исследование 3 июня 2026

PT ISIM, Kaspersky KICS, InfoWatch ARMA против Claroty и Nozomi

Claroty и Nozomi Networks — эталонные западные платформы мониторинга и защиты промышленных сетей (OT/ICS): пассивное обнаружение активов, разбор промышленных протоколов, выявление аномалий и уязвимостей в АСУ ТП. После ухода западных вендоров их функции в России закрывают отечественные решения — PT ISIM (Positive Technologies), Kaspersky Industrial CyberSecurity (KICS) и InfoWatch ARMA, которые к тому же сертифицированы ФСТЭК и подходят под требования к защите КИИ. **Если коротко:** заменить Claroty и Nozomi для типовых задач уже есть чем. Выбор зависит не от «бренда», а от того, насколько решение точно разбирает ваши промышленные протоколы, не вмешивается в технологический процесс (пассивный мониторинг), и закрывает ли оно требования 187-ФЗ и приказов ФСТЭК по КИИ. Ниже — что именно закрывали западные платформы, какое отечественное решение или класс отвечает за каждую функцию, что проверять на пилоте и как спланировать переход. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге систем защиты АСУ ТП](/rating/ot-ics-security).

7 мин. чтения Блоки данных: 7 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

industrial security

Промышленная сеть требует видимости без остановки процесса

В OT и АСУ ТП защита строится вокруг пассивной инвентаризации, сегментации и аккуратной проверки промышленных протоколов.

Тематическое фото для исследования: PT ISIM, Kaspersky KICS, InfoWatch ARMA против Claroty и Nozomi — Тематическая иллюстрация к исследованию: PT ISIM, Kaspersky KICS, InfoWatch ARMA против Claroty и Nozomi. Jeremy Waterhouse / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что закрывали Claroty и Nozomi и почему встал вопрос замены

Claroty и Nozomi Networks выстроили рынок видимости и защиты OT/ICS вокруг нескольких ключевых возможностей: пассивная инвентаризация всех узлов промышленной сети без влияния на технологический процесс, глубокий разбор промышленных протоколов (Modbus, DNP3, PROFINET, S7, IEC 60870-5-104, EtherNet/IP и др.), выявление аномалий и нелегитимных команд на уровне АСУ ТП, сопоставление активов с базами уязвимостей и интеграция с SOC/SIEM.

После 2022 года поставки, обновления баз и техподдержка этих платформ в России свернулись, а «серые» схемы продления для значимых объектов КИИ несут юридические и операционные риски. Параллельно ужесточилась регуляторика: 187-ФЗ и приказы ФСТЭК требуют для значимых объектов доверенных, сертифицированных средств защиты. Поэтому вопрос звучит не «мигрировать ли», а «на какое отечественное решение и как».

Замена Claroty и Nozomi в России: коротко

Западные платформы-ориентиры 2

Claroty и Nozomi Networks — поставки и поддержка в РФ свёрнуты

Отечественные решения-аналоги 3+

PT ISIM, Kaspersky KICS, InfoWatch ARMA и др.

Базовый принцип мониторинга пассивный

Разбор копии трафика без влияния на технологический процесс

Регуляторная рамка 187-ФЗ + ФСТЭК

Для значимых объектов КИИ — доверенные сертифицированные СЗИ

Типичный пилот 3–6 нед.

Проверка разбора ваших протоколов на реальном трафике

Российские решения как ориентир: кто закрывает функции Claroty и Nozomi

Ниже — ориентир по основным отечественным решениям. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/ot-ics-security). Цель таблицы — показать позиционирование и под какие сценарии решения заходят чаще всего.

Решение	Вендор	Позиционирование	Чаще всего подходит для
PT ISIM	Positive Technologies	Пассивный мониторинг и защита АСУ ТП, выявление атак на технологический процесс	Энергетика, промышленность, крупные объекты КИИ
Kaspersky KICS	«Лаборатория Касперского»	Платформа защиты OT: мониторинг сети (KICS for Networks) и защита узлов (KICS for Nodes)	Производство, нефтегаз, многоуровневые АСУ ТП
InfoWatch ARMA	InfoWatch (АРМА)	Промышленный МЭ, система мониторинга и СЗИ для АСУ ТП	Промышленные сети с акцентом на сегментацию и КИИ

Функция западной платформы → отечественное решение или класс

Чтобы перенос был осмысленным, идите не от названия продукта, а от функций, которые вы реально используете в Claroty или Nozomi. Ниже — соответствие «функция → отечественное решение/класс СЗИ».

Функция Claroty / Nozomi	Отечественное решение / класс	Что проверять при выборе
Пассивная инвентаризация активов OT	PT ISIM, Kaspersky KICS for Networks, InfoWatch ARMA	Полнота автообнаружения без активного опроса контроллеров
Глубокий разбор промышленных протоколов	PT ISIM, KICS for Networks	Поддержка именно ваших протоколов (Modbus, S7, IEC 104, PROFINET и др.)
Обнаружение аномалий и атак на техпроцесс	PT ISIM, KICS	Качество правил/моделей, доля ложных срабатываний на пилоте
Управление уязвимостями активов АСУ ТП	PT ISIM, KICS	Актуальность базы уязвимостей по российским и зарубежным ПЛК
Защита и контроль АРМ/серверов (узлы)	KICS for Nodes, средства класса EPP/EDR для OT	Совместимость со старыми ОС, режим без влияния на SCADA
Сегментация и промышленный МЭ	InfoWatch ARMA, отечественные ПАК межсетевого экранирования	Сертификация ФСТЭК на класс МЭ, поддержка промпротоколов
Интеграция с SOC/SIEM	Все три (экспорт событий)	Форматы выгрузки, готовые коннекторы к российским SIEM
Соответствие требованиям КИИ	PT ISIM, KICS, InfoWatch ARMA	Наличие в реестре ФСТЭК и применимость под ваш класс значимости

Зрелость класса российских решений для АСУ ТП по функциям

Усреднённая редакционная оценка готовности класса решений по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем трафике.

Пассивный мониторинг и инвентаризация OT 90 /100

90 /100

Сертификация ФСТЭК и применимость к КИИ 90 /100

90 /100

Разбор промышленных протоколов 80 /100

80 /100

Обнаружение атак на технологический процесс 80 /100

80 /100

Сегментация и промышленный межсетевой экран 80 /100

80 /100

Управление уязвимостями активов АСУ ТП 70 /100

70 /100

Защита узлов на устаревших ОС 70 /100

70 /100

Что проверять при выборе: три критичные вещи

OT-среда не прощает ошибок: остановка контроллера или ложная команда может остановить производство. Поэтому при выборе замены Claroty или Nozomi критичны три проверки.

- **Пассивный мониторинг.** Решение должно работать на копии трафика (SPAN/TAP) без активного опроса ПЛК и без вмешательства в технологический процесс. Активные методы — только опционально и с согласованием с технологами. - **Разбор промышленных протоколов.** Проверяйте поддержку именно ваших протоколов и версий, а не общий список в маркетинге. Глубина разбора определяет качество детектов. - **Сертификация и КИИ.** Для значимых объектов нужны наличие в реестре отечественного ПО и сертификат ФСТЭК на применимый класс. Это входной барьер, а не «плюс».

Чек-лист выбора замены Claroty / Nozomi

Инвентаризация функций зафиксируйте, какие возможности Claroty/Nozomi вы реально используете.

Пассивный режим убедитесь, что мониторинг работает на копии трафика без влияния на техпроцесс.

Промышленные протоколы проверьте разбор именно ваших протоколов и версий на реальном трафике.

Обнаружение атак оцените качество детектов и долю ложных срабатываний на пилоте.

Управление уязвимостями проверьте актуальность базы уязвимостей по вашим ПЛК и АРМ.

Сертификация ФСТЭК сверьте наличие в реестре и класс сертификата под ваш объект КИИ.

Интеграция с SOC проверьте выгрузку событий в ваш SIEM и наличие коннекторов.

Защита узлов оцените совместимость со старыми ОС SCADA/АРМ без риска для процесса.

Сравнение вендоров сверьтесь с [рейтингом систем защиты АСУ ТП](/rating/ot-ics-security) по подтверждённым внедрениям.

План перехода с Claroty / Nozomi: 6 шагов

01 Инвентаризация и профилирование
Опишите архитектуру АСУ ТП, перечень протоколов, точки съёма трафика и функции, которые используете в западной платформе.
02 Шорт-лист решений
Подберите 2–3 отечественных кандидата под ваши функции и класс значимости объекта КИИ.
03 Стендовый пилот
Разверните на копии трафика без влияния на процесс, проверьте инвентаризацию и разбор ваших протоколов.
04 Настройка детектов
Откалибруйте правила и модели аномалий, добейтесь приемлемой доли ложных срабатываний.
05 Интеграция с SOC и параллельный режим
Подключите выгрузку событий в SIEM, поработайте параллельно со старой системой, сверьте покрытие.
06 Переключение и вывод
Поэтапно выведите Claroty/Nozomi из эксплуатации по сегментам, зафиксируйте результат под требования ФСТЭК.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы в промышленности, отзывы и интервью клиентов, внешняя репутация, специализация на OT/ICS, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом систем защиты АСУ ТП](/rating/ot-ics-security): здесь — рынок, функции и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с функциями и критериями — переходите к сравнению поставщиков: **[рейтинг систем защиты АСУ ТП →](/rating/ot-ics-security)**. Полезно прочитать рядом: [как защитить АСУ ТП и промышленные сети](/research/ot-ics-security-zashchita-asu-tp), [рейтинг систем защиты АСУ ТП и КИИ 2026](/research/reyting-sistem-zashchity-asu-tp-2026) и [187-ФЗ и приказы ФСТЭК по защите КИИ](/research/187-fz-fstek-kii-trebovaniya).

Частые вопросы

Можно ли продолжать пользоваться Claroty или Nozomi в России?

В штатном режиме — нет: вендоры свернули поставки, обновления баз и поддержку, а обходные схемы несут юридические и операционные риски. Для значимых объектов КИИ это к тому же противоречит требованиям к доверенным сертифицированным средствам защиты.

Что из российского ближе всего к Claroty и Nozomi по функциям?

По профилю задач ориентирами выступают PT ISIM, Kaspersky Industrial CyberSecurity (KICS) и InfoWatch ARMA: пассивный мониторинг промышленных сетей, разбор протоколов, выявление аномалий и управление уязвимостями. Конкретное соответствие проверяется на пилоте под вашу архитектуру АСУ ТП.

Безопасно ли разворачивать систему мониторинга в действующей АСУ ТП?

Да, если решение работает пассивно — на копии трафика (SPAN/TAP), без активного опроса контроллеров и без вмешательства в технологический процесс. Именно пассивный режим — ключевой критерий при выборе и обязательный пункт пилота.

Обязательна ли сертификация ФСТЭК для защиты АСУ ТП?

Для значимых объектов КИИ наличие в реестре отечественного ПО и сертификат ФСТЭК на применимый класс — фактически входной барьер по 187-ФЗ и приказам ФСТЭК. Актуальный статус всегда сверяйте в реестре ФСТЭК, не полагаясь на маркетинговые заявления.

Где сравнить конкретных вендоров между собой?

В рейтинге систем защиты АСУ ТП — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Федеральный закон № 187-ФЗ «О безопасности КИИ» Официальный интернет-портал правовой информации

Рейтинг систем защиты АСУ ТП Сравнить поставщиков по подтверждённым сигналам OT/ICS Security: как защитить АСУ ТП и промышленные сети Рейтинг систем защиты АСУ ТП и КИИ в России 2026 187-ФЗ и приказы ФСТЭК: как закрыть требования по защите КИИ