Не «сколько человек», а «что должна делать команда ИБ

от

«Если вы думаете, что штат ИБ, это просто вопрос бюджета, вы упускаете главное. Речь идёт о том, как превратить хаотичную нагрузку в управляемый процесс, где каждый человек не просто выживает, а приносит реальную пользу. Формула проста: не «сколько нужно», а «что должно делать» и «как это организовать». Всё остальное — следствие.»

Почему «сколько человек» — не тот вопрос

Запрос на расчёт численности команды информационной безопасности обычно возникает в двух случаях: когда компания готовится к проверке регулятора или когда текущая команда уже на грани выгорания. Оба подхода ведут в тупик. В первом случае нанимают «для галочки», создавая видимость деятельности. Во втором — пытаются тушить пожар, подливая воду, вместо того чтобы разобраться с причинами возгорания.

Главная ошибка — рассматривать специалистов ИБ как однородный ресурс, «человеко-часы». Реальная работа, это не равномерный поток задач, а серия кризисов, аудитов, внедрений и рутинного мониторинга. Один высококлассный аналитик, настроивший автоматизацию, может заменить трёх операторов, вручную просматривающих логи. А три разнонаправленных junior-специалиста без чёткого управления создадут больше проблем, чем решат.

Поэтому начать нужно не с подсчёта голов, а с инвентаризации обязанностей и процессов. Без этого любая цифра будет взята с потолка.

Карта обязанностей: что должна делать команда

Прежде чем считать людей, нужно чётко определить фронт работ. Условно всю деятельность ИБ в организации можно разделить на несколько ключевых направлений. Отсутствие хотя бы одного из них создаёт «дыру», нагрузка от которой ляжет на остальных.

Регуляторное соответствие и документооборот

Это основа, без которой всё остальное может быть признано недействительным. Сюда входит:

  • Разработка, актуализация и поддержка организационно-распорядительных документов (положений, регламентов, инструкций).
  • Подготовка к проверкам ФСТЭК, ФСБ, Роскомнадзора и отчётность по 152-ФЗ.
  • Управление реестрами (персональных данных, инцидентов, мер защиты).

Эта работа циклична и требует высокой внимательности к деталям. Её нельзя забросить, иначе последует штраф. Её сложно автоматизировать полностью. Часто эту функцию совмещает руководитель или выделенный специалист.

Техническая защита и эксплуатация

«Боевое» ядро команды. Их работа видна в консолях и дашбордах:

  • Настройка и поддержка средств защиты информации (СЗИ): межсетевые экраны, системы обнаружения вторжений, антивирусы, DLP.
  • Мониторинг событий безопасности, анализ инцидентов, первичное реагирование.
  • Управление доступом, настройка политик, обновление сигнатур и правил.

Это самая ресурсоёмкая и «горячая» часть работы. Без адекватного покрытия здесь переработки и дежурства становятся нормой.

Аудит и оценка защищённости

Взгляд со стороны на свою же инфраструктуру. Если предыдущее направление ставит защиту, то это — проверяет, как она работает:

  • Проведение внутренних аудитов и сканирований на уязвимости.
  • Анализ конфигураций на соответствие стандартам (например, требованиям ФСТЭК).
  • Тестирование на проникновение (если есть компетенции) или координация работы с внешними пентестерами.

Эта функция часто выносится на периодическую основу, но требует глубокого погружения и отвлечения от оперативной работы.

Архитектура и проектирование

Стратегическое направление, которое экономит силы команды в будущем. Специалист (или сам руководитель, выполняющий эту роль) отвечает за:

  • Внедрение новых систем и технологий с учётом требований безопасности «по умолчанию».
  • Проектирование безопасных сетевых и инфраструктурных решений.
  • Выбор и интеграцию СЗИ в ИТ-ландшафт компании.

Отсутствие этой роли приводит к тому, что технические специалисты постоянно латают кривые решения, вместо того чтобы работать с грамотно спроектированной средой.

От обязанностей к ролям: типовые профили в команде

Определив фронт работ, можно переходить к распределению ролей. Один человек может совмещать несколько ролей, особенно в небольших командах. Но важно понимать, какие компетенции должны быть в коллективе в сумме.

Роль Ключевые обязанности Типичные риски перегрузки
Руководитель / Менеджер соответствия Документооборот, коммуникация с регуляторами, планирование, отчётность, распределение задач. Тонны бумажной работы, постоянные совещания, ответственность за всё. Выгорает от бюрократии и невозможности заняться техникой.
Инженер / Администратор СЗИ Эксплуатация межсетевых экранов, SIEM, систем антивируса, DLP. Реагирование на инциденты. Круглосуточные дежурства, поток ложных срабатываний, рутинные операции. Выгорает от оперативки и отсутствия времени на развитие.
Аналитик безопасности Углублённый анализ инцидентов, расследование, поиск аномалий, настройка корреляционных правил. Сложные нестандартные расследования, необходимость глубокого погружения в контекст. Выгорает от когнитивной нагрузки.
Специалист по аудиту и тестированию Сканирование уязвимостей, анализ конфигураций, проведение внутренних проверок. Периодические авралы перед проверками, работа с большими объёмами сырых данных. Выгорает от монотонности отчётов.

В микро-команде из 1-2 человек все эти роли вынужденно совмещаются, что является прямым путём к профессиональному выгоранию. Задача — как можно раньше начать разделение зон ответственности.

Факторы, которые умножают нагрузку (и требуют больше рук)

Некоторые условия объективно увеличивают объём работы, делая стандартные расчёты неприменимыми. Их нельзя игнорировать.

  • Распределённая инфраструктура. Несколько ЦОД, филиалов, облачных сред — каждый новый сайт умножает задачи по настройке, мониторингу и согласованию политик.
  • Жёсткие регуляторные требования. Работа с гостайной (ГИС), КИИ или персональными данными в крупных объёмах накладывает дополнительные процедуры, отчётность и требования к СЗИ.
  • Высокая динамика изменений. Частые запуски новых сервисов, обновления, миграции. Безопасность превращается в постоянную гонку за изменениями.
  • Отсутствие базовой автоматизации. Ручное развертывание политик, сбор отчётов, обработка заявок на доступ съедают львиную долю времени.
  • Слабое взаимодействие с ИТ-департаментом. Если ИБ воспринимается как «полиция», а не как партнёр, каждый шаг, это конфликт и долгие согласования.

Наличие двух и более таких факторов — сигнал, что команду нужно усиливать сверх условной «нормы».

Практический расчёт: от абстракции к цифрам

Перейдём к приблизительным оценкам. Эти цифры — не догма, а отправная точка для размышлений, исходя из типичного российского контекста (средний бизнес, 152-ФЗ, ФСТЭК).

Минимально жизнеспособная команда (выживание)

1-2 специалиста. Режим постоянного аврала. Один человек фокусируется на документах и регуляторике, второй — на технической эксплуатации. Или один универсал пытается охватить всё. Автоматизация на базовом уровне, проактивная работа почти невозможна, команда работает в режиме постоянного реагирования. Риск выгорания — крайне высокий. Подходит только для очень маленьких организаций с минимальной ИТ-инфраструктурой.

Стабильная команда (функционирование)

3-5 специалистов. Появляется возможность разделения ролей. Примерный расклад: руководитель/аналитик, 2 инженера СЗИ (можно с дежурствами), 1 специалист по аудиту/уязвимостям (может совмещать роль). Появляется время на настройку автоматизации, проведение внутренних проверок, проактивный поиск угроз. Команда может обслуживать инфраструктуру с несколькими филиалами. Переработки носят эпизодический, а не системный характер.

Эффективная команда (развитие)

От 6 человек и более. Позволяет иметь чёткую специализацию: отдельно архитектор, отдельно аналитики SOC, отдельно пентестер, отдельно специалист по compliance. Появляется возможность глубокого погружения в каждое направление, реализации долгосрочных проектов, реального управления безопасностью, а не только реагирования. Команда способна обслуживать сложную распределённую инфраструктуру и соответствовать жёстким требованиям.

Ключевой принцип: переход от количества к качеству происходит на отметке 3-5 человек, когда появляется не просто «больше рук», а возможность стратегического планирования и специализации.

Что важнее найма: автоматизация и процессы

Нанять ещё одного человека — самое простое, но не самое эффективное решение. Часто проблему перегрузки можно снять, не увеличивая штат.

  • Автоматизация рутины. Скрипты для массового применения политик, автоматические отчёты из SIEM, интеграция тикет-систем с системами управления доступом. Каждый автоматизированный процесс экономит часы ручной работы в неделю.
  • Чёткие регламенты с ИТ. Прописанные процессы на запрос доступа, вывод систем в эксплуатацию, устранение уязвимостей. Это сокращает время на согласования и конфликты.
  • Приоритизация. Не всё нужно делать идеально и сразу. Методология риск-ориентированного подхода помогает сосредоточиться на угрозах с наибольшим impact, отложив или упростив решение менее критичных задач.
  • Аутсорсинг узких задач. Проведение ежегодного пентеста, аудит на соответствие — эти трудоёмкие и требующие специфических компетенций задачи иногда дешевле и эффективнее отдать внешним подрядчикам, чем пытаться закрыть силами своей команды.

Итог: формула не для умирания, а для работы

Вопрос «сколько человек нужно, чтобы не умереть» — симптом проблемной ситуации. Правильный вопрос: «какую безопасность мы хотим обеспечить и какие процессы для этого выстроить?».

Сначала — карта обязанностей и понимание регуляторного контекста. Затем — распределение ключевых ролей с учётом специализации. Потом — поправка на масштаб и сложность инфраструктуры. И только после этого — оценка численности. При этом всегда нужно смотреть в сторону оптимизации процессов и автоматизации до того, как открывать новую вакансию.

Минимальный порог для перехода от режима «выживания» к «функционированию» — 3-5 специалистов. Всё, что меньше,, это история о героизме и неизбежном выгорании. Всё, что больше, — возможность не просто тушить пожары, а проектировать систему, которая не будет гореть.

Оставьте комментарий