Филиалдар бойынша қолжетімділікті шектеу: рөлдер мен деректер контурлары
Филиалдар бойынша рұқсаттарды шектеу заңды тұлғалар мен бөлімдердің деректерін бөлуге көмектеседі: рөлдік схемалар, деректер контурлары, тексерістер және типтік қателер.

Мәселе неде: деректер бөлімдер арасында араласады
Компанияда филиалдар мен бірнеше заңды тұлғалар болғанда, деректер көбінесе бөлімдер арасында «өріге бастайды». Бұл әдетте жаман ниеттен емес, ыңғайлылықтан болады: барлығына ашық қолжетім, жалпы папкалар, бірдей құқық шаблондары мен «Офис» тәрізді топтар.
Араласатын — жай файлдар емес, нақты жұмыс жиынтығы: клиенттер мен контрагенттер базасы, келісімшарттар мен шоттар, кадрлық құжаттар, сатып алу өтініштері, сауда және қойма есептері, жобалар бойынша хаттама. Тіпті егер филиалдар бір салада жұмыс істесе де, олардың бағасы, шарттары, жалақылары мен серіктестері жиі әр түрлі болады. Мұндай деректердің ағуы ақшалай және репутациялық залал келтіреді.
«Жай папкалар бөліп қоямыз» деген ой қисынды болып көрінеді, бірақ көбінесе жұмыс істемейді. Папкалар тек сақтау орнын шешеді, ал қолжетімділік ережелерін емес. Құжаттарды мессенджерге немесе почтаға жібереді, Excel-ге шығарады, тапсырмаларға тіркейді, мердігерлерге жіберіп, кейін құқықтарды алып тастауды ұмытады. Егер қызметкер жүйеде қажеттен кеңірек рұқсатқа ие болса, папкалар көмектеспейді.
«Бүкілге» қолжетімділікке әкелетін ең тараған себеп — ортақ есептік жазбалар мен айқын емес топтар. Ортақ логиндер жеке жауапкершілікті жояды: кім ашты, жүктеді немесе өзгертті екені белгісіз болады. Ал кең рұқсаттар ағуларды «әдепкі қалыпқа» айналдырады: жаңа адамдар автоматты түрде артық құқық алады, ал кеткен қызметкерлердің құқықтары сақталады.
Әдетте тәртіп үш жақтан келеді. ИБ және қауіпсіздік қызметі «қажет болған минимум» принципін және іс-әрекеттің трассировкасын (кім, қашан және нені қарады) талап етеді. Юристтер заңды тұлғалар бойынша қолжетімділікті бөлу қажеттігін көрсетеді, сонда келісімдер мен реттеушілер талаптарына қайшы келетін деректер алмасуы болмайды. Филиал басшылары «өздерінің» өтініштері, клиенттері мен қаржылары көрінбесе дейді, бірақ орталық кеңсе бақылау мен есепті сақтағысы келеді.
Егер бұл бәрін бірден рөлдер схемасы және деректер контурлары ретінде рәсімдемесеңіз, жүйе тез арада «осыға болады, бірақ тек кейде» деген ерекшеліктер жиынтығына айналады. Ал дәл осындай ерекшеліктер бөлімдер арасындағы ағудың негізгі себебі.
Анықтамалар шатаспасын: филиалдар, заңды тұлғалар және «контур»
Филиалдар бойынша қолжетімділікті талқылағанда, жиі үш түрлі ұғым араласады: адамдар қайда жұмыс істейді (филиал), кім заң бойынша жауапты (заңды тұлға) және қандай деректер көрсетуге болады (деректер контуры). Бұларды ақылда және баптауларда бөліп алмағанда, «көрінбейтін зоналар» пайда болып, ақпарат сол арқылы ағып кетеді.
Филиал — бұл орын және операциялық бірлік: басқа қаладағы офис, қойма, банк бөлімі, өңірлік дирекция. Филиалдың өз қызметкерлері, процестері, бюджеттері болуы мүмкін, бірақ құқық тұрғысынан ол бір заңды тұлғаның бөлігі болуы ықтимал.
Заңды тұлға — жауапкершілік пен келісім-шарттар шегі: бөлек шоттар, салықтар, контрагенттермен келісімдер, тексерілетін есептілік. Сондықтан заңды тұлғалар бойынша қолжетімділікті бөлу жиі қатаңырақ: бір заңды тұлғаның қызметкерлері басқа заңды тұлғаның бастапқы құжаттарын көрмеуі керек, тіпті егер олар бір ғимаратта отырса да.
Алдын ала «қолжетімділік бірлігін» таңдау маңызды — нені нақты ажыратасыз. Бір тапсырмалар үшін бұл филиал болуы мүмкін, басқасына — департамент, жоба немесе команда. Қарапайым тест: егер екі топтың өз басшылары, KPI, контрагенттері немесе есептілігі әр түрлі болса, онда оларға ең болмағанда бір бөлік деректерге әр түрлі қолжетімділік қажет болады.
«Деректер контуры» деген не, қарапайым тілмен
Деректер контуры — деректер «өзімізге» деп есептелетін және бір топқа белгілі ережелер бойынша қолжетімді болатын шекара. Контурдан тыс деректер «бөтен» саналып, әдепкіде жабық болады.
Мысалы, клиникалар желісін елестеткенде: әр клиниканың өз контуры бар — пациент карталары мен дәрігер кестелері. Орталық офис барлық клиникалар бойынша агрегатталған есептерді көруі мүмкін, бірақ әрбір пациенттің толық карточкасына толық қолжеткізу міндетті емес. Осыдан контур идеясы: қолжетімділік бәріне түгел емес, аймақтар бойынша құрылады.
Қолжетімділік объектілері: нені қорғау керек
Шынайы бөлініс тек қана жүйеге қолжетімділік деп емес, нақты қорғалатын объектілер тізімін жасағанда жұмыс істейді. Әдетте периметрге құжаттар (келісімшарттар, шоттар, бұйрықтар, бастапқы құжаттар), өтініштер мен жүгінулер (сатып алу, жөндеу, ИТ, кадрлық сұраулар), есептер мен аналитика (экспорттар мен дашбордтар қосылды), базалар мен анықтамалықтар (контрагенттер, қызметкерлер, номенклатура), сонымен бірге пошта мен файлдар (қосымшалар, жалпы папкалар, архивтер) кіреді.
Содан кейін терминдер ережелерге айналады: кім қарай алады, жасай алады, өзгертеді, мақұлдайды және экспорттайды. Осы деңгейде филиал шекаралары заңды тұлға шекараларымен қай жерде сәйкес келмейтінін және деректер контурларын қайда бөлу керек екенін көруге болады.
Қолжетімділік модельдері: қандайдары бар және қалай таңдау керек
Модель қолжетімділік мәселесін шешеді: адамның қандай ереже бойынша деректерді көре алатыны және өзгертпеуге болатыны. Қате — тек «рөлдерге» сүйеніп, филиалдар мен заңды тұлғалар арасындағы шекараларды қолмен ерекшеліктермен сипаттау. Дәл осыдан бөлімдер арасындағы ағулар пайда болады.
RBAC: рөл бойынша қолжетімділік
RBAC (рөлдік қолжетімділік) функцияға байланысты құқықтар үшін жақсы: бухгалтер, колл‑орталық оператор, администратор, басшы. Сіз рөлге қандай әрекеттер рұқсат етілгенін сипаттайсыз да, рөлді пайдаланушыға тағайындайсыз.
Бірақ RBAC шекараларды (филиал, заңды тұлға, жоба) нашар жабады. Егер сізде 12 филиал және 8 заңды тұлға болса, «Бухгалтер» рөлі тез бірнеше нұсқаға бөлініп кетеді («Бухгалтер‑Алматы‑ЗаңдыТұлға‑1» және т.б.). Құқық матрицасы үлкейіп, қателер пайда бола бастайды.
ABAC: атрибуттар бойынша қолжетімділік
ABAC пайдаланушы мен деректер атрибуттарына негізделген. Қызметкерде «филиал», «заңды тұлға», «лауазым», «жоба» сияқты атрибуттар болуы мүмкін. Жазбада да осындай өрістер бар. Ереже былай: «оқуға болады, егер филиал сәйкес келсе» немесе «төлем жасауға болады, егер заңды тұлға сәйкес келсе және лауазымы = бухгалтер».
ABAC адам саны көп, олар бөлімдер арасында жиі ауысып жүретін және деректер үнемі пайда болатын жағдайда әсіресе пайдалы. Қызметкер атрибутын немесе ережені өзгерткенде қолжетімділік рөлдер жаңа нұсқаларын жасаудың қажеті жоқ қайта құрылады.
Деректер «контурлары»: деректерге шекаралар қою
Контурды папка немесе мәзір қатарынан гөрі деректерге ережелер ретінде түсіну керек. Мысалы, «Филиал А» контуры — «Филиал А» белгісі бар жазбалар сол белгіні иеленетіндерге ғана қолжетімді деген сөз. Бұл өтініштер, құжаттар, клиенттер, инциденттер және есептерге қолданылуы мүмкін.
Практикада әдетте гибрид жұмыс істейді: рөлдер «не істеуге болатынын» анықтайды, ал атрибуттар мен деректер контурлары «қандай деректермен жұмыс істеуге болатынын» шектейді. Филиалдар бойынша шектеу үшін бұл таза RBAC-тан сенімдірек жол.
Модельді таңдамас бұрын тексеріңіз:
- филиалдар мен заңды тұлғалар бойынша бұзылмауы тиіс қабырғалар бар ма;\
- қызметкерлер қаншалықты жиі бөлімдер немесе жобалар арасында ауысады;\
- қандай деректер түрлерін оқшаулау керек (клиенттер, қаржы, персонал деректері);\
- қанша ерекшелікті қадағалап отыруға дайынсыз.
Мысалы: клиникалар желісінде дәрігер тек өз филиалының пациент карточкаларын көруі керек, ал орталық қаржы бөлімі барлық филиалдар бойынша агрегатталған есепті көреді. Рөлдер әрекеттерді береді (қарау, өңдеу, мақұлдау), ал контурлар мен атрибуттар шекараны жасайды (филиал, заңды тұлға, жоба).
Рөл схемасы: оны өсіріп жібермей қалай жобалау
Жақсы рөл схемасы Excel кестесінен емес, адамдар күнделікті нақты қандай тапсырмалар орындайтынынан басталады. Рөлдерді жеке қызметкерлерге немесе сирек орын алатын жағдайларға қарай жасасаңыз, модель тез ерекшеліктер торына айналады, және филиалдар бойынша шектеу шекара ұстамай қалады.
Қайталанатын функциялардың тізімін жинаңыз: бухгалтерия, HR, сату, қойма, ИТ, басшылар. Әр функцияға 5–10 типтік әрекетті сипаттаңыз: қарау, жасау, мақұлдау, есеп шығаруды экспорттау. Осылай рөлдер «маңызды істерге» сай келеді, ал «тек адамның атына» арналған рөлдер болмауы тиіс.
Ғаламдық және жергілікті рөлдер
Рөлдер өспес үшін оларды екі қабатқа бөліңіз.
Ғаламдық рөлдер (платформа админі, қауіпсіздік қызметі, аудит, қолдау) бәрінде әрекет етеді, бірақ құқықтар жинағы дәл және шектеулі. Жергілікті рөлдер (филиал бухгалтері, заңды тұлға HR, нақты бөлімнің менеджері) тек өз филиалы немесе заңды тұлға ішінде жұмыс істейді. Басшылардың рөлі көп жағдайда «супер‑қолжетімділік» бермейді, олар тек агрегатталған есептерді көру және өтініштерді мақұлдау мүмкіндігін алады, әрі бұл да өз контурында болуы тиіс. Техникалық рөлдерді (интеграциялар мен сервис есептік жазбалар) адам рөлдерінен бөлек ұстаған дұрыс.
Негізгі әдіс: бірдей атаулы рөл бірдей әрекет етуі тиіс. Егер «Сату менеджері» бір филиалда мәмілелерді өшіре алса, ал басқа филиалда алмайтын болса — бұл екі түрлі рөл. Оларды әртүрлі атаған жөн, шатаспас үшін.
Ерекшеліктер: ережені алдын ала белгілеңіз
Ерекшеліктер болашақта да кездеседі: аудит, тергеу, уақытша ауыстыру. Бірақ оларды «құқық беріп, кейін қарай саламыз» деп емес, процесті сипаттап жасау керек. Жұмыс тәртібі осындай: құқық өтініш арқылы беріледі, мерзімі көрсетіледі, мақсат анықталады және журналданады.
Қолайсыздыққа батпау үшін жауапкершілікті алдын ала анықтаңыз: рөлдің иесі кім (әдетте функция басшысы: бас бухгалтер, HR‑директор), кім рұқсат береді (қызметкердің басшысы немесе деректер иесі), кім техникалық түрде береді/аласыз (ИТ немесе админ), уақытша қолжетімділік қалай рәсімделеді (мерзім, себеп, автоматты қайтару) және кім тоқсан сайын құқықтарды қарайды (рөл иесі плюс қауіпсіздік).
Мысалы: холдингте екі заңды тұлға және үш филиал бар. Филиал бухгалтеріне өз заңды тұлғасының құжаттарымен жұмыс істеуге ғана құқық керек, бірақ кейде ол әріптесті ауыстырады. «Бухгалтер‑ауыстыру» деген жаңа рөл жасаудың орнына екі аптаға уақытша кеңейту беру оңай — себебі себеп жазылады және автоматты түрде қайтарылады. Осылайша модель компактты қалады.
Деректер контурлары: «өзімізді» «бөтеннен» қалай бөлу
Деректер контуры — ережелер: пайдаланушы тек өз заңды тұлға және филиалына қатысты жазбаларды ғана көріп, өңдей алады (кейде әлі де бөлім немесе жоба бойынша шектеу қосылады). Контур нақты берілмесе, деректер есептер, жалпы анықтамалықтар және «барлығын бір жерге салу» әдетінен шығып «айғақтар арқылы» аға бастайды.
Маркировка — негіз
Рөлдерден емес, деректерді маркировкадан бастаңыз. Әр объектіге (құжат, өтініш, келісім, қызметкер карточкасы) жүйе «өзін-өзі» немесе автоматты түрде белгілеу үшін өрістер болуы тиіс.
Көп жағдайда 4–5 белгі жеткілікті: заңды тұлға (деректер иесі), филиал (пайда болған немесе қызмет көрсетілген орын), бөлім немесе жауапкершілік орталығы, жоба/келісім (егер жоба жұмысы болса), сезімталдық деңгейі (мысалы: жалпы, жеке, коммерциялық құпия).
Мұндай белгілер мүмкіндігінше автоматты түрде қойылуы керек. Қолданушы қолмен заңды тұлғаны таңдайтын болса, қателер пайда болады.
Сақтау және анықтамалықтар: қай жерде жалпы болуы мүмкін, қай жерде — жоқ
Жалпы репозиторий үлгілер, нұсқаулықтар және аннонимделген материалдар үшін жарамды. Ал бастапқы құжаттар, шоттар, кадрлық деректер және ішкі хаттама қатаң бөлек сақтау немесе логикалық бөлімдермен шектелуі тиіс. Физикалық дерек бір базада болғанымен «көрінуі» әртүрлі болуы керек.
Жиі ағулар анықтамалықтардан шығады. Оларды жалпы және жергілікті деп бөлу ыңғайлы. Номенклатура біріктірілген болуы мүмкін (егер сатып алу орталықтандырылған болса), ал қызметкерлер көбіне жергілікті болады. Контрагенттерге гибридті жол керек: жалпы анықтамалық бар, бірақ заңды тұлғаға байланған және «бөтен» карточкаларды кім көре алатынын анықтайтын ережелері бар.
Орталық процесстер үшін (орталық бухгалтерия, ИБ, сатып алу) минималды қажеттілік қағидатын ұстаныңыз. Құқықты «барлық заңды тұлғаға» емес, қажетті операцияларға және нақты өрістерге ғана беріңіз. Бұл ERP, құжат айналымы немесе сервис‑деск енгізген кезде аса маңызды.
Архив пен тарих туралы ұмытпаңыз. Ескі құжаттарды жиі «бәріне көрсете беретіндей» қалдырады — бұл жеңілдік үшін жасалады. Міне, бөлек ережелер болсын: архивті кім көре алады, жүктеуге бола ма, құрылым өзгергенде не істеледі. Практикалық әдіс — тарихи байланыстарды сақтау (құжат жасалғандегі заңды тұлға/филиал), оны артқа қарай қайта жазбау.
Қадам‑қадам: қолжетімділікті қалай енгізу
Филиалдар бойынша қолжетімділікті енгізу «барлығын бірден» емес, шағын жоба ретінде кезең-кезеңімен болғаны дұрыс. Осылай қызметкерлер күтпеген жерден жұмысынан қағылып қалмайды және бөтен деректерді күтпеген жерден көріп қалу қаупі азаяды.
Дайындық: деректер нақты қай жерде «жүреді» екенін біліңіз
Процестерді сипаттаудан бастаңыз: деректер филиалдар мен заңды тұлғалар шегінен қай жерде өтеді. Әдетте бұл қаржы (шоттар, актілер), кадр мәселелері, сатып алулар, сервис‑деск өтініштері және жалпы анықтамалықтар (контрагенттер, номенклатура).
Мысалы: Алматы филиалының менеджері келісім жасайды, ал орталық бухгалтерия төлем жүргізеді. Егер осы «өтуді» белгілемесеңіз, төлемді блоктап қоюыңыз мүмкін немесе бухгалтерияға барлық филиалдардың келісімшарттарын ашуға тура келеді.
Баптау: матрица және ережелер тек «компьютерде» емес
"Рөл x контур x әрекет" форматындағы матрицаны жасаңыз. Мұнда контур — түсінікті деректер шекарасы: нақты филиал, заңды тұлға, жоба немесе олардың комбинациясы. Әрекеттерді базалық деңгейде ұстаңыз: оқу, жасау, өзгерту, өшіру, мақұлдау, экспорт.
Одан әрі баптауға көшіңіз:
- есептік жазбалар мен топтарды филиалдар мен заңды тұлғалар бойынша бөліңіз (мысалы, «Сату‑Алматы», «Бухгалтерия‑ЗаңдыТұлға‑1»), сонда құқықтар топтар арқылы берілсін, қолмен емес;\
- деректер тұрған жерлерде бақылауды қосыңыз: қосымшаларда, базаларда, файл сақтағыштарда және поштада (тек «ПК‑де» шектеу экспорт пен жіберуді бөгемейді);\
- әдепкі ережелерді орнатыңыз: жаңа пайдаланушы тек өз контурын көреді, қолжетімділік кеңеюі өтініш арқылы жүзеге асады;\
- деректер иелерін бекітіңіз: контурға кім рұқсат бере алады (әдетте бөлім басшысы немесе процесс иесі);\
- ерекшеліктерді сипаттаңыз: уақытша қолжетімділік, ауыстыру, аудитордың қолжетімдігі, мердігерлердің қолжетімдігі.
Содан кейін қолжетімдікті сұрату процесін айқындаңыз: өтініш, кім мақұлдайды, мерзімі, құқықты қалай алып тастайды. «Алып тастау» беру сияқты оңай және міндетті болуы тиіс.
Жұмыс ортасына жібермес бұрын сценарийлерді іске қосып көріңіз. Әр филиалдан 2–3 адамнан типтік тапсырмаларды орындауды сұраңыз (құжат жасау, мақұлдау, табу, есеп экспорттау) және екі нәтижені тексеріңіз: «өзімнің деректеріме қолжетімділік бар» және «бөтен мәліметтер кездейсоқ көрінбейді». Егер бір сценарий де бұзылса, матрицаға қайтып оралыңыз, құқықтарды «жай ғана беру» емес.
Тексерулер және бақылау: ағуды кеш байқамас үшін қалай анықтау
Филиалдар бойынша шектеу рөлдер салынып болғанда емес, «А филиалынан адам Б филиал деректерін көрмейді» деп тез дәлелдеп бере алғанда ғана дайын есептеледі. Бақылау «кінәлі тапқысы» үшін емес, баптаудағы қате, жаңа айналып өту жолы немесе кездейсоқ берілген құқықты уақтылы байқау үшін керек.
Қарапайым «көре аламын/көре алмаймын» тесттері
Әр өзгеріс кейін немесе жаңа филиал/есеп қосылғанда қысқа қайталанатын тексерістерді іске қосыңыз:
- A филиалының тесттік пайдаланушысы тек өз карточкаларын, келісімдерін, шоттарын, есептерін көреді;\
- B филиалының тесттік пайдаланушысы өз контурында солай тексереді;\
- Орталық офис пайдаланушысы регламент бойынша ғана агрегатталған көріністі көреді;\
- Қашықтан «бөтен» нысанды нөмір/АЖО/ИИН/БИН арқылы іздеу ештеңе көрсетпейді;\
- Рөлі мұндай мүмкіндік бермесе, «барлық филиалдар бойынша» есепті экспорттау жетімсіз болады.
Экрандарды ғана емес, айналып өту жерлерін де тексеріңіз: Excel/CSV экспорт, баспа формалары, жалпы анықтамалықтар, есептер және деректер витриналары. Көбінесе ағу карточкадан емес, есептен шығады, себебі есеп фильтрін филиал бойынша қоспаған.
Журналдар: не жазылып тұруы керек және не үшін
Инцидент болса, төрт сұраққа жауап болуы тиіс: кім, қашан, нақты не және қандай тәсілмен. Сондықтан журналдарда әдетте кірулер мен кіру әрекеттері (сәтсіз сұрауларды қоса), сезімтал деректерді ашу (карточкаларды қарау, реестрлерді көру), экспорттар мен выгрузкалар (қай есеп, көлем, формат), құқық өзгерістері (кім берді/алынды, өтініш иесі, мерзімі) тіркеледі.
Практикалық минимум — «сезімтал» нысандар тізімін бөліп, оларға тереңірек журнал жүргізу: жалақы, персонал, қаржылық есептер, медициналық деректер. Осылай оқиғалар ағынында адаспай, күмәнді әрекеттерді жылдам табасыз.
Тұрақты ревизиялар және уақытша қолжетімділік
Құқықтар өздігінен түзу қалыпта қалмайды: адамдар бөлім ауыстырады, ауыстыруға кетеді, уақытша жобаларға қосылады. Сондықтан ревизия ритмі қажет: тоқсан сайын немесе жарты жылда бөлім басшысы қолжетімдіктер тізімінің өзекті екенін растайды.
Уақытша құқықтарды «мерзім + мақсат» ретінде рәсімдеңіз. Жақсы тәжірибе — құқық 7–30 күнге беріледі және ұзартылмаса автоматты түрде жабылады.
Инцидентті талдау: оқиғаны тез қалпына келтіру
Ағып кеткені туралы күдік пайда болса, әрекет жоспары қарапайым болуы тиіс: қолжетімдікті шектеу, журналдарды сақтау, зақымданған деректер контурын анықтау, содан кейін қолданушы іс‑әрекеттер тізбегін қалпына келтіру. Егер журналдар кірулерді, қарауларды және экспорттарды жазып тұрса, бірнеше сағат ішінде нақты қолжетімділік болған‑жоқтығын түсінуге болады (мысалы, қолданушы тек обезличенный тізімді көрген бе, әлде толық карточканы ашқан ба).
Мұндай тексерулерді ертерек енгізу — рөлдер мен контурлар моделіндегі қатені жөндеу шығынын азайтады. Бұл филиалдар мен заңды тұлғалар көп болғанда және құрылым жиі өзгергенде аса маңызды.
Типтік қателер мен тұзақтар, ағуға әкелетіндер
Ең жағымысыз ағулар «ұшып өтіп» келмейді, олар ыңғайлылық, шұғылдық және ұмытылған баптаулар нәтижесінде пайда болады. Филиалдар бойынша шектеу күнделікті кішкентай нәрселерде бұзылады: бір артық құқық, бір жалпы папка, бір қызметкерді ауыстырғанда құқықтарын қайта қарамау.
Ең жиі кездесетін қателер
Көбінесе проблемалар былай басталады:
- заңды тұлға мен филиал бойынша шектеусіз «суперпайдаланушы». Мұндай аккаунт қолдауға, бухгалтерияға немесе админге ыңғайлы шешімге айналып, адамдар «бөтен» контур деректерін көреді;\
- "ыңғайлылық үшін" деректерді жалпы папкалар мен чаттарға көшіру. Түпнұсқа жүйе дұрыс бапталған болса да, экспорт жалпы арналарға жіберілсе, ережелер нөлге түседі;\
- папкалар, жобалар мен топтар бойынша құқықтардың мұрагерлігі, оны ешкім тексермейді. Құқықтар «тізбек арқылы» жылдар бойы созылады, иелері ауысады, ал кімнің қолы бар екені ұмытылып қалады;\
- бірдей атаулар — нақты маркировка жоқ (мысалы, «Филиал1», «Филиал2»). Адамдар қате нысанды таңдайды, қате файл тіркейді, қате жіберіп, және бұл қалыпты операция сияқты көрінеді;\
- жұмыстан босату мен ауыстыру кезінде құқықтарды уақтылы қайта қарамау. Қызметкер басқа бөлімде болса да, бұрынғы құқықтары сақталып қалады, әсіресе құқықтар тікелей берілген болса, рөл арқылы емес.
Мердігерлерге берілген қолжетімділік бөлек тұзақ. Ол көбінесе «уақытша» деп беріледі, бірақ контур мен мерзім шектелмей, кейін өшірілмей қалады. Интеграциялық жобаларда және қолдауда бұл «тыныш» қолжетімдіктің ең жиі себебі.
Практикалық сценарий: мердігер А филиалына есеп дайындауға көмектеседі, выгрузка сұрайды, менеджер файлды «жеңіл болсын» деп жалпы чатқа салады. Файл Б филиалына көрінеді, ал атауы тек «Отчет_январь.xlsx». Формальды түрде біреу «жарамсыз әрекет жасады» деп айту қиын, бірақ деректер контурлары араласты.
Осындай жағдайлардан кейінгі талдауды жеңілдету үшін негізгі ереже: құқықтар рөлдер арқылы және филиал/заңды тұлғаға байланған түрде берілуі тиіс, экспорттар айқын маркировкаға ие болуы керек, кез келген уақытша құқықтың мерзімі және жауаптысы болуы қажет.
Іске қосар алдында қысқа чек‑лист
Филиалдар бойынша шектеуді қоспас бұрын рөлдер ғана емес, деректердің физикалық және логикалық бөлінуін де тексеріңіз. Бір ұмытылған тармақ «тыныш» ағуға айналады: қызметкер бөтен келісімшарттарды, шоттарды немесе персонал деректерін көріп, өз әрекетін қателік деп түсінбеуі мүмкін.
Контурлар картасы бар екеніне көз жеткізіңіз. Контур — сол конкретті бөлімге немесе заңды тұлғаға ғана қолжетімді болуы тиіс деректер жиынтығы. Әр контурдың иесі болу керек (әдетте бағыт басшысы немесе деректер үшін жауапты адам), ол: «иә, бұл біздің деректер» және «мұнда кім көру құқығына ие» деп растауы тиіс.
Сосын рөлдер өсіп кетпегеніне, клондалмағанына көз жеткізіңіз. Егер екі рөл шамамен бірдей құқық берсе, адамдар «қандай болса да» екі рөлді алады, және RBAC мәнін жоғалтады. Бұл жерде көмек — құқық матрицасы: рөлдер жолдарда, ресурстар мен әрекеттер бағандарда.
Іске қосар алдындағы негізгі тексерістер:
- деректер контурлары тізімі дайын және әр контурдың иесі бекітілген;\
- қолжетімділік матрицасы жасалған, рөлдер түсінікті, қайталанулар жойылған;\
- құқықтар өтініш пен мақұлдау арқылы беріледі ("тез қосып, кейін рәсімдейміз" деген жоқ);\
- әр филиал мен заңды тұлға үшін тесттік пайдаланушылар дайын, олар шектеулерді тексере алады;\
- негізгі әрекеттерді журналдауды қосу (кіру, қарау, экспорт, құқық өзгерістері).
Техникалық баптаудан кейін «қосалқы көршіні» тексеріңіз. Қарапайым сценарий: A филиалы қолданушысы B филиал клиентін ИИН/БИН немесе келісім нөмірі арқылы іздейді. Егер іздеу бірдеңе көрсетсе, тіпті редактірлеу құқығы болмаса да, бұл контурлар толық бөлінбегенінің белгісі.
Ең соңында: құқық бір рет қана орнатылып қоймайды. Тоқсан сайын құқықтарды қайта қарауды жоспарлаңыз, жауапты адам мен тексеріліп жатқан тізім (босатылғандар, ауыстырылғандар, уақытша құқықтар, «кеңейтілген» рөлдер). Бизнес өсіп, жаңа филиалдар ашылғанда немесе заңды тұлғалар құрылымында өзгерістер болғанда бұл әсіресе маңызды.
Практикалық мысал және келесі қадамдар
Орталық бухгалтериясы және екі филиалы бар компанияны елестетіңіз. Филиал A және филиал B әрқайсысы бөлек заңды тұлға ретінде жұмыс істейді. Кадрлар, бухгалтерия және басшылар бір жүйеде жұмыс істейтінін қалайды, бірақ бір заңды тұлғаның құжаттары басқаға «ағып кетпеуін» қамтамасыз еткісі келеді.
Филиалдар бойынша шектеу жүздеген ерекшеліктерге айналмасын десеңіз, модельді екі қабатқа бөлу ыңғайлы: «кімсің сен» (рөл) және «немені көре аласың» (деректер контуры).
Құжаттарды контурларға қалай бөлу
Шоттар, келісімшарттар және бастапқы құжаттарды міндетті атрибуттарға байлау оңай: «Заңды тұлға», «Филиал», қажет болса «Жоба» немесе «ЦФО». Сонда ереже қарапайым: қызметкер өз заңды тұлғасының жазбаларын көреді (қажет болса өз филиалын да), ал жалпы анықтамалықтар (мысалы, номенклатура) жалпы қалады.
Кадрлық құжаттар әдетте одан да қатаң контурды талап етеді. Мысалы, филиал A кадршысы тек филиал A қызметкерлерінің істерін көреді, ал орталық HR барлық филиалдар бойынша жинақталған көрсеткіштерді көре алады, бірақ персоналдың жеке деректеріне тек есеп үшін қажет өрістер ғана қолжетімді болуы мүмкін.
Басқару есептілігі жоғары деңгейге көтеріліп, бастапқы деректерді ашпауы тиіс. Басшылыққа агрегатталған витрина немесе есептер беріледі: кіріс, шығыс, дебиторлық қарыз, персонал саны. Бірақ осы витриннен басқа заңды тұлғаның келісімшартына немесе төлеміне түсу мүмкін емес. Бұл есеп агрегаттардан құрылады және бастапқы құжаттарға өту де сол контур ережелерімен тексеріледі.
Уақытша қолжетімділік — тұрақты тесіктің орнына
Ауыстыру кезеңі — жиі ағудың себебі. Жұмыс тәсілі — уақытша рөл немесе контурды шектеулі түрде кеңейту.
Мысалы:
- құқық мерзімі нақты көрсетіледі (басталу және аяқталу күндері);\
- рұқсат нақты процесс үшін беріледі (мысалы, «төлем жасау»), «барлығын» емес;\
- барлық әрекеттер журналға жазылады және тұрақты түрде қаралады.
Одан әрі кезең-кезеңімен барыңыз: алдымен деректер мен рөлдерді инвентаризациялау — қандай құжаттар маңызды, кім оларды шынымен қолданады, қай жерде «сводтар» керек. Сосын пилот — бір процеске, мысалы келісімдерді мақұлдау немесе шоттарды өңдеу. Пилоттан кейін қалған процестер мен филиалдарға кеңейту, рөлдер мен контурлар үшін біртұтас шаблондармен.
Егер пилотта инфрақұрылымның қуаты немесе сенімділігі жетпейтіні анықталса, жүйелік интеграторды қосу пайдалы: серверлер, жұмыс станциялары таңдау және инфрақұрылымды орналастыру, сонда қолжетімділік бақылауы тұрақты және 24/7 режимде жұмыс істейтін болады. Мысалы, Қазақстанда осындай шешімдер мен қолдауды GSE.kz ұсынады.
FAQ
Деректер филиалдар арасында араласа бастағанын қалай анықтауға болады?
Негізгі белгі — қызметкер іздеу, есептер, жалпы нұсқаулық немесе экспорт арқылы «бөтен» филиалдың объектісін таба немесе аша алады. Бұл көбіне жаңа есеп пайда болған кезде немесе қызметкер бөлім ауысқанда, құқықтар қайта қаралмаған кезде білінеді.
Неліктен «пайдаланушы папкаларды бөліп қоямыз» деген шешім әдетте утечкалардан сақтамайды?
Папкалар тек сақтау орнын анықтайды, бірақ деректерді тарату барлық жолдарын бақыламайды. Құжаттар поштаға, мессенджерлерге, тапсырмаларға тіркемелер ретінде, Excel-ге экспорт ретінде шығады — ал файлға немесе чатқа берілген құқықтар кейінгі кезеңде жиі алынбай қалады. Егер жүйеде бастапқыда пайдаланушыға шамадан тыс кең құқық берілген болса, папкалар бұл проблеманы шешпейді.
Филиал мен заңды тұлға қолжетімділік тұрғысынан қандай айырмашылық бар?
Филиал — бұл қызметкерлердің жұмыс істейтін бөлімі және операциялық бірлік, ал заңды тұлға — жауапкершілік пен келісімшарттардың шегі. Кейде екі филиал бір заңды тұлғаға жатады, ал бір кеңседе әртүрлі заңды тұлғалардың қызметкерлері отыруы мүмкін. Сондықтан қолжетімділікті көбіне заңды тұлғалар бойынша қаттырақ бөлу қажет және осы екі ұғымды бір «қолжетімділік тобына» араластырмау керек.
Контур деректер дегеніміз не, қарапайым тілмен?
Деректер контуры — бір топ үшін «өзімізге» жататын және қалғандардан жабық саналатын деректер ережесі. Әдепкі бойынша «бөтен» жабық, ал қолжетімділік нақты белгілер бойынша (мысалы, заңды тұлға және филиал) тағайындалады. Контур — папка немесе мәзір тармағы емес, жүйедегі жазбалардың көріну логикасы.
Филиалдарға бөлуде RBAC-ты не ABAC-ты таңдау керек пе?
RBAC «не істеуге болатынын» (оқу, өңдеу, мақұлдау) айтады, бірақ «қай жерде жасауға болатынын» (қандай филиал немесе заңды тұлға шегінде) масштабтау қиын. ABAC пайдаланушы мен деректер атрибуттары арқылы «қандай деректермен жұмыс істеуге болатынын» анықтайды, сондықтан филиалдар саны өскен кезде қолмен жасалатын бөлінді азайтады және артық көрсетілім тәуекелі төмендейді.
Рөл схемасын қалай жасасам, ол жүздеген нұсқаларға ұлғайып кетпесін?
Басты қадам — деректерді маркировкадан бастау: әр құжаттың, өтініштің немесе клиент карточкасының міндетті өрістері (мысалы, «заңды тұлға — иесі», «филиал») болуы тиіс, олар автоматты түрде толсын. Рөлдер әрекеттерді анықтаса, атрибуттар жазбаларды осы белгілер арқылы шектейді. Бұл әр филиал және заңды тұлға үшін жеке рөлдер жасауға қарағанда тұрақтырақ шешім.
Рөлдер орнатылған болса да, қолжетімділік қай жерде жиі «ағып кетеді»?
Ең қауіпті «сору» жерлері — жалпы нұсқаулықтар мен есептер: олар әдетте «ыңғайлылық үшін» біртұтас жасалып, филиал бойынша сүзгіленбейді. Екінші жиі себеп — экспорттар мен басып шығару формалары; қолданушы файлды алып, әрі қарай шектеусіз тарата алады. Сондықтан карточкаларды ғана емес, іздеулерді, есептерді, экспорттарды және нұсқаулықтарға берілген құқықтарды тексеріңіз.
Демалысқа немесе ауысып келгенде уақытша қолжетімділікті қалай рәсімдеу керек?
Уақытша қолжетімділік арнайы рәсіммен жасалсын: өтініш, мақсат, мерзім және автоматты кері қайтару. Контурды нақты операциялармен және шектеулі мерзімге кеңейту «барлыққа толық қолжетімділік» беруден қауіпсіз. Сонымен бірге уақытша құқықтар журналға жазылуы тиіс, әйтпесе ауыстыру тұрақты ашықтыққа айналып кетуі мүмкін.
Утечкаларды тергеу үшін қандай журналдар мен оқиғаларды міндетті жазу керек?
Міндетті жазбалар — кірулер мен кіруге әрекеттер, сезімтал объектілерді қарау, экспорттар мен выгрузкалар, сондай‑ақ барлық құқық өзгерістері: кім, қашан және қандай негізбен берді/алынды. Практикалық тұрғыдан сезімтал деректерге (жалақы, персонал, қаржы, медицина) тереңірек журнал жүргізген дұрыс, әйтпесе оқиғалар ағынында адасып қаласыз. Осы журналдар арқылы инцидент кезінде «кім, қашан және не істеді» деген сұрақтарға тез жауап табасыз.
Қол жетімділікті өндірісте іске қоспас бұрын не тексеру қажет?
Жұмысқа енгізер алдында сценарийлер «өзімнің бар, бөтен жоқ» қағидатын тексеріңіз: әр филиалдың тесттік қолданушысы типтік операцияларды орындап, бөтен нысандарды таба алмайтынына көз жеткізу керек (ИИН/БИН, келісім нөмірі бойынша іздеу және т.б.). Ең маңыздысы — есептер мен выгрузкалар «сквозной» көрініс бермеуі тиіс, ал құқықтар топтар мен рөлдер арқылы берілсін, қолмен емес. Қажет болса, инфрақұрылым мен журналдау сапасына GSE.kz сияқты интегратордың көмегі арқылы сенімділік қосуға болады.