В рамках реализации требований 187‑ФЗ были приняты подзаконные акты, в том числе подписан Приказ ФСБ России от 26 декабря 2025 года № 554. Он включает обновлённые требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак.
Документ обязывает организации обеспечивать расширенный мониторинг событий информационной безопасности, автоматическую передачу данных об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), хранение логов — не менее 6 месяцев, резервирование и восстановление работоспособности.
Компании, эксплуатирующие объекты КИИ, и иные не являющиеся субъектами КИИ организации, осуществляющие обмен информации с ГосСОПКА, могут внедрить средства для мониторинга, анализа и корреляции событий информационной безопасности (от англ. Security Information and Event Management, SIEM), соответствующие новым требованиям и реализующие функции инцидентного взаимодействия с НКЦКИ.
Как понять, что ваш SIEM в полной мере реализует ключевые функции безопасности в соответствии с 554‑м приказом?
Управление доступом и аудит пользователей
Приказом № 554 вводятся требования:
- Идентификация пользователей.
- Управление учётными записями.
- Разграничение прав доступа.
- Регистрация действий пользователей.
- Журналирование событий безопасности.
Регистрация и хранение событий ИБ
Средства, взаимодействующие с ГосСОПКА, должны осуществлять:
- Сбор и анализ событий ИБ из различных источников.
- Первичная обработка.
- Анализ.
- Корреляцию и выявление инцидентов.
А также хранить агрегированные события ИБ не менее 6 месяцев.
Резервирование и восстановление
В системе должно быть реализовано резервирование конфигурационной базы данных и конфигурационных файлов и восстановление работоспособности системы.
Оперативное обнаружение компьютерных атак и реагирование
Приказ № 554 расширил и уточнил требования к средствам поиска признаков компьютерных атак (ППКА) в части: обнаружения, сбора, накопления признаков кибератак в сетевом трафике, статистической обработки результатов обнаружения, анализа и экспорта фрагментов, в которых были обнаружены признаки атак, уведомлений о фактах обнаружения признаков атак и режимов функционирования средств ППКА; а также к порядку взаимодействия с ГосСОПКА.
Ответственность производителя
Приказ прямо запрещает проведение обслуживания, гарантийной и технической поддержки ИБ‑решений иностранными компаниями. Вводится ответственность производителя (вендора) средств защиты за своевременное обновление сигнатур, аналитических правил и всего программного обеспечения.
Как понять, что ваш SIEM в полной мере реализует ключевые функции безопасности в соответствии с 554‑м приказом?
.png "Чек лист проверки SIEM требованиям (3).png")
Обратитесь к нам за консультацией и обновлением вашего SIEM.
02.06.2026
