- IGA
- IDM
- IAM
- СУУЗиПД
- Управление доступом
- ГОСТ Р 71753
IGA-система: что это, чем отличается от IDM, IAM и СКУД
IGA (Identity Governance) — управление доступом с governance-слоем: ролевая модель, сертификация прав, SoD, аудит. Чем отличается от IAM, IdM и СКУД. Российские IGA и ГОСТ Р 71753.
Андрей Промыслов (IdM эксперт) — Identigy
IGA (Identity Governance and Administration) — это управление учётными записями и доступом с надстройкой governance: ролевая модель, сертификация прав, контроль конфликтов полномочий (SoD) и аудит того, кто и почему имеет доступ. В российских нормативах это СУУЗиПД по ГОСТ Р 71753-2024. Ниже — что такое IGA, чем она отличается от IAM, IdM и СКУД, что закрывает по требованиям регуляторов и на каких платформах её строят в России.
Что такое IGA-система
IGA (Identity Governance and Administration) — класс систем управления доступом, который отвечает не на вопрос «как пустить пользователя» (это делает IAM), а на вопрос «правильный ли это доступ и кто за него отвечает». IGA автоматизирует жизненный цикл учётной записи (приём → перевод → увольнение), но добавляет сверху governance-контур: ролевую модель, регулярную сертификацию (пересмотр) прав, контроль SoD-конфликтов и сквозной аудит.
Практически IGA-система собирает данные о доступах из кадрового источника и целевых систем, приводит их к единой ролевой модели и держит ответ на три вопроса аудитора: кто имеет доступ, на каком основании и когда его в последний раз пересматривали. Именно за этот governance-слой отвечает буква «G» — без него получается просто IdM (автоматизация выдачи), но не управление рисками доступа.
В российской терминологии IGA/IdM-системе соответствует официальный термин СУУЗиПД — «система автоматизированного управления учётными записями и правами доступа» из ГОСТ Р 71753-2024. Это один и тот же класс систем: IGA — для международной коммуникации, СУУЗиПД — для тендеров, ТЗ и регуляторных документов.
IGA, IAM, IdM, PAM — в чём разница
Четыре класса систем управления доступом решают разные задачи. На практике они пересекаются, но отвечают на разные вопросы.
| Класс | За что отвечает | Ключевой вопрос |
|---|---|---|
| IAM (Identity & Access Management) | Аутентификация и авторизация: вход, SSO, MFA | «Как пустить нужного пользователя и не пустить лишнего?» |
| IdM (Identity Management) | Автоматизация жизненного цикла УЗ: создание, изменение, блокировка | «Как автоматически выдать и отозвать доступ по событию из кадров?» |
| IGA (Identity Governance & Administration) | IdM + governance: роли, сертификация, SoD, аудит | «Правильный ли это доступ и кто за него отвечает?» |
| PAM (Privileged Access Management) | Привилегированные учётные записи: сессии, пароли, запись действий | «Как контролировать администраторов и суперпользователей?» |
На практике эти классы пересекаются: IGA почти всегда включает функции IdM, а зрелая программа управления доступом сочетает IGA (governance) и PAM (привилегии). Разбор терминов — в глоссарии.
IGA-система — это не СКУД
Запрос «система управления доступом» в рунете чаще всего означает СКУД — систему контроля и управления доступом в помещения (турникеты, карты, замки). IGA — это про другое: управление доступом к информационным системам и данным, а не к дверям. IGA-система решает, к каким приложениям, ролям и записям имеет доступ сотрудник в корпоративной сети; СКУД решает, в какие двери он может войти. Общего — только слово «доступ». Эта статья — про IGA (цифровой доступ); если вы искали турникеты и проходные, это другой класс систем.
Что умеет IGA-система
Функциональность класса можно свести к четырём направлениям.
Жизненный цикл учётных записей (JML). Автосоздание, изменение и блокировка учётных записей по событиям из кадрового источника (приём, перевод, отпуск, увольнение); отзыв прав при увольнении — устранение «забытых» и «зомби»-учёток; поддержка внешних сотрудников: подрядчиков, временного и договорного персонала.
Ролевая модель и контроль (governance-ядро). RBAC + ABAC: роли по должности плюс уточнение доступа по атрибутам и контексту; SoD-матрицы — контроль конфликтов полномочий (например, «создаёт платёж» ≠ «утверждает платёж»); каталог прав и ролей с историей изменений.
Сертификация и согласования. Плановая сертификация (пересмотр) доступов — регулярное подтверждение прав руководителями; маршруты согласования запросов на доступ, self-service портал; workflow-движок: бизнес-процессы по типу события (увольнение → отзыв прав).
Аудит и отчётность. Сквозной журнал: кто, что, когда получил и на каком основании; готовые отчёты для проверок ФСТЭК, ЦБ и внутреннего аудита; ответ на три вопроса аудитора за минуты, а не недели.
Зачем IGA нужна по российским требованиям
Для российских компаний IGA — это не «best practice», а инструмент выполнения конкретных требований. Governance-функции напрямую закрывают то, что спрашивают контролёры:
- ГОСТ Р 71753-2024 (СУУЗиПД) — профильный российский стандарт на класс IGA/IdM-систем: ролевое управление, сертификация, аудит доступа.
- 152-ФЗ (персональные данные) — минимизация прав доступа к ИСПДн, журналирование, отзыв доступа при увольнении. Разбор →
- 187-ФЗ КИИ — управление доступом для значимых объектов КИИ, индивидуальные учётные записи, контроль привилегий. Разбор →
- Приказ ФСТЭК № 117 (с 01.03.2026) — защита ГИС; методический документ ФСТЭК от 12.04.2026 (17 групп техмер). Разбор →
- Положение ЦБ РФ № 851-П (с 29.03.2025) — для банков: RBAC, минимизация полномочий, SoD, сертификация ролей.
Отдельная ценность IGA в РФ — импортозамещение: замена зарубежных IGA-платформ (SailPoint, Oracle IdM, One Identity) на решения из Реестра отечественного ПО. Подробнее об импортозамещении →
На чём строят IGA в России
Identigy внедряет IGA/СУУЗиПД на нескольких платформах — выбор зависит от масштаба, ИТ-стека и регуляторных требований.
- 1IDM — единственная российская IGA/IdM на полностью отечественном стеке (1С), Реестр Минцифры (запись № 5963), Astra Linux и Ред ОС. Identigy — партнёр уровня «Эксперт». Страница 1IDM →
- Identigy Imperium — наш собственный IGA-продукт для крупных нагрузок и enterprise-контуров. Страница Imperium →
- Evolveum midPoint — open-source IGA; Identigy — Entry-партнёр и upstream-контрибьютор. Страница midPoint →
- SailPoint IdentityIQ / Identity Security Cloud — для глобальных enterprise; чаще как источник миграции на отечественное.
Полная услуга внедрения IGA/СУУЗиПД — на странице «Управление учётными записями и доступом».
IGA на практике
Среди открытых IGA-проектов Identigy — Capital Group (мультидоменная среда, 85 % автоматизации доступа) и Алроса (рост охвата с 11 000 до 16 500 пользователей, приём сотрудника с 3 дней до 4 часов). Полный портфель — на странице «Проекты»: управление доступом в банках, промышленности, телекоме и госсекторе.
Думаете об IGA-системе? Обсудим ваш контур — текущую IDM, целевые системы, регуляторные требования и сроки.