Чем больше в компании сотрудников и информационных систем, тем сложнее уследить, у кого и к чему есть доступ. Учётные записи копятся годами, права выдаются вручную и по памяти, а уволенные сотрудники неделями сохраняют вход в рабочие сервисы. Навести здесь порядок помогает IdM-система — инструмент централизованного управления учётными записями и правами доступа.

В статье разберём, что такое IdM, какие задачи она решает и чем отличается от смежных классов систем — IAM, IGA и PAM. Покажем, по каким признакам понять, что компании пора внедрять управление доступом, из каких этапов состоит проект и как быстро он окупается. Материал будет полезен ИТ-директорам, специалистам по информационной безопасности и руководителям, которые оценивают необходимость такого решения.

Что такое IdM-система

IdM (Identity Management — управление идентификационными данными) — это система, которая централизованно управляет учётными записями сотрудников и их правами доступа во всех корпоративных системах. Она отвечает на простой вопрос: кто, к чему и на каком основании имеет доступ — и поддерживает ответ в актуальном состоянии всё время, пока человек работает в компании.

Логика работы строится вокруг кадрового источника. Когда в HR-системе появляется новый сотрудник, IdM автоматически заводит ему учётные записи и выдаёт права по должности. При переводе на другую позицию права пересматриваются, при увольнении — отзываются. Упрощённо схему можно представить так:

  • кадровая система (например, 1С:ЗУП) — источник данных о сотрудниках и их должностях;
  • IdM-система — управляет правилами и принимает решения, кому какой доступ положен;
  • целевые системы (Active Directory, почта, ERP, CRM, отраслевые приложения) — получают команды на создание, изменение или блокировку учётных записей через коннекторы.

Связь с целевыми системами обеспечивают коннекторы — программные модули-адаптеры под каждый тип приложения. Именно через них IdM напрямую управляет учётными записями, а не просто хранит сведения о них.

Какие задачи решает IdM-система

Проще всего понять ценность IdM через проблемы, которые возникают без неё. Когда доступом управляют вручную, типичны ситуации:

  • сотрудник уволился, но его учётная запись и доступы остались активными;
  • подрядчик закончил проект, а его аккаунт никто не отключил;
  • новый сотрудник первые дни ждёт выдачи доступов и не может работать;
  • при переводе между отделами старые права не снимаются и накапливаются;
  • аудит информационной безопасности находит избыточные полномочия у заметной доли пользователей.

Масштаб проблемы хорошо виден на практике. В одном из проектов внедрения при инвентаризации обнаружили 12 000 активных учётных записей, из которых около 8 000 принадлежали уже уволенным сотрудникам, — и на поиск ответственных за них ушло больше месяца. Каждая такая запись — это потенциальная точка входа для злоумышленника. По данным отраслевых отчётов, в 2024 году до 40% успешных кибератак начинались со взлома корпоративных аккаунтов.

IdM-система убирает ручные операции и человеческий фактор: права выдаются и отзываются автоматически по понятным правилам, а вся история действий фиксируется для аудита. Это снижает риски для безопасности, ускоряет работу ИТ-службы и помогает проходить проверки регуляторов.

Читайте также Управление информационной безопасностью в компании: от стратегии к работающей системе

Как работает IdM: жизненный цикл учётной записи и функции

В основе IdM лежит управление жизненным циклом учётной записи — от приёма сотрудника до его увольнения. Система отслеживает кадровые события и приводит права в соответствие с текущей ролью человека в компании.

Управление жизненным циклом учётной записи

Жизненный цикл проходит несколько стадий, и на каждой IdM выполняет нужные действия:

  • приём сотрудника — автоматическое создание учётных записей и выдача базового набора прав (провижининг);
  • перевод или смена должности — пересмотр прав под новую роль, снятие лишних полномочий;
  • увольнение — немедленная блокировка всех доступов (депровижининг).

Основные функции IdM-системы

Помимо управления учётными записями, IdM объединяет ещё несколько механизмов:

  • ролевая модель (RBAC) и атрибутный доступ (ABAC) — права назначаются не вручную каждому, а через роли, привязанные к должности и подразделению;
  • контроль разделения обязанностей (SoD, Segregation of Duties) — система не даёт совместить несовместимые полномочия, например создавать и одновременно утверждать платёж;
  • ресертификация доступа — периодическая проверка, что выданные права всё ещё актуальны;
  • портал самообслуживания — сотрудник сам запрашивает доступ, а руководитель согласует его по заданному маршруту;
  • аудит и отчётность — полная история того, кто, когда и какой доступ получил;
  • интеграция с инфраструктурой — Active Directory, LDAP, кадровые системы, ERP, CRM и отраслевые приложения.

Вместе эти функции дают то, ради чего IdM и внедряют: прозрачную и управляемую картину доступа по всей компании вместо разрозненных настроек в каждой системе.

Чем IdM отличается от IAM, IGA и PAM

Вокруг управления доступом сложилось несколько близких терминов, и их часто путают. Все они работают с идентификацией пользователей и правами, но решают разные задачи. На практике IdM нередко используют как синоним IAM, а IGA и PAM выделяют как отдельные, более специализированные классы.

Класс системы

На чём фокус

Когда нужна

IdM

Управление учётными записями и правами по всему жизненному циклу сотрудника

Нужно автоматизировать выдачу и отзыв доступов, навести порядок в учётных записях

IAM

Управление идентификацией плюс аутентификация и контроль доступа: SSO, многофакторная аутентификация

Нужен единый вход и усиленная проверка пользователей в дополнение к управлению правами

IGA

Надзор и соответствие: анализ рисков, ресертификация, отчётность для регуляторов

Нужно подтверждать соответствие требованиям и регулярно пересматривать права

PAM

Контроль привилегированных учётных записей: администраторы, доступ к критичным системам

Нужно отслеживать и записывать действия пользователей с расширенными правами

Короткая формула для разграничения: IdM работает профилактически — заранее наводит порядок в правах всех пользователей. PAM работает как охранный контур и следит за самыми опасными, привилегированными учётными записями. На практике эти системы дополняют друг друга, поэтому их часто внедряют вместе.

Решение
Внедрение IDM и PAM-систем
Подберём и внедрим систему управления доступом и контроля привилегированных учётных записей под вашу инфраструктуру — от аудита до запуска.

Когда компании пора внедрять IdM-систему

IdM нужна не каждой компании и не на любом этапе. Есть набор признаков, по которым видно, что управление доступом переросло ручной режим.

Признаки, что доступом пора управлять централизованно

  • учётные записи заводят и блокируют вручную, заявки на доступ идут по почте и в мессенджерах;
  • при увольнении доступы отзываются с задержкой или забываются совсем;
  • никто не может быстро ответить, какие права есть у конкретного сотрудника;
  • аудит регулярно выявляет избыточные и бесхозные полномочия;
  • растёт число подрядчиков и временных сотрудников, доступ которых сложно контролировать.

Кому и в каких отраслях нужна IdM

Чаще всего управление доступом внедряют компании со штатом от нескольких сотен человек, высокой текучестью кадров и большим числом информационных систем. Дополнительный повод — требования регуляторов: 152-ФЗ о персональных данных, новый стандарт ГОСТ Р 71753-2024 для систем управления доступом, отраслевые нормы и плановый аудит информационной безопасности.

Активнее всего IdM применяют в финансовом секторе, государственных организациях и на объектах критической информационной инфраструктуры, в промышленности, телекоме и здравоохранении — там, где много пользователей, строгие требования к защите данных и высокая цена ошибки.

Как внедряют IdM: этапы и подводные камни

IdM не заработает сразу после установки: продукт автоматизирует процессы управления доступом, но сами эти процессы нужно сначала привести в порядок. Поэтому проекты обычно ведут поэтапно, наращивая функциональность.

Этапы проекта

  • Базовая автоматизация. Обследование, подключение основных систем, автоматическое создание учётных записей при приёме и отзыв при увольнении, выявление расхождений между документами и фактическими правами.
  • Полная функциональность. Подключение остальных систем, маршруты согласования заявок, ролевая модель, портал самообслуживания, отчётность для проверок. Самый сложный этап.
  • Развитие. Доработки под пожелания пользователей, подключение оставшихся приложений, тонкая настройка ролей и политик.

На чём проекты буксуют

Большинство сложностей возникает не из-за самой системы, а из-за неготовности к ней:

  • грязные кадровые данные — если в HR-системе ошибки, они разойдутся по всем подключённым приложениям, ведь именно она служит источником истины;
  • устаревшие системы без программных интерфейсов — их подключение увеличивает сроки и бюджет;
  • отсутствие поддержки руководства — проект затрагивает несколько подразделений и без участия топ-менеджмента останавливается;
  • попытки обойти новую систему — первые месяцы сотрудники по привычке запрашивают доступ старыми способами, поэтому альтернативные каналы важно перекрыть.

При грамотной подготовке отдача ощутима: по оценкам интеграторов, IdM окупается примерно за 1–1,5 года, а сроки выдачи доступов сокращаются в 3–4 раза. Чтобы оценить готовность инфраструктуры и процессов, перед стартом полезно провести аудит.

Читайте также Что такое аудит информационной безопасности и когда нужно его проводить?

Российские IdM-системы и импортозамещение

После ухода зарубежных вендоров российский рынок управления доступом заметно вырос: сегодня на нём представлены десятки отечественных платформ разного уровня зрелости — от базовых продуктов до решений с глубокой интеграцией в кадровые системы. Многие компании уже завершили миграцию с иностранных платформ на российские аналоги.

При выборе системы для замены зарубежного решения в первую очередь смотрят на формальные требования: наличие в реестре отечественного ПО Минцифры, сертификат ФСТЭК России, соответствие стандарту ГОСТ Р 71753-2024. Для государственных организаций и объектов критической инфраструктуры это обязательные условия. Подобрать платформу под конкретную инфраструктуру и требования помогает интегратор с опытом таких проектов.

Мы изучили российские системы управления доступом, отобрали самые сильные платформы и работаем с их разработчиками напрямую — Solar, Avanpost, Индид, Айтибастион, SafeInspect и Space-Bit. Наши менеджеры прошли сертификацию вендоров и хорошо знают продукты изнутри, поэтому поможем выбрать решение под вашу инфраструктуру и требования регуляторов, а затем аккуратно его внедрим.

Решение
Информационная безопасность
Выстроим защиту корпоративных данных и доступа: от аудита и проектирования до внедрения средств безопасности и сопровождения.

С чего начать внедрение IdM

IdM-система превращает управление доступом из набора ручных операций в прозрачный и контролируемый процесс: права выдаются по правилам, отзываются вовремя, а вся история доступна для аудита. Это снижает риски информационной безопасности, разгружает ИТ-службу и помогает соответствовать требованиям регуляторов.

Начинать стоит не с выбора продукта, а с оценки текущего состояния: какие системы есть, в каком порядке кадровые данные и где доступом управляют вручную. Аудит покажет, готова ли инфраструктура к внедрению и с чего разумнее стартовать. Мы поможем провести такую оценку, подберём российскую IdM-систему под вашу инфраструктуру и требования и сопроводим проект от пилота до запуска. Расскажите о своей задаче — предложим решение и оценим сроки.

Часто задаваемые вопросы (FAQ)

  • Что означает аббревиатура IdM?
    IdM расшифровывается как Identity Management — управление идентификационными данными. Так называют класс систем, которые централизованно управляют учётными записями сотрудников и их правами доступа во всех корпоративных системах на протяжении всего времени работы человека в компании.
  • Чем IdM отличается от IAM и PAM?
    IdM управляет учётными записями и правами всех пользователей и работает профилактически. IAM дополняет это аутентификацией: единым входом и многофакторной проверкой. PAM отвечает за привилегированные учётные записи администраторов и доступ к критичным системам, работая как охранный контур. На практике системы дополняют друг друга и часто внедряются вместе.
  • Какие задачи решает IdM-система?
    IdM автоматизирует выдачу и отзыв прав доступа, поддерживает порядок в учётных записях, не даёт сохраняться доступам уволенных сотрудников, контролирует избыточные и несовместимые полномочия, ведёт аудит действий и помогает проходить проверки регуляторов.
  • Что такое ролевая модель в IdM?
    Ролевая модель (RBAC, Role-Based Access Control) — это подход, при котором права назначаются не каждому сотруднику вручную, а через роли, привязанные к должности и подразделению. Когда человек приходит на позицию, он автоматически получает положенный для неё набор доступов, а при переводе роль и права меняются.
  • Как IdM связана с кадровой системой и Active Directory?
    Кадровая система (например, 1С:ЗУП) служит для IdM источником данных о сотрудниках и их должностях. На основе этих данных IdM через коннекторы управляет учётными записями в целевых системах, включая Active Directory: создаёт их при приёме, меняет права при переводе и блокирует при увольнении.
  • Сколько времени занимает внедрение IdM?
    Сроки зависят от числа подключаемых систем, состояния кадровых данных и зрелости процессов. Базовую автоматизацию обычно запускают за несколько месяцев, полноценный проект с ролевой моделью и согласованиями занимает дольше. По оценкам интеграторов, IdM окупается примерно за 1–1,5 года.
  • Нужна ли IdM компании среднего размера?
    Да, если есть характерные признаки: десятки информационных систем, высокая текучесть кадров, много подрядчиков или требования регуляторов. Современные российские платформы масштабируются под компании разного размера, а начать можно с базовой автоматизации основных систем и расширять охват постепенно.
Информационная безопасность
Поделиться: