Контакты
Подписка 2026

SIEM и приказ № 117: что изменится и что делать?

Максим Степченков, 25/09/25

Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?

Автор: Максим Степченков, основатель и совладелец компании RuSIEM

ris1_w-Sep-25-2025-03-32-14-9476-PM

Технология SIEM в России известна уже много лет. Первые внедрения начались еще в 2000-х, а за последние годы система стала без преувеличения стандартом для большинства крупных компаний. Однако рынок неоднороден. В регионах до сих пор встречаются организации, у которых нет ни централизованного мониторинга, ни элементарных средств управления событиями. Приказ ФСТЭК России № 117 от 11.04.2025 "Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" [1] в очередной раз подчеркнул этот разрыв и потребовал его сокращения.

Кого задели изменения?

Для федеральных ведомств и корпораций приказ не стал сюрпризом. Они давно выстраивают SOC, имеют бюджеты и кадры. Более того, многие крупные компании давно используют SIEM не только для соответствия требованиям, но и для реального контроля над инцидентами. Для них изменения в нормативке означают лишь корректировку уже существующих процессов.

Совсем иная ситуация в регионах. По данным исследований, к концу 2023 г. чуть больше половины организаций в России внедрили или находились в процессе внедрения SIEM [2]. Среди муниципальных структур доля, по-видимому, существенно ниже. Это означает, что десятки тысяч школ, больниц, органов власти оказались не готовы к новому уровню требований. Они сталкиваются с двумя проблемами одновременно: отсутствием финансирования и нехваткой специалистов. Там, где в штате есть лишь один айтишник, отвечающий и за сеть, и за компьютеры, говорить о полноценном SOC не приходится.

Добавим сюда еще и фактор психологического восприятия. Многие региональные руководители по-прежнему считают информационную безопасность второстепенной задачей, не связанной напрямую с их работой. Для них SIEM – это абстрактное требование регулятора, а не инструмент, который может реально спасти от утечек, простоя или штрафов. Приказ № 117 меняет эту картину: теперь руководителям точно придется учитывать ИБ в числе обязательных условий работы.

Практические подходы: как выйти из тупика

Первый барьер – деньги. Стоимость внедрения SIEM под ключ для небольшой организации исчисляется несколькими миллионами рублей, и даже пилот требует ощутимых затрат. Для многих муниципальных структур это неподъемные суммы. Однако решения есть.

Наиболее рабочий вариант – региональные лицензии, этот подход реализуем мы в RuSIEM [3]. В ряде субъектов региональные центры информатизации или министерства цифрового развития закупают безлимитные лицензии и распределяют их между подведомственными организациями. Такой подход позволяет закрыть требования приказа без сверхнагрузки на бюджеты и обеспечивает единый стандарт защиты по региону. В некоторых случаях этот механизм распространяется и на поддержку: региональный SOC берет на себя функции мониторинга и реагирования.

Другой путь – сервисная модель. Провайдер берет на себя внедрение, настройку и сопровождение, а заказчик оплачивает услугу по подписке. Такой вариант снижает нагрузку на бюджет и позволяет обойтись без найма редких (особенно в регионах) специалистов. Сервисные SOC уже активно предлагаются со стороны крупных интеграторов и вендоров. Для муниципальных структур этот путь становится наиболее реалистичным: он дешевле, быстрее и обеспечивает реальную защиту.

Важно отметить, что сервисная модель выгодна не только с финансовой точки зрения. Она позволяет сразу же встроить систему в процесс реагирования на инциденты. Организация получает не только "коробку с лицензией", но и живую экспертизу. В условиях кадрового дефицита это становится едва ли не главным преимуществом.

Реальные сроки и бюджетный цикл

После публикации приказа мы наблюдаем, что спрос на SIEM заметно вырос. По нашим оценкам, количество заявок на пилоты летом 2025 г. увеличилось в 2–2,5 раза по сравнению с тем же периодом годом ранее. Причем заказ2

чики стали формулировать запросы иначе. Если раньше вопрос звучал как "обязательно ли нам это нужно?", то теперь звучит "с кем и как мы можем это внедрить?". Эта трансформация отражает изменение восприятия: SIEM перестает быть чужим инструментом и становится частью реальной работы.

Второй важный момент – рост сервисных контрактов. Сегодня уже более половины внедрений сопровождаются услугами по сопровождению и мониторингу. Это прямое следствие кадрового дефицита. Организации понимают: система без специалистов останется мертвой, и сразу закладывают расходы на сервис.

Формально времени до 1 марта 2026 г., когда вступает в силу приказ № 117, достаточно. Но в российской практике это иллюзия. Бюджетные заявки подаются осенью, согласования затягиваются на месяцы, а новые проекты стартуют только весной. Если организация не начнет сейчас, она рискует просто не уложиться в цикл. И тогда вместо работающей системы будет лишь формальное выполнение требований – это максимум.

Опыт показывает: пилот SIEM можно запустить за два-три месяца. Но пилотирование или полноценное внедрение собственными силами, включая интеграцию источников, настройку корреляций, обучение персонала, занимает от восьми месяцев до года. Если начать в 2026 г., времени точно не хватит. Поэтому логично начинать пилот уже в 2025-м, чтобы к дедлайну иметь работающую систему.

Дополнительная сложность – организационная инерция. Даже если система установлена, ее еще нужно встроить в процессы. Это означает необходимость изменений в должностных инструкциях, создании регламентов реагирования, налаживании взаимодействия с руководством. Эти шаги часто занимают не меньше времени, чем техническое внедрение. Поэтому ранний старт – необходимый фактор успеха.

Эволюция функционала SIEM

Приказ № 117 не диктует радикальных изменений в функционале, но ускоряет эволюцию. Вендоры дорабатывают коннекторы к новым системам: медицинским ИС, ГИС ЖКХ, транспортным платформам. В одном из регионов SIEM уже интегрировали с системой учета топлива в автопарке, что позволило выявлять подозрительные операции. В другом – подключили контроллеры доступа в школах, чтобы фиксировать аномальные события.

Еще один пример – интеграция SIEM с BI-системами. На практике это позволяет не только выявлять инциденты, но и анализировать бизнес-процессы. Так, одна компания использовала SIEM для анализа производительности сотрудников, выявляя не только попытки нарушений, но и сбои в работе. Это показывает, что SIEM постепенно выходит за рамки чисто ИБ-инструмента и превращается в универсальную аналитическую платформу.

Отдельная тема – применение ИИ и машинного обучения. ГОСТ по ИИ для КИИ уже разрабатывается, и в ближайшие годы он станет обязательным. Но практика показывает: внедрение ИИ без достаточного опыта может обернуться проблемами. В 2024 г. один из SOC-провайдеров сообщил о случаях, когда доля ложноположительных срабатываний при использовании сырых алгоритмов достигала 40%. Это перегружало аналитиков и снижало эффективность работы.

Поэтому большинство вендоров идут по пути гибкости. ИИ внедряется как дополнительный модуль, который можно включить или отключить. Это позволяет экспериментировать, но не превращает искусственный интеллект в обязательный элемент. Важно понимать: реальная ценность ИИ не в маркетинговой галочке, а в снижении нагрузки на людей и повышении точности детекции.

Существует и еще одна опасность. Когда регуляторика закрепляет обязательность определенных технологий, рынок может перегреться. Все начнут заявлять об ИИ, даже если он реализован формально. Это приведет к появлению множества бумажных решений, которые не приносят пользы. Поэтому здравый скепсис в отношении ИИ в SIEM сегодня абсолютно оправдан.

Современный рынок ИБ движется к консолидации. С одной стороны, такие решения, как EDR, NDR и ITDR, осваивают функции корреляции и реагирования. С другой – SIEM-вендоры выпускают собственные DLP, WAF и SOAR и объединяют их в единую консоль. В результате формируется экосистема, где SIEM становится ядром. Это повторяет мировой опыт: еще 15 лет назад McAfee и Trend Micro шли по этому пути. Сегодня российский рынок движется в том же направлении.

Для заказчиков это значит упрощение работы. Вместо множества консолей они получают единый центр управления. Это снижает вероятность ошибок, повышает прозрачность процессов и делает безопасность более управляемой. Однако не забываем про риск зависимости от одного вендора, когда производитель, понимая, что вы от него не откажетесь, может необоснованно завышать цены.

Выводы и рекомендации

Приказ № 117 не стал революцией, но закрепил SIEM как обязательный элемент инфраструктуры информационной безопасности. Для крупных компаний это лишь подтверждение выбранного курса, а для регионов – болезненный, но необходимый шаг. Спрос на SIEM растет, сервисные модели становятся нормой, рынок выходит на новый уровень зрелости. Важно, чтобы внедрение не свелось к формальной галочке. Если относиться к SIEM как к инструменту защиты и аналитики, новый приказ станет шагом к реальной безопасности, а не к отчетности ради отчетности.

Пока безопасность воспринимается как навязанная обязанность, организации будут тянуть время и экономить на этом важном компоненте деятельности. Но как только она начинает пониматься как элемент устойчивости и конкурентоспособности, подход меняется. Приказ № 117 – это шанс ускорить этот переход. И тот, кто воспользуется им вовремя, выиграет не только в глазах регулятора, но и в долгосрочной перспективе.

Чтобы подготовиться к требованиям приказа, стоит учитывать несколько принципиальных советов:

  • начинайте с пилота, даже минимальная конфигурация даст результат и позволит закрепить бюджет;
  • закладывайтесь на использование сервисов, ведь без поддержки извне SIEM рискует превратиться в мертвую систему;
  • избегайте зависимости от одного вендора – даже если удобно работать в едином окне, оставляйте пространство для альтернатив;
  • инвестируйте в кадры, поскольку система без специалистов бесполезна; обучение должно быть частью проекта;
  • объясняйте ценность руководству – громкие утечки 2025 г. показали, что ИБ напрямую связана с деньгами, поэтому разговаривайте на языке бизнеса;
  • создавайте регламенты, ведь технология не заменит процессов, – пропишите правила реагирования и взаимодействия с руководством.

  1. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot-11-aprelya-2025-g-n-117  
  2. https://www.ptsecurity.com/ru-ru/research/analytics/siem-market-in-of-russia/ 
  3. https://rusiem.com/ 
Темы:ГИСФСТЭКSIEMRuSIEmЖурнал "Информационная безопасность" №4, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе
    Максим Ежов, продакт-менеджер R-Vison SOAR
    Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
  • SOC между ОСАГО и КАСКО
    Максим Степченков, совладелец компании RuSIEM
    Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
  • Какая SIEM подойдет небольшой компании?
    Павел Пугач, системный аналитик “СёрчИнформ”
    Автоматизированный мониторинг и выявление инцидентов – ключевое преимущество SIEM-систем. При этом считается, что работать с такими решениями могут только продвинутые специалисты, а сама покупка системы и владение ею – удовольствие не из дешевых. Так ли это на самом деле? И могут ли компании малого и среднего бизнеса (МСБ) позволить себе такой ИБ-инструмент? Разберемся в этой статье.
  • Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса?
    Илья Одинцов, менеджер по продукту NGR Softlab
    Аудит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачевным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...