Журнал "Information Security/ Информационная безопасность" #3, 2025

и № 21. Все эти акты содержат указа- ния, которые на практике выполняются с помощью DCAP и DLP. Так, разгра- ничение доступа к файлам с персо- нальными данным и возможность их восстановления – функции DCAP, а учет действий с ПДн и контроль их переме- щения внутри компании или за ее пре- делы – функции DLP. DLP и DCAP также позволяют расследовать инци- дент, найти виновника и, доказав его вину, избежать штрафа. Константин Ломакин, Makves Ключевые функции DLP и DCAP – автоматическая классификация пер- сональных данных, контроль и раз- граничение доступа, журналирование действий пользователей, а также пре- вентивные меры реагирования. Осо- бенно важны для прохождения аудита по 152-ФЗ возможности DCAP: цент- рализованный мониторинг и готовые отчеты позволяют документально под- твердить соблюдение требований законодательства при проверке регу- ляторами. Даниил Бориславский, Контур.Эгида Полной гарантии защиты персональ- ных данных не существует – остаются и технические уязвимости, и человеческий фактор. Поэтому критически важна спо- собность организации доказать, что были приняты разумные и достаточные меры. Решения DLP и DLP+DCAP поз- воляют не только защищать данные, но и формализовать процессы: настраивать политики, отслеживать соблюдение, про- водить регулярный аудит в рамках PDCA-цикла. Это особенно важно при проверках и разборе инцидентов. Систе- мы помогают реализовать минимально необходимый доступ, сегментировать права, выявлять и блокировать несанк- ционированные передачи ПДн, создавая тем самым доказательную базу зрелой ИБ-практики. Рустам Фаррахов, ГК InfoWatch Для аудита по 152-ФЗ важно не только защищать ПДн, но и демонстрировать принятые меры. DLP фиксирует факты передачи данных, блокирует утечки и формирует отчеты с доказательной базой. DCAP – выявляет неучтенные данные, контролирует доступ и подтвер- ждает корректность хранения. В связке они дают полную картину: где хранятся данные, кто к ним имеет доступ и куда они могут утечь. Сергей Вахонин, "Киберпротект" В этом вопросе, на мой взгляд, как- то упущен смысл самой аббревиатуры DLP, где ключевое значение несет буква "P". Это не "реагирование", это "предотвращение" (Prevention) или "защита от…" (Protection). Будущее защиты от инсайдерских утечек данных – в развитии множества методов гаран- тированного противодействия утечкам, их недопущения. Проактивная анали- тика, основанная на использовании нейросетей для анализа накопленных объемов данных, позволит упростить работу офицеров ИБ по прогнозирова- нию групп риска, потенциальных зло- умышленников и коррекции DLP-поли- тик, направленных на предотвращение утечек. Реагирование на утечки – сюжет важный, но факта "данные-то все равно уже утекли" не отменяет. DLP, как и многие другие инструменты инфобеза, всегда будут находиться в положении "догоняющих" – сначала появляются угрозы (возможности "вынести" дан- ные), затем реакция вендоров (техно- логии противодействия). Владимир Ульянов, Zecurion Разделять аналитику и возможность блокировки нарушений – ошибка. Эти функции работают на разных уровнях, но одинаково важны. Если DLP фикси- рует действия, нарушающие политику, – система должна уметь их остановить. В идеале до нарушения вовсе не должно доходить, и здесь ключевую роль играют аналитика, оценка рисков и прогнозирование. Алексей Парфентьев, "СёрчИнформ" Нельзя оперативно реагировать на инциденты без проактивной аналитики. Блокировки работают адекватно, когда настройки учитывают сценарии развития инцидента в деталях. В свою очередь, такая аналитика возможна только там, где DLP фиксирует и обрабатывает как можно больше событий в реальном вре- мени. Поэтому "СёрчИнформ КИБ" соби- рает максимум деталей, чтобы "видеть" инциденты на стадии подготовки, а затем блокировать их в реальном вре- мени. Рустам Фаррахов, ГК InfoWatch Будущее защиты от инсайдеров – в управлении рисками. Уже недостаточно фиксировать факт утечки – нужно заме- чать подготовку к ней и реагировать заранее на выявленные угрозы. Владимир Емышев, MFlash На мой взгляд, будущее в защите от инсайдеров лежит в совместном использовании технологий ИИ для про- активной аналитики и DLP для опера- тивного реагирования. На базе поль- зовательского поведения и отклонений, анализа рисков и корреляции событий будет строиться паттерн потенциаль- ного инсайдера. Как только сотрудник попадает под данный паттерн, для него тут же включаются проактивные меры реагирования – ограничение доступа к ресурсам с чувствительной информа- цией, корпоративным системам, сер- висам обмена информацией, блоки- ровка УЗ. Михаил Спицын, "Газинформсервис" С развитием ИИ будущее DLP – в про- активной аналитике. Искусственный интеллект позволяет системам обучаться нормальному поведению пользователей и выявлять аномалии без жестко задан- ных правил. Это обеспечивает опера- тивное реагирование на инциденты, фор- мируя динамические алерты, например, при нетипичной активности сотрудника, ранее не работавшего с чувствительны- ми данными. Такой подход меняет саму парадигму безопасности: вместо реаги- рования на факт утечки появляется воз- можность предвосхищать инциденты. Особенно эффективны здесь связки DLP и UEBA, где поведенческий анализ на базе ИИ становится основой превен- тивной защиты. Даниил Бориславский, Контур.Эгида Борьба с инсайдерами – это вечное противостояние "меча и щита", в котором защищающаяся сторона изначально в уязвимом положении. Оперативное реагирование важно, но это всегда шаг "после" и требует серьезных ресурсов. Ключ к устойчивой защите – в про- активной аналитике: анализ аномалий, поведенческий мониторинг, построение риск-профилей. Такой подход особенно актуален на фоне нехватки ИБ-специа- листов. Но ни одна технология не заме- нит информационную культуру. Там, где есть доверие, прозрачность и понимание ценности данных, инсайдерские действия воспринимаются как прямое нарушение, а не как допустимое отклонение. Про- активность – это не только алгоритмы, но и среда, в которой инсайдеру стано- вится некомфортно. Андрей Моисеев, Makves Оба подхода важны и должны допол- нять друг друга. Сегодня периметр раз- мыт, данные распределены, а челове- ческий фактор остается ключевой угро- зой. Поэтому приоритет – за проактивной аналитикой: поведенческий анализ, выявление аномалий, риск-профили. Но без оперативного реагирования на инци- денты невозможна полноценная защита. Только сочетание этих мер дает резуль- тат. l В чем вы видите будущее защиты от инсайдеров вообще и DLP в частности: в оперативном реагирова- нии на утечки или в про- активной аналитике? 40 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru