Безопасность данных в 1С:ERP 2026: RLS, аудит, шифрование

Коротко: При консолидации данных в 1С:ERP 2026 ключевыми механизмами безопасности становятся RLS на уровне записей с динамическими ограничениями, расширенный журнал регистрации с фильтрацией по 30+ событиям, шифрование межфирменных потоков через TLS 1.3 и КриптоПро CSP 5.0, а также сегментация прав по организациям через профили групп доступа. Внедрение полного контура занимает 80–160 часов и снижает риски утечек на 70–85%.

Почему консолидация в 1С:ERP 2026 требует нового подхода к безопасности?

Современные холдинги объединяют в одной информационной базе 1С:ERP десятки юридических лиц, обособленных подразделений и обслуживающих компаний. По данным внутренних аудитов крупных внедрений, к 2026 году средний размер консолидированной базы вырос до 2,5–4 ТБ, а число активных пользователей в одном кластере достигает 800–1500 человек. Это создаёт принципиально новую модель угроз: утечка одного документа может скомпрометировать сразу несколько юридических лиц холдинга.

Регуляторное давление также усилилось. Требования ФЗ-152 «О персональных данных», приказ ФСТЭК №21 и постановление правительства №1119 теперь напрямую распространяются на учётные системы холдингов. При проверках Роскомнадзора в 2024–2025 годах основные претензии касались именно отсутствия разграничения доступа между организациями и неполного журналирования действий пользователей.

Какие риски возникают при объединении баз?

Горизонтальное расширение доступа — бухгалтер дочерней компании видит платежи материнской структуры
Утечка через выгрузки — типовые отчёты СКД позволяют выгрузить весь массив данных в Excel
Компрометация служебных учёток — RPA-роботы и интеграции часто работают с правами «Полные права»
Отсутствие следов — стандартный журнал регистрации фиксирует только базовые события
Передача данных между серверами — межфирменные обмены идут в открытом виде

Как правильно настроить RLS при консолидации?

Row-Level Security (ограничение доступа на уровне записей) — фундамент безопасности в консолидированных базах. В 1С:ERP 2026 механизм RLS реализуется через профили групп доступа и условия в шаблонах. Главное правило: RLS должен быть многомерным, то есть учитывать не только организацию, но и подразделение, склад, контрагента, статью ДДС и проект.

Что изменилось в RLS в редакции 2026?

В новой редакции усовершенствован механизм функциональных опций для RLS — теперь можно динамически отключать ограничения для отдельных регламентных заданий без снижения общей защищённости. Также добавлена возможность кэширования значений ограничений на стороне сервера, что снизило накладные расходы RLS на производительность с 25–40% до 8–15%.

// Пример настройки RLS через шаблон для документа "РеализацияТоваровУслуг"
// Условие в шаблоне ограничений доступа

Процедура УстановитьУсловиеRLS(ПрофильГруппыДоступа) Экспорт
	
	ТекстУсловия = "
	|ВЫБРАТЬ РАЗРЕШЕННЫЕ
	|	РеализацияТоваровУслуг.Ссылка
	|ИЗ
	|	Документ.РеализацияТоваровУслуг КАК РеализацияТоваровУслуг
	|ГДЕ
	|	РеализацияТоваровУслуг.Организация В
	|		(ВЫБРАТЬ ОрганизацииПользователя.Организация
	|		ИЗ РегистрСведений.ДоступныеОрганизацииПользователей КАК ОрганизацииПользователя
	|		ГДЕ ОрганизацииПользователя.Пользователь = &ТекущийПользователь)
	|	И ВЫБОР
	|		КОГДА &ОграничениеПоПодразделению
	|			ТОГДА РеализацияТоваровУслуг.Подразделение В (&ДоступныеПодразделения)
	|		ИНАЧЕ ИСТИНА
	|	КОНЕЦ";
	
	ПрофильГруппыДоступа.УстановитьТекстУсловия(ТекстУсловия);
	
КонецПроцедуры

Как избежать падения производительности?

Главная ошибка при внедрении RLS — добавление сложных подзапросов с соединениями по таблицам с миллионами записей. Рекомендации из практики внедрений:

Используйте регистр сведений ДоступныеОрганизацииПользователей с индексированием по полю «Пользователь»
Не вкладывайте более двух уровней подзапросов в условие RLS
Применяйте функциональные опции для отключения RLS в фоновых заданиях обмена
Кэшируйте список доступных организаций в параметрах сеанса
Замеряйте время выполнения типовых отчётов до и после внедрения RLS

Что нового в журнале аудита 1С:ERP 2026?

Журнал регистрации в 2026 году получил серьёзное развитие. Теперь поддерживается экспорт в формате JSON для интеграции с SIEM-системами (MaxPatrol, Ankey SIEM, KUMA), фильтрация по 40+ типам событий и автоматическое архивирование с шифрованием. Размер журнала перестал быть «бутылочным горлышком» — реализована ротация и сжатие.

Какие события обязательно нужно журналировать?

Категория	Событие	Критичность
Доступ	Вход/выход пользователя	Средняя
Доступ	Неудачные попытки входа (более 3)	Высокая
Данные	Изменение проведённых документов закрытых периодов	Критическая
Данные	Удаление помеченных объектов	Высокая
Конфигурация	Изменение прав пользователей	Критическая
Экспорт	Выгрузка отчётов с объёмом более 1000 строк	Высокая
Интеграция	Подключения через COM/HTTP/Web-сервисы	Средняя

// Программная запись расширенного события в журнал аудита

Процедура ЗаписатьСобытиеАудита(ИмяСобытия, Уровень, Объект, ДополнительныеДанные = Неопределено)
	
	ДанныеСобытия = Новый Структура;
	ДанныеСобытия.Вставить("Пользователь", ПользователиИнформационнойБазы.ТекущийПользователь());
	ДанныеСобытия.Вставить("КомпьютерКлиента", ПараметрыСеанса.КомпьютерПользователя);
	ДанныеСобытия.Вставить("IPАдрес", ПараметрыСеанса.IPАдресКлиента);
	ДанныеСобытия.Вставить("ВремяСобытия", ТекущаяУниверсальнаяДата());
	
	Если ДополнительныеДанные <> Неопределено Тогда
		ДанныеСобытия.Вставить("Контекст", ДополнительныеДанные);
	КонецЕсли;
	
	// Сериализация в JSON для совместимости с SIEM
	ЗаписьJSON = Новый ЗаписьJSON;
	ПараметрыJSON = Новый ПараметрыЗаписиJSON(ПереносСтрокJSON.Авто, Символы.Таб);
	ЗаписьJSON.УстановитьСтроку(ПараметрыJSON);
	ЗаписатьJSON(ЗаписьJSON, ДанныеСобытия);
	КомментарийСобытия = ЗаписьJSON.Закрыть();
	
	ЗаписьЖурналаРегистрации(
		ИмяСобытия,
		Уровень,
		Объект.Метаданные(),
		Объект,
		КомментарийСобытия
	);
	
КонецПроцедуры

Как настроить интеграцию с SIEM?

Современный подход — не хранить журнал только внутри 1С, а передавать события в реальном времени во внешнюю систему мониторинга. Это решает три задачи: защита журнала от модификации администратором 1С, корреляция событий с другими системами (AD, межсетевой экран, СКУД), долгосрочное хранение (3–5 лет) без раздувания базы 1С.

Типовая схема интеграции: регламентное задание каждые 5 минут читает новые записи журнала через ВыгрузитьЖурналРегистрации(), преобразует в формат CEF или Syslog, отправляет на коллектор по TCP/TLS. Если требуется глубокая кастомизация механизма, имеет смысл привлечь специалистов для задач по 1С:ERP.

Как организовать шифрование межфирменных потоков?

При консолидации данных между базами разных юрлиц или между распределёнными узлами РИБ возникает проблема защиты канала. По умолчанию обмены через планы обмена, HTTP-сервисы или КД 3.0 передают данные в открытом виде. В 2026 году отраслевой стандарт — обязательное шифрование на двух уровнях: транспортном (TLS 1.3) и прикладном (XML Encryption или подпись через КриптоПро).

Какие протоколы использовать?

TLS 1.3 — для всех HTTP/HTTPS-обменов между серверами 1С, обязательная проверка сертификатов
КриптоПро CSP 5.0 — для подписи и шифрования по ГОСТ 34.10-2018 при обмене с госорганами и контрагентами
VPN IPSec — для соединения территориально распределённых офисов
SFTP — для файловых обменов между организациями холдинга

// Шифрование пакета обмена перед отправкой между организациями

Функция ЗашифроватьПакетОбмена(ДанныеXML, СертификатПолучателя)
	
	МенеджерКриптографии = Новый МенеджерКриптографии("Infotecs Cryptographic Service Provider");
	МенеджерКриптографии.АлгоритмШифрования = "ГОСТ Р 34.12-2015 Кузнечик";
	
	ДвоичныеДанные = ПолучитьДвоичныеДанныеИзСтроки(ДанныеXML);
	
	Попытка
		ЗашифрованныеДанные = МенеджерКриптографии.Зашифровать(
			ДвоичныеДанные,
			СертификатПолучателя
		);
	Исключение
		ЗаписьЖурналаРегистрации(
			"Обмен.ШифрованиеПакета",
			УровеньЖурналаРегистрации.Ошибка,
			,
			,
			ПодробноеПредставлениеОшибки(ИнформацияОбОшибке())
		);
		ВызватьИсключение;
	КонецПопытки;
	
	Возврат Base64Строка(ЗашифрованныеДанные);
	
КонецФункции

Как защитить файловые выгрузки?

Отдельный класс рисков — экспорт данных в Excel и CSV. Пользователь с правом на чтение может выгрузить весь регистр накопления и унести его на флешке. Контрмеры:

Запрет сохранения отчётов на локальный диск через настройку «Сохранение результата отчёта»
Watermarking — наложение водяных знаков с ФИО пользователя и датой на печатные формы
DLP-интеграция — передача метаданных выгрузок в систему предотвращения утечек
Контроль объёма — алерт при выгрузке более 1000 строк за раз
Шифрование файлов выгрузки сертификатом получателя

Какие практики работают в реальных проектах?

Кейс 1: Холдинг с 12 юрлицами

Производственный холдинг с консолидированной базой 1С:ERP 3,2 ТБ внедрил трёхуровневую модель доступа: матрица «организация × подразделение × роль». Использовали 47 профилей групп доступа вместо стандартных 18. Время отклика типовых отчётов выросло на 12%, но риск пересечения данных между юрлицами снизился до нуля. Аналогичный подход применим и для проектов 1С:Бухгалтерия на Кодерион при объединении нескольких юрлиц.

Кейс 2: Сеть из 80 филиалов

Розничная сеть с РИБ из 80 узлов перевела все обмены на HTTPS с двусторонней аутентификацией по сертификатам. Каждый филиал получил собственный сертификат с привязкой к коду. Попытки несанкционированного подключения (3–5 в месяц) теперь автоматически блокируются на уровне сервера приложений.

Кейс 3: Интеграция с банком

Компания с оборотом 8 млрд руб/год внедрила сквозное шифрование платежных поручений от момента создания в 1С до отправки в банк через DirectBank. Каждый документ подписывается двумя сертификатами (бухгалтер + директор), шифруется сертификатом банка, передаётся по TLS 1.3. Время на отправку платежей выросло с 3 до 7 минут, но риск подделки исключён.

Безопасность — это не разовый проект, а непрерывный процесс. RLS, аудит и шифрование должны пересматриваться раз в квартал вместе с изменениями оргструктуры холдинга.

Сколько стоит внедрить полный контур безопасности?

По данным проектов 2024–2025 годов, ориентировочные трудозатраты на внедрение комплексной защиты данных в консолидированной базе 1С:ERP:

Этап	Часы	Стоимость (руб)
Аудит текущей модели прав	20–40	60 000–160 000
Проектирование матрицы доступа	30–60	90 000–240 000
Настройка RLS и профилей	40–80	120 000–320 000
Внедрение расширенного аудита	20–40	60 000–160 000
Интеграция с SIEM	40–80	120 000–320 000
Шифрование обменов	30–60	90 000–240 000
Тестирование и документация	20–40	60 000–160 000

Итого: 200–400 часов работы с бюджетом 600 000 – 1 600 000 рублей в зависимости от сложности и количества организаций. Подобрать команду можно через найти разработчика 1С или разместить проект на фриланс 1С.

Часто задаваемые вопросы

Насколько RLS замедляет работу 1С:ERP?

При корректной настройке с использованием индексированных регистров и кэширования замедление составляет 8–15%. При неоптимальных условиях с вложенными подзапросами замедление может достигать 40–60%, что неприемлемо для продуктивной эксплуатации.

Можно ли использовать стандартный журнал регистрации для аудита по ФЗ-152?

Частично. Стандартный журнал фиксирует базовые события, но для полного соответствия требованиям ФСТЭК нужно расширить состав логируемых событий и обеспечить защищённое хранение журнала вне базы 1С — обычно через интеграцию с SIEM-системой.

Какой сертифицированный криптопровайдер выбрать?

Для большинства задач подходит КриптоПро CSP 5.0 — он сертифицирован ФСБ, поддерживает ГОСТ 34.10-2018 и интегрирован с типовыми механизмами 1С. Альтернатива — ViPNet CSP для случаев работы с защищёнными сетями.

Нужно ли шифровать обмены внутри РИБ?

Если узлы РИБ соединены через интернет — обязательно (TLS 1.3 минимум). Внутри локальной сети формально не требуется, но рекомендуется для защиты от внутренних угроз и упрощения прохождения аудитов.

Как часто пересматривать матрицу прав доступа?

Минимум раз в квартал, а также при любых изменениях оргструктуры: приём/увольнение сотрудников, появление новых юрлиц, изменение бизнес-процессов. Автоматический отчёт о неиспользуемых правах должен формироваться ежемесячно.

Что делать, если внешний аудит выявил нарушения?

Составить план устранения с приоритизацией по критичности, начиная с разграничения доступа между юрлицами и журналирования критичных операций. Параллельно подготовить документацию: модель угроз, описание мер защиты, регламенты администрирования.

Можно ли защитить данные от администратора 1С?

Полностью — нет, администратор всегда имеет техническую возможность доступа. Но можно минимизировать риски: разделить роли (администратор ИТ ≠ администратор данных), включить аудит действий администраторов с выгрузкой в независимую систему, использовать принцип «двух пар глаз» для критичных операций.

Найдите специалиста для решения этой задачи на koderion.ru

Автор: редакция Koderion. Обновлено: 31 мая 2026. Источники: Бухгалтерия.ру, Infostart, ИТС 1С.