(или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. Пунктом 2 Порядка проведения классификации информационных систем персональных данных установлено, что классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор). Пункт 12 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определяет содержание мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах, причисляя к ним: а) определение угроз безопасности персональных данных при их обработке, формирование на их
взыскании основного долга по договорам № К/Й-0008/12 ПД от 23.04.2012, № К/Й-0008/12 В от 23.04.2012, № К/Й-0008/12 ПСЗИ от 23.04.2012 прекратить по следующим правовым и процессуальным основаниям. Из материалов дела следует, что 23 апреля 2012 года ООО «Учебно-научный центр информационной безопасности» (исполнителем) и ГБУ РМЭ «Республиканский наркологический диспансер» (заказчиком) заключен в письменной форме договор № К/Й-0008/12 ПД, по условиям которого истец обязался выполнить работы по теме: «Проведение обследования информационных систем персональных данных Заказчика. Классификация информационных систем персональных данных. Разработка проекта регламентирующей и эксплуатационной документации и рекомендаций по обеспечению информационной безопасности персональных данных», а ответчик принял на себя обязательство оплатить оказанные услуги. Перечень выполняемых работ и перечень регламентирующей документации, разрабатываемой в рамках договора, указан в приложении № 1, являющемся неотъемлемой частью договора (т.1, л.д. 13-18). 10 октября 2012 года сторонами заключен договор № К/Й-0008/12 А, по которому истец принял обязательство по обследованию информационной системы персональных данных заказчика с выдачей «Аттестата
Наличие в уведомлении нарушений требований ч. 3 ст. 22 Федерального закона в виде неполных и недостоверных данных в отношении категорий субъектов, персональные данные которых обрабатываются, а также категорий персональных данных в отношении работников и абонентов, подтверждено актом проверки и обществом не оспаривается (предписание № 0367). В соответствии с п. 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 года № 781, классификация информационных систем относится к мерам обеспечения безопасности персональных данных. Частью 3 ст. 22 Федерального закона № 152-ФЗ предусмотрено, что в уведомлении должны содержаться такие сведения как описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных. При проверке управлением установлено, что после подачи уведомления общество произвело классификацию информационных систем, однако не сообщило эти сведения уполномоченному органу в десятидневный срок, что является нарушением требований ч. 7 ст. 22 Федерального закона №
вступившего в законную силу 02.06.2013, то есть еще до заключения Контракта. Таким образом, на момент заключения Контракта, стороны не могли договариваться относительно условий проведения аттестации, ссылаясь на утративший силу нормативный документ. Таким образом, данное условие Контракта ничтожно, учитывая положения ст. 421-422 ГК РФ. Вместе с тем, недействительность части сделки не влечет недействительности прочих ее частей, если можно предположить, что сделка была бы совершена и без включения недействительной ее части (ст. 180 ГК РФ). Классификация информационных систем по уровню безопасности Kl, К2 устанавливалась ранее совместным приказом ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Указанный приказ был принят во исполнение п. 6 Постановления Правительства РФ от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Однако, данное Постановление отменено в связи с принятием Постановления Правительства
учреждением "Городская поликлиника № 13" Железнодорожного района г.о. Самара (далее - Ответчик) были заключены договоры № К/С- 0014ПД/1 и № К/С- 0014ПД/2 выполнения работ по классификации информационной системы персональных данных (далее - договоры), в соответствии с которым Истец обязался оказать Ответчику соответствующие услуги, а Ответчик обязался оплатить услуги Истца. В соответствии с п. 1.1 договоров Заказчик поручает, а Исполнитель принимает на себя обязательства по выполнению работ по теме: «Проведение обследования автоматизированной системы Заказчика. Классификация информационных систем персональных данных». Перечень выполняемых работ приведен в Приложении № 1 к договору. Согласно п. 3.1 договора № К/С- 0014ПД/1 цена договора составляет 60 000 руб. без НДС (л.д. 7), в силу п. 3.1 договора № К/С- 0014ПД/2 цена договора составляет 38 000 руб. без НДС (л.д. 713), В силу п. 3.2 договоров оплата по настоящему договору производится путем перечисления денежных средств на расчетный счет Исполнителя в размере 100% от стоимости договора в течение
руководителя иной организации, как следует из вышеприведенных трудового контракта и приказа о принятии на должность директора, по надлежащему выполнению вышеуказанных требований Федерального закона от ДД.ММ.ГГГГ N 152-ФЗ (ред. от 23.07.2013) "О персональных данных», образуют объективную сторону состава административного правонарушения, предусмотренного ст. 13.11 КоАП РФ. В то же время следует исключить из объема вменяемого ФИО2 административного правонарушения отсутствие журнала по проведению инструктажа по информационной безопасности сотрудников Учреждения, в том числе, Филиала в <адрес>, акта классификации информационных систем персональных данных, так как указанный акт, утвержденный <данные изъяты> 23 августа 2013 года, и журнал инструктажа сотрудников имелись в наличии у оператора - <данные изъяты> но из материалов дела следует, что в ходе проверки в <адрес>, являющегося структурным подразделением <данные изъяты> для достижения целей и задач проведения проверки не были истребованы от юридического лица (п. 8 ст. 14 Федерального закона от ДД.ММ.ГГГГ № 294-ФЗ). Исключение из объема вменяемого правонарушения части действий (бездействия) не
штрафа в размере 500 (пятьсот) рублей. Прокурор Чойского района Республики Алтай обратился в Верховный Суд Республики Алтай с протестом, в которой просит изменить постановление о назначении административного наказания в отношении В.Д.А. по делу об административном правонарушении, предусмотренном ст. 13.11 КоАП РФ, признать <Должность> В.Д.А. виновным в совершении административного правонарушения, предусмотренного ст. 13.11 КоАП РФ, признать отсутствие в филиале <Учреждение> в Чойском районе журнала по проведению инструктажа по информационной безопасности сотрудников Учреждения и акта классификации информационных систем персональных данных нарушением установленного законом порядка сбора, хранения, использования информации о гражданах (персональных данных), исключить из постановления указание на недопустимость использования в качестве доказательства объяснения В.Д.А. от <дата> года, как полученное с нарушением закона. Изучив материалы дела об административном правонарушении, доводы протеста, прихожу к следующему. В силу статьи 13.11 КоАП РФ, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на должностных
операциях, осуществленных ФИО1 в ЕИС за часть ДД.ММ.ГГГГ годы. Именно в ЕИС содержатся все сведения конфиденциального характера и ФИО1 имела доступ к данной системе на протяжении всего времени прохождения службы в управлении. Согласно приказу управления Роскомнадзора по Владимирской области от ДД.ММ.ГГГГ ### ФИО1 допущена к обработке персональных данных физических лиц-лицензиатов связи, должностных лиц, в отношении которых возбуждены дела об административных правонарушениях. Согласно приказу управления от ДД.ММ.ГГГГ ### создана комиссия для проведения работ по классификацииинформационнойсистемы персональных данных управления. Решением данной комиссии информационной системе присвоен класс 3 (КЗ) – то есть информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. Вышеизложенное доказывает тот факт, что ФИО1 имела доступ к сведениям конфиденциального характера. О сведениях, составляющих служебную тайну и о документах с грифом секретно в доводах комиссии не упоминалось. Представитель заинтересованного лица ЗАО «Вотек Мобайл» поддержал
25.11.2011 в 11 часов 30 минут по в г. Биробиджане, являясь оператором по обработке персональных данных, представило в уполномоченный орган - Управление Роспотребнадзора по Хабаровскому краю и ЕАО уведомление об обработке персональных данных, которое содержало неполные и недостоверные сведения, в том числе: - неверно указана дата начала обработки персональных данных; - уведомление на содержит исчерпывающего перечня нормативно-правовых актов об обработке персональных данных; - недостоверно указано, что оператор использует шифрование; - отсутствует информация о классификации Информационных систем персональных данных; - отсутствует описание мер, предусмотренных ст. 18.1 и 19 ФЗ «О персональных данных»; - не указано должностное лицо ответственное за организацию персональных данных; - отсутствуют сведения об обеспечении безопасности персональных данных в соответствии с требованиями по защите персональных данных, установленных Правительством РФ. Не согласившись с указанным постановлением ООО АК «Эдип» в лице управляющего ФИО4 принесло на него жалобу, в которой просят отменить постановление № мирового судьи Правобережного судебного участка г. Биробиджана
информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", защита данных в ЕСИА обеспечивается путем выполнения оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе. В частности, в соответствии с пунктами 17 – 17.5 указанного приказа ФСТЭК, необходимо проведение аттестации государственных информационных систем, при этом, в качестве исходных данных для проведения аттестации информационной системы необходимо наличие модели угроз безопасности информации, акта классификацииинформационнойсистемы , технического задания на создание информационной системы и так далее. Однако, в ходе проведенной Управлением проверки УФПС РСО-Алания, как указано в обжалуемом постановлении, ни один из перечисленных документов предоставлен не был. Аттестация эксплуатируемых автоматизированных рабочих мест на предмет соответствия законодательству в области защиты информации не проводилась, то есть, ФИО1, как должностное лицо, осуществляющее руководство УФПС РСО-Алания, не в полном объеме ознакомлен с положениями действующего законодательства в области защиты персональных данных. Следовательно, в рассматриваемом
