Всероссийский SOC и необходимость увеличивать ИБ-бюджет: ФСБ обновила требования к СЗИ семилетней давности

ФСБ обнародовала приказ № 554 «Об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак». Документ опубликован 26 декабря 2025 года. Приказ обновляет требования к ИБ, введенные еще в 2019 году, и обещает существенно ужесточить контроль за безопасностью систем. Эксперты из «СерчИнформ» и «Газинформсервис» рассказали SecPost, каких перемен ждать в связи с его внедрением.

Новый приказ № 554 вводит более строгие требования ко всем ИБ-решениям, которые применяются на объектах КИИ, отметил заместитель генерального директора по инновационной деятельности «СерчИнформ» Алексей Парфентьев. По его словам, приказ жестче регламентирует процессы эксплуатации ИБ-систем и поддержки их функционирования.

«По более раннему 196-му приказу средства защиты должны были иметь возможность обслуживания и модернизации российскими организациями. Новый акт прямо запрещает проведение этих процедур, гарантийной и технической поддержки ИБ-решений иностранными компаниями», — подчеркивает эксперт.

Как отметил помощник начальника аналитического центра компании «Газинформсервис», секретарь Консорциума исследований безопасности технологий ИИ Дмитрий Служеникин, также подчеркивается ответственность производителя (вендора) средств защиты за своевременное обновление сигнатур, аналитических правил и всего программного обеспечения. Обойтись продажей «коробочного» решения больше не получится: производитель обязан регулярно поставлять обновления, адаптированные под новые методы атак. Отсутствие таких обновлений может стать причиной несоответствия средства новым требованиям.

Служеникин также отмечает, что в новом приказе четко вводится и детализируется понятие средств инцидентного взаимодействия (СИИ). Согласно приказу, теперь это не просто опция, а обязательный компонент для взаимодействия с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак).

«Раньше организация могла купить и установить систему обнаружения атак (СОВ), которая работала “в себе”. Теперь от средств защиты требуется штатная возможность автоматически и безопасно передавать информацию об инцидентах в вышестоящие органы (в ФСБ) через специальные защищенные каналы (СИИ), — приводит пример эксперт. — Это как обновить обычный домашний телефон на видеотелефон с автоматическим переводом вызовов в службу 112 при срабатывании сигнализации».

Также вводятся требования к возможностям анализа поведения пользователей и систем (UEBA, User and Entity Behavior Analytics). Новые системы должны уметь выстраивать профили «нормального поведения» для каждого сотрудника.

Аспект	Приказ ФСБ № 196 (2019)	Приказ ФСБ № 554 (2025)	Практическое значение
Фокус	Соответствие формальным техническим критериям	Реальная эффективность и интеграция в процессы ИБ	Средства должны реально работать, а не просто «стоять на полке».
Взаимодействие	Возможность взаимодействия упоминалась	Обязательное наличие СИИ для связи с ГосСОПКА	Упрощает и ускоряет передачу данных об атаках в госорганы.
Технологии	Базовый анализ событий	Анализ поведения (UEBA), APT, облака	Средства должны бороться с современными сложными угрозами.
Реагирование	Преимущественно ручное	Приоритет автоматизированному ответу	Позволяет блокировать атаки на ранних этапах, снижая ущерб.
Ответственность	В основном на операторе	Разделена с вендором (обновления, поддержка)	Гарантирует актуальность средств защиты в течение всего срока службы.

«Если бухгалтер Анна Ивановна, которая обычно работает с 1С и почтой, внезапно в 3 ночи начинает массово копировать на внешний диск конструкторские чертежи, система должна это отметить как высокорисковое событие, даже если для этого действия у неё были формальные права», — иллюстрирует это изменение Служеникин.

Также в новом приказе серьезный акцент сделан на возможность автоматического реагирования на инциденты — система должна не только послать оповещение аналитику, но и самостоятельно выполнить заранее прописанные сценарии. Также нужно будет записывать не просто факт события, а указывать его полный контекст: что происходило до и после, какие процессы были задействованы, каков результат.

Служеникин резюмирует: организациям однозначно придется провести аудит используемых средств защиты на предмет их соответствия новому приказу. Внутренние регламенты по реагированию на инцидентов тоже придется скорректировать, сделав упор на использование автоматизированных возможностей.

«Приказ ФСБ задает новые, более высокие стандарты для средств защиты информации. Организациям, подпадающим под его действие, необходимо [также] запланировать бюджет на модернизацию или замену средств, которые не соответствуют — особенно по части интеграции (СИИ), анализа поведения и защиты облаков», — говорит Служеникин.

Как подчеркивает Парфентьев из «СерчИнформ», новые требования не исключают старых, описанных еще в 196-м приказе. И более того — новый акт требует их обязательного выполнения. Парфентьев обращает внимание и на контекст: 554-й приказ принят вместе с комплексом других актов, таких как:

1. Приказ ФСБ РФ от 23.12.2025 № 53 «Об утверждении Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;
2. Приказ ФСБ РФ от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366»;
3. Приказ ФСБ РФ от 25.12.2025 № 547 «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
4. Приказ ФСБ РФ от 25.12.2025 № 548 «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов критической информационной инфраструктуры Российской Федерации, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры Российской Федерации, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Требования, суммирует Парфентьев, касаются как ИБ-средств, так и обязанностей сообщать об атаках на свои системы, отчитываться о выполнении предписаний НКЦКИ (Национального координационного центра по компьютерным инцидентам), сообщать об инцидентах в срок от 3 до 24 часов. Они также регламентируют взаимодействие с координационным центром организаций госсектора, не отнесенных к субъектам КИИ.

«Регулятор предполагает сделать НКЦКИ и систему ГосСОПКА всероссийским SOC. Технические средства для этой возможности, например, SIEM- и SOAR-системы, решения классов IPS/IDS, NDR/XDR, уже широко представлены. Однако новые требования предполагают их массовое внедрение, организацию круглосуточного мониторинга и отработку быстрого реагирования на атаки и инциденты. Это потребует от организаций серьезно увеличить ИБ-финансирование и дополнительно повысит спрос на ИБ-кадры в 2026–2027 годах», — подчеркивает Парфентьев.

Приказ начнет действовать спустя 180 дней после его официального опубликования. Он был опубликован 26 декабря 2025 года. То есть свое действие он начнет в июне 2026 года.

SecPost публиковал детальный разбор приказа ФСБ №540, касающегося положения о НКЦКИ. Теперь подведомственная структура будет иметь полное право запрашивать у организаций, претерпевших взлом, полный отчет о том, как уязвимость была найдена и что было предпринято для того, чтобы злоумышленники ей не воспользовались.