---
title: "Информационная безопасность в требованиях АТЗ: зачем нужна и как её обеспечить"
date: "2026-07-06"
author: "Кирилл Воронин"
tags: ["информационная безопасность", "антитеррористическая защищённость", "паспорт безопасности", "ДСП", "служебная информация ограниченного распространения", "защита информации", "20.35 КоАП", "СКУД", "видеонаблюдение"]
section: "Антитеррористическая защищённость: общие вопросы"
domain: "Антитеррористическая защищённость"
source: "https://atz-pro.ru/blog/informatsionnaya-bezopasnost-atz"
---


## Коротко: главное из статьи
- Почти в каждом постановлении по антитеррористической защищённости есть блок про информационную безопасность. Его часто закрывают одной галочкой в паспорте, а между тем это одно из самых недооценённых требований АТЗ. Оно защищает не абстрактные «данные», а работоспособность всей системы безопасности объекта.
- Требование распадается на два направления. Защита сведений об объекте это режим служебной информации ограниченного распространения для паспорта безопасности и других документов по АТЗ. Защита систем безопасности это защита информационных ресурсов самого объекта, то есть систем, от которых зависит безопасность (СКУД, видеонаблюдение, сигнализация, оповещение, серверы, каналы связи).
- Оба направления присутствуют у постановлений по здравоохранению, образованию и вузам. У спорта прописана только защита сведений, у мест отдыха детей отдельным мероприятием выделена защита систем безопасности (режим ДСП там задан общим статусом информации), у религиозных организаций прописана только защита сведений (п. 31 «д»). Точные пункты приведены в таблице ниже.
- Замысел законодателя прост. Паспорт безопасности это готовые разведданные о вашем объекте, а спланированное нападение начинается со сбора информации. Требование по ИБ бьёт по самому раннему и самому дешёвому для защиты звену, лишает противника сведений о защите объекта.
- Защита сведений выполняется режимом служебной информации ограниченного распространения. Нужны перечень сведений, локальный акт о порядке обращения, приказ об ответственном, поэкземплярный учёт с пометкой «Для служебного пользования», список допущенных лиц и защищённое хранение. Это режим служебной информации, а не коммерческой тайны, у них разная правовая природа.
- Защита систем безопасности выполняется мерами защиты информации из 149-ФЗ и инженерной практики. Инвентаризация систем безопасности, смена заводских паролей на камерах и контроллерах, сегментация сети, закрытие удалённого доступа извне. Отдельную «систему защиты ради АТЗ» строить не нужно. При этом такие системы часто не подпадают под 152-ФЗ и требования ФСТЭК, и тогда норма АТЗ становится единственным обязательным основанием их защиты.
- Невыполнение требований к АТЗ, включая требование по защите информации, может повлечь ответственность по статье 20.35 КоАП. На должностное лицо это штраф от 30 до 50 тысяч рублей или дисквалификация, на организацию до 500 тысяч рублей.
- Ниже разбираем, откуда взялось требование, что вкладывал в него законодатель, как выполнить оба направления, какие документы должны быть и какие ошибки встречаются чаще всего.


![Информационная безопасность в требованиях АТЗ распадается на два направления. Защита сведений об объекте это режим служебной информации ограниченного распространения для паспорта безопасности и документов АТЗ. Документы этого направления: перечень сведений ограниченного распространения, локальный акт о порядке обращения, приказ об ответственном, журнал поэкземплярного учёта, список допущенных лиц с обязательствами о неразглашении. Защита систем безопасности это защита информационных ресурсов объекта: СКУД, видеонаблюдение, сигнализация, оповещение, серверы и каналы связи. Меры этого направления: инвентаризация систем, смена заводских паролей, сегментация сети, закрытие удалённого доступа, журналирование и резервное копирование. Ответственность по статье 20.35 КоАП.](https://atz-pro.ru/images/blog/informatsionnaya-bezopasnost-atz-shema.jpg)

Заместителя директора по безопасности одной из школ в Новгородской области назначили приказом ответственным за антитеррористическую защищённость. Дошли руки до паспорта безопасности, и рядом с привычными разделами про охрану и категорию обнаружился пункт про информационную безопасность. А следом два неприятных открытия. Когда год назад монтировали камеры, подрядчику для работы отправили копию паспорта по обычной почте, и она до сих пор лежит в общей папке на сервере. А видеорегистратор, к которому сходятся все камеры, доступен из интернета под заводским паролем.

Возникает вопрос: что вообще требует от объекта эта строчка про информационную безопасность и почему она стоит в одном ряду с охраной и инженерными средствами. Короткий ответ: требование не про «айти ради айти», а про то, чтобы сведения о защите объекта не утекли к тому, от кого объект защищают, а системы безопасности нельзя было отключить удалённо. Разберём по порядку, откуда оно взялось, что означает на практике и какие документы должны быть.

## Откуда берётся требование и почему оно почти во всех постановлениях

Все отраслевые постановления по АТЗ выпущены на едином правовом основании. Федеральный закон от 6 марта 2006 года № 35-ФЗ «О противодействии терроризму» наделил Правительство полномочием устанавливать обязательные требования к антитеррористической защищённости объектов, их категории, а также порядок разработки и форму паспорта безопасности (статья 5, часть 2, пункт 4). Тот же закон обязывает собственников и владельцев объектов эти требования выполнять (статья 5, часть 3.1). Обе нормы введены Федеральным законом от 23 июля 2013 года № 208-ФЗ. Из этого единого мандата и вырос ряд отраслевых постановлений по объектам спорта, здравоохранения, образования, культуры, гостиниц, мест отдыха детей, религиозных организаций и другим.

Постановления писались в разные годы и разными ведомствами, но по общему каркасу. У каждого один и тот же набор блоков: категорирование объекта, обследование и акт, разработка паспорта безопасности, перечень мероприятий по обеспечению АТЗ. Требование по информационной безопасности живёт именно в последнем блоке, среди мероприятий.

Оно есть почти во всех постановлениях по двум причинам. Первая чисто структурная: типовой набор мероприятий переходит из одного акта в другой. Вторая, и главная, содержательная: без защиты информации все остальные меры АТЗ теряют смысл. Ниже объясним, почему.

## Два направления требования

Требование по информационной безопасности в постановлениях по АТЗ распадается на две самостоятельные, хотя и связанные, задачи.

Защита сведений об объекте это защита служебной информации ограниченного распространения, содержащейся в паспорте безопасности и других документах по АТЗ. Объект защиты здесь сами сведения о защищённости объекта. Дальше в тексте называем это направление коротко, защита сведений.

Защита систем безопасности это обеспечение информационной безопасности объекта и исключение несанкционированного доступа к его информационным ресурсам. Объект защиты здесь информационные системы, от которых зависит функционирование и безопасность объекта.

Точная формулировка и нумерация зависят от конкретного постановления и его действующей редакции, поэтому смотреть их всегда нужно по актуальному тексту применимого к вашему объекту акта. Для ориентира приведём пункты по нескольким постановлениям в действующих на середину 2026 года редакциях.

| **Постановление (сфера)** | **Защита сведений — режим ДСП паспорта** | **Защита систем безопасности — защита информ. ресурсов** |
|---|---|---|
| ПП РФ 8 (здравоохранение) | п. 16 «д» | п. 16 «г» |
| ПП РФ 1006 (образование) | п. 22 | п. 18 «е» |
| ПП РФ 1421 (вузы, наука) | п. 26 | п. 22 «е» |
| ПП РФ 202 (спорт) | п. 13 «д» | отдельного пункта нет |
| ПП РФ 732 (отдых детей) | п. 18 (общий статус ДСП) | п. 19 «г» |
| ПП РФ 1165 (религиозные организации) | п. 31 «д» | отдельного пункта нет |

Логика везде одна: защитить документы о безопасности и защитить системы, от которых безопасность зависит. Но набор направлений у постановлений разный. У здравоохранения, образования и вузов есть оба направления. У спорта прописана только защита сведений, у мест отдыха детей отдельным мероприятием выделена защита систем безопасности, а сведения там закрыты общим статусом ДСП. У религиозных организаций прописана только защита сведений.

**Первоисточник — Почему пункт нужно смотреть только по действующей редакции своего постановления:**

Один и тот же по смыслу пункт в разных постановлениях стоит под разными буквами и в разных пунктах. Обеспечение информационной безопасности это подпункт «г» пункта 16 в ПП РФ 8, подпункт «е» пункта 18 в ПП РФ 1006 и подпункт «е» пункта 22 в ПП РФ 1421. Защита служебной информации в ПП РФ 8 это подпункт «д» пункта 16. Постановления к тому же меняются со временем. В ПП РФ 8, к примеру, систему видеонаблюдения постановлением от 15 августа 2025 года № 1226 вынесли из пункта 16 в отдельный пункт 16(1).

Дословно в действующей редакции ПП РФ 8 требование о защите систем сформулировано так:

> г) организация обеспечения информационной безопасности, разработка и реализация мер, исключающих несанкционированный доступ к информационным ресурсам объекта (территории);

Защита сведений, подпункт «д» пункта 16, раскрывается через установление порядка работы со служебной информацией ограниченного распространения, ограничение доступа к ней должностных лиц, определение обязанностей допущенных лиц, надлежащее хранение, контроль за порядком работы и подготовку работников. Поэтому единственный надёжный способ сослаться на пункт это открыть действующий текст применимого к вам постановления, а не переносить букву из чужого акта или из старой редакции.

[Источник: ПП РФ 8](https://atz-pro.ru/zakonodatelstvo/pp-rf-8), п. 16


## Зачем это нужно: замысел законодателя

Чтобы выполнить требование осмысленно, а не формально, важно понимать замысел. Он раскрывается через четыре тезиса.

### Паспорт безопасности это готовые разведданные о вашем объекте

Паспорт безопасности в концентрированном виде описывает объект с точки зрения его уязвимости. В нём расположение и характеристики критических элементов и потенциально опасных участков, слабые места и зоны, схемы и планы, состав и дислокация сил охраны, перечень и размещение инженерно-технических средств, порядок оповещения и эвакуации, оценка возможных последствий теракта.

Для законного пользователя это рабочий инструмент. Для того, кто готовит нападение, практически готовый план: где охрана слабее, куда не смотрят камеры, где находится критический узел, вывод которого из строя нанесёт максимальный ущерб. Именно поэтому паспорт, если сведения в нём не отнесены к государственной тайне, оформляется как документ со служебной информацией ограниченного распространения, с пометкой «Для служебного пользования» и номером экземпляра. Режим ограниченного распространения здесь не бюрократия, а прямое противодействие подготовке теракта. Утечка паспорта обесценивает все физические, инженерные и организационные меры, которые он описывает.

### Спланированное нападение начинается с разведки

Спланированное нападение проходит цикл: сбор информации об объекте, планирование, подготовка, исполнение. Самое уязвимое для противника и самое дешёвое для защиты звено это первое. Не имея достоверной информации о системе охраны, злоумышленник вынужден действовать вслепую, что резко повышает вероятность его выявления на ранней стадии.

Требование по информационной безопасности бьёт именно по этому звену, лишает противника сведений о защите объекта. По сути это встроенная в правовую конструкцию мера контрразведывательного характера. Поэтому защита паспорта и защита информации об объекте это не «бумажная» часть АТЗ, а её фундамент, работающий на самом раннем этапе противодействия.

### Физическая и информационная безопасность неразделимы

Защита систем безопасности отражает реальность современного объекта. Его безопасность держится на информационных системах: СКУД, видеонаблюдение, охранная и тревожная сигнализация, системы оповещения и управления эвакуацией, серверы и каналы связи. Если злоумышленник получает доступ к этим системам, он обесценивает физическую защиту, не приближаясь к периметру. Отключает камеры, открывает двери, подавляет сигнализацию, блокирует оповещение.

Ровно поэтому законодатель не выносит информационную безопасность в отдельную «айтишную» тему, а включает её в систему антитеррористической защищённости. Брешь в информационном контуре это брешь в физической безопасности.

### Защита нужна не только от террористов

Режим ограниченного доступа к сведениям об объекте защищает не только от внешнего противника, но и от внутренних рисков: неосторожного обращения, утечек через подрядчиков (проектировщиков, монтажников, частную охрану), инсайдеров. Ограничение круга допущенных лиц и учёт экземпляров закрывают самый частый канал утечки. Это не хакерская атака, а обычная небрежность вроде копии паспорта, забытой в общей папке или переданной подрядчику без каких-либо обязательств. Ровно та ситуация, с которой начался наш пример со школой.

## Режим «Для служебного пользования»: почему это не коммерческая тайна

Ключевой инструмент защиты сведений это режим служебной информации ограниченного распространения. Его внешний признак это пометка «Для служебного пользования», сокращённо ДСП. Природу этого режима важно понимать, потому что на практике его постоянно путают то с государственной тайной, то с коммерческой.

Служебная информация ограниченного распространения это несекретная информация о деятельности организации, ограничения на распространение которой диктуются служебной необходимостью. «Для служебного пользования» это не гриф секретности, а именно пометка на несекретном документе. Если же сведения об объекте отнесены к государственной тайне, документ получает уже не пометку, а гриф секретности. Поэтому паспорт по умолчанию получает пометку «Для служебного пользования», а гриф секретности присваивается, только если содержащиеся в нём сведения отнесены к государственной тайне.

**Первоисточник — Правовая основа режима ДСП и место служебной тайны в системе права:**

Порядок обращения со служебной информацией ограниченного распространения для федеральных органов исполнительной власти установлен Положением, утверждённым постановлением Правительства от 3 ноября 1994 года № 1233. Пункт 1.2 даёт определение такой информации, а раздел 2 Положения задаёт порядок нанесения пометки «Для служебного пользования» и учёта экземпляров.

Ограничение доступа к информации устанавливается федеральными законами (часть 1 статьи 9 ФЗ-149 «Об информации, информационных технологиях и о защите информации»). Условия отнесения сведений к служебной тайне и ответственность за разглашение тоже устанавливаются федеральными законами (часть 4 той же статьи). В Перечне сведений конфиденциального характера (Указ Президента от 6 марта 1997 года № 188) служебная тайна выделена отдельным пунктом 3, а коммерческая отдельным пунктом 5. Это два самостоятельных вида конфиденциальной информации, а не разновидности одного. Пункт 3 в узком смысле касается сведений, доступ к которым ограничили органы государственной власти. Для негосударственного объекта доступ к паспорту ограничивает сам правообладатель локальным актом, поэтому корректнее говорить о служебной информации ограниченного распространения, а не о служебной тайне в этом узком смысле.

Оговорка для негосударственных организаций. Само Положение № 1233 адресовано федеральным органам и как общий регламент не распространяется на частные, муниципальные и религиозные организации. Но постановления по АТЗ обязывают любого правообладателя объекта установить порядок работы со служебной информацией, ограничить доступ и назначить ответственных. Поэтому такая организация вводит аналогичный режим своим локальным актом, как правило по модели № 1233.


Отсюда частая ошибка, попытка закрыть паспорт режимом коммерческой тайны по ФЗ-98 «О коммерческой тайне». Так делать нельзя, у режима служебной информации ограниченного распространения и коммерческой тайны разная правовая природа.

- Разные категории по закону. В Перечне из Указа № 188 служебная тайна и коммерческая тайна это разные пункты, 3 и 5, два самостоятельных вида конфиденциальной информации. Режим паспорта тяготеет к служебной стороне, а не к коммерческой.
- Разная цель. Коммерческая тайна помогает обладателю получить коммерческую выгоду. Режим ДСП служит не выгоде, а служебной необходимости и прямо безопасности объекта.
- Разный признак информации. Коммерческую тайну составляют сведения, ценные в силу неизвестности их третьим лицам. У сведений о слабых местах охраны такой рыночной ценности нет, их закрывают не ради заработка, а потому что огласка опасна.
- Обязанность против права. Ввести режим коммерческой тайны это право обладателя, которым он распоряжается сам. Защитить сведения об АТЗ это обязанность, прямо предписанная постановлением, которое само называет нужный режим.

Вывод простой. Паспорт безопасности защищается в режиме служебной информации ограниченного распространения, а не коммерческой тайны. Организация вправе дополнительно ввести на связанные сведения и свой режим коммерческой тайны, но это не заменяет обязательный режим ДСП, которого прямо требует постановление.

## Как обеспечить защиту сведений об объекте

Как разобрано выше, режим служебной информации ограниченного распространения организация вводит своим локальным актом, как правило по модели Положения № 1233. Постановления по АТЗ при этом не ограничиваются словом «защитить», а перечисляют, из чего эта защита складывается: порядок работы со сведениями, ограничение доступа, ответственные за хранение, надлежащее хранение, контроль и подготовка работников. Практический минимум выглядит так.

- Определить перечень документов и сведений ограниченного распространения. В первую очередь это паспорт безопасности и приложения к нему: планы, схемы, расчёты, дислокация сил и средств.
- Издать локальный акт, положение или инструкцию о порядке обращения со служебной информацией ограниченного распространения: учёт, хранение, размножение, передача, уничтожение.
- Назначить приказом ответственного за учёт, хранение и выдачу паспорта.
- Ввести пометку «Для служебного пользования» и номер экземпляра, вести поэкземплярный учёт в отдельном журнале.
- Ограничить круг допущенных лиц, утвердить список и взять с них обязательства о неразглашении.
- Обеспечить хранение в сейфе, металлическом шкафу или опечатываемом помещении.
- Регламентировать обращение: размножение только с письменного разрешения руководителя, передачу и пересылку с учётом и по защищённым каналам, уничтожение по акту.
- Для электронной формы не хранить паспорт в открытых облачных сервисах, личной почте и на неконтролируемых устройствах.

Где хранятся данные паспорта в электронном виде, на каком этапе документ становится ДСП и что делать, если, например, украли ноутбук, разобрано в отдельной статье про [паспорт безопасности как документ ДСП](https://atz-pro.ru/blog/pasport-bezopasnosti-dsp-gde-khranyatsya-dannye). Здесь мы этот сюжет не повторяем.

## Как обеспечить защиту систем безопасности

Буквально постановления говорят об информационных ресурсах объекта (территории) в целом, поэтому базовую защиту разумно распространить на все ресурсы объекта, а не только на системы безопасности. Но содержательно требование в первую очередь про конкретное ядро, про системы, которые участвуют в обеспечении антитеррористической защищённости. Это видеонаблюдение, СКУД, охранная и тревожная сигнализация, оповещение и управление эвакуацией, серверы и каналы связи этих систем, плюс документы АТЗ в электронном виде. Остальная ИТ-инфраструктура, бухгалтерия, документооборот, сайт, тем более попадает в периметр, поскольку через неё можно добраться до систем безопасности или до сведений об АТЗ.

Возникает вопрос, зачем законодатель вообще вынес информационную безопасность в постановления по АТЗ, если в стране уже есть развитое законодательство о защите информации. Ответ в том, что перечисленные системы часто выпадают из-под этого законодательства и без нормы об АТЗ могли бы остаться вовсе без обязательного режима защиты.

**Первоисточник — Почему требование по защите систем живёт именно в постановлениях по АТЗ:**

Логика здесь разветвляется.

Если система не является информационной системой персональных данных (ИСПДн), а так нередко и бывает, например обычное охранное видеонаблюдение, охранная сигнализация, оповещение, то на неё не распространяются ни требования 152-ФЗ с надзором Роскомнадзора, ни меры по приказу ФСТЭК России № 21. Если объект при этом не отнесён к критической информационной инфраструктуре, не действуют и обязательные требования по 187-ФЗ. Образуется регуляторный пробел, когда такая система может вообще не иметь обязательного режима информационной безопасности, сопоставимого с режимами ИСПДн или КИИ. В части антитеррористической защищённости обязательным основанием её защиты становится именно требование по АТЗ, и нередко это единственный специальный режим защиты для такой системы.

Если же конкретная система является ИСПДн, например СКУД, которая ведёт учёт проходов с фамилиями и фотографиями работников, то на неё, наоборот, распространяются требования 152-ФЗ и меры ФСТЭК по защите ИСПДн. Тогда режимы пересекаются, но не совпадают по цели. Меры по персональным данным защищают данные субъектов, а требование по АТЗ работоспособность системы как элемента охраны. Часть мер, разграничение доступа, аутентификация, сегментация, можно засчитать в обе стороны, но их состав нужно сопоставить с задачей АТЗ, а не считать её закрытой автоматически.


Практический вывод. Объём защиты систем безопасности определяется не всей ИТ-инфраструктурой, а системами АТЗ и документами по АТЗ. Строить отдельную сертифицированную «систему защиты ради АТЗ» с тяжёлым бумажным контуром не требуется. Но и прикрыться соответствием 152-ФЗ нельзя, там где система безопасности не является ИСПДн, требование по АТЗ часто оказывается единственным основанием, обязывающим её защищать.

Постановление по АТЗ формулирует это требование сжато и не устанавливает конкретных технических мер. Их берут из профильного законодательства о защите информации, в первую очередь из 149-ФЗ, и из здравой инженерной практики. Практический минимум такой.

- Провести инвентаризацию информационных систем, связанных с безопасностью: СКУД, видеонаблюдение, охранная и тревожная сигнализация, системы оповещения и управления эвакуацией, серверы, сетевое оборудование, каналы связи.
- Закрыть базовые бреши доступа. Сменить заводские пароли на камерах, видеорегистраторах и контроллерах. Доступное из интернета оборудование с паролем по умолчанию это самая частая и самая опасная уязвимость. Внедрить разграничение доступа и персональную аутентификацию.
- Сегментировать сеть. Системы безопасности выделить в отдельный сетевой сегмент, не смешивая их с гостевым Wi-Fi и общим выходом в интернет, закрыть прямой доступ к ним извне.
- Обеспечить защиту от несанкционированного доступа организационными и техническими мерами, вести журналирование событий, резервное копирование и контроль целостности конфигураций.
- Сверить, что закрывают смежные режимы. Проверьте, является ли система информационной системой персональных данных или объектом КИИ. Если да, меры по этим режимам частично пересекаются с защитой по АТЗ, но их состав нужно сверить с задачей АТЗ. Модель угроз персональных данных строится под защиту самих данных, а не под срыв работы системы, когда нарушитель открывает дверь, отключает камеру или глушит сигнализацию. Если система под эти режимы не подпадает, защитить её всё равно необходимо по требованию АТЗ. Для значимых объектов КИИ дополнительно действуют меры по 187-ФЗ.
- Обучить персонал. Значительная часть сведений об объекте утекает не через взлом, а через людей, методами социальной инженерии. Недорогой и действенный инструктаж это чёткое правило о том, что можно и чего нельзя рассказывать и показывать посторонним, включая подрядчиков и «проверяющих».

Отдельная оговорка про камеры и контроль доступа. Технические требования к системам видеонаблюдения и контроля доступа, включая защиту от несанкционированного доступа к их программному обеспечению, заданы в ГОСТ Р 51558-2014 (системы охранного телевидения) и ГОСТ Р 51241-2008 (средства и системы контроля и управления доступом). Важно правильно квалифицировать эти системы, а не относить записи камер к биометрическим персональным данным автоматически. Изображение становится биометрическими персональными данными, только когда оператор использует его для установления личности, например при распознавании лиц или сверке с базой пропусков (статья 11 152-ФЗ). Обычными персональными данными видеозапись становится, если человек на ней прямо или косвенно определён либо определяем оператором (статья 3 152-ФЗ). Поэтому режим персональных данных для конкретной системы оценивают отдельно. Обычное охранное видеонаблюдение не становится биометрией само по себе, но, если люди на записи определены или определяемы, оно остаётся обработкой обычных персональных данных со всеми обязанностями оператора по 152-ФЗ. Одно дело камера, которая просто пишет общий архив, другое камера, связанная с базой пропусков и поиском по лицу.

## Какие документы должны быть

Чтобы требование не осталось строкой в паспорте, за ним должен стоять набор документов. По защите сведений это в основном организационно-распорядительные документы, по защите систем безопасности рабочие материалы и меры, увязанные с общей защитой информации.

| **Направление** | **Документ или мера** | **Зачем** |
|---|---|---|
| Сведения | Перечень сведений и документов ограниченного распространения | Зафиксировать, что именно защищаем: паспорт и приложения |
| Сведения | Локальный акт о порядке обращения со служебной информацией | Правила учёта, хранения, размножения, передачи, уничтожения |
| Сведения | Приказ о назначении ответственного за учёт и хранение паспорта | Персональная ответственность за документ |
| Сведения | Журнал поэкземплярного учёта | Контроль, у кого какой экземпляр |
| Сведения | Список допущенных лиц и обязательства о неразглашении | Ограничение круга доступа |
| Системы | Результаты инвентаризации систем безопасности | Понимать, что защищаем в информационном контуре |
| Системы | Меры защиты информации по 149-ФЗ, при наличии ПДн по 152-ФЗ | Технический и организационный минимум по защите систем |

Это ориентир, а не жёсткая форма. Конкретный состав документов определяется вашим постановлением, формой паспорта и тем, обрабатываете ли вы персональные данные. Общий перечень документов, которые собирают перед заполнением паспорта, разобран в статье про [документы для паспорта безопасности](https://atz-pro.ru/blog/dokumenty-dlya-pasporta-bezopasnosti).

[Посмотреть, как АТЗ Про ведёт паспорт как документ ДСП: пометка «Для служебного пользования» и история версий на демо-объектах](https://atz-pro.ru/demo)

## Типичные ошибки

- Паспорт безопасности хранится в общей сетевой папке, пересылается по личной почте или лежит у подрядчика без учёта и обязательств о неразглашении.
- Требование «обеспечить информационную безопасность» закрыто формально, галочкой в паспорте, без единой реальной меры.
- Камеры, регистраторы и контроллеры СКУД работают с заводскими паролями и доступны из интернета.
- Режим ограниченного распространения существует только на бумаге. Пометка на паспорте есть, а локального акта, журнала учёта и списка допущенных нет.
- Копии паспорта и рабочих материалов расходятся по проектировщикам, монтажникам и частной охране без контроля.

## Ответственность

Нарушение требований к антитеррористической защищённости объектов влечёт административную ответственность по статье 20.35 КоАП. Размеры ниже приведены по действующей на середину 2026 года редакции. По части 1 штраф на граждан составляет от 3 до 5 тысяч рублей, на должностных лиц от 30 до 50 тысяч рублей либо дисквалификация на срок от шести месяцев до трёх лет, на юридических лиц от 100 до 500 тысяч рублей. Для объектов религиозных организаций часть 2 предусматривает отдельные размеры. Невыполнение предусмотренных постановлением требований по защите информации может квалифицироваться как нарушение требований к АТЗ по этой статье.

Помимо ответственности за само нарушение требований к АТЗ, разглашение служебной информации ограниченного распространения может повлечь дисциплинарную, гражданско-правовую или иную ответственность при наличии установленной обязанности не разглашать сведения. В частности, разглашение информации, доступ к которой ограничен именно федеральным законом, лицом, получившим к ней доступ по службе или в связи с профессиональными обязанностями, при наличии оснований может квалифицироваться по статье 13.14 КоАП «Разглашение информации с ограниченным доступом». Штраф по ней для граждан составляет от 5 до 10 тысяч рублей, для должностных лиц от 40 до 50 тысяч рублей либо дисквалификация на срок до трёх лет, для юридических лиц от 100 до 200 тысяч рублей. При этом основание ограничения доступа именно федеральным законом нужно обосновывать в каждом случае. А если сведения были отнесены к государственной тайне, ответственность значительно строже, вплоть до уголовной. Но главное последствие не в штрафе. Утечка паспорта или компрометация систем безопасности означает, что вся выстроенная система антитеррористической защищённости объекта становится известна тому, от кого она должна защищать. Подробный разбор санкций собран в статье про [штрафы за отсутствие паспорта безопасности](https://atz-pro.ru/blog/shtrafy-za-otsutstvie-pasporta-bezopasnosti).

## Частые вопросы

### Нужно ли для АТЗ строить отдельную систему защиты информации и получать лицензию ФСТЭК?

В общем случае нет. Требование по информационной безопасности в постановлениях по АТЗ опирается на общий контур защиты информации организации, а не предписывает создавать отдельную аттестованную систему. Приказы ФСТЭК по защите государственных информационных систем применимы только там, где документы АТЗ ведутся в аттестованной ГИС, то есть в основном у госорганов и госучреждений. Для значимых объектов критической информационной инфраструктуры действуют собственные требования по 187-ФЗ, но это отдельная история и к типовому объекту она не относится. Для типового объекта достаточно навести порядок с режимом ДСП и закрыть базовые уязвимости систем безопасности.

### Мы небольшая организация, серверов и айтишника нет. Что нам вообще делать?

Начните с защиты сведений, она не требует техники. Издайте локальный акт о порядке обращения со служебной информацией, назначьте ответственного, введите пометку и журнал учёта, ограничьте круг допущенных лиц, храните паспорт в сейфе. По защите систем безопасности минимум это сменить заводские пароли на камерах и регистраторе, убрать их прямой доступ из интернета и не хранить паспорт в личной почте и открытых облаках. Этого достаточно, чтобы требование было выполнено по существу, а не формально.

### Паспорт нам делал подрядчик, копия осталась у него. Это нарушение?

Сам факт участия подрядчика не нарушение, паспорт часто разрабатывают с привлечением специалистов. Проблема в том, что копия документа ограниченного распространения осталась у стороннего лица без учёта и без обязательств о неразглашении. Правильно оформить передачу материалов под учёт, взять обязательство о неразглашении, а после завершения работ забрать или уничтожить по акту лишние экземпляры и убедиться, что копия не осталась в общих папках и переписке.

### Записи с камер это всегда персональные данные? Как это связано с АТЗ?

Здесь два разных уровня. Как обычные персональные данные запись с камер, как правило, квалифицируется, если люди на ней определены или определяемы оператором (статья 3 152-ФЗ), и тогда действуют обычные обязанности оператора персональных данных. А биометрическими персональными данными изображение становится только тогда, когда оператор использует его для установления личности, например через распознавание лиц или сверку с базой пропусков (статья 11 152-ФЗ). Обычное охранное видеонаблюдение биометрией автоматически не является, поэтому этот режим оценивают по каждой системе отдельно. Для АТЗ здесь важно вот что. Требование защищать систему безопасности от несанкционированного доступа действует в любом случае, даже когда система персональные данные не обрабатывает. А там, где персональные данные всё же есть, меры по 152-ФЗ и по АТЗ увязывают в один контур, но соответствие 152-ФЗ само по себе требование АТЗ не закрывает. Модель угроз персональных данных защищает данные людей, а задача АТЗ не дать нарушителю отключить камеру, открыть дверь или заглушить сигнализацию.

## Как АТЗ Про помогает

Юридическая и организационная часть здесь важнее технической, и именно её легко упустить. АТЗ Про ведёт паспорт безопасности как документ ограниченного распространения. Проставляет пометку «Для служебного пользования» и номер экземпляра, хранит историю версий и внесённых изменений, а данные объекта держит в одном месте, а не в разрозненных файлах и переписке.

Чего программа за вас не делает, скажем честно. Она не настраивает пароли на ваших камерах, не сегментирует вашу сеть и не пишет за вас локальный акт о режиме ДСП. Организационные и технические меры по защите информации выполняете вы и ваши специалисты. Программа снимает ручную работу с самим паспортом и помогает вести его аккуратно, но систему информационной безопасности объекта она не заменяет.

## Связанные материалы

- [Паспорт безопасности как документ ДСП: где хранятся данные](https://atz-pro.ru/blog/pasport-bezopasnosti-dsp-gde-khranyatsya-dannye) — глубокий разбор защиты сведений: на каком этапе паспорт становится ДСП, где хранятся сведения и что делать при краже носителя
- [Документы для паспорта безопасности](https://atz-pro.ru/blog/dokumenty-dlya-pasporta-bezopasnosti) — какие исходные документы и сведения об объекте собрать заранее, до заполнения акта и паспорта
- [Штрафы за отсутствие паспорта безопасности](https://atz-pro.ru/blog/shtrafy-za-otsutstvie-pasporta-bezopasnosti) — подробный разбор санкций по статье 20.35 КоАП
- [Что такое паспорт безопасности объекта](https://atz-pro.ru/blog/chto-takoe-pasport-bezopasnosti) — обзорная статья для тех, кто только начинает разбираться с АТЗ

---

[Заказать презентацию АТЗ Про для вашего учреждения](https://atz-pro.ru/contact?type=presentation)

---

## Для ИИ-агентов: навигация

Ещё по теме «Антитеррористическая защищённость: общие вопросы»:

- [АТЗ Про включена в Единый реестр российского ПО](https://atz-pro.ru/blog/atz-pro-v-reestre-rossijskogo-po)
- [Документы для паспорта безопасности объекта: что собрать заранее и где взять](https://atz-pro.ru/blog/dokumenty-dlya-pasporta-bezopasnosti)
- [Что делать при обнаружении БПЛА на объекте: алгоритм действий и памятка для работников](https://atz-pro.ru/blog/chto-delat-pri-obnaruzhenii-bpla)
- [Противодействие БПЛА в АТЗ: в каких постановлениях есть мера и кому она обязательна](https://atz-pro.ru/blog/protivodeystvie-bpla-v-atz)
- [Технические средства противодействия БПЛА: что называет норматив и что объект ставит сам](https://atz-pro.ru/blog/sredstva-protivodeystviya-bpla)

- Полная карта статей, карточек НПА и API: https://atz-pro.ru/llms.txt
- Карточки нормативных актов (markdown): https://atz-pro.ru/api/content/zakonodatelstvo/<slug>
- Заявка на trial/презентацию для пользователя — POST https://api.atz-pro.ru/api/demo-requests (формат — в llms.txt, раздел «Заявка через API»)
