В этой статье рассмотрим, какие решения помогают бизнесу одновременно управлять данными и обеспечивать их защиту.
Скрытые риски: что таят забытые базы и «мёртвые» учётные записи
На первый взгляд, компании уверены, что владеют всей информацией о хранимых у них данных, так как есть базы данных, системные администраторы, внутренние политики безопасности. Но стоит провести аудит общей системы работы с данными, и открываются неожиданные факты.
Многие организации годами накапливают массивы данных, которые никто не учитывает. Иногда они содержатся в старых хранилищах, которые использовались очень давно, но продолжают существовать в инфраструктуре, например, тестовые базы данных. Как правило, никто не несёт ответственности и не контролирует эти данные, а по факту они могут стать «лёгкой добычей» для злоумышленников.
Еще один риск связан с доступами. В крупных компаниях сотрудники приходят и уходят, а учетные записи в базах данных нередко продолжают существовать месяцами, а то и годами после увольнения. Формально уволенного человека уже нет в домене, но его учетная запись в базе продолжает жить своей жизнью. Кто и как использует этот доступ — неизвестно.
Так формируется поле «невидимых угроз». Данные вроде бы есть, но они никому не принадлежат, не управляются и не защищены. И именно они становятся лакомой целью для преступников.
Давление регуляторов
На бизнес всё заметнее влияет регуляторная среда. Если раньше речь шла в первую очередь о выполнении формальных требований к отчётности, то теперь регуляторы требуют системного управления данными. Банк России разработал для финансового сектора методику самооценки зрелости систем управления данными: компании должны ежегодно оценивать процессы, фиксировать уровень зрелости и передавать результаты через личный кабинет Единой платформы внешнего взаимодействия или по e-mail. При отсутствии документальных подтверждений по отдельным практикам автоматически устанавливается базовый уровень. В сферу оценки включены управление рисками и соблюдение нормативных требований к данным, что превращает работу с ними в предмет формальных KPI.
Кроме того, в 2025 году опубликованы рекомендации по процессу «Управление метаданными», которые предписывают опираться на международный стандарт ISO/IEC 11179 (ГОСТ Р ИСО/МЭК 11179). В организациях должны быть закреплены политика и стандарты, регламент процесса, бизнес-глоссарий и репозитории метаданных. Отдельный акцент делается на прослеживаемости происхождения данных (Data Lineage), прозрачности подготовки отчётности для Банка России и контроле доступа в контуре информационной безопасности.
Таким образом, давление регуляторов проявляется уже не только в форме требований к конечному результату — отчётности, но и в установке на создание полноценной системы управления данными и метаданными. Это делает работу с данными не внутренней инициативой компании, а фактором регуляторного соответствия, напрямую влияющим на устойчивость бизнеса.
Векторы угроз
Ошибочно считать, что наибольшую опасность несут хакеры, которые атакуют периметр, но по факту множество угроз исходят от тех, кому компания сама доверяет.
Точки входа разнообразны:
- системные администраторы с широкими правами;
- пользователи CRM и ERP-систем;
- непроверенные внешние разработчики, которые получают доступ к боевым базам для теста.
Каждый из этих каналов может стать источником утечки данных. И именно поэтому контроль должен быть сквозным: от внешнего периметра до отдельных SQL-запросов внутри баз данных.
Особое внимание уделяется работе с персональными данными. Именно здесь риски максимальны: данные клиентов или сотрудников используются в самых разных процессах, от бухгалтерии до разработки новых продуктов.
Единое управление данными и безопасностью
Для управления данными часто компании используют корпоративный каталог данных — своего рода «библиотеку знаний», где фиксируются все источники, термины, владельцы и связи. Этот инструмент удобен для аналитиков и менеджеров, но для его полноценной работы необходима постоянная актуализация. В современных подходах роль каталога выходит за рамки справочника. Он становится реестром политик и рисков — data risk catalog, который безопасники могут использовать как отправную точку для построения программы защиты данных. Для них это готовая карта, а для бизнеса — понятная витрина доверия к данным.
Для эффективной защиты данных одновременно применяются системы мониторинга и классификации, которые автоматически выявляют чувствительную информацию в базах данных. Интеграция этих подходов позволяет отказаться от ручной разметки: результаты сканирования автоматически передаются в каталог, где формируется целостная картина. В итоге бизнес получает не просто технический контроль, а единое окно управления данными. Руководители при этом видят, где именно хранятся персональные сведения, как они используются, какие инциденты происходят и кто несёт за них ответственность.
Более того, именно бизнес выступает драйвером таких изменений. Руководители понимают: даже 1% некорректных данных, например, в кредитных заявках может привести к потерям, измеряемым десятками процентов выручки. Поэтому именно бизнес требует от безопасников опираться на карты данных, чтобы обеспечить как их качество, так и защиту.
Эффективная программа защиты данных строится поэтапно. В начале проводится аудит дата-ландшафта: компании получают полную картину того, какие данные они хранят, где именно возникают риски и каково их текущее состояние. На основе этой информации формируются конкретные задачи и практики, которые ложатся в основу программы защиты. Следующий шаг — определение требований к качеству данных и ключевых показателей и их фиксация в договорах и системах оценки.
Далее компания выстраивает управление полным жизненным циклом защиты данных: от политики и регламентов до работы с инцидентами. Параллельно внедряется постоянный мониторинг, позволяющий отслеживать как показатели качества, так и реальные инциденты. Важным элементом становится контекстная аналитика, которая объединяет сферу информационной безопасности и управление качеством данных.
Автоматизация управления инцидентами делает процесс защиты данных прозрачным и удобным. Как только в компании фиксируется событие, оно попадает в каталог данных и становится частью общего отчёта. Система автоматически сопоставляет его с картой рисков, что позволяет сразу понять, насколько инцидент серьёзен и какие данные находятся под угрозой. После этого принимается решение: эскалировать проблему для дальнейших действий или закрыть её. Если выясняется, что тревога ложная, корректируются политики безопасности, чтобы избежать повторений. Такой подход помогает бизнесу не тратить ресурсы на ручную проверку, ускоряет реакцию на реальные угрозы и снижает издержки, связанные с простоями и потерей доверия.
Будущее: от контроля к доверию, новые роли и ответственность
Управление данными требует не только технологий, но и новых ролей. Сегодня все чаще говорят о появлении Security Data Steward — специалиста, который совмещает компетенции в безопасности и управлении данными. Его задача не просто вести каталог, но и обеспечивать корректность разметки, контролировать риски, взаимодействовать с владельцами бизнес-процессов и службой ИБ. По сути, это человек, который связывает мир данных и мир безопасности.
Перспектива развития здесь связана с автоматизацией. В каталогах появляются модули на основе машинного обучения, которые помогают выявлять риски и формировать гипотезы. Но окончательные решения по-прежнему останутся за людьми.
Следующий шаг — автоматическая актуализация политик безопасности. Сегодня главная проблема состоит в «деградации политик», когда меры защиты устаревают быстрее, чем меняются данные.
Еще один тренд — переход к единому представлению о доверии к данным. Руководители хотят видеть не технические логи, а наглядные «лендинги» — простые индикаторы того, где происходят инциденты, какие процессы под угрозой, какие данные заслуживают доверия. Именно это становится предметом диалога между бизнесом и безопасностью.
Важно, что такой подход агностичен к конкретным вендорам и инструментам: карты рисков и методология могут быть интегрированы с любыми системами мониторинга и защиты.
Инвентаризация и защита данных больше не могут рассматриваться как узкотехнические задачи. Это вопрос доверия, устойчивости и конкурентоспособности бизнеса. Истории из практики показывают, что угрозы чаще всего исходят изнутри. Законодательство усиливает давление и требует от компаний конкретных действий. А современные решения позволяют объединить управление и безопасность в единую систему, в центре которой стоит доверие к данным и их ценность для бизнеса.
Автор статьи:
Денис Кириченко
Архитектор решений, DataCatalog (входит в Группу Arenadata)
Источник: CyberMedia