В БП 3.0 нужно определенным пользователям выдать права на конкретные подсистемы, ограничивая доступ к другим. Подскажите какие есть варианты реализации, самый очевидный для меня это создавать новые профили доступа подбирая роли, есть какие-то другие варианты?

Да кто же его знает что тебе надо.
Тем более раньше были базовые права (типа профиль бухгалтера), без которых бп не запускалась

Можно создать свои роли в расширении и добавлять их пользователям.

(0)(2) Я делал как через профиль доступа, так и через расширение.
В расширении делал специфические роли, для определных действий для бухгалтера на первичку и менеджеру для отчетов.