Безопасность хранения данных
Чаще всего гендир или собственник компании малого бизнеса задумываются об этом, когда уже «поздно пить боржоми». Какие только ситуации не встречаются в жизни! То злобный вирус-шифровальщик попадает на локальный сервер и требует биткойны за расшифровку всего нажитого честным трудом.
То вдруг обидевшийся бухгалтер резко уходит на больничный, заблаговременно перенеся на свою флэшку все базы из рабочего компьютера. Вот и гадай после этого: вернется — нет — что потребует взамен?
То вдруг грабители решили почистить офисы бизнес-центра и унесли всё компы. Список можете продолжить сами, включая забытый в такси после корпоратива собственный ноутбук.
И на первый взгляд, спасение есть — переход на облачные сервисы. Но всё ли там так просто?
Облачные сервисы: теория
На сайте любой компании, предлагающей «облачные» сервисы, описаны их преимущества — надежность, удобство, безопасность, экономия ресурсов. Пользователей уверяют, что достаточно зарегистрироваться и все эти достоинства будут к их услугам.
Это действительно так. Но есть нюансы.
Необходимо грамотно настроить права ваших пользователей облачных сервисов, чтобы не было потом «мучительно больно». Об этом сегодня и поговорим.
Что на практике?
У нашей компании есть клиент — строительная компания, в которой работают около 300 сотрудников, 90% из них — иностранцы. Из-за плохо налаженного кадрового учета компания столкнулась с блокировкой счетов: ПФР не приняла отчеты РСВ-1.
Единственно верное решение — восстановить корректность персональных данных за прошлые периоды, сверить их с ПФР и досдать. Но тут нас ждала засада. В ходе работы выяснилось, что, то ли по злому умыслу, то ли по неосторожности бывшего сотрудника организации, архивные копии зарплатной базы в облаке за прошлые периоды были уничтожены. А в текущей базе вся информация по ранее уволенным сотрудникам была очищена.
И теперь уже необходимо полностью вручную восстанавливать и сверять данные по людям, которые уже год и более находятся за пределами РФ.
Как оказалось, подобные случаи не единичны. Обеспечение информационной безопасности требует вдумчивости в использовании. В частности, четкого распределения ролей, прав и закрепления их с описанием функциональности не только в программе, но и во внутренних документах компании.
Не должно быть ситуации, когда каждый суслик — агроном, т. е. когда любой пользователь может скопировать или уничтожить данные.
Как разграничить права в облаках?
Мы будем рассматривать 3 вида облачных сервисов — 1С: Fresh, «Готовое рабочее место» (ГРМ) от партнеров фирмы 1С и частные «облака». В зависимости от выбранного варианта создаются свои сценарии работы и, в том числе, разграничение прав пользователей.
Облачные сервисы 1С: Фреш
Пользователи сервиса делятся на три вида — пользователь абонента, администратор абонента, владелец абонента.
Изначально права владельца абонента получает сотрудник, который первым зарегистрировался в сервисе: обычно это бухгалтер или директор. Но он может передать эту роль другому сотруднику компании, например ИТ-специалисту.
У него самые большие возможности по управлению, которые включают добавление приложений, приглашение других пользователей и назначение им прав для работы в системе, а также коммуникации с разработчиком расширений конфигураций, дополнительных отчетов или обработок.
У администратора абонента возможностей уже меньше. Кроме добавления пользователей он управляет правами доступа сотрудников к приложениям, ограничивает максимальное количество сеансов при работе с программой и получает отчеты о работе с системой от специалистов компании.
Функции обычного пользователя сводятся просто к работе в программе: открыл приложения, к которым разрешен доступ, решил свои задачи, подписался на рассылки сервиса, чтобы знать, к примеру, когда система будет недоступна, поучаствовал в форуме с коллегами и закрыл программу. При необходимости посмотрел/изменил персональные данные.
Кроме прав пользователей по отношению к сервису, зафиксированы права по отношению к приложению.
Только владелец абонента может:
- Добавлять/удалять/переименовывать приложения.
- Создавать приложения с загрузкой данных из файла выгрузки или резервной копии.
- Устанавливать/удалять расширения конфигурации, дополнительные отчеты или обработки.
- Предоставлять доступ специалистам службы поддержки для определения причин сбоев в работе сервиса и их исправления.
- Изменять часовой пояс в соответствии с локацией компании и перезапустить приложение.
Дальнейшие действия по работе в системе зависят от наличия у пользователя прав — Запуск или Запуск и Администрирование, которые предоставляет владелец или администратор абонента.
При наличии права на Запуск пользователь может:
- Запускать приложение на выполнение
- Просматривать сведения о сеансах пользователей абонента с приложением
- Завершать свои сеансы работы с приложением.
Право на Запуск и Администрирование предоставляет следующие возможности:
- Запускать приложение.
- Создавать его резервную копию.
- Настроить расписание резервного копирования.
- Выгружать резервную копию на локальный компьютер.
- Предоставить резервную копию информационной базы специалисту службы поддержки для решения проблем с работой сервиса.
- Завершать сеансы работы сотрудников в программе.
- Знакомиться с журналом ошибок и принимать соответствующие меры.
Четкое разграничение ролей и возможностей пользователей, получаемых в соответствии с ролями — одно из преимуществ Фреша. Обычный пользователь не может скопировать или удалить базу. Однако нужно быть очень внимательным при назначении прав для пользователей.
Если возникнут вопросы, мы всего в одном клике мышки.
Облачный сервис «Готовое рабочее место» (ГРМ)
В этом случае с правами пользователей, а значит, и с обеспечением безопасности данных, все проще. При работе с сервисом эти риски сведены к нулю, поскольку пользователям в принципе недоступны операции над базами, все вопросы решает партнерская компания — 1С: Франчайзи. Ее специалисты обеспечивают изменение количества пользователей, обновление баз, их копирование, удаление при необходимости и т. д.
Пользователи могут только запустить базу и работать в ней, используя свои права внутри каждого приложения.
Частные «облака» или сервисы «Аренды 1С»
Многие компании (партнеры и не партнеры 1С) имеют свои серверные мощности в дата-центрах и готовы их предоставлять за небольшую (относительно) цену. Заодно они могут предложить и аренду пользовательских лицензий 1С (если есть интерес к этому формату работы, мы готовы рассказать о нем подробнее).
В этом случае к приложениям, как правило, можно подключаться через «тонкий клиент» или web-браузер либо через удаленный рабочий стол (RDP). При наличии доступа на сервер через RDP все риски управления базами обычно ложатся на компанию-клиента.
При использовании частных облаков необходимо закрепить ответственность пользователей внутренним приказом по предприятию. В документе четко определяется, где расположены базы, кто отвечает за их администрирование, информационную безопасность, права и обязанности сотрудников, имеющих доступ к информационной базе.
Информационная безопасность, как мы уже с вами поняли, не что-то заоблачно сложное. Человеческий фактор — самое слабое звено в любой системе. Повлиять на это обстоятельство и снизить риски потери конфиденциальной и любой иной информации в состоянии руководитель любой компании. Даже простые, но продуманные решения при распределении прав помогут в этом.
Остались вопросы? Телеграммируйте нам!
Начать дискуссию