Автор: Максим Степченков, основатель и совладелец компании RuSIEM
Технология SIEM в России известна уже много лет. Первые внедрения начались еще в 2000-х, а за последние годы система стала без преувеличения стандартом для большинства крупных компаний. Однако рынок неоднороден. В регионах до сих пор встречаются организации, у которых нет ни централизованного мониторинга, ни элементарных средств управления событиями. Приказ ФСТЭК России № 117 от 11.04.2025 "Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" [1] в очередной раз подчеркнул этот разрыв и потребовал его сокращения.
Для федеральных ведомств и корпораций приказ не стал сюрпризом. Они давно выстраивают SOC, имеют бюджеты и кадры. Более того, многие крупные компании давно используют SIEM не только для соответствия требованиям, но и для реального контроля над инцидентами. Для них изменения в нормативке означают лишь корректировку уже существующих процессов.
Совсем иная ситуация в регионах. По данным исследований, к концу 2023 г. чуть больше половины организаций в России внедрили или находились в процессе внедрения SIEM [2]. Среди муниципальных структур доля, по-видимому, существенно ниже. Это означает, что десятки тысяч школ, больниц, органов власти оказались не готовы к новому уровню требований. Они сталкиваются с двумя проблемами одновременно: отсутствием финансирования и нехваткой специалистов. Там, где в штате есть лишь один айтишник, отвечающий и за сеть, и за компьютеры, говорить о полноценном SOC не приходится.
Добавим сюда еще и фактор психологического восприятия. Многие региональные руководители по-прежнему считают информационную безопасность второстепенной задачей, не связанной напрямую с их работой. Для них SIEM – это абстрактное требование регулятора, а не инструмент, который может реально спасти от утечек, простоя или штрафов. Приказ № 117 меняет эту картину: теперь руководителям точно придется учитывать ИБ в числе обязательных условий работы.
Первый барьер – деньги. Стоимость внедрения SIEM под ключ для небольшой организации исчисляется несколькими миллионами рублей, и даже пилот требует ощутимых затрат. Для многих муниципальных структур это неподъемные суммы. Однако решения есть.
Наиболее рабочий вариант – региональные лицензии, этот подход реализуем мы в RuSIEM [3]. В ряде субъектов региональные центры информатизации или министерства цифрового развития закупают безлимитные лицензии и распределяют их между подведомственными организациями. Такой подход позволяет закрыть требования приказа без сверхнагрузки на бюджеты и обеспечивает единый стандарт защиты по региону. В некоторых случаях этот механизм распространяется и на поддержку: региональный SOC берет на себя функции мониторинга и реагирования.
Другой путь – сервисная модель. Провайдер берет на себя внедрение, настройку и сопровождение, а заказчик оплачивает услугу по подписке. Такой вариант снижает нагрузку на бюджет и позволяет обойтись без найма редких (особенно в регионах) специалистов. Сервисные SOC уже активно предлагаются со стороны крупных интеграторов и вендоров. Для муниципальных структур этот путь становится наиболее реалистичным: он дешевле, быстрее и обеспечивает реальную защиту.
Важно отметить, что сервисная модель выгодна не только с финансовой точки зрения. Она позволяет сразу же встроить систему в процесс реагирования на инциденты. Организация получает не только "коробку с лицензией", но и живую экспертизу. В условиях кадрового дефицита это становится едва ли не главным преимуществом.
После публикации приказа мы наблюдаем, что спрос на SIEM заметно вырос. По нашим оценкам, количество заявок на пилоты летом 2025 г. увеличилось в 2–2,5 раза по сравнению с тем же периодом годом ранее. Причем заказ2
чики стали формулировать запросы иначе. Если раньше вопрос звучал как "обязательно ли нам это нужно?", то теперь звучит "с кем и как мы можем это внедрить?". Эта трансформация отражает изменение восприятия: SIEM перестает быть чужим инструментом и становится частью реальной работы.
Второй важный момент – рост сервисных контрактов. Сегодня уже более половины внедрений сопровождаются услугами по сопровождению и мониторингу. Это прямое следствие кадрового дефицита. Организации понимают: система без специалистов останется мертвой, и сразу закладывают расходы на сервис.
Формально времени до 1 марта 2026 г., когда вступает в силу приказ № 117, достаточно. Но в российской практике это иллюзия. Бюджетные заявки подаются осенью, согласования затягиваются на месяцы, а новые проекты стартуют только весной. Если организация не начнет сейчас, она рискует просто не уложиться в цикл. И тогда вместо работающей системы будет лишь формальное выполнение требований – это максимум.
Опыт показывает: пилот SIEM можно запустить за два-три месяца. Но пилотирование или полноценное внедрение собственными силами, включая интеграцию источников, настройку корреляций, обучение персонала, занимает от восьми месяцев до года. Если начать в 2026 г., времени точно не хватит. Поэтому логично начинать пилот уже в 2025-м, чтобы к дедлайну иметь работающую систему.
Дополнительная сложность – организационная инерция. Даже если система установлена, ее еще нужно встроить в процессы. Это означает необходимость изменений в должностных инструкциях, создании регламентов реагирования, налаживании взаимодействия с руководством. Эти шаги часто занимают не меньше времени, чем техническое внедрение. Поэтому ранний старт – необходимый фактор успеха.
Приказ № 117 не диктует радикальных изменений в функционале, но ускоряет эволюцию. Вендоры дорабатывают коннекторы к новым системам: медицинским ИС, ГИС ЖКХ, транспортным платформам. В одном из регионов SIEM уже интегрировали с системой учета топлива в автопарке, что позволило выявлять подозрительные операции. В другом – подключили контроллеры доступа в школах, чтобы фиксировать аномальные события.
Еще один пример – интеграция SIEM с BI-системами. На практике это позволяет не только выявлять инциденты, но и анализировать бизнес-процессы. Так, одна компания использовала SIEM для анализа производительности сотрудников, выявляя не только попытки нарушений, но и сбои в работе. Это показывает, что SIEM постепенно выходит за рамки чисто ИБ-инструмента и превращается в универсальную аналитическую платформу.
Отдельная тема – применение ИИ и машинного обучения. ГОСТ по ИИ для КИИ уже разрабатывается, и в ближайшие годы он станет обязательным. Но практика показывает: внедрение ИИ без достаточного опыта может обернуться проблемами. В 2024 г. один из SOC-провайдеров сообщил о случаях, когда доля ложноположительных срабатываний при использовании сырых алгоритмов достигала 40%. Это перегружало аналитиков и снижало эффективность работы.
Поэтому большинство вендоров идут по пути гибкости. ИИ внедряется как дополнительный модуль, который можно включить или отключить. Это позволяет экспериментировать, но не превращает искусственный интеллект в обязательный элемент. Важно понимать: реальная ценность ИИ не в маркетинговой галочке, а в снижении нагрузки на людей и повышении точности детекции.
Существует и еще одна опасность. Когда регуляторика закрепляет обязательность определенных технологий, рынок может перегреться. Все начнут заявлять об ИИ, даже если он реализован формально. Это приведет к появлению множества бумажных решений, которые не приносят пользы. Поэтому здравый скепсис в отношении ИИ в SIEM сегодня абсолютно оправдан.
Современный рынок ИБ движется к консолидации. С одной стороны, такие решения, как EDR, NDR и ITDR, осваивают функции корреляции и реагирования. С другой – SIEM-вендоры выпускают собственные DLP, WAF и SOAR и объединяют их в единую консоль. В результате формируется экосистема, где SIEM становится ядром. Это повторяет мировой опыт: еще 15 лет назад McAfee и Trend Micro шли по этому пути. Сегодня российский рынок движется в том же направлении.
Для заказчиков это значит упрощение работы. Вместо множества консолей они получают единый центр управления. Это снижает вероятность ошибок, повышает прозрачность процессов и делает безопасность более управляемой. Однако не забываем про риск зависимости от одного вендора, когда производитель, понимая, что вы от него не откажетесь, может необоснованно завышать цены.
Приказ № 117 не стал революцией, но закрепил SIEM как обязательный элемент инфраструктуры информационной безопасности. Для крупных компаний это лишь подтверждение выбранного курса, а для регионов – болезненный, но необходимый шаг. Спрос на SIEM растет, сервисные модели становятся нормой, рынок выходит на новый уровень зрелости. Важно, чтобы внедрение не свелось к формальной галочке. Если относиться к SIEM как к инструменту защиты и аналитики, новый приказ станет шагом к реальной безопасности, а не к отчетности ради отчетности.
Пока безопасность воспринимается как навязанная обязанность, организации будут тянуть время и экономить на этом важном компоненте деятельности. Но как только она начинает пониматься как элемент устойчивости и конкурентоспособности, подход меняется. Приказ № 117 – это шанс ускорить этот переход. И тот, кто воспользуется им вовремя, выиграет не только в глазах регулятора, но и в долгосрочной перспективе.
Чтобы подготовиться к требованиям приказа, стоит учитывать несколько принципиальных советов: