Пн-Пт 9:00-18:00 · admin@softdefence.ru · +7 (495) 278-02-72 Заказать звонок
Главная / База знаний / КИИ и 187-ФЗ / Как SIEM превращается в SOC, SOC — в CERT, а CERT подключается к ГосСОПКА
21 | Мая | 2026

КАК SIEM ПРЕВРАЩАЕТСЯ В SOC, SOC — В CERT, А CERT ПОДКЛЮЧАЕТСЯ К ГОССОПКА

КИИ и 187-ФЗ
Российские организации из числа субъектов КИИ обязаны не просто собирать события безопасности, но и выстраивать полноценный цикл реагирования — вплоть до взаимодействия с ГосСОПКА. На практике этот путь проходит поэтапно: от внедрения SIEM к созданию внутреннего SOC, затем к формированию CERT и наконец к подключению к национальной системе обнаружения атак. Разбираем, как устроена эта цепочка, где организации чаще всего буксуют и что нужно сделать, чтобы пройти все этапы без потери времени и бюджета.
Как SIEM превращается в SOC, SOC — в CERT, а CERT подключается к ГосСОПКА

Главное

Субъекты критической информационной инфраструктуры обязаны подключиться к ГосСОПКА — системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. Требование закреплено в 187-ФЗ и конкретизировано в приказах ФСБ России. Однако само подключение невозможно без предварительно выстроенной инфраструктуры мониторинга и реагирования. Именно поэтому практический путь к ГосСОПКА начинается не с регулятора, а с SIEM.

Что произошло

Тема эволюции от SIEM к ГосСОПКА активно обсуждается в профессиональном сообществе — и не случайно. С 2022 года число компьютерных атак на объекты КИИ резко выросло. Регуляторы ужесточили контроль: ФСБ проверяет наличие подключения к ГосСОПКА, ФСТЭК — соответствие системы безопасности значимых объектов КИИ требованиям приказа № 239. Организации, которые ограничились установкой SIEM и считали задачу выполненной, оказались в зоне регуляторного риска.

Параллельно рынок зафиксировал дефицит квалифицированных специалистов по реагированию на инциденты. Купить или внедрить продукт проще, чем выстроить процесс. Именно этот разрыв — между технологией и операционной зрелостью — и описывает цепочка SIEM → SOC → CERT → ГосСОПКА.

Четыре ступени зрелости: как работает цепочка

Ступень 1. SIEM — фундамент видимости

SIEM (система управления событиями и инцидентами безопасности) собирает журналы со средств защиты, сетевого оборудования, серверов и рабочих станций. Она коррелирует события, выявляет аномалии и формирует оповещения. Без SIEM у организации нет единой картины происходящего в инфраструктуре.

Типичная ошибка на этом этапе — считать SIEM конечной точкой. Система генерирует сотни алертов в сутки, но сама по себе не реагирует на угрозы. Без людей и процессов она превращается в дорогостоящий архив логов.

Ступень 2. SOC — люди и процессы вокруг данных

Security Operations Center — это не продукт, а организационная структура. SOC объединяет аналитиков, регламенты триажа, сценарии реагирования (playbooks) и метрики эффективности. На базе SIEM SOC превращает поток алертов в управляемый процесс: приоритизирует инциденты, назначает ответственных, фиксирует время реакции.

Для субъектов КИИ внутренний SOC — не роскошь. Приказ ФСТЭК № 239 требует обнаруживать компьютерные инциденты, анализировать их и принимать меры. Без формализованного процесса выполнить это требование на проверке затруднительно. Организации с небольшим штатом ИБ нередко подключают внешний коммерческий SOC — это законный и часто более экономичный вариант.

Ступень 3. CERT — реагирование и координация

CERT (команда реагирования на компьютерные инциденты) — следующий уровень зрелости. Если SOC выявляет и классифицирует инциденты, то CERT занимается глубоким расследованием, форензикой, устранением последствий и выработкой рекомендаций. Для крупных субъектов КИИ — банков, энергетических компаний, операторов связи — наличие собственного CERT стало фактической нормой.

Важно: ФСБ России аккредитует корпоративные CERT в рамках национальной системы ГосСОПКА. Аккредитованный CERT получает право на информационный обмен с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) и доступ к индикаторам компрометации из федеральной базы.

Ступень 4. ГосСОПКА — обязательный финал для субъектов КИИ

ГосСОПКА — государственная система, созданная на основании 187-ФЗ и указа Президента № 569. Субъекты КИИ обязаны информировать НКЦКИ о компьютерных инцидентах на значимых объектах. Сроки жёсткие: не позднее 3 часов после обнаружения инцидента — первичное уведомление, не позднее 48 часов — развёрнутый отчёт.

Подключение к ГосСОПКА происходит через технические средства — специализированное ПО взаимодействия с центрами ГосСОПКА. Организация без выстроенного SOC и CERT физически не успеет подготовить качественное уведомление за 3 часа: данные не собраны, инцидент не классифицирован, ответственный не назначен.

Почему это важно в контексте российской регуляторики

187-ФЗ «О безопасности критической информационной инфраструктуры» вступил в силу в 2018 году, но реальное правоприменение усилилось после 2022 года. Проверки ФСБ и ФСТЭК фиксируют несколько типичных нарушений:

  • SIEM внедрён, но не интегрирован с процессом реагирования;
  • инциденты выявляются, но не передаются в НКЦКИ в установленные сроки;
  • регламенты реагирования существуют на бумаге, но не отработаны на учениях;
  • средства защиты не сертифицированы по требованиям ФСТЭК для соответствующей категории значимости объекта КИИ.

Ответственность за нарушения нарастает: с 2023 года действуют поправки в УК РФ, ужесточающие наказание за неправомерное воздействие на КИИ. Должностные лица субъектов КИИ несут персональную ответственность за несоблюдение требований 187-ФЗ.

Отдельный регуляторный контекст — указ Президента № 250 от 2022 года, обязывающий организации из числа госорганов и субъектов КИИ назначить заместителя руководителя, ответственного за ИБ. Этот же указ запрещает использование иностранных средств защиты на значимых объектах КИИ с 2025 года. Импортозамещение СЗИ и построение SOC/CERT теперь неразрывно связаны.

Что делать заказчику

  • Провести категорирование объектов КИИ — без присвоенной категории значимости (I, II или III) невозможно корректно определить набор требований ФСТЭК и объём взаимодействия с ГосСОПКА. Результаты категорирования направляются во ФСТЭК.
  • Выстроить или аудировать SIEM — проверить, охвачены ли все значимые источники событий: АСУ ТП, серверы, средства защиты периметра, рабочие станции. Убедиться, что правила корреляции актуальны и проверяются.
  • Формализовать процессы SOC — разработать регламенты триажа и реагирования, назначить ответственных дежурных аналитиков, определить SLA по времени реакции. Если собственных ресурсов недостаточно — рассмотреть аутсорсинговый SOC с опытом работы в КИИ.
  • Подготовить техническую базу для подключения к ГосСОПКА — изучить технические требования НКЦКИ, обеспечить канал передачи данных, протестировать процедуру уведомления на учебных инцидентах.
  • Заменить иностранные СЗИ на сертифицированные российские аналоги — в первую очередь на значимых объектах КИИ, где это требование становится обязательным. Проверить наличие продуктов в реестре Минцифры и актуальность сертификатов ФСТЭК.

Связанные продукты

ViPNet IDS — программно-аппаратный комплекс обнаружения вторжений российской разработки, сертифицированный ФСТЭК (класс К4). Применяется на значимых объектах КИИ как компонент системы мониторинга для SOC: анализирует сетевой трафик, выявляет аномалии и передаёт события в SIEM. Включён в реестр Минцифры (№ 4221).

Dallas Lock 8.0 — сертифицированная система защиты информации для рабочих станций и серверов (ФСТЭК, класс 1Б). Актуальна при построении защиты АРМ операторов SOC и узлов значимых объектов КИИ, где требуется контроль доступа и регистрация событий. Реестр Минцифры № 407.

Источник

Полный текст · Anti-Malware.ru

к статьям рубрики «КИИ и 187-ФЗ»