DLP (Data Loss Prevention — предотвращение утечек данных) — класс решений, которые помогают обнаруживать, контролировать и (при необходимости) блокировать передачу чувствительной информации через основные каналы: почта, веб, мессенджеры, съемные носители, печать, облачные хранилища и т.д. На практике DLP закрывает инсайдерские риски (умышленные и случайные), снижает вероятность утечек и помогает собрать доказательную базу по инциденту.
1) Что именно “контролирует” DLP
В современной терминологии часто выделяют 3 состояния данных:
● Data in motion — данные “в движении” (почта, веб, прокси, сетевые протоколы).
● Data at rest — данные “в хранении” (файловые шары, папки пользователей, базы, облака).
● Data in use — данные “в использовании” (копирование в буфер, печать, скриншоты/фото экрана, выгрузки из приложений).
Многие enterprise-решения прямо заявляют покрытие endpoint + network + cloud (рабочие станции, сетевые каналы и облачные сервисы).
2) Из каких компонентов обычно состоит DLP
Типовая архитектура выглядит так:
● Агенты на рабочих станциях/серверах (Endpoint DLP) — контролируют USB/принтеры/копирование/прикладные каналы и часть “поведения” пользователя.
● Сетевые перехватчики (Network DLP) — почта, HTTP/HTTPS и др. протоколы, иногда ICAP-интеграции.
● Discovery/сканирование хранилищ — поиск чувствительных данных “в покое”.
● Консоль управления — политики, инциденты, расследования, отчеты.
● Интеграции — AD/LDAP, почтовые шлюзы, прокси, SIEM (Security Information and Event Management — система управления событиями ИБ), иногда SOAR/ITSM.
3) Как DLP “понимает”, что данные чувствительные
На практике используется комбинация:
1. Контентные методы
o регулярные выражения (regex), словари/ключевые слова, шаблоны документов;
o “чувствительные типы данных” / готовые классификаторы (например, у Microsoft это Sensitive information types — паттерн-классификаторы, которые можно кастомизировать).
2. Контекстные методы
Кто отправляет, куда, каким каналом, размер/тип файла, устройство, время, роль пользователя, принадлежность к группе, уровень доверия к узлу и т.д.
3. Фингерпринтинг / EDM/DRM-подходы (в разных продуктах по-разному называются)
Когда система “сопоставляет” данные с эталоном (например, выгрузка клиентской базы, наборы строк, шаблоны).
4) Где границы DLP и зачем рядом встречаются DAG/DCAP
В вакансиях рядом с DLP часто упоминают DAG/DCAP, потому что утечки почти всегда упираются не только в канал вывода, но и в то, где лежат данные и кто к ним имеет доступ.
● DCAP (Data-Centric Audit and Protection — аудит и защита, ориентированные на данные) — подход/фреймворк про обнаружение, классификацию, аудит доступа и защитные политики вокруг данных.
● DAG (Data Access Governance — управление доступом к данным) — дисциплина/сегмент про видимость и контроль “кто имеет доступ к каким данным и как этот доступ используется”.
Проще: DLP сильна на “не унеси наружу”, а DAG/DCAP — на “почему это вообще было доступно/лежало не там/выдано не тем”.
Какие DLP-продукты есть на рынке
Ниже — самые известные и часто встречающиеся решения (перечень не исчерпывающий).
Российский рынок (часто выбирают для импортозамещения и требований локализации)
● InfoWatch Traffic Monitor (InfoWatch) — отечественная DLP-система для защиты/анализа/контроля чувствительных данных.
● Solar Dozor (Ростелеком-Solar) — DLP корпоративного класса для предотвращения утечек и расследований.
● Zecurion DLP (Zecurion) — гибридная DLP для сетевых и локальных каналов.
● СёрчИнформ КИБ (SearchInform) — DLP-решение с контролем каналов и аналитикой.
● DeviceLock DLP Suite (DeviceLock) — сильный фокус на endpoint-контроль устройств/каналов + контентная фильтрация.
● Falcongaze SecureTower (Falcongaze) — DLP для предотвращения утечек и контроля активности.
Международный рынок (enterprise и cloud-native сценарии)
● Microsoft Purview DLP — DLP-контуры для экосистемы Microsoft 365 и связанных сценариев (в т.ч. политики и жизненный цикл DLP).
● Broadcom Symantec DLP — один из самых распространенных enterprise-классов DLP.
● Forcepoint DLP — DLP с акцентом на политики/классификаторы и покрытие каналов.
● Trellix DLP — suite DLP-продуктов (endpoint/network/discovery в зависимости от поставки).
● Fortra DLP (ex Digital Guardian) — DLP “endpoint-to-cloud”, discovery и консоль управления.
● Proofpoint DLP — часто встречается в контексте почты/облаков/endpoint и “human-centric” сценариев.
Реальная “доступность к закупке/поддержке” некоторых зарубежных решений зависит от юрисдикции и условий поставок — это обычно уточняется на этапе пресейла.
Какие требования к специалисту по DLP: что он должен знать и уметь
Ниже — практический профиль (прямо “под” обязанности из вашего описания).
1) Нормативка и классификация “информации ограниченного доступа”
Специалист должен уверенно ориентироваться в том, что именно защищаем и на каком основании:
● персональные данные: 152-ФЗ, требования к защите ПДн и уровни защищенности в ИСПДн (в т.ч. ПП РФ №1119).
● если компания — субъект КИИ: базовое понимание контура 187-ФЗ и связанной регуляторики (даже если DLP не “про КИИ”, на практике данные и процессы пересекаются).
Практически: уметь переводить “юридические категории” (ПДн/КТ/служебная/внутренняя) в метки/классы данных и правила DLP/DCAP.
2) Техническая экспертиза по каналам утечек
Нужно понимать, где реально утекает и что DLP способна контролировать: