www.tres.pl - Baza wiedzy Trawers ERP - Spis treści
Prezentacja, audyt uprawnień 1. Opis ogólny 2. Tabela ról 3. Role i operatorzy 4. Uprawnienia do oddziałów, magazynów, kas i banków 5. Audyt uprawnień 6. Tematy powiązane 1. Opis ogólny System uprawnień jest wielopoziomowy i obejmuje wiele elementów: osoby i ich role, funkcje w menu i obiekty o różnych strukturach. Elementy te tworzą zlożoną sieć wzajemych zależności. Dlatego ważna jest klarowna prezentacja systemu uprawień, także po to, aby wychwycić niespójności i luki. Program prezentuje zdefiniowany system uprawnień w postaci drzewa oraz na szeregu zestawieniach. 2. Tabela ról Zestawienie zapisów w zbiorze: Tabela ról ------------------------------- R0 Administrator R1 Pomoc administratora R2 Zarząd firmy R3 Główny księgowy R4 Główny magazynier R5 Kierownik oddziału R6 Sprzedawca R7 Magazynier R8 Referent R9 Bez uprawnień ------------------------------- ^ ^ | | Symbol Nazwa 3. Role i operatorzy Zestawienie ról i powiązanych z nimi operatorów. Uprawnienia przydzielone roli może otrzymać wielu operatorów. --------------------------------------------- Rola - Nazwa roli ------- Od - Dopisano- Op --- Nazwisko operatora --------------------------------------------- R3 Główny księgowy 00 20xx.08.15 <-- Rola KK Karin Kowalska Księgowa <-- Operator (użytkownik) R6 Sprzedawca 00 20xx.08.15 SP Stefan Pilecki Sprzedawca R7 Magazynier 00 20xx.08.15 DD Damian Dworak Magazynier R8 Referent 00 20xx.08.15 --------------------------------------------- ^ | Oddział 4. Uprawnienia do oddziałów, magazynów, kas i banków Zestawienie powiązań operatorów i obiektów do których mają uprawnienia. AD > Operatorzy > Prezentacja uprawnień [AD_PPP99] AD > Role > Prezentacja uprawnień [AD_PRP99] Uprawnienia: * do oddziałów * do magazynów * do kas * do banków Program buduje i wyświetla tabelę powiązań. Tabela odpowiada na pytania: 1. Do którego oddziału należy operator ? 2. Do którego oddziału należy magazyn, kasa i rachunek bankowy ? 3. Czy operator ma uprawnienia do tych obiektów ? 4. Czy nie ma sprzeczności w podanych wyżej powiązaniach ? Adam Abacki ma uprawnienie do magazynu 21 ale magazyn 21 należy do oddziału 20, innego niż Adam Abacki Uprawnienia do magazynów ------------------------ v-- kolejne magazyny i oddziały | v --------------------------o----------------------------------- Op/Od Imie i Nazwisko 01/00 02/00 21/20 22/20 ....--> ----- --------------- |-------|-----| ------ |----- | ----- AA/00 Adam Abacki | v/ | | v/? | | BB/00 Barbara Bliza | | | | | AB/01 ... -------------------------------------------------------------- v/ - Abacki ma uprawnienie do mag 01 mag 01 należy do oddziału 00, tego samego co Abacki v/?- Abacki ma uprawnienie do mag 21 mag 21 należy do oddziału 20, ale [?] innego niż Abacki Rada: Poprawić powiązania, tak aby nie było pytajników [?]. 5. Audyt uprawnień Celem audytu uprawnień jest ustalenie, czy zastosowane metody i techniki zapewniające bezpieczeństwo w programie Trawers ERP: * Czy są zgodne z polityką firmy ? * Czy istnieją ryzyka nieautoryzowanego dostępu do program ? * Czy i jak zminimalizować ew. ryzyka ? Kolejne kroki: * Zaplanować audyt, tj. wyznaczyć obszary do kontroli. * Zebrac dane o aktualnych uprawnieniach: jakie role, jakie poziomy dostepu, jakie uprawienia. * Zweryfikowac dane z oczekiwaniami (polityką firmy) * Raportowac wnioski. * Wdrożyć zalecenia. 6. Tematy powiązane Uprawnienia operatorów (role) Mechanizmy bezpieczeństwa Tabela magazynów Raporty i analizy Wielo-oddziałowość Słowa kluczowe #Admin-Bezpieczeństwo #Admin-Uprawnienia #Raporty-KronikaLog #Raporty-ErrorLog #Pomoc-AsystentAI (AsystentAI) Audyt uprawnień 1. Rozszerzenie punktu 5: Audyt uprawnień - narzędzia i raporty Narzędzia i raporty, które wspierają audyt: Narzędzia i raporty systemowe: | Cel audytu | Funkcja | Opis | | ----------------------- | ---------------------------- | ------------------------------------------- | | Uprawnienia wg poziomu | `AD_PO2R0` | Lista operatorów i ich poziomy | | Uprawnienia wg roli | `AD_PRP99` | Prawa ról do obiektów i funkcji | | Uprawnienia operatorów | `AD_PPP99` | Prawa operatorów - zestawienie tabelaryczne | | Prezentacja drzewa menu | `F1 > Pomoc > Menu systemów` | IdProces + struktura funkcji | | Tabela operatorów | `AD_TOP10` | Role, hasła, parametry użytkowników | | Warunki operatorów | `AD_WAR10`, `AD_WRO10` | Filtrowanie dostępu do danych | --- 2. Kontrola niespójności - przykładowe pytania diagnostyczne Pytania, które pomagają wykryć błędy: | Pytanie | Gdzie sprawdzić | | ------------------------------------------------------------- | ----------------------------------- | | Czy operator ma dostęp do funkcji, których nie powinien mieć? | `AD_PPP99`, `AD_PUO10` | | Czy ma dostęp do magazynów spoza swojego oddziału? | `AD_PPP99`, kolumna `v/?` | | Czy są operatorzy bez przypisanej roli? | `AD_TOP10`, filtr: rola = pusta | | Czy są role bez operatorów? | `AD_TRO10`, porównanie z `AD_PRU10` | | Czy są obiekty bez przypisanego użytkownika? | `AD_PPP99`, puste kolumny | --- 3. Wskazówki dla audytora / administratora Zestaw rad praktycznych dla osoby przeprowadzającej audyt: Zalecenia: * Regularnie wykonuj audyt, np. raz w miesiącu lub po każdej zmianie organizacyjnej. * Ogranicz liczbę administratorów - np. tylko 1-2 osoby w firmie. * Używaj ról - nie nadawaj uprawnień bezpośrednio operatorom, chyba że to uzasadnione. * Kontroluj prawa do zakładek i funkcji pozornych - mogą dawać dostęp 'tylnymi drzwiami'. * Raportuj nieprawidłowości i wprowadzaj poprawki przez role, nie tylko na poziomie operatora. --- 4. Dodatkowe sposoby prezentacji uprawnień Alternatywne i pomocnicze formy prezentacji, które zwiększają przejrzystość: | Forma prezentacji | Narzędzie lub sposób | | ------------------------------------------| ----------------------------------------------------------- | | Tabela krzyżowa | Eksport `AD_PPP99` do Excela -> filtrowanie, kolory | | Mapa ról i operatorów | Raport z `AD_PRU10` -> graficzna prezentacja (np. mind map) | | Dashboard w systemie BI (jeśli stosowany) | Połączenie z bazą i zestawienia | | Raporty PDF | Druk z `AD_PPP99` lub `AD_PO2R0` do audytu offline | --- 6. Inne metody prezentacji i kontroli uprawnień Dla pełniejszego obrazu systemu bezpieczeństwa można: * Eksportować dane z uprawnień do Excela i analizować filtrowanie, sortowanie, kolory. * Regularnie przeglądać nieużywane konta / konta bez logowań. * Tworzyć checklisty audytowe na podstawie polityki bezpieczeństwa firmy. * Weryfikować dane na środowisku demo - symulacja roli operatora. --- *********************************************************************************************************** Prezentacja i audyt uprawnień w Trawers ERP Cel audytu Sprawdzenie, czy uprawnienia: * są zgodne z polityką firmy, * nie tworzą luk bezpieczeństwa, * są kompletne i spójne, * można je skutecznie zarządzać i kontrolować. --- Narzędzia systemowe Trawers | Funkcja | Lokalizacja | Co pokazuje | | -------------------------------- | ---------------------------- | ---------------------------------------- | | Tabela ról | `AD_TRO10` | Lista wszystkich ról w systemie | | Role i operatorzy | `AD_PRU10` | Przypisania operatorów do ról | | Uprawnienia operatorów (obiekty) | `AD_PPP99` | Tabela operator-magazyn/kasa/bank | | Uprawnienia ról (obiekty) | `AD_PRP99` | Analogicznie jak wyżej, ale dla ról | | Uprawnienia wg poziomów | `AD_PO2R0` | Poziomy uprawnień operatorów (0240 [ ]) | | Migracja poziomów do ról | `AD_PO2R1` | Przekształcenie systemu na RBAC | | Drzewo funkcji i IdProcesów | `F1 > Pomoc > Menu systemów` | Struktura funkcji i kodów technicznych | --- Zestawienie uprawnień do obiektów (magazyny/kasy/banki) | Symbol | Znaczenie | | ------ | -------------------------------------------------------------------- | | `v/` | Operator ma prawo do obiektu z tego samego oddziału | | `v/?` | Operator ma prawo do obiektu z innego oddziału - możliwa niespójność | | `-` | Brak prawa | | `+` | Obiekt domyślny | Rada: unikaj `v/?` mogą wskazywać na błędne przypisania (np. dostęp do nieautoryzowanego oddziału). --- Lista pytań diagnostycznych (dla audytora) | Pytanie | Gdzie sprawdzić | | ---------------------------------------------------------- | ----------------------- | | Czy operatorzy mają przypisane role? | `AD_TOP10` | | Czy role są przypisane do operatorów? | `AD_PRU10` | | Czy są role nieużywane? | `AD_TRO10` + `AD_PRU10` | | Czy operatorzy mają dostęp do nieautoryzowanych oddziałów? | `AD_PPP99` | | Czy są uprawnienia bez powiązanych operatorów? | `AD_PRP99` | | Czy operator ma funkcje, których nie powinien mieć? | `AD_PUO10`, `AD_PPP99` | --- Dobre praktyki audytowe * Regularność: wykonuj audyt co najmniej raz na miesiąc lub po każdej reorganizacji. * Minimalizacja: ogranicz dostęp tylko do niezbędnych funkcji. * Klarowność: jeden operator = jedna rola (jeśli możliwe). * Ogranicz administratorów do minimum. * Dokumentuj zmiany kto, kiedy, co zmienił. --- Sposoby prezentacji i eksportu uprawnień | Metoda | Opis | | ---------------| -------------------------------------------------------------------- | | PDF | Drukuj `AD_PPP99`, `AD_PRP99`, `AD_PRU10` | | Excel | Eksport zrzutów tabel i filtrowanie kolumn (kolorowanie, sortowanie) | | Mapy graficzne | Relacja: Rola -> Operator -> Funkcje (np. w programie do mindmap) | | Archiwizacja | Zrzuty CSV przed i po zmianach (backup logiczny) | --- ************************************************************************************************************ Przykładowe drzewo uprawnień (RBAC) w Trawers ERP Przykład pokazuje, jak struktura uprawnień wygląda w ujęciu hierarchicznym. Od roli, przez systemy i funkcje, po dostęp do konkretnych obiektów. Rola: R7 - Magazynier | o-- Operatorzy: | o-- DD - Damian Dworak o-- CK - Celina Kurek o-- AP -Adam Pawlak | o-- Systemy użytkowe: | o-- MG - Gospodarka magazynowa | o-- MG_DPR10 - Dokument PZ (przychód) | o-- MG_DWZ10 - Dokument WZ (wydanie) | o-- MG_INW10 - Inwentaryzacja | o-- MG_ZSP10 - Zestawienia przyjęć i wydań o-- MI - Cenniki i informacje o-- MI_CEN10 - Przegląd cen o-- MI_CEN20 - Zmiana cen zakupu | o-- Obiekty: | o-- Magazyny: | o-- 10 - Magazyn centralny [+] | o-- 40 - Magazyn pomocniczy o-- Kasy: brak dostępu o-- Rachunki bankowe: brak dostępu o-- Kartoteki: o-- KIM - tylko indeksy magazynowe z oddziału 00 o-- Odbiorcy - dostęp ograniczony do grupy: GH (filtr) --- *********************************************************************************************************** Odwrotna perspektywa audytu. Kto ma dostęp do danej funkcji lub obiektu Taka forma jest bardzo pomocna w audycie - pozwala szybko wykryć nadmiarowe lub ryzykowne uprawnienia. --- Przykład: Funkcja `MG_DPR10` - Rejestracja dokumentów PZ | Rola | Operatorzy | Poziom dostępu | Źródło uprawnienia | | --------------- | ---------- | -------------------- | ------------------ | | R7 - Magazynier | DD, CK, AP | Dopisywanie, korekta | Rola | | R5 - Kierownik | JK | Pełny dostęp | Operator | | R3 - Księgowa | KK | Brak | - | --- Przykład: Magazyn 40 - Magazyn pomocniczy | Operator | Rola | Dostęp | Domyślny | Uwagi | | -------- | --------------- | ------ | -------- | ---------------------------- | | DD | R7 - Magazynier | Tak | Nie | Uprawnienie z roli | | CK | R7 | Tak | Nie | Uprawnienie z roli | | JK | R5 | Tak | Tak | Nadane na poziomie operatora | | KK | R3 | Nie | - | - | --- Jak sprawdzić w systemie Trawers ERP: | Co sprawdzić | Funkcja Trawers | Uwagi | | ----------------------------------------------------- | ------------------------------------------------- | ----------------------------------------------------- | | Kto ma dostęp do konkretnej funkcji (np. MG_DPR10) | `AD_PRU10` (dla ról), `AD_PUO10` (dla operatorów) | Weryfikuj po IdProcesie | | Kto ma dostęp do konkretnego magazynu / obiektu | `AD_PRP99` (rola), `AD_PPP99` (operator) | Zwróć uwagę na symbol `[T]`, `[v]`, `[+]` | | Kto ma dostęp do zakładek lub menu wewnętrznego (F12) | `AD_PRU10`, `AD_PUO10` | Sprawdź szczególnie dane finansowe kontrahenta, banki | --- Raport odwrotny - przykładowa forma tabelaryczna do PDF / Excela | Funkcja / Obiekt | IdProces / Symbol | Dostęp (rola / operator) | Uwagi | | -------------------- | --------------------- | ------------------------------- | -------------------- | | Rejestracja PZ | `MG_DPR10` | R7 - DD, CK, AP | dostęp z roli | | Magazyn 40 | `40` | DD, CK (rola R7), JK (operator) | JK = dostęp domyślny | | Kasa 01 | `01` | brak | - | --- *********************************************************************************************************** Szablon w Word do wypelnienia: 1. Jako drzewo i 2. Odwrotna matryca Dwa szablony w formacie Word (.docx) do samodzielnego wypełnienia lub użycia w trakcie audytu systemu uprawnień w Trawers ERP: --- 1. Szablon drzewa uprawnień (rola -> operator -> funkcje / obiekty) Układ hierarchiczny do rozpisania struktury ról i ich dostępów. --- 2. Szablon odwrotnej matrycy uprawnień (funkcja / obiekt -> kto ma dostęp) Tabela do kontroli, kto ma dostęp do określonych funkcji, magazynów, kas, itp. --- *********************************************************************************************************** SZABLON 1: Drzewo uprawnień (rola -> operator -> funkcje / obiekty) --- Rola: [_____] - Nazwa roli] #### Opis roli: ________________________________________________________ #### Przypisani operatorzy: * [_____] - [Imię i nazwisko] * [_____] - [Imię i nazwisko] * [_____] - [Imię i nazwisko] #### Uprawnienia do systemów i funkcji: System: [_____] - [Nazwa systemu, np. MG Magazyn] | o-- Funkcja: [_____] - [Opis funkcji] o-- Funkcja: [_____] - [Opis funkcji] System: [_____] [Nazwa systemu] | o-- Funkcja: [_____] - [Opis funkcji] o-- Funkcja: [_____] - [Opis funkcji] o-- Funkcja: [_____] - [Opis funkcji] System: [_____] [Nazwa systemu] o-- Funkcja: [_____] - [Opis funkcji] o-- Funkcja: [_____] - [Opis funkcji] o-- Funkcja: [_____] - [Opis funkcji] #### Uprawnienia do obiektów: * Magazyny: [10] [20] [40] [+ domyślny: __ ] * Kasy: ____________________________________ * Rachunki bankowe: ________________________ * Kartoteki: * KIM: ___________________________________ * Odbiorcy: ______________________________ * Dostawcy: ______________________________ --- Uwagi: --- --- --- *********************************************************************************************************** SZABLON 2: Matryca dostępu (funkcja / obiekt -> kto ma dostęp) --- Funkcja / Obiekt: ______________________________________________________ | Typ elementu | Symbol / IdProces | Dostęp mają | Źródło uprawnienia | Uwagi | | ------------------ | ----------------- | ------------------- | ------------------ | ------------ | | Funkcja | MG_DPR10 | R7: DD, CK, AP | Rola | | | Funkcja | NA_DFA10 | R6: SP; KK (indyw.) | Rola + operator | | | Magazyn | 40 | R7: DD, CK; JK | Rola + operator | [+] JK | | Kasa | 01 | KK | Operator | | | Zakładka NA_KDO25 | NA_KDO25 | SP | Operator | Brak korekty | | Odbiorcy (grupa) | GH | DD | Warunek roli | filtr | --- Kolejne wpisy: * (dodawać w razie potrzeby)* --- Uwagi / zalecenia: --- --- --- *********************************************************************************************************** Tabelaryczny szablon audytu uprawnień --- Dwie zakładki: 1. Drzewo uprawnień (rola -> operatorzy -> funkcje / obiekty) 2. Matryca odwrotna (funkcja / obiekt -> kto ma dostęp) Każda zakładka zawiera kolumny do samodzielnego uzupełnienia, filtrowania i analizy. --- Wersje tekstowe dwóch arkuszy - do wklejenia w Excel, LibreOffice lub Google Sheets. Każdy wiersz to jedna linia, kolumny oddzielone tabulatorem. --- Arkusz 1: Drzewo uprawnień (rola -> operator -> funkcje / obiekty) Rola Symbol operatora Imię i nazwisko System Funkcja (IdProces) Opis funkcji Magazyny Kasy Banki Kartoteki Inne R7 - Magazynier DD Damian Dworak MG MG_DPR10 Przyjęcia zewnętrzne 10,40 - - KIM: dostęp - R7 - Magazynier CK Celina Kurek MG MG_DWZ10 Wydania zewnętrzne 10,40 - - - - R7 - Magazynier AP Adam Pawlak MG MG_INW10 Inwentaryzacja 10 - - - - R5 - Kierownik JK Jan Kowalski NA NA_DFA10 Faktury sprzedaży 10,40 01 01 ODBIORCY: wszystkie - --- Arkusz 2: Matryca odwrotna (funkcja / obiekt -> kto ma dostęp) Typ Symbol / IdProces Nazwa funkcji / obiektu Operatorzy Rola Źródło uprawnienia Uwagi Funkcja MG_DPR10 Przyjęcia zewnętrzne DD, CK, AP R7 Rola - Funkcja NA_DFA10 Faktury sprzedaży JK R5 Operator - Magazyn 40 Magazyn pomocniczy DD, CK, JK R7 / R5 Rola + operator JK ma [+] Kasa 01 Kasa główna JK - Operator - Zakładka NA_KDO25 Karta odbiorcy - szczegóły SP R6 Operator Tylko odczyt Grupa Odbiorców GH Odbiorcy grupa hurtowa DD R7 Rola (filtr) - --- Instrukcja wklejenia do Excela: 1. Skopiuj wybrany blok tekstu. 2. Otwórz Excel. 3. Wklej do pierwszej komórki (A1). 4. Excel automatycznie rozdzieli kolumny (dzięki tabulatorom). 5. Możesz teraz filtrować, kolorować, analizować. --- ************************************************************************************************************ Rola tabulatorów w tekście tabelarycznym Tabulatory (`TAB`, znak ASCII 09) działają jako separator kolumn w tekście. W praktyce: * Oddzielają dane w jednej linii na poszczególne kolumny. * Dzięki nim programy takie jak Excel, LibreOffice, Google Sheets mogą rozpoznać, gdzie kończy się jedna kolumna, a zaczyna druga. * Po wklejeniu tekstu z tabulatorami do Excela, każda wartość trafia do osobnej komórki w wierszu. --- Przykład: Tekst z tabulatorami (niewidocznymi w zwykłym edytorze, ale obecnymi między słowami): Typ Funkcja IdProces Operator Rola Funkcja Faktury NA_DFA10 JK R5 Po wklejeniu do Excela: | Typ | Funkcja | IdProces | Operator | Rola | | ------- | ------- | --------- | -------- | ---- | | Funkcja | Faktury | NA\_DFA10 | JK | R5 | --- Jak je wygenerować lub użyć ? * W edytorze tekstu (np. Notatnik++) możesz wstawić tabulator klawiszem `Tab`. * Jeśli kopiujesz tekst z moich tabel powyżej - tabulatory są już tam wstawione. * Po wklejeniu do Excela, dane automatycznie 'rozpadają się' na kolumny. --- Uwaga: Jeśli coś się nie dzieli na kolumny, to możliwe przyczyny: * Tabulatory zostały usunięte lub zamienione na spacje. * Użyty program oczekuje innego separatora (np. przecinka - w plikach CSV). ************************************************************************************************************ Wersja tekstowa z separatorami średnikowymi (CSV) Tekst gotowy do wklejenia do Excela lub zapisania jako plik `.csv`. Można otworzyć w Excelu, LibreOffice, Google Sheets, itd. --- Arkusz 1 - Drzewo uprawnień (rola -> operator -> funkcje / obiekty) Rola;Symbol operatora;Imię i nazwisko;System;Funkcja (IdProces);Opis funkcji;Magazyny;Kasy;Banki;Kartoteki;Inne R7 - Magazynier;DD;Damian Dworak;MG;MG_DPR10;Przyjęcia zewnętrzne;10,40;-;-;KIM: dostęp;- R7 - Magazynier;CK;Celina Kurek;MG;MG_DWZ10;Wydania zewnętrzne;10,40;-;-;-;- R7 - Magazynier;AP;Adam Pawlak;MG;MG_INW10;Inwentaryzacja;10;-;-;-;- R5 - Kierownik;JK;Jan Kowalski;NA;NA_DFA10;Faktury sprzedaży;10,40;01;01;ODBIORCY: wszystkie;- --- Arkusz 2 - Matryca odwrotna (funkcja / obiekt -> kto ma dostęp) Typ;Symbol / IdProces;Nazwa funkcji / obiektu;Operatorzy;Rola;Źródło uprawnienia;Uwagi Funkcja;MG_DPR10;Przyjęcia zewnętrzne;DD, CK, AP;R7;Rola;- Funkcja;NA_DFA10;Faktury sprzedaży;JK;R5;Operator;- Magazyn;40;Magazyn pomocniczy;DD, CK, JK;R7 / R5;Rola + operator;JK ma [+] Kasa;01;Kasa główna;JK;-;Operator;- Zakładka;NA_KDO25;Karta odbiorcy - szczegóły;SP;R6;Operator;Tylko odczyt Grupa Odbiorców;GH;Odbiorcy grupa hurtowa;DD;R7;Rola (filtr);- --- Jak zapisać jako plik `.csv`: 1. Skopiuj wybrany blok tekstu. 2. Otwórz Notatnik lub dowolny edytor tekstu. 3. Wklej zawartość. 4. Zapisz plik z rozszerzeniem `.csv`, np. `audyt_uprawnien.csv`. 5. Otwórz w Excelu dane trafią automatycznie do kolumn. ---
www.tres.pl - Baza wiedzy Trawers ERP - Spis treści