сортировка (Triage)

Введение

Триаж (от французского triage – сортировка, отбор) – процесс быстрой оценки и ранжирования входящих объектов (инцидентов, задач, пациентов, обращений) по степени срочности, важности и критичности для обеспечения оптимального распределения ограниченных ресурсов. Цель триажа – направить усилия прежде всего туда, где они принесут наибольший эффект или предотвратят наибольший вред.

Изначально термин использовался в военной медицине для сортировки раненых: кто может подождать, кому нужна немедленная помощь, кому помочь уже невозможно. Сегодня принципы триажа широко применяются в ИТ, проектном управлении, клиентской поддержке и разработке программного обеспечения.

История и контекст

Медицинский триаж был систематизирован Домиником Жан Ларреем, военным хирургом Наполеона, в начале XIX века. Он первым предложил сортировать раненых по тяжести ранений для оптимизации помощи в условиях полевых госпиталей. В XX веке военно-полевые принципы триажа были адаптированы для гражданских больниц неотложной помощи (шкала ESI – Emergency Severity Index).

В ИТ-контексте понятие триажа появилось с развитием систем управления инцидентами и ITIL (Information Technology Infrastructure Library). Agile-методологии ввели понятие «backlog triage» – регулярный пересмотр и приоритизацию задач в продуктовом бэклоге. В области кибербезопасности SOC-триаж – критический этап реагирования на угрозы.

Триаж в ИТ: ключевые контексты

Управление инцидентами (ITIL Incident Management)

При поступлении инцидента в service desk триаж определяет: влияние (impact) – сколько пользователей затронуто; срочность (urgency) – насколько критична задержка; приоритет = f(impact, urgency). Матрица приоритетов типично имеет 4 уровня: P1 (критический), P2 (высокий), P3 (средний), P4 (низкий). SLA устанавливает цели времени реакции и разрешения для каждого приоритета.

Triaging bugs в разработке ПО

Bug triage – регулярная встреча команды для оценки новых дефектов: подтверждение воспроизводимости, оценка серьёзности (severity), назначение приоритета (priority), распределение по спринтам или версиям. Серьёзность описывает технический эффект (blocker, critical, major, minor, trivial); приоритет – бизнес-важность исправления.

Триаж в кибербезопасности (SOC triage)

Аналитик SOC получает десятки тысяч алертов в сутки. Триаж позволяет быстро отделить ложные срабатывания от реальных угроз, определить приоритет расследования и эскалировать критические инциденты.

Backlog triage в Agile

Регулярный процесс пересмотра продуктового бэклога: удаление устаревших задач, переоценка приоритетов с учётом изменившегося контекста, уточнение описаний.

Где применяется

• ИТ-поддержка и сервис-деск – приоритизация инцидентов и обращений пользователей.
• Разработка ПО – сортировка багов и задач в бэклоге.
• Кибербезопасность – SOC-триаж, обработка алертов SIEM.
• Здравоохранение – скорая помощь, приёмное отделение, телемедицина.
• Проектное управление – приоритизация задач при ограниченных ресурсах команды.

Преимущества и ограничения

Преимущества:

• Эффективное распределение ресурсов – наиболее срочные задачи решаются первыми.
• Предотвращение эскалации незначительных инцидентов через прозрачные критерии.
• Управление ожиданиями пользователей через SLA.
• Сокращение среднего времени восстановления (MTTR).

Ограничения:

• Субъективность оценки при отсутствии чётких критериев.
• Риск «приоритетного инфляции» – когда все инциденты становятся P1.
• Ручной триаж при высоком объёме обращений требует значительных ресурсов.
• Некорректная приоритизация может привести к игнорированию реально важных задач.

Связь с другими понятиями

Триаж является ключевым этапом процесса управления инцидентами в ITIL. Helpdesk и Service Desk системы автоматизируют триаж через правила маршрутизации и SLA. В кибербезопасности SOC-триаж тесно связан с SIEM (Security Information and Event Management) и XDR-платформами. В разработке ПО триаж является частью процессов Agile и работы с системами отслеживания задач (Jira и аналоги).