🔵 Введение: правовое регулирование обработки персональных данных в СКУД
🔐 Системы контроля и управления доступом (СКУД) являются операторами персональных данных (ПДн) в смысле Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Они обрабатывают биометрические персональные данные (отпечатки пальцев, изображение лица, радужной оболочки глаза, рисунок вен ладони), а также иные ПДн (ФИО, должность, фотографию, график работы). Независимая экспертиза СКУД позволяет объективно оценить соответствие системы требованиям 152-ФЗ, подзаконных актов (Приказы ФСТЭК, Минкомсвязи), а также отраслевым стандартам (ГОСТ Р, ISO/IEC 27001, стандарты ЦБ РФ для финансовых организаций, требования к защите информации в государственных информационных системах). Настоящая статья раскрывает методологию такой экспертизы.
Раздел 1. Область действия 152-ФЗ применительно к СКУД
1.1. Категории персональных данных, обрабатываемых СКУД
| Категория ПДн | Примеры | Особенности правового режима |
| Биометрические персональные данные. | Отпечатки пальцев, геометрия лица, радужная оболочка глаза, рисунок вен. | Относятся к специальным категориям, требуют письменного согласия субъекта (ст. 11 152-ФЗ). |
| Иные персональные данные (ФИО, должность, график работы, фотография, номер карты доступа). | ФИО, должность, график работы, фотография, номер карты доступа. | Требуется согласие на обработку (ст. 9 152-ФЗ). |
1.2. Требования 152-ФЗ, применимые к СКУД
| Статья ФЗ-152 | Требование | Как проверяет эксперт |
| Ст. 9 (согласие на обработку ПДн). | Наличие письменного согласия сотрудника на обработку его биометрических ПДн. | Проверка наличия согласий в личных делах (кадровых документах). |
| Ст. 18.1 (меры по обеспечению безопасности ПДн). | Назначение ответственного за обработку ПДн, издание локальных актов. | Проверка наличия приказа, Политики обработки ПДн, инструкций. |
| Ст. 19 (обеспечение безопасности ПДн). | Шифрование, разграничение прав доступа, регистрация событий. | Анализ настроек СКУД (шифрование каналов связи, права операторов). |
Раздел 2. Методология экспертизы соответствия СКУД требованиям ФЗ-152
2.1. Анализ организационных мер
| Документ | Что проверяется | Типовые нарушения |
| Политика обработки персональных данных. | Наличие, соответствие требованиям 152-ФЗ, публикация на сайте. | Отсутствие, устаревшая редакция. |
| Перечень мер по обеспечению безопасности ПДн. | Утвержден ли перечень, актуален ли. | Отсутствие. |
| Согласие на обработку биометрических ПДн. | Наличие письменного согласия каждого сотрудника. | Отсутствие (особенно для биометрии!). |
2.2. Анализ технических мер (настройки СКУД)
| Техническая мера | Как проверяет эксперт | Признак нарушения (несоответствия) |
| Ширование каналов связи между контроллером и сервером. | Анализ сетевого трафика (Wireshark). | Пароль и ID карты передаются в открытом виде (plaintext). |
| Разграничение прав доступа (RBAC). | Просмотр ролей операторов. | Оператор имеет права на просмотр биометрических шаблонов. |
| Регистрация событий (логирование). | Журнал событий должен фиксировать: вход в систему, просмотр/изменение биометрических шаблонов. | В журнал не пишутся события изменения биометрических данных. |
Раздел 3. Соответствие отраслевым стандартам безопасности
3.1. Требования ЦБ РФ для финансовых организаций (Положение № 684-П, 716-П, 719-П, 728-П, 732-П, 757-П)
| Требование | Как проверяет эксперт |
| Разграничение доступа в серверную (ЦОД). | Анализ журналов проходов в серверную, наличие СКУД. |
| Обязательная двухфакторная аутентификация (MFA). | Проверка: карта + PIN-код, карта + биометрия. |
3.2. Требования к защите КИИ (Критической информационной инфраструктуры)
| Требование | Как проверяет эксперт |
| Наличие средств защиты информации (СЗИ) от НСВ (несанкционированного воздействия). | Проверка лицензий ФСТЭК. |
3.3. ГОСТ Р ИСО/МЭК 27001 (менеджмент информационной безопасности)
| Контроль | Как проверяет эксперт |
| A.9.4.2 (процедура входа в систему). | Проверка блокировки терминала после нескольких неудачных попыток. |
| A.9.2.1 (регистрация и отзыв прав доступа). | Проверка процедуры отзыва доступа при увольнении. |
Раздел 4. Примеры из практики (кейсы)
📁 Кейс №1 (Нарушение 152-ФЗ в банке)
Фабула: Банк использовал биометрическую СКУД (распознавание лица) для доступа в операционный зал. Согласия сотрудников на обработку биометрических ПДн получены не были (письменные согласия отсутствовали).
Экспертиза: Зафиксировала отсутствие согласий и отсутствие уведомления Роскомнадзора о трансграничной передаче (ПДн передавались на сервера поставщика ПО, которые оказались в США).
Итог: Штраф по ст. 13.11 КоАП РФ 100 000 руб., предписание Роскомнадзора.
📁 Кейс №2 (Несанкционированный доступ в серверную ЦОД)
Фабула: В ЦОД (центр обработки данных) проник злоумышленник, несмотря на наличие СКУД с распознаванием отпечатков пальцев.
Экспертиза: СКУД не фиксировала биометрические попытки доступа (логи отсутствовали). Причина: в настройках была отключена опция «Биометрическая верификация» (оставлена только карта).
Итог: Предписание ЦБ РФ.
Раздел 5. Стоимость и сроки экспертизы
| Тип экспертизы | Стоимость (руб.) | Срок (дней) |
| Экспертиза соответствия 152-ФЗ (организационные + базовые технические меры). | от 60 000 – 100 000 | 5–7 |
| Экспертиза соответствия отраслевым стандартам (ЦБ РФ, КИИ). | от 80 000 – 150 000 | 7–10 |
| Комплексная экспертиза (152-ФЗ + отраслевые стандарты + анализ безопасности). | от 120 000 – 250 000+ | 10–14 |
Раздел 6. Часто задаваемые вопросы
❓ Вопрос 1. Какие документы нужно предоставить для экспертизы СКУД на соответствие ФЗ-152?
📁 Перечень документов:
- 📄Политика обработки персональных данных.
- 📑Согласия сотрудников (на обработку биометрических ПДн).
- 🖥️ Назначение ответственного за обработку ПДн (приказ).
- 📋Перечень мер по обеспечению безопасности ПДн.
❓ Вопрос 2. Обязательно ли шифрование каналов связи в СКУД?
🔐 Да, если СКУД передает персональные данные (включая ID карты или биометрические шаблоны) по открытым сетям (Ethernet, Wi-Fi). Эксперт проверяет использование HTTPS, TLS, VPN.
❓ Вопрос 3. Какова ответственность за нарушение 152-ФЗ при эксплуатации СКУД?
⚖️ Штрафы по ст. 13.11 КоАП РФ:
- Для должностных лиц:10 000 – 20 000 руб.
- Для юридических лиц:60 000 – 100 000 руб.
Заключение и итоговые рекомендации
🎯 Независимая экспертиза СКУД на соответствие ФЗ-152 и отраслевым стандартам безопасности — это не формальность, а обязательное условие для компаний, обрабатывающих биометрические персональные данные или работающих в регулируемых отраслях (финансы, КИИ, госсектор).
Памятка для заказчика экспертизы СКУД.
✅ Перед внедрением СКУД (системы контроля доступа) с биометрией убедитесь, что есть письменное согласие сотрудников на обработку их биометрических ПДн.
✅ Храните журналы событий (логи доступа) не менее 1 года (согласно требованию регуляторов для операторов персональных данных).
✅ Проводите периодическую (раз в 3 года) аттестацию СКУД на соответствие требованиям информационной безопасности.
📞 Для заказа независимой экспертизы СКУД (систем контроля доступа) на соответствие требованиям ФЗ-152, отраслевым стандартам (ЦБ РФ, КИИ) и для консультации по вашему конкретному случаю, пожалуйста, заполните форму на нашем официальном сайте или свяжитесь с нашими специалистами. Приглашаем вас в офис Союза «Федерация судебных экспертов».
🌐 Все необходимые ресурсы: образцы политик обработки персональных данных, перечни вопросов для эксперта, инструкции по проверке прав доступа — доступны по адресу: https://patexp.ru/.
Задавайте любые вопросы