Решение по делу № 2-219/2025 от 13.02.2025 - об обязании устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации.

дело № 2-219/2025

11RS0020-01-2025-000197-63

РЕШЕНИЕ

Именем Российской Федерации

село Кослан 13 февраля 2025 года

Усть-Вымский районный суд Республики Коми в составе председательствующего судьи Жданова А.Н., при секретаре судебного заседания Андреевой С.Е., с участием помощника прокурора Удорского района Ветошевой В.Н., рассмотрев в открытом судебном заседании гражданское дело по исковому заявлению прокурора Удорского района Республики Коми к Государственному бюджетному учреждению здравоохранения Республики Коми «Удорская центральная районная больница» об обязании устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации,

установил:

прокурор обратился в суд с иском, в обоснование которого указал, что прокуратурой района проведена проверка исполнения Государственным бюджетным учреждением здравоохранения Республики Коми «Удорская центральная районная больница» (далее – ГБУЗ РК «Удорская ЦРБ») требований законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации, по результатам которой установлено, что приказом и.о. главного врача Удорской ЦРБ от <Дата> <Номер> утвержден перечень объектов критической информационной инфраструктуры, подлежащих категорированию, который в дальнейшем направлен в Управление Федеральной службы по техническому и экспортному контролю по Северо-Западному федеральному округу (далее – ФСТЭК). Однако фактически категорирование объектов критической информационной инфраструктуры в Удорской ЦРБ не проведено, разработан только перечень потенциальных объектов. В Удорской ЦРБ полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты не возложены ни на одного из заместителей руководителя учреждения. В нарушение норм законодательства, в ГБУЗ РК «Удорская ЦРБ» модель угроз безопасности информации не разработана. На основании изложенного прокурор просил суд: обязать ГБУЗ РК «Удорская центральная районная больница» устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации, а именно в течение 6 месяцев со дня вступления решения суда в законную силу путем:

В судебном заседании прокурор доводы иска поддержал в полном объеме, просил их удовлетворить в полном объеме.

Ответчик ГБУЗ РК «Удорская ЦРБ», извещенный надлежащим образом о времени и месте судебного разбирательства в судебное заседание представителя не направил, в письменном отзыве просил, рассмотреть дело без участия их представителя, указал, что для устранения нарушений по иску прокурора организовано обучение работника отдела информационных технологий ГБУЗ РК «Удорская ЦРБ» по дополнительной профессиональной программе профессиональной переподготовки «Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры», объемом 502 академических часов в АНО ДПО «Академия АйТи». Для практической реализации комплекса организационных и технических мероприятий, направленных на обеспечение кибербезопасности при осуществлении медицинской деятельности в учреждении проводится сбор информации объектов критической информационной инфраструктуры.

Третье лицо Министерство здравоохранения Республики Коми, извещенное надлежащим образом о времени и месте судебного разбирательства в судебное заседание представителя не направило, мнение по иску не высказало.

Выслушав прокурора, исследовав материалы дела, суд пришел к следующему.

Прокуратурой Удорского района проведена проверка исполнения Государственным бюджетным учреждением здравоохранения Республики Коми «Удорская центральная районная больница» (далее – ГБУЗ РК «Удорская ЦРБ») требований законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации, по результатам которой установлены следующие нарушения.

В соответствии со статьей 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ) российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей, являются субъектами критической информационной инфраструктуры Российской Федерации (пункт 8), а информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления - объектами критической информационной инфраструктуры (пункт 7).

Согласно статье 7 Закона о безопасности критической информационной инфраструктуры категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения (часть 1).

Категорирование осуществляется исходя из социальной, политической, экономической, экологической значимости, а также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка (часть 2):

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий (часть 4).

Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме (часть 5).

Между тем, по результатам проверки установлено, что приказом и.о. главного врача Удорской ЦРБ от <Дата> <Номер> утвержден перечень объектов критической информационной инфраструктуры, подлежащих категорированию, который в дальнейшем направлен в Управление Федеральной службы по техническому и экспортному контролю по Северо-Западному федеральному округу (далее – ФСТЭК).

Однако фактически категорирование объектов критической информационной инфраструктуры в Удорской ЦРБ не проведено, разработан только перечень потенциальных объектов критической информационной инфраструктуры. Указанное подтверждается в том числе постановлением ФСТЭК о назначении административного наказания <Номер> от <Дата> в соответствии с которым юридическое лицо - ГБУЗ РК «Удорская ЦРБ» признано виновным в совершении административного правонарушения, предусмотренного

В силу ч. 3 ст. 9 Федерального закона № 187-ФЗ субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 данной статьи, также обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации; выполнять предписания должностных лиц федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта критической информационной инфраструктуры, выданные этими лицами в соответствии со своей компетенцией; реагировать на компьютерные инциденты в порядке, утвержденном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры.

В силу положений ст. 11 Федерального закона № 187-ФЗ требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, устанавливаемые федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, дифференцируются в зависимости от категории значимости объектов критической информационной инфраструктуры и этими требованиями предусматриваются:

1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

2) принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;

3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Указом Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» предписано возложить на заместителя руководителя органа полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

В нарушение данных требований в Удорской ЦРБ полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты не возложены ни на одного из заместителей руководителя учреждения.

Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации утверждены приказом ФСТЭК России от 25.12.2017 № 239 (далее – Требования № 239).

Согласно п. 11 Требований № 239 разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимого объекта и (или) обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и должна включать:

а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);

б) проектирование подсистемы безопасности значимого объекта;

в) разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).

В силу п. 14.3 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 № 17 (далее – Требования) угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

В нарушение вышеуказанных норм законодательства, в ГБУЗ РК «Удорская ЦРБ» модель угроз безопасности информации не разработана.

Суд, принимая во внимание установленные обстоятельства и исследованные материалы дела, мнение прокурора, считает исковые требования прокурора к ответчику об обязании устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации, законными, обоснованными и подлежащими удовлетворению.

На основании вышеизложенного и руководствуясь статьями 194-199 Гражданского процессуального кодекса Российской Федерации, суд

решил:

исковое заявление прокурора Удорского района Республики Коми к Государственному бюджетному учреждению здравоохранения Республики Коми «Удорская центральная районная больница» об обязании устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации удовлетворить.

Обязать ГБУЗ РК «Удорская центральная районная больница» устранить нарушения законодательства в сфере использования информационно-телекоммуникационных сетей, компьютерной информации, а именно в течение 6 месяцев со дня вступления решения суда в законную силу путем:

На решение суда может быть подана апелляционная жалоба, а прокурором – апелляционное представление в Верховный суд Республики Коми через Усть-Вымский районный суд Республики Коми в течение месяца со дня принятия решения судом в окончательной форме.

Председательствующий подпись А.Н.Жданов

Мотивированное решение составлено к 17 часам 17 февраля 2025 года.