Штраф за отсутствие антивируса при обработке ПДн

Дата: 08.02.2022. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Штраф за отсутствие антивируса при обработке ПДн

 

    Свежее и довольно подробное дело об административном правонарушении по ч.6 ст.13.12 КоАП.

   Обращает на себя внимание очень тщательная подкрепление в доказательной базе, ФСБ добросовестно все оформили.
    Интересный вывод в судебном решении: пп. «г» п. 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, п. 4 Состава и содержания, утвержденного приказом ФСТЭК от 18.02.2013 № 21, антивирусное средство должно быть сертифицированным.
    И судя по всему, ВПО гадило через всю страну —  из ЕАО в Астраханскую область (ГБУ Астраханской области «Инфраструктурный центр электронного правительства») и сработала СОПКА.

Дело № 12-174/2020                            

Р Е Ш Е Н И Е

по жалобе на постановление по делу об административном правонарушении

05 марта 2021 года                          г. Биробиджан

Судья Биробиджанского районного суда Еврейской автономной области Бирюкова Е.А., рассмотрев в открытом судебном заседании дело по жалобе должностного лица — директора Федерального государственного бюджетного учреждения станции агрохимической службы «Биробиджанская» Косовой Н.А. на постановление заместителя начальника УФСБ России по ЕАО ФИО3 № № от 28.01.2021, по делу об административном правонарушении, предусмотренном ч. 6 ст. 13.12 КоАП РФ, в отношении должностного лица — директора Федерального государственного бюджетного учреждения станции агрохимической службы «Биробиджанская» Косовой Н.А.,

У с т а н о в и л:

Постановлением заместителя начальника УФСБ России по ЕАО ФИО3 № № от 28.01.2021 директор Федерального государственного бюджетного учреждения станции агрохимической службы «Биробиджанская» (далее – ФГБУ САС «Биробиджанская», учреждение) Косова Н.А. признана виновной в совершении административного правонарушения, ответственность за которое предусмотрена ч. 6 ст. 13.12 КоАП РФ, и назначено ей административное наказание в виде административного штрафа в размере 1 000 рублей.

Не согласившись, директор ФГБУ САС «Биробиджанская» Косова Н.А. обратилась в суд с жалобой, в которой просила вышеуказанное постановление отменить как незаконное, мотивируя тем, что ФГБУ САС «Биробиджанская» как оператор персональных данных имеет Положение о работе с персональными данными работников ФГБУ САС «Биробиджанская», согласно которому, определен порядок получения, систематизации, обработки, хранения, передачи и любого другого использования персональных данных работников учреждения.

Кроме этого, работодателем обеспечен ограниченный доступ к персональным данным, как на бумажном носителе, так при работе на электронно-вычислительных машинах (ЭВМ).

Вместе с тем персональные данные сотрудников учреждения имеются только на двух ЭВМ, а именно у главного бухгалтера и экономиста, на которых ежегодно устанавливается антивирусное программное обеспечение «Kaspersky Intemet Security», что подтверждается товарным чеком.

С доводами, указанными в постановлении об отсутствии антивирусных средств на ЭВМ, на которых обнаружены вредоносные программы, не согласна поскольку, на всех остальных ЭВМ установлены нелицензионные антивирусные программы Kaspersky, то есть приобретенные свободным доступом. Соответственно, фактически антивирусные программы установлены на всех ЭВМ.

Также не соответствует действительности факт обработки персональных данных на ЭВМ, имеющих вредоносные программы. На ЭВМ обрабатываемых персональные данные сотрудников учреждения вредоносные программы не обнаружены.

Полагает, что технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных применяются, организационные меры осуществляются.

Таким образом, требования о защите информации, установленных федеральным законом, директором ФГБУ САС «Биробиджанская» выполняются. Указанные обстоятельства свидетельствует об отсутствии в действиях директора учреждения состава вменяемого административного правонарушения.

Лицо, в отношении которого ведется производство по делу об административном правонарушении, должностное лицо Косова Н.А. в судебном заседании просила оспариваемое постановление отменить, производство по делу прекратить в связи с отсутствием состава административного правонарушения. Доводы, изложенные в жалобе, поддержала.

Защитник Коренчук Ю.В., действующая по ходатайству, в судебном заседании просила оспариваемое постановление отменить, производство по делу прекратить в связи с отсутствием состава административного правонарушения. Также поддержала доводы жалобы. В случае, если будет установлен состав и событие правонарушения, просила изменить вид наказания с административного штрафа на предупреждение. Дополнительно пояснила, что ЭВМ с именем «Кадры-ПК» пользуется она как юрист учреждения, но она не использует персональные данные. На ЭВМ с именем «Экономист_ПК» установлена лицензионная версия антивирусной программы, оспаривает, что обнаружена вредоносная программа на нем. На ЭВМ с именами «ЛАБОРАТОРИЯ», «Lab-Larisa», «Olesya» установлены нелицензионные версии антивирусной программы, не оспаривала, что на них выявлены вредоносные программы, но на них отсутствует информация, подлежащая защите.

Выслушав пояснения лица, в отношении которого ведется производство по делу об административном правонарушении, защитника, свидетеля, изучив доводы жалобы, исследовав материалы дела, прихожу к следующему.

Из материалов дела следует, что жалоба директора ФГБУ САС «Биробиджанская» Косовой Н.А. на постановление по делу об административном правонарушении от 28.01.2021 поступила в Биробиджанский районный суд ЕАО 08.02.2021, то есть в установленный ч. 1 ст. 30.3 КоАП РФ срок со дня его вручения 29.01.2021.

В соответствии со ст. 30.6 КоАП РФ при рассмотрении жалобы на постановление по делу об административном правонарушении проверяется на основании имеющихся в деле и дополнительно представленных материалов законность и обоснованность вынесенного постановления. При этом судья не связан доводами жалобы и проверяет дело в полном объеме.

Административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое данным Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность (ст. 2.1 КоАП РФ).

Частью 6 ст. 13.12 КоАП РФ предусмотрена административная ответственность за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных ч. 1, 2 и 5 настоящей статьи, что влечет наложение административного штрафа на должностных лиц от одной тысячи до двух тысяч рублей.

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1).

Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (ч. 2).

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (ч. 3).

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий (ч. 4).

Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ч. 11).

Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 утвержден Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с п. 8 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учётом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входит, в том числе антивирусная защита (п. АВ3.1 и п. АВ3.2 Приложения к Составу) и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных).

Пунктом 8.6 Состава и содержания установлено, что меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

Реализация антивирусной защиты должна предусматривать в том числе применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования.

Согласно подпункта «г» пункта 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение такого требования как использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Аналогичная норма содержится в пункте 4 Состава и содержания, утвержденного приказом ФСТЭК от 18.02.2013 № 21.

Из материалов дела следует, что 22.01.2021 в ходе проведения ОРМ «Обследование помещений, зданий, сооружений, участков местности и транспортных средств» (постановление от 22.01.2021), а именно помещений ФГБУ САС «Биробиджанская», расположенного по адресу: ЕАО, <адрес>, а также находящихся там средств вычислительной техники, установлено, что на электронно-вычислительных машинах (далее-ЭВМ) функционирует вредоносное программное обеспечение.

Так, на ЭВМ с именем «Кадры-ПК» ОС Windows 7 Максимальная SP1, процессор Intel (R) Сеlегon (R) СРU G5300 @ 2.40 GHz, ОЗУ 2 ГБ, функционирует вредоносное программное обеспечение «Trojan.BPlug.1098», «Trojan.BPlug.2703», «Adware.Downware.1», способное предоставлять доступ к хранящейся на ЭВМ информации третьим лицам. Антивирусное средство на ЭВМ не установлено.

На ЭВМ с именем «Экономист_ПК» ОС Windows 7 Профессиональная SP1, процессор Intel (R) Core (TM) i3-3220 CPU @ 3.30 GHz, ОЗУ 4 ГБ функционирует вредоносное программное обеспечение «HOST:SUSPICIOUS.URL», способное предоставлять доступ к хранящейся на ЭВМ информации третьим лицам.

На ЭВМ с именем «ЛАБОРАТОРИЯ» ОС Windows 7 Профессиональная SP1, процессор Intel (R) Сеlеron (R) СРU Е3300@2.50 GHz, ОЗУ 3 ГБ, функционирует вредоносное программное обеспечение «updater.exe», «clientluncher.exe», способное предоставлять доступ к хранящейся на ЭВМ информации третьим лицам. Антивирусное средство на ЭВМ установлено с ограниченным функционалом.

На ЭВМ с именем «Lab-Larisa» ОС Windows 7 Ultimate SP1, процессор Intel (R) Core (ТМ)2 Duo СРU Е7200 @ 2.53 GHz, ОЗУ 4 ГБ, функционирует вредоносное    программное обеспечение «Trojan.DownLoader.9», «Program.MediaGet.142», способное предоставлять доступ к хранящейся на ЭВМ информации третьим лицам. Антивирусное средство на ЭВМ установлено с ограниченным функционалом.

На ЭВМ «Olesya» ОС Windows 7 Максимальная SP1, процессор Intel (R) Pentium (R) CPU G2020 @ 2.90 GHz, ОЗУ 4 ГБ, функционирует вредоносное программное обеспечение «Trojan.DownLoader.9», «Program.MediaGet.142», «HOST:SUSPICIOUS.URL» способное предоставлять доступ к хранящейся на ЭВМ информации третьим лицам. Антивирусное средство на ЭВМ установлено с ограниченным функционалом.

Дополнительно установлено, что на указанных ЭВМ обрабатываются персональные данные сотрудников учреждения, включающие в себя ФИО, паспортные данные, о чем составлен протокол от 22.01.2021, к которому приложены скрин-шоты.

Установив вышеуказанные нарушения, и что должностное лицо директор ФГБУ САС «Биробиджанская» Косова Н.А., назначенная на должность призом Министерства сельского хозяйства РФ № 196-кр от 14.12.2015, не обеспечила реализацию мер, предусмотренных законодательными и нормативными правовыми актами по защите персональных данных ФГБУ САС «Биробиджанская», 22.01.2021 старшим оперуполномоченным УФСБ России по ЕАО ФИО6 в отношении указанного должностного лица составлен протокол об административном правонарушении, действия которого квалифицированы по ч. 6 ст. 13.12 КоАП РФ.

По результатам рассмотрения дела заместителем начальника УФСБ России по ЕАО ФИО3 вынесено постановление № № от 28.01.2021, которым директор ФГБУ САС «Биробиджанская» Косова Н.А. признана виновной в совершении административного правонарушения, ответственность за которое предусмотрена ч. 6 ст. 13.12 КоАП РФ, и назначено ей административное наказание в виде административного штрафа в размере 1 000 рублей.

В опровержение доводов жалобы вина директора ФГБУ САС «Биробиджанская» Косовой Н.А. в совершении административного правонарушения подтверждены вышеуказанными доказательствами, протоколом опроса ФИО5 от 25.01.2021, оцененными в совокупности с другими материалами дела на предмет допустимости, достоверности, достаточности по правилам ст. 26.11 КоАП РФ.

Кроме того, допрошенный в качестве свидетеля старший оперуполномоченный УФСБ России по ЕАО ФИО6 в судебном заседании показал, что поступила информация о том, что в ФГБУ САС «Биробиджанская» функционирует вредоносное программное обеспечение, действие которого может привести к осуществлению неправомерного доступа к компьютерной информации, уничтожению, блокировки, модификации и копирования сведений, содержащихся в информационных системах ГБУ Астраханской области «Инфраструктурный центр электронного правительства».

Согласно информации, содержащейся на официальном сайте Роскомнадзора (rkn.gov.ru), ФГБУ САС «Биробиджанская» как оператор персональных данных обрабатывает персональные данные не только сотрудников учреждения, но и физических лиц (заказчиков), с которыми заключен договор на услуги. Обработка персональных данных — смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.

Сотрудниками УФСБ России по Еврейской автономной области 22.01.2021 на основании постановления о производстве оперативно-розыскного мероприятия «обследование помещений, зданий, сооружений, участков местности и транспортных средств» было проведено указанное мероприятие, в рамках которого установлено, что на электронно-вычислительных машинах САС «Биробиджанская» функционирует 71 вредоносное программное обеспечение, способное предоставлять третьим лицам доступ к хранящейся на ЭВМ информации ограниченного распространения, но поскольку специалист частично удалил эти программы, то в материалах дела отражено наличие 31 подтвержденных вредоносных программных обеспечения.

11 ЭВМ используемых для осуществления возложенных на ФГБУ САС «Биробиджанская» полномочий объединены между собой в единую локально-вычислительную сеть, имеющую подключение в информационно-телекоммуникационную сеть «Интернет».

Наличие на двух ЭВМ ежегодно устанавливаемых лицензионных антивирусных программных обеспечения «Kaspersky Internet Security» и нелицензионных антивирусных программ на других ЭВМ не свидетельствует о соблюдении пп. «г» п. 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, п. 4 Состава и содержания, утвержденного приказом ФСТЭК от 18.02.2013 № 21, антивирусное средство должно быть сертифицированным.

Непосредственно сам разработчик антивирусного средства «Kaspersky Internet Security» на своем сайте www.kaspersky.ru указывает, что программные продукты «Лаборатории Касперского» имеют сертификаты соответствия ФСТЭК России и ФСБ, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Решения «Лаборатории Касперского» полностью соответствуют требованиям закона о защите персональных данных, предъявляемым к антивирусным продуктам, и могут применяться для защиты систем персональных данных до первого класса включительно и для защиты сведений, составляющих государственную тайну. Для получения сертифицированных продуктов «Лаборатории Касперского» недостаточно просто приобрести лицензии на какой-либо продукт линейки Kaspersky Security для бизнеса. Необходимо также приобрести специальные сертифицированные медиа-паки, в состав которых входят: CD в конверте с записанными сертифицированными приложениями; формуляр — документ, подтверждающий, что данный(е) CD действительно содержат сертифицированные приложения; заверенные копии сертификатов.

Кроме того, на ЭВМ с именем «Кадры-ПК» ОС Windows 7 Максимальная SP1, процессор Intel (R) Celeron (R) CPU G5300 (a), 2.40 GHz, ОЗУ 2 ГБ, антивирусное средство не было установлено.

Причиной наличия вредоносного программного обеспечения на ЭВМ государственного учреждения является игнорирование учреждением как оператором персональных данных, требований ч.ч. 1 и 3 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и п. 8 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21.

Оснований не доверять показаниям данного свидетеля не имеется, поскольку они последовательны, согласуются с письменными доказательствами.

Требования ст. 24.1 КоАП РФ при рассмотрении дела об административном правонарушении выполнены, на основании полного и всестороннего анализа собранных по делу доказательств установлены все юридически значимые обстоятельства совершения административного правонарушения, предусмотренные ст. 26.1 данного Кодекса.

Иные доводы жалобы на законность оспариваемого постановления не влияют.

Обстоятельств, исключающих производство по делу об административном правонарушении, предусмотренных ст. 24.5 КоАП РФ, не установлено.

Порядок и срок давности привлечения к административной ответственности соблюдены.

Административное наказание назначено в пределах санкции ч. 6 ст. 13.12 КоАП РФ в минимальном размере и в соответствии с требованиями ст. ст. 3.1, 4.1 КоАП РФ. Оснований для замены наказания в виде административного штрафа предупреждением не установлено.

При таких обстоятельствах оспариваемое постановление является законным, обоснованным и отмене не подлежит.

На основании изложенного, руководствуясь ст.ст. 30.4 — 30.9 КоАП РФ, судья

р е ш и л:

Постановление заместителя начальника УФСБ России по ЕАО ФИО3 № № от 28.01.2021, по делу об административном правонарушении, предусмотренном ч. 6 ст. 13.12 КоАП РФ, в отношении должностного лица — директора Федерального государственного бюджетного учреждения станции агрохимической службы «Биробиджанская» Косовой Н.А., оставить без изменения, жалобу директора Федерального государственного бюджетного учреждения станции агрохимической службы «Биробиджанская» Косовой Н.А.– без удовлетворения.

Решение может быть обжаловано в суд Еврейской автономной области через Биробиджанский районный суд Еврейской автономной области в течение десяти суток со дня вручения или получения копии решения.

Судья                                   Е.А. Бирюкова

Раздел Правоприменительная практика по ст.274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации на главной страницы блога — https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован.