Моделирование актуальных угроз безопасности персональных данных в рамках 152-ФЗ при использовании типовых конфигураций 1С

25.05.26

Администрирование - Информационная безопасность

+
Рассматриваем, как моделировать актуальные угрозы безопасности персональных данных при работе с типовыми конфигурациями 1С в рамках 152-ФЗ. Отдельное внимание уделяем структуре модели угроз, источникам их возникновения, оценке актуальности и определению уровня защищенности информационной системы. На практических примерах разбираем, какие риски чаще всего встречаются в инфраструктуре 1С: от стандартных паролей и избыточных прав доступа до ошибок резервного копирования, небезопасной публикации баз и уязвимостей серверной архитектуры. Также описываем организационные бюджетные и дорогостоящие меры защиты, которые помогают выстроить системный подход к обеспечению безопасности персональных данных.

Модель угроз – документ, в котором перечислены возможные угрозы безопасности персональных данных при их обработке в информационных системах. Для каждой ИСПДн составляется отдельная модель угроз.

Угрозы могут возникать из-за случайных или умышленных действий людей, включая сотрудников, преступные группы или террористические организации. Эти действия могут привести к утечке данных и нанести вред человеку, обществу или государству.

Давайте рассмотрим этапы процесса моделирования.

Этап 1. Декомпозиция приложения

На этом этапе подробно вникаем в работу информационной системы, чтобы понять, как она взаимодействует с внешними объектами – другими приложениями, инфраструктурой и т.д. Мы создаем сценарии использования, определяем точки входа в приложение и другие сущности, которые могут заинтересовать нарушителя.

Этап 2. Определение и ранжирование угроз

Ранжирование помогает определить актуальность, категории, типы угроз и вероятность их возникновения, а также слабые места средств контроля безопасности. Списки общих угроз с примерами помогут понять, как злоумышленники могут атаковать информационные системы.

Этап 3. Определение мер по снижению риска и мер противодействия

Меры противодействия снижают уровень уязвимости систем. После присвоения угрозам рейтинга риска на втором этапе сортируем их по уровню и определяем приоритетность усилий по снижению риска.

Далее рассмотрим содержание базовой модели угроз.

Раздел 1. Введение

В начале документа описывается общая информация о документе и защищаемой информационной системе.

Раздел 2. Общие сведения

Раздел содержит общие сведения об информационной инфраструктуре, защищаемой ИСПДн.

Раздел 3. Модель угроз

Этот раздел содержит список актуальных угроз безопасности, распределенных по группам.

Раздел 4. Определение уровня защищенности

Раздел описывает порядок определения уровня защищенности ПДн при их обработке в ИСПДн.

Раздел 5. Меры по обеспечению безопасности информации

Раздел описывает, какие меры безопасности информации используются и как их выбирали.

Раздел 6. Выводы

Здесь мы описываем результаты создания модели угроз.

Давайте рассмотрим все разделы более подробно и начнем с раздела «Общие сведения».

Раздел описывает информационную инфраструктуру.

Информационная инфраструктура – совокупность аппаратно-программных средств, связанных с информационной системой, и место их фактического размещения.

В текущем разделе обычно описываются:

  • определение границ исследования

  • физическая защита

  • меры защиты информации

  • организационные меры

  • технические меры

  • роли и права доступа

  • парольная политика

  • журналирование

Следующий раздел – «Модель угроз».

В этом разделе описывается перечень угроз безопасности для информационной системы и определяется, какие из этих угроз актуальны. Необходимо исследовать все возможные угрозы, представленные в банке данных угроз безопасности информации ФСТЭК. Обычно угрозы оформляются в таблицу. Пример шапки такой таблицы ниже.

 

 

Следующий раздел называется «Уровни защищенности». Начнем с определения.

Уровень защищенности персональных данных – комплексный показатель того, насколько хорошо выполняются требования по защите информации от возможных угроз и утечек в информационной системе. Примерный перечень характеристик для определения уровня защищенности:

  • территориальное размещение

  • соединение с сетями общего пользования

  • легальные операции с записями баз информации

  • разграничение доступа к защищаемой информации

  • наличие соединений с другими базами иных ИС

  • режим разграничения прав доступа

Далее – «Меры по обеспечению безопасности информации».

В рамках системы защиты информации с учетом актуальных угроз безопасности ПДн и применяемых информационных технологий разрабатываются методы, которые способны противостоять существующей опасности возникновения угроз.

Оформляется в таблицу с перечислением фактических мер в каждой из групп угроз, пример шапки таблицы представлен ниже.

 

Изображение выглядит как текст, снимок экрана, Шрифт, число Содержимое, созданное искусственным интеллектом, может быть неверным.

 

Давайте рассмотрим, что такое 1С:Предприятие.

1С:Предприятие – единая платформа для автоматизации деятельности организации: бухгалтерского, кадрового, управленческого и финансового учета. Интеграция соответствующих конфигураций 1С позволяет управлять всеми аспектами деятельности компаний, ее подразделений и разными направлениями бизнеса в универсальной рабочей среде.

Типовые конфигурации 1С Предприятие – это программные продукты для автоматизации ведения учета, разработанные самой фирмой 1С.

Это универсальные решения, которые подходят для различных видов деятельности. Типовые конфигурации постоянно совершенствуются компанией 1С и проходят проверки.

Типовые конфигурации охватывают основные потребности бизнеса, от бухгалтерского и кадрового учета до управления торговлей и производством. Например: 1С:Бухгалтерия, 1С:Управление торговлей.

1С поддерживает несколько вариантов работы, позволяющих работать с программой в разных режимах.

Файловый режим

Предназначен для работы одного пользователя или небольшого числа пользователей в локальной сети.

Клиент-серверный режим

Поддерживает большое количество пользователей, что позволяет использовать 1С в крупных компаниях.

Позволяет использовать различные СУБД, такие как Microsoft SQL Server, PostgreSQL, IBM DB2 и Oracle Database.

Веб-сервер

Позволяет работать с 1С через веб-браузер, что упрощает доступ к программе с различных устройств.

Поддерживает различные веб-серверы, такие как Microsoft IIS и Apache.

Для 1С могут быть использованы различные типы серверов, в зависимости от масштаба бизнеса и требований к производительности:

Физические серверы

Это традиционные серверные машины, которые размещаются в центр обработки данных или на территории предприятия. Физические серверы могут быть настроены для работы как с одной информационной базой, так и с несколькими. В качестве сервера может выступать и рабочая станция, такие варианты используют как правило мелкие и средние организации.

С точки зрения информационной безопасности рекомендуется использовать полноценные серверные машины, так как:

  • конструктивно рабочие станции и их компоненты не предназначены для работы в режиме 24/7.

  • не имеют дублирующих комплектующих. Например, блоки питания, контроллеры и адаптеры, процессоры и др.

  • не имеют аппаратных RAID контроллеров. RAID – технология виртуализации, которая позволяет объединять несколько дисков в логический массив. Что является одним из лучших способов защиты данных.

 Виртуальные серверы

Это серверы, которые создаются на базе виртуализации на физических серверах. Виртуализация позволяет использовать ресурсы одного физического сервера для нескольких виртуальных серверов.

Использование виртуальных серверов оправдано, когда существует один очень мощный сервер, но в рамках инфраструктуры требуется развернуть несколько сервисов 1С. Например сервер баз данных, сервер приложения и сервер терминалов.

Существует большое количество способов защиты виртуальных сред, поэтому такой вариант компоновки является приоритетным к реализации.

Минусами такой организации являются:

  • зависимость от стабильности работы основной операционной системы, в которой реализована виртуализация;

  • в случае выхода из строя одного физического сервера выйдут из строя все серверы, которые реализованы в рамках виртуализации.

Облачные серверы

Это серверы, которые предоставляются облачными провайдерами и сервисы, предоставляемые компанией 1С. Эти два вида серверов кардинально различаются друг от друга.

В варианте аренды облачного сервера вы получаете, по сути, виртуальный сервер, который физически расположен на оборудовании провайдера, который, в свою очередь, обеспечивает его безопасность и, в случае необходимости, резервирование. В остальном он ничем не отличается от физического сервера. Вам придется самостоятельно разворачивать все сервисы и их настраивать. В случае необходимости возможно приобрести или взять в аренду несколько серверов и объединить их в локальную сеть.

Вторым вариантом будет использование сервисов, предоставляемых компанией 1С, таких как Фреш и ГРМ.

Давайте рассмотрим схему работы.

Сервер баз данных (СУБД). Это сервер, на котором разворачивается СУБД и создаются информационные базы 1С:Предприятие. Он служит для хранения и обслуживания информационной базы 1С:Предприятие. В качестве операционной системы можно выбрать Windows и Linux. Наиболее популярными СУБД является SQL-Server или PostgreSQL. Так же поддерживается IBM DB2 и Oracle DataBase.

Сервер или кластер серверов 1С:Предприятие. Основной компонент, отвечающий за обработку запросов от клиентов, выполнение запросов к базе данных и обслуживание клиентских сессий. Может быть реализован совместно с сервером баз данных. Кластер серверов 1С:Предприятие – это логическая группа из нескольких рабочих серверов, обеспечивающая высокую производительность, масштабируемость и отказоустойчивость. В отличие от одиночного сервера, кластер распределяет нагрузку между узлами и переключает сеансы пользователей при сбоях.

Веб-сервер. Это программное обеспечение (обычно Apache или IIS), работающее как посредник между браузером пользователя и базой данных 1С. Оно обеспечивает удаленный доступ к базе через интернет, позволяет работать без установки тонкого клиента и обеспечивает безопасную интеграцию с внешними системами.

Толстый клиент. Полнофункциональное приложение, устанавливаемое на ПК пользователя, которое выполняет основную бизнес-логику и обработку данных локально. Он предоставляет максимальный функционал платформы, включая разработку в Конфигураторе, и работает как с управляемыми, так и с обычными формами, требуя мощного оборудования и хорошей сети.

Тонкий клиент. Облегченное приложение для работы с 1С, которое переносит нагрузку по вычислениям на сервер. Основные вычисления выполняются на сервере, клиент лишь отображает интерфейс. Идеален для удаленной работы, поддерживает управляемые формы и требует стабильного интернет-соединения.

Веб-клиент. Режим работы системы 1С:Предприятие, позволяющий пользователям работать с базой данных через обычный веб-браузер. Веб-клиент предоставляет практически тот же функционал, что и тонкий клиент, но обеспечивает максимальную мобильность и простоту настройки рабочего места.

Давайте рассмотрим, что такое угрозы безопасности Пдн.

Угрозы безопасности персональных данных – это ситуации, при которых посторонние могут получить доступ к личной информации, изменить ее, удалить или распространить без разрешения.

Такие угрозы возникают из-за технических сбоев, ошибок сотрудников или действий злоумышленников.

Чтобы понять, насколько вы уязвимы, ответьте на два вопроса:

1. Насколько часто такая угроза случается в вашей сфере деятельности?

2. Как хорошо сейчас защищена ваша система от этой угрозы?

Для оценки актуальности угроз безопасности я рекомендую использовать список из четырех вопросов:

  1. Является ли нарушитель или иной источник угрозы актуальным для вашей информационной системы?

  2. Функционал или особенность информационной системы позволяет несанкционированно воздействовать на нее?

  3. Существуют ли возможные сценарии реализации угрозы?

  4. Приведет ли реализация угрозы к негативным последствиям?

Ответив на эти вопросы, вы поймете, насколько угроза актуальна в рамках работы ваших конфигураций 1С:Предприятие.

Для обоснования решений перед проверкой или системного подхода к защите используйте методику ФСТЭК. Она включает четыре шага:

  1. Оцените начальный уровень защиты системы.

  2. Рассчитайте вероятность реализации каждой угрозы.

  3. Сопоставьте риски и приоритеты.

  4. Определите, какие угрозы актуальны для вашей системы.

Методика ФСТЭК помогает отсеять маловероятные сценарии и сосредоточиться на действительно опасных – тех, что характерны именно для вашей системы. Она предлагает опираться на данные из официального Банка угроз.

Для системного подхода по защите от угроз безопасности рекомендуется их разделить на группы по методам реализации и воздействия на информационную систему. Примерами может послужить следующие группы угроз:

 

 

Предлагаю разделить меры защиты на три этапа:

Этап 1. Защита от угроз с помощью организационных мер защиты.

Этап 2. Защита от угроз с помощью имеющихся или бюджетных средств защиты.

Этап 3. Защита от угроз с помощью дорогостоящих средств защиты.

Я выделил основные виды угроз, которые могут быть актуальны для типовых конфигураций 1С. Давайте рассмотрим каждый этап.

Первый этап, с которого стоит начать защиту от угроз – это те угрозы, защиту от которых можно обеспечить организационными мерами: приказами, правилами работы и т.д.

Список угроз, которые, как правило, актуальны для типовых конфигураций 1С, представлен ниже. Я намерено указал коды банка данных угроз ФСТЭК, чтобы их проще было искать:

  • УБИ. 023. Угроза изменения компонентов информационной системы

  • УБИ. 067. Угроза неправомерного ознакомления с защищаемой информацией

  • УБИ. 030. Угроза использования аутентификации, заданной по умолчанию

  • УБИ. 074. Угроза несанкционированного доступа к аутентификационной информации

Примеры актуальных угроз для типовых конфигураций 1С:

  1. Получение доступа к защищаемой информации по средствам использования стандартного или незащищенного пароля.

  2. Изменение функционала типового решения в следствии несанкционированного доступа к конфигуратору.

  3. Пользователь наклеил пароль на экран монитора.

Основные меры защиты от угроз первого этапа:

  1. Разграничение прав доступа для всех пользователей.

  2. Разработка парольной политики организации.

  3. Запрет на запуск внешних отчетов и обработок пользователями.

  4. Контроль за действиями пользователей.

  5. Организационные меры контроля за компрометацией паролей.

К угрозам следующего этапа можно отнести те, защита от которых может быть реализована посредством уже имеющихся в организации средств защиты информации, например антивирусных систем или межсетевых экранов. Наиболее часто встречающиеся угрозы, относящиеся ко второму этапу:

  • УБИ. 088. Угроза несанкционированного копирования защищаемой информации

  • УБИ. 210. Угроза нарушения работы ИС, вызванного обновлением

  • УБИ. 063. Угроза некорректного использования функционала ПО и АО

  • УБИ. 034. Угроза использования слабостей протоколов обмена данными

  • Угрозы вирусов или внедрения вредоносного кода (УБИ. 006, УБИ. 190, УБИ. 191).

Примеры реализации угроз второго этапа:

  1. Передача защищаемых данных посредством съемных носителей или сети Интернет.

  2. Нарушение работы типового решения при обновлении конфигурации, не прошедшей предварительного тестирования.

  3. Получение доступа к защищаемой информации вследствие использования протокола http при публикации информационной базы.

  4. Внедрение вредоносного кода в конфигурацию вследствие использования готовых решений.

Основными мерами защиты от угроз второго этапа будут:

  1. Запрет использования съемных носителей информации.

  2. Создание тестовой конфигурации для проверки работоспособности обновления и использование системы контроля в расширениях конфигурации.

  3. Система резервного копирования.

  4. Использование при публикации информационной базы через веб-сервис протокол https.

  5. Использование антивирусов.

  6. Код-ревью приобретаемых решений.

  7. Исключение использования дистрибутивов программных продуктов из непроверенных источников.

К угрозам следующего этапа можно отнести те, защита от которых может быть реализована посредством дорогостоящих средств защиты информации:

  • УБИ. 214. Угроза несвоевременного выявления реагирования на события ИБ

  • УБИ. 155. Угроза утраты вычислительных ресурсов

Примеры реализации угроз третьего этапа:

  1. Предоставление доступа через интернет к RDP серверу без введения белого списка ip-адресов на Firewall организации.

  2. Публикация базы 1С в сети интернет с использованием стандартных портов и протокола http.

  3. Выход из строя носителей информации, на которых расположены информационные базы.

Основными мерами защиты от угроз третьего этапа будут:

  1. Настройка Firewall.

  2. Установка системы обнаружения и предотвращения вторжений.

  3. Уход от использования стандартных портов и незащищенных протоколов передачи данных, таких как http.

  4. Использование технологии объединения нескольких физических дисков в один логический модуль RAID.

  5. Система резервного копирования.

  6. Организация защищенных каналов связи.

  7. Использование криптомаршрутизаторов.

Далее предлагаю рассмотреть, кто контролирует исполнение 152-ФЗ.

Закон устанавливает три органа государственной власти, уполномоченных осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных.

  1. Роскомнадзор осуществляет контроль и надзор за соответствием обработки ПДн требованиями 152-ФЗ.

  2. ФСБ и ФСТЭК осуществляют контроль и надзор за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн, требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.

С чего начинают проверку регуляторы 152-ФЗ

  1. Роскомнадзор в 2026 году начинает с сайтов компаний. Зачастую интернет-магазины связаны с 1С и обмениваются ПДн.

  2. Регуляторы начинают с проверки организационных мер защиты ПДн в рамках типовых конфигураций: назначение ответственного за обработку, политики обработки ПДн, определение уровня защищенности ПДн, матрица доступа к ИСПДн, модель угроз и др.

  3. Проверяется организация физической защиты: наличие сейфов, защита помещений, правильное расположение техники для исключения несанкционированного доступа к ПДн.

  4. Реализацию технических мер защиты в соответствии с уровнем защищенности.

В 2025 году произошли серьезные изменения в части ответственности за нарушения 152-ФЗ, к самым важным изменениям относится то, что ИП приравняли к юрицам по ответственности за нарушение. Также кратно увеличились штрафы: например, за неправильную обработку ПДн для ИП и юрлиц до 300 тыс. руб. за первое нарушение и уже 500 тыс. руб. за повторное.

В КоАП появилась градации по количеству человек, пострадавших из-за утечки данных и от этого зависит сумма штрафа (от 100 тыс. руб. до 15 млн. руб.). Появилась уголовная ответственность. Например, в случае нарушения безопасности ПДн несовершеннолетним предусмотрен штраф до 700 тыс. руб, принудительные работы до 5 лет, лишение свободы до 5 лет.

В итоге хотелось бы сказать, что:

  1. Защита персональных данных в 2026 году актуальна в связи с серьезными изменениями в законодательстве, в части кратного увеличения ответственности за нарушение 152-ФЗ.

  2. Система 1С:Предприятие остается популярнейшим решением для комплексной автоматизации бизнеса. 

  3. Важным моментом в организации информационной безопасности является определение актуальных угроз и уровня защищенности систем 1С:Предприятие.

  4. Моделирование угроз безопасности необходимо для создания эффективной системы защиты, обоснованного выбора средств защиты информации и выполнения требований законодательства РФ.

 

*************

Статья написана по итогам доклада (видео), прочитанного на конференции INFOSTART TEAM EVENT.

Вступайте в нашу телеграмм-группу Инфостарт

+

Вы можете заказать платную адаптацию этой статьи под ваши задачи на «Бирже заказов».

  • 0% комиссии — оплата напрямую исполнителю;
  • Исполнители любого масштаба — от отдельных специалистов до команд под проект;
  • Прямой обмен контактами между заказчиком и исполнителем;
  • Безопасная сделка — при необходимости;
  • Рейтинги, кейсы и прозрачная система откликов.

См. также

Infostart Validator: свои проверки ввода данных в 1С

Информационная безопасность Инструменты администратора БД Инструментарий разработчика Учет документов Системный администратор Программист Бизнес-аналитик Бухгалтер Пользователь Руководитель проекта 1С 8.3 1С 8.5 Розничная и сетевая торговля (FMCG) Платные (руб)

Контроль ввода данных в 1С: проверка заполнения реквизитов, обязательные поля, контроль перед записью и проведением, запрет проведения документа. Позволяет настраивать любые проверки данных в 1С 8.3/8.5 от обязательных полей до сложных условий – без открытия конфигуратора и написания кода. Готовое расширение, которое подключается и работает сразу.

6000 руб.

15.04.2026    1768    2    0    

20
История изменений в 1С

Информационная безопасность Поиск данных ServiceDesk, HelpDesk Журналы и реестры данных 1С 8.3 Россия Бухгалтерский учет Бюджетный учет Налоговый учет Управленческий учет Платные (руб)

Полный контроль над изменениями в 1С без нагрузки на вашу базу. Мгновенный доступ к истории изменений, удобное сравнение и откат данных в один клик. Простой отчет с визуальным отображением изменений Откат на любую версию объекта в два клика История изменения данных хранится во внешней базе

180000 руб.

05.09.2025    4744    1    1    

3
Интеграция Vault и 1С

Информационная безопасность Пароли 1С:Предприятие 8 Бесплатно (free)

Все еще храните пароли в базе? Тогда мы идем к вам! Безопасное и надежное хранение секретов. JWT авторизация. Удобный интерфейс. Демо конфигурация. Бесплатно.

30.05.2024    14887    kamisov    19    

66
Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Программист 1С:Предприятие 8 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    23193    AlexeyPROSTO_1C    10    

44
Device flow аутентификация, или туда и обратно

Информационная безопасность Программист 1С:Предприятие 8 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    5107    platonov.e    1    

23
Установка 1С:Сервера взаимодействия. Заметки на полях

Информационная безопасность Системный администратор Программист 1С:Предприятие 8 1C:Бухгалтерия Бесплатно (free)

Нюансы установки 1С:Сервера взаимодействия в рабочем контуре

11.10.2023    9472    capitan    9    

50
Быстрая и комплексная оценка защищенности базы и сервера

Информационная безопасность Системный администратор 1С:Предприятие 8 1C:Бухгалтерия Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    9274    30    soulner    8    

35
Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Системный администратор Программист 1С:Предприятие 8 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    11469    77    Silenser    18    

25
Для отправки сообщения требуется регистрация/авторизация