[Документация Yandex Cloud](../../index.md) > [Yandex Security Deck](../index.md) > [Концепции](index.md) > Контроль данных (DSPM)

# Модуль контроля данных (DSPM)

[Модуль контроля данных](https://center.yandex.cloud/security/dspm/) или DSPM (Data Security Posture Management) — это инструмент, помогающий оперативно обнаруживать чувствительную информацию, сохраненную в [бакетах](../../storage/concepts/bucket.md) Yandex Object Storage и на дисках в Яндекс 360. Это позволит своевременно настраивать [политики доступа](../../storage/concepts/policy.md), обезличивать данные и принимать другие меры защиты.

Доступно два режима работы DSPM: [непрерывное сканирование изменений](#change-scaning) на основе [анализа данных](#discovery-mode) и [регулярное сканирование](#scanning). Для управления каждым режимом в консоли управления используется отдельный интерфейс.


## Анализ данных {#discovery-mode}

{% note info %}

Доступно в интерфейсе v2.0.

{% endnote %}

Первый этап работы DSPM — *анализ данных*. Основная задача анализа — автоматически находить, идентифицировать и каталогизировать ресурсы, в которых потенциально могут находиться чувствительные данные, в пределах выбранного [окружения](workspace.md). 

Анализ запускается автоматически после активации модуля контроля данных при создании или редактировании окружения.

Результаты анализа предоставляют полную картину расположения данных в вашем облаке. Исходя из этой информации, вы можете точно определить и добавить ключевые *области сканирования* для постоянного контроля.

Результаты анализа данных вы можете [сохранить](../operations/dspm/discovery-mode.md#save-results) в локальный файл или [бакет](../../storage/concepts/bucket.md) Yandex Object Storage.


## Непрерывное сканирование изменений {#change-scaning}

{% note info %}

Доступно в интерфейсе v2.0.

{% endnote %}

Для начала сканирования нужно создать область сканирования. Область сканирования может содержать сразу несколько групп ресурсов. Для каждой группы можно выбрать все ресурсы окружения или только нужные:
* [облака](../../resource-manager/concepts/resources-hierarchy.md#cloud) Yandex Cloud;
* [каталоги](../../resource-manager/concepts/resources-hierarchy.md#folder) Yandex Cloud;
* бакеты Object Storage.

При необходимости можно настроить фильтры для файлов в каждой группе:

* выбрать форматы;
* ограничить минимальный и максимальный размер;
* задать регулярное выражение для пути. 

Дополнительно можно указать [категории данных](#data-categories) для поиска отдельно в тексте и на изображениях.

После создания области сканирования DSPM будет непрерывно отслеживать эти области на предмет появления или изменения чувствительных данных, обеспечивая их постоянную защиту.

При первом запуске модуль выполняет полное сканирование всех данных в бакетах окружения. Этот процесс может занять некоторое время, так как обрабатывается весь объем данных.

Дальше модуль работает эффективнее: сканируются только измененные или новые файлы. Это ускоряет процесс и снижает нагрузку на ресурсы.


## Регулярное сканирование {#scanning}

{% note info %}

Доступно в интерфейсе v1.0.

{% endnote %}

DSPM находит чувствительную информацию в бакетах и на дисках с помощью сканирования _источников данных_. Сканирование можно выполнять как однократно, так и по заданному расписанию.

Сканирование на наличие чувствительной информации выполняется от имени [сервисного аккаунта](../../iam/concepts/users/service-accounts.md).

Чтобы [создать сканирование](../operations/dspm/create-scan.md), пользователь должен обладать [ролью](../security/dspm-roles.md#dspm-editor) `dspm.editor` на каталог, [заданный](../quickstart-overview.md#configure-sd) в настройках Security Deck в качестве хранилища по умолчанию, а также [ролью](../../iam/security/index.md#iam-serviceAccounts-user) `iam.serviceAccounts.user` на сервисный аккаунт, от имени которого будет выполняться сканирование.

{% note warning %}

Для выполнения сканирования сервисному аккаунту должна быть [назначена](../../iam/operations/sa/assign-role-for-sa.md) [роль](../security/dspm-roles.md#dspm-worker) `dspm.worker` на все сканируемые бакеты. Если бакеты [зашифрованы](../../storage/concepts/encryption.md), сервисному аккаунту также необходима [роль](../../kms/security/index.md#kms-keys-decrypter) `kms.keys.decrypter` на соответствующие [ключи шифрования](../../kms/concepts/key.md) Yandex Key Management Service.

{% endnote %}

Прежде чем начать сканирование, необходимо выбрать источник данных и задать _категории данных_ для поиска.

### Источник данных {#data-source}

Источник данных содержит настройки и информацию о _ресурсах_, в которых будет выполняться сканирование:

* бакетах Object Storage;
* [каталогах](../../resource-manager/concepts/resources-hierarchy.md#folder) Yandex Cloud;
* [облаках](../../resource-manager/concepts/resources-hierarchy.md#cloud) Yandex Cloud;
* [общих дисках](https://yandex.ru/support/yandex-360/business/disk/web/ru/share/shared-disks) Яндекс 360;
* [общих папках](https://yandex.ru/support/yandex-360/business/disk/web/ru/share/shared-folders) Яндекс 360.

При добавлении в источник данных каталогов и облаков в сканирование попадут бакеты выбранных типов, имеющиеся в выбранных облаках и/или каталогах. При этом будут сканироваться не только те бакеты, которые существуют в выбранных облаках и каталогах в момент создания источника данных, но и бакеты, которые в них могут появиться позднее — к моменту выполнения сканирования.

Для источника данных вы можете задать следующие области сканирования:

* `Все файлы` — чтобы при сканировании проверялись все файлы, сохраненные в бакетах.
* `DOC / TXT` — чтобы при сканировании проверялись текстовые файлы с расширениями `.doc`, `.docx` и `.txt`.
* `XLS / CSV` — чтобы при сканировании проверялись табличные файлы с расширениями `.xls`, `.xlsx` и `.csv`.
* `PPT` — чтобы при сканировании проверялись файлы презентаций с расширениями `.ppt` и `.pptx`.
* `PDF` — чтобы при сканировании проверялись документы с расширением `.pdf`.
* `HTML / XML` — чтобы при сканировании проверялись файлы с расширениями `.html` и `.xml`.
* `Изображения` — чтобы при сканировании проверялись изображения с расширениями `.jpg`, `.jpeg`, `.png`, `.gif`, `.webp` и `.svg`.
* `Свой фильтр` — чтобы при сканировании проверялись файлы, имена которых соответствуют или не соответствуют заданным шаблонам:

    * **Имя файла содержит** — задайте шаблон, которому должны соответствовать имена файлов, проверяемые при сканировании.
    * **Имя файла не содержит** — задайте шаблон, которому должны соответствовать имена файлов, игнорируемые при сканировании.

    Шаблоны задаются в форме [регулярных выражений](https://ru.wikipedia.org/wiki/Регулярные_выражения) с использованием синтаксиса [RE2](https://github.com/google/re2/wiki/Syntax). Вы можете задать шаблоны в обоих полях, в этом случае выборка файлов при сканировании будет осуществляться с логикой `И`.

Вы можете выбрать одновременно несколько фильтров, при этом фильтры будут применяться с логикой `ИЛИ`.

Вы можете добавить в один источник данных одновременно несколько бакетов, каталогов и/или облаков, а также создать в источнике данных одновременно несколько групп ресурсов с разными настройками области сканирования. Вы также можете добавить один бакет одновременно в несколько источников данных с разными настройками области сканирования.

## Категории данных {#data-categories}

При создании нового сканирования вы можете указать категории данных для поиска отдельно в тексте и на изображениях.

Вы можете выбрать как все доступные категории одновременно, так и любую их комбинацию.

Доступные категории данных для сканирования:

* **В тексте**:
  * `Персональные данные` — ФИО, адреса электронной почты, номера телефонов, СНИЛС.
  * `Финансовые данные` — данные банковских карт.
  * `Секреты` — облачные ключи доступа, пароли, токены, SSH-ключи и т. п.
* **На изображениях**:
  * `Персональные данные` — ФИО, адреса электронной почты, номера телефонов, СНИЛС.
  * `Финансовые данные` — данные банковских карт.
  * `Медицинские данные` — данные медицинских документов и снимков.
  * `Прочее` — данные личных документов: военных билетов, пенсионных удостоверений, документов об образовании и т.п.

Для того чтобы создавать источники данных, создавать и запускать сканирования, а также просматривать результаты сканирования, пользователю должны быть назначены соответствующие [роли](../security/index.md).

### Пользовательские словари {#custom-dictionaries}

{% note info %}

Функциональность доступна только при выборе [подписки с фиксированным объемом сканирования](../pricing.md#dspm-package-subscription).

{% endnote %}

Вы можете запросить добавление собственных ключевых слов и шаблонов для поиска. Это позволяет обнаруживать специфичные данные, такие как:

* внутренняя документация и корпоративная тайна;
* уникальные идентификаторы продуктов или проектов;
* специфичные шаблоны конфиденциальных данных, не входящие в стандартные классификаторы.

Чтобы подключить пользовательский словарь, оставьте заявку при [создании](../operations/dspm/create-scan.md#object-storage) сканирования для Object Storage или через [форму](https://forms.yandex.ru/surveys/13835302.f77819f788eb2cd7df871cd6f8523fe29c5e4c23/). В заявке укажите контактные данные, название словаря, примеры ключевых слов или регулярных выражений и описание типа данных, которые должен обнаруживать этот словарь. Специалисты обработают заявку и свяжутся с вами для уточнения деталей и информирования о результате.

#### Полезные ссылки {#see-also}

* [Подготовить данные для сканирования в DSPM](../operations/dspm/create-data-source.md)
* [Создать сканирование DSPM](../operations/dspm/create-scan.md)