- СУУЗиПД
- ГОСТ Р 71753
- IDM
- IGA
- Импортозамещение
- 851-П
- ФСТЭК
- 152-ФЗ
- КИИ
- Реестр Минцифры
СУУЗиПД и ГОСТ Р 71753-2024: первый российский стандарт IDM/IGA — полное руководство
Что такое СУУЗиПД, кому обязательно соответствие ГОСТ Р 71753-2024, архитектура системы, связь с 851-П, ФСТЭК № 117 и 152-ФЗ. Практический разбор для CISO.
Андрей Промыслов (IdM эксперт) — Identigy
С 20 декабря 2024 года в России действует ГОСТ Р 71753-2024 — первый национальный стандарт, явно определяющий систему управления учётными записями и правами доступа (СУУЗиПД) как самостоятельный класс защитных мер. До этого момента российская нормативная база подразумевала функции IDM/IGA через косвенные требования (152-ФЗ, ФСТЭК № 17/21, 187-ФЗ КИИ, 851-П ЦБ), но не давала единого термина. ГОСТ Р 71753-2024 закрыл этот пробел: теперь у CISO есть документ, на который можно ссылаться при формировании ТЗ, аудиторских проверках и тендерах по 223-ФЗ / 44-ФЗ.
Этот материал — практический разбор для CISO, ИБ-архитектора и руководителя IT-департамента: что регламентирует СУУЗиПД, кому обязательно соответствие, как стандарт связан с остальной российской нормативкой и какие платформы реализуют требования. Материал опирается на текст самого стандарта, актуальную регуляторику (приказ ФСТЭК № 117 от 11 апреля 2025 года, положение ЦБ № 851-П от 30 января 2025 года) и проектный опыт Identigy в IDM/IGA с 2007 года.
TL;DR
- СУУЗиПД — система управления учётными записями и правами доступа. Терминологически закрыт пробел между западным IDM/IGA и российскими нормативами.
- ГОСТ Р 71753-2024 — первый национальный стандарт IDM/IGA. Действует с 20 декабря 2024 года. Утверждён Росстандартом.
- Кому обязательно: субъектам КИИ (по 187-ФЗ + указу № 250), банкам и НФО (по 851-П), операторам ПДн при «высоком» уровне защищённости (по 152-ФЗ + ФСТЭК № 21), государственным информационным системам (по ФСТЭК № 17 / № 117).
- Российские платформы: 1IDM (в Реестре Минцифры), Evolveum midPoint (open-source EU), Identigy Imperium (готовится в Реестр).
- Сертификация: формального сертификата соответствия ГОСТ Р 71753-2024 пока нет, но текст стандарта используется аудиторами и регуляторами при проверках.
Хронология ГОСТ Р 71753-2024
Стандарт разработан ООО «Солар Секьюрити» и внесён Техническим комитетом 362 «Защита информации». Утверждён приказом Росстандарта № 1558-ст от 30 октября 2024 года, введён в действие 20 декабря 2024 года.
| Дата | Событие |
|---|---|
| 2024-10-30 | Утверждение: приказ Росстандарта № 1558-ст (разработчик — ООО «Солар Секьюрити», ТК 362) |
| 2023-08 | Публикация публичной редакции (proposed standard) |
| 2024-09 | Финальное согласование с регуляторами (ФСТЭК, ЦБ) |
| 2024-12-20 | Утверждение Росстандартом. ГОСТ Р 71753-2024 введён в действие |
| 2025-04-11 | Приказ ФСТЭК № 117 — новые требования к защите ГИС (меры — пп. 34–63), включая управление доступом |
| 2025-10-01 | Положение ЦБ № 851-П — требования к идентификации/аутентификации для НФО с явной отсылкой на СУУЗиПД |
| 2026-04-12 | Методический документ ФСТЭК — 96 базовых мер защиты с детализацией СУУЗиПД-функций |
Что регламентирует стандарт
ГОСТ Р 71753-2024 описывает функциональные требования к СУУЗиПД — что система должна уметь, а не как её реализовать. Стандарт технологически нейтрален: подходит и для on-prem-инсталляций, и для облачных решений; и для коммерческих, и для open-source-платформ.
Семь ключевых функций по ГОСТ Р 71753-2024
-
Жизненный цикл учётной записи (Joiner-Mover-Leaver) — автоматическое создание учётной записи при приёме сотрудника, изменение прав доступа при кадровых переводах (изменение должности, отдела, проекта), отзыв доступа при увольнении в установленный SLA (для критичных систем — в течение часа).
-
Ролевая модель — управление правами через роли, а не напрямую через учётные записи. Стандарт требует поддержки иерархических ролей, бизнес-ролей и технических ролей, а также автоматического разрешения противоречий между ролями.
-
Контроль разделения полномочий (SoD — Segregation of Duties) — предотвращение конфликтных сочетаний прав (например, «согласование платежа» + «инициация платежа» в АБС банка). СУУЗиПД должна обнаруживать SoD-нарушения как в момент назначения роли (предотвращение), так и в существующем состоянии прав (детектирование).
-
Согласование заявок на доступ — workflow-движок для маршрутизации заявок к ответственным согласующим: владелец ресурса → руководитель сотрудника → ИБ. Стандарт требует ведения полного аудиторского следа всех согласований.
-
Пересмотр доступа (Access Review) — периодическая (квартальная или полугодовая) проверка владельцами систем и руководителями сотрудников актуальности назначенных прав. Результат — подтверждение или отзыв права.
-
Управление паролями и аутентификацией — поддержка политик сложности паролей, ротации, многофакторной аутентификации (МФА), интеграция с PAM-системами для привилегированных учётных записей.
-
Аудит и отчётность — централизованный журнал всех операций с учётными записями (создание, изменение, отзыв, аутентификация), отчётность для аудиторов, интеграция с SIEM-системами.
Дополнительные требования
- Управление учётными записями нечеловеческих объектов (NHI — Non-Human Identity) — сервисных аккаунтов, машинных идентификаторов, AI-агентов. Это относительно новая область, появившаяся в стандарте по результатам обсуждений 2023 года, и она пересекается с международной категорией NHI Governance (Gartner Hype Cycle 2025, OWASP NHI Top 10).
- Управление доступом для подрядчиков и временных сотрудников — отдельный класс учётных записей с обязательным указанием срока действия и автоматическим отзывом по истечении.
- Интеграция с источниками данных — HR-системы (1С:ЗУП, SAP HCM, SuccessFactors), кадровый учёт, организационная структура.
Кому обязательно соответствие
Прямого требования «все организации должны соответствовать ГОСТ Р 71753-2024» в законодательстве нет — это национальный стандарт, не обязательный к применению по умолчанию. Но соответствие фактически требуется через косвенные нормы:
Субъекты КИИ (187-ФЗ + указ Президента № 250)
Значимые объекты КИИ выполняют требования приказа ФСТЭК № 239 (АСУ ТП — № 31); для ГИС и ИС госорганов с 01.03.2026 действует приказ № 117. Требования № 117 к управлению доступом (пп. 34–63) — автоматизированное управление учётными записями, разграничение полномочий, контроль привилегированных пользователей — на практике реализуются системами класса СУУЗиПД по ГОСТ Р 71753-2024 (прямой ссылки на ГОСТ в приказе нет). Это значит: для аттестации у организации должна быть СУУЗиПД, отвечающая требованиям стандарта.
Дополнительно — указ Президента № 250 от 1 мая 2022 года, запретивший субъектам указа (госорганы, субъекты КИИ и др.) использовать СЗИ недружественных стран с 1 января 2025 года. Это означает не только наличие СУУЗиПД, но и её работу на платформе из Реестра отечественного ПО Минцифры.
Банки и НФО (851-П ЦБ + 716-П)
Положение Банка России № 851-П от 30 января 2025 года (в силе с 29 марта 2025-го; с 1 октября 2025-го — обязательная регистрация identity-событий с геолокацией) устанавливает требования к идентификации, аутентификации и авторизации клиентов кредитных организаций. По смыслу требований учётная инфраструктура банка — зона ответственности СУУЗиПД. 851-П заменило положение № 683-П (716-П — операционный риск, действует параллельно), которое также подразумевало IDM, но без явного термина.
Для финансовых организаций (брокеры, страховые, НПФ, МФО) аналогичные требования установлены через стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» — серия из четырёх стандартов, охватывающих базовые меры, методику оценки, управление риском ИБ и операционную надёжность. Требования ГОСТ Р 57580.1 к управлению учётными записями и правами доступа на практике закрываются СУУЗиПД (сам термин появился позже, в ГОСТ Р 71753-2024).
Операторы персональных данных (152-ФЗ + ФСТЭК № 21)
Если организация обрабатывает персональные данные с высоким уровнем защищённости (УЗ-1/УЗ-2 по ПП № 1119 — уровень зависит от категории ПДн, типа актуальных угроз и числа субъектов**)** — приказ ФСТЭК № 21 от 18 февраля 2013 года (в действующей редакции) требует автоматизированного управления доступом, что соответствует функциям СУУЗиПД.
Государственные информационные системы (ГИС)
Требования ФСТЭК № 17 от 11 февраля 2013 года для ГИС-систем (классы К1, К2, К3) описывают меры управления доступом. С появлением приказа ФСТЭК № 117 эти требования уточнены и пересекаются с функциями СУУЗиПД из ГОСТ Р 71753-2024.
Архитектура СУУЗиПД
Типовая архитектура СУУЗиПД, отвечающей требованиям ГОСТ Р 71753-2024, состоит из шести компонентов:
-
Источники данных (HR, оргструктура) — кадровая система (1С:ЗУП, SAP HCM, SuccessFactors), система управления оргструктурой, корпоративная адресная книга. Источник правды о сотрудниках, их позициях, отделах, руководителях.
-
Ядро IDM/IGA-платформы — машина состояний для жизненного цикла учётных записей, движок ролей, конфликтная матрица SoD, workflow согласования заявок. На российском рынке это: 1IDM, Evolveum midPoint, Identigy Imperium, а в международном — SailPoint IdentityIQ, SailPoint Identity Security Cloud, Saviynt, Oracle Identity Manager.
-
Коннекторы к целевым системам — модули интеграции с конкретными приложениями (Active Directory, AD-Exchange, SAP, 1С, Oracle DB, файловые сервисы, бизнес-системы). Каждый коннектор реализует операции CRUD над учётными записями в своей системе. Зрелые платформы поставляют 50–200+ готовых коннекторов; коннекторы под кастомные системы разрабатываются под проект.
-
Хранилище идентификационных данных (Identity Warehouse) — централизованная база всех учётных записей, прав, ролей, истории изменений. Используется для отчётности, аудиторских проверок, SoD-анализа.
-
Self-service портал — интерфейс для пользователей (заявка на доступ, смена пароля, профиль) и для согласующих (одобрение или отклонение заявок, пересмотр доступа).
-
Аудит, журналирование, SIEM-интеграция — поток событий в SIEM-систему (KUMA, MaxPatrol SIEM, ArcSight, Splunk), отчётность для аудиторов, дашборды для CISO.
Связь с другими стандартами
ГОСТ Р 71753-2024 не существует в вакууме. Он встроен в семейство российских регуляторных документов, образующих единую систему требований к ИБ:
| Документ | Связь с ГОСТ Р 71753-2024 |
|---|---|
| ФСТЭК № 117 (11 апреля 2025) | Группа мер «Управление доступом» — функциональная база для СУУЗиПД |
| ФСТЭК № 17, № 21, № 31 | Базовые требования к управлению доступом в ГИС / ПДн / АСУ ТП |
| ФСТЭК методдок (12 апреля 2026) | 96 детализированных мер, включая управление учётными записями |
| 187-ФЗ КИИ | Обязательность для субъектов КИИ через приказ ФСТЭК № 117 |
| 152-ФЗ + Постановление № 1119 | Уровни защищённости ПДн (УЗ-1 = автоматизированное управление доступом) |
| 851-П ЦБ (с 29 марта 2025) | Идентификация / аутентификация / авторизация клиентов банков |
| 716-П ЦБ | Операционные риски — пересмотр доступа, обязанности |
| ГОСТ Р 57580.1 | Безопасность финансовых операций — СУУЗиПД как компонент |
| ГОСТ Р 59383-2021 | Базовая модель ролей и прав (предшественник терминологии СУУЗиПД) |
| Указ Президента № 250 | Импортозамещение средств защиты — обязательность отечественной СУУЗиПД для КИИ |
Сводно: ГОСТ Р 71753-2024 является единой точкой сходимости разрозненных нормативных требований к управлению доступом. До 20 декабря 2024 года аудиторы и интеграторы вынуждены были «собирать» функциональные требования из 5–7 документов; теперь есть один стандарт-агрегатор.
Российские платформы СУУЗиПД
На рынке выделяются три класса платформ, реализующих требования ГОСТ Р 71753-2024:
1. 1IDM — российская платформа на стеке 1С
1IDM — продукт российской разработки от компании АЛТАЛАН на технологическом стеке 1С. Включён в Реестр отечественного ПО Минцифры. Сильные стороны: глубокая интеграция с 1С:ЗУП (HR-источник по умолчанию), нативная работа в корпоративных контурах с 1С, поддержка локального хостинга. Подходит для организаций с большой 1С-инфраструктурой и для субъектов КИИ, обязанных к импортозамещению.
Identigy — партнёр 1IDM уровня «Эксперт», ведёт проекты внедрения и развития в крупном московском девелопере, алмазодобывающей группе, авиаперевозчике, лизинговой и электросетевой компаниях. См. 1IDM на identigy.ru и внедрение IDM/IGA.
2. Evolveum midPoint — open-source IGA
Evolveum midPoint — open-source IGA-платформа европейской разработки (Словакия, GPL-лицензия). Не зарегистрирована в Реестре Минцифры (это open-source-продукт), но используется в России для проектов, не требующих обязательного импортозамещения: международных холдингов с российскими подразделениями, страховых компаний, ритейла. Сильные стороны: зрелая ролевая модель с иерархией и наследованием, мощный workflow-движок, бесплатность для самостоятельного внедрения, активное международное сообщество.
Identigy — партнёр Evolveum уровня «Entry», основной центр компетенций по midPoint в России. Реализованы проекты в страховой компании ВСК (миграция с OneIdentity), агропромышленном холдинге, ритейле, металлургии. См. Evolveum midPoint.
3. Identigy Imperium — собственный продукт
Identigy Imperium — собственная разработка Identigy, СУУЗиПД-платформа корпоративного уровня для российского рынка. Готовится к включению в Реестр отечественного ПО Минцифры. Особенности: асинхронный коннектор для высоконагруженных систем (до 50 000+ пользователей), глубокая локализация интерфейса и документации, поддержка специфических российских кадровых процессов, нативная работа с 152-ФЗ-требованиями.
Imperium развёрнут внутри самой Identigy для управления учётными записями инженеров и сервисными доступами — мы внедряем у себя то же, что предлагаем клиентам. Подробнее: Identigy Imperium.
Зарубежные платформы — путь к замещению
В России работают унаследованные инсталляции SailPoint IdentityIQ и SailPoint Identity Security Cloud (бывший IdentityNow) в банках, телекоме, нефтехимии, ритейле, фарме. С 2022 года официальная поддержка от вендора недоступна; крупные внедрения переходят на длительную техническую поддержку через Identigy или мигрируют на отечественные платформы. Аналогичная картина с Oracle Identity Manager (OIM) — миграция с Oracle Identity Manager на midPoint или 1IDM запланирована в ряде крупных групп до 2027 года.
Сертификация и аттестация
Формального сертификата соответствия ГОСТ Р 71753-2024 пока нет — стандарт молод (введён в действие в декабре 2024-го), процесс аккредитации испытательных лабораторий ещё не завершён. На практике аудиторы и регуляторы используют текст стандарта как методологическую опору при проверках КИИ-объектов, банков, операторов ПДн. Это означает, что в ТЗ на новую СУУЗиПД-инсталляцию или в опросные листы тендера всё чаще включаются требования вида «соответствие ГОСТ Р 71753-2024 в части жизненного цикла учётной записи / ролевой модели / SoD-контроля».
Прогноз: первый сертификат соответствия ГОСТ Р 71753-2024 — конец 2026-го / начало 2027 года. До этого момента демонстрация соответствия идёт через матрицу функциональных требований — сопоставление того, что умеет конкретная СУУЗиПД-платформа, с разделами стандарта. Identigy формирует такие матрицы для своих клиентов в рамках предпроектной фазы.
Что делать CISO в 2026 году
Практический чек-лист для CISO, готовящегося к проверке соответствия СУУЗиПД / ГОСТ Р 71753-2024:
-
Аудит текущего состояния. Есть ли в организации формализованный процесс управления учётными записями? Каков SLA на отзыв доступа при увольнении? Есть ли регулярный пересмотр прав? Закрывается ли цикл аудиторского следа? Если ответы «не знаю» — нужен предпроектный аудит.
-
Сопоставление с ГОСТ Р 71753-2024. Сравнить семь ключевых функций стандарта с тем, что реально реализовано в инфраструктуре. Часто оказывается, что 1–2 функции (например, SoD-контроль и пересмотр доступа) не автоматизированы — это превращается в открытые статьи аудита.
-
Принятие решения о платформе. Для субъектов КИИ — выбор платформы из Реестра Минцифры (1IDM, Imperium на горизонте 2026-го). Для остальных — выбор по совокупности факторов: стек организации, требуемая глубина ролевой модели, наличие компетенций у интегратора.
-
Поэтапное внедрение. Типовой проект СУУЗиПД — 8–24 недели, 2–4 архитектора, разворачивается в три фазы: «жёсткое ядро» (JML + базовый ролевой каталог) → расширение (SoD + workflow + self-service) → зрелость (технологические учётные записи + пересмотр доступа + AI-функции).
-
Регулярные пересмотры. Минимум раз в год — пересмотр SoD-матрицы и ролевого каталога. Минимум раз в квартал — пересмотр прав владельцами систем. Минимум раз в полгода — обновление политики управления учётными записями.
Что предлагает Identigy
Команда Identigy внедряет и эксплуатирует СУУЗиПД (по ГОСТ Р 71753-2024) с 2007 года. Практика покрывает все этапы — от стратегического аудита и проектирования ролевой модели до многолетней технической поддержки и развития:
- Аудит и стратегия СУУЗиПД — оценка текущего состояния, сопоставление с ГОСТ Р 71753-2024 и другой регуляторикой, дорожная карта внедрения. 2–4 недели.
- Внедрение на 1IDM / midPoint / Imperium — проектирование архитектуры, разработка коннекторов, настройка ролевой модели и SoD, обучение команды.
- Миграция с унаследованных платформ — Oracle Identity Manager, OneIdentity, SailPoint IIQ → midPoint / 1IDM / Imperium. Поэтапная миграция с минимизацией рисков для бизнеса.
- Техническая поддержка существующих СУУЗиПД — длительная поддержка инсталляций Oracle, SailPoint, midPoint в условиях, когда вендорская поддержка недоступна.
- Регуляторный контур IDM/IGA — карта 37 действующих российских нормативов по управлению доступом с привязкой к функциям СУУЗиПД.
Готовы обсудить вашу задачу — оставьте заявку, и архитектор свяжется в течение рабочего дня.
Источники: ГОСТ Р 71753-2024 (текст стандарта, Росстандарт); приказ ФСТЭК № 117 от 11 апреля 2025 года; положение Банка России № 851-П от 30 января 2025 года; положение Банка России № 716-П; ГОСТ Р 57580.1-2017; 152-ФЗ + Постановление Правительства РФ № 1119; 187-ФЗ КИИ; указ Президента РФ № 250 от 1 мая 2022 года.