Аудит прав доступа в 1С: закрываем финансовые дыры
Случайно выяснилось, что рядовой менеджер по продажам видит закупочные цены (себестоимость) и зарплату коллег? Или кладовщик может удалять проведенные реализации? Неправильно настроенные права доступа в 1С — это прямая угроза финансовой безопасности бизнеса. Разбираем, как провести аудит и "закрутить гайки".
❌ 3 критические ошибки настройки прав, которые допускают все
В большинстве компаний, где внедрение 1С происходило стихийно, права раздаются по принципу "дай ему Полные права (или Администратор), лишь бы не звонил в техподдержку".
- 1. Выдача ролей, а не профилей групп доступа. В современных 1С (на базе БСП) права назначаются через "Профили групп доступа". Если администратор в конфигураторе руками наставил галочек пользователю на конкретные объекты, это приведет к хаосу при обновлении 1С.
- 2. Отключенный или не настроенный RLS. RLS (Record Level Security) — механизм ограничения на уровне записей. Без него менеджер видит ВСЕХ контрагентов компании, а не только своих. Это самый верный путь к краже клиентской базы.
- 3. Доступ к себестоимости и марже. Права "Менеджер по продажам" во многих конфигурациях (например, УТ 11) по умолчанию позволяют видеть валовую прибыль. Если сотрудник видит, что компания зарабатывает 100% наценки, он может начать уводить сделки или требовать необоснованные откаты/премии. Поле "Себестоимость" нужно жестко скрывать.
🔍 Как проверить кто что видит? Инструменты аудита
Самостоятельно выявить проблемы можно через типовые механизмы программы, зайдя под пользователем с полными правами.
| Инструмент | Для чего применять |
|---|---|
| Отчет "Права доступа" | Находится в Администрировании. Формирует сводную таблицу: Пользователь — Профиль — Разрешенные объекты. |
| Режим имитации работы | Специальный механизм (или расширение), позволяющий администратору запустить сеанс от имени любого пользователя без знания его пароля. Идеально для визуальной проверки доступности кнопок и цен. |
| Анализ журнала регистрации | Фильтруем журнал за прошедший месяц по событиям "Данные. Удаление" и смотрим, кто из линейногно персонала удалял документы. Если находим менеджера — срочно отбираем права и выдаем только "Пометку на удаление". |
⚠️ Риски игнорирования RLS
- Менеджеры перед увольнением часто открывают справочник "Контрагенты" или отчет "Продажи", нажимают "Вывести список" и сохраняют всю базу клиентов в Excel.
- Решение: Внедрение RLS ("Доступ только к своим клиентам"), запрет сохранения табличных документов и запрет работы через внешний буфер обмена на уровне RDP/терминального сервера. 1С поддерживает мощный механизм защиты, его просто нужно включить.
Хотите защитить корпоративные данные?
Я проведу полный аудит безопасности вашей базы 1С. Закрою доступы к себестоимости, финансовому блоку и чужим клиентам. Настрою жесткие профили групп доступа, RLS и заблокирую возможность выгрузки данных коммерческой тайны.
Получить консультацию →