Контакты
Подписка 2026

Управление командой: как организовать работу дежурной смены

Роман Одегов, 25/11/25

Шестая статья цикла публикаций посвящена управлению командой на примере дежурной смены. Работа в ней связана с регулярным выполнением однотипных задач, что в условиях высокой нагрузки может приводить к пропуску инцидентов из-за снижения концентрации, а также к демотивации и выгоранию аналитиков. Как же этого не допустить?

Автор: Роман Одегов, руководитель отдела оперативного обнаружения киберугроз в BI.ZONE

Video-Cover_571х322

Распределение нагрузки

Наш отдел оперативного обнаружения киберугроз в классической модели SOC совмещает всю функциональность L1 и часть функций L2. Но чтобы не усложнять, дальше будем говорить только об L1 SOC. Основные обязанности – круглосуточный мониторинг алертов, оповещение об инцидентах, выдача первичных рекомендаций и первичное реагирование.

Чтобы равномерно распределить нагрузку и обеспечить своевременное реагирование, мы ввели разделение на роли: аналитик в смене, старший аналитик, ответственный смены.

Аналитик в смене – основной ресурс для обработки алертов. Дополнительно в смене среди аналитиков мы выделили роли для работы с запросами клиентов: взаимодействие по спецпроектам, прием звонков, обработка ответов заказчиков по инцидентам.

Старший аналитик также обрабатывает ответы заказчиков по инцидентам, но в приоритете у него решение технических или сложных вопросов, реализация исключений в правилах, постанализ инцидентов, а также индивидуальные задачи, направленные на улучшение работы L1 SOC.

Ответственный смены управляет ее работой и следит за процессами. На нем контроль нагрузки, распределение аналитиков по дополнительным ролям, эскалация технических проблем. Каждый аналитик грейда Middle периодически выполняет роль ответственного. Так обеспечивается ротация ролей внутри смены.

Таким образом, внутри каждой смены образуется полноценная команда с четким распределением зон ответственности: у каждого аналитика есть понятные роль и требования к выполнению задач на ближайшую смену.

Оптимальное время работы

Опыт первых лет функционирования нашего SOC показал, что работа в режиме "два через два" (12 часов с графиком "день–ночь–отсыпной–выходной") негативно сказывается на производительности специалистов.

Мы оптимизировали график смен благодаря наличию команд в Москве, Казани и Красноярске. Разница в 4 часа позволила нам организовать рабочую неделю аналитиков из пяти 8-часовых смен и двух выходных. В Москве и Казани смены с 9:00 до 18:00 и с 18:00 до 3:00, а в Красноярске – с 7:00 до 16:00 и с 13:00 до 22:00 по местному времени. Судя по обратной связи от аналитиков, такой график переносится лучше, чем "два через два". Более комфортные условия положительно влияют на качество работы и эмоциональное состояние.

А чтобы аналитики не выгорали в потоке алертов, обычные смены перемежаются со сменами развития. В это время аналитики занимаются совершенствованием технических навыков. Рабочая неделя состоит из четырех обычных смен и одной смены развития.

Распределенная структура команды

Один руководитель приходится на группу численностью до пятнадцати аналитиков. Такое соотношение оказалось оптимальным. Руководитель в этом случае способен эффективно работать как с каждым аналитиком в отдельности, так и на уровне групповых активностей.

Важно, чтобы в рамках группы проходили очные встречи – как неформальные, так и связанные с работой. Это влияет на сплоченность команды, укрепляет доверие, позволяет отдохнуть от регулярных задач. Поэтому в группу мы объединяем аналитиков в пределах одной локации.

Поддержка и менторство

Руководитель группы регулярно проводит встречи один на один с каждым аналитиком. Они позволяют вовремя реагировать на проблемы, например выявлять выгорание на ранней стадии, и обмениваться обратной связью. Это важный инструмент взаимодействия, который способствует профессиональному и личностному развитию сотрудника. У руководителей групп есть встречи один на один с руководителем отдела. Последний периодически также проводит личные встречи с аналитиками, чтобы поддерживать прозрачные взаимоотношения в отделе и получать обратную связь о руководителях групп.

Еще одна регулярная активность – внутренние семинары, на которых аналитики прокачивают навыки публичных выступлений и делятся опытом в расследовании интересных инцидентов, разбирают новые или сложные правила детектирования. На семинарах также обсуждаются ошибки, особенности внутренних процессов, сложные ситуации при обработке ответов клиентов.

Понятное и прозрачное развитие карьеры

Организовать прозрачный процесс помогают карьерные треки, которые состоят из матрицы компетенций, базы знаний, критериев роста, правил перехода. Мы составляем индивидуальный план развития (ИПР) для каждого аналитика, в который закладываем проработку проседающих зон компетенции, а также получение навыков из направления, в которое сотрудник хотел бы в будущем перейти. Затем определяем, через какое время он должен достичь целей ИПР. На промежуточных встречах руководитель и аналитик фиксируют результаты и при необходимости корректируют процесс. По итогам выполнения ИПР мы подводим итоги и принимаем решение о повышении или переводе.

Заключение

Одна из основ любого SOC – это люди. В управленческих решениях мы концентрируемся на улучшениях для аналитиков: создаем комфортную среду для достижения целей, ценим доверие, открытость и ответственность. Такой подход позволяет выстраивать эффективные процессы в L1 SOC и успешно решать задачи, которые стоят перед командой.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjemYrib


 

Темы:SOCBI.ZoneBI.ZONE SOC ConsultingЖурнал "Информационная безопасность" №5, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • DRP на практике: как BI.ZONE защищает бизнес вне периметра
    Григорий Бершацкий, руководитель группы аналитиков BI.ZONE DRP
    За пределами корпоративного периметра формируется множество рисков для бизнеса. Только за 2025 г. специалисты BI.ZONE Digital Risk Protection обнаружили 179 тыс. фишинговых ссылок – и это лишь часть ландшафта угроз. Злоумышленники все чаще распространяют вредоносные мобильные приложения, наращивают объем мошеннического контента в мессенджерах и соцсетях, используют персонализированный фишинг. Посмотрим на самые распространенные сценарии, с которыми сталкиваются организации, и о том, как защищаться от угроз вне периметра.
  • Управление киберрисками: как считать угрозы в рублях и строить зрелые процессы
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Регулирующие органы требуют от бизнеса перейти к количественным оценкам потерь от киберинцидентов. Теперь недостаточно перечислить возможные угрозы и заявить о наличии технических средств защиты. Компаниям необходимо рассчитывать конкретную сумму потенциального ущерба, выраженную в рублях. Это могут быть прямые финансовые потери, затраты на восстановление или репутационные издержки. Невыполнение требований грозит не только штрафами, но и приостановкой деятельности. Как же обосновать для бизнеса затраты на кибербезопасность?
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...