исследование 3 июня 2026

Рейтинг российских DAM-систем: Гарда БД, DataSapience

DAM-система (Database Activity Monitoring) контролирует обращения к базам данных: фиксирует SQL-запросы, привилегированный доступ, аномалии и потенциальные утечки — независимо от штатного аудита самой СУБД. После ухода Imperva и IBM Guardium российский рынок защиты баз данных пересобрался на отечественных продуктах, и к 2026 году по ним уже можно выбирать осознанно — по архитектуре перехвата трафика, глубине разбора протоколов СУБД, производительности под нагрузкой и статусу в реестрах. **Если коротко:** «рейтинг» DAM имеет смысл строить не по громкости бренда, а по проверяемым критериям — полнота аудита, влияние на продуктив, поддержка ваших СУБД, сертификация и подтверждённые внедрения. Ниже — критерии сравнения и ориентир по российским вендорам (Гарда БД, DataSapience и др.) без баллов и мест. Сами места и подтверждённые сигналы смотрите в [рейтинге защиты баз данных и DAM](/rating/database-security-db-activity-monitoring).

8 мин. чтения Блоки данных: 7 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Рейтинг российских DAM-систем: Гарда БД, DataSapience — Тематическая иллюстрация к исследованию: Рейтинг российских DAM-систем: Гарда БД, DataSapience. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое DAM и зачем «рейтинг» именно по критериям

Database Activity Monitoring решает задачу, которую штатные средства СУБД закрывают лишь частично: непрерывный аудит обращений к данным, контроль действий администраторов и привилегированных пользователей, выявление аномалий (нетипичные выборки, массовые выгрузки, доступ в нерабочее время) и реакция на инциденты. Это базовый слой защиты персональных данных и коммерческой тайны и частый пункт требований регуляторов.

Поэтому «рейтинг российских DAM-систем» корректно собирать как набор критериев, а не как список «победителей». Один и тот же продукт может быть лучшим выбором для банка с десятками кластеров СУБД и избыточным — для одного сервера 1С. На этой странице — критерии и ориентир по рынку; ранжирование конкретных компаний по подтверждённым фактам вынесено на [pillar-страницу рейтинга](/rating/database-security-db-activity-monitoring).

DAM в России: коротко по сути

Что контролирует DAM SQL-трафик и доступ к СУБД

Запросы, привилегии, аномалии, выгрузки

Ушли с рынка Imperva, IBM Guardium

Поставки и поддержка в РФ свёрнуты

Где проверять статус 2 реестра

reestr.digital.gov.ru и reestr.fstec.ru

Типичный пилот 2–4 нед.

Замер влияния на продуктив под боевой нагрузкой

Критерии сравнения DAM-систем

Это рабочий каркас для сравнения. По нему имеет смысл прогонять любого кандидата перед пилотом и тендером:

- **Способ перехвата трафика.** Сетевой сниффинг (зеркалирование/SPAN), агент на хосте СУБД или прокси «в разрыв». От этого зависят полнота аудита и влияние на продуктив. - **Полнота аудита.** Видит ли система локальные подключения и действия администратора на самом сервере, а не только сетевые сессии — частый «слепой угол». - **Поддержка ваших СУБД.** PostgreSQL и его сборки, Oracle, MS SQL, MySQL/MariaDB, ClickHouse, отечественные СУБД — глубина разбора диалекта, а не только факт «поддержки». - **Влияние на производительность.** Задержки и нагрузка под боевым профилем запросов; проверяется только замером, паспортных цифр недостаточно. - **Аналитика и реакция.** Поведенческие модели, политики блокировки/тревог, маскирование, интеграция с SIEM и заведение инцидентов. - **Масштаб и отказоустойчивость.** Десятки кластеров, распределённые площадки, отказоустойчивый сбор и хранение событий. - **Комплаенс.** Наличие в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу (152-ФЗ, КИИ, требования к АСЗИ).

Кто представлен на российском рынке DAM

Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/database-security-db-activity-monitoring). Цель таблицы — показать, чем продукты различаются по позиционированию и фокусу.

Решение	Вендор	Позиционирование	Фокус
Гарда БД	Гарда (ГК «Гарда»)	Зрелый DAM/DBF с сетевым перехватом	Аудит и защита СУБД в enterprise и КИИ
DataSapience	DataSapience	Платформа защиты и маскирования данных	DAM + маскирование, контроль доступа к данным
СУБД-аудит на базе DBF	Профильные ИБ-вендоры	Межсетевой экран уровня СУБД (DBF)	Блокировка опасных запросов «в разрыв»
DAM в составе DLP/DCAP	Платформенные вендоры	Контроль данных как часть портфеля	Связка с DLP, классификацией и DCAP

Чем российский DAM отличается от Imperva и Guardium на практике

Функционально ведущие отечественные DAM закрывают тот же контур, что Imperva SecureSphere или IBM Guardium: перехват и аудит SQL-трафика, контроль привилегированного доступа, поведенческая аналитика, политики тревог и блокировки, маскирование, интеграция с SIEM. Разница — в деталях, которые и определяют успех миграции:

- **Глубина разбора протоколов СУБД.** Поддержка диалектов и версий, корректный парсинг сложных запросов и процедур — проверяется на вашем реальном трафике. - **Контроль локального доступа.** Видимость действий администратора на самом хосте СУБД, а не только сетевых сессий, — частый разрыв между паспортом и практикой. - **Влияние на продуктив.** Архитектура перехвата напрямую бьёт по задержкам; для ДБО и биллинга это критично. - **Масштабирование сбора.** Поведение на десятках кластеров и распределённых площадках, отказоустойчивость хранилища событий. - **Комплаенс по-российски.** Наличие в реестре и сертификат ФСТЭК — у западных решений этого нет в принципе, у российских это входной барьер для КИИ и госсектора.

Зрелость класса российских DAM по функциям

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем трафике.

Аудит SQL-трафика 90 /100

90 /100

Поддержка распространённых СУБД 85 /100

85 /100

Контроль привилегированного доступа 85 /100

85 /100

Интеграция с SIEM 85 /100

85 /100

Поведенческая аналитика и аномалии 80 /100

80 /100

Контроль локального доступа на хосте 75 /100

75 /100

Маскирование данных 75 /100

75 /100

Блокировка запросов «в разрыв» (DBF) 70 /100

70 /100

Способы перехвата трафика: как выбрать архитектуру

Влияние на продуктив (выше — заметнее) Полнота контроля (выше — больше)

Сетевой сниффинг (SPAN) Минимум влияния, но не видит локальный доступ

Агент на хосте СУБД Полный контроль, включая локальные действия

Прокси «в разрыв» (DBF) Может блокировать запросы, но добавляет задержки

Чтение журналов СУБД Просто, но аудит неполный и с задержкой

Чек-лист выбора DAM под замену

Зафиксируйте парк СУБД типы, версии, число серверов/кластеров и распределённые площадки.

Снимите профиль нагрузки пиковый QPS, доля тяжёлых запросов, требования к задержкам.

Выберите способ перехвата сниффинг, агент или прокси под вашу полноту аудита и допустимое влияние на продуктив.

Проверьте контроль локального доступа видит ли система действия администратора на самом хосте.

Сверьте поддержку диалектов глубину разбора именно ваших СУБД, а не общий список.

Проверьте реестр и сертификат ФСТЭК под вашу задачу (152-ФЗ, КИИ, класс АСЗИ).

Заложите пилот на боевом трафике 2–4 недели с замером влияния на продуктив до тендера.

Сравните вендоров по подтверждённым внедрениям в [рейтинге DAM](/rating/database-security-db-activity-monitoring).

План перехода с Imperva / Guardium: 6 шагов

01 Инвентаризация
Выгрузите политики аудита, правила тревог и список защищаемых СУБД с Imperva / Guardium.
02 Профилирование нагрузки
Снимите реальный SQL-трафик и требования к задержкам — это вход для выбора архитектуры перехвата.
03 Шорт-лист и пилот
2–3 кандидата, пилот на копии трафика, замер полноты аудита и влияния на продуктив.
04 Перенос политик
Конвертация правил аудита и тревог, чистка устаревших, проверка покрытия привилегированного доступа.
05 Параллельный режим
Сбор в режиме мониторинга, сверка событий с прежней системой, обкатка интеграции с SIEM.
06 Переключение и вывод
Поэтапный перевод СУБД на новую систему, контроль инцидентов, вывод западного решения из эксплуатации.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом DAM](/rating/database-security-db-activity-monitoring): здесь — критерии и рынок, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг защиты баз данных и DAM →](/rating/database-security-db-activity-monitoring)**. Полезно прочитать рядом: [чем заменить Imperva и IBM Guardium](/research/zamena-imperva-guardium-dam), [как устроен аудит запросов к СУБД](/research/kak-rabotaet-dam-audit-sql) и [защита баз данных в банке](/research/zashchita-baz-dannyh-bank).

Частые вопросы

Чем DAM отличается от штатного аудита самой СУБД?

Штатный аудит включается внутри СУБД, нагружает её и может быть отключён администратором — тем, чьи действия как раз и нужно контролировать. DAM собирает события независимо (сетевой перехват или отдельный агент), хранит их вне СУБД и видит привилегированный доступ, давая полноценный и неотключаемый аудит.

Чем заменить Imperva и IBM Guardium в России?

Поставки и поддержка обоих в РФ свёрнуты, поэтому замену ищут среди отечественных DAM/DBF — ориентир по рынку приведён выше (Гарда БД, DataSapience и др.). Конкретные места и подтверждённые сигналы смотрите в рейтинге защиты баз данных, а актуальный статус — в реестрах Минцифры и ФСТЭК.

Сильно ли DAM замедляет работу базы данных?

Зависит от способа перехвата. Сетевой сниффинг практически не влияет на продуктив, но не видит локальные подключения; агент и особенно прокси «в разрыв» дают больше контроля ценой дополнительных задержек. Поэтому влияние на производительность проверяют замером на боевом трафике, а не по паспорту.

Что важнее при выборе — сертификат ФСТЭК или функциональность?

Оба фактора, но в разном порядке для разных задач. Для значимых объектов КИИ и обработки персональных данных наличие в реестре и сертификат — входной барьер; дальше решают полнота аудита, поддержка ваших СУБД и влияние на продуктив.

Где сравнить конкретных вендоров между собой?

В рейтинге защиты баз данных и DAM — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг защиты баз данных и DAM Сравнить поставщиков по подтверждённым сигналам Чем заменить Imperva и IBM Guardium для защиты баз данных Database Activity Monitoring: как устроен аудит запросов к СУБД Защита баз данных в банке: DAM, маскирование и контроль доступа