Соответствует ли ваш SIEM требованиям Приказа ФСБ №554 к средствам взаимодействия с ГосСОПКА

В рамках реализации требований 187‑ФЗ были приняты подзаконные акты, в том числе подписан Приказ ФСБ России от 26 декабря 2025 года № 554. Он включает обновлённые требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак.

Документ обязывает организации обеспечивать расширенный мониторинг событий информационной безопасности, автоматическую передачу данных об инцидентах в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), хранение логов — не менее 6 месяцев, резервирование и восстановление работоспособности.

Компании, эксплуатирующие объекты КИИ, и иные не являющиеся субъектами КИИ организации, осуществляющие обмен информации с ГосСОПКА, могут внедрить средства для мониторинга, анализа и корреляции событий информационной безопасности (от англ. Security Information and Event Management, SIEM), соответствующие новым требованиям и реализующие функции инцидентного взаимодействия с НКЦКИ.

Управление доступом и аудит пользователей

Приказом № 554 вводятся требования:

1. Идентификация пользователей.
2. Управление учётными записями.
3. Разграничение прав доступа.
4. Регистрация действий пользователей.
5. Журналирование событий безопасности.

Регистрация и хранение событий ИБ

Средства, взаимодействующие с ГосСОПКА, должны осуществлять:

1. Сбор и анализ событий ИБ из различных источников.
2. Первичная обработка.
3. Анализ.
4. Корреляцию и выявление инцидентов.

А также хранить агрегированные события ИБ не менее 6 месяцев.

Резервирование и восстановление

В системе должно быть реализовано резервирование конфигурационной базы данных и конфигурационных файлов и восстановление работоспособности системы.

Оперативное обнаружение компьютерных атак и реагирование

Приказ № 554 расширил и уточнил требования к средствам поиска признаков компьютерных атак (ППКА) в части: обнаружения, сбора, накопления признаков кибератак в сетевом трафике, статистической обработки результатов обнаружения, анализа и экспорта фрагментов, в которых были обнаружены признаки атак, уведомлений о фактах обнаружения признаков атак и режимов функционирования средств ППКА; а также к порядку взаимодействия с ГосСОПКА.

Ответственность производителя

Приказ прямо запрещает проведение обслуживания, гарантийной и технической поддержки ИБ‑решений иностранными компаниями. Вводится ответственность производителя (вендора) средств защиты за своевременное обновление сигнатур, аналитических правил и всего программного обеспечения.

Обратитесь к нам за консультацией и обновлением вашего SIEM.