Контроль доступа в 1С:Предприятие — это не просто техническая задача, а основа безопасности бизнес-процессов. Неправильно настроенные права могут привести к утечке конфиденциальных данных, ошибкам в учете или даже саботажу со стороны недобросовестных сотрудников. Согласно статистике Инфостарт, более 60% инцидентов с утечками в 1С происходят из-за избыточных прав пользователей, а не взлома систем.

Эта статья поможет разобраться, как грамотно ограничить доступ в 1С 8.3 и 1С 7.7 (с учетом особенностей каждой версии), избежать типичных ошибок при настройке ролей и научиться использовать малоизвестные инструменты — от ограничения по времени до блокировки интерфейсов. Мы не будем ограничиваться стандартными советами типа "назначьте роль", а покажем, как построить многоуровневую систему защиты, которая учитывает специфику вашего бизнеса.

Почему стандартные роли в 1С не всегда работают

Многие администраторы ограничиваются назначением готовых ролей из конфигурации (например, Бухгалтер или Кладовщик), но этого часто недостаточно. Проблема в том, что:

  • 🔹 Шаблонные роли обычно дают избыточные права. Например, роль Менеджер по продажам в 1С:УТ по умолчанию позволяет просматривать себестоимость товаров, что не всегда нужно.
  • 🔹 Отсутствует гранулярность: нельзя запретить доступ к конкретному документу (например, к актам списания) или реквизиту (например, к полю "Прибыль").
  • 🔹 Нет временных ограничений: пользователь с ролью Администратор может зайти в систему в любое время, даже ночью, когда это не требуется.

По данным 1С-Рарус, в 78% компаний с более чем 50 пользователями 1С используются кастомные роли, созданные на основе стандартных. Это позволяет точечно закрывать доступ к критическим данным, например, к зарплатным ведомостям или коммерческим предложениям.

📊 Как вы обычно настраиваете доступ в 1С?
Использую только стандартные роли
Создаю свои роли на основе шаблонов
Настраиваю права через RLS
Пользуюсь внешними средствами (например, 1С:ПАРМ)
Не знаю, как это делать

Способы ограничения доступа в 1С: от простого к сложному

В 1С:Предприятие 8.3 есть несколько механизмов ограничения доступа, которые можно комбинировать. Их эффективность зависит от версии платформы и конфигурации:

Механизм Применение Плюсы Минусы
Роли Базовое разграничение прав (доступ к объектам метаданных) Просто настраивать, работает во всех конфигурациях Нет гибкости, избыточные права
RLS (Row-Level Security) Ограничение доступа к строкам данных (например, только по своему подразделению) Точечная настройка, работает на уровне записей Сложно настраивать, может тормозить систему
Интерфейсы Скрытие ненужных пунктов меню и кнопок Упрощает работу пользователей, уменьшает риск ошибок Не блокирует доступ к данным через прямые ссылки
Временные ограничения Запрет входа в систему в нерабочее время Повышает безопасность, предотвращает несанкционированный доступ Требует доработок или внешних модулей

Например, в 1С:ЗУП с помощью RLS можно настроить так, чтобы менеджеры по персоналу видели данные только своего филиала, а директор — всех сотрудников. А в 1С:ERP через интерфейсы можно скрыть модуль "Бюджетирование" для рядовых сотрудников.

💡

Перед настройкой RLS обязательно сделайте резервную копию базы! Ошибки в настройках могут привести к полной потере доступа к данным для всех пользователей.

Пошаговая инструкция: как ограничить доступ через роли

Начнем с базового метода — настройки ролей. Этот способ работает во всех конфигурациях 1С 8.x и не требует программирования.

  1. Откройте конфигуратор (Файл → Открыть конфигурацию) и перейдите в Администрирование → Пользователи.

  2. Выберите пользователя и нажмите Изменить. Вкладка Роли покажет текущие права.

  3. Снимите галочки с ненужных ролей. Например, если пользователь не должен видеть зарплатные данные, уберите роль ЗарплатаКадры.

  4. Для создания кастомной роли перейдите в Конфигурация → Роли, скопируйте стандартную роль (например, Бухгалтер) и отредактируйте права вручную.

У пользователя нет лишних ролей (например, "Полные права")

Кастомные роли не конфликтуют со стандартными

Права на чтение/запись соответствуют должностным инструкциям

Тестирование проведено на копии базы-->

Обратите внимание: в 1С:Бухгалтерия 3.0 роль Бухгалтер по умолчанию позволяет редактировать все документы, включая кассовые ордера и платежки. Если вам нужно ограничить доступ только к определенным видам документов (например, запретить создавать Списание безвозмездное), придется создавать отдельную роль.

Что делать, если роль не сохраняется?

Если при попытке сохранить изменения в роли вы видите ошибку "Объект заблокирован", значит конфигурация находится в режиме сравнения или редактируется другим пользователем. Закройте все сеансы, перезапустите конфигуратор и повторите попытку. Если проблема сохраняется, проверьте права доступа к файлу конфигурации (должен быть доступ на запись).

RLS (Row-Level Security): как ограничить доступ к строкам данных

RLS (или ограничение доступа на уровне записей) — это механизм, который позволяет показывать пользователю только те данные, которые относятся к его подразделению, региону или другой группе. Например, менеджер по продажам из Москвы не будет видеть сделки коллег из Питера.

Настройка RLS состоит из двух этапов:

  1. Создание ограничения: 

    // Пример кода для ограничения доступа к документу "Заказ клиента" по подразделению

    Процедура ОграничениеДоступаПриОткрытии(Данные)
    

    Если НЕ ЗначениеЗаполнено(Пользователь.Подразделение) Тогда
    

    Возврат Ложь;
    

    КонецЕсли;
    

    Возврат Данные.Подразделение = Пользователь.Подразделение;
    

    КонецПроцедуры

    Этот код нужно разместить в модуле объекта (например, в модуле документа ЗаказКлиента).

  2. Назначение ограничения роли:

    Откройте нужную роль (например, МенеджерПоПродажам) и на вкладке Ограничения доступа добавьте созданное правило.

Важно: RLS работает только для чтения данных. Если пользователь попытается изменить документ, к которому у него нет доступа, система либо заблокирует сохранение, либо (в некоторых конфигурациях) просто проигнорирует изменения. Это зависит от настроек Режим управления блокировкой данных в параметрах информационной базы.

💡

RLS не заменяет роли, а дополняет их. Сначала проверяются права роли (есть ли доступ к объекту вообще), а потом — ограничения RLS (какие именно записи можно просматривать).

Ограничение по времени: как запретить вход в 1С ночью

Если ваши сотрудники работают по графику (например, с 9:00 до 18:00), нет смысла давать им доступ к 1С круглосуточно. Внеурочный вход может быть признаком мошенничества или просто ошибкой. Настроить временные ограничения можно двумя способами:

  • 🕒 Через внешние средства:

    Программы вроде 1С:ПАРМ или Kaspersky Security for 1C позволяют гибко настраивать временные окна доступа для каждого пользователя или группы. Например, можно разрешить вход бухгалтерам только с 8:30 до 17:30 в будние дни.

  • 🕒 Через доработку конфигурации:

    В модуле УправляемоеПриложение или ОбычноеПриложение (в зависимости от режима) добавьте проверку времени при старте сеанса:

    Процедура ПриНачалеРаботыСистемы()

    ТекущееВремя = ТекущаяДата();
    

    Если ТекущееВремя < НачалоРабочегоДня ИЛИ ТекущееВремя > КонецРабочегоДня Тогда
    

    Сообщить("Доступ к системе запрещен в нерабочее время!");
    

    ЗавершитьРаботуСистемы();
    

    КонецЕсли;
    

    КонецПроцедуры

Учтите, что временные ограничения через доработку не блокируют уже запущенные сеансы. Если пользователь вошел в систему в 17:29, а рабочий день заканчивается в 17:30, его сеанс останется активным. Для принудительного отключения понадобится внешний модуль или скрипт, который проверяет активные сеансы.

💡

В 1С:Управление холдингом временные ограничения можно настроить на уровне профилей доступа без программирования. Этот функционал доступен начиная с версии 2.5.

Как скрыть ненужные пункты меню и кнопки (настройка интерфейсов)

Даже если пользователь не имеет прав на редактирование документов, лишние пункты меню и кнопки могут его сбивать с толку. В 1С 8.3 интерфейсы настраиваются через:

  1. Администрирование → Интерфейсы (для управляемых форм).

    Здесь можно создать индивидуальный интерфейс для роли или пользователя, убрав ненужные команды. Например, для роли Кассир оставить только раздел Касса и скрыть Банк или Зарплата.

  2. Конфигурация → Интерфейсы (для обычных форм).

    В старой форме настройки интерфейса можно отключать целые подсистемы (например, Управление персоналом) или отдельные команды (например, Печать → Печать с подписью).

Пример: в 1С:Розница для продавцов часто скрывают:

  • 📊 Раздел Отчеты (чтобы не отвлекали от работы с клиентами).
  • 💰 Кнопку Ввод начальных остатков (чтобы не могли случайно испортить данные).
  • 🔧 Настройки пользователя (чтобы не меняли интерфейс самостоятельно).

Важно: скрытие кнопок через интерфейс не блокирует доступ к данным. Опытный пользователь может открыть нужный документ через прямой вызов (например, введя в строку адреса catalog.Номенклатура). Для полной блокировки нужно комбинировать настройку интерфейса с ролями и RLS.

Типичные ошибки при ограничении доступа и как их избежать

Даже опытные администраторы 1С иногда допускают ошибки, которые сводят на нет все усилия по настройке безопасности. Вот самые распространенные:

⚠️ Внимание: Если вы назначаете пользователю роль Администратор "на время", не забывайте откатывать права после завершения работ. В 40% случаев утечек данных в 1С виноваты временные административные права, которые не были отозваны.
  • 🔓 Избыточные права у технических пользователей.

    Часто для интеграций или фоновых задач создают пользователей с ролью Полные права. Это опасно: если злоумышленник получит доступ к такому аккаунту, он сможет изменить любые данные. Решение: создавайте минимально необходимые роли для технических пользователей (например, только права на чтение определенных справочников).

  • 🔄 Копирование ролей без проверки.

    При копировании стандартной роли (например, Бухгалтер) новые права могут конфликтовать со старыми. Всегда проверяйте итоговый набор прав через Просмотр эффективных прав (вкладка в карточке пользователя).

  • 🕳️ Забытые "дыры" в RLS.

    Например, вы ограничили доступ к документу РеализацияТоваровУслуг по подразделению, но забыли про отчет Продажи, который показывает те же данные. Проверяйте все связанные объекты!

Еще одна распространенная ошибка — настройка прав в рабочей базе. Все изменения нужно тестировать на копии, особенно если речь идет о RLS или кастомных ролях. В 1С:Управление торговлей ошибка в RLS может привести к тому, что менеджеры перестанут видеть все заказы, а не только чужие.

Как проверить, какие данные видит пользователь?

Чтобы увидеть 1С "глазами" пользователя, не выходя из администраторского аккаунта:

  1. Откройте Администрирование → Пользователи.
  2. Выберите пользователя и нажмите Запустить от имени.
  3. Система откроет новый сеанс с правами выбранного пользователя. Проверьте, какие данные доступны, и закройте сеанс.

Этот метод работает в 1С 8.3 на управляемых формах.

FAQ: ответы на частые вопросы по ограничению доступа в 1С

Можно ли ограничить доступ к конкретному документу (например, только к акту списания №123)?

В стандартной конфигурации — нет. Роли и RLS работают на уровне типов объектов (например, ко всем актам списания), но не к конкретным записям. Для точечной блокировки нужно:

  1. Использовать дополнительные реквизиты (например, добавить флаг "Заблокирован" и настроить RLS по нему).
  2. Применять внешние средства (например, 1С:ПАРМ или Guardant).
  3. Дорабатывать конфигурацию с помощью событийных обработчиков (например, в модуле документа проверять номер и блокировать доступ).
Как запретить пользователю печатать документы, но оставить право просмотра?

Этого можно добиться двумя способами:

  • 🖨️ Через роль: в настройках роли снимите галочку с права Печать для нужных документов (например, РеализацияТоваровУслуг.Печать).
  • 🖨️ Через интерфейс: скрыть кнопку Печать в настройках интерфейса для данной роли. Однако это не блокирует печать через горячие клавиши (Ctrl+P) или контекстное меню.

Для полной блокировки печати понадобится доработка: в модуле документа добавить проверку прав перед печатью: 

Процедура Печать(Копия)

Если НЕ Пользователь.РазрешенаПечать Тогда


Сообщить("Печать запрещена!");


Возврат;


КонецЕсли;


// Остальной код печати


КонецПроцедуры

Почему после настройки RLS пользователь не видит никакие данные?

Это типичная проблема, которая возникает из-за:

  1. Ошибки в коде ограничения: например, если в условии используется несуществующее поле (Пользователь.Отдел вместо Пользователь.Подразделение).
  2. Конфликта ролей: если пользователю назначено несколько ролей с разными RLS, система может применять самое строгое ограничение.
  3. Неправильной привязки ограничения: проверьте, что ограничение добавлено в нужную роль на вкладке Ограничения доступа.

Чтобы диагностировать проблему:

  • Включите режим отладки (Сервис → Параметры → Отладка).
  • Проверьте журнал регистрации на ошибки RLS (Администрирование → Журнал регистрации).
  • Запустите сеанс от имени пользователя и посмотрите, какие данные запрашиваются.
Как ограничить доступ к 1С по IP-адресу?

В стандартной конфигурации такой функции нет, но есть несколько обходных путей:

  1. На уровне сервера 1С:

    В файле conf.cfg (для 1С:Предприятие 8.3 на Linux) или в настройках Апач/IIS можно ограничить доступ по IP. Например, для IIS это делается через IP Address Restrictions.

  2. Через внешние средства:

    Программы вроде 1С:ПАРМ или UserGate позволяют привязывать пользователей к определенным IP или подсетям.

  3. Через VPN:

    Настройте доступ к 1С только через корпоративный VPN, где IP-адреса жестко привязаны к пользователям.

⚠️ Внимание: Ограничение по IP не защищает от утечек, если злоумышленник получит доступ к корпоративной сети (например, через зараженный ноутбук сотрудника). Всегда комбинируйте этот метод с другими (ролями, RLS).
Можно ли временно заблокировать пользователя без удаления?

Да, есть несколько способов:

  • 🔒 Через флаг "Заблокирован":

    В карточке пользователя (Администрирование → Пользователи) установите галочку Заблокирован. Пользователь не сможет войти в систему, но его настройки и права сохранятся.

  • 🔒 Через временные ограничения:

    Настройте доступ только на определенные часы (см. раздел выше). Например, установите рабочее время с 00:00 до 00:00 — пользователь не сможет войти.

  • 🔒 Через внешние средства:

    В 1С:ПАРМ или Active Directory можно временно отключить аккаунт без удаления.

Если пользователь уже вошел в систему, его сеанс можно принудительно завершить через Администрирование → Активные пользователи (кнопка Завершить сеанс).