Журнал "Information Security/ Информационная безопасность" #5, 2025

• 13 SOC + SOAR www.itsec.ru Распределение нагрузки Наш отдел оперативного обнаружения киберугроз в классической модели SOC совмещает всю функциональность L1 и часть функций L2. Но чтобы не усложнять, дальше будем говорить только об L1 SOC. Основные обязанности – круглосу- точный мониторинг алертов, оповещение об инцидентах, выдача первичных реко- мендаций и первичное реагирование. Чтобы равномерно распределить нагрузку и обеспечить своевременное реагирование, мы ввели разделение на роли: аналитик в смене, старший анали- тик, ответственный смены. Аналитик в смене – основной ресурс для обработки алертов. Дополнительно в смене среди аналитиков мы выделили роли для работы с запросами клиентов: взаимодействие по спецпроектам, прием звонков, обработка ответов заказчиков по инцидентам. Старший аналитик также обрабаты- вает ответы заказчиков по инцидентам, но в приоритете у него решение техни- ческих или сложных вопросов, реализа- ция исключений в правилах, постанализ инцидентов, а также индивидуальные задачи, направленные на улучшение работы L1 SOC. Ответственный смены управляет ее работой и следит за процессами. На нем контроль нагрузки, распределение ана- литиков по дополнительным ролям, эска- лация технических проблем. Каждый ана- литик грейда Middle периодически выпол- няет роль ответственного. Так обеспечи- вается ротация ролей внутри смены. Таким образом, внутри каждой смены образуется полноценная команда с чет- ким распределением зон ответственно- сти: у каждого аналитика есть понятные роль и требования к выполнению задач на ближайшую смену. Оптимальное время работы Опыт первых лет функционирования нашего SOC показал, что работа в режи- ме "два через два" (12 часов с графиком "день–ночь–отсыпной–выходной") нега- тивно сказывается на производительно- сти специалистов. Мы оптимизировали график смен бла- годаря наличию команд в Москве, Казани и Красноярске. Разница в 4 часа позво- лила нам организовать рабочую неделю аналитиков из пяти 8-часовых смен и двух выходных. В Москве и Казани смены с 9:00 до 18:00 и с 18:00 до 3:00, а в Красноярске – с 7:00 до 16:00 и с 13:00 до 22:00 по местному времени. Судя по обратной связи от аналитиков, такой график переносится лучше, чем "два через два". Более комфортные условия положительно влияют на качество рабо- ты и эмоциональное состояние. А чтобы аналитики не выгорали в пото- ке алертов, обычные смены переме- жаются со сменами развития. В это время аналитики занимаются совершен- ствованием технических навыков. Рабо- чая неделя состоит из четырех обычных смен и одной смены развития. Распределенная структура команды Один руководитель приходится на группу численностью до пятнадцати ана- литиков. Такое соотношение оказалось оптимальным. Руководитель в этом слу- чае способен эффективно работать как с каждым аналитиком в отдельности, так и на уровне групповых активностей. Важно, чтобы в рамках группы прохо- дили очные встречи – как неформаль- ные, так и связанные с работой. Это влияет на сплоченность команды, укреп- ляет доверие, позволяет отдохнуть от регулярных задач. Поэтому в группу мы объединяем аналитиков в пределах одной локации. Поддержка и менторство Руководитель группы регулярно про- водит встречи один на один с каждым аналитиком. Они позволяют вовремя реагировать на проблемы, например выявлять выгорание на ранней стадии, и обмениваться обратной связью. Это важный инструмент взаимодействия, который способствует профессиональ- ному и личностному развитию сотруд- ника. У руководителей групп есть встре- чи один на один с руководителем отдела. Последний периодически также прово- дит личные встречи с аналитиками, чтобы поддерживать прозрачные взаи- моотношения в отделе и получать обрат- ную связь о руководителях групп. Еще одна регулярная активность – внутренние семинары, на которых ана- литики прокачивают навыки публичных выступлений и делятся опытом в рас- следовании интересных инцидентов, раз- бирают новые или сложные правила детектирования. На семинарах также обсуждаются ошибки, особенности внут- ренних процессов, сложные ситуации при обработке ответов клиентов. Понятное и прозрачное развитие карьеры Организовать прозрачный процесс помогают карьерные треки, которые состоят из матрицы компетенций, базы знаний, критериев роста, правил пере- хода. Мы составляем индивидуальный план развития (ИПР) для каждого ана- литика, в который закладываем прора- ботку проседающих зон компетенции, а также получение навыков из направ- ления, в которое сотрудник хотел бы в будущем перейти. Затем определяем, через какое время он должен достичь целей ИПР. На промежуточных встречах руководитель и аналитик фиксируют результаты и при необходимости кор- ректируют процесс. По итогам выполне- ния ИПР мы подводим итоги и принимаем решение о повышении или переводе. Заключение Одна из основ любого SOC – это люди. В управленческих решениях мы концентрируемся на улучшениях для аналитиков: создаем комфортную среду для достижения целей, ценим доверие, открытость и ответственность. Такой подход позволяет выстраивать эффек- тивные процессы в L1 SOC и успешно решать задачи, которые стоят перед командой. l Управление командой: как организовать работу дежурной смены естая статья цикла посвящена управлению командой на примере дежурной смены. Работа в ней связана с регуляр- ным выполнением однотипных задач, что в условиях высо- кой нагрузки может приводить к пропуску инцидентов из- за снижения концентрации, а также к демотивации и выго- ранию аналитиков. Как же этого не допустить? Ш Роман Одегов, руководитель отдела оперативного обнаружения киберугроз в BI.ZONE Фото: BI.ZONE Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjemYrib