Рынок DLP-специалистов растет, но найти сильного аналитика сложно. Многие кандидаты путают аналитику с администрированием или считают, что их задача — просто «посмотреть алерты». На собеседовании вас будут проверять на три вещи: понимание бизнес-рисков, знание нормативки и способность расследовать инциденты.
Мы собрали 10 вопросов, которые реально задают в крупных компаниях, банках и ритейле.
1. «Что такое DLP вашими словами и зачем оно бизнесу?»
Почему спрашивают: Хотят отсеять тех, кто заучил определение из учебника. Важно показать, что вы мыслите в терминах угроз и ущерба.
Как отвечать:
*DLP — это система контроля за движением конфиденциальных данных. Она не просто «блокирует флешки», а помогает бизнесу соблюдать законы (152-ФЗ, 98-ФЗ, врачебную тайну) и предотвращать утечки коммерческой тайны, персональных данных или платежной информации. Без DLP компания рискует штрафами и репутационными потерями.*
Совет: Упомяните, что аналитик — связующее звено между IT, безопасностью и юристами.
2. «Какие каналы утечек вы знаете? Приведите примеры инцидентов»
Почему спрашивают: Проверяют практический кругозор. Многие называют только email и флешки.
Как отвечать (разделите на группы):
● Технические: съемные носители (USB), смартфоны через MTP, принтеры, снимки экрана, буфер обмена.
● Сетевые: веб-почта ( gmail, mail.ru), мессенджеры (Telegram, WhatsApp), файлообменники (dropmefiles), FTP.
● Неочевидные: печать на сетевой принтер с сохранением в кэш, вставка данных в PDF-формы, передача через корпоративный бот в Slack, вложение в тикеты ServiceNow.
Пример инцидента:
«Был случай: сотрудник HR скачал список зарплат на рабочий стол, затем открыл этот файл в Notepad++ — DLP сработал по Clipboard, потому что данные попали в буфер обмена через стороннее приложение. Выяснилось, что он просто копировал ФИО для формирования справок, но мы выявили избыточный доступ».
3. «Что такое контекст в DLP-политике и чем он отличается от контента?»
Почему спрашивают: Новички часто пишут политики только на ключевые слова (ИНН, «секретно»). Это даёт много ложных срабатываний.
Как отвечать:
Контент — это сами данные (регулярки, цифровые отпечатки, словари). Контекст — обстоятельства: кто (роль сотрудника), куда (внешний диск или корп. email), когда (в нерабочее время), с какого устройства (личный ноутбук через RDP), какой объём (100 записей за 5 секунд).
Пример: Отправка файла "резюме.xlsx" на личную почту — это подозрительно. А тот же файл в мессенджер HR-боту — норма. Контекст решает.
4. «Опишите процесс расследования DLP-инцидента от А до Я»
Почему спрашивают: Хотят увидеть системность и понимание границ ответственности.
Как отвечать (по шагам):
1. Приоритизация: красный (точно утечка), желтый (требует проверки), зеленый (ложный).
2. Сбор данных: кто, когда, канал, куда, фрагмент содержимого.
3. Анализ: запросить бизнес-обоснование у сотрудника (через его руководителя).
4. Верификация: если сотрудник отрицает — извлечь файл из песочницы DLP и сравнить хэши.
5. Эскалация: если утечка подтверждена — передача в ИБ или комитет по инцидентам.
6. Закрытие: корректировка политики, дообучение или увольнение.
Важно: Подчеркните, что вы не выносите «приговор», а предоставляете факты.
5. «Как отличить настоящую утечку от ложного срабатывания?»
Почему спрашивают: Аналитик, который заваливает службу безопасности ложными тревогами, неэффективен.
Как отвечать:
Признаки реальной утечки:
● Сотрудник не отвечает на письмо в течение дня (скрывается).
● Файл переименован, запаролен или вложен в архив.
● Действие происходит перед увольнением или в ночную смену.
Ложное срабатывание:
● Автоматическая печать отчета из 1С — просто так настроен принтер.
● Сотрудник отправляет коллеге файл с кодом, где внутри есть ПДн в закомментированной строке.
Лайфхак: Предложите делать «выборку на подтверждение» — запрашивать объяснение только по 20% самых подозрительных событий.
6. «Знаете ли вы 152-ФЗ, 98-ФЗ, 115-ФЗ? Как они связаны с DLP?»
Почему спрашивают: DLP-аналитик должен разговаривать с юристами на одном языке.
Как отвечать:
● 152-ФЗ (о ПДн): требует контроля всех операций с персональными данными. DLP фиксирует факт передачи ПДн третьим лицам.
● 98-ФЗ (о коммерческой тайне): обязывает компанию документально закрепить перечень секретных сведений и вести учет лиц, имеющих к ним доступ. DLP — инструмент контроля.
● 115-ФЗ (о легализации): если DLP ловит передачу реквизитов паспортов или выписок по счетам — это сигнал для финмониторинга.
«Скажу так: DLP не исполняет законы, а предоставляет доказательную базу для compliance».
7. «Какие метрики DLP вы будете собирать для отчета руководству?»
Почему спрашивают: Аналитика повышают до сеньора, когда он начинает говорить на языке KPI, а не «обработал 500 срабатываний».
Как отвечать:
Разделите на три группы:
● Операционные: количество инцидентов в день, время до закрытия (MTTD/MTTR), % ложных срабатываний.
● Рисковые: число попыток утечки по отделам, доля инцидентов с реальной передачей данных вовне.
● Бизнесовые: сколько инцидентов предотвращено до того, как данные ушли; оценка сэкономленных штрафов.
*«Я бы добавил график "топ-5 нарушителей" — не для наказания, а для адресного обучения».*
8. «У нас в DLP пришло событие: сотрудник скопировал 500 строк из CRM на флешку за 15 секунд. Ваши действия?»
Почему спрашивают: Проверка навыка быстрого принятия решений и использования дополнительных систем.
Как отвечать (алгоритм):
1. Проверить, была ли флешка корпоративной (белые списки) или личной.
2. Посмотреть в SIEM или логах AD: не уволен ли сотрудник сегодня? Не истек ли контракт?
3. Открыть профиль в DLP: были ли аналогичные действия раньше (например, он каждый день бэкапит CRM, но с разрешения)?
4. Если увольняется и запрета нет — блокируем учетную запись и поднимаем тревогу.
5. Если это маркетолог, который выгружает клиентов для таргета — запросить согласование у CMO.
Ваш ответ: «Сначала блокировка, потом вопросы. Но блокировка — через администратора, я не отключаю доступ руками».
9. «Как вы будете настраивать политики, чтобы не блокировать работу бухгалтерии, но ловить утечки?»
Почему спрашивают: DLP-аналитик должен понимать бизнес-процессы.
Как отвечать:
Я предложу стратегию "мониторинг с исключениями":
● Для бухгалтерии разрешаем отправку актов и счетов через ЭДО, но запрещаем — через веб-почту.
● Введем тегирование: если файл создан в 1С или имеет маску "счет_.pdf" — ослабляем контроль.*
● Сделаем пилотную группу из лояльных бухгалтеров, прогоним политики в режиме "только логгирование" и посмотрим, где ложные блокировки.
Главная мысль: «Политика, которая останавливает бизнес, — плохая политика. Надо находить компромисс через контекст».
10. «Какие DLP-системы вы знаете и в чем их отличия?»
Почему спрашивают: Даже если у компании свой вендор, важно понимать общую картину рынка.
Как отвечать (без фанатизма):
● Solar Dozor (Россия): сильная аналитика и расследования, удобный модуль реакции на инциденты.
● InfoWatch Traffic Monitor: академичный подход, многослойные политики, но сложный в настройке контекст.
● DeviceLock DLP: хорош для контроля съемных носителей и MTP, слабее в сетевых каналах.
● DLP от Kaspersky (KES + MDM): удобен, если у компании экосистемка Kaspersky.
● Open Source (OpenDLP): только для малого бизнеса или аудита, нет нормальной поддержки контекста.
«Сейчас работаю на Solar Dozor, но готов переучиться за 2 недели — принципы везде одинаковые».
3 ошибки, которые убивают ваше собеседование
1. «Я буду блокировать всё, что содержит слово "пароль"» — вас сочтут опасным дилетантом.
2. «DLP не нужен, если сотрудники лояльны» — покажете непонимание регуляторных рисков.
3. «Я не расследую, я только смотрю алерты» — это позиция оператора, не аналитика.
Резюме: Хороший DLP-аналитик — это 50% техники, 30% психологии и 20% юридической грамотности. На собеседовании демонстрируйте, что вы думаете о рисках, а не о галочках в политиках.
