Контакты
Подписка 2026

DCAP и DLP: в чем разница?

Дмитрий Горлянский, 24/08/22

Действующие лица: вендор, заказчик.
Вендор. Одной из функций DCAP является файловый аудит и выяснение, кто и когда выполнял операции с файлом.
Заказчик. Так, стоп, у нас же есть DLP с такой же функцией! Давайте на сервер поставим DLP-агент – и все, задача решена.
(Занавес)

Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии”

Такой диалог часто встречается при демонстрации возможностей новой DCAP-системы "Гарда Файлы" пользователям DLP-системы "Гарда Предприятие". В силу того, что технология DCAP нова для российских пользователей, считается, что файловый аудит – это контроль перемещения документов. Ошибка в том, что под файловым аудитом понимаются также и задачи контроля документов без привязки к их использованию.

Давайте рассмотрим типовые задачи, решаемые системами класса DCAP, и чем они отличаются от задач, решаемых системами класса DLP, на примере функциональности систем "Гарда Предприятие" и "Гарда Файлы".

DCAP и DLP: разбираемся в назначении

DCAP – стремительно набирающий популярность класс систем защиты информации, предназначенный в первую очередь для защиты файловых хранилищ.

В свою очередь, DLP за счет большего количества типов контроля позволяет более полно решать задачи, связанные с деятельностью конкретных сотрудников, а также с выявлением утечек информации на уровне сетевых потоков.

По данным разных исследований, до 80% информации в большинстве компаний лежит в файловых "помойках" и/или в неструктурированном виде, что порождает много проблем с выявлением и защитой чувствительных данных. DCAP-система структурирует содержимое файловых хранилищ, определяет права доступа и подсвечивает данные, которые не должны находиться в широком доступе. А вот для контроля создания и перемещения таких файлов внутри компании или за периметр нужны DLP.

Еще один немаловажный аспект: где применяется система DCAP? Например, DLP используется в основном на конечных рабочих местах, а также позволяет сканировать сетевые общедоступные ресурсы. DCAP-системы, в свою очередь, предназначены для аудита СХД – файловых хранилищ на системах Windows и Linux, MS Sharepoint, NetApp, Dell EMC, NextCloud, Synology и др. Установка агента DLP на такие хранилища либо технологически невозможна, либо может повлечь за собой серьезное падение производительности, так как агент DLP-системы будет выполнять, помимо аудита, много избыточных для защиты файлового хранилища функций.

Рис. Принцип работы системы "Гарда Файлы"

Что контролирует DCAP?

Дубликаты файлов с чувствительной информацией, множественные копии

Задача прекращения обработки ПДн – часто встречающийся кейс, в рамках которого необходимо найти все копии файла, содержащие данные конкретного субъекта ПДн. Существование таких дубликатов вне внимания компании может стать серьезной проблемой и поводом для штрафов при проверке регуляторов. Решение – модуль поиска и классификации, присутствующий в системе "Гарда Файлы". Он позволяет, во-первых, определить все файлы, содержащие ПДн разных типов, а также быстро найти все файлы с данными конкретного субъекта ПДн, включая дубликаты, места их хранения, доступ к ним. Такая функциональность не реализуется большинством DLP-систем, если применять их к файловым хранилищам.

Нерациональное использования СХД

Расширение СХД обходится недешево, особенно в новой реальности 2022 г. Поэтому встает вопрос об оптимизации использования имеющегося пространства. Для этой цели DCAP-системы умеют:

  • определять, какие типы данных занимают наибольший объем, а какие растут наиболее быстро;
  • определять принадлежность этих данных, то есть установить, какие подразделения ими пользуются;
  • выявлять неиспользуемые данные, мусорные файлы и дубликаты;
  • давать рекомендации, какие данные могут быть безопасно удалены.

Аудит прав доступа к данным

Аудит прав доступа – наиболее востребованная задача у клиентов системы "Гарда Файлы". Если DLP-система ограничивается отображением текущих прав доступа к файлу, то возможности DCAP гораздо шире. Они включают:

  1. Выявление рисков, связанных с некорректно настроенными правами доступа: выключенное наследование, сломанные ACL, прямые разрешения.
  2. Двустороннее отображение прав доступа: как полное отображение всех прав доступа к определенному файлу или директории, так и отображение всех файлов и папок, доступных определенному пользователю или группе пользователей. При этом "Гарда Файлы" дополнит эту информацию сведениями о наличии или отсутствии фактов реального обращения пользователей к этим файлам.
  3. Рекомендации по сокращению прав доступа с возможностью предварительного моделирования изменений прав: какие группы оно затронет, кто из реально пользующихся файлами сотрудников не сможет больше получить доступ.

Файловый аудит и расследование инцидентов

Эту функцию часто используют в интеграции с "Гарда Предприятие", чтобы получить наиболее полную картину. Главное отличие в том, что DLP-система больше предназначена для точечного выявления инцидентов и утечек информации, в то время, как DCAP-система использует данные файлового аудита не только для выявления отдельного инцидента – например, кто удалил или изменил тот или иной файл, – но и анализирует все операции в контексте хранилища или даже нескольких хранилищ, что позволяет:

  • анализировать все обращения и выявлять реальных бизнес-владельцев ресурса;
  • отобразить активность всех сотрудников с этими данными в различных видах (таблица, графический отчет);
  • выявлять аномальное поведение на основе статистики обращений к файлам, например аномально большое количество операций записи от одной учетной записи – это может свидетельствовать об активности вредоносного ПО, шифрующего содержимое файлов;
  • определять причины повышенной нагрузки на файловый сервер на основе анализа обращений: какие учетные записи генерируют наибольшую нагрузку, при работе с какими файлами, какими действиями. Это позволит проанализировать и снизить нагрузку на СХД.

Помимо детектирования инцидентов и выявления аномалий, в "Гарда Файлы" предусмотрено и активное реагирование, включающее в себя как рассылку уведомлений по разным каналам (SIEM, почта, мессенджер), так и работу с правами: запрет доступа для учетной записи, запрет доступа к конкретной папке/файлу, установка режима "только чтение", запуск пользовательского скрипта и др.

Когда применять DLP?

Среди клиентов "Гарда Предприятие" наиболее востребованными функциями DLP можно назвать следующие.

Контроль рабочего времени сотрудников

Этот тренд сформировался в 2020 г. в связи с массовым переходом на удаленную систему работы и так и остался популярным ввиду наглядности его результатов и простоты использования. Современная DLP-система позволяет вести статистику занятости сотрудников на основе контроля запущенных приложений, времени, проведенного на разных вкладках браузера. Эти функции не реализуются DCAP-системой, которая в данном случае просто покажет факт запуска браузера.

Контентный анализ и выявление утечек

Если DCAP проводит контентный анализ только хранимой информации, то для DLP наиболее важным является контентный анализ передаваемой информации. К DCAP просто неприменимо понятие канала передачи, отправителя, получателя, периметра. В стандартный набор контролируемых DLP-системой каналов входят веб-трафик (веб-почта, социальные сети), мессенджеры, внешние носители, корпоративная почта. Формально DCAP сможет обнаружить данные, хранимые на внешнем носителе, но только при ближайшем его сканировании и только если на момент сканирования носитель будет доступен. DLP же работает в реальном времени и выявит утечку сразу на этапе копирования информации на носитель, а также сможет предотвратить утечку, заблокировав передачу файла с критичной информацией. Важным является и то, что категорирование передаваемого файла на предмет критичности произойдет сразу в момент попытки передачи, а не по расписанию во время сканирования, как в случае с DCAP.

Поведенческая аналитика

Поведенческая аналитика присутствует также и в DLP-системах, но, в отличие от DCAP, DLP анализирует бóльшее количество разных типов событий: это не только файловые операции, но и коммуникации пользователя, запущенные приложения, вплоть до особых событий, например посещений сайта с определенными ключевыми словами в заголовке окна.

В свою очередь, DCAP работает только с данными аудита файловых операций, что хорошо помогает при выявлении аномальной активности внутри хранилища, но не всегда применимо к выявлению аномального поведения живого сотрудника.

Что же выбрать?

Несмотря на некоторую схожесть функциональности, DLP и DCAP являются самостоятельными системами для решения совершенно разных задач, выявления принципиально разных типов инцидентов, совершаемых в разном контексте. DLP лучше подходит для выявления конкретного нарушителя и применяется на АРМ пользователей. DCAP лучше подходит для выявления инцидентов внутри хранилищ неструктурированных данных, связанных больше не с передачей, а с хранением и доступом пользователей к хранимым данным. Оптимальным вариантом будет интеграция DLP и DCAP для более полного контроля всего жизненного цикла корпоративных данных.

Темы:Персональные данныеDLPDCAPЖурнал "Информационная безопасность" №3, 2022Гарда
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Контроль информации в состоянии покоя и предотвращение утечек
    Максим Чеплиев, менеджер продукта Staffcop, эксперт Контур.Эгиды
    Системы предотвращения утечек следят только за передачей файлов. Если файл никто не трогает, DLP его не видит. Даже если в этом файле, годами лежащем на рабочем столе, пароли от всей корпоративной инфраструктуры или персональные данные клиентов. Штрафы регуляторам, финансовые убытки – вероятный финал такой небрежности. Разберемся, как обнаружить критичные файлы в покое и взять их под контроль до того, как они уплывут наружу.
  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Сотрудники, дружба, ИБ: открытый контроль снижает риски утечек
    Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...