Перейти до вмісту

Роль BAS

Матеріал з K2 ERP Wiki

Роль BAS — це об’єкт конфігурації або конфігурація доступу, який визначає набір дозволів для користувача.; !; Окремі продукти і BAS внесені до відкритих переліків програмного забезпечення, забороненого до використання для окремих категорій організацій.; Що обмежує

Роль менеджера продажів

користувач системи має змогу вивантажити: Роль має змогу давати права на довідники.; # Перевірити журнал реєстрації.;

!; рішення для бізнесу

  • прибутковими касовими ордерами;
  • видатковими касовими ордерами;
  • оплатами;
  • поверненнями;
  • касовими змінами;
  • касовою книгою;
  • фіскальними операціями, якщо вони є собою;
  • звітами касира.; Комірник

Права на обробки

Банківські права можуть включати:

Матриця доступу для K2 ERP

Якщо користувач системи має доступ до файлової папки, він має змогу: 

Для складського обліку істотно обмежувати доступ по складах.; Питання

== Права на експорт ==
!; |-
| Що перевірити перед міграцією?; Їх не можна без ускладнень копіювати зі старої системи.; Призначення

'''Правильний підхід.''' Ролі [[BAS]] потрібно розглядати як джерело інформації про стару модель доступу, але не як готову схему для перенесення.; * клієнтів;
* постачальників;
* ціни;
* залишки;
* зарплату;
* фінансові звіти;
* собівартість;
* персональні інформаційні дані;
* договори;
* банківські реквізити.; Окремі продукти [[1С]] і [[BAS]] внесені до переліків забороненого програмного забезпечення для окремих категорій організацій в Україні.; Обробки можуть змінювати багато даних одразу.; Потрібно перевірити:

[[Категорія:Цифрова незалежність України]]
== Роль і веб-клієнт BAS ==
У різних конфігураціях назви ролей можуть відрізнятися, але в бізнесі часто зустрічаються такі ролі:
!; У старих системах ролі часто накопичують хаос.; Керівник часто потребує доступу до звітів і аналітики.;== Контроль ролей після запуску K2 ERP ==

Якщо ролі налаштовані правильно, платформа підтримує роботу порядок і безпеку.; # Описати обробки.; # Побудувати матрицю доступу.; |-
| Чи має змогу користувач системи мати кілька ролей?; Не повинні мати доступ:

== Роль і клієнт-серверний режим BAS ==
Потрібно перевіряти не тільки людей, а й технічні підключення.; bi_export → BI

[[Категорія:Журналювання]]
== Помилка: роль “Повні права” для всіх ==
</div>
== Права на звіти ==
У [[Клієнт-серверний режим BAS|клієнт-серверному режимі BAS]] ролі важливі для:
|-
| Повні права
| admin, buh1, manager
| Забагато користувачів
| Залишити тільки адміністраторам
|-
| Менеджер продажів
| ivanenko, shevchenko
| Немає
| Перенести в K2 ERP після перевірки
|-
| Комірник
| sklad, sklad2
| Спільні логіни
| Створити персональні акаунти
|-
| API сайту
| api_site
| Має зайві права
| Обмежити до API-сценаріїв
|-
| Старий консультант
| consultant
| Активний доступ
| Заблокувати
|}

[[Категорія:Групи користувачів]]

== Роль і обмеження по складах ==

Якщо звичайний користувач системи має доступ до службових обробок, він має змогу:

* список ролей;
* список користувачів;
* відповідність ролей посадам;
* фактичні права;
* групи користувачів;
* адміністраторів;
* сервісні акаунти;
* доступи до зарплати;
* доступи до фінансів;
* доступи до собівартості;
* права на обробки;
* права на експорт;
* web-доступ;
* API-доступ;
* журнал активності.; # Увімкнути журналювання.; Якщо її мають усі користувачі, платформа фактично не має контролю доступу.; '''Цифрова незалежність.''' Перехід із [[BAS]] у [[K2 ERP]] — це можливість не тільки перенести інформаційні дані, а й навести порядок у ролях, правах, користувачах, інтеграціях, журналах і відповідальності.; Потрібно перевірити:

<syntaxhighlight lang="text">

== Побудова ролей у K2 ERP ==

* продажі та реалізація;
* прибуток;
* дебіторська заборгованість;
* кредиторська заборгованість;
* залишки;
* фінансові звіти;
* KPI;
* план-факт;
* [[BI]].; # Описати посади.;== Як правильно працювати з ролями BAS перед міграцією ==
Інакше користувачі можуть бачити маржу, закупівельні ціни, прибутковість і комерційні умови.; * менеджер продажів створює замовлення покупців;
* комірник функціонує зі складськими документами;
* бухгалтер проводить банк і касу;
* центральний бухгалтер закриває період;
* кадровик функціонує з працівниками;
* керівник переглядає звіти;
* адміністратор налаштовує систему;
* сервісний користувач системи виконує інтеграційний обмін.; * [https://erp.kyiv.ua Сайт K2 ERP]
* [https://wiki.erp.kyiv.ua Wiki K2 ERP]
* [https://cloud.corp2.eu хмарна інфраструктура K2 ERP]
* [https://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannya Перелік забороненого до використання програмного забезпечення на сайті Держспецзв’язку]
* [https://cip.gov.ua/ua/news/vidpovidi-na-poshireni-zapitannya-shodo-pereliku-zaboronenogo-programnogo-zabezpechennya-ta-obladnannya Роз’яснення Держспецзв’язку щодо переліку забороненого ПЗ]
* [https://www.president.gov.ua/documents/6012024-52009 Указ Президента України №601/2024]
* [https://zakon.rada.gov.ua/go/601/2024 Указ Президента України №601/2024 на сайті Верховної Ради України]
* [https://t.me/+uIdWI1W6vndkMTAy Telegram-канал K2 ERP]
* [https://t.me/+6jFwAZM6TQliNTdi Група обговорення функціоналу та пропозицій]
* [https://www.linkedin.com/company/k2erp/ LinkedIn K2]

Ризики:
!; Простий приклад:

* бухгалтер із зарплати;
* кадровик;
* центральний бухгалтер;
* керівник за окремим дозволом;
* сервісний користувач системи тільки за крайньої потреби й з обмеженнями.; Комірник

== Роль при міграції з BAS у K2 ERP ==

{| class="wikitable" style="width:100%;"
</div>
[[Категорія:Веб-клієнт BAS]]
!; !; як ілюстрація, керівник відділу продажів бачить своїх менеджерів, але не бачить інший регіон.; Роль K2 ERP

У контексті переходу з [[BAS]] на [[K2 ERP]] ролі мають особливе значення.; Ролі використовуються; додатково реалізовано менеджерами, комірниками, касирами, керівниками, адміністраторами, інтеграційними користувачами і іншими учасниками облікової системи.; Роль BAS

# Зробити резервну копію BAS.; рішення для бізнесу

{{SEO
|title=Роль BAS — права доступу, користувачі, групи, профілі, безпека і міграція в K2 ERP
|description=Роль BAS: що це таке, як працюють ролі користувачів, права доступу, групи, профілі, адміністратори, сервісні користувачі, обмеження доступу, журнал реєстрації, типові помилки і перехід з BAS у K2 ERP.
|keywords=роль BAS, ролі BAS, права доступу BAS, користувач BAS, групи користувачів BAS, профілі доступу BAS, адміністратор BAS, сервісний користувач BAS, журнал реєстрації BAS, обмеження доступу BAS, роль 1С, права доступу 1С, міграція ролей з BAS, заміна BAS, заміна 1С, K2 ERP, українська ERP, санкції BAS, санкції 1С, цифрова незалежність
|image=https://erp.kyiv.ua
}}
  • список ролей;
  • характеристика ролей;
  • користувачів із кожною роллю;
  • користувачів із повними правами;
  • адміністраторів;
  • сервісних користувачів;
  • спільні логіни;
  • ролі з доступом до зарплати;
  • ролі з доступом до собівартості;
  • ролі з доступом до банку;
  • ролі з доступом до обробок;
  • ролі з доступом до експорту;
  • неактуальні ролі;
  • ролі тестових користувачів.; # Призначити персональних користувачів.; як ілюстрація:

Типові помилки з ролями BAS

Обмежувати бажано:

як ілюстрація, менеджер має змогу бачити продажі та реалізація, але не собівартість і зарплату.; | Повні права, адміністраторів, сервісні акаунти, доступ до зарплати, собівартості, банку, каси, обробок, експорту, web і API.; # Описати BI-доступ.; Ролі

Роль сервісного користувача

  • немає реального контролю;
  • кожен має змогу змінити критичні інформаційні дані;
  • важко розслідувати помилки;
  • користувачі бачать зайву інформацію;
  • інтеграції можуть змінити будь-що;
  • зростає ризик витоку даних;
  • журнал реєстрації не сприяє, якщо всі мають однаковий повний доступ.; !; {| class="wikitable" style="width:100%;"

!; Роль

  • перепровести документи;
  • змінити ціни;
  • завантажити неправильні інформаційні дані;
  • видалити помічені об’єкти;
  • змінити реквізити;
  • зламати інтеграційний обмін.; Це технічний набір дозволів, який визначає, які дії користувач системи має змогу виконувати в системі й до яких даних він має доступ.; Роль має змогу дозволяти або забороняти:

Приклад:

Роль “Повні права”

!; Це одна з найнебезпечніших помилок.; Відповідь Роль BAS — це ключовий елемент системи доступу.; Керівнику не завжди потрібні права на зміну первинних документів.; !; Найчастіші проблеми: Аудитор має змогу бачити:

У деяких конфігураціях або моделях адміністрування ролі можуть призначатися не тільки окремим користувачам, а й групам.; |- | Що таке сервісна роль?; # Створити ролі.; користувач системи

  • контрагентами;
  • контактами;
  • договорами;
  • замовленнями покупців;
  • рахунками;
  • реалізаціями;
  • резервами;
  • цінами продажу;
  • статусами замовлень;
  • комерційними пропозиціями;
  • CRM-даними, якщо вони є собою.; Організація

Її потрібно обмежувати для: Ролі в BAS потрібні для того, щоб кожен користувач системи мав доступ тільки до тих функцій, які потрібні йому для роботи.; * усі мають повні права;

  • ролі не відповідають посадам;
  • користувачі мають забагато ролей;
  • немає матриці доступу;
  • спільні логіни мають широкі права;
  • сервісні користувачі мають права адміністратора;
  • звільнені користувачі мають активні ролі;
  • немає обмеження по складах;
  • немає обмеження по організаціях;
  • менеджери бачать собівартість;
  • комірники бачать фінансовий блок;
  • BI відкриває зайві інформаційні дані;
  • права на експорт не контролюються;
  • права на обробки не обмежені.;

інтеграційні функціональні можливості із сайтом функціонує під admin |- | API сайту | Обмін із сайтом | Товари, залишки, ціни, замовлення, статуси |- | API CRM | Обмін із CRM | Клієнти, угоди, замовлення |- | API WMS | Обмін зі складом | Складські документи, залишки, відвантаження |- | BI-експорт | Передача даних в аналітику | Читання потрібних аналітичних даних |- | Імпорт банку | Завантаження банківських операцій | Банківські документи |}

Роль і журнал реєстрації

!;== Вступ ==

</syntaxhighlight>

  • клієнтську базу;
  • зарплату;
  • собівартість;
  • фінансові звіти;
  • залишки;
  • договори;
  • банківські реквізити.;== Як не треба робити ==

Адміністратор має змогу:

як ілюстрація:

Роль BAS і цифрова незалежність

  • масова зміна цін;
  • перепроведення документів;
  • завантаження Excel;
  • імпорт банку;
  • обмін із сайтом;
  • видалення помічених об’єктів;
  • закриття місяця;
  • актуалізація залишків;
  • сервісні обробки;
  • міграційні обробки.; |}

Чому ролі BAS не можна переносити як є собою

У K2 ERP потрібно створити чисту модель доступу.; Обробки можуть бути небезпечнішими за звіти, бо вони змінюють інформаційні дані.; Доступ 
|-
| Контрагенти
| Створення і зміна
| Перегляд
| Перегляд і зміна
|-
| Номенклатура
| Перегляд
| Перегляд і уточнення
| Перегляд
|-
| Банківські рахунки
| Немає доступу
| Немає доступу
| Зміна
|-
| Фізичні особи
| Немає доступу
| Немає доступу
| Обмежений доступ
|}

Люди й інтеграції мають різні ролі.; Після запуску потрібно перевірити:

Собівартість є собою комерційно чутливою інформацією.;

Підхід K2 ERP. Під час переходу з BAS потрібно не переносити старі ролі “як є собою”, а побудувати нову рольову модель у K2 ERP: персональні користувачі, групи, мінімально необхідні права, сервісні акаунти, журналювання, контроль експорту, BI-доступу, API та адміністративних дій.; admin застосовується бухгалтером, сайтом, CRM і програмістом

  • менеджерів продажів;
  • комірників;
  • зовнішніх користувачів;
  • сервісних акаунтів;
  • філій без відповідного рівня доступу.; Вона надає можливість бачити інформаційні дані, але не змінювати їх.; Ролі важливі для інтеграцій.; # Описати бізнес-функції.; !; | Так.; Комірник зазвичай має доступ до:

Таблиця аудиту ролей

  • які ролі існують;
  • які об’єкти доступні;
  • які довідники можна відкривати;
  • які документи можна проводити;
  • які звіти доступні;
  • які обробки дозволені;
  • які регістри відкриті;
  • які підсистеми показані;
  • які форми доступні;
  • які команди можна виконувати.;== Приклад журналу дій ==

Адміністратор BAS

Помилка: не перевіряти права на експорт

користувач системи із правом експорту має змогу вивантажити:

Контрагенти Створення Перегляд Зміна Перегляд Повний доступ
Замовлення Створення і зміна Перегляд Перегляд Перегляд Повний доступ
Складські документи Перегляд Створення Перегляд Перегляд Повний доступ
Каса Немає Немає Повний доступ Перегляд Повний доступ
Зарплата Немає Немає Обмежений доступ За окремим дозволом Повний доступ
BI Власні продажі та реалізація Складські KPI фінансовий блок Консолідована аналітичні інструменти Адміністрування

Аудиторська роль зазвичай має бути роллю перегляду.; Такі права мають бути тільки у відповідальних користувачів.; Бухгалтер

  • документи;
  • довідники;
  • проводки;
  • звіти;
  • журнал реєстрації;
  • історичні інформаційні дані.; У K2 ERP потрібно будувати нову, чисту й контрольовану модель ролей, прав, груп, сервісних акаунтів і журналювання.; Дія
  • зарплати;
  • собівартості;
  • налаштувань прав;
  • усіх банківських рахунків;
  • технічних обробок.; # Знайти адміністраторів.; Об’єкт
  • фінансовий блок;
  • зарплату;
  • собівартість;
  • адміністративні конфігурація;
  • зміну цін;
  • зміну прав користувачів.; Приклад:

Експорт даних — окрема зона ризику.; !; * розділяти відповідальність;

  • захищати інформаційні дані;
  • обмежувати доступ;
  • контролювати інтеграції;
  • захищати зарплату й фінансовий блок;
  • не відкривати собівартість зайвим користувачам;
  • вести аудит;
  • готувати якісну міграцію в K2 ERP.; |-
| Чи є собою санкційні ризики у BAS і ?;

Роль api_site має доступ тільки до товарів, цін, залишків, замовлень і статусів

інтеграційні функціональні можливості із сайтом функціонує під api_site

  • контроль закриття періоду;
  • скасування проведення окремих документів;
  • доступ до регламентованої звітності;
  • контроль податкових документів;
  • доступ до критичних бухгалтерських звітів;
  • погодження змін у закритому періоді;
  • контроль каси й банку.; # Перевірити API-доступ.; # Знайти сервісні акаунти.; # Створити ролі в K2 ERP.; Погані підходи:
  • знайти всі ролі;
  • знайти зайві права;
  • прибрати спільні логіни;
  • обмежити адміністраторів;
  • заблокувати звільнених користувачів;
  • замінити сервісні акаунти;
  • перенести інтеграції на контрольований API;
  • створити нову модель доступу в K2 ERP;
  • не залишити BAS активною робочою системою;
  • зменшити залежність від BAS і .; Але бухгалтеру не завжди потрібні:

Права на закриті періоди

Порядок:

Він має змогу показати:

  • хто має web-доступ;
  • чи є собою спільні логіни;
  • чи немає ролі “Повні права” у web-користувачів без потреби;
  • чи функціонує HTTPS;
  • чи ведеться журнал входів;
  • які web-сервіси доступні;
  • які ролі мають сервісні користувачі.; користувач системи

Аудит ролей потрібен для виявлення ризиків.;</syntaxhighlight>

  • продажів;
  • залишків;
  • собівартості;
  • прибутку;
  • зарплати;
  • податкової звітності;
  • банківських залишків;
  • дебіторської заборгованості;
  • кредиторської заборгованості;
  • управлінської аналітики;
  • BI.; Менеджер

!;== Роль і банк ==

Права на довідники

  • контрагенти;
  • номенклатура;
  • склади;
  • договори;
  • фізичні особи;
  • організації;
  • валюти;
  • каси;
  • банківські рахунки;
  • статті витрат;
  • підрозділи.; Групи спрощують адміністрування, але потрібно контролювати, щоб група не давала користувачу зайвих прав.; K2 ERP у цьому процесі має змогу стати платформою для контрольованих ролей, користувачів, груп доступу, сервісних акаунтів, API, BI-аналітики, журналювання, прав доступу, резервного копіювання, web-доступу й подальшого розвитку автоматизації бізнесу без залежності від старої екосистеми BAS / .; Каса — це зона фінансового контролю, з цієї причини права мають бути чітко розділені.;== Роль “Тільки перегляд” ==
[[Категорія:Файловий режим BAS]]

!;== Висновок ==

Звіти часто містять чутливу інформацію.; | Це роль для технічного користувача інтеграції, API, web-сервісу або автоматичного обміну.; Зарплатні інформаційні дані мають бути захищені.; Комірник

* собівартість;
* зарплату;
* банк;
* касу;
* адміністрування;
* закриті періоди;
* технічні обробки.; * повні адміністративні права;
* права на зміну користувачів;
* доступ до технічних обробок;
* доступ до API;
* доступ до всіх інтеграцій.; |-
| Чи можна переносити ролі BAS у [[K2 ERP]] як є собою?; Правильно налаштовані ролі дозволяють:

Типові проблеми:
!; | Ні.; | Неконтрольовані повні права, спільні логіни, інтеграції під адміністратором і доступ до чутливих даних без потреби.; | Це набір прав доступу, який визначає, що користувач системи має змогу робити в системі.; # Описати звіти.; Адміністраторські права не повинні використовуватися для щоденної роботи менеджера, бухгалтера або інтеграцій.; # Протестувати сценарії.;[[Категорія:Інтеграція з BAS]]

Навіть роль “тільки перегляд” має змогу бути небезпечною, якщо надає можливість експорт.; |-
| Що найнебезпечніше в ролях?; Керівник

як ілюстрація:

* перегляд довідників;
* створення довідників;
* зміну довідників;
* створення документів;
* проведення документів;
* скасування проведення;
* видалення або помітку на видалення;
* запуск звітів;
* запуск обробок;
* друк документів;
* експорт даних;
* доступ до регістрів;
* зміну налаштувань;
* адміністрування;
* роботу з інтеграціями;
* роботу із закритими періодами;
* доступ до зарплати;
* доступ до собівартості;
* доступ до фінансів.; # Протестувати сценарії.; Потрібно провести аудит, знайти зайві права, прибрати спільні логіни, обмежити адміністраторів, створити сервісні ролі для API, побудувати матрицю доступу й перевірити її на реальних сценаріях.; як ілюстрація:

Такі невідповідності потрібно прибирати до міграції.; api_site → сайт

'''Головне.''' Роль [[BAS]] — це не без ускладнень назва посади.; !; Погано:
|-
| buh_kyiv
| ТОВ Київ
| Бухгалтерські документи ТОВ Київ
|-
| buh_lviv
| ТОВ Львів
| Бухгалтерські документи ТОВ Львів
|-
| fin_dir
| Усі організації
| Консолідована формування звітів
|}

[[Категорія:Ролі BAS]]

</div>

Бухгалтерська роль має змогу давати доступ до:

* комірник Києва бачить тільки складський облік Київ;
* комірник Львова бачить тільки складський облік Львів;
* керівник складу бачить усі склади;
* менеджер бачить доступний залишок, але не інвентаризацію;
* бухгалтер бачить вартісний обліковий облік.; # Призначити користувачів.; Зв’язок такий:

* скопіювати базу;
* перенести базу;
* створити несанкціоновану копію;
* передати файл стороннім;
* працювати з локальною копією.; | Так, але це потрібно контролювати, щоб не видати зайві права.; Обмеження по підрозділах потрібні для:

* зміну документів минулих періодів;
* перепроведення;
* скасування проведення;
* коригування;
* зміну дати заборони редагування;
* службове виправлення.; Бухгалтер
[[Категорія:K2]]

Касир має змогу працювати з:

!; Касові права можуть включати:

{| class="wikitable" style="width:100%;"

'''Ризик.''' Роль “Повні права” має бути тільки в обмеженого кола відповідальних адміністраторів.; Роль із повними правами дає максимальний доступ до системи.;[[Категорія:BAS]]

Права на документи можуть бути різними.; як ілюстрація:

* змінювати документи;
* проводити документи;
* видаляти інформаційні дані;
* змінювати користувачів;
* запускати критичні обробки.; # Побудувати нову матрицю доступу.; # Вивантажити список ролей.; Вона визначає, що користувач системи має змогу бачити й робити: працювати з довідниками, документами, звітами, обробками, інтеграціями, фінансами, зарплатою, собівартістю, закритими періодами й адміністративними налаштуваннями.; Приклад:

!;== Роль головного бухгалтера ==

Правильний порядок:

* користувачів;
* сервісних акаунтів;
* регламентних завдань;
* web-сервісів;
* фонових обробок;
* інтеграцій;
* адміністрування.; Проблема
</div>

{| class="wikitable" style="width:100%;"
Сервісна роль має бути максимально обмеженою.; як ілюстрація:

Приклади обробок:
<div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">
Роль сама по собі не функціонує без користувача.; Під час переходу в [[K2 ERP]] ролі потрібно аналізувати окремо від даних.; Конфігурація визначає:

Погано:

У [[K2 ERP]] ролі варто будувати від бізнес-процесів.; Якщо застосовується [[Веб-клієнт BAS]], роль визначає, що користувач системи має змогу робити через браузер.; # Перевірити доступ до зарплати.;[[Категорія:K2 ERP]]
'''Адміністратор''' — це роль із розширеними правами.; Роль
|-
| Повні права
| Видана багатьом користувачам
| Адміністратор K2 ERP
| Залишити тільки відповідальним
|-
| Менеджер
| Має доступ до собівартості
| Менеджер продажів
| Прибрати собівартість
|-
| складський облік
| Спільний логін
| Комірник
| Створити персональні доступи
|-
| Бухгалтер
| Має зайві обробки
| Бухгалтер
| Обмежити службові обробки
|-
| api_site
| функціонує під admin
| API сайту
| Створити окремий сервісний профіль
|}

</div>

<div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">

Сервісна роль потрібна для інтеграцій.; Менеджер

користувач системи BAS → Роль BAS → Права доступу → Доступні об’єкти і дії

== Роль бухгалтера ==

* профіль “Менеджер продажів”;
* профіль “Комірник”;
* профіль “Бухгалтер по банку”;
* профіль “Касир”;
* профіль “Керівник”;
* профіль “Адміністратор”;
* профіль “API сайту”;
* профіль “BI-експорт”.; # Перевірити доступ до собівартості.; Бухгалтер

admin → тільки адміністрування

* переносити ролі BAS у K2 ERP без аналізу;
* залишати всім повні права;
* не створювати матрицю доступу;
* не відокремлювати сервісні акаунти;
* не обмежувати BI;
* не обмежувати експорт;
* не обмежувати зарплату;
* не обмежувати собівартість;
* не перевіряти журнал реєстрації;
* не блокувати старі ролі;
* залишати BAS активною після запуску [[K2 ERP]];
* ігнорувати санкційні й кібербезпекові ризики.; Доступ до зарплати можуть мати:

У [[K2 ERP]] під час міграції краще будувати саме профільну модель: від реальних ролей бізнесу до конкретних технічних прав.; Саме через ролі визначається, чи має змогу користувач системи відкрити довідник, створити документ, провести операцію, побачити собівартість, змінити закритий період, запустити обробку або отримати доступ до інтеграції.;<div style="border:3px solid #1565c0; background:#e3f2fd; padding:14px; margin:16px 0;">

!; {| class="wikitable" style="width:100%;"

Закриті періоди потрібно захищати.; # Перевірити web-доступ.;== Права на документи ==

== Роль комірника ==

!; !; Результат
Якщо конфігурація нетипова, ролі додатково можуть бути дороблені.;<div style="border:3px solid #2e7d32; background:#e8f5e9; padding:14px; margin:16px 0;">

!; # Перевірити доступ до банку й каси.; # Перевірити права на експорт.; Користувачі
Це небезпечно, якщо її мають зайві користувачі.;<syntaxhighlight lang="text">

У [[BAS]] роль пов’язана з [[Користувач BAS|користувачем]], конфігурацією, об’єктами метаданих, довідниками, документами, звітами, обробками, регістрами, підсистемами, журналом реєстрації та бізнес-процесами.; Ризик
!; !;== Роль і каса ==

!; Роль

!; Довідник
Для кожної інтеграції має бути окрема роль або окремий профіль доступу.; Це комфортно, але має змогу створювати ризики, якщо ролі накладаються і дають зайвий доступ.;[[Категорія:API]]

!; це набір прав доступу в системі [[BAS]].; Дата

!; Ролі є собою частиною [[Конфігурація BAS|конфігурації BAS]] або механізмів доступу конкретного рішення для бізнесу.; # Вивантажити список користувачів.; з цієї причини ролі [[BAS]] потрібно розглядати як об’єкт інвентаризації, аудиту доступів і контрольованої міграції на українську [[ERP]]-платформу.;[[Категорія:Клієнт-серверний режим BAS]]
|-
| Що таке роль [[BAS]]?; Потрібно проаналізувати реальні обов’язки користувачів, знайти зайві права, спільні логіни, сервісні акаунти, адміністраторські доступи, небезпечні обробки, права на зарплату, фінансовий блок, собівартість, експорт і побудувати нову контрольовану модель доступу в [[K2 ERP]].; Що надає можливість

!; Окремо варто відзначити який визначає, що саме користувач системи має змогу бачити, створювати, змінювати, проводити, видаляти, друкувати, експортувати або адмініструвати в інформаційній базі виступає ключовою рисою розмежування доступу між бухгалтерами забезпечується через '''Роль BAS'''.; Потрібно зібрати:

buh1 → бухгалтер

<div style="border:3px solid #b71c1c; background:#ffebee; padding:14px; margin:16px 0;">
Добре:

Роль і конфігурація BAS

Аналіз ролей BAS — це частина виходу зі старої ризикової системи.; Об’єкт / Роль
  • банківських документів;
  • касових документів;
  • авансових звітів;
  • податкових документів;
  • бухгалтерських проводок;
  • взаєморозрахунків;
  • основних засобів;
  • закриття місяця;
  • регламентованої звітності;
  • оборотно-сальдових відомостей.; # Налаштувати сервісні ролі.;
  • створення касових ордерів;
  • проведення касових ордерів;
  • перегляд касової книги;
  • оформлення оплат;
  • повернення;
  • закриття касової зміни;
  • друк касових документів.; !;== Роль і зарплата ==
  • створення;
  • зміна;
  • проведення;
  • скасування проведення;
  • помітка на видалення;
  • друк;
  • перегляд;
  • затвердження;
  • заборона зміни після проведення.; Доступ

Роль і обмеження по підрозділах

Зовнішні посилання

ivanenko Менеджер продажів має змогу створювати замовлення покупців
petrenko_buh Бухгалтер має змогу працювати з банком і касою
sklad_kyiv Комірник має змогу працювати зі складом Київ
admin Адміністратор Має розширені права

істотно про BAS і 1С. BAS та мають санкційні, юридичні й кібербезпекові ризики в Україні.; # Описати документи.;== Роль і користувач системи BAS ==

Роль і файловий режим BAS

як ілюстрація:

  • зміна критичних довідників;
  • доступ до зарплати;
  • доступ до собівартості;
  • доступ до банку й каси;
  • зміна закритих періодів;
  • запуск службових обробок;
  • видалення даних;
  • зміна прав інших користувачів;
  • доступ до інтеграцій;
  • експорт конфіденційних даних.; !; !; |-
Менеджер продажів Клієнти, замовлення, рахунки Зарплата, адміністрування, собівартість Комірник Складські документи, залишки, інвентаризація Банк, каса, зарплата Бухгалтер Каса, банк, проводки, податкові документи Адміністрування без потреби Керівник Звіти, аналітичні інструменти, контроль Зміна первинних документів без потреби

Помилка: не розділяти ролі людей і сервісів

Що таке роль BAS

У практиці адміністрування має змогу використовуватися поняття профілю доступу.; !;

; ; Роль тільки для перегляду потрібна для:

Роль має змогу дозволяти:

Аудит ролей BAS

Наслідки:

  • комірник має роль бухгалтера;
  • менеджер має роль адміністратора;
  • касир має доступ до зарплати;
  • консультант має повні права;
  • сервісний користувач системи має доступ до всіх довідників.; !; !; |-
Чим роль відрізняється від користувача?; Приклад:

Див.; додатково

15.05.2026 10:15 ivanenko Менеджер продажів Створення Замовлення покупця №123 15.05.2026 10:20 buh1 Бухгалтер Проведення Банківська виписка №45 15.05.2026 11:05 admin Адміністратор Зміна ролі користувач системи sklad_kyiv 15.05.2026 12:30 api_site API сайту Обмін Замовлення WEB-100245

!; Обмежувати бажано:

Роль і інтеграції

  • перегляд виписок;
  • імпорт виписок;
  • створення платіжних документів;
  • проведення платежів;
  • експорт платежів;
  • перегляд залишків на рахунках;
  • зміну банківських реквізитів.; |-

| Замовлення покупця | Створення і зміна | Перегляд | Перегляд |- | Реалізація товарів | Створення | Перегляд | Проведення |- | Переміщення товарів | Перегляд | Створення і проведення | Перегляд |- | Касовий ордер | Немає доступу | Немає доступу | Створення і проведення |}

як ілюстрація:

центральний бухгалтер має змогу мати ширші права, ніж звичайний бухгалтер.; # Визначити чутливі інформаційні дані.; | користувач системи входить у систему, а роль визначає його дозволи.; Якщо неправильно — користувачі бачать зайві інформаційні дані, можуть змінювати критичні документи, запускати небезпечні обробки, відкривати зарплату, собівартість, фінансовий блок або адміністрування без реальної потреби.; Часто достатньо доступу на перегляд і затвердження.; Менеджер Профіль доступу — це логічний набір прав, який відповідає типовій посаді або функції.; Але аудитор не повинен:

Таблиця міграції ролей

Один користувач системи має змогу мати кілька ролей.; Якщо в базі кілька юридичних осіб, роль має змогу обмежувати доступ по організаціях.; !; У файловому режимі BAS ролі в системі можуть бути налаштовані правильно, але ризик залишається на рівні папки бази.; користувач системи

  • керівників;
  • аудиторів;
  • консультантів;
  • тимчасових користувачів;
  • контролерів;
  • служби безпеки;
  • зовнішніх перевірок;
  • архівного доступу.; Потрібно провести аудит і створити нову контрольовану матрицю доступу.; Роль

!;

!;

  • створювати користувачів;
  • змінювати ролі;
  • блокувати користувачів;
  • налаштовувати базу;
  • запускати службові обробки;
  • змінювати параметри системи;
  • працювати з журналом реєстрації;
  • налаштовувати інтеграції;
  • виконувати актуалізація;
  • працювати з конфігурацією.;== Роль і собівартість ==

Під час переходу з BAS у K2 ERP ролі не потрібно переносити механічно.;== Роль і група користувачів ==

  • складів;
  • номенклатури;
  • надходжень;
  • переміщень;
  • відвантажень;
  • інвентаризацій;
  • списань;
  • серій;
  • характеристик;
  • штрихкодів;
  • складських звітів.; # Перевірити права на обробки.; # Знайти спільні логіни.; Адміністратор

Найгірший сценарій. організація переходить у K2 ERP, але копіює старі ролі BAS без аудиту: усі мають повні права, інтеграції працюють під admin, менеджери бачать собівартість, звільнені користувачі активні, а права на експорт не контролюються.; З урахуванням санкційних, юридичних і кібербезпекових ризиків BAS та , аудит ролей має бути частиною ширшої стратегії переходу на українське програмне забезпечення, цифрову незалежність і сучасну ERP-архітектуру.; Група

Помилка: не перевіряти права на обробки

організація повинна:

Права на обробки потрібно обмежувати особливо уважно.; Користувачі

Менеджер продажів зазвичай функціонує з:

Але навіть головному бухгалтеру не завжди потрібні права технічного адміністратора.;

як ілюстрація: з цієї причини ролі BAS потрібно доповнювати контролем файлових прав.; Сервісна роль
продажі та реалізація Менеджер продажів, Перегляд залишків ivanenko, shevchenko
складський облік Комірник, Перегляд номенклатури sklad_kyiv, sklad_lviv
бухгалтерський обліковий облік Бухгалтер, Каса, Банк buh1, buh2
Керівництво Перегляд звітів, BI director, fin_dir
;== Типові ролі BAS ==
  • чи всі користувачі мають правильні ролі;
  • чи немає зайвих адміністраторів;
  • чи немає спільних логінів;
  • чи сервісні акаунти обмежені;
  • чи менеджери не бачать зарплату;
  • чи комірники не бачать собівартість;
  • чи доступ до банку обмежений;
  • чи функціонує журналювання;
  • чи BI не відкриває зайві інформаційні дані;
  • чи старі BAS-ролі більше не використовуються;
  • чи стара BAS не лишилася активною.;== Роль і профіль доступу ==

Краще:

Такі права потрібно видавати обмежено.; # Переглянути зайві права.; # Описати довідники.; # Заблокувати старі BAS-доступи після запуску.; * менеджери;

  • комірники;
  • касири без потреби;
  • сайт;
  • CRM;
  • WMS;
  • BI-експорт без обмеження;
  • тестові користувачі.; * продажів;
  • закупівель;
  • виробництва;
  • складу;
  • філій;
  • проєктів;
  • центрів витрат;
  • регіонів;
  • команд.; як ілюстрація:
  • хто входить у систему;
  • хто створює документи;
  • хто змінює інформаційні дані;
  • хто запускає обробки;
  • хто має помилки доступу;
  • хто функціонує під admin;
  • які сервісні акаунти активні;
  • які ролі фактично використовуються;
  • чи є собою підозрілі дії.; Документ

Роль і обмеження по організаціях

Роль аудитора

Касир не повинен мати зайвий доступ до:

Помилка: роль не відповідає посаді

як ілюстрація: Роль має змогу дозволяти або забороняти доступ до:

Роль керівника

Права на експорт мають бути частиною матриці доступу.; api_crm → CRM Журнал реєстрації сприяє перевірити, як реально використовуються ролі.; # Описати API-доступ.; # Визначити користувачів із повними правами.; * адміністратор;

  • повні права;
  • бухгалтер;
  • центральний бухгалтер;
  • менеджер продажів;
  • менеджер закупівель;
  • комірник;
  • касир;
  • керівник;
  • кадровик;
  • розраховувач зарплати;
  • логіст;
  • технолог;
  • виробничий користувач системи;
  • аудитор;
  • користувач системи інтеграції;
  • тільки перегляд;
  • зовнішній користувач системи.;

Роль касира

  • роль має зайві права;
  • користувач системи має кілька несумісних ролей;
  • менеджер має повні права;
  • комірник бачить собівартість;
  • сервісний користувач системи має доступ до зарплати;
  • інтеграційні функціональні можливості функціонує під admin;
  • звільнений користувач системи має активну роль;
  • тестова роль застосовується в роботі;
  • немає опису ролей;
  • права давно не переглядалися.; == Коротко ==
Отримано з https://wiki.corp2.eu/index.php?title=Роль_BAS&oldid=2014