СудАкт в соцсетях

Решение № 2А-487/2025 2А-487/2025~М-444/2025 М-444/2025 от 20 ноября 2025 г. по делу № 2А-487/2025

Сергачский районный суд (Нижегородская область) - Административное

Дело 2а-487/2025 УИД 52RS0048-01-2025-000853-48

РЕШЕНИЕ

Именем Российской Федерации

г. Сергач Нижегородская область 18 ноября 2025 года

Сергачский межрайонный суд Нижегородской области в составе председательствующего судьи Кивкуцана Н.А.,

при секретаре судебного заседания Панкратовой И.Л.,

с участием представителя административного истца помощника Сергачского межрайонного прокурора Нижегородской области Уздимаевой О.С.,

рассмотрев в открытом судебном заседании административное дело по административному иску Сергачского межрайонного прокурора в интересах неопределенного круга лиц к государственному бюджетному учреждению здравоохранения Нижегородской области «Сергачская центральная районная больница» о признании бездействия по созданию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры и назначению ответственного лица, выполняющего полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты, незаконным; об обязании создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры и назначить ответственное лицо, исполняющее полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты,

установил:

Сергачский межрайонный прокурор Нижегородской области (далее по тексту «прокурор») обратился в суд с административным иском в интересах неопределенного круга лиц к государственному бюджетному учреждению здравоохранения Нижегородской области «Сергачская центральная районная больница» о признании бездействия по созданию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры и назначению ответственного лица, выполняющего полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты, незаконным; об обязании создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры и назначить ответственное лицо, исполняющее полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты. В обоснование иска указано, что Сергачской межрайонной прокуратурой Нижегородской области проведена проверка соблюдения законодательства в сфере информационных технологий и защиты информации, в том числе при обеспечении безопасности критической информационной инфраструктуры. Согласно выписке из ЕГРЮЛ, основной вид деятельности ГБУЗ НО «Сергачская центральная районная больница» - 86.10 деятельность больничных организаций. В соответствии с Перечнем типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере здравоохранения ГБУЗ НО «Сергачская центральная районная больница» относится к субъектам критической информационной инфраструктуры, в связи с чем объекты подлежат категорированию. В ходе проверки установлено, что постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры не создана, вместе с тем не назначено ответственное лицо, выполняющее полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты. Ссылаясь на ст.15 Конституции РФ, ст.ст.2,7 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ, Указ Президента Российской Федерации от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" просит административный иск удовлетворить, признать незаконными бездействия ГБУЗ НО «Сергачская ЦРБ» по созданию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры и назначению ответственного лица, выполняющего полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты. Обязать ГБУЗ НО «Сергачская ЦРБ» создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры и назначить ответственное лицо, исполняющее полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты.

В судебном заседании представитель административного истца помощник прокурора заявленные требования поддержал по доводам, изложенным в административном исковом заявлении.

Представитель административного ответчика ГБУЗ НО «Сергачская ЦРБ» в судебное заседание не явились, будучи надлежащим образом извещенными о времени и месте рассмотрения дела.

При указанных обстоятельствах не считая участие представителя административного ответчика обязательным, суд счёл возможным рассмотреть дело в отсутствие представителя административного ответчика.

Выслушав представителя административного истца, исследовав представленные в деле доказательства, суд приходит к следующему.

На основании ч. 2 ст. 4 Конституции РФ Конституция РФ и федеральные законы имеют верховенство на всей территории РФ.

В соответствии со ст.1 ФЗ «О прокуратуре Российской Федерации», прокуратура РФ – единая федеральная централизованная система органов, осуществляющих от имени Российской Федерации надзор за соблюдением Конституции РФ и исполнением законов, действующих на территории РФ. В целях обеспечения верховенства закона, единства и укрепления законности, защиты прав и свобод человека и гражданина, а также охраняемых законом интересов общества и государства прокуратура РФ осуществляет надзор за соответствием законам издаваемых федеральными министерствами, государственными комитетами, службами и иными федеральными органами исполнительной власти, представительными (законодательными) и исполнительными органами субъектов РФ, органами местного самоуправления правовых актов.

Пунктом 1 ст.39 КАС РФ прокурору предоставлено право обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц или интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.

В силу ч.3 статьи 1 КАС РФ суды в порядке, предусмотренном настоящим Кодексом, рассматривают и разрешают подведомственные им административные дела, связанные с осуществлением обязательного судебного контроля за соблюдением прав и свобод человека и гражданина, прав организаций при реализации отдельных административных властных требований к физическим лицам и организациям.

Отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак регулируются Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Закон N 187-ФЗ).

В соответствии с понятиями, используемыми для целей применения Закона N 187-ФЗ, статьей 2 данного закона определено следующее:

объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Пунктом 4 статьи 7 Закона N 187-ФЗ предусмотрено, что субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Так, в сфере здравоохранения объектами критической информационной инфраструктуры могут быть цифровые рентгены и компьютерные томографы, аппараты транскраниальной электротерапии и УЗИ-аппараты, приборы электромагнитотерапии и электронейромиостимуляции, оборудование для магнитно-резонансной томографии и эндоскопии, цифровое стоматологическое и хирургическое оборудование, высокотехнологические устройства офтальмологии, анестезии и реанимации и другие цифровые медицинские устройства.

Постановлением Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" установлено, что категорирование проводиться специально созданной комиссией субъекта на основании критериев значимости объектов критической информационной инфраструктуры. К таким показателям отнесены социально-экономическая значимость и общественно-политическая значимость объекта критической информационной инфраструктуры.

Пунктом 2 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, прямо предусмотрено, что категорирование осуществляется субъектами критической информационной инфраструктуры в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.

Таким образом, с учетом совокупного положения действующих правовых норм на лиц, обладающих статусом субъекта критической информационной системы, возложена обязанность по категорированию объектов критической информационной инфраструктуры.

Согласно постановления Правительства Российской Федерации от 8 февраля 2018 г. N 127 для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, в состав которой включаются:

а) руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо;

б) работники субъекта критической информационной инфраструктуры, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, и в области информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования, технологической (промышленной) безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов;

в) работники субъекта критической информационной инфраструктуры, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры;

г) работники подразделения по защите государственной тайны субъекта критической информационной инфраструктуры (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну);

д) работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

По решению руководителя субъекта критической информационной инфраструктуры в состав комиссии могут быть включены работники не указанных в пункте 11 настоящих Правил подразделений, в том числе финансово-экономического подразделения.

По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию объектов критической информационной инфраструктуры в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта критической информационной инфраструктуры.

Рекомендации по формированию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры организации сферы здравоохранения приведены в "Национальном проекте "Здравоохранение". Федеральный проект "Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)". Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)" (утв. Минздрав России 05.04.2021) в Приложении 5.

Согласно данного Приложения, членами Комиссии назначаются эксперты из числа наиболее квалифицированных работников организации сферы здравоохранения, являющихся специалистами в области осуществляемых видов деятельности, информационных технологий и связи, а также специалисты по эксплуатации основного технологического оборудования. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в ИС, ИТКС, АСУ организации сферы здравоохранения, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

В состав комиссии также включаются работники организации сферы здравоохранения, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов критической информационной инфраструктуры, работники подразделения по защите государственной тайны (в случае, если объект критической информационной инфраструктуры обрабатывает информацию, составляющую государственную тайну), работники структурного подразделения по гражданской обороне и защите от чрезвычайных ситуаций или работники, уполномоченные на решение задач в области гражданской обороны и защиты от чрезвычайных ситуаций.

Допускается по решению руководителя организации сферы здравоохранения или уполномоченного лица, для оценки критичности бизнес-процессов, выявления задействованности ИС, ИТКС, АСУ в критических бизнес-процессах организации сферы здравоохранения привлекать экспертов сторонних организаций, в том числе организаций, имеющих соответствующие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. При этом, не допускается передавать внешним экспертам право принятия решения о присвоении объекту КИИ организации сферы здравоохранения одной из категорий значимости либо решения об отсутствии необходимости присвоения им категорий значимости. Привлекаемые эксперты не являются членами Комиссии.

Создание комиссии необходимо оформить локальным нормативным актом (приказом), в котором определяется состав Комиссии, вводится Положение о постоянно действующей комиссии, порядок хранения документов Комиссии.

Как следует из материалов административного дела и установлено судом, Сергачской межрайонной прокуратурой Нижегородской области проведена проверка соблюдения законодательства в сфере информационных технологий и защиты информации, в том числе при обеспечении безопасности критической информационной инфраструктуры в ГБУЗ НО «Сергачская центральная районная больница».

В ходе проверки установлено, что ГБУЗ НО «Сергачская ЦРБ» постоянно действующая комиссия по категорированию объектов критической информационной инфраструктуры не создана, не утвержден перечень объектов критической информационной инфраструктуры, подлежащих категорированию, в виду чего их категорирование не проведено.

По данному факту 08.04.2025 в адрес ГБУЗ НО «Сергачская ЦРБ» было внесено представление об устранении нарушений закона, их причин и условий, им способствующих (л.д.10-12).

Из ответа и.о. главного врача ГБУЗ НО «Сергачская ЦРБ» ФИО1 № от ДД.ММ.ГГГГ, направленного в адрес Сергачского межрайонного прокурора и представленного в материалы дела, следует, что структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры не определено в силу отсутствия необходимых специалистов, соответственно, создать комиссию по категорированию объектов критической информационной инфраструктуры не представляется возможным, перечень объектов критической информационной инфраструктуры создан и категорирование объектов критической информационной инфраструктуры проведено с использованием сторонней сертифицированной организации (л.д.13).

Согласно выписки из ЕГРЮЛ, ГБУЗ НО «Сергачская ЦРБ» зарегистрирована 23.12.2011, имеет ИНН <***>, ОГРН <***> и её основным видом деятельности является деятельность больничных организаций (86.10) (л.д.18-51).

Таким образом, установленные обстоятельства подтверждают факт неисполнения ГБУЗ НО «Сергачская ЦРБ» законодательно закрепленной обязанности по созданию комиссии по категорированию объектов критической информационной инфраструктуры.

До настоящего времени, выявленные прокурорской проверкой нарушения, не устранены, что не оспорено в судебном заседании и фактически подтверждено представителем.

В силу действующего законодательства, не выполнение вышеуказанных мероприятий создает потенциальную угрозу безопасности цифровой инфраструктуры в системе здравоохранения, и создает опасность причинения вреда жизни, здоровью граждан, что недопустимо.

Согласно п.1 ч.3 статьи 227 КАС РФ, в случае удовлетворения административного иска об оспаривании решения, действия (бездействия) и необходимости принятия административным ответчиком каких-либо решений, совершения каких-либо действий в целях устранения нарушений прав, свобод и законных интересов административного истца либо препятствий к их осуществлению суд указывает на необходимость принятия решения по конкретному вопросу, совершения определенного действия либо на необходимость устранения иным способом допущенных нарушений прав, свобод и законных интересов административного истца и на срок устранения таких нарушений.

Учитывая вышеизложенное, суд устанавливает срок для исполнения решения суда 4 месяца с момента вступления решения суда в законную силу.

При этом суд полагает, что данный срок является достаточным для исполнения решения суда.

Согласно ч.3 статьи 114 КАС РФ, судебные расходы, понесенные судом в связи с рассмотрением административного дела, в случае, если обе стороны освобождены от уплаты судебных расходов, возмещаются за счет бюджетных ассигнований федерального бюджета.

На основании изложенного, руководствуясь ст.ст. 175-180 КАС РФ, суд,

р е ш и л:

Административный иск Сергачского межрайонного прокурора Нижегородской области удовлетворить.

Признать бездействие ГБУЗ НО «Сергачская центральная районная больница» по созданию постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры и назначению ответственного лица, выполняющего полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты - незаконным.

Обязать ГБУЗ НО «Сергачская центральная районная больница» создать постоянно действующую комиссию по категорированию объектов критической информационной инфраструктуры и назначить ответственное лицо, исполняющее полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак, и реагированию на компьютерные инциденты.

Установить административному ответчику - ГБУЗ НО «Сергачская центральная районная больница» срок для исполнения решения суда - 4 (четыре) месяца с момента вступления решения суда в законную силу.

На решение может быть подана апелляционная жалоба в судебную коллегию по административным делам Нижегородского областного суда через Сергачский межрайонный суд, в течение одного месяца, со дня его принятия, в окончательной форме.

Судья: Н.А. Кивкуцан

Мотивированное решение изготовлено 21 ноября 2025 года.

Судья: Н.А. Кивкуцан