Журнал "Information Security/ Информационная безопасность" #4, 2022

SIEM – важный элемент защитной инфраструктуры, который позволяет компаниям закрывать требования ФЗ- 187, приказа ФСТЭК России № 239, ГосСОПКА и требования по защите госу- дарственных информационных систем (149-ФЗ, приказ ФСТЭК России № 17, методические рекомендации ФСТЭК России). Эти нормативы касаются всех, кто имеет доступ к государственным и муниципальным информационным систе- мам, например ЕГИСЗ – здравоохране- ние, ГАС ГОС – оборонная промышлен- ность, портал госуслуг и пр., а также системам объектов критической инфор- мационной инфраструктуры – промыш- ленности, связи, здравоохранения, науки, транспорта, энергетики, финансов и др. Почему компании не покупают SIEM? Большинство опрошенных ИБ-специа- листов не внедряют SIEM из-за недо- статочного финансирования. Согласно нашим исследованиям, три прошедших года компании сокращали бюджеты на ИБ, в том числе из-за удаленки. Были и те, кто наращивал затраты на безопас- ность, но это в основном крупные ком- пании, в которых принят длительный этап тестирования и согласования при внедрении новых систем. В прошлом году рынок оправился: затраты сокращали только 12% опро- шенных, а 26% активно усиливали защитный арсенал. В 2022 г. этот про- цесс продолжился, хотя и по экстренным причинам – из-за срочного импортоза- мещения ушедших продуктов и срочного решения проблем с безопасностью, кото- рых с февраля стало больше. В 12% компаний считают, что имею- щиеся у них ИБ-системы вполне ком- пенсируют отсутствие SIEM, хотя другие данные показывают, что у организаций практически нет инструментов, которые потенциально могли бы являться аль- тернативой SIEM и решать схожие зада- чи; например, SOC/SOAR используют 6% опрошенных, EDR/XDR – 3%. Ситуа- ция со сканерами уязвимостей получше, они установлены в 47% компаний. Одна- ко этот инструмент в отдельности не отвечает всем требованиям по опера- тивному мониторингу угроз (см. рис. 1). Об отсутствии задач для SIEM заявила треть компаний, не оснащенных систе- мой, а именно 19% всех опрошенных. Например, большинство (56%) респон- дентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их обязывают норматив- ные требования – ведь они относятся к субъектам КИИ, а 14% и 19% опрошен- ных говорят о трудозатратах на внедре- 26 • СПЕЦПРОЕКТ Средствами мониторинга угроз оснащена только треть субъектов КИИ ез SIEM выполнить требования регуляторов по защите государственных информационных систем почти невозможно, но при этом, по данным опроса “СёрчИнформ” среди ИБ- специалистов из 300 компаний, как минимум 73% организаций не оснащены этими системами, из них 58% – субъекты КИИ. Почему так происходит? Б Рис. 1. Что препятствует решению использовать SIEM? Рис. 2. Что мотивирует на покупку SIEM? Леонид Чуриков, ведущий аналитик “СёрчИнформ”