14. Відповідальність за невиконання вимог захисту інформації

Стаття 9 Закону «Про захист інформації в ІТС» пише, що відповідальність за забезпечення захисту інформації в системі покладається на власника системи. А стаття 11 цього Закону визначає, що особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно чинного законодавства. Конкретизація таких порушень, їх правові та фінансові наслідки визначені у законодавстві України адміністративним та кримінальним кодексами.

Кодекс України про адміністративний правопорушення (КУпАП)

Стаття 254. Складення протоколу про адміністративне правопорушення

Про вчинення адміністративного правопорушення складається протокол уповноваженою на те посадовою особою або представником громадської організації. Протокол про адміністративне правопорушення, у разі його оформлення, складається у двох екземплярах, один з яких під розписку вручається особі, яка притягається до адміністративної відповідальності.

Стаття 255. У справах про адміністративні правопорушення, що розглядаються органами, зазначеними в статтях 218-221 цього Кодексу, протоколи про правопорушення мають право складати уповноважені на те посадові особи:

- органів Державної служби спеціального зв'язку та захисту інформації України;

- органів Служби безпеки України.

Стаття 256. Зміст протоколу про адміністративне правопорушення

У протоколі про адміністративне правопорушення зазначаються: дата і місце його складення, посада, прізвище, ім'я, по батькові особи, яка склала протокол; відомості про особу, яка притягається до адміністративної відповідальності (у разі її виявлення); місце, час вчинення і суть адміністративного правопорушення; нормативний акт, який передбачає відповідальність за дане правопорушення; прізвища, адреси свідків і потерпілих, якщо вони є; пояснення особи, яка притягається до адміністративної відповідальності; інші відомості, необхідні для вирішення справи. Якщо правопорушенням заподіяно матеріальну шкоду, про це також зазначається в протоколі.

Протокол підписується особою, яка його склала, і особою, яка притягається до адміністративної відповідальності; при наявності свідків і потерпілих протокол може бути підписано також і цими особами.

У разі відмови особи, яка притягається до адміністративної відповідальності, від підписання протоколу, в ньому робиться запис про це. Особа, яка притягається до адміністративної відповідальності, має право подати пояснення і зауваження щодо змісту протоколу, які додаються до протоколу, а також викласти мотиви свого відмовлення від його підписання.

1. Органи Державної служби спеціального зв'язку та захисту інформації України - стаття 164  (у частині, що стосується правопорушень у галузі господарської діяльності, ліцензії на проведення якої видає ця Служба), пункт 9 частини першої статті 2122 та стаття 18831.

Стаття 164. Порушення порядку провадження господарської діяльності

Провадження господарської діяльності без державної реєстрації як суб'єкта господарювання або без одержання ліцензії на провадження певного виду господарської діяльності, що підлягає ліцензуванню відповідно до закону, чи здійснення таких видів господарської діяльності з порушенням умов ліцензування, а так само без одержання дозволу, іншого документа дозвільного характеру, якщо його одержання передбачене законом (крім випадків застосування принципу мовчазної згоди), -

тягне за собою накладення штрафу від 20 до 100 неоподатковуваних мінімумів доходів громадян з конфіскацією виготовленої продукції, знарядь виробництва, сировини і грошей, одержаних внаслідок вчинення цього адміністративного правопорушення, чи без такої.

Дії, передбачені частиною першою цієї статті, вчинені особою, яку протягом року було піддано адміністративному стягненню за таке саме правопорушення, або пов'язані з отриманням доходу у великих розмірах, -

тягнуть за собою накладення штрафу від 100 до 500 неоподатковуваних мінімумів доходів громадян з конфіскацією виготовленої продукції, знарядь виробництва, сировини і грошей, одержаних внаслідок вчинення цього адміністративного правопорушення.

Надання суб'єктом господарювання дозвільному органу або адміністратору недостовірної інформації щодо відповідності матеріально-технічної бази вимогам законодавства - тягне за собою накладення штрафу від 40 до 100 неоподатковуваних мінімумів доходів громадян.

Примітка. Отримання доходу у великих розмірах має місце, коли його сума у тисячу і більше разів перевищує неоподатковуваний мінімум доходів громадян. На даний час неоподатковуваний мінімум доходів громадян складає 17 грн.

Стаття 188³¹. Невиконання законних вимог посадових осіб органів Державної служби спеціального зв'язку та захисту інформації України

Невиконання законних вимог посадових осіб органів Держспецзв'язку щодо усунення порушень законодавства про захист державних інформаційних ресурсів, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та законодавства у сфері надання послуг ЕЦП, а також створення інших перешкод для виконання покладених на них обов'язків -

тягнуть за собою накладення штрафу на посадових осіб від 50 до 100 неоподатковуваних мінімумів доходів громадян.

Ті самі дії, вчинені повторно протягом року після накладення адміністративного стягнення, - тягнуть за собою накладення штрафу на посадових осіб від 100 до 150 неоподатковуваних мінімумів доходів громадян.

Стаття 212². Порушення законодавства про державну таємницю

Порушення законодавства про державну таємницю, а саме:

9) невиконання норм і вимог захисту секретної інформації, внаслідок чого виникає реальна загроза порушення її конфіденційності, цілісності і доступності, - тягне за собою накладення штрафу на громадян від десяти до тридцяти неоподатковуваних мінімумів доходів громадян і на посадових осіб – від 30 до 100 неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частиною першою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу на громадян від 30 до 80 неоподатковуваних мінімумів доходів громадян і на посадових осіб - від 50 до 150 неоподатковуваних мінімумів доходів громадян.

2. Органи Служби безпеки України - стаття 164 (у частині, що стосується правопорушень у галузі господарської діяльності, ліцензії на проведення якої видає ця Служба), статті 1724-1729, 1955, 2122  (крім пункту 9 частини першої), 2125 і 2126.

Стаття 212². Порушення законодавства про державну таємницю

Порушення законодавства про державну таємницю, а саме:

1) недодержання встановленого законодавством порядку передачі державної таємниці іншій державі чи міжнародній організації;

2) засекречування інформації:

- про стан довкілля, про якість харчових продуктів і предметів побуту;

- про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися та загрожують безпеці громадян;

- про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти та культури населення;

- про факти порушень прав і свобод людини і громадянина;

- про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;

- іншої інформації, яка відповідно до законів та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути засекречена;

3) безпідставне засекречування інформації;

4) надання грифа секретності матеріальним носіям конфіденційної або іншої таємної інформації, яка не становить державної таємниці, або ненадання грифа секретності матеріальним носіям інформації, що становить державну таємницю, а також безпідставне скасування чи зниження грифа секретності матеріальних носіїв секретної інформації;

5) порушення встановленого законодавством порядку надання допуску та доступу до державної таємниці;

6) невжиття заходів щодо забезпечення охорони державної таємниці та незабезпечення контролю за охороною державної таємниці;

7) провадження діяльності, пов'язаної з державною таємницею, без отримання в установленому порядку спеціального дозволу на провадження такої діяльності, а також розміщення державних замовлень на виконання робіт, доведення мобілізаційних завдань, пов'язаних з державною таємницею, в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах, організаціях, яким не надано спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;

8) недодержання вимог законодавства щодо забезпечення охорони державної таємниці під час здійснення міжнародного співробітництва, прийому іноземних делегацій, груп, окремих іноземців та осіб без громадянства та проведення роботи з ними.

Стаття 212-6. Здійснення незаконного доступу до інформації в інформаційних (автоматизованих) системах, незаконне виготовлення чи розповсюдження копій баз даних інформаційних (автоматизованих) систем

Здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в інформаційних (автоматизованих) системах, - тягне за собою накладення штрафу від 5 до 10 неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої.

Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій цієї статті, - тягне за собою накладення штрафу від 10 до 20 неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.

Дія, передбачена частиною першою цієї статті, вчинена стосовно інформаційних (автоматизованих) систем, призначених для зберігання та обробки інформації з обмеженим доступом, - тягне за собою накладення штрафу від 30 до 100 неоподатковуваних мінімумів доходів громадян з конфіскацією програмних або технічних засобів, що використовувалися для незаконного доступу.

Незаконне копіювання інформації, яка зберігається в інформаційних (автоматизованих) системах, у паперовій чи електронній формі - тягне за собою накладення штрафу від 10 до 25 неоподатковуваних мінімумів доходів громадян з конфіскацією незаконно виготовлених копій баз даних.

Безоплатне незаконне розповсюдження інформації, яка зберігається в інформаційних (автоматизованих) системах, у паперовій чи електронній формі - тягне за собою накладення штрафу від 5 до 20 неоподатковуваних мінімумів доходів громадян з конфіскацією незаконно розповсюджених чи призначених для розповсюдження копій баз даних.

Незаконний збут інформації, яка зберігається в інформаційних (автоматизованих) системах, у паперовій чи електронній формі - тягне за собою накладення штрафу від 20 до 100 неоподатковуваних мінімумів доходів громадян з конфіскацією незаконно збутих чи призначених для збуту копій баз даних, а також грошей, отриманих від їх продажу.

Кримінальний  кодекс України

Розділ XVI.  Злочини у сфері використання ЕОМ (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку

Стаття 361. Несанкціоноване втручання в роботу ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку

1. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, -

карається штрафом від 600 до 1000 неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від 2 до 5 років, або позбавленням волі на строк до 3 років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до 2 років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких  було вчинено несанкціоноване втручання, які є власністю винної особи.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -

караються позбавленням волі на строк від 3 до 6 років з позбавленням  права обіймати певні посади чи займатися певною діяльністю на строк до 3 років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Примітка. Значною шкодою у статтях 361-363¹, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Стаття 361¹. Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут

1. Створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи  технічних засобів, призначених для несанкціонованого втручання в роботу ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, -

караються штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до 2 років, або позбавленням волі на той самий строк, з конфіскацією програмних чи технічних  засобів, призначених для несанкціонованого втручання в роботу ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, які є власністю винної особи.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк до 5 років з конфіскацією програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, які є власністю винної особи.

Стаття 361². Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в ЕОМ (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації

1. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом,  яка зберігається в ЕОМ (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої  інформації, створеної та захищеної відповідно до чинного законодавства, -

караються штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до 2 років з конфіскацією  програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом,  які є власністю винної особи.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від 2 до 5 років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Стаття 362. Несанкціоновані дії з інформацією, яка оброблюється в ЕОМ (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в ЕОМ (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, -

караються штрафом від 600 до 1000 неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до 2 років з конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

2. Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в ЕОМ (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має   право доступу до такої інформації, -

караються позбавленням волі на строк до 3 років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.

3. Дії, передбачені частиною першою або другою цієї статті, вчинені повторно або за попередньою змовою групою осіб,  або  якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від 3 до 6 років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до 3 років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи.

Стаття 363. Порушення правил експлуатації ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється

Порушення правил експлуатації ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, -

караються штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до 3 років  з  позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.

Стаття 363¹. Перешкоджання роботі ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку

1. Умисне масове розповсюдження повідомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи ЕОМ (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, - карається штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до 3 років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, - караються обмеженням волі на строк до 5 років або позбавленням  волі  на  той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до 3 років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи.

Стаття 376¹. Незаконне втручання в роботу автоматизованої системи документообігу суду

1. Умисне внесення неправдивих відомостей чи несвоєчасне внесення  відомостей до автоматизованої системи документообігу суду, несанкціоновані дії з інформацією, що міститься в автоматизованій системі документообігу суду, чи інше втручання в роботу автоматизованої системи документообігу суду, вчинене службовою особою, яка має право доступу до цієї системи, або іншою особою шляхом несанкціонованого доступу до автоматизованої системи документообігу суду, -

караються штрафом від 600 до 1000 неоподатковуваних мінімумів  доходів  громадян або обмеженням волі на строк від 2 до 5 років, або позбавленням волі на строк до 3 років, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк від 1 до 3 років.

2. Дії, передбачені частиною першою цієї статті, вчинені за попередньою змовою групою осіб, - караються обмеженням волі на строк від 3 до 5 років або позбавленням волі на строк від 3 до 6 років, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк від 2 до 3 років.

 

На даний час при вчиненні громадянами України, іноземцями, особами без громадянства адміністративних правопорушень, передбачених статтею 18831 та пунктом 9 статті 2122 КупАП співробітники Держспецзв'язку мають право складати адмінпротокол згідно вимог «Інструкції про порядок оформлення та складання Державною службою спеціального зв'язку та захисту інформації України матеріалів про адміністративні правопорушення», затвердженої наказом Адміністрації Держспецзв'язку від 29.05.2007 № 100, зареєстрованим в Міністерстві юстиції України 12.06.2007 за № 618/13885. Після складання протокол надходить до суду, де він розглядається та виноситься відповідна постанова.

Для прикладу приведемо текст такої реальної постанови.

Постанова Тернопільського суду у справі з невиконання норм у сфері захисту інформації

Справа № 1915/11158/2012 від 14.08.2012

Тернопільський міськрайонний суд Тернопільської області в складі:

головуючої Герчаківської О.Я.,

при секретарі: Сесик Х.Я.,

розглянувши у відкритому судовому засіданні в залі суду в м. Тернополі матеріали, які надійшли від Управління Держспецзв'язку у Тернопільській області про притягнення до адміністративної відповідальності:

ОСОБА_2, ІНФОРМАЦІЯ_1, уродженця та жителя АДРЕСА_1, українця, громадянина України, з вищою освітою, одруженого, на утриманні одна неповнолітня дитина, працюючого директором Державного архіву Тернопільської області,

за ч.1 ст.188-31 КУпАП, -

ВСТАНОВИВ:

Управлінням Держспецзв'язку у Тернопільській області направлено в суд матеріали про притягнення до адміністративної відповідальності ОСОБА_2 за ознаками ч.1 ст.188-31 КУпАП.

З протоколу ТЕ № 052 від 26 червня 2012 року вбачається, що 18 червня 2012 року в ході проведеної в Державному архіві Тернопільської області контрольної перевірки стану технічного захисту інформації (акт від 18.06.2012 року № 45/04-67т) встановлено факт невиконання директором установи законних вимог посадових осіб Держспецзв'язку, які викладені в акті відповідної комплексної перевірки (акт від 21.03.2011 року № 45/04-29т).

Враховуючи те, що на адресу установи було направлено додаткове інформування щодо необхідності виконання наданих рекомендацій від 13.02.2012 року № 45/04-106 дск, у діях директора державного архіву Тернопільської області ОСОБА_2 вбачаються ознаки правопорушення, відповідальність за яке передбачена ч.1 ст.188-31 КУпАП, оскільки з його боку мало місце невиконання законних вимог посадових осіб Держспезв'язку щодо усунення порушень законодавства про технічний захист інформації, яка є власністю держави, або інформації з обмеженим доступом, вимоги щодо захисту якої встановлені законом.

У судовому засіданні правопорушник ОСОБА_2 свою вину у вчиненні правопорушення визнав частково в частині неналежного контролю за виконанням підлеглими йому працівниками покладених на них обов'язків. Вважає, що відсутність відповідних знань в сфері технічного захисту інформації є вагомим доводом в обгрунтування невиконання вимог працівників Управління Держспецзв'язку у Тернопільській області щодо технічного захисту інформації в Державному архіві Тернопільської області.

Представник управління Держспецзв'язку у Тернопільській області в судовому засіданні підтримав складений протокол, вважає його підставним, оскільки зі сторони директора Державного архіву Тернопільської області мали місце порушення в частині невиконання законних вимог посадових осіб Держспезв'язку щодо усунення порушень законодавства про технічний захист інформації. Водночас, ОСОБА_2 як керівник установи несе персональну відповідальність за приведення стану технічного захисту інформації у відповідність до вимог нормативно-правових актів.

Допитаний в судовому засіданні свідок ОСОБА_3 суду пояснила, що працює на посаді головного бухгалтера Державного архіву Тернопільської області. Їй відомо про те, що в червні 2012 року працівниками Держспецзв'язку проводилася контрольна перевірка щодо технічного захисту інформації. Встановлено, що комп'ютери, які є в установі необхідно обладнати засобами щодо технічного захисту інформації. Однак у зв'язку з недофінасуванням установи вказані заходи не було проведено. З приводу отримання коштів щодо фінансування заходів покращення технічного захисту інформації в Державному архіві Тернопільської області у вищестоящі органи не зверталася.

Допитаний в судовому засіданні свідок ОСОБА_4 суду пояснив, що в березні 2011 року в Державному архіві Тернопільської області проводилась перевірка щодо технічного захисту інформації. Так як він займався діяльністю,яка пов'язана з інформаційними технологіями, його було призначено відповідальним за захист ТЗІ в Державному архіві Тернопільської області.

Впродовж 2011 року він намагався виконати рекомендації, викладені в акті перевірки, однак ряд пунктів залишилися невиконаними. З приводу виконання вказаних в акті рекомендацій директор звертався до Тернопільської обласної державної адміністрації, Архівної служби і в Управління Держспецзв'язку для отримання необхідних консультацій. На даний час наявні в установі комп'ютери підключені до мережі «Інтернет».

Допитаний в судовому засіданні свідок ОСОБА_5 суду пояснила, що вона працює на посаді головного спеціаліста секретного діловодства в Державному архіві Тернопільської області та була залучена до розробки заходів з технічного захисту інформації у вказаній установі, а тому неодноразово зверталась до Тернопільської обласної державної адміністрації з листами про отримання роз'яснень щодо покращення технічного захисту інформації в архіві. Розробляла модель загроз, акти обстеження і категорування приміщень. На виконання вказаних дій була уповноважена директором архіву ОСОБА_2

Суд, дослідивши матеріали справи, заслухавши пояснення правопорушника, посадової особи, уповноваженої на складання протоколу у справі про адміністративне правопорушення, покази свідків, встановив наступне.

Витягом з акту комплексної перевірки стану технічного захисту інформації в Державному архіві Тернопільської області № 45/4-29т від 21 березня 2011 року, який затверджено начальником Управління Держспецзв'язку в Тернопільській області, встановлено, що стан технічного захисту інформації в Державному архіві Тернопільської області не відповідає вимогам нормативно-правових актів, що створює реальну загрозу порушення конфіденційності, цілісності і доступності інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Листом Управління Держспецзв'язку у Тернопільській області № 45/04-106 дск від 13 лютого 2012 року щодо проведення контрольної перевірки стану ТЗІ, надісланого на адресу Державного архіву Тернопільської області, повідомлено вказану установу про те, що з метою з'ясування повноти і якості виконання наданих в ході перевірки рекомендацій, прийнято рішення про проведення в червні 2012 року в Державному архіві Тернопільської області контрольної перевірки стану ТЗІ.

Згідно витягу з акту контрольної перевірки стану технічного захисту інформації в Державному архіві Тернопільської області (№ 45/04-67т від 18 червня 2012 року), вбачається, що рекомендації, надані під час проведення комплексної перевірки технічного захисту інформації в Державному архіві Тернопільської області виконано не в повному обсязі. Стан технічного захисту інформації в Державному архіві Тернопільської області не відповідає вимогам нормативно-правових актів, що створює реальну загрозу порушення конфіденційності, цілісності і доступності інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та цілісності і доступності відкритої інформації, яка належить до державних інформаційних ресурсів.

Зокрема, не складено план усунення недоліків, виявлених в ході попередньої комплексної перевірки стану ТЗІ в Державному архіві Тернопільської області; не складено план-схему контрольованої зони установи; не розроблено план заходів з ТЗІ; перелік відомостей, які підлягають ТЗІ не відпрацьовано; протоколи про визначення вищого ступеня обмеження доступу до інформації на об'єктах інформаційної діяльності (далі - ОІД) установи не складено; не проведено категорування автоматизованої системи (далі - АС) класу «1» (інв. № 10480012) головного спеціаліста з питань кадрового забезпечення Державного архіву в Тернопільській області, яка розташована в приміщенні №12 та передбачена для роботи з інформацією з обмеженим доступом (система «Картка»).

Окремі моделі загроз для інформації з обмеженим доступом (далі - ІзОД), яка циркулює на ОІД установи, не розроблено; службове розслідування по факту обробки ІзОД в під'єднаній до мережі «Інтернет» ПЕОМ (інв. № 2220137) в установі не проведено; розміщення та актуалізація WEB-сторінки установи не відповідає вимогам НД ТЗІ 2.5-010-03, тобто Державний архів продовжує розміщувати окрему WEB-сторінку (www.dato.te.ua) на сервері оператора, по відношенню до якого комплексна система захисту інформації (далі - КСЗІ) не створена; заходи з ТЗІ під час відвідування установи іноземними громадянами не виконуються. Крім того, в Державному архіві Тернопільської області продовжується обробка ІзОД та відкритої інформації, яка є державною власністю на АС, яка підключена до мережі «Інтернет»і по відношенню до якої не створювалась КСЗІ.

Вказані вище обставини досліджувалися в судовому засіданні та було встановлено, що невиконання законних вимог посадових осіб Управління Держспецзв'язку у Тернопільській області щодо технічного захисту інформації в Державному архіві Тернопільської області зі сторони директора вказаної установи ОСОБА_2 мають місце, оскільки останній належним чином не контролював виконання викладених в акті перевірки рекомендацій, не здійснював перевірку причин їх невиконання, не вчиняв дій щодо притягнення винних осіб до дисциплінарної відповідальності.

Покликання правопорушника на те, що виявлені порушення зумовлені відсутністю коштів на забезпечення заходів щодо технічного захисту інформації в Державному архіві Тернопільської області судом до уваги не беруться, так як встановлено, що більшість рекомендацій, які викладено в акті перевірки, не потребують грошових затрат. Крім того, директор архіву не ініціював питання щодо виділення, коштів необхідних для забезпечення технічного захисту інформації у ввіреній йому установі, що також підтверджено показами свідка ОСОБА_3

За таких обставин, вважаю, що в діях ОСОБА_2 міститься склад адміністративного правопорушення, передбаченого ч.1 ст.188-31 КУпАП, тобто -невиконання законних вимог посадових осіб органів Державної служби спеціального зв'язку та захисту інформації України щодо усунення порушень законодавства про криптографічний та технічний захист інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, а тому його слід притягнути до адміністративної відповідальності, наклавши на нього адміністративне стягнення.

Обираючи вид адміністративного стягнення, приймаю до уваги характер вчиненого правопорушення, особу винного, те, що він визнав вину частково, та приходжу до переконання, що на нього слід накласти стягнення у виді штрафу.

На підставі наведеного, керуючись ч.1 ст.188-31, ст.ст.280, 283, 284 КУпАП, -

ПОСТАНОВИВ:

ОСОБА_2 визнати винним у вчиненні адміністративного правопорушення, передбаченого ч.1 ст.188-31 КУпАП і накласти на нього адміністративне стягнення у виді штрафу в розмірі 850 (вісімсот п'ятдесят) грн., зі стягненням в дохід держави.

Постанова судді набирає законної сили після закінчення строку подання апеляційної скарги чи протесту прокурора.

Постанова судді може бути оскаржена особою, яку притягнуто до адміністративної відповідальності, її законним представником, захисником, потерпілим, його представником або на неї може бути внесено протест прокурора протягом десяти днів з дня винесення постанови.

Апеляційна скарга, протест прокурора подаються до апеляційного суду Тернопільської області через Тернопільський міськрайонний суд.

Головуючий суддя ....................................................... О. Я. Герчаківська

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика