По данным опроса BISA (2024), каждая пятая организация из числа субъектов КИИ прямо заявила: к установленному сроку выполнить указ №250 она не способна. Ещё треть пообещала «частичное соответствие» - формулировка, за которой обычно прячется «мы купили лицензию, но не развернули». Это не цифры из аналитического отчёта для инвесторов - это реальное состояние рынка, где сотни компаний одновременно пытаются заменить Splunk, CrowdStrike и Tenable продуктами, которые три года назад закрывали от силы 60% нужных функций. К середине 2025 года ситуация изменилась: российские вендоры нарастили функции, рынок вырос до 191,7 млрд рублей, а Solar, Bi.Zone и Positive Technologies скупили достаточно стартапов, чтобы сформировать свои стеки. Но между маркетинговыми обещаниями и реальным поведением продуктов на боевой инфраструктуре - пропасть. И преодолевают её только те, кто разворачивал эти решения руками.
Эта статья - навигационный хаб по всему, что нужно практику об импортозамещении средств защиты информации в 2025–2026 годах. Каждый раздел - точка входа в детальный разбор.
| # | Тема | Подробнее |
|---|---|---|
| 1 | Российские SIEM: архитектура, правила, интеграции | MaxPatrol SIEM vs KUMA: сравнение для SOC-аналитика |
| 2 | Миграция с западных SIEM: что ломается на практике | Миграция на отечественный SIEM: перенос правил с Splunk и QRadar |
| 3 | EDR: тестируем российские решения с позиции атакующего | PT Sandbox, Kaspersky EDR и SEKOIA - обход с позиции Red Team |
| 4 | Сканеры уязвимостей: MaxPatrol VM, RedCheck, ScanFactory | Сравнение сканеров на реальной инфраструктуре |
| 5 | WAF и NGFW: PT AF, UserGate, Континент | Сравнение WAF и NGFW глазами пентестера |
| 6 | Сертификация ФСТЭК и ФСБ: что это значит для выбора | Как требования к СЗИ меняют выбор решения |
| 7 | Честный обзор всех классов: SIEM, EDR, сканеры вместе | Честный обзор российских SIEM, EDR и сканеров глазами пентестера |
Регуляторный дедлайн 2025–2026: 3 указа, которые диктуют темп замены
Весь процесс импортозамещения в ИБ строится вокруг трёх нормативных актов, и путаница между ними - ошибка, которую допускают даже опытные ИБ-руководители.Указ №166 (30 марта 2022) - технологическая независимость КИИ. Запрещает закупку иностранного ПО для значимых объектов КИИ (ЗОКИИ) без согласования с 31 марта 2022 года, а с 1 января 2025 - запрещает использование иностранного ПО на ЗОКИИ. По данным опроса BISA (2024, точные параметры выборки не раскрыты), только 7% респондентов заявили о полном выполнении к сроку, ещё 8% планировали успеть. На 32% опрошенных указ формально не распространяется.
Указ №250 (1 мая 2022) - комплекс мер по обеспечению ИБ: персональная ответственность руководителей, обязательное создание подразделений ИБ, а также запрет с 1 января 2025 года на использование СЗИ из недружественных государств на объектах КИИ и в органах власти. Тут ситуация лучше: 25% уже выполнили требования, 9% изначально сидели на российских СЗИ, 32% обещали завершить к сроку. Показательно, что ФСТЭК фиксирует «хорошие цифры» по переходу на отечественные средства защиты именно в госсекторе.
Указ №309 (13 мая 2024) - совершенствование системы реагирования на компьютерные инциденты и расширение круга субъектов, обязанных взаимодействовать с НКЦКИ/ГосСОПКА. Обсуждаются подзаконные акты, которые могут расширить требования к СЗИ на более широкий круг организаций, включая коммерческий сектор, но законопроект пока не внесён в Государственную думу. Для среднего и малого бизнеса это значит одно: «нас не касается» - аргумент с истекающим сроком годности.
На практике для инженера картина такая: субъекты КИИ (энергетика, финансы, здравоохранение, транспорт, связь, атомная промышленность, оборонка, горнодобыча, химическая и металлургическая промышленность) обязаны использовать СЗИ, прошедшие сертификацию ФСТЭК и включённые в реестр Минцифры. Класс защиты СЗИ зависит от категории информационной системы и типа средства защиты (согласно приказам ФСТЭК №17 и №21). В общем случае: УЗ1/К1 - не ниже класса 4, УЗ2/К2 - не ниже класса 5, УЗ3/К3 - не ниже класса 6, но для отдельных типов СЗИ (МЭ, СОВ, антивирус) требования могут отличаться. Несоблюдение влечёт административную ответственность по КоАП (ст. 13.12 и др.) - штрафы до 500 000 рублей. Уголовная ответственность по ст. 274.1 УК РФ (до 10 лет) наступает при инцидентах, причинённых нарушением правил эксплуатации ЗОКИИ.
Порядок категорирования объектов КИИ теперь определяет государство, а не сами организации. Минэнерго разрабатывает дорожную карту поэтапного импортозамещения ПО и ПАК. Банк России готовит перечень типовых объектов КИИ для финансовой отрасли. Подзаконный акт с конкретными сроками ожидается в первой половине 2026 года.
Подробный разбор влияния сертификационных требований на выбор конкретного продукта - в гайде: Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения.
Российские SIEM системы: сравнение архитектур, а не маркетинговых буклетов
Замена SIEM - самая болезненная часть импортозамещения ИБ. Не потому, что российских продуктов мало, а потому, что SIEM - не коробка, которую ставишь вместо старой. Это тысячи правил корреляции, годами отлаженные дашборды, десятки коннекторов к источникам логов и навыки команды, привязанные к конкретному языку запросов.Ключевые игроки российского рынка SIEM в 2025 году:
| Продукт | Вендор | Сильная сторона | Основное ограничение | Подходит для |
|---|---|---|---|---|
| MaxPatrol SIEM | Positive Technologies | Глубокая интеграция со стеком PT (VM, NAD, Sandbox), широкая база правил | Высокие требования к ресурсам, кривая обучения при миграции с Splunk | SOC с инфраструктурой на продуктах PT |
| KUMA | «Лаборатория Касперского» | Нативная интеграция с Kaspersky EDR/KES, хороший сбор событий с Windows | Меньше гибкости в кастомизации правил по сравнению с MaxPatrol SIEM | Организации со стеком Kaspersky |
| RuSIEM | RuSIEM | Относительно низкий порог входа, поддержка out-of-the-box коннекторов | Ограниченные возможности для крупных SOC с десятками тысяч EPS | Средний бизнес, начальный уровень SOC |
| Security Vision SIEM | Security Vision | Интеграция с собственной SOAR-платформой, фокус на автоматизации | Меньшая база сообщества и публичных кейсов | Организации, строящие SOC «с нуля» |
| Комрад | НПО «Эшелон» | Сертификация ФСТЭК, фокус на госсектор | Ограниченная масштабируемость для enterprise | Государственные структуры с жёсткими требованиями |
Если вы привыкли к SPL (Splunk Processing Language) или AQL (QRadar), переход на PDQL (MaxPatrol) или язык запросов KUMA - это не «другой синтаксис», а другая парадигма работы с данными. Правила корреляции не конвертируются один-к-одному. Дашборды пересоздаются вручную. Коннекторы к нестандартным источникам (самописные приложения, специфическое промышленное оборудование) часто приходится дописывать.
По данным TAdviser (2024), перенос тысяч проприетарных правил из DLP- или SIEM-системы в новую - «практически ручная работа, проект миграции на пару лет». Это не преувеличение: на одном из проектов перенос 400 правил корреляции с Splunk на MaxPatrol SIEM занял 8 месяцев с командой из четырёх аналитиков.
Детальное сравнение архитектуры двух лидеров рынка: MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика.
Пошаговый разбор переноса правил, дашбордов и интеграций: Миграция на отечественный SIEM: перенос правил, дашбордов и интеграций с Splunk и QRadar.
Отечественные EDR решения 2025: где реально закрывают функциональность CrowdStrike
EDR - класс продуктов, где разрыв между западными и российскими решениями сокращается быстрее всего. Но «сокращается» не значит «исчез». Ключевая разница - не в количестве детектирующих правил, а в подходе к телеметрии: западные EDR (CrowdStrike Falcon, SentinelOne) исторически опираются на kernel-level хуки и ETW-TI (Event Tracing for Windows - Threat Intelligence), тогда как российские решения чаще работают через user-mode перехват и анализ поведенческих паттернов.Kaspersky EDR Expert / KEDR - самое зрелое российское EDR-решение. Нативная интеграция с KES (Kaspersky Endpoint Security) превращает уже установленные агенты антивируса в источники EDR-телеметрии. Сильная сторона - детектирование шифровальщиков и массовых атак, обширная база TI от Kaspersky GReAT. Ограничение: настройка кастомных IoA (Indicators of Attack) требует больше усилий, чем в CrowdStrike, а поддержка Linux-агентов исторически отставала от Windows.
MaxPatrol EDR - endpoint-агент от Positive Technologies (GA с 2024), тесно интегрированный с MaxPatrol SIEM. PT Sandbox - отдельный продукт для динамического анализа файлов и вложений, который работает в связке с EDR и SIEM, но сам EDR-функции на конечных точках не закрывает. В стеке PT продукты дополняют друг друга, но если у вас нет MaxPatrol SIEM - значительная часть ценности теряется.
ViPNet EDR (ИнфоТеКС) - решение с фокусом на криптографически защищённые каналы связи. Специфическая ниша: организации, которым критично ГОСТ-шифрование для всей инфраструктуры. В чистом EDR-сравнении уступает Kaspersky и PT по широте поведенческих детекций.
BI.ZONE EDR - относительно новый продукт, предлагаемый в том числе как компонент сервисов MDR/TDR от BI.ZONE. Вендор активно наращивает базу детектирующих правил и поддержку разных ОС. Интересен тем, кто строит SOC на сервисах BI.ZONE или рассматривает управляемую модель защиты endpoint'ов.
Для Red Team и пентестеров тут важный момент: российские EDR детектируют стандартные атакующие фреймворки (Cobalt Strike, Metasploit) с разной эффективностью. Техники обхода, работающие против CrowdStrike Falcon (например, direct syscalls для обхода user-mode хуков), могут быть неприменимы к Kaspersky EDR Expert - у него другая архитектура перехвата. Это не абстрактное замечание: при переходе с одного EDR на другой меняется не только то, что защитник видит, но и то, чего он не видит.
Детальное тестирование обхода российских EDR с позиции атакующего: PT Sandbox, Kaspersky EDR и SEKOIA - тестируем с позиции Red Team.
Российские сканеры уязвимостей: 5 критериев, по которым стоит сравнивать
Замена Tenable Nessus, Qualys VMDR или Rapid7 InsightVM - задача, на первый взгляд, проще, чем миграция SIEM. На практике сложность в другом: привычные западные сканеры десятилетиями накапливали базу проверок (более 200 000 плагинов у Nessus), а российские продукты строят свои базы с опорой на отечественную специфику - БДУ ФСТЭК, реестр отечественного ПО, специфические проверки для Astra Linux, РЕД ОС, Эльбрус.Критерии сравнения, которые имеют значение на практике:
| Критерий | Почему важен | На что смотреть |
|---|---|---|
| Полнота базы уязвимостей | Сканер без актуальной базы - дорогой генератор ложного спокойствия | Количество проверок, частота обновления, покрытие CVE за последние 12 месяцев |
| Поддержка отечественных ОС | Astra Linux, РЕД ОС, ALT Linux - стандарт для КИИ | Агентное vs безагентное сканирование, глубина проверок для каждой ОС |
| Интеграция со стеком | Сканер без связки с SIEM/EDR - изолированный инструмент | API, коннекторы к MaxPatrol SIEM, KUMA, возможность автоматизации |
| Compliance-проверки | ФСТЭК, PCI DSS, 152-ФЗ | Готовые профили для российских регуляторных требований |
| Приоритизация уязвимостей | 10 000 уязвимостей без приоритизации - шум, а не информация | Контекстная приоритизация с учётом доступности эксплойта и критичности актива |
MaxPatrol VM (Positive Technologies) - лидер по интеграции в стек PT. Связка с MaxPatrol SIEM и PT NAD позволяет приоритизировать уязвимости с учётом сетевой доступности и наличия активных атак. База уязвимостей включает проверки для отечественного ПО. Ограничение: лицензирование по активам может оказаться дорогим для крупных распределённых инфраструктур.
RedCheck (АЛТЭКС-СОФТ) - фокус на compliance и аудит. Хорошая поддержка проверок по требованиям ФСТЭК, готовые профили для государственных информационных систем. Менее гибок в кастомизации сканирования по сравнению с MaxPatrol VM.
ScanOVAL (АЛТЭКС-СОФТ, использует данные БДУ ФСТЭК) - бесплатный инструмент для проверки уязвимостей. Полноценный enterprise-сканер не заменит, но для быстрой проверки соответствия в небольших организациях - вполне рабочий вариант.
ScanFactory - облачная платформа для непрерывного сканирования внешнего периметра. Интересна для организаций, которым нужна внешняя оценка без развёртывания on-premise инфраструктуры.
Практическое сравнение на реальной инфраструктуре: Российские сканеры уязвимостей: сравнение MaxPatrol VM, RedCheck и ScanFactory.
WAF российского производства и NGFW: почему PT AF ведёт себя иначе, чем F5 ASM
WAF (Web Application Firewall) - один из немногих классов СЗИ, где российские продукты были конкурентоспособны ещё до 2022 года. PT Application Firewall (PT AF) от Positive Technologies входил в отчёты Gartner, когда западные аналоги были ещё доступны на российском рынке. Тем не менее замена F5 ASM или Imperva WAF на PT AF - не тривиальный процесс.Ключевые различия, которые вылезают на практике:
Подход к обучению модели трафика. F5 ASM строит baseline легитимного трафика через длительный период обучения и затем блокирует аномалии. PT AF использует комбинацию сигнатурного и поведенческого анализа с упором на виртуальный патчинг уязвимостей, обнаруженных в связке с PT Application Inspector. Если вы привыкли к policy-based подходу F5 - логика PT AF потребует переосмысления.
NGFW: UserGate vs Континент vs С-Терра. Межсетевые экраны нового поколения - сегмент, который ФСТЭК и Минцифры называли «слабым звеном» российского рынка ИБ ещё в 2022 году. С тех пор прогресс есть: UserGate выпустил серию аппаратных платформ с поддержкой глубокой инспекции трафика, «Код Безопасности» развивает линейку «Континент» с функциями IDS/IPS и VPN. Но пропускная способность на уровне enterprise (десятки гигабит с включённым DPI) остаётся точкой, где Palo Alto и Fortinet до сих пор впереди. Это не вопрос желания - это вопрос железа и оптимизации dataplane.
Профили защиты для МЭ по ФСТЭК делятся на типы: МЭ-А (уровня сети), МЭ-Б (уровня логических границ), МЭ-В (уровня узла, host-based), МЭ-Г (уровня web-сервера, WAF), МЭ-Д (промышленный) - каждый с шестью классами защиты. Требуемый ОУД зависит от класса защиты по профилю: для классов 4–6 - как правило ОУД3+/ОУД4, для классов 1–3 - ОУД4 и выше. Так что не любой «отечественный файрвол» подойдёт для КИИ: нужен конкретный тип с конкретным классом.
Практический разбор с позиции пентестера: Российские WAF и NGFW: сравнение PT AF, UserGate и Континент.
Миграция с западных решений: чеклист из 7 шагов, который экономит 3 месяца
Опыт десятков проектов миграции кристаллизуется в последовательность. Нарушение порядка стабильно приводит к срыву сроков:- Инвентаризация СЗИ и зависимостей (2–4 недели). Не только список продуктов, но и карта интеграций: какой SIEM забирает логи с какого источника, какие правила корреляции привязаны к формату конкретного вендора, какие дашборды критичны для операционной деятельности SOC.
- Категорирование по критичности замены. Антивирус меняется за неделю. SIEM с тысячей правил - за год. СКЗИ (средства криптографической защиты информации) требуют пересертификации каналов. Приоритизируйте по формуле: регуляторный риск плюс операционный риск при отключении.
- Выбор целевого стека, а не отдельных продуктов. Российский рынок ИБ консолидируется: Solar провёл серию поглощений, Bi.Zone приобрёл NANO Security, Positive Technologies развивает собственные продукты и партнёрства. Выбирая MaxPatrol SIEM, вы фактически покупаете стек PT (VM, NAD, Sandbox, AF). Выбирая KUMA - стек Kaspersky. Совместимость внутри одного вендора значительно выше, чем между ними.
- Пилотное развёртывание в изолированном сегменте (4–8 недель). Не на боевой инфраструктуре. Проверьте: совместимость с вашими источниками логов, производительность при вашем объёме EPS, покрытие ваших use case существующими правилами.
- Параллельная работа старой и новой системы (2–6 месяцев). Запускаете новый SIEM/EDR рядом со старым. Сравниваете: что видит один и не видит другой. Самый дорогой этап по ресурсам, но без него вы узнаете о пробелах только после отключения старой системы - а это уже не пробел, а дыра в мониторинге.
- Перенос правил и контента. Ручная работа. Автоматической конвертации SPL в PDQL не существует. Каждое правило адаптируется под новую модель данных. Каждый дашборд пересоздаётся.
- Отключение старой системы и стабилизация (2–4 недели). Период повышенного внимания: ложные срабатывания, пропущенные источники, непривычный интерфейс для аналитиков.
Консолидация рынка: 12 100 ИБ-компаний и почему это меняет правила выбора
Российский рынок информационной безопасности вошёл в фазу консолидации. По данным «Контур.Фокус» и «Контур.Егидс», к 2026 году количество российских ИБ-компаний достигло 12 100, но темп роста замедлился до 3% (годом ранее - более 6%), а число ликвидированных юрлиц и ИП выросло на 15,9%.Что это значит для практика, выбирающего СЗИ:
Риск выбора нежизнеспособного вендора растёт. Малые компании без устойчивой экономической модели уходят с рынка. Если вы строите инфраструктуру защиты на продукте стартапа - проверяйте его финансовую устойчивость, количество крупных заказчиков и наличие стратегического инвестора. Иначе через два года можете оказаться с СЗИ, которое никто не поддерживает.
Стек побеждает точечные решения. Solar (Ростелеком) за 2022–2025 годы провёл серию поглощений, консолидировав ряд ИБ-компаний и активов. Positive Technologies приобрела NANO Security (2023). BI.ZONE развивает собственные продукты и сервисы (EDR, MDR). Юрий Максимов (сооснователь Positive Technologies) через свой фонд, по данным СМИ, приобрёл значительную долю F.A.C.C.T. - российского бизнеса, выделенного из Group-IB в 2023 году. Softline планировал инвестировать 2 млрд рублей в ИБ-стартапы. Формируются 4–5 крупных стеков, внутри которых продукты интегрированы, а между ними - совместимость остаётся проблемой.
Международная экспансия как индикатор зрелости. Российские ИБ-компании выходят на рынки Китая и Индии. Рынок ИБ Китая, по прогнозам IDC, вырастет с 11,2 млрд долларов (2025) до 17,8 млрд к 2029 году. Индийский рынок - с 5,6 млрд до 12,9 млрд к 2030 году (оценки могут пересматриваться). Перспективные направления для экспорта: DLP, защита КИИ и АСУ ТП, решения на базе поведенческого анализа и ML. Для российского заказчика это значит, что продукты, рассчитанные на экспорт, будут развиваться быстрее - дополнительное финансирование обязывает.
Сертификация ФСТЭК и ФСБ: что на самом деле стоит за «наличием сертификата»
Сертификация ФСТЭК - не формальность и не бумажка для проверяющего. Это подтверждение того, что СЗИ прошло испытания по определённому профилю защиты и оценочному уровню доверия (ОУД). ОУД4 предполагает методическую разработку с детальным проектированием, систематическое тестирование и формальный анализ архитектуры. Для коммерческого сектора и государственных ИС класса К2/УЗ2 требуемый ОУД зависит от типа СЗИ и профиля защиты - часто достаточно ОУД3 augmented, но для ряда типов СЗИ нужен ОУД4.Три вещи, которые критично понимать:
Сертификат привязан к конкретной версии продукта. Обновление ПО может потребовать пересертификации. На практике это означает, что сертифицированная версия может отставать от актуальной коммерческой на 3–12 месяцев. Выбирая продукт, уточняйте: какая версия сертифицирована, как часто обновляется сертификат, есть ли механизм «инспекционного контроля» для промежуточных обновлений. Я видел ситуации, когда заказчик покупал продукт, а сертифицированная версия была на два мажорных релиза позади - и в ней не работали нужные ему фичи.
Класс защиты должен соответствовать категории вашей ИС. Для ИСПДн по 152-ФЗ: УЗ1 - класс 4, УЗ2 - класс 5, УЗ3 - класс 6. Для государственных ИС: К1 - класс 4, К2 - класс 5, К3 - класс 6. Установить СЗИ с более низким классом - нарушение.
Сертификация ФСБ - отдельная история. Требуется для СКЗИ: КриптоПро CSP, ViPNet, Континент-АП. Классы СКЗИ по ФСБ: КС1, КС2, КС3, КВ, КА (по возрастанию). Выбор класса определяется моделью угроз для конкретной ИС.
Полный разбор того, как сертификационные требования влияют на инженерные решения: Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения.
Где российские аналоги ещё не догнали: 4 класса решений с дефицитом
Откровенность - единственный рабочий подход при обсуждении отечественных СЗИ. Маркетинговые обещания ломаются при столкновении с реальной инфраструктурой. Вот классы, где разрыв объективно существует:1. NGFW на скоростях 40+ Гбит/с с включённым DPI. Аппаратные платформы UserGate и Континент развиваются, но в сегменте enterprise-производительности Palo Alto и Fortinet впереди. Для организаций с магистральными каналами это означает либо каскадирование нескольких устройств (и рост latency), либо компромисс по глубине инспекции.
2. SOAR с развитой базой интеграций. Security Vision развивает SOAR-платформу, R-Vision IRP закрывает часть задач, но количество готовых интеграций с третьими сторонами (тикетинг-системы, облачные провайдеры, внешние TI-платформы) у западных Splunk SOAR, Palo Alto XSOAR или IBM QRadar SOAR было на порядок больше. Каждый новый коннектор - ручная работа.
3. Cloud Security Posture Management (CSPM). Российских облаков (Yandex Cloud, VK Cloud, SberCloud) становится больше, но инструменты для их защиты - специализированные CSPM - находятся на ранних стадиях по сравнению с Prisma Cloud или Wiz.
4. Программно-аппаратные комплексы. Как отмечают в НППКТ, отсутствие собственной элементной базы (процессоры, сетевые чипы) - фундаментальная проблема. ПАК для ИБ на импортных процессорах - это частичное импортозамещение. Честнее сказать - косметическое.
Есть и классы, где импортозамещение прошло почти безболезненно: антивирусная защита (Kaspersky, Dr.Web), DLP-системы (InfoWatch, Solar Dozor, Zecurion), IdM/PAM (Avanpost, Indeed AM). Тут российские решения были зрелыми ещё до 2022 года.
Дефицит кадров: как обучить команду работать с новыми продуктами
Замена продуктов без переобучения людей - гарантированный провал. Администраторы, годами работавшие с Cisco, Fortinet, Check Point, не перейдут на UserGate и Континент за неделю. SOC-аналитики, писавшие запросы на SPL, не освоят PDQL за курсы выходного дня. Я наблюдал, как команда из шести аналитиков после перехода на MaxPatrol SIEM первые два месяца писала правила с ошибками, которые пропускали половину алертов - просто потому что модель данных другая.Варианты решения:
Аутсорсинг и сервисная модель. По оценке экспертов Angara Security, выходом может стать MSSP (Managed Security Service Provider): заказчик получает прогнозируемый уровень услуг без необходимости найма и удержания сотрудников. На российском рынке MSSP-услуги предлагают Solar (SOC), BI.ZONE (MDR), Kaspersky (MDR).
Вендорское обучение. Positive Technologies, «Лаборатория Касперского», UserGate развивают программы сертификации специалистов. Инвестиция в обучение 2–3 ключевых инженеров обходится дешевле, чем найм новых.
Практическая отработка на стендах. Развёртывание тестовой среды с российскими СЗИ до начала боевой миграции экономит месяцы. Аналитик, который два месяца поработал с PDQL на стенде, на боевой системе уже не тратит время на изучение базового синтаксиса.
Критерии отбора: почему в этом обзоре именно эти продукты
В обзоре представлены продукты, которые соответствуют трём условиям одновременно: наличие действующего сертификата ФСТЭК или заявленный процесс сертификации; включение в реестр отечественного ПО Минцифры; подтверждённое развёртывание в реальных инфраструктурах (не только пилотные проекты). За рамками остались решения, которые существуют только в виде прототипов или не имеют публичных кейсов внедрения. Если вы не нашли конкретный продукт - это не оценка его качества, а фиксация текущего состояния рынка по этим критериям.Комплексный взгляд на все классы решений с позиции пентестера: Импортозамещение ИБ: честный обзор российских SIEM, EDR и сканеров глазами пентестера.
Куда движется импортозамещение ИБ: прогноз на 2026 и дальше
Российский рынок ИБ входит в фазу, которую аналитики TAdviser называют «временем больших игроков». Консолидация продолжится: малые компании либо будут поглощены, либо уйдут. Для заказчика это означает меньше вендоров на выбор, но более зрелые продукты у оставшихся.Три тренда на ближайшие 12–18 месяцев:
Регуляторное давление расширяется на коммерческий сектор. Указ №309 задаёт вектор: импортозамещение перестанет быть задачей только КИИ и госструктур. Средний и малый бизнес начнёт ощущать давление - и это создаст спрос на более доступные отечественные СЗИ.
AI/ML в российских ИБ-продуктах - пока отставание. Западные SIEM (Microsoft Sentinel, CrowdStrike Falcon LogScale) активно внедряют AI-автоматизацию триажа и расследования. Российские вендоры двигаются туда же, но медленнее. Кто первым предложит работающую (не маркетинговую) автоматизацию SOC-процессов - получит серьёзное преимущество на рынке.
Экспорт как драйвер качества. Выход на рынки Китая и Индии заставит российских вендоров соответствовать международным стандартам, а не только требованиям ФСТЭК. Это объективно поднимет планку для всех продуктов.
Действуйте сейчас: проведите инвентаризацию, выберите целевой стек, запустите пилот. Ожидание до последнего момента - стратегия, которая уже подвела 20% субъектов КИИ.
Большинство организаций подходит к импортозамещению ИБ как к регуляторному проекту: «заменить продукт A на продукт Б до даты X». Это ошибка. Импортозамещение - не замена этикетки на коробке, а перестройка операционной модели SOC, переобучение людей и (что самое болезненное) пересмотр ожиданий.
За три года работы с миграциями я видел одну и ту же картину: команда ставит российский SIEM, загружает в него те же источники логов и ожидает «как было». Не будет как было. Модель данных другая, язык запросов другой, философия работы с правилами корреляции другая. И пока вы не примете это как данность - любой продукт будет казаться «хуже Splunk».
Правда, которую не проговаривают ни вендоры, ни интеграторы: самая дорогая часть миграции - не лицензии и не железо. Это шесть-двенадцать месяцев, в течение которых ваш SOC работает на двух системах параллельно, аналитики мучаются с новым интерфейсом, а руководство требует показать «тот же уровень покрытия». Тот же уровень покрытия будет - но через год, не через месяц. Кто закладывает этот год в бюджет и план - проходит миграцию нормально. Кто обещает руководству «бесшовный переход за квартал» - получает полугодовое окно с деградированным мониторингом и нервный SOC.
Прогноз на ближайшие два года: мы увидим первую волну организаций, которые завершили миграцию и начали использовать российские продукты не как костыль, а как основной инструмент. Их опыт, правила корреляции, кастомные коннекторы станут тем комьюнити-знанием, которое сейчас критически отсутствует. Западные SIEM десятилетиями обрастали сообществом из тысяч специалистов, форумов и готовых решений. Российским продуктам нужно пройти тот же путь - и темп, с которым они его пройдут, определит: останется ли импортозамещение вынужденной мерой или превратится в реальное преимущество.
Если хотите отработать миграцию и настройку российских СЗИ в безопасной среде - на курсах Codeby Academy эти сценарии разбираются в формате hands-on лабораторий.
