DCAP, DSPM и DAG: чем отличаются и зачем нужны вместе с DLP
DCAP, DSPM и DAG — три смежных класса защиты данных, которые часто путают между собой и с DLP. Если коротко: **DLP** контролирует данные в движении (утечки по каналам), а эти три класса наводят порядок там, где данные хранятся. **DCAP** аудирует файловые хранилища (кто чем владеет, где лежат конфиденциальные файлы, кто к ним обращается). **DSPM** оценивает постуру данных в облаке и базах данных (где данные, как защищены, где нарушения). **DAG** управляет правами доступа к данным (кто, к чему и почему имеет доступ, выявление избыточных прав). **Если коротко:** это не конкуренты, а слои одной задачи — навести порядок в данных «в покое» и дополнить DLP, который смотрит за данными «в движении». DCAP закрывает файловые шары и СХД, DSPM — облако и БД, DAG — права доступа. Вместе с DLP они дают полный контур. Ниже — что делает каждый класс, таблица сравнения, чек-лист «что внедрять первым» и связь с требованиями 152-ФЗ. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге DSPM, DCAP и DAG](/rating/data-security-dspm-dcap-dag).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Почему появились три отдельных класса
Классический периметровый подход защищал каналы: DLP следил за тем, чтобы конфиденциальные данные не утекли через почту, веб, мессенджеры и съёмные носители. Но утечка — это финал. Большинство инцидентов начинается раньше: данные лежат в неизвестном файловом хранилище, доступ к папке открыт «всем сотрудникам», в облачном бакете оказались персональные данные без шифрования, а уволенный сотрудник сохранил права на чувствительный каталог.
Чтобы закрыть эти разрывы, рынок развёл задачи по трём классам. Их объединяет фокус на данных «в покое» (data-at-rest) и принцип «сначала найди и классифицируй, потом наводи порядок». Различаются они средой и главным вопросом, на который отвечают: DCAP — про файловые хранилища и их аудит, DSPM — про облако и базы данных, DAG — про права доступа.
Что делает каждый класс по отдельности
Ниже — суть каждого класса простыми словами. Это ориентир по функциям, а не сравнение конкретных продуктов: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/data-security-dspm-dcap-dag).
- **DCAP (Data-Centric Audit and Protection) — аудит файловых хранилищ.** Сканирует файловые шары, NAS, SharePoint и корпоративные СХД: находит, где лежат конфиденциальные документы, кто ими владеет, кто и когда к ним обращался. Отвечает на вопрос «что у нас за файлы и что с ними происходит». Базовый сценарий — аудит прав на папки, поиск «бесхозных» и устаревших данных, мониторинг аномального доступа. - **DSPM (Data Security Posture Management) — постура данных в облаке и БД.** Инвентаризирует данные в облачных хранилищах, SaaS и базах данных, оценивает их защищённость (шифрование, доступность извне, нарушения политик) и подсвечивает риски. Отвечает на вопрос «где наши данные в облаке и насколько они защищены». Базовый сценарий — обнаружение «теневых» копий ПДн, открытых бакетов, незашифрованных БД. - **DAG (Data Access Governance) — управление доступом к данным.** Строит карту «кто к каким данным имеет доступ и почему», выявляет избыточные и неиспользуемые права, организует пересмотр доступа (ресертификацию) и принцип наименьших привилегий. Отвечает на вопрос «правильно ли розданы права на данные». Базовый сценарий — выявление прав «всем сотрудникам», ревизия доступа при увольнении и смене роли.
Сравнение классов: DLP, DCAP, DSPM, DAG
| Класс | Что защищает | Главный вопрос | Среда | Дополняет |
|---|---|---|---|---|
| DLP | Данные в движении (каналы) | Не утекают ли данные наружу? | Почта, веб, мессенджеры, USB, печать | Базовый контур; усиливается классификацией от DCAP/DSPM |
| DCAP | Данные в покое (файлы) | Что за файлы и что с ними происходит? | Файловые шары, NAS, SharePoint, СХД | Даёт DLP контекст: где конфиденциальные файлы |
| DSPM | Данные в покое (облако, БД) | Где данные в облаке и как защищены? | Облачные хранилища, SaaS, базы данных | Закрывает слепую зону DLP в облаке |
| DAG | Права доступа к данным | Правильно ли розданы права? | Файловые системы, БД, облако (поверх DCAP/DSPM) | Превращает находки DCAP/DSPM в наведение порядка с правами |
Как DCAP, DSPM и DAG дополняют DLP
DLP отвечает за периметр оттока: контролирует каналы, по которым данные могут покинуть организацию. Но чтобы DLP работал точно, ему нужно знать, что именно конфиденциально и где это лежит. Здесь и подключаются три класса:
- **DCAP даёт DLP контекст.** Классификация и метки от DCAP повышают точность DLP-политик: система понимает, что блокировать, а не угадывает по словарям. - **DSPM закрывает облачную слепую зону.** Классический DLP слабо видит данные в облаке и SaaS — DSPM инвентаризирует и оценивает риски именно там. - **DAG убирает первопричину.** Утечка часто начинается с избыточного доступа. DAG сокращает права до необходимого минимума, снижая саму вероятность инцидента.
Вместе получается полный контур: DLP стережёт выход, DCAP и DSPM наводят порядок в местах хранения (файлы и облако/БД), DAG управляет тем, кто к этим данным допущен.
Зрелость классов защиты данных в России по сценариям
Усреднённая редакционная оценка готовности класса по открытым данным, а не сравнение конкретных вендоров. Не заменяет пилот на ваших данных.
Три класса коротко: суть и базовый сценарий
Найти конфиденциальные файлы и аномальный доступ к ним
Найти открытые бакеты и незашифрованные ПДн в облаке
Убрать избыточные права и ввести ресертификацию доступа
Чек-лист: что внедрять и в каком порядке
План внедрения: 5 шагов от хаоса к контролю
-
01
Обнаружение и классификация
Просканируйте файловые хранилища, облако и БД, разметьте конфиденциальные данные — это общий фундамент для всех трёх классов.
-
02
Аудит прав (DCAP/DAG)
Постройте карту «кто к чему имеет доступ», найдите права «всем сотрудникам», бесхозные и устаревшие данные.
-
03
Наведение порядка
Сократите избыточные права до минимума, переназначьте владельцев данных, удалите или заархивируйте лишнее.
-
04
Постура в облаке (DSPM)
Закройте открытые бакеты, незашифрованные БД и «теневые» копии ПДн; настройте контроль политик в облаке.
-
05
Интеграция с DLP и контроль
Передайте метки в DLP, настройте ресертификацию доступа и мониторинг аномалий, зафиксируйте регулярный пересмотр.
Связь с 152-ФЗ и комплаенсом
Для требований 152-ФЗ ключевое — знать, где находятся персональные данные, кто к ним имеет доступ и как они защищены. Это ровно то, что закрывают три класса: классификация и обнаружение ПДн (вход для DCAP и DSPM), контроль и минимизация доступа (DAG), оценка защищённости хранилищ и облака (DSPM). Связка с DLP добавляет контроль каналов оттока.
Конкретные требования к локализации, защите и учёту ПДн смотрите в первоисточнике — [152-ФЗ](https://www.consultant.ru/document/cons_doc_LAW_61801/), а статус продуктов и сертификатов проверяйте в реестрах. Подробнее о разметке данных — в материале про [автоматическую классификацию для 152-ФЗ](/research/klassifikaciya-dannyh-152-fz).
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом DSPM, DCAP и DAG](/rating/data-security-dspm-dcap-dag): здесь — классы и критерии, там — сравнение конкретных компаний по подтверждённым фактам. Вендоры вроде Makves, «Гарда» и InfoWatch — лишь ориентир по рынку, не рекомендация.
Следующий шаг
Разобрались с классами — переходите к сравнению поставщиков: **[рейтинг DSPM, DCAP и DAG →](/rating/data-security-dspm-dcap-dag)**. Полезно прочитать рядом: [рейтинг российских DCAP-систем](/research/reyting-dcap-sistem-rossiya), [российский аналог Varonis для Data Access Governance](/research/analog-varonis-dag-rossiya) и [автоматическая классификация данных для 152-ФЗ](/research/klassifikaciya-dannyh-152-fz).
Частые вопросы
Чем отличаются DCAP, DSPM и DAG простыми словами?
DCAP аудирует файловые хранилища (что за файлы и кто к ним обращается), DSPM оценивает постуру данных в облаке и базах (где данные и как защищены), DAG управляет правами доступа (кто, к чему и почему имеет доступ). Это слои одной задачи — порядок в данных «в покое».
Заменяют ли эти классы DLP?
Нет, они дополняют DLP. DLP контролирует данные в движении (каналы оттока), а DCAP, DSPM и DAG наводят порядок там, где данные хранятся. Вместе они дают полный контур: DLP стережёт выход, остальные — места хранения и права доступа.
С чего начать внедрение?
С обнаружения и классификации данных — без этого остальное работает вслепую. Дальше порядок зависит от ландшафта: если риск в файловых шарах — начинайте с DCAP и DAG; если данные уходят в облако — добавляйте DSPM. Затем свяжите метки с действующим DLP.
Нужно ли покупать три отдельных продукта?
Не обязательно. Границы классов условны, и многие отечественные платформы совмещают DCAP и DAG, а DSPM-функции добавляют по мере роста облака. Сверяйте состав модулей конкретного продукта и его статус в реестре отечественного ПО и сертификате ФСТЭК.
Как это помогает с 152-ФЗ?
Эти классы дают то, что требует закон: знание, где лежат персональные данные, кто к ним имеет доступ и как они защищены. Классификация и аудит закрывают обнаружение ПДн, DAG — минимизацию доступа, DSPM — защищённость облака и БД.
Где сравнить конкретных вендоров?
В рейтинге DSPM, DCAP и DAG — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
DCAP, DSPM и DAG — три смежных класса защиты данных, которые часто путают между собой и с DLP. Если коротко: **DLP** контролирует данные в движении (утечки по каналам), а эти три класса наводят порядок там, где данные хранятся. **DCAP** аудирует файловые хранилища (кто чем владеет, где лежат конфиденциальные файлы, кто к ним обращается). **DSPM** оценивает постуру данных в облаке и базах данных (где данные, как защищены, где нарушения). **DAG** управляет правами доступа к данным (кто, к чему и почему имеет доступ, выявление избыточных прав). **Если коротко:** это не конкуренты, а слои одной задачи — навести порядок в данных «в покое» и дополнить DLP, который смотрит за данными «в движении». DCAP закрывает файловые шары и СХД, DSPM — облако и БД, DAG — права доступа. Вместе с DLP они дают полный контур. Ниже — что делает каждый класс, таблица сравнения, чек-лист «что внедрять первым» и связь с требованиями 152-ФЗ. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге DSPM, DCAP и DAG](/rating/data-security-dspm-dcap-dag).