Положение о пропускном режиме
Пропускной режим — не только вопрос физической безопасности. В контексте 152-ФЗ это элемент организационных мер защиты по ст. 19 ФЗ-152 и одновременно часть системы разграничения доступа к информационным системам персональных данных (ИСПДн), которую оценивает ФСТЭК (Приказ ФСТЭК №21). Ниже — пошаговая инструкция: от определения сферы применения до интеграции положения в полный пакет ОРД.
Шаг 1. Определите сферу применения положения
Положение о пропускном режиме применяется ко всем помещениям, в которых ведётся обработка ПДн: серверные, архивы с бумажными носителями, рабочие места операторов ИСПДн, переговорные, где проводятся встречи с субъектами ПДн. Если компания арендует офис — положение распространяется на арендуемые площади в части, которую контролирует оператор.
Зафиксируйте в положении: перечень охраняемых зон, категории лиц, которым разрешён доступ, и основание доступа (пропуск, биометрия, список допущенных). Это требование вытекает из п. 13 ПП РФ №1119 для уровней защищённости УЗ-3 и УЗ-4 и из подп. «а» п. 14 для УЗ-1 и УЗ-2.
Шаг 2. Установите порядок идентификации и пропуска
В этом разделе положения зафиксируйте три блока: как идентифицируют сотрудников (пропуск, СКУД, личный список), как идентифицируют посетителей (паспорт, временный пропуск, сопровождение) и как документируют факт прохода (журнал или электронный лог).
Если для идентификации используется СКУД с распознаванием лица или считыванием отпечатка, положение должно содержать ссылку на отдельный документ — согласие на обработку биометрических ПДн по ст. 11 ФЗ-152. Биометрия в СКУД без письменного согласия сотрудника — нарушение ст. 11 ФЗ-152, ответственность по ч. 16 ст. 13.11 КоАП (точный диапазон для юрлиц верифицировать перед публикацией).
Для посетителей — паспортные данные при записи в журнал уже являются ПДн. Их сбор требует правового основания по ст. 6 ФЗ-152: либо согласие, либо — если речь идёт об обеспечении безопасности объекта — законный интерес оператора с документальным обоснованием.
Формируете пакет ОРД и не уверены, все ли документы в порядке?
Положение о пропускном режиме — один из 38 документов, которые РКН проверяет при плановой инспекции. Отсутствие любого из них — отдельный состав нарушения по ст. 13.11 КоАП. Если вы юрист, который отвечает за комплаенс оператора, проверьте полноту пакета до того, как придёт запрос РКН.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Свяжите положение с политикой обработки ПДн
Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 должна включать описание принятых мер по обеспечению безопасности ПДн. Пропускной режим — одна из таких мер. Поэтому в политике должна быть прямая отсылка к положению о пропускном режиме: «физический доступ к помещениям, в которых ведётся обработка ПДн, регулируется положением о пропускном режиме, утверждённым приказом №___ от ___.»
Отсутствие такой связи не создаёт отдельного нарушения, но при проверке РКН инспектор вправе указать на разрыв между декларируемыми в политике мерами и их документальным закреплением. Это классическое замечание, которое переходит в предписание об устранении.
Обратите внимание: политика конфиденциальности, размещённая на сайте для субъектов ПДн, и внутренняя политика по ст. 18.1 — разные документы с разными реквизитами и адресатами.
Шаг 4. Назначьте ответственных и пропишите их функции
Положение о пропускном режиме указывает, кто физически организует контроль доступа: охрана, администратор, ответственный сотрудник. Эти лица — не то же самое, что ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152. Оба назначения нужны одновременно, но они закрывают разные функции.
Ответственный по ст. 22.1 координирует всю систему обработки ПДн, взаимодействует с РКН, отвечает на запросы субъектов. Требования к его квалификации закреплены в ч. 4 ст. 22.1 ФЗ-152. Лицо, ответственное за пропускной режим, обеспечивает физическую безопасность объекта. В положении чётко разграничьте зоны ответственности: кто ведёт журнал, кто принимает решение об отказе в доступе, кто уведомляет ответственного по 22.1 при инциденте.
Шаг 5. Определите порядок действий при инциденте
Раздел об инцидентах в положении о пропускном режиме описывает: что считается инцидентом (несанкционированный вход, утрата пропуска, попытка прохода без идентификации), кто получает уведомление и в какой срок. Этот раздел напрямую связан с требованием ст. 21 ч. 3.1 ФЗ-152 — при инциденте, который привёл или мог привести к утечке ПДн, оператор обязан уведомить РКН в течение 24 часов.
Несанкционированный физический доступ к серверной или архиву с бумажными носителями — это потенциальная утечка. Если положение о пропускном режиме не описывает цепочку уведомления (охрана → ИБ → ответственный по 22.1 → юрист → РКН), компания рискует пропустить 24-часовой срок. Пропуск этого срока — штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽.
Пропишите также: сохранение доказательств (видеозаписи, логи СКУД, журнал), порядок внутреннего расследования и формирование отчёта для 72-часового уведомления по Приказу РКН №187.
Что подготовить
- Приказ об утверждении положения о пропускном режиме с подписью руководителя и датой вступления в силу
- Перечень охраняемых зон с указанием категории ПДн, которые там обрабатываются, и соответствующего уровня защищённости (УЗ) по ПП РФ №1119
- Журнал учёта посетителей (электронный или бумажный) с порядком заполнения и хранения
- Согласие на обработку биометрических ПДн (если СКУД использует биометрию) отдельным документом — по ст. 11 ФЗ-152
- Ссылка на положение в политике обработки ПДн по ст. 18.1 ФЗ-152 и в уведомлении РКН по форме Приказа РКН №180
Как выглядит проверка положения при инспекции РКН?
При плановой проверке инспектор РКН запрашивает пакет ОРД — как правило, одним запросом. Положение о пропускном режиме входит в стандартный перечень запрашиваемых документов наряду с политикой, приказами о назначении ответственных и журналами учёта обращений субъектов.
На что смотрит инспектор: дата утверждения (после последней правки ФЗ-152 или до), соответствие мер фактическому уровню защищённости ИСПДн, наличие раздела об инцидентах, соответствие биометрических процедур ст. 11 ФЗ-152. Документ, скачанный из интернета без адаптации под конкретного оператора и конкретные ИСПДн, обычно выявляется сразу: в нём не совпадают названия должностей, отсутствуют реквизиты конкретных систем, а меры описаны абстрактно.
Если в компании уже есть положение о пропускном режиме, но РКН выдал предписание об устранении — значит, документ не соответствует фактической модели угроз или уровню защищённости. На устранение по предписанию — ограниченный срок. Юристы DATUM проверят документ и подготовят актуализированную редакцию.
Подготовиться к проверке РКНТиповые ситуации при работе с положением
Ситуация 1. СКУД с биометрией, согласия нет. Производственное предприятие (Уральский ФО, осень 2025) использовало СКУД с распознаванием лица для контроля прохода на производство. Согласия на обработку биометрических ПДн сотрудники не подписывали — оператор считал, что достаточно упоминания в трудовом договоре. При внеплановой проверке РКН зафиксировал нарушение ст. 11 ФЗ-152. Протокол составлен по ч. 16 ст. 13.11 КоАП. Параллельно выдано предписание об устранении в части биометрических согласий. Компания устранила нарушение в срок, предписание исполнено, штраф оспорен в арбитраже с применением ст. 4.1.1 КоАП как первичное нарушение.
Кейс 2 (из практики). Торговая компания (Центральный ФО, начало 2026) проходила плановую проверку РКН. Положение о пропускном режиме было — но без раздела об инцидентах и без ссылки на порядок уведомления по Приказу РКН №187. После инцидента с попыткой несанкционированного входа в серверную компания уведомила РКН с опозданием. Штраф по ч. 11 ст. 13.11 составил сумму в нижней части диапазона (1–3 млн ₽) — в том числе благодаря тому, что оператор добровольно признал нарушение и устранил его до вынесения постановления. Документальная база для арбитражного обжалования была сформирована юристами до подачи жалобы.
Услуги DATUM по теме
- Комплект ОРД под ключ — 38 документов, включая положение о пропускном режиме, политику обработки ПДн и приказы
- Аудит соответствия 152-ФЗ — проверка полноты и актуальности пакета ОРД перед проверкой РКН
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Базовый пакет ОРД включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление в реестр РКН (ст. 22 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия субъектов (ст. 9 ФЗ-152), модель угроз и акт классификации ИСПДн, а также регламенты по конкретным процессам — в том числе положение о пропускном режиме. Всего в стандартном пакете DATUM — 38 документов. Отсутствие каждого из них при наличии соответствующей обязанности — отдельный состав по ст. 13.11 КоАП.
2. Как составить политику обработки ПДн?
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна содержать: цели обработки, правовые основания, категории ПДн и субъектов, перечень действий, сроки хранения, меры безопасности, порядок реализации прав субъектов и сведения о трансграничной передаче (если применима). Политика публикуется в открытом доступе — на сайте или на информационном стенде. Невыполнение обязанности по публикации — штраф по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ для юрлица).
3. Кого назначить ответственным по ст. 22.1?
Ответственным по ст. 22.1 ФЗ-152 назначается штатный сотрудник или привлечённый специалист (DPO-аутсорсинг). Закон требует, чтобы это лицо имело достаточный уровень знаний в области защиты ПДн — квалификационные требования закреплены в ч. 4 ст. 22.1. На практике чаще назначают юриста, специалиста по ИБ или привлекают внешнего DPO. Назначение оформляется приказом с указанием объёма полномочий и порядка взаимодействия с подразделениями.
4. Можно ли использовать шаблон политики из интернета?
Формально запрета нет, но шаблон из открытых источников почти всегда требует существенной адаптации: указания конкретных ИСПДн и их уровней защищённости, фактических целей и оснований обработки, перечня третьих лиц, которым передаются ПДн, и реквизитов оператора. Шаблон без такой адаптации при проверке РКН выглядит как декларация без связи с реальной обработкой — это типичное замечание, которое переходит в предписание. Использование типового документа также не защищает от штрафа по ч. 1 ст. 13.11 КоАП, если обработка реально выходит за рамки задекларированного.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом и не может быть частью договора, оферты, политики или трудового договора. Это требование распространяется на новые согласия с 01.09.2025; ранее полученные согласия обратной силы закона не имеют. Для сотрудников, которые дали согласие на обработку биометрии в СКУД до этой даты, — проверьте, соответствует ли форма старого согласия требованиям ст. 11 ФЗ-152 и сохранены ли оригиналы.
6. Что проверяет РКН в положении о пропускном режиме?
Инспектор проверяет: наличие документа и дату его утверждения, соответствие описанных мер уровню защищённости ИСПДн по ПП РФ №1119, наличие раздела об инцидентах с порядком уведомления по ч. 3.1 ст. 21 ФЗ-152, документальное оформление биометрических процедур (согласия по ст. 11 ФЗ-152) и связь положения с политикой обработки ПДн. Кроме того, инспектор вправе запросить журнал посетителей за период и проверить, как фактически ведётся учёт.
Итог
Положение о пропускном режиме — не самостоятельный документ, а элемент единой системы ОРД оператора ПДн. Его ценность определяется тем, насколько точно он отражает фактическую модель угроз, соответствует уровню защищённости ИСПДн по ПП РФ №1119 и состыкован с политикой обработки ПДн, согласиями субъектов и регламентом реагирования на инциденты.
DATUM сопровождает операторов при формировании полного пакета ОРД и при проверках РКН. В практике — разбор актуальных предписаний по пропускному режиму, биометрии в СКУД и 24-часовому уведомлению об инцидентах.
14 октября 2026 года