Корпоративная безопасность данных в Битрикс24: архитектура и защита

В 2025 году в России произошло 103 случая утечки корпоративных данных. Каждое такое происшествие несет репутационные и финансовые риски. За потерю информации компаниям может грозить штраф до 20 миллионов рублей.

В Битрикс24 реализована многоуровневая система безопасности. В этой статье объясняем, как платформа защищает данные компаний и что может сделать бизнес, чтобы избежать рисков.

Кто отвечает за безопасность

Компании сталкиваются с двумя типами угроз — внешними и внутренними.

Внешние риски связаны со злоумышленниками, которые не являются легитимными пользователями. Они могут получить несанкционированный доступ к корпоративным системам, похитить данные, удалить или зашифровать их в корыстных целях. Например, остановить работу компании или продать украденную конфиденциальную информацию.
Внутренние угрозы исходят от сотрудников компании. Коллеги могут случайно или умышленно повредить чувствительные данные или передать их третьим лицам.

Чтобы свести обе угрозы к минимуму, все стороны должны внимательно относиться к кибербезопасности: руководители и специалисты компании, сервис-провайдеры, подрядчики-интеграторы и разработчики корпоративных программ. В этом случае бизнес получает многоуровневую систему защиты с разделением ответственности за обеспечение безопасности. Как она может выглядеть:

Битрикс24. Предоставляет облачный сервис и отвечает за защиту его инфраструктуры: анализирует и фильтрует трафик, обнаруживает и предотвращает атаки, использует различные механизмы проверки безопасности. Как вендор программного обеспечения реализует процессы безопасной разработки. Подробно разберем защищенность Битрикс24 в следующих разделах.
Компании-пользователи. Контролируют безопасность данных внутри своих систем — управляют правами доступа, обеспечивают соответствие требованиям регуляторов, создают внутренние регламенты и обучают сотрудников.
Интеграторы Битрикс24. Настраивают корпоративный портал, рассказывают персоналу компаний-партнеров, как безопасно работать с данными, и предлагают дополнительные меры защиты информации.

Как Битрикс24 хранит данные бизнеса

Компании-пользователи могут использовать облачную (On-Cloud) или коробочную (On-Premise) версию бизнес-решения. В первом случае за безопасность инфраструктуры, в которой обрабатываются и хранятся данные, отвечает Битрикс24 совместно с выбранными надежными дата-центрами. Пользователям остается открыть программу и зарегистрироваться, после этого можно сразу использовать все функции. При этом важно настроить роли сотрудников, минимально необходимый для выполнения их должностных обязанностей доступ к информации.

Чтобы работать в «коробке», бизнес сначала должен настроить собственную IT-инфраструктуру: сделать проект на новую информационную систему на базе ПО Битрикс24, включая документацию на подсистемы защиты информации, купить оборудование, организовать для него место в серверных помещениях, обеспечить кадровые ресурсы технических специалистов, развернуть, протестировать и запустить в эксплуатацию систему. Такой вариант выбирают компании, которые хотят адаптировать решение от вендора под свои задачи и самостоятельно отвечать за безопасность всей системы и данных.

Хранение данных

Битрикс24 может быть в облачной или коробочной версии. В обоих случаях компании получают надежный продукт.

Безопасность облачной версии. Битрикс24 сотрудничает с центрами обработки данных (ЦОД) высокого уровня надежности — Tier III. Компания использует три физические площадки от АО «Корп Софт» и еще три пространства от ООО «Цифровое облако» (VK Cloud). Все оборудование находится на территории России, поэтому на серверах можно законно хранить и обрабатывать данные граждан.

Центры обработки данных Tier III работают без остановок 99% времени. Оборудование не отключают даже для планового обслуживания: нагрузку берут на себя резервные системы. Они же включаются, если пропадает питание или происходят ошибки. Отказоустойчивость ЦОД — выше 99,95%.

При этом у Битрикс24 каждой компании своя база данных (БД). Информация хранится сразу на нескольких серверах на разных независимых площадках: если один сломается, БД останется на других.

Безопасность коробочной версии. Когда компании выбирают модель On-Premise, они сами управляют безопасностью инфраструктуры. Самостоятельно определяют архитектуру системы, контролируют обновления и настраивают окружение под свои нужды.

Коробочная версия может работать в закрытом контуре — изолированной среде без прямого доступа к интернету.

Битрикс24 можно встроить в существующую систему защиты компании: подключить к корпоративным антивирусам, файрволам и другим инструментам безопасности.

Какие механизмы защиты есть в Битрикс24

1. Сетевая безопасность. Облачное пространство компаний защищено от хакерских атак на нескольких уровнях. Проактивный фильтр автоматически блокирует известные способы взлома в соответствии с фреймворком OWASP Top 10.

Кроме того, Битрикс24 мониторит и анализирует системные события, в результате может заблокировать IP-адреса, с которых ведется подозрительная деятельность. А встроенная защита от межсайтового скриптинга (XSS) не позволяет мошенникам внедрять вредоносный код в доверенные инструменты решения.

2. Шифрование данных. Битрикс24 защищает всю информацию, которую передают и хранят пользователи. Когда сотрудник отправляет сообщение или открывает документ, данные проходят через защищенный канал связи — протокол TLS 1.3 с шифрованием по стандарту AES-256 бит.

Отдельный тип данных — пароли пользователей. Они записываются не в исходном виде, а преобразуются в хеш. Это вычисленный по односторонней математической функции набор символов, который нельзя перевести обратно. Даже если кто-то получит доступ к базе данных, он увидит только бессмысленный набор знаков.

Поля таблиц БД, содержащие чувствительную идентификационную информацию, зашифрованы по протоколу AES-256 бит. Для тарифа «Энтерпрайз» используется дополнительное шифрование в покое на уровне дисков.

3. Управление доступом. Защита данных Битрикс24 позволяет настраивать права каждого сотрудника. Администраторы компании-пользователя могут выдавать доступ только к той информации, которая специалистам нужна для работы.

Управление ресурсами облака со стороны администраторов Битрикс24 реализуется в соответствии с ролевой моделью и строгим разграничением доступа к настройкам среды без прямого доступа к данным пользователей.

4. Парольная защита. В Битрикс24 компании могут задавать требования к сложностям паролей. Система будет следить, чтобы пароли отвечали политикам безопасности, а сотрудники часто меняли комбинации и не использовали их несколько раз.

Дополнительную защиту дает обязательная двухфакторная аутентификация. Чтобы зайти в Битрикс24, сотрудникам нужно подтвердить вход в мобильном приложении.

5. Дополнительные инструменты. Для более высокой защиты данных в Битрикс24 есть еще несколько механизмов. Напомним: в облачной версии они уже включены и управляются нами, а в коробочной — это зона ответственности компании-пользователя.

Веб-антивирус. Проверяет информацию на серверах Битрикс24 перед тем, как отправить ее в браузер сотрудников. Если обнаруживает вредоносные или подозрительные элементы, автоматически удаляет их. Так, даже если кто-то попытается внедрить вирус в портал, он не попадет на устройства пользователей.
Сканер безопасности и инструмент поиска троянов. Ищет слабые места в настройках системы и проверяет файлы на наличие троянских программ. Помогает обнаружить уязвимости до того, как ими воспользуются злоумышленники.
Контроль целостности файлов. Отслеживает любые изменения в системных файлах Битрикс24. Можно в любой момент проверить, не вносил ли кто-то правки в критичные компоненты системы.
Защита от утечек. В мобильном приложении администраторы могут запретить сотрудникам делать скриншоты, записывать экран и копировать тексты. Также можно настроить автоматическое удаление сообщений.
Интеграция со службой каталогов компании-пользователя. Позволяет управлять учетными записями пользователей через единую централизованную систему — не нужно вручную создавать и настраивать доступ для каждого сотрудника.
Электронная подпись. Битрикс24 поддерживает разные виды цифровых подписей. Компании могут безопасно подписывать документы и подтверждать сделки онлайн.

Работайте безопасно в Битрикс24

Чем больше отдельных сервисов — тем выше риски утечек.
Используйте один Битрикс 24 в защищенном облаке.

Создать бесплатно

Как проверить безопасность Битрикс24

Команда Битрикс24 следит за безопасностью системы: отслеживает новые угрозы и анализирует возможные уязвимости. Когда специалисты фиксируют рост рисков, они сразу реализуют комплекс мероприятий по их снижению: описывают компенсирующие меры защиты, выпускают обновления безопасности, устанавливают их в облаке и предупреждают клиентов коробочной версии о необходимых действиях. Апдейты — это основной способ защиты от новых угроз, поэтому их важно устанавливать как можно быстрее.

Проверить, насколько актуальна ваша версия Битрикс24, можно на сайте.

Чтобы клиенты всегда были в курсе текущих угроз, компания создала Центр информирования. Там публикуют инструкции по защите портала и рассказывают о новых рисках.

Если вы используете сторонние интеграции или разработки, обратите внимание на реестр уязвимостей — в нем Битрикс24 фиксирует проблемы безопасности, которые обнаружили в решениях других компаний. Так вы сможете вовремя узнать об уязвимостях и защитить свой портал.

Частые вопросы

Нет, сотрудники Битрикс24 не могут просматривать информацию клиентов без их разрешения. Каждое облачное пространство хранится в отдельной изолированной базе данных, и у команды провайдера нет прямого доступа к этим базам.

Исключение — когда клиенты сами предоставляют данные. Это происходит, например, при обращении в техподдержку.

Проверить сертификацию ПО можно в Реестре сертифицированных средств защиты информации (СЗИ).

Здесь можно найти продукты, которые прошли сертификацию по требованиям безопасности и являются надежными.

Битрикс24 имеет сертификаты ФСТЭК России по четвертому уровню доверия — одному из самых высоких для средств защиты от несанкционированного доступа к конфиденциальной информации.

Битрикс24 работает с учетом требований российского законодательства и практик отечественных и зарубежных стандартов:

ФЗ-149 — регулирует, как нужно работать с информацией и защищать ее.
ФЗ-184 — описывает стандарты и требования к безопасности технологий.
ФЗ-63 — рассказывает, как пользоваться электронными подписями.
ФЗ-152 — определяет, как правильно собирать, хранить и защищать персональные данные пользователей.
ГОСТ Р ИСО/МЭК 2700х — описывает международные стандарты по управлению информационной безопасностью.
ГОСТ Р 56939-2024, OWASP Top 10 — задают стандарты по безопасности веб-приложений.

Продукты компании внесены в реестр отечественного ПО ( Единый реестр российских программ для ЭВМ и баз данных): 1С-Битрикс24: Корпоративный портал; 1С-Битрикс: Управление сайтом. Это подтверждает, что они соответствуют требованиям Минцифры.

Что в итоге

Битрикс24 выстраивает многоуровневую систему защиты данных, чтобы минимизировать риски для пользователей.
Облачные версии Битрикс24 размещаются на шести площадках двух российских дата-центров высокого уровня надежности Tier III.
Компании могут встраивать коробочную версию Битрикс24 в собственную IT-инфраструктуру и систему безопасности.
Защита Битрикс24 соответствует требованиям законодательства, входит в реестр отечественного ПО и имеет сертификаты ФСТЭК по четвертому уровню доверия.