Гражданский кодекс часть 1

рассмотрев в открытом судебном заседании гражданское дело по заявлению ГУ МВД России по ДФО о признании незаконными предписания УФСБ России по <адрес> от ДД.ММ.ГГГГ №Н/5/744 и результатов проведенной проверки

У С Т А Н О В И Л:

Представитель ГУ МВД России по ДФО ФИО3 обратился в суд с заявлением о признании незаконными предписания УФСБ России по <адрес> от ДД.ММ.ГГГГ №№ и результатов проведенной проверки.

В обоснование заявленных требований указал, что контрольным органом проведена проверка с грубым нарушением законодательства – без основания проведения плановой проверки. Планы проведения проверок УФСБ России по <адрес> на 2014 год в конце 2013 года в свободном доступе на сайтах ФСБ или Генеральной прокуратуры России размещены не были, иным способом до ГУ МВД России по ДФО планы проведения проверок не доводились. Положение ПКЗ-2005, утвержденное приказом ФСБ России от ДД.ММ.ГГГГ №66, не устанавливает обязанность использования средств криптографической защиты информации и не устанавливает требований к защите информации. На сегодняшний день ФСБ России состав и содержание организационных и технических мер не определило, поэтому ФСБ России осуществлять контроль и надзор фактически не за чем. Положение ПКЗ – 2005 регулирует отношения, связанные только с разработкой, производством, реализацией и эксплуатацией средств криптографической защиты информации (п.п.1,3). Содержание организационных и технических мер, направленных для выполнения установленных требований к защите персональных данных, а также положений, определяющих порядок выбора оператора средств защиты информации, для системы защиты персональных данных в государственной информационной системе указанный документ не содержит. ГУ МВД России по ДФО не разрабатывало, не производило, не реализовывало и не эксплуатировало СКЗИ. Установленными требованиями к защите информации обязанность использования средств СКЗИ при обработке конфиденциальной информации не предполагается. Контрольный орган в ходе проверки должен установить уровень защищенности персональных данных при их обработке в ИС «ИБД-Регион», требования к защите персональных данных, состав и содержание организационных и технических мер, предъявляемых к СЗИ, необходимых для использования в ИС «ИЮД-Регион». Нормативные акты ФСБ России, раскрывающие практические механизмы реализации Постановления Правительства РФ от ДД.ММ.ГГГГ №1119, не издавались. Приказ ФСТЭК России от ДД.ММ.ГГГГ № не устанавливает состав и содержание технических мер с использованием средств криптографической защиты информации, поскольку регулирование указанных отношений отнесено к полномочиям ФСБ России. Соответствующий акт ФСБ России не издавался. Использование средств криптографической защиты информации при обработке персональных данных в состав и содержание технических мер на сегодняшний день не входят. ФСБ России не определило состав и содержание технических мер с использованием СКЗИ, порядок выбора указанных средств для обеспечения каждого уровня защищенности. Предписание ГУ выполнить не имеет возможности, поскольку выбор СЗИ, а также режим защиты информации определяется ее обладателем – Информационным центром УМВД России по <адрес>, который не установил режим защиты с использованием СКЗИ. ИБД-Регион является государственной информационной системой, и требования к защите информации, содержащейся в государственной информационной системе, определены Федеральным Законом №149-ФЗ от ДД.ММ.ГГГГ «Об информации, информационных технологиях и о защите информации». Контрольным органом не установлено, какие именно средства электронной цифровой подписи используются в ГУ МВД России по ДФО и какие средства не были учтены в журнале. Вывод контрольного органа противоречит материалам проверки, в которых содержится копия журнала с записями об используемых в ГУ МВД России по ДФО СКЗИ, в том числе средствах электронно-цифровой подписи – КриптоПро CSP. ЭЦП не является СКЗИ, это результат использования СКЗИ. ЭЦП, используемые в ГУ МВД России по ДФО, изготавливается банковским учреждениями, которые регистрируются в Удостоверяющем центре банка и выдаются пользователям под расписку органом криптозащиты информации банка. ЭЦП выдается конкретным физическим лицам, которые являются ее пользователями. Указанное обстоятельство делает невозможным исполнение предписаний административного органа в части того, что ГУ МВД должно организовать учет выдачи ЭЦП ответственным лицам, поскольку такую выдачу уже осуществили банковские учреждения, организовывающие поэкземплярный учет носителей ключевых документов и осуществляют их выдачу под расписку пользователю СКЗИ – физическому лицу.

В письменном возражении представитель УФСБ России по <адрес>ФИО4 указала на то, что в соответствии с планом проведения ежегодных проверок юридических лиц и индивидуальных предпринимателей на 2014 год на основании распоряжения начальника УФСБ России по <адрес> проведена плановая проверка в ГУ МВД России по ДФО, в ходе которой выявлены нарушения обязательных требований порядка работы со СКЗИ, установленных приказом ФСБ России от ДД.ММ.ГГГГ №66, приказом ФАПСИ от ДД.ММ.ГГГГ №152. Контролирующим органом соблюден порядок проведения плановой проверки. На момент проверки в информационных системах, имеющих подключение к сетям связи общего пользования, не принято достаточно мер для защиты персональных данных, а именно: не применяются СКЗИ, что создает угрозы безопасности в виде несанкционированного доступа к ним, их перехвата, с целью кодирования, модификации или удаления. Информационные системы «ИБД-Регион» и «ИБД-Ф» являются частью единой системы информационно-аналитического обеспечения деятельности МВД России. В целях выполнения требований Федерального законодательства в области защиты информации конфиденциального характера и персональных данных Заместителем МВД РФ ДД.ММ.ГГГГ по согласованию с ФСБ России и ФСТЭК России утвержден системный проект подсистемы информационной безопасности единой системы информационно-аналитического обеспечения деятельности МВД России. Системный проект направлен МВД России, в том числе начальникам ГУ для использования в работе при разработке подсистем защиты информации. Системный проект выполнен с учетом федеральных нормативных актов в области обеспечения информационной безопасности, в том числе персональных данных, а также с учетом требований и методик, изданных ФСБ России. Проверкой установлено, что при эксплуатации СКЗИ Крипто-КОМ и «Бикрипт 4.0» в информационной системе ФЭО ГУ МВД России по ДФО нарушены требования по эксплуатации СКЗИ, определенные Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющей гостайну, утвержденной приказом ФАПСИ от ДД.ММ.ГГГГ №152. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и техническкой документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за сохранность. На момент проверки учет средств ЭЦП, которые относятся в СКЗИ, отсутствовали.

В письменном дополнении ФИО3 указал на несогласие с привлечением юридического лица к административной ответственности по ст.13.22 ч.6 КоАП РФ.

В судебном заседании представитель заявителя ФИО3 поддержал требования по вышеизложенным основаниям, пояснил, что с учетом представленных ФСБ документов, план ежегодной проверки не имеет правового значения для правильного разрешения настоящего дела. План не был размещен на сайте ФСБ России, а также сведения, которые указаны в этом плане, не были размещены в сводном ежегодном плане на сайте генеральной прокуратуры. План, который размещен на сайте ФСБ России, не соответствует постановлению Правительства о форме ежегодного плана, в нем отсутствует начало проверки, даты проведения проверочных мероприятий контрольным органом, цели проверок и объекты, которые подлежат проверке. Исходя из этого, имело место грубое нарушение федерального законодательства. Контрольный орган провел проверку за соблюдением законодательства в области шифровальных средств. Ежегодный план проверки, который размещен на сайте ФСБ России и генеральной прокуратуры, такого мероприятия не предусматривал. Это грубое нарушение. Если в ежегодном плане не указана цель проверки, то контрольный орган не вправе требовать какие-то документы, проводить проверку этого предмета и выписывать предписания. Доказательства того, что план был согласован, отсутствуют. Представленный проект системы ИСО также не имеет никакого правового значения. На представленном плане имеется штамп входящей корреспонденции УМВД по <адрес>. Доказательств, что этот проект направлялся в адрес Главного управления МВД России по ДФО не представлено. УМВД России по <адрес> является обладателем информационной системы, оно устанавливает режим защиты этой информации и подключает пользователей. Сам этот проект можно рассматривать как локальный акт МВД. В полномочия ФСБ по <адрес> входит контроль и надзор за соблюдением федерального законодательства и НПА, которые регулируют отношения связанные с защитой информации. В данном случае, закон «О защите персональных данных», постановление Правительства РФ, нормативные акты регуляторов федеральных органов. Федеральным законом и постановлением Правительства предписано, что выбор средств защиты информации определяется ФСТЭК и ФСБ. Все доводы, которые высказывались в ходе проведения проверки ФСБ России, заключаются в угрозах. Угроз можно сформулировать очень много, но это не значит, что они обязательны для исполнения. Федеральным законодательством это не предписано. Как оператор, должен принимать только те меры, которые входят в состав и содержание НПА. Не состоятельны ссылки представителя ФСБ на методические рекомендации Информационного центра ФСБ России, поскольку они не являются НПА. Порядок издания НПА установлен указом Президента в соответствии, с которым все НПА федеральных органов исполнительной власти подлежат обязательной регистрации в Министерстве юстиции РФ и опубликованию в Российской газете или других источниках. В данном случае эти методические рекомендации регистрации в Минюсте не проходили и официально не публиковались. Предписанием, которое обжалуется, возложена обязанность установить средства криптозащиты в информационной системе и в БД-регион. Сама информационная система БД-регион находится у другого юридического лица, они не являются обладателями этой системы, всего лишь пользователи.

В судебном заседании представитель заинтересованного лица ФИО4 не согласна с заявлением по основаниям, изложенным в возражении. Полагает заявление необоснованным и не подлежащим удовлетворению. Заявителем не правильно трактуются и толкуются нормы, как процессуального права, так и материального права в данной части. В частности, управлением в установленном законом порядке, разработан план ежегодных проверок, который в установленном порядке и установленные сроки согласован с военным прокурором Хабаровского гарнизона, направлен для размещения на сайт генеральной прокуратуры в октябре 2013-го года. Военная прокуратура данный план разместила на сайте генеральной прокуратуры. Одновременно для размещения на сайте ФСБ России план ежегодных проверок направлен в октябре месяце в восьмой центр, который также разместил этот план на сайте ФСБ. О проводимой проверке надлежащим образом главное управление уведомлялось сначала в декабре, затем за 3 рабочих дня до проведения проверки. Было направлено уведомление и распоряжение о проведении проверки. Распоряжение и уведомление полностью соответствуют требованию федерального закона, поскольку содержат цель и объекты проведения проверок, а также соответствуют требованиям, предъявляемым к распоряжению о проведении проверки, установленным постановлением Правительства и Федерального закона 294-ФЗ. Сам план проведения проверок также соответствует форме, установленной постановлением Правительства, разработан в установленные сроки и согласован в установленном порядке. В этой связи доводы представителя Главного управления не состоятельны. В плане четко указано, что целью проведения проверки является соблюдение оператором требований защиты информации с использованием средств криптографической защиты. В ходе проведения проверки, проверяемыми были представлены все необходимые документы, которые были затребованы проверяющими, и из которых был сделан вывод, что мероприятия, установленные для операторов персональных данных, а ГУ МВД является им, не выполняются требования, установленные ст. 19 Закона «О защите персональных данных» и ПКЗ-2005. Было установлено, что оператором базы данных надлежащим образом не применяются меры защиты, содержащейся в банках данных информации. Помимо федерального закона существует постановление Правительства РФ №1119, которое устанавливает, что требования к обеспечению защиты информации операторами базы данных разрабатываются ими самостоятельно на основании модели угроз. В ходе проведения проверки проверяемым была предъявлена модель угроз, разработанная министерством, а также системный проект. Было установлено, что для обеспечения защиты информации ИБД-Регион, являющейся частью подсистемы ИСОТ УВД, необходимо использование средств криптозащиты информации. Установлены требования и виды таких средств криптографической защиты информации при условии, что данная информация выходит за пределы каналов контролируемой территории и передается по открытым каналам связи. Таким образом, проверяющим лицом был сделан правомерный вывод, поскольку требования не исполняются, никаких организационных и технических мер не принято и заявка на приобретение средств криптозащиты не направлена. Данные доводы также подтверждаются объяснениями, которые представлены в материалах дела, сотрудником по защите информации ФИО1. Других мер на протяжении всего периода использования банка ИСОТ УВД оператором, в частности ГУ МВД, не предпринималось. ГУ МВД является самостоятельным юридическим лицом, поэтому должно поучаствовать в закупках и приобрести необходимое средство криптографической защиты информации. ИТС - это центр, направленный на аккумулирование всей информации, которая стекается со всех правоохранительных органов, это статистика, которая содержится в базе данных. Далее эта информация в соответствии с приказом распространяется по уполномоченным федеральным органам для использования в оперативно-служебной деятельности. Все подразделения МВД, а также другие уполномоченные федеральные органы накапливают, систематизируют и используют информацию, содержащуюся в системе ИСОТ. Они являются операторами и обязаны принимать меры к защите информации. Неоднократно ГУ МВД предупреждалось ИТС центром, что, если не будет предпринято мер к защите информации, произойдет отключение от системы ИБД-Регион и они будут вынуждены вернуться к бумажным запросам. Проверка проводилась в соответствии с полномочиями, возложенными на ФСБ, о проверке операторов персональных данных, осуществляющих обработку этих данных в части, касающейся защиты криптографических средств информации. Проверка проводилась на основании разработанного и утвержденного плана на этот год.

Свидетель ФИО5 пояснил, что является старшим офицером службы специальной связи и информатизации ФСБ России по <адрес>. Полагает вынесенное представление и результаты проверки законными. В ходе проверки было установлено, что помимо того, что оператор в ГУ МВД обрабатывает данные своих сотрудников в информационных системах, также осуществляет обработку персональных данных в сегменте государственной информационной системы МВД России и ИБД-Регион. Доступ оператора к информации осуществляется через каналы связи, выходящие за пределы контролируемой зоны. Средств защиты при передаче, приеме и обработке персональных данных оператором не применяется. Оператором не принято достаточных мер, которые были бы направлены на устранение данной угрозы. Нарушен также принцип применения электронно-цифровой подписи, т.е. электронно-цифровая подпись должна применяться тем лицом, на которого она выдана, либо лицом, уполномоченным применению данной электронной подписи. Доступ к конфиденциальной информации осуществляется без применения средств криптографической защиты, что является нарушением п. 3 положения ПКЗ-2005. Пункт 3 положения ПКЗ-2005 гласит о том, что им необходимо руководствоваться, в случае, если информация законодателя отнесена к конфиденциальной. Сотрудник ГУ - уполномоченное должностное лицо для обеспечения защиты информации пояснял, что отсутствуют средства криптозащиты в связи с финансовыми проблемами. Системный проект имелся в ГУ и при проверке предъявлялся его сотрудниками.

Выслушав стороны, свидетеля, изучив и оценив представленные доказательства в их совокупности, суд приходит к следующему.

Конституция Российской Федерации (ч. 1 ст. 45) гарантирует государственную защиту прав и свобод человека и гражданина.

Федеральная служба безопасности - единая централизованная система органов федеральной службы безопасности, осуществляющая решение в пределах своих полномочий задач по обеспечению безопасности Российской Федерации (ст.1 Федерального Закона от ДД.ММ.ГГГГ N 40-ФЗ "О федеральной службе безопасности").

Одним из основных направлений деятельности органов федеральной службы безопасности в силу ст.8 Федерального Закона от ДД.ММ.ГГГГ N 40-ФЗ "О федеральной службе безопасности", является обеспечение информационной безопасности.

Согласно ст.11.2 Федерального Закона от ДД.ММ.ГГГГ N 40-ФЗ "О федеральной службе безопасности", обеспечение информационной безопасности - деятельность органов федеральной службы безопасности, осуществляемая ими в пределах своих полномочий: при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств; при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, сетей связи специального назначения и иных сетей связи, обеспечивающих передачу шифрованной информации, в Российской Федерации и ее учреждениях, находящихся за пределами Российской Федерации.

ТребованияТребования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям (ч.5 ст.16 Федеральный закон от ДД.ММ.ГГГГN149-ФЗ "Об информации, информационных технологиях и о защите информации").

Органы федеральной службы безопасности в соответствии с п.ш ст.13 Федерального Закона от ДД.ММ.ГГГГ N40-ФЗ, имеют право, в том числе осуществлять в соответствии со своей компетенцией регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, расположенных на территории Российской Федерации.

На основании распоряжения № от ДД.ММ.ГГГГ начальника Управления Федеральной службы безопасности Российской Федерации по <адрес> проведена плановая выездная проверка юридического лица Главного управления МВД РФ по ДФО по адресу: <адрес> с целью выяснения соблюдения требований законодательства РФ в области обеспечения безопасности персональных данных при обработке в информационных системах персональных данных.

По результатам проведенной сотрудниками УФСБ проверки составлен Акт № от 07.03.2014, согласно которому выявлены следующие нарушение: доступ к конфиденциальной информации (персональным данным) в ИСПДн «ИБД-Регион» осуществляется без применения средств криптографической защиты информации, что является нарушением п.3 положения ПКЗ-2005; в нарушение п.п.26,27 Инструкции № в журнале учета средств криптографической защиты информации отсутствуют записи о применяемых в Управлении средств криптографической защиты

ДД.ММ.ГГГГ в адрес врио начальника Главного управления МВД РФ по ДФО внесено Предписание, в котором предписано: принять меры по приобретению и вводу в эксплуатацию сертифицированных ФСБ средств криптографической защиты информации (персональных данных) в «ИБД-Регион» при передаче по каналам связи общего пользования и организовать учет СКЗИ, ключевых документов (носителей).

В соответствии со ст.19 Федерального закона от ДД.ММ.ГГГГ N152-ФЗ"О персональных данных", оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Согласно статье 16 Федерального закона от ДД.ММ.ГГГГ N149-ФЗ"Об информации, информационных технологиях и о защите информации" ч.1 - защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3)реализацию права на доступ к информации; ч.4 - обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.

В соответствии с п.2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от ДД.ММ.ГГГГ N 1119, безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных". Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Согласно приказу ФСБ РФ от ДД.ММ.ГГГГ N66"Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)": п.3 - необходимо руководствоваться данным положением при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации; при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации; при организации криптографической защиты информации конфиденциального характера в организациях при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд; если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации; при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты; при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации; п.12 - для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации. Реализация в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи требований по безопасности информации возлагается на разработчика СКЗИ.

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных утверждены ФСБ РФ ДД.ММ.ГГГГ N149/6/6-622 и в силу п.1.3 являются обязательными для оператора, осуществляющего обработку персональных данных. Операторы должны обеспечивать комплексность защиты персональных данных, в том числе посредством применения некриптографических средств защиты (п.2.2 Типовых требований).

Согласно п.2.1 Типовых требований - безопасность обработки персональных данных с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в информационной системе персональных данных с использованием криптосредств.

На основании Приложения 1 к Типовым требованиям, конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В судебном заседании установлено, что ГУ МВД по ДФО, является оператором, использующим «ИБД-Регион», составляющую федеральной государственной информационной системы «ИБД-Ф» - 1 класс ИСПДн, в которой обрабатываются персональные данные граждан, посредством канала связи – ведомственной сети МВД, выходящей за пределы контролируемой зоны зданий Управления.

Следовательно, в силу вышеназванных требований законодательства, обязано принять меры по приобретению и вводу в эксплуатацию сертифицированных ФСБ средств криптографической защиты информации (персональных данных) в «ИБД-Регион» при передаче по каналам связи общего пользования.

Выполнение требований п.1 предписания предусмотрено также Системным проектом подсистемы информационной безопасности единой системы информационно-аналитического обеспечения деятельности МВД России (ИСОД ОВД), утвержденным ДД.ММ.ГГГГ заместителем министра внутренних дел по согласованию с ФСБ России и ФСТЭК России. Область действия Проекта – объекты четырех уровней управления ОВД, 1 уровень – МВД России, 2 – ГУ МВД России по федеральным округам, 3 – МВД, ГУВД.УВД, УВДТ, ОВД на закрытых территориях и режимных объектах, 4 – горрайлинорганы ВД.

Согласно п.1.2 Системного проекта – назначением ПИБ ИСОД ОВД является обеспечение требуемого уровня защиты в контуре обработки конфиденциальной информации ИСОД ОВД; целью системного проектирования ПИБ – определение базовых технических решений по обеспечению безопасности обрабатываемой информации ограниченного доступа, содержащей сведения конфиденциального характера, включая персональные данные. Информационная безопасность ИСОД ОВД должна обеспечиваться выполнением комплекса организационных мероприятий и применением программно-технических средств защиты информации, предупреждению преднамеренных программно-технических воздействий с целью нарушения конфиденциальности, целостности и доступности информации в процессе ее обработки, передачи и хранения. В основе формирования комплекса мер по обеспечению информационной безопасности и защиты данных в ИСОД ОВД лежит «Базовая модель нарушителя и модель угроз контура обработки конфиденциальной информации единой системы информационно-аналитического обеспечения ОВД», согласованная с ФСБ России, ФСТЭК России и утвержденная заместителем министра МВД России.

На основании п.3.1.7 Проекта, средства криптографической защиты информации предназначены для реализации требований криптографического преобразования данных, в том числе зашифрования/расшифрования информации, передаваемой по каналам связи.

Для защиты передаваемой информации между объектами управления разделом 3 Проекта предусмотрено применение сертифицированных средств КВ2, КС1-КСЗ.

Таким образом, изложенное в п.1 предписания требование является законным и обоснованным.

Лицо, выдавшее предписание, ФИО5 подтвердил наличие указанного Системного Проекта в ГУ МВД по ДФО, который был предъявлен ему сотрудниками ГУ при проведении проверки, и которым предусмотрена необходимость выполнения данных требований.

Тот факт, что обладателем «ИБД–регион» является ИЦ УМВД России по <адрес>, не освобождает оператора - ГУ МВД России по ДФО от обязанности, указанной в п.1 предписания.

Вопреки доводам жалобы ПКЗ-2005 указывает на использование СКЗИ для криптографической защиты информации конфиденциального характера.

Приказ ФАПСИ от ДД.ММ.ГГГГ N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

В силу п.26 Приказа ФАПСИ N152, используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленным формам в соответствии с требованиями Положения ПКЗ-99. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно. Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации.

Согласно п.27 Приказа N152, все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность. Органы криптографической защиты заводят и ведут по каждому пользователю СКЗИ лицевой счет, в котором регистрируют числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.

На основании указанных положений Приказа ФАПСИ от ДД.ММ.ГГГГ N152, поскольку к СКЗИ отнесены средства электронной подписи, в соответствии с п.26-27, они подлежат поэкземплярному учету с выдачей под расписку пользователям.

Поскольку, в журнале учета средств криптографической защиты информации ГУ отсутствовали сведения о применяемых в Управлении средствах криптографической защиты, необходима организация учета средств КЗИ и ключевых документов (носителей). В этой связи, является обоснованным п.2 предписания.

Доводы о грубом нарушении УФСБ России по <адрес> порядка проведения проверки, установленного Федеральным Законом от ДД.ММ.ГГГГ №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», несостоятельны, поскольку согласно представленным материалам, план о проведении проверки был размещен на сайте УФСБ России по <адрес> и генеральной прокуратуры РФ. Кроме того, согласно уведомлению от 03.02.2014, полученному ГУ МВД по ДФО 04.02.2014, управление было извещено в установленные законом сроки о времени и месте ее проведения, а именно: 10.02.2014, следовательно, со стороны УФСБ России по <адрес>, нарушений Федерального Закона №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не допущено.

Таким образом, проанализировав установленные судом обстоятельства и сопоставив их с нормами закона, перечисленными выше, суд полагает, что выводы сотрудника УФСБ ФИО5, изложенные предписании от 07.03.2014, о нарушении ГУ МВД РФ по ДФО требований законодательства о персональных данных, выявленных при проведении проверки, а также результаты проверки полностью соответствуют требованиям Закона, не нарушают права и законные интересы Главного управления МВД, в связи с чем, основания для удовлетворения заявления отсутствуют.

В силу ст. 258 ч. 4 ГПК РФ суд отказывает в удовлетворении заявления, если установит, что оспариваемое решение или действие принято либо совершено в соответствии с законом в пределах полномочий органа государственной власти, органа местного самоуправления, должностного лица, государственного или муниципального служащего.

На основании изложенного и руководствуясь ст. 194-197, 258 ГПК РФ, суд

Р Е Ш И Л:

В удовлетворении заявления ГУ МВД России по ДФО о признании незаконными предписания УФСБ России по <адрес> от ДД.ММ.ГГГГ №№ и результатов проведенной проверки отказать.

Решение суда может быть обжаловано в течение месяца со дня принятия решения в окончательной форме – ДД.ММ.ГГГГ в <адрес>вой суд через Центральный районный суд <адрес>.

Председательствующий Ткаченко Е.С.