Готовим конфигурацию "Бухгалтерия предприятия 3.0" к аудиторской проверке

21.03.16

Администрирование - Информационная безопасность

Бывают такие ситуации, что, предоставляя данные для аудиторской проверки, мы переживаем, как бы проверяющие не узнали чего лишнего. В этой статье я расскажу, как скрыть документы и ограничить отчеты по периоду на примере конфигурации "Бухгалтерия предприятия 3.0"

Итак, приступим:

  1. Сделаем копию БД.
  2. По желанию создадим нового пользователя.
  3. Назначим ему права на просмотр. 
  4. В конфигураторе снимем БД с поддержки.
  5. Ограничим видимость документов. Для роли "ЧтениеДанныхБухгалтерии" изменим шаблон "ПоЗначениям" как на картинке. ВНИМАНИЕ  у пользователя не должно быть других ролей с настройкой доступа к документам. В противном случае эти роли также подлежат корректировке.
  6. Ограничим период формирования отчетов.  Для этого в общий модуль "БухгалтерскиеОтчетыВызовСервера" в начало процедуры "СформироватьОтчет" добавим следующий код 
    //+Новард
    	Отказ = Ложь;
    	ТекстСообщения = НСтр("ru = 'Отчет не сформирован!'") + Символы.ПС + "Интервал отчета не попадает в разрешенный период";
    	ГодДата = Дата('20150101');
    	Если ПараметрыОтчета.Свойство("НачалоПериода") Тогда
    		МинимальноеНачалоПериода = НачалоГода(ГодДата);
    		Если ПараметрыОтчета.НачалоПериода < МинимальноеНачалоПериода Тогда
    			Отказ = Истина;
    		КонецЕсли;
    	КонецЕсли;
    	Если ПараметрыОтчета.Свойство("КонецПериода") Тогда
    		МаксимальноеКонецПериода = КонецГода(ГодДата);
    		Если ПараметрыОтчета.КонецПериода > МаксимальноеКонецПериода Тогда
    			Отказ = Истина;
    		КонецЕсли;	
    	КонецЕсли;
    	Если Отказ Тогда
    		Результат = Новый ТабличныйДокумент;
    		Макет = ПолучитьОбщийМакет("ОбщиеОбластиСтандартногоОтчета");
    		ОбластьЗаголовок        = Макет.ПолучитьОбласть("ОбластьЗаголовок");
    		ОбластьЗаголовок.Параметры.ЗаголовокОтчета = ТекстСообщения;
    		Результат.Вывести(ОбластьЗаголовок);
    		ДанныеРасшифровкиОбъект = Неопределено;
    		ДанныеДляРасшифровки = Новый Структура("Объект, ДанныеРасшифровки", ПараметрыОтчета, ДанныеРасшифровкиОбъект); 
    		ДанныеРасшифровки = ПоместитьВоВременноеХранилище(ДанныеДляРасшифровки, ПараметрыОтчета.ДанныеРасшифровки);
    		ПоместитьВоВременноеХранилище(Новый Структура("Результат,ДанныеРасшифровки", Результат, ДанныеРасшифровки), АдресХранилища);
    		Возврат;
    	КонецЕсли;
    	//-Новард
    

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14395    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    2592    PROSTO-1C    9    

29

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1616    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5437    14    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    5965    32    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9242    Tavalik    46    

113
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Maxis 21.03.16 15:40 Сейчас в теме
Другой вариант - выполнить свертку базы на начало нужного года, а лишние документы удалить. Но это занимает много времени.
2. Drak0n 187 21.03.16 16:27 Сейчас в теме
Публикацию - в категорию вредные советы. О событиях после отчетной даты ничего не слышали? При проведении аудита указанные Вами ограничения вполне сойдут за ограничение объема аудита. Можно и на отказ от выражения мнения налететь.
KAPHABAJI; Brawler; +2 Ответить
3. duhh 236 21.03.16 17:08 Сейчас в теме
(2) Drak0n, Честно говоря не слышал. Может поделитесь информацией, только пожалуйста критику подкрепите ссылками на законы. Так мне не хотелось этим вопросом заниматься, может хоть в следующем году отпишусь.
4. Demin051 23.03.16 08:22 Сейчас в теме
(3) я не бухгалтер, но СПОД (события после отчётной даты) - это известная фишка, прописанная в ПБУ.
5. Brawler 454 23.03.16 08:54 Сейчас в теме
(2) Drak0n, странные они люди, прячут от аудиторов то, о чем потом с ними же будут говорить, как правильно это все дело провернуть, чтобы зад не надрали.
karapuzzzz; +1 Ответить
6. GPetr 19 23.03.16 08:56 Сейчас в теме
Вообще-то нигде не прописано, что организация обязана выдавать базу данных бухгалтерии аудиторской фирме при проверке. А аудиторская фирма должна использовать свои средства для анализа данных за период. К примеру, для аудиторских программ создаются обработки для выгрузки необходимых данных за период из бухгалтерских программ.
8. Drak0n 187 23.03.16 11:44 Сейчас в теме
(6) GPetr, в любой учетной политике прописано что учет ведется в соответствующей программе, там же хранятся и большинство регистров БУ и НУ. А соответственно аудитор обязан проверить не только выгрузки из программы но и саму организацию работы в программе, настройки и т.п. что без соответствующих прав доступа невозможно. Если интересно то об этом можно почитать в Правило (Стандарт) аудиторской деятельности "Аудит в условиях компьютерной обработки данных", Правило (Стандарт) аудиторской деятельности "Аудиторские доказательства", так же была куча разъяснений Минфина (лень искать).
Если подвести итог, то обязанность аудируемого лица вообще что-либо выдавать нигде не прописана (есть обязанность содействовать), однако отсутствие каких-либо сведений у аудитора всегда учитывается при выражении мнения.

(3) с точки зрения аудитора это Правило (стандарт) N 10 "События после отчетной даты", с точки зрения бухгалтера ПБУ 7/98.

(7) техническая возможность - в принципе полезна. Есть множество случаев когда она будет уместна и применима, но явная антиаудиторская направленность в заголовке и описании статьи - возмущает.
7. duhh 236 23.03.16 10:49 Сейчас в теме
Друзья, в статья рассматривается техническая возможность ограничения доступ к информации. Не более. На мой взгляд вы выбрали не то место для обсуждения темы СПОД, ограничение объема аудита и т.д..
9. karapuzzzz 63 23.03.16 13:10 Сейчас в теме
Ограничения в статье больше интересны для внутренних пользователей. У нас в компании нормальная практика - продавцы не видят продаж старше 2-х месяцев.
А вот для аудиторов - зачем? Если заказывается аудиторская проверка, то из них надо выжать все соки, предоставив максимальный объем данных. Ведь по итогам данной проверки можно получить ценные указания для дальнейшей модернизации бизнес-процессов.
10. Alyosha4114 27.04.16 14:31 Сейчас в теме
Сделал как написано в статье
не работает
отображаются все документы
11. duhh 236 27.04.16 16:35 Сейчас в теме
(10) Alyosha4114, Вероятно поможет правильное выполнение п.3. У пользователя должны быть права только на просмотр, тогда достаточно изменить одну роль, иначе корректировке подлежат все роли пользователя в которых прописан доступ к документам. Роли см. в конфигураторе.
12. Alyosha4114 18.05.16 11:38 Сейчас в теме
(11) смотрел
выяснил что на отображение доков еще влияет право БазовыеПраваЭД
но там нет шаблона ограничений, и куда вставить код я не понял(
13. duhh 236 18.05.16 18:08 Сейчас в теме
(12) Alyosha4114, Значит эту роль у пользователя нужно забрать (самый простой способ), или добавлять шаблон и настраивать доступ.
Оставьте свое сообщение