1C‑Битрикс и 152‑ФЗ: модули, права и защита ПДн

1С‑Битрикс и 152‑ФЗ: модули, права и защита ПДн

Коротко: как 152‑ФЗ касается сайтов на 1С‑Битрикс

Если вы ищете битрикс 152 фз или набираете в поиске 1с фз 152, речь о том, как привести сайт или интернет‑магазин на 1С‑Битрикс в соответствие Закону о персональных данных. Базовые требования закона — законность, минимизация, безопасность и учет операций — описаны в нашем материале о принципах обработки (принципы и цели) и в тексте закона (152‑ФЗ, последняя редакция, обзор закона, структура и статьи). Для сайтов на Битрикс это означает корректные согласия, защищенный сбор и хранение ПДн, разграничение прав и ведение журналов.

Рекомендация: определите, является ли ваш сайт ИСПДн и к какому уровню защищенности он относится (что такое ИСПДн, уровни защищенности ИСПДн). От этого зависят меры защиты и криптография (ФСТЭК/ФСБ, криптография и шифрование).

Что должно быть на сайте по 152‑ФЗ

Краткий чек‑лист, что должно быть на сайте 152 фз (детали — в отдельном руководстве требования к сайту):

• Политика обработки ПДн в публичном доступе (политика обработки ПДн, документы для сайта).
• Законные основания обработки: явное согласие, либо иные основания (обработка без согласия).
• Корректные формы с чекбоксом согласия и ссылками на политику (формы на сайте и согласие).
• Cookie‑баннер и управление трекингом (cookie и баннеры; для Яндекс.Метрики — отдельные настройки Яндекс.Метрика и 152‑ФЗ).
• HTTPS и корректная настройка HSTS (SSL/HTTPS).
• Договоры с подрядчиками и дата‑процессорами (поручение обработки, передача третьим лицам).
• Уведомление Роскомнадзора (если требуется) и актуальные сведения в реестре (уведомление, реестр операторов).
• Внутренние регламенты, назначение ответственного и обучение (обязанности оператора, внутренний контроль и обучение).

Ключевые модули и настройки Битрикс для ПДн

1С‑Битрикс содержит ряд инструментов, которые помогают закрыть требования ФЗ‑152. Ниже — краткая карта.

Требование 152‑ФЗ	Что есть в 1С‑Битрикс	Где включить/настроить
Получение и учет согласий	Модуль Пользовательские соглашения (main.userconsent), компонент bitrix:main.userconsent.request	Настройки → Пользовательские соглашения; добавьте соглашение и подключите компонент к формам
Журналирование и аудит	Журнал событий, модуль Проактивная защита, контроль целостности	Настройки → Проактивная защита → Журнал/контроль; Настройки → Журнал событий
Разграничение доступа	Группы пользователей, роли и права на инфоблоки/разделы/заказы	Пользователи → Группы и права; Инфоблоки → Права; Магазин (sale) → Права
Защита админки и 2FA	Двухэтапная авторизация (OTP), ограничение по IP, стоп‑лист	Настройки → Проактивная защита → OTP, Стоп‑лист
Защита форм и антиспам	CAPTCHA, ре‑CAPTCHA, лимиты, проверка полей	Компоненты форм (form, main); Настройки модуля веб‑форм
Резервное копирование	Встроенный бэкап и экспорт	Настройки → Резервное копирование
HTTPS/HSTS	Принудительный HTTPS, secure cookies	Настройки продукта → Главный модуль → Использовать HTTPS
Cookie‑согласие	Реализуется через баннер и userconsent/скрипты	См. рекомендации по баннерам: cookie и баннеры

Дополнительно используйте Сканер безопасности и Web‑антивирус в модуле Проактивная защита, настройте контроль целостности ядра и уведомления о подозрительных активностях.

Права и роли: как ограничить доступ к данным

ФЗ‑152 требует принцип минимально необходимого доступа. В 1С‑Битрикс это реализуется так:

• Настройте группы пользователей: отдельные роли для контент‑менеджера, маркетолога (доступ к Метрике/задачам без ПДн), оператора заказов, администратора.
• Ограничьте права на инфоблоки и разделы: чтение/изменение/удаление только тем, кому это нужно.
• Для модуля Интернет‑магазин (sale) проверьте доступ к заказам и профилям пользователей. Скрывайте поля ПДн в списках для нерелевантных ролей.
• Запретите экспорт ПДн без служебной необходимости; используйте маскирование в админских списках.
• Включите 2FA и фильтр по IP для админки, отключите авторизацию по логину admin.

Отдельно продумайте доступ к логам и журналам — их видит только ответственное лицо и администратор безопасности.

Потоки ПДн в Битрикс: где хранятся данные

Типичные источники ПДн на сайте:

• формы обратной связи, заявки, подписки (модули form/main);
• регистрация/личный кабинет (поля главного модуля);
• заказ в интернет‑магазине (sale: заказы, плательщики, адреса);
• тикеты поддержки и CRM‑интеграции;
• сторонние виджеты (чат, оплатные формы, опросы).

Рекомендации по жизненному циклу данных:

• Сбор — только минимально необходимые поля, обязательное согласие.
• Хранение — в РФ, с резервным копированием и шифрованием каналов.
• Доступ — по ролям, с журналированием.
• Сроки хранения — регламентируйте и автоматизируйте удаление/обезличивание (сроки хранения ПДн, обезличивание ПДн).

Журналы 152‑ФЗ и как их вести в Битрикс

Требования к учетным журналам закреплены законом и подзаконными актами. Практически это набор управленческих и технических журналов 152 фз:

• Журнал согласий субъектов — фиксируется модулем userconsent; экспортируйте регулярно.
• Журнал обращений субъектов (доступ, исправление, отзыв) — заведите Highload‑блок или отдельный инфоблок; храните копии ответов.
• Журнал предоставления/отзыва доступа сотрудникам — кадровый регистр + выгрузка из Битрикс (кто/когда получил роль).
• Журнал инцидентов и срабатываний безопасности — Журнал событий + уведомления из Проактивной защиты.
• Журнал резервного копирования и восстановления — протоколируйте дату, ответственного и местоположение бэкапа.
• Журнал поручений обработчикам — фиксация передач данных подрядчикам, основание и период (поручение обработки).
• Журнал уничтожения/блокировки ПДн — оформляйте акт и запись о выполнении (уничтожение и блокировка).

Экспортируйте журналы в защищенное хранилище и при необходимости интегрируйте с SIEM. Хранение — по внутреннему регламенту и срокам.

Шифрование, HTTPS, серверы в РФ

• Включите принудительный HTTPS, HSTS, secure и HttpOnly для cookies (SSL/HTTPS).
• Шифруйте каналы интеграций и админ‑доступ; применяйте VPN и ограничение по IP.
• Размещение данных в РФ: выберите дата‑центр или облако с серверами в России (серверы/хостинг/ЦОД, Yandex Cloud).
• При более высоких уровнях защищенности учитывайте требования ФСТЭК/ФСБ и ГОСТ‑криптографию (требования ФСТЭК и ФСБ, уровни защищенности ИСПДн).
• Подготовьте модель угроз и план внедрения СЗИ (модель угроз ИСПДн).

Передача третьим лицам и договоры

Любая интеграция — виджет чата, процессинг платежей, CRM, аналитика — это передача третьим лицам или обработка по поручению. Необходимо:

• Заключить договоры с процессорами с условиями 152‑ФЗ (передача третьим лицам, поручение обработки).
• Проверить трансграничные передачи и правовые основания (трансграничная передача).
• Обновить уведомление в Роскомнадзоре при изменении перечня обработок (уведомление Роскомнадзора).
• Для Яндекс.Метрики и форм — включить режимы безличной статистики и отложенной загрузки до согласия (Яндекс.Метрика и 152‑ФЗ, Яндекс.Формы и 152‑ФЗ).

Дорожная карта внедрения соответствия

• Проведите инвентаризацию: какие ПДн собираете, где хранятся, кто имеет доступ (data‑map).
• Определите правовые основания и обновите документы: политика, согласия, поручения (пакет документов, генератор политики и согласий).
• Настройте модули Битрикс: userconsent, журнал событий, 2FA, права, HTTPS, cookie‑баннер.
• Реализуйте журналы 152‑ФЗ и регламенты — внутренний контроль и обучение (внутренний контроль и обучение).
• Проведите тесты: попытки несанкционированного доступа, удаление по запросу, отзыв согласия.
• Подготовьтесь к проверке: доказательная база и скриншоты настроек (чек‑лист, подготовка к проверке, проверки Роскомнадзора).

Нужна быстрая оценка? Запустите онлайн‑проверку сайта или закажите аудит сайта по 152‑ФЗ.

Типичные ошибки Битрикс‑проектов

• Предустановленный чекбокс согласия или его отсутствие в формах.
• Загрузка аналитики и виджетов до получения согласия на cookies.
• Слишком широкие права сотрудникам; общий аккаунт администратора.
• Открытая админка из Интернета без 2FA и ограничений по IP.
• Не настроен журнал событий и уведомления, журналы не выгружаются.
• Бесконтрольные бэкапы, тестовые стенды с реальными ПДн.
• Отсутствие регламента сроков хранения и актов уничтожения.
• Нет фиксации обращений субъектов и ответов.

Последствия — от инцидентов до штрафов (ответственность и штрафы, КоАП 13.11).

Права субъектов: обработка запросов

Организуйте процессы выполнения прав субъектов ПДн:

• доступ к данным и предоставление копий (права субъектов ПДн);
• исправление и актуализация;
• отзыв согласия и прекращение обработки (заявления и отзыв согласия, прекращение обработки);
• блокировка и уничтожение после достижения целей (уничтожение и блокировка).

В 1С‑Битрикс подготовьте шаблоны действий: выборка и выгрузка данных пользователя, маскирование, удаление с протоколированием; добавьте кнопки в админке или служебные скрипты с журналированием.

Заключение и следующий шаг

Привести сайт на 1С‑Битрикс к требованиям ФЗ‑152 — это сочетание юридических документов, грамотной настройки модулей и постоянного внутреннего контроля. Настройте согласия, роли и журналирование, включите HTTPS и 2FA, оформите договоры с подрядчиками и ведите журналы 152 фз. Если нужна помощь под ключ — мы готовы провести аудит, подготовить комплект документов и настроить Битрикс.

Действуйте сегодня: пройдите онлайн‑проверку, закажите аудит сайта по 152‑ФЗ или обратитесь за консалтингом и документами под ключ.