Если файлы по прямой ссылке (например /upload/xxx/xxx.jpg) - они через битрикс не проходят, их отдает напрямую сервер. Единственный способ, котрый видится - сделать редирект статики через .htaccess на какой-нибудь check.php, который будет проверять права пользователя - и отдавать или не отдавать файл в зависимости от прав доступа. Но это скорее всего сильно скажется на производительности.