SIEM и приказ № 117: что изменится и что делать?

Максим Степченков, основатель и совладелец компании RuSIEM

Технология SIEM в России известна уже много лет. Первые внедрения начались еще в 2000-х, а за последние годы система стала без преувеличения стандартом для большинства крупных компаний. Однако рынок неоднороден. В регионах до сих пор встречаются организации, у которых нет ни централизованного мониторинга, ни элементарных средств управления событиями. Приказ ФСТЭК России № 117 от 11.04.2025 "Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений"1 в очередной раз подчеркнул этот разрыв и потребовал его сокращения.

Для федеральных ведомств и корпораций приказ не стал сюрпризом. Они давно выстраивают SOC, имеют бюджеты и кадры. Более того, многие крупные компании давно используют SIEM не только для соответствия требованиям, но и для реального контроля над инцидентами. Для них изменения в нормативке означают лишь корректировку уже существующих процессов.
Совсем иная ситуация в регионах. По данным исследований, к концу 2023 г. чуть больше половины организаций в России внедрили или находились в процессе внедрения SIEM. Среди муниципальных структур доля, по-видимому, существенно ниже. Это означает, что десятки тысяч школ, больниц, органов власти оказались не готовы к новому уровню требований. Они сталкиваются с двумя проблемами одновременно: отсутствием финансирования и нехваткой специалистов. Там, где в штате есть лишь один айтишник, отвечающий и за сеть, и за компьютеры, говорить о полноценном SOC не приходится.
Добавим сюда еще и фактор психологического восприятия. Многие региональные руководители по-прежнему считают информационную безопасность второстепенной задачей, не связанной напрямую с их работой. Для них SIEM – это абстрактное требование регулятора, а не инструмент, который может реально спасти от утечек, простоя или штрафов. Приказ № 117 меняет эту картину: теперь руководителям точно придется учитывать ИБ в числе обязательных условий работы.

Первый барьер – деньги. Стоимость внедрения SIEM под ключ для небольшой организации исчисляется несколькими миллионами рублей, и даже пилот требует ощутимых затрат. Для многих муниципальных структур это неподъемные суммы. Однако решения есть.
Наиболее рабочий вариант – региональные лицензии, этот подход реализуем мы в RuSIEM. В ряде субъектов региональные центры информатизации или министерства цифрового развития закупают безлимитные лицензии и распределяют их между подведомственными организациями. Такой подход позволяет закрыть требования приказа без сверхнагрузки на бюджеты и обеспечивает единый стандарт защиты по региону. В некоторых случаях этот механизм распространяется и на поддержку: региональный SOC берет на себя функции мониторинга и реагирования.
Другой путь – сервисная модель. Провайдер берет на себя внедрение, настройку и сопровождение, а заказчик оплачивает услугу по подписке. Такой вариант снижает нагрузку на бюджет и позволяет обойтись без найма редких (особенно в регионах) специалистов. Сервисные SOC уже активно предлагаются со стороны крупных интеграторов и вендоров. Для муниципальных структур этот путь становится наиболее реалистичным: он дешевле, быстрее и обеспечивает реальную защиту.
Важно отметить, что сервисная модель выгодна не только с финансовой точки зрения. Она позволяет сразу же встроить систему в процесс реагирования на инциденты. Организация получает не только "коробку с лицензией", но и живую экспертизу. В условиях кадрового дефицита это становится едва ли не главным преимуществом.

После публикации приказа мы наблюдаем, что спрос на SIEM заметно вырос. По нашим оценкам, количество заявок на пилоты летом 2025 г. увеличилось в 2–2,5 раза по сравнению с тем же периодом годом ранее. Причем заказчики стали формулировать запросы иначе. Если раньше вопрос звучал как "обязательно ли нам это нужно?", то теперь звучит "с кем и как мы можем это внедрить?". Эта трансформация отражает изменение восприятия: SIEM перестает быть чужим инструментом и становится частью реальной работы.
Второй важный момент – рост сервисных контрактов. Сегодня уже более половины внедрений сопровождаются услугами по сопровождению и мониторингу. Это прямое следствие кадрового дефицита. Организации понимают: система без специалистов останется мертвой, и сразу закладывают расходы на сервис.
Формально времени до 1 марта 2026 г., когда вступает в силу приказ № 117, достаточно. Но в российской практике это иллюзия. Бюджетные заявки подаются осенью, согласования затягиваются на месяцы, а новые проекты стартуют только весной. Если организация не начнет сейчас, она рискует просто не уложиться в цикл. И тогда вместо работающей системы будет лишь формальное выполнение требований – это максимум.
Опыт показывает: пилот SIEM можно запустить за два-три месяца. Но пилотирование или полноценное внедрение собственными силами, включая интеграцию источников, настройку корреляций, обучение персонала, занимает от восьми месяцев до года. Если начать в 2026 г., времени точно не хватит. Поэтому логично начинать пилот уже в 2025-м, чтобы к дедлайну иметь работающую систему.
Дополнительная сложность – организационная инерция. Даже если система установлена, ее еще нужно встроить в процессы. Это означает необходимость изменений в должностных инструкциях, создании регламентов реагирования, налаживании взаимодействия с руководством. Эти шаги часто занимают не меньше времени, чем техническое внедрение. Поэтому ранний старт – необходимый фактор успеха.

Приказ № 117 не стал революцией, но закрепил SIEM как обязательный элемент инфраструктуры информационной безопасности. Для крупных компаний это лишь подтверждение выбранного курса, а для регионов – болезненный, но необходимый шаг. Спрос на SIEM растет, сервисные модели становятся нормой, рынок выходит на новый уровень зрелости. Важно, чтобы внедрение не свелось к формальной галочке. Если относиться к SIEM как к инструменту защиты и аналитики, новый приказ станет шагом к реальной безопасности, а не к отчетности ради отчетности.
Пока безопасность воспринимается как навязанная обязанность, организации будут тянуть время и экономить на этом важном компоненте деятельности. Но как только она начинает пониматься как элемент устойчивости и конкурентоспособности, подход меняется. Приказ № 117 – это шанс ускорить этот переход. И тот, кто воспользуется им вовремя, выиграет не только в глазах регулятора, но и в долгосрочной перспективе.
Чтобы подготовиться к требованиям приказа, стоит учитывать несколько принципиальных советов:

• начинайте с пилота, даже минимальная конфигурация даст результат и позволит закрепить бюджет;
• закладывайтесь на использование сервисов, ведь без поддержки извне SIEM рискует превратиться в мертвую систему;
• избегайте зависимости от одного вендора – даже если удобно работать в едином окне, оставляйте пространство для альтернатив;
• инвестируйте в кадры, поскольку система без специалистов бесполезна; обучение должно быть частью проекта;
• объясняйте ценность руководству – громкие утечки 2025 г. показали, что ИБ напрямую связана с деньгами, поэтому разговаривайте на языке бизнеса;
• создавайте регламенты, ведь технология не заменит процессов, – пропишите правила реагирования и взаимодействия с руководством.