SOC и SIEM для среднего бизнеса: минимальная рабочая модель мониторинга без «золотого» бюджета

Как выстроить реальную защиту при ограниченных ресурсах, когда атак становится больше, а специалистов — меньше

Введение: почему средний бизнес больше не может игнорировать мониторинг

Долгое время считалось, что SOC — это прерогатива банков, телекомов и государственных структур. Средний бизнес мог позволить себе антивирус, межсетевой экран и, при удаче, одного ИБ-специалиста. Это время прошло.

По данным аналитиков RED Security SOC, за первое полугодие 2025 года число кибератак на российские компании превысило 63 тысячи — на 27% больше, чем годом ранее [6]. Хакеры перешли от массовых атак к тщательно спланированным таргетированным операциям, которые дольше остаются незамеченными. Именно средний бизнес оказался в зоне риска: достаточно крупный, чтобы представлять интерес для злоумышленников, но недостаточно защищённый, чтобы эффективно противостоять угрозам.

Параллельно изменился регуляторный контекст. Федеральный закон №420-ФЗ от ноября 2024 года ввёл оборотные штрафы за утечки персональных данных — до 1–3% годовой выручки за повторные нарушения, но не менее 20 и не более 500 млн рублей [5]. Компании, попадающие под 187-ФЗ как субъекты КИИ, обязаны взаимодействовать с ГосСОПКА. Регуляторный долг накапливается быстро, а проверки ужесточаются [7].

Эта статья — практическое руководство для ИТ-директоров, руководителей ИБ и собственников среднего бизнеса, которые хотят выстроить реальный мониторинг безопасности, не тратя десятки миллионов рублей на инфраструктуру, которую потом некому обслуживать.

Часть 1. Что такое SOC и SIEM: разбираем термины без воды

Прежде чем говорить о минимальных моделях, определимся с понятиями, потому что на практике их часто путают.

SOC (Security Operations Center) — это не просто программное обеспечение. Это люди, процессы и технологии, объединённые для непрерывного мониторинга, обнаружения, анализа и реагирования на инциденты безопасности [8]. Ключевое слово здесь — «непрерывно». SOC, который работает только в рабочее время, — это не SOC, это иллюзия безопасности.

SIEM (Security Information and Event Management) — это технологическое ядро SOC. Система собирает события из разных источников (серверы, сетевые устройства, приложения, средства защиты), нормализует их в единый формат, коррелирует по заданным правилам и сигнализирует о подозрительной активности [9]. Если SOC — это завод, то SIEM — его главный конвейер.

Важно понимать, что SIEM — инструмент, а не подразделение. Можно иметь дорогую SIEM без SOC, и тогда никто не будет реагировать на её алерты. И наоборот, можно построить работающий SOC с недорогой SIEM, если правильно настроены процессы.

Технологический стек полноценного SOC выглядит внушительно: SIEM для сбора и корреляции логов, SOAR/IRP для автоматизации реагирования, TIP (Threat Intelligence Platform) для работы с данными об угрозах, NTA/NDR для анализа сетевого трафика, EDR для мониторинга конечных точек [10]. Для среднего бизнеса вся эта «стопка» технологий нереалистична. Но она и не нужна с самого начала.

Часть 2. Реальность цифр: сколько стоит «полный» SOC и почему это не для всех

Цифры жёсткие. Минимальная планка для запуска сервисной модели SOC, по оценке эксперта Максима Жевнерёва, — 2,5 млн рублей в год для небольшой инфраструктуры [11]. При этом содержание инхаус-команды из 6–8 человек, необходимых для круглосуточного дежурства, обходится от 8 до 11 млн рублей в год только на зарплаты [8]. К этому добавляются лицензии SIEM, оборудование и время на внедрение.

Средняя стоимость тендерного внедрения SIEM по итогам первого квартала 2025 года составила 14,9 млн рублей, а услуг по мониторингу — 16,7 млн рублей [2]. Это данные по госзаказу и крупным корпоративным проектам: реальные цифры для среднего бизнеса в сервисной модели ниже, но всё равно значительны.

Создание собственного SOC с нуля занимает больше года: нужно выбрать и внедрить SIEM и EDR, собрать команду, написать регламенты, настроить правила корреляции [3]. По данным Gartner (приводятся в русскоязычной аналитике), даже готовую полнофункциональную SIEM полноценно внедряют в среднем полгода, а каждая десятая компания тратит на это год [12].

Кадровая проблема делает собственный SOC ещё менее реалистичным. К середине 2024 года дефицит ИБ-специалистов в России составил 45% от общего числа занятых в отрасли — около 50 тысяч человек [4]. Наиболее дефицитные профили — аналитики SOC, форензики, пентестеры и архитекторы ИБ [13]. Для среднего бизнеса, конкурирующего за кадры с банками и крупными IT-компаниями, найти и удержать хороших аналитиков практически невозможно.

Итог: полноценный инхаус-SOC — нереалистичный сценарий для большинства средних компаний. Но это не значит, что нужно оставаться без защиты.

Часть 3. Три модели для среднего бизнеса: какую выбрать

Существует не два варианта (свой SOC или аутсорсинг), а как минимум четыре модели, которые можно комбинировать [10, 14].

1. Полностью аутсорсинговый SOC (MSSP/SOCaaS). Провайдер берёт на себя всё: технологии, специалистов, мониторинг 24/7. Для подключения достаточно настроить передачу логов. Предсказуемая подписка, быстрый старт (недели вместо месяцев), доступ к экспертизе, которую невозможно вырастить внутри. Риски: меньший контроль, телеметрия уходит к стороннему провайдеру, необходимо тщательно выбирать партнёра [15].
2. Гибридная модель. Внутри остаётся часть функций (реагирование, расследование сложных инцидентов, управление контентом), мониторинг первого уровня передаётся внешнему SOC. Оптимально для компаний, где есть 1–2 ИБ-специалиста, но нет возможности обеспечить дежурство 24/7 [16].
3. Managed SIEM (аутстаффинг аналитиков). Инфраструктура (SIEM и другие инструменты) принадлежит компании, а персонал для мониторинга поставляет внешний провайдер. Подходит там, где есть бюджет на ПО, но не на штат [10].
4. Минимальный инхаус-SOC с ограниченным охватом. Компания самостоятельно внедряет SIEM среднего уровня, подключает приоритетные источники и настраивает базовый набор сценариев. Мониторинг ведётся в рабочее время, на нерабочее — настроены автоматические оповещения. Это не полноценный SOC, но это намного лучше, чем ничего.

Для большинства средних российских компаний оптимален гибридный подход или MSSP с постепенным развитием внутренней экспертизы. Это подтверждает и рынок: по оценке VolgaBlob, именно средний бизнес стал главным двигателем роста коммерческих SOC в 2025 году, активно переходя на аутсорсинг к провайдерам MSSP [3].

Часть 4. Минимальная рабочая модель: что должно быть обязательно

Вот главный вопрос, который волнует большинство ИБ-руководителей среднего бизнеса: если нельзя построить «всё», что нужно как минимум? Ответ — не в количестве инструментов, а в правильной расстановке приоритетов.

4.1. Обязательные источники логов

Минимально необходимый набор источников для корреляции — тот, без которого нельзя отследить цепочку атаки целиком [17]:

1. Active Directory / LDAP — журналы авторизаций, изменения учётных записей, групповые политики. Это самый ценный источник: большинство атак так или иначе проходят через контроллер домена.
2. Межсетевые экраны и VPN-шлюзы — позволяют видеть периметровую активность, нетипичные подключения, доступ во внерабочее время.
3. Почтовые системы — фишинговые письма, несанкционированные пересылки, массовые рассылки изнутри.
4. DNS-серверы и прокси — запросы к C2-серверам, нестандартные домены, туннелирование.
5. Конечные точки (системные журналы Windows/Linux) — запуск процессов, изменение реестра, обращения к файлам.
6. Антивирус/EDR — обнаруженные угрозы, карантин, отключения защиты.

Это базовый набор. Ключевой принцип эксперта: подключать только те источники, которые действительно несут ценную информацию, не дублировать данные и не гнаться за количеством [17].

4.2. Приоритетные сценарии детектирования

Для небольшого SOC (до 10 человек) достаточно базовой SIEM и системы обработки тикетов [18]. Важно не количество правил, а их качество. Первые 20–30 сценариев, которые стоит настроить:

1. Брутфорс учётных записей (множественные неудачные попытки входа).
2. Вход в нетипичное время или из нетипичного места.
3. Использование учётных записей после увольнения.
4. Повышение привилегий (добавление в группу Domain Admins).
5. Создание новых локальных администраторов.
6. Отключение антивируса или агента мониторинга.
7. Массовое копирование файлов или работа с большим объёмом данных.
8. Установка нового ПО без заявки в ИТ.
9. Нетипичный сетевой трафик (нестандартные порты, внешние соединения с рабочих станций).
10. Обращения к известным C2-доменам (по фиду индикаторов компрометации).
11. Изменения в критически важных папках Active Directory.
12. Запуск PowerShell с подозрительными аргументами (base64, скрытый режим).
13. Попытки доступа к базам данных без авторизации через приложение.
14. Массовые провалы при обращении к файловым ресурсам (возможное шифрование).
15. Появление нового устройства в сети без регистрации в CMDB.

Это не исчерпывающий список, но именно такие сценарии покрывают наиболее распространённые методы атак. По данным MITRE ATT&CK, наиболее используемые техники первоначального доступа в 2024 году — фишинг, использование действительных учётных данных и атаки через подрядчиков [6].

4.3. Минимальные процессы

Технологии без процессов бесполезны. Для минимальной рабочей модели SOC нужны:

1. Регламент реагирования на инциденты — чёткий документ, кто что делает при обнаружении алерта. Без него даже хорошая SIEM не поможет.
2. Классификация инцидентов — как минимум три уровня критичности (высокий, средний, низкий) с разными SLA реагирования.
3. Система тикетов — фиксация всех инцидентов, статусов, действий. Это может быть даже простой helpdesk-инструмент.
4. Ежемесячный разбор — анализ что сработало, что пропустили, какие правила дали много ложных срабатываний.
5. Плейбуки для топ-5 сценариев — пошаговые инструкции для наиболее вероятных типов инцидентов (например, что делать при обнаружении шифровальщика).

Как отметили участники AM Live по теме SOC [19], устойчивость центра формируется в первые 6 месяцев через ограниченный набор сценариев, стандартизированные плейбуки, измеримые операционные метрики и чёткую модель реагирования.

Часть 5. Выбор SIEM для среднего бизнеса: российский рынок 2025

С 2022 года российский рынок SIEM кардинально изменился: западные решения (Splunk, IBM QRadar, ArcSight) ушли, их место заняли отечественные разработки. По итогам 2023–2024 годов рынок оценивался в 18–24 млрд рублей [20]. Сейчас есть несколько зрелых отечественных решений, ориентированных в том числе на средний бизнес.

Для небольших инфраструктур и ограниченных бюджетов имеет смысл обратить внимание на следующие продукты:

1. СёрчИнформ SIEM — позиционируется как универсальное решение для компаний любого размера, срок внедрения по данным вендора от 6 часов до 8 дней, не требует покупки дополнительных модулей, из коробки более 300 источников и 400 правил корреляции, сертификат ФСТЭК [21].
2. MaxPatrol SIEM Light (Positive Technologies) — версия для небольших инфраструктур, ориентированная на меньший бюджет при сохранении основных функций [22].
3. KUMA (Kaspersky Unified Monitoring and Analysis Platform) — часть экосистемы Kaspersky, активно развивается с 2020 года, одна из лидерных по числу внедрений в крупном бизнесе, есть интеграции с другими продуктами Kaspersky [21].
4. Security Capsule SIEM — сертифицирована ФСТЭК, включена в реестр отечественного ПО, поддерживает MSSP-модель (каждый клиент получает изолированный экземпляр), есть интеграция с ГосСОПКА, ИИ-ассистент для интерпретации инцидентов [23].
5. Smart Monitor (VolgaBlob) — применяется для мониторинга как кибербезопасности, так и бизнес-процессов, есть встроенная IRP-система [24].

При выборе SIEM для среднего бизнеса важны несколько критериев, помимо функциональности:

• Скорость внедрения: бизнес не может ждать год.
• Стоимость владения: лицензия, инфраструктура, время специалистов на настройку.
• Наличие сертификатов ФСТЭК (для субъектов КИИ это обязательно).
• Возможность работы в MSSP-модели (если планируется аутсорсинг мониторинга).
• Поддержка интеграции с ГосСОПКА.

Ключевой тренд 2025 года — доступность SIEM для малого и среднего бизнеса через MSSP: провайдер строит инфраструктуру на своей стороне, а клиент получает доступ к мониторингу по подписке. Это снижает порог входа и решает проблему кадров одновременно [23].

Часть 6. Регуляторный контекст: что и кому обязательно

Регуляторная нагрузка в сфере ИБ для российских компаний существенно выросла. Средний бизнес должен понимать, какие требования касаются лично его.

152-ФЗ «О персональных данных» применяется практически ко всем коммерческим организациям, которые собирают и обрабатывают данные физических лиц. Закон №420-ФЗ от ноября 2024 года ввёл оборотные штрафы за утечки — до 1–3% выручки за повторные нарушения, а также уголовную ответственность за незаконное распространение персональных данных сроком до 10 лет [5].

Это важнейший регуляторный стимул для внедрения мониторинга: инцидент, который мог быть остановлен на ранней стадии благодаря SIEM-алерту, при его отсутствии превращается в многомиллионный штраф и уголовное дело.

187-ФЗ «О безопасности критической информационной инфраструктуры» касается субъектов КИИ — организаций из 13 стратегических отраслей (энергетика, транспорт, связь, финансы, здравоохранение и другие). Средний бизнес, работающий в этих отраслях, обязан категорировать свои объекты КИИ, обеспечивать их безопасность и подключиться к ГосСОПКА [25]. По данным К2 Кибербезопасность, 71% российских компаний заявляют о сложностях при реализации требований 187-ФЗ [26].

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Для субъектов КИИ взаимодействие с ней обязательно. Для остальных — рекомендуется как способ получить информацию об актуальных угрозах. Компания может либо подключиться к коммерческим центрам ГосСОПКА через провайдера, либо самостоятельно создать собственный центр мониторинга [27].

Регуляторный долг накапливается и будет особенно острым в 2026–2027 годах, когда регуляторы планируют усиление проверок [28]. Для среднего бизнеса это означает: откладывать мониторинг «на потом» становится всё дороже.

Часть 7. Практический чек-лист: с чего начать

Для компании, которая хочет выстроить базовый мониторинг, предлагаем следующую последовательность шагов.

Шаг 1. Инвентаризация активов и потоков данных. Нельзя защитить то, чего не знаешь. Составьте актуальную карту: какие системы есть, какие данные обрабатывают, какие критичны для бизнеса.

Шаг 2. Оценка регуляторной позиции. Определите, попадаете ли вы под 187-ФЗ (субъект КИИ), какой объём персональных данных обрабатываете, есть ли требования отраслевого регулятора (ЦБ, ФСТЭК, Роскомнадзор).

Шаг 3. Выбор модели SOC. Исходя из бюджета, кадровой ситуации и регуляторных требований определите: MSSP, гибрид или минимальный инхаус. Для большинства компаний с выручкой до 3 млрд рублей и ИТ-командой до 20 человек — MSSP или гибрид.

Шаг 4. Пилотный проект. Большинство крупных MSSP-провайдеров предлагают пилотное подключение. Это позволяет оценить реальную экспертизу, скорость реагирования и пригодность решения.

Шаг 5. Подключение приоритетных источников. Начните с Active Directory, периметровых устройств и почты — это даёт покрытие большинства атак.

Шаг 6. Базовый набор правил корреляции. Начните с 15–20 сценариев, описанных выше. Через месяц-два отрегулируйте — уберите правила с высоким уровнем ложных срабатываний, добавьте специфические для вашей отрасли.

Шаг 7. Регламент реагирования. Запишите, кто, что и за сколько минут делает при каждом типе инцидента. Это важнее, чем любой инструмент.

Шаг 8. Тренировки. Хотя бы раз в квартал проводите учения: отработайте сценарий «а что если?» по самым критичным инцидентам.

Часть 8. Типичные ошибки и как их избежать

На практике SOC-проекты у среднего бизнеса чаще всего спотыкаются об одни и те же проблемы.

Ошибка 1. Покупка SIEM «для галочки». Компания приобретает лицензии, разворачивает систему, подключает несколько источников и забывает об этом. SIEM работает, но никто не смотрит на алерты и не реагирует. По данным AM Live, почти 70% компаний уже внедрили SOC, но половина таких центров остаются неэффективными [11].

Ошибка 2. Слишком много источников сразу. Желание подключить «всё» приводит к потоку событий, в котором тонут аналитики. Начинайте с приоритетного минимума.

Ошибка 3. Игнорирование ложных срабатываний. Неотлаженные правила создают сотни алертов в день, и аналитики перестают на них реагировать. Это называется «alert fatigue» — утомление от оповещений [29]. Следствие — пропущенные реальные инциденты.

Ошибка 4. SOC без процессов. Инструменты без регламентов — это деньги на ветер. Если нет чёткого ответа на вопрос «кто и что делает в 3 ночи при критическом алерте», мониторинг бесполезен.

Ошибка 5. Нереалистичные ожидания от аутсорсинга. MSSP-провайдер хорошо справится с мониторингом стандартных угроз. Но глубокое понимание специфики вашего бизнеса, критичных систем и нетипичных паттернов требует времени на «вхождение» и активного взаимодействия с вашей стороны.

Ошибка 6. Недооценка времени внедрения. Даже быстро внедряемые SIEM требуют минимум несколько недель на нормальную настройку и адаптацию правил к конкретной инфраструктуре [12].

Ошибка 7. Отсутствие инвентаризации активов. Нельзя настроить мониторинг, не зная, что защищать. Неизвестные активы — слепая зона, которой пользуются злоумышленники.

Часть 9. Кейсы и примеры из российской практики

Несколько реальных примеров, описанных в открытых источниках, иллюстрируют возможность рабочего мониторинга при ограниченных ресурсах.

Образовательная организация с распределённой инфраструктурой развернула Security Capsule SIEM в защищённом облаке провайдера. За 3–4 недели к системе были подключены 183 сервера под управлением Unix/Linux, средства защиты информации и система сканирования уязвимостей. Ключевыми факторами выбора стали низкие требования к инфраструктуре и адаптация к требованиям регуляторов [2].

Производитель электроники (500+ сотрудников) внедрил DLP-систему на аутсорсинге по модели MSSP. В течение месяца система зафиксировала аномальную активность ведущего инженера: массовый доступ к проектным чертежам новых продуктов. Инцидент был остановлен до того, как данные покинули периметр [30].

Компания металлургической отрасли подключила внешний SOC для выполнения регуляторных требований к субъектам КИИ. Провайдер помог построить план развития комплекса ИБ и обеспечил интеграцию с ГосСОПКА без необходимости создавать собственный центр мониторинга [31].

Общий вывод из этих кейсов: успешный старт возможен при правильной расстановке приоритетов, реалистичном охвате и готовности к итеративному развитию.

Часть 10. Тренды и будущее: куда движется рынок

Рынок SOC и SIEM в России активно эволюционирует. Несколько ключевых трендов, которые будут влиять на выбор средних компаний в ближайшие 2–3 года.

Рост рынка коммерческих SOC. После роста более чем на 50% в 2024 году рынок продолжает расти на 25–30% ежегодно [3]. Конкуренция между провайдерами усиливается, что ведёт к снижению цен на базовые пакеты и расширению предложения для среднего бизнеса.

ИИ в SIEM и SOC. Все ведущие вендоры интегрируют ИИ-ассистентов для автоматической интерпретации инцидентов, снижения числа ложных срабатываний и помощи аналитикам [32]. Это критично в условиях кадрового дефицита: ИИ позволяет одному аналитику обрабатывать больший поток событий. Некоторые эксперты предупреждают о риске «слепого доверия» ИИ-вердиктам — алгоритмы ошибаются, особенно на нестандартных сценариях.

Расширение регуляторных требований. Ужесточение 152-ФЗ и 187-ФЗ продолжится. К 2026–2027 годам регуляторы планируют более активные проверки, что сделает наличие мониторинга де-факто обязательным для любой компании, работающей с персональными данными или попадающей под КИИ [28].

MDR как замена классическому MSSP. Managed Detection and Response (MDR) — более продвинутая модель, чем классический MSSP: провайдер не только мониторит, но и активно участвует в расследовании и реагировании, часто с доступом к телеметрии конечных точек через EDR. Рынок MDR в России только формируется, но уже есть несколько зрелых игроков (BI.ZONE TDR, Solar MDR и другие) [33].

Гибридные SOC как стандарт. Компании, начавшие с полного аутсорсинга, со временем строят внутреннюю экспертизу и переходят к гибридным моделям. Это здоровый эволюционный путь.

Заключение: с чего начать уже сейчас

Вернёмся к главному вопросу: как выстроить реальный мониторинг безопасности среднего бизнеса без «золотого» бюджета?

Первое: признайте, что «ничего не делать» стало дороже, чем «сделать минимум». Штраф по 152-ФЗ за утечку — до 500 млн рублей. Средний выкуп за данные при атаке шифровальщика — от 4 до 40 млн рублей [1]. Стоимость базового MSSP-пакета — от 2,5 млн рублей в год [11].

Второе: начните с инвентаризации и регламента, а не с выбора инструментов. Лучший SIEM без работающих процессов бесполезен.

Третье: если нет ИБ-команды для 24/7 мониторинга — используйте MSSP. Это не слабость, а правильное решение в условиях дефицита кадров.

Четвёртое: стройте постепенно. SOC за месяц не строится, но первые ощутимые результаты при правильном подходе видны уже через 1–2 месяца после подключения приоритетных источников и настройки базовых правил.

И наконец: не упускайте из поля зрения персональные данные. Многие инциденты, которые отслеживает SOC, касаются именно систем с персональными данными — CRM, базы клиентов, кадровые системы, 1С. Здесь важна не только реакция на угрозы, но и постоянный контроль над тем, где эти данные хранятся, кто имеет к ним доступ и что с ними происходит.

Роль «Пятого фактора» в экосистеме мониторинга

SOC и SIEM фиксируют события — что произошло, когда и где. Но для полноценной защиты нужно понимать, что именно защищаешь: какие системы хранят персональные данные, где они появились, что изменилось.

Именно здесь возникает слепая зона, которую SIEM не закрывает. Данные постоянно множатся: новые поля в базах данных, новые интеграции с подрядчиками, новые сервисы. Без актуальной карты персональных данных SOC реагирует на симптомы, не зная, какой «орган» атакован.

Платформа «Пятый фактор» закрывает именно этот пробел. Это on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, Active Directory/LDAP, CRM, 1С и API. Ключевая особенность — работа с метаданными, структурой и агрегатами без передачи и хранения «сырых» значений ПДн. Это означает, что платформа сама не становится источником риска утечки.

В связке с мониторингом SOC/SIEM «Пятый фактор» даёт живую карту ПДн: где и какие данные есть, кто владелец, что изменилось. Когда SIEM фиксирует подозрительный запрос к базе данных, специалист SOC сразу видит, что именно там хранится и насколько это критично. Это ускоряет расследование и помогает точнее оценивать риск каждого инцидента.

Для среднего бизнеса, который только строит свою модель мониторинга, такой инструмент позволяет сократить время аудита, повысить готовность к проверкам регуляторов по 152-ФЗ и видеть новые риски — новые поля в БД, новые интеграции, новые источники ПДн — прежде чем они превратятся в инциденты.

Источники

[1] Почти половина кибератак на российский бизнес в 2025 году была успешной — CNews, январь 2026 — https://www.cnews.ru/news/top/2026-01-23_pochti_polovina_kiberatak

[2] SIEM-рынок взрывается: рост в 2 раза и миллионы на мониторинг ИБ — тренды I квартала 2025 — ITB.SPB.RU — https://www.itb.spb.ru/about/press/siem-rynok-vzryvaetsya-rost-v-2-raza-i-milliony-na-monitoring-ib-trendy-i-kvartala-2025/

[3] VolgaBlob: рынок SOC в 2025 году вырос на треть — Новости IT Канала — https://www.novostiitkanala.ru/news/detail.php?ID=193371

[4] Рынок труда в информационной безопасности в России в 2024–2027 гг.: прогнозы, проблемы и перспективы — Positive Technologies — https://ptsecurity.com/ru-ru/research/analytics/rynok-truda-v-informaczionnoj-bezopasnosti-v-rossii-v-2024-2027-gg-prognozy-problemy-i-perspektivy/

[5] Кибератаки 2025: статистика, векторы атак и главные уязвимости — Passwork — https://passwork.ru/blog/kiberataki-2026/

[6] Число кибератак в России и в мире — TAdviser — https://www.tadviser.ru/index.php/Статья:Число_кибераток_в_России_и_в_мире

[7] Регуляторный долг в ИБ: риски 152-ФЗ, 187-ФЗ и проверки 2026–2027 — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Technology_Analysis/Regulatory-debt

[8] Что такое SOC (Security Operations Center): полное руководство — Kvantech — https://kvan.tech/blog/guides/chto-takoe-soc-security-operations-center-polnoe-rukovodstvo-po-tsentru-monitoringa-bezopasnosti/

[9] SIEM — Википедия — https://ru.wikipedia.org/wiki/SIEM

[10] Современные тенденции в информационной безопасности. Какую модель функционирования SOC выбрать? — BIS Journal — https://ib-bank.ru/bisjournal/post/1697

[11] 4 риска при внедрении SOC: почему центр мониторинга не работает — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Technology_Analysis/Why-SOC-Remains-Ineffective

[12] Коммерческие и open-source SIEM: достоинства и недостатки — Kaspersky — https://www.kaspersky.ru/blog/open-source-siem-hidden-costs/39801/

[13] Суровая реальность рынка труда ИБ. Дефицит экспертизы повышает текучесть и разогревает спрос — SecPost — https://secpost.ru/igra-ot-oborony-kak-rossijskij-it-rynok-reshaet-problemu-deficzita-kadrov-v-ib

[14] SOC в ИБ: полное руководство по созданию центра реагирования — Инфратех — https://blog.infra-tech.ru/chto-takoe-soc/

[15] Роль MSSP/сервисов ИБ для малого и среднего бизнеса: как это работает — CISOClub — https://cisoclub.ru/rol-mssp-servisov-ib-dlja-malogo-i-srednego-biznesa-kak-jeto-rabotaet/

[16] Центр мониторинга кибербезопасности (SOC) — К2 Кибербезопасность — https://cybersecurity.k2.tech/soc

[17] SOC в ИБ: полное руководство по созданию центра реагирования — Инфратех — https://blog.infra-tech.ru/chto-takoe-soc/

[18] Построение эффективного SOC: технологии и методы — Anti-Malware.ru, 2023 — https://www.anti-malware.ru/analytics/Technology_Analysis/Building-an-Effective-SOC-2023

[19] 4 риска при внедрении SOC: почему центр мониторинга не работает — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Technology_Analysis/Why-SOC-Remains-Ineffective

[20] Топ SIEM-систем: обзор российского рынка — Stakhanovets — https://stakhanovets.ru/blog/obzor-rossijskih-siem-sistem/

[21] Обзор российского рынка SIEM-систем 2024 — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Market_Analysis/Security-Information-and-Event-Management-SIEM-2023

[22] Купить российские SIEM-системы — Belinfonalog — https://belinfonalog.ru/infoSecurity/catalog/upravlenie-sobytiyami-i-informatsiey-o-bezopasnosti-siem/

[23] Security Capsule SIEM — сертифицирована ФСТЭК, включена в реестр Минцифры — ITB.SPB.RU — https://www.itb.spb.ru/products/Security_Capsule_SIEM/

[24] Обзор российского рынка SIEM-систем 2023 — RuSIEM — https://rusiem.com/ru/company/pressroom/news/tpost/sjie8lmjv1-obzor-rossiiskogo-rinka-siem-sistem-2023

[25] Взаимодействие субъектов КИИ с ГосСОПКА в рамках 187-ФЗ — SecurityVision — https://www.securityvision.ru/blog/vzaimodeystvie-subektov-kriticheskoy-informatsionnoy-infrastruktury-s-gossopka-v-ramkakh-187-fz-chas/

[26] Центр мониторинга кибербезопасности (SOC) — К2 Кибербезопасность — https://cybersecurity.k2.tech/soc

[27] Пошаговая инструкция от экспертов по реализации 187-ФЗ — RUБЕЖ — https://ru-bezh.ru/gossektor/news/18/11/20/poshagovaya-instrukcziya-ot-ekspertov-po-realizaczii-187-fz

[28] Регуляторный долг в ИБ: риски 152-ФЗ, 187-ФЗ и проверки 2026–2027 — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Technology_Analysis/Regulatory-debt

[29] SOC и информационная безопасность — Falcongaze — https://falcongaze.com/ru/pressroom/publications/osnovy-ib/soc-i-informacionnaya-bezopasnost.html

[30] Внутренний контур ИБ: когда ваш SOC должен смотреть не только на периметр — CISOClub — https://cisoclub.ru/vnutrennij-kontur-ib-kogda-vash-soc-dolzhen-smotret-ne-tolko-na-perimetr/

[31] SIEM-мониторинг и реагирование на события информационной безопасности — RED Security — https://redsecurity.ru/services/siem

[32] Российский рынок SIEM-систем в 2025 году: тенденции, выбор и прогнозы развития — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Technology_Analysis/Russian-SIEM-market-in-2025-AMLive

[33] Российский рынок коммерческих SOC в 2025 году — обзор провайдеров и трендов — Anti-Malware.ru — https://www.anti-malware.ru/analytics/Market_Analysis/Security-Operations-Center-2022