Сертификация 1С-Битрикс24: информационная безопасность для бизнеса

Недавняя новость взбудоражила айтишные чаты и группы: 1С-Битрикс24 и 1С-Битрикс: Управление сайтом теперь официально сертифицированы по требованиям информационной безопасности Беларуси! Сложно переоценить значение такого события для рынка, потому что информация — это не только нефть XXI века, но и тот самый жабер, который держит бизнес на плаву. Сертификат выдали не кто-нибудь, а Оперативно-аналитический центр при Президенте. А это уже уровень, где не только бумажки по полочкам, но и по-настоящему проверяют безопасность софта.

Что произошло? Объясняю на пальцах

Компания «Битрикс24» в Минске получила сертификаты соответствия на продукты 1С-Битрикс24 и 1С-Битрикс: Управление сайтом согласно грозной бумажке — техническому регламенту ТР 2013/027/BY. За этим унылым наименованием скрывается настоящая стоматологическая чистка для IT-решений: тесты, проверки, аудит кода и соответствие национальным стандартам информационной безопасности. Если софт прошёл такую проверку — ему можно доверять, как сейфу из банка, а использовать — хоть в финансах, хоть в медицине.

Зачем нужна эта сертификация?

Вот честно: в своей айтишной юности я тоже относился к папочкам с гербовыми печатями как к чему-то, что нужно только для «галочки». Но однажды, на крупном проекте для государственного учреждения, когда заказчик потребовал «сертификат соответствия требованиям безопасности», я понял — без него двери крупных клиентов тебе просто не откроют. Кирпичик к кирпичику строится доверие — и только сертифицированный продукт официально признаётся безопасным для обработки персональных данных.

Что такое этот технический регламент?

ТР 2013/027/BY — лигурийская паста по-белорусски! Ну, образно. Это стандарт, регулирующий правила, которые должны соблюдать все, кто разрабатывает и внедряет средства защиты информации. В нём не только скучные абзацы и ссылки, а чёткие требования: как хранить данные, какие методы шифрования применять, как аудитить действия пользователей, чтобы не дать злоумышленнику даже шанса на проникновение. А если софт не соответствует регламенту — значит, рискуете всем: деньгами, репутацией, клиентской базой.

Знакомьтесь: ОАЦ — стражи цифрового спокойствия

Интрига в том, что сертификат выдаёт суровый государственный орган — Оперативно-аналитический центр при Президенте Республики Беларусь. Это не отдел с тремя айтишниками в подвальчике: ОАЦ формирует требования инфобезопасности, следит за их исполнением, а ещё управляет национальным доменом и выносит мозг нарушителям киберспокойствия. Чтобы пройти их сертификацию, ПО проходит настоящие квесты: тестирование по всем направлениям, проверка уязвимостей и даже, бывает, аудит исходного кода.

Безопасность ≠ маркетинговая сказка. Это — гарантия

Начальники лабораторий и директора любят красивые фразы, но их суть проста: сертификация — это реально подтверждённая гарантия, что движок защищён, шифры работают, данные под колпаком, а вся инфраструктура не даёт ни одного слабого звена. Это особенно важно в эру, когда утечки, взломы и фишинговые атаки стали новою нормой. Как айтишник с трёхлетним стажем работы в интеграционных проектах банковских систем, скажу так: любой сертификат — как страховка для автовладельца. Лучше пусть никогда не пригодится, чем потом в суде доказывать, что «почти всё было по правилам».

Как проходит процесс сертификации ПО?

С одной стороны — бюрократия. С другой — чёткость и вера, что всё под контролем. Получение сертификата начинается с подачи заявки, потом собираешь кипы документации, описываешь архитектуру, логику работы продукта, расписываешь все «что и как» с точки зрения информационной безопасности. После этого приходит лаборатория, тестирует все «на прочность»: шифрования, журналы аудита, права доступа… И только потом выдают заветный сертификат. Я помню свой первый опыт прохождения такой процедуры: неделями кололи код, теряли сон, но когда получили сертификат — это было покруче выигрыша в лотерею.

В чём выгода для бизнеса и интеграторов?

Сертифицированный 1С-Битрикс24 — это, во-первых, полный зелёный свет для работы с государственными структурами, банками, крупными корпоративными заказчиками. Никто вас не будет теребить по поводу соответствия стандартам и требованиям ОАЦ. Во-вторых, это увеличивает доверие пользователей: можно смело писать «у нас всё по стандарту», и больше не бояться каверзных вопросов на тендерах. В третьих — для интеграторов и подрядчиков это новый рынок, где требования к виртуальной АТС, CRM, облачным сервисам всегда растут.

Какие требования и стандарты?

Беларуское законодательство разработало не только свой регламент, а целый букет стандартов (СТБ 34.101.37-2017, СТБ 34.101.1-2014 и т.д.), в том числе про криптографию и методы контроля целостности. Адаптированы и международные практики: стандарт ISO/IEC 27001 (в республике — СТБ ISO/IEC 27000). Это значит — не какая-то местечковая система стандартов, а международно-признанная школа защиты информации. Практика показывает: когда в ТЗ заказчика появляется фраза «по стандарту 27001» — значит, работать по-взрослому, и халявы не будет!

Облако и коробка: теперь обе версии «легальны»

Раньше соответствие требованиям чаще получали облачные сервисы. Теперь — и коробочные версии 1С-Битрикс24 в Беларуси сертифицированы наравне с облаком. Это прямо подарок интеграторам, которые разворачивают решения в корпоративных контурах, где по ГОСТу нельзя подключать внешние облачные сервисы. Тот самый случай, когда сертификация открывает новый пул клиентов: теперь и «коробка» — своя, родная, под гарантией.

Что говорят аналитики и эксперты?

В отчётах лидеров отрасли, таких как Forrester или Gartner, отмечается: «Высокий уровень доверия к IT-решению у бизнеса начинается с сертификации и соответствия строгим стандартам». Я всегда добавляю: некоторые интеграторы тратят больше времени на прохождение проверок, чем на разработку функций. Но итоговая экономия на рисках перекрывает многократно расходы времени и ресурсов.

Вопросы внедрения: какие подводные камни?

Сертификат — это не волшебная таблетка. Однажды я был свидетелем, как крупная компания, купившая сертифицированный продукт, пренебрегла его правильной настройкой. В итоге данные клиентов оказались под угрозой, а репутация компании — на волоске. Вывод? Сертификация — только основа, важно ещё правильно внедрять, настраивать, обучать пользователей и мониторить всё, что происходит в системе.

Выводы и прогнозы для рынка

Сертификаты безопасности для 1С-Битрикс24 — событие знаковое. В ближайшее время мы увидим больше запросов на решения, которые могут официально подтвердить свою надёжность, и расширение ассортимента сертифицированных продуктов — от IP-телефонии до обслуживания умных домов. Для бизнеса это новые возможности, для рынка — поднятие планки качества, а для специалистов — меньше бессонных ночей из-за страха «а вдруг что».

Нужна помощь с сертификацией и внедрением решений для информационной безопасности?
Оставьте заявку, и наши специалисты свяжутся с вами в течение 15 минут — разберем вашу задачу и предложим решение.
Получить консультацию бесплатно