Налаштування прав доступу до файлів у Bitrix24
Відділ продажів бачить відомості про зарплату бухгалтерії. Стажер має доступ до стратегічних документів. Уволений співробітник досі відкриває файли через збережене посилання. Все це—результат однієї помилки: права доступу до файлів не налаштовані. За замовчуванням Bitrix24 дає широкий доступ, і без явного налаштування корпоративні документи доступні тим, кому не положено.
Модель прав у Bitrix24
Права на файли й папки працюють на кількох рівнях:
| Рівень | Що визначає | Де налаштовується |
|---|---|---|
| Загальний диск | Доступ до кореневих папок компанії | Налаштування диска → Права доступу |
| Робоча група | Доступ до файлів усередину групи/проекту | Налаштування групи → Учасники й ролі |
| Папка | Доступ до конкретної папки й вкладень | Контекстне меню папки → Права доступу |
| Файл | Доступ до окремого файла | Контекстне меню файла → Права доступу |
Рівні наслідуються згори донизу: якщо відділ маркетингу має доступ до папки «Маркетинг», усі вкладені папки й файли доступні тому самому відділу. Наслідування можна перервати на будь-якому рівні—задати для вкладеної папки власні права.
Типи прав
Bitrix24 розрізняє кілька рівнів доступу до файлів:
- Повний доступ—читання, редагування, видалення, керування правами. Для керівників відділів й адміністраторів.
- Редагування—читання й зміна вмісту. Не може видаляти файли інших користувачів і змінювати права.
- Тільки читання—перегляд і завантаження. Не може вносити зміни.
- Немає доступу—явна заборона. Використовується, щоб виключити конкретного співробітника або відділ із наслідуваного доступу.
Налаштування за структурою компанії
Найефективніший підхід—призначати права не конкретним співробітникам, а відділам і ролям. Коли співробітник переходить з одного відділу в інший, його доступ змінюється автоматично.
Приклад матриці доступу:
| Папка | Керівництво | Бухгалтерія | Продажи | Маркетинг |
|---|---|---|---|---|
| Фінанси | Повний | Повний | Немає | Немає |
| Комерційні пропозиції | Читання | Немає | Повний | Читання |
| Маркетингові матеріали | Читання | Немає | Читання | Повний |
| Регламенти | Читання | Читання | Читання | Читання |
Публічні посилання й зовнішній доступ
Співробітники часто діляться файлами через публічні посилання—це зручно, але небезпечно. Посилання працює без авторизації: будь-хто, у кого воно є, може завантажити файл.
Що контролюємо:
- Заборона створення публічних посилань для певних папок—фінансові документи, кадрові, стратегічні
- Термін дії посилання—посилання автоматично деактивується через N днів
- Пароль на посилання—додатковий бар'єр при передачі файлів зовнішнім контрагентам
- Журнал розповсюджування—хто, коли й який файл зробив публічним
Аудит доступу
Налаштовуємо моніторинг дій із файлами:
- Хто відкривав файл і коли
- Хто завантажував, редагував, видаляв
- Хто змінював права доступу
- Хто створював публічні посилання
Ці дані доступні адміністратору через журнал подій. Для критичних папок налаштовуємо сповіщення: якщо хтось змінив права на папку «Фінанси»—адміністратор отримує alert у чаті.
Що налаштовуємо
- Матрицю прав доступу до папок за відділами й ролями
- Ієрархію наслідування прав із точковими виключеннями
- Політику публічних посилань: заборони, терміни, паролі
- Аудит дій із файлами й сповіщення про зміну прав
- Правила для зовнішніх користувачів (екстранет)—доступ тільки до проектних папок
- Інструкцію для співробітників про роботу з правами й розповсюджуванням