Опубликовано

Библиотека ПО «Призма данных» на базе машинного обучения вошла в «Инферит ИТМен» в контуре кластера «СФ Тех» ГК Softline

Разработчик системы инвентаризации ИТ-инфраструктуры «Инферит ИТМен» объявил о включении в свой продукт «Призмы данных» — специализированной библиотеки программного обеспечения и технологии нормализации данных о ПО. Решение, включенное ранее в состав ГК Softline, расширит возможности «Инферит ИТМен» в области контроля над программными активами и тем самым усилит компетенции технологического кластера Группы «СФ Тех», проводника сквозных высокотехнологических решений для корпоративных, промышленных и инфраструктурных заказчиков.

«Призма данных» представляет собой интеллектуальную базу знаний о программных продуктах и лицензиях, а также механизм нормализации данных инвентаризации: приведение записей о ПО к эталонному виду (производитель, наименование, версия, редакция). База содержит сведения более чем о 300 000 программных продуктах и 45 000 лицензионных артикулах производителей ПО.

Технология позволяет автоматически сопоставлять различные варианты названий программного обеспечения, устранять дубли и приводить разрозненные данные из ИТ-систем к единому виду. Для ИТ-департаментов компаний это фундамент эффективного управления активами: точные данные позволяют исключить переплату за неиспользуемые лицензии, быстро выявить запрещенное ПО, в разы сократить время на подготовку к аудитам.

Новый актив усилит функциональность «Инферит ИТМен» в области опознания и упорядочивания ПО и предоставит российским заказчикам альтернативу зарубежным решениям, таким как FlexNet Manager Suite, Snow License Manager, Flexera Data Platform и ServiceNow SAM.

«Призма данных» использует алгоритмы машинного обучения для анализа и нормализации данных об установленном программном обеспечении. Благодаря этому сформировать структурированную картину программных активов возможно даже в сложных корпоративных инфраструктурах, где информация о ПО поступает из различных систем инвентаризации и может содержать неоднородные или неполные записи.

Интеграция библиотеки «Призма данных» позволит пользователям системы «Инферит ИТМен» повысить точность учета программных активов, ускорить анализ установленного ПО и упростить контроль лицензий при интеграции с системой управления ИТ-услугами (ITSM). Это особенно актуально для крупных организаций, где ИТ-ландшафт формировался годами и включает большое количество разнородных системд.

«Для полной и прозрачной картины ИТ-инфраструктуры компаниям необходимы не просто данные об установленных программах, а их корректная интерпретация. Библиотека «Призма данных» позволяет нормализовать информацию о ПО и превратить разрозненные записи инвентаризации в понятную и управляемую картину программных активов», — отметил Данила Трусов, директор продукта «Инферит ИТМен» (кластер «СФ Тех» ГК Softline).

Технология поддерживает различные сценарии развертывания, включая локальную установку (on-premise) и облачную модель. Через открытое API решение может интегрироваться с внешними системами инвентаризации, ITSM-платформами и другими корпоративными сервисами.

«Инферит ИТМен» — российская система учета и контроля ИТ-инфраструктуры, предназначенная для инвентаризации ИТ-активов, а также повышения прозрачности ИТ-среды компаний. Интеграция «Призмы данных» станет одним из ключевых шагов в развитии платформы и позволит организациям точнее контролировать состав используемого ПО.

Опубликовано

ГИГАНТ Компьютерные системы: аттестация ГИС и КИИ по новым правилам 2026 года

С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11.04.2025 №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Документ полностью заменяет действовавший более десяти лет Приказ №17 и знаменует фундаментальную смену парадигмы регулирования.

Раньше требования касались только государственных информационных систем (ГИС) в узком смысле. Теперь область применения расширена до всех информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений, а также муниципальных информационных систем. Под действие попадают тысячи организаций, которые ранее могли не задумываться о требованиях ФСТЭК.

Кибер Медиа вместе с экспертами рынка разобрали новый порядок регулирования и сформировали рекомендации для компаний, как перестроиться, чтобы избежать штрафов.

Ключевые изменения по существу

Главное новшество — отказ от жёсткой таблицы мер. Вместо фиксированного перечня защитных мер для каждого класса систем теперь вводится процессный подход. Организации должны выстраивать систему управления информационной безопасностью по циклу Деминга-Шухарта (Plan-Do-Check-Act): планировать мероприятия, проводить их, оценивать состояние защиты и постоянно совершенствовать процессы.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана

В крупных распределенных ГИС с сотнями серверов и рабочими станциями вручную отслеживать появление новых уязвимостей и сверять их с установленным ПО очень трудоёмко. Особенность заключается в том, что мы переходим к доказательству безопасности каждого элемента. 117-й Приказ также вводит обязательную периодическую отчётность для операторов, ещё вводятся жёсткие требования к персоналу.

В регулировании появились новые классы защищённости. Класс системы теперь определяется по её назначению, а не территориальному уровню. Если система обрабатывает документы с грифом «Для служебного пользования» (ДСП), ей автоматически присваивается 1-й класс защищённости.

Впервые на нормативном уровне закреплены требования к кадровому составу: не менее 30% сотрудников подразделения по защите информации должны иметь профильное образование или пройти профессиональную переподготовку.

Николай Калуцкий, Ведущий инженер-программист НОЦ ФНС России и МГТУ им. Н.Э. Баумана

Требования к персоналу стали жестче: теперь официально нужно подразделение ИБ, ведь регуляторы переходят к проверке реальной, а не декларативной защищенности. Облачные сервисы и подрядчики превращаются в зону прямой и полной ответственности. Количество документации увеличивается в несколько раз.

Сергей Коловангин

Начальник отдела ИТ компании «Газинформсервис»

Разумеется, увольнение сертифицированного специалиста может привести к нарушению условий действия аттестата соответствия, но это зона ответственности руководства и кадрового подразделения организации. Фиктивное наличие специалиста по безопасности приравнивается к отсутствию такого специалиста в штате, попытка в этом вопросе ввести в заблуждение представителя регулятора при проверках также чревата серьёзными последствиями, поэтому приём на работу студента с профилем по ИБ хотя бы на полставки или вчерашнего выпускника без опыта в любом случае будет более разумным вариантом, чем оставаться вовсе без специалиста по ИБ.

Приказ №117 также вводит требования к защите современных технологий, которые не были описаны в старом документе: облачные вычисления, контейнерные среды, веб-технологии и API, интернет вещей.

Александр Буравцов, Директор по информационной безопасности компании CommuniGate Pro

Проект методики устанавливает, что защита контейнерной инфраструктуры обеспечивается применением сертифицированных средств контейнеризации и сертифицированных хостовых операционных систем. Для успешной аттестации необходимо подтвердить использование сертифицированной ОС, корректную настройку механизмов изоляции и разграничения доступа, а также наличие внутренних регламентов по управлению доступом, регистрации событий и управлению уязвимостями.

Альбина Аскерова, Руководитель направления по взаимодействию с регуляторами Swordfish Security

Также требования к безопасности ИИ описаны в требованиях ФСТЭК России, которые описаны в проекте методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». Например, требование о том, что в информационной инфраструктуре разработки системы ИИ не допускается решение задач, не связанных с разработкой системы ИИ, или требование о применении только доверенных наборов обучающих данных, а также контроль целостности обучающих данных. Есть и усиленные меры, которые предполагают выделение в отдельный физически изолированный сегмент разработки системы ИИ или контроль целостности моделей путем использования сертифицированных средств криптографической защиты. То есть итоговая ответственность за безопасность замыкается на разработчике (операторе) сервиса с ИИ, а требования постепенно приведут к замкнутым отраслевым контурам безопасности. Сейчас регулятор рассматривает предложения отрасли к проекту методики.

Владислав Кошелев, Архитектор по информационной безопасности, «КИТ»

Еще в 2022 году был принят Приказ ФСТЭК России №118, устанавливающий требования по безопасности информации к средствам контейнеризации. Эти требования подлежат обязательному применению при разработке, сертификации и оценке соответствия средств защиты информации, используемых в контейнерных средах.

Отчётность теперь необходимо направлять во ФСТЭК на постоянной основе: раз в полгода — показатель защищённости, раз в год — показатель зрелости, плюс итоговый годовой отчёт по мониторингу.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»

Для обоснования перед регулятором требуются: актуальная модель угроз на базе банка данных угроз безопасности информации ФСТЭК; обоснование выбора и адаптации базовых мер — почему выбраны именно такие, как именно они нейтрализуют угрозы из модели, а если какие меры не применяются — чем обоснован такой выбор; документальное подтверждение верификации эффективности реализованных мер — расчеты показателей уровня защищенности, периодический контроль уровня защищенности; внутренние регламенты и стандарты, описывающие порядок выбора, внедрения, контроля и совершенствования мер защиты информации.

Отдельный блок требований посвящён безопасности при работе с подрядными организациями. Теперь подрядчики обязаны соблюдать политики и организационно-распорядительные документы оператора ИС.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING

Отдельная методика может потребоваться в случаях, когда стандартные подходы не охватывают особенности конкретной ИС или отраслевые требования. Например, если система использует нестандартные технологии (контейнерную инфраструктуру, ИИ), работает в специфическом регуляторном поле или имеет высокий уровень критичности с точки зрения бизнеса. В таких случаях организация может разработать внутреннюю методику, которая детализирует порядок оценки рисков, выбора мер и СЗИ, учитывая дополнительные критерии и требования.

Важно отметить, что аттестаты, выданные до 1 марта 2026 года, остаются действительными до окончания срока их действия. Но при следующей аттестации проверка будет проводиться уже по новым требованиям.

Кому обязательна аттестация: критерии значимости объектов КИИ и ГИС

С вступлением в силу Приказа №117 вопрос «Должны ли мы аттестовываться?» приобретает новое значение. Раньше круг организаций, обязанных выполнять требования ФСТЭК, ограничивался в основном операторами ГИС и субъектами КИИ, теперь же он кратно расширился. Разберём по категориям.

Государственные информационные системы (ГИС) и иные ИС госорганов. Первая и самая очевидная категория — государственные информационные системы. Для них аттестация остаётся обязательной в соответствии с Приказом ФСТЭК №77, причём с 1 марта 2026 года проверка будет проводиться уже по новым требованиям №117.

Однако теперь под действие приказа попадают все информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений — даже те, которые не являются ГИС в узком смысле слова.

Сергей Коловангин, Начальник отдела ИТ компании «Газинформсервис»

В третьем разделе Требований регулятор довольно конкретно расставил акценты на критичных направлениях обеспечения ИБ, на которые придётся обратить внимание в первую очередь при обеспечении ЗИ ГИС. Что касается обоснования выбора мер защиты, действительно, правильно разработанная модель угроз играет здесь одну из основных ролей, при этом подтверждение достаточности мер в соответствии с п. 65 Требований возложено на органы по аттестации в рамках аттестационных испытаний ГИС.

Кроме того, требования распространяются на:

  • информационные системы муниципальных органов;
  • информационные системы, получающие данные из ГИС;
  • подрядные организации, работающие с госзаказчиками (для них теперь обязательны соблюдение политик ИБ и соответствующее оформление в договорах).

Субъекты критической информационной инфраструктуры (КИИ).

Вторая крупная категория — субъекты КИИ, причём всех категорий значимости, а также значимые объекты. Здесь важно понимать двухуровневую систему регулирования.

С одной стороны, требования к защите значимых объектов КИИ регулируются отдельными документами (в первую очередь Приказом ФСТЭК №239, который также планируется к обновлению в 2026 году). С другой стороны, Приказ №117 вводит для субъектов КИИ обязательную оценку показателя защищённости (КЗИ) с пороговым значением 0,9.

Критерии отнесения объектов к КИИ регулируются Постановлением Правительства №127. В последние месяцы произошли важные изменения.

Постановлением Правительства №92 от 6 февраля 2026 года утверждены отраслевые особенности категорирования объектов КИИ в банковской сфере и на финансовом рынке. Теперь кредитные и некредитные организации обязаны ежегодно предоставлять информацию о значимых объектах КИИ в Минфин или ЦБ, а также соотносить показатели критериев значимости с типами объектов КИИ (по ещё не утверждённому типовому перечню).

Постановлением Правительства №4 от 16 января 2026 года утверждены отраслевые особенности для объектов КИИ в области атомной энергии, с особыми требованиями к составу комиссии по категорированию и методам расчёта показателей.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»

Утвержденный Перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации точно станет «раздражителем» защитников КИИ, поскольку в ближайшее время наверняка потребует провести перекатегорирование своих систем. С одной стороны, перечень упрощает этот процесс. Однако, с другой стороны, появляется неопределенность в отношении систем, которые могут повлечь недопустимые последствия, но не входят в перечень. Получается, что тому, кто найдет такие системы в своей инфраструктуре, придется начинать инициировать изменения в постановление Правительства.

К объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления производственными и технологическими процессами (АСУ ТП).

Операторы информационных систем персональных данных (ИСПДн). Это третья категория, которую необходимо не упустить из виду, но при этом необходимо учесть, что приказ касается только систем 1-го и 2-го уровня защищённости. Для них вводится обязанность оценивать показатель защищённости и, соответственно, выстраивать систему управления ИБ в соответствии с новыми требованиями.

Проект изменений в порядок аттестации (Приказ №77), опубликованный ФСТЭК 26 января 2026 года, вводит обязательное тестирование на проникновение для ГИС и иных ИС государственных органов и унитарных предприятий 1 и 2 классов защищённости, имеющих подключение к интернету или взаимодействующих с внешними системами. Это серьёзно повышает требования к доказательной базе.

Подрядчики госорганов обязаны соблюдать политики ИБ заказчика. Если организация подпадает хотя бы под одну из этих категорий, игнорировать новые требования нельзя: как в части отправки регулярной отчётности во ФСТЭК, так и части контроля значений КЗИ — показатель ниже 0,9 будет прямым сигналом для внеплановой проверки.

План подготовки: категорирование, моделирование угроз, выбор СЗИ, аттестационные испытания

Новые требования заставляют компании перейти к непрерывному процессу управления безопасностью. Поэтому и подготовку нужно вестис учётом постоянного функционирования в новом правовом поле.

Шаг 1. Классификация (категорирование) информационной системы

Приказ №117 сохраняет трёхуровневую иерархию классов защищённости (К1, К2, К3), но меняет критерии. Раньше класс системы определялся в основном по масштабу (федеральная, региональная, объектовая) и категории обрабатываемых данных. Теперь же — по назначению системы. Это кардинально меняет требования для многих государственных учреждений, которые ранее могли не относиться к высшему классу.

Что нужно сделать:

  1. Составить полный перечень информационных систем, подпадающих под действие приказа (ГИС, иные ИС госорганов, ГУПов, госучреждений, системы с подключением к ГИС).
  2. Провести инвентаризацию обрабатываемой информации: есть ли данные с грифом ДСП, персональные данные, иная конфиденциальная информация.
  3. Определить класс защищённости для каждой системы по новой методике (в зависимости от назначения и категории данных).

Александр Осипов, Консультант по информационной безопасности, руководитель направления комплаенса и методологии ПК РАД КОП

Для общественного обсуждения вышел проект Методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах», который, видимо, будет принят, т.к. «пути назад уже нет», а меры надо понимать. Документ, как описано в проекте «определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации», «детализирует мероприятия (процессы), которые подлежат реализации в органе (организации) для достижения целей защиты информации и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности)».

Шаг 2. Моделирование угроз и построение модели нарушителя

Если раньше модель угроз часто разрабатывалась формально и использовалась только на этапе аттестации, то теперь это живой документ, на основе которого выстраивается вся система защиты. Регулятор прямо указывает на необходимость учитывать риски информационной безопасности, а не только формальные признаки.

Приказ №117 требует, чтобы в модели угроз особое внимание уделялось угрозам, связанным с удалённым доступом; угрозам через цепочки поставок (подрядчики, партнёры); человеческому фактору.

Что нужно сделать:

  • Актуализировать модели угроз и нарушителя с учётом новых требований.
  • Увязать модель угроз с реальными сценариями атак и возможными последствиями для организации.
  • Проверить, отражает ли модель текущую архитектуру сети, включая облачные сервисы, удалённые рабочие места и внешние подключения.

Обратите внимание, что при проверке ФСТЭК будет оцениваться не просто наличие модели угроз, а её обоснованность и адекватность реальным условиям эксплуатации.

Шаг 3. Выбор и внедрение СЗИ

На этом этапе Приказ №117 снова смещает акцент на результат — способность системы предотвращать и выявлять инциденты.

Если ваша ИС классифицирована как К1, то и межсетевой экран, и другие средства защиты должны иметь сертификат ФСТЭК соответствующего класса. Это исключает использование «облегчённых» решений в критически значимых системах.

Вводится приоритет технических мер над «бумажными». Из 21 мероприятия для достижения целей защиты информации 18 — технические.

Возрастает роль многофункциональных решений. Использование сертифицированного NGFW позволяет закрыть до 14 из 17 базовых мер защиты на одном узле, упрощая эксплуатацию и аттестацию. При этом пункты 71-72 Приказа №117 прямо указывают: класс используемых средств защиты информации обязан строго соответствовать классу самой системы. Нужно проверить не только наличие сертификатов на все текущие СЗИ, но и сроки их действия. Просроченный сертификат приравнивается к отсутствию защиты.

Никита Фотин, Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»

Организации следует проработать ряд компенсирующих мероприятий и обеспечить подробную регламентацию процедур по защите информации, а также подготовить план по переходу на отечественные и актуальные программные продукты, позволяющие своевременно закрывать выявляемые уязвимости.

Приказ №117 вводит требования к защите современных технологий, которые просто отсутствовали в старом документе: защита облаков (CSP, CASB); защита контейнерных сред (Docker/Kubernetes); WAF для веб-приложений и API; IoT-безопасность; EDR/XDR-функционал на конечных точках; управление привилегированным доступом; регламентация удалённого доступа.

Василий Севостьянов, Начальник отдела технического сопровождения продаж, ООО «Доктор Веб»

В связи с пунктом 41 иногда высказывается мнение, что он фактически обязывает организации внедрять системы класса EDR. Но это не так. Формулировка носит функциональный, а не продуктовый характер. Приказ перечисляет цели и задачи: исключение несанкционированного доступа и воздействия через интернет-интерфейсы; мониторинг и анализ процессов и событий на конечном устройстве; выявление актуальных угроз; предупреждение о произошедших событиях безопасности.

Владислав Крылов, Консультант по информационной безопасности AKTIV.CONSULTING

3 ключевые меры, направленные на обеспечение изоляции, контроля уязвимостей, целостности и управления доступом в контейнерной среде. Во-первых, изоляция контейнеров: необходимо обеспечивать разделение процессов, файловых систем и сетей между контейнерами и от хостовой операционной системы. Это включает изоляцию пространств идентификаторов процессов, имён для межпроцессного взаимодействия, пользователей и групп, хостов и доменов, а также сетевых пространств имён. Для Kubernetes важно настроить механизмы изоляции на уровне кластера и оркестратора. Во-вторых, выявление уязвимостей в образах контейнеров. Требуется регулярное сканирование образов на наличие известных уязвимостей перед их запуском. Сканирование должно проводиться с использованием баз данных уязвимостей, включая БДУ ФСТЭК России. В-третьих, проверка корректности конфигурации. Необходимо аудитировать настройки контейнеров и оркестратора (например, Kubernetes) на соответствие требованиям безопасности. Это включает проверку манифестов YAML, Dockerfile и других конфигурационных файлов на предмет ошибок и небезопасных настроек.\

Шаг 4. Организационные меры и документация

Хотя регулятор делает заметный акцент на технологиях, компаниям нужно позаботиться и о процессной составляющей.

Александр Яров, Руководитель информационной безопасности ELMA

Нужен процесс управления уязвимостями: проведение инвентаризации сервисов и CVE, валидация влияния уязвимостей и обоснование их неактуальности, формирование компенсирующих мер через имеющиеся СЗИ. Для этого будет, в том числе, полезно сочетать данный процесс с процессами анализа и фиксации рисков для обоснования допустимости.

Необходимо разработать или актуализировать:

  • Политику информационной безопасности — базовый документ, определяющий цели защиты, защищаемые объекты, состав организационных мер, ответственность персонала.
  • Стандарты организации — требования к мерам безопасности различных объектов ИС (модели доступа, разрешённое ПО, защита конечных устройств).
  • Регламенты — конкретные алгоритмы реализации мер (порядок работы с учётными записями, с информацией ограниченного доступа, мониторинг ИБ).
  • Положение об ИБ-подразделении — теперь это обязательное требование.

Впервые на нормативном уровне закреплены требования к составу подразделения по защите информации: не менее 30% сотрудников должны иметь профильное образование или пройти профессиональную переподготовку.

Шаг 5. Аттестационные испытания

Для ГИС аттестация остаётся обязательной в соответствии с Приказом №77. Для остальных ИС, подпадающих под действие №117, аттестация формально добровольна, но на практике без неё невозможно подтвердить соответствие требованиям регулятора.

Михаил Савельев, Директор департамента методологии информационной безопасности «Ростелекома»

Аттестация — это прерогатива специализированных компаний-лицензиатов ФСТЭК. Она обязательна для ГИС, но не всегда необходима для ЗОКИИ, где можно обойтись процедурой оценки эффективности внедрения СЗИ, которую компания может выполнить своими силами.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»

Даже если система полностью построена на отечественном оборудовании, использование open source накладывает на процедуру аттестации дополнительные требования. В практике ФСТЭК России внимание в таких случаях сосредоточено прежде всего на полноте документирования и прозрачности происхождения программных компонентов. Дополнительный риск связан с качеством сопровождения open source. За время эксплуатации подрядчики могли меняться, поддержка отдельных компонентов могла прекращаться, а требования к надежности и безопасности ГИС объективно остаются высокими. Отсутствие устойчивой модели сопровождения и обновления становится операционным риском, особенно в условиях повышенного внимания регулятора к уязвимостям и управлению жизненным циклом компонентов.

Эксперты рекомендуют не ждать окончания срока действия старых аттестатов, а провести повторную аттестацию досрочно, чтобы выявить и устранить несоответствия заранее.

Шаг 6. Настройка непрерывного контроля и отчётности

Пожалуй, самое существенное нововведение — требование регулярной отчётности перед регулятором. Раз в 6 месяцев следует проводить расчёт и представление показателя защищённости (КЗИ), раз в год — оценивать показатель зрелости процессов ИБ, в ежегодном режиме — предоставлять итоговый отчёт по мониторингу.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT

План лучше собирать как повторяемый цикл, а не как разовую активность «перед аттестацией». На входе требуется инвентаризация периметра и внутренней инфраструктуры, включая внешние IP и домены, сервисы и порты, а также состав и версии серверов, рабочих мест, сетевого оборудования и средств защиты. Методика прямо фиксирует два вида анализа: внешнее сканирование периметра из сети Интернет и внутреннее сканирование внутренней инфраструктуры с предоставлением доступа исполнителю, при этом внутреннее сканирование проводится от лица привилегированного пользователя, а тестовая привилегированная учётная запись должна быть удалена или заблокирована после завершения работ.

Это означает, что аттестация становится стартовой точкой, а компания должна непрерывно доказывать свою состоятельность.

Что нужно настроить:

  • интеграцию NGFW с SIEM-системами для автоматического сбора событий и расчёта КЗИ;
  • подключение к ГосСОПКА (теперь обязательно для всех ГИС, а не только для КИИ);
  • процедуры ежедневного мониторинга событий, еженедельной отчётности по инцидентам, ежеквартальной проверки эффективности СЗИ.
Чек-лист для действий
  1. Классификация. Определить перечень ИС, проверить наличие ДСП, присвоить классы по новым правилам. Срок: март-апрель 2026.
  2. Модель угроз. Актуализировать с учётом удалённого доступа, цепочек поставок, человеческого фактора. Срок: апрель-май 2026.
  3. Выбор СЗИ. Аудит текущих средств, проверка сертификатов и их сроков, закупка недостающих (с учётом класса системы). Срок: май-август 2026.
  4. Организационные меры. Разработка/обновление политики, стандартов, регламентов. Проверка кадрового состава для контроля порогового значения в 30% с профильным образованием. Срок: июнь-сентябрь 2026.
  5. Аттестация. Подготовка к испытаниям, проведение тестирования на проникновение (для ГИС), получение аттестата. Срок: сентябрь-декабрь 2026.
  6. Мониторинг. Настройка SIEM, подключение к ГосСОПКА, отработка процедур сбора отчётности. Срок: Постоянно, с октября 2026.

Цена вопроса: из чего складывается стоимость аттестации

Универсального ответа на вопрос о бюджете практической реализации требований Приказа №117 нет, но можно разобрать основные статьи расходов и факторы, влияющие на итоговую сумму.

Алексей Колодка, Директор по работе с государственными заказчиками компании «ГИГАНТ Компьютерные системы»

С 1 марта 2026 года неисполнение требований приказа влечет оборотные штрафы, что принципиально повышает уровень ответственности руководства организаций и переводит вопросы соответствия из плоскости методической работы в зону прямых финансовых рисков.

Самая затратная часть — средства защиты информации, причём все они должны иметь действующие сертификаты ФСТЭК, а их класс обязан строго соответствовать классу аттестуемой системы. Для небольшой организации это могут быть сотни тысяч рублей, для крупной распределённой структуры — десятки миллионов.

Помимо закупки оборудования, потратиться нужно будет и на внедрение с пусконаладкой: правильную настройку, интеграцию с существующей инфраструктурой, обучение персонала. Стоимость этих работ зависит от сложности инфраструктуры и обычно составляет существенный процент от стоимости СЗИ.

Сама аттестация проводится лицензированными организациями и включает анализ документации, инструментальный контроль, а для ГИС первых двух классов — обязательное тестирование на проникновение. На рынке цены варьируются от трёхсот тысяч для небольших систем до нескольких миллионов для крупных распределённых объектов.

Алёна Лукашева, Заместитель руководителя департамента консалтинга и аудита iTPROTECT

В проекте изменений к порядку аттестации (приказ ФСТЭК № 77) формализуется периодический контроль на аттестованном объекте через анализ уязвимостей и тестирование на проникновение. Закрепляется обязанность направлять отчёт в ФСТЭК России не реже 1 раза в 3 года и риск приостановления аттестата при непредставлении отчёта. Экономия, которая ранее часто достигалась за счёт формального закрытия бумажного контура и разовых работ, становится менее жизнеспособной.

Александр Хонин, Директор Центра консалтинга Angara Security

Отдельно стоит упомянуть, что в 2025 году ФСТЭК выпустил новые методические рекомендации в части анализа уязвимостей и пентеста при аттестации: «Методика анализа защищённости информационных систем»; «Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение»; «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств». Эти исследования выделены в отдельный класс работ, который регламентирован и обязателен к выполнению при аттестациях.

Тестирование на проникновение обязательно для ГИС и ИС госорганов, унитарных предприятий и учреждений 1 и 2 классов защищённости, которые подключены к сети «Интернет» или взаимодействуют с внешними системами (за исключением случаев использования сертифицированных шифровальных СЗИ). В иных случаях решение о тестировании на проникновение принимает заказчик или оператор ИС.

Отдельная статья — человеческий капитал. Приказ требует, чтобы не менее трети сотрудников подразделения ИБ имели профильное образование или прошли переподготовку. Если текущий состав этим требованиям не соответствует, придётся направлять людей на обучение, а это от 60 до 100 тысяч на человека за полноценную переподготовку. Возможно, потребуется и разработка организационно-распорядительной документации силами внешних консультантов — ещё несколько сотен тысяч.

Александр Яров, Руководитель информационной безопасности ELMA

Раньше для защиты ГИС нужна была «бумага» и «сертифицированные СЗИ», и под это нанимались специалисты. Сейчас требования диктуют процессный и риск-ориентированный подход с дополнением в виде сертифицированных СЗИ. Под это уже требуются более квалифицированные кадры, в т.ч. операционный CISO, с которыми наблюдается дефицит. Плюс ко всему бюджетов и до этого с трудом хватало на минимальный уровень соответствия, а сейчас есть вероятность ухудшения ситуации.

Что касается сроков, реалистичный горизонт для организации, начинающей с нуля — от 6 до 18 месяцев. Классификация и моделирование угроз займут около месяца, закупка СЗИ может растянуться на квартал из-за бюджетных процедур, внедрение — ещё полгода, если инфраструктура сложная. Аттестационные испытания длятся один-три месяца. Если же в организации уже есть выстроенная система ИБ и сертифицированные средства, сроки могут сократиться до трёх-шести месяцев.

Важно помнить о скрытых затратах. После получения аттестата требуется ежегодное продление лицензий на СЗИ, регулярный расчёт показателей защищённости и отчётность во ФСТЭК. Если своих компетенций для этого недостаточно, придётся привлекать внешних аудиторов на постоянной основе.

Главный совет для руководителя: закладывать на 2026 год бюджет, исходя из масштаба инфраструктуры, и не откладывать начало работ. Чем раньше пройдёт аудит текущего состояния, тем больше времени останется на устранение неизбежных несоответствий. И помните: новые требования превращают аттестацию из разового события в режим постоянного соответствия.

Источник: https://securitymedia.org/info/attestatsiya-gis-i-kii-po-novym-pravilam-2026-polnyy-razbor-prikaza-fstek-117.html?sphrase_id=2105

Опубликовано

UDV Group: заменит ли искусственный интеллект первую линию аналитиков

Центры мониторинга ИБ все активнее внедряют AI/ML-модели, UEBA и LLM-ассистентов: автоматический триаж алертов, корреляция событий, приоритизация инцидентов и первичный анализ уже частично выполняются без участия человека. На этом фоне все чаще звучит вопрос — действительно ли искусственный интеллект способен заменить первую линию SOC или речь идет лишь об интеллектуальной автоматизации рутинных операций? Cyber Media разбирает, где проходит граница между «цифровым аналитиком» и необходимостью живой экспертизы, и как меняется сама роль L1-аналитика в эпоху AI.

Первая линия SOC: традиционная модель и пределы масштабирования

Традиционная роль первой линии SOC сегодня напоминает работу диспетчера на сверхскоростной магистрали. Через аналитиков проходит колоссальный трафик событий, где за доли секунды нужно отличить штатную активность админа от начала целевой атаки.

В рамках текущего техстека L1 выполняет роль «первого эшелона». Основной функционал завязан на трех китах:

  • Первичный анализ. Верификация и фильтрация входящего потока из SIEM-системы.
  • Обогащение контекстом. Проверка репутации файлов, сопоставление времени входа и активности учетных записей.
  • Принятие решения. Закрытие тикета как False Positive или эскалация инцидента на экспертов L2/L3.

Однако индустрия столкнулась с кризисом модели volume-based security. Экстенсивный рост инфраструктур породил феномен Alert Fatigue. Когда поток уведомлений становится бесконечным, аналитик неизбежно теряет бдительность, превращаясь в «робота по закрытию тикетов».

Это ведет к критическим последствиям для бизнеса и команды. Специалисты быстро выгорают от монотонности и стресса, а SOC превращается в конвейер по обучению новичков, которые увольняются быстрее, чем успевают принести реальную пользу. Масштабировать безопасность простым наймом людей в 2026 году уже невозможно — скорость генерации логов всегда будет выше скорости человеческой реакции.

В этих условиях автоматизация становится не «фичей», а единственным способом выживания подразделения. Использование SOAR-систем позволяет переложить всю механическую работу на алгоритмы: от автоматического сбора данных о вредоносе до мгновенной изоляции узлов.

Это не замена человека кодом, а его освобождение. Только убрав рутину, мы можем вернуть аналитикам возможность заниматься реальной безопасностью и Threat Hunting, превращая L1 из слабого звена в интеллектуальный барьер.

Делегирование рутины: где алгоритмы эффективнее аналитика

Говоря об автоматизации SOC, часто возникает ложное ощущение, что мы пытаемся заменить экспертизу кодом. На деле же AI в 2026 году берет на себя роль «интеллектуального фильтра», решая задачи, с которыми человеческий мозг справляется медленно или с множеством ошибок из-за биологических ограничений.

Михаил Хлебунов, ServicePipe

Индустрия SOC в 2025-2026 годах переживает фундаментальную трансформацию. По прогнозам Gartner, к 2026 году AI увеличит эффективность SOC на 40% по сравнению с 2024 годом, а 90% и более алертов первой линии будут обрабатываться автономно. Это не футурология — это операционная реальность, к которой рынок движется прямо сейчас.

Наибольший эффект AI демонстрирует в задачах с высокой повторяемостью и формализуемой логикой: первичный триаж, дедупликация и группировка алертов по активам, обогащение контекстом из TI-фидов, корреляция событий из разных источников. Современные agentic-платформы выполняют полный цикл — от категоризации до формирования отчета с вердиктом — за минуты вместо часов. При среднем потоке в 960 алертов в сутки для типичной организации (и свыше 3 000 для крупных предприятий) это критически важно: без автоматизации команды физически не справляются с объемом.

Самым же технологичным этапом становится автоматическая корреляция логов. Построение полной цепочки Kill Chain вручную — это детективная работа, требующая сопоставления данных из SIEM, EDR и почтовых шлюзов. AI справляется с этим на лету, связывая разрозненные, на первый взгляд, события в единую историю атаки.

Илья Одинцов, Менеджер по продукту NGR Softlab

ML, обученный на реальных данных заказчика/компании, действительно сильно снижает количество false positive. Не стоит забывать про кейсы с заведением инцидента по обращению: тут LLM справится достаточно неплохо, собрав данные и направив информацию в нужную очередь. Дедупликация — это не задача ML. Если ваш SIEM сам не может проверить и обеспечить дедупликацию, то AI вам тут не поможет. А вот повысить риск-скор, исходя из количества событий — это решаемая задача. Что касается контекстного анализа, то реализация этой возможности тесно связана с вопросом о том, доверяете ли вы компании-разработчику данной ИИ свою конфиденциальную и критичную информацию и согласны ли вы в принципе передавать сведения за периметр. В ручном режиме — да, контекстный анализ помогает. В автоматизированном режиме — есть вопросы к реализации.

В итоге первая линия получает не сырой массив логов, а готовую реконструкцию инцидента. Такой подход кардинально меняет роль аналитика: из «оператора поиска» он превращается в специалиста, принимающего финальное решение на основе уже подготовленных данных.

Обратная сторона автоматизации: «уверенные ошибки» и новые векторы риска

Несмотря на весь технологический драйв, слепое доверие к алгоритмам порождает специфический класс угроз, к которым индустрия только начинает адаптироваться. Основная проблема здесь — ложная уверенность моделей. В отличие от человека, который может сомневаться или перепроверить данные, AI выдает результат с математической точностью, даже если он ошибочен. Если модель классифицирует сложную атаку как легитимный процесс с вероятностью 99%, аналитик L1, привыкший доверять системе, вряд ли станет подвергать это решение сомнению.

Станислав Прищеп, Руководитель направления систем управления ИБ STEP LOGIC

Риск «уверенных ошибок» AI зависит от многих факторов. Основными из них можно назвать точность переданного для выполнения задания (инструкций, промта), объем знаний ИИ-модели, полноту анализируемого контекста инцидента. Каждый из этих пунктов включает в себя большой объем технических задач, которые еще предстоит решить, чтобы технологии AI заслужили доверие. Пока можно сказать, что ИИ уже вносят большой вклад в повышение эффективности SOC, но выступают только в качестве ассистента. Окончательное решение при обработке инцидента остается за человеком.

Такая «уверенность» создает серьезный риск автоматического разрешения инцидентов. Когда мы отдаем на откуп алгоритмам право закрывать тикеты без участия человека, мы открываем окно возможностей для атакующих, знающих особенности работы конкретных ML-моделей. Ошибка фильтрации на входе приводит к тому, что инцидент просто исчезает из видимости, так и не дойдя до глаз специалиста.

Андрей Жданухин, Руководитель группы аналитики L1 GSOC «Газинформсервис»

Риск false negative и false positive с высокой уверенностью действительно существует. Особенно опасны ситуации, когда модель классифицирует активность как легитимную из-за смещения обучающей выборки, например, нестандартные админские действия могут привести к тому, что в будущем нестандартные действия обычных пользователей будут классифицироваться как что-то нормальное. Для второй линии это означает либо худший расклад с пропуском инцидентов, либо большую нагрузку в связи с неверной классификацией FP. Поэтому эскалация без участия человека и жестких SLA на пересмотр решений AI создает определенные риски.

В конечном счете доверие к AI становится новым фактором уязвимости SOC. Формируется опасная зависимость: команда перестает развивать навыки глубокого анализа, полагаясь на «черный ящик» автоматизации. В критической ситуации, когда алгоритм столкнется с нестандартной техникой обхода, аналитики могут оказаться не готовы к ручному управлению. Автоматизация должна быть инструментом усиления, а не заменой критического мышления, иначе SOC рискует превратиться в систему, которая очень быстро и уверенно принимает неправильные решения.

Где AI все еще «слеп» без человека

Несмотря на всю мощь алгоритмов, существуют зоны, где AI оказывается в тупике из-за отсутствия критического мышления. Машина отлично ищет аномалии в математических моделях, но она абсолютно «слепа» к ситуациям, которые требуют понимания контекста за пределами бинарного кода.

Артемий Новожилов, Архитектор систем ИБ компании «Гарда»

Несмотря на развитие больших языковых моделей (LLM), есть типы инцидентов и источников данных, где без человеческой интуиции и контекстного знания бизнеса не обойтись.

Во-первых, это сложные атаки с длительным присутствием (APT), особенно когда злоумышленник «действует тихо» и находится в инфраструктуре годами, используя легитимные инструменты (техники Living-off-the-Land). В таких случаях ИИ часто не видит явных аномалий в логах: поведение выглядит нормальным, а «чистого» исторического эталона либо нет, либо он уже подпорчен долгим присутствием атакующего. Правда, если же такой эталон есть и модель хорошо на нем обучена, то отклонения в профиле будут выявлены довольно быстро.

Во-вторых, атаки на логику бизнес-процессов. ИИ способен уверенно ловить типовые технические паттерны, например, брутфорс, массовые попытки входа, но крайне редко распознает манипуляции с транзакциями, которые выглядят легитимно на уровне протоколов и прав доступа, но нарушает логику конкретной компании.

В-третьих, социальная инженерия нового поколения. Дипфейки и персонализированный фишинг, сгенерированный другим ИИ, все чаще обходят традиционные детекторы. Здесь аналитик выступает в роли «последнего рубежа», способного верифицировать контекст общения вне цифровых каналов.

В этих условиях человеческая интерпретация остается ключевым звеном защиты. Аналитик обладает тем, чего нет у самой продвинутой нейросети — пониманием уникальной бизнес-логики компании. Он осознает, что «странный» запрос к базе данных может быть не кражей информации, а специфическим отчетом бухгалтерии или багом после ночного релиза, о котором не знала система мониторинга.

Интуиция и опыт позволяют специалисту связывать события, которые для AI выглядят как шум. Способность вовремя сопоставить звонок в техподдержку и создание временной учетной записи требует адаптивности — умения мгновенно перестроить логику расследования, если в игре появилась уязвимость нулевого дня. Без этой «человеческой» надстройки даже самый дорогой AI-инструмент остается лишь генератором гипотез, а не полноценным защитником.

Трансформация роли L1-аналитика

Под влиянием технологий профиль работы на первой линии неизбежно меняется: из «линейного персонала» аналитик превращается в инженера, управляющего сложной экосистемой алгоритмов. Это переход от механического перебора событий к осознанному управлению автоматикой. В новой реальности L1 не конкурирует с AI, а выступает его главным контролером и наставником.

Андрей Скороходов, Руководитель исследовательских проектов UDV GROUP

С применением технологий ML/AI аналитик хоть и не должен будет выполнять привычную работу, однако это не снимет с него требований к глубокому пониманию предметной области, в противном случае он не сможет качественно проверить результаты работы моделей. С другой стороны, при правильном построении процесса, за счет освобождения от рутинных операций у аналитика появится больше времени для улучшения своих навыков в предметной области.

Центральным элементом этой трансформации становится концепция Human-in-the-loop. Теперь основной задачей аналитика является не поиск угроз в сырых данных, а контроль качества решений, принятых машиной. Это требует иного уровня экспертизы: нужно понимать, почему алгоритм счел событие подозрительным и где он мог ошибиться. Аналитик становится «последней милей», которая подтверждает вердикт системы перед тем, как будет запущено автоматическое реагирование.

Игорь Плотников, Руководитель направления развития сервисов информационной безопасности T1 Облако

С внедрением AI смещается фокус навыков L1-аналитика: от рутинного скрининга сотен низкокачественных алертов к роли валидатора и контролера действий ИИ. Критически важными становятся не столько умение писать сложные запросы и анализировать поток неструктурированных логов, сколько продвинутые критическое мышление и экспертиза в предметной области. Аналитик должен уметь быстро проверять, интерпретировать и дополнять выводы AI, выявляя его «галлюцинации» или ошибки логики.

Дополнительно возрастает ценность коммуникативных навыков. L1-аналитик превращается в ключевое звено между автоматизированной системой и человеком. Он должен грамотно общаться с AI, формулируя точные промты, и ясно доносить до L2-L3-аналитиков суть инцидента, который был обнаружен и изучен с помощью AI. Умение работать с AI-инструментами, управлять автоматизированными плейбуками реагирования (SOAR) и валидировать и документировать решения AI в новой гибридной среде становится обязательным базисом.

В итоге работа в SOC перестает быть монотонной. Новая норма — это когда человек берет на себя самые интеллектуально емкие задачи: интерпретацию сложных инцидентов и непрерывное обучение систем защиты. Такой подход не просто повышает эффективность безопасности, но и превращает позицию L1 в серьезную школу для будущих экспертов, где вместо кликов по кнопкам они учатся понимать логику работы современных киберугроз и защитных систем.

Распределение ролей в SOC будущего

Если раньше SOC был похож на воронку, где люди на входе отсеивали мусор, то теперь структура меняется на горизонтальную. AI забирает на себя всю «физику» процесса, оставляя человеку функции управления и этического контроля.

В этом новом распределении ролей автоматика и аналитик разделяют зоны влияния следующим образом:

  • Автономия в рамках «песочницы». Системе делегируется право на мгновенное реагирование в низкорисковых сегментах. Например, блокировка учетки при явном брутфорсе или изоляция хоста с известным шифровальщиком. Это происходит без участия L1, просто по факту детекции.
  • AI как «второе мнение». При расследовании сложных инцидентов аналитик использует модель не для получения готового ответа, а для быстрой проверки своих догадок на огромных массивах исторических данных, что раньше требовало написания сложных скриптов.
  • Верификация рекомендаций. Работа аналитика L1 теперь больше напоминает работу пилота — он смотрит на показания приборов и дает санкцию на критические действия, которые могут затронуть бизнес-логику компании.

Главный водораздел между автоматизацией и человеком проходит по линии ответственности за последствия. AI может с филигранной точностью выявить аномалию, но он не может оценить ущерб от остановки конвейера или репутационные потери от блокировки VIP-клиента. Машина оперирует вероятностями, а человек — последствиями для бизнеса.

Роман Малышкин, Аналитик отдела мониторинга ИБ Спикател

AI может частично заменить первую линию в зрелых SOC с хорошо нормализованными логами, устойчивыми процессами, типовыми сценариями атак, большим объемом однотипных событий. В менее зрелых SOC, а также при защите сложных, динамичных инфраструктур, роль AI остается вспомогательной. Он ускоряет работу и снижает рутину, но не заменяет человека как носителя контекста и ответственности.

В таком сценарии первая линия SOC превращается в «центр управления полетами». Мы уходим от модели, где аналитик — это фильтр алертов, и приходим к модели, где он — диспетчер, координирующий работу автоматизированных систем. Это не столько замена, сколько смещение фокуса с механического труда на принятие решений в условиях высокой неопределенности.

Заключение

SOC будущего — это не безлюдный цех, а симбиоз, где AI забирает на себя «математику», а человек — «смыслы». Аналитик перестает быть фильтром для алертов и становится архитектором контекста, который управляет доверием к алгоритмам и достраивает общую картину там, где код бессилен.

Перестаньте обучать аналитиков-фильтров — начинайте растить «пилотов» автоматизации. Инвестируйте в развитие навыков интерпретации и верификации моделей уже сегодня. Помните: AI лишь кратно усиливает существующую экспертизу, но не способен заменить ее отсутствие.

Источник: https://securitymedia.org/info/ai-v-soc-zamenit-li-iskusstvennyy-intellekt-pervuyu-liniyu-analitikov.html

Опубликовано

ГИГАНТ Компьютерные системы: как рост цен на память меняет госзакупки ИТ-оборудования

Сергей Семикин, генеральный директор «ГИГАНТ Компьютерные системы»

Мировой рынок полупроводников снова входит в фазу турбулентности. Стремительный рост индустрии искусственного интеллекта радикально изменил баланс спроса на ключевые компоненты — прежде всего на память NAND и DRAM. Производители чипов активно перераспределяют мощности в пользу сегмента ИИ-инфраструктуры и дата-центров, где спрос растет быстрее всего и обеспечивает максимальную маржинальность. В результате традиционные сегменты — серверное оборудование, персональные компьютеры и другая вычислительная техника — начинают испытывать дефицит компонентов, а цены на память стремительно растут.

Эти процессы уже напрямую отражаются на рынке конечных устройств. Удорожание компонентов неизбежно транслируется в стоимость техники, и производители оборудования постепенно корректируют прайс-листы. Российский рынок не является исключением: отечественные вендоры также вынуждены адаптироваться к новой ценовой реальности.

Однако для государственных организаций и компаний с государственным участием ситуация осложняется особенностями бюджетного планирования. В отличие от коммерческого сектора, они работают в рамках заранее утвержденных бюджетов и закупочных планов. Если стоимость оборудования резко меняется уже после формирования бюджета, возникает системный разрыв между запланированными расходами и фактическими рыночными ценами. В результате многие проекты цифровизации оказываются под давлением новых экономических условий: запланированные объемы закупок становится сложнее реализовать, а сроки модернизации инфраструктуры могут сдвигаться.

Глобальный дефицит: ИИ против потребительской электроники

Для профессионального сообщества уже очевидно: с конца 2025 года рынок памяти вошел в фазу резкого роста цен. Начиная с октября стоимость чипов NAND и DRAM на отдельных позициях увеличилась почти вдвое. Причина этого скачка не столько в циклических колебаниях полупроводникового рынка, сколько в структурном изменении спроса, вызванном стремительным развитием технологий искусственного интеллекта.

Основной драйвер спроса сегодня — масштабное строительство ИИ-дата-центров и расширение вычислительной инфраструктуры для обучения и эксплуатации больших моделей. Такие проекты требуют огромных объемов высокопроизводительной памяти. В результате производители чипов вынуждены перераспределять производственные мощности в пользу сегмента ИИ-инфраструктуры, где спрос стабильно растет и формируются наиболее прибыльные долгосрочные контракты.

На этом фоне игроки рынка, например, Samsung и SK Hynix все чаще отдают приоритет именно таким контрактным поставкам. В условиях ограниченного производства DRAM это позволяет компаниям максимизировать прибыль и загрузку мощностей. При этом производители не спешат резко наращивать выпуск: масштабирование фабрик требует миллиардных инвестиций и нескольких лет строительства, а сама индустрия ИИ пока остается подверженной рыночным колебаниям. Вендоры учитывают риск возможной коррекции спроса и предпочитают действовать осторожно.

В результате классические сегменты рынка электроники начинают испытывать давление со стороны дефицита компонентов. В первую очередь это касается персональных компьютеров, ноутбуков, смартфонов, а также традиционных серверных систем, не относящихся к специализированной ИИ-инфраструктуре. Ограниченное предложение памяти неизбежно приводит к росту стоимости конечных устройств.

По оценкам ряда международных аналитиков, технологическая гонка в сфере искусственного интеллекта будет только усиливать потребность в высокопроизводительной памяти. В этих условиях баланс спроса и предложения на рынке может восстановиться лишь в среднесрочной перспективе — не ранее 2027-2028 годов.

Реакция российского рынка: цены и локализация

Российский рынок ИТ-оборудования уже начал реагировать на изменения глобальной конъюнктуры. По данным ряда производителей, в декабре 2025 года стоимость конечных устройств выросла в среднем на 20–30% по сравнению с октябрьскими показателями. Это прямое следствие удорожания ключевых компонентов, прежде всего модулей оперативной памяти и накопителей. При этом часть производителей пока сдерживает дальнейшее повышение цен, стараясь сохранить конкурентоспособность и выполнить уже заключенные контракты.

Тем не менее динамика рынка указывает на то, что рост стоимости оборудования может продолжиться. По оценкам участников отрасли, в первом полугодии 2026 года цены на отдельные категории техники способны увеличиться еще на 20–30%, если ситуация на глобальном рынке памяти останется напряженной.

При этом на российский рынок влияет не только мировая конъюнктура. К внешним факторам добавляется внутренняя регуляторная специфика. С 1 января 2026 года вступили в силу новые требования к локализации ключевых компонентов — прежде всего оперативной памяти и SSD-накопителей — для оборудования, включаемого в реестр российской радиоэлектронной продукции.

Сама по себе эта мера направлена на развитие отечественной электронной промышленности и формирование более устойчивой технологической базы. Однако для производителей оборудования она означает дополнительные затраты на выполнение требований локализации, организацию поставок компонентов и адаптацию производственных процессов. В совокупности эти факторы также оказывают влияние на себестоимость и, как следствие, на итоговую цену устройств, поставляемых на российский рынок.

Бюджетный цикл против рыночной реальности

Наиболее чувствительно эта ситуация отражается на государственных организациях и компаниях с государственным участием, которые закупают ИТ-оборудование в рамках бюджетного планирования. В отличие от коммерческого сектора, где закупочные стратегии можно оперативно корректировать, здесь финансовые параметры проектов жестко привязаны к утвержденному бюджету. Поэтому резкие колебания рынка неизбежно создают управленческие и финансовые ограничения.

Планирование закупок напрямую связано с бюджетным процессом. Проект федерального бюджета вносится в Государственную Думу до 15 сентября, после чего начинается процедура его рассмотрения и утверждения. Соответственно, ключевые параметры расходов на следующий год формируются задолго до фактического начала закупок.

Основной рост цен на память и оборудование произошел уже после этой даты — в период с октября по декабрь 2025 года. В результате при формировании бюджетов на 2026 год многие организации ориентировались на совершенно другие ценовые ориентиры. Фактически закупочные планы были сформированы в условиях, когда текущая рыночная ситуация еще не проявилась.

В такой конфигурации возникает типичная для бюджетных систем проблема — утвержденные финансовые параметры начинают расходиться с реальной стоимостью оборудования. На практике это означает, что при сохранении прежних бюджетов организации сталкиваются с необходимостью пересматривать сами параметры закупок.

Как правило, остается два базовых сценария. Первый — приобретать оборудование более низкой производительности, чтобы уложиться в имеющиеся финансовые рамки. Второй — сокращать объем закупок, уменьшая количество приобретаемой техники.

В условиях, когда цифровизация государственных процессов и технологический суверенитет обозначены как стратегические приоритеты, подобные ограничения могут замедлить реализацию инфраструктурных проектов и программ модернизации ИТ-систем. В ряде случаев это означает перенос сроков обновления оборудования или корректировку ранее утвержденных планов развития цифровой инфраструктуры.

Заключение. Как действовать в новой ценовой реальности

В сложившихся условиях организациям важно пересмотреть подход к планированию ИТ-закупок и действовать более прагматично. В первую очередь стоит четко расставить приоритеты и перераспределить бюджеты в пользу наиболее критичных задач и направлений. Когда стоимость оборудования быстро растет, особенно важно концентрировать ресурсы на проектах, без которых невозможно обеспечить устойчивую работу инфраструктуры или выполнение ключевых программ цифрового развития.

Следующий шаг — пересмотр технических требований к закупаемому оборудованию. На практике нередко в технические задания закладываются параметры производительности «с запасом», ориентированные на будущие потребности. В условиях роста цен такой подход может оказаться избыточным. Рациональнее ориентироваться на конфигурации, которые закрывают актуальные задачи и позволяют эффективно использовать имеющиеся ресурсы.

Не менее важно трезво оценивать реальную потребность в инфраструктуре. Закупать имеет смысл прежде всего то оборудование, которое действительно необходимо сейчас или способно заметно повысить эффективность работы. Экономическая целесообразность таких инвестиций должна быть заранее просчитана и очевидна.

Наконец, и государственным организациям, и компаниям с государственным участием, и коммерческим предприятиям стоит повышать гибкость в принятии решений. В условиях продолжающегося дефицита компонентов и устойчивого спроса со стороны индустрии искусственного интеллекта рынок в ближайшие годы вряд ли вернется к прежним ценовым уровням. Это означает, что откладывание закупок может только усугубить проблему: чем дольше организации ждут, тем выше становится стоимость оборудования и тем сложнее впоследствии реализовывать запланированные проекты модернизации ИТ-инфраструктуры.

Источник: https://www.novostiitkanala.ru/news/detail.php?ID=194392

Опубликовано

UDV Group: NDR как следующий этап в развитии SOC

Михаил Пырьев, менеджер продукта UDV NTA, рассказал о принципиальных отличиях NDR от традиционных средств мониторинга сети, сложностях внедрения, неочевидных угрозах, которые закрывает NDR, а также о ключевых тенденциях развития NDR-технологий.

В чем принципиальное отличие NDR от традиционных средств мониторинга сети?

Ключевое отличие — в назначении и глубине аналитики. Традиционные инструменты мониторинга в первую очередь фиксируют состояние инфраструктуры через метрики и базовые сетевые показатели. NDR-системы работают иначе: они формируют поведенческую модель сети, используют механизмы глубокой инспекции пакетов и встроенные средства обнаружения вторжений, что позволяет анализировать взаимодействие конкретных узлов в динамике.

По сути, если классические системы мониторинга — это “жизнеобеспечение” инфраструктуры, то NDR — ее “иммунная система”, способная выявлять скрытые аномалии и предлагать оператору контекстуализированные решения по реагированию.

Какие угрозы NDR позволяет выявлять, которые остаются незамеченными традиционными системами?

NDR закрывает целые пласт угроз, принципиально не видимый классическим инструментам:

* Горизонтальное перемещение злоумышленника — малошумное и почти незаметное по стандартным метрикам.

* Активность заражённых узлов, включая типичное для ботнетов периодическое обращение к C&C-инфраструктуре (beaconing).

* Zero-day атаки, определяемые через отклонение от “нормального” поведения конкретного хоста.

Благодаря анализу временных рядов и набору поведенческих признаков NDR фиксирует не просто факт сетевого события, а его контекст и аномальность.

Как NDR интегрируется в SOC и с какими сложностями обычно сталкиваются при внедрении?

NDR становится для SOC дополнительным уровнем глубины — “книгой учёта” сети, где аналитик может проверить гипотезы и быстро получить подтверждение или опровержение.

Обычно NDR передает уведомления и артефакты расследований в SIEM, обеспечивая возможность перехода по ссылке на интерфейс для углублённого анализа и реагирования. В ряде сценариев NDR становится единым окном для работы и постепенно разворачивается в сторону XDR-подхода.

Основные сложности внедрения связаны с корректным размещением сенсоров, подготовкой инфраструктуры и необходимостью обеспечить полноту сетевой телеметрии — особенно в высоконагруженных средах.

Как NDR повышает эффективность реагирования и сокращает время обнаружения инцидентов?

NDR обеспечивает аналитика SOC ключевыми компонентами: сетевой видимостью, контекстом и механизмами реагирования.

Благодаря этому рутинные задачи расследования типовых атак сокращаются в разы — аналитик сразу получает необходимые данные, а не собирает их из разных источников.

Использование поведенческих и статистических методов детектирования позволяет точно фиксировать практически любую аномалию и быстро переходить к разбору её первопричин.

Можно ли считать NDR шагом к более «умному» и автоматизированному SOC?

Да, NDR — одна из ключевых технологий SOC нового поколения. В архитектуре SOC 2.0 такие системы играют роль интеллектуального слоя предобработки данных, снижая нагрузку на аналитиков и исключая ручной поиск дополнительной информации.

Продукты класса detection & response берут на себя рутинные операции, превращая аналитика SOC из “человека-оркестра” в управляющего процессом эксперта, который фокусируется на принятии решений, а не на сборе данных.

Какие тенденции определяют развитие NDR-технологий, и как они повлияют на сетевую безопасность в ближайшие годы?

Отрасль движется в сторону более точных и контекстных механизмов принятия решений.

Сегодня один из ключевых барьеров — опасения заказчиков по поводу автоматизированного реагирования и возможных ложноположительных срабатываний. Тенденция ближайших лет — углублённая интеграция NDR с бизнес-процессами компании, использование дополнительных источников обогащения и введение риск-ориентированного скоринга критичности узлов.

Параллельно будет уменьшаться порог входа: интерфейсы станут проще, сценарии реагирования — более преднастроенными, а развёртывание — менее ресурсоёмким. Это сделает NDR не только высокотехнологичным, но и доступным инструментом для более широкого круга организаций.

Опубликовано

Системный интегратор «Компетенция» и ИТ-вендор «Инферит» (кластер «СФ Тех» ГК Softline) предложат совместное решение по автоматизации бизнеса

Российский ИТ-вендор «Инферит» (кластер «СФ Тех» ГК Softline) и системный интегратор «Компетенция» заключили соглашение о сотрудничестве. Технологическое партнерство направлено на развитие ИТ-инфраструктуры коммерческих компаний, что соответствует стратегии ГК Softline.

«Компетенция» уже 8 лет помогает бизнесу автоматизировать процессы, защищать данные и развивать ИТ-инфраструктуру, сокращая издержки за счет современных ИТ-инструментов. Клиентами интегратора являются как крупные промышленные холдинги, так и средний бизнес — ИТ-решения адаптируются под специфику каждого сегмента заказчиков.

Компания разрабатывает и внедряет специализированное ПО для автоматизации управленческих процессов, финансового планирования, аналитики. В портфеле «Компетенции» — свыше 300 реализованных проектов по 50 видам услуг.

Теперь, благодаря партнерству с «Инферит», интегратор сможет предлагать клиентам услуги по инвентаризации ИТ-инфраструктуры. Перечень возможностей компании расширился за счет флагманского продукта вендора — системы «Инферит ИТМен», предназначенной для комплексной инвентаризации, учета и контроля ИТ-активов. ПО агрегирует данные из разных источников, нормализует, идентифицирует, обогащает и типизирует для создания единой достоверной картины ИТ‑активах.

Также в экосистему «Инферит» входит производство компьютерного и серверного оборудования, инструменты информационной безопасности, платформы для биллинга и управления затратами на ИТ-инфраструктуру и облака.

«Наши клиенты, особенно в сегменте промышленных холдингов и быстрорастущего среднего бизнеса, сегодня ставят задачи не просто по импортозамещению, а по созданию управляемой и прозрачной ИТ-среды. Многолетняя экспертиза “Компетенции” в автоматизации управленческого и финансового учета в связке с мощным инструментом инвентаризации “Инферит ИТМен” позволяет закрыть этот запрос комплексно. Мы видим высокий спрос на услуги по формированию единого актуального слоя данных об ИТ-активах — это основа для принятия любых стратегических решений, будь то миграция, оптимизация бюджета или обеспечение безопасности. Партнерство с “Инферит” дает нам возможность предлагать рынку проверенное отечественное решение, которое мы готовы внедрять с учетом индивидуальных бизнес-процессов заказчика», — отметил Алексей Терешин, технический директор компании «Компетенция».

«Большой опыт интегратора в автоматизации управленческих процессов позволяет нам уверенно предлагать бизнесу комплексные сценарии внедрения совместных решений. Это дает заказчикам возможность выстраивать прозрачную ИТ-инфраструктуру, одновременно решая задачи цифровизации управленческого учета. Уверен, что синергия наших компетенций обеспечит клиентам максимальную эффективность при переходе на отечественные технологии», — отметил Павел Витков, директор по продажам программных продуктов «Инферит» (кластер «СФ Тех» ГК Softline).

Опубликовано

Bell Integrator FabricaONE.AI (акционер – ГК Softline) модернизировала ИТ-инфраструктуру контакт‑центра крупного российского банка

Компания Bell Integrator FabricaONE.AI (акционер – ГК Softline) завершила проект по модернизации ИТ-инфраструктуры контакт‑центра крупного российского банка. Заказчик в сжатые сроки получил масштабируемое отказоустойчивое решение, помогающее сократить операционные издержки.

Банк принял решение модернизировать свой контакт-центр в целях повышения скорости и качества обслуживания на фоне роста клиентской базы. Кроме того, необходимо было обеспечить технологическую независимость важных ИТ-систем от иностранного ПО. Действующая CRM-система от зарубежного вендора не могла обеспечить требуемый уровень надежности, так как имела ограничения в технической поддержке, возможности обновления и расширения функционала.

Специалисты Bell Integrator перенесли бизнес-процессы контакт-центра банка на новое решение и выполнили полную миграцию данных. Переход был реализован бесшовно, с параллельной работой старой и новой систем, что дало возможность заказчику не останавливать важные для бизнеса клиентские сервисы.

Эксперты компании всего за 9 месяцев создали полноценный функционал контакт-центра, состоящий из двух Личных кабинетов (ЛК). ЛК Администратора содержит бизнес-функции по администрированию справочников. ЛК Оператора поддерживает следующие бизнес-функции:

  1. Регистрация тематик
  2. CTI — панель
  3. Работа с Лидами/Заявками
  4. Работа с Организациями
  5. Подключение продуктов
  6. Отправка SMS/Email

Реализация проекта обеспечила заказчику независимость от проприетарного программного обеспечения, а для технической поддержки обновленного контакт-центра достаточно небольшой команды специалистов. Кроме того, созданный продукт полностью соответствует требованиям законодательства РФ по безопасности и импортозамещению.

Результатом работы команды Bell Integrator FabricaONE.AI стало создание отказоустойчивого решения с увеличенной пропускной способностью каналов коммуникаций, которое легко масштабируется и дорабатывается под нужды банка. Заказчик получил не только экономию вычислительных ресурсов и снижение расходов на оплату лицензий и технической поддержки иностранного ПО, но и сокращение операционных издержек.

«Модернизация контакт-центра — это лишь первый шаг в рамках масштабного технологического обновления. Мы применили лучшие технические практики, которые теперь можно экстраполировать на все остальные функциональные блоки. В результате банк получает не просто замену системы, а гибкую и независимую функциональность, способную оперативно реагировать на нужды клиентов и развиваться без внешних ограничений», – рассказал Дмитрий Звездов, руководитель проекта Bell Integrator.

Опубликовано

Выбраны лучшие бренды для подработки в ритейле

Цифровая платформа гибкой занятости Ventra Go! раскрыла результаты премии Ventra Go! Retail Awards. Сервис публикует рейтинг уже второй год подряд.

Награда отмечает достижения ритейл-брендов в построении эффективной и уважительной культуры работы с гибким персоналом.

Как были выявлены победители премии

  • На платформе Ventra Go! зарегистрировано 2 млн+ исполнителей, которые каждый день выходят на подработку в 300+ брендов. После завершения каждого задания исполнители могут поставить «звезды» – оценки и написать комментарий.

  • В рамках Премии 2026 были проанализированы 610 000 оценок и 397 000+ отзывов и комментариев исполнителей, что втрое больше, чем в 2025 году. Были изучены отзывы исполнителей, которые ежедневно берут подработку в 25 000+ торговых точках.
  • Лидеры были отфильтрованы по рейтингу — так появился шорт-лист из 12 брендов, чьи сильные стороны высоко оценили временные исполнители.

  • Пять победителей 2025 года стали лауреатами 2026, среди них: Азбука вкуса, Улыбка радуги, Лента, Золотое Яблоко, О’КЕЙ.

В номинации «Безусловное признание» оценивался суммарный рейтинг по всем критериям. Лидером по количеству высоких оценок в Москве стал SPAR, в регионах в этой же категории одержал победу О’КЕЙ.

В номинации «Внимательное отношение» стал лидером RMixed (MAAG, ECRU, VILET и DUB). Торговые точки получили высокие оценки исполнителей за персональное внимание со стороны директоров магазинов.

В номинации «Быстро и четко» временные работники выделили АШАН, так как в их торговых точках директора магазинов быстро подтверждают выполнение заданий, а исполнители могут сразу получить деньги за подработку.

В номинации «Культура гибкой занятости», в которой оценивалась теплое и уважительное отношение к временным работникам, больше всего баллов набрала Азбука вкуса.

Ритейл-бренд Лента получил номинацию «Самый стабильный». Исполнители отмечали высокий темп подработки и поддержку со стороны команды торговых точек.

Сеть Снежная Королева удостоена номинации «Модное место». Временные работники часто отмечали в отзывах, что им нравится особый стиль магазинов и команда, которая разбирается в модных трендах.

В номинации «Лучшая атмосфера» исполнители отметили Улыбку радуги, в отзывах чаще всего указывали возможность прикоснуться к миру эстетики и красоты.

А четче всего, по мнению исполнителей, задачи формулировали директора Золотого Яблока. Поэтому бренд уже второй год подряд становится лидером в номинации «Ответственный подход».

В номинации «Лучший онбординг» больше всего высоких оценок набрал бренд Подружка. В этих магазинах исполнители отметили подробных инструктаж перед выходом на задание.

«Открытием года» стал новый партнер Ventra Go! — Спортмастер. Исполнители оценили понятные задачи и отзывчивую команду, в которую хочется возвращаться.

В номинации «Самый ожидаемый» стал бренд Чижик. Про возможность выполнения заданий в этой сети исполнители интересуются чаще всего.

«Ventra Go! Retail Awards — уникальная премия. Это единственная награда, которая вручается на основе оценок работников, ежедневно выходящих на подработку в ритейл-бренды. Таким образом, лауреаты премии — компании, которые создают комфортные условия для работы, заботятся о временном персонале и тем самым развивают культуру гибкой занятости в стране», — комментирует директор по маркетингу цифровой платформы гибкой занятости Ventra Go! Анна Ларионова.

Номинация Бренд
«Безусловное признание» (Москва) SPAR
«Безусловное признание» (Регионы) О’КЕЙ
«Внимательное отношение» RMixed (MAAG, ECRU, VILET и DUB)
«Быстро и четко» АШАН
«Культура гибкой занятости» Азбука Вкуса
«Самый стабильный» Лента
«Модное место» Снежная Королева
«Лучшая атмосфера» Улыбка радуги
«Ответственный подход» Золотое Яблоко
«Лучший онбординг» Подружка
«Открытие года» Спортмастер
«Самый ожидаемый» Чижик

О Ventra Go!

Ventra Go! – лидер рынка цифровых платформ гибкойзанятости, топ-5 рынка HR Tech России (Smart Ranking). Ventra Go! объединяет более 300 брендов (крупнейшие ритейл-сети, e-com, HoReCa) и более 2 млн исполнителей, гарантируя первым быстрое закрытие потребности в проверенном временном персонале, а вторым — ежедневные выплаты и возможность решать, где и когда они хотят работать. Платформа представлена во всех регионах РФ.

  • GMV* 8,1 млрд рублей, х2 раза рост YoY
  • Инвестиции 700 млн рублей от фонда ВИМ Инвестиции
  • Топ-20 бесплатных приложений в категории «Бизнес» в РФ.

Опубликовано

«ГИГАНТ Компьютерные системы» о кризисе на мировом рынке памяти

Подробности о том, как мировой рынок электроники столкнулся с кризисом из-за чипов памяти, читайте в материале РИАМО.

Технологические гиганты из Китая, изготавливающие смартфоны, резко увеличат стоимость товаров в марте из-за роста цен на чипы памяти. Этот рост станет самым большим за последние пять лет, причем похожие тенденции сегодня наблюдаются на всем мировом рынке электроники.

Что известно о росте цен на китайские смартфоны

О том, что технологические гиганты из Китая, изготавливающие смартфоны, резко увеличат стоимость товаров в марте из-за роста цен на чипы памяти, в конце минувшего февраля агентству «Цайлянь» сообщили источники в области отраслевых поставок. По словам источников, ожидаемое увеличение цен в сфере может стать самым большим за последние пять лет.

Нынешняя стоимость закупки микросхем памяти для телефонов увеличилась более чем на 80%, если сравнивать с тем же периодом в 2025 году. При этом признаков уменьшения роста пока нет. Цены увеличатся на такие бренды, как OnePlus, Oppo, Xiaomi, Vivo и Honor — стоимость может вырасти уже в начале марта.

Значительное увеличение цены на чипы отражает уменьшение мирового предложения и восстановление спроса в области потребительской экономики. Циклы изготовления полупроводников будут и дальше давить на розничные рынки, считают эксперты.

С чем связан глобальный кризис из-за чипов памяти

Сегодня рынок памяти буквально «съедает» искусственный интеллект (ИИ), говорит в беседе с РИАМО директор по производству компании «Торговый Баланс М», кандидат физико-математических наук Михаил Рыжков. Стремительное развитие и массовое внедрение ИИ привели к взрывному росту числа дата-центров по всему миру.

А дата-центр — это, по сути, огромная фабрика по хранению и обработке данных, где чипы памяти являются одним из ключевых ресурсов, объясняет эксперт. В итоге крупнейшие производители (например, Samsung Electronics, SK Hynix и Micron Technology) переориентируют мощности в пользу поставок для ИИ-инфраструктуры.

«Это логично: маржинальность выше, контракты крупнее, спрос стабильно растет. Но есть и обратная сторона — это резкое сокращение предложения для массового рынка, а из этого, естественно, следует стремительный рост цен».

Михаил Рыжков, директор по производству компании «Торговый Баланс М», кандидат физико-математических наук.

При этом подобная переориентация происходит не только на рынке памяти, но и процессоров и других компонентов микроэлектроники, так как для нормальной работы ИИ нужны не только память, но и электронные «мозги». Сформировавшийся дефицит компонентов уже привел к резкому росту цен: по отдельным позициям стоимость микросхем памяти уже выросла на десятки процентов, а в некоторых сегментах — почти вдвое, отмечает гендиректор компании «ГИГАНТ Компьютерные системы» Сергей Семикин.

По словам эксперта, в краткосрочной перспективе ожидать быстрой стабилизации рынка не стоит. Производство полупроводников — крайне капиталоемкая отрасль, и расширение мощностей требует миллиардных инвестиций и нескольких лет строительства новых фабрик. Кроме того, производители пока осторожно подходят к масштабному наращиванию выпуска памяти. Рынок ИИ растет очень быстро, но его дальнейшая динамика остается неопределенной, поэтому компании стараются избегать избыточных инвестиций.

«Поэтому в ближайшие месяцы рынок, скорее всего, останется напряженным. Высокий спрос со стороны ИИ-инфраструктуры продолжит оказывать давление на предложение, а цены на память и устройства, которые ее используют, могут сохранять восходящую динамику», — считает Сергей Семикин.

Чем кризис из-за чипов памяти грозит рядовым потребителям

Глобальный кризис из-за чипов памяти грозит ростом цен практически на всю электронику, говорит Михаил Рыжков. При этом дороже становятся не только ноутбуки, планшеты и смартфоны, но и промышленное оборудование, автомобильная электроника, системы автоматизации. А когда дорожает промышленная и транспортная электроника, это неизбежно отразится на конечной стоимости товаров и услуг — от продуктов питания до логистики.

Цены на смартфоны взлетят, о чем источники говорят открыто. Дешевые «трубки» за 10–15 тысяч просто исчезнут с полок — их производство стало невыгодным. Производители начнут хитрить: поставят во флагман 12 ГБ памяти вместо 16, а в ноутбук — 8 ГБ вместо 16».

Дмитрий Никулин, директор компании «Автоматика.ру».

Память является одним из ключевых компонентов практически любой современной электроники: смартфонов, ноутбуков, персональных компьютеров, телевизоров и серверного оборудования, дополняет Сергей Семикин. Когда стоимость NAND и DRAM растет, производители техники неизбежно закладывают это в цену конечных устройств. Именно поэтому уже сейчас на рынке наблюдается рост стоимости электроники.

Кроме того, в отдельных сегментах могут возникать временные ограничения по доступности определенных моделей или конфигураций устройств, особенно если речь идет о моделях с большим объемом памяти, отмечает эксперт.

В какую электронику стоит вкладывать деньги на фоне кризиса

Если покупка техники действительно необходима для работы или бизнеса, откладывать ее на длительный срок может быть не самым рациональным решением, говорит Сергей Семикин. С учетом сохраняющегося дефицита компонентов цены на электронику в ближайшей перспективе, скорее всего, будут оставаться под давлением и продолжат расти.

«Поэтому разумно инвестировать в устройства, которые действительно используются в ежедневной работе и способны повысить производительность — например, рабочие ноутбуки, серверное оборудование или инфраструктурную технику».

Сергей Семикин, гендиректор компании «ГИГАНТ Компьютерные системы».

При этом важно ориентироваться не на максимальные характеристики «на вырост», а на конфигурации, которые оптимально соответствуют текущим задачам. В то же время Михаил Рыжков считает, что в ближайшей перспективе ожидается снижение спроса на потребительскую электронику (ноутбуки, планшеты, смартфоны и так далее). Люди будут откладывать обновление техники, а производство устройств, обязательных к использованию, на может остаться примерно на уровне 2025 года.

«Речь о технике, без которой невозможно вести бизнес или обеспечивать базовую инфраструктуру: тахографы, кассовые аппараты, счетчики, оборудование для агросектора, системы безопасности и так далее. Эти сегменты более устойчивы, поскольку такая техника просто необходима», — отмечает эксперт.

От каких покупок стоит воздержаться

На фоне кризиса из-за чипов памяти в первую очередь стоит отказаться от дорогой потребительской электроники, если это не острая необходимость, советует Михаил Рыжков. Рациональнее выбирать простые, надежные устройства с понятным функционалом и гарантированным сроком службы от пяти лет.

В свою очередь Дмитрий Никулин отмечает, что покупать видеокарты с более чем 16 ГБ памяти стоит только при острой необходимости, поскольку они уже выросли в цене. А персональный компьютер сегодня лучше брать готовым, а не собирать самостоятельно с нуля. Цены на все компоненты выросли по отдельности, и самостоятельная сборка выйдет дороже.

«Тренд на увеличение стоимости электроники общемировой, глобальный. Но в России на него дополнительно накладываются еще и маркировка, вводимая для электроники, рост НДС и борьба с серым импортом, а также технологический сбор. И все это увеличивает конечную стоимость. Иными словами, эпоха «дешевой электроники» заканчивается, по крайней мере, на ближайшую перспективу», — говорит эксперт.

В целом текущая ситуация на рынке подталкивает как компании, так и частных пользователей к более прагматичному подходу: покупать технику тогда, когда она действительно необходима, и выбирать решения, которые дают понятную практическую ценность, заключает Сергей Семикин.

Источник: https://riamo.ru/articles/aktsenty/na-vseh-ne-hvatit-kak-mirovoj-rynok-elektroniki-stolknulsja-s-krizisom-iz-za-chipov-pamjati/?from=inf_cards

Опубликовано

UDV Group: Зрелость процессов против сложных инструментов — почему правильно организованные команды выигрывают

Николай Нагдасев, ведущий специалист департамента кибербезопасности UDV Group

Внедрить сложное ИБ-решение значительно проще, чем выстроить процесс его эффективного использования. В российских компаниях технологический стек нередко расширяется быстрее, чем формируется операционная дисциплина: появляются новые платформы, консоли и алерты, но управляемость при этом не растет. В результате инструменты начинают подменять процессы вместо того, чтобы их усиливать. О том, как выстроить операционную модель так, чтобы технологии усиливали процессы, а не создавали иллюзию контроля, рассказывает Николай Нагдасев, ведущий специалист департамента кибербезопасности UDV Group.

Когда технологии не работают: эффект отсутствия процессов

Сложные ИБ-инструменты не дают ожидаемого эффекта в тех случаях, когда они внедряются в среду с незрелыми или неформализованными процессами. Проблема здесь, как правило, не в качестве технологий, а в отсутствии операционной модели, которая должна обеспечивать их работу.

Характерный пример — внедрение полнофункционального SIEM-решения для покрытия распределенной или филиальной инфраструктуры. Инвестиции существенные, проект формально реализован, система развернута. Однако через год эксплуатации она продолжает работать в базовой конфигурации и фактически не влияет на уровень защищенности. Причина обычно лежит не в инструменте, а в отсутствии регламентированной операционной схемы: не определены роли и зоны ответственности, не закреплено, кто обрабатывает алерты первой линии, как осуществляется эскалация, в какие сроки происходит закрытие инцидентов. В результате поток событий накапливается, часть алертов остается без обработки, а критичность определяется на уровне субъективного решения специалиста.

Аналогичная ситуация наблюдается при внедрении решений класса VulnerabilИТy Management. Наличие сканера уязвимостей само по себе не означает появления процесса управления уязвимостями. Инструмент фиксирует текущее состояние инфраструктуры, но не обеспечивает закрытие выявленных проблем. Если не определены регламентированные сроки устранения, порядок ранжирования по критичности, процедура проверки применимости уязвимости к конкретной среде и механизм контроля повторного возникновения, решение начинает выполнять исключительно диагностическую функцию. Отчеты формируются, но реальный уровень защищенности остается прежним.

Почему инструменты «включили и забыли» перестают работать

Типовые ошибки в организации процессов часто приводят к тому, что функциональность ИБ-инструментов формально присутствует, но практически не используется.

Первая распространенная ошибка — подход «включили и забыли». Система информационной безопасности не является статичным оборудованием, которое можно установить и эксплуатировать без изменений. Любое решение требует регулярного тюнинга и адаптации. Инфраструктура компании развивается: появляются новые сервисы, меняются схемы взаимодействия, трансформируется архитектура. Одновременно эволюционирует и ландшафт угроз — появляются новые техники атак и способы обхода защитных механизмов. Если инструмент не адаптируется к этим изменениям, его эффективность постепенно снижается.

Вторая составляющая — изменение требований. Корректировки внутренних регламентов, отраслевых стандартов или требований регуляторов нередко требуют пересмотра конфигураций и сценариев использования средств защиты. При отсутствии процесса актуализации инструменты продолжают работать в старой логике, которая уже не соответствует действующим задачам.

Еще одна типовая ошибка — отсутствие формализации и документирования. На практике часто система или отдельный процесс держатся на компетенции одного специалиста. В моменте это может работать эффективно, однако при увольнении или длительном отсутствии сотрудника инструмент фактически остается без владельца. Технология продолжает функционировать, но операционная логика ее использования теряется. Такая зависимость от персонального опыта создает управленческий риск.

Зрелая модель предполагает закрепленные роли, задокументированные процедуры и возможность воспроизводимости процессов независимо от конкретного исполнителя.

Как зрелость процессов влияет на требования к инструментам и архитектуре

Базовые направления защиты понятны: межсетевое экранирование, защита конечных точек, резервное копирование, анализ событий, контроль удаленного доступа, защита веб-приложений. По мере развития ИТ-ландшафта добавляются более специфические задачи — безопасность контейнерных сред, облачных платформ, инструментов искусственного интеллекта. Но глубина этих требований всегда определяется уровнем зрелости самой организации.

Если компания развита технологически, ее потребности становятся сложнее. Однако при выборе инструментов ключевой вопрос — не «что умеет продукт», а «для какой задачи и в каком процессе он будет использоваться».

На примере SIEM это особенно заметно. Цель системы — не агрегировать события и демонстрировать корреляцию по базовым правилам, а выявлять инциденты, критичные именно для конкретной инфраструктуры, с учетом значимости активов и сценариев атаки. Без четкого понимания процессов SIEM превращается в хранилище логов с минимальным прикладным эффектом.

Компании, которые только формируют процессную модель, нередко приобретают решения с максимально широким функционалом «на вырост». Логика понятна: лучше закрыть потенциальные потребности заранее. Однако без четко описанных сценариев использования и закрепленных ролей значительная часть возможностей остается невостребованной. Инструмент оказывается технически мощным, но не встроенным в операционную модель.

Именно зрелость процессов меняет логику выбора. Когда команда понимает, какие задачи решает, какие сценарии должны поддерживаться и какие показатели надо контролировать, требования к инструменту становятся конкретными. Архитектура при этом становится гибкой и сервис-ориентированной: замена одного компонента — антивируса, средства мониторинга или другого элемента — не разрушает систему, потому что процессы остаются стабильными. В такой модели инструменты выбираются под задачи и процессы, а не наоборот.

Почему распределение ролей важнее сложности инструментов

Процессы информационной безопасности почти всегда пересекают несколько подразделений. ИТ отвечает за инфраструктуру и доступность сервисов, производственные или бизнес-направления — за прикладные системы и технологические сегменты, ИБ — за выявление угроз и ограничение распространения атак. На границах этих зон и возникают основные риски.

Типичная ситуация: аппаратная платформа формально относится к зоне ответственности ИТ, но фактически часть оборудования размещена в закрытом технологическом контуре и обслуживается другим подразделением. В результате общие политики управления операционными системами, обновлениями и конфигурациями, принятые в ИТ, в этом сегменте не применяются. Цепочка управления и контроля там иная. Это напрямую влияет на безопасность. Процедуры ИБ, встроенные в ИТ-процессы, не «наследуются» в технологическом сегменте, а формируются заново или не формируются вовсе. Возникает разрыв между архитектурной моделью и фактической эксплуатацией.

В управлении инцидентами проблема усиливается. Если роли в процессе реагирования не закреплены, возникает эффект распределенной ответственности: каждый считает, что инцидент находится в зоне другого подразделения. Теряется время, растет напряжение между командами, а технические инструменты, требующие совместного владения, фактически остаются без операционного управления. В таких условиях увеличение числа решений не повышает уровень защиты. Критичным становится четкое распределение зон ответственности — именно они обеспечивают реальное функционирование инструментов внутри единой архитектуры.

Какие метрики действительно отражают зрелость процессов

Определить зрелость процессов только по наличию регламентов невозможно. Формально описанный процесс может существовать на бумаге, но не работать на практике. Реальную картину дают операционные и результативные метрики.

Если говорить о процессе управления инцидентами, стандартный набор показателей делится на две группы. К операционным относятся время обнаружения, реагирования и восстановления, количество инцидентов в работе и их распределение по критичности. Эти метрики показывают загрузку и темп работы команды. Метрики эффективности отражают качество процесса. Это процент ложных срабатываний, доля инцидентов, закрытых в рамках SLA, количество повторных инцидентов и процент случаев, по которым проведен анализ коренных причин.

Ключевыми индикаторами зрелости можно считать несколько показателей.

  1. Среднее время обнаружения. Насколько быстро команда понимает, что инцидент действительно происходит.
  2. Среднее время реагирования, то есть интервал от обнаружения до фактического сдерживания или остановки атаки.
  3. Количество повторных инцидентов. Если схожие сценарии регулярно воспроизводятся, значит первопричина не устранена. Зрелая модель предполагает не только закрытие инцидента, но и изменение конфигураций, политик или настроек средств защиты для предотвращения повторения.

Четвертый показатель более стратегический — время, необходимое атакующему для достижения критической цели внутри инфраструктуры. Он отражает эффективность эшелонированной защиты и количество барьеров на пути атаки. Оценивать его целесообразно проактивно, через пентесты и киберучения, не дожидаясь реального инцидента.

Именно динамика этих метрик, а не их разовое значение, позволяет судить о том, что процесс развивается и становится зрелым. Однако сами по себе метрики не повышают устойчивость — они лишь фиксируют состояние системы. Возникает практический вопрос: какие управленческие и инженерные шаги позволяют улучшать эти показатели без постоянного расширения технологического стека?

Как повысить эффективность команды без усложнения технологического ландшафта на примере процесса управления инцидентами

Первый элемент — формализация сценариев реагирования. Задача не должна звучать абстрактно как «расследовать инцидент». Для типовых ситуаций (заражение вредоносным ПО, компрометация учетной записи, попытка несанкционированного доступа и т.д.) должна быть зафиксирована согласованная последовательность действий. Фактически речь идет о чек-листах: изолировать хост, собрать артефакты, проверить хеши, зафиксировать события, инициировать восстановление. Такой подход снижает зависимость от субъективной интерпретации и позволяет отслеживать выполнение каждого шага.

Второй практикой является обязательный разбор инцидентов. Приоритет — анализ причин: где именно произошел сбой, почему информация не была замечена, на каком этапе нарушена логика контроля. Цель — устранение процессных и процедурных пробелов, а не поиск виновных. В большинстве случаев корректировка процессов дает больший эффект, чем установка дополнительного сенсора.

Третья практика — регулярные киберучения и тренировки. Они позволяют проверить работоспособность сценариев, оценить готовность команды и выявить узкие места без наступления реального инцидента. Такой формат дает объективную картину задержек, несогласованности действий и проблем эскалации. В результате корректировки вносятся проактивно, а не в условиях кризиса.

Эти практики усиливают управляемость без расширения технологического стека. В зрелой модели сначала настраивается дисциплина исполнения и воспроизводимость процессов, и только затем принимаются решения о расширении инструментов. Игнорирование этой последовательности и приводит к одной из самых распространенных управленческих ошибок — масштабированию ИБ за счет новых решений при сохранении прежней организационной модели.

Ошибки масштабирования: когда инструменты подменяют процессы

Одна из самых распространенных ошибок — попытка решить организационный хаос технологическим способом. Если в компании не выстроен процесс управления инцидентами, отсутствуют закрепленные роли и понятная эскалация, появление нового инструмента не устранит эти пробелы. Например, руководство видит, что команда не справляется с потоком событий, и принимает решение внедрить SIEM или EDR, рассчитывая, что система «сама найдет и расследует» угрозы.

Фактически же без предварительной настройки операционной модели новый инструмент становится еще одним источником данных. Появляется дополнительная консоль, новый поток алертов и еще больше событий, которые необходимо анализировать. При отсутствии распределенной ответственности и регламентированных сценариев обработки нагрузка на команду только возрастает.

До покупки решения необходимо ответить на несколько базовых вопросов: кто отвечает за первичный анализ, какие критерии критичности используются, как происходит эскалация, какие шаги обязательны при разных типах инцидентов. Нередко оказывается, что проблема заключается не в нехватке технологии, а в отсутствии сценариев и регламента. В ряде случаев даже без дорогостоящего инструмента можно сократить время реагирования за счет формализации процесса.

Заключение: три принципа, чтобы инструменты усиливали процессы, а не подменяли их

Если обобщить практику внедрения ИБ-решений, можно выделить несколько принципов, которые стоит зафиксировать на управленческом уровне.

Первый принцип — сначала процесс, потом инструмент. До закупки решения необходимо описать логику его использования: как движется информация, кто принимает решения, кто нажимает какие кнопки и в какой последовательности. Инструмент можно сравнить с ускорителем — он повышает скорость уже существующего процесса. Если процесс не сформирован, технология не приведет к результату.

Второй принцип — инструмент не компенсирует управленческие проблемы. Конфликт полномочий, размытые зоны ответственности или отсутствие регламентов не устраняются внедрением новой платформы. Более того, сложное решение в такой среде способно усилить напряжение, добавив новые точки контроля и споров. Управленческие вопросы должны быть решены до масштабирования технологического ландшафта.

Третий принцип — простота как индикатор зрелости. Зрелость не измеряется количеством экранов в центре мониторинга или объемом внедренных решений. Она определяется тем, насколько короткой и понятной является цепочка действий от обнаружения угрозы до ее нейтрализации. Архитектура и инструменты должны сокращать эту цепочку, делать процессы прозрачными и воспроизводимыми.

В конечном счете технология должна усиливать уже выстроенные процессы, а не подменять их. Там, где есть дисциплина, распределенная ответственность и понятная логика действий, инструменты действительно дают эффект. Там, где этого нет, они лишь усложняют картину, не повышая уровень реальной защищенности.

Источник: https://www.novostiitkanala.ru/news/detail.php?ID=194276