ENG
С 1 сентября 2025 года вступили в силу поправки в Федеральный закон 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которые изменили правовой статус и обязанности субъектов критической информационной инфраструктуры (КИИ).

В рамках реализации требований 187‑ФЗ были приняты подзаконные акты, в том числе подписан Приказ ФСБ России от 26 декабря 2025 года № 554. Он включает обновлённые требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак.

Документ обязывает организации обеспечивать расширенный мониторинг событий информационной безопасности, автоматическую передачу данных об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), хранение логов — не менее 6 месяцев, резервирование и восстановление работоспособности.

Компании, эксплуатирующие объекты КИИ, и иные не являющиеся субъектами КИИ организации, осуществляющие обмен информации с ГосСОПКА, могут внедрить средства для мониторинга, анализа и корреляции событий информационной безопасности (от англ. Security Information and Event Management, SIEM), соответствующие новым требованиям и реализующие функции инцидентного взаимодействия с НКЦКИ.

Как понять, что ваш SIEM в полной мере реализует ключевые функции безопасности в соответствии с 554‑м приказом?

Управление доступом и аудит пользователей

Приказом № 554 вводятся требования:

  1. Идентификация пользователей.
  2. Управление учётными записями.
  3. Разграничение прав доступа.
  4. Регистрация действий пользователей.
  5. Журналирование событий безопасности.

Регистрация и хранение событий ИБ

Средства, взаимодействующие с ГосСОПКА, должны осуществлять:

  1. Сбор и анализ событий ИБ из различных источников.
  2. Первичная обработка.
  3. Анализ.
  4. Корреляцию и выявление инцидентов.

А также хранить агрегированные события ИБ не менее 6 месяцев.

Резервирование и восстановление

В системе должно быть реализовано резервирование конфигурационной базы данных и конфигурационных файлов и восстановление работоспособности системы.

Оперативное обнаружение компьютерных атак и реагирование

Приказ № 554 расширил и уточнил требования к средствам поиска признаков компьютерных атак (ППКА) в части: обнаружения, сбора, накопления признаков кибератак в сетевом трафике, статистической обработки результатов обнаружения, анализа и экспорта фрагментов, в которых были обнаружены признаки атак, уведомлений о фактах обнаружения признаков атак и режимов функционирования средств ППКА; а также к порядку взаимодействия с ГосСОПКА.

Ответственность производителя

Приказ прямо запрещает проведение обслуживания, гарантийной и технической поддержки ИБ‑решений иностранными компаниями. Вводится ответственность производителя (вендора) средств защиты за своевременное обновление сигнатур, аналитических правил и всего программного обеспечения.

Как понять, что ваш SIEM в полной мере реализует ключевые функции безопасности в соответствии с 554‑м приказом?

Чек лист проверки SIEM требованиям (3).png

Обратитесь к нам за консультацией и обновлением вашего SIEM.


02.06.2026

Другие публикации

Risk-Based Vulnerability Management: как перестать гадать и начать управлять

Количество публично раскрываемых уязвимостей растёт, а крупная организация не может устранять все находки одинаково быстро. Поэтому главный вопрос для управления уязвимостями — не «как закрыть все CVE», а «какие из них создают наибольший риск именно для нашего бизнеса». На ответ влияют не только техническая оценка, но и доступность актива из сети, его роль в критическом процессе, наличие признаков эксплуатации, компенсирующие меры и реальное покрытие средствами защиты.

15.07.2026

Специалисты Angara MTDR зафиксировали новую фишинговую рассылку от группировки Rare Werewolf

Фишинговая кампания нацелена на российские организации. Основной целью злоумышленников является первичное закрепление в ИТ-инфраструктуре жертвы и кража пользовательских учётных данных.

08.07.2026

Атаки типа «отказ в обслуживании» становятся угрозой для российских организаций

22 мая 2026 года ФСТЭК России опубликовал рекомендации по повышению защищенности от атак типа «отказ в обслуживании». Они предназначены для государственных органов и организаций, провайдеров связи, субъектов КИИ и содержат конкретные меры по защите от различных типов DoS-атак. Также документ прописывает порядок действий по обеспечению безопасности объектов КИИ и технической защиты информации при реализации DoS-атак.

03.07.2026

Почему DLP не даёт результата без аналитики инцидентов

Системы предотвращения утечек данных (DLP) традиционно воспринимаются как один из базовых инструментов защиты информации. Они контролируют каналы передачи данных, выявляют попытки вывода чувствительной информации и позволяют блокировать или фиксировать такие действия. На уровне ожиданий бизнеса всё выглядит достаточно просто: внедрение DLP — снижение риска утечек.

26.06.2026

Практические рекомендации и примеры оценки показателя защищенности с учетом актуальных требований ФСТЭК России

Российское регулирование в области информационной безопасности в 2025–2026 гг. совершило колоссальный сдвиг. ФСТЭК России утвердила новые нормативные акты, которые полностью пересмотрели подходы к оценке защищенности информационных систем госсектора, субъектов критической информационной инфраструктуры (КИИ).

24.06.2026

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах