Аттестация и ресертификация прав доступа: как автоматизировать

Зачем нужна аттестация прав доступа

Права имеют свойство только накапливаться. Сотрудник переходит из отдела в отдел, участвует в проектах, временно подменяет коллегу — и каждый раз получает новые доступы. А вот обратный процесс, отзыв ненужного, почти никогда не происходит сам собой. В результате через два-три года у человека на руках набор прав, который давно не соответствует его задачам.

Это создаёт три класса проблем:

- **Риск безопасности.** Избыточные права — это расширенная поверхность атаки. Скомпрометированная учётка с «накопленными» доступами даёт злоумышленнику гораздо больше, чем должна была бы. - **Нарушение принципа минимальных привилегий.** Базовый принцип ИБ — у человека ровно те права, что нужны для работы, и не больше. Без регулярного пересмотра он не выполняется. - **Требования аудита и регуляторов.** Внешний и внутренний аудит требует доказательства, что доступы пересматриваются: кто, когда и на каком основании подтвердил право. Без процесса аттестации таких доказательств просто нет.

Аттестация — это контур обратной связи, который убирает накопленный «балласт» прав и документирует, что доступ остаётся обоснованным.

Как устроена кампания пересмотра

Аттестация в зрелом процессе выполняется не разово, а кампаниями. Кампания — это ограниченный по времени цикл пересмотра определённого среза доступов с назначенными ревизорами и фиксированным сроком. Её ключевые элементы:

- **Область (scope).** Что именно пересматриваем: все доступы подразделения, только права к чувствительной системе, только привилегированные роли, доступы уволенных и переведённых. - **Ревизоры.** Кто принимает решение. Чаще всего это линейный руководитель (подтверждает доступы своих подчинённых), владелец ресурса/данных (подтверждает доступ к своей системе) или владелец роли. - **Периодичность.** Как часто запускается кампания: критичные и привилегированные доступы — ежеквартально, рядовые — раз в полгода-год, плюс событийные пересмотры при переводах. - **Решение approve/revoke.** По каждому праву ревизор подтверждает (approve) или отзывает (revoke). Отозванные права уходят в исполнение — IGA снимает доступ в целевой системе. - **Фиксация решений.** Каждое решение логируется с автором, временем и обоснованием — это и есть доказательная база для аудита.

Главная ловушка ручного процесса — «штамповка». Когда ревизору присылают плоскую таблицу из сотен строк без контекста, он подтверждает всё подряд, чтобы закрыть задачу. Тогда аттестация формально проходит, но риск не снижается. Поэтому ценность даёт не сам факт пересмотра, а качество контекста, который видит ревизор.

Расползание прав и SoD-конфликты

Два явления превращают аттестацию из «галочки» в реальный инструмент управления риском.

**Расползание прав (privilege creep).** Это и есть то самое накопление: формально у каждого доступа была причина, но в сумме набор давно избыточен. Аттестация ловит «осиротевшие» права — те, что остались от прежней роли, завершённого проекта или подмены коллеги. Хорошая IGA подсвечивает аномалии: доступ, который есть только у этого человека и больше ни у кого в его роли; права, не использовавшиеся месяцами; учётки без владельца.

**Конфликты разделения полномочий (SoD, Segregation of Duties).** Это ситуации, когда у одного человека сходятся несовместимые полномочия — например, создание контрагента и проведение оплаты, или разработка и выкатка в продакшен. Такие комбинации — прямой канал для злоупотреблений и ошибок. Аттестация с проверкой SoD показывает ревизору не отдельные права, а опасные сочетания, требуя их разрешить: отозвать одно из полномочий или оформить компенсирующий контроль.

Именно выявление избыточных прав и SoD-конфликтов отличает осмысленную ресертификацию от формального «подтвердите список».

Как автоматизация в IGA снимает ручную рутину

Ручная аттестация — это выгрузки из десятка систем, сведение в Excel, рассылка ревизорам, сбор ответов по почте и ручное исполнение отзывов. Долго, с ошибками и без нормальных доказательств. IGA-система автоматизирует весь цикл:

- **Сбор прав.** Платформа сама подтягивает актуальные доступы из всех подключённых систем — ревизор видит единую и свежую картину, а не разрозненные выгрузки. - **Контекст для решения.** Рядом с каждым правом — кто выдал, когда, на каком основании, использовалось ли оно, есть ли у коллег по роли. Это снижает «штамповку». - **Подсветка риска.** Избыточные права, аномалии и SoD-конфликты выделяются автоматически, ревизор сразу видит, на что смотреть в первую очередь. - **Кампании и напоминания.** Запуск по расписанию, дедлайны, эскалации по незакрытым пунктам — процесс идёт без ручного «дёргания» людей. - **Исполнение отзыва.** Решение revoke не остаётся записью в таблице, а исполняется: IGA снимает доступ в целевой системе через коннектор. - **Отчётность и аудит-трейл.** Все решения, сроки и обоснования фиксируются — готовый пакет доказательств для аудита и регуляторов.

Эффект — не только экономия времени, но и качество: пересмотр перестаёт быть формальностью и начинает реально снижать объём избыточных прав.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IGA-систем](/rating/identity-governance-iga): здесь — процесс и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с процессом — переходите к сравнению поставщиков: **[рейтинг IGA-систем →](/rating/identity-governance-iga)**. Полезно прочитать рядом: [IGA vs IAM: в чём разница](/research/iga-vs-iam-raznica) и [рейтинг IGA-систем 2026](/research/rejting-iga-sistem-2026).