DSPM: қандай деректер сыныптарын табады және өнімді қалай таңдау керек

DSPM не үшін керек, егер ИБ құралдары бар болса

Көп компанияларда мәселе қорғаныс құралдарының болуында емес, маңызды деректердің қайда екенін нақты білмеуде. Құжаттар ортақ папкаларға, поштаға, файл‑шараларға, тесттік БД‑ларға, Excel‑экспорттарға шашырап жатады. Көбінесе деректер жиынтығының иесі кім және шешімдерді кім қабылдауы керек — өшіру ме, қолжетімділікті шектеу ме, процесс өзгертуді кім ұйымдастырары — түсініксіз.

DLP ағымдағы ағындарды және күдікті әрекеттерді жақсы ұстайды, бірақ әдетте қандай сезімтал мәліметтер қазірде сақталған және қайда екендігін көрсетпейді. IAM кімге қандай құқықтар барын көрсетеді, бірақ деректердің құндылығын білмей құқықтарды бағалау қиын. SIEM оқиғаларды жинайды және тексеруге көмектеседі, бірақ файлдар мен кестелер мазмұнын инвентаризацияламайды және қай активтердің маңыздырақ екенін түсіндірмейді.

DSPM осы олқылықты толтырады: ол деректерді табады, контекст қосады және приоритет қоюға көмектеседі. DSPM‑дегі пайдалы «табу» — жай файл немесе кесте емес, объект (файл, папка, кесте, бағана, дамп), оның ортасы (қайда сақталғаны, кімнің қолжетімдігі бар, қанша уақыт пайдаланылғаны, көшірмелері бар ма), қауіптің түсіндірмесі және әрі қарай не істеу керектігі бойынша ұсыныс.

Бастап бұрын келісіп алыңыз, нені табыс деп есептейтіндігіңіз. Жақсы нәтиже — «азалып кеткен ескертулер» емес, нақты тәуекелдің төмендеуі: жеке деректер бар жалпы папкалардың санының азаюы, артық құқықтары бар БД‑лардың қысқаруы, бесхоз архивтердің жойылуы, иеленушілер мен сақтау мерзімдерінің айқындалуы.

Практикалық мысал: ұйымда заманауи DLP болуы мүмкін, бірақ бөлімнің желілік папкасында бірнеше ондық қызметкерге қолжетімді құжатталған тұлғалардың скандары жатуы мүмкін. DSPM бұл жағдайды тез тауып, кімде қолжетімдігі бар екенін көрсетіп, қай іс‑әрекетті бірінші орындау керектігін ұсынады.

DSPM әдетте қандай дереккөздерді қамтиды

DSPM "деректер нақты қайда тұрады" деген қарапайым сұрақтан басталады. Көп жағдайда жауап «тек продакшн БД» деп шектелмейді. Сол себепті жетілген шешімдер файлдармен, БД‑лармен және бұлтпен жұмыс істейді, сондай‑ақ инциденттен кейін ғана есіне түсетін ұмытылған көшірмелерді табады.

Көбінесе қамтуға файл сақтау орындары кіреді: желілік папкалар, ортақ дискілер, корпоративтік порталдар және бірлесіп жұмыс істейтін құжаттар. Мұнда жылдар бойы Excel‑кестелер, скандар, есеп жүйелерінен алынған экспорттар және «уақытша» файлдар жиналады.

Жеке класс — объектілік сақтау және архивтер: сақтық көшірмелер, деректер базасының дамптары, журнал архивтері, мердігерлерге жіберілетін пакеттер. Бұл деректер жиі иесіз болады, бірақ клиенттік немесе кадрлық ақпараттың ең толық слепкаларын қамтиды.

БД‑тармен DSPM әдетте бірнеше деңгейде жұмыс істейді: реляциялық БД, NoSQL, аналитикалық витриналар және BI үшін қоймалар. Құрал тек «негізгі» кестелерді емес, репликалар, витриналарға экспорттар және есептер үшін аралық қабаттарды да көруі маңызды.

Компанияда SaaS және бұлтты сақтау орындары болса, DSPM оларға да қосылады. Практикада дәл осындай бұлттық папкалар мен ортақ кеңістіктер көбіне «сілтеме бойынша баршаға қолжетімді» қате бапталатын орындарға айналады.

Арнайы тексеріңіз: құрал тесттік контурлар мен бірреттік экспорттарды қалай табады. Типті сценарий: әзірлеушіге «аптаға» экспорт берілген, ол тесттік БД не жобалық папкаға түскен, кейін күнделікті жұмыстың бір бөлігіне айналған.

DSPM көбіне іздейтін деректер сыныптары

DSPM‑нің практикалық құндылығы оның қандай деректер түрлерін таба алатынына және нақты ортада оларды қаншалықты дәл ажырата алатынына байланысты. Көбінесе ұйымдардағы ең қауіпті табылғандар «экзотикада» емес, әдеттегі құжаттарда, экспорттарда және кестелерде болады.

Көбінесе ізделетіндер:

• жеке деректер: ЖСН, толық аты‑жөні, туған күндері, мекенжайлар, телефондар, e‑mail, құжат скандары және паспорттар;
• төлем және банктік деректер: карта нөмірлері, IBAN/шоттар, төлем тапсырмалары, контрагент реквизиттері, транзакция мәліметтері;
• медициналық ақпарат: диагноздар, талдау нәтижелері, тағайындаулар, емхана жазбалары;
• қаржы және коммерциялық құпиялар: бюджеттер, баға тізімдері, шарттар, ішкі есептер, сатып алу жоспарлары;
• есептік деректер және «құпиялар»: файлдардағы парольдер, API кілттері, токендер, қосылу жолдары, жеке кілттер.

Алайда «деректер класы» — тек шаблон емес, одан да маңыздысы контекст: файл қайда жатыр, қалай аталған, кестедегі көрші бағандар қандай, CRM/ERP‑нен экспортталған белгілері бар ма.

Қарапайым мысал: ортақ папкада «Қызметкерлер тізімі» деген Excel бар, онда ЖСН бос орынсыз сан ретінде жазылған, ал қасында «Бөлім» және «Телефон» бағандары бар. Жақсы DSPM форматтары бұзылған мәндер болғанда да бұл деректерді жеке ретінде белгілейді.

Өнімді таңдаудан бұрын сізге қандай кластар маңызды екенін және оларды қалай баптауға болатынын анықтаңыз: жергілікті форматтарға дайын саясаттар бар ма (мысалы, ЖСН), өз ережелеріңіз бен сөздіктеріңізді қосуға бола ма, конфигурациялар мен кодтағы құпияларды іздеу қолданыла ма, сенімділік деңгейлері мен шығарылымдар бар ма — шуды азайту үшін.

Файлдар мен БД: іздеу мен белгілудің айырмашылығы

DSPM құрылымдалған және құрылымдалмаған деректермен әртүрлі жұмыс істейді. БД‑та «табу» әдетте айқын мәнге ие (өріс, кесте, жазбалар жиынтығы), ал файлдарда сәйкес келу мәтін фрагменті болуы мүмкін, контекстсіз. Бұдан дәлдік, белгілеу және иеленушіні тағайындау жылдамдығы тәуелді.

БД жүйесінде DSPM құрылымға сүйенеді: кестелер, бағандар, типтер, байланыстар және анықтамалар. Белгілеу дәлірек болады: "осы бағанда ЖСН сақталады" немесе "осы кестеде медициналық диагноз бар" деп айтуға болады. Жақсы құралдар тәртіптер мен бизнес‑контекстіні есепке алып, мысалы, тапсырыс идентификаторын құжат нөмірімен шатастырмауға көмектеседі.

Файлдармен жұмыс қиынырақ. Құжаттар, хаттар және қоса тіркемелер ұқсас мәтін арасынан сезімтал фрагменттерді қамтуы мүмкін. Суреттер мен скандалған PDF кездессе, OCR қажет, әйтпесе кейбір қауіптер жіберіліп қалуы ықтимал. Жартылай құрылымдалған форматтар (JSON, XML, журналдар, экспорттар) көп сәйкестіктер береді, бірақ «схема» жоқ, сондықтан құрал техникалық өрістер мен тесттік мәндерді нақты жеке мәліметтерден ажырата білуі керек.

Файлдар үшін метадеректер мен қолжетімділікті ескеру ерекше маңызды: объект қайда жатыр, иесі немесе жауаптысы кім, қандай топтарға оқу/жазу құқықтары бар, объект қашан жасалды және өзгертілген, көп көшірмелер бар ма, жиі жіберіледі ме.

Егер өнім пайдаланылу контекстін (кім оқиды, қайдан, қаншалықты жиі) қосса, приоритизация оңайырақ болады. Бірдей жеке мәліметтер жиынтығы «тыныш» кестеде және кең құқықтары бар ортақ папкада — екі түрлі тәуекел деңгейі және әртүрлі шаралар қажет.

Қалай классификация және риск‑скоринг сапасын бағалау керек

DSPM‑нің құндылығы табылымдар саны бойынша емес, нақты тәуекелді шудан қалай бөліп көрсете алғанында. Бұл жақсырақ кішкене, бірақ әртүрлі жиынтықта тексеріледі: бірнеше файлдық шара, бірнеше БД кестелері, тесттік экспорттар, архивтер, офис құжаттары.

Классификация: тереңдік, дәлдік және түсіндірілгіштік

Дайын детекторлардан (ЖСН, карта нөмірлері және т.б.) бөлек өз шаблондарыңыз бен сөздіктеріңіз болуы тиіс. Әйтпесе өнім «жалпылай» көрінетіндерді жақсы табады, бірақ ішкі кодтар, жоба атаулары және сіздің шарт форматтарыңызды өткізіп жібереді.

Дәлдік екі нәрсеге байланысты: жалған сәйкестіктер және өткізіп жіберулер. Әр табылу бойынша түсініктеме көрсетуін сұраңыз: не сәйкес келді (шаблон, сөздік, модель), қай жерде табылды (баған, парақ, диапазон) және қандай сенімділікпен. Егер өнім «неге» деген сұраққа анық жауап бере алмаса, оны баптау және бизнестің алдында шешімдерді қорғай білу қиын болады.

Ережелердің икемділігі пилоттың тағдырын шешеді. Эксклюзиялар (папкалар, схемалар, файл типтері), сенімділік шегін және контексттік шарттар қажет. Мысалы: журналдардағы 12 рет келген цифр тізбегі ЖСН емес, егер қасында басқа жеке ақпарат белгілері жоқ болса.

Риск‑скоринг: практикалық есептеу

Риск‑скоринг тек "деректер класына" ғана емес, контекстке негізделуі тиіс: объект қай жерде сақталған, кім оқи алады, сыртқы қолжетімділік бар ма, шифрлау қолданылған ба, сақтау мерзімі қандай. Бухгалтерия сегментіндегі жеке деректер кестесі мен сол деректер жиынтығы кең қолжетімді папкадағысы — әртүрлі приоритет алуы керек.

Пилотқа дейін мына сұрақтарды қойыңыз:

• Өз шаблондары мен сөздіктерін вендормен жұмыс істей отырып емес, өзіңіз қоса алай ма?
• Әр табылу үшін түсіндірме және сенімділік деңгейі бар ма?
• Эксклюзиялар мен контексттік ережелерді баптауға бола ма?
• Үлкен көлемдерді сканерлеу қалай жүреді және бұл жұмыс жүйелеріне қалай әсер етеді?
• Нәтижелер сыртқа не жіберіледі: метадеректер, контент фрагменттері, толық нәтижелер, әлде бәрі ішкі периметрде қалады ма?

Орындау режимін жеке тексеріңіз. Мемсектор, қаржы және медицина үшін деректер контурдан шықпауы маңызды; сыртқа тек минимальды техникалық деректер жіберілуі немесе мүлде ештеңе шығарылмауы тиіс.

DSPM енгізуді қадаммен іске асыру: пилоттан тұрақты жұмысқа

DSPM мыңдаған табылулар тізіміне айналмауы үшін пилоттан бастаңыз және шекараларды айқын белгілеңіз. Алғашқы кезеңде "бәрін табу" емес, нақты тәуекел қай жерде екенін анықтау және команда соларды қалай өңдейтінін түсіну маңызды.

Дереккөз картасын жасаңыз және 1–2 ең тәуекелі аймақты таңдаңыз. Көп жағдайда бұл кең құқықтары бар жалпы желілік папка немесе ішінде не барын ешкім еске түсірмейтін ескі БД болады.

Содан кейін сіздің салаңыз және реттеушілік талаптары бойынша маңызды деректер кластарын анықтаңыз. Кәдімгі жағдайда 10–20 жеткілікті, әйтпесе шудың астында қаласыз.

Алғашқы сканерлеуден бұрын рөлдерді келісіңіз. Практикада жауапкершілікті үш деңгейге бөлу ыңғайлы: деректер иесі (бизнес, мәні үшін жауапты), жүйе иесі (ИТ, сақтау мен құқықтарды басқаратын), процесс иесі (қауіпсіздік/комплаенс, ережелер мен бақылауды орнататын).

Іске қосқаннан кейін бастапқы базалық сызықты алыңыз: қай жерде сезімтал деректер бар, кімде қолжетімдігі бар, қанша «ашық» орын бар. Дереу шығарылымдарды (архивтердің бір бөлігі, жүйелік каталогтар және т.б.) баптаңыз, статистика өсіп кетпеу үшін.

Содан кейін қысқа цикл жөндеулерін жүргізіңіз: құқықтарды тарылту, қажет жерлерде шифрлауды қосу, көшірмелерді жою, деректерді дұрыс сақтау орындарына көшіру. Тұрақтылықты бекітіңіз: кестелі сканерлеулер және өзгерістерге бақылау, жаңа «сулардың» тыныш пайда болуына жол бермеу.

Пилотты интегратор орындайтын болса, оның шешімді операциялық режимге жеткізгенін тексеріңіз: тек орнатумен шектелмей, иеленушілер моделі мен табылымдарды өңдеу процесін де қалыптастыру қажет.

Иесіз мыңдаған табылулардан қалай құтылу

"Мыңдаған табылулар" әдетте үш себептен пайда болады: бірден тым көп дереккөзді қостыңдар, төмен сенімділік шегін қойдыңдар (барлық сәйкестіктер сезімтал деп саналады) және бір деректердің көшірмелері, экспорттары мен архивтері көп. Оларды біреу‑біреу қарап шығу болса, ИБ командасы тез күйзеліске түседі.

Жеке файлдар мен кестелерге қарағанда әсерге назар ауданыз: алдымен кең қолжетімділік бар жерлер (мысалы, "домендегі барлығы"), сыртқы пайдаланушылар (мердігерлер, қонақ аккаунттары) және жиі ашылатын, "тірі" деректер маңызды.

Триаж үшін қарапайым ережелер көмектеседі: көпшілікке ашық/кең қолжетімді жерлерді алдымен көтеріңіз, сыртқы қолжетімділік ішкіден маңыздырақ, мыңдаған жазбалары бар жиынтықтар бір жазбадан жоғары приоритетке ие, ал көшірмелер мен сақтық көшірмелерді бөлек ағынға шығарып, жүйелі түрде шешкен дұрыс.

Одан кейін топтауды іске қосыңыз: бір тәуекелге көптеген ұқсас объектілерді біріктіріңіз. Мысалы, "Бухгалтерияның ортақ папкасы: 340 паспорт деректері бар файл" деп 340 тикет жасаудың орнына бір кейспен шешіңіз. Бұл шуды қысқартып, себебін емес, себебіне әсер етуге мүмкіндік береді.

"Иесіз" табылым мәселесі ұйымдастырушылық түрде шешіледі. Иеленушіні файлға емес, жүйеге, бөлімге немесе бизнес‑процеске тағайындаңыз (мысалы, "кадр құжаттары" немесе "клиент шығарып алу жазбалары"). Егер интегратор арқылы жұмыс істесеңіз, бизнестен кім құқықтар мен сақтау мерзімдері туралы шешім қабылдайтынын алдын ала келісіңіз.

Басқаруға бірнеше статуст жеткілікті (мысалы, "жаңа", "жұмыста", "жабылды", "тәуекел ретінде қабылданды") және 3–5 метрик тым көп емес: кезең бойынша ашылған/жабылған кейстер саны, иесіз табылымдардың үлесі, тәуекел бойынша ең жоғарғы жүйелер, иеленуші тағайындауға орташа уақыт.

DSPM таңдау және іске қосудағы типтік қателіктер

Ең жиі қателік — бірінші айда барлық жүйелерді қамтуға тырысу. DSPM тез көп "қызықты" табады, бірақ фокустық пилот болмаса, сіз табылымдар лавинасымен және көңілі қалады. Ұтымдырақ — 1–2 критикалық дереккөзді (мысалы, сату бөлімінің файл шаралары және бір негізгі БД) таңдап, қай деректер кластарын және тәуекел сценарийлерін көргіңіз келетінін алдын ала анықтау.

Екінші қате — исключенияларды және жалған сәйкестіктерді бақылауды бағаламай қою. Тесті деректер, жоба архивтері, техникалық дамптар және басқа шуды тудыратын көздер туралы келісілмесе, хабарландырулар еленбейді.

Үшінші — иеленушілер моделі мен келісім процессінің болмауы. Табылымның дерек иесі, жүйе иесі және түзетуге жауапты белгіленбесе, ол тез «ешкімнің» болуына әкеледі. Нәтижесінде DSPM проблемалар витринасына айналады, тәуекел басқару құралына емес.

Тағы бір жиі қателік — сақтық көшірмелерді жоспарсыз қосу. Бэкаптар ескі нұсқалар мен көшірмелерді қамтиды, және барлығы жұмыс ортасындағыдай түзелмейді. Оларды тек нақты сценарий болғанда қосыңыз: кім сақтайды, кімде қолжетімдігі бар және сіз нақты қандай шара қолдана аласыз.

Соңында, түзетулерді тек ИБ жасайтын кезде проблемалар басталады. Қол құқықтарын өзгерту, шифрлау, сегментация және сақтау мерзімдерін реттеу көбінесе ИТ пен бизнестің қатысуын талап етеді. Практикалық ереже: әр табылымға келесі қадам және мерзім белгіленуі тиіс.

Практикалық мысал: жалпы желілік папкадағы сезімтал деректер

Қарапайым оқиға: сату бөлімінде CRM‑ден шығарылған экспортты жылдам тексеру керек болған. Аналитик клиент базасын Excel‑ге экспорттап, оны "Общее\Временное" ортақ папкаға сақтап, әріптестеріне жіберіп, өшірмей қояды. Бірнеше аптадан кейін мұндай файлдар көбейіп, кейбірі "final_2", "актуальное", "для сверки" деп қайта аталады.

DSPM файл шараларына қосқаннан кейін бір папкада ЖСН, телефон және мекенжайы бар экспорттар, ал қасында шарттар мен сенімхат скандары жатқанын анықтайды. Ең жағымсыз нәрсе — қолжетімділіктер: папкаға "барлық қызметкерлер оқи алады" деген құқық қойылған және құқықтар ішкі каталогтарға мұрагерлік арқылы таралған.

Неліктен "иесі жоқ"? Папканы бұрынғы қызметкер жасаған болуы мүмкін. Ол берген топ қалды. Бизнес жағында кім сұрағаны және не үшін керек екенін ешкім есінде сақтамайды.

Мұндай кейстерді жеңілдету үшін зиян мен қолжетімділікті басымдыққа шығарыңыз: сыртқы қолжетімділік бар ма, кең топтарға ашық па, экспорттар жаңа ма әлде өткен жылдардың архиві ме, үлкен көлемді деректерді тез тасып әкетуге бола ма (мысалы, онда ондаған мың жолы бар бір файл).

Аралығы жиі кінәлілерді іздеуден гөрі тезірек шешіледі: "барлығына" құқықты жауып, экспорттарды бақылаудағы сақтау орнына көшіру, папканың иесін тағайындау және "уақытша" деректерге сақтау мерзімін белгілеу, экспорттарды кім және қай жерде сақтайтынын және кім қолжетімдікті растайтынын рәсімдеу.

Ішкі ресурстар жеткіліксіз болса, жүйелік интегратор құқықтар мен процестерді баптауға көмектесуі мүмкін. Мысал ретінде, GSE.kz интегратор ретінде құралды инфрақұрылым, рольдер және күнделікті кейс өңдеумен байланыстыруда пайдалы болады.

Сатып алу және пилот алдында тез чек‑тізім

Пилотқа дейін "компанияның барлық деректері" туралы емес, түсінікті бастама туралы келісіңіз. Әйтпесе DSPM табылымдар ағынына айналып, қандайсы маңызды және кім жауапты екенін анықтау қиын болады.

Шекараны шектеңіз: шынымен тәуекелдерді көрсететін 5–10 дереккөз таңдаңыз (мысалы, сату бөлімінің файл шаралары, CRM экспорттары, 1–2 негізгі БД, поштадағы тіркемелер архиві). Әр дереккөз үшін бизнес пен ИТ тарапынан жауаптыларды алдын ала анықтаңыз.

Іске қосардан бұрын базалық нәрселерді тексеріңіз: критикалық деректер кластарының тізімі мен олардың приоритеті, сақтау орындарында қонақ/публич/кең қолжетімділік бар жерлер, БД дамптары және Excel/CSV экспорттары бар орындар, сондай‑ақ табылымдарды топтастыру ережесі (жүйе, иесі, деректер түрі немесе жоба бойынша). Иеленушілерді қалай тағайындайтыныңызды ойлаңыз — жүйе иесіне, бөлімге, каталогқа немесе жоба тегтеріне қарай.

Пилот пайдалы болу үшін алдын ала 3–4 метриканы таңдаңыз: аптадағы топ тәуекелдер, жоюға дейінгі орташа уақыт, иесіз табылымдардың үлесі, тексеру кезінде расталатын "критикалық" табылымдардың долясы.

Келесі қадамдар: өнім таңдау және пилотты іске қосу

Пилот мақсатын және нәтижесі бизнеcке де, ИБ‑ға да түсінікті болатын 2–3 тәуекел сценарийін анықтаңыз. Мысалы: ортақ папкалардағы жеке деректер, экспорттар мен бэкаптардағы құпиялар (парольдер, кілттер), иесі жоқ және қолжетімдігі бақыланбаған БД‑тағы сезімтал кестелер.

Содан соң өнім мен ортаға қойылатын талаптарды бекітіңіз: қай жерде орналастырылады (облако немесе on‑prem), скан нәтижелері мен метадеректермен не болады, қандай интеграциялар қажет (AD/IdP, DLP/SIEM, тикетинг, деректер каталогы, CMDB), басшылар күтетiн есептер мен KPI, БД‑тарға жүктеме, сканерлеу терезелері және қандай исключения бірден енгізілуі тиіс.

Демонстрацияны сіздің деректеріңізде немесе оған ұқсас жиынтықпен сұраңыз. Жақсы тест үшін бірнеше «контрольный» файл мен кестені алдын ала дайындаңыз: бір бөлігі айқын сезімтал өрістермен, бір бөлігі ұқсас бірақ қауіпсіз деректермен.

Табылымдармен жұмыс процесін іске қосардан бұрын жоспарлап қойыңыз: кім табылымдарды қабылдайды (ИБ), кім түзетеді (жүйе мен деректер иелері), кім өзгерістерді бекітеді (бизнес). Пилот үшін практикалық ереже: әр табылу 3–5 жұмыс күні ішінде иесін және статусын алуы тиіс.

Ішкі ресурстар жетпесе немесе DSPM‑ді инфрақұрылыммен және ИБ‑процестерімен байланыстыру қажет болса, интеграторды қосыңыз. GSE.kz жүйелік интегратор ретінде пилотты жобалау, интеграциялар және инфрақұрылымды DSPM үшін ұйымдастыруға көмектесе алады.