Определение № А35-13172/12 от 13.05.2013 АС Курской области

77/2013-24532(3)

АРБИТРАЖНЫЙ СУД КУРСКОЙ ОБЛАСТИ

ОПРЕДЕЛЕНИЕ
о назначении экспертизы

Арбитражный суд Курской области в составе судьи Хмелевского Сергея Ильича при ведении протокола судебного заседания секретарем судебного заседания Коноваловым С.А., рассмотрев в предварительном судебном заседании дело по иску

Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Курская государственная сельскохозяйственная академия имени профессора И.И.Иванова»

к обществу с ограниченной ответственностью «Технологии защиты информации»

третье лицо: общество с ограниченной ответственностью «Электронный город»

о признании недействительным протокола согласования и применении последствий его недействительности

и встречному исковому заявлению

общества с ограниченной ответственностью «Технологии защиты информации»

к Федеральному государственному бюджетному образовательному учреждению высшего профессионального образования «Курская государственная сельскохозяйственная академия имени профессора И.И.Иванова»

о взыскании 223 425 руб. 44 коп. задолженности по договору, неустойки и судебных расходов

при участии представителей:

от истца (по первоначальному иску): Шевелева С.И. по доверенности №01-14/2003 от 14.12.2012,

от ответчика (по первоначальному иску): Чижов С.В. директор,

от третьего лица: не явился, уведомлен надлежащим образом,

УСТАНОВИЛ:

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Курская государственная сельскохозяйственная академия имени профессора И.И.Иванова» обратилось в Арбитражный суд Курской области с иском к обществу с ограниченной ответственностью «Технологии защиты информации» о признании протокола согласования технических мер для подготовки ИСПДн ФГБОУ ВПО «Курская ГСХА» от 10 июля 2012 года по договору на оказание услуг от 15 июня 2012 года № к/30 недействительным в силу его ничтожности в связи с несоответствием ч.5 ст.9 Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», а услуги, оказанные ООО «Технологии защиты информации», предусмотренные разделом 2 и разделом 3 Приложения № 1 договора на оказание услуг от 15 июня 2012 года № к/30, не соответствующими условиям договора.

Кроме того, истец просит применить последствия недействительности ничтожной сделки, а именно:

ФГБОУ ВПО «Курская ГСХА» возвратить ООО «Технологии защиты информации» полученные результаты услуг, предусмотренные разделом 2 и разделом 3 Приложения № 1 договора на оказание услуг от 15 июня 2012 года № к/30;

- ООО «Технологии защиты информации» прекратить требования по оплате ФГБОУ ВПО «Курская ГСХА» услуг, предусмотренных разделом 2 и

разделом 3 Приложения № 1 договора на оказание услуг от 15 июня 2012 года № к/30, в размере 223 425 руб.44 коп.

В ходе рассмотрения дела ответчик заявил также ходатайство о проведении экспертизы по делу в отношении оценки результатов работы, проведение которой просил поручить ОАО «Безопасность информационных технологий и компонентов».

На разрешение экспертизы ответчик просил поставить следующие вопросы:

1. Является ли основанием для отказа в выдаче аттестата соответствия то, что в ходе аттестационных испытаний информационной системы персональных данных (ИСПДн) было выявлено, что применение средств, указанных в договоре № к/30 от 15.06.2012 (договор), не привело ИСПДн в соответствие требованиям руководящих документов по защите информации?

2. Было ли возможным в условиях применения предусмотренного договором объема средств защиты информации получить положительные результаты аттестации для всех ИСПДн без изменения истцом их топологии?

3. Какие средства защиты информации от несанкционированного доступа (НСД) применяются на серверах ИСПДн и какие средства защиты информации от НСД применяются на рабочих станциях (автоматизированных рабочих местах)? Есть ли отличия, и какие?

4. Было ли необходимо истцу изменять топологию ИСПДн в соответствии с оспариваемым протоколом для достижения положительных результатов аттестации? Чем было вызвано снижение количества АРМ в аттестованных ИСПДн?

5. Мог ли ответчик при сдаче работ, выполненных по договору, скрыть от истца появившиеся после проведенных работ изменения в составе, топологии и размещении средств вычислительной техники, а также в технологии обработки информации ИСПДн?

6. Правомерно ли объединение ИСПДн «Бухгалтерия» и ИСПДн «Кадры», использующих один информационный ресурс, в единую общую ИСПДн с выдачей объединяющего аттестата?

7. Соответствуют ли результаты работ по защите информации и аттестационных испытаний ИСПДн, выполненных ООО «Тех ЗИ», требованиях действующих руководящих документов и нормативных актов РФ по безопасности ПДн?

Ходатайство было принято судом к рассмотрению.

От экспертного учреждения в материалы дела по факсу поступил ответ на запрос суда о возможности проведения экспертизы и ее стоимости.

Определением Арбитражного суда Курской области от 02.04.2013 принято к производству встречное исковое заявление ООО «Технологии защиты информации», в соответствии с которым истец просит взыскать с ФГБОУ ВПО «Курская ГСХА» 223 425 руб. 44 коп. задолженности по договору, неустойки за неоплату выполненных услуг за период с 12.10.2012 по дату вынесения судом решения, а также судебные расходы, исчисляемые по факту на дату вынесения судом решения по делу.

13.05.2013 от третьего лица поступило ходатайство о рассмотрении дела в отсутствие его представителя, которое судом удовлетворено.

В настоящем судебном заседании представитель истца поддержал исковые требования, встречные исковые требования оспорил, возразил против проведения по делу экспертизы. Вместе с тем, представил дополнительные вопросы, которые просил поставить перед экспертом, а именно:

1. Соответствует ли требованиям регламентирующих документов выдача отдельных аттестатов на ИСПД «Кадры» и ИСПДН «Бухгалтерия» при использовании данного сервера и баз данных?

2. Соответствует ли требованиям регламентирующих документов объединение ИСПД «Кадры» и ИСПДН «Бухгалтерия» исполнителем без согласования с заказчиком?

3. Соответствует ли требованиям регламентирующих документов выдача одновременно аттестата как на самостоятельную ИСПД «Кадры», так и в составе иного объединенного ИСПДН «Кадры и бухгалтерия»? Какой из аттестатов является действующим?

4. Соответствует ли требованиям регламентирующих документов выдача аттестата соответствия специализированной документации на ИСПДН «Кадры» при фактическом расположении сервера, входящего в состав указанного ИСПДН, в помещении 252, являющимся рабочим кабинетом сотрудников отдела, не являющихся пользователями данного ИСПДН? Доступ в указанное помещение свободный для сотрудников, студентов, посетителей как на момент составления протокола проведения аттестационных испытаний, так и до настоящего времени?

Вопросы №1 и №3, предложенные истцом, приняты судом к рассмотрению. Остальные вопросы, предложенные истцом, судом отклонены.

Представитель ответчика в судебном заседании 13.05.2013 исковые требования оспорил, встречные исковые требования и ходатайство о поведении экспертизы поддержал. Через канцелярию суда представил ходатайство об истребовании дополнительных доказательств, необходимых для проведения экспертизы.

В соответствии с пунктом 4 статьи 66 Арбитражного процессуального кодекса Российской Федерации лицо, участвующее в деле и не имеющее возможности самостоятельно получить необходимое доказательство от лица, у которого оно находится, вправе обратиться в арбитражный суд с ходатайством об истребовании данного доказательства. В ходатайстве должно быть обозначено доказательство, указано, какие обстоятельства, имеющие значение для дела, могут быть установлены этим доказательством, указаны причины, препятствующие получению доказательства, и место его нахождения.

При этом заявителем не приведено убедительных доводов того, что в соответствии с ч. 1 ст. 67 Арбитражного процессуального кодекса Российской

Федерации данное доказательство имеет отношение к рассматриваемому делу. Кроме того, заявителем в нарушение п.4 ст.66 Арбитражного процессуального кодекса Российской Федерации не представлено доказательств того, что он не имеет возможности самостоятельно получить необходимые доказательства от лица, у которого оно находится.

Обстоятельства дела, которые согласно закону должны быть подтверждены определенными доказательствами, не могут подтверждаться в арбитражном суде иными доказательствами (статья 68 Арбитражного процессуального кодекса Российской Федерации).

Круг документов, необходимых и достаточных для проведения настоящей экспертизы будет определен экспертом. В случае необходимости истребуемые документы могут быть запрошены экспертом самостоятельно.

Поскольку указанные требования закона заявителя соблюдены не были, суд считает возможным отказать в удовлетворении заявленного ходатайства ответчика.

В связи с поступлением в материалы дела ответа экспертного учреждения о сроках, возможности и стоимости проведения экспертизы, а также учитывая, что установление и оценка обстоятельств по делу требует специальных познаний, суд считает необходимым назначить проведение экспертизы на основании статьи 82 Арбитражного процессуального кодекса Российской Федерации.

В соответствии со ст.83 Арбитражного процессуального кодекса Российской Федерации экспертиза проводится государственными судебными экспертами государственного судебно-экспертного учреждения и иными экспертами из числа лиц, обладающих специальными знаниями, в соответствии с федеральным законом.

Учитывая отсутствие в материалах дела возражений по кандидатуре экспертного учреждения и экспертов, суд считает возможным поручить проведение настоящей экспертизы специалистам ОАО «Безопасность информационных технологий и компонентов».

Изучив представленные сторонами варианты вопросов, суд счел возможным поставить на разрешение экспертизы вопросы, сформулировав их следующим образом:

1. Является ли основанием для отказа в выдаче аттестата соответствия то, что в ходе аттестационных испытаний информационной системы персональных данных (ИСПДн) было выявлено, что применение средств, указанных в договоре № к/30 от 15.06.2012 (договор), не привело ИСПДн в соответствие требованиям руководящих документов по защите информации?

2. Было ли возможным в условиях применения предусмотренного договором объема средств защиты информации получить положительные результаты аттестации для всех ИСПДн без изменения истцом их топологии?

3. Какие средства защиты информации от несанкционированного доступа (НСД) применяются на серверах ИСПДн и какие средства защиты информации от НСД применяются на рабочих станциях (автоматизированных рабочих местах)? Есть ли отличия, и какие?

4. Было ли необходимо истцу изменять топологию ИСПДн в соответствии с оспариваемым протоколом для достижения положительных результатов аттестации? Чем было вызвано снижение количества АРМ в аттестованных ИСПДн?

5. Мог ли ответчик при сдаче работ, выполненных по договору, скрыть от истца появившиеся после проведенных работ изменения в составе, топологии и размещении средств вычислительной техники, а также в технологии обработки информации ИСПДн?

6. Возможно и целесообразно ли объединение ИСПДн «Бухгалтерия» и ИСПДн «Кадры», использующих один информационный ресурс, в единую общую ИСПДн с выдачей объединяющего аттестата?

7. Соответствуют ли результаты работ по защите информации и аттестационных испытаний ИСПДн, выполненных ООО «Тех ЗИ», требованиях действующих руководящих документов и нормативных актов

РФ по безопасности ПДн, а также условиям договора оказания услуг от 15 июня 2012 г. №к/30?

8. Соответствует ли требованиям регламентирующих документов выдача отдельных аттестатов на ИСПД «Кадры» и ИСПДН «Бухгалтерия» при использовании данного сервера и баз данных?

9. Соответствует ли требованиям регламентирующих документов выдача одновременно аттестата как на самостоятельную ИСПД «Кадры», так и в составе иного объединенного ИСПДН «Кадры и бухгалтерия»? Какой из аттестатов является действующим?

На основании вышеизложенного и, руководствуясь ст.ст. 82, 107, 108, 109, 159, 184, 185 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

ОПРЕДЕЛИЛ:

Назначить по делу №А35-13172/2012 судебную экспертизу.

Поручить проведение экспертизы открытому акционерному обществу «Безопасность информационных технологий и компонентов»: руководителю аттестационного центра Северину Владимиру Александровичу (образование высшее, специальность – радиотехнические средства, окончил Высшее Военно-Морское училище радиоэлектроники имени А.С.Попова в 1985 году, стаж работы в области защиты информации – 27 лет) и инженеру- испытателю отдела шифрования и криптографии Атаманову Александру Николаевичу (образование высшее, специальность – комплексное обеспечение информационной безопасности в автоматизированных системах, окончил Московский инженерно-физический институт в 2007 году, кандидат технических наук, стаж работы в области защиты информации – 5 лет).

Предупредить экспертов об уголовной ответственности, предусмотренной ст. 307 Уголовного кодекса Российской Федерации, за дачу заведомо ложного заключения. Разъяснить, что, если эксперт в ходе исследования обнаружит важные для дела обстоятельства, относительно

которых вопросы не были поставлены судом, он вправе по своей инициативе сделать соответствующие выводы, снабдив их специальной оговоркой.

На разрешение экспертов поставить следующие вопросы:

1. Является ли основанием для отказа в выдаче аттестата соответствия то, что в ходе аттестационных испытаний информационной системы персональных данных (ИСПДн) было выявлено, что применение средств, указанных в договоре № к/30 от 15.06.2012 (договор), не привело ИСПДн в соответствие требованиям руководящих документов по защите информации?

2. Было ли возможным в условиях применения предусмотренного договором объема средств защиты информации получить положительные результаты аттестации для всех ИСПДн без изменения истцом их топологии?

3. Какие средства защиты информации от несанкционированного доступа (НСД) применяются на серверах ИСПДн и какие средства защиты информации от НСД применяются на рабочих станциях (автоматизированных рабочих местах)? Есть ли отличия, и какие?

4. Было ли необходимо истцу изменять топологию ИСПДн в соответствии с оспариваемым протоколом для достижения положительных результатов аттестации? Чем было вызвано снижение количества АРМ в аттестованных ИСПДн?

5. Мог ли ответчик при сдаче работ, выполненных по договору, скрыть от истца появившиеся после проведенных работ изменения в составе, топологии и размещении средств вычислительной техники, а также в технологии обработки информации ИСПДн?

6. Возможно и целесообразно ли объединение ИСПДн «Бухгалтерия» и ИСПДн «Кадры», использующих один информационный ресурс, в единую общую ИСПДн с выдачей объединяющего аттестата?

7. Соответствуют ли результаты работ по защите информации и аттестационных испытаний ИСПДн, выполненных ООО «Тех ЗИ», требованиях действующих руководящих документов и нормативных актов

РФ по безопасности ПДн, а также условиям договора оказания услуг от 15 июня 2012 г. №к/30?

8. Соответствует ли требованиям регламентирующих документов выдача отдельных аттестатов на ИСПД «Кадры» и ИСПДН «Бухгалтерия» при использовании данного сервера и баз данных?

9. Соответствует ли требованиям регламентирующих документов выдача одновременно аттестата как на самостоятельную ИСПД «Кадры», так и в составе иного объединенного ИСПДН «Кадры и бухгалтерия»? Какой из аттестатов является действующим?

Обязать ФГБОУ ВПО «Курская государственная сельскохозяйственная академия имени профессора И.И.Иванова», ООО «Технологии защиты информации» и ООО «Электронный город», представить экспертам все документы, необходимые для производства экспертизы, а также оказать содействие экспертам в обеспечении доступа к объекту исследования.

Установить срок для проведения экспертизы и предоставления в суд экспертного заключения – 17 июня 2013 года.

Для проведения экспертизы направить в адрес экспертного учреждения материалы настоящего дела.