Журнал "Information Security/ Информационная безопасность" #4, 2025

Технология SIEM в России известна уже много лет. Первые внедрения нача- лись еще в 2000-х, а за последние годы система стала без преувеличения стан- дартом для большинства крупных ком- паний. Однако рынок неоднороден. В регионах до сих пор встречаются орга- низации, у которых нет ни централизо- ванного мониторинга, ни элементарных средств управления событиями. Приказ ФСТЭК России № 117 от 11.04.2025 "Об утверждении требований о защите информации, содержащейся в государст- венных информационных системах, иных информационных системах государст- венных органов, государственных уни- тарных предприятий, государственных учреждений" 1 в очередной раз подчерк- нул этот разрыв и потребовал его сокра- щения. Кого задели изменения? Для федеральных ведомств и корпо- раций приказ не стал сюрпризом. Они давно выстраивают SOC, имеют бюд- жеты и кадры. Более того, многие круп- ные компании давно используют SIEM не только для соответствия требованиям, но и для реального контроля над инци- дентами. Для них изменения в норма- тивке означают лишь корректировку уже существующих процессов. Совсем иная ситуация в регионах. По данным исследований, к концу 2023 г. чуть больше половины организаций в России внедрили или находились в про- цессе внедрения SIEM 2 . Среди муници- пальных структур доля, по-видимому, существенно ниже. Это означает, что десятки тысяч школ, больниц, органов власти оказались не готовы к новому уровню требований. Они сталкиваются с двумя проблемами одновременно: отсутствием финансирования и нехват- кой специалистов. Там, где в штате есть лишь один айтишник, отвечающий и за сеть, и за компьютеры, говорить о полноценном SOC не приходится. Добавим сюда еще и фактор психоло- гического восприятия. Многие регио- нальные руководители по-прежнему счи- тают информационную безопасность второстепенной задачей, не связанной напрямую с их работой. Для них SIEM – это абстрактное требование регулятора, а не инструмент, который может реально спасти от утечек, простоя или штрафов. Приказ № 117 меняет эту картину: теперь руководителям точно придется учитывать ИБ в числе обязательных условий работы. Практические подходы: как выйти из тупика Первый барьер – деньги. Стоимость внедрения SIEM под ключ для небольшой организации исчисляется несколькими миллионами рублей, и даже пилот тре- бует ощутимых затрат. Для многих муни- ципальных структур это неподъемные суммы. Однако решения есть. Наиболее рабочий вариант – регио- нальные лицензии, этот подход реали- зуем мы в RuSIEM 3 . В ряде субъектов региональные центры информатизации или министерства цифрового развития закупают безлимитные лицензии и рас- пределяют их между подведомственны- ми организациями. Такой подход позво- ляет закрыть требования приказа без сверхнагрузки на бюджеты и обеспечи- вает единый стандарт защиты по регио- ну. В некоторых случаях этот механизм распространяется и на поддержку: регио- нальный SOC берет на себя функции мониторинга и реагирования. Другой путь – сервисная модель. Про- вайдер берет на себя внедрение, настройку и сопровождение, а заказчик оплачивает услугу по подписке. Такой вариант снижает нагрузку на бюджет и позволяет обойтись без найма редких (особенно в регионах) специалистов. Сервисные SOC уже активно предла- гаются со стороны крупных интеграторов и вендоров. Для муниципальных структур этот путь становится наиболее реали- стичным: он дешевле, быстрее и обес- печивает реальную защиту. Важно отметить, что сервисная модель выгодна не только с финансовой точки зрения. Она позволяет сразу же встроить систему в процесс реагирования на инциденты. Организация получает не только "коробку с лицензией", но и живую экспертизу. В условиях кадро- вого дефицита это становится едва ли не главным преимуществом. Реальные сроки и бюджетный цикл После публикации приказа мы наблю- даем, что спрос на SIEM заметно вырос. По нашим оценкам, количество заявок на пилоты летом 2025 г. увеличилось в 2–2,5 раза по сравнению с тем же периодом годом ранее. Причем заказ- 20 • СПЕЦПРОЕКТ SIEM и приказ № 117: что изменится и что делать? риказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частно- сти. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных ком- паний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обяза- тельным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены? П Максим Степченков, основатель и совладелец компании RuSIEM Фото: ПроБизнес 1 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot- 11-aprelya-2025-g-n-117 2 https://www.ptsecurity.com/ru-ru/research/analytics/siem-market-in-of-russia/ 3 https://rusiem.com/