Журнал "Information Security/ Информационная безопасность" #4, 2025

чики стали формулировать запросы иначе. Если раньше вопрос звучал как "обязательно ли нам это нужно?", то теперь звучит "с кем и как мы можем это внедрить?". Эта трансформация отражает изменение восприятия: SIEM перестает быть чужим инструментом и становится частью реальной работы. Второй важный момент – рост сер- висных контрактов. Сегодня уже более половины внедрений сопровождаются услугами по сопровождению и монито- рингу. Это прямое следствие кадрового дефицита. Организации понимают: система без специалистов останется мертвой, и сразу закладывают расходы на сервис. Формально времени до 1 марта 2026 г., когда вступает в силу приказ № 117, достаточно. Но в российской практике это иллюзия. Бюджетные заявки подаются осенью, согласования затягиваются на месяцы, а новые про- екты стартуют только весной. Если орга- низация не начнет сейчас, она рискует просто не уложиться в цикл. И тогда вместо работающей системы будет лишь формальное выполнение требований – это максимум. Опыт показывает: пилот SIEM можно запустить за два-три месяца. Но пило- тирование или полноценное внедрение собственными силами, включая интег- рацию источников, настройку корреля- ций, обучение персонала, занимает от восьми месяцев до года. Если начать в 2026 г., времени точно не хватит. Поэтому логично начинать пилот уже в 2025-м, чтобы к дедлайну иметь рабо- тающую систему. Дополнительная сложность – органи- зационная инерция. Даже если система установлена, ее еще нужно встроить в процессы. Это означает необходимость изменений в должностных инструкциях, создании регламентов реагирования, налаживании взаимодействия с руко- водством. Эти шаги часто занимают не меньше времени, чем техническое внед- рение. Поэтому ранний старт – необхо- димый фактор успеха. Эволюция функционала SIEM Приказ № 117 не диктует радикальных изменений в функционале, но ускоряет эволюцию. Вендоры дорабатывают кон- некторы к новым системам: медицин- ским ИС, ГИС ЖКХ, транспортным плат- формам. В одном из регионов SIEM уже интегрировали с системой учета топлива в автопарке, что позволило выявлять подозрительные операции. В другом – подключили контроллеры доступа в шко- лах, чтобы фиксировать аномальные события. Еще один пример – интеграция SIEM с BI-системами. На практике это позво- ляет не только выявлять инциденты, но и анализировать бизнес-процессы. Так, одна компания использовала SIEM для анализа производительности сотрудни- ков, выявляя не только попытки нару- шений, но и сбои в работе. Это показы- вает, что SIEM постепенно выходит за рамки чисто ИБ-инструмента и превра- щается в универсальную аналитическую платформу. Отдельная тема – применение ИИ и машинного обучения. ГОСТ по ИИ для КИИ уже разрабатывается, и в ближай- шие годы он станет обязательным. Но практика показывает: внедрение ИИ без достаточного опыта может обернуться проблемами. В 2024 г. один из SOC- провайдеров сообщил о случаях, когда доля ложноположительных срабатыва- ний при использовании сырых алгорит- мов достигала 40%. Это перегружало аналитиков и снижало эффективность работы. Поэтому большинство вендоров идут по пути гибкости. ИИ внедряется как дополнительный модуль, который можно включить или отключить. Это позволяет экспериментировать, но не превращает искусственный интеллект в обязатель- ный элемент. Важно понимать: реальная ценность ИИ не в маркетинговой галоч- ке, а в снижении нагрузки на людей и повышении точности детекции. Существует и еще одна опасность. Когда регуляторика закрепляет обяза- тельность определенных технологий, рынок может перегреться. Все начнут заявлять об ИИ, даже если он реализо- ван формально. Это приведет к появле- нию множества бумажных решений, которые не приносят пользы. Поэтому здравый скепсис в отношении ИИ в SIEM сегодня абсолютно оправдан. Современный рынок ИБ движется к консолидации. С одной стороны, такие решения, как EDR, NDR и ITDR, осваи- вают функции корреляции и реагирова- ния. С другой – SIEM-вендоры выпускают собственные DLP, WAF и SOAR и объ- единяют их в единую консоль. В резуль- тате формируется экосистема, где SIEM становится ядром. Это повторяет миро- вой опыт: еще 15 лет назад McAfee и Trend Micro шли по этому пути. Сегодня российский рынок движется в том же направлении. Для заказчиков это значит упрощение работы. Вместо множества консолей они получают единый центр управления. Это снижает вероятность ошибок, повы- шает прозрачность процессов и делает безопасность более управляемой. Одна- ко не забываем про риск зависимости от одного вендора, когда производитель, понимая, что вы от него не откажетесь, может необоснованно завышать цены. Выводы и рекомендации Приказ № 117 не стал революцией, но закрепил SIEM как обя- зательный элемент инфраструктуры инфор- мационной безопасности. Для крупных компаний это лишь подтверждение выбранного курса, а для регионов – болезненный, но необходимый шаг. Спрос на SIEM растет, сервисные модели становятся нормой, рынок выходит на новый уровень зрелости. Важно, чтобы внедрение не свелось к формальной галочке. Если относиться к SIEM как к инструменту защиты и аналитики, новый приказ станет шагом к реальной безопасности, а не к отчетности ради отчетности. Пока безопасность воспринимается как навязанная обязанность, организа- ции будут тянуть время и экономить на этом важном компоненте деятельности. Но как только она начинает пониматься как элемент устойчивости и конкурен- тоспособности, подход меняется. При- каз № 117 – это шанс ускорить этот переход. И тот, кто воспользуется им вовремя, выиграет не только в глазах регулятора, но и в долгосрочной пер- спективе. Чтобы подготовиться к требованиям приказа, стоит учитывать несколько принципиальных советов: l начинайте с пилота, даже минималь- ная конфигурация даст результат и поз- волит закрепить бюджет; l закладывайтесь на использование сервисов, ведь без поддержки извне SIEM рискует превратиться в мертвую систему; l избегайте зависимости от одного вен- дора – даже если удобно работать в еди- ном окне, оставляйте пространство для альтернатив; l инвестируйте в кадры, поскольку система без специалистов бесполезна; обучение должно быть частью про- екта; l объясняйте ценность руководству – громкие утечки 2025 г. показали, что ИБ напрямую связана с деньгами, поэтому разговаривайте на языке бизнеса; l создавайте регламенты, ведь техно- логия не заменит процессов, – пропи- шите правила реагирования и взаимо- действия с руководством. l • 21 SIEM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 84 NM Реклама Рисунок: ГРОТЕК