дело № 2а-441/2023
УИД 61RS0059-01-2023-000406-64
РЕШЕНИЕ
Именем Российской Федерации
3 июля 2023 г. г. Цимлянск
Цимлянский районный суд Ростовской области в составе:
председательствующего Стурова С.В.,
при секретаре судебного заседания Аббасовой Р.Р.,
с участием:
старшего помощника прокурора Цимлянского района Ростовской области Глухнов В.В.,
рассмотрев в открытом судебном заседании административное дело по административному исковому заявлению прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к Администрации Маркинского сельского поселения Цимлянского Ростовской области, о признании бездействия незаконным, обязании принять меры по к обеспечению защиты информации,
установил:
Прокурор Цимлянского района Ростовской области обратился в суд с вышеназванным заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц, в обоснование которого указал, что прокуратурой района проведена проверка исполнения законодательства в сфере информационных технологий и защиты информации.
В силу ст. 1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон № 149-ФЗ) настоящий Федеральный закон регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; 3) обеспечении защиты информации.
Статьей 2 Закона № 149-ФЗ установлено, что в настоящем Федеральном законе используются следующие основные понятия: информация - сведения (сообщения, данные) независимо от формы их представления; информационные технологии - процессы, методы поиска, сбора, хранения, обработки, пре оставления, распространения информации и способы осуществления таких процессов и методов; информационная система - совокупность содержащейся в базах данных информации обеспечивающих ее обработку информационных технологий и технических средств; обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; доступ к информации - возможность получения информации и ее использования; конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
В силу ст. 2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статьей 3 Закона № 152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии со статьей 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 № 21 (далее - Приказ № 21).
Пунктом 1 Приказа № 21 предусмотрено, что меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В силу п. 2 Приказа № 21 безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации,
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лице или индивидуальный предприниматель, имеющие лицензию на деятельность ш технической защите конфиденциальной информации.
В соответствии с п. 6 Приказа № 21 оценка эффективности реализованных ] рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением н договорной основе юридических лиц и индивидуальных предпринимателе! имеющих лицензию на осуществление деятельности по технической защит конфиденциальной информации. Указанная оценка проводится не реже одного раза 3 года.
Пунктом 9 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждена Требований о защите информации, не составляющей государственную тайн содержащейся в государственных информационных системах» (далее - Приказ № 1 установлено, что для обеспечения защиты информации, содержащейся информационной системе, оператором назначается структурное подразделение и. должностное лицо (работник), ответственные за защиту информации.
В силу п. 14.3 Приказа № 17 Угрозы безопасности информации определяют по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной систем возможных способов реализации угроз безопасности информации и последствий нарушения свойств безопасности информации (конфиденциальности, целостное доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085 (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085.
В ходе проверки установлено, что сотрудники администрации используют информационные системы «1C», «АЦК Финанс» и «АЦК Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением.
При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем.
Более того, администрацией не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах.
Прокуратурой Цимлянского района 20.03.2023 главе Администрации Маркинского сельского поселения вносилось представление об устранении нарушений законодательства в сфере информационных технологий и защиты информации, однако по результатам его рассмотрения выявленные нарушения не устранены.
Таким образом, требования к защите персональных данных при их обработке в информационных системах «1C», «АЦК Финанс» и «АЦК Планирование» в администрации сельского поселения не достаточны и тем самым не обеспечивает в полной мере защиты неопределенного круга лиц при обработке их персональных данных.
На основании изложенного, прокурор Цимлянского района Ростовской области просит суд: признать незаконным бездействие Администрации Маркинского сельского поселения Цимлянского района Ростовской области, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
Обязать администрацию Маркинского сельского поселения Цимлянского района Ростовской области в течение 6 месяцев с момента вступления решения суда в законную силу принять меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
В судебном заседании старший помощник прокурора настаивал на административных исковых требованиях, просил их удовлетворить в полном объеме, сославшись на доводы, аналогичные доводам, изложенным в заявлении.
Представитель административного ответчика в судебное заседание не явился, о времени и месте его проведения извещены должным образом, в суд поступило заявление Главы Администрации Маркинского сельского поселения Кулягиной О.С. от 03.07.2023 о рассмотрении дела в отсутствие представителя административного ответчика, административное исковые требования признают полностью, положения статей 46, 157 Кодекса административного судопроизводства Российской Федерации (далее – КАС РФ) и последствия признания административного иска известны и понятны.
Выслушав административного истца, исследовав письменные доказательства по делу, суд находит административные исковые требования обоснованными и подлежащими удовлетворению по следующим основаниям.
Согласно части 1 статьи 39 КАС РФ, прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.
Положения части 4 статьи 218 КАС РФ предоставляют прокурору в пределах своей компетенции могут обратиться в суд с административными исковыми заявлениями о признании незаконными решений, действий (бездействия) органов, организаций, лиц, наделенных государственными или иными публичными полномочиями, в защиту прав, свобод и законных интересов иных лиц, если полагают, что оспариваемые решения, действия (бездействие) не соответствуют нормативному правовому акту, нарушают права, свободы и законные интересы граждан, организаций, иных лиц, создают препятствия к осуществлению их прав, свобод и реализации законных интересов или на них незаконно возложены какие-либо обязанности.
Решение об удовлетворении заявленных требований о признании оспариваемых решения, действия (бездействия) незаконными и об обязанности административного ответчика устранить нарушения прав, свобод и законных интересов административного истца может быть принято только в том случае, если таковые имели место со стороны административного ответчика и суд признает их не соответствующими нормативным правовым актам и нарушающими права, свободы и законные интересы административного истца (пункт 1 части 2 статьи 227 КАС РФ).
Суд соглашается с нормативным обоснованием иска, обстоятельства, изложенные административным истцом в иске, подтверждены представленными соответствующими доказательствами, никем не оспариваются. Ответчик административный иск признал.
Согласно части 3 статьи 46 КАС РФ, административный ответчик вправе при рассмотрении административного дела в суде любой инстанции признать административный иск полностью или частично.
На основании части 3 статьи 173 КАС РФ, при признании ответчиком иска и принятии его судом принимается решение об удовлетворении заявленных истцом требований.
Учитывая, что признание административного иска ответчиком было сделано добровольно, ему понятны последствия признания иска, суд считает возможным принять признание административного иска ответчиком, считая, что оно не противоречит закону и не нарушает права и охраняемые законом интересы других лиц, кроме того суд учитывает, что заявленные требования являются обоснованными, так как основаны на требованиях закона и подтверждаются совокупностью представленных истцом доказательств.
На основании изложенного, суд считает правомерным постановить решение, которым удовлетворить исковые требования прокурора Цимлянского района Ростовской области в полном объеме.
Согласно положениям части 3 статьи 227 КАС РФ, в случае удовлетворения административного иска об оспаривании бездействия и необходимости совершения административным ответчиком каких-либо действий в целях устранения нарушений прав, свобод и законных интересов неопределенного круга лиц, в резолютивной части решения по административному делу об оспаривании бездействия должны содержаться, в том числе сроки устранения допущенных административным ответчиком нарушений.
Для устранения выявленного нарушения, с учетом установленных судом обстоятельств, суд считает возможным и целесообразным установить административному ответчику срок три месяца со дня вступления решения суда в законную силу принять меры по размещению информации.
На основании изложенного, руководствуясь статьями 175-180, 227 Кодекса административного судопроизводства Российской Федерации, суд
решил:
Административные исковые требования прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к Администрации Маркинского сельского поселения Цимлянского Ростовской области, о признании бездействия незаконным, обязании принять меры по к обеспечению защиты информации, - удовлетворить.
Признать незаконным бездействие Администрации Маркинского сельского поселения Цимлянского района Ростовской области, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
Обязать Администрацию Маркинского сельского поселения Цимлянского района Ростовской области в течение 6 месяцев с момента вступления решения суда в законную силу принять меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «1C», «АЦК Финанс» и «АЦК Планирование» и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.
Решение может быть обжаловано в апелляционном порядке в Ростовский областной суд через Цимлянский районный суд Ростовской области в течение месяца со дня изготовления решения в окончательной форме.
Решение в окончательной форме изготовлено 10 июля 2023 г.
Судья С.В. Стуров