Постановление Тринадцатого арбитражного апелляционного суда от 21.12.2014 по делу n А21-10983/2013. Оставить без изменения решение, а апелляционную жалобу - без удовлетворения (п.1 ст.269 АПК)

на объектах,  не поименованных в Госконтракте,  противоречит содержанию документа. Предъявленные субподрядчиком замечания связаны со следующим:  не установлен 2-ой режим координатора, неправильные  настройки политики безопасности,  отсутствие сертифицированного антивируса, отсутствие ограничений для USB-накопителей и др.

Довод ответчика о том, что обследование проведено только на 10 объектах Госзаказчика из 60-ти также не принимается судом, в связи со следующим.

В соответствии с п. 17.3 Приказа ФСТЭК  России №17 допускается возможность аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. Указанное число - 10  ЛПУ  - более чем достаточно для обоснования выявленного несоответствия всей информационной системы требованиям по безопасности информации. Целью аттестации не является представление данных для планирования мероприятий по устранению выявленных нарушений. Осуществление мероприятий по устранению выявленных в ходе аттестации нарушений Техническим заданием к Контракту  также не предусмотрено.

Разработка и внедрение системы защиты информации  как обязательство исполнителя  в Техническом задании к Контракту №89-К не поименовано. Более того, внедрение системы  защиты осуществлялось,  как следует из материалов дела самим Минздравом и не относилась на ОАО «Ростелеком», выполнявшего по Контракту очень узкую задачу - проверку созданной Госзаказчиком системы защиты информации на соответствие установленным требованиям.

Довод Минздрава о том, что частная модель угроз должна содержать сведения о составе основных средств, программного обеспечения и т.д.,  расположенных в каждом ЛПУ отдельно,  является несостоятельным, поскольку указанная информация должна отражаться, как указано в п.15 Приказа ФСТЭК России №17,  в проектной документации, изготавливаемой  на стадии разработки системы защиты персональных данных,  а не на стадии уже аттестационных мероприятий.

Как  указано в п.3.2 Технического задания Контракта  актуальные угрозы ИБ, которым подвергается ИСПДн, определяются и обосновываются в модели угроз, которая разрабатывается Исполнителем. Модель угроз должна быть подготовлена на основе Руководящего документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Частная модель угроз, переданная ОАО «Ростелеком» в адрес Минздрава письмом от 04.10.2013 года №0203/05/4896-13/ДСП (Уч.№118дсп),  полностью отвечает требованиям к типовым моделям угроз, утвержденным вышеуказанным РД, утвержденным ФСТЭК России 15 февраля 2008 г. Информационной системой персональных данных стороны именуют информационную систему персональных данных в целом, а не выделенный сегмент отдельно взятого ЛПУ.

Техническое задание к Контракту не содержит обязанности изготовить частную модель угроз для каждого сегмента ЕРГСИЗ, т.к. предметом обследования является единая государственная  информационная  система в сфере здравоохранения (п.3.2 Технического задания).

Не нашел подтверждения в заседании и довод ответчика о том, что том, что исполнителем направлены незаполненные документы. Оператором обработки персональных данных пациентов является конкретное ЛПУ, которое обязано издать соответствующие локальные акты  по учреждению - такие как -  приказ о назначении ответственных лиц и  администраторов безопасности, о порядке доступа работников ЛПУ к оборудованию, о назначении комиссии,  утвердить инструкции и правила обработки персональных данных, завести журналы определенного формата и др. Поскольку такие документы одинаковы для всех мед. учреждений, в адрес ответчика переданы шаблоны для заполнения,  как на бумаге, так и на электронном носителе (Приложения 61-62 к письму). ОАО «Ростелеком» не управомочено определять своим приказом (распоряжением) конкретных ответственных лиц из числа работников ЛПУ или своим распоряжением утверждать внутренние документы другого юридического лица.

В соответствии с заключением, выданным Санкт-Петербургским научно-техническим центром Федерального государственного унитарного предприятия «Научно-производственное предприятие «Гамма» 04.02.2013 года, аттестация объекта информатизации Минздрава РГЕСИЗ проведена в полном объеме и в порядке, предусмотренном действующим законодательством, разработанная модель угроз и организационно-распорядительная документация удовлетворяет предъявляемым требованиям, рекомендаций, изложенных в отчете (уч.№97дсп, 2013) достаточно для проведения мероприятий по устранению нарушений, а анализ состояния защищенности по результатам аттестационных мероприятий проведен с достаточной степенью детализации.

В соответствии с п. 5 ст.16 ФЗ «Об информации, информационных технологиях и о защите информации»,  требования  о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Во исполнение указанной нормы ФСТЭК России принят приказ №17 от 11.02.2013 года, который вступил в силу с 01.09.2013 года, то есть  до проведения непосредственно аттестационных мероприятий истцом.

В соответствии с п. 17.3 Приказа допускается возможность аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Действовавший на момент заключения Контракта №89-К Приказ ФСТЭК №58, на который ссылается ответчик в дополнении к отзыву,  не регулировал  процедуру проведения аттестационных мероприятий.

Таким образом, довод о  том, что ранее действовавший порядок (до вступления в силу Приказа ФСТЭК №17)  обязывал аттестующий орган к  аттестации объектов на  всех 68 ЛПУ,  не соответствует действительности.

Вменяя нарушение нормативно установленного порядка аттестации, Минздрав не указывает какой конкретно пункт Приказа №58 не исполнен ОАО «Ростелеком», что повлияло на качество  выполненных работ в этой части.

На момент заключения Контракта №89-К, то есть на 15.10.2012 года действовал ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения», утвержденный 17.04.2012 года. В соответствии с о пунктом 6.5.3 для распределённой информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведения составляющие государственную тайну,  допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем. При этом разрешается распространять результаты указанной аттестации на однотипные автоматизированные рабочие места и (или)  локальные информационные системы.

Таким образом, выборочная аттестация отдельных элементов информационной системы допускается как ГОСТом, который регулировал порядок аттестационных испытаний на момент заключения Контракта, так приказом ФСТЭК №17, вступившим в силу на момент проведения собственно аттестационных мероприятий истцом.

Техническое задание к Контракту также не содержит обязанности исполнителя провести обследование и аттестацию для каждого сегмента ЕРГСИЗ, т.к. предметом аттестационных испытаний является единая государственная  информационная  система в сфере здравоохранения (п.3.2 ТЗ Контракта). Информационной системой персональных данных стороны по Контакту именуют информационную систему персональных данных в целом, а не выделенный элемент  отдельно взятого ЛПУ. Техническое задание  не содержит конкретного перечня действий в рамках аттестации и  «пошаговых» инструкций Исполнителю о порядке проведения испытаний, а лишь отсылает к действующему нормативному порядку.

В связи с изложенным, доводы Минздрава о произвольном уменьшении объема работ по сравнению с указанным в Контракте, бездоказательны.

Доводы, изложенные в апелляционной жалобе, были проанализированы судом первой инстанции, им дана надлежащая правовая оценка.

В связи с вышеизложенным апелляционная инстанция не находит оснований для отмены принятого по делу судебного акта, нормы материального и процессуального права применены верно, в удовлетворении апелляционной жалобы следует отказать.

На основании изложенного и руководствуясь статьями 269 – 271 Арбитражного процессуального кодекса Российской Федерации, Тринадцатый арбитражный апелляционный суд

ПОСТАНОВИЛ:

Решение Арбитражного суда  Калининградской области  от 02.06.2014г. по делу №  А21-10983/2013  оставить без изменения, апелляционную жалобу – без удовлетворения.

Постановление может быть обжаловано в Арбитражный суд Северо-Западного округа в срок, не превышающий двух месяцев со дня его принятия.

Председательствующий

Н.А. Мельникова

Судьи

И.В. Сотов

 В.В. Черемошкина

 

Постановление Тринадцатого арбитражного апелляционного суда от 21.12.2014 по делу n А56-69576/2013. Оставить без изменения решение, а апелляционную жалобу - без удовлетворения (п.1 ст.269 АПК)  »
Читайте также