🚨 Введение
🔒 Системы контроля доступа (СКУД) являются критически важным элементом инфраструктуры безопасности любой организации. Однако их функционал неизбежно связан с обработкой персональных данных (ПДн): биометрические сведения (отпечатки пальцев, лица, радужной оболочки глаза), фотографии, логи перемещения сотрудников и посетителей. Несоблюдение требований Федерального закона № 152-ФЗ «О персональных данных» может повлечь за собой серьёзные штрафы (до 6 млн рублей) и репутационные потери.
🔍 Независимая экспертиза систем контроля доступа (СКУД) позволяет объективно оценить соответствие их функционирования и настроек законодательным требованиям, таким как Федеральный закон № 152-ФЗ «О персональных данных», и применимым отраслевым стандартам безопасности. Настоящий материал представляет собой системное, научно-методологическое исследование ключевых аспектов проверки СКУД на соответствие требованиям защиты персональных данных.
Глава 1. Почему СКУД попадают под действие ФЗ-152?
1.1. Категории персональных данных, обрабатываемых СКУД
📋 Такая экспертиза представляет собой комплексную проверку, направленную на выявление того, насколько эффективно СКУД обеспечивает защиту информации и соблюдает установленные нормы. Важно понимать, что СКУД почти всегда обрабатывает персональные данные (ПДн), что обязывает организацию-оператора выполнять требования 152-ФЗ.
| Категория данных | Примеры | Чем регулируется |
| Биометрические ПДн. | Отпечатки пальцев, сканы радужной оболочки, геометрия лица, вена пальца. | Ст. 11 (обязательное письменное согласие). |
| Иные ПДн. | Фотография на пропуске, ФИО, должность, номер телефона. | Ст. 9 (согласие может быть в простой письменной форме). |
| Логи перемещения (данные об активности). | Время прохода через турникет, ID карты, ID двери. | Ст. 6 (обработка в рамках трудовых отношений). |
| Данные о посетителях. | ФИО, паспортные данные, автомобильный номер. | Ст. 9 (письменное согласие / ознакомление с политикой). |
Глава 2. Ключевые требования ФЗ-152 к СКУД
2.1. Правовые основы обработки ПДн
⚖️ В контексте Федерального закона № 152-ФЗ экспертиза систем контроля доступа (СКУД) становится критически важной, поскольку эти системы часто оперируют такими чувствительными данными, как биометрические сведения.
| Требование | Статья 152-ФЗ | Что проверяет эксперт |
| Наличие согласия на обработку ПДн. | Ст. 9, ст. 11 (для биометрии). | Получено ли письменное согласие от сотрудников и посетителей. |
| Разграничение доступа к ПДн. | Ст. 19. | Настроены ли разные роли (администратор СКУД не должен видеть биометрию). |
| Шифрование ПДн при хранении (encryption at rest). | Ст. 19. | Хранятся ли биометрические шаблоны в зашифрованном виде. |
| Логирование доступа к ПДн (Audit Logs). | Ст. 19. | Кто и когда просматривал, изменял, удалял ПДн в БД. |
| Уничтожение ПДн при отзыве согласия / увольнении сотрудника. | Ст. 21. | Настроено ли автоматическое удаление пропуска и данных о проходах при увольнении. |
| Локализация баз данных (серверов хранения). | Ст. 18 (постановление 781-ПП). | Где физически находится сервер с БД СКУД. |
Глава 3. Методика экспертизы СКУД на соответствие 152-ФЗ
3.1. Анализ документации
| Документ | Что проверяется | Типичные нарушения |
| Политика обработки персональных данных. | Содержит ли описание СКУД как источника ПДн, сроки хранения, порядок уничтожения. | Отсутствие упоминания СКУД. |
| Согласия сотрудников / посетителей. | Форма согласия, наличие отметок об ознакомлении. | Нет письменного согласия на биометрию. |
| Договоры с обслуживающей организацией (аутсорсинг). | Наличие пункта о неразглашении (NDA). | Отсутствие договора (обработка не поручена). |
3.2. Техническая проверка
🛠️ Эксперт оценивает, каким образом осуществляется сбор, хранение, обработка и передача этих персональных данных, соответствуют ли применяемые методы требованиям к их защите.
| Компонент | Что проверяется | Инструменты / Методы |
| База данных (БД) СКУД. | Зашифрована ли БД? Кто имеет доступ? Создаются ли резервные копии? | SQL-запросы, анализ прав. |
| Биометрические шаблоны (шаблоны отпечатков). | Хранятся ли в открытом виде (plaintext)? Возможно ли восстановить отпечаток по шаблону? | Выгрузка шаблона, анализ. |
| Передача данных по сети (СКУД-сервер). | Используется ли FTP без шифрования, Telnet, HTTP. | Анализ трафика (Wireshark). |
| Журналы событий (Audit Trails). | Записываются ли все попытки доступа к ПДн (логирование). | Проверка настроек СКУД. |
Глава 4. Соответствие отраслевым стандартам безопасности
4.1. Требования к защите критической информационной инфраструктуры (КИИ)
🏭 Помимо ФЗ-152, независимая экспертиза проверяет соответствие СКУД другим стандартам безопасности, которые могут быть применимы в зависимости от специфики деятельности организации (например, требования к защите КИИ, стандарты ISO 27001).
| Требование | Суть | Применение к СКУД |
| Приказ ФСТЭК № 235 (категорирование КИИ). | Отнесение объекта к критическим (категория 1-3). | СКУД на объекте КИИ должна быть сертифицирована ФСТЭК. |
| Обеспечение отказоустойчивости КИИ. | Дублирование контроллеров, каналов связи. | Сервер СКУД должен быть кластеризован. |
| Мониторинг инцидентов 24/7. | Наличие централизованной системы мониторинга. | Система оповещения о взломе СКУД. |
4.2. Стандарты ISO 27001 (информационной безопасности)
📋 Эксперты оценивают надежность идентификации пользователей, устойчивость системы к взлому, наличие уязвимостей, качество ведения журнала событий, возможность быстрого реагирования на инциденты безопасности.
| Контроль ISO 27001 | Соответствующая настройка СКУД |
| A.9.4.2 (Secure log‑on procedures). | Требование сложного пароля для входа в ПО СКУД. |
| A.8.3.1 (Inventory of assets). | Полная инвентаризация контроллеров, считывателей. |
| A.12.4.1 (Event logging). | Включённое логирование всех событий (207). |
Глава 5. Что предоставить эксперту (чек-лист)
📂 Для проведения всесторонней экспертизы вам потребуется предоставить техническую документацию на вашу СКУД, включая схемы подключения, описание ПО, инструкции, а также имеющиеся внутренние положения и политики по защите персональных данных.
| № | Категория | Конкретные материалы |
| 1 | Документация по СКУД. | Проектная документация, спецификации, схемы. |
| 2 | Документация по 152-ФЗ. | Политика обработки ПДн, согласия сотрудников, договоры с аутсорсерами. |
| 3 | Доступы. | Доступ к ПО СКУД (с правами администратора), доступ к БД (SQL). |
| 4 | Логи (журналы). | Выгрузка логов за период 1-3 месяца. |
Глава 6. Штрафы за нарушения ФЗ-152 при эксплуатации СКУД
| Нарушение | Штраф (на должностное лицо / организацию) | Статья КоАП РФ |
| Обработка биометрии без письменного согласия. | До 100 000 руб. / до 500 000 руб. | Ст. 13.11 КоАП РФ |
| Неуведомление Роскомнадзора об обработке ПДн (биометрия). | До 20 000 руб. / до 100 000 руб. | Ст. 19.7 КоАП РФ |
| Неисполнение требования об уничтожении ПДн. | До 20 000 руб. / до 60 000 руб. | Ст. 13.11 КоАП РФ |
| Необеспечение безопасности при обработке ПДн (шифрование). | До 100 000 руб. / до 500 000 руб. (повторно: до 500 000 руб. / до 1,5 млн руб.). | Ст. 13.11 КоАП РФ |
Глава 7. Заключение
🏁 Независимая экспертиза СКУД на соответствие требованиям ФЗ-152 и отраслевым стандартам безопасности позволяет:
- ✅ Обнаружить обработку биометрических ПДн без письменного согласия.
- ✅ Выявить отсутствие шифрования биометрических шаблонов в БД.
- ✅ Обнаружить, что БД СКУД находится за пределами РФ (нарушение локализации).
- ✅ Проверить настройки резервного копирования и политики уничтожения.
- ✅ Избежать крупных штрафов.
📞 Для получения подробной консультации по экспертизе СКУД на соответствие 152-ФЗ, расчёта стоимости и сроков, а также для заказа досудебного или судебного исследования, пожалуйста, обратитесь в офис Союза «Федерация судебных экспертов» через форму на сайте: https://toveks.ru/.
Задавайте любые вопросы