Как обеспечить безопасность в соответствии с ФЗ ФСТЭК в «Битрикс24»

За последние несколько лет надзор за соблюдением законодательства в цифровой среде усилился в разы. Регуляторы активно проводят плановые и внеплановые проверки, а штрафы за нарушения в сфере информационной безопасности исчисляются миллионами рублей. Поэтому компаниям с корпоративным порталом на «Битрикс24» важно четко понимать, когда и зачем обращать внимание на такие аспекты, как ФСТЭК-сертификация и выполнение требований 152-ФЗ о персональных данных.

В статье Антон Бобров, директор по развитию K-Team HRM (ГК «КОРУС Консалтинг») рассказал о технических деталях и регуляторных нормах — доступно и без воды кому именно они нужны, в каких случаях обязательны, а в каких достаточно уверенного и грамотного подхода к обеспечению безопасности.

Кому нужна ФСТЭК-версия и зачем

На практике ФСТЭК-версия программных продуктов «Битрикс24» — это прежде всего инструмент для государственных компаний и госкорпораций. При проведении проверок со стороны регуляторов или при участии в конкурсных процедурах (тендерах и госзакупках) наличие сертификата ФСТЭК часто является обязательным условием допуска к работе с конфиденциальной или регулируемой информацией. В таких организациях сертификация — гарантия того, что система соответствует установленным стандартам безопасности и требованиям.

Для частного бизнеса, особенно малого и среднего, наличие ФСТЭК-сертифицированной версии не является обязательным. Это не значит, что защита данных менее важна, напротив, вопросы безопасности актуальны всегда. Однако для частных компаний хватает грамотного технического и организационного подхода к защите персональных данных и информации, основанной на внутренней политике и применении стандартных средств безопасности «Битрикс24».

Важно понимать, что наличие сертификата ФСТЭК — это не волшебная палочка, а лишь подтверждение того, что программный продукт прошел сертификацию и может использоваться в определенных условиях с повышенными требованиями к безопасности.

Таким образом, ФСТЭК-версия — это инструмент, который нужен компаниям, подтверждающим соответствие требованиям безопасности на государственном уровне. Остальные могут успешно обеспечивать защиту данных, используя штатные возможности.

Развенчание мифов: ФСТЭК-версия — что это на самом деле

Важно сразу расставить точки над «И» — ФСТЭК-версия «Битрикс24» это не какой-то особый софт с дополнительными встроенными средствами защиты или новыми функциями. По сути, это:

• Сертифицированный дистрибутив, то есть конкретная версия программного продукта, прошедшая контроль целостности и сертификационные испытания в соответствии с требованиями ФСТЭК;
• Полный комплект сопроводительной документации, включая формуляры, сертификаты и технические условия, которые подтверждают, что продукт прошел все необходимые проверки и соответствует нормативам.

Функционально и архитектурно ФСТЭК-версия совпадает с обычной коробочной версией «Битрикс24» того же релиза. В нее не входят дополнительные модули или средства защиты, поэтому сама по себе установка ФСТЭК-версии не решает всех задач информационной безопасности.

Важно также понимать, что ФСТЭК-сертификация накладывает ограничения на процессы обновления и кастомизации. Использовать можно только сертифицированные обновления, которые поставляются с официального портала (через eToken). Изменение ядра недопустимо — это приведет к потере сертификата и невозможности подтвердить соответствие.

Таким образом, ФСТЭК-версия — это гарант того, что продукт соответствует формальным требованиям безопасности и проходил проверку, но реальная защита ваших данных будет зависеть от правильной настройки, эксплуатации и комплексного подхода к ИБ.

Законы не диктуют «как», они задают рамки

Речь пойдет про Федеральный закон 152-ФЗ «О персональных данных». 

Основные принципы закона:

• Собирайте не больше, чем нужно;
• Защищайте эту информацию;
• Дайте доступ только тем, кому положено;
• Обеспечьте прозрачный учет;
• Назначьте ответственных;
• Разработайте внутренние правила.

Закон не говорит, каким именно способом шифровать данные или с какого IP блокировать доступ. Он ставит задачи там, где достичь цели проще через организацию и настройку, нет смысла идти техническими ухищрениями.

Как соответствовать 152-ФЗ в коробочной версии «Битрикс24»

Обеспечение соответствия Федеральному закону №152-ФЗ «О персональных данных» — комплексный процесс, который включает несколько зон ответственности:

• ИТ-подразделение компании и технические специалисты отвечают за внедрение и поддержание технических мер защиты: настройку политики безопасности, разграничение прав доступа, шифрование данных при передаче и хранении, организацию двухфакторной аутентификации, аудит и мониторинг активности пользователей, обновление системы и контроль интеграций.
• Руководство и служба информационной безопасности за формирование и контроль соблюдения внутренних регламентов, проведение обучающих программ и тренингов для сотрудников, контроль и оперативное реагирование на инциденты, построение культуры информационной безопасности как части корпоративной среды.
• Разработчики и поставщики программного обеспечения предоставляют инструменты и механизмы в составе продукта, которые позволяют реализовать требования закона. В случае с коробочной версией «Битрикс24» это встроенная функциональность для шифрования, ведения журналов, настройки прав, политика сессий, поддержка 2FA и прочие средства безопасности.

Соответствие 152-ФЗ — это не просто вопрос использования сертифицированных решений, но в большей степени процесс, который включает в себя организационные, технические и человеческие аспекты. 

Что нужно реализовать на практике в рамках портала «Битрикс24»

Безопасность в «Битрикс24» — не случайный набор функций, а многослойная ИТ-архитектура, которая защищает данные на разных уровнях. Такая комплексность позволяет создать надежную информационную среду, соответствующую требованиям законодательства и реальным угрозам.

Технические меры защиты

• Шифрование данных. Все данные, которые передаются между пользователем и сервером, защищены протоколом SSL/HTTPS — это базовая и обязательная мера, предотвращающая перехват и подмену информации злоумышленниками. На сервере данные шифруются алгоритмом AES, одним из самых надежных стандартов, что снижает риски при физическом доступе к носителям.
• Авторизация и двухфакторная аутентификация (2FA). Вероятно, главный «щит» от большинства атак. Помимо основного пароля пользователю потребуется подтвердить вход в систему через мобильное приложение или SMS. 
• Проактивная защита и WAF. Встроенный Web Application Firewall отсеивает типовые веб-атаки — SQL-инъекции, XSS и другие, работая в реальном времени.
• Мониторинг и аудит. Ведение журналов активности с оповещениями о подозрительных событиях помогает оперативно выявлять и реагировать на угрозы.
• Гибкая настройка прав доступа и политика безопасности. Можно и нужно максимально ограничивать права пользователей, особенно администраторов, чтобы минимизировать риски.
• Инфраструктурные меры. Использование VPN, фаерволов и систем IDS/IPS дополняет защиту на уровне сети.

5 ошибок, которые влияют на безопасность корпоративного портала

• Простые и скомпрометированные пароли у администраторов;
• Несколько десятков администраторов с полными правами;
• Отключенная двухфакторная аутентификация;
• Несвоевременное обновление платформы и серверного окружения;
• Неправильно настроенный сервер, который позволяет злоумышленникам получить доступ к системе минуя защитные механизмы Битрикс24.

Это лишь часть возможных уязвимостей. На практике встречаются компании, где порталы и инфраструктура долго не обновляются, а дополнительные средства защиты накладываются поверх устаревшей среды, что снижает общую эффективность безопасности.

Если хотя бы один элемент комплекса мер по безопасности нарушается, вся цепочка защиты дает трещину. Платформа способна обеспечить высокий уровень безопасности, но только при условии системного, внимательного и профессионального подхода.

Выбор и поддержка решений: что важно учесть в 2025 году

При выборе и внедрении систем безопасности на базе «Битрикс24» в 2025 году стоит опираться на факторы, которые помогут не только соответствовать требованиям, но и обеспечить устойчивую и эффективную работу всех корпоративных систем.

1. Импортозамещение и независимость от зарубежных технологий. Использование сертифицированной версии «Битрикс24» и российской СУБД «Postgres Pro» помогает минимизировать риски, связанные с санкциями и ограничениями на импорт технологий.
2. Профессиональная поддержка и сертифицированные партнеры. Одно из ключевых преимуществ — сотрудничество с официальными и проверенными партнерами, которые обеспечивают не только техническую поддержку, но и помощь в вопросах безопасности и соответствия требованиям ФСТЭК и 152-ФЗ. Такой подход избавляет компании от лишних рисков, ошибок и простоев.
3. Риски использования неподтвержденных решений. Использование непроверенного софта и недокументированных интеграций может привести к уязвимостям и утечкам данных.

Безопасность — это не сертификат, а привычка

За годы работы с разными проектами на базе «Битрикс24», от госструктур до коммерческих компаний, стало понятно — ключ к безопасности и соответствию не в бумагах и сертификатах, а в системном подходе и ответственности всех участников.

ФСТЭК-версия — важный инструмент для госкомпаний, но она не заменит грамотного управления и внимания к деталям. Чаще всего проблемы возникают не из-за платформы, а из-за организационных ошибок: слишком много администраторов с полными правами, отсутствие двухфакторной аутентификации, устаревшие версии, незакрытые уязвимости, неверные настройки серверов — все это существенно повышает риски.

Чтобы снизить риски, рекомендуется регулярно проводить обучающие мероприятия и тесты на осведомленность сотрудников, а также внедрять внутренние регламенты по безопасности. Такой подход формирует культуру ответственности и снижает вероятность инцидентов.

Финальный совет ИТ-директорам: действуйте комплексно и делайте ставку на культуру безопасности, а именно: обучайте и контролируйте сотрудников, следите за обновлением ПО и архитектурой, и главное — работайте с проверенными партнерами, которые хорошо знают ФСТЭК и 152-ФЗ. Ведь безопасность — это непрерывный процесс, а не единичное событие.