Решение по делу № 2-1651/2024 от 31.01.2025 - об обязании устранить нарушения законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной инфраструктуре.

К делу № 2а-185/2025

УИД 23RS0033-01-2024-002524-31

РЕШЕНИЕ

И М Е Н Е М Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И

п. Мостовской 31 января 2025 года

Мостовской районный суд Краснодарского края в составе:

председательствующего судьи Таранова Р.А.,

при секретаре Манаенковой В.В.,

рассмотрев в открытом судебном заседании дело по административному исковому заявлению прокурора Мостовского района действующего в интересах неопределенного круга лиц к государственному бюджетному учреждению здравоохранения Краснодарского края «Мостовская центральная районная больница» об обязании устранить нарушения законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной инфраструктуре,

установил:

Прокурор Мостовского района обратился в суд с административным исковым заявлением, в котором, с учетом уточненных требований просит: обязать ГБУЗ «Мостовская ЦРБ» М3 КК устранить нарушения ст.ст. 4,10,11,12 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», пунктов 7-12.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239

Административный иск мотивирован тем, что прокуратурой района проведена проверка, в результате которой в деятельности ГБУЗ М3 КК «Мостовская ЦРБ» выявлены нарушения законодательства о безопасности критической информационной инфраструктуры законодательства об информации, информационных технологиях и о защите информации, о персональных данных.

ГБУЗ «Мостовская ЦРБ» является пользователем ряда информационных систем, в том числе государственных (медицинская информационная система «Комплекс программных средств «САМСОН», федеральные подсистемы ЕГИСЗ и др.), а также является оператором персональных данных пациентов, и, следовательно, является субъектом критической информационной инфраструктуры.

Вместе с тем, в нарушение ст.ст. 4, 10, 11, 12 Федерального закона от 26.07.2017 № 187-ФЗ, а также Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования), утвержденных приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235, ГБУЗ «Мостовская ЦРБ» М3 КК до настоящего момента не разработана система защиты объектов критической информационной инфраструктуры.

В нарушение пунктов 7 - 12.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, не созданы подсистемы безопасности значимых объектов критической информационной инфраструктуры.

Выявленные нарушения послужили основанием для внесения прокуратурой района 03.06.2024 представления об устранении нарушений законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной структуре, однако нарушения не устранены.

Факты непринятия мер к исполнению вышеуказанных требований закона и иных нормативных правовых актов подтверждаются информацией ГБУЗ М3 КК «Мостовская ЦРБ».

Представитель административного истца в судебное заседание не явился, о месте и времени рассмотрения дела был надлежаще извещен. От помощника прокурора Кулиша А.О. в суд поступило заявление, в котором он просил рассмотреть дело в отсутствии представителя истца, уточненные заявленные требования просил удовлетворить.

Представитель административного ответчика – ГБУЗ «Мостовская ЦРБ» МЗ КК в судебное заседание не явился, о месте и времени рассмотрения дела был надлежаще извещен. В суд поступил мотивированный отзыв представителя ГБУЗ «Мостовская ЦРБ» МЗ КК, приобщенный к материалам дела, в котором также просил рассмотреть дело в его отсутствие.

Изучив материалы дела, учитывая мнение сторон, суд пришел к выводу, что административный иск прокурора Мостовского района в интересах неопределенного круга лиц подлежит удовлетворению по следующим основаниям.

Согласно требованиям ч. 1 ст. 218 КАС РФ гражданин, организация, иные лица могут обратиться в суд с требованиями об оспаривании решений, действий (бездействия) органа государственной власти,, органа местного самоуправления, иного органа, организации, наделенных отдельными государственными или иными публичными полномочиями, если полагают, что нарушены или оспорены их права, свободы и законные интересы, созданы препятствия к осуществлению их прав, свобод и реализации законных интересов или на них незаконно возложены какие-либо обязанности. Гражданин, организация, иные лица могут обратиться непосредственно в суд или оспорить решения, действия (бездействие) органа, организации, лица, наделенных государственными или иными публичными полномочиями, в вышестоящие в порядке подчиненности орган, организацию, у вышестоящего в порядке подчиненности лица либо использовать иные внесудебные процедуры урегулирования споров.

В соответствии с ч. 1 ст. 39 Кодекса административного судопроизводства Российской Федерации (далее - КАС РФ) прокурор вправе обратиться в суд с административным исковым заявлением в защиту интересов Российской Федерации, субъектов Российской Федерации, муниципальных образований, а также в других случаях, предусмотренных федеральными законами.

В соответствии со ст. 3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Федеральный закон № 149-ФЗ) правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах: обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в их информации; неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

В силу ч. 2 ст. 9 Федерального закона № 149-ФЗ обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

В соответствии со ст. 3 Федерального закона № 152-ФЗ оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно ч. 1 ст. 18.1 Федерального закона № 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

В силу ч. 1 ст. 19 Федерального закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно- энергетического комплекса, в области атомной энергии, оборонной, ракегно- космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Объекты критической информационной инфраструктуры информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Согласно ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

В силу требований ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование.

Как установлено в судебном заседании, Прокуратурой района в деятельности ГБУЗ М3 КК «Мостовская ЦРБ» выявлены нарушения законодательства о безопасности критической информационной инфраструктуры законодательства об информации, информационных технологиях и о защите информации, о персональных данных.

Установлено, что ГБУЗ «Мостовская ЦРБ» является пользователем ряда информационных систем, в том числе государственных (медицинская информационная система «Комплекс программных средств «САМСОН», федеральные подсистемы ЕГИСЗ и др.), а также является оператором персональных данных пациентов, и, следовательно, является субъектом критической информационной инфраструктуры.

Вместе с тем, в нарушение ст.ст. 4, 10, 11, 12 Федерального закона от 26.07.2017 № 187-ФЗ, а также Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования), утвержденных приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235, ГБУЗ «Мостовская ЦРБ» М3 КК до настоящего момента не разработана система защиты объектов критической информационной инфраструктуры.

В нарушение пунктов 7 - 12.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239, не созданы подсистемы безопасности значимых объектов критической информационной инфраструктуры.

03.06.2024 прокуратурой Мостовского района в адрес ГБУЗ «Мостовская ЦРБ» М3 КК внесено представление об устранении нарушений законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной структуре, однако нарушения не устранены.

Изложенное свидетельствует о длительном неисполнении административным ответчиком возложенных на него в силу закона обязанностей.

При таких обстоятельствах, суд считает административный иск прокурора Мостовского района в интересах неопределенного круга лиц обоснованным.

На основании изложенного, суд удовлетворяет административное исковое заявление прокурора Мостовского района действующего в интересах неопределенного круга лиц к государственному бюджетному учреждению здравоохранения Краснодарского края «Мостовская центральная районная больница» об обязании устранить нарушения законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной инфраструктуре.

Руководствуясь ст.ст. 175-180 КАС РФ, суд

решил:

административные исковые требования прокурора Мостовского района действующего в интересах неопределенного круга лиц к государственному бюджетному учреждению здравоохранения Краснодарского края «Мостовская центральная районная больница» об обязании устранить нарушения законодательства об информации, информационных технологиях и защите информации о персональных данных, законодательства о критической информационной инфраструктуре - удовлетворить.

Обязать ГБУЗ «Мостовская ЦРБ» М3 КК устранить нарушения ст.ст. 4, 10, 11, 12 Федерального закона от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», пунктов 7-12.7 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, утвержденных приказом ФСТЭК России от 25.12.2017 № 239.

Решение может быть обжаловано в апелляционном порядке, в Краснодарский краевой суд через Мостовской районный суд в течение месяца со дня принятия решения судом в окончательной форме.

Председательствующий судья Р.А. Таранов