Разграничение доступа к данным в V7

Вопрос защиты информации – достаточно серьёзный вопрос на предприятии. Решение вопроса лежит в объединении и административных, и технических мер. Без решения в комплексе вся затея выльется в бессмысленно потраченные ресурсы. Часто возникают вопросы защиты конфигурации от \"внешних\" врагов. Но известно, что самый страшный враг – \"внутренний\". А самый \"злобный\" враг – пользователь ;-)

Сергей Лебедев (SerBabah)
serbabah@hotbox.ru
Источник: hare.ru



Вопрос защиты информации – достаточно серьёзный вопрос на предприятии. Решение вопроса лежит в объединении и административных, и технических мер. Без решения в комплексе вся затея выльется в бессмысленно потраченные ресурсы.
Часто возникают вопросы защиты конфигурации от "внешних" врагов. Но известно, что самый страшный враг – "внутренний". А самый "злобный" враг – пользователь ;-).

Я хочу затронуть тему реализации системы безопасности на V7. Эта задача иногда бывает востребована.

По настройке доступа к базе данных и по защитам конфигурации есть достаточное количество статей. Это такие средства, как терминал, SQL, PGP, внешние компоненты, ключи защиты с кодом. Жаль, что и сама V7 имеет некоторое количество уязвимостей (калькулятор, табло, пункты меню "Файл", "Сервис" и т.д.), которые возможно закрыть от пользователя только патчем движка.

Я хочу рассмотреть задачу разграничения доступа различных групп пользователей к различным данным в самой конфигурации.

В V7 есть механизм настройки прав в конфигураторе, но он не является достаточно гибким. Например, нельзя работать с доступом к конкретным объектам – документам, справочникам, счетам. Разграничение доступа производится на уровне объектов метаданных, а нам нужно разграничить доступ к отдельным экземплярам этих объектов.

Я реализовывал систему разделения доступа к данным для бухгалтерской компоненты. Реализацию таких же идей можно увидеть и в некоторых партнерских конфигурациях. Скажу сразу – тяжело и долго. И поглощает определенные ресурсы. Поэтому, если проблему можно решить чисто административными мерами – так и надо поступать.

Каждый пользователь в системе выполняет определенную роль, согласно своим должностным обязанностям. Доступ к объектам может быть настроен как по ролям, так и по конкретным пользователям. Так же доступ к объектам может быть различным: "закрыт", "просмотр", "редактирование" и т.д.

Проработка положения, какому пользователю присвоить какую роль, а какая роль имеет какие типы доступа к каким объектам по умолчанию – типичная аналитическая задача. Хотя в 95% случаев положение будет составлять "1С:программист" (а раз так, то и назовем его бизнес-аналитиком ;-).

Пара слов о технической реализации. Решений много. Приведу несколько интересных.

При начале работы пользователя, его необходимо идентифицировать. И делать это не только стандартными средствами, но и прописывать дополнительный механизм авторизацию в самой конфигурации, с запросом пароля и определением его прав и интерфейсов. Информацию о пользователях, ролях, типах доступа можно хранить в справочниках.

У объектов типа "документ" и "справочник" логично хранить информацию об авторе (создателе документа) и корректоре (последнем пользователе, который редактировал/перепроводил документ).

Для определения доступа роли к объекту можно использовать служебный справочник. Там же, при необходимости, можно хранить информацию, какой роли или даже пользователю разрешен доступ к конкретному объекту.

При различных действиях с объектами в конфигурации необходимо прописать проверку на разрешение выполнения этих действий.

Для справочников в форме списка есть возможность не отображать "закрытые" элементы – через механизм использование списка. Правда, это решение имеет неприятности в виде проблем с основными действиями с элементами (я нарисовал свою панель инструментов с отработкой основных действий). Можно не отображать наименования "закрытых" объектов, закрывать доступ к группам.

Для документов нужно не открывать "закрытый" документ, так же не открыть операцию этого документа. Журнал операций – проводки "закрытого" документа не отображать. Так же можно добавить закладки (похоже на отборы) и реализовать проверку доступа к закладкам. Разнесение документов по закладкам может быть различным – и по группам видов документов, и по различным признакам.

Для ручной операции можно ввести похожие функции, как для документа, а можно её просто заменить "дублирующим" документом.

Журнал проводок – я закрыл его вообще. Считаю, что это пережиток от V6, неудобный и ненужный.

С отчетами посложнее. Для плана счетов можно так же использовать разделение доступа. В отчетах можно реализовать "закрытость" по счетам, а можно по аналитике.

Я использовал ещё такое решение: если при формировании, например, карточки счета встречается "закрытое" значение, то отчет просто прерывает своё формирование.

Пользователям необходимо прописать разрешения на работу с внешними файлами и обработками. Внешние отчеты можно вызывать программно, из встроенных отчетов.

Иногда есть смысл реализации "периодического" значения роли для пользователя. Например, при повышении в должности, пользователь не должен "видеть" данные по своему предшественнику.

В общем, в технической реализации есть раздолье для творчества. Борьба с пользователем – это "вечная" задача. Главное, чтобы всё было скрупулезно проделано, а действия были осмысленными.



Комментарии

1
  • Хранитель_врат
    Как все слишком общие рассуждения, данную статью очень трудно критиковать, кроме как за отсутствие конкретики. А в остальном все довольно интересно.

Налоговый терроризм, уплата взносов предпринимателем-пенсионером, налоговая помощь Трампа Байдену в обзоре

События дня. Налоговые события.

Обзоры для бухгалтера

Знакомство с экспертами Клерк.Консультаций: Надежда Камышева

Мы начинаем вести серию заметок о наших экспертах. Сегодня рассказываем о самом опытном эксперте — Надежде Камышевой, которая уже более 20 лет помогает бухгалтерам решать их рабочие вопросы.

Иллюстрация: Вера Ревина / Клерк

На 6 рублей в 6-НДФЛ могут быть отклонения. Богатым инвесторам обещают вернуть больше НДФЛ. 🙏«Ночной бухгалтер» № 1728

Не стоит волноваться, если при умножении дохода на ставку рассчитанный налог в 6-НДФЛ не сойдется с реальным. Чем больше сотрудников, тем больше может быть разбег.

На 6 рублей в 6-НДФЛ могут быть отклонения. Богатым инвесторам обещают вернуть больше НДФЛ. 🙏«Ночной бухгалтер» № 1728

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора
IT-компании

Свыше 18 тысяч IT-компаний продлили аккредитацию. Но это не все

2 тысячи компаний в сфере IT решили не подавать заявление на продление аккредитации. Они перестали соответствовать критериям.

Миграционный учет

Мигрантам предлагают носить цифровые браслеты

Чтобы следить за перемещениями мигрантов внутри РФ, власти хотят надеть на них цифровые браслеты и заставить приезжих проходить дактилоскопическую регистрацию.

Налог на имущество

Долги по налогу на имущество сократились на 31%

19 млн россиян закрыли долги по налогам после введения ЕНС.

Опытом делятся эксперты-практики, без воды
Бесплатно с Уведомление по ЕНП

Какие налоги войдут в уведомление по ЕНП в июле 2024 года

В июльском уведомлении не будет взносов. В него войдет НДФЛ и квартальные авансовые платежи по другим налогам.

Какие налоги войдут в уведомление по ЕНП в июле 2024 года

ФАС признала недобросовестной конкуренцией копирование упаковки бренда «AXE»

Производителю запретили выпускать дезодоранты и гели для душа «EXXE» в упаковке, которая копирует фирменный стиль бренда «AXE».

6-НДФЛ

Как отразить отпускные в форме 6-НДФЛ

В статье расскажем, как отразить отпускные в форме 6-НДФЛ, как правильно заполнить расчет и не допустить ошибок.

Как отразить отпускные в форме 6-НДФЛ
Маркетплейсы

Что такое оборачиваемость товаров и как ее рассчитать

Продавцу важно правильно управлять товарными запасами: вовремя привозить поставки на склад, закупать не слишком большие, но и не маленькие партии. Справиться с этой задачей помогает расчет оборачиваемости товаров. Рассказываем, о чем говорит этот показатель и как его посчитать.

Что такое оборачиваемость товаров и как ее рассчитать

Повышение утильсбора будет поэтапным до 2030 года

Минпромторг сообщил, что продолжает анализировать поступающие предложения по индексации утилизационного сбора.

Ценные бумаги

Что такое депозитарий и какова его роль на рынке ценных бумаг

В этом материале рассказываем, зачем нужен депозитарий, какова его роль в инвестициях и как проверить его надежность.

Что такое депозитарий и какова его роль на рынке ценных бумаг
Лицензирование

На Госуслугах можно будет получить лицензию на дезинфекцию, дезинсекцию и дератизацию

Роспотребнадзор утвердил Административный регламент по предоставлению государственной услуги лицензирования деятельности оказания услуг по дезинфекции, дезинсекции и дератизации.

Кредитные карты

Россияне стали брать больше денег по кредитным картам

Рост ключевой ставки ЦБ не ослабил спрос на кредитные карты. Клиенты стали чаще пользоваться беспроцентным периодом при оформлении таких продуктов.

🥳 Успейте купить онлайн-курсы по 3 290 рублей в честь Дня рождения школы «Клерка»! Акция действует до 22 июля

22 июля нашей школе пять лет! Мы хотим разделить этот праздник с вами, поэтому устраиваем суперакцию на онлайн-курсы. До понедельника, 22 июля, вы можете купить курсы по учету на маркетплейсах, финансовому анализу, ВЭД, работе на УСН и зарплате всего за 3 290 рублей.

Обучение для бухгалтеров

🎂 Суперакция в честь Дня рождения школы «Клерка»! Онлайн-курсы по 3 290 рублей

Какой же праздник без подарков? 22 июля мы отмечаем наш первый юбилей — 5 лет школе «Клерка»! До понедельника, 22 июля, вы можете купить курсы по учету на маркетплейсах, финансовому анализу, ВЭД, работе на УСН и зарплате всего за 3 290 рублей. Успейте воспользоваться выгодным предложением!

🎂 Суперакция в честь Дня рождения школы «Клерка»! Онлайн-курсы по 3 290 рублей
Обзоры новостей

⚡️ Итоги дня: Microsoft допустил глобальный технический сбой, в Москве «оранжевый» уровень из-за грозы, X5 начала доставлять посылки

Подготовили обзор главных событий дня — 19 июля 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

КоАП РФ

Решено, кто будет рассматривать жалобы на постановления административных комиссий

Минюстом разработал проект закона с изменениями в КоАП по конкретизации полномочий по пересмотру постановлений по делам об административных правонарушениях.

Бизнес не прошел проверку по 115-ФЗ: возможно ли исправить ситуацию

Многие предприниматели считают, что решение банка не в пользу клиента после запроса документов по 115-ФЗ — это конечная точка бизнеса. Однако, это далеко не так: банки стараются выстраивать отношения по принципам долгосрочного сотрудничества и помогать компаниям. Например, Сбер позволяет продолжить ведение бизнеса после блокировки по 115-ФЗ, если клиент скорректирует свою деятельность. Как получить помощь в Сбере после такого решения рассказываем в статье.

Бизнес не прошел проверку по 115-ФЗ: возможно ли исправить ситуацию

Интересные материалы

Ведение бизнеса

Нюансы успешного делового общения с партнерами из Китая: правила, тонкости, особенности менталитета

Сегодня торговые контакты РФ и КНР вышли на новый уровень и развиваются быстрыми темпами. Поэтому вопрос правильного ведения переговоров с китайцами выходит на первый план. Чтобы найти общий язык, важно уважать своего собеседника, его принципы и привычки — только тогда можно получить положительные результаты и заключить выгодный контракт.

Нюансы успешного делового общения с партнерами из Китая: правила, тонкости, особенности менталитета