Административное дело № 2а-427/2023
УИД: 61RS0059-01-2023-000407-61
Р Е Ш Е Н И Е
Именем Российской Федерации
29 июня 2023 года город Цимлянск
Цимлянский районный суд Ростовской области в составе:
председательствующего Степановой И.В.,
при секретаре судебного заседания Менгель М.А.,
с участием:
представителя истца Лазарчук М.М.,
рассмотрев в открытом судебном заседании административное дело по административному исковому заявлению прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к административному ответчику Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах,
установил:
прокурор Цимлянского района Ростовской области в интересах неопределенного круга лиц обратился в суд с административным иском к административному ответчику Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах.
В обоснование административного иска, указав следующее: прокуратурой Цимлянского района проведена проверка исполнения законодательства в сфере информационных технологий и защиты информации.
В силу ст.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон № 149-ФЗ), настоящий Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации.
Статьей 2 Закона № 149-ФЗ установлено, что в настоящем Федеральном законе используются следующие основные понятия:
информация - сведения (сообщения, данные) независимо от формы их представления;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и ее использования;
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
В силу ст.2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ), целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статьей 3 Закона № 152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии со статьей 19 Закона № 152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации, в соответствии с частью 3 настоящей статьи, требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 № 21 (далее - Приказ №21).
Пунктом 1 Приказа № 21 предусмотрено, что меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В силу п.2 Приказа № 21, безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
В соответствии с п.6 Приказа №21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Пунктом 9 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее - Приказ № 17) установлено, что для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
В силу п.14.3 Приказа № 17, угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России, в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085 (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России, в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085.
В ходе проверки установлено, что сотрудники администрации используют информационные системы «1C», «АЦК Финанс» и «АЦК Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением.
При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем.
Более того, администрацией не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах.
Прокуратурой Цимлянского района 20.03.2023 главе администрации Новоцимлянского сельского поселения вносилось представление об устранении нарушений законодательства в сфере информационных технологий и защиты информации. Однако, по результатам его рассмотрения выявленные нарушения не устранены.
Таким образом, требования к защите персональных данных при их обработке в информационных системах «1C», «АЦК Финанс» и «АЦК Планирование» в администрации сельского поселения не достаточны и тем самым не обеспечивает в полной мере защиты неопределенного круга лиц при обработке их персональных данных.
На основании ч.1 ст.39 КАС РФ, прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.
Учитывая изложенное, настоящее административное исковое заявление направлено на защиту прав, свобод и законных интересов неопределенного круга лиц.
На основании изложенного, руководствуясь ст.ст.1, 2, 22, 39, 85, 124-126, 227- 228 КАС РФ, ст.ст.22, 35 Федерального закона от 17.01.1992 №2202-1 «О прокуратуре Российской Федерации», административный истец просит суд:
- признать незаконным бездействие администрации Новоцимлянского сельского поселения, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах;
- обязать администрацию Новоцимлянского сельского поселения в течение 06 месяцев с момента вступления решения суда в законную силу принять меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АПК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
В судебном заседании представитель административного истца Лазарчук М.М. административные исковые требования полностью поддержала, настаивала на их удовлетворении.
Административный ответчик Администрация Новоцимлянского сельского поселения, будучи надлежащим образом извещенная о дате, времени и месте рассмотрения дела, в судебное заседание представителя не направила, не сообщила об уважительности причины неявки, в суд поступило заявление Главы Администрации Новоцимлянского сельского поселения , согласно которому он просит рассмотреть дело №2а-427/2023 без участия представителя администрация Новоцимлянского сельского поселения, решение вынести на усмотрение суда.
Выслушав представителя административного истца, исследовав письменные доказательства по делу, суд находит административные исковые требования обоснованными и подлежащими удовлетворению по следующим основаниям:
В соответствии со статьей 46 Конституции Российской Федерации, решения и действия (или бездействие) органов государственной власти, органов местного самоуправления, общественных объединений и должностных лиц могут быть обжалованы в суд.
Согласно части 1 статьи 39 Кодекса административного судопроизводства Российской Федерации, прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.
Суд соглашается с нормативным обоснованием иска, обстоятельства, изложенные административным истцом в иске, подтверждены представленными соответствующими доказательствами, никем не оспариваются.
Как следует из письменных материалов дела, сотрудники Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области используют информационные системы «1C», «АЦК Финанс» и «АЦК Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением.
При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем, а также не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах (л.д.6).
Прокуратурой Цимлянского района 20.03.2023 главе Администрации Новоцимлянского сельского поселения вносилось представление об устранении нарушений законодательства в сфере информационных технологий и защиты информации (л.д.7-11). Однако, по результатам его рассмотрения выявленные нарушения не устранены.
Согласно ответу на представление от 20.03.2023 (л.д.12-13), в штате Администрации Новоцимлянского сельского поселения отсутствует должность IT-специалиста, а имеющиеся сотрудники не обладают знаниями и умениями в решении данного вида вопросов.
В связи, с этим Администрация обратилась в стороннюю организацию для разработки и проведению оценки эффективности и реализации в рамках системы защиты персональных данных указанных информационных систем и разработку модель угроз безопасности информации, содержащуюся в системах «1C», «АЦК Финанс» и «АЦК Планирование». Однако, в связи с тем, что Новоцимлянское сельское поселение является высокодотационным поселением, все расходы планируются в начале года на определенные цели и расходуются в рамках указанных целей, поэтому не имеется возможности заключить договор в текущем году с данной организацией, в связи, с тем, что стоимость порядка 60-70 тыс. рублей. Данные расходы не предусмотрены в начале текущего года. Администрация сообщает, что в случае экономии бюджетных средств в течение года, средства будут направлены на указанные цели. В ином случае расходы будут учтены в 2024 году.
Принято распоряжение № от 18.04.2023 «О назначении ответственного лица за обеспечение технической защиты информации в администрации муниципального образования «Новоцимлянского сельского поселения».
Решен вопрос о привлечении к дисциплинарной ответственности виновного лица Распоряжением от 3.04.2023 №-лд «О наложении дисциплинарного взыскания Д.А.».
Таким образом, требования к защите персональных данных при их обработке в информационных системах «1C», «АЦК Финанс» и «АЦК Планирование» в администрации Новоцимлянского сельского поселения не достаточны и тем самым административным ответчиком не обеспечивается в полной мере защита неопределенного круга лиц при обработке их персональных данных.
Выявленные нарушения законодательства в сфере информационных технологий и защиты информации не допустимы, порождают предпосылки для нарушения законных прав и интересов неопределенного круга лиц, являются существенными и требуют незамедлительного устранения, принятия мер, направленных на их недопущение в дальнейшем.
При таких обстоятельствах суд приходит к выводу, что административные исковые требования прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к административному ответчику Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах подлежат удовлетворению в полном объеме.
Согласно положениям части 3 статьи 227 Кодекса административного судопроизводства Российской Федерации, в случае удовлетворения административного иска об оспаривании бездействия и необходимости совершения административным ответчиком каких-либо действий в целях устранения нарушений прав, свобод и законных интересов неопределенного круга лиц, в резолютивной части решения по административному делу об оспаривании бездействия должны содержаться, в том числе сроки устранения допущенных административным ответчиком нарушений.
Для устранения выявленного нарушения, с учетом установленных судом обстоятельств, суд считает возможным и целесообразным установить административному ответчику срок шесть месяцев с момента вступления решения суда в законную силу принять меры к проведению оценке эффективности реализованных в рамках системы защиты персональных данных информационных систем «1С», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
На основании изложенного, руководствуясь статьями 175-180, 227 Кодекса административного судопроизводства Российской Федерации, суд
решил:
административные исковые требования прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к административному ответчику Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах - удовлетворить.
Признать незаконным бездействие Администрации Новоцимлянского сельского поселения Цимлянского района Ростовской области, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1С», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
Обязать Администрацию Новоцимлянского сельского поселения Цимлянского района Ростовской области принять меры к проведению оценке эффективности реализованных в рамках системы защиты персональных данных информационных систем «1С», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах, в течение шести месяцев с момента вступления решения суда в законную силу.
Решение может быть обжаловано в апелляционном порядке в Ростовский областной суд через Цимлянский районный суд Ростовской области в течение месяца со дня изготовления решения в окончательной форме.
Судья подпись И.В. Степанова
Решение в окончательной форме изготовлено 4 июля 2023 года.