Положение о Kaspersky Security Network

Настоящее Положение определяет порядок получения и использования информации, указанной в приведенном ниже перечне.

Настоящее Положение относится к продуктам Kaspersky Anti-Virus ("Антивирус Касперского"), Kaspersky Internet Security, Kaspersky Small Office Security, Kaspersky Total Security и Kaspersky Free, правообладателем которых является АО "Лаборатория Касперского" (далее "Лаборатория Касперского").

В целях выявления новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также оперативного принятия мер по повышению уровня защиты информации, хранимой и обрабатываемой Пользователем с помощью ЭВМ, Пользователь соглашается в автоматическом режиме предоставлять следующую информацию:

1. Информацию о версиях установленной на компьютере операционной системы (ОС) и установленных пакетов обновлений, в том числе информацию о разрядности ОС, объектах ядра, драйверах, сервисах, расширениях Microsoft Internet Explorer, расширениях системы печати, расширениях Windows Explorer, загруженных объектах, элементах Active Setup, апплетах панели управления, записях файла hosts и системного реестра, имени компьютера в сети (локальное и доменные имена), региональных настройках ОС (включая данные о часовом поясе, раскладки клавиатуры по умолчанию, язык интерфейса), настройках UAC, настройках сетевого экрана OC, настройках родительского контроля ОС, настройках и данных служб операционной системы.
2. Сведения обо всех установленных программах, включающие название и версию установленного приложения, версии установленных обновлений, название издателя, дату и полный путь установки на компьютере.
3. Информацию об установленном ПО Правообладателя и состоянии антивирусной защиты компьютера, в том числе версию ПО, информацию о файлах загружаемых модулей, их имени, размере, пути к ним, контрольных суммах (MD5, SHA2-256, SHA1), производителе, подписи и целостности, идентификаторах процессов, куда были загружены модули, порядок загрузки модулей, версии используемых антивирусных баз и времени их последнего обновления, данные статистик обновлений и соединений с сервисами правообладателя, уникальный идентификатор установки ПО на компьютер и уникальный идентификатор компьютера, информацию о режиме работы ПО.
4. Информацию об используемом беспроводном подключении компьютера в сеть, включая контрольные суммы (MD5) IP-адреса клиента, MAC-адреса точки доступа и имени беспроводной сети, идентификатор пользователя, данные о типе и защищенности сети, типе подключаемого устройства, счетчик продолжительности работы устройства с беспроводной сетью, признак наличия DNS, признак работы устройства от батареи или стационарной электросети.
5. Информацию об активностях на компьютере Пользователя, в том числе данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, программе и команде, запустившей процесс, полный путь к файлам процесса и командная строка запуска, указатель нахождения файла кпроцесса в автозапуске, описание продукта, к которому относится процесс (включая название продукта и данные об издателе), а также об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), URL, DNS и IP-адреса (IPv4 или IPv6) посещаемых веб-сайтов и время посещения, количество определений IP-адреса по доменному имени, поисковые запросы, параметры HTTP- запросов, время, прошедшее с момента последней активности пользователя на компьютере, также информацию о загружаемых в процессы модулях, в том числе их имени, размере, типе, контрольных суммах (MD5, SHA2-256, SHA1), пути к ним.
6. Данные обо всех проверяемых объектах и действиях, в том числе название проверяемого объекта, дата и время проверки, названия и размер проверяемых файлов и пути к ним, дата и время создания файла, имена упаковщика (если файл был упакован), энтропия файла, идентификатор типа и формата файла, URL и IP адреса, с которого загружается объект, идентификатор протокола загрузки и номер порта соединения, контрольные суммы (MD5, SHA2-256, SHA1) процесса, выполняющего загрузку объекта, контрольные суммы объекта (MD5, SHA2-256, SHA1), тип и значение дополнительной контрольной суммы объекта, данные о ЭЦП (сертификате) объекта (включая дату и время подписания, имя владельца сертификата, серийный номер сертификата и алгоритм вычисления контрольной суммы, данные об открытом ключе сертификата, в том числе контрольная сумма (SHA2-256) открытого ключа, идентификатор базы сертификатов, имя эмитента сертификата, результат проверки сертификата), идентификатор задачи ПО, который выполнил проверку, дата и время выполнения проверки, результат выполненной проверки и решения пользователя и продукта по ним, данные об изменении группы доверия, информация об эмуляции исполняемого файла, в том числе вектор характеристик логических блоков и функций внутри логических блоков, полученный в ходе эмуляции, глубина эмуляции, данные из структуры PE-заголовка исполняемого файла, версия компонента эмуляции, количество запусков файла.
7. В случае обнаружения угрозы или уязвимости, дополнительно к информации о проверяемом объекте предоставляется информация об идентификаторе, версии и типе записи в антивирусной базе, название угрозы согласно классификации Правообладателя, контрольные суммы (MD5, SHA2-256, SHA1) файла приложения, запросившего URL, на котором произошло обнаружение, IP-адрес (IPv4 или Ipv6) обнаруженной угрозы, идентификатор типа трафика, на котором произошло обнаружение, идентификатор уязвимости и класс ее опасности, URL-адрес страницы обнаружения, номер скрипта на странице, идентификатор опасности, типа и статуса обнаружения, промежуточные результаты анализа объекта.
8. Информацию о сетевой атаке, в том числе IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, идентификатор протокола, по которому выполнялась атака, название и тип атаки.
9. URL и IP-адрес страницы, на которой был обнаружен вредоносный или подозрительный контент, имя, размер и контрольная сумма файла, запросившего данный URL, идентификатор и вес правила, по которому был вынесен вердикт, цель атаки.
10. Информацию о заблокированных ссылках компонентами "Родительского контроля", в том числе причине блокировки, версии компонент "Родительского контроля", URL и IP-адрес заблокированной ссылки.
11. Информацию о работе компонента "Проверка ссылок", в том числе вынесенные пользователем вердикты о доброкачественности/вредоносности доменов, контрольные суммы (MD5) URL и Referrer проверяемого домена, идентификатор компонента "Проверка ссылок".
12. Результаты проверки писем компонентом "Анти-спам", в том числе версия компонента "Анти-спам", идентификаторы сработавших правил проверки и их вес, IP-адрес отправителя, наиболее вероятный IP-адрес источника спама, статус письма после проверки.
13. Информацию об изменениях, сделанных пользователем, в списке сайтов, которые защищаются компонентом "Безопасные платежи", в том числе URL сайта, признак добавления, редактирования или удаления сайта, режим запуска компонента "Безопасные платежи" для данного сайта.
14. Информацию о работе компонента "Режим безопасных программ", в том числе идентификатор версии его настроек, признак режима его работы, результат проверки статуса файла и источник статуса доверия, агрегированные данные о количестве доверенных, недоверенных и неизвестных объектов.
15. Агрегированные данные результатов проверки по локальным и облачным базам KSN за период проверки, в том числе количество уникальных неизвестных объектов, количество уникальных доверенных объектов, количество уникальных недоверенных объектов, общее количество вердиктов "неизвестный объект", общее количество вердиктов "доверенный объект", общее количество вердиктов "недоверенный объект", количество объектов, отнесенных к доверенным по результатам проверки сертификата, определенных как доверенные по доверенному URL-адресу, признанных доверенными по логике передачи доверия от доверенного процесса, количество неизвестных объектов, по которым не принято решение о доверии или недоверии, количество объектов, которые пользователь сделал доверенными. Версия локальной базы KSN на компьютере в момент отсылки статистики и идентификатор настройки ПО работы с базой, информацию об успешных/неуспешных запросах в KSN, длительности сессий связи с KSN, объем отправленных и полученных данных, время начала и окончания получения информация для отправки в KSN.
16. Информация о работе компонента "Защита от сбора данных", в том числе Referrer из http запроса слежения, название сервиса или организации, предоставляющих услуги слежения, категория сервиса слежения по версии Правообладателя, идентификатор и версия браузера, открывшего URL.
17. В случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов, элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения.
18. Информация о событиях в системных журналах, в том числе время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание.
19. Информация о сетевых соединениях, в том числе версия и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удаленный IP-адреса, номера локального и удаленного портов соединения, состояние соединения, время открытия порта.

В случае выгрузки ПО перечисленные в пп. 5, 6, 7 данные не передаются, но могут быть сохранены в ограниченном по объему хранилище на компьютере Пользователя. Указанные данные не могут быть восстановлены после удаления ПО. После загрузки ПО указанные данные будут переданы в "Лабораторию Касперского" для указанных выше целей.

Для дополнительной проверки в "Лабораторию Касперского" могут отправляться объекты, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя:

• Файлы и их части.
• Имя, размер и версия отправляемого файла, его описание и контрольные суммы (MD5, SHA2-256, SHA1), путь к нему, идентификатор формата, название его производителя, название продукта, к которому относится файл.
• Даты и время начала и окончания срока действия сертификата, если отправляемый файл имеет ЭЦП, дата и время подписывания, имя издателя сертификата, информация о владельце сертификата, отпечаток и открытый ключ сертификата и алгоритмы их вычисления, серийный номер сертификата.
• Информация о дате и времени создания и модификации файла, признак, используется ли дата и время подписывания файла при проверке подписи, результат проверки файла на целостность.
• Объекты, обнаруженные по вредоносным ссылкам.

Такие объекты могут временно сохраняться на компьютере пользователя, до момента их отправки.

Дополнительно, для целей предотвращения и расследования возникших инцидентов, могут отправляться исполняемые и неисполняемые доверенные файлы, участки оперативной памяти компьютера, загрузочные сектора операционной системы, а также отчеты об активностях приложений, которые содержат:

• Информацию о запускаемых процессах и сервисах, в том числе контрольные суммы (MD5, SHA2-256, SHA1) файла процесса или сервиса, имя и размер файла, путь к нему, имена и пути к файлам, к которым получал доступ процесс, имена ключей реестра и их значения, к которым получал доступ процесс, участки оперативной памяти компьютера, URL- и IP-адреса, к которым обращался процесс или с которых был получен запускаемый файл.
• Имя учетной записи, от которой работает процесс, имя компьютера, на котором он запущен, заголовки окон процесса, идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации "Лаборатории Касперского", уникальный идентификатор лицензии, дата истечения лицензии и ее тип, информацию о версиях установленной на компьютере операционной системы (ОС) и пакетов обновлений, локальное время.

Для улучшения качества работы продукта Пользователь соглашается предоставлять следующую информацию в "Лабораторию Касперского":

• Информацию об установленном на компьютере ПО правообладателя, в том числе дата и время установки, название и версия ПО, версии установленных обновлений, данные об установленной лицензии (включая ее идентификатор и тип), уникальный идентификатор установки ПО на компьютер и уникальный идентификатор компьютера, локализация интерфейса, дата и время, установленные на компьютере в момент предоставления данных в KSN.
• Информацию о версиях установленной на компьютере операционной системы (ОС) и установленных пакетов обновлений, текущем языке локализации ОС и языке локализации, заданным при установке ОС, версии и контрольных суммах (MD5, SHA2-256, SHA1) файла ядра ОС, параметрах режима работы ОС, информацию о включении режима Device Guard.
• Информацию об установленном на компьютере программном обеспечении, в том числе его название и название его производителей, информация о ключах реестра и их значениях, информация о файлах компонент установленного программного обеспечения (в том числе контрольные суммы (MD5, SHA2-256, SHA1) файла, имя файла, путь к файлу на компьютере, размер, версия и цифровая подпись).
• Информацию об установленном на компьютере аппаратном обеспечении, в том числе данные об объеме оперативной памяти, марке процессора (CPU) и количестве ядер, марке накопителей на жестких дисках (HDD), тип, название, модель, версия прошивки, характеристики встроенных и подключенных устройств.
• Информацию об использовании пользовательского интерфейса продукта, в том числе данные об открытых окнах интерфейса (включая идентификаторы и названия окон и использованных элементах управления) и переходах между окнами, данные, определяющие причину открытия окна, дату и время запуска интерфейса и фаз запуска интерфейса, время и тип взаимодействия пользователя с интерфейсом, данные об изменении настроек и параметров продукта (включая название настройки или параметра, их старое и новое значения).
• Данные о возникших ошибках в работе компонент продукта, в том числе тип и время ошибки, а также идентификатор компонента продукта и задачи, при выполнении которой возникла ошибка.
• Данные о проверке защищенных соединений, в том числе используемый при соединении сертификат и его контрольные суммы (MD5, SHA2-256, SHA1), DNS- и IP-адрес (IPv4 или IPv6) сетевого ресурса, номер удаленного порта, имя и версия исполняемого приложения, установившего защищенное соединение, а также путь к данному приложению, код ошибки проверки защищенного соединения (при возникновении ошибки).
• Данные о найденном во время установки продукта несовместимом стороннем ПО, в том числе время и способ обнаружения несовместимого ПО, его имя и тип, локализация устанавливаемого продукта, дата выпуска компонента, отвечающего за обнаружение несовместимого стороннего ПО, информация о принятом пользователем решении относительно обнаруженного стороннего ПО.
• Данные о качестве обновления установленного продукта и антивирусных баз, в том числе IP-адрес (IPv4 или IPv6) используемого источника обновлений, тип задачи обновления, количество и суммарный объем файлов, скачанных при обновлении, средняя скорость скачивания файлов обновлений, средняя скорость сетевых операций при обновлении, статус завершения задачи обновления, тип ошибки, которая могла произойти при обновлении, число неуспешных завершений обновления, идентификатор компонента продукта, которые выполняет обновление, значение фильтра TARGET задачи обновления.
• Информацию о ресурсах, используемых компонентами продукта при выполнении проверок объектов, в том числе фактическое и среднее время проверки разными компонентами продукта, общее, минимальное и максимальное время проверки, перехвате сетевого трафика, количество запросов на проверку, идентификатор операции проверки, время начала и окончания запуска сервисного процесса и интерфейса продукта ЛК, длительность получения данных по стороннему ПО, количество событий в течение этого времени.
• Информацию о взаимодействии продукта и сервисов My Kaspersky, в том числе идентификатор и имя домена сервиса, к которому выполнен запрос, количество запросов и успешных/неуспешных соединений с каждым сервисом, количество ответов от каждого сервиса, количество ошибок и превышений времени ожидания при запросах, время начала и окончания получения данных о количестве запросов и соединений.
• Информацию о процессе, выполняющего атаку на самозащиту ПО: имя и размер файла процесса, его контрольные суммы (MD5, SHA2-256, SHA1), полный путь к нему и код шаблона пути, даты и время создания и компоновки файла процесса, признак исполняемого файла, атрибуты файла процесса, информация о сертификате, которым подписан файл процесса, код учетной записи, от имени которой был запущен процесс, идентификатор операций, которые осуществлялись для доступа к процессу, тип ресурса, с которым выполняется операция (процесс, файл, объект реестра, поиск окна с помощью функции FindWindow), имя ресурса, с которым выполняется операция, успешность выполнения операции.
• Идентификатор процесса ПО, который подвергся атаке.
• Идентификатор события аварийного завершения работы ПО или приложения, установленного на компьютере.
• Информацию о работе ПО на компьютере, в том числе данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков и количество потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки.
• Информацию о системе на момент возникновения BSOD: имя и версия драйвера, из-за которого произошел BSOD, код проверки ошибки (bug check) и его параметры, стек сбоя драйвера, идентификатор типа обнаруженного участка памяти, созданного при сбое, признак длительность сессии ОС более 10 минут до BSOD или внезапного отключения питания (Unexpected Power off), уникальный идентификатор участка памяти ОС, дата и время BSOD, отчеты драйверов ПО из участка памяти (код ошибки, имя модуля, имя файла с исходным кодом и строка, где произошла ошибка), полный номер сборки ядра ОС, название, локализация и версия приложения, в котором обнаружен сбой, номер ошибки и ее описание из системного журнала приложения, для которого обнаружен сбой, информация об исключительной ошибке в приложении, адрес сбоя приложения в формате смещения в модуле, имя и версия модуля приложения, в котором произошел сбой, признак сбоя приложения в плагине ПО, стек сбоя, время работы приложения до сбоя, метод определения сбоя ПО (драйверные перехваты, обработка трафика или количество ожидающих потоков), имя процесса, который инициировал перехват или обмен трафиком, который привел к сбою в ПО.
• Имя корневого индексного файла баз, его дата и время, вторичные индексные файлы и их дата и время для некоторых категорий обновления, имена некоторых файлов из обновляемых категорий и их контрольные суммы для скачанных и скачиваемых баз.
• Информацию о файле NativeImage: тип, имя, контрольные суммы файла (MD5, SHA2-256, SHA1), полный путь к файлу на компьютере, код шаблона пути к файлу, идентификатор версии модуля файла, контрольная сумма (SHA256) ЭЦП сборки, из которой создан проверяемый файл, и идентификатор метода определения сборки, идентификаторы результатов проверки целостности файла.
• Информацию о работе компонента "Защита от сбора данных", в том числе URL-адрес, который добавляется пользователем в список исключений или удаляется из него, признак добавления или удаления URL из списка исключений, идентификатор настройки компонента.
• Информацию о компоненте "Мониторинг активности", в том числе полный номер версии компонента, номер сборки, идентификатор текущего события компонента, обработка которого длилась дольше заданного периода времени, время обработки события, общее количество таких событий, название и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса-инициатора текущего события, название и код директории расположения файла на компьютере, максимально допустимое время обработки события, код события, которое переполнило очередь событий, и общее количество таких событий, название файла, директории и код директории расположения файла на диске процесса-инициатора текущего события, переполнившего очередь событий, контрольные суммы (MD5, SHA2-256, SHA1) такого файла, идентификатор события, обработка которого была прервана по истечению времени ожидания, идентификатор фильтра перехвата и тип события перехвата, размер очереди событий компонента на момент отправки статистики, разница между первым и текущим событием в очереди на момент отправки статистики, вероятность отправки статистики.
• В случае обнаружения изменения контролируемой настройки системы предоставляется идентификатор категории изменяемой настройки, идентификатор типа изменения настройки, название браузера, к которому относится настройка.
• Информацию о работе компонента "Помощник по установке", в том числе имя файла установки стороннего ПО, контрольные суммы (MD5, SHA2-256, SHA1) файла установки, его размер, тип, полный путь к нему, код шаблона пути, дополнительная информация о файле установки (описание и версия файла, название и версия ПО, которое устанавливает файл, название производителя ПО, внутреннее имя файла, первоначальное имя файла, уведомление об авторском праве, язык локализации ПО, признак наличия цифровой подписи, названия субъекта и организации, подписавших файл), дата и время последнего обновления антивирусных баз, установленных на компьютере, название категории файла установки согласно классификации Правообладателя, идентификатор, версия и тип используемой записи в антивирусной базе, признак обнаружения файла установки в отладочном режиме, тип и версия шаблона пользовательского интерфейса файла установки, его контрольные суммы (MD5, SHA2-256, SHA1), информация об использовании пользовательского интерфейса файла установки, в том числе идентификатор действия пользователя с элементом интерфейса, название, размещение и текст элемента интерфейса, признак наличия параметров командной строки при запуске файла установки, идентификатор сценария компонента, в рамках которого отправляется статистика, полная версия компонента.
• В случае обнаружения URL-адреса, который используется программой установки для загрузки контента, который может содержать рекламу или предложения об установке дополнительных программ, предоставляются обнаруженный URL-адрес (доменное имя из URL-адреса в случае обращения по защищенному протоколу), название категории URL-адреса согласно классификации Правообладателя, Referrer и IP-адрес (IPv4 или IPv6) обнаруженного URL-адреса.
• Информацию о неуспешной последней перезагрузке ОС, в том числе количество неуспешных перезагрузок.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского".

"Лаборатория Касперского" использует полученную информацию только в обезличенном виде и в виде данных общей статистики. Данные общей статистики формируются автоматически из исходной полученной информации и не содержат персональных данных и иной конфиденциальной информации. Исходная полученная информация уничтожается по мере накопления (один раз в год). Данные общей статистики хранятся бессрочно.

Предоставление вышеуказанной информации является добровольным. Функцию предоставления информации можно в любой момент включить или выключить в окне настройки соответствующего ПО "Лаборатории Касперского" способом, описанным в Руководстве Пользователя.

© АО "Лаборатория Касперского", 2015.

В начало