Ранее уже затрагивалась тема полномочий ФСБ самостоятельно определять принадлежность информационной системы к ГИС или ИСПДн, после чего оператору вменялось нарушение мер защиты по п.6.ст.13.12 КоАП РФ. www.itsec.ru/articles2/pravo/ugolovno-pravovye-riski-operatorov-informatsionnyh-sistem/ и https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
И вот очередной и очень характерный пример из судебной практики. Особенно интересен подобный опыт для субъектов КИИ.
Р Е Ш Е Н И Е № 12-933/2016
5 октября 2016 года г. Оренбург
Ленинский районный суд г. Оренбург
Что интересно для операторов ИС:
1. Проверка проводилась в рамках расследования уголовного дела в отношении неустановленных лиц по факту неправомерного доступа к информационным системам правительства Оренбургской области по инициативе УМВД и УФСБ по Оренбургской области. По результатам рассмотрения им был составлен протокол, который был представлен в УФСБ РФ по Оренбургской области УФСТЭК России по ПФО от .... Так как виновные лица при производстве по делу об административном правонарушении установлены не были, было принято решение о привлечении к ответственности юридическое лицо, а именно департамент информационных технологий Оренбургской области и Центр информационных технологий Оренбургской области.
1.1 Основанием для прихода ФСБ послужил инцидент ИБ, по факту которого возбуждено уголовное дело. Это не плановая или внеплановая проверка регуляторами.
1.2 Оперативник ФСБ выявил состав правонарушения и составил протокол по административном правонарушении по п.6 ст.13.12. Протокол был направлен и во ФСТЭК.
1.3 К ответственности привлекли по одному протоколу сразу две отдельных организации.
2. Департамент выступал государственным заказчиком при приобретении и создании продукта информационно-телекоммуникационной сети - «Электронная почта органов исполнительной власти Оренбургской области» и информационной системы «Интернет-портал органов государственной власти Оренбургской области». Исходя из изложенных положений федерального и регионального законодательства «Электронная почта органов государственной власти Оренбургской области» относится не к государственным информационным системам, а к продуктам информационно-телекоммуникационной сети. ИС «Интернет-портал» также не является государственной информационной системой, а может быть определен как информационная система. Должностное лицо юрисдикционного органа квалифицировало сервис «Электронная почта» и ИС «Интернет-портал» как государственные информационные системы, что по мнению департамента, является неверным применением норм Закона № 149-ФЗ. Также, по мнению департамента, юрисдикционным органом неверно установлено лицо, совершившее (могущее совершить) административное правонарушение, ответственность за которое установлено нормой ч. 6 ст. 13.12 КоАП РФ. Департамент информационных технологий не является ни обладателем информации, ни оператором указанных выше сервиса «Электронная почта» и ИС «Интернет-портал». ..функции оператора данных сервиса и информационной системы осуществляет подведомственное департаменту государственное казенное учреждение «Центр информационных технологий Оренбургской области». ….представитель Департамента указывает, что Особенная часть КоАП РФ не содержит ответственности за «нарушение правил контроля за подведомственным государственному органу учреждением», также указывает, что ИС «Интернет- портал» и «Электронная почта» не входят в реестр государственных информационных систем. Согласно действующего законодательства, только орган исполнительной власти наделен правом принятия решения о создании информационной системы и классификации ее как государственной, поэтому действия Управления ФСБ по расширительному толкованию норм Федерального Закона № 149-ФЗ и применение к сервису «Электронная почта» и ИС «Интернет-портал» норм закона, касающихся государственных информационных систем, нарушают действующее законодательство, а именно п. 1 ч. 1 ст. 13 и ч. 5 ст. 14 Федерального закона № 149-ФЗ.
2.1. Позиция нарушителя, что «электронная почта» вообще не ИС. Что госзаказчик не является оператором и ключевое для всех операторов и владельцев ИС – нет в реестре ГИС и ФСБ не имеет полномочий принимать решений о классификации ИС.
3. Позиция ФСБ
….., что рассматриваемые системы обладают всеми признаками государственных информационных систем, поскольку они были созданы на основании правовых актов органов власти. …. С утверждением представителя департамента о том, что электронная почта не является информационной системой, он не согласен, поскольку электронная почта, это информационная система, где информация структурируется. Она создана для обмена информации между министерствами, в том числе и служебной информации. … Согласно акта проверки ФСТЭК, информационные системы «Интернет портал» и «Электронная почта» не отнесены заказчиком к государственным информационным системам, но имеют признаки таковых и департамент является их владельцем. Также в ходе проверки было установлено, что в Департаменте нет эксплуатационных документов по использованию этих систем, а именно документов по защите, а имеются документы по регламенту работу. Поэтому Департаменту и вменяется нарушение требований ст. 16 ФЗ-149. Законом установлен заказчик, обладатель должен принять меры для обеспечения требований защиты. Департамент ссылается на то, что в реестре отсутствуют указанные информационные системы и поэтому к ним не могут применяться требования, предъявляемые к государственным информационным системам, но это не верно. Все, что не делается в государственном органе, все нацелено для выполнения его полномочий, другая деятельность незаконна. Департаментом частично приняты меры по защите информации, но средства защиты информации, кроме антивирусной, не сертифицированы.
3.1. Реестр ГИС не важен. Все что создано для автоматизации деятельности органа власти – ГИС. При этом, у ФСТЭК вопросов не было к ДИТу, что ИС не заявлены ГИС. ФСБ проверяет не только СКЗИ, но и все остальные типы СЗИ. И выполнение 17 приказа ФСТЭК тоже.
4. Позиция суда
Согласно акта проверки «Информационные системы «Интернет-портал органов государственной власти Оренбургской области» и «Электронная почта органов государственной власти Оренбургской области» не отнесены их заказчиком к государственным информационным системам, однако имеют их признаки, а именно: созданы в рамках выполнения нормативных правовых актов Правительства Оренбургской области; предназначены для реализации полномочий органов государственной власти Оренбургской области и обеспечения обмена информацией между этими органами.
В ходе проверки установлено, что департамент информационных технологий Оренбургской области является владельцем указанных информационных систем. Функции оператора обеих информационных систем выполняет ГКУ «ЦИТ».
Факты нарушения законодательства департаментом информационных технологий подтверждаются: протоколом об административном правонарушении от ..., выпиской из акта проверки от ..., положением о департаменте информационных технологий Оренбургской области и положением об отделе информационной безопасности департамента информационных технологий Оренбургской области, и другими материалами, исследованными в ходе судебного заседания.
Довод представителя о том, что в постановлении отсутствует дата и время совершения правонарушения, суд находит необоснованным, поскольку согласно протокола указано, что правонарушение установлено в ходе проведения проверки, а время совершения административного правонарушения не указано в связи с тем, что выявленное административное правонарушение является длящимся и обусловлено длительным неисполнением юридическим лицом конкретных обязательств, определенных 149-ФЗ.
https://bsr.sudrf.ru/bigs/showDocument.html#id=6d359e9e836a66371f994cfe3ab9b55f
Итог:
1. Поводов зайти в организацию у оперативников ФСБ предостаточно.
2. Если организация не орган госвласти, то это не повод расслабится. Не забываем про ИСПДн и 21 приказ ФСТЭК.
3. Для ФСБ и суда достаточно признаков ИС, а так же для отнесения замаскированных ИС к ИСПДн или ГИС. Изменение названий в внутренних документах не поможет.
4. Отсутствие полномочий у ФСБ по классификации ИС как ГИС для суда не аргумент.
5. В сфере КИИ вполне можно прогнозировать такую же практику – зашел опер, выявил значимые объекты КИИ своим экспертным мнением, выписал админку по п.6.ст.13.12 КоАП за невыполнение 235 и 239 приказа ФСТЭК. Суды подтвердят, что ваши ИС значимые объекты КИИ по выявленным ФСБ признакам.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.