Контакты
Подписка 2026

IGA, PAM и серая зона между ними

Редакция журнала "Информационная безопасность", 20/11/25

Вопрос разграничения зон ответственности IGA и PAM уже давно вроде бы решен. Но в реальности именно здесь формируются болезненные разрывы, которые не устраняются ни новыми релизами продуктов, ни бумажными регламентами. Там, где по теории проходит четкая граница, на практике возникает зона неопределенности, и она становится главным источником рисков и одновременно поводом для поиска новых решений

ris1_w-Nov-20-2025-03-59-03-7271-PM

В теории разграничение выглядит предельно ясным. Identity Governance and Administration (IGA, или в более привычной терминологии – IDM) управляет жизненным циклом Identity [1]: кто получает доступ, по каким правилам он назначается и когда отзывается. PAM работает на другом уровне – фиксирует и контролирует, как именно используются выданные привилегии, снижая риск злоупотреблений. Получается вполне красивая схема: IGA отвечает за "что и кому", PAM – за "как и когда".

Но на практике этот порядок начинает сбоить. ИТ-среды строятся на временных, автоматизированных и неперсонализированных доступах, которые не вписываются в строгие границы двух элементов общей системы контроля доступа. В результате ИБ сталкивается с зонами неопределенности: где кончается ответственность IGA и где начинается зона PAM?

Именно на стыке двух систем возникает много конфликтов. IGA может формально отработать свой процесс и выдать доступ, но в PAM при этом остаются висящие сессии, которые никто не спешит завершать. Или наоборот: PAM фиксирует все действия администратора, но у IGA нет данных, что он уже месяц как не должен обладать привилегиями. В быстро меняющихся инфраструктурах такие ситуации, к сожалению, становятся новой нормой, а не исключением.

Между тем по данным Solar 4RAYS за I кв. 2025 г., компрометация учетных записей стала вторым по частоте способом проникновения (40% случаев), а повышение привилегий стабильно входит в топ-техники атак. Дополняют картину исследования KuppingerCole: инциденты в управлении доступом нередко происходят именно в серой зоне между IGA и PAM.

Для ИБ это означает, что нарушение может произойти не потому, что IGA или PAM плохо справились с задачей, а из-за того что никто не управляет границей между ними.

Даже исключив из рассмотрения злой умысел пользователей, ясно, что эти разрывы бьют по устойчивости процессов. Неразграниченные сервисные аккаунты становятся черными ящиками, ведь невозможно понять, кто отвечает за аномальные действия. Виртуальные машины и контейнеры живут часы или дни, но их привилегии висят неделями. В итоге любой аудит превращается в поиск серых зон, где контроль вроде бы есть, но ответственности – нет.

Есть ли выход?

Если выход из этого тупика и есть, то он точно не в том, чтобы окончательно провести линию между IGA и PAM, а в том, чтобы признать: часть процессов всегда будет общей. И задача ИБ – сделать эту общую зону управляемой. Здесь на первый план выходит мониторинг и работа с широким спектром показателей: если время жизни сессии не соотносится с жизненным циклом учетной записи, это должно быть видно сразу; если у доступа нет владельца, система должна сигнализировать о нарушении; и далее в этом же роде.

Важно выстраивать общие сценарии – например, продолжая приведенные выше случаи, автоматически закрывать активные сессии при отзыве прав, контролировать владельца каждого сервисного аккаунта, вести единый журнал событий для анализа и расследований. Такой подход меняет логику: не два инструмента рядом, а один сквозной процесс управления привилегиями, где нет слепых зон.

Причем если сегодня границы уже размыты, то завтра они могут и вовсе исчезнуть. Первый сценарий – постепенное растворение PAM внутри IGA: когда управление цифровыми идентичностями становится настолько динамичным, что контроль сессий превращается в естественное продолжение процессов жизненного цикла УЗ. Возможен и другой, обратный сценарий: PAM становится "источником правды", где видно, что происходит с привилегиями в момент применения, а все решения IGA становятся для этого мониторинга лишь подготовительным слоем.

Обе траектории в известной степени спорны. Для специалистов по ИБ вопрос не в выборе, чья зона шире, а в том, какую модель стоит поддерживать с прицелом на будущее: централизованную иерархию управления доступами или распределенный контроль за действиями в реальном времени. Оба подхода имеют свою цену и свои риски, и именно это решение формирует стратегию управления правами доступа на годы вперед.

Выводы

IGA и PAM задумывались как два самостоятельных инструмента, но реальность лишила их права на изоляцию. Теперь приходится решать не вопрос разграничения, а вопрос стратегии: строить единый контур управления или сознательно поддерживать конкуренцию двух подходов. Удобного и очевидного компромисса здесь нет – каждый выбор подталкивает к своей модели дальнейшего развития. И именно это делает тему не академической, а стратегической: кто сумеет управлять стыком сегодня, тот определит контролируемость своей инфраструктуры завтра.


  1. https://www.itsec.ru/articles/chto-takoe-identity-i-pochemu-ego-vazhno-zashchishchat-ot-kiberugroz
Темы:IdMPAMЖурнал "Информационная безопасность" №4, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • Зачем ЦОДу PAM? 7 глупых вопросов перед внедрением
    Владимир Алтухов, руководитель технического отдела “АйТи Бастион”
    При внедрении кибербезопасности в ЦОДах ключевыми становятся не столько модели угроз, сколько практическая польза, бюджет и риск создания громоздкой надстройки. Руководителям важнее понять, какую реальную задачу решит инструмент, а не следовать абстрактной теории.
  • Управление сервисными учетными записями в распределенных средах с Infrascope
    Дмитрий Симак, менеджер по продукту PAM Infrascope, компания NGR Softlab
    Infrascope от NGR Softlab закрывает разрыв между классическим PAM и потребностями современных инфраструктур за счет реализованного в нем подхода, ориентированного на масштабируемое управление сервисными учетными записями и секретами в распределенных средах.
  • Как выбрать способ аутентификации IAM-решений
    В 2025 году аутентификация – не просто ввод логина и пароля. Это про устойчивость к фишингу, удобство для пользователя (без паролей и "танцев" с кодами), про соответствие регуляторным требованиям и масштабируемость в гибридной инфраструктуре. Характер угроз изменился: фишинг стал целевым и автоматизированным, утечки паролей – регулярными. При этом пользователи ожидают пользовательский опыт "как в смартфоне" – быстро и безболезненно.
  • Цепочка недоверия: как защититься от взлома подрядчиков
    Атаки через подрядчиков стремительно стали одним из самых опасных векторов взлома: легитимный доступ, слабые процессы и ошибки конфигурации создают для злоумышленников удобные точки входа. Мы расширяем периметр, доверяя внешним исполнителям, но не всегда успеваем выстроить контроль за ними.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...