Страницы

вторник, 11 июня 2019 г.

Как правильно ознакомить сотрудника с документами.


      В заметке самым примечательным для области ИБ стала позиция Верховного суда, по которой не обязательно подтверждать ознакомление "провинившегося" работника с регламентирующими документами в стандартной форме (с подписью и датой ознакомления).
    "При этом он обращал внимание, что в материалах дела отсутствовали сведения о его ознакомлении с приказом министра обороны Сергея Шойгу №777 от 25 ноября 2016 года, регулирующим порядок выезда за границу.
    Что касается приказа министра, то, как решил Верховный суд, подполковник Борисов в силу занимаемой должности и принятых на себя обязательств по соблюдению требований законодательства о гостайне, большой выслуги лет и частых поездок за границу знал о действующем в вооруженных силах порядке и обязан был согласовывать их с «полномочным руководителем».
     Но в судебной практике есть и примеры обратного. Вообще, отличный пример важности связанности всех документов по защите информации и легализации систем электронного документооборота. И позиция ФСБ не помешала суду принять обоснованное решение.

Решение № 12-376/2018 от 25 июля 2018 г. по делу № 12-376/2018
Фрунзенский районный суд г. Владивостока (Приморский край) - Административные правонарушения
УСТАНОВИЛ:
    Постановлением начальника подразделения УФСБ России по Приморскому краю № от 10.04. должностное лицо – главный специалист сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности ФГАОУ ВО «Дальневосточный федеральный университет» Комова С.А. привлечена к административной ответственности по ч.6 ст. 13.12 КоАП РФ с назначением административного наказания в виде штрафа в размере 1000 рублей.
    Не согласившись с данным постановлением, защитник Комовой С.А. – адвокат Ширинин В.А. обратился в суд с жалобой, указав, что приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № доводился ФИО2 для ее ознакомления посредством системы электронного документооборота СЭД «DIRECTUM» не может иметь юридического значения, поскольку до издания приказа «Об утверждении Положения о системе электронного документооборота в ДВФУ» от дата № СЭД «DIRECTUM» не являлся системой официального централизованного доведения документов до сотрудников университета. Сведения о том, что ФИО2 ознакомилась с приказом «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № посредством системы электронного документооборота СЭД «DIRECTUM» дата в 12:22:37, дата в 12:31:27, дата в 12:32:36, дата в 15:02:57, дата в 08:42:51 (время местное) являются недопустимыми доказательствами. Иным предусмотренным законом способом приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № до сведения ФИО2 не доводился, доказательств обратного в материалах дела об административном правонарушении не представлено. Кроме того, ФИО2 не могла являться работником ДВФУ непосредственно подчиняющимся ректору, поскольку занимала должность главного специалиста сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности.               
   Отсутствие непосредственной подчиненности ФИО2 ректору ДВФУ подтверждается действовавшим в тот момент в университете штатным расписанием. На основании изложенного, просил постановление отменить, производство по делу прекратить.
   В судебном заседании Комова С.А. и её защитник – адвокат Ширинин В.А. на доводах жалобы настаивали в полном объеме.
   Представитель УФСБ России по Приморскому краю ФИО8 возражал против доводов жалобы.
   Выслушав пояснения участвующих лиц, изучив доводы жалобы, документы, приложенные к жалобе, административный материал, истребованный судом, суд пришел к следующему.
    В настоящее время в ДВФУ функционирует 19 информационных систем, в которых осуществляется обработка персональных данных (далее -ИСПДн). Перечень ИСПДн и схема их взаимодействия утверждены приказом ДВФУ от дата № «Об утверждении перечня информационных систем персональных данных». Состав и содержание организационных мер защиты в информационных системах персональных данных представлен ДВФУ в списке внутренних нормативных документов (исх. № от дата).
    Приказом ДВФУ от дата № утвержден «Регламент осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ДВФУ» (далее -Регламент). Регламентом установлено, что в Университете проводятся контрольные мероприятия за соответствием обработки персональных данных требованиям к защите персональных данных в различных целях, одной из которых согласно п. 4.2.4 Регламента является оценка обоснованности и эффективности мер и средств защиты, применяемых для защиты персональных данных. В силу п. 5.2, п. 5.4 и 8.1 плановые и внеплановые контрольные мероприятия проводятся сотрудниками отдела защиты информации ДВФУ (приказом ДВФУ от дата № «О внесении изменений в структуру и штатную численность ДВФУ» отдел защиты информации ДВФУ реорганизован в сектор информационной безопасности ЦИБиТСО ДКБ ДВФУ), при обязательном участии лица, ответственного за организацию обработку персональных данных.
     Основанием привлечения ФИО2 к административной ответственности, за совершение административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ, послужило то обстоятельство, что главный специалист ФИО2 согласно приказу «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № была назначена ответственным за организацию обработки персональных данных. В результате анализа полученных внутренних нормативных документов ДВФУ, а также опроса директора Центра информационной безопасности и технических средств охраны департамента комплексной безопасности ДВФУ ФИО6 установлено, что мероприятия по определению угроз безопасности персональных данных и уровней защищенности персональных данных в ДВФУ не проведены. Документальные материалы, подтверждающие факт определения угроз безопасности и уровней защищенности персональных данных, обрабатываемых в ИСПДн ДВФУ, не готовились и на текущий момент отсутствуют. В ходе опроса дата ФИО2 сообщила, что с приказом «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № о назначении ее ответственным лицом за организацию обработки персональных данных в ДВФУ она не ознакомлена, содержание данного приказа ей неизвестно. Вместе с тем установлено, что приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № доводился ФИО2 для ее ознакомления посредством системы электронного документооборота СЭД «DIRECTUM» дата в 12:22:37 (время местное). В соответствии с историей ознакомления с электронными документами СЭД «DIRECTUM» зафиксировано, что ФИО2 знакомилась с указанным документом дата в 12:31:27, дата в 12:32:36, дата в 15:02:57, дата в 08:42:51.В качестве доказательств совершения административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и вины должностного лица – главного специалиста сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности ФГАОУ ВО «Дальневосточный федеральный университет» ФИО2 приведено: запрос в ФГАОУ ВО «Дальневосточный федеральный университет» от дата № экз. № на 2 листах; ответ из ФГАОУ ВО «Дальневосточный федеральный университет» на запрос от дата № на 4 листах и 1 оптическом диске; протокол опроса ФИО6 от дата на 24 листах; протокол опроса ФИО2 от дата на 3 листах; приказ от дата № «О назначении ответственного за организацию обработки персональных данных в ДВФУ» на 2 листах; протокол опроса ФИО7 от дата на 46 листах.
   Вместе с тем, исходя из составленных в рамках настоящего дела процессуальных документов, вывод о виновности главного специалиста сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности ФГАОУ ВО «Дальневосточный федеральный университет» ФИО2 нельзя признать соответствующим требованиям закона в силу следующего. Вместе с тем, при оценке доводов жалобы установлено следующее.
   СЭД «DIRECTUM» как система единого порядка электронного документооборота в ДВФУ была официально введена приказом «Об утверждении Положения о системе электронного документооборота в ДВФУ» от дата №.
    Пункт 5.8. указанного Положения подробно описывает процедуру ознакомления сотрудников ДВФУ, имеющих доступ к СЭД «DIRECTUM», с электронным документооборотом. Важными аспектами использования системы электронного документооборота является ее обязательность при регистрации входящих документов; вынесении резолюций и контроля исполнения по входящим документам; подготовки и согласования исходящих документов; регистрации исходящих документов; подготовки и согласования внутренних документов; рассылки и ознакомления с документами, что предусмотрено разделом 4 Положения. 
    Таким образом, утверждение о том, что приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № доводился ФИО2 для ее ознакомления посредством системы электронного документооборота СЭД «DIRECTUM» не может иметь юридического значения, поскольку до издания приказа «Об утверждении Положения о системе электронного документооборота в ДВФУ» от дата № СЭД «DIRECTUM» не являлся системой официального централизованного доведения документов до сотрудников университета. До официального введения в действие СЭД «DIRECTUM» мог являться лишь базой данных, но не средством официального централизованного доведения документов.
     Сведения о том, что ФИО2 ознакомилась с приказом «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № посредством системы электронного документооборота СЭД «DIRECTUM» дата в 12:22:37, дата в 12:31:27, дата в 12:32:36, дата в 15:02:57, дата в 08:42:51 (время местное) являются недопустимыми доказательствами. Иным предусмотренным законом способом приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № до сведения ФИО2 не доводился, доказательств обратного в материалах дела об административном правонарушении не представлено.
    Согласно приказу «Об утверждении Правил обработки ПДн, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДн» от дата № такие Правила вводились для реализации целей единой политики ДВФУ в отношении обработки и защиты персональных данных. 
    В п. 8.1. указанных Правил прямо прописано, что лицо, ответственное за организацию обработки ПДн в ДВФУ, назначается ректором ДВФУ из числа работников ДВФУ, непосредственно подчиняющихся ректору. 
    В этой связи ФИО2 не могла являться работником ДВФУ, непосредственно подчиняющимся ректору, поскольку занимала должность главного специалиста сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности.
    Отсутствие непосредственной подчиненности ФИО2 ректору ДВФУ подтверждается действовавшим в тот момент в университете штатным расписанием. 
    Таким образом, можно утверждать, что приказ «О назначении ответственного за организацию обработки персональных данных в ДВФУ» от дата № был издан в нарушение п. 8.1. Правил обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
   Таким образом, материалами административного дела не установлен и не подтвержден факт нарушения ФИО2 требований о защите информации (за исключением информации, составляющей государственную <...>), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.
    При указанных обстоятельствах вывод о доказанности вины должностного лица – главного специалиста сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности ФГАОУ ВО «Дальневосточный федеральный университет» ФИО2 в совершении правонарушения, предусмотренного ч.6 ст. 13.12 Кодекса Российской Федерации об административных правонарушениях, нельзя признать основанным на всестороннем, полном и объективном исследовании всех обстоятельств дела в их совокупности.
    В соответствии с пунктом 3 части 1 статьи 30.7 Кодекса РФ об административных правонарушениях при недоказанности обстоятельств, на основании которых было вынесено постановление, оно подлежит отмене.
   Принимая во внимание, что вина должностного лица в ходе производства по делу не доказана, постановление начальника подразделения УФСБ России по Приморскому краю № от дата, подлежит отмене в связи с недоказанностью обстоятельств, на основании которых должностное лицо – главный специалист сектора информационной безопасности центра информационной безопасности и технических средств охраны департамента комплексной безопасности ФГАОУ ВО «Дальневосточный федеральный университет» ФИО2 привлечена к административной ответственности.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

2 комментария:

  1. Примерно где-то год тому назад Роскомнадзор проводил публичный семинар, на котором представитель службы заявлял, что все ознакомления у операторов по линии ПДн должны быть под письменную собственноручную подпись. Такой ответ, разумеется, вызвал бурю эмоций. Хотя в законе форма ознакомления не определена.

    ОтветитьУдалить
  2. РКН требует большего, они хотят оформление отдельного документа письменного, а не лист ознакомления к приказам.

    ОтветитьУдалить