Onboarding/Offboarding: заведение и отключение сотрудников в IT

Onboarding (заведение нового сотрудника) и offboarding (отключение увольняющегося) — это формализованные процессы, в которых IT-служба выдаёт человеку всё необходимое для работы при найме и аккуратно отзывает все доступы при уходе. Звучит как мелкая рутина, но именно здесь чаще всего возникают дыры в безопасности.

Что это такое

Когда в компанию приходит новый человек, ему нужно за один день получить рабочий инструментарий: доменную учётную запись, корпоративную почту, доступы к нужным системам (CRM, 1С, файловый сервер, мессенджер), настроенный ноутбук или рабочую станцию, телефон, пропуск. Это и есть onboarding — конвейер, который превращает «принят на работу» в «может работать».

Offboarding — зеркальный процесс. Сотрудник увольняется, и IT должна в день расставания (а иногда заранее, по сигналу HR) отозвать всё: заблокировать доменную учётку, отключить почту и настроить пересылку на руководителя, забрать оборудование, сменить пароли к общим сервисам, к которым у человека был доступ, отозвать VPN-сертификаты и токены.

В обоих случаях ключевое — полнота и единый список. Не «выдали почту и забыли про доступ к серверу бухгалтерии», а строго по чек-листу, где отмечена каждая система.

Из чего состоит onboarding

• Учётная запись — заведение пользователя в Active Directory, добавление в нужные группы (от которых зависят права доступа), применение политик
• Почта и аккаунты — корпоративный ящик, учётки в облачных сервисах, доступ к корпоративному мессенджеру
• Доступы к системам — права в CRM, ERP, 1С, файловых хранилищах строго по роли сотрудника (принцип минимальных привилегий)
• Многофакторная аутентификация — подключение MFA/2FA на критичные сервисы сразу, а не «потом настроим»
• Оборудование — выдача и настройка ноутбука/ПК, телефонии, периферии, установка корпоративного софта и антивируса
• Документы и инструктаж — ознакомление с правилами ИБ, подпись соглашения о неразглашении, выдача памятки по безопасности

Из чего состоит offboarding

• Блокировка учётки — отключение (не удаление!) доменной записи в день увольнения, чтобы сохранить данные и историю для аудита
• Почта — блокировка входа, настройка автоответа и пересылки писем руководителю или замещающему сотруднику
• Отзыв всех доступов — удаление из групп AD, отключение в CRM, 1С, облачных сервисах, отзыв VPN-сертификатов и токенов MFA
• Смена общих паролей — если человек знал пароли к общим аккаунтам (Wi-Fi, сервисные учётки, соцсети компании) — их меняют
• Возврат оборудования — приём ноутбука, телефона, токенов, пропуска; очистка устройства перед передачей следующему сотруднику
• Передача данных — рабочие файлы и переписка передаются руководителю, личные доступы архивируются

Почему это критично для информационной безопасности

Главная угроза — это забытые активные учётки уволенных сотрудников. Человек ушёл полгода назад, а его доменная запись по-прежнему активна, почта работает, VPN-доступ открыт. Это прямой канал утечки данных: бывший сотрудник может зайти и скачать клиентскую базу, недовольный — устроить саботаж, а если его учётку взломали — атакующий получает «легальный» вход, который никто не контролирует.

По той же логике опасен и небрежный onboarding: если новому человеку «на всякий случай» выдали права администратора или доступ ко всем системам подряд, то любая компрометация его учётки превращается в компрометацию всей инфраструктуры.

Аудиты безопасности регулярно находят десятки активных учёток людей, которые давно не работают в компании. Каждая такая запись — открытая дверь, о которой все забыли.

Поэтому правильный offboarding — это не вежливость к уходящему, а базовая гигиена ИБ. А чтобы доступы не накапливались бесконтрольно, нужна периодическая ревизия: кто к чему имеет доступ и почему.

Роль IT-аутсорсера

Когда заведением и отключением сотрудников занимается внешний IT-партнёр, процесс перестаёт зависеть от настроения и занятости штатного админа. Что мы даём:

• Регламент — прописанная процедура onboarding и offboarding с зонами ответственности HR, руководителя и IT
• Чек-листы — для каждого типа сотрудника свой список систем и доступов; ничего не теряется
• Единое окно — заявка на заведение или отключение подаётся через Service Desk, фиксируется, исполняется в срок и остаётся в истории
• Шаблоны ролей — типовые наборы прав «бухгалтер», «менеджер продаж», «инженер» вместо ручной раздачи доступов каждому
• Регулярная ревизия — периодическая сверка активных учёток со списком работающих сотрудников, выявление «забытых» доступов
• Скорость — новый сотрудник работает с первого дня, уволенный отключается в день ухода без задержек

Связанные термины

• Active Directory, GPO и ADFS — управление учётными записями и доступами — где живут учётки и где их заводят/блокируют
• MFA/2FA — многофакторная аутентификация — обязательный элемент при выдаче доступов
• Service Desk — служба заявок и поддержки — единое окно для заявок на onboarding и offboarding

Получить расчёт

Это часть базового IT-аутсорсинга — узнайте, что входит в IT-аутсорсинг. Откройте калькулятор, отметьте нужные услуги и получите ориентир по цене. Финальная смета — после обследования инфраструктуры.