Конфиденциальность в Битрикс24

14.05.2018 10:19:00
20180514T101900Z
20180514T102100Z

При принятии решения о начале внедрения любой информационной системы вопрос безопасности и сохранности данных всегда является одним из ключевых. Если программное обеспечение не может гарантировать разграничение доступа к данным и их целостность, служба безопасности вряд ли даст “добро” на старт проекта.


В нашей практике мы постоянно сталкиваемся с вопросами по организации хранения и безопасности данных в Битрикс24.


Рассмотрим эти вопросы детально:

В Битрикс24 хранятся данные двух типов. Это загруженные файлы и данные, введённые вручную или загруженные из других систем.


Сначала разберёмся с вопросом, где физически хранятся данные в  Битрикс24.


Программный продукт Битрикс24 доступен в двух версиях: облачной и коробочной.


Облачная версия Битрикс24 предоставляется по типу SAAS (программный продукт в аренду), таким образом, для пользователя предполагает собой исключительно публичную веб-версию, без возможности доступа в административную панель и на сервер. Все данные облачного Битрикс24 (файлы, данные пользователей, программный код, база клиентов, база счетов и так далее) хранятся в дата-центре, где компания Битрикс арендует мощности (все сервера находятся в России в соответствии с законодательством РФ).


Коробочная версия - это полноценный программный продукт, который передаётся конечному пользователю полностью, и его необходимо самостоятельно устанавливать и настраивать на сервере. Сервер может находиться как внутри локальной сети, так и у сторонней хостинг-компании, которая предоставляет услуги аренды серверов.


Если вы арендуете виртуальный сервер у хостер-провайдера, то все данные, которые есть на вашем портале, хранятся у хостинг-провайдера.


Если ваша компания обладает необходимыми мощностями и выделила виртуальный или физический сервер под Битрикс24, то все данные хранятся на вашем сервере внутри вашей сети.


Как устроен доступ к Битрикс24, могут ли посторонние получить доступ к данным?


Доступ в Битрикс24 имеют только зарегистрированные в системе пользователи. При подключении к продукту отображается исключительно форма авторизации, в которой предлагается ввести логин и пароль, либо перейти по ссылке “Забыли свой пароль?” для перехода на форму восстановления пароля.


Восстановление пароля осуществляется с помощью авторизационной ссылки, которая отправляется на e-mail - адрес пользователя. Таким образом, несанкционированно подключиться к системе возможно лишь предварительно взломав почтовый ящик пользователя.


А есть ли какая-то дополнительная защита от входа посторонних, не только логин-пароль?


В Битрикс24 существует функция двухэтапной авторизации. При включении данной функции, сотрудники будут вводить свой логин и пароль, а потом получать секретный код на свое приложение на мобильном устройстве, и вводить этот код в форме авторизации, и только после этого получать доступ к порталу.

Для коробочной версии продукта возможно дополнительно ограничить доступ из Интернета. То есть пользователи системы смогут войти на портал только из внутренней корпоративной сети.

Для обеспечения защиты от большинства известных атак, в последние версии продукта включен модуль «Проактивная защита», который включает в себя комплекс технических мер для защиты вашего интранет-портала.


А если посторонний пользователь случайно получит доступ к Битрикс24?


Добавлять пользователей в систему можно несколькими способами:

  1. Заводить вручную

  2. Импортировать CSV-файл с данными пользователей в Битрикс

  3. Интегрировать с  Active Directory / LDAP

  4. Интегрировать с 1С:ЗУП

При интеграции с AD пользователи будут иметь авторизационные данные (логин и пароль) такие же, как и в своей учётной записи AD.

Добавить нового пользователя вручную может только администратор портала. При этом он не имеет доступа к паролям пользователей.

При интеграции данных из других систем поставщиком данных является внешняя для Битрикс24 система. Для предотвращения неприятностей со случайным доступом посторонних при загрузке из других систем, следует корректно и своевременно обновлять данные в этих системах. Например, своевременно отключать доступ в Active Directory для уволенных или временных сотрудников.


А где хранятся загруженные в Битрикс24 файлы? Возможно ли к ним получить доступ?


В Битрикс24 существует файловое хранилище - область системы, где хранятся все загруженные файлы.

Соответственно, загруженные в облачный Битрикс24 файлы хранятся на серверах Битрикса, если у вас коробочная версия Битрикс24, то файлы хранятся на вашем сервере. В первом случае доступ к файлам есть только через интерфейс Битрикс24, во втором - администратор сервера может, зная архитектуру хранения данных, получить к ним доступ напрямую.

Все файлы можно структурировать по папкам и дискам. Доступы пользователей можно ограничивать на каждый элемент файлового хранилища, будь то диск, папка или отдельно взятый файл.


А что делать с внешними файловыми хранилищами?


К обеим версиям Битрикс24 можно подключить сетевой диск. В таком случае файлы из сетевого диска будут скопированы и загружены в Битрикс, и действия с файлами как на портале, так и на сетевом диске будут синхронизироваться.

В коробочной версии Битрикс24 есть возможность подключения внешнего облачного хранилища, например Selectel, Amazon. В этом случае можно по определенному правилу файлы отправлять в соответствующее хранилище. Это может быть размер или тип файла, или определённая группа или папка. В дальнейшем система будет обращаться в облачное хранилище за нужным файлом по запросу пользователя.


Что происходит, когда пользователь просматривает или редактирует файл в Битрикс24?


Офисные документы возможно редактировать двумя способами: редактирование с помощью программного обеспечения на компьютере пользователя или редактировать онлайн.

В первом случае файл физически скачивается на компьютер пользователя и открывается в соответствующей программе. После завершения редактирования копия файла загружается в Битрикс24 в виде новой версии файла. При этом файл остаётся и на компьютере пользователя.

При редактировании онлайн (в окне браузера), необходимо подключить внешний онлайн-редактор. Битрикс24 позволяет подключить такие онлайн-редакторы как Google Docs или MS Office Web App. Копии документов, которые редактируются на портале через онлайн-редактор, сохраняются в облачном диске пользователя, который редактировал файл.

При использовании этих способов редактирования следует учитывать особенности работы с документами и защищать документы с ограниченным доступом.

Например, развернуть MS Office 365 внутри локальной сети компании, тогда файлы не уйдут за пределы компании.


Битрикс24.Диск


Модуль «Битрикс24.Диск» входит в функционал десктопного приложения для корпоративного портала. Инструмент позволяет синхронизировать файлы на диске сотрудника и на персональном компьютере, на котором установлено десктопное приложение Битрикс24, тем самым позволяя работать с файлами без подключения к интернету.

В последней версии десктопного приложения добавлена возможность выбирать файлы и папки на ПК для синхронизации, таким образом синхронизируются не все файлы, а только те, которые выбрал пользователь.


А можно ли использовать Битрикс24 в защищённых контурах?


Продукты Битрикс24 проходят государственную проверку на соответствие требованиям четвертого уровня контроля состава ПО официального документа ФСТЭК «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» с получением соответствующих сертификатов.


Степень конфиденциальности содержащейся на корпоративном портале информации каждая компания определяет самостоятельно, а встроенные возможности Битрикс24 позволяют реализовать необходимые права доступа как к определённым данным, так и к информационной системе в целом.

Мы обсудили возможности стандартного функционала Битрикс24. Если этого недостаточно, для коробочной версии всегда можно разработать дополнительные механизмы. Например, авторизация через ADFS или защита документов от копирования.


Ольга Данилина

Менеджер по продукту
Все статьи