Гайд «Безопасность в Битрикс24». Ролевая модель доступа

Гайд «Безопасность в Битрикс24». Ролевая модель доступа

7 мин
5
Задачи

Безопасность и стабильная работа любой системы зависят от правильной настройки доступов пользователей к информации.


Например, сотрудникам отдела кадров не нужно видеть базу клиентов менеджеров по продажам. Им достаточно иметь доступ только к информации о сотрудниках. Это помогает защитить конфиденциальные данные.


Печальный кейс

В компании «Альтер Эго» работал менеджер по продажам Алексей, который всегда казался надежным сотрудником.

Но из-за конфликта с руководством он решил уволиться.
В последний день работы Алексей, не сумев сдержать обиды, удалил данные из CRM, предварительно скопировав их. Алексей планирует использовать эти данные на новой работе.

В Битрикс24 используется ролевая модель управления доступом и позволяет не только скрывать или показывать информацию, но и определять, что с ней можно делать: просматривать, редактировать, экспортировать, импортировать и так далее.


Что такое ролевая модель управления доступом

Роль — это набор полномочий, необходимый пользователю или группе пользователей для выполнения определённых задач. Она может зависеть от должности, подразделения или быть персональной. Это удобно — не нужно назначать права каждому сотруднику отдельно, достаточно распределить роли.

Риск повышается, если у сотрудников есть избыточные права.

Настраивая права, следуйте принципу минимальных привилегий. Это значит, что пользователю предоставляются только те права, которые нужны для выполнения его задач. Такой подход снижает вероятность случайного или намеренного злоупотребления доступом и уменьшает шанс утечки или кражи конфиденциальной информации.


Основные шаги по созданию ролевой модели

  • Анализ

    Начните с определения задач и функций, которые должны выполнять пользователи. На основе собранных требований составьте список ролей, которые будут использоваться (например, руководитель, менеджер, бухгалтер). Создайте таблицу, в которой будут указаны роли и соответствующие им права доступа к различным функциям и данным. Определите, каким пользователям или отделам будет назначена каждая роль.
  • Настройка ролей

    В разделе «Права доступа» необходимого функционала создайте новые роли и настройте права, соответствующие вашему списку.
  • Назначение ролей пользователям

    Убедитесь, что в структуре компании сотрудники верно распределены по отделам. Назначьте необходимые роли отделам, или персонально сотрудникам.
  • Тестирование и проверка

    Проверьте, что пользователи с разными ролями имеют доступ только к тем функциям и данным, которые им разрешены. Проведите тестирование различных сценариев использования системы, чтобы убедиться, что права доступа настроены корректно.
  • Поддержка и обновление

    Регулярно проверяйте, как используются роли и права доступа, и вносите необходимые изменения. При изменении бизнес-процессов или добавлении новых функций в систему обновляйте роли и права доступа.

Права доступа на различные инструменты Битрикс24 настраиваются отдельно


Рассмотрим настройку прав на примере CRM

Предположим, в компании доступ к CRM должен быть только у сотрудников отдела продаж. При этом, руководитель отдела будет видеть всех клиентов и может экспортировать/импортировать данные, а сотрудники — только свои элементы, без возможности экспорта.

В итоге, получим:

Руководитель отдела
продаж:

- Чтение: все контакты, все компании, все сделки, все лиды, все счета, все заказы.
- Добавление: всех сущностей.
- Изменение: всех элементов.
- Экспорт и импорт: всех элементов.
- Удаление: всех элементов.
- Доступ к настройкам роботов, список исключений: да.
- Нет доступа: CRM-форма, виджет на сайт, план продаж.

Менеджер отдела
продаж:

- Чтение: свои контакты, свои компании, свои сделки, свои лиды, свои счета, свои заказы.
- Добавление: всех сущностей.
- Изменение: только своих элементов.
- Нет доступа: удаление, экспорт и импорт элементов, CRM-форма, виджет на сайт, план продаж, список исключений.

Откроем раздел CRM > Настройка > Права доступа. Здесь уже имеются предустановленные роли: «Менеджер», «Администратор». Их можно изменять, удалять или создать дополнительные роли:

В данном случае, «Администратор» — это только название роли. Присвоение этой роли не наделяет сотрудника правами Администратора

Добавим новые роли «Руководитель отдела продаж» и «Менеджер отдела продаж». Настроим права соответствующие списку.

Назначим роли и сохраним изменения.

Старайтесь избегать конфликта прав. Он возникает, когда для одного и того же сотрудника установлены различные, зачастую противоположные, права доступа. Например, для отдела установлены минимальные права, а персонально для сотрудника максимальные.

Опция «Разрешать изменять настройки» даёт полные права на все настройки в CRM, включая бизнес-процессы, интеграции, товары и так далее. Мы не рекомендуем включать её для рядовых сотрудников.


Следующая статья из серии «Безопасность в Битрикс24» - здесь.



Нина Никанорова
Директор Битрикс24 Беларусь
Рекомендуем
Показать еще