Решение № 2А-375/2024 2А-375/2024~М-300/2024 М-300/2024 от 19 декабря 2024 г. по делу № 2А-375/2024Атяшевский районный суд (Республика Мордовия) - Административное Дело № 2а-375/2024 УИД 13RS0006-01-2024-000352-80 именем Российской Федерации п. Атяшево 20 декабря 2024 г. Атяшевский районный суд Республики Мордовия в составе председательствующего судьи Шепелева А.В., при секретаре судебного заседания Кудашкиной Л.М., с участием в деле: представителя административного истца – помощника прокурора Атяшевского района Республики Мордовия Дорошенко Д.О., представителя административного ответчика - Государственного бюджетного учреждения здравоохранения Республики Мордовия «Атяшевская районная больница» - ФИО1, действующей на основании доверенности от 18 декабря 2024 г., рассмотрев в открытом судебном заседании административное дело по административному исковому заявлению исполняющего обязанности прокурора Атяшевского района Республики Мордовия к Государственному бюджетному учреждению здравоохранения Республики Мордовия «Атяшевская районная больница» о признании незаконным бездействия по назначению ответственного лица за обеспечение информационной безопасности и прохождению им обучения, возложении обязанности назначить ответственным лицом за обеспечение информационной безопасности, возложении обязанности организовать обучение, Исполняющий обязанности прокурора Атяшевского района Республики Мордовия, действующий в защиту неопределенного круга лиц, обратился в суд с указанным административным иском к Государственному бюджетному учреждению здравоохранения Республики Мордовия «Атяшевская районная больница» (далее – ГБУЗ Республики Мордовия «Атяшевская РБ», учреждение). В обоснование требований указано, что проведённой прокуратурой района проверкой соблюдения законодательства в сфере информации, информационных технологий и защиты информации в деятельности ГБУЗ Республики Мордовия «Атяшевская РБ» выявлены нарушения. Так, приказом главного врача ГБУЗ Республики Мордовия «Атяшевская РБ» от 09 января 2024 г. № 39 ответственными лицами за информационную безопасность учреждения назначены программисты ФИО2 и ФИО3, не имеющие высшего образования по направлению обеспечения информационной безопасности. Также данные лица не проходили обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». Внесенное прокуратурой района представление об устранении указанных нарушений в полном объеме не удовлетворено. Просит признать незаконным бездействие ГБУЗ Республики Мордовия «Атяшевская РБ» по назначению ответственного лица за обеспечение информационной безопасности и прохождению им обучения по программе профессиональной переподготовки по направлению «Информационная безопасность»; обязать ГБУЗ Республики Мордовия «Атяшевская РБ» назначить ответственным лицом за обеспечение информационной безопасности в Учреждении заместителя руководителя в течение оного месяца со дня вступления решения суда в законную силу; обязать ГБУЗ Республики Мордовия «Атяшевская РБ» организовать обучение по программе профессиональной переподготовки по направлению «Информационная безопасность» ответственного лица в течение 3 месяцев со дня вступления решения суда в законную силу. В судебном заседании представитель административного истца – помощник прокурора Дорошенко Д.О. административное исковое заявление поддержал, по изложенным в нем основаниям. Представитель административного ответчика - ГБУЗ Республики Мордовия «Атяшевская РБ» ФИО1 в судебном заседании против удовлетворения административных исковые требований не возражала. Суд, выслушав представителей административного истца, административного ответчика, исследовав письменные материалы дела, приходит к следующему. В силу части 1 статьи 23 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Согласно части 1 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Частью 1 статьи 22.1 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Согласно части 1 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации. В соответствии с частью 5 данного Федерального закона требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений применяемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. В соответствии с пунктами 2 и 3 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 (далее также - Требование к защите персональных данных), безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Согласно статье 2 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон от 26 июля 2017 г. № 187-ФЗ) безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак В силу части 1 статье 7 названного Федерального закона категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. Согласно подп. «а» п.1 Указа Президента Российской Федерации от 01 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» руководителям федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов Российской Федерации, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании федеральных законов, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее - органы (организации) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Постановлением Правительства Российской Федерации от 15 июля 2022г. № 1272 утверждено типовое Положение о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации). В соответствии с п.п.1, 2 и 6 Типового положения настоящее типовое положение определяет полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация), ответственного за обеспечение информационной безопасности в органе (организации), в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (далее - ответственное лицо). Ответственное лицо определяется руководителем органа (организации). Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». Как следует из материалов дела и установлено судом, ГБУЗ Республики Мордовия «Атяшевская РБ» является юридическим лицом, основным видом деятельности которого является деятельность больничных организаций. Прокуратурой Атяшевского района Республики Мордовия проведена проверка в сфере информации, информационных технологий и защиты информации в деятельности ГБУЗ Республики Мордовия «Атяшевская РБ». В ходе проведённой поверки установлено, что приказом главного врача ГБУЗ Республики Мордовия «Атяшевская РБ» от 09 января 2024 г. № 39 ответственными лицами за информационную безопасность учреждения назначены программисты ФИО2 и ФИО3, не имеющие высшего образования по направлению обеспечения информационной безопасности. ФИО2 и ФИО3 не проходили обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». По результатам проведенной проверки прокурором Атяшевского района Республики Мордовия в адрес главного врача ГБУЗ Республики Мордовия «Атяшевская РБ» внесено представление об устранении нарушений закона, из которого усматривается, что прокуратура района требует рассмотреть настоящее представление и принять меры по устранению допущенных нарушений закона, причин и условий, им способствующих. Из ответа главного врача ГБУЗ Республики Мордовия «Атяшевская РБ» от 11 марта 2024 г. на представление следует, что нарушения в контроле за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных в учреждении по всем пунктам представления рассмотрены и приняты к сведению. Из письменных объяснений главного врача ГБУЗ Республики Мордовия «Атяшевская РБ» ФИО4 от 28 ноября 2024 г. следует, что ответственное лицо за информационную безопасность из числа заместителей главного врача не назначалось, на обучение по программе профессиональной переподготовки по направлению «Информационная безопасность» не направлялось и не проходило. Разрешая заявленные требования суд, исследовав и оценив доказательства, в их совокупности, руководствуясь вышеприведенными нормами закона, исходя из того, что до настоящего времени не приняты исчерпывающие меры по устранению выявленных нарушений требований законодательства в сфере защиты информации, выявленные в ГБУЗ Республики Мордовия «Атяшевская РБ», указанное бездействие административного ответчика несет угрозу неограниченному кругу лиц, а иных соответствующих требованиям относимости и допустимости доказательств обеспечения безопасности, стороной административного ответчика не представлено, приходит к выводу о наличии оснований для удовлетворения заявленных административных исковых требований. Принимая во внимание обстоятельства дела, учитывая характер заявленных требований, суд считает правильным установить административным ответчикам следующие сроки для исполнения решения суда: исполнение обязанности назначить ответственным лицом за обеспечение информационной безопасности в учреждении заместителя руководителя – в течение 1 месяца со дня вступления решения суда в законную силу; исполнение обязанности по организации обучения по программе профессиональной переподготовки по направлению «Информационная безопасность» ответственного лица – в течение 3 месяцев со дня вступления решения суда в законную силу В силу подпункта 19 пункта 1 статьи 333.36 Налогового кодекса Российской Федерации административные ответчики освобождается от уплаты государственной пошлины. Руководствуясь статьями 175-180, 218 - 228 Кодекса административного судопроизводства Российской Федерации, суд административные исковые требования исполняющего обязанности прокурора Атяшевского района Республики Мордовия к Государственному бюджетному учреждению здравоохранения Республики Мордовия «Атяшевская районная больница» о признании незаконным бездействия по назначению ответственного лица за обеспечение информационной безопасности и прохождению им обучения, возложении обязанности назначить ответственным лицом за обеспечение информационной безопасности, возложении обязанности организовать обучение, удовлетворить. Признать незаконным бездействие Государственного бюджетного учреждения здравоохранения Республики Мордовия «Атяшевская районная больница» по назначению ответственного лица за обеспечение информационной безопасности и прохождению им обучения по программе профессиональной переподготовки по направлению «Информационная безопасность». Обязать государственное бюджетное учреждение здравоохранения Республики Мордовия «Атяшевская районная больница» (ИНН <***>) назначить ответственным лицом за обеспечение информационной безопасности в учреждении заместителя руководителя в течение 1 (одного) месяца со дня вступления решения суда в законную силу. Обязать государственное бюджетное учреждение здравоохранения Республики Мордовия «Атяшевская районная больница» (ИНН <***>) организовать обучение по программе профессиональной переподготовки по направлению «Информационная безопасность» ответственного лица в течение 3 (трех) месяцев со дня вступления решения суда в законную силу. Решение может быть обжаловано в апелляционном порядке в Верховный Суд Республики Мордовия в течение месяца со дня принятия в окончательной форме путем подачи жалобы через Атяшевский районный суд Республики Мордовия. Судья Атяшевского районного суда Республики Мордовия А.В. Шепелев Мотивированное решение изготовлено 24 декабря 2024 года. Суд:Атяшевский районный суд (Республика Мордовия) (подробнее)Судьи дела:Шепелев Алексей Владимирович (судья) (подробнее)Последние документы по делу: |
