Редакция журнала "Информационная безопасность", 17/11/25
На проверках регуляторов формального "у нас все защищено" давно недостаточно – требуется подтвержденная практикой система контроля. DLP и DCAP кажутся подходящими для этого инструментами, позволяющими не просто предотвратить утечку, но и показать, что организация действительно соблюдает требования 152-ФЗ. Посмотрим, что именно в этих решениях работает на успешный аудит?
Эксперты
- Даниил Бориславский, директор по продукту Staffcop направления информационной безопасности "Контур.Эгида”
- Сергей Вахонин, директор направления систем ИБ, “Киберпротект”
- Владимир Емышев, директор по развитию MFlash
- Константин Ломакин, менеджер по техническому сопровождению продаж, Makves (входит в ГК “Гарда”)
- Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”
- Дмитрий Симчук, менеджер по техническому сопровождению продаж, Makves (входит в ГК “Гарда”)
- Михаил Спицын, киберэксперт лаборатории стратегического развития продуктов кибербезопасности компании “Газинформсервис”
- Арен Торосян, руководитель продукта Гарда DLP
- Владимир Ульянов, руководитель аналитического центра Zecurion
- Рустам Фаррахов, директор департамента развития продуктов ГК InfoWatch
- Александр Хребтов, аналитик, ГК “Гарда”
Формальное соблюдение законодательства о персональных данных – это не только собственно защита ПДн, но и способность доказать принятые меры при проверке. Какие функции DLP и DCAP реально помогают пройти аудит по 152-ФЗ?
Сергей Вахонин, "Киберпротект"
Закон требует обеспечить безопасность ПДн и противодействие их утечке, соответственно, наиболее эффективной мерой будет являться контроль каналов передачи данных в сочетании с автоматическим выявлением ПДн в момент их передачи. Другими словами – функции гарантированного недопущения несанкционированной передачи защищаемых данных. Выстраивание оперативной реакции на инциденты и выявление данных, хранимых с нарушением политик безопасного хранения данных, также имеют огромное значение.
Владимир Ульянов, Zecurion
Благодаря DCAP ответственные сотрудники в организации знают, где хранятся данные, подпадающие под регулирование, кто имеет к ним доступ, кто получал доступ ранее, как давно они хранятся, не истек ли срок хранения, не нужно ли продлить согласие на использование, какие данные необходимо удалить и т. д. Сам доступ контролируется и журналируется. Отчеты, выгружаемые из DCAP помогут успешно пройти проверки или оперативно подготовить ответ на запрос регуляторов.
Александр Хребтов, ГК "Гарда"
Для DLP- и DCAP-решений ключевыми остаются функции инвентаризации ресурсов и ПДн, контроля доступа, мониторинга действий пользователей и каналов передачи данных, ретроспективного анализа, гибкой настройки политик и подготовки отчетности. Мы также выпускаем аналитические материалы по актуальным угрозам и мерам защиты, а эксперты помогают адаптировать решения под инфраструктуру и требования заказчика.
Владимир Емышев, MFlash
В рамках аудита по 152-ФЗ связка DLP+DCAP позволяет легко показать места хранения разных категорий персональных данных, определить круг лиц имеющих доступ к ПДн и их полномочия, легитимные цифровые каналы передачи ПДн и списки доверенных носителей, а также провести ретроспективный анализ обращений и действий с ПДн.
Алексей Парфентьев, "СёрчИнформ"
Использование СЗИ – требование 152-ФЗ, Постановления Правительства № 1119, Приказа ФСТЭК России № 17 и № 21. Все эти акты содержат указания, которые на практике выполняются с помощью DCAP и DLP. Так, разграничение доступа к файлам с персональными данным и возможность их восстановления – функции DCAP, а учет действий с ПДн и контроль их перемещения внутри компании или за ее пределы – функции DLP. DLP и DCAP также позволяют расследовать инцидент, найти виновника и, доказав его вину, избежать штрафа.
Константин Ломакин, Makves
Ключевые функции DLP и DCAP – автоматическая классификация персональных данных, контроль и разграничение доступа, журналирование действий пользователей, а также превентивные меры реагирования. Особенно важны для прохождения аудита по 152-ФЗ возможности DCAP: централизованный мониторинг и готовые отчеты позволяют документально подтвердить соблюдение требований законодательства при проверке регуляторами.
Даниил Бориславский, Контур.Эгида
Полной гарантии защиты персональных данных не существует – остаются и технические уязвимости, и человеческий фактор. Поэтому критически важна способность организации доказать, что были приняты разумные и достаточные меры. Решения DLP и DLP+DCAP позволяют не только защищать данные, но и формализовать процессы: настраивать политики, отслеживать соблюдение, проводить регулярный аудит в рамках PDCA-цикла. Это особенно важно при проверках и разборе инцидентов. Системы помогают реализовать минимально необходимый доступ, сегментировать права, выявлять и блокировать несанкционированные передачи ПДн, создавая тем самым доказательную базу зрелой ИБ-практики.
Рустам Фаррахов, ГК InfoWatch
Для аудита по 152-ФЗ важно не только защищать ПДн, но и демонстрировать принятые меры. DLP фиксирует факты передачи данных, блокирует утечки и формирует отчеты с доказательной базой. DCAP – выявляет неучтенные данные, контролирует доступ и подтверждает корректность хранения. В связке они дают полную картину: где хранятся данные, кто к ним имеет доступ и куда они могут утечь.
Что целесообразнее внедрять в первую очередь: DLP или DCAP, и какие факторы влияют на выбор?
Михаил Спицын, "Газинформсервис"
Выбор между DLP и DCAP стоит начинать с анализа инфраструктуры и характера обрабатываемых данных. Оба класса решений ресурсоемкие, но выполняют разные задачи. Если требуется быстрая реакция – разумнее начать с DLP. При наличии больших хранилищ ПДн или озер данных – приоритетнее DCAP, особенно в контексте регуляторных требований и модели Zero Trust. Оптимальное решение – поэтапное внедрение с интеграцией DLP и DCAP в общую экосистему управления рисками (например, через SIEM и UEBA), что позволит не только выявлять, но и предупреждать утечки за счет ограничения лишнего доступа на уровне источника.
Рустам Фаррахов, ГК InfoWatch
Если утечки – основная боль, то логично начинать с DLP: она дает быстрый эффект и контроль каналов. Если же структура доступа к данным хаотична и никто не знает, кто к чему имеет доступ, – сначала DCAP. Он наводит порядок и снижает риск инцидентов на уровне инфраструктуры. В идеале – связка: DLP защищает трафик, DCAP – сами данные. Выбор зависит от зрелости процессов и текущих болей заказчика.
Дмитрий Симчук, Makves
Приоритет за DCAP, если нужно быстро разобраться с хранилищами, доступами и типами данных, – он снижает "шум" DLP и охватывает облака. DLP стоит внедрять первым, когда критичен контроль каналов (почта, мессенджеры, USB), есть требования регуляторов или ограничены ресурсы. Выбор зависит от зрелости ИБ, типов данных и рисков. В итоге решает не очередность, а комплексный подход для защиты данных в организации.
Арен Торосян, ГК "Гарда"
Если у организации нет прозрачности в обращении с данными, DLP – логичный первый шаг.
Владимир Ульянов, Zecurion
DLP и DCAP органично дополняют друг друга, и их совместное использование выглядит естественным. Если говорить о приоритетах, логично начать с DCAP – провести аудит данных, выработать политики хранения и доступа. При нехватке ресурсов разумной альтернативой может стать внедрение DLP с Discovery-модулем, который частично закроет задачи DCAP.
Алексей Парфентьев, "СёрчИнформ"
DCAP – "нулевой" уровень защиты данных, который выстраивается за счет классификации и контроля конфиденциальных файлов. DCAP позволяет заказчикам узнать, что защищать, а DLP отвечает на вопрос "как это сделать?". При этом DCAP и DLP дополняют и усиливают друг друга. DCAP наводит порядок в файловой системе и задает базовые ограничения, которые большинство пользователей будут соблюдать. DLP следит, чтобы так и оставалось: контролирует работу сотрудников и выявляет попытки обойти запреты.
Даниил Бориславский, Контур.Эгида
Лучше внедрять оба решения, потому что DLP контролирует информацию, покидающую условный периметр, а DCAP контролирует информацию в покое. Если все-таки ресурсы очень ограничены или очень поджимают сроки для внедрения, наверное, стоит начать с DLP-решения, потому что, во-первых, на его примере можно простроить маршруты движения информации, а во-вторых, понять, кто с какой информацией работает и какие бизнес-процессы нужно оптимизировать.
Сергей Вахонин, "Киберпротект"
DCAP-технологии, исторически известные как Discovery, в общем случае являются компонентом "больших" DLP-систем. Контроль потоков данных и контроль точек хранения информации – это равноценные шаги для построения сбалансированной системы, когда одно другому совершенно не мешает и, напротив, дополняет друг друга. Вопрос выбора должен опираться на зрелость заказчика, его задачи и потребности. Там, где зрелость низкая, будет логичным сначала понять, что вообще происходит с данными – где они хранятся, как обрабатываются. В то же время ничто не мешает, прежде всего, поставить под контроль периметр, что позволит резко снизить угрозу утечки данных, после чего провести детальный аудит и модернизировать DLP-политики.
Владимир Емышев, MFlash
Как говорится, "хочешь навести порядок – начни с себя". DCAP помогает навести этот порядок: выявить и классифицировать конфиденциальные данные, выстроить модель доступа – и тем самым подготовить базу для эффективного внедрения DLP. Но информационная безопасность – процесс непрерывный, где "сначала" и "потом" работают условно. Совместное использование DLP и DCAP существенно повышает устойчивость к утечкам и делает защиту данных по-настоящему системной.
