исследование 3 июня 2026

Рейтинг IGA-систем 2026: российские и зарубежные решения

IGA (Identity Governance and Administration) — это слой управления доступом, который отвечает не за то, как пользователь входит в систему, а за то, кто и почему имеет на это право: ролевые модели, заявки и согласования, регулярная аттестация прав, контроль разделения полномочий (SoD), провижининг в целевые системы и сквозной аудит. После ухода западных вендоров (SailPoint, One Identity, Saviynt) российский рынок IGA/IdM к 2026 году собрался вокруг нескольких зрелых отечественных платформ. **Если коротко:** «рейтинг IGA» — это не про один бренд, а про соответствие платформы вашему ландшафту: число и тип целевых систем под коннекторы, глубина ролевой модели, зрелость аттестации и SoD, требования регуляторов и сценарий внедрения. На этой странице — кто представлен на рынке и по каким критериям сравнивать; места и подтверждённые сигналы — в [рейтинге IGA-систем](/rating/identity-governance-iga).

6 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Рейтинг IGA-систем 2026 — Тематическая иллюстрация к исследованию: Рейтинг IGA-систем 2026. SHVETS production / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему IGA выделился в отдельный класс

Управление учётными записями (IdM/IAM) исторически решало задачу «завести и отозвать доступ». Но по мере роста числа систем, подрядчиков и требований регуляторов появился второй вопрос — управляемость и доказуемость доступа: почему у сотрудника именно этот набор прав, кто их согласовал, когда они последний раз пересматривались и не нарушают ли они принцип разделения полномочий. Именно этот governance-слой и оформился в отдельный класс — IGA.

Практический итог для бизнеса: к IGA подталкивают не только инциденты с избыточными правами, но и аудит, требования к КИИ и персональным данным, а также необходимость проходить ресертификацию доступа регулярно, а не разово к проверке. Поэтому вопрос звучит уже не «нужен ли governance», а «на какой платформе его строить и как внедрять без паралича бизнес-процессов».

Рынок IGA в России: коротко в цифрах

Ушли с рынка западные лидеры

SailPoint, One Identity, Saviynt — поставки и поддержка свёрнуты

Зрелых российских платформ несколько

Solar inRights, Ankey IDM, Avanpost IDM и др.

Для КИИ и госсектора доверенные СЗИ

Сверяйте статус в реестрах Минцифры и ФСТЭК

Типичный пилот от нескольких недель

Подключение части целевых систем и обкатка аттестации

Кто представлен на российском рынке IGA

Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/identity-governance-iga). Цель таблицы — показать, чем продукты различаются по позиционированию и под какие сценарии заходят чаще всего.

Решение	Вендор	Позиционирование	Чаще всего подходит для
Solar inRights	Ростелеком-Солар	IGA/IdM в составе широкого ИБ-портфеля и MSSP	Крупный бизнес и госсектор, связка с SOC
Ankey IDM	Газинформсервис	IdM/IGA с акцентом на комплаенс и сертификацию	КИИ, госсектор, регуляторные сценарии
Avanpost IDM	Avanpost	IdM/IGA + IAM-экосистема (SSO, PKI)	Средний и крупный бизнес, единый стек идентичности

Из чего складывается зрелость IGA-платформы

Функционально ведущие отечественные IGA-платформы закрывают тот же контур, что и западные SailPoint или One Identity: ролевые модели, заявочно-согласовательные процессы, аттестацию прав, контроль SoD, провижининг через коннекторы и аудит. Разница — в деталях, которые и определяют успех внедрения:

- **Ролевая модель (RBAC).** Глубина ролевой модели, поддержка иерархий и role mining — основа управляемости. Сырая ролевая модель превращает governance в ручной труд. - **Аттестация прав.** Регулярные кампании пересмотра доступа с делегированием руководителям и владельцам ресурсов — то, что отличает IGA от простого IdM. - **Контроль разделения полномочий (SoD).** Превентивные и детективные правила, чтобы один человек не совмещал несовместимые функции — критично для финансовых и учётных систем. - **Провижининг и коннекторы.** Покрытие именно ваших целевых систем (AD, СУБД, 1С, отраслевые приложения) важнее общего числа коннекторов в маркетинговых материалах. - **Аудит и отчётность.** Доказуемость «кто, что, когда и на каком основании» — то, ради чего IGA проходит проверки и закрывает требования регуляторов.

Зрелость класса российских IGA-систем по критериям

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем ландшафте.

Провижининг и коннекторы 85 /100

85 /100

Ролевые модели / RBAC 85 /100

85 /100

Аудит и отчётность 85 /100

85 /100

Сертификация и реестр 80 /100

80 /100

Аттестация прав доступа 75 /100

75 /100

SoD-контроль 70 /100

70 /100

Чек-лист выбора IGA-системы

Целевые системы составьте список того, чем реально управляете (AD, СУБД, 1С, отраслевые приложения), и сверьте с готовыми коннекторами.

Ролевая модель проверьте поддержку RBAC, иерархий ролей и role mining на ваших данных.

Аттестация убедитесь, что кампании пересмотра прав запускаются регулярно и делегируются владельцам ресурсов.

SoD-контроль запросите превентивные и детективные правила разделения полномочий под ваши учётные системы.

Провижининг проверьте сценарии приёма, перевода и увольнения (joiner/mover/leaver) от начала до конца.

Аудит и отчётность оцените готовые отчёты под проверки и выгрузку «кто, что, когда и почему».

Комплаенс проверьте статус в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.

Сравнение вендоров сопоставьте поставщиков по подтверждённым внедрениям в [рейтинге IGA-систем](/rating/identity-governance-iga).

План внедрения IGA: 6 шагов

01 Инвентаризация доступа
Соберите учётные записи, права и текущие роли по ключевым системам — это вход для ролевой модели.
02 Проектирование ролей
Постройте базовую RBAC-модель, выявите типовые роли и кандидатов на role mining.
03 Подключение целевых систем
Настройте коннекторы и провижининг для приоритетных систем, проверьте joiner/mover/leaver.
04 Заявки и согласования
Запустите заявочно-согласовательные процессы и маршруты утверждения доступа.
05 Аттестация и SoD
Включите первые кампании пересмотра прав и правила разделения полномочий, обкатайте на пилотной группе.
06 Масштабирование и аудит
Подключайте остальные системы поэтапно, настройте регулярную ресертификацию и отчётность.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IGA-систем](/rating/identity-governance-iga): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг IGA-систем →](/rating/identity-governance-iga)**. Полезно прочитать рядом: [IGA vs IAM: в чём разница](/research/iga-vs-iam-raznica) и [аттестация и ресертификация прав доступа](/research/attestaciya-prav-dostupa).

Частые вопросы

Чем IGA отличается от IAM и IdM?

IAM/IdM отвечают за аутентификацию и администрирование учётных записей — «как войти» и «как завести/отозвать доступ». IGA добавляет governance-слой: ролевые модели, аттестацию прав, контроль разделения полномочий и доказуемый аудит — «кто и почему имеет доступ». Подробнее — в материале IGA vs IAM.

Какие российские IGA-системы есть на рынке?

Среди представленных решений — Solar inRights (Ростелеком-Солар), Ankey IDM (Газинформсервис), Avanpost IDM (Avanpost) и другие. Это ориентир по позиционированию; актуальный статус сверяйте в реестрах Минцифры и ФСТЭК, а сравнение — в рейтинге категории.

Что важнее при выборе — покрытие коннекторами или зрелость аттестации?

Зависит от задачи. Если цель — закрыть требования аудита и регуляторов, в приоритете аттестация, SoD и отчётность. Если ландшафт пёстрый и большой — критично покрытие именно ваших целевых систем коннекторами. Оба фактора проверяются на пилоте.

Нужен ли IGA-системе сертификат ФСТЭК?

Для значимых объектов КИИ и ряда госсценариев наличие в реестре отечественного ПО и сертификация — входной барьер. Для коммерческих внедрений решают функциональность, покрытие систем и стоимость владения. Сверяйте требования к вашему объекту в реестре ФСТЭК.

Где сравнить конкретных вендоров между собой?

В рейтинге IGA-систем — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг IGA-систем Сравнить поставщиков по подтверждённым сигналам IGA vs IAM: в чём разница Аттестация и ресертификация прав доступа