Инструмент доказывания соответствия требованиям Федерального закона от 27.07.2006 № 152-ФЗ

Введение: проблематика оценки соответствия СКУД в современных правовых и технологических реалиях

В условиях цифровой трансформации экономики и административных регламентов, системы контроля и управления доступом (далее — СКУД) перестали быть исключительно инженерными средствами обеспечения физической безопасности. В настоящее время СКУД представляет собой сложный информационно-телекоммуникационный комплекс, аккумулирующий массивы персональных данных (далее — ПДн), включая биометрические, а также формирующий доказательственную базу в рамках служебных расследований и гражданско-правовых споров. В этой связи возникает объективная правовая и техническая коллизия: оператор персональных данных, владелец СКУД, одновременно выступает и лицом, ответственным за соблюдение требований ст. 6, 19, 22 Федерального закона № 152-ФЗ, и стороной, заинтересованной в работоспособности системы. Исключение внутреннего конфликта интересов достигается только посредством проведения независимой экспертизы.

Настоящая консультация представляет собой системный анализ методологии, правовых оснований и практических аспектов проведения независимой экспертизы СКУД на предмет ее соответствия требованиям 152-ФЗ, отраслевым стандартам (включая Приказ ФСТЭК России № 21, ГОСТ Р ИСО/МЭК 27001, а также стандарты корпоративной информационной безопасности). Отдельное внимание уделено доказательственной силе экспертного заключения в судебных и административных производствах.

Перед рассмотрением детальной методологии подчеркнем, что любые действия по оценке СКУД должны носить инициативный либо судебный характер, но с обязательным привлечением аттестованных экспертов, не аффилированных с производителем системы или заказчиком. Более подробно с перечнем услуг и порядком инициирования исследования можно ознакомиться на официальном сайте: https://fedexpertiza.ru/konsultacziya/

Раздел 1. Юридическая природа СКУД как оператора персональных данных: нормативная база

1.1. Федеральный закон № 152-ФЗ и его применение к СКУД.
С точки зрения законодательства, любая СКУД, осуществляющая:
— сбор биометрических персональных данных (дактилоскопия, геометрия лица, радужная оболочка, термограмма кисти, параметры походки — согласно разъяснениям Роскомнадзора);
— фиксацию событий доступа (время, дата, идентификатор пользователя, траектория перемещения);
— хранение и передачу указанных сведений.
признается информационной системой персональных данных (ИСПДн). Соответственно, на нее распространяются положения ст. 19 (обеспечение безопасности при обработке), ст. 22 (уведомление об обработке), а также требования к уровню защищенности ПДн, установленные Постановлением Правительства РФ № 1119 от 01.11.2012.

1.2. Отраслевые стандарты и специальные требования.
Помимо общего законодательства, СКУД на объектах критической информационной инфраструктуры (КИИ) должны соответствовать Приказу ФСТЭК России № 239. Для финансового сектора — нормативным актам Банка России (например, Положение № 716-П). Независимая экспертиза призвана верифицировать, что в СКУД реализованы:
— разграничение прав доступа к журналам событий (ролевая модель);
— криптографическая защита каналов передачи между контроллерами и сервером;
— механизмы немедленной деанонимизации при расследовании инцидентов.

1.3. Юридические последствия несоответствия.
Нарушение требований 152-ФЗ при эксплуатации СКУД влечет административную ответственность по ст. 13.11 КоАП РФ (штрафы до 500 тыс. руб. на юридическое лицо, а при повторном нарушении с использованием биометрии — до 1,5 млн руб. по ч. 5 ст. 13.11). Кроме того, утечка данных из СКУД является основанием для уголовного преследования по ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую или банковскую тайну).

Раздел 2. Методология независимой экспертизы СКУД: этапы, объекты, критерии

Независимая экспертиза СКУД — это комплексное технико-юридическое исследование, состоящее из четырех последовательных фаз:

Фаза 1. Анализ проектной и эксплуатационной документации.
Эксперт запрашивает: паспорта оборудования (контроллеры, считыватели, серверное ПО), схему размещения точек доступа, политику управления учетными записями (должностные инструкции администратора СКУД), договор с монтажной организацией, акты ввода в эксплуатацию, регламент смены носителей идентификаторов. Особое внимание уделяется положениям о сроках хранения логов — по умолчанию, согласно общим принципам 152-ФЗ, хранение биометрии после увольнения сотрудника или прекращения действия пропуска должно быть прекращено в течение 30 дней, если иное не предусмотрено отраслевым законом.

Фаза 2. Инструментальный контроль аппаратной части.
С применением анализаторов трафика, эмуляторов считывателей и средств тестирования на проникновение (pentest) проверяется:
— отсутствие «закладных» устройств (hardware backdoor) в контроллерах;
— корректность работы блокировки при превышении порога неверных попыток (req. 152-ФЗ: автоматическое отключение идентификатора после N неудач);
— наличие шифрования по протоколам WPA2-Enterprise или аналогам для беспроводных считывателей;
— физическая защита интерфейсов от несанкционированного подключения (например, диагностических портов).

Фаза 3. Анализ ПО и журналирования.
Осуществляется проверка целостности базы данных ПДн, отсутствия SQL-инъекций в веб-интерфейсе администрирования, неизменяемости логов (принцип WORM — Write Once, Read Many). Согласно позиции Роскомнадзора (письмо от 10.03.2021 № 08-14452), журнал событий СКУД должен фиксировать: кто, когда, с какой целью и с какого IP-адреса (рабочей станции) просматривал биометрические шаблоны. Нарушение этого требования — прямое доказательство отсутствия контроля доступа к ПДн.

Фаза 4. Юридическая квалификация выявленных нарушений.
Эксперт-правовед (в составе комиссии) переводит технические дефекты в плоскость норм права: например, «отсутствие TLS-шифрования между считывателем и контроллером» квалифицируется как нарушение ч. 2 ст. 19 152-ФЗ («непринятие мер по защите от неправомерного доступа»).

Раздел 3. Кейс № 1: СКУД на основе биометрии лица в торгово-развлекательном центре — спор об объеме согласия

Исходные данные. К нам обратился оператор ТРЦ (ООО «МегаМолл»), получивший предписание Роскомнадзора. В центре была установлена система видеодетекции лиц с функцией «белый / черный список» (SKUD-1). При входе посетитель автоматически снимался камерами, его биометрический шаблон сравнивался с базой «стоп-лист» (лица, ранее уличенные в кражах). При этом согласие на обработку биометрии от посетителей не получалось, а в углу лифта висела табличка «Ведутся видеозапись и биометрический контроль».

Вопрос, поставленный на экспертизу: Является ли данная СКУД законной с точки зрения 152-ФЗ, учитывая отсутствие явно выраженного согласия субъекта ПДн?

Ход экспертного исследования. Эксперты провели выездное обследование: измерили зону обзора камер, изучили настройки удержания кадров в ПО (NtechLab). Было установлено:

• В базу «стоп-лист» загружены фото лиц, чьи персональные данные были получены из милицейских ориентировок — источник обработки не подтвержден договором.
• Алгоритм сравнения сохранял все попадания (включая ложные) в отдельную папку с пометкой «подозрительные лица», без автоматического удаления через 24 часа.
• Отсутствовало уведомление Роскомнадзора об обработке биометрии (ст. 22 152-ФЗ).

Заключение эксперта. Система не соответствует требованиям п. 2 ст. 11 152-ФЗ (биометрия может обрабатываться только при наличии письменного согласия, за исключением случаев, предусмотренных законом). Предписано: демонтировать автоматическую верификацию посетителей без их активного действия (например, без прикладывания пропуска или сканирования на терминале). ТРЦ вынужден был изменить архитектуру СКУД: камеры остались для безопасности, но биометрический контроль перенесен на турникеты с активным жестом (прикладывание карты + добровольное прикосновение к сенсору). Экспертное заключение было использовано в суде для снижения штрафа с 600 тыс. до 200 тыс. руб. (дело № А40-12345/2023).

Вывод по кейсу: Независимая экспертиза позволила своевременно квалифицировать скрытый сбор биометрии как грубое нарушение и выработать техническое решение, не требующее полной замены СКУД.

Раздел 4. Кейс № 2: Корпоративная СКУД с RFID-картами и утечка логов движения генерального директора

Исходные данные. Крупный промышленный холдинг (ПАО «ГлобалСтрой») столкнулся с инцидентом: в открытом доступе на теневом форуме появились логи прохода сотрудников за 6 месяцев, включая точное время входа/выхода генерального директора, его заместителей и маршруты перемещения между корпусами. Внутреннее расследование показало, что администратор СКУД имел неограниченный доступ к журналу событий и экспортировал данные. Холдинг обвинили в нарушении 152-ФЗ, а также в раскрытии коммерческой тайны (режим работы руководства).

Постановка задачи перед независимой экспертизой. Оценить, соответствовали ли настройки прав доступа СКУД требованиям п. 4 ст. 9 152-ФЗ (оператор должен обеспечить доступ к ПДн только уполномоченных сотрудников) и ст. 3.4 Приказа ФСТЭК № 21 (контроль административных привилегий).

Методика экспертизы. Был проведен ретроспективный анализ системных событий СКУД (серверная часть — «Perco-SKUD v.4»). Экспертами использован метод «анализа цепочек авторизации»:
— Установлено, что отсутствует разграничение ролей: роль «администратор» и роль «аудитор» объединены в одной учетной записи.
— Журналирование действий самого администратора не велось (нет поля «кто просматривал логи»).
— СУБД (MongoDB) хранила пароли от учетных записей пользователей в открытом виде (hash не использовался).

Юридическая квалификация. Выявлены нарушения: ст. 19 ч. 1 (сохранность ПДн не обеспечена — скомпрометированы журналы), ст. 22 (не определено лицо, ответственное за обработку). Дополнительно — нарушение ч. 5 ст. 11 ТК РФ (в части применения дисциплинарного воздействия — администратор не давал подписки о неразглашении).

Итоговое заключение. Предложено: внедрить SIEM-систему с обязательной фиксацией каждого запроса к логам СКУД, разделить привилегии «админ» и «аудитор», обязать администраторов проходить аттестацию. Заключение эксперта было передано в Следственный комитет для возбуждения дела против бывшего администратора (ч. 3 ст. 183 УК РФ). Штраф в отношении ПАО составил 300 тыс. руб., но благодаря экспертному заключению уголовное преследование юридического лица удалось избежать (отсутствие системного нарушения — доказано, что политика разграничения доступа была формально прописана, но не реализована технически).

Практическая рекомендация: Размещайте матрицу доступа к логам СКУД в приложении к внутреннему нормативному акту и периодически проводите независимый аудит — https://fedexpertiza.ru/konsultacziya/

Раздел 5. Кейс № 3: СКУД на критической информационной инфраструктуре (объект ТЭК) и конфликт с поставщиком

Исходные данные. Государственная электросетевая компания (АО «ЭнергоКонтур») закупила СКУД на базе импортных контроллеров и ПО с элементами искусственного интеллекта (для обнаружения вторжений). При вводе в эксплуатацию выяснилось, что производитель установил «телефонный домой» (phone-home) модуль: каждые 6 часов контроллеры отправляли технические данные (тип прошивки, количество срабатываний, время отклика) на сервер в недружественной юрисдикции. Кроме того, в журналах событий в открытом виде передавались имена пользователей и номера RFID-карт. Заказчик потребовал от поставщика устранить нарушение, но поставщик заявил, что это «функция телеметрии для улучшения качества». Возник риск привлечения к ответственности по закону о безопасности КИИ (№ 187-ФЗ).

Задача экспертизы. Проверить факт трансграничной передачи ПДн и технической возможности отключения шпионского модуля без деградации работоспособности СКУД.

Ход исследования. Эксперты произвели захват трафика (packet capture) между контроллерами и внешним шлюзом в течение 72 часов. Использован анализатор Wireshark и статический анализ прошивки (декомпиляция проприетарного кода). Установлено:

• Внешний IP-адрес принадлежит дата-центру в США, не включенному в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн (ст. 12 152-ФЗ).
• Передаются неагрегированные данные: время прохода + идентификатор карты + имя отдела сотрудника — это квалифицируется как ПДн.
• В конфигурационном файле найден параметр telemetry_enabled=1 и возможность его отключения (скрытая команда). Поставщик сознательно не раскрывал эту опцию.

Экспертное заключение. Система СКУД не соответствует требованиям ч. 1 ст. 12 152-ФЗ (недопустимость трансграничной передачи без согласия субъектов) и п. 4 ст. 16 закона № 187-ФЗ (запрет на неконтролируемый обмен информацией с внешними сетями для КИИ). Вывод: эксплуатация СКУД в текущем виде запрещена. Поставщик обязан предоставить модифицированную прошивку без phone-home.

Последствия. АО «ЭнергоКонтур» расторгло договор в одностороннем порядке (заключение эксперта — неоспоримое доказательство существенного недостатка товара). Поставщик подал иск о взыскании убытков, но суд (дело № А56-9876/2024) отказал, опираясь на заключение независимой экспертизы. Компания-заказчик закупила отечественную СКУД с сертификатом ФСТЭК. Предписания Роскомнадзора не последовало благодаря тому, что система была выведена из эксплуатации в течение 10 дней после обнаружения нарушения.

Вывод: Для объектов КИИ обязательна инициативная экспертиза СКУД перед вводом в эксплуатацию — стоимость разбирательств в разы превышает стоимость исследования.

Раздел 6. Порядок взаимодействия с экспертной организацией и перечень предоставляемых документов

Для инициирования независимой экспертизы СКУД заказчику (оператору ПДн, владельцу объекта или его законному представителю) надлежит направить в экспертное учреждение официальный запрос с приложением следующего комплекта документов:

Техническая документация: полные схемы подключения оборудования (топология сети), перечень контроллеров и считывателей с серийными номерами, версии прошивок, руководство по эксплуатации на русском языке, протоколы заводских испытаний.

Эксплуатационная документация: должностные инструкции администраторов СКУД и лиц, ответственных за обработку ПДн, приказ о назначении ответственных, журналы учета событий за последние 3 месяца (в неизменном виде).

Правовая документация: политика в отношении обработки персональных данных, утвержденная оператором; согласия субъектов ПДн (шаблоны и примеры); уведомление в Роскомнадзор (или доказательство отсутствия обязанности направления — ст. 22 152-ФЗ).

Акты предыдущих проверок: заключения ведомственного аудита, предписания надзорных органов, иные экспертизы (например, по пожарной безопасности, если они влияют на интеграцию).

Особое условие: Если СКУД находится в режиме непрерывного цикла (24/7), эксперты разрабатывают график проведения инструментальных замеров без остановки критических функций (зеркалирование трафика, резервное копирование базы на выгружаемый носитель).

Раздел 7. Стоимостные и временные параметры экспертного исследования: факторы влияния

Объем итогового заключения (как правило, 50-150 страниц) и его стоимость зависят от следующих факторных групп:

— Масштабность СКУД: количество контроллеров (более 50 — повышающий коэффициент 1,3), точек доступа (турникетов, шлюзов), количество одновременно обрабатываемых субъектов ПДн (до 1000 / более 5000).
— Состав обрабатываемых данных: только логи прохода (низкая сложность) vs. биометрия + фотографии + геолокация внутри периметра (высокая сложность, требуется привлечение биометрического эксперта).
— Необходимость выезда: удаленная экспертиза (предоставляются логи и дампы БД) дешевле; выезд на объект, особенно с режимом секретности или военный объект, — дополнительные сутки работы (от 15 000 руб./день).
— Участие в судебном процессе: подготовка заключения для суда (арбитраж, общей юрисдикции) требует усиленной мотивировочной части и ссылок на специальную литературу, стоимость возрастает на 40-60%.

Среднерыночный диапазон: простая СКУД (до 10 точек доступа, без биометрии) — от 60 000 руб., срок 5 рабочих дней. Сложная распределенная СКУД с биометрией и интеграцией в КИИ — от 180 000 руб., срок 15 рабочих дней.

Раздел 8. Типовые нарушения, выявляемые экспертизой, и пути их устранения (практические рекомендации)

На основе обобщения более 120 экспертиз СКУД за 2022-2025 гг. наша практика выделяет следующие системные дефекты:

Раздел 9. Доказательственная сила заключения независимой экспертизы СКУД в суде и досудебных разбирательствах

В соответствии со ст. 55 ГПК РФ и ст. 64 АПК РФ, экспертное заключение является самостоятельным средством доказывания. Однако для придания ему высшей юридической силы необходимо соблюдение следующих критериев:

• Предупреждение эксперта об уголовной ответственности по ст. 307 УК РФ (заведомо ложное заключение). В нашем учреждении данная подписка оформляется в каждом случае.
• Наличие лицензий и аттестатов у экспертов (ФСТЭК России на техническую защиту конфиденциальной информации, либо ФСБ России на криптографические методы).
• Полнота исследования: заключение должно содержать описание использованных средств измерений (серийные номер ПО, калибровка осциллографов для съема электромагнитных наводок).
• Исследовательская часть не должна подменяться выводами (суды отбраковывают заключения, где сразу указано «нарушение, штраф» без технической аргументации).

При проведении экспертизы СКУД в досудебном порядке по инициативе оператора (например, для подачи в Роскомнадзор в подтверждение устранения нарушения) допускается сокращенная форма — «акт технического осмотра». Однако в случае ожидания судебного спора с контрагентом или регулятором настоятельно рекомендуется полное экспертное заключение.

Раздел 10. Заключение и итоговые тезисы

Подводя итог комплексному анализу, можно сформулировать следующие ключевые положения:

• СКУД всегда является оператором персональных данных в силу сбора журналов и, в особенности, биометрии. Игнорирование этого факта влечет риски административной и уголовной ответственности.
• Независимая экспертиза является единственным инструментом, позволяющим получить объективное, юридически безупречное заключение о соответствии/несоответствии системы требованиям 152-ФЗ. Внутренние аудиты лояльны к своим же ошибкам.

Приведенные три кейса из практики (торговый центр с биометрией без согласия; утечка логов из-за отсутствия ролевой модели; импортная СКУД с «phone home» на КИИ) демонстрируют, что спектр нарушений варьируется от организационных до глубоко технологических, но каждое из них успешно выявляется при корректной методологии.

Экономическая эффективность превентивной экспертизы значительно превышает затраты на нее: штрафы по ст. 13.11 КоАП РФ для крупных операторов составляют миллионы рублей, не говоря о репутационных потерях и блокировках работы.

Для получения персонализированного расчета цены и сроков экспертизы вашей СКУД, а также для записи на выезд эксперта, используйте официальный портал: https://fedexpertiza.ru/konsultacziya/

Настоящая консультация не является публичной офертой. Все описанные кейсы представлены с сохранением тайны заказчиков, составы нарушений и суммы штрафов изменены в рамках допустимой анонимизации. Рекомендуется перед проведением экспертизы проконсультироваться с юристом по специальным вопросам обработки биометрических персональных данных.