Користувач BAS
!; # Знайти спільні логіни.; !;== Зовнішні посилання ==
- перегляд;
- створення;
- зміну;
- видалення;
- проведення;
- скасування проведення;
- друк;
- експорт;
- запуск звітів;
- запуск обробок;
- зміну налаштувань;
- адміністрування;
- доступ до закритих періодів;
- доступ до персональних даних;
- доступ до зарплати;
- доступ до собівартості;
- доступ до інтеграцій.; Проблема
- логін і пароль;
- автентифікація операційної системи;
- зовнішні механізми авторизації;
- web-доступ;
- сервісні облікові записи;
- інтеграційні ключі або паролі в доробках.; Бухгалтер
- собівартість;
- маржа;
- прибуток;
- зарплата;
- податки;
- залишки грошей;
- борги клієнтів;
- постачальники;
- управлінська аналітичні інструменти;
- персональні інформаційні дані.; Приклад
WMS → BAS → api_wms з обмеженими правами Приклад:
| ;
користувач системи має змогу мати: Зазвичай краще блокувати користувача, а не видаляти, щоб зберегти історію дій.; | Так.; Обліковий запис має бути зрозумілим і персональним.;{{SEO | ||
|---|---|---|
| Обмін із сайтом | api_site | Має зайві права |
| Обмін із CRM | api_crm | Передає зайві інформаційні дані |
| Завантаження Excel | manager | Помилка в даних |
| Імпорт банку | buh | Неправильні платежі |
| BI-вивантаження | bi_export | Витік фінансової аналітики |
У BAS потрібно розрізняти користувача і фізичну особу.;
Приклади ролей:
Журнал реєстрації потрібен для:- хто увійшов у базу;
- хто створив документ;
- хто змінив документ;
- хто провів документ;
- хто скасував проведення;
- хто змінив довідник;
- хто відкрив звіт;
- хто запустив обробку;
- хто експортував інформаційні дані;
- хто змінив права;
- хто виконав інтеграційний обмін;
- хто працював із закритим періодом.; | Ні.; Тип
- працівник звільнився;
- користувач системи тимчасово не функціонує;
- доступ був виданий для проєкту;
- пароль міг бути скомпрометований;
- користувач системи більше не потрібен;
- сервісна інтеграційні функціональні можливості вимкнена;
- акаунт був тестовим.;
користувач системи і конфігурація BAS
Якщо його не перевірити, можна пропустити важливі процеси перед міграцією.;== Матриця доступу для міграції ==
Спільні логіни
Обліковий запис потрібен для: Користувачі можуть брати участь в інтеграціях двома способами:
Висновок
K2 ERP у цьому процесі має змогу стати платформою для контрольованих користувачів, ролей, груп доступу, сервісних акаунтів, API, BI-аналітики, журналювання, прав доступу, резервного копіювання, web-доступу й подальшого розвитку автоматизації бізнесу без залежності від старої екосистеми BAS / 1С.; Групи допомагають організувати користувачів.; | Заблокувати, зняти права, перепризначити задачі й залишити історію дій.; # Перевірити доступ до собівартості.; # Перевірити сценарії роботи.; | Бо неможливо встановити персональну відповідальність за дії.; !; Потрібно контролювати:
Він має змогу фіксувати:
Паролі мають бути захищені.; * чи є собою HTTPS;
- чи застосовується VPN;
- які користувачі мають web-доступ;
- чи немає спільних логінів;
- чи не відкрито доступ колишнім працівникам;
- чи є собою обмеження IP;
- чи ведеться журнал входів;
- які web-сервіси активні;
- які сервісні користувачі працюють через web.; # Призначити ролі.;== Навіщо потрібен журнал реєстрації ==
Що таке користувач системи BAS
- змінювати критичні довідники;
- бачити зарплату;
- бачити собівартість;
- змінювати закриті документи;
- запускати небезпечні обробки;
- змінювати права інших користувачів;
- видаляти або псувати інформаційні дані;
- експортувати конфіденційну інформацію.; 123
; Окремі продукти 1С і BAS внесені до відкритих переліків програмного забезпечення, забороненого до використання для окремих категорій організацій.; Роль у K2 ERP
Приклад матриці доступуПогані підходи: | ||
|---|---|---|
| Менеджер продажів | Клієнти, замовлення, рахунки | Собівартість, зарплата, адміністрування |
| Комірник | Надходження, переміщення, інвентаризація | фінансовий блок, ціни закупівельна діяльність, зарплата |
| Бухгалтер | Банк, каса, проводки, податкові документи | Адміністрування без потреби |
| Касир | Касові документи, оплати | Складські й кадрові документи |
| Керівник | Звіти, контроль, аналітичні інструменти | Зміна первинних документів без потреби |
| Адміністратор | конфігурація, користувачі, права | Щоденна робота під admin-логіном |
Обробки можуть виконувати масові або критичні дії.; # Перевірити права на звіти.; !; # Перевірити ролі.; користувач системи
- менеджери без потреби;
- комірники;
- касири без відповідної ролі;
- сервісні користувачі сайту;
- інтеграції, яким це не потрібно;
- зовнішні консультанти без договору й обмежень;
- старі користувачі.; |-
petrenko
Паролі користувачів
Як не треба робити
Собівартість додатково є собою чутливою інформацією.; Автентифікація — це перевірка користувача під час входу.; * заблокувати користувача;
- зняти ролі;
- заборонити вхід;
- залишити історію;
- перепризначити задачі;
- описати причину блокування.; користувач системи
Сайт → BAS → користувач системи admin
bi_export
Сервісний користувач системи має мати тільки ті права, які потрібні для конкретної інтеграції.;== користувач системи і фізична особа ==
== Етапи перенесення користувачів у K2 ERP ==
Заблокований користувач системи не повинен мати функціональні можливості входити в систему.; Приклад:
<syntaxhighlight lang="text">
[[Категорія:Групи користувачів]]
з цієї причини часто краще:
== Видалення користувача ==
'''Цифрова незалежність.''' Перехід із [[BAS]] у [[K2 ERP]] — це можливість не тільки перенести інформаційні дані, а й навести порядок у користувачах, ролях, правах, інтеграціях, журналах і відповідальності.; Якщо неправильно — виникає хаос: усі працюють під одним логіном, колишні працівники мають доступ, інтеграції працюють під адміністратором, права роздані без логіки, а помилки неможливо розслідувати.; |-
| admin
| Активний
| застосовується для всього
| Створити контрольований admin-доступ
|-
| manager
| Активний
| Спільний логін
| Не переносити, створити персональні логіни
|-
| ivanenko
| Активний
| Персональний користувач системи
| Перенести як менеджера
|-
| old_buh
| Неактивний
| Працівник звільнений
| Не переносити, залишити в архіві
|-
| api_site
| Активний
| інтеграційні функціональні можливості із сайтом
| Створити новий API-користувач у K2 ERP
|-
| test
| Активний
| Тестовий доступ
| Заблокувати, не переносити
|}
<syntaxhighlight lang="text">
sklad — для всіх комірників
# Зробити список користувачів BAS.; Потрібно не без ускладнень перенести список логінів, а проаналізувати стару модель доступу: активних користувачів, звільнених працівників, спільні логіни, адміністраторів, сервісних користувачів, ролі, права, інтеграції, журнал реєстрації та реальну відповідальність за дії в системі.; Саме через користувачів платформа визначає, хто створив документ, хто змінив довідник, хто провів операцію, хто відкрив звіт, хто запустив обробку або хто виконав інтеграційний обмін.;<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">
Якщо працівник звільнився, але користувач системи активний, виникають ризики:
{| class="wikitable" style="width:100%;"
* активні сеанси;
* завислі сеанси;
* сервісні підключення;
* регламентні задача;
* web-користувачів;
* користувачів інтеграцій;
* адміністраторські сеанси.; # Вивантажити список користувачів.; користувач системи [[BAS]] — це важливий елемент облікової системи, який відповідає не тільки за вхід, а й за права доступу, безпеку, журналювання, відповідальність, інтеграції, бізнес-процеси та контроль даних.;[[Категорія:Користувач BAS]]
як ілюстрація:
!; Типовий доступ
входу.; Відповідь
У [[Клієнт-серверний режим BAS|клієнт-серверному режимі BAS]] користувач системи підключається до бази через сервер.; Адміністраторські права мають бути обмежені й контрольовані.; test
!; Це елемент системи безпеки забезпечується через '''Головне.''' користувач системи [[BAS]] — це не без ускладнень логін; додатково реалізовано прав доступу, журналювання, відповідальності, інтеграцій і бізнес-процесів.; * аудиту;
* безпеки;
* розслідування помилок;
* контролю входів;
* аналізу дій користувачів;
* перевірки інтеграцій;
* пошуку активних процесів;
* підготовки до міграції;
* виявлення старих або зайвих користувачів;
* аналізу дій адміністраторів.;== Контроль після запуску K2 ERP ==
У старих базах BAS часто є собою проблеми:
Касові права не повинні видаватися всім користувачам.; Через користувача платформа визначає:
Якщо конфігурація нетипова, модель доступу додатково має змогу бути нетиповою.; У [[BAS]] можна умовно виділити кілька типів користувачів.; До них не повинні мати доступ:
* касових ордерів;
* касової книги;
* оплат;
* повернень;
* звітів касира;
* зміни каси;
* друку документів;
* закриття зміни.; # Знайти користувачів інтеграцій.;== користувач системи і інтеграції ==
== Сервісний користувач системи BAS ==
'''Підхід K2 ERP.''' Під час переходу з [[BAS]] потрібно не копіювати стару модель доступу “як є собою”, а створити нову контрольовану модель користувачів у [[K2 ERP]]: персональні логіни, ролі, групи, мінімально необхідні права, сервісні акаунти, журналювання й аудит.; Групи можуть використовуватися для зручності адміністрування, але права все одно мають відповідати реальним обов’язкам.; Під час переходу в [[K2 ERP]] потрібно виконати інвентаризацію користувачів.; sklad
== користувач системи і файловий режим BAS ==
|-
| 15.05.2026 10:15
| ivanenko
| Створення
| Замовлення покупця №123
|-
| 15.05.2026 10:20
| petrenko_buh
| Проведення
| Банківська виписка №45
|-
| 15.05.2026 11:05
| admin
| Зміна прав
| користувач системи sklad_kyiv
|-
| 15.05.2026 12:30
| api_site
| Обмін
| Замовлення WEB-100245
|}
!; Погано:
melnyk.buh
Звіти можуть містити чутливі інформаційні дані.; # Знайти сервісних користувачів.; | Це технічний акаунт для інтеграцій, API, web-сервісів, обмінів або автоматичних процесів.; # Створити користувачів у [[K2 ERP]].; | Активних користувачів, ролі, групи, адміністраторів, сервісні акаунти, спільні логіни, журнал реєстрації й зайві права.; Що зазвичай дозволено
Приклади:
У BAS можуть використовуватися різні способи входу залежно від налаштувань:
!; Під час переходу з [[BAS]] у [[K2 ERP]] не потрібно переносити користувачів “як є собою”.; Для кожної інтеграції потрібен окремий користувач системи із мінімальними правами.;
У BAS користувач системи є собою точкою входу в інформаційну базу.; BAS-користувачі
Активний користувач системи
shevchenko.sales Вони можуть включати:
; Правильний підхід. Користувачів BAS потрібно розглядати як джерело інформації про стару модель доступу, але не як готову схему для перенесення.; |- class="wikitable" style="width:100%;"Погано:
ivanenko
- зарплату;
- банк;
- касу;
- собівартість;
- адміністрування;
- права користувачів;
- закриті періоди;
- кадрові документи.; operator
- менеджер бачить доступний залишок, але не проводить інвентаризацію;
- бухгалтер бачить вартісний залишок;
- керівник складу бачить усі склади;
- філія бачить тільки свої документи.; # Створити користувачів у K2 ERP.; У результаті нова ERP успадковує старі ризики.; Роль
- створювати користувачів;
- змінювати ролі;
- блокувати доступ;
- налаштовувати інформаційну базу;
- запускати службові обробки;
- виконувати актуалізація;
- налаштовувати інтеграції;
- аналізувати журнал реєстрації;
- працювати з конфігурацією;
- виконувати технічні операції.;== користувач системи і журнал реєстрації BAS ==
Типові помилки з користувачами BAS
У файловому режимі BAS істотно контролювати не тільки користувачів у BAS, а й доступ до папки бази.; Призначення
Користувачі не повинні довільно змінювати закриті періоди.;Погані практики:
- дату заборони редагування;
- права на зміну старих документів;
- права на перепроведення;
- права на скасування проведення;
- права головного бухгалтера;
- журнал змін;
- погодження винятків.; Доступ
Потрібно зібрати: api_site Правильний порядок: користувач системи BAS — це запис у списку користувачів інформаційної бази, який застосовують, коли потрібно для входу та виконання дій у системі.;== користувач системи і клієнт-серверний режим BAS ==
; Видалення користувача має змогу створити проблеми.; користувач системи
організація повинна:
- ролі;
- права;
- підсистеми;
- форми;
- об’єкти;
- звіти;
- обробки;
- обмеження;
- регістри;
- бізнес-процеси.; Дія
; це обліковий запис людини або сервісу в системі BAS.; !; Що означає
Простий приклад:
Це небезпечно, бо сайт або зовнішній сервіс не повинен бачити:
buh
користувач системи і складський облік
Якщо користувачі налаштовані правильно, платформа надає можливість контролювати відповідальність.; # Побудувати нову матрицю доступу.; Погана практика: Потрібно перевірити: Потрібно регулярно перевіряти:
користувач системи і веб-клієнт BAS
# Зробити резервну копію BAS.; Що бажано обмежити
<syntaxhighlight lang="text">
Краще використовувати персональні логіни.; !; |-
| Менеджер продажів
| ivanenko, shevchenko
| Менеджер продажів
| Персональні логіни
|-
| Комірник
| sklad, sklad2
| Комірник
| Замість спільних логінів створити персональні
|-
| Бухгалтер
| buh1, buh2
| Бухгалтер
| Обмежити організації й періоди
|-
| Керівник
| director
| Керівник
| Звіти й BI без зайвого редагування
|-
| інтеграційні функціональні можливості сайту
| admin або api_site
| api_site
| Тільки API з обмеженими правами
|}
!; !; # Знайти адміністраторів.; Комірник
== Помилка: один логін на відділ ==
* чи всі користувачі можуть увійти;
* чи кожен функціонує під власним логіном;
* чи немає зайвих прав;
* чи працюють ролі;
* чи працюють обмеження по складах;
* чи працюють обмеження по організаціях;
* чи працюють сервісні акаунти;
* чи ведеться журналювання;
* чи заблоковані старі користувачі BAS;
* чи не працюють старі інтеграції BAS;
* чи користувачі не вводять документи у дві системи.; На користувача можуть посилатися:
sklad.kyiv.01
* чи функціонує людина в компанії;
* чи відповідає роль посаді;
* чи не має користувач системи зайвих прав;
* чи не застосовується логін кількома людьми;
* чи не є собою користувач системи старим тестовим акаунтом;
* чи не має користувач системи доступу до закритих даних.; !;[[Категорія:Web-сервіси 1С]]
CRM → BAS → api_crm з обмеженими правами
[[Категорія:Персональні дані]]
|-
| Звичайний користувач системи
| Працівник, який виконує щоденні операції
| Менеджер, бухгалтер, комірник
|-
| Керівник
| користувач системи для перегляду звітів і контролю
| Директор, фінансовий директор
|-
| Адміністратор
| користувач системи із розширеними правами
| admin
|-
| Сервісний користувач системи
| Технічний акаунт для інтеграцій
| api_site, api_crm, api_wms
|-
| Тимчасовий користувач системи
| Доступ для консультанта, аудитора або тестування
| consultant, auditor
|-
| Архівний користувач системи
| Старий заблокований користувач системи для збереження історії
| old_ivanenko
|}
== Коротко ==
'''Найгірший сценарій.''' організація переходить у [[K2 ERP]], але переносить стару модель користувачів BAS без змін: спільні логіни, зайві адміністратори, активні звільнені працівники, інтеграції під admin і права без контролю.; # Перевірити доступ до зарплати.; рішення для бізнесу в K2 ERP
== користувач системи і права на звіти ==
[[Категорія:Файловий режим BAS]]
* [[K2]]
* [[K2 ERP]]
* [[ERP]]
* [[BAS]]
* [[1С]]
* [[Користувач K2 ERP]]
* [[Права доступу]]
* [[Ролі K2 ERP]]
* [[Групи користувачів K2 ERP]]
* [[Журнал реєстрації 1С]]
* [[Журналювання]]
* [[Кібербезпека]]
* [[Конфігурація BAS]]
* [[Веб-клієнт BAS]]
* [[Клієнт-серверний режим BAS]]
* [[Файловий режим BAS]]
* [[Web-сервіси 1С]]
* [[JSON 1С]]
* [[Інтеграція з BAS]]
* [[Інтеграція з 1С]]
* [[Міграція з BAS]]
* [[Міграція з 1С]]
* [[Заміна BAS]]
* [[Заміна 1С]]
* [[Оперативний облік 1С]]
* [[Регламентований облік 1С]]
* [[Довідники 1С]]
* [[Документи 1С]]
* [[Обробки 1С]]
* [[API]]
* [[BI]]
* [[Українське програмне забезпечення]]
* [[Автоматизація бізнесу]]
* [[Цифрова незалежність]]
* [[Деколонізація обліку]]
Її варто обмежити для:
* [https://erp.kyiv.ua Сайт K2 ERP]
* [https://wiki.erp.kyiv.ua Wiki K2 ERP]
* [https://cloud.corp2.eu хмарна інфраструктура K2 ERP]
* [https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya Перелік забороненого до використання програмного забезпечення на сайті Держспецзв’язку]
* [https://cip.gov.ua/ua/news/vidpovidi-na-poshireni-zapitannya-shodo-pereliku-zaboronenogo-programnogo-zabezpechennya-ta-obladnannya Роз’яснення Держспецзв’язку щодо переліку забороненого ПЗ]
* [https://www.president.gov.ua/documents/6012024-52009 Указ Президента України №601/2024]
* [https://zakon.rada.gov.ua/go/601/2024 Указ Президента України №601/2024 на сайті Верховної Ради України]
* [https://t.me/+uIdWI1W6vndkMTAy Telegram-канал K2 ERP]
* [https://t.me/+6jFwAZM6TQliNTdi Група обговорення функціоналу та пропозицій]
* [https://www.linkedin.com/company/k2erp/ LinkedIn K2]
== Типи користувачів BAS ==
Краще:
buh — для бухгалтерії
== користувач системи BAS і цифрова незалежність ==
як ілюстрація, користувач системи `api_site` має повні права.; # Знайти сервісних користувачів.; # Перевірити ролі.; # Перевести BAS в архівний режим.; |}
<div style="border:3px solid #ef6c00; background:#fff3e0; padding:14px; margin:16px 0;">
Наслідки:
як ілюстрація:
* бачити, хто виконує дії;
* обмежувати доступ;
* захищати зарплату, фінансовий блок й собівартість;
* контролювати інтеграції;
* блокувати звільнених працівників;
* аналізувати журнал реєстрації;
* зменшувати ризики помилок;
* підготувати якісну міграцію в [[K2 ERP]].; Призначення
Зарплатні інформаційні дані є собою особливо чутливими.; !; # Визначити активних користувачів.; |-
| Що таке сервісний користувач системи?; petrenko.buh
[[Категорія:Інтеграція з 1С]]
== користувач системи і закриті періоди ==
!; |-
| Що робити зі звільненим користувачем?;[[Категорія:Веб-клієнт BAS]]
Якщо всім видати повні права, користувачі можуть:
Для складу потрібно розділяти доступ.;== Як правильно працювати з користувачами BAS перед міграцією ==
</div>
Журнал має змогу показати:
Активними мають бути тільки ті користувачі, які реально працюють у компанії або потрібні для поточних інтеграцій.; * список усіх користувачів;
* активних користувачів;
* заблокованих користувачів;
* адміністраторів;
* сервісних користувачів;
* спільні логіни;
* користувачів інтеграцій;
* тимчасових користувачів;
* ролі;
* групи;
* права;
* фактичні обов’язки;
* журнал активності;
* дату останнього входу.; Ризик
* менеджерів продажів;
* комірників;
* зовнішніх користувачів;
* сервісних інтеграцій;
* користувачів філій без потреби.; # Налаштувати сервісні акаунти.;== Чому інтеграції не повинні працювати під адміністратором ==
Якщо застосовується [[Веб-клієнт BAS]], користувач системи має змогу входити через браузер.; user
== користувач системи і банк ==
[[Категорія:BI]]
Найчастіші проблеми:
* перегляд виписок;
* імпорт виписок;
* створення платіжних доручень;
* зміну платежів;
* проведення банківських документів;
* експорт платежів;
* перегляд залишків на рахунках.;== Автентифікація користувача ==
Помилка: не заблокувати звільненого працівника
користувач системи і каса
Помилка: сервісний користувач системи має доступ до всього
Приклади груп:
api_site Обмін із сайтом Замовлення, товари, залишки, статуси api_crm Обмін із CRM Клієнти, угоди, замовлення api_wms Обмін зі складською системою Залишки, переміщення, відвантаження bi_export Вивантаження в BI Читання аналітичних даних bank_import Імпорт банківських виписок Банківські документи
Не кожен користувач системи має бачити всі звіти.;== користувач системи і зарплата == !;== Адміністратор BAS ==
!;
- ім’я користувача;
- логін;
- пароль;
- повне ім’я;
- роль або кілька ролей;
- конфігурація інтерфейсу;
- мову;
- права доступу;
- обмеження доступу;
- статус активності;
- прив’язку до фізичної особи або працівника;
- доступ до певних підсистем;
- доступ до звітів;
- доступ до обробок;
- доступ до інтеграцій;
- історію дій у журналі реєстрації.; користувач системи BAS
- працівників;
- фізичних осіб;
- клієнтів;
- пайовиків;
- контактних осіб;
- водіїв;
- контрагентів-фізичних осіб;
- зарплатні інформаційні дані;
- кадрові документи;
- банківські реквізити.;
Ролі можуть бути типовими або доробленими під конкретну конфігурацію.; # Заблокувати старі BAS-доступи після запуску.;
Помилка: не перевірити журнал реєстрації
!;
</syntaxhighlight> Краще:
Див.; додатково
Інакше має змогу бути витік комерційної інформації.; manager
buh
</syntaxhighlight> </syntaxhighlight>
Що таке користувач системи BAS?; * несанкціонований вхід;
користувач системи має змогу мати доступ до: істотно. Не варто використовувати адміністратора BAS для щоденної роботи, інтеграцій, обміну із сайтом або звичайного введення документів.; # Перевірити доступ до банку й каси.;== Права доступу == користувач системи і права на обробки | ||||
| Контрагенти | Створення і зміна | Перегляд | Перегляд і зміна | Перегляд |
| Замовлення покупця | Створення і зміна | Перегляд | Перегляд | Перегляд |
| Складські залишки | Перегляд доступного залишку | Робота зі складом | Перегляд | Перегляд |
| Собівартість | Немає доступу | Немає доступу | Перегляд за потреби | Перегляд |
| Зарплата | Немає доступу | Немає доступу | Обмежений доступ | За окремим дозволом |
| Адміністрування | Немає доступу | Немає доступу | Немає доступу | Немає доступу |
manager
Роль визначає, що користувач системи має змогу робити в системі.; Окремі продукти 1С і BAS внесені до переліків забороненого програмного забезпечення для окремих категорій організацій в Україні.; Журнал реєстрації показує події в інформаційній базі.; {| class="wikitable" style="width:100%;"
!; | Які довідники, документи, звіти, обробки, підсистеми й інформаційні дані доступні користувачу.; Об’єкт
Права на запуск обробок потрібно обмежувати.; # Перевірити доступи.;
Приклади ролей BAS
!;
- входу в інформаційну базу;
- визначення прав;
- персоналізації інтерфейсу;
- журналювання дій;
- участі в бізнес-процесах;
- виконання регламентних операцій;
- інтеграційного доступу;
- контролю відповідальності.; # Заблокувати старі BAS-доступи після запуску.; користувач системи
- бухгалтерський обліковий облік;
- продажі та реалізація;
- закупівельна діяльність;
- складський облік;
- Каса;
- Логістика;
- Кадри;
- Зарплата;
- Керівництво;
- Адміністратори;
- Інтеграції;
- Аудитори;
- Філія Київ;
- Філія Львів.;</syntaxhighlight>
Блокування потрібне, якщо:
Групи користувачів
- користувач системи має змогу не мати прав у BAS, але мати доступ до файлу бази;
- база має змогу бути скопійована;
- копія має змогу потрапити на флешку;
- старі користувачі можуть відкривати локальні копії;
- архіви можуть бути незахищеними.; * спільні логіни;
- усі мають повні права;
- забагато адміністраторів;
- звільнені користувачі активні;
- сервісні користувачі мають зайві права;
- інтеграції працюють під адміністратором;
- немає журналювання;
- журнал не аналізується;
- ролі не відповідають посадам;
- тестові користувачі активні;
- старі користувачі не заблоковані;
- користувачі бачать зарплату без потреби;
- користувачі бачать собівартість без потреби;
- права не переглядаються роками.;
Перед переходом у K2 ERP журнал має змогу допомогти зрозуміти, які користувачі й процеси реально активні.; У K2 ERP потрібно будувати нову, чисту й контрольовану модель ролей і прав.; * як сервісні акаунти;
- як звичайні користувачі, що запускають обробки обміну.; # Знайти спільні логіни.;
!; Каса потребує окремого контролю.; Потрібно контролювати:
Доступ до таких даних має бути обмежений.; Роль у бізнесі
Сервісний користувач системи — це технічний обліковий запис для інтеграцій або автоматичних процесів.; Активний користувач системи — це користувач системи, який має змогу входити в систему і виконувати дії відповідно до своїх прав.; !;
- немає персональної відповідальності;
- не можна зрозуміти, хто змінив документ;
- пароль знають усі;
- звільнений працівник має змогу зберегти доступ;
- журнал реєстрації втрачає цінність.;== Помилка: усі мають адміністративні права ==
!; Менеджер Приклад:
Приклади: Він має змогу: Наслідки:- зрозуміло, хто зробив дію;
- легше розслідувати помилки;
- можна налаштувати персональні права;
- можна заблокувати конкретну людину;
- журнал реєстрації стає корисним;
- зростає дисципліна роботи.;
Роль користувача BAS
- старих активних користувачів;
- невідомі входи;
- часті помилки;
- інтеграції;
- запуск обробок;
- підозрілі дії;
- активність спільних логінів;
- роботу сервісних користувачів.; з цієї причини користувачів BAS потрібно розглядати як об’єкт інвентаризації, аудиту доступів і контрольованої міграції на українську ERP-платформу.; * знайти всі активні доступи;
- прибрати спільні логіни;
- заблокувати звільнених працівників;
- обмежити адміністраторів;
- замінити сервісні акаунти;
- перенести інтеграції на контрольований API;
- створити нову модель доступу в K2 ERP;
- не залишити BAS активною робочою системою;
- зменшити залежність від BAS і 1С.; Об’єкт
Права доступу визначають конкретні дозволи користувача.; !; Поняття
У K2 ERP потрібно створювати нову модель доступу.; !; Дата У конфігурації визначаються: admin користувач системи у BAS має логін, спосіб автентифікації, ролі, права доступу, конфігурація, інтерфейс, історію дій, обмеження по організаціях, складах, підрозділах або інших аналітиках.;
- документи;
- журнал реєстрації;
- задачі;
- бізнес-процеси;
- конфігурація;
- історичний розвиток змін;
- інтеграційні логи.; # Налаштувати ролі й групи.; manager — для всіх менеджерів
Спільний логін — це коли кілька людей працюють під одним користувачем.; Потрібно створити нову модель доступу: персональні логіни, ролі, групи, сервісні користувачі, мінімально необхідні права, журналювання, контроль API й регулярний аудит.; # Перевірити журнал реєстрації.; Це погана практика.; # Знайти адміністраторів.; # Налаштувати групи.; user
Вступ
!; Добрі практики:
переважні аспекти:
Права можуть включати:
Правильний порядок:
* масова зміна цін;
* перепроведення документів;
* завантаження банку;
* імпорт прайсів;
* обмін із сайтом;
* видалення помічених об’єктів;
* закриття місяця;
* формування податкових документів;
* зміна реквізитів;
* сервісна діагностика.; Окремо варто відзначити через який виконується вхід до інформаційної бази, робота з довідниками, документами, звітами, обробками, інтеграціями, друкованими формами, регламентними завданнями і іншими функціями облікової системи виступає ключовою рисою '''користувач системи BAS'''.; Керівник
== Таблиця міграції користувачів ==
== Чому не можна без ускладнень перенести користувачів BAS як є собою ==
{| class="wikitable" style="width:100%;"
* неможливо встановити відповідального;
* журнал реєстрації не показує реальну людину;
* пароль знають багато людей;
* звільнений працівник має змогу зберегти доступ;
* важко розслідувати помилки;
* складно обмежити права;
* неможливо правильно аналізувати дії користувачів.; * вхід користувача;
* вихід користувача;
* помилки входу;
* створення документа;
* зміну документа;
* проведення документа;
* скасування проведення;
* зміну довідника;
* запуск обробки;
* зміну прав;
* помилки;
* дії регламентних завдань;
* дії сервісних користувачів.; |-
| Чи є собою санкційні ризики у [[BAS]] і [[1С]]?; # Перевірити журнал реєстрації.; * інтеграційні функціональні можливості має зайві права;
* при витоку пароля відкривається повний доступ;
* журнал показує admin, а не конкретний сервіс;
* складно розслідувати помилки;
* неможливо розділити доступи;
* інтеграційні функціональні можливості має змогу змінити критичні інформаційні дані;
* адміністраторський пароль починає знати багато людей.; # Перевірити дату останнього входу.; Потрібно перевіряти, які способи реально використовуються в конкретній базі.; |-
| користувач системи
| Обліковий запис для входу в систему
| ivanenko
|-
| Фізична особа
| Людина як об’єкт кадрового або довідкового обліку
| Іваненко Іван Іванович
|-
| Працівник
| Фізична особа, пов’язана з трудовими відносинами
| Менеджер відділу продажів
|}
Права користувачів залежать від [[Конфігурація BAS|конфігурації BAS]].; {| class="wikitable" style="width:100%;"
Одна фізична особа має змогу бути пов’язана з користувачем, але це не завжди налаштовано правильно.;== користувач системи і собівартість ==
kovalenko.sklad
== Персональні логіни ==
<syntaxhighlight lang="text">
* пароль `123`;
* пароль збігається з логіном;
* однаковий пароль у всіх;
* пароль адміністратора знають усі;
* пароль записаний у відкритому файлі;
* пароль сервісного користувача не змінювався роками;
* пароль передають у месенджерах;
* доступ звільненого працівника не заблоковано.; Коментар
Сайт → BAS → api_site з обмеженими правами
як ілюстрація:
Аналіз користувачів BAS — це частина виходу зі старої ризикової системи.; Після запуску потрібно перевірити:
З урахуванням санкційних, юридичних і кібербезпекових ризиків [[BAS]] та [[1С]], аудит користувачів має бути частиною ширшої стратегії переходу на українське програмне забезпечення, цифрову незалежність і сучасну [[ERP]]-архітектуру.; !;== Користувачі при міграції з BAS у K2 ERP ==
== Заблокований користувач системи ==
* старі користувачі;
* звільнені працівники;
* спільні логіни;
* зайві адміністратори;
* невідомі сервісні користувачі;
* тестові акаунти;
* інтеграції під адміністратором;
* ролі без опису;
* права, які не відповідають посаді;
* користувачі без паролів або зі слабкими паролями;
* незрозумілі групи доступу.; # Перевірити права.; # Побудувати нову матрицю доступу.; Правильно налаштовані користувачі дозволяють:
* персональні паролі;
* складні паролі;
* окремі паролі для сервісних користувачів;
* блокування звільнених користувачів;
* обмеження адміністраторських прав;
* журналювання входів;
* регулярна перевірка активних акаунтів.; # Описати реальні посади.; !; |-
| Чому не можна використовувати спільні логіни?; # Перевірити права на обробки.;
У BAS можуть бути персональні інформаційні дані:
- переносити всіх користувачів BAS без аналізу;
- залишати спільні логіни;
- залишати звільнених працівників активними;
- давати всім повні права;
- запускати інтеграції під адміністратором;
- не перевіряти сервісні акаунти;
- не аналізувати журнал реєстрації;
- не обмежувати доступ до зарплати;
- не обмежувати доступ до собівартості;
- не переглядати права;
- залишати BAS активною після запуску K2 ERP;
- ігнорувати санкційні й кібербезпекові ризики.; |-
| Що визначає роль користувача?; # Визначити звільнених працівників.;
Ризик: |
; # Позначити активних і неактивних.;
користувач системи і персональні інформаційні даніОбліковий запис BASБанківські документи додатково потребують контролю.; # Навчити користувачів.; # Знайти користувачів інтеграцій.; істотно про BAS і 1С. BAS та 1С мають санкційні, юридичні й кібербезпекові ризики в Україні.; Сценарій |
|---|
Категорії:
- BAS
- ERP
- Міграція з 1С
- Кібербезпека
- Клієнт-серверний режим BAS
- 1С
- Автоматизація бізнесу
- K2 ERP
- Міграція з BAS
- Цифрова незалежність України
- Адміністрування BAS
- Інтеграція з BAS
- Безпека
- Ролі користувачів
- Деколонізація обліку
- Українське програмне забезпечення
- Конфігурація BAS
- Журналювання
- API
- K2
- Користувач K2 ERP
- Користувач 1С
- Права доступу
- Заміна BAS
- JSON 1С
- Журнал реєстрації 1С
- Заміна 1С