечивает полный контроль локальных портов и интерфейсов, периферийных устройств и каналов сетевых коммуникаций.

    Компонент DeviceLock Base - базисный компонент, обеспечивает контекстный контроль периферийных устройств и интерфейсов подключения. Является инфраструктурной платформой комплекса, обеспечивает централизованное управление. Контролирует все локальные каналы ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, а также канал печати документов на локальные и сетевые принтеры.

    Компонент NetworkLock обеспечивает контекстный контроль каналов сетевых коммуникаций – электронной почты, web-почты, HTTP/HTTPS-приложений, мессенджеров, социальных сетей, передачу файлов по протоколам FTP и FTP-SSL, обмен данными через сервисы файлового обмена и внутренние общие сетевые ресурсы по протоколу SMB, a также Telnet-сессии, Torrent и др. Кроме того, серверный компонент DeviceLock EtherSensor обеспечивает пассивный контроль (мониторинг) каналов сетевых коммуникаций.

    Полный список контролируемых каналов приведен на странице описания (спецификации) продукта.

  • Можно ли контролировать запись на устройства по типам файлов?

    Да, можно. Можно разрешать или запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 5000 типов файлов.

  • Какие форматы файлов поддерживаются для анализа?

    Прежде всего следует отметить, что DeviceLock обеспечивает два уровня контроля по формату (типу) файлов.

    Первый уровень контроля осуществляется модулями DeviceLock и NetworkLock для оптимизации контроля передачи данных по типам файлов. Можно разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 5000 типов файлов.

    Второй уровень контроля осуществляется компонентом ContentLock в процессе контентного анализа содержимого передаваемых файлов и документов. В этом процессе поддерживается более 80 форматов файлов, включая документы Microsoft Office, Adobe PDF, OpenOffice, Lotus 1-2-3, WordPerfect, WordStar, Quattro Pro, архивы и репозитории электронной почты, CSV, DBF, XML, Unicode, GZIP, RAR, ZIP, др.

  • Если какого-то типа файла нет во встроенных контентных группах, можно его добавить?

    Да, можно. Для этого вам следует обратиться в техническую поддержку с запросом и предоставить не менее десяти файлов каждого типа, желательно с разных компьютеров и разных версий программы, в которой эти файлы были сделаны. Будет не лишним также указать желаемое название новой контентной группы и описание типов файлов.

  • Можно ли анализировать текст, размещенный в графическом файле, например, скан документа?

    Агент DeviceLock содержит встроенный (резидентный) OCR-модуль, позволяющий извлекать текст из графических файлов (например, отсканированных документов или скриншотов) и проверять его контентно-зависимыми правилами непосредственно на защищаемом компьютере, без передачи по сети.

    OCR-модуль также используется поисковым сервером DeviceLock Search Server для извлечения текста из графических данных, хранимых в журнале теневых копий, и компонентом DeviceLock Discovery для анализа хранимых данных.

    Кроме того, в DeviceLock есть функция Text-in-Picture, позволяющая определять наличие текста в графическом документе, вычислять его процентное соотношение к общему объему документа и задавать соответствующие политики контроля.

  • Можно ли контролировать социальные сети, такие как Facebook, ВКонтакте и другие?

    Да, компонент NetworkLock позволяет контролировать и протоколировать переписку и передачу пользователями файлов и данных в социальных сетях Google+, Facebook, Twitter, LiveJournal, LinkedIn, MySpace, Одноклассники, ВКонтакте и другие.

    Подробный список контролируемых социальных сетей приведен на странице описания (спецификации) продукта.

  • Можно ли контролировать мессенджеры и электронную почту?

    Да, компонент NetworkLock позволяет контролировать и протоколировать переписку и передачу пользователями файлов и данных в службах мгновенных сообщений и электронную почту. Контролируются мессенджеры Skype/Skype for Web/Skype for Business Web App, Telegram, Агент Mail.Ru, Viber, Jabber, ICQ, Windows Messenger, IRC, WhatsApp.

    Что касается электронной почты, контролируются протоколы SMTP/SMTP over SSL, Microsoft Outlook (MAPI) и IBM (Lotus) Notes. Контроль сервисов веб-почты выделен как отдельная сущность.

    Кроме того, серверный компонент DeviceLock EtherSensor обеспечивает пассивный контроль (мониторинг) большинства мессенджеров и почтовых коммуникаций на серверном уровне.

    Подробный список контролируемых мессенджеров и электронной почты приведен на странице описания (спецификации) продукта.

  • Умеет ли DeviceLock контролировать Skype?

    Да. Компонент NetworkLock комплекса DeviceLock DLP контролирует Skype/Skype for Web/Skype for Business Web App, причем на уровне рабочих станций, встраивая свой код в клиент Skype. DeviceLock перехватывает весь трафик Skype и анализирует текстовую переписку (в том числе мультичат с несколькими собеседниками), передаваемые файлы, определяет права доступа для аудио- и видео-разговоров. Вся текстовая переписка и передаваемые файлы сохраняются в журнале теневого копирования. В будущих версиях планируется создавать теневые копии аудио- и видео разговоров.

    NetworkLock также способен инспектировать и контролировать частные беседы ("Private Conversation") в Skype 8.x и 14.x. Контентно-зависимые правила (компонент ContentLock) могут применяться к исходному (незашифрованному) тексту сообщений. Кроме того, DeviceLock DLP позволяет расшифровывать содержимое исходящих файлов в частных беседах, обеспечивая для них тот же уровень контроля, что и для обычных исходящих файлов (Outgoing Files) в Skype.

    Уникальной возможностью DeviceLock в отношении контроля Skype является Белый список сетевых протоколов, позволяющий ограничить участников разговора только пользователями, внесенными в Белый список. Более того – если включить возможности компонента ContentLock, можно самым гибким образом задавать принципы использования Skype в корпоративной сети – включая контроль содержимого чата, проверку содержимого, типа, размера и прочих параметров передаваемых файлов, анализ идентификаторов Skype, допустимое время использования мессенджера и др.

    Кроме того, серверный компонент DeviceLock EtherSensor обеспечивает пассивный контроль (мониторинг) Skype и Skype for Business (MS Lync) на серверном уровне.

  • Какие сервисы веб-почты контролируются?

    Компонент NetworkLock обеспечивает контроль доступа и протоколирование почтовых сообщений и вложений, отправляемых и получаемых через веб-сервисы Почта Mail.Ru, Рамблер-Почта, Яндекс.Почта, Gmail, AOL Mail, Hotmail/Outlook.com, Yahoo! Mail, Outlook Web App/Access (OWA)и другие. Кроме того, серверный компонент DeviceLock EtherSensor обеспечивает пассивный контроль (мониторинг) большинства сервисов веб-почты на серверном уровне. Подробный список контролируемых сервисов веб-почты приведен на странице описания (спецификации) продукта.

  • Какие сайты может контролировать DeviceLock?

    В компоненте NetworkLock нет принципа контроля сайтов на основании их категоризации. DeviceLock Endpoint DLP Suite позволяет контролировать любой http- и https- трафик независимо от категории сайтов. Рекомендуем внимательно ознакомиться с документацией по продукту – возможностей для контроля посещения веб-сайтов предусмотрено довольно много и о них невозможно рассказать в рамках FAQ.

  • Перехватывает ли DeviceLock данные, передаваемые по зашифрованным SSL каналам?

    Да. Компонент NetworkLock позволяет перехватывать и анализировать данные, передающиеся по защищенным протоколам, использующим SSL-шифрование (HTTPS, FTPS, SMTP over SSL, шифрованные протоколы мессенджеров).

    В рамках решения задачи серверного мониторинга данных, передаваемых по сети, сервер DeviceLock EtherSensor может быть интегрирован со сторонними решениями, имеющими функцию расшифровки SSL. Также в своем составе он имеет ICAP-сервер, позволяющий взаимодействовать с ICAP-клиентами, обрабатывающими HTTPS. Помимо этого, для решения задачи вскрытия SSL/TLS методом MITM предлагается модуль DeviceLock SSLSplitter – чисто программное решение, как и EtherSensor.

  • Как DeviceLock EtherSensor получает сетевой трафик для анализа?

    DeviceLock EtherSensor может получать сетевой трафик одновременно из нескольких источников следующих типов:

    • Зеркальные порты (Mirror ports)
    • Сетевые ответвители (Network taps)
    • ICAP-клиенты (многие проксирующие решения имеют функцию зеркалирования HTTP(S) трафика по ICAP-протоколу)
    • PCAP и PcapNG файлы, записанные с помощью таких инструментов, как tcpdump от tcpdump.org, Wireshark, TCPDUMP for Windows.
    Также доступны интеграционные источники:
    • IBM Lotus (через доступ к его логу транзакций)
    • Microsoft Skype for Business.

  • С какими решениями совместим DeviceLock EtherSensor?

    Благодаря тому, что в DeviceLock EtherSensor реализована поддержка большинства стандартных способов доставки (SMTP, IMAP, syslog, FILEDROP (сохранение результатов на локальную файловую систему, SMB, FTP), можно утверждать, что продукт совместим с большинством сетевых решений для ИБ.

    Поддерживаемые источники сетевого трафика:

    • Коммутаторы производства Cisco, HP, D-Link, Huawei и др.
    • Сетевые ответвители (network taps) производства Ixia, Dualcomm, NetOptics и т.д.
    • CISCO Web Security Appliance (WSA)
    • Forcepoint Web Security (ранее Websense)
    • Fortinet
    • GTB Inspector
    • McAfee Web Gateway
    • Palo Alto Networks Next-Generation Firewalls
    • Squid
    • Symantec ProxySG (ранее Blue Coat)
    • Symantec SSL Visibility
    • tcpdump
    • Microolap TCPDUMP for Windows
    • Wireshark
    Поддерживаемые SIEM, UEBA/UBA, анализаторы логов:
    • AlienVault
    • ArcSight Enterprise Security Manager (ESM) (ранее HP ArcSight)
    • Elastic Stack (ранее ELK Stack: Elasticsearch, Logstash, Kibana)
    • EventTracker
    • FortiSIEM (ранее AccelOps)
    • Graylog
    • IBM QRadar
    • LogRhythm
    • ManageEngine EventLog Analyzer
    • McAfee Enterprise Security Manager (ESM)
    • Micro Focus Sentinel (ранее NetIQ)
    • RuSIEM
    • SolarWinds Log & Event Management (LEM)
    • Splunk
    • SQLstream
    • Trustwave SIEM.

  • Можно ли разрешить использование только конкретной флешки для конкретного пользователя?

    Да, конечно. Белый список USB-устройств поддерживает авторизацию USB-устройств по производителю, модели и заводскому серийному номеру.

  • Можно ли как-то показывать сотруднику причину запрета передачи данных?

    Да, конечно. В DeviceLock позволяет выводить соответствующие всплывающие сообщения в системном трее для ряда контролируемых каналов, при этом текст всплывающего сообщения задается администратором.

  • Поддерживает ли DeviceLock анализ файлов внутри архивов и документов?

    Да. DeviceLock анализирует архивы любого уровня вложенности. Если какой-то из вложенных архивов защищен паролем – можно блокировать отправку всего архива.

    Также DeviceLock анализирует файлы, вложенные в документы MS Office, Adobe PDF и AutoCAD.

  • Позволяет ли DeviceLock шифровать флешки?

    Нет, функции шифрования флеш-накопителей в продукте на текущий момент нет.

    Для обеспечения функции криптозащиты данных, копируемых на съемные устройства, мы предлагаем использовать возможности интеграции со сторонними криптографическими продуктами, хорошо зарекомендовавшими себя на рынке.

    DeviceLock позволяет устанавливать специальные "политики шифрования" для внешних подключаемых дисков, зашифрованных при помощи сторонних программных средств шифрования. Используя такие политики, возможно, например, разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных. DeviceLock обнаруживает диски, созданные продуктами BitLocker To Go (встроенное в ОС Windows средство шифрования данных на съемных носителях), ViPNet SafeDisk (продукт российской компании Инфотекс, сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, TrueCrypt и другие.

    Подробный список поддерживаемых криптопродуктов приведен на странице описания (спецификации) продукта.

  • Контролируются ли сетевые принтеры?

    Да. DeviceLock единообразно контролирует локальные, сетевые и виртуальные принтеры, а также создает теневые копии печатаемых документов. Более того – DeviceLock DLP обеспечивает контентный анализ и фильтрацию документов, печатаемых на любых типах принтеров.

  • Сохраняются ли копии файлов, записываемых пользователями на флешки?

    Да, если параметры теневого копирования заданы в DLP-политиках DeviceLock.

  • Можно ли контролировать содержимое файлов, записываемых пользователями на флешки?

    Да, компонент ContentLock позволяет применять методы контентного анализа и фильтрации при записи файлов на съёмные накопители (removable storage).

  • Обеспечивает ли DeviceLock контроль в терминальных и виртуальных средах?

    Да. DeviceLock поддерживает MS RDP, RemoteFX, Citrix XenDesktop, Citrix XenApp, а также решения виртуализации от VMWare и Microsoft (Hyper-V).

    Подчеркнем, что DeviceLock не просто умеет работать в терминальных сессиях, но и имеет поддержку технологий Application Virtualization и Application Streaming от Citrix, что позволяет контролировать доступ любого приложения (любого пользователя посредством приложения) к любым каналам обмена информацией независимо от того, как это приложение было доставлено пользователю. Для этого достаточно установить Агент DeviceLock на компьютер, на котором выполняется исполняемый код приложения, и задать настройки доступа.

    Контентный анализ файлов, передаваемых на устройства класса "TS Devices - Mapped Drives", в сочетании с контентной фильтрации для буфера обмена, значительно улучшает вариативность сценариев контроля виртуальных сред для инспекции и фильтрации содержимого в RDP/ICA/RDS/VDI-сессиях.

    Обратите внимание на страницу, посвященную этой задаче.

  • Может ли пользователь как-то обмануть DeviceLock DLP?

    Смотря что понимать под обманом. Если пользователь ставит себе задачу во что бы то ни стало унести конфиденциальную информацию и обладает достаточно высокой квалификацией – то весьма вероятно, что при должном старании он такой способ найдет независимо от используемой DLP-системы. Для решения проблемы потенциальных утечек от злонамеренного инсайдера с высокой технической квалификацией следует использовать не только DLP-продукты, но и применять комплекс административно-технических мер одновременно с DLP-решениями.

    Если же пользователь хочет «упростить себе жизнь» и избавиться от неудобных для него блокировок личных устройств и каких-либо сетевых протоколов, и для этого будет пытаться изменить применяемую политику – то в случае с DeviceLock это будет невозможно, если, конечно, администратор применяет соответствующие защитные функции продукта, выстроенные по многоуровневому эшелонированному принципу.

  • Может ли пользователь с правами локального администратора отключить агент DeviceLock?

    Функция DeviceLock Administrators обеспечивает необходимый уровень защиты, даже если пользователи имеют административные привилегии на локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту.

    В качестве средств противодействия предусмотрены защита файлов и ключей реестра, используемых DeviceLock (в том числе применяемой DLP-политики), от неавторизованного воздействия; unhook-защита драйвера (защита от руткитов); автоматический мониторинг состояния агентов и применяемых на них политик с возможностью автоматической замены политики на эталонную.

    Разумеется, при этом предполагается, что выполнены необходимые базовые технические меры по защите порядка загрузки операционной системы – нет возможности загрузиться с другого носителя и нет доступа к BIOS, то есть гарантируется запуск ОС, в которой запускается корректно установленный и настроенный агент DeviceLock.

  • Что будет, если пользователь сделает скриншоты документа, а потом попытается все это записать на флешку?

    Чтобы сделать скриншот, пользователь использует стандартную функцию Windows PrintScreen и Clipboard (Буфер обмена) Windows. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией Windows, а также сторонними программами, для отдельных пользователей и групп пользователей.

    Чтобы предотвратить использование буфера обмена и скриншоты в том числе – воспользуйтесь функцией контроля буфера обмена.  Политики контроля DeviceLock могут быть настроены для выборочной блокировки и аудита операций передачи данных через системный буфер между различными приложениями (например, из MS Word в MS Excel или в OpenOffice). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных – включая файлы, текстовые данные, графические изображения, аудио-фрагменты (например, записи, сделанные Windows Sound Recorder) и прочих.

  • Можно ли с помощью DeviceLock заблокировать возможность использования смартфонов в качестве модемов?

    Да. Для этого потребуется ограничить доступ пользователей к порту USB, при этом через USB White List разрешать только проверенные устройства, которые не являются смартфонами с возможностью подключения в режиме модема. Если по каким-то причинам такой сценарий неприменим, рекомендуется использовать дополнительный модуль NetworkLock, позволяющий контролировать собственно сетевые коммуникации независимо от типа подключения.

  • Можно ли с помощью DeviceLock DLP заблокировать доступ к определенным сайтам?

    Такой функции в DeviceLock не предусмотрено. Более того, данный способ блокировки нельзя считать надежным, потому что такой вид ограничения даже на уровне провайдера легко обходится использованием онлайн анонимайзера. Мы рекомендуем использовать принцип «наименьших привилегий», при котором пользователям запрещается определенный канал полностью, но разрешается доступ на заданные в Белом Списке сайты/ресурсы.

Установка и администрирование

  • Сколько компьютеров может контролировать один сервер DeviceLock DLP?

    Поскольку сетевой трафик в отличие от многих других DLP-систем контролируется не на сервере, а непосредственно агентом DeviceLock, установленным и функционирующем на рабочем компьютере пользователя, вопрос лишен смысла.

    Для сервера DeviceLock EtherSensor практических ограничений по контролю сетевого трафика нет.

  • Какой максимум пользователей может быть под контролем DeviceLock DLP?

    Благодаря агентской архитектуре продукта DeviceLock Endpoint DLP Suite может контролировать любое количество пользователей. Наиболее крупная инсталляция DeviceLock превышает 71 тысячу компьютеров в одной организации.

  • Есть ли в DeviceLock DLP удаленное (централизованное) управление?

    Да, конечно. Развертывание агентов, управление политиками, обновление и удаление агентов – все эти функции можно выполнять удаленно, в т.ч. централизованно, с помощью консолей DeviceLock. Наиболее мощным и эффективным способом централизованного управления является использование групповых политик домена Windows. Альтернативным способом автоматизированного централизованного управления является использование сервера DeviceLock Enterprise Server.

    Управление сервером DeviceLock EtherSensor выполняется из его собственной консоли управления.

  • Могу ли я установить агент DeviceLock автоматически (без вмешательства пользователя)?

    Да. Запустите установку DeviceLock с параметром "/s" (например, "c:\setup.exe /s"). Более подробно этот процесс описан в документации.

  • Могу ли я установить агент DeviceLock, если у меня нет привилегий администратора?

    Нет. Чтобы установить агент DeviceLock, необходимы привилегии администратора. Если вы собираетесь разворачивать и администрировать DeviceLock по сети, вы также должны иметь привилегии администратора домена. Обратите также внимание на метод управления с использованием сертификатов, описанный в документации.

  • Каковы рекомендованные системные требования для оптимальной работы сервера DeviceLock Enterprise Server?

    Заранее определить, какие именно аппаратные ресурсы будут необходимы невозможно, так как это зависит от нагрузки на сервер (от типа информации, какие файлы и какого объема копируются пользователями, и т.д.), от конфигурации и топологии\технологии сети (звезда, шина, Token Ring\оптоволокно, витая пара), от SQL сервера и других параметров. Какие именно ресурсы потребуются для оптимальной работы машины можно определить только в процессе тестирования конкретного случая.

    Есть возможность уменьшить требования к отдельным системам, распределив нагрузку на несколько компьютеров, как это описано в руководстве пользователя (раздел «Планирование инфраструктуры»). По мере возрастания нагрузки можно наращивать ресурсы. Какой из предложенных там вариантов лучше подойдет для вашей сети, решать только Вам.

    Тем не менее, существует рекомендуемая нагрузка на один DeviceLock Enterprise Server (далее DLES). Она составляет 100-150 агентов (DeviceLock Service), при условии, что в день от общего количества агентов приходит не более 10 ГБ данных (т.е. каждый агент передает в среднем не более 100 МБ данных). При этом скорость передачи данных по сети должна составлять не менее 100 мегабит.

    На компьютере, используемом для установки DLES, должно быть как минимум 1 ГБ оперативной памяти. На этот компьютер не рекомендуется ставить SQL Server. Однако, если по каким-то причинам принято решение об установке DLES и SQL Server на один компьютер, то этот компьютер должен иметь не менее 2 ГБ оперативной памяти, а сервер не должен обслуживать более 100 агентов.

    Рекомендуется хранить данные теневого копирования на диске, а не в базе SQL (для оптимальной работы сервера, хранящего данные в базе SQL, требуется в два раза больше оперативной памяти). 

    Если требуется обработать более 150 агентов, рекомендуется установить второй экземпляр DLES. При этом можно обойтись одним SQL Server, при условии, что он установлен на отдельном компьютере с 2ГБ и более оперативной памяти. В зависимости от нагрузки один SQL Server может обслуживать до 8-10 серверов DLES (до 1000-1500 агентов).

    Для установки DeviceLock Enterprise Server компьютер должен отвечать следующим системным требованиям:

    • Операционная система
      Microsoft Windows Server 2003/2003 R2, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016.
      Установка возможна на 32- и 64-разрядных версиях операционной системы.
    • ОЗУ: минимум 1 ГБ. Рекомендуется 8 ГБ.
    • Свободное место на жестком диске: минимум 1 ГБ. Рекомендуется 800 ГБ (если используется база данных SQL).
    • Процессор: минимум Intel Pentium 4. Рекомендуется 2x Intel Xeon Quad Core 2.33 ГГц.
    • Реляционные СУБД: Microsoft SQL Server Express 2005 или более поздняя версия, SQL Server 2005 или более поздняя версия.
    Если все же предполагается использование одного DLES для работы с большим количеством агентов (например, около 2000), рекомендуется ориентироваться на следующие параметры:
    • аппаратные ресурсы сервера DLES: HDD - 4TB, RAM-32Gb, CPU: 2.2GHz(4 ядра и более), ОС: Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016.
    • Сервер для размещения базы данных (централизованного архива теневых копий и событий) для хранения журналов: HDD - 8TB, RAM-32Gb, CPU: 2.2GHz(4 ядра и более), MSSQL Server 2017.

  • Нужно ли устанавливать агенты DeviceLock на клиентские рабочие станции?

    Именно так, ведь контроль доступа пользователей к устройствам, портам, сетевым протоколам осуществляется непосредственно в момент попытки воспользоваться этими каналами передачи данных. Более того, контроль внешних устройств принципиально невозможен без локальной установки агента. Таким образом, установка агента на клиентские компьютеры является необходимым условием функционирования DLP-комплекса DeviceLock Endpoint DLP Suite.

  • Нужно ли устанавливать агенты на клиентские рабочие станции для контроля сетевых протоколов?

    Компонент NetworkLock, отвечающий за контроль доступа и протоколирование сетевых протоколов, входит в состав агента DeviceLock и соответственно устанавливается на защищаемые компьютеры. Весь контроль доступа пользователей каналам сетевых коммуникаций осуществляется непосредственно в момент попытки воспользоваться этими каналами передачи данных.

    Если же стоит задача пассивного мониторинга сетевого трафика, для ее решения установка агентов не требуется, задача решается сервером DeviceLock EtherSensor. При этом следует иметь в виду, что контроль периферийных устройств и локальных портов и интерфейсов в любом случае обеспечивается агентским модулем.

  • Требуется ли перезагрузка компьютера после установки агента?

    Нет, перезагрузка не требуется.

  • Есть ли поддержка групповых политик (group policy) домена Windows?

    Да. Более того – DeviceLock DLP прозрачно встраивается в групповые политики домена Windows. Это означает развертывание с помощью групповых политик (в том числе автоматическое при включении нового компьютера в домен), передачу политик на защищаемые компьютеры в домене (объекты политик DeviceLock становятся объектами групповых политик), и, наконец, управление DeviceLock посредством консоли, встраиваемой в редактор групповых политик Windows. Агенты могут быть установлены на удаленные компьютеры с уже определенными политиками безопасности (настройками) путем развертывания специально созданного установочного пакета Microsoft Installer (MSI). Такой MSI-пакет создается администратором при помощи стандартной консоли управления DeviceLock. С помощью стандартной оснастки Resultant Set of Policy можно просмотреть применяемые в настоящий момент политики DeviceLock и проверить задаваемый набор политик, который будет применен после его распространения в сети.

    Управление DeviceLock с помощью средств Active Directory является наиболее удобным и эффективным способом для сетей любого масштаба.

  • Обязательно ли интегрировать DeviceLock с Active Directory и управлять системой через домен?

    Нет, данный способ управления системой является оптимальным, но не единственным или обязательным.

    Управление DeviceLock DLP может осуществляться как в доменной сети, так и в сети без домена. Для случаев, когда использование групповых политик домена по каким-либо причинам невозможно или домена попросту нет, роль управляющего сервера DLP-системы может выполнять DeviceLock Enterprise Server (DLES). Для передачи агентам заданных политик (файлов с шаблоном политики) через DLES используется два способа: "push" (принудительная передача политик сервером) и "pull" (запрос обновления политик агентом DeviceLock по заданным условиям или по запросу пользователя на контролируемом компьютере).

    Также предусмотрена дополнительная консоль с собственным интерфейсом - DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами без использования серверного механизма управления, выбирая их напрямую из служб каталогов LDAP (таких как Novell eDirectory, Open LDAP и т.п.).

  • Можно ли установить агент DeviceLock с помощью Microsoft Systems Management Server (SMS)?

    Да. Вы можете использовать спец. файлы (DevLock.pdf для SMS версии 1.x и DevLock.sms для SMS версии 2.0 и выше), поставляемые вместе с DeviceLock в архиве sms.zip.

  • Не конфликтует ли DeviceLock с антивирусами?

    В принципе - нет. Однако, в силу того, что агент DeviceLock (его драйверная часть) функционирует на уровне ядра операционной системы (kernel mode), существует потенциальная возможность конфликта с некоторыми антивирусами. В общем случае мы рекомендуем добавлять исполняемые файлы DeviceLock в число исключений антивирусов.

  • Можно ли установить агент DeviceLock на компьютер под управлением Mac OS X?

    Да, можно. Список поддерживаемых ОС можно посмотреть на странице описания (спецификации) продукта.

    Ограничения: на Mac можно установить исключительно агент DeviceLock Service, консоли и другие компоненты DeviceLock на Mac установлены быть не могут; компоненты ContentLock и NetworkLock на данный момент не поддерживаются в агенте DeviceLock Service для Mac.

  • Какие порты нужно открыть на файерволе для дистанционного администрирования DeviceLock?

    Вы можете настроить DeviceLock на использование фиксированного порта (см. следующий вопрос), упрощая конфигурирование файервола. Если вы хотите использовать файервол для подключения через динамические порты, следуйте нижеприведенным инструкциям. Вам нужно открыть порты с 135 по 139 и все порты выше 1024 для входящих и исходящих соединений:

    • Порт 135 (TCP) - для службы "Remote Procedure Call (RPC)"
    • Порт 137 (UDP) - для службы "NetBIOS Name Service"
    • Порт 138 (UDP) - для "NetBIOS Netlogon and Browsing"
    • Порт 139 (TCP) - для "NetBIOS session (NET USE)"
    • Порты выше 1024 (TCP) - для "RPC Communication"

    DeviceLock работает как любое другое стандартное средство администрирования Windows (например, Event Viewer, Computer Management и т.д.), поэтому если эти программы работают – удаленное администрирование в DeviceLock тоже будет работать.

    Более подробная информация размещена на сайте Майкрософт - База знаний Microsoft.

  • Как настроить агент DeviceLock на использование фиксированного порта для связи с консолями DeviceLock?

    Агент DeviceLock по умолчанию использует для связи с консолями порт 9132 с тем, чтобы облегчить настройку файервола. В том случае, если данный порт был недоступен при установке DeviceLock, выбирается случайный порт.

    Чтобы настроить агент DeviceLock на использование фиксированного порта, необходимо:

    1. Переустановить сервис DeviceLock, задав фиксированный TCP порт в процессе установки,

    2. Либо открыть на компьютере, находящемся под управлением агента DeviceLock, редактор системного реестра и создать следующую запись:

    • Ключ (Key): HKEY_LOCAL_MACHINE\SOFTWARE\SmartLine Vision\DeviceLock
    • Имя (Name): ncacn_ip_tcp[номер порта]
    • Тип (Type): REG_SZ
    • Значение (Value): не используется (может быть пустым)
    • Номер порта - фиксированный номер порта TCP, который будет использоваться для связи между агентом DeviceLock и консолями DeviceLock;

    По назначении порта перезапустите агент DeviceLock с тем, чтобы новые настройки вступили в силу.

    Теперь, чтобы подключиться через консоли DeviceLock к компьютеру, на котором агент DeviceLock был настроен на использование фиксированного порта, после имени компьютера требуется указать заданный номер порта в квадратных скобках, например: имя_компьютера[номер_порта].

    Помните, что при подключении к агенту DeviceLock с использованием фиксированного порта функция удалённой установки/обновления агента становится недоступной, т.е. Вы не сможете установить или обновить агент DeviceLock на удалённом компьютере без использования динамических портов. Также, просмотрщик журнала аудита (Audit Log Viewer) не будет работать в том случае, если порт 139 (TCP) будет закрыт файерволом.

  • Каковы рекомендованные системные требования для оптимальной работы компонентов DeviceLock DLP?

    Ниже представлены системные требования для установки каждой части комплекса DeviceLock DLP.

    Для установки агента DeviceLock компьютер должен отвечать следующим системным требованиям:

    Операционная система для DeviceLock Service для Windows:
    Microsoft Windows NT 4.0 SP6/2000/XP/Vista/7/8/8.1/10 и Windows Server 2003/2003 R2, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016. Установка возможна на 32- и 64-разрядных версиях операционной системы.
    Примечание: На компьютерах, работающих под управлением Windows NT 4.0 с пакетом обновлений 6 (SP 6), должен быть установлен обозреватель Microsoft Internet Explorer версии 4.0 или более поздней.

    Операционная система для DeviceLock Service для Mac Apple OS X 10.6.8 (Snow Leopard), 10.7 (Lion), 10.8 (Mountain Lion), 10.9 (Mavericks), 10.10 (Yosemite), 10.11 (El Capitan), 10.12 (Sierra), 10.13 High Sierra) и 10.14 (Mojave). Поддерживаются 32- и 64- битные ядра.
    ОЗУ: Минимум 512 МБ.
    Свободное место на жестком диске: Минимум 400 МБ.
    Процессор: Минимум Intel Pentium 4.
    Средства виртуализации: Microsoft Remote Desktop Services (RDS), Citrix XenDesktop/XenApp, Citrix XenServer, VMware Horizon View, VMware Workstation, VMware Player, Oracle VM VirtualBox, Windows Virtual PC.

    Для установки консолей управления компьютер должен отвечать следующим минимальным системным требованиям:

    Операционная система: Microsoft Windows 2000/XP/Vista/7/8/8.1/10 и Windows Server 2003/2003 R2, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016. Установка возможна на 32- и 64-разрядных версиях операционной системы.
    Примечание: Для просмотра отчетов - графов связей (Relations Charts) должен быть установлен обозреватель Microsoft Internet Explorer 9 или более поздней версии.
    ОЗУ: Минимум 512 МБ.
    Свободное место на жестком диске: Минимум 1 ГБ.
    Процессор: Минимум Intel Pentium 4.

    Для установки серверов DeviceLock Enterprise Server и DeviceLock Content Security Server компьютер должен отвечать следующим минимальным системным требованиям:
    Операционная система: Microsoft Windows Server 2003/2003 R2, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016. Установка возможна на 32- и 64-разрядных версиях операционной системы.
    ОЗУ Минимум 1 ГБ. Рекомендуется 8 ГБ.
    Свободное место на жестком диске: Минимум 1 ГБ. Рекомендуется 800 ГБ (если используется база данных SQL).
    Процессор: Минимум Intel Pentium 4. Рекомендуется: 2x Intel Xeon Quad Core 2.33 ГГц.
    Реляционные СУБД: Microsoft SQL Server Express 2005 или более поздняя версия, SQL Server 2005 или более поздняя версия.

    Дополнительные минимальные системные требования для агентов Discovery
    Операционная система: Microsoft Windows 2000/XP/Vista/7/8/8.1/10 и Windows Server 2003/2003 R2, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016. Установка возможна на 32- и 64-разрядных версиях операционной системы.
    ОЗУ: Минимум 512 MB.
    Свободное место на жестком диске: Минимум 200 MB.
    Процессор: Минимум Intel Pentium 4.
    Для использования одного DLES для работы с большим количеством агентов (например, около 2000), рекомендуется ориентироваться на следующие параметры:

    • аппаратные ресурсы сервера DLES: HDD - 4TB, RAM - 32Gb, CPU - 2.2GHz(4 ядра и более), ОС: Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016.
    • Сервер для размещения базы данных (централизованного архива теневых копий и событий) для хранения журналов: HDD - 8TB, RAM-32Gb, CPU: 2.2GHz(4 ядра и более), MSSQL Server 2017.

  • Что понадобится для работы DeviceLock EtherSensor?

    Требования к аппаратным ресурсам весьма скромны благодаря хорошо проработанным решениям внутренних фундаментальных задач (например, используются собственные технологии перехвата трафика, реконструкции TCP-сессий и высокопроизводительного межпроцессного взаимодействия). Тем не менее, они зависят от планируемых к обработке потоков трафика.

    Требуемые версии ОС: Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016.

    Аппаратные требования для контроля трафика от 1000 пользователей: HDD – 2х150GB, RAM - 8Gb, CPU - 1.7GHz (4 ядра), NIC – 4х1Gbps.

    Для определения состава оборудования в других условиях, пожалуйста, сверьтесь с соответствующим разделом Руководства пользователя.

  • Понадобится ли дополнительно адаптировать сеть под DeviceLock EtherSensor?

    Сервер DeviceLock EtherSensor получает трафик пассивно, поэтому никак не воздействует на сетевую инфраструктуру и не требует её изменений. Единственное, что понадобится, это завести копию сетевого трафика на EtherSensor (например, с помощью зеркалирования трафика или ответвителя)..

  • Как мне установить или обновить компоненты DeviceLock DLP?

    Рекомендуется начинать установку/обновление комплекса с серверной части DeviceLock и Консолей управления файлом Setup.exe из пакета установки. В случае обновления на более новую версию - путём установки новой версии поверх старой, чтобы сохранить предыдущую конфигурацию и настройки.

    После этого производится установка или обновление агентов DeviceLock на защищаемых компьютерах любым из следующих способом:

    • на каждом компьютере индивидуально при подключении новой консолью DL Management Console;
    • на множестве выбранных компьютеров плагином “Установка Сервиса” в консоли DL Enterprise Manager;
    • на множестве выбранных компьютеров или в выбранной организационной единице (OU) AD/LDAP с помощью Задачи Мониторинга DeviceLock Enterprise Server;
    • на множестве машин, в выбранной OU или на весь домен через групповую политику AD.

  • Можно ли реализовать интеграцию DeviceLock DLP с каким-либо SIEM решением?

    DeviceLock поддерживает стандарт отправки и регистраций сообщений SYSLOG.

    Протокол SYSLOG может быть использован как средство доставки событий протоколирования (Аудита) и тревожных оповещений DeviceLock на сервер SYSLOG (например, SIEM-системы и другие приложения третьих сторон).

    Кроме того, обратите внимание на поддержку DeviceLock протокола SNMP, который также может быть использован как транспорт доставки служебных сообщений в SIEM-систему.

  • Где мне посмотреть количество использованных лицензий?

    Количество использованных лицензий можно посмотреть в окне параметра «Лицензии DeviceLock» в настройках DeviceLock Enterprise Server.

  • Как мне посмотреть, на каких компьютерах установлен DeviceLock Agent и какой версии?

    Для анализа установленных Агентов и их версий предусмотрены специальные отчеты - DeviceLock Service Versions и DeviceLock Service by computers.

    Кроме того, использование Задач Мониторинга в DeviceLock Enterprise Server позволяет выявлять и контролировать на регулярной основе, на каких машинах установлен DeviceLock Agent, какой версии и соответствуют ли настройки Агента эталонным, заданным в настройках самой Задачи.

  • Почему при просмотре информации о Лицензии в программе, говорится, что это «Демонстрационная версия», хотя лицензии установлены.

    Скорее всего, сообщение выглядит следующим образом «У Вас установлено 0 действующих Mac-лицензий. Лицензионный статус: Демонстрационная версия, осталось X дней.» В этом случае игнорируйте предупреждение о демонстрационном периоде для Mac, если Mac-лицензии не приобретались. Если же лицензии на DeviceLock Service для Mac приобретались и установлены, обратитесь в службу технической поддержки.

  • Я установил лицензии на дополнительные модули NetworkLock/ContentLock, но мне все равно выдается сообщение «У Вас нет лицензии на данный функционал. Необходимо приобрести лицензию NetworkLock/ContentLock».

    Количество лицензий ContentLock и/или NetworkLock должно быть больше или равно количеству лицензий базового компонента комплекса DeviceLock Base, в противном случае соответствующий функциональный компонент будет считаться нелицензированным.

Возможные проблемы и их решение

  • Я изучил все Руководство пользователя, прочитал весь FAQ, но не нашел нужного мне ответа. Что делать?

    Кроме Руководства пользователя и документа «Часто задаваемые вопросы», искомый ответ можно найти так:

  • Есть ли у Вас база знаний наиболее распространенных проблем?

    Да, есть: https://www.devicelock.com/ru/support/kb.html. База знаний постоянно пополняется специалистами службы технической поддержки на основе обращений пользователей. Мы настоятельно рекомендуем использовать поиск по Базе знаний, прежде чем обратиться с вопросом в службу технической поддержки – весьма вероятно, что ваш вопрос уже ранее кем-то задавался.

  • Возникает ошибка 1722 ("The RPC Server is unavailable") при попытке подключения к компьютеру.

    Ошибка 1722 означает, что консоль управления DeviceLock не может подключиться к DeviceLock Service на сетевом компьютере. Есть несколько возможных причин:

    • сетевой компьютер не существует в сети (имя компьютера или его IP адрес введены неправильно, или этот компьютер был недавно выключен);
    • сетевой компьютер не работает под управлением Windows NT 4.0/2000/XP/Vista/7/8/10 и DeviceLock Service не может быть установлен на этот компьютер;
    • сетевой компьютер находится за брандмауэром, который не был правильно настроен;

  • Возникает ошибка 1747 ("The authentication service is unknown") при попытке подключения к компьютеру.

    Ошибка 1747 происходит, когда не установлена опция "Client for Microsoft Networks". Установите опцию "Client for Microsoft Networks", чтобы решить данную проблему. Более подробная информация о настройке клиента для сетей Microsoft на сайте Майкрософт - Библиотека TechNet.

    Также на компьютерах с Windows NT 4.0 может быть неправильно сконфигурирована служба "RPC Security Service Provider". Откройте "Network" в панели управления, выберите закладку "Services", выделите запись "RPC Configuration" из списка "Network Services" и нажмите кнопку "Properties...". Затем в диалоге "RPC Configuration" установите "Security Service Provider" в положение "Windows NT Security Service".

  • Возникает ошибка 1748 ("The authentication level is unknown") при попытке подключения к компьютеру.

    По умолчанию DeviceLock использует наивысший уровень аутентификации (передаваемые данные шифруются, проверяется подлинность источников данных, а также проверяется целостность данных, передаваемых между консолями управления и DeviceLock Service). Тем не менее, компьютер, на котором вы запускаете консоли управления, может не поддерживать этот уровень аутентификации и вам придется его понизить. Запустите редактор реестра (regedit.exe) и создайте параметр "SecurityLevel" (типа DWORD) в ключе "HKEY_CURRENT_USER\Software\SmartLine Vision\DLManager\Manager", измените значение этого параметра на 5 (1 - означает низший уровень, 6 - означает наивысший уровень), затем перезапустите консоль управления DeviceLock.

  • Возникает ошибка 1825 ("A security package specific error occurred") при попытке подключения к компьютеру.

    Ошибка 1825 похожа на ошибку 1747, поэтому смотрите соответствующий вопрос выше.

  • Я заблокировал с помощью функции Basic IP Firewall подключение к определенному сайту, но он все равно доступен.

    Функция IP Firewall позволяет управлять сетевым трафиком, который не охватывается списком контролируемых протоколов NetworkLock (Http, FTP, Social Network, WebMail, ICQ и другие из раздела Протоколы) и не разрешен списком Protocols White List. К числу такого трафика относятся, например, подключения по Team Viewer.

  • Что делать, если при настройке разрешений протоколов перестают открываться некоторые HTTPS сайты?

    DeviceLock DLP использует свой собственный сертификат для обработки трафика SSL, в то время как некоторые приложения или веб-сайты используют жёстко заданный (встроенный) собственный сертификат. Чтобы решить эту проблему, необходимо добавить URL адреса проблемных сайтов в Белый список для протокола SSL.

  • Я включил параметр «Затирать файлы старше чем (дней)» в настройках квоты, но в журнале Теневого Копирования по-прежнему есть файлы более старой даты.

    Автоматическое удаление старых данных происходит только при переполнении квоты, заданной для локального хранилища DeviceLock Агента. Если объем локального хранилища DeviceLock Агента еще не достиг максимально допустимого значения, то все данные остаются в хранилище вплоть до этого момента.

    Обратите также внимание на возможность задать предельный срок хранения записей в журналах серверов DeviceLock Enterprise Server и DeviceLock Content Security Server независимо от количества записей в журналах.

  • Почему в теневое копирование попадают не все файлы, а только некоторые?

    Если в текущих настройках DeviceLock для определённого канала передачи данных заданы контентные правила на теневое копирование, то теневые копии будут создаваться и сохраняться только для файлов, которые удовлетворяют условиям действующих контентных правил. Для всех остальных файлов, не совпадающих с условиями контентных правил, теневые копии создаваться не будут.

Приобретение, лицензирование и поддержка DeviceLock DLP. Сотрудничество с АО «Смарт Лайн Инк».

Выбор и внедрение продукта

  • Включен ли DeviceLock DLP в единый реестр российского программного обеспечения?

    Да, программный комплекс DeviceLock DLP включен в единый реестр российских программ для электронных вычислительных машин и баз данных в классе средств обеспечения информационной безопасности приказом №421 министра Минкомсвязи от 16 августа 2017 г. на основании решения Экспертного совета по российскому программному обеспечению при Министерстве связи и массовых коммуникаций РФ от 14 августа 2017 года. Более подробно можно прочитать на этой странице: https://www.devicelock.com/ru/certified.html.

  • Можно ли применять DeviceLock DLP в рамках проектов по 152-ФЗ «О персональных данных»?

    Да, можно. Но следует понимать, что ни одна DLP-система не может полностью покрыть требования Федерального Закона 152-ФЗ, а только позволяет обеспечить удовлетворение части этих требований. Более подробно можно прочитать в этой статье: DeviceLock для соответствия ФЗ "О персональных данных".

  • Является ли сертификация для DLP-решений обязательной? Если да, то какие это сертификаты?

    Для большей части организаций нет обязательного требования использовать сертифицированные программные продукты, в том числе продукты информационной безопасности. Для ряда государственных организаций такое требование является обязательным.

    Также присутствует зависимость от отдельных функций, реализованных в DLP-системе. Так, наличие собственного криптографического модуля подразумевает наличие сертификатов ФСТЭК или ФСБ России на используемые шифровальные алгоритмы и решения в зависимости от условий применения продукта.

    Что касается DeviceLock DLP - Программный комплекс DeviceLock DLP 8, включающий в себя компоненты DeviceLock, NetworkLock, ContentLock, DeviceLock Search Server (DLSS) и DeviceLock Discovery Server, имеет действующий сертификат соответствия ФСТЭК России № 3465 от 05.11.2015 г. Программный комплекс соответствует требованиям документов «Требования к средствам контроля съемных машинных носителей информации, ФСТЭК России», утверждённых Приказом ФСТЭК России от 28 июля 2014 г. N 87 - по 4 классу защиты и «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты (ИТ.СКН.П4.ПЗ)» (ФСТЭК России, 2014), руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999).

    Программный комплекс может использоваться в составе АС до класса защищенности 1Г и информационных системах персональных данных (ИСПДн), государственных информационных системах (ГИС), автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды до 1 класса (уровня) защищенности включительно.

    Более подробно можно прочитать здесь.

    Просим иметь в виду, что пользователи сертифицированной версии не имеют возможности получать обновления продукта в рамках годичной технической поддержки – процесс сертификации весьма длительный по независящим от нас причинам, что существенно ограничивает нас в возможности выпуска обновлений сертифицированной версии, учитывая, что инспекционному контролю подлежит любое обновление

  • Выбираем DLP-решение и хотим протестировать ваш продукт. Как его можно получить?

    Мы используем принцип прозрачного продвижения продукта. Чтобы самостоятельно исследовать возможность DeviceLock DLP и убедиться в соответствии заявленных функций и возможностей, вам достаточно бесплатно скачать его с нашего веб-сайта здесь.

    В состав дистрибутива уже входит триальная (пробная) лицензия, не накладывающая ограничений на функциональные возможности продукта. Ограничены только срок тестирования (1 месяц) и объем (2 компьютера).

    Обратите внимание, что все компоненты DeviceLock DLP входят в состав дистрибуционного пакета, отдельно ни один компонент скачать нельзя. При установке вы сможете выбрать нужные компоненты.

    Исключением из описанного выше принципа полнофункционального тестирования является только сервер DeviceLock EtherSensor. Данный продукт предлагается в демонстрационной версии DeviceLock EtherSensor PCAP Edition, которая предназначена для первичного самостоятельного ознакомления с функциональными возможностями DeviceLock EtherSensor. DeviceLock EtherSensor PCAP Edition полностью повторяет функциональность полной версии за исключением источников данных: она работает только с PCAP-файлами как источниками трафика. Примеры PCAP-файлов прилагаются. Также демо-версия DeviceLock EtherSensor может использоваться для автономного тестирования и отладки фильтров, правил и детекторов DeviceLock EtherSensor до внесения изменений в конфигурацию рабочей версии продукта.

    Скачать демонстрационную версию DeviceLock EtherSensor можно с нашего веб-сайта здесь.

  • У кого можно получить ответы на разные вопросы по DeviceLock DLP?

    Мы всегда готовы дать любые ответы по возможностям продукта и нюансам его эксплуатации. Вы можете задать вопрос в службу технической поддержки, или оставить обращение на нашем сайте или направив письмо на support (at) devicelock.com, чтобы мы связались с вами.

    Кроме того, на нашем сайте опубликованы Руководство пользователя и другие материалы.

  • Где можно скачать или посмотреть материалы по DeviceLock DLP?

    Все материалы по DeviceLock DLP, включая подробную документацию, видео-руководство, базу знаний, различные статьи и сам продукт, находятся в открытом бесплатном доступе на нашем вебсайте https://www.devicelock.com/ru. Если этого окажется недостаточно, вы всегда можете обратиться к нам, и мы ответим на любые ваши вопросы.

  • Какие ограничения предусмотрены в демонстрационной версии?

    Демонстрационная версия DeviceLock DLP работает только 30 дней с момента установки, а также периодически выводит напоминания о необходимости регистрации. Допускается управление только двумя агентами DeviceLock. В остальном демонстрационная версия полностью функциональна и позволяет оценить все возможности продукта.

    Демонстрационная версия DeviceLock EtherSensor PCAP Edition полностью повторяет функциональность полной версии DeviceLock EtherSensor за исключением источников данных: она работает только с PCAP-файлами как источниками трафика.

  • Можно ли организовать «живую» или онлайн-презентацию для руководства и специалистов компании?

    Да, конечно. Пожалуйста, свяжитесь с нашим отделом продаж, чтобы обсудить этот вопрос.

  • Возможен ли пилотный проект?

    Да. Вы можете воспользоваться услугами специалистов нашей компании для проведения пилотного проекта.

    Пожалуйста, свяжитесь с нами, если вас интересует пилотное внедрение.

  • Возможно ли внедрение DeviceLock DLP «под ключ» вашими специалистами?

    Да. Проекты по внедрению систем защиты от утечек данных (DLP) относятся к сложным инжиниринговым задачам и гораздо сложнее, чем проекты по внедрению систем защиты внешнего периметра, антивирусной защиты и т.д. В основе функционирующих DLP-систем лежат не только технические решения, но и базовые процессы и подходы по защите конфиденциальных и других данных ограниченного доступа. Это означает, что помимо грамотного подхода к использованию технологических возможностей DLP-системы требуется формирование внутренней правовой и организационной основы. Таковая документация должна включать в себя определение видов информации ограниченного доступа, определение допустимости использования различных средств хранения и каналов передачи информации для различных групп сотрудников, идентификацию авторизованного персонала, определение регламентов работы с документами и данными и принципов их распространения, определение бизнес-процессов по взаимодействию между различными подразделениями компании в вопросах менеджмента информационной безопасности и инцидентов ИБ, например, ИТ-подразделениями, службой информационной безопасности и бизнес-подразделениями. Соответственно, требуется детальный анализ информационных активов и связей между ними.

    Как показывает практика, наиболее эффективные проекты внедрения DLP-систем осуществлялись специалистами вендоров и/или интеграторов при условии тесного сотрудничества с собственными специалистами компании. Наша практика включает ряд успешно выполненных проектов по внедрению DeviceLock DLP.

    Пожалуйста, свяжитесь с нами, если вас интересует консалтинг, внедрение DeviceLock DLP, расширенная техническая поддержка и другие вопросы из области профессиональных услуг.

  • Сколько времени обычно требуется на внедрение DLP-системы DeviceLock?

    Однозначного ответа на этот вопрос не существует, поскольку все зависит от следующих условий:

    • Наличие собственных квалифицированных специалистов и достаточного времени для выполнения работ по анализу, проектированию, развертыванию и поддержке DLP в состоянии, актуальном для текущих угроз ИБ в компании;
    • Степени подготовленности компании к внедрению DLP-системы: наличие регламентирующих документов, готовность технических специалистов (администраторов и службы ИБ) к внедрению, наличие выделенных серверов для хранения баз данных событийного протоколирования (аудита) и теневого копирования;
    • Уровня понимания целей и задач, которые ставятся перед DLP-системой.

    При выполнении всех вышеперечисленных условий внедрение может занять буквально несколько дней. Наиболее трудозатратной и длительной частью внедрения всегда является аналитическая и проектная часть. На практике внедрения DeviceLock DLP силами специалистов Смарт Лайн Инк в крупных организациях анализ и разработка проектно-эксплуатационной документации, а также DLP-политик, занимает от одного-двух месяцев, а процесс развертывания, настройки системы и запуска в эксплуатацию – не более недели.

Приобретение и лицензирование DeviceLock

  • Как купить DeviceLock DLP?

    Проще всего купить программу, обратившись к нам напрямую.

    Кроме того, DeviceLock можно приобрести через наших официальных партнеров.

  • Можно ли приобрести DeviceLock напрямую?

    Да, можно. Для этого, пожалуйста, свяжитесь с нашим отделом продаж или направьте запрос в Службу технической поддержки, или через соответствующую форму, чтобы мы связались с вами позднее. Могу я получить счет-фактуру и другие документы, необходимые для юридических лиц? Да, конечно. Мы предоставляем все необходимые документы для бухгалтерии.

  • Есть ли особые условия по переходу с продуктов-конкурентов?

    Да. Пожалуйста, свяжитесь с нами, и специалисты отдела продаж предоставят максимально полную информацию по действующим предложениям.

  • Как считаются и сколько стоят лицензии на DeviceLock?

    Компоненты агента DeviceLock лицензируются раздельно, на основе базового компонента DeviceLock. Одна лицензия (Single-лицензия) DeviceLock дает право устанавливать и использовать компонент DeviceLock только на одном компьютере. Чтобы установить и использовать DeviceLock на большем количестве компьютеров, необходимо приобрести соответствующее количество лицензий. ВАЖНО: Для NetworkLock и ContentLock также необходима лицензия на основной DeviceLock. Количество лицензий ContentLock и NetworkLock должно быть таким же, как и основного DeviceLock.

    Лицензирование компонента DeviceLock Search Server несколько отличается: лицензия Search Server 50K позволяет поисковому серверу (DeviceLock Search Server в составе DeviceLock Content Security Server) индексировать (и искать) до 50000 документов из журналов теневого копирования, и до 250000 записей из каждого другого журнала. Чтобы индексировать (и искать) большее количество документов и/или записей, необходимо приобрести соответствующее количество лицензий.

    Важно: консоли управления и компонент DeviceLock Enterprise Server НЕ лицензируются, их можно устанавливать и использовать в любом количестве.

    DeviceLock Discovery лицензируется независимо от остальных компонентов DeviceLock DLP. Лицензия требуется для каждой цели (компьютера или сетевого устройства), которые будут сканироваться DeviceLock Discovery, независимо от того, будет ли сканироваться компьютер в целом или отдельная папка.

    Лицензирование DeviceLock EtherSensor основано на принципе максимального количества пользователей, трафик от которых контролируется сервером DeviceLock EtherSensor. Цены указаны на нашем сайте. По всем вопросам, связанным с приобретением лицензий на DeviceLock DLP и политике ценообразования просим обращаться в наш отдел продаж.

  • Я купил одну Single-лицензию DeviceLock, могу я использовать DeviceLock для защиты всех компьютеров?

    Одна Single-лицензия на компонент DeviceLock дает вам право использовать DeviceLock для защиты только одного компьютера. Если вы хотите использовать DeviceLock для защиты нескольких компьютеров, необходимо приобрести соответствующее количество лицензий. Помните, что модули ContentLock и NetworkLock лицензируются отдельно и требуют наличия лицензии на основной DeviceLock. Количество лицензий ContentLock и/или NetworkLock должно быть таким же, как и основного DeviceLock. Предусмотрена прогрессирующая скидка в зависимости от числа приобретаемых лицензий.

  • В чем смысл раздельного лицензирования компонентов DeviceLock DLP?

    Выборочное лицензирование модулей позволяет оптимальным образом удовлетворить требования организаций по защите от утечек данных с пользовательских компьютеров и серверов корпоративных информационных сетей и минимизировать расходы на приобретение и эксплуатацию DLP-решений. Опционально лицензируемые компоненты ContentLock, NetworkLock и DLSS могут приобретаться дополнительно к DeviceLock и независимо друг от друга, что обеспечивает пользователям поэтапное и экономное расширение функциональных возможностей DLP-решения в соответствии с ростом их потребностей. Поскольку инсталляционный пакет DeviceLock DLP включает все компоненты комплекса, активация опциональных лицензий не требует переустановки каких-либо его частей.

  • Как лицензируются и сколько стоят консоли управления и серверная часть DeviceLock?

    Все консоли управления DeviceLock, а также серверный компонент DeviceLock Enterprise Server НЕ лицензируются, вы можете использовать их в любом количестве.

    Лицензируются только компоненты агента DeviceLock DLP (DeviceLock, NetworkLock, ContentLock), серверы DeviceLock Discovery и DeviceLock Search Server, а также DeviceLock EtherSensor.

    Обратите внимание, что все компоненты DeviceLock DLP входят в состав дистрибутивного пакета, отдельно ни один компонент скачать нельзя, исключением является только DeviceLock EtherSensor. Далее уже при установке вы сможете выбрать нужные компоненты.

  • Обязательно ли приобретать сервер СУБД MS SQL Server и можно ли купить его у вас?

    Если не планируется накапливать базу данных аудита и теневого копирования, превышающую 4 Гб (или 10 Гб, если используется SQL Server 2008 R2 и новее), можно использовать бесплатную версию СУБД MS SQL Express. Он скачивается с сайта компании Microsoft: https://www.microsoft.com/ru-ru/sql-server/sql-server-editions-express.

    Если же заранее известно, что база данных аудита и теневого копирования будет превышать 4 (10) Гб, потребуется использовать полновесную версию SQL Server (https://www.microsoft.com/ru-ru/sql-server/sql-server-2017-editions).

    АО «Смарт Лайн Инк» не занимается реализацией продуктов третьих сторон, и приобрести MS SQL Server у нас невозможно.

  • Должен ли я покупать новую лицензию, когда выходит новая версия или обновление программы?

    Нет. Когда вы покупаете лицензию (любого типа), вы автоматически приобретаете право на все обновления программы, выпущенные в течение одного года с даты покупки.

Сотрудничество с АО «Смарт Лайн Инк»

  • К кому можно обратиться за консультациями по вопросам установления партнерских отношений?

    За консультациями можно обратиться в отдел продаж. Условия партнерства описаны в Партнерской программе и опубликованы на нашем сайте.

  • Что надо сделать, чтобы стать партнером АО «Смарт Лайн Инк»?

    Условия партнерства описаны в Партнерской программе и опубликованы на нашем сайте.

  • Где можно скачать маркетинговые материалы по DeviceLock DLP?

    Базовые материалы можно скачать на нашем вебсайте https://www.devicelock.com/ru/. Если необходимы какие-то нестандартные и дополнительные материалы, вы всегда можете обратиться к нам, и мы постараемся помочь.

Техническая поддержка

  • Куда обратиться с техническим вопросом?

    Прежде всего мы настоятельно рекомендуем ознакомиться с Руководством пользователя, видео-руководством и Базой знаний – скорее всего, на ваш вопрос уже есть ответ в каком-то из этих материалов.

    Если же вам необходима консультация специалиста, или вы столкнулись с какого-либо рода проблемой, просим обращаться в Службу технической поддержки.

  • Как ускорить ответ специалиста техподдержки?

    Служба технической поддержки работает в строгом соответствии с Положением о технической поддержке DeviceLock для стран СНГ и Балтии.

    Чтобы ваше обращение было рассмотрено как можно быстрее, при обращении в службу технической поддержки не забудьте указать следующие данные:

    • Название продукта (лицензированные компоненты)
    • Версия продукта (из диалога "About")
    • Ваш регистрационный номер (зарегистрированные пользователи имеют приоритет!)
    • Версия Windows (включая обновления)
    • Информация о вашем компьютере: процессор, память и т.д.
    • Описание проблемы (как можно подробнее, подробное описание последовательности шагов для воспроизведения проблемы в нашей тестовой лаборатории имеет огромное значение).

    Кроме того, возможна расширенная (премиальная) техническая поддержка, позволяющая получить наивысший приоритет в решении вопросов и проблем и дополнительные формы технической поддержки. Пожалуйста, свяжитесь с нами по телефону +7 495 647-9937 или по электронной почте ru.sales (at) devicelock.com, если вас интересует расширенная поддержка DeviceLock DLP.

  • В течение какого времени можно ждать ответа на запрос в техподдержку?

    Это напрямую зависит от сложности проблемы и уровня технической поддержки, оказываемой конкретной организации.

    На практике обращения в техническую поддержку рассматриваются не долее нескольких рабочих часов. При этом стоит помнить, что здесь речь идет об ответе, а не о решении проблемы. Не всегда возможно решить проблему сразу же после получения вопроса — иногда требуется дополнительная диагностика.

  • Где скачать последнюю версию?

    Последняя версия DeviceLock DLP всегда открыто доступна на нашем вебсайте в разделе «Загрузить». Если по каким-то причинам вам необходима более ранняя версия, обратитесь, пожалуйста, в Службу технической поддержки.

  • Где можно скачать руководства по администрированию DeviceLock DLP?

    Вся документация по DeviceLock, включающая Руководство пользователя, видео-руководство, Базу знаний и ряд других вспомогательных руководств и статей, всегда открыто доступна на нашем вебсайте:

  • Есть ли техническая поддержка через по телефону?

    Стандартная техническая поддержка, входящая в стоимость лицензии на ПО, не включает в себя опцию техподдержки по телефону.

    В рамках расширенной технической поддержки мы оказываем поддержку по телефону, через службы мгновенных сообщений и по другим удобным для пользователя каналам.

    При этом следует иметь в виду, что телефонная (голосовая) техническая поддержка позволяет получить только ответы на вопросы консультационного характера или обеспечить быструю реакцию сотрудников технической поддержки. К сожалению, решить проблемы по телефону практически во всех случаях невозможно – хотя бы потому, что невозможно по телефону продиктовать дамп системы или полный перечень настроек в DLP-политике. Кроме того, в задачи службы технической поддержки не входят вопросы консалтинга и проектирования систем или DLP-политик, это относится к области профессиональных услуг.

  • Есть ли техническая поддержка через форум?

    Нет, формат форумного общения не предполагает оказания услуг технической поддержки. Мы используем форум в качестве инструмента общения с нашими пользователями в неформальном русле и приветствуем общение пользователей между собой.

    Мы полагаем, что решение частных вопросов любой организации должно оставаться между пользователем и разработчиком, а не выноситься наружу на открытые ресурсы типа форума. Нельзя забывать, что DeviceLock DLP относится к продуктам, обеспечивающим информационную безопасность компаний.

  • Есть ли русскоязычная техническая поддержка?

    Да, Служба технической поддержки DeviceLock размещена в Москве, и все ее сотрудники являются носителями русского языка и напрямую взаимодействуют с разработчиками внутри одного офиса.

  • Как лучше всего обратиться в техническую поддержку?

    Вы можете проконсультироваться у специалистов службы технической поддержки, оставив обращение на нашем сайте или направив письмо на support@devicelock.com. Но в силу того, что мы не можем гарантировать доставку электронной почты через ряд не зависящих от нас узлов, мы рекомендуем пользоваться системой обращений (online helpdesk) на нашем сайте. Это гарантирует доставку обращения экспертам технической поддержки и оперативное реагирование на запросы.

  • Можно ли консультироваться со службой технической поддержки до приобретения DeviceLock?

    Формально техническая поддержка начинает действовать с момента приобретения лицензий. Тем не менее мы придерживаемся принципов открытого продвижения продуктов и никогда не отказываем в консультациях на любых этапах сотрудничества.

  • Нужно ли платить за техническую поддержку?

    Базовая техническая поддержка и право на обновление DeviceLock предоставляется бесплатно всем зарегистрированным пользователям в течение 1 года с момента приобретения лицензий. Если вас интересует расширенная техническая поддержка, позволяющая получить наивысший приоритет в решении вопросов и проблем и другие опции поддержки, свяжитесь с нами.

  • Можно ли получить круглосуточную техническую поддержку в режиме «24 на 7»?

    Да, в рамках расширенной технической поддержки. Если вас интересует расширенная техническая поддержка, позволяющая получить круглосуточное реагирование наших специалистов, наивысший приоритет в решении вопросов и проблем, а также другие опции поддержки, свяжитесь с нами.