Семинар-тренинг 2-4 марта 2015 года Новые возможности БСП 2.3 для корпоративных клиентов Александр Яковлев, 1С Новые возможности БСП 2.3 для корпоративных клиентов ERP – на базе Библиотеки стандартных подсистем (БСП) В планах БСП на редакцию 2.3 Администрирование пользователей и контроля прав доступа по требованиям SOX (акт Сарбейнза-Оксли, США) Повышение надежности обновления на новые версии и удобства отложенного обновления Подмена стандартных печатных форм на внешние Расширения конфигурации Повышение точности полнотекстового поиска Очистка ненужных файлов Учет согласий на предоставление персональных данных … и многое другое! 2 Администрирование пользователей и контроля прав доступа по требованиям SOX 3 Акт Сарбейнза-Оксли (SOX) Компаниям, чьи акции размещены на Нью-Йоркской фондовой бирже (NYSE), необходимо соответствовать требованиям акта Сарбейнза-Оксли (SOX) от 30 июля 2002 г (США) Требования к управлению доступом и контролем пользователей не разъясняются самим законом (SOX раздел 404), а разъясняются разработчиками международных стандартов: Information System Audit and Control Association (ISACA) выпустила документы «Cobit 4.1» и «Cobit 5». IT Governance Institute (ITGI) выпустил документ «IT Control Objectives for Sarbanes-Oxley, 2nd Edition» (App.M). The Committee of Sponsoring Organizations of the Treadway Commission (COSO) выпустила документ «COSO IN THE CYBER AGE» (Principle 10 - SOD Analysis Tool for Better Internal Control). Public Company Accounting Oversight Board (PCAOB) выпустила документы «Auditing Standard No. 2» (2004), «AS 5 Guidance report» (2007). Это актуально и для любых публичных компаний или для тех, которые собираются стать публичными! 4 Повышение защиты от несанкционированного доступа к информационной системе Базовые средства (подсистема «Пользователи»): настройка ограничений на подбор имени и пароля при входе; настройка и контроль сложности пароля; смена пароля – периодически или по требованию; контроль повторяемости пароля; ограничение срока действия учетных записей. 5 Ограничения на подбор имени и пароля при входе В полном объеме будет реализовано совместно с доработками в платформе На первом этапе решается частная задача: при включении использования внешних пользователей настройка Показывать в списке выбора очищается и скрывается 6 Смена пароля при входе 7 Ограничение срока действия учетных записей Подходит для контроля за пользователями, которым предоставляется временный доступ в систему – по истечении срока такие учетные записи своевременно деактивируются 8 Требования к управлению доступом и контролем пользователей Общие принципы разделения полномочий и контроля: (SoD - Segregation of Duties) Разделять обязанности сотрудников указанным способом Например, разделить тех, кто делает операции в системе (документ), согласует и авторизует (контролирует) их. Фиксировать в системе действия сотрудников, которые по той или иной причине (например, нехватка ресурсов) имеют возможность выполнять обязанности, сочетания которых запрещены Проводить внешние проверки выполнения этих требований, а также записанных действий сотрудников, которым поручено выполнять обязанности, требующие разделения Источник: «IT Control Objectives for SarbanesOxley, 2nd Edition», IT Governance Institute (ITGI) 9 Конфликты разделения обязанностей (SoD Conflicts) Технические средства для разделения обязанностей сотрудников: БСП: инструменты для создания SoD и настройки прав с учетом RLS СППР: отчеты и инструменты для контроля разделения прав доступа в системе: матрица конфликтных ролей (функций) матрица прав пользователей с анализом конфликтов На базе Системы Проектирования Прикладных Решений (СППР) 10 Протоколирование действий пользователей и настройки учетных записей (прав доступа) Фиксация сведений об изменении прав доступа: активация/деактивация учетных записей пользователей смена пароля изменение прав доступа неудачные попытки входа в систему Фиксация всех действий пользователей с конфликтными ролями (функциями) Средствами подсистемы «Версионирование» доступна вся история изменений: внутренних (и внешних) пользователей, групп групп доступа и профилей групп доступа а также всех ключевых данных, с которыми работают пользователи с конфликтными ролями (функциями) 11 Повышение надежности обновления на новые версии и удобства отложенного обновления 12 Проблемы обновления «через» несколько версий При обновлении через конфигуратор можно случайно загрузить подряд несколько файлов обновления, не выполняя обязательные промежуточные запуски это нарушает порядок выполнения обработчиков обновления и приводит к ошибкам обновления и потере данных Пример некорректного обновления с версии 1.0 на 1.2 Cfu v1.1 Cfu v1.2 Обраб отчики v1.1 Обраб отчики v1.2 Отлож енные обр. v1.0 Отлож енные обр. v1.1 Отлож енные обр. v1.2 Кроме того, в конфигурации вынужденно поддерживаются устаревшие обработчики обновления и метаданные это также влечет за собой увеличение размера конфигурации и ИБ 13 Корректная последовательность обновления конфигурации При обновлении через конфигуратор: Перед обновлением на новую версию дождаться выполнения отложенных обработчиков обновления от предыдущей версии Можно форсировать их выполнение Загрузить один файл обновления для максимально допустимой версии Согласно сопроводительной документации Выполнить запуск в режиме 1С:Предприятие И повторять для следующих версий Пример корректного обновления с версии 1.0 на 1.2 Отложе нные обр. v1.0 Да, это медленнее, но надежно! Cfu v1.1 Обрабо тчики v1.1 Отложе нные обр. v1.1 Cfu v1.2 Обрабо тчики v1.2 Отложе нные обр. v1.2 При обновлении через Интернет конфигурации на поддержке все эти действия выполняются автоматически См. раздел Администрирование – Поддержка и обслуживание – Поиск и установка обновлений 14 Как ускорить выполнение отложенных обработчиков обновления 15 Сводная информация по отложенным обработчикам обновления Сведения о времени начала, времени окончания, длительности и прогрессе выполнения обработчиков 16 Подмена стандартных печатных форм на внешние 17 Из списка «Дополнительные отчеты и обработки» (раздел Администрирование) 18 Подмена встроенных печатных форм на внешние 19 Все печатные формы сразу можно настроить через панель Администрирование 20 Внешняя печатная форма встала на место встроенной 21 Описание команды внешней печатной формы Новый параметр – ЗаменяемыеКоманды В нём перечисляется список идентификаторов встроенных печатных форм, которые по умолчанию заменяет данная команда. 22 Расширения конфигурации 23 Расширения конфигурации (платформа 1С:Предприятие 8.3.6) Расширения конфигурации – «мини»-конфигурации, подключаемые к основной конфигурации, с собственными новыми объектами: подсистемы отчеты обработки а также с расширяемыми объектами: например, разместить вызов нового отчета прямо в форме документа, донастроить роли и т.п. Функциональный аналог подсистемы «Дополнительные отчеты и обработки» «Легкая» доработка функций конфигурации, не меняя самой конфигурации: отчеты, обработки, печатные формы Кроме базовых версий – в них расширения недоступны Не заменяет подсистему «Дополнительные отчеты и обработки», а дополняет Отдельный тип файлов для хранения расширений (cfe) 24 Средства администрирования в БСП 25 Администрирование расширений конфигурации 26 Повышение точности полнотекстового поиска 27 Повышение точности полнотекстового поиска Ограничение области поиска по разделам и объектам программы Без поиска в синонимах метаданных: поиск только в данных 28 Очистка ненужных файлов 29 Автоматическая очистка «ненужных» файлов по заданным правилам 30 Оценить размер, который занимают «ненужные» файлы 31 Проверка целостности тома хранения файлов 32 Учет согласий на предоставление персональных данных 33 Учет согласий на предоставление персональных данных Пример проблемы при обращении граждан: Гражданин обращается с заявлением Вместе с заявлением необходимо истребовать согласие на предоставление персональных данных В то же время не следует требовать согласие повторно, если гражданин уже предоставлял его, и срок еще не истек. Подсистема «Защита персональных данных»: хранить ранее полученные согласия на обработку персональных данных с учетом согласий, выданных на определенный срок, регистрировать отказ от согласия (отзыв согласия) на обработку персональных данных проверять наличие актуального действующего согласия по субъекту 34 Сроки Поэтапная реализация в течение 2015 года Библиотека стандартных подсистем, редакция 2.3 Версия 2.3.1 Тестовая – конец марта 2015 В составе ERP 2.0.12 – II квартал 2015 Версия 2.3.2 III квартал 2015 Версия 2.3.3 IV квартал 2015 Но многое уже можно будет попробовать в ближайшей версии 2.3.1! 35 Семинар-тренинг 2-4 марта 2015 года Спасибо за внимание !