Отсутствие аттестации ИС как основание административного правонарушения

Описание

Верховный Суд Российской Федерации подтвердил законность привлечения комитета информационных технологий Волгоградской области к административной ответственности за эксплуатацию государственной информационной системы без проведения обязательной аттестации по требованиям безопасности информации.

Дело устанавливает важный прецедент: отсутствие аттестата соответствия является самостоятельным нарушением, независимо от наличия утечек данных или технических сбоев.

Реквизиты судебного акта

Номер дела: № 16-АД25-1-К4

Дата постановления: 17 февраля 2025 г.

Судья: Кузьмичев С. И., судья Верховного Суда РФ

Форма производства: Надзорное производство

Суть решения: Оставить без изменения постановление ФСТЭК и судебные акты нижестоящих инстанций

Статья КоАП РФ: Часть 6 статьи 13.12

Ответчик: Комитет информационных технологий Волгоградской области (юридическое лицо)

Ссылка на дело: Карточка производства

Фактические обстоятельства

Объект проверки:

  • Единая автоматизированная система электронного документооборота (АСЭД);
  • Используется органами исполнительной власти Волгоградской области;
  • Комитет ИТ определён оператором и ответственным за информационную безопасность.

Проверка:

  • Проведена Управлением ФСТЭК России по Южному и Северо-Кавказскому ФО.
  • Сроки: 17–21 апреля 2023 года.
  • Основание: плановая выездная проверка.

Выявленные нарушения:

  1. Эксплуатация АСЭД без оформленной должным образом системы защиты информации, соответствующей требованиям.
  2. Не проведена аттестация информационной системы по требованиям безопасности информации.
  3. Отсутствуют:
  • аттестат соответствия;
  • протоколы аттестационных испытаний;
  • документы, подтверждающие соответствие Требованиям ФСТЭК (приказ № 17).

Правовое обоснование

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 16, часть 5): Требования к защите информации в государственных информационных системах устанавливаются ФСТЭК и иными уполномоченными органами. Применение методов защиты должно соответствовать этим требованиям.

Постановление Правительства РФ от 6 июля 2015 г. N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (п. 15): Эксплуатация государственной информационной системы допускается только после прохождения аттестации по требованиям безопасности информации.

Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (п.п. 13, 17 Требований о защите информации): Аттестация — обязательный этап жизненного цикла информационной системы. Не может проводиться силами сотрудников, участвовавших в разработке или внедрении системы.

Кодекс Российской Федерации об административных правонарушениях (часть 6 статьи 13.12): Нарушение требований о защите информации (кроме гостайны), установленных федеральными законами и нормативными актами, — влечёт штраф: для юридических лиц — от 10 000 до 15 000 рублей.

Позиция сторон

Защитник:

  • утверждал, что АСЭД не является государственной информационной системой;
  • считал, что проверка проведена с процессуальными нарушениями;
  • находил наказание несоразмерным, так как реального вреда не было.

Позиция суда:

  • АСЭД создана для реализации полномочий госорганов, что соответствует определению государственной информационной системы (ст. 13, 14 федерального закона № 149-ФЗ);
  • комитет, как оператор, имел возможность организовать аттестацию, но не принял зависящих от него мер, что говорит об умысле (ст. 2.1 КоАП);
  • все процессуальные нормы соблюдены, доказательства — допустимы и достаточны;
  • штраф в размере 10 000 рублей — минимальный, в пределах статьи.

Выводы суда

  1. АСЭД признаётся государственной информационной системой.
  2. Обязанность по аттестации лежит на операторе (обладателе информации).
  3. Отсутствие аттестата — самостоятельное правонарушение.
  4. Нарушение подтверждено достоверными доказательствами.
  5. Жалоба отклонена, все акты оставлены в силе.

Наши рекомендации

  1. Проводить аттестацию в срок: перед вводом в эксплуатацию и далее — каждые 3 года (или при значимых изменениях). Если для вас аттестация является обязательной.
  2. Назначить ответственного: лицо, уполномоченное на организацию аттестации и взаимодействие с ФСТЭК России.
  3. Использовать независимых лиц: Аттестационные испытания не могут проводиться внутренними специалистами, которые разрабатывали систему защиты информации. Если у вас нет органа по аттестации — приглашайте внешнюю организацию имеющую соответствующую лицензию.
  4. Вести реестр документов: Хранить аттестат, протоколы, регламенты, журналы доступа.
  5. Проверять статус всех ИС: Даже если система используется давно — она должна быть аттестована по текущим требованиям, если законодательством установлено, что аттестация для вас является обязательной.
0
Бесплатный
Приказ Управления делами Президента РФ от 19.12.2023 N 557 «Об упорядочении обращения со служебной информацией ограниченного распространения в Управлении делами Президента Российской Федерации и подведомственных ему организациях»
Методология «Волга-27001». Рекомендации по выполнению требований (часть 2). Требование ТР.0.2.92.2
Все посты проекта
Комментарии
avatar
Здесь будут комментарии к публикации