С 1 июня 2026 года вступит в силу приказ ФСБ России № 554, который ужесточает требования к средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Документ обязывает обеспечивать расширенный мониторинг событий информационной безопасности (ИБ), автоматическую передачу данных об инцидентах в ГосСОПКА, хранение логов не менее 6 месяцев, резервирование и восстановление работоспособности. Для организаций, эксплуатирующих объекты КИИ (критической информационной инфраструктуры), это означает обязательность внедрения надежных инструментов, полностью соответствующих новым положениям.
SIEM Alertix от NGR Softlab — это современная система управления событиями и инцидентами информационной безопасности, которая в полной мере реализует ключевые функции безопасности по 554-му приказу. Она не только собирает и анализирует события ИБ, но и автоматизирует аудит, уведомления и резервное копирование. Давайте разберем, как именно Alertix помогает соблюдать новый НПА.
SIEM Alertix от NGR Softlab — это современная система управления событиями и инцидентами информационной безопасности, которая в полной мере реализует ключевые функции безопасности по 554-му приказу. Она не только собирает и анализирует события ИБ, но и автоматизирует аудит, уведомления и резервное копирование. Давайте разберем, как именно Alertix помогает соблюдать новый НПА.
Управление доступом и аудит пользователей
Одним из центральных положений документа является строгий контроль доступа. Вводятся требования: создания, редактирования и удаления пользовательских ролей с гибкой настройкой прав, блокировки/разблокировки учетных записей, фиксации всех действий с момента авторизации в электронном журнале, а также формирования уведомлений о неудачных попытках входа.
Alertix решает это через встроенный модуль аудита и корреляционные правила. Все действия пользователей – от аутентификации до запуска процессов – логируются и отслеживаются автоматически. Неудачные попытки доступа, в числе прочего, фиксируются и обрабатываются специальным правилами корреляции на основе журнала аудита, что генерирует события ИБ и мгновенные уведомления о них. Это обеспечивает полный контроль происходящего в цифровой инфраструктуре — от аутентификации до выполнения команд управления и сбоев.
Alertix решает это через встроенный модуль аудита и корреляционные правила. Все действия пользователей – от аутентификации до запуска процессов – логируются и отслеживаются автоматически. Неудачные попытки доступа, в числе прочего, фиксируются и обрабатываются специальным правилами корреляции на основе журнала аудита, что генерирует события ИБ и мгновенные уведомления о них. Это обеспечивает полный контроль происходящего в цифровой инфраструктуре — от аутентификации до выполнения команд управления и сбоев.
Регистрация и хранение событий ИБ
Приказ предписывает для средств, взаимодействующих с ГосСОПКА, осуществлять сбор и автоматический анализ событий ИБ, а также хранить агрегированные события ИБ не менее 6 месяцев.
В Alertix предусмотрена возможность регистрации следующих сведений, связанных с функционированием средств ГосСОПКА: идентификатора пользователя, времени авторизации, запуска и завершения программ и процессов, команд управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА.
События хранятся в кластере с долгосрочным хранением, что полностью соответствует требованиям нормативных документов. При необходимости срок может быть увеличен до периода свыше 6 месяцев. Гибкая модель позволяет настраивать хранение на разных носителях. Заказчик может выбрать, за какой период данные хранятся на SSD, а за какой – на HDD. Администраторы с соответствующими ролями могут корректировать сроки, при этом любые изменения также логируются для прозрачности. Это гарантирует непрерывный мониторинг без риска потери данных.
В Alertix предусмотрена возможность регистрации следующих сведений, связанных с функционированием средств ГосСОПКА: идентификатора пользователя, времени авторизации, запуска и завершения программ и процессов, команд управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА.
События хранятся в кластере с долгосрочным хранением, что полностью соответствует требованиям нормативных документов. При необходимости срок может быть увеличен до периода свыше 6 месяцев. Гибкая модель позволяет настраивать хранение на разных носителях. Заказчик может выбрать, за какой период данные хранятся на SSD, а за какой – на HDD. Администраторы с соответствующими ролями могут корректировать сроки, при этом любые изменения также логируются для прозрачности. Это гарантирует непрерывный мониторинг без риска потери данных.
Резервирование и восстановление
Для исполнения требования приказа о создании резервных копий конфигураций и ПО на внешних носителях в Alertix реализована возможность автоматического резервного копирования конфигурационной БД и конфигурационных файлов.
Оперативное обнаружение компьютерных атак и реагирование
SIEM Alertix 3.9 выполняет комплексный мониторинг событий ИБ и реагирование на инциденты, что помогает выполнять требования приказа №554 к оперативному обнаружению и предупреждению компьютерных атак. Благодаря обширному списку источников данных SIEM Alertix обеспечивает широкое покрытие инфраструктуры, а наличие в системе функции автоматизированного реагирования в различных сценариях минимизирует время от обнаружения до ликвидации угрозы и позволяет реализовать последующие шаги, такие как расследование, изменения, снятие ограничений и др. Сокращение значения такого важнейшего параметра, как TTR (время реагирования), достигается за счет того, что Alertix предоставляет те сценарии расследования и реагирования, которые соответствуют сработавшим правилам корреляции и связанным с ними угрозам, автоматизировано подставляет в них параметры из сработок и инцидентов. Отчеты об инцидентах автоматизировано формируются и могут передаваться как напрямую в ЛК организации в ГосСОПКА, так и через ведомственные, отраслевые и другие центры взаимодействия с ГосСОПКА.
Внедрение SIEM Alertix позволяет организациям не только обеспечить выполнение требований 554-го приказа, но и повысить общую устойчивость к киберугрозам. Система уже неоднократно доказала эффективность в реальных сценариях взаимодействия с ГосСОПКА.
