ПОЛОЖЕНИЕ О KASPERSKY SECURITY NETWORK Настоящее Положение определяет порядок предоставления Пользователями информации, указанной в приведенном ниже перечне, и использование предоставленной информации. Настоящее Положение относится к продукту Kaspersky Endpoint Security 10 для Windows, правообладателем которого является АО «Лаборатория Касперского» (далее Лаборатория Касперского). В целях выявления новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также оперативного принятия мер по повышению уровня защиты информации, хранимой и обрабатываемой Пользователем с помощью ЭВМ, Пользователь соглашается в автоматическом режиме предоставлять следующую информацию: - дата установки и активации ПО, полная версия ПО, включая информацию об установленных обновлениях и локализации ПО; - информация об установленном на компьютере программном обеспечении, в том числе версии операционной системы (ОС) и установленных пакетов обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов; - информация об аппаратном обеспечении компьютера, в том числе контрольная сумма серийного номера HDD; - данные от программных средств, используемых для устранения проблем в программном обеспечении, установленном на компьютере Пользователя, или изменения его функционала, и коды возврата, получаемые после установки таких программных средств; - информация о состоянии антивирусной защиты компьютера, включая версии, даты и время выпуска используемых антивирусных баз, данные статистик обновлений и соединений с сервисами Лаборатории Касперского, идентификатор задачи и идентификатор компонента ПО, выполняющего сканирование; - информация о загружаемых Пользователем файлах, включая URL- и IP-адресы, откуда была выполнена загрузка, и страниц загрузки, идентификатор протокола загрузки и номер порта соединения, признак вредоносности адресов, атрибуты и размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), информация о процессе, загрузившем файл (контрольные суммы (MD5, SHA2-256, SHA1), дата и время создания и линковки, признак нахождения в автозапуске, атрибуты, имена упаковщиков, информация о подписи, признак исполняемого файла, идентификатор формата, энтропия), имя файла, путь к файлу на компьютере, цифровая подпись файла и информация о выполнении подписи, URL-адрес, на котором произошло обнаружение, номер скрипта на странице, оказавшимся подозрительным или вредоносным, информация о выполненных http-запросах и ответах на них; - информация о запускаемых программах и их модулях, в том числе данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, программе и команде, запустившей процесс, полный путь к файлам процесса и командная строка запуска, описание продукта, к которому относится процесс (включая название продукта и данные об издателе), а также данные об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), также информацию о загружаемых в процессы модулях, в том числе их имени, размере, типе, дате создания, атрибутах, контрольной сумме (MD5, SHA2-256, SHA1), пути к ним, информация заголовка PE-файлов, названия упаковщика (если файл был упакован); - информация обо всех потенциально вредоносных объектах и действиях, в том числе название детектируемого объекта и полный путь к объекту на компьютере, контрольные суммы обрабатываемых файлов (MD5, SHA2-256, SHA1), дата и время обнаружения, названия и размер зараженных файлов и пути к ним, код шаблона пути, названия упаковщика (если файл был упакован), код типа файла, идентификатор формата файла, перечень активностей вредоносной программы и решения ПО и Пользователя по ним, идентификатор антивирусных баз, на основании которого было вынесено решение ПО, название обнаруженной угрозы согласно классификации Лаборатории Касперского, степень опасности и статус обнаружения, причина включения в анализируемый контекст и порядковый номер файла в контексте, контрольные суммы (MD5, SHA2-256, SHA1), имя и атрибуты исполняемого файла приложения, через которое прошло зараженное сообщение или ссылка, обезличенные IP-адресы (IPv4 и IPv6) хоста заблокированного объекта, энтропия файла, признак нахождения файла в автозапуске, время первого обнаружения файла в системе, количество запусков файла с момента последней отправки статистик, информация о названии, контрольных суммах (MD5, SHA2-256, SHA1) и размере почтового клиента, через который был получен вредоносный объект, идентификатор записи в антивирусных базах, на основе которой был сформирован вердикт, идентификатор задачи ПО, которое выполнило проверку, признак проверки репутации или подписи файла, результат обработки файла, контрольная сумма (MD5) паттерна, собранного по объекту, и размер паттерна в байтах; - информация о проверенных объектах, включая присвоенную группу доверия, в которую помещен и/или из которой перемещен файл, причина, по которой файл помещен в данную категорию, идентификатор категории, информация об источнике категорий и версии базы категорий, признак наличия у файла доверенного сертификата, название производителя файла, версия файла, имя и версия программного продукта, частью которого является файл; - информация об обнаруженных уязвимостях, включая идентификатор уязвимости в базе уязвимостей, класс опасности уязвимости и статус обнаружения; - информация о выполнении эмуляции исполняемого файла, в том числе размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), версия компонента эмуляции, глубина эмуляции, вектор характеристик логических блоков и функций внутри логических блоков, полученный в ходе эмуляции, данные из структуры PE-заголовка исполняемого файла; - информация о сетевых атаках, в том числе IP-адресы атакующего компьютера (IPv4 и IPv6), номер порта компьютера Пользователя, на который была направлена сетевая атака, идентификатор протокола IP-пакета, в котором зафиксирована атака, цель атаки (название организации, веб-сайт), флаг реакции на атаку, весовой уровень атаки, значение уровня доверия; - информация об атаках, связанных с подменой сетевых ресурсов, в том числе DNS- и IP-адресы (IPv4 или IPv6) посещаемых веб-сайтов, количество определений IP-адреса по доменному имени; - информация о выполнении отката деятельности вредоносной программы, в том числе данные о файле, активность которого откатывается (имя файла, полный путь к нему, его размер и контрольные суммы (MD5, SHA2-256, SHA1)), данные об успешных и неуспешных действиях по удалению, переименованию и копированию файлов и восстановлению значений в реестре (имена ключей реестра и их значения), информация о системных файлах, изменённых вредоносной программой, до и после выполнения отката; - информация о загружаемых ПО модулях, в том числе название, размер и контрольные суммы (MD5, SHA2-256, SHA1) файла модуля, полный путь к нему и код шаблона пути, параметры цифровой подписи файла модуля, дата и время создания подписи, название субъекта и организации, подписавших файл модуля, идентификатор процесса, в который был загружен модуль, название поставщика модуля, порядковый номер модуля в очереди загрузки; - информация для определения репутации файлов и URL-адресов, в том числе контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттерна (MD5), полученного в результате эмуляции файла, размер паттерна, глубина эмуляции, версия компонента эмулятора, тип обнаруженной угрозы и её название согласно классификации Лаборатории Касперского, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлён переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта; - служебная информация о работе ПО, включая версию компилятора, признак потенциальной вредоносности проверенного объекта, версия набора передаваемых статистик, информация о наличии и валидности данных статистики, идентификатор условия формирования передаваемой статистики, признак работы ПО в интерактивном режиме; - в случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов, элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения; - информация о событиях в системных журналах, в том числе время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание; - информация о сетевых соединениях, в том числе версия и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удалённый IP-адреса, номера локального и удалённого портов соединения, состояние соединения, время открытия порта. Для дополнительной проверки в Лаборатории Касперского Пользователь соглашается предоставлять файлы или их части, в том числе объекты, обнаруженные по вредоносным ссылкам, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя. Также в целях предотвращения и расследования возникших инцидентов Пользователь соглашается предоставлять исполняемые доверенные файлы и неисполняемые файлы, ссылки URL, участки оперативной памяти компьютера, загрузочные сектора операционной системы, а также следующую информацию о файлах и процессах: - имя отправляемого файла, полный путь к файлу на компьютере и код шаблона пути, размер файла и его контрольные суммы (MD5, SHA2-256, SHA1); - имя учетной записи, от которой запущен процесс; - имя компьютера, на котором запущен процесс; - заголовки окон процесса; - идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации Правообладателя; - информация об установленной в ПО лицензии, в том числе идентификатор лицензии, её тип и дата истечения; - версии ОС и установленных пакетов обновлений; - локальное время компьютера в момент предоставления информации; - имена и пути к файлам, к которым получал доступ процесс; - имена ключей реестра и их значения, к которым получал доступ процесс; - URL- и IP-адреса, к которым обращался процесс; - URL- и IP-адреса, с которых был получен запускаемый файл. Для своевременного выявления и исправления ошибок, связанных с механизмом установки, удаления и обновления продукта, а также для учета количества пользователей Пользователь соглашается предоставлять информацию о дате установки и активации ПО на компьютере, полную версию установленного ПО (включая версию установленного обновления ПО), язык локализации ПО, название и тип ПО, тип установленной лицензии и срок её действия, идентификатор партнера, у которого приобретена лицензия, серийный номер лицензии, тип установки ПО на компьютере (первичная установка, обновление и т.д.), признак успешности установки или номер ошибки установки, уникальный идентификатор установки ПО на компьютере, тип и идентификатор приложения, с которым выполняется обновление, идентификатор задачи обновления. Для повышения качества поддержки и контроля за обеспечением заданного уровня защиты Пользователь соглашается предоставлять следующую информацию о результатах выполнения проверки работоспособности ПО: - информация о наборе всех установленных обновлений, а также о наборе последних установленных / удалённых обновлений; - тип события, служащего причиной отправки информации об обновлениях; - период времени, прошедший после установки последнего обновления; - информация о загруженных в момент предоставления информации антивирусных базах; - данные по использованию процессора (CPU); - количество активных потоков и потоков в состоянии ожидания; - данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool); - количество дампов ПО и дампов системы (BSOD) с момента установки ПО и с момента последнего обновления, в том числе идентификатор и версия модуля ПО, в котором произошел сбой, стек памяти в продуктовом процессе и информация об антивирусных базах в момент сбоя; - версия установленного ПО, включая версию компонента “Nagent”; - информация о наборе установленных компонентов ПО, включая версию установленного модуля шифрования, и статус каждого компонента; - версия операционной системы, включая установленные обновления системы. Для улучшения качества работы продуктов Лаборатории Касперского Пользователь соглашается предоставлять следующую информацию: - информация об установленном на компьютере программном обеспечении, в том числе, версии операционной системы и установленных пакетов обновлений; - полная версия ПО, включая информацию о типе, установленных обновлениях и локализации ПО; - идентификатор установки ПО на компьютер, уникальный идентификатор компьютера; - значение фильтра TARGET; - данные о возникших ошибках в работе компонент ПО, в том числе идентификатор состояния ПО, тип и код ошибки, а также время её возникновения, идентификаторы компонента, модуля и процесса продукта, в котором возникла ошибка, идентификатор задачи или категории обновления, при выполнении которой возникла ошибка, логи драйверов KL из minidump (код ошибки, имя модуля, имя исходного файла и строка, где произошла ошибка), идентификатор метода определения возникновения ошибки в работе ПО, имя процесса, который инициировал перехват или обмен трафиком, который привел к ошибке в работе ПО; - данные об обновлениях антивирусных баз и компонент ПО, в том числе имена, даты и время индексных файлов, загруженных в результате последнего обновления и загружаемых в текущем обновлении, а также дата и время завершения последнего обновления, имена файлов обновляемых категорий и их контрольные суммы (MD5); - информация об аварийных завершениях работы ПО, в том числе дата и время создания дампа, его тип, имя процесса, связанного с дампом, версия и время отправки статистики с дампом; - информация о работе ПО на компьютере, в том числе данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков в продуктовом процессе и потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки, стек памяти в продуктовом процессе; - данные о BSOD, в том числе признак возникновения BSOD на компьютере, имя драйвера, вызвавшего BSOD, адрес и стек памяти в драйвере, признак длительности сессии ОС до возникновения BSOD, стек памяти падения драйвера, тип сохраненного дампа памяти, признак того, что сессия работы ОС до BSOD длилась более 10 минут, уникальный идентификатор дампа, дата и время возникновения BSOD; - идентификаторы события (непредвиденное отключение питания, падение приложения стороннего правообладателя, ошибки обработки перехвата), дата и время непредвиденного отключения питания; - информация о сторонних приложениях, вызвавших ошибку, в том числе их название, версия и локализация, код ошибки и информация о ней из системного журнала приложений, адрес возникновения ошибки и стек памяти стороннего приложения, признак возникновения ошибки в компоненте ПО, длительность работы стороннего приложения до возникновения ошибки, контрольные суммы (MD5, SHA2-256, SHA1) образа процесса приложения, в котором произошла ошибка, путь к этому образу процесса приложения и код шаблона пути, информация из системного журнала ОС с описанием ошибки, связанной с приложением, информация о модуле приложения, в котором произошла ошибка (информация о exception, адрес падения как смещение в модуле, имя и версия модуля, идентификатор падения приложения в плагине Правообладателя и стек памяти такого падения, время работы приложения до сбоя); - информация о состоянии защиты компьютера, включая код состояния защиты; - версию компонента Updater, количество аварийных завершений работы компонента Updater при выполнении задач обновления за время работы компонента; - идентификатор типа задачи обновления, количество неуспешных завершений задач обновления компонента Updater; - полная версия компонента SystemWatcher, код события, которое переполнило очередь событий, и количество таких событий, общее количество переполнений очереди событий, информация о файле процесса-инициатора события (название файла и путь к нему на компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса, связанного с файлом, версия файла), идентификатор выполненного перехвата события, полная версия фильтра перехвата, идентификатор типа перехваченного события, размер очереди событий и количество событий между первым событием в очереди и текущим событием, количество просроченных событий в очереди, информация о процессе-инициаторе текущего события (название файла процесса и путь к нему на компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса), время обработки события, максимально допустимое время обработки событий, значение вероятности отправки данных; - информация о версиях установленной на компьютере операционной системы (ОС) и установленных пакетов обновлений, версия и контрольные суммы (MD5, SHA2-256, SHA1) файла ядра ОС, параметры режима работы ОС; - информация об установленном на компьютере программном обеспечении, в том числе его название и название его производителей, информация о ключах реестра и их значениях, информация о файлах компонент установленного программного обеспечения (в том числе контрольные суммы (MD5, SHA2-256, SHA1) файла, имя файла, путь к файлу на компьютере, размер, версия и цифровая подпись); - информация об установленном на компьютере аппаратном обеспечении, в том числе тип, название, модель, версия прошивки, характеристики встроенных и подключенных устройств; - информация о неуспешной последней перезагрузке ОС, в том числе количество неуспешных перезагрузок. Для получения справочной информации о количестве объектов с известной репутацией Пользователь соглашается предоставлять в Лабораторию Касперского информацию о версии используемого протокола соединения с сервисами Правообладателя. При участии в программе KSN для всех перечисленных выше целей Вы соглашаетесь предоставлять следующую информацию: - уникальный идентификатор установки ПО на компьютере; - полная версия установленного ПО; - идентификатор типа ПО; - уникальный идентификатор компьютера, на котором установлено ПО. В случае отказа от участия в программе KSN перечисленные выше данные не передаются. Данные обрабатываются и хранятся в ограниченном и защищенном разделе на компьютере Пользователя. Указанные данные не могут быть восстановлены после удаления ПО. Если вы соглашаетесь участвовать в KSN в процессе использования ПО, указанные данные передаются в Лабораторию Касперского для указанных выше целей. Полученная информация защищается Лабораторией Касперского в соответствии с установленными законом требованиями и действующими правилами Лаборатории Касперского. Лаборатория Касперского использует полученную информацию только в обезличенном виде и в виде данных общей статистики. Данные общей статистики формируются автоматически из исходной полученной информации и не содержат персональных данных и иной конфиденциальной информации. Исходная полученная информация уничтожается по мере накопления (один раз в год). Данные общей статистики хранятся бессрочно. Предоставление вышеуказанной информации является добровольным. Функцию предоставления информации можно в любой момент включить или выключить в окне настройки соответствующего ПО Лаборатории Касперского способом, описанным в Руководстве Пользователя. © АО «Лаборатория Касперского», 2015.