Информационная безопасность в Битрикс24

В современном информационном мире безопасность данных становится все более важной и актуальной темой. Компании и организации стремятся обеспечить защиту своей конфиденциальной информации и сохранность данных, поэтому выбор решения для бизнеса, которое соответствуют требованиям информационной безопасности, становится все более значимым. В этом контексте Битрикс24 является одной из таких решений.

В этой статье мы рассмотрим некоторые аспекты безопасности системы Битрикс24, чтобы вы могли быть уверены в их надежности и защите, а также как Битрикс24 обеспечивает предотвращение возможных угроз.

Значение безопасности данных для заказчиков

Заказчики все чаще задаются вопросом о безопасности своих данных и требуют, чтобы используемая система полностью соответствовала требованиям информационной безопасности (ИБ).

Из основных опасностей, связанных с использованием платформ, является:

• утечка конфиденциальной информации

Клиентов волнует какие меры безопасности применяются для защиты их данных от несанкционированного доступа. 

• возможность потери данных

В случае сбоя системы или технических проблем клиенты рискуют потерять свои важные данные, поэтому вопрос устойчивости системы, а также возможность резервного копирования стоит очень остро.

Уровни безопасности данных Битрикс24

1. Предотвращение утечки информации

Одним из главных аспектов безопасности данных в Битрикс24 является предотвращение утечки информации, под утечкой понимается непреднамеренное или преднамеренное раскрытие конфиденциальных данных третьего лица.

Для снижения риска утечки данных Система использует набор мер безопасности, включая шифрование, двухфакторную аутентификацию и контроль доступа к информации.

Также для предотвращения утечки данных в Битрикс24, рекомендуется использование следующих мер:

• Обучение сотрудников

Проводить регулярные тренинги и обучения по вопросам безопасности данных, чтобы сотрудники были осведомлены о правилах и процедурах сохранения конфиденциальной информации.

• Права доступа

Правильно настроить права доступа к информации, чтобы ограничить доступ только необходимым сотрудникам.

• Шифрование

Использовать алгоритмы шифрования для обеспечения конфиденциальности данных во время их передачи и хранения.

• Регулярное обновление системы

Обновлять систему и устанавливать последние патчи.

2. Предотвращение несанкционированного доступа

Одним из частей обеспечения защиты решения является предотвращение от несанкционированного доступа, для данного аспекта в системе реализованы такие функции как:

• Двухфакторная аутентификация

Пользователи могут настроить дополнительный уровень защиты, требующий ввод дополнительного кода или использование устройства для подтверждения их подлинности.

• Ограничение доступа по IP-адресам

Администратор системы может настроить ограничения доступа к учетной записи пользователя, основываясь на IP-адресах, ограничивая доступ только с определенных компьютеров или сетей.

• Журналирование действий пользователей

Система фиксирует все действия пользователей в журнале, позволяя администраторам системы отслеживать и анализировать активность и потенциально подозрительные действия.

• Ограниченный доступ к файлам

Администраторы могут установить ограничения на доступ к конкретным файлам или папкам, разрешая доступ только определенным пользователям или группам пользователей.

• Защита от перебора паролей

Система Bitrix24 имеет встроенные механизмы, предотвращающие несанкционированные попытки угадывания паролей, например, блокирование учетной записи после нескольких неудачных попыток ввода пароля.

3. Возможность восстановления данных

Для обеспечения спокойствия владельцев, о сохранении данных, в Битрикс24 предоставляет встроенные инструменты для резервного копирования и восстановления, который включает:

• Автоматическое резервное копирование:

Битрикс24 предлагает автоматическое резервное копирование данных, что позволяет сохранять информацию в безопасности без необходимости ручного вмешательства.

• Гибкие настройки резервного копирования:

В Битрикс24 есть возможность настройки параметров резервного копирования в соответствии с потребностями.

• Восстановление данных из резервной копии

В случае потери данных или сбоя в системе вы можете легко восстановить данные из резервной копии.

• Дополнительные возможности восстановления

Битрикс24 также предлагает дополнительные возможности восстановления отдельных данных. (восстановление отдельных файлов)

Архитектура безопасности Битрикс24

Единая система авторизации

Ядро Битрикс24 состоит из системы авторизации, регистрации и управления пользователями и группами пользователей, а также базы данных, в которой регистрируются как сотрудники компании, так и пользователи сайта.

Также в системе присутствуют:

• различные группы пользователей, с разными правами и доступом к функционалу сайта
• административный интерфейс, который позволяет создавать и настраивать группы пользователей в любом количестве

Разграничение прав доступа

В Битрикс24 реализована двухуровневая система разграничения прав доступа.

• Первый уровень предоставляет доступ к файлам и каталогам.

Можно задать доступ для определенных групп пользователей к выбранным документам.

• Второй уровень обеспечивает разграничение доступа к модулям и логическим операциям в модулях.

Если пользователь имеет право на чтение файла, который является частью функционального модуля, то проверяются права доступа в соответствии с настройками этого модуля.

В том числе, для второго уровня существуют две методологии разграничения прав доступа на права и роли:

• При использовании прав, если пользователь имеет несколько прав, выбирается наивысшее из них.
• При использовании ролей пользователь обладает суммарными возможностями всех своих ролей.

Шифрование данных при передаче

Шифрование данных при работе с административными или закрытыми разделами сайта является важным и необходимым для обеспечения ИБ.

Шифрование позволяет защитить информацию, передаваемую по каналу, и исключить возможность перехвата данных. Промышленным стандартом для защиты веб-приложений является SSL-шифрование в рамках протокола HTTPS. В качестве сертифицированных ГОСТ алгоритмов, на основе которых построена защита, используются российские стандарты шифрования данных:

• ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 — операции создания и проверки электронной цифровой оплаты (ЭЦП) для аутентификации клиента, а также авторизация и обеспечение защищенности электронных документов при обмене ими по TLS-соединению;
• ГОСТ 28147-89 — Операции шифрования данных и их защиты для обеспечения конфиденциальности и контроля профессиональной информации по TLS-соединению

Двухфакторная аутентификация и одноразовые пароли

В Битрикс24 можно защитить данные с помощью двухфакторной аутентификации. В таком случае вход в Битрикс24 будет состоять из двух этапов: сначала нужно ввести логин и пароль, потом — уникальный одноразовый код, который генерируется специальным приложением. Код ограничен по времени и используется только один раз. Даже если мошенник узнает основной пароль, он не сможет зайти в ваш Битрикс24.

В том числе для обеспечения безопасности доступа удаленных сотрудников в новой версии реализована технология одноразовых паролей (One Time Password — OTP) на базе электронных ключей Aladdin eToken PASS для обеспечения аутентификации пользователя при доступе на Портал.

Система обновления

Важнейшим инструментом в обеспечении безопасности является технология оперативного обновления SiteUpdate, которая позволяет без технических специалистов получать и устанавливать последние обновления решения.

Эта уникальная технология позволяет загружать обновления и новые модули с сайта компании «Битрикс» через веб-интерфейс административного раздела продукта.

При загрузке обновлений проверяется лицензионный ключ продукта, а также выбираются необходимые обновления и модули, в том числе данные сжимаются, что значительно увеличивает скорость загрузки обновлений. Таким образом, владелец может оперативно поддерживать актуальность системы.

Проактивная защита

Проактивный фильтр

Проактивный фильтр (WAF — Web Application Firewall) является эффективным средством защиты от потенциальных уязвимостей безопасности.

Действие фильтра основано на анализе и фильтрации всех данных, передаваемых от пользователей через переменные и куки. В процессе обработки внешних запросов от пользователей, проактивный фильтр распознает большинство опасных угроз и препятствует вторжениям на сайт.

Основные функции фильтра включают:

• Защиту от большинства известных атак на веб-приложения.
• Экранирование приложения от наиболее распространенных видов атак.
• Возможность создания списка исключений, чтобы определенные страницы не подвергались фильтрации (по маске).
• Распознавание опасных угроз.
• Блокировку вторжений на портал.
• Защиту от возможных ошибок безопасности.
• Запись попыток атак в журнал.
• Информирование администратора о случаях вторжения.
• Настройку активной реакции системы на попытки вторжения на сайт.

Проактивный фильтр является важным компонентом системы безопасности, который помогает предотвратить множество известных атак и обеспечить безопасность веб-приложений.

Панель безопасности и уровни защиты

Панель безопасности является инструментом, который упрощает настройку и отслеживание статуса каждого модуля защиты, объединяя их в одном месте с рекомендациями по безопасности.

Для обеспечения стандартного уровня безопасности следует включить Проактивный фильтр (Web Application Firewall) без исключений, а журнал вторжений за последнюю неделю должен быть пустым. Кроме того, необходимо включить контроль активности и CAPTCHA. Однако, показ ошибочных запросов базы данных можно отключить, а режим вывода ошибок настроить на «Только ошибки» или «Не выводить».

Для достижения продвинутого уровня защиты следует добавить защиту от фишинговых редиректов, смену идентификатора сессий, хранение сессий в базе данных, защиту административной панели и ограничение отображения страниц во фрейме. Для повышенного уровня защиты рекомендуется также включить контроль целостности данных, веб-антивирус без исключений, использование одноразовых паролей и оповещения о действиях в случае обнаружения заражения. При этом журнал заражений за последнюю неделю также должен быть пустым.

Брандмауэр веб-приложений

Этот инструмент обнаруживает потенциальные опасности и анализирует поведение посетителей, отфильтровывая тех, кто ведет себя подозрительно и может представлять угрозу. Попытки атак регистрируются в журнале, а администратор получает уведомления о попытках проникновения. Кроме того, IP-адрес атакующего можно добавить в список запрещенных.

Однако важно помнить, что не все посетители, чье поведение может показаться подозрительным, имеют отношение к атакам. Иногда это может быть просто совпадение.

Если при создании вашего проекта были допущены ошибки в области безопасности, такие как XSS, SQL-инъекции, включение PHP или другие, проактивный фильтр становится наиболее эффективным инструментом для обеспечения безопасности вашего проекта.

Сканер безопасности

Этот сканер, предоставляет сканирование ресурса и выявляет уязвимости в программной части, настройках сервера, CMS (системе управления контентом) и PHP.

Сканер выполняет следующие функции:

• Сканирование окружения (правильности хранения файлов и других аспектов.
• Проверка настроек сайта, включая наличие Web Application Firewall (веб-приложение для защиты от атак), наличие пароля для базы данных и другие параметры
• Поиск возможных уязвимостей в коде
• Запуск внешнего сканирования для обнаружения потенциальных уязвимостей.

Особенно этот инструмент актуален в случае, если вы не являетесь экспертом в области ИБ. Сканер предоставляет возможность получить обзорную оценку безопасности портала и выявить потенциальные проблемы.

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные.

Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения, то есть предоставляет возможность немедленно принимать ответные меры.

Антивирус

Веб-антивирус встроен непосредственно в само решение. «Веб-антивирус» препятствует встраивания вредоносного кода непосредственно в веб-приложения.

Система построена таким образом, что «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта, что в итоге вирусы не могут проникнуть на компьютер пользователя сайта. Особенно важно, что антивирус уведомляет администратора портала — предупреждает о наличии “заразы”.

Сертификация и стандарты

Битрикс постоянно проводит аудит и тестирование защитных механизмов решения и делает это не только собственными силами, но и с привлечением сторонних экспертных компаний. Полученные в результате испытаний сертификаты подтверждают качество защитных механизмов продукта и соответствие их современным требованиям обеспечения информационной безопасности.

На данный момент получен сертификат №4750 от 13.12.2023 на версии «Энтерпрайз» программного продукта «1С-Битрикс24» сроком действия до 13.12.2028 года, который удостоверяет, что решение является полностью защищенным от несанкционированного доступа к информации, а также соответствует требованиям по безопасности (ФСТЭК России, 2020)

Преимущества выбора Битрикс24 для обеспечения безопасности данных

Одним из основных преимуществ выбора Битрикс24 для обеспечения безопасности данных является следующее:

• Крепкая система шифрования

Битрикс24 использует современные методы шифрования, что позволяет защитить передаваемую информацию от несанкционированного доступа.

• Защита от вирусов и вредоносных программ

Битрикс24 имеет встроенные антивирусные и анти-спам фильтры, которые помогают обнаружить и блокировать вредоносные программы и запрещенный контент.

• Многоуровневая аутентификация

Битрикс24 предоставляет возможность настройки многоуровневой аутентификации, такой как использование двухфакторной аутентификации, что повышает безопасность доступа к данным.

• Регулярные бэкапы и восстановление данных

Битрикс24 автоматически создает регулярные резервные копии данных и предоставляет возможность быстрого восстановления информации в случае потери или повреждения.

• Ограничение доступа к данным

Битрикс24 позволяет ограничить доступ к данным только определенным группам или пользователям, что защищает информацию от несанкционированного распространения.

• Контроль доступа и прав пользователей

Битрикс24 позволяет установить различные уровни доступа и прав пользователей, что позволяет более точно контролировать доступ к данным.

• Проактивная защита

Модуль, который позволяет произвести защиту от возможных ошибок безопасности, а также защитится от вторжения и многое другое.

Подводя итоги, можно сказать, что Битрикс24 является надежной и безопасным решением для управления бизнесом, которое предлагает широкий спектр функций для обеспечения безопасности данных. Многоуровневая система безопасности, соответствие стандартам безопасности, удобство использования делают Битрикс24 идеальным выбором для компаний, которые хотят защитить свои данные от несанкционированного доступа.

#Битрикс24