.PNG)
Западные вендоры ушли. Оборудование ломается — запчастей нет. Лицензии не продлеваются. Обновления безопасности не приходят. Техподдержка молчит. А регулятор требует сертифицированные СЗИ из реестра ФСТЭК. Разбираемся, чем конкретно заменить Cisco, Fortinet, Palo Alto и другие западные средства защиты информации.
1Почему импортозамещение СЗИ — не выбор, а обязанность
После 2022 года импортозамещение средств защиты информации из категории «хорошо бы» перешло в категорию «обязательно». Три причины, почему откладывать нельзя:
Указ Президента № 250 от 01.05.2022
Запрет на использование СЗИ из недружественных стран на значимых объектах КИИ с 1 января 2025 года. Не рекомендация — запрет.
187-ФЗ «О безопасности КИИ»
Субъекты КИИ обязаны обеспечить защиту значимых объектов сертифицированными средствами. Западные СЗИ без действующего сертификата ФСТЭК не подходят.
Реальные риски: обновления и поддержка
Без обновлений сигнатур IDS/IPS, баз антивируса и патчей уязвимостей ваши СЗИ — не защита, а дыра. Каждый месяц без обновлений — рост риска взлома.
1 янв 2025
дедлайн
запрет СЗИ из недружественных стран на КИИ
6 000+
решений
в реестре отечественного ПО
300+
СЗИ
сертифицированы ФСТЭК
0
обновлений
от Cisco/Fortinet для РФ
2Таблица замены: западные СЗИ → российские аналоги
Конкретная таблица: что на что менять. Все перечисленные российские решения — в реестре отечественного ПО и имеют сертификаты ФСТЭК.
| Западное решение | Российский аналог | Почему именно этот |
|---|---|---|
| Cisco ASA / Firepower | UserGate NGFW, Континент (Код Безопасности) | Сертификат ФСТЭК, встроенный IDS/IPS, контентная фильтрация, VPN. UserGate — ближайший функциональный аналог. |
| Fortinet FortiGate | UserGate NGFW | NGFW с DPI, антивирусным шлюзом, Application Control. Производительность до 80 Гбит/с на старших моделях. |
| Palo Alto Networks | UserGate, ViPNet Coordinator (ИнфоТеКС) | UserGate для NGFW-сценариев, ViPNet — для криптошлюзов и защиты каналов связи (сертификат ФСБ). |
| CrowdStrike Falcon / Symantec | Kaspersky EDR Expert, F6 XDR (ex-F.A.C.C.T.) | Kaspersky — зрелый EDR с ML-детектом и реестром ФСТЭК. F6 XDR — фокус на threat intelligence и расследования. |
| Splunk SIEM | MaxPatrol SIEM, RuSIEM, KUMA (Kaspersky) | MaxPatrol SIEM — лидер рынка РФ, 4 000+ правил корреляции. RuSIEM — бюджетный вариант для СМБ. KUMA — экосистема Kaspersky. |
| Cisco Umbrella (DNS-защита) | ViPNet SafeDNS, SkyDNS | DNS-фильтрация с блокировкой фишинговых и вредоносных доменов. Реестр отечественного ПО. |
| IBM QRadar SIEM | MaxPatrol SIEM, KUMA | MaxPatrol — полная замена с автоматической инвентаризацией активов. KUMA — если уже используете экосистему Kaspersky. |
| Tenable / Qualys (сканеры) | MaxPatrol VM, RedCheck (АЛТЭКС-СОФТ) | MaxPatrol VM — управление уязвимостями с приоритизацией по CVSS и контексту актива. RedCheck — сертификат ФСТЭК. |
Реестр ФСТЭК — источник истины
3Межсетевые экраны: Cisco и Fortinet → UserGate и Континент
Межсетевой экран — первое, что нужно заменить. Без актуальных сигнатур IDS/IPS и обновлений firmware ваш Cisco ASA или FortiGate — устройство с известными уязвимостями на периметре сети.
UserGate NGFW
Межсетевой экран нового поколения. DPI, IDS/IPS, антивирусный шлюз, Application Control, VPN. Модельный ряд от филиалов до ЦОДов. Сертификат ФСТЭК по НДВ-4 и МЭ-4.
Континент 4 (Код Безопасности)
UTM-решение: межсетевой экран + система обнаружения вторжений + VPN-шлюз. Сильная сторона — централизованное управление распределённой сетью. Сертификат ФСТЭК и ФСБ.
ViPNet Coordinator (ИнфоТеКС)
Криптошлюз с функциями межсетевого экрана. Идеален для защиты каналов связи и VPN. Сертификат ФСБ по классу КС3 — обязателен для ряда госструктур.
Ideco UTM
Шлюз безопасности для СМБ. Контентная фильтрация, антивирус, IDS/IPS. Простое развёртывание, подходит для компаний до 500 пользователей.
4SIEM: Splunk и QRadar → MaxPatrol SIEM, RuSIEM, KUMA
SIEM — ядро SOC. Если ваш Splunk перестал получать обновления контента и коннекторов, корреляционные правила устаревают, а новые источники не подключаются. Замена SIEM — самый сложный этап импортозамещения, но и самый критичный.
| Параметр | MaxPatrol SIEM | RuSIEM | KUMA (Kaspersky) |
|---|---|---|---|
| Целевой сегмент | Средний и крупный бизнес | СМБ и средний бизнес | Экосистема Kaspersky |
| Правила корреляции | 4 000+ из коробки | 500+ из коробки | 1 000+ из коробки |
| Инвентаризация активов | Автоматическая (PT NAD) | Базовая | Через KSC |
| Сертификат ФСТЭК | Да | Да | Да |
| Стоимость (100 EPS) | от 3 млн ₽/год | от 800 000 ₽/год | от 2 млн ₽/год |
| Интеграция с ГосСОПКА | Встроенная | Через коннектор | Встроенная |
5EDR/XDR: CrowdStrike → Kaspersky и F6
Защита конечных точек без актуальных баз и поведенческих моделей — бесполезна. CrowdStrike Falcon и Symantec Endpoint Protection больше не обновляются для российских клиентов. Два основных варианта замены:
Kaspersky EDR Expert / KATA
Зрелый EDR с ML-детектированием, песочницей и автоматическим реагированием. Интеграция с KUMA SIEM и KSC. Собственная TI-лента — Kaspersky Threat Intelligence Portal. Сертификат ФСТЭК.
F6 XDR (ранее F.A.C.C.T. / Group-IB)
XDR-платформа с фокусом на threat intelligence и расследование инцидентов. Сильная сторона — обнаружение целевых атак (APT) и мошенничества. Собственная база IoC.
PT XDR (Positive Technologies)
XDR в экосистеме Positive Technologies. Тесная интеграция с MaxPatrol SIEM и PT NAD. Автоматическое реагирование на основе корреляции сетевых и хостовых событий.
6Пошаговый план импортозамещения СЗИ
Импортозамещение — это проект на 3–12 месяцев в зависимости от масштаба инфраструктуры. Последовательность действий:
Не меняйте всё сразу
7187-ФЗ и КИИ: сроки и ответственность
Для субъектов КИИ импортозамещение СЗИ — юридическая обязанность, а не рекомендация. Ключевые нормативные акты:
| Документ | Требование | Срок |
|---|---|---|
| Указ Президента № 250 | Запрет СЗИ из недружественных стран на значимых объектах КИИ | 1 января 2025 |
| Указ Президента № 166 | Запрет иностранного ПО на значимых объектах КИИ | 1 января 2025 |
| 187-ФЗ + приказы ФСТЭК | Использование сертифицированных СЗИ для защиты значимых объектов КИИ | Действует |
| КоАП (проект поправок) | Штрафы за нарушение требований к защите КИИ до 500 000 ₽ | 2025 |
Подробнее о категорировании КИИ читайте в статье «КИИ: что это такое и кого касается». О подключении к ГосСОПКА — в материале «ГосСОПКА: пошаговое подключение».
8Сколько стоит импортозамещение СЗИ
Стоимость зависит от масштаба инфраструктуры и класса заменяемых решений. Ориентировочные цифры для компании со 100–500 узлами:
| Класс СЗИ | Стоимость (100–500 узлов) | Срок внедрения |
|---|---|---|
| NGFW (замена Cisco/Fortinet) | от 500 000 до 5 млн ₽ | 2–6 недель |
| SIEM (замена Splunk/QRadar) | от 800 000 до 5 млн ₽/год | 1–3 месяца |
| EDR (замена CrowdStrike) | от 300 000 до 2 млн ₽/год | 1–4 недели |
| Сканер уязвимостей | от 200 000 до 1,5 млн ₽/год | 1–2 недели |
| VPN-шлюз (замена Cisco AnyConnect) | от 300 000 до 2 млн ₽ | 1–3 недели |
SOC КРЕДО-С: помогаем с импортозамещением
Полный цикл: аудит → подбор → миграция → мониторинг
Опыт миграции с Cisco, Fortinet, Splunk на российские аналоги. Подключение новых СЗИ к SOC-мониторингу без потери покрытия.
9Часто задаваемые вопросы об импортозамещении СЗИ
Какие западные СЗИ нужно заменить в первую очередь?▼
Для субъектов КИИ в первую очередь замене подлежат межсетевые экраны (Cisco ASA, Fortinet, Palo Alto), SIEM-системы (Splunk, IBM QRadar) и средства защиты конечных точек (CrowdStrike, Symantec). Приоритет определяется 187-ФЗ и приказами ФСТЭК: сначала средства, обеспечивающие защиту значимых объектов КИИ.
Есть ли российские аналоги Cisco ASA и Fortinet?▼
Да. UserGate NGFW, «Континент» от «Кода Безопасности» и ViPNet от «ИнфоТеКС» — сертифицированные ФСТЭК межсетевые экраны, которые закрывают функционал Cisco ASA и Fortinet FortiGate. UserGate — ближайший по функциональности аналог с встроенным IDS/IPS, контентной фильтрацией и VPN.
Чем заменить Splunk SIEM в России?▼
Три основных варианта: MaxPatrol SIEM от Positive Technologies (лидер рынка, сертификат ФСТЭК), KUMA от «Лаборатории Касперского» (тесная интеграция с экосистемой Kaspersky) и RuSIEM (бюджетный вариант для СМБ). Все три — в реестре отечественного ПО.
Какие сроки импортозамещения по 187-ФЗ?▼
Указ Президента № 250 от 01.05.2022 запретил использование СЗИ из недружественных стран на значимых объектах КИИ с 1 января 2025 года. Для остальных субъектов КИИ — переход на отечественные решения должен быть завершён в рамках утверждённого плана замещения. За нарушение — штрафы и предписания ФСТЭК.
Как SOC-провайдер помогает с импортозамещением?▼
SOC-провайдер берёт на себя: 1) аудит текущих СЗИ и составление плана замены; 2) подбор сертифицированных аналогов под вашу инфраструктуру; 3) миграцию политик и правил с западных решений; 4) подключение новых СЗИ к мониторингу; 5) настройку корреляционных правил SIEM под новые источники.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Колесник
Директор по информационной безопасности
CISO КРЕДО-С. С 2010 года консультирует органы власти и крупнейшие предприятия по вопросам защиты информации. Эксперт в области стратегии ИБ, построения SOC и управления киберрисками.