1С — это не просто бухгалтерия или складской учет. Для большинства российских компаний это «цифровая кровеносная система», содержащая финансовые потоки, персональные данные сотрудников и клиентов, коммерческую тайну и логистические цепочки. Компрометация этой системы часто означает немалые сложности для бизнеса. Разберемся, как выстроить «оборону» и что нужно для обеспечения безопасности 1С.
Почему важно защищать данные для работы в системе 1С
Многие руководители уверены, что работа 1С внутри корпоративной сети уже сама по себе гарантирует полный порядок. И это действительно хорошая основа. Однако даже в такой среде есть смысл предусмотреть дополнительные меры: например, разграничить права доступа или настроить резервное копирование. Это поможет избежать неловких ситуаций — случайных ошибок или единичных инцидентов, которые проще предотвратить, чем исправлять.
Последствия утечки или потери данных 1С:
-
Штрафы до 500 тыс. рублей за утечку персональных данных (ст. 13.11 КоАП РФ) и оборотные штрафы до 3% выручки по 152-ФЗ.
-
Остановка операционной деятельности: отгрузки, расчет зарплаты, сдача отчетности.
-
Репутационные потери и потеря ключевых контрагентов.
Архитектура 1С с точки зрения безопасности
Способ доступа к базе радикально меняет набор угроз и методы защиты. Рассмотрим три основных типа клиентов.
Толстый клиент
Приложение установлено на ПК пользователя, база может лежать на файловом сервере (SMB) или SQL. Плюс: высокая производительность. Минусы: SQL-инъекции, перехват NTLM-хэшей, прямой доступ к файлам .1CD. Если злоумышленник получит доступ к файлу базы — он копирует все данные без каких-либо паролей 1С.
Тонкий клиент
Пользователь работает через приложение, но все вычисления на сервере. Данные не кэшируются локально (кроме временных файлов). Это снижает риск кражи самих файлов базы, но повышает нагрузку на сеть. Главная угроза — сниффинг трафика между клиентом и сервером, если не включено шифрование.
Веб‑клиент
Доступ через браузер. Самый удобный для удаленщиков, но и самый опасный с точки зрения веб-атак: XSS, подделка запросов (CSRF), перебор паролей. Плюс — данные никогда не хранятся на устройстве пользователя, минус — веб‑сервер (Apache/Nginx) становится новой точкой входа для хакеров.
Частые проблемы безопасности и их решения
Рассмотрим реальные сценарии атак на 1С, а не абстрактные угрозы.
| Частая проблема | Причина | Решение |
|---|---|---|
| Утечки и несанкционированный доступ | Общий доступ к папке с файловой базой (\server\1C\base) | Переход на клиент-серверный вариант (SQL Server) и отключение файлового доступа |
| Вредоносное ПО (шифровальщики) | Шифровальщики шифруют .1CD, .MDF, .LDF файлы | Политика «белых списков» приложений (AppLocker) и разграничение прав на запись в хранилища баз |
| Фишинг | Сотрудник ввел логин/пароль от 1С на поддельной странице | Многофакторная аутентификация (пароль бесполезен без подтверждения в токене) |
| Уязвимости в конфигурациях (слабые пароли) | Пароли «123», «1» и т.п. | Политика сложности паролей средствами ОС или AD |
| Отсутствие обновлений | Критические уязвимости платформы 1С (например, выполнение кода через обработку «Выполнить») | Регулярное обновление платформы и конфигураций |
| Открытый трафик | Неправильные права у пользователей и отсутствие шифрования (трафик передается в открытом виде) | Включение шифрования соединений (SSL/TLS) на уровне сервера 1С |
| Риски удаленного доступа | Проброшенный RDP на весь офис без VPN | Использование защищенных шлюзов (VPN, коробочные решения типа Termidesk для 1С) с гибридной аутентификацией |
| Человеческий фактор (администратор) | Админ сливает бэкап на флешку | Жесткое DLP-правило на копирование баз |
| Человеческий фактор (сотрудник) | Сотрудник оставляет сессию открытой | Автоматическая блокировка экрана после 5 минут простоя |
Как обеспечить безопасность вашей 1С
Ниже мы перечислим конкретные шаги, необходимые для построения защищенной надежной учетной системы.
Контроль доступа и разграничение прав
Убедитесь, что в системе отключены все стандартные пользователи с правами администратора («Администратор», «Администратор системы», «Пользователь» с пустым паролем). Для каждого сотрудника создайте индивидуальную учетную запись (общие логины запрещены). Пароли пользователей соответствуют политике сложности (длина ≥ 8 символов, буквы разного регистра, цифры, спецсимволы). Настройте автоматическую блокировку учетной записи после 3–5 неудачных попыток входа. Отключите учетные записи уволенных и перемещенных сотрудников. Периодичность ревью прав доступа — не реже 1 раза в квартал.
Аутентификация и интеграция с корпоративным каталогом
Вход в 1С должен быть интегрирован с корпоративным каталогом (Active Directory, LDAP). Для удаленного доступа и ключевых ролей (администратор, кассир, бухгалтер с правом подписи) должна быть включена многофакторная аутентификация. Запрещено использование сохраненных паролей в клиентских подключениях. Убедитесь, что сеанс 1С автоматически завершается при превышении времени неактивности (не более 15–30 минут).
Шифрование данных и защита каналов передачи
Базы данных 1С на диске зашифрованы (TDE в MSSQL, EFS для файловых баз, шифрование дисков сервера). Резервные копии баз также хранятся в зашифрованном виде. Файлы с персональными данными и коммерческой тайной (выгрузки, отчеты) не сохраняются в открытом виде на рабочих станциях.
Защита электронной подписи и юридическая значимость документов
Убедитесь, что ключи ЭП хранятся на аппаратных токенах (Рутокен, JaCarta), а не в файлах на диске. Запрещено копирование закрытых ключей с токенов. Для подписания документов в 1С требуется физическое нажатие кнопки на токене (PIN‑код не кэшируется). Настройте автоматическое завершение сеанса работы с ЭП после 10 минут неактивности.
Журналирование и аудит действий пользователей
Убедитесь, что включен журнал регистрации 1С с уровнем детализации не ниже «Ошибки + Справочники + Документы». Фиксируются критически важные события: удаление/изменение документов, изменение прав доступа, вход пользователей, запуск внешних обработок. Логи 1С передаются во внешнюю SIEM‑систему (MaxPatrol, Kaspersky, ArcSight или аналоги). Настроены алерты на подозрительные события (например, массовое удаление документов, вход в нерабочее время). Хранение логов — не менее 1 года.
Антивирусная защита серверной инфраструктуры
Платформа должна быть 1С обновлена до актуальной стабильной версии (или закрыты известные критические уязвимости). Конфигурации (Бухгалтерия, ЗУП, УТ, ERP) обновлены до версий, поддерживаемых вендором. На сервере 1С регулярно (не реже 1 раза в месяц) проводится сканирование уязвимостей. Серверная ОС (Windows Server / Linux) получает критические обновления безопасности. На сервере и клиентских ПК установлен антивирус с актуальными базами (с исключением папок 1С для производительности, но с активной защитой от шифровальщиков).
Бэкапы и восстановление при инцидентах
Убедитесь, что настроено регулярное автоматическое резервное копирование баз 1С (не реже 1 раза в сутки для оперативных данных). Должно использоваться правило 3‑2‑1: 3 копии, 2 разных носителя, 1 копия вне офиса. Бэкапы защищены от удаления и шифрования (WORM‑носители, Object Lock в S3, права «только запись»). Регулярно (не реже 1 раза в месяц) проводите тестовое восстановление базы из бэкапа на отдельном стенде. Храните бэкапы в зашифрованном виде и с ограниченным доступом.
Безопасность при интеграции с внешними системами и сервисами
Для каждого внешнего сервиса (банк‑клиент, маркетплейс, ГИС, ЭДО) используется отдельный технический аккаунт с минимальными правами. Пароли от внешних систем не хранятся в открытом виде в коде обработок или реквизитах справочников. Обмен с внешними системами идет по защищенным протоколам (HTTPS, SFTP, FTPS — не FTP). Настройте проверку сертификатов при интеграциях (отключена опция «Игнорировать ошибки сертификата»).
Политика хранения и удаления электронных документов
Разработайте и внедрите политику хранения электронных документов (сроки хранения, архивация, удаление). Документы с истекшим сроком хранения автоматически выгружаются в архив и удаляются из рабочей базы. При физическом удалении документов исключите возможность их восстановления штатными средствами (очистка корзины БД).
Обучение сотрудников и формирование безопасной культуры работы
Все сотрудники, работающие в 1С должны пройти инструктаж по информационной безопасности под роспись. Проводите регулярные (не реже 1 раза в полугодие) короткие обучения по фишингу и правилам безопасной работы. В компании действует правило: завершать сеанс 1С при уходе с рабочего места. Назначьте ответственного за безопасность 1С из числа IT или службы безопасности. На рабочих местах отключите возможность сохранения паролей в браузере для веб‑клиента 1С.
Популярные вопросы
Как проверить, что безопасность действительно настроена, а не имитируется?
Проведите пентест (тестирование на проникновение) силами внешней компании. Попросите их получить доступ к базе 1С или вытащить оттуда тестовую запись. Если получилось — защита не работает. Также можно выполнить внутренний аудит: зайдите на сервер с правами обычного пользователя и попробуйте скопировать файл базы 1CD.
Как часто требуется пересматривать настройки безопасности?
Не реже 1 раза в квартал — анализ прав доступа (уволившиеся сотрудники, сменщики ролей). Обновление платформы — при выходе критического патча (обычно раз в 1-2 месяца). Полный аудит архитектуры — раз в год или при серьезном изменении бизнес-процессов.
Совместима ли защита с типовыми конфигурациями?
Да, на 99%. Типовые конфигурации (Бухгалтерия, ЗУП, УТ, УНФ, БП, КА, ERP) полностью совместимы со штатными механизмами безопасности: SSL, AD, RLS (ограничение на уровне записей), журнал регистрации. Проблемы возникают только при глубоких недокументированных доработках, которые обходят стандартную авторизацию.
Какой уровень защиты достаточен для сдачи отчетности в контролирующие органы?
Для успешной сдачи отчетности через интернет (Росстат, ФНС, СФР) достаточно: усиленной квалифицированной электронной подписи (УКЭП) на токене, защищенного канала связи (TLS 1.2+), антивируса на рабочем месте, а также парольной защиты баз (встроенной в 1С). Однако это минимальный уровень. Для защиты коммерческой тайны и персональных данных категории 1-2 (состояние здоровья, биометрия) потребуется аттестация ФСТЭК и дополнительные средства криптографической защиты (СКЗИ).
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Александра Кадынцева
Астрал Отчет 5.0
1С-Отчетность
1С-УП
Астрал Доверенность
МЧД
Астрал.Маркировка
Астрал.Платформа
Внесение изменений
Астрал.Торги
Регистрация бизнеса
1С-ЭТП
Астрал Подпись
Подпись ФНС
Корпоративный УЦ
КриптоПро
КриптоАРМ
JaCarta LT
JaCarta-2 SE
Рутокен Lite
Рутокен ЭЦП 3.0
Доки
1С-ЭПД
1С-ЭДО
Астрал.ЭДО
Астрал iКЭДО
Роуминг
Астрал.СКРИН
Астрал.ОФД
Онлайн-кассы
Астрал.Безопасность
152DOC