Дело об отсутствии в «Действия» аттестата соответствия комплекса системы защиты информации: суть решения
Истец оспаривал отсутствие у госпредприятия Минцифры «Действие» аттестата соответствия комплекса системы защиты информации на дату включения в Доверительного списка квалифицированного поставщика электронных доверительных услуг.
Суд вынес решение по делу об отсутствии в «Дия» аттестата соответствия комплекса системы защиты информации.
12 апреля 2021 Окружной административный суд Киева вынес решение по делу, обстоятельства которой касались отсутствия у Государственного предприятия «Дия» Минцифры на дату включения в Доверительного списка квалифицированного поставщика электронных доверительных услуг аттестата соответствия комплекса системы защиты информации.
Также истец ставил вопрос об отсутствии аттестата соответствия комплекса системы защиты информационно-телекоммуникационной системы защиты центрального удостоверяющего органа в Госпредприятия «Дия» в период с 19.12.2019 до 10.06.2020.
Это дело под № 640/13909/20 по иску лица в Министерство цифровой трансформации Украины и государственного предприятие «Действие», которая просила суд:
обязать Минцифру исключить из Доверительного списка квалифицированного поставщика электронных доверительных услуг ГП «Действие»;
обязать Минцифру отменить выданные в период до 10.06.2020 центральным удостоверяющим органом квалифицированные сертификаты открытых ключей квалифицированного поставщика электронных доверительных услуг Государственного предприятия «Действие»;
отменить самопидписаний сертификат электронной печати Центрального удостоверяющего органа, изданный к 10.06.2020.
В обоснование исковых требований истец указала на то, что изучая материалы открытого доступа, расположенных на электронных ресурсах Министерства цифровой трансформации, были установлены факты нарушения ответчиком законодательства, грубо нарушают права и законные интересы и свободы истца, а также права и законные интересы или свободы граждан Украины, пользователей электронных доверительных услуг.
Истец отметила, что вопреки требованиям Закона «Об электронных доверительные услуги» ответчиком в Доверительного списке размещен на сайте Центрального удостоверяющего органа Министерства цифровой трансформации и в Реестр квалифицированных поставщиков электронных доверительных услуг были внесены Государственное предприятие «Действие», которое на дату включения в Доверительного список не мало аттестата соответствия комплекса системы защиты информации и не подавало его заверенную в установленном законодательством порядке копию.
Также истец обратила внимание на отсутствие аттестата соответствия комплекса системы защиты информационно-телекоммуникационной системы защиты центрального удостоверяющего органа (далее - КСЗИ ITC ЦЗО) в ГП «Действие» в период с 19.12.2019 до 10.06.2020, что является нарушением норм Закона «Об электронных доверительные услуги »и Закона« О защите информации в информационно-телекоммуникационных системах », и, как следствие, могло привести к несанкционированному доступу к личным ключей и корневых сертификатов центрального удостоверяющего органа.
В открытом доступе на электронных ресурсах ответчика была размещена копия аттестата соответствия КСЗИ ITC ЦЗО Государственного предприятия «Действие» от 10 июня 2020 под № 21585. В то же время ГП «Действие» внесены ответчиком в Доверительного списке отсутствие Аттестата соответствия КСЗИ ITC ЦЗО , выданный Государственному предприятию «Действие», что является нарушением указанных требований законодательства, поскольку законом не предусмотрено включение в Доверительного списка при частичном представления документов, указанных в пункте 30 Закона «Об электронных доверительные услуги».
Минцифры в своем отзыве на иск отметило, что истец не наделен полномочиями устанавливать факты нарушения законодательства в сфере электронных доверительных услуг обращаться с соответствующим иском относительно действий центрального удостоверяющего органа - Минцифры и администратора информационно-телекоммуникационной системы центрального удостоверяющего органа - ГП «Действие» , поскольку только Администрация Госспецсвязи наделена полномочиями устанавливать и квалифицировать нарушения в сфере электронных доверительных услуг, выдавать предписания и обращаться в суд по применению мер реагирования.
Также ответчик отметил, что приобретение статуса квалифицированного поставщика электронных доверительных услуг ГП «Действие» состоялось в определенном законодательством порядке путем передачи имущества из сферы управления Министерства юстиции Украины с баланса ГП «Национальные информационные системы» в сферу управления Министерства цифровой трансформации на баланс ГП «Действие» .
Истец подала в суд ответ, в которых указала следующее.
Так, по мнению истца, неотвратимы могут стать для каждого пользователя электронных доверительных услуг именно последствия нарушения ответчиком Конституции Украины и Закона «Об электронных доверительные услуги», а не последствия отмены самопидписаного сертификата электронной печати Центрального удостоверяющего органа.
По мнению истца, ответчиком были включены в Доверительного список ГП «Действие» с грубым нарушением действующего законодательства Украины, а именно постановления Кабинета Министров «О реализации экспериментального проекта по обеспечению непрерывного предоставления квалифицированных электронных доверительных услуг в случае замены поставщика таких услуг» и Закона «О электронные доверительные услуги ».
Предоставление ГП «Действие» электронных доверительных услуг в течение длительного времени без наличия аттестата соответствия комплексной системы защиты информации является нарушением требований нормативно-правовых документов по технической защите информации и статьи 8 Закона «О защите информации в информационно-телекоммуникационных системах».
Суд установил следующее.
Приказом Министерства цифровой трансформации от 19.12.2019 № 27 утвержден Регламент работы центрального удостоверяющего органа и определено Государственное предприятие «Действие» администратором информационно-телекоммуникационной системы центрального удостоверяющего органа, осуществляющего техническое и технологическое обеспечение выполнения функций центрального удостоверяющего органа.
ГП «Действие» внесен в Доверительного списке размещен на сайте Центрального удостоверяющего органа Министерства цифровой трансформации и в Реестре квалифицированных поставщиков электронных услуг.
Как указано истцом, изучая материалы открытого доступа, размещенные на электронных ресурсах Министерства цифровой трансформации, ею были установлены факты нарушения ответчиком законодательства.
Из материалов дела усматривается, что лицо N, который не является истцом в этом деле, обратился в Администрацию Государственной службы специальной связи и защиты информации Украины с запросом на получение публичной информации от 18.02.2020, в котором просил предоставить следующую информацию:
выдавался Государственной службой специальной связи и защиты информации Украины Аттестат соответствия на систему технической защиты информации в информационно-телекоммуникационные системы центрального удостоверяющего органа, принадлежит ГП «Действие» Министерства цифровой трансформации Украины или Министерству цифровой трансформации Украины;
предоставить копию выданного Государственной службой специальной связи и защиты информации Украины Аттестата соответствия на систему технической защиты информации в информационно-телекоммуникационные системы центрального удостоверяющего органа, принадлежит ГП «Действие» Министерства цифровой трансформации Украины или Министерству цифровой трансформации Украины.
Письмом от 24.02.2020 Администрация Государственной службы специальной связи и защиты информации сообщила о том, что по результатам обработки запроса на получение публичной информации указан в запросе аттестат соответствия Администрацией Госспецсвязи не казался.
По ссылке истца, ГП «Действие» на дату включения в Доверительного списке не мало аттестата соответствия КСЗИ и не подавало его заверенную в установленном законодательством порядке копию, а потому ГП «Действие», вопреки требованиям Закона «Об электронных доверительные услуги», был включен в доверительного списка.
В открытом доступе на электронных ресурсах Министерства цифровой трансформации была размещена копия аттестата соответствия КСЗИ ITC ЦЗО ГП «Действие» от 10.06.2020 за № 21585. В то же время ГП «Действие» внесены ответчиком в Доверительного списке отсутствие Аттестата соответствия КСЗИ ITC ЦЗО , выданный ГП «Действие», что является нарушением требований законодательства, поскольку законом не предусмотрено включение в Доверительного списка при частичном представления документов, указанных в пункте 2 статьи 30 Закона «Об электронных доверительные услуги».
Таким образом, истец пришел к выводу, что указанные факты об отсутствии КСЗИ ITC ЦЗО ГП «Действие» и подтверждено отсутствие Аттестата соответствия КСЗИ ITC ЦЗО в период с 19.12.2019 до 10.06.2020 является нарушение норм Закона «Об электронных доверительные услуги» и Закона « о защите информации в информационно-телекоммуникационных системах »по политике безопасности и является действительной фактической событием, которое привело или может привести к несанкционированному доступу к личным ключей и корневых сертификатов ЦЗО.
Суд пришел к выводу о необоснованности исковых требований, исходя из следующего.
В исковом заявлении истец не указано конкретных прав, свобод или интересов, которые были якобы нарушены ответчиком в результате внесения ГП «Действие» к Доверительного списка.
Из анализа норм Закона «Об электронных доверительные услуги» и КАС Украины усматривается, что судебной защите подлежат нарушенные права, свободы и законные интересы пользователей электронных доверительных услуг, имеет место только в том случае, когда их права нарушены в результате действий или бездействия определенных поставщиков электронных доверительных услуг органов, осуществляющих государственное регулирование в сфере электронных доверительных услуг.
В то же время истцом не приведено и, соответственно, из материалов дела не усматривается, что последняя является пользователем электронных доверительных услуг поставщика электронных доверительных услуг ГП «Действие», в результате пользования услугами которого нарушены его права и интересы.
Таким образом, из имеющихся материалов дела невозможно установить, что истец является именно пользователем электронных доверительных услуг ГП «Действие» и каким образом ответчик нарушил права истца. Итак, истцом не доказан факт нарушения своих прав, свобод или интересов действиями Министерства цифровой трансформации Украины, связанных с внесением ГП «Действие» к Доверительного список поставщиков электронных доверительных услуг, является обязательным условием обращения в суд с данным иском и что соответственно свидетельствует о безосновательности заявленных исковых требований.
Поэтому суд отказал в удовлетворении иска.
Дата публикации: 23.05.2021