Обзор российских DLP-систем

1. Введение
2. Основные критерии
3. Расширенные критерии
4. Выводы

Введение

В последние годы мы стали свидетелями кардинальных изменений в российской отрасли кибербезопасности - и государство, и бизнес, и граждане осознали важность киберустойчивости информационной инфраструктуры, использования доверенного отечественного ПО, надежности и безопасности обрабатываемых данных. В эпоху цифровизации, государственного регулирования киберпространства, применения облачных технологий, использования больших данных и ИИ актуальной задачей остаётся защита данных от утечек. При этом безопасность персональных данных граждан является ключевой, но не единственной задачей, поскольку перевод большинства государственных и коммерческих процессов в «цифру» создал предпосылки для реализации сложных продуманных кибератак с целью кибердиверсий, кибершпионажа и хищения ценных данных мотивированными и организованными злоумышленниками, действия которых могут координироваться спецслужбами отдельных стран-участниц текущего геополитического конфликта.

Статистика утечек персональных данных остаётся пугающей: в 2024 году Роскомнадзор выявил 135 утечек, в которых содержались более 710 млн записей о гражданах, а на конец октября 2025 года ведомством зафиксировано всего 103 утечки на 50 млн записей, хотя некоторые ИБ-игроки напротив заявляют о кратном росте общего объема утекших данных. Недавние законодательные изменения - существенное повышение штрафов за нарушения при обработке персональных данных, оборотные штрафы за утечки, уголовная ответственность - привели к закрытию части различных публичных сервисов по «пробиву» и к увеличению стоимости таких нелегальных услуг, а также к аресту владельца одного из телеграм-ботов для «пробива» как раз по новой статье 272.1 УК РФ. В результате кражи данных бизнес теряет не только деньги (средний ущерб российской компании от утечки может составлять 11,5 млн рублей), но и свою репутацию - по различным исследованиям, 56% опрошенных перестают доверять компании, допустившей утечку, а 26% вовсе отказываются от её услуг.

Утечки данных являются общемировой проблемой: по оценкам исследовательской организации Ponemon Institute, в 2024 году средний годовой ущерб от действий инсайдеров составил 17,4 млн долларов для компаний во всем мире, при этом прослеживается чёткая тенденция на рост ущерба (в 2018 году он составлял «всего» 8,3 млн долларов), а в среднем компании сталкиваются с инсайдерскими инцидентами 22 раза в год. В отчете Ponemon Institute учитывались инциденты утечек аккаунтов, персональных данных, исходного кода ПО, интеллектуальной собственности, финансовой и платежной информации, произошедшие по вине трёх групп лиц: халатных/невнимательных работников, целенаправленных нарушителей, а также невольных инсайдеров, чьи учетные данные использовались для кражи данных в рамках кибератак. В отчете компании Mimecast указано, что средний ущерб от одного инцидента, реализованного инсайдером, может достигать 15 млн долларов, а среднее ежемесячное количество таких инцидентов в американских компаниях выросло более чем на четверть по сравнению с 2021 годом. В отчете американской некоммерческой организации ITRC, помогающей жертвам кражи цифровой личности (Identity Theft), учтены почти 3200 случаев компрометации данных граждан США за 2024 год, а каждому взрослому американцу было отправлено в среднем шесть уведомлений об инцидентах с его данными в течение года.

В зарубежных отчетах часто фигурирует термин «data breach», который означает не только утечку, но и любое нарушение обработки данных, т.е. несанкционированный доступ к ним - например, шифрование данных вирусом-вымогателем или передачу информации контрагенту без согласия субъектов персональных данных. Так, в отчете IBM «Cost of a Data Breach» за 2025 год указывается, что средний уровень ущерба от одного нарушения обработки данных оставляет 4,44 млн долларов, при этом цифра немного снизилась по сравнению с 2024 годом (4,88 млн долларов) и опустилась почти до уровня 2023 года (4,45 млн долларов), но в целом прослеживается долгосрочный тренд на рост стоимости последствий таких инцидентов. Мировая статистика уплаты штрафов за нарушения обработки данных из того же отчета IBM говорит о том, что 32% утечек привели к штрафным санкциям в отношении компаний, а сумма почти половины штрафов была выше 100 тыс. долларов. Если же брать статистику по нарушениям европейских норм GDPR («Общий регламент о защите данных»), то к концу 2025 года общая сумма штрафов за нарушения в области персональных данных приблизилась к 7 миллиардам евро, при этом общее число штрафов достигло почти 2700, а рекордной единоразовой штрафной выплатой стали умопомрачительные 1,2 млрд евро. В России примененные штрафные санкции значительно слабее: в 2024 году общая сумма штрафов составила всего 2 млн рублей, а по состоянию на октябрь 2025 года оборотные штрафы за утечки персональных данных не применялись ни разу. При этом суммы ущерба от кибермошенничества, при реализации которого зачастую используются утекшие данные граждан, поражают: в 2024 году ущерб составил 200 млрд рублей, в одной лишь Москве за первую половину 2025 года ущерб от киберпреступлений составил 34 млрд рублей, а прогнозируемый объем хищений за весь 2025 год может превысить 330 млрд рублей.

Масштабные утечки персональных данных вызывают широкий общественный резонанс, наносят ущерб репутации атакованных компаний и грозят штрафами, а также могут приводить к дальнейшим атакам и кибермошенничеству с использованием полученных о гражданах сведений. Такие атаки реализуются хактивистами, которые выкладывают похищенную информацию в общий доступ и раздувают утечку в СМИ для дестабилизации обстановки и подрыва доверия населения к цифровым сервисам. Другие злоумышленники действуют иначе: финансово мотивированные киберпреступники похищают и шифруют данные и требуют у компаний выкуп за их неразглашение и расшифрование, а кибершпионы и проправительственные хакеры стараются скрытно эксфильтровывать самые ценные данные, включая интеллектуальную собственность и последние разработки, незаметно находясь в скомпрометированной инфраструктуре в течение длительного времени.

Осознавая указанные риски (штрафы, ущерб репутации, финансовые потери) и эволюцию технологий (облака и ИИ, гибридная/удаленная работа, использование личных устройства), компании в последние годы обратили повышенное внимание на решения для предотвращения утечек данных, а также на сопутствующие услуги, включая аудит информационных систем обработки персональных данных. Первые зарубежные решения класса DLP (Data Loss/Leak Prevention, защита от потери/утечки данных) появились в начале 2000-х годов: американские DLP-стартапы быстро обратили на себя внимание крупных игроков, в результате чего в 2006-2008 годах Symantec покупает Vontu и создаёт на его основе Symantec DLP (сейчас решение выпускается компанией Broadcom), компания RSA приобретает Tablus и формирует продукт RSA DLP Suite, компания McAfee покупает Reconnex для создания McAfee DLP (сейчас решение продаётся под названием Trellix DLP), а Websense покупает PortAuthority и создает продукт, который сейчас известен как Forcepoint DLP. Пережив цикл хайпа в 2010-х годах, западные DLP-решения постепенно растеряли былую популярность - уже в 2017 году компания Гартнер выпустила свой последний «магический квадрат» для DLP, объяснив это общей консолидацией рынка и стагнацией классических DLP-систем. При этом Гартнер продолжает публиковать свои «руководства по рынку DLP-решений»: в публикации 2025 года приводится следующая классификация современных зарубежных DLP:

1. Классические DLP-решения (Enterprise DLP, EDLP) характеризуются централизованным управлением политикой безопасности и контролем большинства потенциальных каналов утечки. Примерами являются такие продукты, как Forcepoint DLP, GTB Technologies Enterprise DLP, Mimecast Incydr, Proofpoint Enterprise DLP, Symantec DLP, Trellix DLP.

2. Интегрированные DLP-решения (Integrated DLP, IDLP) встраиваются в защитные решения других классов и контролируют меньшее число каналов утечки, специфичных для конкретного решения. Функционал защиты от утечек может быть встроен в такие решения, как EPP/EDR/XDR, SSE/SASE, CASB, CNAPP, CSPM, SEG (Secure Email Gateway), SWG (Secure Web Gateway). Примерами являются такие продукты, как CrowdStrike Falcon Data Protection, DTEX, Palo Alto Networks DLP, Zscaler DLP.

3. Облачные DLP (Cloud-Native DLP) обеспечивают защиту от утечек для SaaS/PaaS/IaaS-сред и в облачных инфраструктурах. Примерами являются такие продукты, как Amazon Macie, BigID Next, Fortinet FortiDLP, Fortra Cloud Data Protection, Google Cloud Sensitive Data Protection, Microsoft Purview Data Loss Prevention, Netskope One DLP, Nightfall Data Exfiltration Prevention.

Особняком стоят решения класса SEB (Secure Enterprise Browsers, безопасные корпоративные браузеры со встроенными механизмами защиты от утечки данных), например Esper Titanium, Island Browser, Seraphic Browser, а также DLP-решения, интегрирующиеся в браузеры в виде расширений и контролирующих обработку данных в SaaS-платформах, веб-приложениях и браузерных ИИ-ассистентах (ChatGPT, Google Gemini и т.д.), такие как Cyberhaven, DefensX, Harmonic Protect, Keep Aware Browser DLP, LayerX, Menlo Security last-mile DLP, Strac Browser DLP. Кроме того, к DLP-системам могут быть близки по функционалу различные классы продуктов для обнаружения и защиты данных в облаке и on-prem, такие как DAG (Data Access Governance), DAP (Database Audit and Protection), DCAP (Data-Centric Audit and Protection), DDR (Data Detection and Response), DSP (Data Security Platform), DSPM (Data Security Posture Management). Решения класса IRM (Insider Risk Management) могут считаться эволюцией DLP-систем, в которых сочетается контроль контекста обработки данных, анализ поведения пользователей, выявление аномалий, расширенное применение технологий ML и ИИ - примерами являются решения Microsoft Purview Insider Risk Management, Proofpoint Insider Threat Management, Varonis Data Security Platform.

В целом, за годы своего существования зарубежный рынок решений для защиты от утечек столкнулся с рядом вызовов:

1. Сложность и трудоёмкость качественного внедрения, способного продемонстрировать измеримые результаты работы DLP, особенно в транснациональных холдингах с разветвленной структурой с широкими автономиями филиалов, принимая во внимание нюансы местного законодательства по защите данных и приватности работников.

2. Необходимость соблюдать права сотрудников на приватность при контроле их работы с данными, особенно в контексте широко известных судебных разбирательств (например, дело «Барбулеску против Румынии», судебное разбирательство в Германии, шпионский скандал в HP и т.д.), негативно повлияло на восприятие ценности контролирующих систем руководством западных компаний.

3. Постепенный переход в облачные инфраструктуры и на SaaS-модель, развитие концепции BYOD, распространение средств удаленной работы привели к снижению эффективности классических DLP-систем, ориентированных на типовые офисные среды с традиционным периметром, файловыми и почтовыми серверами, корпоративными рабочими станциями со стандартным набором офисного ПО.

В России же некоторые из указанных препятствий для роста востребованности DLP-решений нивелируются особенностями отечественного ландшафта:

1. Эффективность внедрения DLP может быть обоснована быстрой поимкой «с поличным» инсайдеров, которых уже подозревали, но требовались неопровержимые доказательства, которые и предоставляет система мониторинга - зачастую уже через несколько дней после установки DLP-агента на ПК подозреваемого.

2. Юридические риски использования DLP для компании существенно понижаются при грамотном сопровождении внедрения и эксплуатации DLP-системы, включая введение режима коммерческой тайны, выполнение требований по защите персональных данных, внесение требований о неразглашении конфиденциальной информации в трудовые договоры и внутренние документы, получение согласия работников на мониторинг их действий на рабочих устройствах, письменное обязательство работников не использовать корпоративную технику для личных вопросов, легитимность проведения внутренних проверок по фактам утечек, сбор юридически значимых доказательств утечек.

3. По-прежнему широкое использование традиционных IT-инфраструктур, включая собственные on-prem дата-центры и классический сетевой периметр, который проще контролировать DLP-системами.

Можно отметить, что отечественные ИБ-вендоры были пионерами решений для защиты от утечек - в далеком 1996 году была выпущена первая российская DLP-система DeviceLock, которая продавалась в том числе и на международных рынках, при этом в 2020 году швейцарская Acronis приобрела DeviceLock, Inc., а на российском рынке продукт продолжает развиваться компанией «Киберпротект» под названием «КиберПротего». В 2000 году увидела свет DLP-система «Дозор-Джет» от «Инфосистемы Джет», сейчас продукт выпускается Группой компаний «Солар» под названием Solar Dozor. В 2005 году вышли решения Zlock (ныне Zecurion DLP) и «Гарда Предприятие» (было выпущено компанией «МФИ Софт», сейчас известно под названием «Гарда DLP» от входящей в «ИКС Холдинг» Группы компаний «Гарда»). В 2006 году появился «СёрчИнформ КИБ», в 2007 году вышла DLP от InfoWatch, а чуть позднее появились Falcongaze SecureTower и «Стахановец» - все перечисленные решения вошли в данный обзор.

Основными функциями DLP-решений являются мониторинг обработки и предотвращение несанкционированных действий с данными при их использовании, передаче (в пределах и за пределы корпоративной инфраструктуры) и хранении (на устройствах сотрудниках, на файловых и почтовых серверах, в веб-приложениях и облачных средах). Основными компонентами являются модули обнаружения и классификации хранящихся данных, сетевого контроля (мониторинг и блокирование почтового и веб-трафика), агентские компоненты для контроля и блокирования потенциальных каналов утечки информации (буфер обмена, USB-устройства, файлообменники, веб-приложения, электронная почта, принтеры и т.д.). Продвинутые российские DLP-системы также оснащаются модулями OCR (Optical Character Recognition, оптическое распознавание текста на изображениях) и ASR (Automatic Speech Recognition, автоматическое распознавание речи), модулями видеоаналитики и машинного зрения (для выявления фотографирования экрана АРМ с помощью телефона), а также технологиями машинного обучения и ИИ для анализа и классификации защищаемой информации, выявления аномалий в инфраструктуре и в поведении пользователей. Кроме того, в зрелых DLP-решениях присутствует интерфейс для управления инцидентами и проведения внутренних проверок (расследований), а также интеграции с другими типами корпоративных СЗИ. В последние годы всё чаще российские DLP-системы оснащаются функционалом мониторинга действий работников и выявления угроз в их поведении, т.е. частично могут использоваться в качестве решений класса Employee (Productivity) Monitoring / User Activity Monitoring (UAM) / Privileged Access Management (PAM). Однако, в настоящий обзор мы не включили решения данного класса, функционал которых акцентирован на учёте рабочего времени сотрудников и контроле действий пользователей, в том числе привилегированных, хотя некоторые из таких продуктов обладают возможностями контроля и блокирования подключаемых устройств, контроля и блокирования сайтов / соцсетей / мессенджеров, создания скриншотов экрана, контроля клавиатурного ввода, удаленного просмотра экрана контролируемых устройств, журналирования действий пользователей и запуска программ / работы с файлами. Примерами таких российских решений являются CleverControl, LanAgent, Mipko Employee Monitor, Staffcop Enterprise, СпрутМонитор, а до недавнего времени в этот список входил и рассмотренный в данном обзоре «Стахановец», который, однако, в последних релизах получил уже полноценный DLP-функционал.

В условиях непрерывно меняющегося ландшафта киберугроз производители и эксплуатанты DLP-решений сталкиваются со следующими актуальными вызовами:

1. В соответствии с отчетом Verizon по расследованию утечек данных, причинами несанкционированного доступа к данным в 81% случаев становятся внешние нарушители. Иначе говоря, существенную долю составляют атакующие, которые заражают корпоративные устройства ВПО или выманивают у работников учетные данные посредством фишинга и социальной инженерии, а далее совершают вредоносные действия с данными от их имени. Таким образом действуют и кибервымогатели - это уже давно стало и прибыльным бизнесом, и отличной маскировкой для кибершпионов, которые в целях усложнения их атрибутирования мимикрируют под «обычных» финансово мотивированных хакеров. Все чаще используются многоступенчатые схемы вымогательства: атакующие анализируют скомпрометированную сеть в поисках наиболее ценных данных, крадут их, затем шифруют инфраструктуру и требуют выкуп, параллельно проводя DDoS-атаку и шантажируя тех, чьи данные оказались в украденных документах (например, если это клиентские профили с персональными данными или сведениями о здоровье или финансовом состоянии). Кроме того, не исключено, что с учётом недавно введённых штрафов кибермошенники перейдут к схемам с шантажом атакованных компаний жалобой на утечку данных в Роскомнадзор. Таким образом, DLP-система должна защищать компанию не только от халатных и невнимательных работников или от целенаправленных инсайдеров, но и от ВПО класса ransomware и действий кибервымогателей, чей характерный «почерк» в инфраструктуре может быть похож на поведение злонамеренного сотрудника (шантажируемого, завербованного или вступившего в сговор с киберпреступниками). Вовремя обнаружив вывод (эксфильтрацию) данных, можно оперативно предотвратить дальнейшие негативные последствия в виде шифрования инфраструктуры, шантажа, репутационного ущерба.

2. Применение систем ИИ - различных ассистентов и чат-ботов наподобие ChatGPT или Google Gemini - зачастую не контролируется эффективно компаниями, что приводит, по аналогии с «теневым IT», к эффекту «теневого ИИ» (Shadow AI или BYOAI, Bring Your Own AI), при котором работники в целях повышения продуктивности могут бесконтрольно загружать в сторонние ИИ-системы конфиденциальную информацию. Этот вызов обсуждается уже не первый год, а в аналитическом отчете вендора LayerX указывается, что почти половина корпоративных работников активно использует ИИ-платформы, причём 40% загружаемых в ИИ-инструменты файлов содержат чувствительные данные. При этом исследователи LayerX подчеркивают, что подавляющее большинство пользователей используют для работы с ИИ личные, а не корпоративные аккаунты - те же выводы содержатся и в вышеупомянутом отчете Verizon (72% сотрудников использовали личные аккаунты при работе с ИИ-платформами в офисе). В отчете IBM «Cost of a Data Breach» за 2025 год указано, что в компаниях с широко распространенным «теневым ИИ» ущерб от инцидентов с данными был выше на 670 тыс. долларов, а выявление и сдерживание таких инцидентов продолжалось в среднем на неделю дольше по сравнению с теми организациями, где практика BYOAI не была распространена. Кроме того, многие крупные компании сейчас активно внедряют собственные ИИ-решения, используя корпоративные и клиентские данные для обучения и адаптации ML-моделей, поэтому важно контролировать и этот способ обработки информации для того, чтобы конфиденциальная информация затем не появлялась в ответах чат-бота, размещенного на интернет-портале компании. Становится понятно, что современные DLP-решения должны интегрироваться с популярными ИИ-инструментами, а в перспективе - объединяться с практиками MLSecOps и AISecOps для контроля огромных объемов данных, обрабатываемых ИИ.

3. Совершенствование технологий для обеспечения приватности интернет-пользователей снижает эффективность работы защитных решений: протоколы TLS 1.3, QUIC, DNS-over-TLS, DNS-over-HTTPS, DNS-over-QUIC, фреймворк Certificate Transparency, распространение различных VPN-решений во многих случаях не позволяют результативно контролировать доступ к интернет-ресурсам и инспектировать зашифрованный сетевой трафик. Современные операционные системы, мессенджеры, браузеры и веб-приложения постоянно обновляются и повышают безопасность коммуникаций пользователей, одновременно создавая вызовы для производителей DLP-решений. Кроме того, появление всё новых российских импортозамещающих продуктов (офисных пакетов, мессенджеров, систем ВКС и совместной работы, браузеров, облачных сервисов и т.д.) вынуждает вендоров непрерывно обновлять и проверять свои DLP-системы на технологическую совместимость с такими решениями.

4. Изменение законодательных норм, включая обязанность уведомлять Роскомнадзор о выявленных инцидентах с персональными данными и необходимость отправлять оповещения об инцидентах в НКЦКИ и ФинЦЕРТ в строго определенные сроки, привели к запросу на появление в DLP-системах механизмов автоматизации отправки таких уведомлений, а также функционала реагирования на инциденты утечек либо за счет внутренних плейбуков, либо за счет интеграции с внешними системами классов SIEM, SOAR, XDR, IRP. Кроме того, законодательные новации в области обезличивания персональных данных (Приказ Роскомнадзора от 19.06.2025 №140, Постановление Правительства РФ от 01.08.2025 №1154) предполагают отправку обезличенных данных в ГИС по запросу Минцифры и дают возможность использовать анонимизированные данные для внутренних нужд компании, включая аналитику больших данных, машинное обучение и ИИ.

5. Напряженная социальная и экономическая обстановка и негативный эмоциональный фон могут привести к росту числа как случайных, так и преднамеренных утечек - работники могут быть завербованы спецслужбами недружественных государств и подвергнуты шантажу или угрозам со стороны киберпреступников, могут подпасть под влияние различных деструктивных групп и вступить в сговор с хактивистами, а также могут банально соблазниться лёгкими деньгами и согласиться на предоставление («пробив») корпоративных данных за денежное вознаграждение от злоумышленников. В результате, под влиянием стресса, давления или алчности персонал может реализовать целенаправленные инсайдерские угрозы, включая кибершпионаж и кибердиверсии, координируя свои действия с опытными атакующими и представителями зарубежных спецслужб для обеспечения скрытности вредоносных действий. Кроме того, поставщики, подрядчики, интеграторы, сервис-провайдеры, работники ДЗО, сотрудники партнерских организаций и иные лица, имеющие санкционированный доступ к инфраструктуре компании, также могут стать инструментом атаки в руках подготовленных и организованных злоумышленников. Современные DLP-решения должны не только выявлять случайные и целенаправленные утечки данных «в моменте», но и контролировать поведение пользователей, обнаруживать отклонения от обычного режима работы персонала и признаки приготовления к совершению нарушений, а также выявлять кадровые риски (готовность уволиться, выгорание, токсичность, склонность к противоправному поведению и агрессии, пагубные зависимости и т.д.).

Наконец, для DLP-систем, как и для всех защитных средств и мер, которые потенциально могут вызвать остановку бизнес-процессов, важно внедрить продукт и настроить процессы защиты данных так, чтобы они не создавали ненужные внутренние ограничения для компании, а демонстрировали свою ценность для бизнеса за счет обеспечения безопасной доверенной среды, в которой корректная обработка информации становится частью общей корпоративной ИБ-культуры. Полноценное внедрение DLP-решения подразумевает не только инсталляцию и настройку самой DLP, но и моделирование угроз и нарушителей, глубокую аналитическую проработку имеющихся процессов обработки информации и их оптимизацию, включая обнаружение и классификацию использующихся данных, а также тонкую настройку политик реагирования с учетом бизнес-контекста и юридическое сопровождение внедрения с разработкой необходимых ЛНА и ВНД. Политики уже эксплуатирующейся DLP-системы должны постоянно актуализироваться, создаваемые документы необходимо непрерывно обнаруживать и классифицировать, перечень конфиденциальной информации следует регулярно пересматривать, а конечным итогом должно стать построение датацентричной модели киберзащиты с проактивным реагированием на угрозы данным. Таким образом, мы приходим к формуле успеха корпоративной программы управления рисками инсайдеров (англ. Insider Risk Management Program): процессы, технологии (DLP + DCAP / DSPM / UAM и т.д.), персонал (администраторы DLP, бизнес-аналитики, инженеры внедрения и сопровождения) и данные. Для методической поддержки реализации данной программы можно использовать рекомендации ФСТЭК России («Методика оценки угроз безопасности информации», портал БДУ), фреймворк MITRE, описание техник и тактик инсайдеров, открытый фреймворк Insider Threat Matrix, различные проекты на GitHub и т.д.

Методология оценки и сравнения функциональных возможностей продуктов включала в себя разработку перечня основных критериев, которые были сформированы авторами обзора путем анализа открытых источников с информацией о характеристиках продуктов, по результатам обратной связи от заказчиков указанных классов решений, а также руководствуясь экспертизой авторов. Вендорам рассылались опросники с перечнем основных критериев по их продуктам для заполнения, при этом формат некоторых вопросов предполагал развернутые ответы. Производителям также предлагалось добавить свои расширенные критерии сравнения для включения их в обзор, с проведением второй итерации сравнения по уже расширенному перечню критериев. В перечень вопросов также был включен пункт о планах развития функционала продукта, куда вендоры могли включать пункты из своих «Дорожных карт развития продуктов», при этом в ответах на критерии не учитывался функционал, который на момент проведения опроса не был реализован, а был лишь запланирован.

При составлении данного обзора мы исходили из принципа добросовестности участников сравнения и доверяли предоставленным ими сведениям. Кроме того, не проводилась оценка характеристик и функционала решений на live-демонстрациях, поскольку эффективность работы DLP-решения целесообразно оценивать в корпоративной инфраструктуре, уникальной для каждого заказчика, и проверять на используемых в компании специфических приложениях и типах данных, в «боевых» условиях и определенных бизнес-процессах, с учетом сформированной модели угроз и нарушителей. Иначе говоря, оптимальным DLP-решением будет то, которое лучше всего подходит для конкретных организационных вариантов использования, и только после его глубокой настройки с учетом контекста обработки данных и особенностей процессов каждой компании.

В настоящем обзоре используются следующие термины и определения:

• Решение – DLP-система для контроля обработки и предотвращения утечек данных по различным каналам.

Основные критерии

Основные критерии	Falcongaze SecureTower	InfoWatch Traffic Monitor	Solar Dozor	Zecurion DLP	Гарда DLP	Киберпротект КиберПротего	СёрчИнформ КИБ	Стахановец
1. Общие технические характеристики
1.1. Технические требования для управляющих, серверных, сетевых, агентских, иных компонентов решения (системные требования к аппаратному и программному обеспечению, окружению);	Минимальные системные требования к серверным компонентам системы: - Процессор: 2,2 ГГц и выше, 4 физических или 8 логических ядер и более. - Сетевой адаптер: 1 Гбит. - Оперативная память: не менее 8 ГБ. - Жесткий диск: 100 ГБ-раздел для операционной системы и файлов SecureTower - (RAID1/RAID10); второй раздел для хранения перехваченных данных из расчета: 1,5 ГБ данных от каждого контролируемого пользователя за месяц, плюс 20% от объема перехваченных данных для файлов поисковых индексов. - NET Desktop Runtime 8.0.X (x64) и ASP.NET Core Runtime 8.0.15 или выше (x64). - Операционная система: Microsoft Windows Server 2016 и выше (x64). Минимальные системные требования для агентов на конечных рабочих станциях должны соответствовать минимальным рекомендованным требованиям ОС, но не менее чем: - Процессор: 1,2 ГГц и выше. - Оперативная память: 1 ГБ и более. - Жесткий диск: 300 МБ свободного пространства. - Операционная система: o Microsoft Windows: XP SP3, Vista, 7,8, 10,11/Server2003, 2008, 2012, 2016, 2019 (x86/x64). o Linux: Ubuntu 18.04+, Debian 11+, Fedora 33+, Rosa R12+, Astra Linux 1.7+, CentOS 8, Red Hat Enterprise Linux (RHEL) 8+, AlmaLinux 9.1, Альт ОС 10.1, Альт Сервер 9.2 (x11), RedOS 7.3.1, Oracle Linux 8.10. MacOS: 11.6 (Big Sur) и выше (Apple Silicon (arm64) и Intel x86_64).	Traffic Monitor Дисковаяподсистема: RAID-массив с fault tolerance: 300 ГБ Процессор: 2CPU 6xC, 2,6 ГГц Оперативная память: 24 ГБ Операционная система: Red Hat Enterprise Linux 7.x (последняя версия) с необходимой для обновления подпиской; Red Hat Enterprise Linux 8.10; РЕД ОС 7.3.3, 7.3.4 и 7.3.5; Oracle Linux 7.x, начиная с версии 7.7; Oracle Linux 8.10; AlmaLinux 8.10; Rocky Linux 8.10; Альт Сервер 10.2. Сервер управления агентами на Windows Не менее 3Гб на диске CPU – от 2-х ядер Оператива - от 2Гб ОС: поддерживаются платформы x86 и x64): Microsoft Windows Server 2008 R2; Microsoft Windows Server 2012; Microsoft Windows Server 2012 R2. Microsoft Windows Server 2016; Microsoft Windows Server 2019. Платформа: Microsoft .Net Framework 4.5.1. СУБД: Oracle Database 19; Microsoft SQL Server 2005, 2008, 2012, 2014, 2016, 2017, 2019 (Standard, Enterprise); PostgreSQL11 и более поздние версии. Сервер управления агентами на Linux Количество ядер процессора: 4 (частота - 3.1 ГГц, разрядность - 64 bit, с поддержкой инструкций SSE 4.2); ОЗУ: 16 Гбайт; Жесткий диск: 100 Гбайт. ОС: РЕД ОС 7.3.3; РЕД ОС 8; Astra Linux 1.7 в редакциях «Орел», «Воронеж» и «Смоленск» Astra Linux 1.8 в редакциях «Орел», «Воронеж» и «Смоленск» Альт Сервер Виртуализации СП 10. Альт Сервер Виртуализации 10.2. Центр расследований InfoWatch (Activity Monitor, Vision, Prediction) Минимальные системные требования, необходимые для установки Системы: Количество ядер процессора: 4 (частота - 3.1 ГГц, разрядность - 64 bit, с поддержкой инструкций SSE 4.2); ОЗУ: 16 Гбайт; Жесткий диск: 100 Гбайт.	Рекомендуемые характеристики аппаратного обеспечения СХД: - Количество операций ввода-вывода в секунду (IOPS) – не менее 2000. - Жесткие диски – SAS и SSD. Необходимое ПО для установки - дистрибутив ОС: - Debian, ОС Astra Linux, РЕД ОС, «Альт Сервер», Platform V SberLinux OS Server; - СУБД: - PostrgreSQL - Oracle для БД архива сообщений; - ClickHouse - SSH-клиент; - лицензия на Solar Dozor. 4. Требования к инфраструктуре - наличие DNS-сервера и сервера точного времени; - сеть должна пропускать трафик между компонентами Solar Dozor в соответствии с матрицей доступа компонентов; - пропускная способность сетевых интерфейсов серверов системы не менее 100 Мбит/с. Конфигурация рабочих станций для агентов: - CPU – не менее 2 ядер; - ОЗУ – не менее 4 ГБ; - свободное место на системном разделе жесткого диска – не менее 50 ГБ. Агент функционирует под управлением операционных систем: - ОС Windows: - ОС Linux: - AlterOS - Astra Linux - Debian; - Ubuntu - Альт; - РЕД ОС macOS	Сервер Zecurion DLP Процессор: Intel Core и выше Оперативная память: 2 ГБ и выше Свободный объём на жёстком диске: 5 ГБ Операционные системы: Microsoft Windows 8.1/10 64-разрядная, Microsoft Windows 11, Microsoft Windows Server 2012 и выше AstraLinux SE 1.7/1.8 RedOS 7.3/8.0 ALT Linux SP8 (c9f2) ALT Linux p10 Ubuntu 22.04 LTS а также модификации Kubuntu / Xubuntu / Lubuntu / Edubuntu 22.04 LTS, Linux Mint 21 и Zorin OS 17 Ubuntu 24.04 LTS а также модификации Kubuntu / Xubuntu / Lubuntu / Edubuntu 24.04 LTS и Linux Mint 22 Браузер Google Chrome 107.0 и выше Агенты Процессор: Pentium 4 и выше Оперативная память: 1 ГБ и выше Свободный объём на жёстком диске: 4 ГБ Операционные системы: Microsoft Windows 7/8/10/11 AstraLinux SE 1.7/1.8 RedOS 7.3/8.0 ALT Linux SP8 (c9f2, c10f1, c10f2) ALT Linux p9/p10 Debian 11/12 Ubuntu 20.04 LTS а также модификации Kubuntu / Xubuntu / Lubuntu / Edubuntu 20.04 LTS, Linux Mint 20 и Zorin OS 16 Ubuntu 22.04 LTS а также модификации Kubuntu / Xubuntu / Lubuntu / Edubuntu 22.04 LTS, Linux Mint 21 и Zorin OS 17 Ubuntu 24.04 LTS а также модификации Kubuntu / Xubuntu / Lubuntu / Edubuntu 24.04 LTS и Linux Mint 22 СУБД — для сохранения инцидентов: • Microsoft SQL Server 2017 и выше • PostgreSQL 12 и выше • Jatoba 4 и выше	Минимальные серверные требования. CPU, core, 2.5.ГГц 2 x 12 (hyperthreading off) RAM, GB 64 SSD, TB (RAID 1) 1 HDD, TB (RAID 6) 4 .. 8 NIC 4*1GB Минимальные требования для АРМ CPU 4 ядра ОЗУ 4 ГБ. Среднее потребление ресурсов ПК 5%	ОС: Windows, Astra Linux SE, Альт, РЕД ОС, CentOS Stream СУБД: MSSQL, PostgreSQL, Postgres Pro, Jatoba, Tantor Минимальные требования: Агент: Intel Core i3, ОЗУ от 1 ГБ Серверы: Intel Core i5 (4 ядра), ОЗУ от 4 ГБ	Серверные компоненты «СёрчИнформ КИБ» могут быть установлены на следующие ОС: · Windows Server 2016 и выше. · Astra Linux 1.7 · Ubuntu 22.04 LTS Агенты системы контролируют рабочие станции под управлением следующих ОС: · Windows 8 и выше. · Alt Linux 10,11 · Astra Linux Special Edition 1.6, Special Edition 1.7 (включая защищенные версии), 1.8. · Debian 12.11 · RedOS 7.3.2, 8.0, 8.0.2 · SberOS 3.4 · Ubuntu 22.04 и 24.04 · Monterey 12.1 и выше, Ventura 13.3 и выше, Sonoma 14.0 и выше, Sequoia 15.0 и выше, Tahoe 26.0 и выше. Минимальные системные требования для сервера (до 50 агентов): · CPU от 2,0 ГГц 4-ядерный процессор · RAM от 8 ГБ · HDD от 100 ГБ под ОС и очередь перехвата · LAN 1 Гбит/с · БД: Microsoft SQL Server 2012 SP4 (Express) и выше или PostgreSQL (PRO) 14 и выше. Минимальные системные требования для контролируемой рабочей станции: · CPU от 2,0 ГГц 4-ядерный процессор · RAM от 8 ГБ · HDD от 100 ГБ под ОС и очередь перехвата · LAN 1 Гбит/с · ОС Microsoft Windows x64, Linux или MacOS – версии согласно списку поддерживаемых ОС агентом	Сервер (Windows): 2008R2/ Win8.1 /2012/ Win10/ 11/ 2016/ 2019/ 2022 и более поздние ОС (64-бит) Сервер (Linux): Ubuntu 22/24, Astra 1.7/1.8 («Орел») Клиент (Windows): XP(SP3)/ 2003/ Vista/ Win7/ 2008/ Win8 /2012/ Win10/11/ 2016/ 2019/ 2022 и более поздние ОС (32/64-бит) Клиент (Linux): Astra, CentOS, Debian, Mint, Ubuntu, Rosa, RED OS (полный список) Клиент (MacOS): El Capitan, Sierra, High Sierra, Mojave, Catalina, Big Sur, Monterey, Ventura, Sonoma, Sequoia SQL-сервер: MS SQL Server (минимум 2008), PostgreSQL (минимум 11) или другая СУБД на базе PostgreSQL Работа в терминалах поддерживается
1.2. Варианты поставки и инсталляции (аппаратный апплайнс, образ, контейнер, установка на «голое железо», установка on-prem, установка в облаке (SaaS/PaaS), наличие графических инсталляторов, поддержка виртуализации);	ПО, присутствует графический инсталлятор. Консоли управления устанавливаются на рабочие станции офицеров безопасности, серверные компоненты – на сервера. Доступна поддержка виртуализации.	аппаратный апплайнс - нет образ - нет контейнер - Центр расследований (Activity Monitor, Vision, Prediction) установка на «голое железо» - установка on-prem – да установка в облаке (SaaS/PaaS) - да наличие графических инсталляторов - да поддержка виртуализации - да	- аппаратный апплайнс: нет; - образ: нет, мы не поставляемся с ОС; - контейнер: нет; - установка на «голое железо»: нет, не поставляемся с ОС; - установка on-prem: нет; - установка в облаке (SaaS/PaaS): да; - наличие графических инсталляторов: да; поддержка виртуализации: да.	On-premise, собственный инсталлятор, виртуализация поддерживается	On-premise	Установка on-prem, графические инсталляторы, поддержка виртуализации	КИБ поставляется в виде дистрибутивов. Их можно установить on-prem, в облаке в т.ч. SaaS/PaaS и в среды виртуализации. При открытии дистрибутива появится мастер установки с инструкциями по инсталляции.	Образ, установка on-prem, наличие графических инсталляторов.
1.3. Архитектурные особенности решения (стек технологий, возможность прямого доступа к внутренним структурам, возможность доступа покупателя к ОС/СУБД решения с правами администратора);	Агентская часть C++. Системная часть C++, частично C#. Графический интерфейс C#. Взаимодействие модулей осуществляется по защищенным соединениям. Доступ к внутренним структурам возможен по API. Данные в СУБД могут быть зашифрованы, хранятся с разделением идентификаторов пользователей и данных от этих пользователей, идентификаторы меняются 1 раз в сутки. Агент установленный на сервере SecureTower может контролировать активность всех пользователей, в том числе привилегированных.	стек технологий – C++, Golang, PHP и др. возможность прямого доступа к внутренним структурам – да, с ограничениями возможность доступа покупателя к ОС/СУБД решения с правами администратора - да	- ОС Linux: - Astra Linux - Debian - SberLinux; - РЕД ОС - Альт Сервер; - СУБД: - PostrgreSQL; - Oracle; - ClickHouse В процессе эксплуатации инженеры Заказчики имеют возможность управлять продуктом Solar Dozor непосредственно из консоли сервера, на котором функционирует продукт. Для получения данных специалисты Заказчика имеют возможность непосредственно обращаться к СУБД для получения необходимых данных с использованием PL/SQL.	14 вариантов установки в корпоративную инфраструктуру для различных конфигураций ИТ-среды заказчика	Комплекс работает на серверной ОС Альт 8 СП 10, все компоненты поставляются «коробкой»	Быстрое развертывание решения. Контроль на уровне агента (endpoint-решение). Поддержка режимов мониторинга и блокировки. Настройки per user.	В КИБ реализован собственный API, а доступ заказчика к ОС/СУБД решения ничем не ограничен. Доступ к внутренним структурам не предоставляется.	Возможность прямого доступа к внутренним структурам, возможность доступа покупателя к СУБД решения с правами администратора)
1.4. Параметры масштабируемости, кластеризации, производительности (пропускная способность для различных сетевых протоколов, максимальное число контролируемых устройств/пользователей, максимальный объем архива данных, скорость поиска по архиву данных);	Одиночный сервер поддерживает контроль 25-5000 пользователей. Увеличение количества контролируемых пользователей достигается за счет объединения серверов в кластер. Масштабирование гибкое, не было запросов, которые упирались бы в лимит имеющейся архитектуры. Максимальная глубина хранения данных не ограничена, но на практике используется не более 5 лет. Скорость доступа к индексам и сырым данным зависит от скорости дисковой подсистемы, IOPs, а также скорости соединения при использовании кластеров. Скорость поиска зависит от периода за который выполняется поиск и сложности условия. Для примера, при контроле почты успешно обрабатывались письма от 50000 пользователей ежедневно в течение длительного времени без накопления задержек в обработке данных и поисках.	максимальное число контролируемых устройств/пользователей – ограничений нет, зависит от «железа» максимальный объем архива данных - ограничений нет, зависит от «железа» скорость поиска по архиву данных – соответствует скорости поиска в ClickHouse	- пропускная способность для различных сетевых протоколов: зависит от конфигурации аппаратных средств и сетевой инфраструктуры Заказчика; - максимальное число контролируемых устройств/пользователей: зависит от конфигурации аппаратных средств и сетевой инфраструктуры Заказчика; - максимальный объем архива данных: ограничен техническими характеристиками используемой СУБД и возможностями Заказчика; скорость поиска по архиву данных: варьируется	Подтверждённая эксплуатация в сетях около 200 тыс. рабочих мест	Гео-кластеризация	Без ограничений по масштабируемости (максимальная фактическая инсталляция – более 60 тыс. рабочих станций). Производительность в зависимости от доступных ресурсов и используемых настроек.	В КИБ встроены горизонтальные и вертикальные инструменты масштабирования. Например, заказчик может самостоятельно развернуть несколько серверов и/или других компонентов системы для распределения нагрузки. Максимальное число контролируемых устройств и объем данных не ограничены. Для каждого клиента эти параметры рассчитываются индивидуально в зависимости от задач и инфраструктуры. Производительность КИБ, пропускная способность протоколов и скорость поиска по архиву зависят от производительности и возможностей дисковой подсистемы, СУБД, каналов связи и других системных элементов. При этом КИБ не привязан к этим показателям.	Успешно проверено на 35000 одновременно наблюдаемых пользователях в течении нескольких лет. У комплекса нет пределов по максимальному объему архива данных и периоду хранения. Заказчик может хранить данные столько сколько ему необходимо.
1.5. Поддержка отказоустойчивости (реализация, требования вендора к инфраструктуре покупателя);	В случае потери связи между агентом и сервером агент продолжает работу в автономном режиме в соответствии с полученными ранее настройками. Присутствуют параметры для ограничения нагрузки на сеть.	Реализация – поддерживается распределенная установка и резервирование серверов, существует механизм бэкапа и восстановления требования вендора к инфраструктуре покупателя – спец. требований нет	- для СХД: RAID 10 или RAID 6; - для СУБД: средствами СУБД; для Dozor: распределенная конфигурация с дублированием ролей узлов	В зависимости от требований заказчика	Нет	Возможность автономной работы агентов (включая контентный анализ). Возможность использования нескольких серверов управления с одной или разными БД.	Да, в режимах active/passive и active/active. Требования к инфраструктуре – соответствие системным требованиям для каждого модуля.	Имеется возможность использования нескольких копий серверов комплекса, которые пишут информацию в одну БД. Если недоступен один, агенты будут передавать на другой. Резервирование СУБД осуществляет заказчик удобными для него средствами.
1.6. Поддержка распределенной установки компонентов, включая возможность размещения СУБД на отдельной ноде;	Да, присутствует поддержка размещения СУБД на отдельной ноде.	Да	- распределенная установка компонентов: поддерживается; возможность размещения СУБД на отдельной ноде: поддерживается.	Поддерживается. Кроме того, в малых проектах и при установке в небольших территориальных офисах возможна установка всех компонентов на единственный физический сервер	Есть возможность распределенной установки компонентов с размещением хранилища на отдельной ноде или нескольких.	Да	Да	Все компоненты комплекса можно установить как на одном ПК, так и на разных. Например, СУБД на одном ПК, а серверные компоненты комплекса на виртуальной машине.
1.7. Возможность работы решения в различных сетевых сегментах, включая частично изолированные, через отдельные ноды решения;	Система может работать полностью изолированно без доступа к интернету.	Да	возможность работы решения в различных сетевых сегментах, включая частично изолированные: поддерживается:	Возможно. Настраивается в процессе интеграции	Есть возможность	Да	Да, в т.ч. в демилитаризованных зонах (DMZ).	Возможно. Главное обеспечить маршрутизацию по клиент-серверному порту.
1.8. Обеспечение безопасной работы решения (ограничение доступа, ролевая модель, ограничение используемых сетевых портов, защита канала связи, защита обрабатываемых данных, журналирование и аудит действий пользователей и администраторов решения, способы аутентификации пользователей, контроль действий пользователей решения, шифрование данных, контроль целостности исполняемых и вспомогательных файлов, возможность создания резервных копий, корректная обработка ошибок настройки решения);	Возможность гибкой настройки прав доступа пользователей ко всем компонентам системы. Шифрование трафика, передаваемого от серверов к агентам и обратно. Полное журналирование всех событий и действий в системе (как действий, произведенных пользователями, так и серверных событий). Аутентификация через внутренние учетные записи решения или средствами Active directory. Полноценное отображение различных ошибок как в интерфейсе, так и в логах серверов и консолей.	Да	- ограничение доступа: присутствует; - ролевая модель: присутствует; - ограничение используемых сетевых портов: присутствует; - защита канала связи: присутствует; - журналирование и аудит действий пользователей и администраторов решения: присутствует; - способы аутентификации пользователей: - локальная; - доменная; - контроль действий пользователей решения: присутствует; - шифрование данных: частично; - контроль целостности исполняемых и вспомогательных файлов: присутствует; - возможность создания резервных копий: присутствует; корректная обработка ошибок настройки решения: присутствует.	Настраиваемая ролевая модель с любым количеством записей, ролей и настроек уровня доступа к элементам консоли Возможность отката политик	Все из перечисленного	Ограничение доступа, ролевая модель, ограничение используемых сетевых портов, защита каналов связи, защита обрабатываемых данных, журналирование и аудит действий пользователей и администраторов решения, контроль действий пользователей решения, защита и контроль целостности исполняемых и вспомогательных файлов, корректная обработка ошибок настройки решения, защита от пользователей с правами локальных администраторов.	Реализовано все из перечисленного кроме контроля целостности исполняемых и вспомогательных файлов.	Ролевая модель, ограничение используемых сетевых портов, шифрованный канал связи клиент-сервер, журналирование и аудит действий пользователей и администраторов решения, способы аутентификации пользователей, контроль действий пользователей решения
1.9. Контроль работоспособности (состояние, целостность, нагрузка, связность, актуальность примененных политик) для управляющих, серверных, сетевых, агентских, иных компонентов решения;	Доступен модуль «Монитор состояния», в котором отражено состояние всех серверных компонентов системы с возможностью просмотра подробной информации о передаваемых данных, ошибках, предупреждениях и прочем. Отслеживается состояние установленных на рабочих станциях пользователей агентов. В случае нарушения целостности файлов или при обнаружении прочих проблем с агентом система автоматически восстанавливает его работоспособность.	Да	- состояние, целостность, нагрузка, связность, актуальность примененных политик: - для серверных компонентов: присутствует; для агентских компонентов: присутствует;	Да	Все из перечисленного	Да	Да, КИБ проводит мониторинг всех своих компонентов и может оповещать ИБ-специалиста о разных процессах их работы.	Да
1.10. Встроенная помощь в интерфейсе решения;	Доступ из интерфейса к руководствам пользователей соответствующих консолей	Есть	Да	Нет	Есть (HTML документация с навигацией)	Да	Да, каждый модуль поставляется со «вшитой» справкой.	Да
1.11. Возможность сквозного поиска по всем настройкам, разделам, пунктам меню в интерфейсе;	По всем настройкам нет, но присутствует полноценная возможность поиска по всем видам перехваченных данных, с возможностью составления сложных пользовательских условий поиска.	Нет	- по всем настройкам: присутствует; - по всем разделам: встроенная справка; по всем пунктам меню в интерфейсе: встроенная справка.	Нет	Нет	Нет	Да, при помощи «вшитой» справки по модулю.	Нет
1.12. Локализация интерфейса, поддержка мультиязычности в интерфейсе (указать языки), возможность кастомизации интерфейса (включая темы, цветовые схемы).	Поддерживаемые языки: русский, английский, французский, немецкий, итальянский, казахский, корейский, испанский, турецкий. Доступна светлая и темная тема интерфейса, настройка масштаба отображения, использования анимаций.	Да. Русский, английский Цветовая схема – светлая, темная	- поддержка мультиязычности в интерфейсе: - по умолчанию русский/английский; - возможность кастомизации интерфейса: - размещение логотипа Заказчика; темы тёмная/светлая.	Несколько языков интерфейса. Кастомизация и настройка внешнего вида и виджетов. Светлая и тёмная темы	Кастомизация интерфейса (темы, цветовые схемы) - отсутствует	Локализация интерфейса, поддержка мультиязычности в интерфейсе (русский, английский)	Интерфейс поддерживает Русский, Английский, Испанский, Индонезийский, Французский, Турецкий и Португальский языки. Кастомизация – частичная. Касается отображаемых блоков и полей с информацией в разных консолях системы.	Язык интерфейса русский
2. Общие организационные характеристики
2.1. Дата первого релиза, текущая версия;	Дата первого релиза 2010 г. Текущая версия: 7.0	Дата первого релиза 2007 г. Текущая версия: 7.13.1	Дата первого релиза: 19.05.2000 г. Текущая версия: 8.2	Дата первого релиза 2005 г. Текущая версия: 13	Дата первого релиза 2005 г. (выпущено компанией «МФИ Софт»). Текущая версия: 6.3	Первый релиз - 1996 (DeviceLock). Первый релиз Киберпротект – 2021 (ренейминг в Кибер Протего). Текущая версия – Кибер Протего 10.7 (выпущена в сент.2025).	Система вышла в 2006 году, актуальная сертифицированная версия – 6.0	Первый релиз: Стахановец 1.00 - 21.05.2009 Актуальная версия: Стахановец 10.75 - 27.06.2025
2.2. Наличие документации;	Да. Присутствуют три руководства по системе: руководство пользователя, руководство администратора, быстрый старт	Русский, английский	Да	Да	Да	Да	Да	Да
2.3. Наличие технической поддержки, режим работы, SLA-нормативы;	Да, техническая поддержка по всем возникающим вопросам. Режим работы: 9.00-18.00 по МСК	Да Пн. – Пт. с 3:00 до 18:30 по МСК SLA · 8 часов на реакцию · Решение o до 30 календарных дней по инцидентам до 60 календарных дней по дефектам	- наличие технической поддержки: присутствует; SLA нормативы указаны на сайте производителя	Режим оказания технической поддержки и SLA зависят от уровня подписки	Да	Да (в будни c 10:00 до 18:00 по московскому времени), SLA-нормативы определяются Регламентом, в зависимости от критичности обращения	Техподдержка доступна с 9:00 до 18:00 по местному времени заказчика. SLA-нормативы зависят от критичности события. Время реагирования на самое критичное – 4 часа с момента размещения запроса.	Техподдержка имеется. Время работы Понедельник-пятница: с 9:00 до 18:00 (Мск) Суббота-воскресенье: выходной SLA-нормативы.
2.4. Наличие гарантии, срок предоставления гарантийного обслуживания, что включено в стандартное гарантийное обслуживание, возможность расширенной гарантии;	В течение 1 года после приобретения поставляется бесплатная техническая поддержка (обслуживает закрепленный инженер) и возможность бесплатного обновления приобретенных модулей. Предусмотрена возможность платного продления.	Для ПО не существует гарантийного периода, поставляется как есть. Существуют программы технической поддержки, обеспечивающие закрытие потребностей в гарантийном обслуживании.	- наличие гарантии: присутствует; - срок предоставления гарантийного обслуживания: стандартно – 1 год, в течение срока действия лицензии; - стандартное гарантийное обслуживание присутствует возможность расширенной гарантии: присутствует	В соответствии с лицензионным соглашением	Гарантия предоставляется по подписке, есть расширенные возможности	Да, в соответствии с Регламентом сопровождения ПО	Заказчикам КИБ на 12 месяцев предоставляется максимальная расширенная гарантия без доплат. В нее включены обновления, техническая поддержка, обслуживание, обучение работе с системой.	н/д
2.5. Лицензионная политика: принцип лицензирования (по компонентам/модулям решения, пользователям, объему трафика, числу пользовательских/терминальных сессий и т.д.), необходимость приобретения лицензий на сторонние компоненты (ОС, СУБД и т.д.), стоимость дополнительных интеграций (ИТ/ИБ-системы, внешние сервисы и т.д.), отличие в стоимости при разных вариантах инсталляции, специальные условия лицензирования (для MSS-провайдеров, SOC-центров, холдингов, филиальных структур, ДЗО и т.д.);	В зависимости от модуля лицензируются либо отдельные серверные компоненты, либо лицензирование проводится по количеству рабочих станций, контролируемым каналам и тд	По количеству пользователей и каналам перехвата. Интеграции лицензируются отдельно. Проприетарные ОС и СУБД лицензируются отдельно; в состав поставки включена СУБД Postgres	- принцип лицензирования: - по компонентам/модулям решения; - по Агентам; - по почтовым ящикам; - по объему трафика (ТА); необходимость приобретения лицензий на сторонние компоненты: для платных компонент;	По модулям и рабочим местам	Лицензирование по кол-ву рабочих мест Отдельно приобретать лицензии на ОС, СУБД не требуется.	Лицензирование покомпонентное (логические компоненты по группам функционала). В общем виде - по количеству контролируемых рабочих станций. Для терминальных серверов – по количеству пользовательских сессий. Дополнительные лицензии не требуются, серверные компоненты и управление не лицензируются.	КИБ лицензируется по количеству приобретаемых модулей в разрезе на одного пользователя. Чем больше модулей приобретает заказчик – тем меньше цена каждого из них. Стоимость внедрения зависит от инфраструктуры клиента и от сторонних компонентов в ней. Например, КИБ можно развернуть как на платных ОС и СУБД, так и на свободно распространяемых. Например, на ОС Ubuntu и СУБД PostgeSQL Все интеграции доступны из коробки.	Лицензии конкурентные и не привязаны к конкретном пользователем. Расходуются уникальными залогиненными пользователями. Мониторятся пользовательские сессии (локальные или удаленные). Каждая сессия характеризуется парой домен+логин, а если домена нет, то имя_пк+логин. Лицензируются уникальные такие пары. На каждую сессию используется одно подключение к серверу. Т.е. если к серверу подключено три сессии с одинаковым логином: DOMAIN1\user1, то будет использоваться только одна лицензия, а не три, несмотря на то что подключений три. При использовании MS SQL расчет по количеству пользователей, которые имеют доступы к консоли мониторинга пользователей + 1 на сервер. При использовании PostgreSQL доп лицензий не требуется.
2.6. Наличие API (указать, если лицензируется отдельно);	Да	Да, лицензируется отдельно	Есть API для передачи сообщений по протоколам HTTP и ICAP. Есть модуль интеграции «Мультиконнектор», который предоставляет API для доступа к информации в Дозоре. Лицензируется отдельно.	Нет	Есть API (HTTP, syslog)	Да	Да, лицензируется отдельно.	Нет
2.7. Опыт внедрений;	Многочисленные внедрения в компаниях из разных сфер деятельности с разной степенью сложности инфраструктуры и географической распределенности. Конкурентное преимущество SecureTower – самая высокая скорость деплоя единичного инстанса. Одиночный сервер для контроля 20-5000 пользователей может быть развернут и начнет работу в течение 1-2 часа. Масштабирование гибкое и удобное.	Обширный	Да, 300+клиентов 480000+ агентов – крупнейшее внедрение DLP в Европе	Внедрения в крупнейших российских организациях. Референсы по запросу.	Есть	Да	Клиенты «СёрчИнформ» - более 4 тыс. компаний по всей России из разных сфер: ИТ, промышленность, нефтегазовый сектор, медицина, управление и т.д. Большая часть из них внедряла ПО при помощи специалистов «СёрчИнформ».	Да
2.8. Присутствие в реестре российского ПО;	Присутствует в реестре Евразийского ПО	Да	Да	Да	Да	Да Реестровая запись№13712от 01.06.2022 reestr.digital.gov.ru	Да	Да
2.9. Наличие сертификатов регуляторов.	Сертификация ФСТЭК	Да, 1. ФСТЭК 2. Минобороны 3. Беларусь 4. Казахстан Подробнее: www.infowatch.ru	Solar Dozor сертифицирован ФСТЭК России на соответствие: Требованиям доверия (4) и Техническим условиям (сертификат соответствия № 4459 от 30.09.2021, действует до 30.09.2026).	ФСТЭК	ЛицензияФСТЭК на деятельность по ТЗКИ Лицензия ФСТЭК на деятельность по разработке СЗКИ Сертификат соответствия ФСТЭК на СЗИ Лицензия ФСБ на разработку и производство СЗКИ Лицензия ФСБ на разработку и производство СКЗИ	Нет	Да, сертификат ФСТЭК на соответствие 4 уровню доверия.	Да
3. Общий функционал решения
3.1. Перечень компонентов/модулей с кратким описанием функционала каждого;	Система представлена серверной и клиентской частями. Серверная часть продукта включает: - Центральный сервер Основной компонент системы. Отвечает за хранение, обработку и представление информации по запросам других компонентов системы. - Сервер индексирования; Отвечает за индексирование информации, полученной из баз данных Центрального сервера, и ее преобразование в удобный для дальнейшего поиска формат. - Сервер пользователей; Отвечает за хранение данных внутренних пользователей и групп, а также за систему разграничения прав доступа пользователей к функциям системы. - Сервер контроля агентов; Предназначен для централизованной установки и мониторинга агентских модулей, а также для формирования профилей контроля рабочих станций и пользователей. наличие рабочих станций в сети и производит удаленную установку агентов на компьютеры локальной сети незаметно для их пользователей. отслеживает состояние всех агентов, установленных централизованно или переведенных под контроль сервера. - Прокси-сервер агентов; Принимает данные от агентов и отправляет их на Центральный сервер для размещения в хранилище для балансировки нагрузки. Отправляет настройки агентов, полученные от Сервера контроля агентов, непосредственно агентам. - Сервер обработки почты; Отвечает за перехват почты, отправляемой через почтовые серверы, развернутые на базе Microsoft Exchange Server, IBM Lotus Domino, Sendmail и др. Интеграция с почтовыми серверами осуществляется по протоколам POP3, IMAP, SMTP или коннектору MS Exchange. - Сервер сетевого трафика; Отвечает за перехват и анализ нешифрованного трафика сетевых адаптеров серверов, специально выделенных для этой цели. Перехват и анализ шифрованного трафика Сервером сетевого перехвата возможен при использовании дополнительного программного обеспечения — например, Microolap EtherSensor. - Сервер ICAP; Позволяет настроить параметры интеграции SecureTower с прокси-сервером для перехвата и блокировки данных, переданных по протоколам HTTP и HTTPS. - Сервер распознавания изображений; Отвечает за распознавание перехваченной графической информации и преобразование ее в текстовый формат. - Сервер распознавания речи; Отвечает за перехват и анализ данных, переданных в звуковых файлах - Сервер политик безопасности; Предназначен для настройки системы оповещения уполномоченных лиц о случаях срабатывания правил безопасности. - Сервер отчетов; Отвечает за создание отчетов по широкому спектру заданных параметров. Для построения отчета перехваченные данные анализируются системой и отображаются в структурированном виде, с графической информацией и интерактивными элементами. - Сервер журналирования событий; Отвечает за контроль состояния системы в режиме реального времени: все события серверных компонентов фиксируются в журнале серверных событий SecureTower. - Сервер расследований; Позволяет формировать дела и проводить расследования в рамках перехваченной информации, а также связывать ее с конкретными пользователями, создавать объединенные массивы данных для консолидации информации, касающейся одного расследования. - Сервер инвентаризации; Предназначен для контроля устройств и оборудования. Основные задачи Сервера инвентаризации: предотвращение кражи или использования сотрудниками имущества компании в личных целях, обнаружение случаев замены или отключения оборудования и устройств от компьютера, отслеживание в реальном времени и выявление отклонений от конфигурации рабочих станций в автоматическом режиме с уведомлением ответственных лиц. - Сервер уведомлений. Содержит единые настройки подключений для отправки уведомлений по протоколам SMTP и Syslog, а также в Telegram, отвечает за их рассылку. Отдельным важным компонентом системы являются Агенты. Клиентская часть продукта представлена Консолью администратора и Консолью пользователя (специалиста службы безопасности) и служит в качестве графического интерфейса пользователя.	InfoWatchTrafficMonitor – аналитическое ядро системы Device Monitor. Модуль перехвата, реализованный в виде серверной части с управлением через Консоль и Агентов, распространяемых на рабочие станции компании. Адаптеры. Набор модулей перехвата для интеграции состоронними системами. Vision. Модуль, предназначенный для визуализации расследования инцидентов на основе данных, полученных от InfoWatch Traffic Monitor. Activity Monitor. Модуль, предназначенный дляконтроля деятельности сотрудников. Prediction. Модульпредиктивной и поведенческой аналитики. DataDiscovery. Модуль, предназначенный дляпоиска конфиденциальной информации на общих сетевых ресурсах, рабочих станциях, серверах и в хранилищах документов. DataAnalysisService. Сервис, предназначенный для анализа данных, полученных от InfoWatch Traffic Monitor или других продуктов InfoWatch. DataStorage. Внешнее хранилище бинарных данных.	- Ядро системы архивирования, анализа и управления Solar Dozor (DozorCore); - Компонент контроля коммуникаций через корпоративные почтовые системы (Dozor Mail Connector); - Компонент пассивного перехвата контента сообщений внешних и внутренних коммуникационных сервисов (Dozor Traffic Analyzer); - Компонент контроля действий пользователей рабочих станций (DozorEndpoint Agent); - Компонент инспектирования файловых хранилищ (DozorFileCrawler); - Компонент управления распределенным архивом Solar Dozor (Dozor Long-Term Archive); - Компонент распознавания текста и предотвращения утечек данных, содержащихся в графических форматах (Dozor OCR); - Компонент расширенной аналитики (Dozor Dossier); Компонент анализа поведения (Dozor User Behavior Analytics).	Основные модули: Traffic Control — контроль сетевых соединений Device Сontrol — контроль локальный устройств и приложений Discovery — выявление мест хранения и категоризация конфиденциальной информации Staff Control — оценка эффективности сотрудников и дополнительные сведения по персоналу Screen Photo Detector — выявление фактов внешней съёмки	Модуль анализа сетевого трафика (анализатор, съемник). Подключается к сети передачи данных. Через анализатор проходит весь объем информации, циркулирующей в сети передачи данных. Модули мониторинга данных на рабочих местах сотрудников предприятия (агенты рабочих мест). Модуль сбора данных с агентов рабочих мест (broker). Модуль сбора сообщений с почтового сервера (Microsoft Exchange). Модуль сбора веб-данных с прокси-сервера с помощью протокола ICAP Модуль хранения и обработки данных. Служит для хранения всего объема информации, собранной средствами Комплекса. Модуль пользовательского интерфейса (веб-сервер).	Device Control – базовый компонент, обеспечивает контроль доступа пользователей к локальным каналам передачи данных, включая все виды устройств и интерфейсов. Web Control – опциональный компонент, обеспечивает контроль доступа пользователей к каналам сетевых коммуникаций. Content Control – опциональный компонент, осуществляет контентный анализ и фильтрацию данных, передаваемых как через локальные каналы, так и по каналам сетевых коммуникаций. User Activity Monitor – опциональный компонент, осуществляет видеозапись экрана пользователя, запись нажатий клавиш и регистрацию запущенных процессов на контролируемой системе при наступлении заданных событий. Search Server – опциональный компонент, обеспечивает полнотекстовый поиск по базе данных теневого копирования и событийного протоколирования. Discovery – самостоятельный компонент, позволяет выполнять сканирование рабочих станций и корпоративных сетевых ресурсов с целью обнаружения хранимых конфиденциальных данных с автоматическим устранением выявленных нарушений. Управляющие серверы не лицензируются, доступны для установки в любом необходимом количестве.	DLP «СёрчИнформ КИБ» состоит из модулей, каждый из которых контролирует определенный канал передачи информации. · MailController. Защищает письма и контролирует их отправку в почтовых клиентах и веб-сервисах: Yandex.Mail, Mail.ru, Gmail, Outlook.com и других. Фиксирует передачу информации на некорпоративную почту, email-адреса конкурентов. Блокирует передачу сообщений, если их содержание ставит под угрозу конфиденциальность корпоративной информации · HTTPController. Контролирует НТТР/HTTPS трафик. Блокирует доступ к нежелательным веб-ресурсам и отправку файлов с конфиденциальным содержимым на интернет-форумы, в блоги, чаты, веб-почту, мессенджеры и т.д. Продолжает контроль даже при использовании сервисов-анонимайзеров. · FTPController. Проверяет трафик, передаваемый через FTP- и FTPS-соединение, блокирует передачу файлов с конфиденциальным содержимым и уведомляет ИБ-службу. · IMController. Контролирует 50+ российских и иностранных мессенджеров и соцсетей: от VK, Telegram, WhatsApp до платформ корпоративной коммуникации (Bitrix24, Squadus, Яндекс 360 и пр.), платформ видеоконференцсвязи (Zoom, TrueConf и аналоги) и т.д. Защищает звонки, чаты и передаваемые в них файлы и блокирует передачу конфиденциальной информации. · ProgramController. Собирает данные об активности и эффективности пользователей. Показывает, сколько времени сотрудник провел в программах и на сайтах, сортирует их по группам: знакомства, музыка, магазины, новости и др. Определяет, работает сотрудник или открыл программу «для вида», распознает имитацию активности при помощи автокликеров и зажатия клавиш на клавиатуре. · MonitorController. Ведет фото- и видеорегистрацию действий за ПК. Собирает данные об открытых окнах и процессах, активных в момент съемки. При необходимости показывает происходящее в реальном времени. Анализирует изображения с веб-камеры для выявления нарушителя, распознает попытки сфотографировать экран на телефон. Проявляет водяные знаки на экране ПК, чтобы защитить информацию от утечки. · PrintController. Инспектирует содержимое отправленных на печать документов: копирует текстовые файлы, сохраняет сканы в виде графического «отпечатка» и распознанного текста. Обнаруживает документы, заверенные печатью, позволяет контролировать печать бланков строгой отчетности. Может блокировать распечатывание документов. · MicrophoneController. Контролирует переговоры сотрудников при помощи любого обнаруженного микрофона. Включается еще до авторизации пользователя в системе: при обнаружении речи, запуске процессов и программ. Автоматически преобразует аудио в текст, к которому применяются политики безопасности. · CloudController. Контролирует работу с облачными хранилищами и файлообменными сервисами: Яндекс.Диск, Диск-О, Disk Bitrix24, Google Docs, Office 365, Evernote, iCloud Drive, Dropbox, SharePoint и др. Защищает их содержимое. При необходимости блокирует перенос файлов через программы удаленного администрирования. · DeviceController. Защищает и блокирует передачу информации на USB-накопители, внешние диски, CD/DVD, через RDP-сессии и камеры. Автоматически шифрует данные при записи на флешку. Обнаруживает подключенные к ПК смартфоны и анализирует их содержимое при подключении в режиме накопителя. Разграничивает доступ устройств к ПК. Показывает все подключенные устройства и фиксирует операции с ними: открытие, чтение, форматирование и пр. · Keylogger. Фиксирует клавиатурный ввод и данные в буфере обмена. Перехватывает логины и пароли от аккаунтов сотрудников на потенциально опасных ресурсах. Определяет пользователей, вводивших с клавиатуры пароли к зашифрованным документам.	Клиентская часть - собирает данные об активности сотрудников и отрабатывает DLP политики. Стахановец сервер - отвечает за прием данных от клиентов, запись полученной информации в СУБД, организацию веб-интерфейса для работы с собранными данными. Модуль начальника - Представляет собой веб-интерфейс для работы с комплексом. через него можно посмотреть, что делает сотрудник здесь и сейчас, а также что он делал в ретроспективе. SQL-сервер используется для хранения метаданных. Стахановец администратор - в GUI или веб-интерфейса для настройки всего комплекса и клиентских частей Сервер нейроной сети - используется для обеспечения функционала Антифото и/или транскрибации аудио.
3.2. Перечень интеграции с ИБ-системами (DCAP, DAG, SWG, NGFW, UTM, NTA, IAM, MDM, EDR, XDR, SIEM, SOAR, СКУД, системы видеонаблюдения и т.д.) с указанием механизмов интеграции (API, сетевой протокол, файловый обмен);	Интеграция осуществляется с широким спектром ИБ-систем посредством протокола Syslog, через API и выгрузку файлов в форматах XML, JSON	API: SIEM Комрад SIEM, PT Max Patrol SIEM, KUMA, RuSIEM, ArcSight, Ankey SOAR R-Vision, Security Vision SOAR NGFW/UTM ICAP Usergate UTM, Континент 4 Squid, CISCO IronPORT, Alladin Esafe Gateway, Checkpoint 77/30, MCAffee Web Gateway, Fortigate, Palo Alto NGFW VOIP Lexiсom, SmartLogger II IRM Crosstech DSS СКУД PERCO, Сигур, Болид/Орион про Сетевой коммутатор: СТРОМ + любая интеграция по API	- Антивирус: проверка файлов на наличие вирусов по протоколу ICAP(S); - Сетевой прокси-сервер: передача сетевого трафика на анализ по протоколу ICAP(S); Solar webProxy - Внешние системы передачи данных (специфичные системы передачи данных, мессенджеры): передача сетевого трафика на анализ по протоколу ICAP(S); - Почтовый сервер: - передача почтового трафика на анализ по протоколу SMTP; - Сетевые хранилища: получение информации оструктуре хранилищ и составе файлов на них, передача файлов на анализ: - по протоколу SMB; по протоколу HTTPS. Интеграция с ИБ-системами: Антивирусы, Веб-прокси, DCAP/DAG, SIEM, а также с произвольными системами безопасности по API.	Собственная экосистема продуктов, включающая DCAP, SWG, NGFW и Storage Security, также имеется интеграция со сторонними продуктами разных классов	Возможность интеграции с SIEM, SOAR (HTTP) TCP/UDP Syslog CEF и LEEF	NTA (Microolap EtherSensor), EFSS (Кибер Файлы), SIEM (RUSIEM, MaxPatrol SIEM, KOMRAD Enterprise и пр.), электронные ключи (Рутокен, JaCarta и пр.). Интеграции через API и сетевые протоколы.	«СёрчИнформ КИБ» бесшовно интегрирована с DCAP «СёрчИнформ FileAuditor» и «СёрчИнформ SIEM». Также КИБ интегрирована с более чем сотней средств защиты от разных вендоров при помощи взаимодействия по API и сетевым протоколам. Например, для взаимодействия с прокси и NGFW система использует протокол ICAP. Для работы с SIEM – syslog и cef. И т.д. Почти все интеграции настраиваются в интерфейсе DLP. При этом неважно кто вендор подключаемой системы. Если она поддерживает нужные механизмы обмена данными – заказчик всегда сможет интегрировать КИБ с другим СЗИ.	SIEM - syslog, СКУД - Утилита импорта данных, Так же предоставляем структуру БД, для возможности получения из нее данных посредствам SQL запросов.
3.3. Перечень интеграции с ИТ-системами (службы каталогов, CMDB, ITAM, ITSM, ServiceDesk, Ticketing, BPM, ERP, системы мониторинга и т.д.) с указанием механизмов интеграции (API, сетевой протокол, файловый обмен);	Интеграция осуществляется с широким спектром ИТ-систем посредством протокола Syslog, через API и выгрузку файлов в форматах XML, JSON	LDAP: FreeIPA, ALD PRO, MS AD Samba DC API: ERP - 1С, MS Dynamics, SAP ERP, Сервисы управления печатью - PrintXpert, DPrint Провайдеры облачной почты – Яндекс 360, MS Office 365 Корпоративный браузер - Яндекс.Браузер для Организаций + суперапп Workspad	- Служба каталогов: аутентификация пользователей: - по протоколу LDAP(S); - по протоколу Kerberos; Помимо указанной интеграции с аутентификации, есть возможности интеграции с произвольными системами по API.	По запросу	Возможность передачи данных по syslog	Службы каталогов (Microsoft Active Directory, Samba DC). Интеграция через сетевые протоколы.	«СёрчИнформ КИБ» интегрирована с бизнес-сервисами, мессенджерами, программами удаленного администрирования и другими ИТ-системами. Всего более 100 интеграций, реализованных при помощи сетевых протоколов (SMB/DFS, SSH, SMTP и т.д.), собственного или уникального API, как в случае с Microsoft 365.	Синхронизация с LDAP.
3.4. Перечень поддерживаемых технологий анализа данных: словари, регулярные выражения, морфологический анализ, анализ метаданных файлов, цифровые отпечатки (текстовые, табличные, бинарные данные, базы данных, иные), графические отпечатки (растровые, векторные), распознавание изображений различных типов документов (паспорта, банковские карты, печати, схемы, чертежи и т.д.), оптическое распознавание символов (указать технологию, если используется сторонний модуль OCR), распознавание документов по шаблонам (включая финансовые документы, корпоративные бланки, конструкторскую документацию и т.д.), нейросети и машинное обучение (указать используемые типы нейросетей, ML-моделей) (для всех поддерживаемых технологий указать поддерживаемые языки, предустановленные словари, предустановленные шаблоны регулярных выражений, поддержку выявления транслитерации, опечаток, омоглифов);	Словари (170 предустановленных словарей на русском, английском, узбекском, казахском и испанском, возможность создания пользовательских словарей), регулярные выражения (предустановленные и пользовательские, с учетом данных РФ, РБ, Казахстана, Узбекистана и прочего), снятие цифровых отпечатков (с файлов и папок, с баз данных, с CSV-файлов), создание хешей и банков хешей (с файлов, папок, с TXT и CSV фалов), распознавание печатей, распознавание текста (предустановленный - Tesseract, возможен ABBY), распознавание речи (предустановленный - Whisper, возможны: WitAI, Yandex, Google), поиск слов с учетом транслитерации (русский – английский), омоглифов, ошибок, опечаток, расстояния между словами, морфологии, количества вхождений слова или фразы в документ.	· Выявления категорий и терминов, словари отраслевые и тематические (поддержка выявление транслитерации, опечаток и литспика), поддержка 45 языков, включая русский, белорусский, польский, английский, немецкий, китайского, хинди, итальянский, испанский, турецкий, узбекский, французский, арабский и др. · регулярные выражения, · морфологический анализ, · анализ метаданных файлов · цифровые отпечатки (текстовые, табличные, бинарные данные, базы данных) · графические отпечатки (растровые, векторные) · распознавание изображений различных типов документов (паспорта, банковские карты, печати, схемы, чертежи и т.д.) · распознавание бланков · поиск аналогов документов и похожих · оптическое распознавание символов (OCR от Content AI/Tesseract) · распознавание документов по шаблонам (включая финансовые документы, корпоративные бланки, конструкторскую документацию и т.д.) · нейросети и машинное обучение – проприетарная разработка · автоматическое создание словарей на основе пользовательских данных (Автолингвист) · технология детектирования именованных персональных данных · технология защиты персональных данных от отправки нелегитимному получателю · технология кластеризации данных\документов · транскрибация аудиоданных · интеллектуальная категоризация скриншотов	- словари; - регулярные выражения; - морфологический анализ; - анализ метаданных файлов; - цифровые отпечатки: - текстовые; - табличные; - бинарные данные; - базы данных; - архивы; - иные; - графические отпечатки: - растровые; - векторные; - распознавание изображений различных типов документов: - паспорта; - банковские карты; - печати; - схемы; - чертежи; - оптическое распознавание символов: - Tesseract; - ABBYY FREE; - распознавание документов по шаблонам: финансовые указаны только самые популярные словари, их больше	словари, стемминг, транслитерация, регулярные выражения, морфологический анализ, анализ метаданных файлов, цифровые отпечатки (текстовые, табличные, бинарные данные, базы данных, иные), графические отпечатки (растровые, векторные), распознавание изображений различных типов документов (паспорта, банковские карты, печати, схемы, чертежи и т.д.), оптическое распознавание символов (Finereader, Tesseract), распознавание документов по шаблонам (включая финансовые документы, корпоративные бланки, конструкторскую документацию и т.д.), нейросети и машинное обучение (собственные разработки) и другие.	Лингвистический анализ. Поиск по ключевым словам и фразам и словарям с точным или частичным совпадением. Детектирование текста (OCR) Использование регулярных выражений Поиск по словарям, возможность создания пользовательских словарей Сигнатурный анализ (MIME) Детектирование бланков Морфологический анализ Обнаружение зашифрованных архивов Поиск по меткам Обнаружение печатей в документах Оптическое распознавание текста (технология OCR) Определение категории изображения с помощью обученного ИИ (Паспорта, печати, банковские карты) Распознавание речи Speech to text	Словари (больше 160 предустановленных, возможность создавать собственные словари, языки: русский, английский); Регулярные выражения (больше 100 предустановленных, возможность создавать собственные выражения); Анализ метаданных файлов (свойства документов); Цифровые отпечатки (текстовые, бинарные); Типы файлов (сигнатуры); Составные группы; Дополнительно: морфологический анализ, оптическое распознавание символов (OCR), определение похожих символов, транслитерация, веса, пороги срабатывания и пр.	КИБ поддерживает все указанные технологии и имеет некоторые уникальные. · Предустановленные словари для русского, английского, арабского и других языков. · Предустановленные регулярные выражения для популярных типов данных для разных стран: Россия, Европа, Южная Америка и т.д. · Морфологический анализ – поддерживает более 10 языков · Анализ метаданных файлов · Цифровые отпечатки · Графические отпечатки · Распознавание изображений различных типов документов (при помощи ИИ) · Оптическое распознавание символов при помощи OCR-систем ContentAI, Tesseract и Nicomsoft. · Поиск похожих. Распознавание любых документов и текста в них заданному по шаблону; · Нейросети и машинное обучение. С их помощью система, например, классифицирует изображения и выявляет наличие на документе корпоративной печати. Используемый тип нейросетей не разглашается. · Поиск похожих Единственное исключение – не предусмотрены омоглифы.	Словари, регулярные выражения, морфологический анализ, цифровые отпечатки, встроенная нейросеть для распознавания лиц
3.5. Перечень контролируемых типов файлов;	1) Adobe Acrobat (*.pdf) 2) Ami Pro (*.sam) 3) Ansi Text (*.txt) 4) ASCII Text 5) ASF (метаданные) (*.asf) 6) CSV (Comma-separated values) (*.csv) 7) DBF (*.dbf) 8) DjVu 9) DWG 10) DXF 11) EBCDIC 12) EML files (электронные письма, сохраненные Outlook Express) (*.eml) 13) Enhanced Metafile Format (*.emf) 14) Eudora MBX файлы сообщений (*.mbx) 15) Flash (*.swf) 16) GZIP (*.gz) 17) HTML (*.htm, *.html) 18) JPEG (метаданные) (*.jpg) 19) Lotus 1-2-3 (*.wk?, *.123) 20) MBOX архивы электронных писем (включая Thunderbird) (*.mbx) 21) MHT-архивы (HTML-архивы, сохраненные Internet Explorer) (*.mht) 22) Microsoft Access (*.mdb) 23) Microsoft Access 2007 (*.accdb) 24) Microsoft Document Imaging (*.mdi) 25) Microsoft Excel (*.xls) 26) Microsoft Excel 2003 XML (*.xml) 27) Microsoft Excel 2007 (*.xlsx) 28) Microsoft Open XML Paper Specification (*.oxps) 29) Microsoft Outlook (OST) 30) Microsoft Outlook Express 5 и 6: базы сообщений (*.dbx) 31) Microsoft PowerPoint (*.ppt) 32) Microsoft Rich Text Format (*.rtf) 33) Microsoft Searchable Tiff (*.tiff) 34) Microsoft Word 2003 XML (*.xml) 35) Microsoft Word 2007 (*.docx) 36) Microsoft Word for DOS (*.doc) 37) Microsoft Word for Windows (*.doc) 38) Microsoft Works (*.wks) 39) MIME-сообщения 40) MP3 (метаданные) (*.mp3) 41) MSG files (электронные письма, сохраненные Outlook) (*.msg) 42) Multimate Advantage II (*.dox) 43) Multimate version 4 (*.doc) 44) OpenOffice версий 1, 2 и 3: документы, электронные таблицы и презентации (*.sxc, *.sxd, *.sxi, *.sxw, *.sxg, *.stc, *.sti, *.stw, *.stm, *.odt, *.ott, *.odg, *.otg, *.odp, *.otp, *.ods, *.ots, *.odf) (включая OASIS Open Document Format для офисных приложений) 45) OST (внутренний формат Microsoft Outlook) 46) Quattro Pro (*.wb1, *.wb2, *.wb3, *.qpw) 47) TAR (*.tar) 48) TIFF (*.tif) 49) TNEF (winmail.dat) 50) Treepad HJT (*.hjt) 51) Unicode (UCS16, порядок байтов Mac или Windows, или UTF-8) 52) Windows Metafile Format (*.wmf) 53) WMA видео (метаданные) (*.wma) 54) WMV видео (метаданные) (*.wmv) 55) WordPerfect (5.0 и выше) (*.wpd, *.wpf) 56) WordPerfect 4.2 (*.wpd, *.wpf) 57) WordStar 2000 58) WordStar версий 1, 2, 3, 4, 5, 6 (*.ws) 59) Write (*.wri) 60) XBase (включая FoxPro, dBase и другие совместимые с XBase форматы) (*.dbf) 61) XML Paper Specification (*.xps) 62) XSL 63) XyWrite 64) ZIP (*.zip)	1) распаковка архивов (7z, exe, xz, lzh, gz, bzip, bz2, tar, arj, rar, zip, zipx, cab, uha, zlib); 2) детектирование по сигнатуре: • архивы (z, lzw); • базы данных (ace, mdb, accdb, dmp, mxl, vcs, vcsrd, bak, trn, full, dt, cf); • мультимедиа (cdr, ico, jxr, hdp, wdp, mov, ape, flac, wma, wmv, asf, mp3, wav, mpg, ogg, avi, m4a, aac, flv, mp4, ai, tif, tiff, pcl, pgm, zjs, wmf, jp2, gif, emf, ppm, wmf, svg, sun, ras, rast, rs, sr, scr, im1, im8, im24, im32, jpeg, jpg, jpe, pbm, png, psd, bmp, WebP); • конструкторские файлы (CATPart, CATProduct, CATDrawing, CATProcess, CATAnalysis, CATCatalog, CATMaterial, plt, sldprt, sldasm, slddrw, prtdot, asmdot, drwdot, prt, cdw, m3d, a3d, a3t, cdt, spt, spw, frt, frw, kdt, kdw, m3t, t3d, dgn, rvt, rfa, fbx, step, stp, igs, sat); • исполняемые файлы и библиотеки (rpm, so, exe, dll); • другие файлы (xlsb, eml, der, p7s, ink, p7m, otf, torrent, gpg, pgp, gpg, asc, kdb, kdb2, wim, evtx, mxf); • файлы без форматов (Gerber Technology file, Vector Data); 3) детектирование и извлечение текста: • конструкторские файлы (dwg, dwt, dws); • презентации (ppt, pptx, pot, potm, potx, odp); • таблицы (xls, xlsx, xlt, xltm, xltx, ods, xlsb); • документы (doc, docx, dot, dotx, docm, odt, pdf, txt, rtf, tsv, csv, stg, json, jsn, chm, pub, vsd, vsdx, html, html, xml, oxps, xps, djv, djvu, epub); • почтовые сообщения (tnef, tnf, winmail.dat, msg); • другие файлы (odg, mpp, iso, oxps, xps); • файлы без форматов (Microsoft Compound Binary File)	- .xml: XML-файл; - .htm, .html: HTML-страница; - .doc, .docx: Документ Microsoft Word; - .pdf: Документ PDF; - .ps, .eps: Файлы Postscript; - .rtf: Текстовый документ; - .zip: Архив формата Zip; - .xz: Контейнер для архивов формата tar; - .rar: Архив формата RAR; - .7z: Архив формата 7-Zip; - .arj: Архив формата ARJ; - .ace: Архив формата ACE; - .lzh, .lha: Архив формата LHA; - .xls, .xlsx: Электронная таблица Excel; - .rar: Самораспаковывающийся архив RAR; - .accdb, .mdb: База данных Access; - .ppt, .pptx: Презентация PowerPoint; - .vsd: Схема Visio; - .dat: Outlook или Microsoft Exchange Server; - .msg: Почтовое сообщение Microsoft Outlook; - .odt: Текстовый документ OpenOffice; - .ods: Электронная таблица OpenOffice; .odp: Презентация OpenOffice. указаны только самые популярные файлы, их больше	Более 300	Контроль не зависит от типа файла	Офисные документы, PDF, почтовые сообщения, архивы, изображения, чертежи, аудио/видео, базы данных, исполняемые файлы, сертификаты безопасности, файлы виртуальных машин и пр.	DOCX, PPTX, RTF, JPG, PNG, TIF, AVI, SQL, BAS, HTML и 100+ других.	zip, 7z, rar, txt, csv, htm, html, eml, mht, pdf, doc, docx, xlsx, pptx, odt, ods, odp, odg
3.6. Перечень контролируемых атрибутов (свойств) файлов (включая EXIF-данные, метаданные офисных документов, свойства PE-файлов и т.д.);	Все основные атрибуты файлов	метаданные офисных документов - Название; Тема; Ключевые слова (теги); Категории; Комментарии (примечания, заметки); Авторы; Кем сохранен; Редакция; Имя программы; Организация; Руководитель; Дата создания; Дата сохранения (изменения); Состояние содержимого; Тип содержимого; Шаблон; Дополнительные свойства	под Дозор поддерживает: - EXIF - Свойства офисных документов - MIME-атрибуты почтовых сообщений	Все, поддерживаемые ОС	Нет	Имя, размер, дата изменения, наличие пароля, процент содержания текста, метаданные офисных документов (заголовок, тема, теги, компания, менеджер, комментарии, авторы, категории, кем сохранен), метки и прочие классификационные поля (например, Boldon James Classifier), идентификаторы отправителей и получателей документа, и др.	Имя, размер, тип, метаданные для офисных документов, файл защищен паролем или зашифрован.	н/д
3.7. Поддержка определения типов файлов по сигнатурам («магические байты/числа»), с помощью контентного анализа, иными способами (перечислить);	Да	Определение типов файлов по сигнатурам – да С помощью контентного анализа - да	Поддерживаются определение по сигнатурам, с помощью контентного анализа, эвристические методы определения форматов, статистические методы определения кодировок текстовых файлов	По контенту и mime-типу	Возможность поиска по контексту документа. Определение типа файла по сигнатуре (защита от сокрытия типа файла)	Да (в рамках контентного анализа, протоколирования в журналах, отчетов и поисковых задач)	Да, возможен поиск файлов с измененным типом по сигнатурам. (сигнатура это и есть специальный код)	Нет
3.8. Поддержка файловых контейнеров, криптоконтейнеров, виртуальных жестких дисков (перечислить);	Анализ выполняется на уровне файловой системы независимо от типов контейнеров.	Контейнеры – да Криптоконтейнеры – да виртуальные жесткие диски - нет	Поддерживаются архивы и ISO-образы	Поддерживаемые ОС	Нет	Да (Рутокен, JaCarta, Windows BitLocker To Go и пр.).	ISO-образы	Нет
3.9. Поддержка архивов (включая зашифрованные, многотомные, намеренно поврежденные) с различными алгоритмами сжатия (перечислить поддерживаемые форматы/типы архивов, поддерживаемые алгоритмы сжатия, поддерживаемые алгоритмы шифрования, указать максимальный уровень вложенности контролируемых архивов);	Поддерживаются все алгоритмы сжатия и шифрования, используемые во встроенном архиваторе Windows, 7-Zip, PKZIP, WinRar, и др. Для поврежденных и многотомных архивов выполняется распаковка доступного содержимого с последующим анализом. Для архивных файлов выставляется метка, позволяющая выполнить дополнительную обработку.	распаковка архивов (7z, exe, xz, lzh, gz, bzip, bz2, tar, arj, rar, zip, zipx, cab, uha, zlib); детектирование по сигнатуре: архивы (z, lzw); максимальный уровень вложенности контролируемых архивов до 32	- zip: Архив формата Zip; - .rar: Архив формата RAR; - .7z: Архив формата 7-Zip; - .arj: Архив формата ARJ; - .ace: Архив формата ACE; .lzh, .lha: Архив формата LHA. Расшифровка архивов с помощью списка паролей, поддержка распаковки многотомных архивов, хранящихся на сетевых дисках. Перечень форматов архивов перечислен в «Справочнике пользователя». Максимальный уровень вложенности - 100	Да, с любым уровнем вложенности, а также запароленные	Определение зашифрованных архивов. Работа с обычными архивами, анализ содержимого до 5 уровней вложений.	Да 7z (.7z), ZIP/ARZip (.zip), GZIP (.gz, .gzip, .tgz), BZIP2 (.bz2, .bzip2, .tbz2, .tbz), TAR (.tar);RAR(.rar), CAB (.cab), ARJ (.arj), Z (.z, .taz), CPIO (.cpio), RPM (.rpm), DEB (.deb), LZH (.lzh, .lha), CHM (.chm, .chw, .hxs), ISO (.iso), UDF (.iso), COMPOUND (.msi), WIM (.wim, .swm), DMG (.dmg), XAR (.xar), HFS (.hfs), NSIS (.exe), XZ (.xz) , MsLZ (.mslz), VHD (.vhd), FLV (.flv), SWF (.swf) и пр. Уровень вложенности не ограничен. Многотомные, зашифрованные и поврежденные архивы не анализируются, их передача может быть как заблокирована, так и разрешена в зависимости от настроек.	ZIP, Z, RAR, JJA, CAB, TAR, LZMA, ISO, BZ2, 7Z и др. в том числе многотомные, зашифрованные и поврежденные. Поддерживаются все алгоритмы сжатия и шифрования указанных форматов и типов архивов. Ограничений на вложенность нет, внедрена защита от zip-бомб.	Незашифрованные zip,7z,rar
3.10. Поддержка вложенных объектов и файлов (OLE/VBA/XML-вложения в офисных документах, вложения в PDF-файлах и т.д.) (перечислить).	Проводится анализ всех внедренных объектов в офисных документах и PDF-файлах. Для анализа связанных объектов требуется наличие исходного файла из которого осуществлялась вставка объекта.	Да	Поддерживаются извлечение данных из вложенные офисных документов (OLE-объекты) и вложенных PDF документов.	Да, все вложения	Нет	Да (множество)	Система может извлекать OLE/VBA/XML-объекты из офисных документов. Выявлять скрытые слои в PDF-файлах.	н/д
4. Функционал агентских компонентов
4.1. Перечень поддерживаемых типов физических устройств (под управлением ОС Windows, Linux, macOS, мобильных ОС и т.д. с указанием поддерживаемых версий ОС) с описанием контролируемого периферийного оборудования на каждом из типов (USB/MTP/PTP-устройства, приводы, съемные носители, картридеры, дисковые накопители, сетевые диски, беспроводные адаптеры, принтеры, иные внешние устройства);	Поддерживаются все перечисленные типы физических устройств для десктопных и серверных версий Windows, Linux, macOS. Мобильные ОС не поддерживаются.	ОС Windows (Microsoft Windows 7 Service Pack 1; Microsoft Windows 8 и 8.1; Microsoft Windows 10; Microsoft Windows 11; ¹Microsoft Windows Server 2008 R2; Microsoft Windows Server 2012; Microsoft Windows Server 2012 R2; Microsoft Windows Server 2016; Microsoft Windows Server 2019; Microsoft Windows Server 2022;): · Флоппи-дисковод · CD/DVD · MTP совместимое устройство (устройства, подключаемые через MTP- или PTP-протокол) · Параллельный порт (LPT) · Последовательный порт (COM) · Локальный принтер (подключаемый через интерфейс USB, IEEE 1394, SCSI и пр.) · Устройства работы с изображениями (видеокамеры, сканеры) · Bluetooth устройство · IrDA устройство · Другое USB устройство · FireWire · Модем · Считыватель смарт-карт (Smart Card Reader) · Ленточный накопитель · Многофункциональное устройство · PCMCI устройство · Сетевой адаптер USB · Сетевой принтер · КПК (карманные компьютеры под управлением операционных систем Windows Mobile и Palm OS) Linux (Astra Linux Special Edition 1.7 в редакциях «Орел» (x64), «Воронеж» (x64) и «Смоленск» (x64); Astra Linux Special Edition 1.8.1.16 в редакциях «Орел» (x64), «Воронеж» (x64) и «Смоленск» (x64); РЕД ОС 7.3; РЕД ОС 8.0; Альт Рабочая станция 10): · Съемное устройство хранения; · MTP-устройство; · CD/DVD; · Флоппи-диск.	Dozor Endpoint Agent может контролировать содержимое внешних устройств (флеш-накопителей, карт памяти и внешних жестких дисков), подключенных через USB-порт к рабочим станциям сотрудников компании, а также смартфонов, фотоаппаратов и проч. по протоколу MTP. Доступно ведение базы экземпляров USB-устройств, которая может пополняться как вручную, так и автоматически	Любые подключаемые устройства	USB устройства CD/DVD-ROM Мобильные устройства (MTP) Bluetooth-устройства COM&LPTпорты Модемы Мультимедиа устройства Windows 7; Windows 10; Windows Server 2016, 2019 Linux ALT8 Ubuntu Astra Без привязки к версии ядра macOS 11 (Big Sur) macOS 12 (Monterey) macOS 13 (Ventura)	Windows: Любые устройства, подключенные к USB-порту (USB HID, устройства хранения, аудиоустройства, камеры, сканеры и пр); Любые устройства, подключенные к FireWire-порту (IEEE 1394); Любые устройства, подключенные к ИК-порту (IrDA); Любые устройства, подключенные к Параллельному порту (LPT); Любые устройства, подключенные к Последовательный порту (COM); Bluetooth-адаптеры c любым интерфейсом подключения USB, PCMCIA и т. д.); Съемные устройства с любым интерфейсом подключения (USB, FireWire, PCMCIA, IDE, SATA, SCSI и т. д.); Принтеры (локальные, сетевые, виртуальные) с любым интерфейсом подключения (USB, LPT, Bluetooth и т. д.); MTP-устройства (включая телефоны на базе Android) любым интерфейсом подключения (USB, IP, Bluetooth); iPhone-устройства (iPhone, iPod Touch и iPad); Оптические приводы (CD, DVD, BD)с любым интерфейсом подключения (IDE, SATA, USB, FireWire, PCMCIA и т. д.); Гибкие диски с любым интерфейсом подключения (IDE, USB, PCMCIA и т. д.); Жесткие диски с любым интерфейсом подключения (IDE, SATA, SCSI и т. д.); Ленточные накопители с любым интерфейсом подключения (SCSI, USB, IDE). Linux: Любые устройства, подключенные к USB-порту (USB HID, устройства хранения, аудиоустройства, камеры, сканеры и пр); Съемные устройства (USB); Принтеры (локальные, сетевые, виртуальные) с любым интерфейсом подключения (USB, LPT, Bluetooth и т. д.).	Весь указанный ниже функционал распространяется на рабочие станции под управлением · Windows 8 и выше. · Alt Linux 10,11 · Astra Linux Special Edition 1.6, Special Edition 1.7 (включая защищенные версии), 1.8. · Debian 12.11 · RedOS 7.3.2, 8.0, 8.0.2 · SberOS 3.4 · Ubuntu 22.04 и 24.04 · Monterey 12.1 и выше, Ventura 13.3 и выше, Sonoma 14.0 и выше, Sequoia 15.0 и выше, Tahoe 26.0 и выше. Рабочие станции и сервера под управлением OC Windows · Аудит + Запрет доступа: 1. USB HID устройства (кроме клавиатур и мышей) 2. Принтеры (USB) 3. Сканеры (USB) 4. Токены 5. Сетевые адаптеры (USB) 6. Все устройства USB (кроме концентраторов) 7. COM-порты 8. LPT-порты 9. Сетевые адаптеры 10. Принтеры 11. ИК порты 12. Медиа устройства 13. HID устройства (кроме клавиатур и мышей) 14. Клавиатура и мышь 15. FireWire 16. Смарт карты 17. КПК 18. Ленточные накопители 19. Блокировка папок 20. Блокировка дисков 21. Процессы 22. Модемы (PPP соединение) 23. Wi-Fi · Аудит + Запрет доступа + Теневое копирование: 1. Устройства хранения USB 2. CD/DVD-ROM 3. Bluetooth 4. Камеры/Сканеры 5. Floppy диски 6. SCSI 7. Сетевые папки 8. Буфер обмена 9. Контроль RDP: ▪ Клиент (буфер обмена, подключение к ПК по RDP) ▪ Сервер (буфер обмена, диск подключаемый по RDP, принтер, RDP-сеанс, Токен/Смарт-карта) 10. Переносные устройства: ▪ Android ▪ Apple ▪ Blackberry ▪ Palm ▪ Windows Phone Все переносные устройства Рабочие станции и сервера под управлением OC Linux · Аудит + Запрет доступа: 1. USB HID устройства (кроме клавиатур и мышей) 2. Принтеры (USB) 3. Сканеры (USB) 4. Токены 5. Сетевые адаптеры (USB) 6. Все устройства USB (кроме концентраторов) 7. Процессы 8. Bluetooth · Аудит + Запрет доступа + Теневое копирование: 1. Устройства хранения USB 2. Сетевые папки Рабочие станции и сервера под управлением OC MacOS Теневое копирование информации, хранящейся на подключаемом USB-устройстве.	Клиент (Windows): XP(SP3)/ 2003/ Vista/ Win7/ 2008/ Win8/ 2012/ Win10/11/ 2016/ 2019/ 2022 и более поздние ОС (32/64-бит) USB/MTP-устройства, съемные носители, дисковые накопители, сетевые диски, беспроводные адаптеры, принтеры. Linux: ALT Workstation 10.1 x86_64 ALT Workstation 10.2 x86_64 ALT Workstation 10.3 x86_64 ALT 8 СП Релиз 10 x86_64 AlterOS 9 x86_64 Astra Linux Special Edition 1.7 (Orel) Astra Linux Special Edition 1.8 (Orel) CentOS 9 x86_64 Fedora Linux 40 Workstation Edition (Gnome) Fedora Linux 41 Workstation Edition (Gnome) Debian 11 amd64 (GNOME, Xfce, KDE Plasma, Cinnamon, MATE, LXDE) Debian 12 amd64 (GNOME, Xfce, KDE Plasma, Cinnamon, MATE) Linux Mint 20 64-bit [4] [6] (Cinnamon, Mate) Linux Mint 21 64-bit [4] [6] (Cinnamon, Mate) Linux Mint 22 64-bit [4] [6] (Cinnamon, Mate) Инферит MSVSphere 9 x86_64 Ubuntu 20 LTS Desktop amd64 Ubuntu 22 LTS Desktop amd64 Ubuntu 24 LTS Desktop amd64 Xubuntu 20 LTS Desktop amd64 Xubuntu 22 LTS Desktop amd64 Xubuntu 24 LTS Desktop amd64 РЕД ОС 7.3 x86_64 РЕД ОС 8 x86_64 Rosa Chrome 12 x86_64 macOS / OS X: macOS 10.14 Mojave macOS 10.15 Catalina macOS 11.0 Big Sur 64-bit Intel / 64-bit ARM macOS 12.1 Monterey 64-bit Intel / 64-bit ARM macOS 13 Ventura 64-bit Intel / 64-bit ARM macOS 14 Sonoma 64-bit Intel / 64-bit ARM macOS 15 Sequoia 64-bit Intel / 64-bit ARM
4.2. Перечень поддерживаемых типов виртуальных устройств (системы виртуализации, VDI, терминальные серверы и т.д. с указанием поддерживаемых версий средств виртуализации) с описанием контролируемого периферийного оборудования на каждом из типов (подключенные диски, перенаправленные устройства, устройства USB-over-IP, иные внешние устройства);	Полная совместимость с технологиями, используемыми в системах виртуализации от VMware, Microsoft, Proxmox, Citrix и др.	Microsoft RDP и Citrix ICA: · Терминальный принтер · Терминальный порт (порты тонкого клиента) · Терминальное самонастраиваемое устройство (например, смартфоны) Терминальное устройство хранения	Citrix XenDesktop, XenServer; VMWare vSphere ESXi; Hyper-V; KVM.	Любые устройства в ОС	Определенного списка нет.	Microsoft Remote Desktop Services, Citrix XenDesktop / XenApp, Citrix XenServer, VMware Horizon View, VMware Workstation, VMware Player, Oracle VM VirtualBox, Windows Virtual PC, Базис. Контролируются: Буфер обмена между рабочей станцией и терминальной сессией / средой виртуализации, подключенные диски (жесткие, съемные, оптические), перенаправленные USB-устройства (в том числе через USB-over-IP) и COM-устройства.	КИБ работает с виртуальной инфраструктурой на VMware ESX/ESXi, Hyper-V, Citrix, Proxmox, в том числе российские VMManager, zVirt, Альт Сервер Виртуализации, VeiL, ROSA Virtualization и др., имеется поддержка VDI, терминальные серверы (Windows и Linux) и другими виртуальными устройствами актуальных версий. Поддерживается функционал из пункта 4.1 доступный в указанных средах.	Системы виртуализации, VDI, терминальные серверы
4.3. Поддерживаемые способы установки и первичной настройки агента (локально, удаленно, поддержка централизованной установки, поддержка систем автоматизации для централизованной установки и настройки, поддержка выбора устанавливаемых модулей, поддержка включения/отключения определенного функционала на выбранных агентах при установке);	Существует три способа установки агентов на рабочие станции под управлением операционных систем семейства Windows: 1. Централизованная установка из Консоли администратора под управлением Сервера контроля агентов (установка на указанные компьютеры или на компьютеры службы каталогов) 2. Установка через групповые политики службы каталогов. 3. Установка вручную с помощью установочного файла или с использованием командной строки	Локально, удаленно, поддержка централизованной установки через консоль управления агентами, через групповые политики GPO, поддержка систем автоматизации для централизованной установки и настройки, поддержка выбора устанавливаемых модулей, поддержка включения/отключения определенного функционала на выбранных агентах при установке	Все указанные способы.	Локально, удалённо, групповыми политиками или собственным инсталлятором	Удаленная установка агента через центральную консоль управления	Локально, удаленно (через групповые политики, сервер управления, консоль управления), поддержка централизованной установки (через групповые политики, сервер управления), поддержка систем автоматизации (установка через Ansible).	Поддерживается установка агента разными способами: локальная (вручную), удаленно через внешние системы распространения ПО (SCСM, Касперский и др.), через средства GPO, а также централизованно из консоли Системы. Доступен выбор устанавливаемых модулей контроля на агенте, а также возможность включении/отключения определенного функционала на выбранных агентах при установке.	Локально, удаленно, поддержка централизованной установки, поддержка систем автоматизации для централизованной установки и настройки
Для пунктов 4.4 - 4.14 следует указать тип ОС и устройств (физических и виртуальных), поддерживающих указанный функционал:
4.4. Контроль буфера обмена (текст, изображения, скриншоты, объекты, файлы и т.д.);	Да	Перехват только текста, применяется на компьютерах под управлением операционных систем MS Windows, РЕД ОС и Альт Рабочая станция	Модуль Endpoint Agent обеспечивает перехват данных на этапе их копирования в буфер обмена и блокирование операции копирования (при соответствующей политике) путём очищения буфера обмена. С помощью Dozor Endpoint Agent можно контролировать передачу данных через буфер обмена (текст, изображения, файлы)	Все объекты	Да	Локальный буфер обмена (Windows) Терминальный буфер обмена (Windows, Linux)	Windows – полный контроль буфера обмена (текст, файлы, изображения, скриншоты и т.д.), в том числе блокировка по содержимому. Linux – контроль буфера обмена доступен только в части перехвата текста, в том числе блокировка по содержимому. MacOS – контроль буфера обмена доступен только в части перехвата текста	Windows, Linux, MacOS
4.5. Перечень поддерживаемых офисных приложений (текстовые редакторы, редакторы таблиц, редакторы презентации, редакторы PDF и т.д.);	Осуществляется перехват всех офисных приложений. Доступна категоризация приложений и последующий контроль доступа к приложениям в соответствии с установленными категориями. Доступна как предустановленная категоризация (110 категорий, содержащих более 4000 приложений), так и пользовательская.	Поддерживаем все офисные приложения	- ОС Windows версий: - MS Office; - Open Office; - PDF-просмотрщики; - ОС Linux версий: - MS Office; - Open Office; - PDF-просмотрщики; - macOS версий: - MS Office; - Open Office; PDF-просмотрщики.	Более 100 приложений, используемых в корпоративной среде	Нет привязки к конкретным приложениям	MS Office, OpenOffice, StarOffice, OpenDocument, Adobe Acrobat и т.д. (Windows, Linux)	КИБ работает с любыми офисными приложениями, вне зависимости от их вида или версии. Если определенная функция реализована, то она будет работать в любой программе.	Windows, Linux, MacOS
4.6. Перечень поддерживаемых почтовых клиентов (MS Outlook, Mozilla Thunderbird, Evolution, «Р7-Офис. Органайзер» и т.д.) (указать текущие поддерживаемые версии ПО);	Почтовые клиенты контролируются на сетевом уровне, поэтому не важно какое ПО используется. Отдельно Outlook есть альтернативный контроль на уровне приложения – поддерживаются все версии.	Поддерживаем все клиенты, работающие по стандартному протоколу	Microsoft Outlook и Mozilla Thunderbird - любые почтовые клиенты, использующие стандартные сетевые протоколы: - SMTP; - POP3; - IMAP4;	Все основные	Нет привязки к приложению, работа с почтой ведется через сервер почты.	Например, MS Outlook, Mozilla Thunderbird, The Bat! и пр. Зависимостей от почтового клиента нет. (Windows)	Нет жесткой привязки к клиенту и его версии (независимо от ОС). Также на Windows доступна прямая интеграция с Outlook начиная с версии 2010.	Windows: Перехват входящих и исходящих писем (с вложениями) для: Microsoft Outlook – Exchange/IMAP/POP3/SMTP во всех случаях (с шифрованием и без), IBM Lotus Notes – вся исходящая почта, Outlook Express, Thunderbird, Bat, Mail – POP3/SMTP (с шифрованием и без).
4.7. Перечень поддерживаемых почтовых серверов (MS Exchange, Postfix, Exim, CommuniGate Pro и т.д.) (указать текущие поддерживаемые версии ПО);	Поддерживается работа с почтовыми серверами на базе MS Exchange и других систем, использующих протоколы POP3, SMTP и IMAP (Lotus Domino, Postfix, Sendmail, Zimbra и др.).	начиная с указанных версий и выше Exchange 2010/2007/2013/2016/2019, Exim4, Communigate 6.1.2 , MDaemon 14.0, Postfix 2.6.6 UserGate Mail Server 2.9.5, Zimbra 8.6.0, Mailion, Мой Офис почта, Яндекс почта 360, VK workspace почта, Lotus Domino	DLP-система Solar Dozor поддерживает почтовые серверы Microsoft Exchange, IBM Lotus Notes, CommuniGate Pro, Postfix, Exim, Zimbra , а также более 40 сервисов, использующих протоколы HTTPS, SMTP, IMAP и POP3	MS Exchange, Postfix, Exim, CommuniGate, IIS, Postfix и др.	MS Exchange Lotus Notes Контроль веб-почты: mail.ru,Gmail, Yahoo! Почта, Яндекс Почта, Рамблер/почта	MS Exchange (MAPI), CommuniGate Pro и пр. При использовании в почтовом клиенте стандартных почтовых протоколов (SMTP, POP3, IMAP) зависимостей от почтовых серверов нет. (Windows)	Нет жесткой привязки к почтовому серверу и его версии (независимо от ОС)	Нет
4.8. Перечень поддерживаемых клиентов для ВКС, взаимодействия и совместной работы (клиенты MS Teams, СommuniGate Pro, eXpress, MAX, SaluteJazz, Telegram, TrueConf, VK Teams, WhatsApp, Яндекс Телемост и т.д.) (указать текущие поддерживаемые версии ПО);	Telegram, Viber, WhatsApp, Lync, SIP, XMPP, ICQ, Агент Mail.ru, Yahoo, Hangouts, Slack, Discord, Microsoft teams, Zoom, RocketChat, Mattermost, Яндекс.Мессенджер, Яндекс.Телемост, WeChat, Signal, eXpress, VK Teams, TrueConf	Яндекс Мессенджер, Telegram, WhatsApp, ВК Мессенджер	В системе Solar Dozor предусмотрен контроль демонстрации экрана в средствах для ВКС или мессенджерах + блокировка - Telegram (Desktop/Web); - eXpress; - WhatsApp (Desktop/Web); - Skype (Desktop/Web); - Lync (Skype for Business/MS Communicator); - MS Teams; - Viber; - Zoom; RocketChat.	Все распространённые	Telegram WhatsApp Skype Jabber MS Lync VK Teams	Telegram, WhatsApp, TrueConf, Zoom, TamTam, IRC, Jabber, Viber (Windows)	Актуальные версии клиентов или браузеров в зависимости от работы с указанными сервисами: WhatsApp, Telegram, Slack, Mattermost, Rocket.Chat, Lotus, Skype, Viber, MSTeams/Lync, Facebook, МойМир, Вконтакте, Мамба, Однокласники, LinkedIn, Imo.Im, ChatQ, Yammer, ФотоСтрана, Instagram, Redhelper, Jivosite, WebIm, Hipchat, Discord, Bitrix24, Evernote, Zoom, XMPP, Output Messenger, True Conf, Webex, LINE, Yandex Telemost, Yandex, Messenger, Squadus, Matrix, Dion, Signal, Vinteo, SaluteJazz (Jazz by Sber), MAX, VK Teams, Express, Dialog и др.	Windows: Lync - сообщения и голос; Skype - сообщения и голос; Skype Web - сообщения; Slack - сообщения и голос; Slack Web - сообщения; MS Teams - сообщения и голос; MS Teams Web - сообщения; Viber - сообщения и голос; Telegram Web - сообщения; Telegram Desktop - сообщения и голос; Zoom Desktop - голос; WhatsApp Desktop - сообщения и голос; WhatsApp Web - сообщения; Webex Teams Desktop - голос; Webex Teams Desktop/Web - сообщения; Bitrix Web - сообщения; Bitrix Desktop - сообщения и голос; Myteam Web - сообщения; Myteam Desktop - сообщения и голос; VKTeams (Cloud) Web - сообщения; VKTeams (Cloud) Desktop - сообщения и голос; Yandex Messenger Web - сообщения; Yandex Messenger Desktop - сообщения и голос; eXpress Desktop - голос; eXpress Desktop/Web/Mobile - сообщения; TrueConf Desktop - голос; TrueConf Desktop/ Web/ Mobile - сообщения; Dion Desktop/Web/Mobile - сообщения; WeChat Desktop - голос; MTS Link Desktop - голос; Jazz Desktop - голос; Mail.ru Agent Desktop - голос.
4.9. Перечень поддерживаемых серверов для ВКС, взаимодействия и совместной работы (серверы СommuniGate Pro, eXpress, SaluteJazz, TrueConf и т.д.) (указать текущие поддерживаемые версии ПО);	eXpress, TrueConf, VK Teams	Мессенджеры и ВКС MS Teams, Skype for Business 2019, eXpress, TrueConf, VK Teams, IVA MCU, Squadus, DION чаты, Mattermost, Rocketchat, СБЕР Диалог, Freesbee. РосЧАТ Imwork, Tada Team, Контур Толк	TrueConf, Webinar, Яндекс.Телемост, SberJazz, Express, MTS Link	Все распространённые	TrueConf, Яндекс Телемост	Контроль осуществляется на уровне клиентов, см. п. 4.8.	Жесткой привязки к версии сервера нет. Упор идет на версии клиентов или браузеров в зависимости от работы с указанными сервисами: WhatsApp, Telegram, Slack, Mattermost, Rocket.Chat, Lotus, Skype, Viber, MSTeams/Lync, Facebook, МойМир, Вконтакте, Мамба, Однокласники, LinkedIn, Imo.Im, ChatQ, Yammer, ФотоСтрана, Instagram, Redhelper, Jivosite, WebIm, Hipchat, Discord, Bitrix24, Evernote, Zoom, XMPP, Output Messenger, True Conf, Webex, LINE, Yandex Telemost, Yandex, Messenger, Squadus, Matrix, Dion, Signal, Vinteo, SaluteJazz (Jazz by Sber), MAX, VK Teams, Express, Dialog и др.	Ннет
4.10. Перечень поддерживаемых веб-браузеров (указать текущие поддерживаемые версии ПО, указать методы интеграции - расширения/плагины, DLL injection, Content Analysis SDK и т.д.);	Mozilla Firefox, Internet Explorer, Google Chrome, Opera, Tor Browser, Yandex Browser, Rambler Browser, Atom, Chrominum, Microsoft Edge и др	Любой браузер, перехват на уровне протокола	Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex или Atom актуальной версии	Все основные	Google Chrome версии 80.0.3987 и выше; Mozilla Firefox версии 68.0.1 и выше; Opera версии 65.0.3467.78 и выше.	Яндекс Браузер, Google Chrome, Mozilla Firefox и пр. Зависимостей от веб-браузеров и их версий нет. (Windows)	Internet Explorer (с версии 8), Mozilla Firefox (с версии 50.1.0), Google Chrome (с версии 55.0.2883.87), Yandex Browser (с версии 16.11.0.2680), Opera (Presto) (с версии 36.0.2130.80), Opera (Chromium), Safari, Tor Browser, Netscape Navigator, Амиго (с версии 54.0.2840.189), Спутник (с версии 2.1.1051.0), Flock (с версии 02.06.2001), Avant Browser, Lunascape, Maxthon, SeaMonkey, K-Meleon, SlimBrowser , Edge (с версии 38.14), Comodo Dragon (с версии 52.15.25.664), CoolNovo (с версии 2.0.9.20), Cốc Cốc (с версии 56.3.150), Titan Browser (с версии 33.0.1712.0 (235591)), Uran (с версии 43.0.2357.134) Анализ трафика идет на сетевом уровне, для дешифровки используется MITM на конечной точке.	Windows: Google Chrome, Firefox, Firefox ESR, Internet Explorer, Chromium, Vivaldi, Yandex браузер, Opera, Edge, Tor Linux: Google Chrome,Firefox, Firefox ESR,Chromium, Vivaldi, Yandex браузер, Brave MacOS: Google Chrome,Firefox, Firefox ESR, Chromium, Vivaldi, Yandex браузер, Brave, Safari, Tor
4.11. Поддержка контроля доступа к веб-сайтам различных категорий (поисковые системы, файлообменники, веб-сервисы для ВКС, веб-сервисы для совместной работы, веб-почта, соцсети, блоги, форумы, поиск работы, отзывы о работодателях и т.д.) (перечислить);	Доступна категоризация сайтов и последующий контроль доступа к сайтам в соответствии с установленными категориями. Доступна как предустановленная категоризация (150 категорий, содержащих более 70000 сайтов), так и пользовательская с учетом субдоменов. Присутствует возможность блокировки доступа как к отдельным ресурсам, так и по категориям	Да, включая контентный анализ передаваемых данных. На основе встроенного каталогизатора веб-ресурсов (более 1 млн записей) Доступные категории: · Социальные сети · Файлообменники · Веб-почта · Поиск работы · Анонимайзеры · Потенциально опасные ресурсы · Развлечения · Сайты агрессивной направленности Финансы	Есть - веб-почта: - mail.ru; - yandex.ru; - gmail.com; - OWA; - передача/публикация пользователем сообщения на интернет-ресурсе; поисковый запрос.	Есть, более 100 категорий сайтов	Имеется гибкая настройка доступа к сайтам различной категрории.	Поисковые системы, файлообменники, веб-почта, социальные сети (включая блоги), сайты поиска работы, веб-версии мессенджеров. (Windows)	Поисковые системы, форумы и блоги, файлообменники, веб-сервисы для ВКС, веб-сервисы для совместной работы, веб-почта, соцсети, поиск работы, отзывы о работодателях и т.д., не ограничиваемся какой-то конкретной котегорией	Нет
4.12. Перечень поддерживаемых приложений для хранения, синхронизации и обмена файлами (Apple iCloud, Dropbox, MS OneDrive, Google Drive, Яндекс Диск, Облако Mail и т.д.) (указать текущие поддерживаемые версии ПО);	Dropbox, OneDrive, Яндекс.Диск, Google Диск, iCloud Drive, Облако Mail.ru	Агент: Google Drive DropBox YandexDisk OneDrive EverNote SugarSync + любое приложение при помощи технологии универсального перехватчика API: MFLASH, Vaulterix , Secretcloud, Valo Cloud ICAP: Синоникс	Google Drive Web (все ОС), Google Drive Desktop (MacOS), Yandex Disk Web (все ОС), Mail Cloud (Disk-O) Web (все ОС), Mail Cloud Desktop (MacOS), Dropbox Web (все ОС), iСloud Web (MacOS)	Все основные	Google Drive, OneDrive, DropBox, Яндекс.Диск, ОблакоMail.ru	VK WorkDisk, Яндекс Диск, Dropbox, 4shared, приложения для GitHub (GitHub Desktop, SmartGit, TortoiseGit), Google Drive, MEGAsync (Windows)	4shared, Acronis File Advanced, ADrive, Amazon S3, ASUS WebStorage, Box, Cloudian S3 storage, CloudMe, Disk Bitrix 24, disk-o.cloud, DropBox, DropMeFiles, Evernote, Google Docs, Google Drive, Google Colab, Hightail, iCloud, Inbox.com, MediaFire, MiMedia, My-Files, Nextcloud, Office 365, OneDrive, OpenDrive, OwnCloud, OziBox, Pcloud, Seafile, SharePoint, SkyDrive, SpiderOak, SugarSync, Syncplicity, Userscloud, Wondershare Document Cloud, АРМ ГС, Облако Mail.ru, СберДиск и Яндекс.Диск, wetransfer.com , mailbigfile.com и др.	Windows: любые, при условии что они выполняют синхронизацию с локальной папкой и эту папку поставить на контроль.
4.13. Перечень иных поддерживаемых приложений с потенциальными каналами утечки (FTP/FTPS/SFTP-клиенты, p2p-клиенты, IRC-клиенты и т.д.);	FTP/FTPS	Контроль запуска приложений, FTP, почта	На агентах поддерживается перехват произвольных приложений из справочника приложений. Включая описанные в вопросе клиенты.	Все основные	FTP/FTPS	Для FTP/FTPS, P2P-клиентов, IRC-клиентов зависимостей от приложения нет. Для SFTP – WinSCP. (Windows)	FTP-клиенты, а также перехват файлов, передаваемых в программах удаленного доступа: RDP, TeamViewer, RealVNC, Radmin, LiteManager, AnyDesk, Ассистент, RuDesktop	Нет
4.14. Перечень поддерживаемых на агентах сетевых протоколов, включая протоколы для передачи файлов, электронной почты, мгновенных сообщений, видео-трансляций, стандартные протоколы ОС (SSH, NFS, зашифрованный NFS, SMB, зашифрованный SMB), протоколы удаленного управления и администрирования и т.д. (указать версии протоколов, указать метод дешифрования агентом зашифрованного трафика - SSLKEYLOGFILE, WFP, eBPF, MITM на конечной точке и т.д.).	HTTP, SMTP, MAPI, IMAP, POP3	SMTP / SMTPS / ESMTP, SMB, IMAP, POP3, MAPI, XMPP, NRPC	Агент перехватывает данные, отправленные по протоколам HTTP/HTTPS/EWS, POP3, IMAP, SMTP, MAPI, SMB. Метод расшифровки трафика - MITM на конечной точке.	Все основные	SMB	HTTP/HTTPS (в т.ч. WebDAV), FTP/FTPS, SFTP, MAPI, IMAP, POP3, SMTP/SMTS, NRPC (HCL Notes / IBM Notes / Lotus Notes), IRC, Jabber (XMPP), OSCAR, SMB, Telnet, BitTorrent. Дополнительно – контроль Proxy-траффика, Tor-браузера. Методы WFP, MITM. (Windows)	Сетевые протоколы: HTTP(S), FTP(S), POP3(S), SMTP(S), IMAP(S), NNTP(S), MAPI(S), SMB, NFS, WebDAV(S). RDP, TeamViewer, RealVNC, Radmin, LiteManager, AnyDesk, Ассистент, RuDesktop (в зависимости от протокола используется разный метод дешифровки: MITM на конечной точке, WFP, внедрение в процесс и др.)	Перехват мессенджеров осуществляется иными, недокументированными возможностями.
5. Функционал сетевых компонентов (если присутствуют)
5.1. Перечень поддерживаемых сетевых протоколов, включая протоколы для передачи файлов, электронной почты, мгновенных сообщений, видеотрансляций, стандартные протоколы ОС (SSH, NFS, зашифрованный NFS, SMB, зашифрованный SMB, FTP, SFTP, FTPS, SCP, WebDAV, DFS и т.д.), протоколы удаленного управления и администрирования и т.д. (указать версии протоколов);	Контролируются все варианты шифрованных и незащищенных соединений для протоколов HTTP, POP3, SMTP, IMAP, MAPI, FTP, XMPP и др. Передача информации по сети контролируется на уровне драйвера сети. Передача файлов контролируется на уровне драйверов файловой системы.	HTTP(S) (включая разбор протоколов известных веб-почт, социальных сетей, файлшарингов) SMTP / SMTPS / ESMTP NRPC POP3 IMAP ActiveSync OWA	· HTTP(S)/Exchange Web Services, SMTP, POP3, IMAP, MAPI, Postfix, (перехват сообщений Outlook) · HTTP/HTTPS; по протоколу ICAP; icap; ftp; smb; cifs; smtp; pop3; imap; icq; xmpp; msn; mra; irc; skype; Oscar (перехват трафика) · LDAP over TLS, syslog, Cisco WebexAPI. · В Solar webProxy реализована поддержка протокола FTP over HTTP CONNECT для фильтрации клиентов FTP, например Filezilla и WinSCP. В Microsoft Forefront TMG поддерживается FTP, SMTP, POP3, IMAP. · Анализ и контроль файловых серверов Сервисы DFS, FTP, NFS, SMB EMC, NetApp · Веб-сервисы IIS, Apache HTTP Server, NGINX · Анализ и контроль рабочих станций Хранилища рабочих станций и ноутбуков на любой из ОС: Microsoft Windows, macOS, Linux · Виртуальные и терминальные сервисы Citrix XenApp, Citrix XenDesktop, Microsoft Windows Terminal Server, VMware vSphere ESXi, X Window System и др. · Серверы приложений GlassFish, JBoss, Tomcat, IBM Lotus Notes, WebSphere, WebLogic и др. · Почтовые серверы Microsoft Exchange Server, Яндекс 360, IBM Lotus Notes, CommuniGate, UserGate, Zimbra, Kerio Connect и др. Сетевое оборудование Принтеры, МФУ, сканеры, модемы, роутеры	Все основные	SMTP, POP3, HTTP, HTTPS, OSCAR(ICQ), NRPC(IBM Notes), IMAP, ICAP, FTP, NNTP, XMPP, MMP (Mail.Ru Агент), SKYPE, MAPI, WhatsApp, Telegram, SIP, SSDP, MGCP, SKINN, Megaco/H248, TrueConf/H.323, Kerberos 5	Контроль осуществляется на уровне агента (endpoint-решение). См. пп.4.1-4.14. Контроль на уровне шлюза – через интеграцию с решением Microolap EtherSensor.	IMAP, MAPI (без шифрования), POP3, SMTP, NNTP, WebMail, FTP, HTTP, ICQ, MMP, ICAP и другие.	Нет
5.2. Поддержка MITM/TLS-инспекции зашифрованного трафика (указать версии протоколов для дешифруемого трафика);	Да, поддерживаются актуальные версии TLS 1.2 и TLS 1.3.	Да. TLS 1.2	Поддерживаем вскрытие любых версий TLS, включая 1.3 (важно, чтобы ОС поддерживала) MITM с использованием Traffic Analyzer	Да, до версии TLS 1.3	MITM на агенте	Контроль осуществляется на уровне агента (endpoint-решение). См. пп.4.1-4.14. Контроль на уровне шлюза – через интеграцию с решением Microolap EtherSensor.	Инспекция зашифрованного трафика производится средствами сетевого оборудования. Например, прокси-сервера.	Нет
5.3. Метод установки решения в сетевую инфраструктуру (SPAN-порт, «в разрыв», ICAP-интерфейс);	- перехват данных агентскими модулями, установленными на рабочие станции пользователей; - перехват сообщений электронной почты, проходящих через почтовые серверы; - перехват трафика, передаваемого через прокси-сервер компании по протоколу HTTP и его шифрованному аналогу; централизованный перехват сетевого трафика путем зеркалирования трафика на SPAN-порт сетевого коммутатора	SPAN-порт, ICAP-интерфейс (включая работу «в разрыв») Почтовый SMTP relay (включая работу «в разрыв»)	ICAP, протокол SPAN, SPAN-порт, Port Mirroring	SPAN-порт, «в разрыв», ICAP-интерфейс	SPAN-порт, ICAP-интерфейс.	Контроль осуществляется на уровне агента (endpoint-решение). См. пп.4.1-4.14. Контроль на уровне шлюза – через интеграцию с решением Microolap EtherSensor.	SPAN-порт, «в разрыв», ICAP-интерфейс	Нет
5.4. Поддержка извлечения файлов из трафика, анализ веб-сессий, переданных/полученных сообщений;	Да	Да	Поддерживается в полной мере	Да	Да	Контроль осуществляется на уровне агента (endpoint-решение). См. пп.4.1-4.14. Контроль на уровне шлюза – через интеграцию с решением Microolap EtherSensor.	Да	Нет
5.5. Поддержка контроля доступа к веб-сайтам различных категорий (поисковые системы, файлообменники, веб-сервисы для ВКС, веб-сервисы для совместной работы, веб-почта, соцсети, блоги, форумы, поиск работы, отзывы о работодателях и т.д.) (перечислить).	Да. Доступна категоризация сайтов и последующий контроль доступа к сайтам в соответствии с установленными категориями. Доступна как предустановленная категоризация (150 категорий, содержащих более 70000 сайтов), так и пользовательская с учетом субдоменов. Доступна блокировка сайтов по категориям	Да, включая контентный анализ передаваемых данных. На основе встроенного каталогизатора веб-ресурсов (более 1 млн записей) Доступные категории: · Социальные сети · Файлообменники · Веб-почта · Поиск работы · Анонимайзеры · Потенциально опасные ресурсы · Развлечения · Сайты агрессивной направленности Финансы	Поддерживается и гибко настраивается.	Да, свыше 100 категорий	Нет	Контроль осуществляется на уровне агента (endpoint-решение). См. пп.4.1-4.14. Контроль на уровне шлюза – через интеграцию с решением Microolap EtherSensor.	Веб-почта, путешествия, стриминговые сервисы, развлечения, игры, знакомства, хакинг и множество других.	Нет
6. Функционал компонентов обнаружения данных (если присутствуют)
6.1. Поддержка безагентского, агентского режимов для обнаружения данных (указать, можно ли использовать стандартный DLP-агент или требуется использовать отдельный агент обнаружения);	-	Поддержка безагентского режима для обнаружения данных на сетевых хранилищах. Сканирование проходит по проколам SMB, FTP, SSH, WebDAV, MS Share Point.	Поддерживается безагентский и агентский режим, можно использовать DLP-агенты: EAW, EAM, EAL	И агентский, и безагентский	Возможность работы как без агентов, так и с стандартным DLP агентом	Безагентский режим, стандартный DLP-агент, самостоятельный Discovery-агент	Контроль осуществляется при помощи стандартного агента или сетевых компонентов.	Агентский режим для обнаружения данных. Использовать стандартный DLP-агент
6.2. Варианты настройки режимов обнаружения данных (вручную, по расписанию, по событию, при выполнении условий и т.д.);	-	Вручную или по расписанию	Вручную и по расписанию	Все. Определяются политиками	Вручную, при выполнении условий, по событию	Вручную, по расписанию	Вручную, по расписанию, по событию, при выполнении условий.	Вручную или по расписанию. Поиск документов по ключевым словам или регулярным выражениям внутри их содержимого. поддерживаются форматы: zip, 7z, rar, txt, csv, htm, html, eml, mht, pdf, doc, docx, xlsx, pptx, odt, ods, odp, odg
6.3. Варианты настройки целей обнаружения данных (автоматическое сканирование сети, импорт списка хранилищ, ручное задание целей и т.д.);	-	Ручное задание целей	Все варианты	Все. Определяются политиками	Ручное задание целей	Ручное задание целей	Импорт списка хранилищ, ручное задание целей	Локальные диски
6.4. Перечень поддерживаемых корпоративных файловых и облачных хранилищ;	Полноценный перехват облачного хранилища MEGA внутри компании. Поддерживается контроль корпоративных хранилища на базе популярных сервисов Dropbox, OneDrive, Яндекс.Диск, Google Диск, iCloud Drive, Облако Mail.ru	с web-клиентами сервисов облачного хранения (Google Drive, DropBox, YandexDisk, OneDrive, EverNote, SugarSync), корпоративные (MFLASH, Valo Cloud, Secret Cloud, Vaultize, NextCloud, АйтиБастион)	DFS, FTP, NFS, SMB	Любые хранилища	Облачные хранилиза: OneDrive (в т.ч. OneDrive Office 365 (Sharepoint)) Dropbox Google Drive Яндекс.Диск Облако Mail.ru	Amazon Cloud Drive, Box, Облако Mail.Ru, Copy, Dropbox, Google Drive, iCloud, MediaFire, OneDrive, SpiderOak, SugarSync, Яндекс.Диск.	Все корпоративные файловые хранилища, которые работают по протоколам SMB, NFS, FTP(s), SFTP, WebDAV. Облака: 4shared, Acronis File Advanced, ADrive, Amazon S3, Disk Bitrix 24, Google Docs, iCloud, Inbox.com и 30+ других	Нет
6.5. Перечень поддерживаемых СУБД;	Возможен анализ контента таблиц в СУБД Microsoft SQL Server, Oracle, PostgreSQL, MySQL, SQlite	PostgreSQL, Postgres Pro, Oracle, Jatoba, Pangolin, Tantor	· DB2 · Informix · Interbase · MS SQL · MySQL · Oracle · PostgreSQL · Sybase ЛИНТЕР	Все основные	PostgreSQL	Elasticsearch	MS SQL, PostgreSQL, PostgreSQL PRO	Нет
6.6. Перечень поддерживаемых типов архивов электронной почты;	Все типы архивов, поддерживаемых MS Outlook. Интеграция с архивом переписки MS Exchange и других почтовых сервисов, поддерживающих работу с транспортными правилами и ящиками журналирования.	PST	Файл данных MS Exchange Зашифрованное сообщение электронной почты или сертификат Почтовый ящик электронной почты Файл почтовых сообщений или новостей Windows Live Mail Сообщение MS Outlook с ограниченным доступом Файл MS Outlook Цифровая подпись (без сообщения, которое подписано) Сообщение электронной почты	Любые	Нет	-	PST, ZIP, RAR, TAR, ARJ, GZIP и др.	Нет
6.7. Поддержка обнаружения открытых общих («расшаренных») сетевых папок;	-	SMB, FTP, SSH, WebDAV, MS Share Point	Поддерживает	Да	Нет	Да	Да, при помощи интеграции с DCAP «СёрчИнформ FileAuditor».	Нет
6.8. Поддержка обнаружения данных на подключенных USB/MTP/PTP-устройствах, приводах, съемных носителях, дисковых накопителях, сетевых дисках, каталогах синхронизации с облачными сервисами и т.д.;	Контролируется на уровне агента для случаев передачи данных в направлении на накопитель, сетевой каталог. Для облачных хранилищ поддерживаются оба направления при синхронизации данных.	Нет	Поддерживает обнаружение агентами при копировании	Да	Нет	Да	Да. На USB-устройствах, схемных носителях, каталогах, сетевых дисках, HDD/SSD и т.д.	Нет
6.9. Обнаружение, классификация (с использованием поддерживаемых технологий анализа данных), индексация, архивирование (теневое копирование) обнаруженных данных (указать используемую технологию установки меток классификации / конфиденциальности к файлам - метаданные, ADFS, цифровые отпечатки и т.д.);	Доступна индексация файлов на рабочих станциях пользователей и последующий поиск по проиндексированным данным с целью обнаружения искомых файлов. Доступно удаленное скрытие, перемещение и удаление найденного файла на рабочей станции пользователя.	Да	Все указанные классификации или обнаружения присутствуют	Да, собственный категоризатор без отдельных внешних меток для обеспечения кроссплатформенности	Нет	Обнаружение	Обнаружение при пересылке или вводе, индекс и архивирование – да. Классификация – да, при помощи интеграции с DCAP «СёрчИнформ FileAuditor». Используемые метки классификации – метки классификации «СёрчИнформ FileAuditor» при помощи интеграции с ней и использования ее запатентованной технологии перехвата файловых потоков. А также использование меток других систем. Например, меток Microsoft Information Protection.	Нет
6.10. Ведение истории изменения свойств, мест хранения, прав доступа к данным, использования данных;	Аудит файловых операций, изменений прав доступа на уровне агента	Да	Реализовано в Solar DAG	Да, с помощью DCAP	Нет	Частично	Да, при помощи интеграции с DCAP «СёрчИнформ FileAuditor».	Нет
6.11. Построение отчетности (обнаруженные места хранения, новые сетевые папки, общий объем данных, распределение данных по типам, соотношение конфиденциальной и открытой информации, топ-10 пользователей активного доступа к данным и т.д.);	-	Да	Реализовано в Solar DAG	Да. Свыше 50 предустановленных шаблонов и видов отчётов	Нет	Частично	Да, при помощи интеграции с DCAP «СёрчИнформ FileAuditor».	Нет
6.12. Визуализация (построение карты данных, графов связей данных, маршрутов перемещения данных, карты инфраструктуры по результатам обнаружения и т.д.).	-	Да	Визуализацию маршрута файла нет. Поддерживается визуализация графа связей в Досье, визуализация активности сотрудника, визуализация аномалий поведения.	Да. + режим «Беседа» со сбором коммуникаций собеседников по различным каналам	Граф связей, маршрут перемещения данных	Нет	Да. Например, опция контентный маршрут покажет, как перемещался тот или иной файл. Больше опций доступно при интеграции с DCAP «СёрчИнформ FileAuditor».	Нет
7. Функционал компонентов анализа поведения пользователей (если присутствуют)
7.1. Источники информации о пользователях (электронная почта, мессенджеры, веб-браузинг, работа с приложениями, работа с устройством и т.д.);	Почтовая активность, активность в мессенджерах, веб-активность, FTP, передача и получение файлов с устройств, аудит устройств, работа с сетевыми ресурсами, облачными хранилищами, снятие снимков экрана, снимков веб-камеры, анализ активности ПК с учетом продуктивности/непродуктивности активных сайтов и приложений, отслеживание работы с принтерами, буфером обмена, информация с кейлогера, аудит файловых операций, индексирование рабочей станции с возможностью поиска, скрытия и удаления конфиденциальных файлов	Электронная почта, мессенджеры, веб-браузинг, работа с приложениями, работа с устройством, работа в облаках, вводимый текст, буфер обмена, статистика действий сотрудников	Все перечисленные присутствуют, для анализа поведения в UBA используются данные электронной почты и мессенджеров	Все	Да	Агент (использование устройств и сетевых каналов, запись дополнительной информации), службы каталогов	Все модули системы – почта, мессенджеры, работа с программами, в браузере, подключение устройств и т.д.	Электронная почта, мессенджеры, веб-браузинг, работа с приложениями, работа с устройством и т.п.
7.2. Поддержка контроля и записи вводимой информации (перечислить поддерживаемые типы устройств ввода - клавиатура, экранная клавиатура, мышь, сенсорный экран и т.д.);	Да, доступен просмотр информации с кейлогера	Клавиатура и мышь	Клавиатура, виртуальная клавиатура, мышь	Клавиатура, микрофон	Нет	Клавиатура	Контроль и логгирование информации, вводимой при помощи: · Экранной и обычной клавиатуры; · Компьютерной мыши; · Сенсорного экрана; · Микрофона; · Буфера обмена; и т.д.	Ввод через клавиатуру, экранную клавиатуру, мышь
7.3. Поддержка контроля и записи отображаемой информации: создание снимков экрана с определенной периодичностью, создание видеозаписи экрана, запуск и остановка видеозаписи при выполнении условий (перечислить поддерживаемые режимы записи - несколько мониторов, запись экрана при удаленном подключении, запись экранов при одновременном удаленном подключении к устройству нескольких пользователей и т.д.);	Доступно снятие снимков экрана с заданной периодичностью и по триггерам, запись с видеокамеры по заданному расписанию, создание видеозаписи экрана вручную и по заданному расписанию. Поддерживается возможность записи одновременно нескольких мониторов.	Создание снимков экрана с определенной периодичностью/в определенном приложении или веб-ресурсе/при смене активного в браузере) создание видеозаписи экрана (онлайн-запись, посещение веб-сайта, использование буфера обмена, использование приложения, ввод текста в приложении), запись идет только основного экрана. Запись звукового окружения и ее транскрибация (онлайн-запись, посещение веб-сайта, вход в активную сессию)	Присутствует (для ОС Windows и Linux): Можно одновременно записывать видео с нескольких экранов, максимальное число мониторов = 4	Да. Режим определяется политиками	Создание снимков экрана с определенной периодичностью, создание видеозаписи экрана	Создание видеозаписи экрана (с настраиваемым интервалом снятия скриншотов), запуск и остановка видеозаписи при выполнении условий, предзапись (запись до события), несколько мониторов, запись экрана при удаленном подключении, запись экранов при одновременном удаленном подключении к устройству нескольких пользователей, режим черно-белой записи, приостановка записи при неактивности пользователя, настраиваемое разрешение видеозаписи	КИБ поддерживает: · Создание скриншотов экрана · Создание видеозаписи экрана · Запись аудио с микрофона/ов пользователя · Создание снимков при помощи веб-камеры пользователя. Запись может быть активна постоянна или включаться при обнаружении ввода заданного слова или системного процесса. Система записывает экран каждого пользователя, даже при удаленном подключении нескольких пользователей.	Создание снимков экрана с определенной периодичностью, создание видеозаписи экрана при выполнении условий (запуск программы из списка угроз, запуск сайта из списка угроз, ввод текста из списка угроз, копирование на flash-диск, копирование в выбранные папки, отправка файла, вставка flash-диска, изображение в буфере обмена, DLP: чтение документа, DLP: печать документа, DLP: текст в буфере обмена, DLP: отправка документа, DLP: голос, нетипичное поведение, критическое приложение/сайт, Крипто-адрес в буфере обмена, внешний e-mail в буфере обмена). Длительность видео от 5 до 600 сек)
7.4. Поддержка ведения журнала событий на устройстве (история запуска приложений и процессов, имя запустившего процесс пользователя, открытые окна, активные окна и т.д.);	Да, доступен просмотр информации о действиях пользователя (запуск процесса, активация/деактивация окна и прочее) в хронологическом порядке при включенном отслеживании Активности пользователя	да	Да	Да	Да	Частично	КИБ логгирует абсолютно все действия пользователя на рабочей станции. Позволяет, например, просмотреть информацию о запуске программ, открытии вкладок в браузере, вводе информации, отправке писем и т.д.	Такого журнала событий нет, собирается информация о приложения/сайтах, с которыми работал пользователь.
7.5. Выявление аномалий поведения, оценка психологического состояния пользователей за счет анализа клавиатурного почерка, стиля коммуникации, интенсивности работы, стиля взаимодействия с коллегами и т.д. (перечислить поддерживаемые методы анализа и источники данных);	Доступно выявление аномалий поведения сотрудника на основании присвоенных ему рисков.	Выявление аномалий в поведении, но по другим паттернам/рискам. Не психологическое профилирование сотрудника.	Выявление аномалий поведения	Все указанные	Нет	Индикатор лояльности, контроль рабочего времени	Выявление аномалий – да. Оценка психологического состояния – да, при помощи отдельного решения ProfileCenter. В его основе технологии профайлинга (стиль коммуникации пользователя и используемые им слова). Источники данных – все модули системы.	Анализ клавиатурного почерка, интенсивности работы, нетипичное поведение, открытие программ/сайтов, отправка файлов выше порогового значения.
7.6. Выявление фотографирования экрана (перечислить поддерживаемые устройства для контроля - встроенные и внешние камеры, камеры видеонаблюдения в офисе и т.д.);	-	Да, через встроенные и внешние камеры на АРМе	Нет	Встроенные и подключённые камеры.	Нет	Нет	КИБ выявляет фотографирование экрана на телефон при помощи встроенной нейросети. Она получает данные от веб-камеры (любой) на рабочей станции и анализирует содержимое фото. Если определяет, что на изображении находится телефон, информирует об этом специалиста.	Выявление фотографирования экрана через веб камеру на компьютере сотрудника
7.7. Контроль окружения устройства (запись видеоизображения с камер, запись звука с микрофона, возможность подключения и просмотра/прослушивания в реальном времени) (перечислить поддерживаемые устройства для контроля - встроенные и внешние камеры, встроенные и внешние микрофоны и т.д.);	Доступна запись рабочего стола, звуков с микрофона, динамиков, веб-камеры. Возможно подключение и просмотр в реальном времени. Поддерживаются как встроенные, так и внешние устройства.	Создание снимков экрана с определенной периодичностью/в определенном приложении или веб-ресурсе/при смене активного в браузере) создание видеозаписи экрана (онлайн-запись (в режиме реального времени), посещение веб-сайта, использование буфера обмена, использование приложения, ввод текста в приложении), запись идет только основного экрана. Запись звукового окружения и ее транскрибация (онлайн-запись (в режиме реального времени), посещение веб-сайта, вход в активную сессию) .Все через встроенные и внешние камеры, встроенные и внешние микрофоны	Запись звука с микрофона, подключенного к рабочей станции Возможность подключения и просмотра/прослушивания в реальном времени	Да	Нет	Нет	КИБ позволяет вести аудио и видеосъемку действий пользователя при помощи камеры и микрофона на его рабочей станции. Запись ведется со всех камер и микрофонов. Также на конечные точки с агентом, на которых есть эти устройства ввода, можно подключиться и увидеть все происходящее там в режиме реального времени.	Контроль окружения устройства (запись видеоизображения с камер, запись звука с микрофона, возможность подключения и просмотра/прослушивания в реальном времени) встроенные камеры, встроенные микрофоны
7.8. Контроль местоположения устройства (перечислить поддерживаемые методы и устройства для контроля - данные сетевого адаптера, встроенный GPS, данные сотовой сети, данные окружающих WiFi-точек, анализ видеоизображения с камеры устройства и т.д.);	-	GPS	Нет	Данные сетевого адаптера и WiFi-точек	Нет	Нет	Контроль местоположения реализован при помощи получения данных от модуля геопозиционирования в ОС.	Данные сетевого адаптера, встроенный GPS
7.9. Выявление пользователей с высоким/средним/низким риском, объединение их в группы (испытательный срок, увольняющиеся, халатные, неэффективные, склонные к агрессии, целенаправленные инсайдеры и т.д.), прогнозирование тенденций;	Доступен модуль «Анализ рисков», в котором доступна к просмотру информация о рисках пользователей, начисленных на сработки правил безопасности.	Объединение в группы риска по другим признакам. Анализ аномалий, регулярности и тенденции.	Поддерживается с помощью функций Досье, механизмов уровня доверия и функционала модуля UBA.	Оценка рисков производится по всем пользователям, также отслеживается динамика изменений и затухание рисков	Да	Да	Прогнозирование тенденций и выявление пользователей из группы риска – да, при помощи отдельного компонента Profile Center.	Выявление пользователей с высоким/средним/низким риском, без объединения в группы
7.10. Построение отчетности (рабочая активность по работникам/отделам в течение дня/недели/месяца, рисковые события, топ-10 продуктивных работников и т.д.);	Да, доступно построение всей перечисленной отчетности. Доступен к выбору диапазон выборки данных отчета, выбор пользователей или групп пользователей, по которым будет построен отчет, сравнение показателей пользователей между собой с указанием процентов отклонения (сводный отчет). Доступны следующие типы отчетов: - ТОП-отчет — отчет об активности определенного количества пользователей, для которых характерны пороговые значения заданных параметров. - Комплексный отчет по пользователям — отчет обо всех видах активности выбранного пользователя сети организации. - Сводный отчет — отчет, содержащий сводную статистическую информацию о показателях активности выбранных пользователей в сети организации за определенный промежуток времени. Отчет об инцидентах — отчет, позволяющий проанализировать сравнительную статистику по инцидентам безопасности.	Да, есть конструктор по отчетности	Присутствует – в модуле «Контроль рабочего времени»	Более 50 шаблонов отчётов	Да	Да	Да. КИБ позволяет создавать отчеты по всем действиям пользователя: коммуникация, подключение устройств, продуктивность и т.д.	Да
7.11. Визуализация (карточка-досье на пользователя, графы связей пользователей внутри компании, графы связей с внешними контактами, корпоративные устройства на географической карте / плане помещений, построение диаграмм, дашбордов, виджетов, функционал «drill down» и т.д.);	Доступен граф взаимосвязей пользователей в модуле «Активность пользователей». Отображение каналов коммуникаций и их частоты между пользователями, визуализация сработок политик безопасности и блокировок на ребрах графа. Доступно отображения оборудования компании на карте офиса и отслеживание конфигурации оборудования на предмет соответствия заданным параметрам. Доступно построение диаграмм, дашбордов (предустановленные – контроль безопасности и мониторинг активности и пользовательские) и виджетов (топ пользователей, активность пользователей, продуктивность пользователей, риск пользователей, анализ инцидентов, популярные мессенджеры, последние события, динамика показателей), доступна поддержка функционала drill down.	Да, кроме корпоративные устройства на географической карте / плане помещений	Присутствует: карточка-досье на пользователя, граф связей, диаграммы, дашборды, виджеты, функционал «drill down», карта сети (список узлов сети и сетевых ресурсов на них) Поддерживается визуализация графа связей в Досье, визуализация активности сотрудника, визуализация аномалий поведения.	Да	Реализовано. Граф связей с внешними контактами, внутри компании. Реализован drill down, есть дашборды встроенные и настраиваемые пользователем (кастомизация под себя)	Да	В КИБ реализовано множество инструментов визуализации. · Карточка пользователя – досье на конкретного сотрудника и вся информация о нем в одном месте · Контентный маршрут – показывает в графической форме путь файла: всех получателей и отправителей · 36+ шаблонов отчетов по разной информации и проблематике · И другие инструменты В вышеперечисленных инструментах реализован дрил даун функционал.	Визуализация (карточка-досье на пользователя, графы связей пользователей внутри компании, графы связей с внешними контактами)
7.12. Просмотр записанной информации (история клавиатурного ввода, снимки и видеозаписи экрана, снимки и видеозаписи с камер, аудиозаписи с микрофона, история запуска процессов и активных окон на устройстве и т.д.), поиск по записанной информации.	Доступен просмотр всей перехваченной информации (в том числе истории клавиатурного ввода, снимков и записей с камеры, аудиозаписей с микрофона с возможностью просмотра распознанной речи в текстовом формате, история запуска процессов, смены активных окон приложений и прочего) через модули обычного и комбинированного поиска, создание сложных поисковых условий с возможностью их сохранения для последующего использования.	Да	Да	Да, из консоли управления	Да	Да	Просмотр и поиск доступен по всей записанной информации.	Да. Нет текстового поиска внутри аудио и видео файлов.
8. Выявление и предотвращение утечек
8.1. Перечень возможных контекстных и контентных правил (условий, типов условий) для срабатывания политики (например, устройство находится/не находится в корпоративной сети, файл совпадает/частично совпадает на N% с шаблоном, буфер обмена содержит конфиденциальную информацию, файл записывается на учтённое/неучтённое USB-устройство, пользователь входит в группу риска «увольняющиеся», операция с данными производится в рабочее/нерабочее время, производится попытка переслать зашифрованный архив внешнему/внутреннему email-получателю, производится попытка отправить файл внешнему/внутреннему получателю в мессенджере и т.д.) (указать тип ОС, тип физических и виртуальных устройств, поддерживающих указанные действия);	файл совпадает/частично совпадает на N% с шаблоном буфер обмена содержит конфиденциальную информацию операция с данными производится в рабочее/нерабочее время производится попытка переслать зашифрованный архив внешнему/внутреннему email-получателю производится попытка отправить файл внешнему/внутреннему получателю в мессенджере и тд	Правило передачи Для правила передачи указываются следующие атрибуты: • Направление маршрута. Возможные значения: • В одну сторону – правило срабатывает только в случае передачи трафика от отправителя получателю; • В оба направления – правило срабатывает при передаче трафика от отправителя получателю и от получателя отправителю. • Тип события – тип трафика, передача которого приводит к срабатыванию правила. Возможные значения: • Интернет-активность - Веб-сообщение • Мессенджер (только для политик защиты данных) - ICQ - MS Lync - Skype - Telegram - MS Teams (если установлен адаптер) - XMPP - Facebook - WhatsApp - Vkontakte - Yandex messenger - Kribrum • Почта - Электронная почта - Веб-почта • Компьютеры – компьютеры, с которых выполнялась передача данных; • Отправители – список персон, компьютеров, доменов и периметров, передача трафика которыми приводит к срабатыванию правила; • Получатели – список персон, компьютеров, доменов и периметров, получение трафика которыми приводит к срабатыванию правила; • Дни действия правила • Часы действия правила Правило копирования Для правила копирования указываются следующие атрибуты: • Направление маршрута. Возможные значения: • В одну сторону – правило срабатывает только в случае передачи трафика от отправителя получателю; • В оба направления – правило срабатывает при передаче трафика от отправителя получателю и от получателя отправителю. • Тип события – тип трафика, копирование которого приводит к срабатыванию правила. Возможные значения: • Обмен файлами - Съемное устройство - FTP - Облачное хранилище - Сетевой ресурс - Терминальная сессия • Принтер и МФУ (только для политики защиты данных) - Печать • Компьютеры; • Отправители – список персон, компьютеров, доменов и периметров, передача трафика которыми приводит к срабатыванию правила; • Приемник копирования; Источник копирования; • Дни действия правила; • Часы действия правила. • Имя терминальной станции – имя устройства, с которого было осуществлено удаленное подключение к рабочей станции сотрудника. Атрибут указывается для приемника копирования типа Терминальная сессия в событиях обмена файлами по терминальной сессии. Правило хранения Для правила хранения указываются следующие атрибуты: • Тип события – тип трафика, хранение которого приводит к срабатыванию правила. Возможные значения: • Data Discovery • Место хранения – список мест, хранение защищаемых данных в которых приводит к срабатыванию правила. Чтобы указать место хранения, нажмите и в открывшемся диалоговом окне перейдите на нужную вкладку: • Компьютеры. На вкладке отображаются компьютеры, полученные при синхронизации с LDAP. Установите флажки напротив требуемых компьютеров; • Сетевые ресурсы. Для добавления сетевого ресурса введите следующие значения в поля: • В поле Введите сетевой ресурс – IP-адрес или полное DNS-имя хоста. • В поле Введите путь – путь на хосте. Форматы: • Для SMB-хостов: share/folder , где share – имя сетевого ресурса; • Для SSH-хостов: /home/folder ; • Для SharePoint-хостов: path/lib/folder , где path – путь к сайту с библиотекой документов, lib – библиотека документов. • Файловые хранилища. Для добавления файлового хранилища SharePoint введите следующие значения в поля: • В поле Введите сервер – IP-адрес или полное DNS-имя файлового хранилища. • В поле Введите путь – путь к хранилищу в формате <directory> /<subdirectory> (путь указывается без использования групповых символов ? и *). Например: Lib/Проектная документация . • После того как вы указали все требуемые места хранения, нажмите Сохранить. • Владельцы файла – хранение защищаемых данных указанными персонами и группами, а также внутри указанных периметров приводит к срабатыванию правила; • Кому доступен файл – доступность файла указанным персонам, группам персон, а также в пределах указанных периметров приводит к срабатыванию правила. Правило работы в приложениях Для правила работы в приложениях указываются следующие атрибуты: • Тип события – тип трафика, хранение которого приводит к срабатыванию правила. Возможные значения: • Буфер обмена; • Ввод с клавиатуры. • Персоны – список персон, групп и периметров, передача трафика которыми или за пределы которых приводит к срабатыванию правила; • Компьютеры – список компьютеров, передача трафика которыми приводит к срабатыванию правила; • Приложения (только для типа события Ввод с клавиатуры) – список приложений, работа в которых приводит к срабатыванию правила; • Только для терминальной сессии (только для типа события Буфер обмена) – выберите эту опцию, если нужно контролировать только пересечение границы терминальной сессии, независимо от направления. Если отмечена эта опция, выбор приложений вручную недоступен. • Направление терминальной сессии – (только для Политики защиты данных на агентах). Источник, либо источник и получатель данных – приложение, копирование данных из которого или вставка данных в которое приводит к срабатыванию правила. • Приложение-источник (только для типа события Буфер обмена) – приложение, копирование данных из которого приводит к срабатыванию правила. Недоступно, если выбрана опция Только для терминальной сессии; • Приложение-приемник (только для типа события Буфер обмена) – приложение, вставка данных в которое приводит к срабатыванию правила. Недоступно, если выбрана опция Только для терминальной сессии; • Дни действия правила; • Часы действия правила. Правило контроля персон Для правила контроля персон указываются следующие атрибуты: • Уровень нарушения – Система будет перехватывать события с заданным уровнем нарушения; • Связать с политикой – укажите политики защиты данных и политики защиты данных на агентах, срабатывание которых будет инициировать срабатывание правила (если уровень нарушения соответствует значению поля. Перехватывать с уровнем нарушения). Правило файловых операций Для правила файловых операций указываются следующие атрибуты: • Тип события – действия с файлами, которые приводят к срабатыванию правила. Возможные значения: • Запись файла; • Чтение файла. • Персоны – список персон, групп и периметров, выполнение операций которыми приводит к срабатыванию правила; • Компьютеры – список компьютеров, операции с файлами на которых приводят к срабатыванию правила; • Приложения – список приложений, действия в которых приводят к срабатыванию правила; • Дни действия правила; • Часы действия правила; • Адрес вкладки браузера – адрес активной вкладки браузера. Чтобы добавить несколько значений, после ввода каждого значения нажмите клавишу Enter. Вы можете указать адрес вкладки браузера с использованием групповых символов: • «?» – заменяет один символ в начале или в конце строки; • «*» – заменяет любое количество символов в начале или в конце строки.	Присутствует, система поставляется с готовым набором правил	Различные правила. Определяются политиками	Поиск по фразам, по регулярным выражениям, по словарям, по шаблонам документов, по множеству свойств события (пользователь. ИП адрес, тип вложения и т.д.) по движению события (от сотрудника к сотруднику, от сотрудника во вне, извне сотруднику и т.п.). Привязки к ОС нет, подобная аналитика производится на сервере DLP системы	Множество. Например, Windows: канал передачи, пользователь/группа пользователей, действие, день недели и время (рабочее/нерабочее), нахождение/отсутствие в корпоративной сети, использование разрешенных/неразрешенных устройств (White List), адрес отправителя, адреса получателей, хосты, порты, используемые приложения, совпадение с типом файла, совпадение со словарем, совпадение с регулярным выражением, совпадение с метаданными (свойства документа), совпадение с отпечатками, использование proxy, использование Tor-браузера и пр. Linux: канал передачи, пользователь/группа пользователей, действие, нахождение/отсутствие в корпоративной сети, использование разрешенных/неразрешенных устройств (White List), совпадение с регулярным выражением, совпадение с метаданными (свойства документа) и пр.	Доступные возможности выявления утечек на стороне сервера (Windows/Linux): · по ключевым словам, в том числе с возможностью ограничений по взаимному расположению искомых слов и с учетом морфологических особенностей и синонимии русского языка; · возможность обнаружения похожих документов на основе образца, схожего по содержанию с искомым, данный тип поиска не подразумевает никаких манипуляций с настройками поискового механизма и подключения дополнительных словарей, кроме задания процента релевантности (схожести) документов; · по формальным признакам сообщений и файлов (пользователь, имя компьютера, отправитель, получатель, размер, имя файла, формат, дата, время и др.), в том числе для файлов, из которых не может быть извлечен текст; · по заранее заданному словарю с целью выявления определенных типов документов (резюме, финансовые и бухгалтерские отчеты); · поиск по меткам классификации; · по регулярным выражениям PCRE, с возможностью создания комплексных регулярных выражений (состоящих из нескольких простых), задания порога срабатывания по суммарному количеству регулярных выражений, количеству вхождений регулярного выражения в документ и количеству промежуточных символов между регулярными выражениями, возможностью использования как стандартных выражений, включенных в дистрибутив, так и создание пользовательских, а также с возможностью проверки полученных результатов; · по цифровым отпечаткам конфиденциальных документов с возможностью указания порога срабатывания; · по значениям атрибутов (как общих атрибутов, так и уникальных для отдельных каналов связи); · поиск по набору слов (словарю), позволяющий находить документы, относящиеся к определенной тематике, либо содержащие определенное количество, либо процент таких слов; · по количественным показателям статистических запросов (числу отправленных писем/распечатанных страниц/сообщений в Microsoft Teams (Lync), Viber, IM, удаленных файлов, записанных на USB и пр.); · по тексту предварительно распознанных изображений с использованием технологии OCR, при этом предусмотрен выбор между коммерческим (приобретается отдельно) и бесплатным модулем OCR; · по данным классификации изображений; · по тексту предварительно распознанных записей микрофона, а также записей звонков в мессенджерах и системах конференцсвязи; · возможность создания комплексных поисковых запросов, включающих в себя несколько критериев (фразовый поиск, поиск по абзацам и целым документам, атрибутам и другим доступным вида поиска), объединенных логическими операторами AND, OR, NOT. Также обеспечивается устойчивость к следующим видам манипуляции с информацией: · импортирование фрагмента конфиденциальной информации в документы, не являющиеся конфиденциальными; · изменение порядка слов; · изменения расстояний между словами; · изменение форматирования документа; · изменение словоформ; · замены букв на символы другого алфавита; · использование цифр вместо букв; · изменение расширений файлов. · использование транслитерации Также на стороне агента (Windows/Linux) доступны следующие возможности выявления утечек с возможностью блокировки по поддерживаемым каналам передачи данных: · по ключевым словам, в том числе с возможностью ограничений по взаимному расположению искомых слов и с учетом морфологических особенностей и синонимии русского языка; · возможность обнаружения похожих документов на основе образца, схожего по содержанию с искомым, данный тип поиска не подразумевает никаких манипуляций с настройками поискового механизма и подключения дополнительных словарей, кроме задания процента релевантности (схожести) документов; · по формальным признакам сообщений и файлов (пользователь, имя компьютера, процесс, размер, имя файла, формат, метаданные и др.), в том числе для файлов, из которых не может быть извлечен текст; · по заранее заданному словарю с целью выявления определенных типов документов (резюме, финансовые и бухгалтерские отчеты); · поиск по меткам классификации; · по регулярным выражениям PCRE, с возможностью создания комплексных регулярных выражений (состоящих из нескольких простых), задания порога срабатывания по суммарному количеству регулярных выражений, количеству вхождений регулярного выражения в документ и количеству промежуточных символов между регулярными выражениями, а также с возможностью проверки полученных результатов; · по значениям атрибутов (как общих атрибутов, так и уникальных для отдельных каналов связи); · поиск по набору слов (словарю), позволяющий находить документы, относящиеся к определенной тематике, либо содержащие определенное количество, либо процент таких слов; · по тексту предварительно распознанных изображений с использованием технологии OCR; · возможность создания комплексных поисковых запросов, включающих в себя несколько критериев (фразовый поиск, поиск по абзацам и целым документам, атрибутам и другим доступным вида поиска), объединенных логическими операторами AND, OR, NOT. Также обеспечивается устойчивость к следующим видам манипуляции с информацией: · импортирование фрагмента конфиденциальной информации в документы, не являющиеся конфиденциальными; · изменение порядка слов; · изменения расстояний между словами; · изменение форматирования документа; · изменение словоформ; · замены букв на символы другого алфавита; · использование цифр вместо букв; · изменение расширений файлов. · использование транслитерации	Запуск программы из списка угроз, запуск сайта из списка угроз, ввод текста из списка угроз, печать документа, копирование на flash-диск, копирование в выбранные папки, отправка файла, вставка flash-диска, изображение в буфере обмена, DLP: чтение документа, DLP: печать документа, DLP: документ в буфере обмена, DLP: текст в буфере обмена, DLP: снимок экрана, DLP: копирование на flash-диск, DLP: копирование в выбранные папки, DLP: отправка документа, DLP: голос, DLP: обнаружен файл, нетипичное поведение, нет лица перед веб-камерой, чужое лицо перед веб-камерой, более 1-го лица перед веб-камерой, отсрочка выключения ПК, изменение состояния микрофона, критическое приложение/сайт, вход пользователя в систему, запуск программы из черного списка, запуск запрещенной Linux-команды, USB-устройство заблокировано, крипто-адрес в буфере обмена, внешний e-mail в буфере обмена, возможное удаление клиента
8.2. Перечень возможных действий при срабатывании политики (например, регистрация события, теневое копирование данных, отправка оповещения администратору ИБ, предупреждение пользователя, возможность для пользователя указать объяснение своих действий, замена конфиденциальных данных заглушкой, изменение прав доступа к файлу, шифрование файла/носителя, блокирование действий с конфиденциальными данными и т.д.) (указать тип ОС, тип физических и виртуальных устройств, поддерживающих указанные действия);	Уведомление офицера безопасности об инциденте через системное уведомление, email или telegram. Передача информации об инциденте по syslog. Автоматическое назначение на инцидент ответственного за его расследование лица. Выполнение пользовательского скрипта. Блокировка	· Разрешение/блокировка операции (+карантин для почты) · Регистрируется событие (с теневой копией или без) · Отправка оповещений (нарушитель, руководитель нарушителя, Офицер безопасности, третьи лица) · Категоризация события по уровню нарушения в зависимости от сработавшей политики и обнаруженного контента · Тэгирование события · Смена статуса инициатора события для применения дополнительных политик безопасности, соответствующих статусу нарушителя, в т.ч. блокирование последующих операций.	Поддерживаемые ОС: Windows, Linux, macOS Регистрация события Отправка уведомления на емайл (например, администратора, офицера безопасности и т.д.) Предупреждение пользователя Замена данных заглушкой (реконструкция сообщения) Блокирование действий с конфиденциальными данными	Регистрация события в базу данных или Syslog или Event Log, теневое копирование данных, отправка оповещения администратору ИБ, предупреждение пользователя, возможность для пользователя указать объяснение своих действий, замена конфиденциальных данных заглушкой, изменение прав доступа к файлу, шифрование файла/носителя, блокирование действий с конфиденциальными данными и т.д. для всех поддерживаемых ОС	Уведомление по e-mail Отправка данных в SIEM	Windows: Запрет или разрешение операции, регистрация события (аудит, протоколирование), теневое копирование, отправка оповещения администратору, отправка сообщения в SIEM, уведомление пользователя. Linux: Запрет или разрешение операции, регистрация события (аудит, протоколирование), теневое копирование, отправка оповещения администратору, отправка сообщения в SIEM.	Доступные возможности действий при срабатывании политики на стороне сервера (Windows/Linux): регистрация, уведомление СБ, запуск внешнего скрипта, передача в SIEM или R-Vision Доступные возможности действий при срабатывании политики на стороне агента (Windows/Linux): аудит, теневая копия, предупреждение юзера, блокировка/разрешение, отладочный режим, запросить доступ к заблокированным файлам или устройствам	Регистрация события. В зависимости от настроек и события: теневое копирование данных, отправка оповещения администратору ИБ, предупреждение пользователя, блокирование действий с конфиденциальными данными. Для Windows ПК.
8.3. Применение отдельных политик в случае работы устройства вне корпоративной сети, применение различных политик при локальном и удаленном подключении к инфраструктуре, при отсутствии подключения к инфраструктуре, возможность подключения агента к серверу управления даже при отсутствии установленного удаленного подключения к инфраструктуре - например, через облако или корпоративный веб-сервис (указать поддерживаемые варианты);	Доступно применение отдельного профиля агента как в случае обнаружения устройства вне корпоративной сети, так и при использовании VPN-подключения или при прочих пользовательских условиях.	Отдельные политики доступа к сетевым ресурсам при отсутствии подключения к корпоративной сети (напрямую или через VPN)	Нет	Да. Возможно применение отдельных политик	Нет	Применение отдельных политик в случае работы устройства вне корпоративной сети, при отсутствии подключения к инфраструктуре.	Политики, которые выполняются на стороне агента являются автономными и не зависят от доступности сервера Для агента доступна возможность работать с перечнем указанных серверов с доступом по заданным адресам и портам, т.е. указать внешний IP компании и порт, на которые агент будет отсылать данные, а там уже на сетевом уровне пойдет маршрутизация до сервера (напрямую или через промежуточный узел), либо разместить за пределами сети компании, например, в облаке, модуль по сбору и приему данных (промежуточный узел) с организацией связи по VPN с дальнейшей передачей на сервер.	Нет
8.4. Поддержка контроля получения (скачивания) данных через различные каналы (указать перечень возможных действий, указать перечень контролируемых каналов, указать тип ОС, тип физических и виртуальных устройств, поддерживающих указанный функционал);	-	Получение (скачивание) файла любым приложением через технологию «Универсальный перехватчик» на Windows, Linux независимо от виртуализации и пр.	Присутствует (Dozor Traffic Analyzer + с WebProxy можно контролировать загрузку с веб-сайтов): соцсети, тип ОС не имеет значения	Любые для поддерживаемых ОС	Контроль получение (скачивания) через почтовые письма, по сетевым протоколам.	Windows: Все поддерживаемые каналы, предполагающие получение данных. Например: Чтение данных со съемных устройств, MTP-устройств, оптических дисков; Входящие данные в терминальном буфере обмена (текст, файлы, изображения и пр.); Входящие файлы при использовании HTTP/HTTPS, FTP/FTPS, SFTP, SMB, файловых хранилищ и пр.; Входящие сообщения и файлы в мессенджерах (Telegram, WhatsApp TrueConf и пр.); Входящие письма, включая вложения (MAPI, IMAP, POP3, HCL Notes / IBM Notes / Lotus Notes); и пр. Linux: Чтение данных со съемных устройств; Входящие данные в терминальном буфере обмена (текст, файлы).	С возможностью аудита и теневой копии (Windows/Linux): Cloud. FTP, почта (POP3(S), IMAP(S), MAPI(S) и веб-почта), получение данных с USB-накопителя при его подключении к ПК (доступен и на MacOS), данные со сканера подключенного к ПК Доступен только аудит (Windows/Linux): чтение из сетевых папок, чтение с устройств хранения	Контроль за исходящим данными, а не входящими.
8.5. Поддержка блокирования по модели «белого списка» (запрещено то, что явно не разрешено), «черного списка» (разрешено то, что явно не запрещено), «серого списка» (разрешено то, что явно не запрещено, но все данные архивируются и анализируются);	Да	Любая из указанных моделей достижима в зависимости от подхода к настройке политик перехвата, анализа и контроля операций передачи данных.	Присутствует, например, для контроля USB-устройств	Да	Да	Белый список USB-устройств (включая опциональную проверку контентными правилами, т.е. серый список); Белый список медианосителей; Белый список протоколов (включая опциональную проверку контентными правилами, т.е. серый список); Базовый IP-файрволл (белый список, черный список, серый список).	Модель блокировки по спискам доступна на Windows и Linux	Для программ/сайтов черные или белые списки, USB устройств белые списки
8.6. Поддержка создания списка устройств (съемных носителей, USB/MTP/PTP-устройств и т.д.), на которые разрешена/запрещена передача конфиденциальных данных;	Да	Да.	Присутствует (для USB)	Да. + криптопериметр — принудительное шифрование подпадающей под политики информации при копировании на съёмные носители	Да	Частично (белый список)	Создание списка устройств доступно на Windows для: - USB HID устройства (кроме клавиатур и мышей) - Принтеры (USB) - Сканеры (USB) - Токены - Сетевые адаптеры (USB) - Устройства хранения USB - Все устройства USB (кроме концентраторов) - COM-порты - LPT-порты - Сетевые адаптеры - Принтеры - ИК порты - Медиа устройства - HID устройства (кроме клавиатур и мышей) - Клавиатура и мышь - FireWire - Смарт карты - КПК - Ленточные накопители - Модемы (PPP соединение) - Wi-Fi - CD/DVD-ROM - Bluetooth - Камеры/Сканеры - Floppy диски - SCSI - Сетевые папки - Диск подключаемый по RDP,) - Переносные устройства: ▪ Android ▪ Apple ▪ Blackberry ▪ Palm ▪ Windows Phone ▪ Все переносные устройства Создание списка устройств доступно на Linux для: Устройства хранения USB	Нет
8.7. Поддержка создания списка внешних/внутренних контактов (групп контактов) в мессенджерах, электронной почте, которым разрешена/запрещена передача конфиденциальных данных;	Для мессенджеров и электронной почты возможны блокировки по контенту для разных пользователей и групп AD, не доменных пользователей, при отправке определенным контактам. Для почты есть функционал, определяющий группу доверенных адресатов.	Да, для электронной почты.	Поддерживается помещение сотрудников в особые группы контроля, где можно запретить и разрешить передачу данных	Да	Нет	Да (белый список, контентные правила с анализом получателей)	Доступно создание только списка внешних/внутренних контактов (групп контактов) для электронной почты	Нет
8.8. Поддержка создания списка внешних/внутренних веб-ресурсов (файлообменных сервисов, соцсетей, веб-почты и т.д.), на которые разрешена/запрещена передача конфиденциальных данных;	Да	Да	Да	Да	Нет	Частично (белый список)	Создание списка внешних/внутренних веб-ресурсов доступно, также можно использовать имеющиеся категории	Да
8.9. Поддержка создания списка приложений (ПО), которым разрешена/запрещена передача конфиденциальных данных;	Да	Нет	Да	Да	Нет	Частично (черный список для сетевых приложений)	Создание списков ПО, которым разрешено/запрещено передавать данные не доступно, однако непосредственно в правилах блокировки/разрешения доступно указание процессов, на которые это правило будет распространятся	Нет
8.10. Поддержка создания временных списков разрешенных устройств, контактов, веб-ресурсов, приложений с указанием срока действия исключения;	-	Возможно формировать временные политики с указанными списками	Нет	Да, в т. ч. по звонку	Нет	Частично (временный белый список USB-устройств)	Создание временных списков недоступно, имеется возможность пользователю запросить временный доступ к запрещенному устройству или заблокированному файлу для получения доступа на указанный временной период	Нет
8.11. Поддержка выполнения блокирующих/регистрирующих действий даже при отсутствии конфиденциальных данных (например, полный запрет доступа к определенным мессенджерам, веб-ресурсам, устройствам, приложениям, полный запрет отправки сообщений всем внешним контактам, создание теневой копии данных с подключенного съемного носителя и т.д.);	Да	Да, поддерживаем, согласно атрибутам из п.8.1	Присутствует все, кроме создания теневой копии	Да, задаётся политиками	Да	Да	Да, доступно выполнение блокирующих/регистрирующих действий даже при отсутствии конфиденциальных данных	Запрет запуска/посещения определенных приложений/сайтов, запрет отправки файлов через сайты, почтовые программы (Outlook, Mail, Bat, LotusNotes, Thunderbird) и десктоп-чаты Skype, Telegram, WhatsApp, Trillian, Viber, Mail.ru Agent, QIP, Lync, MS Teams, Slack, Webex Teams, Myteam, VKTeams, Zoom, eXpress, iMazing, YandexMessenger, WeChat Desktop, MTS Link Desktop, Jazz Desktop, Kontur.Talk, New Outlook, Max.
8.12. Поддержка полного блокирования определенных каналов (например, полная блокировка всех съемных носителей, MTP/PTP-устройств, полная блокировка печати, полная блокировка создания скриншотов и т.д.);	Да	· Снимки экрана · запуск приложений · буфер обмена · печать · использования почты · передачу данных по любым сетевым соединениям, кроме соединения с корпоративной сетью · съемные носители	Да	Да, задаётся политиками	Да	Да	Да, полная блокировка доступна для поддерживаемых устройств	Полная блокировка USB съемных носителей, MTP/устройств, полная блокировка создания скриншотов, FTP
8.13. Поддержка выборочного блокирования типа передаваемых через канал данных (например, разрешить только переписку в мессенджерах, но запретить отправку файлов, разрешить сохранение на съемном носителе только медиафайлов, разрешить печать только графических изображений и т.д.);	Да, доступен гибкий конструктор правил блокировки.	Да.	Да	Да, задаётся политиками	Нет	Да	Выборочная блокировка поддерживается	Нет
8.14. Приоритизация (упорядочивание порядка применения) контекстных и контентных правил, условий, политик;	Да	Да, встроенная система приоритизации.	Да	Возможно при построении политик	Не применимо	Частично	Для приоритизации учитывается порядок применения правил	Нет
8.15. Ведение архива (теневых копий данных и/или метаданных - указать, что поддерживается), перечень поддерживаемых способов поиска по архиву (полнотекстовый поиск, регулярные выражения, маски, фильтры, логические операторы и т.д.), максимальная глубина ретроспективного поиска, поддержка ротации данных, настройка политик ведения архива (например, не делать теневые копии файлов объемом больше 1 Гб, не делать теневые копии файлов с определенным содержимым, сохранять только метаданные для определенных типов служебных файлов и т.д.);	Архив с глубиной до 5 лет (можно больше, но не просили) с ретроспективным анализом за интересующий период. Работают все варианты поиска. Ротация по множеству критериев (время, размер, количество записей). Распределение потоков данных по гибким правилам (то, что перечислено в вопросе, по источнику или типу данных, распределение для балансировки и др.).	Да максимальная глубина ретроспективного поиска – без ограничений	Нет	Архив теневых копий. Условия гибкие, определяются политиками и наличием свободного места.	Все из перечисленного. Глубина ретроспективного поиска определяется размером хранилища.	Архив событий, архив теневых копий. Полнотекстовый поиск, поиск с использованием регулярных выражений / словарей / типов данных / метаданных (свойств документа), маски, фильтры, логические операторы, глубина поиска не ограничена, поддержка ротации данных, настройка политик ведения архива	В архиве перехвата хранятся как метаданные, так и теневые копии Поддерживаемый поиск по архиву соответствует способам, представленным в пункте 8.1 для серверной части Глубина хранения определяется клиентом. Глубина ретроспективный поиск соответствует глубине хранения, либо быть меньше и определяется клиентом. Ротация данных поддерживается. Для каждого канала перехвата доступно задание объема, при котором не будут делаться теневые копии	Ведение архива (теневые копии данных и метаданные). перечень поддерживаемых способов поиска по архиву (полнотекстовый поиск по введенному тексту, регулярные выражения, фильтры, логические операторы и т.д.), Глубина ретроспективного поиска на весь период хранения данных. Есть поддержка ротации данных, различные настройки политик ведения архива (например, не делать теневые копии файлов объемом больше 64 МБ, не делать теневые копии файлов с определенным содержимым, не делать теневые копии файлов, делать теневые копии файлов, для которых сработал DLP анализ)
8.16. Поддержка поиска по обнаруженным данным, включая поиск по распознанным изображениям (указать поддерживаемые способы поиска);	Доступен поиск по цифровым отпечаткам, хешам, словарям. Доступен поиск по распознанному на изображении тексту или печатям.	Да. Те же, что и выше - полнотекстовый поиск, регулярные выражения, маски, фильтры, логические операторы	Присутствует: полнотекстовый поиск, регулярные выражения, маски, фильтры, логические операторы, шаблоны поиска	Да	полнотекстовый поиск, регулярные выражения, маски, фильтры, логические операторы и т.д. Поиск печатей на документах\изображений	Да. Полнотекстовый поиск, поиск с использованием регулярных выражений / словарей / типов данных / метаданных (свойств документа), маски, фильтры, логические операторы.	Поддерживаемый поиск по обнаруженным данным, включая поиск по распознанным изображениям соответствует способам, представленным в пункте 8.1 для серверной части	Поддержка поиска по тексту по файлом на ПК пользователя. Нет поиска по распознанным изображениям.
8.17. Поддержка поиска по результатам анализа поведения пользователей, включая поиск по журналу событий на устройстве и поиск по введенным пользователем данным (указать поддерживаемые способы поиска);	Доступен поиск по большому количеству атрибутов, включая пользовательские атрибуты.	Да	Присутствует: полнотекстовый поиск, регулярные выражения, маски, фильтры, логические операторы, шаблоны поиска	Да, из архива событий	поиск по журналу событий на устройстве и поиск по введенным пользователем данным	Да. Поиск по журналу событий, поиск по записям ввода с клавиатуры.	Доступен поиск в виде статических запросов, который позволяет проводить анализ поведения пользователей, а также доступен поиск по журналу событий на устройстве и поиск по введенным пользователем, данным с применением поисковых возможностей, описанных в пункте 8.1 для серверной части	Поиск по введенным пользователем данным
8.18. Наличие графического редактора сложных поисковых запросов, преднастроенных поисковых запросов, ведение истории поисковых запросов, сохранение пользовательских поисковых запросов и возможность их повторного использования.	Доступен конструктор сложных поисковых запросов с возможностью сохранения их для последующего использования.	Да	Присутствует все перечисленное	Нет необходимости в отдельном редакторе, интерфейса консоли достаточно	Реализовано сохранение пользовательских поисковых запросов с возможностью их повторного использования.	Множество преднастроенных поисковых групп, ведение истории поисковых запросов, сохранение пользовательских поисковых запросов и возможность их повторного использования.	Имеется графический редактора сложных поисковых запросов, а также регулярных выражений, имеется возможность создавать преднастроенные поисковые запросов через графический редактор, доступна возможность сохранение истории поисковых запросов, сохранение пользовательских поисковых запросов и возможность их повторного использования	Готовые отчеты. Нет графического редактора сложных поисковых запросов.
9. Реагирование на инциденты утечек данных
9.1. Централизованное управление инцидентами, полученными из всех компонентов/модулей решения;	Да	Да	Поддерживается, управление инцидентами в разделе «События и инциденты»	Да, встроенная собственная IRP-система	Да	Да	Да.	Да, интерфейс отчетов.
9.2. Поддержка создания политик по управлению инцидентами (условия создания инцидента, создание инцидента при сработке определенных правил, создание инцидента определенного типа в зависимости от нарушителя/группы нарушителей, установка приоритета инцидента в зависимости от его свойств и т.д.);	Да	Да	Да	Да	Да	Частично	Да, кроме установки приоритета инцидента. Однако, для инцидентов можно установить цветные метки с произвольным описанием, в т.ч. с указанием приоритета для визуального контроля задач по управлению инцидентами.	Нет
9.3. Поддержка статусной модели инцидента (новый, в работе, ложное срабатывание, эскалирован, закрыт и т.д.);	Доступны следующие статусы инцидентов: - Инцидент не исследован - Инцидент исследован - Расследование инцидента отложено - Превышено время обработки - Важное происшествие - Неважное происшествие Ложное срабатывание	Да, допустимые статусы: Нарушение, Нет нарушения, На рассмотрении, Требует дополнительной обработки + кастомизация при помощи тэгов.	Поддерживается. Статусы инцидентов – Открыт / Закрыт / Не инцидент. Статусы событий – Новое / Просмотрено / Ошибочное срабатывание / Инцидент	Да	Нет	Да (статусы рассмотрения, комментарии)	Да, при помощи встроенного инструмента организации командной работы Task Management.	Нет
9.4. Назначение и смена ответственного за инцидент, передача инцидента между специалистами/группами специалистов;	Назначение ответственного лица доступно как для правила, так и для каждого инцидента правила в отдельности. Назначение ответственного лица на инцидент может производиться вручную и автоматически. Доступно ручное изменение ответственного лица и автоматическое изменение в том случае, если статус инцидента не будет изменен за указанный промежуток времени. Доступна гибкая настройка прав доступа к правилам безопасности и инцидентам правил безопасности.	Да, возможно при помощи тегов	Поддерживается	Да	Нет	Нет	Да, при помощи Task Management.	Нет
9.5. Поддержка сценариев реагирования на инциденты, предустановленные сценарии реагирования (перечислить);	-	· Отправка оповещений (нарушитель, руководитель нарушителя, Офицер безопасности, третьи лица) · Тэгирование события Смена статуса инициатора события для применения дополнительных политик безопасности, соответствующих статусу нарушителя, в т.ч. блокирование последующих операций.	Не поддерживается	регистрация события в базу данных или Syslog или Event Log, теневое копирование данных, отправка оповещения администратору ИБ, предупреждение пользователя, блокирование действий с конфиденциальными данными	Нет	Нет	Информация об инциденте может быть отправлена на почту, автоматически передана в SIEM или R-Vision. Также можно задать сценарии на реагирования на инцидент можно при помощи скриптов.	Нет
9.6. Поддержка создания пользовательских сценариев реагирования на инциденты;	Да, через добавление пользовательских скриптов.	Возможно через интеграцию со сторонними системами	Не поддерживается	Да	Нет	-	Да. Например, при помощи внешних скриптов.	Нет
9.7. Поддержка изменения предустановленных карточек инцидентов, создания пользовательских карточек инцидентов;	-	Да, в части наполнения карточки инцидента атрибутами политики защиты данных	Инцидент создается автоматически или вручную, но с предзаполненными полями. В карточке инцидента можно изменить уровень критичности и тип угрозы, поменять ответственного или статус, добавить примечание	Да	Нет	-	Карточку инцидента можно создать при помощи Task Management.	Нет
9.8. Поддержка ручного создания инцидента произвольного типа (заполнение всех полей вручную);	Доступен модуль «Расследования» с возможностью указания любой пользовательской информации	Да, через назначение тегов	Не поддерживается	Да	Нет	Нет	Да, при помощи Task Management.	Нет
9.9. Поддержка совместного расследования инцидентов (совместное внесение изменений в карточку инцидента, комментарии/чат по инциденту, возможность добавить файл-вложение к инциденту, возможность ручной смены приоритета инцидента);	Возможность смены статуса инцидента, как ручной так и автоматической. Возможность добавлять к инциденту комментарий и просматривать комментарии других офицеров безопасности. Возможность приоритезации инцидентов в соответствии с начисленным риском правила безопасности, возможность ручной категоризации инцидентов. Возможна связь пользовательских вложений к инцидентам путем добавления вложения и инцидента в соответствующее расследование.	Да, через сущность «Расследование» по инциденту/набору инцидентов.	Поддерживается	Да	Совместное внесение изменений реализовано.	Частично (статусы рассмотрения, комментарии)	Да, при помощи Task Management.	Нет
9.10. Поддержка возможности предоставления ограниченного, временного доступа к карточке инцидента заинтересованным лицам (руководитель нарушителя, нарушитель для дачи объяснений, специалисты профильных подразделений для оценки опасности инцидента и т.д.);	Доступна гибкая настройка прав доступа как к самому модулю политик безопасности, так и к самим инцидентам правил безопасности (полный доступ / только чтение / доступ запрещен)	Нет	Поддерживается путем настройки ролевой модели	Да, роли настраиваются	Нет	Нет	Нет	Нет
9.11. Перечень способов отправки оповещений при возникновении инцидента, при смене его статуса (электронная почта, мессенджеры, уведомления и т.д.);	Внутренняя система всплывающих плашек-оповещений офицера безопасности, отправка уведомлений по Email и Telegram. Отправка уведомлений по Syslog в сторонние системы.	при возникновении инцидента, электронная почта, телеграм + уведомление пользователю о нарушении	Поддерживается отправка уведомлений на электронную почту	электронная почта, Telegram, уведомления в консоли	Электронная почта, актуализация данных в SIEM/SOAR системе	Электронная почта, Syslog, SNMP	Электронная почта	Нет
9.12. Перечень способов реагирования на инцидент (интеграции с ИТ/ИБ-системами, реагирование встроенными средствами).	Возможность выполнение пользовательского скрипта при возникновении инцидента, возможность автоматического назначения ответственного за расследование инцидента лица, возможность автоматического изменения данного ответственного лица в случае смены статуса инцидента или истечения установленного промежутка времени без расследования инцидента, отправка уведомлений в сторонние IT/ИБ системы.	Интеграции через API	Есть возможность уведомлять о создании инцидента, а также есть интеграция с SIEM по уведомлению о создании инцидента.	Да	Интеграция с SIEM, SOAR системами Встроенные средства (блокировка, обработка событий и инцидентов, уведомление).	Реагирование встроенными средствами (блокировка операции), протоколирование, создание теневой копии, отправка оповещения администратору, отправка в SIEM	Отреагировать на инцидент можно при помощи интеграции с R-Vision, передачи данных о нем в формате syslog и внешние скрипты.	Передача данных по syslog
10. Отчетность, визуализация
10.1. Перечень поддерживаемых типов отчетов (отчеты по инцидентам, нарушителям, данным и т.д.);	- ТОП-отчет — отчет об активности определенного количества пользователей, для которых характерны пороговые значения заданных параметров. - Комплексный отчет по пользователям — отчет обо всех видах активности выбранного пользователя сети организации. - Сводный отчет — отчет, содержащий сводную статистическую информацию о показателях активности выбранных пользователей в сети организации за определенный промежуток времени. - Отчет об инцидентах — отчет, позволяющий проанализировать сравнительную статистику по инцидентам безопасности. - Отчет об активности пользователей — отчет, включающий браузер-активность, активность приложений и суммарную пользовательскую активность. Табель рабочего времени — отчет об использовании сотрудниками организации рабочего времени в течение месяца.	Отчет по персоне, отчет по инцидентам, граф связей, выгрузки по инцидентам, кастомизируемые дашборды и т.д.	Статистика по адресам, Отчет в виде списка (сообщений, событий, файлов), Сводный отчет по инцидентам, Отчет по коммуникациям персон и передаче информационных объектов (Тепловая карта коммуникаций), Сводный отчет по персоне	Свыше 50 предустановленных	Встроенные отчеты: по инцидентам, по рабочему времени, по посещаемым сайтам. Можно построить отчет по поисковому запросу.	Множество отчетов. Например, Рейтинг нарушителей, Рейтинг активных пользователей, Рейтинг передаваемых файлов, Рейтинг печатаемых документов, Рейтинг применяемых правил, Рейтинг используемых веб-сервисов, Рейтинг используемых мессенджеров, Градиент активности и пр.	В КИБ 65+ базовых шаблонов отчетов. Среди них отчеты по пользователям, их связям, количестве инцидентов, устройствам, авторизации и т.д.	Отчеты по инцидентам, нарушителям, данным
10.2. Поддержка создания пользовательских типов отчетов;	Доступен гибкий выбор показателей, пользователей и прочей информации, по которой будет построен отчет выбранного типа.	Да	Поддерживается	Да	Реализовано (с выбором вида визуализации: круговая, гистограмма и т.д.)	Частично	Мастер отчетов позволяет построить собственный отчет, не ограниченный критериями.	Через SQL-запросы к БД
10.3. Перечень поддерживаемых форматов создания отчетов (doc, pdf и т.д.);	xlsx, pdf, xml, json	Excel, PDF, HTML	pdf, xml, doc, html, csv	Возможность экспорта во все основные офисные форматы файлов	CSV, XLSX, PDF и HTML	HTML, PDF, RTF	Excel, CSV, HTML, TXT, PDF, XML.	html, pdf, csv, zip
10.4. Поддержка создания отчетов вручную, автоматически (по расписанию, при выполнении условий и т.д.);	Да, как вручную, так и автоматически по расписанию.	Вручную, по расписанию.	Отчеты можно формировать как вручную в интерфейсе, так и автоматически по расписанию	Все варианты	Реализовано. Выгрузка отчетов вручную и автоматически по расписанию.	Вручную, автоматически (по расписанию)	Большая часть - вручную, некоторые - автоматически по расписанию.	Поддержка создания отчетов вручную, автоматически по расписанию.
10.5. Поддержка отправки созданных отчетов вручную, автоматически (по расписанию, при выполнении условий и т.д.) по электронной почте, через мессенджеры, иными способами (перечислить);	Да. Отправка отчетов по заданному расписанию заданному перечню адресатов посредством почты и Telegram	По расписанию, по электронной почте	Можно настроить отправку отчета или уведомления об отчете на электронную почту	Вручную любыми способами. Автоматически возможно реализовать по сценариям	Отправка отчетов по электронной почте	Вручную, автоматически (по расписанию) по электронной почте	Отчеты из КИБ можно отправлять как вручную при помощи передачи файла по любому из каналов коммуникаций, в т.ч. на печать через интерфейс. Так и автоматически по расписанию через электронную почту.	Поддержка отправки созданных отчетов вручную, автоматически по расписанию по электронной почте, ftp, сохранение в папку.
10.6. Визуализация статусов и прогресса инцидентов, «тепловая карта» каналов утечки, рейтинги (групп нарушителей, файлов, приложений, веб-ресурсов и т.д.);	Отображение инцидентов и нарушений на графе взаимосвязей с выделением наиболее частых коммуникаций. Цветовая маркировка инцидентов, присвоение рисков инцидентам и отображение наиболее опасных нарушителей	Визуализация статусов инцидентов, каналов утечек, рейтингов нарушителей и др.	Визуализация статусов и прогресса инцидентов – Да «Тепловая карта» каналов утечки – Да, отчет по коммуникациям персон и передаче информационных объектов Рейтинги (групп нарушителей, файлов, приложений, веб-ресурсов и т.д.) – Да, например, виджет «Файлы» показывает топ-6 файлов, фигурирующих в серьезных событиях/инцидентах или виджет «Снижение уровня доверия» показывает список персон (топ-3) с наиболее резким снижением уровня доверия.	Да. Вместо тепловой карты имеется рейтинг, а также оценка рисков	Досье на сотрудников со статистикой	Тепловая карта» каналов утечки (Градиент активности), различные рейтинги (нарушителей, активных пользователей, используемых каналов, передаваемых файлов, печатаемых документов, применяемых правил, используемых веб-сервисов, используемых мессенджеров и пр.).	Реализованы рейтинги по группам нарушителей, самым частым инцидентам, расширениям браузеров, подключению переферии и другой информации.	Есть в виде различный отчетов
10.7. Графы связей пользователей, данных, инцидентов, нарушителей;	Граф взаимосвязей пользователей в модуле «Активность пользователей». Отображение каналов коммуникаций и их частоты, визуализация сработок политик безопасности и блокировок на ребрах графа.	Да.	Поддерживается	Да	Да	Графы связей	Да	Граф связей по контактам пользователей
10.8. Дашборды (стратегические, оперативные, тактические, аналитические), диаграммы (лепестковые, гистограммы, круговые и т.д.), виджеты, поддержка функционала «drill down»;	Да, доступны дашборды (предустановленные и пользовательские) и виджеты (топ пользователей, активность пользователей, продуктивность пользователей, риск пользователей, анализ инцидентов, популярные мессенджеры, последние события, динамика показателей). Используются линейные, столбчатые, круговые и т.д. диаграммы, доступен функционал «drill down».	Любые дашборды с возможностью создания пользовательских, с поддержкой drill-down	Дашборды – поддерживаются Диаграммы – поддерживаются Виджеты – поддерживаются Поддержка функционала «drill down» – да	Да. Настраиваемые	Да	Множество виджетов (например, Динамика активности, количество активных пользователей, передаваемые форматы файлов и пр.)	Диаграммы и отчеты с функцией Drill down. Дашборды и виджеты – для задач администрирования.	Наборы готовых отчетов
10.9. Поддержка возможности пользовательской настройки элементов визуализации (дашборды, виджеты) с настройкой отображения под каждого пользователя или группы, поддержка сохранения пользовательской настройки отображения, поддержка брендирования (фирменные логотипы, шрифты, цветовая гамма компании).	Доступна тонкая пользовательская настройка виджетов, дашбордов и отчетов. При использовании авторизации каждый пользователь может тонко настроить свой собственный набор дашбордов и виджетов, информация на которых будет отображаться с установленными для пользователя правами доступа к перехваченной информации и отображаемым пользователям. Доступен выбор логотипа компании, который будет отображен на всех соответствующих элементах при формировании отчета в электронном виде для просмотра в сторонних программах или при выводе отчета на печать.	Поддерживается пользовательская настройка и сохранение настроек отображения. Брендирование не поддерживается.	Поддержка возможности пользовательской настройки элементов визуализации (дашборды, виджеты) с настройкой отображения под каждого пользователя или группы – Да. Доступны: фильтрация по организационно-штатной единице, выбор/задание периода времени, перемещение виджетов на рабочем столе. Поддержка сохранения пользовательской настройки отображения - Да Поддержка брендирования (фирменные логотипы, шрифты, цветовая гамма компании) – не поддерживается.	Да. Настраиваемые	Да, но без кастомизации брендирования	Возможность пользовательской настройки элементов визуализации (виджеты) с настройкой отображения под каждого пользователя, поддержка сохранения пользовательской настройки отображения	Да, включая индивидуальный менеджмент инцидентов для сотрудников ИБ. Брендирование доступно ТОЛЬКО для отчетов по продуктивности.	Нет

Расширенные критерии

Основные критерии	Falcongaze SecureTower	InfoWatch Traffic Monitor	Solar Dozor	Zecurion DLP	Гарда DLP	Киберпротект КиберПротего	СёрчИнформ КИБ	Стахановец
1. Общие технические характеристики
1.1. Возможность использования решения как услуги (облачная DLP);	Нет	Да, с ограничениями	Поддерживается установка в облаке (SaaS/PaaS)	По запросу	Технически возможно, но фактически не рекомендуется, не предлагаем.	Нет	Есть	Нет
1.2. Поддержка интеграции с облачными СЗИ (CASB, CNAPP, CSPM, DSPM и т.д.);	Нет	С помощью открытого API	нет данных (далее - н/д)	Да	Нет	Нет	Потенциально с любыми по стандартам REST API, icap, syslog\cef	Нет
1.3. Поддержка работы решения в сетях, изолированных от Интернет;	Да	Да	Поддерживается	Да	Да	Да	Есть	Да
1.4. Открытость скриптов, алгоритмов, логики, моделей машинного обучения в решении, возможность их доработки и адаптации под требования конечного пользователя (в части обнаружения и анализа данных, обнаружения аномалий поведения пользователей, выполнения мониторинга и блокировок передачи данных и т.д.);	Нет	Алгоритмы, логика, модели – проприетарные, возможна кастомизация под клиента. Инструменты могут быть обучены на детектирование пользовательских данных.	н/д	Да, возможна донастройка и адаптация	Нет	Адаптация правил выполняется самостоятельно, доработка по запросу	Да, настройки с содержание встроенных критериев\алгоритмов поиска полностью открыты	Нет
1.5. Поддержка мониторинга работоспособности и состояния решения с помощью встроенного функционала;	Да, доступен встроенный монитор работоспособности серверных компонентов системы с возможностью просмотра статистики и управления серверными компонентами прямо из Консоли Администратора	Да	Поддерживается, на базе встроенной системы Zabbix	Да. Также имеется собственная система развёртывания и обновления ПО	Да	Да	Да	Да
1.6. Поддержка мониторинга работоспособности и состояния решения через интеграции с внешними системами (например, Zabbix);	Доступна отправка событий системы в другие системы посредством Syslog с гибким выбором отправляемых типов событий	Да, Grafana	Поддерживается через syslog	Только внешними средствами	Да	Нет	Да	Возможно
1.7. Поддержка работы решения в режиме multitenancy: наличие встроенного функционала по разграничению данных по тенантам, построение иерархии тенантов, возможность переключения пользователя между доступными тенантами, возможность присвоения пользователям разных тенантов одной функциональной роли.	Да, доступно гибкое разграничение прав доступа с возможностью использования как внутренней системы авторизации, так и авторизации, основанной на объектах Active Directory	Нет	н/д	Нет	Нет	Неприменимо	Да	Есть возможность инстанцирования сервера и БД
2. Общие организационные характеристики
2.1. Наличие авторизованного обучения от вендора, стоимость обучения, длительность курса;	Да, при покупке системы.	Часть программ обучений представлена на сайте https://infowatch.academy/kursy-po-informatsionnoy-bezopasnosti Есть обучения, как для пользователей клиентов, так и для инженеров внедрения	Проводятся обучающие вебинары по продукту	Да. Стоимость и условия по запросу	Да, стоимость уточнять индивидуально.	Да 2 рабочих дня, стоимость определяется авторизованными учебными центрами	Да	Есть, продолжительностью два дня. Цена по запросу
2.2. Поддержка работы MSS-провайдеров с решением;	Нет	Да, с ограничениями		Да	Да	Нет	Да	Нет
2.3. Дорожная карта развития решения (планируемый к внедрению функционал и ориентировочные сроки реализации, планируемые изменения в лицензионную политику).	Да, составляется дорожная карта решения с упором на приоритезацию интересующего клиентов функционала.	Да, предоставляется по запросу	Планируется добавить поддержку протокола ICAPS (ICAP over TLS), расширение функционала Dozor Endpoint Agent для ОС Linux, macOS	Не является публичной информацией. В будущих версиях планируется добавить функционал ИИ-ассистентов и поддержку внешних камер наблюдения для выявления фотографирования экрана.	Планируется добавить поддержку статусной модели инцидента, назначение и смена ответственного за инцидент, передачу инцидента между специалистами/группами специалистов, внесение комментариев (чат) по инциденту и смена приоритета. Будет реализована поддержка защиты от утечек при использовании ИИ-агентов.	Нет	н/д	н/д
3. Общий функционал решения
3.1. Поддержка защиты от утечек при использовании чат-ботов с ИИ;	Да доступен аудит взаимодействия пользователей с чат-ботами и гибкие блокировки	Да	н/д	Да	Нет	Нет	Да, для популярных систем (ChatGPT, Алиса и т.д.)	Да
3.2. Поддержка защиты от утечек при использовании систем распознавания визуальных образов и изображений;	Да, доступны возможности распознавания изображений, которые позволяют детектировать и предотвратить утечку конфиденциальных документов с печатями организации	Да	н/д	Да	Да, OCR	Нет	Механизмы встроены в решение	Защита от фотографирования экрана ПК смартфоном в момент работы критических приложений или сайтов.
3.3. Поддержка защиты от утечек при использовании систем распознавания и транскрибирования речи;	Да, доступны возможности распознавания речи с последующим переводом распознанной речи в текст, на основании которой возможна сработка политики безопасности, уведомляющая офицера безопасности о нарушении или блокировка	Да	н/д	Да	Да	Нет	Механизмы встроены в решение	Нет
3.4. Поддержка защиты от утечек при использовании иных ИИ-систем, в которые может быть загружена конфиденциальная информация в различных формах (текст, изображения, аудио, видео и т.д.);	Да, доступны правила блокировки AI-инструментов, позволяющие ограничить взаимодействие пользователей с данными инструментами (предотвращение загрузки в AI определенных конфиденциальных документов по контексту, контенту и т.д)	Да	н/д	Да	Да	Нет	Да, для популярных систем (ChatGPT, Алиса и т.д.)	Запрет отправки файлов по форматам (кроме аудио, видео), полный запрет отправки файлов на не корпоративные ресурсы.
3.5. Поддержка защиты от утечек при использовании ИИ-агентов;	Доступно детектирование вероятных угроз утечек информации с помощью ИИ (саммаризация переписок, почты и текстовых документов)	Да	н/д	Да	Нет	Нет	Да, для работающих по протоколу http(s)	Нет
3.6. Применение ML для обнаружения и анализа данных (указать используемые методы, типы нейросетей, ML-моделей);	Используются нейросети для распознавания изображений и текста, а также возможно использование любых AI-моделей (как локальных, так и облачных) для анализа данных	Да, проприетарные	н/д	Да, собственные разработки	Обнаружение с помощью ML определенных типов документов (например скан паспорта). Модуль speech to text.	Нет	Выявление инцидентов на базе обученной нейросети, автоперевод текстов с языка на язык, саммарайзинг текста	ChatGPT, YandexGPT, Ollama:qwen3 или deepseek-r1
3.7. Применение ML для обнаружения аномалий поведения пользователей (указать используемые методы, типы нейросетей, ML-моделей);	Нет	Да, проприетарные	Собственная запатентованная математическая ML-модель анализа поведения пользователей (тип «обучение без учителя»), самообучающиеся алгоритмы	Да, собственная разработка обнаружения аномалий и оценки рисков	Нет	Частично	Нет (используется альтернативный подход – психологическое профилирование пользователей)	ChatGPT, YandexGPT, Ollama:qwen3 или deepseek-r1
3.8. Применение ML для выполнения мониторинга и блокировок передачи данных (указать используемые методы, типы нейросетей, ML-моделей);	Нет	Нет	н/д	Да	Нет	Нет	Выявление инцидентов на базе обученной нейросети, без блокировки.	Нет
3.9. Применение ИИ-ассистентов для создания запроса к данным решения в свободной форме (обработка естественного языка), для помощи в поиске информации по документации, для настройки решения, иных задач (перечислить);	Нет	Да	н/д	Нет	Нет	Нет	Нет	Возможность воспользоваться ИИ-помощником для составления SQL-запроса типа SELECT к базе комплекса по его словесному описанию.
3.10. Применение методов обработки Big Data;	Нет	Да	Поддерживается, технология мгновенного поиска OpenSearch	Да	Да	Нет	Получен патент на “Способ обработки данных в гибридном хранилище”	Нет
3.11. Поддержка выявления техник сокрытия информации (стеганография, base64-кодирование, добавление конфиденциальной информации во внутренние структуры файлов, «склеивание» файлов, запись конфиденциальной информации в ADS-поток файла и т.д.) (перечислить выявляемые техники сокрытия информации).	Нет	Поддерживается выявление таких стеганографических методов, как: base64-кодирование, UUE- кодирование, добавление конфиденциальной информации во внутренние структуры файлов, «склеивание» файлов, определение оригинального типа файла по сигнатуре данных.	н/д	Все перечисленные	Нет	Частично, запись конфиденциальной информации в ADS-поток файла	Поддерживаются все перечисленные кроме стеганографии. Стеганография имеет ограниченное применение (например, генерация текста в QR коды поддерживается, замена каждой буквы на другую букву – не поддерживается)	Нет
4. Функционал агентских компонентов
4.1. Поддержка сбора инвентаризационной информации об устройстве с установленным агентом DLP (список программного, аппаратного обеспечения, список пользователей, сетевые настройки и т.д.);	Да, доступен просмотр установленного на компьютере с агентом ПО, отслеживание и блокировка устройств, подключаемого к компьютеру, отслеживание отклонений от конфигурации компьютеров. Доступно отслеживание пользователей, авторизующихся за компьютером.	Поддерживается получение списка запущенных процессов.	Частично поддерживается при установке Dozor Endpoint Agent (проверка версии ОС, обновлений ОС, конфликтующего ПО).	Частично	Нет	Нет	Да, список ПО, оборудования, УЗ	Список программного, аппаратного обеспечения
4.2. Поддержка удаленного управления устройством с установленным агентом DLP (интерактивное взаимодействие с рабочим столом, выполнение команд, запуск процессов и т.д.);	Доступно выполнение пользовательского скрипта на устройстве с установленным агентом при сработке правила безопасности	Реализована возможность блокировки пользовательской сессии.	н/д	Да, в рамках сценариев по обеспечению безопасности защищаемой информации	Нет	Нет	Нет	Частично. Выполнение команд, запуск процессов, без перехвата управления.
4.3. Интеграция с агентскими модулями других СЗИ (антивирусами, хостовыми брандмауэрами, HIPS, EDR и т.д.): возможность управлять агентом DLP из консоли других решений, необходимость внесения исключений для процессов, сетевых протоколов агента DLP в агентских модулях других СЗИ;	Нет	Нет	н/д	Частично. Возможности стороннего управления агентами нет	есть	Нет	Да, для систем защиты контента (StarForce, Vaulterix, EveryTag)	Нет
4.4. Поддержка нестандартных способов обмена файлами (Link to Windows, Phone Link, AirDrop, Quick Share for Windows, Logitech Flow, ShareMouse, Mouse Without Borders и т.д.);	Нет	При помощи технологии Универсальный перехватчик	н/д	Да	Нет	Нет	Да, поддерживаются любые реализованные по технологиям файловых потоков, Bluetooth или WIFI\WIFI Direct	Поддерживается iMazing
4.5. Поддержка защиты от вредоносного вмешательства пользователя (например, удаление исполняемого файла агента DLP, отключение сервиса DLP, блокирование сетевой связности с сервером управления DLP), поддержка защиты конфигурации и состояния агента DLP (например, с помощью пароля для изменения конфигурации или удаления агента DLP) (перечислить принципы защиты от вредоносного вмешательства пользователя);	Да, доступны защита от удаления и скрытие агента на компьютере. Доступна установка пользовательского именования агента и пользовательской иконки агента. Доступно отслеживание состояния агента. В случае нарушения целостности файлов агента он принудительно переустанавливается сервером контроля агентов для обеспечения дальнейшей корректной работы.	Защита паролем от удаления агента Защита локального хранилища теневого копирования Защита от удаления/повреждения системных файлов Режим сокрытия агента Защита конфигурация агента	Поддерживается контроль активности и целостности агента Dozor Endpoint Agent и наличия связи с агентом, возможна отправка syslog-уведомлений при нарушении целостности агента.	Частично	Да, агент скрыт в система, директория скрыта и недоступна пользователю.	Да (защита от удаления исполняемых файлов и служебных данных агента, защита реестра, защита системных файлов, защита от отключения, защита от пользователей с правами администратора системы, контроль целостности, защита от нарушения сетевой сетевой связности с сервером управления и пр.)	На стороне агента и на стороне сервера (если пользователь повредит агент – сервер его восстановит)	Поддержка защиты от вредоносного вмешательства пользователя (удаление исполняемого файла агента DLP, отключение сервиса DLP)
5. Функционал сетевых компонентов (если присутствуют)
5.1. Поддержка выявления инкапсулированной конфиденциальной информации в сетевом трафике (DHCP, ICMP, DNS, DNS-over-TLS, DNS-over-HTTPS и т.д.) (перечислить контролируемые сетевые протоколы);	Нет	Нет	н/д	Да	SMTP POP3 HTTP HTTPS IMAP FTP FTPS MAPI WhatsApp Telegram SIP SSDP MGCP, SKINN Megaco/H248 TrueConf/H.323	Нет	Нет	Нет
5.2. Поддержка автоматического обнаружения пароля для архива в соседних сообщениях электронной почты и использования обнаруженного пароля для анализа содержимого архива.	Детектируется ввод пароля в соответствующие поля	Нет, но реализован функционал запроса пароля непосредственно у отправителя зашифрованного вложения. Поддерживаются не только архивы, но и документы форматов MS Office, PDF, в т.ч. зашифрованные при помощи Opentext IRM, в том числе с поддержкой вложенных, защищенных паролем объектов.	Только ручной поиск в соседних сообщениях	Именно в соседних письмах нет	Нет	Нет	Да	Нет
6. Функционал компонентов обнаружения данных (если присутствуют)
6.1. Поддержка обнаружения и классификации данных (в т.ч. неструктурированных) с использованием ML (указать используемые методы, типы нейросетей, ML-моделей);	Нет	Да: · Обнаружение - графические изображения и текстовые данные - проприетарная модель, обучаемая на данных пользователя Классификация/категоризация - текстовые данные - проприетарная модель, классифицирующая данные пользователя на смысловые кластера	н/д	Да, собственная разработка	Нет	Нет	Выявление инцидентов на базе обученной нейросети	Нет
6.2. Поддержка ведения аудита действий пользователей с файлами (редактирование, чтение, удаление, изменение прав доступа и т.д.);	Доступен аудит файловых операций с файлами и папками. Контролируемые операции с файлами: создание, чтение, запись, удаление, переименование, открытие, изменение прав доступа Контролируемые операции с папками: создание, удаление, переименование, открытие, изменение прав доступа	Да	н/д	Да	Нет	Частично	Да, для всех перечисленных действий	Частично (копирование, удаление, переименование, чтение)
6.3. Поддержка выявления файлов определенного типа (аудио, видео, исполняемые и т.д.), нетипичных файлов (множество мелких, аномально большие и т.д.), дубликатов файлов, файлов с нестандартными правами доступа (доступ разрешен/запрещен всем и т.д.).	Доступен аудит и блокировка перемещений файлов определенного расширения и измененного расширения	Да	н/д	Да	Да	Да	Да	Нет
7. Функционал компонентов анализа поведения пользователей (если присутствуют)
7.1. Выявление потенциально опасного психологического состояния сотрудников для предотвращения несчастных случаев, стресса, выгорания, предпосылок для увольнения (например, за счет анализа изменений в клавиатурном почерке, изменений в характере бизнес-переписки и онлайн-общения, взаимодействия с деструктивными или противоправными сущностями и т.д.);	Доступно отслеживание активности пользователя с отображением динамики большого количества показателей. Доступен граф взаимодействия контролируемого пользователя с другими пользователями с возможностью отслеживания каналов, по которым нарушались установленные в компании политики безопасности.	Психологическое состояние сотрудников не анализируется. Под анализUBAсистемы попадают действия сотрудников на предмет детектирования рисков, связанных с выводом информации, поиска работы, нелояльности, снижения производительности, политических взглядов.	Поддерживается в паттерне поведения «Признаки увольнения», «Потенциальные инсайдеры»	Да	Нет	Нет	Да, на базе психологического портрета	Да
7.2. Поддержка контроля и транскрибирования голосового трафика в мессенджерах, ВКС, веб-браузерах и т.д.;	Да, доступен перевод распознанной речи в текст и последующая сработка правил безопасности на распознанном содержимом	Да (при перехвате аудиопотока на контролируемой рабочей станции)	н/д	Да	Да	Нет	Да, для любых каналов	Да, транскрибирование голосовых звонков в мессенджерах
7.3. Поддержка выявления произнесения ключевых слов (фраз) во время работы за устройством (с помощью встроенных и внешних микрофонов);	Да, в случае включенного распознавания речи доступно отслеживание произнесенных пользователем слов	Да	Поддерживается транскрибация с помощью нейросети, которая переводит речь (русский, английский языки) из аудиозаписи в текст, полученный текст проверяется на заданные триггеры (ключевые слова).	Да	Да	Нет	Да	Да, при голосовых звонках через мессенджеры
7.4. Поддержка технологий снижения ложноположительных сработок при выявлении аномалий (указать используемые методы).	Нет	Спец. технологий по снижению ЛПС не используется, но есть инструменты, которые вручную позволяют настроить решение под определенные сценарии.	н/д	Да	Нет	Нет	Не применимо, т.к. используется психологический портрет на базе алгоритмов профайлинга личности, а не ML	Нет
8. Выявление и предотвращение утечек
8.1. Поддержка поиска информации в распознанных (транскрибированных) голосовых данных;	Да	Да	Поддерживается	Да	Да	Нет	Да	Нет
8.2. Поддержка поиска информации в распознанных (OCR) визуальных данных;	Да	Да	Поддерживается	Да	Да	Да	Да	Нет
8.3. Поддержка кастомизации списка контролируемых ресурсов (например, поддержка самостоятельного расширения списка сайтов веб-почты, самостоятельного добавления контроля нестандартного сетевого протокола и т.д.);	Доступна пользовательская категоризация сайтов и приложений, списки почтовых адресов	Да	Поддерживается настройка пользовательского справочника приложений	Да	Да	Частично	Да для веб-ресурсов	Да, частично (можно добавить порты для контроля, например при использовании прокси)
8.4. Поддержка выявления действий вирусов-вымогателей, вирусов-шпионов и иных типов ВПО, осуществляющих кражу конфиденциальной информации (включая такие действия, как поиск и эксфильтрация данных, горизонтальное перемещение по инфраструктуре, создание новых высокопривилегированных учетных записей, изменение сетевых настроек и т.д.).	Нет	Определение вирусов-вымогателей, вирусов-шпионов и иных типов ВПО – нет.   Поддержаны сценарии мониторинга файловых операций, которые могут выявить активность вирусов-шифровальщиков на файловых хранилищах. Поддержаны сценарии подготовки к эксфильтрации данных, Реализовано обнаружение создания новых высокопривилегированных учетных записей Определение брутфорс-атак на учетные записи пользователей.	н/д	Да	Нет	Нет	Да	Нет
9. Реагирование на инциденты утечек данных
9.1. Поддержка реагирования и расследования с использованием чат-ботов с ИИ (выдача чат-ботом рекомендаций по реагированию на инциденты утечек данных, поиск обогащающей информации по инциденту в чат-боте, интерактивный анализ файлов на предмет содержания конфиденциальной информации в чат-боте и т.д.);	Нет	Реализовано частично: поиск обогащающей информации по инциденту в чат-боте	н/д	Нет	Нет	Нет	Выявление инцидентов на базе обученной нейросети, без рекомендаций	Нет
9.2. Поддержка выполнения автоматизированных комплексных действий по реагированию на инциденты утечек данных (например, отключение учетной записи предполагаемого нарушителя, отключение интернет-доступа и блокирование всех съемных накопителей на устройстве предполагаемого нарушителя, блокирование карты СКУД предполагаемому нарушителю и т.д.);	Доступно выполнение пользовательских скриптов при сработке правила безопасности. Через скрипт возможно совершить широкий перечень действий по реагированию на инцидент, в том числе и завершить активную сессию нарушителя	Нет	н/д	Да	Нет	Нет	При интеграции со специализированными продуктами либо посредством выполнения скриптов (доступно в рамках DLP)	Блокировка учетной записи пользователя при попытке сделать скриншот экрана смартфоном
9.3. Поддержка ведения таймлайна поведения устройств, пользователей, инфраструктуры для визуализации инцидентов на временной шкале;	Доступен модуль Анализ рисков, отражающий динамику нарушений пользователей. Доступен модуль Активность пользователей, отражающий динамику изменений широкого перечня показателей пользователей	Реализован таймлайн поведения пользователя, реализующий отображение взаимодействие пользователя с устройствами и иными сетевыми ресурсами.	Поддерживается с помощью универсального плеера 4D (таймлайн информации по пользователю из разных источников)	Да, плюс динамика по другим событиям и показателям	Частично (без конкретной временной шкалы)	Частично	Нет	Ведения таймлайна поведения пользователей
9.4. Поддержка интерактивного реагирования на инциденты из графа связей, таймлайна, карточки инцидента;	Доступна возможность интерактивного составления и расследования инцидента	Нет	н/д	Да	Да	Нет	Да	Нет
9.5. Поддержка журналирования действий устройств, пользователей, инфраструктуры для поддержки реагирования на инциденты других типов (например, вирусные заражения, фишинг, уничтожение данных и т.д.).	Доступен просмотр дневной активности пользователя, в которой отражен полный перечень действий, совершаемых пользователем (запуск и завершение процессов, смена активных окон, начало и окончание удаленной сессии и прочее). Доступно отслеживание кейлогера, перечня подключаемых и отключаемых внешних устройств и так далее	Да, осуществляется логирование файловых операций, действий с устройствами и всей активности пользователя.	н/д	Да	Нет	Нет	Да	Поддержка журналирования действий пользователей
10. Отчетность, визуализация
10.1. Поддержка формирования отчетности об инцидентах утечек данных по требованиям и формам НКЦКИ, ФинЦЕРТ, Роскомнадзора;	Нет	Нет	н/д	Настраивается при внедрении	Нет	Нет	Да	Нет
10.2. Поддержка интеграции с АСОИ (ФинЦЕРТ), ГосСОПКА (НКЦКИ), веб-порталом Роскомнадзора для отправки уведомлений об инцидентах утечек данных;	Нет	Нет	н/д	Нет	нет	Нет	Да, за исключением РКН	Нет
10.3. Поддержка обезличивания (анонимизации) конфиденциальной информации при формировании отчетов.	Нет	Нет	н/д	В ручном режиме	Нет	Нет	Автоматизированной нет	Нет

Выводы

Все рассмотренные решения присутствуют в реестре российского ПО и поддерживают установку и работу с основными отечественными ОС. Все решения, кроме «Киберпротект КиберПротего», сертифицированы ФСТЭК России. Заметим, что российские DLP-решения демонстрируют высокий уровень зрелости и широкий функционал, сопоставимый и даже превосходящий возможности зарубежных продуктов аналогичного класса.

Falcongaze SecureTower

Решение отличается высокой скоростью развертывания: по утверждению вендора, одиночный сервер для контроля 20-5000 пользователей может быть развернут и начнет работу в течение 1-2 часов. Решение поддерживает API-интеграции и совместимость с технологиями виртуализации, поддерживается сетевая инспекция зашифрованного трафика по протоколам TLS 1.2 и TLS 1.3, содержится более 170 предустановленных словарей, поддерживается получение данных с микрофонов и камер контролируемых устройств с подключением в реальном времени. Для реагирования на инциденты утечек данных поддерживается выполнение пользовательских скриптов при сработке правил безопасности. Решение поддерживает аудит взаимодействия пользователей с ИИ-чатботами и гибкие блокировки, поддерживается предотвращение загрузки в ИИ-системы определенных конфиденциальных документов по контексту и контенту. Кроме того, в решении используются технологии ИИ для детектирования утечек информации и для распознавания изображений и текста. Однако, решением не поддерживаются мобильные ОС, не поддерживается обнаружение данных на сетевых папках, выявление фотографирования экрана не осуществляется.

InfoWatch Traffic Monitor

Решение поддерживает большой список интеграций с внешними системами и с другими продуктами от InfoWatch, поддерживаются интеграции по API. Решение поддерживает транскрибацию аудиоданных и интеллектуальную категоризацию скриншотов, присутствует собственный каталог веб-ресурсов (более 1 млн записей), поддерживается сетевая инспекция зашифрованного трафика по протоколу TLS 1.2. Поддерживается выявление фотографирования экрана через встроенные и внешние камеры на АРМе, осуществляется контроль местоположения устройства по GPS. Агент InfoWatch Traffic Monitor защищается паролем от удаления, конфигурация агента также защищается. Машинное обучение используется для обнаружения и классификации данных, во встроенном чат-боте доступен поиск обогащающей информации по инциденту. Кроме того, применяются ИИ-ассистенты для создания запроса к данным в свободной форме и для помощи в поиске информации по документации. Однако, решение не поддерживает обнаружение данных на подключенных USB/MTP/PTP-устройствах и в каталогах синхронизации с облачными сервисами, не поддерживает выявление инкапсулированной конфиденциальной информации в сетевом трафике, нет поддержки интерактивного реагирования на инциденты из графа связей. Отдельно отметим, что решением обнаруживаются сценарии подготовки к эксфильтрации данных вирусами-шифровальщиками, что может существенно помочь в реагировании на подобные кибератаки.

Solar Dozor

Решение поддерживает интеграцию с продуктами Solar webProxy и Solar DAG, в которых реализована часть функционала (обращение к сайтам, история изменения файлов, отчетность), а также с внешними системами по API. Агенты Solar Dozor поддерживают перехват произвольных приложений, задаваемых в справочнике приложений, поддерживается сетевая инспекция зашифрованного трафика (включая протокол TLS 1.3), поддерживается обнаружение различных типов СУБД с данными. Решение предоставляет возможность подключения к контролируемому устройству и просмотр/прослушивание в реальном времени, поддерживается визуализация графа связей и информация об активности пользователя в разделе «Досье на персону». При срабатывании политики поддерживается замена защищаемых данных заглушкой (функционал реконструкции сообщения), для обнаружения аномалий поведения пользователей используется собственная запатентованная ML-модель и самообучающиеся алгоритмы. Однако, не реализованы сценарии реагирования на инциденты утечек данных, определение местоположения устройства и выявление фотографирования экрана также не поддерживаются.

Zecurion DLP

Решение поддерживает 14 вариантов установки в корпоративную инфраструктуру для различных конфигураций ИТ-среды заказчика, поддерживается установка всех компонентов на единственный физический сервер для небольших инсталляций. Поддерживается интеграция в рамках собственной экосистемы продуктов, включающей DCAP, SWG, NGFW и Storage Security, а также со сторонними решениями. Поддерживается сетевая инспекция зашифрованного трафика до протокола TLS 1.3, для определения местоположения устройства используются данные сетевого адаптера и окружающих WiFi-точек, поддерживается выявление фактов внешней съёмки экрана контролируемого устройства. При срабатывании политики поддерживается замена конфиденциальных данных заглушкой и шифрование файла/носителя (фирменная технология «криптопериметр»), а управление инцидентами утечки данных осуществляется во встроенной собственной IRP-системе, также предусмотрено более 50 предустановленных типов отчетов. Для обнаружения и классификации данных, обнаружения аномалий и оценки рисков используются собственные ML-разработки. Однако, ИИ-ассистенты пока находятся в разработке, нет поддержки реагирования и расследования с помощью ИИ-чатботов, поддержку внешних камер наблюдения для выявления фотографирования экрана также планируется добавить в грядущих релизах.

Гарда DLP

Комплекс работает на серверной ОС Альт 8 СП 10, все компоненты поставляются «коробкой», поддерживается только on-premise инсталляция. Решение поддерживает определение категории изображения с помощью ИИ (паспорта, печати, банковские карты), оптическое распознавание текста (OCR) и распознавание речи (Speech to text). Поддерживаются построение графа связей с внешними контактами и внутри компании, формирование досье на сотрудников со статистикой, визуализация маршрута перемещения данных. Однако, в решении не реализованы контроль доступа к веб-сайтам различных категорий и обнаружение данных на сетевых папках, нет поддержки вложенных объектов и файлов.

Киберпротект КиберПротего

В решении присутствует больше 160 предустановленных словарей, больше 100 предустановленных регулярных выражений, поддерживается широкий спектр контролируемых интерфейсов передачи данных, поддерживается запись экранов при одновременном удаленном подключении к устройству нескольких пользователей. Технология Cyber Protego TS обеспечивает предотвращение утечки данных при использовании внутри VDI-сред, терминальных сессий рабочих столов и приложений. Поддерживается формирование графов связей и градиентов активности каналов утечки, выявляется запись конфиденциальной информации в ADS-поток файла. Агент защищается от несанкционированного удаления и отключения, контролируется целостность, поддерживается защита от нарушения сетевой связности агента с сервером управления. Однако, не реализовано выявление фотографирования экрана и контроль местоположения устройства, в решении не используются ИИ-ассистенты и чат-боты, не применяются методы машинного обучения для обнаружения и классификации данных.

СёрчИнформ КИБ

Решение поддерживает бесшовную интеграцию с DCAP «СёрчИнформ FileAuditor» (часть функционала обнаружения и классификации данных реализована в нём) и «СёрчИнформ SIEM», а также более 100 интеграций со сторонними решениями. Поддерживается анализ архивов без ограничений на количество уровней вложенности, выявление скрытых слоёв в PDF-файлах, поддерживается широчайший спектр потенциальных каналов утечки и внешних устройств, а также различного прикладного ПО и браузеров. Решение интегрируется с продуктом «СёрчИнформ ProfileCenter», который выполняет полноценное профилирование и оценку психологического состояния работников. Управление инцидентами производится при помощи встроенного инструмента организации командной работы «Task Management», а кастомизированные отчеты можно сформировать с помощью мастера отчетов. ИИ используется для распознавания изображений различных типов документов, классификации изображений и выявления наличия корпоративных печатей, а также для выявления фотографирования экрана АРМ на телефон. Однако, в решении не применяются ИИ-ассистенты и не поддерживается ведение таймлайна. Отдельно хочется отметить, что «СёрчИнформ КИБ» поддерживает формирование отчетности об инцидентах утечек данных по требованиям и формам НКЦКИ, ФинЦЕРТ, Роскомнадзора, а также поддерживает интеграцию с АСОИ (ФинЦЕРТ) и ГосСОПКА (НКЦКИ).

Стахановец

В решении поддерживается широкий перечень контролируемых мессенджеров и браузеров, используется анализ клавиатурного почерка и интенсивности работы, выявляется фотографирование экрана через веб-камеру на компьютере сотрудника, для контроля местоположения устройства используются данные с сетевого адаптера и встроенного GPS-приёмника. Формируется карточка-досье на пользователя, отображаются графы связей пользователей. Технологии ИИ (ChatGPT, YandexGPT, Ollama:qwen3 или deepseek-r1) используются для обнаружения и анализа данных и для обнаружения аномалий поведения пользователей, применяется функционал ИИ-помощника. Поддерживается получение списка программного и аппаратного обеспечения, удаленное выполнение команд и запуск процессов на контролируемых устройствах, ведётся журналирование и таймлайн работы пользователей. Однако, интеграционные возможности решения ограничены лишь протоколами syslog и LDAP, отсутствует функционал обнаружения данных в сети (только локальное обнаружение агентом), сетевой компонент также отсутствует в решении, не осуществляется сетевая инспекция зашифрованного трафика. В заключение отметим, что в обзоре указаны характеристики решения «Стахановец» предыдущего 10-го поколения, но к моменту выхода данного обзора уже представлена существенно переработанная новая 11-ая версия продукта с дополнительным функционалом.

Редакция благодарит за помощь в подготовке обзора:

Еременко Дениса, руководителя отдела рекламы и маркетинга Falcongaze

Зайцеву Нину, пресс-секретаря ГК InfoWatch

Зуеву Анну, старшего специалиста по внешним коммуникациям «Киберпротект»

Команду пресс-офиса ГК «Солар»

Литвина Кирилла, старшего менеджера по продуктовому маркетингу ГК «Гарда»

Миронова Алексея, ведущего менеджера по маркетингу «Стахановец»

Мостового Максима, аналитика «СёрчИнформ»

Разумовскую Марию, руководителя пресс-службы Zecurion