Решение № 2-1058/2024 2-83/2025 2-83/2025(2-1058/2024;)~М-1110/2024 М-1110/2024 от 13 января 2025 г. по делу № 2-1058/2024Зимовниковский районный суд (Ростовская область) - Гражданское №2-83/2025 УИД: 61RS0034-01-2024-001494-81 Именем Российской Федерации 14 января 2025 года п. Зимовники Зимовниковский районный суд Ростовской области в составе: Председательствующего судьи Скрипниковой И.С., при секретаре Плеховой Н.С., с участием представителя истца ФИО1, рассмотрев в открытом судебном заседании гражданское дело по исковому заявлению прокурора Зимовниковского района Ростовской области к Администрации Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области об обязании проведения оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем «АЦК Финанс» и «АЦК Планирование» и разработку модели угроз безопасности информации, содержащейся в указанных информационных системах в течение 8 месяцев со дня вступления решения в законную силу, суд Прокурор Зимовниковского района Ростовской области в интересах неопределенного круга лиц обратился в суд с иском, в котором просит обязать Администрацию Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области провести оценку эффективности реализованных в рамках системы защиты персональных данных информационных систем «АЦК Финанс» и «АЦК Планирование» и разработку модели угроз безопасности информации, содержащейся в указанных информационных системах в течение 8 месяцев со дня вступления решения в законную силу. В обоснование заявленных требований истец ссылается на то, что на основании в силу ст. 2 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Статьей 3 Закона № 152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В соответствии со статьей 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 № 21 (далее — Приказ № 21). Пунктом 1 Приказа № 21 предусмотрено, что меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В силу п. 2 Приказа № 21 безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации. Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации. В соответствии с п. 6 Приказа № 21 оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. Пунктом 9 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее — Приказ № 17) установлено, что для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. В силу п. 14.3 Приказа № 17 Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085 (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования. При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных. По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации. Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085. В ходе проверки установлено, что сотрудники администрации Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области используют различные информационные системы, в том числе «АЦК Финанс» и «АЦК «Планирование» для управления финансово-экономической деятельностью, материально-техническим обеспечением. При этом в нарушение указанных норм законов администрацией Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем. Более того, администрацией Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах. Муниципалитетом указанные информационные системы содержащие сведения о персональных данных. Таким образом, администрацией Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области требования к защите персональных данных при их обработке в информационных системах «АЦК Финанс» и «АЦК «Планирование» не достаточны и тем самым длительное время не обеспечивается в полной мере защита неопределенного круга лиц при обработке их персональных данных. Представитель истца в судебном заседании поддержал заявленные требования и просил их удовлетворить в полном объеме. Ответчик Администрации Верхнесеребряковского поселения Зимовниковского района явку своего представителя в судебное заседание не обеспечило, о времени и месте рассмотрения дела извещены надлежащим образом, ранее предоставили отзыв, согласно которому исковые требования признали в полном объеме. Последствия признания иска им разъяснены и понятны. Выслушав представителя прокуратуры Зимовниковского района, изучив материалы дела, суд приходит к следующему. Согласно ч. 4 ст. 29 Конституции Российской Федерации закреплено право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом. В соответствии с ч. 2 ст. 24 Конституции Российской Федерации органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. В силу п. 4 ст. 27, п. 3 ст. 35 Федерального закона «О прокуратуре Российской Федерации» закреплено право прокурора на обращение в суд с заявлением, если этого требует защита прав граждан и охраняемых законом интересов общества и государства, когда нарушены права и свободы значительного числа граждан, либо в силу иных обстоятельств нарушение приобрело особое общественное значение. В соответствии с ч. 1 ст. 45 ГПК РФ прокурор вправе обратиться в суд с заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований. Согласно ч. 1 ст. 6 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. Согласно п. 4 ч. 3 ст. 6 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» обладатель информации, если иное не предусмотрено федеральными законами, вправе защищать установленными законом способом свои права в случае незаконного получения информации или ее незаконного использования иными лицами. Согласно п. 2 ч. 4 ст. 6 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» обладатель информации при осуществлении своих прав обязан принимать меры по защите информации. Пунктом 9 Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее — Приказ № 17) установлено, что для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации. В силу п. 14.3 Приказа № 17 Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085 (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования. При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных. По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации. Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085. Неисполнение указанных требований закона подтверждается представленной информацией из Администрации Верхенсеребряковского сельского поселения Зимовниковского района от 06.12.2024, в которой указано, что оценка эффективности реализованных в рамках системы защиты персональных данных информационных систем «АЦК Финанс» и «АЦК Планирование» не проводилось. Кроме того, неисполнение вышеуказанных требований закона подтверждается проведённой проверкой, что подтверждается соответствующим актом проверки. В соответствии со ст.39 ГПК РФ истец вправе изменить основание или предмет иска, увеличить или уменьшить размер исковых требований либо отказаться от иска, ответчик вправе признать иск, стороны могут окончить дело мировым соглашением. Суд принимает признание иска ответчиками, поскольку это не противоречит закону и не нарушает права и законные интересы других лиц. На основании ч.3 ст.173 ГПК РФ при признании ответчиком иска и принятии его судом принимается решение об удовлетворении заявленных истцом требований. Руководствуясь ст.ст.194-199 ГПК РФ суд Исковое заявление прокурора Зимовниковского района Ростовской области в интересах неопределённого круга лица- удовлетворить. Обязать Администрацию Верхнесеребряковского сельского поселения Зимовниковского района Ростовской области провести оценку эффективности реализованных в рамках системы защиты персональных данных информационных систем «АЦК Финанс» и «АЦК Планирование» и разработку модели угроз безопасности информации, содержащейся в указанных информационных системах в течение 8 месяцев со дня вступления решения в законную силу. Решение может быть обжаловано в Ростовский областной суд через Зимовниковский районный суд в течение месяца со дня принятия в окончательной форме. Председательствующий судья: И.С. Скрипникова Мотивированное решение изготовлено 15.01.2025 года Суд:Зимовниковский районный суд (Ростовская область) (подробнее)Судьи дела:Скрипникова И.С. (судья) (подробнее)Последние документы по делу:Решение от 13 января 2025 г. по делу № 2-1058/2024 Решение от 24 октября 2024 г. по делу № 2-1058/2024 Решение от 10 сентября 2024 г. по делу № 2-1058/2024 Решение от 12 августа 2024 г. по делу № 2-1058/2024 Решение от 28 июля 2024 г. по делу № 2-1058/2024 Решение от 23 июля 2024 г. по делу № 2-1058/2024 Решение от 12 июня 2024 г. по делу № 2-1058/2024 Решение от 2 июня 2024 г. по делу № 2-1058/2024 Решение от 6 мая 2024 г. по делу № 2-1058/2024 Решение от 16 апреля 2024 г. по делу № 2-1058/2024 Решение от 10 апреля 2024 г. по делу № 2-1058/2024 Решение от 24 января 2024 г. по делу № 2-1058/2024 |
