В продолжение истории от ФСТЭК.
Данное судебное дело очень хорошо демонстрирует особенности и нюансы контроля за выполнением 21 приказа ФСТЭК и 378 приказа ФСБ операторами ПДн со стороны ФСБ. Так же будет интересен этот опыт и для субъектов КИИ, которым "повезет" выполнять 235 и 239 приказ ФСТЭК.
1. Отсутствие требований об обязательном использовании сертифицированных СЗИ в ИСПДн не означает бездействия оператора ИСПДн. Подтверждение соответствия требованиям необходимо оформить. Для субъектов КИИ эта процедура прямо прописана в 239 приказе.
2. Вполне правильная квалификация правонарушения, так как ч.2 ст.13.12 КоАП не применима для ИСПДн.
3. Попытка избежать наказания ответственного за обеспечение безопасности персональных данных в организации закономерно не удалась. Перспектива для "отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры" вполне ясна.
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
Решение № 12-170/2017 от 18 мая 2017 г. по делу № 12-170/2017
Промышленный районный суд г. Смоленска (Смоленская область) - Административное
Дело № 12-170/2017
Постановлением врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года Сергеев П.В. признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему назначено административное наказание в виде административного штрафа в размере <данные изъяты> руб.
Не согласившись с указанным постановлением, Сергеев П.В. подал жалобу, в которой указывает, что из оспариваемого постановления усматривается, что его привлекли к административной ответственности за то, что в <данные изъяты> «<данные изъяты>» не применялись средства криптографической защиты информации соответствующего класса. Кроме того, в постановлении имеется ссылка на п. <данные изъяты> Должностной инструкции ответственного за обеспечение безопасности персональных данных <данные изъяты>», при этом, указанным пунктом установлено, что в его функции входит организация (распределение обязанностей и контроль за исполнением поручений) работ по обеспечению безопасности персональных данных, т.е. его функция заключалась в распределении обязанностей за исполнением поручением при проведении работ. Для того, что бы он (Сергеев) приступил к исполнению данной функции необходимо, что бы кто-то инициировал само проведение работ, а именно наличие докладной записки лица, на которое возложено выполнение работ по обеспечению безопасности. Поскольку, указанной докладной записки он не получал, то соответственно отсутствовали основания для организации какой-либо работы. Кроме того, в соответствии с приказом № № от ДД.ММ.ГГГГ года лицом, которое является ответственным за выполнение работ по обеспечению безопасности является ФИО2 Считает, что не является лицом, ответственным за организацию обработки персональных данных. Согласно уведомлению, направленному <данные изъяты>» в <данные изъяты>, этим лицом является совершенно иной работник предприятия. Он (Сергеев) был назначен лицом, ответственным за обеспечение безопасности персональных данных, исключительно в целях упорядочения внутренних отношений между работниками, непосредственно выполняющими работы, связанные с обеспечением безопасности персональных данных, и может быть привлечён только к дисциплинарной ответственности за отсутствие надлежащей организации уже выполняющихся работ. В связи с чем, просит постановление врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года по делу об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ, отменить, производство по делу прекратить.
Представитель УФСБ России по Смоленской области Штепа В.Г., с доводами жалобы не согласился, пояснил, что как усматривается из жалобы Сергеева П.В. и данных им объяснений факт правонарушения им не оспаривается, оспаривается законность постановления в части определения субъекта правонарушения. ДД.ММ.ГГГГ уполномоченным должностным лицом – сотрудником Управления ФИО1 . при непосредственном обнаружении признаков административного правонарушения в отношении заместителя директора <данные изъяты>» Сергеева П.В. был составлен протокол об административном правонарушении, предусмотренном ч.6 ст. 13.12 КоАП РФ. Так, согласно материалам дела, <данные изъяты>» является <данные изъяты>, осуществляющим обработку персональных данных, зарегистрированным в Реестре операторов, осуществляющих обработку персональных данных (рег. № №). В организации функционирует информационная система персональных данных «<данные изъяты>», которой определен 3 уровень защищенности персональных данных при их обработке в информационной системе. В соответствии с пп. «г» п. 13, п. 14 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (далее – Постановление № 1119), одним из обязательных требований для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах является требование об использовании «средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации» (приказ ФСТЭК России от 18.02.2013 № 21, приказ ФСБ России от 10.07.2014 № 378). Однако, в нарушение требований действующего законодательства обмен персональными данными при их обработке в информационной системе «СТЭК ЖКХ» осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.
В судебном заседании установлено, что ДД.ММ.ГГГГ года оперуполномоченным УФСБ России по Смоленской области ФИО1 отношении Сергеева П.В. составлен протокол об административном правонарушении № №, согласно которого обмен персональными данными при их обработке в информационной системе «<данные изъяты>» осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.
Постановлением врио начальника УФСБ России по Смоленской области от ДД.ММ.ГГГГ года Сергеев П.В. признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему назначено административное наказание в виде административного штрафа в размере <данные изъяты> руб.
Часть 6 ст. 13.12 КоАП РФ, предусматривает административную ответственность за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, и влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
В соответствии со статьей 2.4 КоАП РФ административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей.
Факт нарушения Сергеевым П.В. заместителем директора <данные изъяты>», своих должностных обязанностей подтверждается собранными по делу доказательствами, а именно: протоколом об административном правонарушении от ДД.ММ.ГГГГ года, протоколом осмотра помещений, территорий и находящихся там вещей и документов от ДД.ММ.ГГГГ года, должностной инструкцией ответственного за обеспечение безопасности персональных данных в <данные изъяты>».
Данные доказательства отвечают требованиям ст. 26.2 КоАП РФ, предъявляемым к доказательствам по делу об административном правонарушении.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Извините, но мне не понятны истоки следующего момента в тексте: "2. Вполне правильная квалификация правонарушения, так как ч.2 ст.13.12 КоАП не применима для ИСПДн."
ОтветитьУдалитьП.2 ст.13.12 очкнь узкоспециализированный. Касается исключительно сертификации, обязательной в законодательном порядке. А это только для гис установлено. Для испд, сертификация -это один из вариантов подтверждения соответствия.
ОтветитьУдалить