Решение по делу № 2-1891/2023 от 29.11.2023 - об обязании устранить нарушения требований законодательства о защите информации.

Дело № 2-1891/2023

Уникальный идентификатор дела 37RS0007-01-2023-002249-25

РЕШЕНИЕ

Именем Российской Федерации

г. Заволжск Ивановской области 29 ноября 2023 г.

Кинешемский городской суд Ивановской области в составе

председательствующего судьи Ельцовой Т.В.

при секретаре Кудряшовой Н.Е.,

с участием

помощника Кинешемского городского прокурора Скворцовой А.В.,

представителей ответчика – ФИО1, ФИО2, ФИО3, действующих на основании доверенностей,

представителя третьего лица ФИО4, действующего на основании доверенности,

рассмотрев в открытом судебном заседании гражданское дело по исковому заявлению Кинешемского городского прокурора Ивановской области, действующего в интересах неопределённого круга лиц, к Областному бюджетному учреждению здравоохранения «Кинешемская центральная районная больница» об обязании устранить нарушения требований законодательства о защите информации,

УСТАНОВИЛ:

Кинешемский городской прокурор Ивановской области, действующий в интересах неопределенного круга лиц, обратился в суд с иском к Областному бюджетному учреждению здравоохранения «Кинешемская центральная районная больница» (далее ОБУЗ «Кинешемская ЦРБ», Больница) об обязании устранить нарушения требований законодательства о защите информации, мотивировав его следующим.

Кинешемской городской прокуратурой на основании поручения прокуратуры Ивановской области проведена проверка соблюдения ОБУЗ «Кинешемского ЦРБ» требований федерального законодательства о защите информации при создании информационных систем в сфере здравоохранения. По результатам проверки, проведенной с привлечением специалиста в указанной области, установлено, что в нарушение требований законодательства о защите информации, в медицинской организации в недостаточной мере реализованы меры по обеспечению защиты информации от неправомерного доступа, уничтожения, модефицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Так установлено, что «Модель угроз безопасности информации...» РМИС СЗ ИО утверждена директором Департамента здравоохранения и согласована со ФСТЭК России в 2020 году. Так как в медицинской организации используется единая РМИС СЗ ИО, то «Модель угроз безопасности информации...», применима для всех автоматизированных рабочих мест, подключаемых к РМИС СЗ ИО, в т.ч. для всех медицинских организаций.

Вместе с тем, в составе организационных и технических мер со стороны медицинской организации не выполнены требования по определению уровней защищенности и классов защищенности для автоматизированных рабочих мест, подключаемых к РМИС СЗ ИО, как требует того постановление Правительства РФ от 01.11.2012 № 1119.

Также, медицинской организацией не применяются средства защиты информации от несанкционированного доступа и антивирусной защиты, прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации, не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Также, в медицинской организации ведется учет машинных носителей персональных данных в отношении отчуждаемых USB-флэш накопителей, однако учет накопителей на жестких магнитных дисках (HDD) с защищаемой информацией не ведется.

Кроме того, в медицинской организации не выполняются требования, определенные ч. 5 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в части того, что безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Система защиты персональных данных должна включать в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Так, ОБУЗ «Кинешемская ЦРБ» не осуществлена обязанность по выбору средств защиты информации для системы защиты персональных данных в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных». Соответственно, в ОБУЗ «Кинешемская ЦРБ» не используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации на автоматизированных рабочих местах, имеющих подключение к РМИС СЗ ИО, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Также, следует учитывать, что в нарушение вышеприведённых норм законодательства в указанной сфере, требования Приказа ФСТЭК России от 01.02.2013 № 17 в ОБУЗ «Кинешемская ЦРБ» выполняются только в части защиты информации, передаваемой по каналам связи и межсетевого экранирования при информационном взаимодействии с РМИС СЗ ИО.

В медицинской организации отсутствуют сертифицированные средства защиты информации от несанкционированного доступа на автоматизированных рабочих местах, в том числе антивирусное программное обеспечение.

Также, в медицинской организации не используются сертифицированные СЗИ на АРМ врачей, классификация ИС медицинской организацией не проведена, модель угроз безопасности информации для ИС медицинской организацией (не РМИС СЗ ИО) не разрабатывалась.

Аттестация АРМ врачей в ОБУЗ «Кинешемская ЦРБ» не проводилась как требует того п.17.5 Приказа № 17 ФСТЭК, ввод в эксплуатацию локальных ИС МО в соответствии с установленным порядком не проводился.

Выявленные нарушения, по мнению прокурора, свидетельствуют об игнорировании сотрудниками ОБУЗ «Кинешемская ЦРБ» требований законодательства в сфере защиты информации.

На основании изложенного, руководствуясь ст. 45 ГПК РФ прокурор просил суд обязать ОБУЗ «Кинешемская ЦРБ» в срок до 01.07.2024 провести мероприятия, направленные на защиту информации и персональных данных, а именно:

1- Организовать выполнение требований по определению уровней защищенности и классов защищенности для автоматизированных рабочих мест, подключаемых к РМИС СЗ ИО.

2- Организовать применение средств защиты информации от несанкционированного доступа и антивирусной защиты, прошедшие в установленном порядке процедуру оценки соответствия средств зашиты информации.

3- Организовать ведение учета накопителей на жестких магнитных дисках (HDD) с защищаемой информацией.

4- Организовать использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации на автоматизированных рабочих местах, имеющих подключение к РМИС СЗ ИО, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

5- Разработать модель угроз безопасности информации для информационной системы медицинской организацией (не РМИС СЗ ИО).

6- Провести классификацию информационной системы.

7- Провести аттестацию автоматизированных рабочих мест врачей.

8- Провести ввод в эксплуатацию локальных информационных систем медицинской организации.

В судебном заседании 16.11.2023 года судом приняты измененные Прокурором в порядке ст. 39 ГПК РФ исковые требования, согласно которым просил суд:

1 - Организовать выполнение требований по определению уровней защищенности и классов защищенности для автоматизированных рабочих мест, подключаемых к РМИС СЗ ИО.

2 - Разработать модель угроз безопасности информации для информационной системы медицинской организации ( не РМИС СЗ ИО).

3 - Организовать применение средств защиты информации от несанкционированного доступа и антивирусной защиты, прошедшие в установленном порядке процедуру оценки соответствия средств зашиты информации.

4 - Провести оценку эффективности принимаемых мер по обеспечению безопасности персональных данных информационной системы, включающей автоматизированные рабочие места врачей.

5 - Провести ввод в эксплуатацию локальных информационных систем медицинской организации.

6. - Организовать ведение учета накопителей на жестких магнитных дисках (HDD) с защищаемой информацией

7 - Обязать Департамент здравоохранения Ивановской области обеспечить финансирование ОБУЗ «Кинешемская ЦРБ» по исполнению укзаных выше мероприятий

Определением суда по ходатайству истца к участию в деле в качестве соответчика привлечен Департамент здравоохранения Ивановской области.

В судебном заседании представитель истца - старший помощник прокурора Скворцова А.В. заявленные исковые требования изменила, в окончательной их редакции просила суд:

обязать Областное бюджетное учреждение здравоохранения «Кинешемская центральная районная больница» (ИНН <***>) в срок до 01.09.2024 года провести мероприятия, направленные на защиту информации и персональных данных, а именно:

- провести инвентаризацию информационно-телекоммуникационных сетей, информационных систем;

- актуализировать перечень объектов критической информационной инфраструктуры;

- по результатам провести классификацию выявленных объектов, определить уровень их защищенности и класс защиты;

- разработать комплекс мер по защите информации в соответствии с Приказом ФСТЭК России от 18.02.2013 года №21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и Приказом ФСТЭК России от 25.12.2017 года №239 « Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Одновременно помощник прокурора отказалась от исковых требований к Департаменту здравоохранения Ивановской области, последствия отказа от данных исковых требований, предусмотренные ст.ст. 220-221 ГПК РФ ей были разъяснены и понятны.

Определением суда от 29.11.2023 года производство по делу в части исковых требований к Департаменту здравоохранения Ивановской области прекращено, Департамент переведен в статус третьего лица, не заявляющего самостоятельных требований относительно предмета спора.

Представители ответчика – ОБУЗ «Кинешемская ЦРБ» ФИО1, ФИО2, ФИО3, в судебном заседании исковые требования в редакции от 29.11.2023 года признали. Просили только суд предоставить им больше времени для осуществления всех мероприятий, указанных истцом. Полагали, что срок до 01.09.2024 года будет достаточным и разумным. В остальном представили суду письменное заявление о признании исковых требований, последствия признания иска, предусмотренные ст. 173 ГПК РФ им были разъяснены и понятны.

Представитель третьего лица ФИО4 в судебном заседания требования прокурора в окончательной редакции не оспаривал, полагал их обоснованными. Ранее представлял письменный отзыв и дополнения к нему, в которых указа на следующее.

Департамент полагал, что требования прокурора (в их редакции от 16.11.2023 года) не отражали последовательности необходимых мероприятий, установленных действующим законодательством, не являлись обязательными к проведению в полном объеме. Требования, предусмотренные пунктами 2, 4, 5, 6 искового заявления являлись исключительно организационными мероприятиями, которые должны проводится ответчиком - ОБУЗ «Кинешемская ЦРБ», и не должны обеспечиваться денежными средствами Департамента здравоохранения Ивановской области, так как не требуют дополнительных денежных ассигнований из бюджета Ивановской области.

Департаменту не известно и в вышеуказанном исковом заявлении не перечислено, какие информационные системы в сфере здравоохранения (автоматизированные системы управления, функционирующие в сфере здравоохранения) использует ОБУЗ «Кинешемская ЦРБ», за исключением РМИС СЗ ИО. Копия акта проверки Департаменту истцом не предоставлялась. Имеющаяся в материалах дела справка надлежащим документом, по мнению Департамента, не является.

Таким образом, не ясно в соответствии с какими положениями закона и фактическими обстоятельствами Прокурор просит разработать модель угроз безопасности информации для информационной системы медицинской организации, не являющейся РМИС СЗ ИО. Равно не ясно, каким образом следует исполнять требование Прокурора о проведении оценки эффективности принимаемых мер по обеспечению безопасности персональных данных информационной системы, включающей автоматизированные рабочие места до осуществления классификации и ввода в эксплуатацию локальных информационных систем медицинских организаций.

При этом, исходя из содержания пункта 2 приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №212 безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации (на договорной основе). Согласно определению, данному в пункте 2 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, мероприятия, направленные на защиту информации и персональных данных в иных (не РМИС СЗ ИО) потенциально возможных к существованию информационных системах медицинских организаций должен осуществлять оператор — ОБУЗ «Кинешемская ЦРБ» или привлеченное им лицо. Обязанности по оплате данных мероприятий за счет средств бюджета Ивановской области действующее законодательство Российской Федерации не содержит.

Кроме того, обратили внимание на содержание пункта 10 приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21, согласно которому, при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Вместе с тем, как это следует из имеющихся материалов дела, все тридцать три автоматизированных рабочих места, на которых в ОБУЗ «Кинешемская ЦРБ» установлен РМИС СЗ ИО, соответствуют требованиям по определению уровней защищенности и классов защищенности для автоматизированных рабочих мест, подключаемых к РМИС СЗ ИО, что истцом ранее признавалось. Остальные рабочие места ОБУЗ «Кинешемская ЦРБ», оборудованные ЭВМ, не подключенные к информационно-телекоммуникационной сети, не являются АРМ РМИС СЗ ИО.

Выслушав лиц, участвующих в деле, проверив, исследовав и оценив доказательства, представленные сторонами, суд приходит к следующему.

Отношения, возникающие при обеспечении защиты информации урегулированы Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон № 149- ФЗ).

В силу прямого указания Закона № 149-ФЗ, под защитой информации понимается принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Согласно ч. 4 ст. 16 Закона № 149-ФЗ обладатель информации в случаях, установленных законодательством Российской Федерации, обязаны обеспечить в том числе предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации модифицированной или уничтоженной вследствие несанкционированного доступа к ней; постоянный контроль за обеспечением уровня защищенности информации; нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации (ч. 2 ст Закона № 149-ФЗ).

Требования к защите информации, персональных данных определены Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 27.07.2006 № 152 «О персональных данных», иными нормативными правовыми актами.

В ходе проведенной Кинешемской городской прокуратурой проверки в ОБУЗ «Кинешемская ЦРБ» установлены нарушения законодательства о защите информации, на устранение которых направлены исковые требования Прокурора от 29.11.2023 года.

В соответствии с ч. 1 ст. 39 ГПК РФ истец вправе изменить основание или предмет иска, увеличить или уменьшить размер исковых требований либо отказаться от иска, ответчик вправе признать иск, стороны могут окончить дело мировым соглашением.

Признание иска выражено в адресованном суду заявлении в письменной форме, подписано представителем ответчика ОБУЗ « Кинешемская ЦРБ», последствия признания иска понятны, указанное заявление в соответствии со ст. 173 ГПК РФ приобщено к материалам дела.

Учитывая, что подобная просьба закону не противоречит, признание иска чьих-либо прав и охраняемых законом интересов не нарушает, последствия признания иска судом разъяснены, суд полагает возможным принять признание иска ответчиком.

В соответствии с ч. 3 ст. 173 ГПК РФ при признании иска ответчиком и принятии его судом принимается решение об удовлетворении заявленных истцом требований.

В соответствии с ч. 2 ст. 68 ГПК РФ признание стороной обстоятельств, на которых другая сторона основывает свои требования или возражения, освобождает последнюю от необходимости дальнейшего доказывания этих обстоятельств. Признание, изложенное в письменном заявлении, приобщается к материалам дела.

На основании ст. 198 ч. 4 ГПК РФ в случае признания иска ответчиком в мотивировочной части решения суда может быть указано только на признание иска и принятие его судом.

При таких обстоятельствах, с учетом положений гражданско-процессуального закона, суд полагает исковые требования Прокурора в редакции от 29.11.2023 года с учетом их признания ответчиком, возможным удовлетворить в полном объеме.

Согласно ч. 2 ст. 206 ГПК РФ в случае, если действия, обязанность по совершению которых возлагается решением суда, могут быть совершены только ответчиком, суд устанавливает в решении срок, в течение которого решение суда должно быть исполнено.

Суд, с учетом обстоятельств дела, мнений сторон, считает, что срок до 01.09.2024 года будет достаточным для проведения всех указанных в иске мероприятий, направленные на защиту информации и персональных данных

На основании изложенного, руководствуясь ст.ст. 194-199 ГПК РФ, суд

РЕШИЛ:

Исковые требования Кинешемского городского прокурора Ивановской области (ИНН <***>) удовлетворить.

Обязать Областное бюджетное учреждение здравоохранения « Кинешемская центральная районная больница» (ИНН <***>) в срок до 01.09.2024 года провести мероприятия, направленные на защиту информации и персональных данных, а именно:

- провести инвентаризацию информационно-телекоммуникационных сетей, информационных систем;

- актуализировать перечень объектов критической информационной инфраструктуры;

- по результатам провести классификацию выявленных объектов, определить уровень их защищенности и класс защиты;

- разработать комплекс мер по защите информации в соответствии с Приказом ФСТЭК России от 18.02.2013 года №21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и Приказом ФСТЭК России от 25.12.2017 года №239 « Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Настоящее решение может быть обжаловано в Ивановский областной суд через Кинешемский городской суд в течение месяца со дня его принятия в окончательной форме.

Председательствующий судья Т.В. Ельцова

Мотивированное решение изготовлено 06 декабря 2023 года