Жизненный цикл учётной записи сотрудника: от найма до увольнения
Жизненный цикл учётной записи сотрудника: от найма до увольнения
Каждый сотрудник в компании — это набор доступов. К почте, CRM, рекламным кабинетам, облачным хранилищам, серверам, внутренним системам. Эти доступы появляются в первый день работы и должны полностью исчезнуть в последний.
На практике всё сложнее. Доступы выдаются хаотично, накапливаются бесконтрольно и не отзываются вовремя. В результате компания не знает, кто к чему имеет доступ прямо сейчас, — и это прямой путь к инцидентам.
В этой статье разбираем каждый этап жизненного цикла учётной записи: что должно происходить, что происходит на практике и как выстроить процесс, который работает без постоянного ручного контроля.
Этап 1. Найм: доступы в первый день
Как это происходит обычно
Новый сотрудник выходит на работу. IT-отдел создаёт корпоративную почту. Дальше начинается хаос: руководитель пишет в чат «скиньте ему доступ к CRM», коллега пересылает пароль от рекламного кабинета в Telegram, к части систем доступ дают через три дня, к части — через две недели, когда сотрудник сам напоминает.
Проблема не только в неудобстве. Пароли, переданные через мессенджер, остаются в переписке навсегда. Доступы, выданные «на всякий случай», накапливаются и не отзываются. Нет записи о том, кто что получил и когда.
Как должно работать
Онбординг доступов — это не импровизация, а процесс с чеклистом. До первого дня сотрудника у вас должен быть готов список: какие системы, какие права, в каком порядке.
Роль определяет доступы автоматически. Новый менеджер по продажам получает доступ к CRM, почте, мессенджеру и таск-трекеру — не потому что кто-то вспомнил, а потому что в системе настроена группа «Продажи» с этим набором.
Как это решает BearPass. Вы создаёте группы пользователей по ролям и привязываете к ним папки с паролями. Новый сотрудник добавляется в группу — и сразу видит все нужные учётные данные в своём интерфейсе. Никаких пересылок в мессенджерах, никаких устных передач паролей. Факт выдачи доступа фиксируется в журнале с точностью до секунды.
Если компания использует LDAP или Active Directory — синхронизация с BearPass происходит автоматически. Новый пользователь появился в AD — появился в BearPass с нужными правами без ручных действий администратора.
Сколько времени занимает онбординг у вас сейчас?
В BearPass новый сотрудник получает все нужные доступы за несколько минут — без звонков IT-отделу и пересылок паролей. Попробуйте бесплатно для команды до 5 человек.
Этап 2. Испытательный срок: минимальные привилегии
Как это происходит обычно
На испытательном сроке сотруднику дают «те же права, что у всех» — так проще. В результате стажёр имеет доступ к production-базе данных, а новый менеджер видит финансовую отчётность всей компании.
Это нарушение принципа минимальных привилегий — одного из базовых принципов информационной безопасности. Сотрудник должен иметь доступ только к тому, что необходимо для его текущих задач.
Как должно работать
На испытательном сроке сотрудник работает с ограниченным набором доступов. После прохождения испытательного срока права расширяются — целенаправленно, а не «на всякий случай».
Как это решает BearPass. В BearPass можно создать отдельную группу «Стажёры» или «На испытательном сроке» с ограниченным набором папок. После прохождения испытательного срока сотрудника переводят в основную группу — права обновляются автоматически. Вся история переходов фиксируется в журнале.
Гранулярные разрешения позволяют настроить не только «видит или не видит», но и что именно может делать: только просмотр пароля, редактирование, или полное администрирование папки.
Этап 3. Работа: накопление лишних доступов
Как это происходит обычно
Сотрудник работает год. За это время он попросил временный доступ к трём дополнительным сервисам для конкретных задач. Задачи закончились, доступы остались. Его перевели из одного отдела в другой — старые права не отозвали, добавили новые.
К концу второго года у сотрудника накоплен набор доступов, который не соответствует его текущей роли и который никто не может воспроизвести по памяти. Это называется «разрастание привилегий» (privilege creep) — и это одна из самых распространённых причин утечек данных.
Как должно работать
Регулярный аудит прав доступа — раз в квартал. Простой вопрос к каждому сотруднику: всё ли из того, к чему у него есть доступ, он реально использует в работе? Лишнее — отзывается.
Как это решает BearPass. В консоли администратора BearPass в любой момент доступна полная картина: какие пользователи к каким папкам имеют доступ, когда последний раз открывали конкретный пароль. Если пользователь не обращался к папке три месяца — скорее всего, доступ можно отозвать.
Модуль «Правила» позволяет настроить автоматические уведомления при нестандартных событиях: сотрудник открыл пароль от системы, к которой раньше не обращался, или получил права на папку вне своей роли. Администратор узнаёт об этом сразу, а не при плановом аудите.
Знаете ли вы, у кого какие доступы прямо сейчас?
BearPass показывает полную карту прав за секунды. Попробуйте бесплатно — первые 5 пользователей навсегда без оплаты.
Подрядчики, фрилансеры, аудиторы — это отдельная категория, которую компании часто игнорируют при выстраивании управления доступами. А зря: именно через внешних людей происходит значительная часть утечек.
Как это происходит обычно
Подрядчику нужен доступ к рекламному кабинету. Ему пересылают логин и пароль в мессенджере. Работа заканчивается через месяц. Пароль никто не меняет — он всё ещё лежит в переписке и всё ещё работает.
Умножьте это на десять подрядчиков за год на протяжении трёх лет — и получите картину неуправляемых внешних доступов, которую обнаруживают только при инциденте.
Как должно работать
Доступ для внешнего человека должен быть временным с момента создания. Не «выдать и потом отозвать», а «выдать с датой истечения, которая наступит автоматически».
Как это решает BearPass. Функция Shared Links создаёт временную защищённую ссылку на конкретный пароль. Вы устанавливаете срок действия: час, день, неделя или одноразовое использование. После истечения ссылка перестаёт работать автоматически — без вашего участия.
Для более длительного сотрудничества создаёте временную учётную запись с доступом только к нужным папкам. Все действия подрядчика фиксируются в журнале. По завершении работ один клик — и доступ закрыт полностью.
Этап 5. Перевод в другой отдел или смена роли
Сотрудника переводят из маркетинга в продажи. Это тот момент, когда управление доступами ломается чаще всего.
Как это происходит обычно
Новые доступы выдают — старые остаются. Бывший маркетолог теперь работает в продажах, но у него всё ещё есть доступ к рекламным кабинетам, аналитике и всем папкам маркетингового отдела. Через полгода он уволится — и при offboarding окажется, что закрыть нужно вдвое больше доступов, чем думали.
Как должно работать
Смена роли — это одновременная операция: добавление новых прав и отзыв старых. Не два отдельных события с разрывом во времени, а единое действие.
Как это решает BearPass. Переводите сотрудника из одной группы в другую — старые права автоматически отзываются, новые назначаются мгновенно. Журнал фиксирует все изменения с указанием, кто и когда их внёс. Администратор может в любой момент посмотреть историю изменения прав конкретного пользователя.
Смена роли = один клик в BearPass
Перевели сотрудника в другой отдел — старые доступы отозваны, новые назначены автоматически. Никаких чеклистов на пять страниц.
Увольнение — это точка максимального риска в жизненном цикле учётной записи. Особенно если оно конфликтное.
Как это происходит обычно
IT-отдел блокирует корпоративную почту и учётку в Active Directory. Считают задачу закрытой. Но у сотрудника остаются активными десятки систем, не привязанных к AD: облачные сервисы, рекламные кабинеты, банковские сервисы, GitHub, сервисы аналитики, внутренние инструменты.
По статистике, доступы уволенного сотрудника в среднем остаются активными от трёх до пяти дней после увольнения. В компаниях без выстроенного процесса — неделями.
За это время бывший сотрудник технически сохраняет возможность войти в систему, скачать данные или внести изменения. Это не теория — это реальные инциденты, которые расследуются и доходят до суда.
С точки зрения закона: по 152-ФЗ в редакции 2025 года штраф за утечку персональных данных составляет от 3 до 15 млн рублей. Причина утечки с точки зрения регулятора значения не имеет — ответственность несёт оператор.
Как должно работать
Offboarding — это не чеклист из 20 пунктов. Это один механизм, который закрывает всё сразу.
Как это решает BearPass. Деактивируете учётную запись сотрудника в BearPass — и он мгновенно теряет доступ ко всем паролям и папкам. Kill Switch завершает все активные сессии на всех устройствах одновременно, включая телефон и личный ноутбук.
Это происходит за секунды — прямо во время финального разговора с сотрудником, не через три дня.
Журнал событий сохраняет полную историю его действий за всё время работы. Если впоследствии возникнет вопрос «а что он открывал в последнюю неделю» — ответ есть, с точностью до секунды.
Если компания использует LDAP или Active Directory — увольнение в AD автоматически блокирует доступ в BearPass без дополнительных действий.
Ваш следующий сотрудник уволится. Вы готовы закрыть все доступы за 60 секунд?
Kill Switch в BearPass отзывает все доступы и завершает все сессии мгновенно — на всех устройствах одновременно.
Найм: Определена роль сотрудника → создана группа с нужными доступами → сотрудник добавлен в группу → все доступы получены через систему, не через мессенджер → факт выдачи зафиксирован в журнале.
Испытательный срок: Доступы ограничены минимально необходимым набором → после подтверждения переходит в основную группу с расширенными правами.
Работа: Раз в квартал — аудит прав → лишние доступы отзываются → временные доступы для подрядчиков создаются с датой истечения → модуль «Правила» уведомляет о нестандартных событиях.
Смена роли: Перевод в новую группу → старые права отозваны, новые назначены одновременно → изменения зафиксированы в журнале.
Увольнение: Учётная запись деактивирована в день увольнения → Kill Switch завершил все активные сессии → журнал сохранил историю действий за всё время работы.
Что даёт выстроенный процесс
Когда жизненный цикл учётной записи управляется системно, компания получает несколько вещей одновременно.
Безопасность: нет призраков, нет лишних доступов, нет паролей в мессенджерах. Каждое действие с учётными данными зафиксировано.
Скорость: новый сотрудник готов к работе в первый день. Уволенный теряет доступ в момент разговора, а не через неделю.
Соответствие законодательству: журнал событий и документированный процесс управления доступами — это то, что проверяет Роскомнадзор при расследовании инцидентов. Наличие этих данных является смягчающим обстоятельством при рассмотрении дела в суде.
Экономия времени IT-отдела: вместо ручного перебора систем при каждом найме и увольнении — настроенный один раз процесс, который работает автоматически.
BearPass — корпоративный менеджер паролей
Выстройте полный цикл управления учётными записями за одну неделю
On-premise развёртывание · Данные на вашем сервере · Реестр отечественного ПО №15427 RBAC · Kill Switch · Журнал событий · LDAP · SSO · Модуль «Правила»