СудАкт: Судебные и нормативные акты РФСудебные и нормативные акты РФ
 
СудАкт в соцсетях
 
 

Решение № 2А-432/2023 2А-432/2023~М-322/2023 М-322/2023 от 27 июня 2023 г. по делу № 2А-432/2023

Цимлянский районный суд (Ростовская область) - Административное


Дело № 2а-432/2023

61RS0059-01-2023-000408-58


РЕШЕНИЕ


ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

27 июня 2023 года г. Цимлянск

Цимлянский районный суд Ростовской области в составе:

председательствующего судьи Гаврилова Р.В.

с участием представителя прокуратуры – старшего помощника прокурора Цимлянского района Глухно В.В.,

при ведении протокола секретарем судебного заседания Рочевой М.А.,

рассмотрев в открытом судебном заседании административное дело по административному исковому заявлению Прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к Администрации Саркеловского сельского поселения Цимлянского района Ростовской области, о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах,

установил:


Прокурор Цимлянского района Ростовской области в интересах неопределенного круга лиц обратился в суд в защиту прав, свобод и законных интересов неопределенного круга лиц к Администрации Цимлянского городского поселения, о признании бездействия незаконным, обязании Администрации Саркеловского сельского поселения Цимлянского района Ростовской области, о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах, указав в обоснование следующее.

Прокуратурой проведена проверка исполнения законодательства в сфере информационных технологий и защиты информации, в ходе которой в деятельности администрации Саркеловского сельского поселения Цимлянского района Ростовской области выявлены нарушения требований Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон № 149-ФЗ) и Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" (далее - Закон № 152-ФЗ).

В силу ст.1 Федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон № 149-ФЗ) настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации.

В силу ст.2 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Закон №152-ФЗ) целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статьей 3 Закона №152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии со статьей 19 Закона №152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих Данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 №21 (далее - Приказ №21).

Пунктом 1 Приказа №21 предусмотрено, что меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В силу п.2 Приказа №21 безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с. законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

В соответствии с п.6 Приказа № 21 оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

Пунктом 9 Приказа ФСТЭК России от 11.02.2013 №17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - Приказ №17) установлено, что для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

В силу п.14.3 Приказа №17 Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085 (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники содержащие сведения об уязвимостях и угрозах безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.

По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.08.2004 № 1085.

В ходе проверки установлено, что сотрудники администрации используют информационные системы "1С", "АЦК Финанс" и "АЦК Планирование" для управления финансово-экономической деятельностью, материально-техническим обеспечением.

При этом в нарушение указанных норм законов администрацией не приняты меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных указанных информационных систем.

Более того, администрацией не разработаны модели угроз безопасности информации, содержащейся в указанных информационных системах.

Прокуратурой Цимлянского района 20.03.2023 главе администрации Саркеловского сельского поселения вносилось представление об устранении нарушений законодательства в сфере информационных технологий и защиты информации, однако по результатам его рассмотрения выявленные нарушения не устранены.

Таким образом, требования к защите персональных данных при их обработке в информационных системах "1С", "АЦК Финанс" и "АЦК Планирование" в администрации сельского поселения не достаточны и тем самым не обеспечивает в полной мере защиты неопределенного круга лиц при обработке их персональных данных.

С учетом изложенного, прокурор Цимлянского района просит: 1. Признать незаконным бездействие администрации Саркеловского сельского поселения, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем "1С", "АЦК Финанс" и "АЦК Планирование" и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.

2. Обязать администрацию Саркеловского сельского поселения в течение 6 месяцев с момента вступления решения суда в законную силу принять меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем "1С", "АЦК Финанс" и "АЦК Планирование" и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.

В судебном заседании старший помощник прокурора Цимлянского района Глухно В.В., исковые требования подержал, просил удовлетворить в полном объеме.

В судебное заседание представитель административного ответчика Администрации Саркеловского сельского поселения Цимлянского района Ростовской области не явился, извещен надлежащим образом о времени и месте судебного заседания, ходатайствовал о рассмотрении дела в его отсутствие, исковые требования признал в полном объеме, о чем представил заявление.

Суд считает возможным рассмотреть дело в отсутствие представителя административного ответчика на основании положений ст.150, ч.6 ст.226 КАС РФ.

Изучив письменные материалы дела, суд соглашается с правовым обоснованием иска и находит исковые требования подлежащими удовлетворению.

В соответствии с ч.1 ст.39 Кодекса административного судопроизводства РФ прокурор вправе обратиться в суд с административным исковым заявлением в защиту прав, свобод и законных интересов граждан, неопределенного круга лиц.

В силу ч.3 ст.46 КАС РФ, административный ответчик вправе при рассмотрении административного дела в суде любой инстанции признать административный иск полностью или частично.

Согласно ч.5 ст.46 КАС РФ, суд не принимает отказ административного истца от административного иска, признание административным ответчиком административного иска, если это противоречит настоящему Кодексу, другим федеральным законам или нарушает права других лиц.

Учитывая, что признание иска административным ответчиком не противоречит закону, не нарушает права и законные интересы других лиц, суд принимает признание иска административным ответчиком и полагает возможным удовлетворить настоящие административные исковые требования прокурора Цимлянского района в полном объеме.

руководствуясь ст.ст.175-180 КАС РФ, суд

решил:


Административные исковые требования Прокурора Цимлянского района Ростовской области в интересах неопределенного круга лиц к Администрации Саркеловского сельского поселения Цимлянского района Ростовской области, о признании бездействия незаконным, обязании принять меры к обеспечению защиты информации, содержащейся в информационных системах, удовлетворить.

Признать незаконным бездействие администрации Саркеловского сельского поселения, выразившееся в непринятии мер к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем "1С", "АЦК Финанс" и "АЦК Планирование" и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.

Обязать администрацию Саркеловского сельского поселения в течение 6 месяцев с момента вступления решения суда в законную силу принять меры к проведению оценки эффективности реализованных в рамках системы защиты персональных данных информационных систем "1С", "АЦК Финанс" и "АЦК Планирование" и разработке модели угроз безопасности информации, содержащейся в указанных информационных системах.

Решение может быть обжаловано в Ростовский областной суд через Цимлянский районный суд Ростовской области в течение месяца со дня изготовления решения в окончательной форме.

Мотивированное решение изготовлено 11 июля 2023 г.

Судья подпись Гаврилов Р.В.



Суд:

Цимлянский районный суд (Ростовская область) (подробнее)

Судьи дела:

Гаврилов Р.В. (судья) (подробнее)


 
 
 
 
наверх
Все права защищены © 2012-2026
«Судебные и нормативные акты РФ»
Email для связи
О проекте | Политика в отношении обработки ПД