Перейти к содержимому
Блог
  • IGA
  • IDM
  • IAM
  • СУУЗиПД
  • Управление доступом
  • ГОСТ Р 71753

IGA-система: что это, чем отличается от IDM, IAM и СКУД

IGA (Identity Governance) — управление доступом с governance-слоем: ролевая модель, сертификация прав, SoD, аудит. Чем отличается от IAM, IdM и СКУД. Российские IGA и ГОСТ Р 71753.

Андрей Промыслов (IdM эксперт) — Identigy

(Identity Governance and Administration) — это управление учётными записями и доступом с надстройкой governance: ролевая модель, сертификация прав, контроль конфликтов полномочий () и аудит того, кто и почему имеет доступ. В российских нормативах это СУУЗиПД по ГОСТ Р 71753-2024. Ниже — что такое IGA, чем она отличается от , и СКУД, что закрывает по требованиям регуляторов и на каких платформах её строят в России.

Что такое IGA-система

IGA (Identity Governance and Administration) — класс систем управления доступом, который отвечает не на вопрос «как пустить пользователя» (это делает IAM), а на вопрос «правильный ли это доступ и кто за него отвечает». IGA автоматизирует жизненный цикл учётной записи (приём → перевод → увольнение), но добавляет сверху governance-контур: ролевую модель, регулярную сертификацию (пересмотр) прав, контроль SoD-конфликтов и сквозной аудит.

Практически IGA-система собирает данные о доступах из кадрового источника и целевых систем, приводит их к единой ролевой модели и держит ответ на три вопроса аудитора: кто имеет доступ, на каком основании и когда его в последний раз пересматривали. Именно за этот governance-слой отвечает буква «G» — без него получается просто IdM (автоматизация выдачи), но не управление рисками доступа.

В российской терминологии IGA/IdM-системе соответствует официальный термин СУУЗиПД — «система автоматизированного управления учётными записями и правами доступа» из ГОСТ Р 71753-2024. Это один и тот же класс систем: IGA — для международной коммуникации, СУУЗиПД — для тендеров, ТЗ и регуляторных документов.

IGA, IAM, IdM, PAM — в чём разница

Четыре класса систем управления доступом решают разные задачи. На практике они пересекаются, но отвечают на разные вопросы.

КлассЗа что отвечаетКлючевой вопрос
IAM (Identity & Access Management)Аутентификация и авторизация: вход, , «Как пустить нужного пользователя и не пустить лишнего?»
IdM (Identity Management)Автоматизация жизненного цикла УЗ: создание, изменение, блокировка«Как автоматически выдать и отозвать доступ по событию из кадров?»
IGA (Identity Governance & Administration)IdM + governance: роли, сертификация, SoD, аудит«Правильный ли это доступ и кто за него отвечает?»
PAM (Privileged Access Management)Привилегированные учётные записи: сессии, пароли, запись действий«Как контролировать администраторов и суперпользователей?»

На практике эти классы пересекаются: IGA почти всегда включает функции IdM, а зрелая программа управления доступом сочетает IGA (governance) и PAM (привилегии). Разбор терминов — в глоссарии.

IGA-система — это не СКУД

Запрос «система управления доступом» в рунете чаще всего означает СКУД — систему контроля и управления доступом в помещения (турникеты, карты, замки). IGA — это про другое: управление доступом к информационным системам и данным, а не к дверям. IGA-система решает, к каким приложениям, ролям и записям имеет доступ сотрудник в корпоративной сети; СКУД решает, в какие двери он может войти. Общего — только слово «доступ». Эта статья — про IGA (цифровой доступ); если вы искали турникеты и проходные, это другой класс систем.

Что умеет IGA-система

Функциональность класса можно свести к четырём направлениям.

Жизненный цикл учётных записей (JML). Автосоздание, изменение и блокировка учётных записей по событиям из кадрового источника (приём, перевод, отпуск, увольнение); отзыв прав при увольнении — устранение «забытых» и «зомби»-учёток; поддержка внешних сотрудников: подрядчиков, временного и договорного персонала.

Ролевая модель и контроль (governance-ядро). + : роли по должности плюс уточнение доступа по атрибутам и контексту; SoD-матрицы — контроль конфликтов полномочий (например, «создаёт платёж» ≠ «утверждает платёж»); каталог прав и ролей с историей изменений.

Сертификация и согласования. Плановая сертификация (пересмотр) доступов — регулярное подтверждение прав руководителями; маршруты согласования запросов на доступ, self-service портал; workflow-движок: бизнес-процессы по типу события (увольнение → отзыв прав).

Аудит и отчётность. Сквозной журнал: кто, что, когда получил и на каком основании; готовые отчёты для проверок ФСТЭК, ЦБ и внутреннего аудита; ответ на три вопроса аудитора за минуты, а не недели.

Зачем IGA нужна по российским требованиям

Для российских компаний IGA — это не «best practice», а инструмент выполнения конкретных требований. Governance-функции напрямую закрывают то, что спрашивают контролёры:

  • ГОСТ Р 71753-2024 (СУУЗиПД) — профильный российский стандарт на класс IGA/IdM-систем: ролевое управление, сертификация, аудит доступа.
  • 152-ФЗ (персональные данные) — минимизация прав доступа к ИСПДн, журналирование, отзыв доступа при увольнении. Разбор →
  • 187-ФЗ КИИ — управление доступом для значимых объектов КИИ, индивидуальные учётные записи, контроль привилегий. Разбор →
  • Приказ ФСТЭК № 117 (с 01.03.2026) — защита ГИС; методический документ ФСТЭК от 12.04.2026 (17 групп техмер). Разбор →
  • Положение ЦБ РФ № 851-П (с 29.03.2025) — для банков: RBAC, минимизация полномочий, SoD, сертификация ролей.

Отдельная ценность IGA в РФ — импортозамещение: замена зарубежных IGA-платформ (SailPoint, Oracle IdM, One Identity) на решения из Реестра отечественного ПО. Подробнее об импортозамещении →

На чём строят IGA в России

Identigy внедряет IGA/СУУЗиПД на нескольких платформах — выбор зависит от масштаба, ИТ-стека и регуляторных требований.

  • 1IDM — единственная российская IGA/IdM на полностью отечественном стеке (1С), Реестр Минцифры (запись № 5963), Astra Linux и Ред ОС. Identigy — партнёр уровня «Эксперт». Страница 1IDM →
  • Identigy Imperium — наш собственный IGA-продукт для крупных нагрузок и enterprise-контуров. Страница Imperium →
  • Evolveum midPoint — open-source IGA; Identigy — Entry-партнёр и upstream-контрибьютор. Страница midPoint →
  • SailPoint IdentityIQ / Identity Security Cloud — для глобальных enterprise; чаще как источник миграции на отечественное.

Полная услуга внедрения IGA/СУУЗиПД — на странице «Управление учётными записями и доступом».

IGA на практике

Среди открытых IGA-проектов Identigy — Capital Group (мультидоменная среда, 85 % автоматизации доступа) и Алроса (рост охвата с 11 000 до 16 500 пользователей, приём сотрудника с 3 дней до 4 часов). Полный портфель — на странице «Проекты»: управление доступом в банках, промышленности, телекоме и госсекторе.

Думаете об IGA-системе? Обсудим ваш контур — текущую IDM, целевые системы, регуляторные требования и сроки.

FAQ

Частые вопросы

Что такое IGA-система простыми словами?

IGA (Identity Governance and Administration) — система, которая управляет тем, кто и к каким информационным системам имеет доступ в компании, и постоянно проверяет, что этот доступ правильный. Она автоматически выдаёт и отзывает права по событиям из кадров, строит ролевую модель, регулярно заставляет руководителей подтверждать права подчинённых (сертификация) и ведёт аудит. В российских документах называется СУУЗиПД по ГОСТ Р 71753-2024.

Чем IGA отличается от IAM?

IAM (Identity and Access Management) отвечает за вход и аутентификацию — как пустить нужного пользователя (SSO, MFA, парольные политики). IGA работает уровнем выше: она отвечает не «как пустить», а «правильный ли это доступ и кто за него отвечает» — через роли, сертификацию прав, контроль SoD-конфликтов и аудит. IGA почти всегда включает функции IAM/IdM, но добавляет governance-контур.

Чем IGA отличается от IdM?

IdM (Identity Management) — это автоматизация жизненного цикла учётной записи: создание, изменение и блокировка по событиям из кадрового источника. IGA — это IdM плюс governance: ролевая модель, регулярная сертификация прав, контроль конфликтов полномочий (SoD) и сквозной аудит. Проще говоря, IdM отвечает за выдачу доступа, а IGA — ещё и за то, чтобы этот доступ был обоснован и регулярно пересматривался.

IGA-система — это то же самое, что СКУД?

Нет. СКУД (система контроля и управления доступом) — это турникеты, карты и замки, то есть физический доступ в помещения. IGA управляет цифровым доступом — к информационным системам, приложениям и данным. Общего только слово «доступ». Если нужно контролировать проход в здание — это СКУД; если нужно контролировать, к каким приложениям и записям имеет доступ сотрудник в корпоративной сети, — это IGA.

Что такое СУУЗиПД и как это связано с IGA?

СУУЗиПД — «система автоматизированного управления учётными записями и правами доступа», официальный термин ГОСТ Р 71753-2024. Это российский эквивалент IGA/IdM: тот же класс систем (JML, ролевая модель, сертификация, аудит), но в русской терминологии для тендеров и регуляторных документов. В международной коммуникации используют IGA/IdM, в РФ-нормативах и ТЗ — СУУЗиПД.

Какие российские IGA-системы есть в Реестре отечественного ПО?

Среди российских IGA/IdM-платформ Identigy внедряет 1IDM (единственная на полностью отечественном стеке 1С, Реестр Минцифры, запись № 5963) и собственный продукт Identigy Imperium для крупных нагрузок. Также внедряем open-source Evolveum midPoint. Выбор платформы зависит от масштаба, ИТ-стека и регуляторных требований — для 152-ФЗ, ФСТЭК и Реестра Минцифры используются отечественные решения.

Зачем IGA-система нужна по требованиям ФСТЭК и ЦБ?

Governance-функции IGA напрямую закрывают требования регуляторов: минимизацию прав и журналирование по 152-ФЗ, управление доступом для значимых объектов КИИ по 187-ФЗ, защиту ГИС по Приказу ФСТЭК № 117 (с 01.03.2026), а для банков — RBAC, контроль SoD и сертификацию ролей по Положению ЦБ РФ № 851-П. Ролевая модель, сертификация прав и сквозной аудит — это и есть то, что спрашивают проверки.

Сколько занимает внедрение IGA-системы?

Зависит от масштаба: SMB (500–2 000 пользователей, 5–10 систем) — 3–6 месяцев; mid-enterprise (2 000–10 000 пользователей, 15–30 систем) — 6–12 месяцев; large enterprise (10 000+ пользователей, 50+ систем) — 12–24 месяца. В сроки входят роле-майнинг, проектирование архитектуры, разработка коннекторов, MVP на 5–10 системах и масштабирование. Identigy сокращает типичные сроки на 30–40% за счёт готовых компонентов и опыта проектов.