ZUBR Technologies

«Усё пропало, шеф!» Или как не «пролюбить» свою базу

Как четкое распределение ролей и прав может спасти данные.
«Усё пропало, шеф!» Или как не «пролюбить» свою базу

Безопасность хранения данных

Чаще всего гендир или собственник компании малого бизнеса задумываются об этом, когда уже «поздно пить боржоми». Какие только ситуации не встречаются в жизни! То злобный вирус-шифровальщик попадает на локальный сервер и требует биткойны за расшифровку всего нажитого честным трудом.

То вдруг обидевшийся бухгалтер резко уходит на больничный, заблаговременно перенеся на свою флэшку все базы из рабочего компьютера. Вот и гадай после этого: вернется — нет — что потребует взамен?

То вдруг грабители решили почистить офисы бизнес-центра и унесли всё компы. Список можете продолжить сами, включая забытый в такси после корпоратива собственный ноутбук.

И на первый взгляд, спасение есть — переход на облачные сервисы. Но всё ли там так просто?

Облачные сервисы: теория

На сайте любой компании, предлагающей «облачные» сервисы, описаны их преимущества — надежность, удобство, безопасность, экономия ресурсов. Пользователей уверяют, что достаточно зарегистрироваться и все эти достоинства будут к их услугам.

Это действительно так. Но есть нюансы.

Необходимо грамотно настроить права ваших пользователей облачных сервисов, чтобы не было потом «мучительно больно». Об этом сегодня и поговорим.

Что на практике?

У нашей компании есть клиент — строительная компания, в которой работают около 300 сотрудников, 90% из них — иностранцы. Из-за плохо налаженного кадрового учета компания столкнулась с блокировкой счетов: ПФР не приняла отчеты РСВ-1.

Единственно верное решение — восстановить корректность персональных данных за прошлые периоды, сверить их с ПФР и досдать. Но тут нас ждала засада. В ходе работы выяснилось, что, то ли по злому умыслу, то ли по неосторожности бывшего сотрудника организации, архивные копии зарплатной базы в облаке за прошлые периоды были уничтожены. А в текущей базе вся информация по ранее уволенным сотрудникам была очищена.

И теперь уже необходимо полностью вручную восстанавливать и сверять данные по людям, которые уже год и более находятся за пределами РФ.

Как оказалось, подобные случаи не единичны. Обеспечение информационной безопасности требует вдумчивости в использовании. В частности, четкого распределения ролей, прав и закрепления их с описанием функциональности не только в программе, но и во внутренних документах компании.

Не должно быть ситуации, когда каждый суслик — агроном, т. е. когда любой пользователь может скопировать или уничтожить данные.

Как разграничить права в облаках?

Мы будем рассматривать 3 вида облачных сервисов — 1С: Fresh, «Готовое рабочее место» (ГРМ) от партнеров фирмы 1С и частные «облака». В зависимости от выбранного варианта создаются свои сценарии работы и, в том числе, разграничение прав пользователей.

Облачные сервисы 1С: Фреш

Пользователи сервиса делятся на три вида — пользователь абонента, администратор абонента, владелец абонента.

Изначально права владельца абонента получает сотрудник, который первым зарегистрировался в сервисе: обычно это бухгалтер или директор. Но он может передать эту роль другому сотруднику компании, например ИТ-специалисту.

У него самые большие возможности по управлению, которые включают добавление приложений, приглашение других пользователей и назначение им прав для работы в системе, а также коммуникации с разработчиком расширений конфигураций, дополнительных отчетов или обработок.

У администратора абонента возможностей уже меньше. Кроме добавления пользователей он управляет правами доступа сотрудников к приложениям, ограничивает максимальное количество сеансов при работе с программой и получает отчеты о работе с системой от специалистов компании.

Функции обычного пользователя сводятся просто к работе в программе: открыл приложения, к которым разрешен доступ, решил свои задачи, подписался на рассылки сервиса, чтобы знать, к примеру, когда система будет недоступна, поучаствовал в форуме с коллегами и закрыл программу. При необходимости посмотрел/изменил персональные данные.

Кроме прав пользователей по отношению к сервису, зафиксированы права по отношению к приложению.

Только владелец абонента может:

  • Добавлять/удалять/переименовывать приложения.
  • Создавать приложения с загрузкой данных из файла выгрузки или резервной копии.
  • Устанавливать/удалять расширения конфигурации, дополнительные отчеты или обработки.
  • Предоставлять доступ специалистам службы поддержки для определения причин сбоев в работе сервиса и их исправления.
  • Изменять часовой пояс в соответствии с локацией компании и перезапустить приложение.

Дальнейшие действия по работе в системе зависят от наличия у пользователя прав — Запуск или Запуск и Администрирование, которые предоставляет владелец или администратор абонента.

При наличии права на Запуск пользователь может:

  • Запускать приложение на выполнение
  • Просматривать сведения о сеансах пользователей абонента с приложением
  • Завершать свои сеансы работы с приложением.

Право на Запуск и Администрирование предоставляет следующие возможности:

  • Запускать приложение.
  • Создавать его резервную копию.
  • Настроить расписание резервного копирования.
  • Выгружать резервную копию на локальный компьютер.
  • Предоставить резервную копию информационной базы специалисту службы поддержки для решения проблем с работой сервиса.
  • Завершать сеансы работы сотрудников в программе.
  • Знакомиться с журналом ошибок и принимать соответствующие меры.

Четкое разграничение ролей и возможностей пользователей, получаемых в соответствии с ролями — одно из преимуществ Фреша. Обычный пользователь не может скопировать или удалить базу. Однако нужно быть очень внимательным при назначении прав для пользователей.

Если возникнут вопросы, мы всего в одном клике мышки.

Облачный сервис «Готовое рабочее место» (ГРМ)

В этом случае с правами пользователей, а значит, и с обеспечением безопасности данных, все проще. При работе с сервисом эти риски сведены к нулю, поскольку пользователям в принципе недоступны операции над базами, все вопросы решает партнерская компания — 1С: Франчайзи. Ее специалисты обеспечивают изменение количества пользователей, обновление баз, их копирование, удаление при необходимости и т. д.

Пользователи могут только запустить базу и работать в ней, используя свои права внутри каждого приложения.

Частные «облака» или сервисы «Аренды 1С»

Многие компании (партнеры и не партнеры 1С) имеют свои серверные мощности в дата-центрах и готовы их предоставлять за небольшую (относительно) цену. Заодно они могут предложить и аренду пользовательских лицензий 1С (если есть интерес к этому формату работы, мы готовы рассказать о нем подробнее).

В этом случае к приложениям, как правило, можно подключаться через «тонкий клиент» или web-браузер либо через удаленный рабочий стол (RDP). При наличии доступа на сервер через RDP все риски управления базами обычно ложатся на компанию-клиента.

При использовании частных облаков необходимо закрепить ответственность пользователей внутренним приказом по предприятию. В документе четко определяется, где расположены базы, кто отвечает за их администрирование, информационную безопасность, права и обязанности сотрудников, имеющих доступ к информационной базе.

Информационная безопасность, как мы уже с вами поняли, не что-то заоблачно сложное. Человеческий фактор — самое слабое звено в любой системе. Повлиять на это обстоятельство и снизить риски потери конфиденциальной и любой иной информации в состоянии руководитель любой компании. Даже простые, но продуманные решения при распределении прав помогут в этом.

Остались вопросы? Телеграммируйте нам!

Начать дискуссию