Организацию ликвидируют за невыполнение мер защиты ПДн

Организацию ликвидируют за невыполнение мер защиты ПДн

А я снова про судебное решение, которое достаточно знаково для нашего рынка, хотя, на мой взгляд, и не совсем корректно. Но как вы поймете дальше, решение явно заказное и иного варианта его разрешения просто не могло быть. Итак, 24 августа 2021 года ФСТЭК по Сибирскому федерального округу признало организацию С. виновной в совершении совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением наказания в виде административного штрафа в размере 10 000 рублей.

Напомню, что данная часть предусматривает наказание за «нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи«.

Как следует из материалов суда, в постановлении ФСТЭК, говорится, что представители организации С. «осуществляли передачу информации, содержащей персональные данные граждан РФ, по каналам связи сети Интернет без использования сертифицированных средств криптографической защиты информации (СКЗИ), предназначенные для шифрования передаваемых сообщений электронной почты. Кроме того, не исключена возможность неконтролируемого проникновения или пребывания в помещении, в котором размещена информационная система, лиц, не имеющих права доступа в это помещение; не назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе; отсутствует журнал учета машинных носителей, на которых хранятся персональные данные«.

Обратите внимание на выявленные нарушения — они касаются и 21-го приказа ФСТЭК и 378-го приказа ФСБ. И тут, лично у меня, возникает вопрос — с какого ФСТЭК проверяет исполнение приказа ФСБ?

При этом внимательный читатель уже должен был обратить внимание, что в постановлении ФСТЭК говорится об использовании несертифицированных СКЗИ, но наказание было по части 6-й, а не 2-й статьи 13.12 КоАП. А ведь 2-я часть как раз и говорит о наказании за неиспользование несертифицированных средств защиты информации в случаях, когда они подлежат обязательной сертификации. Я отсюда делаю вывод, который сформулировал для себя давно, что использование сертифицированных СКЗИ является обязательным, кто бы что ни говорил (у меня и ответ ФСБ на эту тему, кстати, есть).

Ни в ФЗ-152, ни в ПП-1119 ни слова об обязательности применения сертифицированных средств защиты информации.

Еще один вопрос, который у меня возник, знакомясь с материалами дела, — на каком основании ФСТЭК проводил проверку организации С., если согласно части 8 статьи 19 ФЗ-152, ФСТЭК и ФСБ имеют право проводить надзорные мероприятия по защите ПДн только в государственных информационных системах, а согласно части 9 той же статьи надзор за технической защитой ПДн в других системах и организациях может осуществляться только по решению Правительства РФ.

Получается, что либо Правительство России выпустило решение, которое дало право ФСТЭК проводить проверку организации С., либо ФСТЭК это делала по своей инициативе, что странно. В отличие от ФСБ, которая проверяет и операторов ПДн и субъекты КИИ (несмотря на отсутствие таких полномочий), ФСТЭК раньше не была замечена в столь явном нарушении законодательства.

На самом деле ответ прост — все началось с проверки прокуратуры еще в июне 2021 года, которая, видимо, и привлекла ФСТЭК для вынесения постановления о правонарушении. Но этот момент в материалах дела отражен не очень четко. В них же есть интересный пассаж о том, что организация С. была дважды наказана по одной и той же статье (ч.6 ст.13.12 КоАП) — первый раз 3 августа, а второй — 24 августа 2021 года. С разницей в 3 недели в отношении одной организации было составлено два протокола по поводу одного и того же нарушения?!

Чем же так насолила организация С., если против нее было организовано аж целых две проверки прокуратуры в течение одного лета?!

При этом во втором случае речь шла не об оценке результатов исправления по результатам первой проверки, а о независимой проверке. По крайней мере суд посчитал, что «факты противоправных действий (бездействий), отраженные в постановлениях о назначении административной ответственности от 03.08.2021 и от 24.08.2021 не являются тождественными: установлены по результатам проверок, проведенных в разных местах, в разное время, двумя органами прокуратуры, состоят из разной совокупности нарушений обязательных требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ«.

Помимо этого, недавно стало известно, что помимо постановления ФСТЭК против организации С. выступила и ФСБ, по крайней мере в материалах дела о прекращении деятельности организации С. есть справка УФСБ по Саратовской области о том, что отделения организации С. используют нелицензированную информационную систему в своих отделениях в Саратове и Новосибирске.

Что такое нелицензированная информационная система и причем тут ФСБ, даже не спрашивайте.

Лучше обратите внимание, что организацию С. решено ликвидировать за нарушения законодательства России.

Теперь можно назвать и организацию, которой так не повезло и против которой, по сути, была организована целая кампания. Это АНО «Поддержка связей с еврейской диаспорой «Еврейское Агентство «Сохнут». И, возможно, для многих все сразу встает на свои места — решение суда политически мотивировано и все участники судебной и правоохранительной цепочки скорее всего, выполняли заказ «сверху». Но от этого не легче — получается, что в угоду чьим-то желаниям была инициирована проверка, которая и привела к столь плачевным результатам.

И я напомню, что уже было схожее заказное дело (но без геополитической окраски) в далеком 2012-м году, когда прокуратурой  Уфы проведена проверка соблюдения законодательства о защите персональных данных в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. Установлено, что указанные юридические лица, осуществляли обработку персональных данных, являющихся сведениями конфиденциального характера, без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. По данному факту, с целью устранения нарушений действующего законодательства прокуратурой г.Уфы в Октябрьский районный суд г.Уфы направлены исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных, которые находятся на рассмотрении.

Выводов не будет. Каждый их делает для себя. Задам только один вопрос:

Можно ли считать данное событие недопустимым?

ЗЫ. Для интересующихся — в заметке упоминается дело №12-696/2021 от 21 октября 2021 года (Омск).

Заметка Организацию ликвидируют за невыполнение мер защиты ПДн была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину