Максим Степченков, 25/09/25
Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?
Автор: Максим Степченков, основатель и совладелец компании RuSIEM
Технология SIEM в России известна уже много лет. Первые внедрения начались еще в 2000-х, а за последние годы система стала без преувеличения стандартом для большинства крупных компаний. Однако рынок неоднороден. В регионах до сих пор встречаются организации, у которых нет ни централизованного мониторинга, ни элементарных средств управления событиями. Приказ ФСТЭК России № 117 от 11.04.2025 "Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" [1] в очередной раз подчеркнул этот разрыв и потребовал его сокращения.
Кого задели изменения?
Для федеральных ведомств и корпораций приказ не стал сюрпризом. Они давно выстраивают SOC, имеют бюджеты и кадры. Более того, многие крупные компании давно используют SIEM не только для соответствия требованиям, но и для реального контроля над инцидентами. Для них изменения в нормативке означают лишь корректировку уже существующих процессов.
Совсем иная ситуация в регионах. По данным исследований, к концу 2023 г. чуть больше половины организаций в России внедрили или находились в процессе внедрения SIEM [2]. Среди муниципальных структур доля, по-видимому, существенно ниже. Это означает, что десятки тысяч школ, больниц, органов власти оказались не готовы к новому уровню требований. Они сталкиваются с двумя проблемами одновременно: отсутствием финансирования и нехваткой специалистов. Там, где в штате есть лишь один айтишник, отвечающий и за сеть, и за компьютеры, говорить о полноценном SOC не приходится.
Добавим сюда еще и фактор психологического восприятия. Многие региональные руководители по-прежнему считают информационную безопасность второстепенной задачей, не связанной напрямую с их работой. Для них SIEM – это абстрактное требование регулятора, а не инструмент, который может реально спасти от утечек, простоя или штрафов. Приказ № 117 меняет эту картину: теперь руководителям точно придется учитывать ИБ в числе обязательных условий работы.
Практические подходы: как выйти из тупика
Первый барьер – деньги. Стоимость внедрения SIEM под ключ для небольшой организации исчисляется несколькими миллионами рублей, и даже пилот требует ощутимых затрат. Для многих муниципальных структур это неподъемные суммы. Однако решения есть.
Наиболее рабочий вариант – региональные лицензии, этот подход реализуем мы в RuSIEM [3]. В ряде субъектов региональные центры информатизации или министерства цифрового развития закупают безлимитные лицензии и распределяют их между подведомственными организациями. Такой подход позволяет закрыть требования приказа без сверхнагрузки на бюджеты и обеспечивает единый стандарт защиты по региону. В некоторых случаях этот механизм распространяется и на поддержку: региональный SOC берет на себя функции мониторинга и реагирования.
Другой путь – сервисная модель. Провайдер берет на себя внедрение, настройку и сопровождение, а заказчик оплачивает услугу по подписке. Такой вариант снижает нагрузку на бюджет и позволяет обойтись без найма редких (особенно в регионах) специалистов. Сервисные SOC уже активно предлагаются со стороны крупных интеграторов и вендоров. Для муниципальных структур этот путь становится наиболее реалистичным: он дешевле, быстрее и обеспечивает реальную защиту.
Важно отметить, что сервисная модель выгодна не только с финансовой точки зрения. Она позволяет сразу же встроить систему в процесс реагирования на инциденты. Организация получает не только "коробку с лицензией", но и живую экспертизу. В условиях кадрового дефицита это становится едва ли не главным преимуществом.
Реальные сроки и бюджетный цикл
После публикации приказа мы наблюдаем, что спрос на SIEM заметно вырос. По нашим оценкам, количество заявок на пилоты летом 2025 г. увеличилось в 2–2,5 раза по сравнению с тем же периодом годом ранее. Причем заказ2
чики стали формулировать запросы иначе. Если раньше вопрос звучал как "обязательно ли нам это нужно?", то теперь звучит "с кем и как мы можем это внедрить?". Эта трансформация отражает изменение восприятия: SIEM перестает быть чужим инструментом и становится частью реальной работы.
Второй важный момент – рост сервисных контрактов. Сегодня уже более половины внедрений сопровождаются услугами по сопровождению и мониторингу. Это прямое следствие кадрового дефицита. Организации понимают: система без специалистов останется мертвой, и сразу закладывают расходы на сервис.
Формально времени до 1 марта 2026 г., когда вступает в силу приказ № 117, достаточно. Но в российской практике это иллюзия. Бюджетные заявки подаются осенью, согласования затягиваются на месяцы, а новые проекты стартуют только весной. Если организация не начнет сейчас, она рискует просто не уложиться в цикл. И тогда вместо работающей системы будет лишь формальное выполнение требований – это максимум.
Опыт показывает: пилот SIEM можно запустить за два-три месяца. Но пилотирование или полноценное внедрение собственными силами, включая интеграцию источников, настройку корреляций, обучение персонала, занимает от восьми месяцев до года. Если начать в 2026 г., времени точно не хватит. Поэтому логично начинать пилот уже в 2025-м, чтобы к дедлайну иметь работающую систему.
Дополнительная сложность – организационная инерция. Даже если система установлена, ее еще нужно встроить в процессы. Это означает необходимость изменений в должностных инструкциях, создании регламентов реагирования, налаживании взаимодействия с руководством. Эти шаги часто занимают не меньше времени, чем техническое внедрение. Поэтому ранний старт – необходимый фактор успеха.
Эволюция функционала SIEM
Приказ № 117 не диктует радикальных изменений в функционале, но ускоряет эволюцию. Вендоры дорабатывают коннекторы к новым системам: медицинским ИС, ГИС ЖКХ, транспортным платформам. В одном из регионов SIEM уже интегрировали с системой учета топлива в автопарке, что позволило выявлять подозрительные операции. В другом – подключили контроллеры доступа в школах, чтобы фиксировать аномальные события.
Еще один пример – интеграция SIEM с BI-системами. На практике это позволяет не только выявлять инциденты, но и анализировать бизнес-процессы. Так, одна компания использовала SIEM для анализа производительности сотрудников, выявляя не только попытки нарушений, но и сбои в работе. Это показывает, что SIEM постепенно выходит за рамки чисто ИБ-инструмента и превращается в универсальную аналитическую платформу.
Отдельная тема – применение ИИ и машинного обучения. ГОСТ по ИИ для КИИ уже разрабатывается, и в ближайшие годы он станет обязательным. Но практика показывает: внедрение ИИ без достаточного опыта может обернуться проблемами. В 2024 г. один из SOC-провайдеров сообщил о случаях, когда доля ложноположительных срабатываний при использовании сырых алгоритмов достигала 40%. Это перегружало аналитиков и снижало эффективность работы.
Поэтому большинство вендоров идут по пути гибкости. ИИ внедряется как дополнительный модуль, который можно включить или отключить. Это позволяет экспериментировать, но не превращает искусственный интеллект в обязательный элемент. Важно понимать: реальная ценность ИИ не в маркетинговой галочке, а в снижении нагрузки на людей и повышении точности детекции.
Существует и еще одна опасность. Когда регуляторика закрепляет обязательность определенных технологий, рынок может перегреться. Все начнут заявлять об ИИ, даже если он реализован формально. Это приведет к появлению множества бумажных решений, которые не приносят пользы. Поэтому здравый скепсис в отношении ИИ в SIEM сегодня абсолютно оправдан.
Современный рынок ИБ движется к консолидации. С одной стороны, такие решения, как EDR, NDR и ITDR, осваивают функции корреляции и реагирования. С другой – SIEM-вендоры выпускают собственные DLP, WAF и SOAR и объединяют их в единую консоль. В результате формируется экосистема, где SIEM становится ядром. Это повторяет мировой опыт: еще 15 лет назад McAfee и Trend Micro шли по этому пути. Сегодня российский рынок движется в том же направлении.
Для заказчиков это значит упрощение работы. Вместо множества консолей они получают единый центр управления. Это снижает вероятность ошибок, повышает прозрачность процессов и делает безопасность более управляемой. Однако не забываем про риск зависимости от одного вендора, когда производитель, понимая, что вы от него не откажетесь, может необоснованно завышать цены.
Выводы и рекомендации
Приказ № 117 не стал революцией, но закрепил SIEM как обязательный элемент инфраструктуры информационной безопасности. Для крупных компаний это лишь подтверждение выбранного курса, а для регионов – болезненный, но необходимый шаг. Спрос на SIEM растет, сервисные модели становятся нормой, рынок выходит на новый уровень зрелости. Важно, чтобы внедрение не свелось к формальной галочке. Если относиться к SIEM как к инструменту защиты и аналитики, новый приказ станет шагом к реальной безопасности, а не к отчетности ради отчетности.
Пока безопасность воспринимается как навязанная обязанность, организации будут тянуть время и экономить на этом важном компоненте деятельности. Но как только она начинает пониматься как элемент устойчивости и конкурентоспособности, подход меняется. Приказ № 117 – это шанс ускорить этот переход. И тот, кто воспользуется им вовремя, выиграет не только в глазах регулятора, но и в долгосрочной перспективе.
Чтобы подготовиться к требованиям приказа, стоит учитывать несколько принципиальных советов:
- начинайте с пилота, даже минимальная конфигурация даст результат и позволит закрепить бюджет;
- закладывайтесь на использование сервисов, ведь без поддержки извне SIEM рискует превратиться в мертвую систему;
- избегайте зависимости от одного вендора – даже если удобно работать в едином окне, оставляйте пространство для альтернатив;
- инвестируйте в кадры, поскольку система без специалистов бесполезна; обучение должно быть частью проекта;
- объясняйте ценность руководству – громкие утечки 2025 г. показали, что ИБ напрямую связана с деньгами, поэтому разговаривайте на языке бизнеса;
- создавайте регламенты, ведь технология не заменит процессов, – пропишите правила реагирования и взаимодействия с руководством.
