Конфиденциальность в Битрикс24
Во время принятия решения о внедрении информационной системы один из ключевых вопросов — безопасность и сохранность данных. Если ПО не может гарантировать разграничение доступа к данным и их целостность, служба безопасности вряд ли одобрит старт проекта.
Мы часто сталкиваемся с вопросами о хранении и безопасности данных в Битрикс24, поэтому решили рассмотреть их детально.
В Битрикс24 хранятся данные двух типов. Это файлы и данные, введенные вручную, или загруженные из других систем.
Где физически хранятся данные в Битрикс24?
Программный продукт Битрикс24 доступен в двух версиях: облачной и коробочной.
Облачная версия Битрикс24 предоставляется по типу SAAS (программный продукт в аренду), поэтому предполагает публичную веб-версию, без возможности доступа в административную панель и на сервер. Все данные облачного Битрикс24 (файлы, информация о пользователях, программный код, база клиентов, счетов и т.д.) хранятся в дата-центре, где компания Битрикс арендует мощности (все серверы находятся в России, в соответствии с законодательством РФ).
Коробочная версия — это полноценный программный продукт, который полностью передается конечному пользователю, его необходимо самостоятельно устанавливать и настраивать на сервере. Сервер может находиться как внутри локальной сети, так и у сторонней хостинг-компании, которая предоставляет услуги аренды.
Если организация арендует виртуальный сервер у хостер-провайдера, то все данные, которые есть на ее портале, хранятся у него.
Если компания обладает необходимыми мощностями и выделила виртуальный или физический сервер под Битрикс24, то данные хранятся внутри ее сети.
Как устроен доступ к Битрикс24, могут ли посторонние получить его?
Доступ в Битрикс24 есть только у зарегистрированных в системе пользователей. При подключении к продукту отображается форма авторизации, в которой предлагается ввести логин и пароль либо перейти по ссылке “Забыли свой пароль?” для выхода на форму его восстановления.
Восстановление происходит с помощью авторизационной ссылки, которая приходит на email пользователя. Поэтому несанкционированно подключиться к системе можно, если только взломать почтовый ящик.
Есть ли дополнительная защита от входа посторонних помимо логина и пароля?
В Битрикс24 есть функция двухэтапной авторизации. При ее включении сотрудники будут вводить логин и пароль, а потом получать секретный код на мобильное приложение. И только после ввода кода в форму авторизации они получат доступ к порталу.
Для коробочной версии продукта можно дополнительно ограничить доступ из Интернета. Тогда пользователи смогут войти на портал только из внутренней корпоративной сети.
Для защиты от информационных атак в последние версии продукта включен модуль «Проактивная защита». Он содержит комплекс технических мер для защиты интранет-портала.
А если посторонний пользователь случайно получит доступ к Битрикс24?
Добавлять пользователей в систему можно несколькими способами:
- Вводить данные вручную;
- Импортировать в Битрикс CSV-файл с данными;
- Интегрировать с AD/LDAP;
- Интегрировать с 1С:ЗУП.
Добавить нового пользователя вручную может только администратор портала. При этом он не имеет доступа к паролям пользователей.
При интеграции Битрикс24 с другой системой, поставщиком данных будет она. Для предотвращения неприятностей важно корректно и своевременно обновлять в ней данные, например, отключать доступ для уволенных или временных сотрудников.
Где хранятся загруженные в Битрикс24 файлы? Возможно ли получить к ним доступ?
На серверах Битрикс24 есть область, в которой хранятся все загруженные файлы (файловое хранилище) и доступ к нему можно получить только через интерфейс Битрикс.
Но если у вас коробочная версия, то они содержатся на вашем сервере и администратор, зная архитектуру хранения данных, получает к ним доступ напрямую.
Все файлы можно структурировать по папкам и дискам. Тогда доступы можно ограничивать на каждый элемент хранилища: диск, папку или отдельно взятый файл.
Что делать с внешними файловыми хранилищами?
К обеим версиям Битрикс24 можно подключить сетевой диск. Тогда файлы из него будут скопированы и загружены в Битрикс, действия на портале и на диске будут синхронизироваться.
В коробочной версии можно подключить внешнее облачное хранилище, например Selectel или Amazon, и отправлять файлы туда. В дальнейшем система будет обращаться в облачное хранилище за нужным файлом по запросу пользователя.
Что происходит, когда пользователь просматривает или редактирует файл в Битрикс24?
Офисные документы можно редактировать двумя способами: с помощью ПО на компьютере пользователя или онлайн.
В первом случае файл скачивается на компьютер и открывается в соответствующей программе. После завершения редактирования копия загружается в Битрикс24 в виде новой версии. При этом файл остается и на компьютере пользователя.
Для редактирования онлайн нужно подключить внешний редактор (Google Docs или MS Office Web App). Тогда копии документов, которые правятся на портале через онлайн-редактор, сохраняются в облачном диске пользователя.
Используя эти способы, следует защищать документы с ограниченным доступом. Например, развернуть MS Office 365 внутри локальной сети, чтобы файлы не ушли за пределы компании.
Битрикс24. Диск
Модуль “Битрикс24.Диск” входит в функционал десктопного приложения для корпортала. Инструмент позволяет синхронизировать файлы на диске и на персональном компьютере, позволяя работать с ними без подключения к интернету. В последней версии десктопного приложения есть возможность выбирать файлы и папки на ПК для синхронизации.
Можно ли использовать Битрикс24 в защищенных контурах?
Продукты Битрикс24 проходят государственную проверку на соответствие требованиям четвертого уровня контроля состава ПО официального документа ФСТЭК “Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей” с получением соответствующих сертификатов.
Степень конфиденциальности информации каждая компания определяет самостоятельно, а Битрикс24 позволяют реализовать права доступа как к определенным данным, так и к информационной системе в целом.
Мы обсудили возможности стандартного функционала Битрикс24. Если этого недостаточно, для коробочной версии всегда можно разработать дополнительные механизмы, например, авторизацию через ADFS или защиту документов от копирования.