К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

УТ 10.3 - как предотвратить утечку информации?

Гость
0 - 01.12.2015 - 09:57
Добрый день.
Имеем платформу 8.2, на ней УТ10.3
Периодически происходит утечка контактной информации на сторону.
Пользователей с полными правами всего 5
Прогер, админ, директор, главбух и служебный пользователь для обмена/архивирования базы.

Сливается именно контактная информация, именно за нее "душа болит".
На данный момент ограничил просмотр всего списка РС Контактная информация, а так же служебный РС пишу информацию о том кто и когда открыл контрагента на просмотр и кто пытался открыть весь список РС КИ.
Сейчас сижу просматриваю права на типовые отчеты, которые способны вывести частичный/полный список КИ.

Дир склоняется к тому, что админ сливает инфу. В связи с этим даже готов выделить отдельно сервер чисто под Скуль/1С, что б все это дело настроил сторонний админ, закрыл паролями(которые передаст только диру), так же опечатать сам корпус и все устройства ввода/вывода. С моей стороны - уберу полные права и создам пользователя просто с расширенными правами для админки.
Хотя уверен что админ тут не при делах.
Пользователей уже разбили на группы. Каждый видит только доступных для него клиентов, но даже это не спасает от утечки.
Есть ли у кого готовые решения или мысли по поводу того, как обезопасить КИ? Запретить полностью просмотр КИ нельзя - так как с ней работают все пользователи.
А как по другому запретить просмотр, даже ума не приложу.
Фиксировать все попытки просмотра - глупо, т.к. "просмотр" чаще всего происходит при печати документов, в которых есть вывод информации о клиенте.



1 - 01.12.2015 - 10:59
ничего не понимаю(с)
чего запретить?
манагер печатает счет (счет-заказ, акт, накладную, ттн, нужное подчеркнуть)
как закрыть глаза манагеру, чтобы он не видел распечатанную бумажку?
хм..

зы: ты не сказал такой момент - новых контрагентов добавляет в базу лично собственноручно директор?
2 - 01.12.2015 - 11:05
так скажи директору, чтоб при добвлении нового контрагента он не писал лишнего в КИ.
И вообще, сделай свой отдельный регистр КИ (да даже отдельную конфу через РИБ), в который будет доступ только привилегированным лицам.
А типовой регистр КИ пусть будет "пустой" (или лучше даже с дезой).
Гость
3 - 01.12.2015 - 11:16
права, права. Я тебе из *.dt базу разверну, пароли снесу, всю информацию достану. Было бы желание. Перед тем как что-то делать - лучше бы заявление в прокуратуру написали:
https://www.consultant.ru/document/c...95bf3a8831bd8/
Толковый следователь с паяльником гораздо надежнее тебя найдет канал утечки. Ты канал перекроешь, а виновный будет анально наказан чтобы другим было неповадно.
4 - 01.12.2015 - 11:40
директор дуб.
с чего он взял, что сливают?
если знает кто сливает, то перекрыть канал утечки увольнением - или он не дир?
сливает не программа, сливают люди.
5 - 01.12.2015 - 11:43
или дир не владелец и сам и сливает, а все мероприятия для отвода глаз?
вообще, то что админы сливают инфу или главбухи, это от телевизора. она им нафик не нужна. а нужна тем, кто знает что с этой инфой делать. то есть могёт организовать поставки по "более привлекательным ценам".
Гость
6 - 01.12.2015 - 15:42
(0) "Служебного пользователя" выкинуть из списков пользователей, который отрывается при старте клиента. Убрать ему к чертовой матери меню, и снабдить длинным не запоминающимся паролем. Методы скрытия параметров для Run as известны.
7 - 01.12.2015 - 16:00
(3) охраняемые законом тайны предполагают специальные режимы хранения/доступа к составляющей её (тайну) информации. Организация таких режимов дело довольно ресурсозатратное, а без их соблюдения закон скажет куроводителю "сам дурак", бо не обеспечил.
8 - 01.12.2015 - 16:08
Дурдом.
Менеджер или админ сливать напрямую информацию из базы не будут. Нет смысла. Менеджер и так знает самых жирных клиентов, а умелый админ их в два счета вычислит и спишет самую полезную информацию на бумажку ручками...
Директо или владелец фирмы - остолоп. Он не понимает. что важна не контактная информация сама по себе, а устоявшиеся связи и репутация, которые нарабатываются годами. В любую уважающую себя контору приди с предложением, аналогичным предложению их основных поставщиков, но с ценником ниже - и на ваше предложение даже смотреть не будут - вы ничем не можете гарантировать свое предложение, у вас нет авторитета, ни по качеству поставки (сроки и т.п.) ни по качеству товара.
Так что скорее всего фирма тихо несет убытки из-за собственных грехов, и ищет "кто сливает базу конкурентам", хотя покупатели сами валят к этим конкурентам добровольно.
Гость
9 - 01.12.2015 - 16:18
Сори что долго не отвечал.
1 - сливают 100%, есть этому доказательства.
2 - Служебный пользователь в списке пользователей при запуске 1С не отображается
3 - Хотелось бы закрыть доступ хотя бы на просмотр всего списка КИ. Хотя любой пользователь, не особо ленивый, сможет пробежаться по списку пользователей, зайти в каждого и скопировать КИ.

Самое простое доказательство слива КИ: Дир с другого города "привел" клиента, своего друга. Сам завел его в 1С. На следующий день диру звонит его друг и говорит, что ему на сотовый сегодня позвонили с конкурирующей конторы и предложили товар, хотя свой сотовый он ни кому не давал. Так что слив идет 100%

Умом понимаю что отловить крысу не реально, но вот диру объяснить это не могу.
Гость
10 - 01.12.2015 - 16:27
9-sany81 > "любой пользователь, не особо ленивый, сможет пробежаться по списку пользователей, зайти в каждого и скопировать КИ" - вот и найден виноватый: это ты.
Гость
11 - 01.12.2015 - 16:32
7-roma n > Ага, организуй специальный режим хранения информации в голове у продавца, закрывающего сделки. Рот ему зашьешь и пальцы отрубишь?
12 - 01.12.2015 - 16:46
9-sany81 > Ну вот ты сам и предложил способ поимки. Классический, "на живца". Заводи виртуальных клиентов по одному, показывай большую отгрузку, показывай поочередно разным пользователям контактные данные с разными контрольными сотовыми. Не знаю сколько тебе пользователей надо проконтролировать, но 4-5 контрольных номеров, думаю будет достаточно.
Гость
13 - 01.12.2015 - 16:49
11-Reaper > Здесь не только "режим" в железнячем смысле. Начинать надо с нормативных локальных актов: ввести в действие Положение о коммерческой информации (что к ней относится. Конкретно!), кто имеет право с ней работать, всякие там формы, журналы прошнурованные, сейфы опечатанные, и прочая, и прочая,... Вплоть до отдельного пункта в трудовом договоре. И доплаты, кстати.
ПО и брелки всякие - отдельная песня.
Гость
14 - 01.12.2015 - 16:52
12-Харлампий Дымба > Фиксировать комп, с которого активизируется клиент - не?
15 - 01.12.2015 - 17:14
(11) зачем же "в голове"?

Подчёркиваю, в (7) речь идёт об охране Законом. И только об этом.

Если РежимыУстановлены
И УтечкаЕсть Тогда ЗаконВПомощь
Иначе ЗаконСлабыйПомощник КонецЕсли;

Мероприятия по установке режимов это прежде всего бюрократия.
16 - 01.12.2015 - 18:23
2(16) Эти мероприятия только в качестве меры к уже установленному злодею годятся. Да и то, чтоб закон начал действовать, надо иметь на руках надежные доказательства что именно этот менеджер сливал инфу конкурентам. Желательно с его чистосердечным признанием в письменном виде. Иначе закон не поможет. И даже просто так по статье его уволить не удастся (он и в суд еще подать может, что его репутацию очерняют, а без 500% железных доказательств суд будет на его стороне). А если злоумышленник не установлен - все эти подписки о неразглашении коммерческой тайны не помогают. Если админ не может очертить круг лиц, имеющих доступ к конкретной информации - гнать админа. Если этот круг очерчен - тут уже руководству решать, каким образом выяснить, кто безобразит. тут уж методов много, начиная с мониторинга деятельности менеджеров всякими программульками, которые будут писать все с экрана, и выяснять, кто куда лазает при ловле на живца, и кончая привлечением какого-нибудь частного детективного агентства, у кого есть опыт подобной работы (знаю человека, который так у себя и поступил на своей фирме, когда коммерческого директора ловил на сливе информации).
У нас на фирме, например, был случай, когда засланным казачком от конкурентов оказался грузчик(!) на складе. Он просто на бумажечку переписывал типы и количество товара и контрагентов по самым большим отгрузкам из прикрепленных к коробкам документов. И никакого доступа к 1с он не имел. Засекли его случайно при помощи видеонаблюдения за зоной подготовки грузов, когда ловили другого поганца, который регулярно бензин тырил...
Гость
17 - 01.12.2015 - 18:40
15-roma n > Гугл отвечает тебе тысячами ссылок. Приведу первую понятную:
http://www.rg.ru/2010/08/12/reg-ural/bulochki.html

Я меня вот не было ни одного места работы, где бы я не подписывал соглашение о конфиденциальности. И даже если у ТС еще не подписаны такие соглашения - сначала подписываем, потом ловим на живца, потом сажаем. Если уж тетку взяли за булки и посадили, то за кражу клиентской базы - подавно. Арест на виду у коллектива чудесным образом перекроет любые каналы утечек.
18 - 01.12.2015 - 19:09
Цитата:
Сообщение от Reaper Посмотреть сообщение
Я меня вот не было ни одного места работы, где бы я не подписывал соглашение о конфиденциальности.
Я тоже. Но это действует, только когда вводится сразу, еще до начала воровства, в спокойной обстановке как рядовое мероприятие при приеме на работу. В качестве психологической меры, мол у нас все под контролем и все мероприятия по обеспечению безопасности соблюдаются. А если кража информации уже идет, введение такой подписки мало что дает, все равно что конюшню запирать, когда лошадь уже увели. Даже хуже может быть, все будут видеть, что руководство в панике, и не ищет реального вора, а пытается пристрожить всех скопом - значит или само же и ворует или не может поймать вора, потому что некомпетентно.
Гость
19 - 01.12.2015 - 19:36
18-bma1 > Вообще-то, дело даже в не наказании. Не всегда ущерб можно обосновать: для этого, кстати, рецептуру булочек надо оприходовать как НМА, и налог платить.
Но вот определение "коммерческой информации", Инструкции, в которых говорится о режимах парольного доступа, и не допустимости пользования чужими паролями, даже если бумажка с чужим паролем в туалете обронена - уже дает право на какие-то репрессии внутри предприятия.
Да, вначале идет Слово. В письменном виде.
Гость
20 - 01.12.2015 - 19:48
Так у автора база же файловая...
1) Отдельный сервер SQL - в любом случае нужен.
Файловая 1С8 - зло.

2) У всех пользователей отключены права на запуск внешних отчетов и обработок (с какой-нить флешки?)?
Гость
21 - 01.12.2015 - 19:52
И с чего автор и его директор взяли, что сливает именно юзер с ПОЛНЫМИ правами?
22 - 01.12.2015 - 21:32
Цитата:
Сообщение от VZ Посмотреть сообщение
Не всегда ущерб можно обосновать
Важна не сумма ущерба, важно поймать с поличным при свидетелях или добиться письменного признания. В остальных случаях жулик идет в суд и суд заставляет фирму платить за незаконное увольнение о компенсировать моральный вред.
23 - 01.12.2015 - 21:33
Цитата:
Сообщение от DeiMos Посмотреть сообщение
И с чего автор и его директор взяли, что сливает именно юзер с ПОЛНЫМИ правами?
Потому что лень искать, кто на самом деле сливает... Или незаинтересованы в этом...


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены