Журнал "Information Security/ Информационная безопасность" #2, 2026

Если злоумышленник скомпрометирует учетную запись администратора СУБД или ОС, он получит прямой доступ к таб- лицам, полностью минуя все ограничения RLS. Во-вторых, проблема масштаби- руемости. При росте объемов данных (ERP, корпоративные системы) RLS соз- дает колоссальную нагрузку на произво- дительность СУБД. Возможно, в будущем компаниям придется идти на компромисс между сложными правилами RLS и быстродействием. 2. Изоляция безопасности 1С от обще- корпоративного контура. Многие компа- нии до сих пор строят безопасность в пузыре – свои парольные политики, локальные учетные записи и обособ- ленный аудит внутри 1С. Почему это станет ошибкой? Изоляция мешает видеть комплексные атаки. Без интег- рации с едиными системами IDM/IGA и централизованными SIEM невозможно оперативно выявить атаку, которая нача- лась с офисного ПК и постепенно дви- жется к ядру бизнес-логики. В будущем 1С, не включенная в общий SOC орга- низации, станет главным слепым пятном для ИБ-департамента. 3. Восприятие СУБД как пассивного хранилища. 4. Ставка на ручной аудит кода и чест- ное слово разработчика. Екатерина Соколова, Postgres Pro Контроль безопасности должен охва- тывать все элементы информационной системы, в том числе и СУБД. При этом нельзя защитить данные в базах только внешними инструментами. Особенно это касается систем, содержащих персо- нальные данные и значимые объекты КИИ. Мы как вендор постоянно повы- шаем безопасность своей СУБД, которая уже включает встроенные утилиты для защиты данных – маскирование, ограничение прав пользователей, аудит действий в СУБД, позволяющий избегать мошеннических операций внутри систе- мы, и многое другое. Тимур Цыбденов, "Газинформсервис" СУБД постепенно становится цент- ральным узлом контроля безопасности в системах 1С. Ключевыми факторами этого процесса выступает, с одной сто- роны, развитие российских продуктов с усиленной защитой (Jatoba, Postgres Pro Enterprise, Tantor), а с другой – активное применение на уровне баз данных тех- нологий: построчное разграничение доступа (RLS), прозрачное шифрование данных (TDE), а также системы аудита и мониторинга событий безопасности. Виталий Рыбалка, "ИТ-Экспертиза" Изменения неизбежны. Вот вероятные вектора развития. l Необходимость нефальсифицируемо- го следа. Логи СУБД невозможно уни- чтожить или подделать, даже если зло- умышленник полностью скомпромети- ровал сервер приложений 1С или учет- ную запись администратора платфор- мы. l Усиление прикладных механизмов. Комплексная защита информационных систем – например, не только RLS. l Регуляторное давление. Требования ФСТЭК России (например, приказ № 64) диктуют необходимость глубокого аудита и контроля целостности именно на уров- не СУБД. Петр Иванов, СВФУ Роль СУБД в контуре 1С кардинально меняется: она перестает быть просто пассивным хранилищем данных и ста- новится активным элементом контроля безопасности. Современные требования (защита персональных данных, объектов критической инфраструктуры) вынуж- дают использовать встроенные меха- низмы СУБД: l разделение привилегий на уровне таблиц, l прозрачное шифрование, l строковое разграничение доступа, l детальный аудит запросов. Это позволяет перекрыть риски, кото- рые не видит платформа 1С – например, прямой доступ к базе в обход прикладной логики. Петр Иванов, СВФУ Практики безопасной разработки для 1С применимы частично. Платформа не поддерживает современные инструмен- ты анализа и автоматизированные кон- вейеры напрямую. Компании адапти- руются: ручное ревью кода, кастомные линтеры, контроль версий, валидация данных. Внедрение практики безопасной разработки и анализа конфигураций отстает из-за нехватки специализиро- ванных утилит. С увеличением объема кастомного кода эти методики станут обязательными, но потребуют перестрой- ки процессов и разработки инструментов под особенности платформы. Тимур Цыбденов, "Газинформсервис" Практики безопасной разработки уже сейчас активно внедряются не только в крупном, но и в среднем и малом бизне- се – компании видят ценность подхода, несмотря на ограниченность ресурсов. Этому способствуют и ужесточающиеся требования регуляторов. Статический анализ кода стал стандартом в процессе разработки. Но наиболее частой причи- ной атак остаются не столько уязвимости в коде, сколько ошибки конфигурации платформы, поэтому все большую популярность набирают сканеры без- опасности платформы 1С. Виталий Рыбалка, "ИТ-Экспертиза" Поскольку мировые SAST-/DAST- инструменты не поддерживают язык 1С из коробки, для реализации DevSec- Ops используются отечественные и решения Open Source. BSL Language Server и BSL Analyzer позволяют про- водить глубокий статический анализ кода в реальном времени прямо в среде разработки (например, VS Code). Результаты анализа можно передавать в SonarQube и встраивать в сборочные конвейеры через Jenkins, создавая Quality Gates. Автоматизированный контроль помо- гает находить специфические для плат- формы уязвимости (небезопасный дина- мический код: использование операто- ров; "Выполнить" или "Вычислить"), логи- ческие ошибки (жестко заданные в коде пароли, обход проверок прав доступа и смешение латиницы/кириллицы в именах переменных) и проблемы интеграции (некорректные вызовы методов и нару- шение совместимости типов). Екатерина Соколова, Postgres Pro Актуальность безопасной разработки для среды 1С сегодня крайне высока, ведь решения 1С являются цифровой кровеносной системой многих россий- ских компаний. Однако внедрение РБПО – сложный процесс, требующий глубокой трансформации. Компании необходимо выстроить сквозные процессы и описать их в регламентах и инструкциях, внед- рить инструменты безопасности в инфра- структуре разработки, обучить команды. Ключевой документ – руководство по безопасной разработке ПО, в котором должны быть описаны цели разработчи- ка в области РБПО, роли участников процессов, перечень применяемых рег- ламентов. Компания должна самостоя- тельно пройти все этапы: анализ соот- ветствия стандарту, разработка плана внедрения, закупка инструментов, обуче- ние, внутренний аудит и сбор подтвер- ждающих артефактов. И только после такой масштабной подготовки можно выходить на аудит органа по сертифи- кации. Именно поэтому сертификаты пока получили крупные и зрелые ИТ- компании, и их немного. l Как будет меняться роль СУБД в контуре 1С: оста- нется ли просто местом хранения данных или ста- нет элементом контроля безопасности? Насколько сегодня приме- нимы практики безопасной разработки к среде 1С? 28 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru