Чем SLEM Partners отличается от традиционного аудита?

Традиционный аудит отвечает на вопрос соответствия регуляторным требованиям. Мы переводим киберриск в стратегическую бизнес-плоскость: количественные оценки в рублях и процентах, threat-модели под вашу архитектуру и roadmap с приоритетами на 30/90/365 дней.

Получаете ли вы комиссию от вендоров?

Нет. Мы независимая консалтинговая компания — не продаём коробки и не получаем комиссию от поставщиков. Рекомендации основаны исключительно на ваших рисках и бизнес-целях.

Что такое методология 5 этапов?

GRC-аудит из пяти этапов: инвентаризация активов, анализ угроз, количественная оценка риска, меры защиты с приоритизацией и отчётность. Каждый этап даёт артефакты для собственника, CTO и CISO.

Что такое SLEMGUARD?

SLEMGUARD — концепция системы защиты API-периметра на основе машинного обучения и Zero Trust. Система анализирует API-запросы в реальном времени и выявляет аномалии до реализации атаки. Продукт в разработке.

Как попасть в пилотную программу?

Пилотная программа — лето 2026. Формируем первую группу из трёх компаний среднего бизнеса. Реальная инфраструктура, реальные результаты. Напишите на vp@slempartners.ru — ответ в течение 24 часов.

Лаг защитных решений на рынке РФ: на сколько защита отстаёт от угроз

Аналитический обзор SLEM Partners Group. Методология Stanford STORM: тезисы собраны через вопросы от лица производителя СЗИ, регулятора, CISO и исследователя угроз и заземлены на нормативные акты и отраслевую аналитику. Все нормативные ссылки приведены с точными реквизитами; оценочные величины явно помечены как оценки.

1. Постановка вопроса

Российская информационная безопасность развивается в догоняющем режиме: между появлением нового вектора атаки и выходом сертифицированного средства защиты проходит заметный лаг. Цель обзора — описать этот лаг честно: где есть твёрдые нормативные факты, а где речь идёт об экспертной оценке, которую нельзя выдавать за измерение.

Рабочий тезис (гипотеза, а не доказанный факт): для типовых новых векторов лаг защиты составляет порядка 2–3 лет; для принципиально новых доменов (защита AI-инфраструктуры, Zero Trust/SASE) — больше, поскольку устоявшихся сертифицированных решений почти нет. Ниже мы показываем, на чём эта оценка основана и каковы её ограничения.

2. Перспективы исследования

Производитель СЗИ — почему разработка стартует поздно.
Регулятор (ФСТЭК) — что реально меняется в правилах сертификации.
CISO — чем закрывать «окно» в переходный период.
Исследователь угроз — как быстро эволюционируют векторы.

3. Нормативный каркас (твёрдые факты)

В отличие от количественных оценок лага, регуляторная рамка фиксируется точными актами:

Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» — устанавливает, что с 1 января 2025 года органам и организациям (госорганы, госкомпании, стратегические и системообразующие предприятия, субъекты КИИ) запрещено использовать средства защиты информации из недружественных государств и пользоваться их сервисами по ИБ (в ред. Указа № 500 от 13.06.2024). Это именно Указ Президента, а не «федеральный закон № 250-ФЗ», и срок — 2025 год; точность здесь критична для экспертной репутации.
ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» — введён в действие 20 декабря 2024 года взамен ГОСТ Р 56939-2016; раздел 5 описывает 25 процессов безопасной разработки.
Приказ ФСТЭК России от 01.12.2023 № 240 определяет порядок сертификации процессов безопасной разработки ПО средств защиты информации; в редакции приказа № 230 от 30.06.2025 сертификация проводится на соответствие ГОСТ Р 56939-2024.
Методический документ ФСТЭК от 17.05.2023 «Руководство по организации процесса управления уязвимостями» задаёт рекомендуемые сроки устранения уязвимостей: критический уровень — до 24 часов, высокий — до 7 дней, средний — до 4 недель, низкий — до 4 месяцев.

Этот переход от посертификатной модели к сертификации самого процесса разработки — ключевое изменение: он позволяет обновлять уже сертифицированный продукт быстрее, не пересертифицируя каждое обновление с нуля.

4. Масштаб системы сертификации

По данным презентации ФСТЭК (к 30-летию системы сертификации СЗИ), система включает порядка 4 900 выданных сертификатов соответствия и около 500 типов сертифицированных СЗИ, десятки испытательных лабораторий и органов по сертификации, сотни изготовителей. Эти цифры характеризуют ёмкость, но не скорость реакции на новые векторы.

Рынок ИБ в РФ растёт двузначными темпами на волне импортозамещения (оценки TAdviser/отраслевых аналитиков — рост на десятки процентов за 2022–2024 годы). Важная оговорка: рост числа решений не равен росту скорости реакции на новые угрозы — значительная часть прироста приходится на замещение ушедших западных аналогов, а не на ответ принципиально новым векторам.

5. Сроки сертификации по классам (ориентиры)

Сроки зависят от класса защиты и сложности продукта. Ориентировочные диапазоны (экспертная оценка по практике рынка, не нормативная величина):

Класс защиты	Ориентировочный срок сертификации
4 класс (базовый)	3–6 месяцев
3 класс	6–12 месяцев
2 класс	12–18 месяцев
1 класс (макс.)	18–24 месяца

Это только этап сертификации. С учётом разработки, тестирования и подготовки документации полный цикл «от идеи до рынка» обычно составляет 1,5–3 года. Эти диапазоны мы приводим как ориентиры практиков, а не как официально установленные нормативы.

6. Скорость эволюции векторов

Темп появления новых техник опережает темп вывода защиты. MITRE ATT&CK ежегодно пополняется новыми техниками и подтехниками; коммерциализация инструментов APT, утечки эксплойтов и автоматизация сжимают путь «от появления техники до массовых атак» с прежних 12–18 месяцев до считанных месяцев. Это качественное наблюдение, согласующееся с данными о сокращении окна эксплуатации (см. обзор 1.1) и с отчётами российских центров мониторинга.

Новые векторы, наиболее проблемные для сертифицированной защиты:

Атаки на цепочки поставок (supply chain) — массовое распространение через подрядчиков;
Атаки на AI-системы (prompt injection, обход guardrails) — устоявшихся сертифицированных средств защиты корпоративного AI практически нет;
Zero Trust / SASE — концепции зрелые на мировом рынке, но в сертифицированном виде в РФ представлены фрагментарно;
Атаки на отечественное ПО и криптосредства — специфический для РФ вектор, связанный с быстрым внедрением нового ПО.

7. Оценка лага: как считать и где границы достоверности

Методика (явно оценочная): лаг = (дата выхода сертифицированного решения против вектора) − (дата, когда вектор стал массовым). Главная слабость метода — субъективность «даты появления вектора» и неоднозначность того, что считать «новым решением». Поэтому числа ниже — экспертные ориентиры, а не результат точного измерения.

Вектор	Оценка лага (экспертная)
Supply chain	~2,5–3 года
Защита корпоративного AI	>3 лет (зрелых сертифицированных решений почти нет)
Zero Trust / SASE	>3 лет
Облачные мисконфигурации (CASB/CSPM)	~2–2,5 года
Мультивекторный DDoS	~1–2 года

Логика оценки опирается на три слоя: (1) сама сертификация добавляет от месяцев до ~2 лет; (2) разработка обычно стартует после массового инцидента, а не на опережение; (3) рынок структурно ориентирован на замещение, а не на упреждающие инновации.

8. Почему возникает лаг (системные причины)

Реакция на инциденты, а не на тренды. Упреждающая разработка требует инвестиций без гарантированного спроса; в условиях, когда рынок растёт на замещении, такие инвестиции рискованны.
Объективная времяёмкость сертификации. Функциональное тестирование, анализ кода, проверка на отсутствие недекларированных возможностей — это реально долгие процедуры; очереди в лаборатории в 2023–2024 годах выросли.
Внешние шоки. Недоступность зарубежных компонентов и дефицит кадров удлиняют цикл.
Структурная ориентация на импортозамещение. Государственные стимулы направлены преимущественно на замещение существующих классов решений.

9. Последствия и пути сокращения лага

Последствия. В переходный период организации сталкиваются с «окном уязвимости»: для части новых векторов нет готового сертифицированного средства. CISO вынужден балансировать между регуляторным риском (использование несертифицированных средств) и риском атаки (отсутствие защиты).

Что уже снижает лаг. Переход к сертификации процессов разработки (приказ ФСТЭК № 240 в действующей редакции, ГОСТ Р 56939-2024) сокращает время на пересертификацию обновлений.

Что обсуждается в международной практике как ускорители (приводим как практику, не как готовую рекомендацию законопроекта):

режимы «быстрой/чрезвычайной сертификации» для критических векторов (аналоги экстренных директив в других юрисдикциях);
регуляторные «песочницы» для контролируемой обкатки решений до полной сертификации;
механизмы упреждающего финансирования R&D под новые векторы.

10. Выводы

Нормативная рамка — фактологически твёрдая и корректно датируется (Указ № 250 — с 2025 года; ГОСТ Р 56939-2024 — с 20.12.2024; приказ № 240 в ред. № 230).
Лаг 2–3 года — обоснованная экспертная оценка, а не измеренная величина; для новых доменов (AI-защита, Zero Trust/SASE) он выше.
Рост рынка ИБ ≠ рост скорости реакции: значительная часть прироста — замещение, а не упреждение.
Сертификация процессов разработки — главный реализованный шаг к сокращению лага по обновлениям.

11. Открытые вопросы

Как количественно измерять лаг там, где сертифицированных решений ещё нет?
Насколько ускорители (песочницы, экстренная сертификация) применимы в российской модели без снижения требований к безопасности?
Можно ли компенсировать лаг сервисной моделью (MSSP) в переходный период?

Источники

[1] Указ Президента РФ от 01.05.2022 № 250 (в ред. от 13.06.2024 № 500) — запрет иностранных СЗИ с 01.01.2025. kremlin.ru/acts/bank/47796 ; consultant.ru/document/cons_doc_LAW_416198

[2] ГОСТ Р 56939-2024, введён в действие 20.12.2024 (приказ Росстандарта № 1504-ст от 24.10.2024), взамен ГОСТ Р 56939-2016. consultant.ru/document/cons_doc_LAW_489500

[3] Приказ ФСТЭК России от 01.12.2023 № 240 (в ред. приказа № 230 от 30.06.2025) — порядок сертификации процессов безопасной разработки ПО СЗИ. normativ.kontur.ru/document?documentId=502199

[4] Методический документ ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями» — рекомендуемые сроки устранения (24 ч / 7 дней / 4 недели / 4 месяца). consultant.ru/document/cons_doc_LAW_449516

[5] ФСТЭК России — материалы к 30-летию системы сертификации средств защиты информации (презентация Д. Шевцова, TB Forum, 2025). tbforum.ru

[6] TAdviser — «Информационная безопасность (рынок России)». tadviser.ru

[7] Отраслевые центры мониторинга РФ (Positive Technologies, Solar, F6, Kaspersky) — ежегодная аналитика тактик и векторов.