ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Глава 1. ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
Глава 2. ВОЗНИКНОВЕНИЕ ГРАЖДАНСКИХ ПРАВ И ОБЯЗАННОСТЕЙ, ОСУЩЕСТВЛЕНИЕ И ЗАЩИТА ГРАЖДАНСКИХ ПРАВ
Глава 3. ГРАЖДАНЕ (ФИЗИЧЕСКИЕ ЛИЦА)
Глава 4. ЮРИДИЧЕСКИЕ ЛИЦА
Глава 5. УЧАСТИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ, МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ В ОТНОШЕНИЯХ, РЕГУЛИРУЕМЫХ ГРАЖДАНСКИМ ЗАКОНОДАТЕЛЬСТВОМ
Глава 6. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 7. ЦЕННЫЕ БУМАГИ
Глава 8. НЕМАТЕРИАЛЬНЫЕ БЛАГА И ИХ ЗАЩИТА
Глава 9. СДЕЛКИ
Глава 9.1. РЕШЕНИЯ СОБРАНИЙ
Глава 10. ПРЕДСТАВИТЕЛЬСТВО. ДОВЕРЕННОСТЬ
Глава 11. ИСЧИСЛЕНИЕ СРОКОВ
Глава 12. ИСКОВАЯ ДАВНОСТЬ
Глава 13. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 14. ПРИОБРЕТЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 15. ПРЕКРАЩЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 16. ОБЩАЯ СОБСТВЕННОСТЬ
Глава 17. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЗЕМЛЮ
Глава 18. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЖИЛЫЕ ПОМЕЩЕНИЯ
Глава 19. ПРАВО ХОЗЯЙСТВЕННОГО ВЕДЕНИЯ, ПРАВО ОПЕРАТИВНОГО УПРАВЛЕНИЯ
Глава 20. ЗАЩИТА ПРАВА СОБСТВЕННОСТИ И ДРУГИХ ВЕЩНЫХ ПРАВ
Глава 21. ПОНЯТИЕ ОБЯЗАТЕЛЬСТВА
Глава 22. ИСПОЛНЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 23. ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ ОБЯЗАТЕЛЬСТВ
Глава 24. ПЕРЕМЕНА ЛИЦ В ОБЯЗАТЕЛЬСТВЕ
Глава 25. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 26. ПРЕКРАЩЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 27. ПОНЯТИЕ И УСЛОВИЯ ДОГОВОРА
Глава 28. ЗАКЛЮЧЕНИЕ ДОГОВОРА
Глава 29. ИЗМЕНЕНИЕ И РАСТОРЖЕНИЕ ДОГОВОРА
Гражданский кодекс часть 2
Глава 30. КУПЛЯ-ПРОДАЖА
Глава 31. МЕНА
Глава 32. ДАРЕНИЕ
Глава 33. РЕНТА И ПОЖИЗНЕННОЕ СОДЕРЖАНИЕ С ИЖДИВЕНИЕМ
Глава 34. АРЕНДА
Глава 35. НАЕМ ЖИЛОГО ПОМЕЩЕНИЯ
Глава 36. БЕЗВОЗМЕЗДНОЕ ПОЛЬЗОВАНИЕ
Глава 37. ПОДРЯД
Глава 38. ВЫПОЛНЕНИЕ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ, ОПЫТНО-КОНСТРУКТОРСКИХ И ТЕХНОЛОГИЧЕСКИХ РАБОТ
Глава 39. ВОЗМЕЗДНОЕ ОКАЗАНИЕ УСЛУГ
Глава 40. ПЕРЕВОЗКА
Глава 41. ТРАНСПОРТНАЯ ЭКСПЕДИЦИЯ
Глава 42. ЗАЕМ И КРЕДИТ
Глава 43. ФИНАНСИРОВАНИЕ ПОД УСТУПКУ ДЕНЕЖНОГО ТРЕБОВАНИЯ
Глава 44. БАНКОВСКИЙ ВКЛАД
Глава 45. БАНКОВСКИЙ СЧЕТ
Глава 46. РАСЧЕТЫ
Глава 47. ХРАНЕНИЕ
Глава 47.1. УСЛОВНОЕ ДЕПОНИРОВАНИЕ (ЭСКРОУ)
Глава 48. СТРАХОВАНИЕ
Глава 49. ПОРУЧЕНИЕ
Глава 50. ДЕЙСТВИЯ В ЧУЖОМ ИНТЕРЕСЕ БЕЗ ПОРУЧЕНИЯ
Глава 51. КОМИССИЯ
Глава 52. АГЕНТИРОВАНИЕ
Глава 53. ДОВЕРИТЕЛЬНОЕ УПРАВЛЕНИЕ ИМУЩЕСТВОМ
Глава 54. КОММЕРЧЕСКАЯ КОНЦЕССИЯ
Глава 55. ПРОСТОЕ ТОВАРИЩЕСТВО
Глава 56. ПУБЛИЧНОЕ ОБЕЩАНИЕ НАГРАДЫ
Глава 57. ПУБЛИЧНЫЙ КОНКУРС
Глава 58. ПРОВЕДЕНИЕ ИГР И ПАРИ
Глава 59. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ ПРИЧИНЕНИЯ ВРЕДА
Глава 60. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ НЕОСНОВАТЕЛЬНОГО ОБОГАЩЕНИЯ
Гражданский кодекс часть 3
Глава 61. ОБЩИЕ ПОЛОЖЕНИЯ О НАСЛЕДОВАНИИ
Глава 62. НАСЛЕДОВАНИЕ ПО ЗАВЕЩАНИЮ
Глава 63. НАСЛЕДОВАНИЕ ПО ЗАКОНУ
Глава 64. ПРИОБРЕТЕНИЕ НАСЛЕДСТВА
Глава 65. НАСЛЕДОВАНИЕ ОТДЕЛЬНЫХ ВИДОВ ИМУЩЕСТВА
Глава 66. ОБЩИЕ ПОЛОЖЕНИЯ
Гражданский кодекс часть 4
Глава 69. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 70. АВТОРСКОЕ ПРАВО
Глава 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Глава 72. ПАТЕНТНОЕ ПРАВО
Глава 73. ПРАВО НА СЕЛЕКЦИОННОЕ ДОСТИЖЕНИЕ
Глава 74. ПРАВО НА ТОПОЛОГИИ ИНТЕГРАЛЬНЫХ МИКРОСХЕМ

Решение № 12-182/2023 от 25.07.2023 Ворошиловского районного суда г. Волгограда (Волгоградская область)

УИД 34RS0-48

РЕШЕНИЕ

<адрес> 25 июля 2023 года

Судья Ворошиловского районного суда <адрес> Ломако Н.Н., рассмотрев жалобу председателя комитета информационных технологий ФИО3<адрес>ФИО2 на постановление заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5 от ДД.ММ.ГГГГ- по делу об административном правонарушении, предусмотренном ч.6 ст.13.12 КоАП РФ, в отношении комитета информационных технологий ФИО3<адрес>,

с участием заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5, специалиста-эксперта отдела Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО9, представителя комитета информационных технологий ФИО3<адрес>ФИО6, действующей на основании доверенности от ДД.ММ.ГГГГ, представителя комитета информационных технологий ФИО3<адрес>ФИО7, действующего на основании доверенности от ДД.ММ.ГГГГ, представителя комитета информационных технологий ФИО3<адрес>ФИО8,

установил:

постановлением заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5 от ДД.ММ.ГГГГ председатель комитета информационных технологий ФИО3<адрес>ФИО2 признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст.13.12 КоАП РФ, и ему назначено наказание в виде административного штрафа в размере 10000 рублей.

Не согласившись с указанным постановлением, председатель комитета информационных технологий ФИО3<адрес>ФИО2 обратился с жалобой, в которой просит признать постановление незаконными и отменить его, производство по делу прекратить. В обоснование жалобы указал, что объективную сторону административного правонарушения, предусмотренного ч.6 ст.13.12 КоАП РФ составляет нарушение требований о защите информации (за исключением информации, составляющей государственную тайну).

Согласно постановлению о назначении административного наказания № от ДД.ММ.ГГГГ комитет допустил бездействие - не исполнил требования, установленные ч. 5 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон) при создании и эксплуатации Единой Автоматизированной системы документооборота (далее - АСЭД), созданной в соответствии с постановлением ФИО1<адрес> от ДД.ММ.ГГГГ «О вводе в эксплуатацию единой автоматизированной системы электронного документооборота в органах исполнительной власти ФИО3<адрес>».

В то же время согласно ч. 5 ст. 16 Федерального закона требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Таки образом, положения ч. 5 ст. 16 Федерального закона применимы именно к созданию и эксплуатации государственных информационных систем.

Пункты 13, 17 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 № 17 (далее - Требования о защите информации) и пункт 15 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 06.07.2015 № 676 (далее - Требований к порядку создания РИС), указанные в обжалуемом постановлении о назначении административного наказания также устанавливают требования в отношении государственных информационных систем.

В то же время Федеральным законом (ст.13) установлено, что существуют различные виды информационных систем:

- государственные информационные системы;

- муниципальные информационные системы

- иные информационные системы.

При этом согласно п.1 ч.1 ст. 13 Федерального закона государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Таким образом, единственным критерием для установления статуса государственной информационной системы (далее - ГИС) является соответствующий федеральный закон, закон субъектов Российской Федерации, или правовой акт государственных органов о создании ГИС.

В то же время, федеральный закон, закон ФИО3<адрес>, или правовой акт государственных органов ФИО3<адрес> о создании АСЭД в качестве ГИС не приняты.

Постановление ФИО1<адрес> от ДД.ММ.ГГГГ "О вводе в эксплуатацию единой автоматизированной системы электронного документооборота в органах исполнительной власти ФИО3<адрес>", которое указано в оспариваемом постановлении о назначении административного наказания, также не содержит норм о создании АСЭД, а также норм, определяющих, что АСЭД является ГИС.

В связи с этим, вменение комитету нарушений положений указанных Федерального закона, приказа ФСТЭК России от ДД.ММ.ГГГГ и постановления Правительства Российской Федерации от 06.07.2015 необоснованно.

2. В качестве основания для привлечения к административной ответственности Комитету вменяется неисполнение п.15 Требований к порядку создания ГИС, утвержденных постановлением Правительства Российской Федерации от ДД.ММ.ГГГГ и п. 13, 17 Требований о защите информации, утвержденных приказом ФСТЭК России от ДД.ММ.ГГГГ, в части отсутствия аттестата соответствия АСЭДа требования безопасности информации.

Как было указано выше, Требования о защите информации и Требования к порядку создания ГИС в отношении АСЭДа не применимы, поскольку АСЭД государственной информационной системой не является.

Кроме того, согласно п.п «а» п.15 Требований к порядку создания ГИС, утвержденных постановлением Правительства Российской Федерации от ДД.ММ.ГГГГ ввод системы (очереди системы) в эксплуатацию не допускается в случаях невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия системы требованиям безопасности информации.

Таким образом, аттестат соответствия системы требованиям безопасности информации требуется при вводе системы (очереди системы) в эксплуатацию.

Указанное постановление Правительства Российской Федерации от 06.07.2015 Об утверждении Требований к порядку создания ГИС вступило в силу ДД.ММ.ГГГГ (со дня публикации на Официальном интернет-портал правовой информации http://www.pravo.gov.ru).

В связи с этим требование о наличии аттестата соответствия системы требованиям безопасности информации при вводе системы (очереди системы) в эксплуатацию применимо только к информационным системам, которые будут введены в эксплуатацию после ДД.ММ.ГГГГ

В то же время постановление ФИО1<адрес> "О вводе в эксплуатацию единой автоматизированной системы электронного документооборота в органах исполнительной власти ФИО3<адрес>" (АСЭД) было издано ранее вступления в силу вышеуказанного постановления Правительства Российской Федерации, а именно от ДД.ММ.ГГГГ, в связи с чем требование о наличии аттестата соответствия системы требованиям безопасности, содержащееся в постановлении Правительства Российской Федерации от ДД.ММ.ГГГГ, к АСЭДу не применимы.

Кроме того, согласно п.15 Требований к порядку создания ГИС ввод государственной информационной системы (очереди системы) в эксплуатацию не допускается в случае отсутствие действующего аттестата соответствия системы требованиям безопасности информации.

Требования к порядку создания ГИС не содержат положений, конкретизирующих тип эксплуатации.

При этом следует различать промышленную (постоянную) эксплуатацию и тестовую (опытную) эксплуатацию.

Согласно ФИО11 59792-2021. Национальный стандарт Российской Федерации. Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем", утв. и введен в действие приказом Росстандарта от ДД.ММ.ГГГГ-ст взамен ГОСТ 34.603-92. Государственный стандарт Союза ССР. Информационная технология. Виды испытаний автоматизированных систем”, которыми необходимо руководствоваться согласно Требований о защите информации опытная эксплуатация является видом испытаний, предшествующей вводом ГИС в промышленную эксплуатацию (п. 3.2) Приемочные испытания завершаются оформлением и утверждением акта о приемке ГИС в постоянную эксплуатацию (п.6.12).

Таким образом, объективной стороной административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, является именно промышленная эксплуатация информационной системы, в том числе государственной, в отсутствие аттестата соответствия требованиям безопасности информации.

Комитет, являясь оператором ответственным за функционирование и развитие информационных систем, проводит мероприятия, обеспечивающие выполнение требований, установленных постановлением Правительства Российской Федерации от ДД.ММ.ГГГГ "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд", а также организовывает работы по развитию функциональности информационных систем на основании функционального заказа органов исполнительной власти ФИО3<адрес>, являющихся их пользователями.

С момента ввода в опытную эксплуатацию по настоящее время в рамках работ по развитию функциональности информационных систем происходит их наполнение и дополнение сервисами межведомственного взаимодействия, а также осуществляются доработки, связанные с необходимостью применения отечественного программного обеспечения и аппаратно-программных комплексов.

В процессе проведения указанных мероприятий технологические процессы обмена информацией между модулями систем, а также технологические процессы обработки информации пользователями информационных систем ежемесячно претерпевают существенные изменения, что осложняет поддержание организационно-распорядительной документации по обеспечению информационной безопасности для данных информационных систем в актуальном состоянии.

На основании вышеизложенного, приказом комитета от ДД.ММ.ГГГГ-о/д (в редакции приказа комитета от ДД.ММ.ГГГГг. -о/д) были выведены из промышленной и введены в тестовую эксплуатацию ряд информационных систем, в том числе АСЭД.

Как было выше указано, тестовая эксплуатация представляет собой % процесс проверки выполнения заданных функций информационной системы в рамках ее испытаний.

Поскольку АСЭД была выведена из промышленной эксплуатации, аттестат соответствия требованиям безопасности информации не требуется.

Согласно п. 13 Требований о защите информации, утвержденных приказом ФСТЭК России от ДД.ММ.ГГГГ,нарушение которого вменяется Комитету, для обеспечения защиты информации, содержащейся в информационной системе, проводятся ряд мероприятий, в том числе аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Таким образом, аттестация необходима до ввода системы в действие.

В соответствии с п. 17 Требований о защите информации, утвержденных приказом ФСТЭК России от ДД.ММ.ГГГГ, аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям.

При этом аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе (п. 17.2 Требований о защите информации).

Таким образом аттестация предшествует началу обработки информации в информационной системе.

В то же время, Приказ ФСТЭК России от ДД.ММ.ГГГГ об утверждении Требований о защите информации, нарушение п. 13 и п. 17 которых также вменяется комитету, тоже вступил позже создания АСЭД и начала ее эксплуатации и обработке в ней информации.

Лицо, совершившее административное правонарушение, подлежит ответственности на основании закона, действовавшего во время совершения административного правонарушения (ч. 1 ст.1.7 КоАП РФ).

В связи с этим, вменение комитету нарушений п.15 Требований к порядку создания ГИС, утвержденных постановлением Правительства Российской Федерации от ДД.ММ.ГГГГ, п.13 и п. 17 Требований о защите информации, утвержденных Приказом ФСТЭК России от ДД.ММ.ГГГГ, не обосновано, поскольку на момент создания АСЭД и начала ее эксплуатации ее аттестация не требовалась.

Указанные обстоятельства свидетельствуют об отсутствии в действиях Комитета состава административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ.

3. Кроме того в рамках административного производства допущены существенные нарушения процессуальных норм КоАП РФ.

Согласно протоколу об административном правонарушении от ДД.ММ.ГГГГ и постановлению о назначении административного наказания -ТЗИ/2023-В Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам плановая выездная проверка органов исполнительной власти ФИО3<адрес>, в т.ч. и комитета, была проведена с 17 по ДД.ММ.ГГГГ

Таким образом, период в течение которого лица, осуществляющие проведение проверки вправе запрашивать и получать от проверяемых органов и документы и информацию ограничена периодом проведении проверки: с 17 по ДД.ММ.ГГГГ

В то же время ДД.ММ.ГГГГ, то есть еще до начала проведения проверки, Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам были направлены запросы в органы исполнительной власти ФИО3<адрес> о предоставления информации в рамах проводимой проверки (исх. , , 100 и т.д.), которые положены в основу оспариваемого постановления о назначении административного наказания -ТЗИ/2023-В.

По общему правилу нарушения, выявленные в ходе проведения проверки, должны отражаться в акте проверки. Однако в постановлении о назначении административного наказания -ТЗИ/2023-В от ДД.ММ.ГГГГ указано, что нарушение комитетом требований о защите информации выявлено ДД.ММ.ГГГГ - то есть после окончания плановой выездной проверки комитета.

В то же время после окончания проверки, но до составления протокола об административном правонарушении от ДД.ММ.ГГГГ и разъяснению представителю комитета его прав, составленным начальником отдела инспекционного и комплексного технического контроля Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО8, начальником отдела инспекционного и комплексного технического контроля Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО8 от председателя комитета информационных технологий ФИО3<адрес>ФИО2 были взяты объяснения.

Указанные документы, полученные с нарушением требований закона, положены в основу оспариваемого постановления о назначении административного наказания -ТЗИ/2023-В.

В соответствии с ч.1 ст.30.1 КоАП РФ постановление по делу об административном правонарушении может быть обжаловано лицами, указанными в статьях 25.1.-25.5. КоАП РФ, а именно: лицом, в отношении которого ведется производство по делу об административном правонарушении, потерпевшим, законным представителем физического лица, законным представителем юридического лица, защитником и представителем.

В судебном заседании, представители комитета информационных технологий ФИО3<адрес>ФИО6, ФИО7, ФИО8 доводы, изложенные в жалобе, поддержали в полном объеме, настаивал на её удовлетворении. Одновременно представили дополнения к жалобе, согласно которым считают, что проведение плановой проверки являлось незаконным в связи с тем, что деятельность комитета не относится к субъектам чрезвычайно высокого и высокого риска, опасным производственным объектам II класса опасности, гидротехническим сооружениям II класса.

Заместитель руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5, специалист-эксперт отдела Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО9 в судебном заседании просила жалобу оставить без удовлетворения.

Выслушав мнение лиц, участвующих в деле, изучив материалы дела об административном правонарушении и доводы жалобы, прихожу к следующим выводам.

В соответствии с частью 6 статьи 13.12 Кодекса Российской Федерации об административных правонарушениях нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, - влечет наложение административного штрафа на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.

Как следует из материалов дела, при осуществлении мероприятий контроля в период с 17 по ДД.ММ.ГГГГ в рамках плановой выездной проверки аппарата Губернатора ФИО3<адрес> и органов исполнительной власти ФИО3<адрес>, проведенной на основании приказа Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам от ДД.ММ.ГГГГдсп, в комитете информационных технологий ФИО3<адрес> по адресу: 400012, <адрес>А, ДД.ММ.ГГГГ в 10 часов 30 минут выявлено нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных частью 5 статьи 16 Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и пунктом 15 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах информации, утвержденных постановлением Правительства Российской Федерации от ДД.ММ.ГГГГ, в виде неисполнения пунктов 13, 17 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России оТ Ц.02.2013 (далее — Требования о защите информации).

Требования о защите информации установлены Федеральным законом Российской федерации от ДД.ММ.ГГГГ № 149-ФЗ «Об информации, информационным технологиях и о защите информации» (далее — Федеральный закон № 149-ФЗ).

В соответствии с п. 5 ст. 16 Федерального закона № 149-ФЗ, приказом ФСТЭК России от ДД.ММ.ГГГГ утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

В соответствии с постановлением ФИО1<адрес> от ДД.ММ.ГГГГ с изменениями в редакции постановления Губернатора ФИО3<адрес> от ДД.ММ.ГГГГ органами исполнительной власти ФИО3<адрес> эксплуатируется Единая автоматизированная система документооборота (далее - АСЭД, информационная система).

Комитет информационных технологий ФИО3<адрес> определен ответственным органом исполнительной власти региона за обеспечение информационной безопасности при эксплуатации АСЭД и обеспечивает выполнение функций оператора указанной информационной системы.

По данным, полученным в ходе проверочных мероприятий, в АСЭД обеспечивается обработка информации при исполнении полномочий органов исполнительной власти ФИО3<адрес>, информация, обрабатываемая в информационной системе в соответствии с п. 9 ст. 14 Федерального закона № 149-ФЗ, подлежит защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Организация системы защиты информации АСЭД должна соответствовать Требованиям о защите информации. При этом в соответствии с п. 15 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах информации и п.п. 13,17 Требований о защите информации, обязательным условием для эксплуатации информационной системы является проведение аттестации информационной системы по требованиям безопасности информации с целью подтверждения соответствия созданной системы защиты информации информационной системы установленным требованиям.

В ходе проверки установлено, что информация в АСЭД обрабатывалась без обеспечения организации системы защиты информации информационной системы в соответствии с Требованиями о защите информации. Аттестация АСЭД по требованиям безопасности информации не проведена. Невыполнение пунктов 13,17 Требовании о защите информации подтверждается непредставлением сведений о выданном аттестате соответствия требованиям безопасности информации АСЭД и отсутствием результатов аттестационных испытаний информационной системы.

Таким образом, комитет информационных технологий ФИО3<адрес> не выполнил требования о защите информации (за исключением информации, составляющей государственную тайну), установленные частью 5 статьи 16 Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ «Об информации, информационных технологиях и о защите информации», что подтверждается материалами дела и иными доказательствами: протоколом об административном правонарушении от ДД.ММ.ГГГГ; объяснениями законного представителя комитета информационных технологий ФИО3<адрес> - председателя комитета ФИО2 (письмо от ДД.ММ.ГГГГ № б/н), объяснениями заместителя председателя комитета информационных технологий ФИО3<адрес>ФИО7 (письмо от ДД.ММ.ГГГГ), письмом и.о. заместителя руководителя Управления ФИО10 от ДД.ММ.ГГГГ, письмом заместителя руководителя Управления ФИО5 от ДД.ММ.ГГГГ, приобщенными при рассмотрении дела об административном правонарушении объяснениями комитета информационных технологий ФИО3<адрес> от ДД.ММ.ГГГГ №б/н, ответственность за неисполнение которых предусмотрена частью 6 статьи 13.12 КоАП РФ.

Факт совершения Комитетом информационных технологий ФИО3<адрес> правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ, подтверждается протоколом об административном правонарушении от ДД.ММ.ГГГГ, приказом -о/д от ДД.ММ.ГГГГ о выводе из промышленной эксплуатации государственных информационных систем, а также иными представленными материалами.

Указанные доказательства оценены на предмет относимости, допустимости и достаточности с соблюдением требований статьи 26.11 КоАП РФ.

Единая автоматизированная система электронного документооборота была введена в эксплуатацию в органах исполнительной власти ФИО3<адрес> постановлением ФИО1<адрес> от ДД.ММ.ГГГГ. Согласно постановлению Губернатора ФИО3<адрес> от ДД.ММ.ГГГГ «О внесении изменений в постановление ФИО1<адрес> от ДД.ММ.ГГГГ «О вводе в эксплуатацию единой автоматизированной системы электронного документооборота в органах исполнительной власти ФИО3<адрес>» на комитет информационных технологий ФИО3<адрес> возложена обязанность обеспечить информационную безопасность при эксплуатации АСЭД, то есть принять меры по защите обрабатываемой в АСЭД информации в соответствии с законодательством РФ в области информации, информационных технологий и защиты информации для государственных информационных систем. Также данная обязанность возложена на комитет постановлением Губернатора ФИО3<адрес> от ДД.ММ.ГГГГ «Об утверждении положения о комитете информационных технологий ФИО3<адрес>».

Согласно п. 1 ч. 1 ст. 13 Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов, и создаются они в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях (ч. 1 ст. 14 Федерального закона). Таким образом, АСЭД принадлежит к государственным информационным системам. С данным фактом согласен и сам председатель комитета информационных технологий ФИО3<адрес>, указав это в своем письме- объяснении от ДД.ММ.ГГГГ № б/н (приобщено к протоколу от ДД.ММ.ГГГГ) и в приказе комитета информационных технологий ФИО3<адрес> от ДД.ММ.ГГГГ-о/д, на момент проведения проверки с 17 по ДД.ММ.ГГГГ и на момент составления протокола от ДД.ММ.ГГГГ).

В соответствии со ст. 2, ч. 4 ст. 6 настоящего Федерального закона обладатель информации, самостоятельно создавший информацию либо получивший на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам, при осуществлении своих прав обязан принимать меры по защите информации, обрабатываемой и хранящейся в государственных информационных системах от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (статьи 1, 14, 16 настоящего Федерального закона).

Данная обязанность возложена не только при создании информационной системы, но и при ее эксплуатации и модернизации (ст. 13, ч. 6, ч. 9 ст. 14 Федерального закона).

Статьей 16 настоящего Федерального закона установлена обязательность выполнения требований о защите информации и об обеспечении защиты информации, а также выполнения требований о защите информации, содержащейся в государственных информационных системах, которые устанавливаются приказом ФСТЭК России от ДД.ММ.ГГГГ. При этом, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям (ч. 5 ст. 16 Федерального закона).

В соответствии с пунктом 13 приказа ФСТЭК России от ДД.ММ.ГГГГ одними из мероприятий, которые проводятся для обеспечения защиты информации, содержащейся в информационной системе, являются: аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. То есть, с целью подтверждения соответствия системы защиты информации информационной системы установленным требованиям, должна быть организована аттестация информационной системы. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы) (пункт 12 приказа).

В соответствии с требованиями Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ (ч. 6 ст. 14) Правительство Российской Федерации утвердило Требования

к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации (от ДД.ММ.ГГГГ).

На основании пункта 19 настоящего Постановления эксплуатация системы не допускается при невыполнении установленных статьей 16 Федерального закона от ДД.ММ.ГГГГ требований о защите информации, включая отсутствие действующего аттестата соответствия системы требованиям безопасности информации (пункт 15 Постановления).

Вышеуказанные обязательные мероприятия комитетом информационных технологий ФИО3<адрес> не выполнены, документы, подтверждающие наличие аттестата соответствия требованиям безопасности информации АСЭД и документы, разрабатываемые и утверждаемые в ходе исполнения Требований о защите информации при проведении аттестационных испытаний информационной системы, при проведении проверки не представлены, следовательно, объективная сторона рассматриваемого административного правонарушения в виде нарушения Требований о защите информации определена.

Таким образом, подтвержден факт, что информация в АСЭД обрабатывалась без организации системы защиты информации, что создавало и создает в дальнейшем реальную угрозу для неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Ссылка председателя комитета на приказ комитета информационных технологий ФИО3<адрес> от ДД.ММ.ГГГГ-о/д (с изменениями от ДД.ММ.ГГГГ-о/д) о выводе АСЭД из промышленной эксплуатации в тестовую не состоятельна.

ФИО11 59792-2021 «Национальный стандарт Российской Федерации. Информационные технологии», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от ДД.ММ.ГГГГ-ст, не предусматривает такое понятие «тестовая эксплуатация» как отдельного этапа.

Мероприятия по выводу информационной системы из эксплуатации определены требованиями Постановления от ДД.ММ.ГГГГ, в соответствии с которыми основанием для вывода системы из эксплуатации является издание правового акта, связанного с выводом системы из эксплуатации, в который должны быть включены: основание для вывода системы из эксплуатации, перечень и сроки реализации мероприятий по выводу системы из эксплуатации, порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе, порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации (пункт 22 Постановления).

В приказе комитета информационных технологий ФИО3<адрес> от ДД.ММ.ГГГГ-о/д (с изменениями от ДД.ММ.ГГГГ-о/д) о выводе АСЭД из промышленной эксплуатации в тестовую эксплуатацию указанные выше мероприятия не определены, то есть, не выполнены.

Согласно пункту 25 настоящего Постановления срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.

Таким образом, на настоящий момент АСЭД из эксплуатации не выведена. Это подтверждает скриншот с официальной страницы комитета от ДД.ММ.ГГГГ. Объективных причин и доказательств по невыполнению Требований о защите информации не представлено. Факты подтверждают бездействие комитета информационных технологий ФИО3<адрес> по выполнению требований о защите информации (за исключением информации, составляющей государственную тайну), установленных ч. 5 ст. 16 Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ. Комитет обязан обеспечить защиту передаваемой информации и выполнить требования закона.

В ходе рассмотрения данного дела об административном правонарушении в соответствии с требованиями статьи 24.1 Кодекса Российской Федерации об административных правонарушениях были всесторонне, полно, объективно и своевременно выяснены обстоятельства совершенного административного правонарушения. Так, в силу требований статьи 26.1 Кодекса Российской Федерации об административных правонарушениях установлены наличие события административного правонарушения, иные обстоятельства, имеющие значение для правильного разрешения дела, а также причины и условия совершения административного правонарушения.

Действия общества квалифицированы в соответствии с установленными обстоятельствами и нормами Кодекса Российской Федерации об административных правонарушениях, действующими на момент возникновения обстоятельств, послуживших основанием для привлечения общества к административной ответственности.

Доводы жалобы по существу сводятся к переоценке установленных в ходе судебного разбирательства обстоятельств и доказательств, которые были предметом исследования и оценки должностного лица, они не опровергают наличие в действиях Комитета информационных технологий ФИО3<адрес> объективной стороны состава административного правонарушения, предусмотренного частью 6 статьи 13.12 Кодекса Российской Федерации об административных правонарушениях, и не ставят под сомнение законность и обоснованность состоявшегося по делу постановления.

Несогласие заявителя с оценкой имеющихся в деле доказательств и с толкованием законодательства не свидетельствует о том, что должностным лицом допущены нарушения норм материального права и (или) предусмотренные Кодексом Российской Федерации об административных правонарушениях процессуальные требования, не позволившие всесторонне, полно и объективно рассмотреть дело.

Административное наказание назначено обществу в минимальном размере, предусмотренном санкцией части 6 статьи 13.12 Кодекса Российской Федерации об административных правонарушениях.

Каких-либо неустранимых сомнений, которые должны быть истолкованы в пользу заявителя по рассматриваемому делу, не установлено.

Доводы жалобы аналогичны по существу доводам, которые являлись предметом рассмотрения должностным лицом и были отклонены по мотивам, приведенным в соответствующем постановлении, оснований не согласиться с которыми не имеется.

Порядок и срок давности привлечения Комитета информационных технологий ФИО3<адрес> к административной ответственности не нарушены.

При таких обстоятельствах, оснований для отмены или изменения постановления заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5 от ДД.ММ.ГГГГ по делу об административном правонарушении, предусмотренном ч.6 ст.13.12 КоАП РФ, в отношении комитета информационных технологий ФИО3<адрес>, не имеется.

На основании изложенного, руководствуясь ст. ст. 30.7-30.9 Кодекса РФ об административных правонарушениях, судья

решил:

постановление заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО5 от ДД.ММ.ГГГГ по делу об административном правонарушении, предусмотренном ч.6 ст.13.12 КоАП РФ, в отношении комитета информационных технологий ФИО3<адрес> - оставить без изменения, а жалобу председателя комитета информационных технологий ФИО3<адрес>ФИО2 – без удовлетворения.

Постановление по делу об административном правонарушении и решение по жалобе на постановление по делу об административном правонарушении в последующем могут быть обжалованы в порядке и сроки, установленные статьями 30.12.-30.14 Кодекса Российской Федерации об административных правонарушениях.

Судья.<данные изъяты>