Byte/RE ИТ-издание

Проблемы и мнения

О неочевидных аспектах выбора и эксплуатации DLP-систем

Безопасность
Владимир Митин 0

Требования к решениям класса Data Loss Prevention у малых, средних и крупных предприятий весьма различны, играет роль и отраслевая специфика. Помимо очевидных критериев, при выборе решения стоит обратить внимание и на некоторые особые аспекты – о них рассказывают представители отечественных компаний-разработчиков.

Настоящая статья в некотором смысле  продолжает обзор мнений «О неочевидных аспектах выбора и эксплуатации бэкап-систем», опубликованный в октябре 2025 г. Тема средств защиты не теряет актуальности: согласно оценкам, сделанным в ноябре минувшего года, большинство российских компаний в нынешнем году не планируют сокращать бюджет на информационную безопасность. Некоторые сведения о расходах предприятий и организаций на различные средства обеспечения информационной безопасности (в том числе на DLP-системы)  можно найти в публикации «Компании активно инвестируют в продвинутые средства ИБ».

Когда речь заходит о средствах обеспечения информационной безопасности, то в первом приближении всех «ИТ-врагов» можно разделить на две категории: «внешние» (это, как правило, киберпреступники, стремящиеся извлечь из своих действий материальную или политическую выгоду) и «внутренние» (инсайдеры). В числе последних могут оказаться как люди, действующие по злому умыслу (например, чтобы по тем или иным причинам отомстить работодателю), так и те, кто сливает корпоративные секреты по неосторожности (например, в переписке с партнерами или в ходе диалога с ИИ-ботом).

В качестве средств защиты от «внутренних врагов» обычно рассматривают DLP-системы (Data Loss Prevention, предотвращение утечек данных). С точки зрения текущей редакции классификатора Единого реестра отечественного ПО DLP-решения являются одним из 20 классов программ, относящихся к разделу 03 «Средства обеспечения информационной безопасности». Важно отметить, что решения класса 03.09 «Средства обнаружения и предотвращения утечек информации» не только помогают предотвратить утечки, но и обеспечивают соблюдение корпоративных и законодательных норм.

Выбор правильного DLP-решения – сложная многокритериальная задача. К тому же заказчик заказчику рознь и требования к у малых, средних и крупных предприятий весьма различны. Играет роль и отраслевая специфика: если для одних компаний утечка корпоративных данных смерти подобна, то для других эта потеря не так и страшна… К очевидным критериям выбора DLP-решений можно отнести такие: функциональность, производительность, стоимость, удобство интерфейса, уровень техподдержки, схема лицензирования.

Но есть критерии и неочевидные. Какие именно – мы спросили у представителей отечественных компаний-разработчиков, ключевых игроков этого сегмента рынка ИБ.

«Помимо “витринных“ характеристик, на практике критичны вещи, которые всплывают уже в эксплуатации, – говорит Юрий Тюрин, технический директор MD Audit (ГК Softline). – Во-первых, это качество контентной аналитики для реальных бизнес-процессов: насколько хорошо система понимает отраслевые документы, смешанные форматы, сканы, переписку с неформальной лексикой, а не только “идеальные“ шаблоны. Во-вторых, зрелость процессов внедрения: методология, пилотные сценарии, готовность вендора помогать с настройкой политик, а не просто «поставить коробку». В-третьих, нагрузка на ИБ-и ИТ-команды – сколько ресурсов требуется на сопровождение, разбор инцидентов и поддержку актуальности правил». Отдельно эксперт отмечает масштабируемость и поведение системы при росте трафика и переходе на гибридные или распределенные инфраструктуры. Наконец, по мнению Ю. Тюрина, важен человеческий фактор: «насколько DLP позволяет работать не только в режиме контроля и наказания, но и в режиме профилактики, снижая сопротивление со стороны сотрудников».

Функционал DLP-систем существенно не отличается от продукта к продукту, считает директор портфеля защиты данных ГК «Солар» Мария Мозгалева, но в то же время большую роль играет удобство эксплуатации таких решений. «Несущественные на первый взгляд отличия, – подчеркивает эксперт, –  могут стать ключевыми в процессе использования: например, разграничение событий и инцидентов. Не каждое событие, зафиксированное системой, может привести к инциденту. Однако возможность просмотра отдельных событий, по которым сработала политика безопасности, существенно сокращает время на анализ происходящего».

Как правило, крупные заказчики, отмечает М. Мозгалева, при выборе DLP-систем прежде всего обращают внимание на скорость реагирования на запросы – как быстро и в каком объеме будет реализован их запрос в продукте. «На больших объемах данных любое изменение, которое приведет к снижению времени на реагирование или упростит мониторинг, критически важно. Для среднего и малого бизнеса важно не столько отсутствие утечек, сколько контроль движения данных, при оптимальном сайзинге. Поэтому основной запрос таких компаний – необходимая и достаточная функциональность, – говорит эксперт. – Важны также простота использования и поддержки системы, так как у небольших и средних компаний может и не быть своей экспертизы или она будет минимальной».

В то же время в зависимости от отраслевой специфики важно принимать во внимание такие неочевидные аспекты, как законодательство, добавляет М. Мозгалева: «Использование DLP-систем по отраслям отличается скорее законодательством и используемыми стандартами отрасли, чем сценариями».

Действительно, номинально основные DLP на российском рынке сравнялись по функционалу, подтверждает заместитель гендиректора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев. Разница в деталях, и именно на них стоит обращать внимание при выборе.

Первый важный критерий, по мнению А. Парфентьева, – полнота контроля каналов коммуникации: «Зачастую один и тот же канал имеет несколько типов реализации. Например, у Telegram одновременно работают пять версий: 32- и 64-разрядное приложения, web A, web Z и web Legacy. А внутри мессенджера есть три независимых формата коммуникаций – звонки, чаты и передача файлов. Итого у одного типового канала как минимум 15 вариантов реализации, не говоря о версиях под разные ОС, коих десятки. В идеале DLP должна поддерживать их все, на уровне маркетинга так и заявляется. Но реальная полнота поддержки видна только на практике, и может оказаться, что в каком-то из вариантов мессенджер не контролируется».

Второй критерий – технологическая независимость вендора. Как поясняет А. Парфентьев, в составе DLP часть инструментов может быть представлена технологиями White Label, т. е. по сути решениями сторонних компаний. Архитектуры и интерфейсы основного и «встроенного» решения могут быть несогласованными: например, основная часть решения реализована на сервере под Linux, а дополнительный модуль – под Windows. Кроме того, разработчик заимствованного решения может прекратить его поддержку независимо от вендора основной платформы, а если заказчику потребуется доработка этого инструмента, ее сроки непрогнозируемы. Поэтому лучше выбирать решения, реализованные одним разработчиком.

В-третьих, нужно обращать внимание на особенности сертификации по требованиям безопасности. «Все DLP проходят сертификацию во ФСТЭК, на уровни доверия (DLP обычно достаточно 4-го),  это предполагает наиболее комплексную проверку продукта, – говорит А. Парфентьев. – Но вендоры могут ограничиваться получением сертификата на профиль защиты СКН (средства контроля носителей), который по сути “легитимизирует” только малую часть инструментария DLP. Номинально продукт все еще будет сертифицирован, но на практике это означает, что для защиты широкого перечня каналов связи предлагается решение, одобренное только для защиты флешек». Наконец, иногда вендоры получают сертификаты на серийное производство (что предпочтительней для заказчика), а иногда на конкретную партию. Это важно уточнять при планировании закупки, иначе к моменту внедрения сертифицированные копии DLP у разработчика могут просто закончиться.

В долгосрочной перспективе ключевым фактором является надежность вендора, считает технический директор компании Falcongaze Владимир Кадыко. Обработку критичных данных целесообразно доверять компаниям с подтвержденным опытом работы на рынке и устойчивой репутацией. Важным требованием является способность DLP-системы своевременно адаптироваться к изменениям рынка: в законодательстве, в программном обеспечении и операционных системах.

«На этапе внедрения принципиально, – отмечает В. Кадыко, – чтобы новые компоненты не вступали в конфликт с существующими средствами защиты и не требовали значительных изменений корпоративной ИТ-инфраструктуры. Быстрое развертывание и наличие стандартных механизмов интеграции позволяют снизить как временные, так и финансовые затраты на внедрение». Еще один важный критерий – возможность масштабирования по мере роста компании, а также использования DLP-системы в условиях территориально распределенной инфраструктуры.

В заключение отметим: в случае DLP, как и в любом другом деле, важен не только выбор правильного инструмента, но и умение правильно и эффективно им пользоваться. Ведь практически любая тиражируемая DLP-система позволяет реализовать множество сценариев (схем) предотвращения утечек данных.

Важно также регулярно проводить тренинги для сотрудников, чтобы снизить вероятность утечек, которые происходят не по злому умыслу, а по неосторожности. Как справедливо замечает руководитель исследовательского центра UDV Group Юрий Чернышов, «правила “медицинской гигиены” вырабатывались годами и десятилетиями, но на формирование “цифровой гигиены” у нас такого времени нет. Слишком быстро появляются новые технологии и слишком масштабными могут быть последствия нарушения элементарных правил поведения в цифровом мире».

Владимир Митин, внештатный обозреватель BYTEmag.ru

Вам также могут понравиться

Новый релиз SOAR-системы UDV

Новая версия шлюза веб-безопасности «Солар»

Мониторинг утечек данных для абонентов T2

Solar 4RAYS о новом бэкдоре ShadowRelay

Обновленная SIEM-система «Солар»

Единая модель оценки навыков в платформе киберучений «Солар»