Каким образом у вас происходит согласование прав в 1С для пользователей с руководством? В какой форме? В виде таблицы, где расписаны все объекты метеданных, наборы прав и к чему каждый набор прав имеет доступ? Либо в общих фразах? Либо как-то иначе?
Сейчас возникла задача все это дело задокументировать, не знаю, с какой стороны подойти. Описывать права для каждого объекта - как-то громоздко, в общих словах - можно что-то упустить.

сколько народу в ИБ ?

человек 60-70, около 10 отделов

Если база не самописная, в которой никогда ничего не меняется, то шли всех нафиг! Скажи, что разделение прав условное, регламентировать его не стоит, т.к. игра не стоит свеч. Если руководство настаивает - пусть берет ещё одного человека, специально для этого, но я тебя уверяю, после получения этой бумажки, руководство захочет "раздать права самостоятельно" и возьмете вы на это дело ещё троих программистов - они переколбасят конфу в хлам... И возьмете вы ещё несколько программистов на поддежку этой супер-пупер конфы... И наступит тьма... :)
Ну вот, как-то так... :))

Как сделал так и будет, вот и все согласование

(3)Самописная :)
Тут дело даже не в том, чтобы регламентировать, а в том, что сейчас есть три набора прав и три интерфейса. Этого явно мало, т.к. нет возможности гибко выбирать права, скажем, под отдел. :)

Я просто решил к этому делу комплексно подойти, чтобы было документировано и наглядно видно, кто что может делать.

(5) Ограничения прав доступа на уровне записей не спасет? :)

Идеала нет. Начни с эскизного наброска. Пользователей обычно собирают в группу. Каждая группа - свой набор функционала, соответствующий обязанностям в базе. Важно, чтобы функционал и права на него не пересекались для разных групп.

проще всего отрезать права под самые плечи, а потом вернуть по докладной то что пользовталеи считают необходимым для работы.

(9)Так затормозится работа юзеров :(

(0) Специальная форма заявки (документы, справочники, отчеты). С подписью работника, его начальника и начальника отдела ИТ. Все бумажки подшиты.

руководство не сможет правильно оценить, какой объект метаданных кому нужен. Самое красивое решение в (9)

У меня (правда в 8.2) написан универсальный отчет по правам доступа. Кростаблица: строки - объекты метаданных (с группировкой по подсистемам), колонки - роли. Кроме того отчет настраивается можно скрыть служебные подсистемы (их объекты метаданных) и служебные роли. В принципе отчет достаточно не плохо позволяет оценить распределение доступа по объектам конфигурации. Есть в нем и зачатки отображения зависимостей (имеет некоторый интеракивный функционал), но слабовато конечно.
Вот по нему мы с руководством и проектируем новые роли и изменяем действующие.

Конечно существует проблема, что руководство не до конца понимает назначения всех объектов метаданных. Но чаще всего происходит так, я им печатаю отчет они на бумажке ручкой исправляют что им бы хотелось, я рассматривая исправления провожу некоторую экспертизу на совместимость, и предлагаю фактическую расстановку и ее согласую. (и так до бесконечности :) шутка).
На самом деле.. по опыту использования такой функционал помогает решать вопросы.

Выскажу мысль. Задача эта конечно сложная. Основная проблема в отработке скрытых зависимостей. Скрытых в коде. Анализом кода их отработать очень сложно (практически нереально).
И вот в чем мысль: это плохо что в 1С в коде любого модуля можно обратиться к любому объекту метаданных. Если бы доступ из одного объекта к другим объектам как-то декларировался в метаданных объекта, а платформа бы предоставляла только то что задекларировано (даже программно), то отработка зависимостей вышла бы на новый уровень.

Платформа бы смогла даже сама строить подобные отчеты. Но и программный доступ к данным такой декларации (по чтению) тоже нужен по скольку при программном построении отчета можно учесть функционал самой конфигурации и рассматривать несколько объектов как единое целое (номенклатура и регистр сведений с данными номенклатуры). Это разгружает отчет и улучшает его понимание.

В общем тут не паханое поле для разработчиков платформы.

расписываю и утверждаю роли и права доступа к обьектам

например
Роль БухгалтерПросмотр + Бюджетирование,
Права Организации Лютик + Ромашка, Виды платежей - Б/н

vde69, а что скажешь по поводу моей идеи доработки платформы? Мне твое мнение интересно.

Советую основное разграничение прав делать в предприятии, а не конфигураторе. Тогда проще настраивать и давать/забирать

(15) человек способен одновременно оценивать ограниченое количество сущностей, оптимальным является 7 максимальным 12, более 12 сущностей человеку трудно понять и еще труднее объяснить.

по этому делать нужно фиксированые наборы, этих наборов должно быть не более 12 (к стати именно так поступает 1с в последних конфигурациях, в частности документооборот). Любые идеи где вариантов настройки слишком много - становятся непонятными и запутаными.

я для себя давно решил 5-6 функциональных ролей и настрока прав доступа по 5-6 критериям, не больше!!!

(17)+ к стати по этому принцепу и меню нужно делать, в любом подменю оптимальным будет 5-10 пунктов, если больше - нужно дробить на подменю

в каждой второй "серьезной" самописке безумные портянки в коде вида "если ИмяПользователя() = "Иванов" Тогда... "
а подход (9) "потом вернуть по докладной то что пользователи считают необходимым для работы" чреват разрастанием таких "индивидуальных" правил

(17)Не согласен. При разработке конфигураций ты же не ограничиваешь себя 12ю объектами метаданных. И тут также. Задачи бывают разные. Никто не говорит о том что надо оценивать все роли одновременно за раз.

(20) Ты физически не сможешь удержать в голове столько ролей

Т.е. придет новый человек и ты будешь судорожно вспоминать какую роль ему дать А или Б? Или например придут и скажут, что вот он будет заниматься еще вот этим, и ты сидишь и чешешь репу, а в какой же роли это есть.

А так у тебя есть 5-7 универсальных ролей, а уж тонкая настройка лучше всего делать из предприятия. Т.е. поставил галочку и разрешил дополнительно еще вот это

(21)а зачем в голове? они у меня в отчете, он формируется за секунды.
Ты немного не о том. Ты говоришь о том, что вместо большого количества ролей иногда удобнее доступ разделять программно, я даже не пытался с этим спорить.

(22) я не против детального отчета по метаданным я против того что-бы его показывать руководству! для руководства должно быть все прозрачно иначе ты встраиваешь себя в систему как незаменимого, а это очень плохо.

Человека держат не за его незаменимость а за умение выстраивать работающую систему

(0) только что у себя внедрил обработку с сайта имя которого нельзя упоминать. Права весьма наглядно рулятся из режим предприятия. Есть отчет по правам относительно объекта конфигурации или относительно пользователя. Можно копировать шаблоны прав с юзера на юзера и на группу юзеров. Практика использования пока небольшая, но на первый взгляд весьма продумано

+(24) /public/20129/

(24) Да ладно, если не матом то уже можно сказать про http://infostart.ru/

(25) Хорошая штука. А там есть возможность запрета на отображение/редактирование реквизитов справочников/документов?