Суд виніс рішення у справі щодо відсутності у «Дії» атестату відповідності комплексу системи захисту інформації

15:24, 18 мая 2021
Позивач оскаржував відсутність у держпідприємства Мінцифри «Дія» атестату відповідності комплексу системи захисту інформації на дату включення до Довірчого списку кваліфікованого надавача електронних довірчих послуг.
Суд виніс рішення у справі щодо відсутності у «Дії» атестату відповідності комплексу системи захисту інформації
Джерело фото: 24tv.ua
Следите за актуальными новостями в соцсетях SUD.UA

12 квітня 2021 року Окружний адміністративний суд Києва виніс рішення по справі, обставини якої стосувалися відсутності у Державного підприємства «Дія» Мінцифри на дату включення до Довірчого списку кваліфікованого надавача електронних довірчих послуг атестату відповідності комплексу системи захисту інформації.

Також позивач ставив питання про відсутність атестату відповідності комплексу системи захисту інформаційно-телекомунікаційної системи захисту центрального засвідчувального органу у Держпідприємства «Дія» у період з 19.12.2019 до 10.06.2020.      

Це справа за № 640/13909/20 за позовом особи до Міністерства цифрової трансформації України і державного підприємство «Дія», яка просила суд:

  • зобов`язати Мінцифру виключити з Довірчого списку кваліфікованого надавача електронних довірчих послуг ДП «Дія»;
  • зобов`язати Мінцифру скасувати видані у період до 10.06.2020 центральним засвідчувальним органом кваліфіковані сертифікати відкритих ключів кваліфікованого надавача електронних довірчих послуг Державного підприємства «Дія»;
  • скасувати самопідписаний сертифікат електронної печатки Центрального засвідчувального органу, виданий до 10.06.2020.

В обгрунтування позовних вимог позивач зазначила про те, що вивчаючи матеріали відкритого доступу, які розміщені на електронних ресурсах Міністерства цифрової трансформації, було встановлено факти порушення відповідачем законодавства, які грубо порушують права і законні інтереси та свободи позивача, а також права і законні інтереси чи свободи громадян України, користувачів електронних довірчих послуг.

Позивач зауважила, що всупереч вимогам Закону «Про електронні довірчі послуги» відповідачем до Довірчого списку, що розміщений на сайті Центрального засвідчувального органу Міністерства цифрової трансформації та до Реєстру кваліфікованих надавачів електронних довірчих послуг було внесено Державне підприємство «Дія», яке на дату включення до Довірчого списку не мало атестату відповідності комплексу системи захисту інформації і не подавало його засвідчену в установленому законодавством порядку копію.

Також позивач звернула увагу на відсутність атестату відповідності комплексу системи захисту інформаційно-телекомунікаційної системи захисту центрального засвідчувального органу (надалі – КСЗІ ITC ЦЗО) у ДП «Дія» у період з 19.12.2019 до 10.06.2020, що є порушенням норм Закону «Про електронні довірчі послуги» та Закону «Про захист інформації в інформаційно-телекомунікаційних системах», та, як наслідок, могло призвести до несанкціонованого доступу до особистих ключів та кореневих сертифікатів центрального засвідчувального органу.

У відкритому доступі на електронних ресурсах відповідача було розміщено копію Атестату відповідності КСЗІ ITC ЦЗО Державного підприємства «Дія» від 10 червня 2020 року за № 21585. У той же час ДП «Дія» внесено відповідачем до Довірчого списку під час відсутності Атестату відповідності КСЗІ ITC ЦЗО, що виданий Державному підприємству «Дія», що є порушенням вказаних вимог законодавства, оскільки законом не передбачено включення до Довірчого списку за часткового подання документів, наведених у пункті 30 Закону «Про електронні довірчі послуги».

Мінцифри у своєму відзиві на позов наголосило на тому, що позивач не наділений повноваженнями встановлювати факти порушення законодавства у сфері електронних довірчих послуг та звертатися з відповідним позовом щодо дій центрального засвідчувального органу – Мінцифри та адміністратора інформаційно-телекомунікаційної системи центрального засвідчувального органу – ДП «Дія», оскільки тільки Адміністрація Держспецзв`язку наділена повноваженнями встановлювати та кваліфікувати порушення у сфері електронних довірчих послуг, видавати приписи та звертатися до суду щодо застосування заходів реагування.

Також відповідач зауважив, що набуття статусу кваліфікованого надавача електронних довірчих послуг ДП «Дія» відбулося у визначеному законодавством порядку шляхом передачі майна зі сфери управління Міністерства юстиції України з балансу ДП «Національні інформаційні системи» до сфери управління Міністерства цифрової трансформації на баланс ДП «Дія».

Позивач подала до суду відповідь, в яких зазначила таке.

Так, на думку позивача, невідворотними можуть стати для кожного користувача електронних довірчих послуг саме наслідки порушення відповідачем Конституції України та Закону «Про електронні довірчі послуги», а не наслідки скасування самопідписаного сертифікату електронної печатки Центрального засвідчувального органу.

На думку позивача, відповідачем було включено до Довірчого списку ДП «Дія» з грубим порушенням чинного законодавства України, а саме постанови Кабінету Міністрів «Про реалізацію експериментального проекту щодо забезпечення безперервного надання кваліфікованих електронних довірчих послуг у разі заміни надавача таких послуг» та Закону «Про електронні довірчі послуги».

Надання ДП «Дія» електронних довірчих послуг протягом тривалого часу без наявності атестату відповідності комплексної системи захисту інформації є порушенням вимог нормативно-правових документів щодо технічного захисту інформації та статті 8 Закону «Про захист інформації в інформаційно-телекомунікаційних системах».

Суд встановив таке.

Наказом Міністерства цифрової трансформації від 19.12.2019 № 27 затверджено Регламент роботи центрального засвідчувального органу та визначено Державне підприємство «Дія» адміністратором інформаційно-телекомунікаційної системи центрального засвідчувального органу, що здійснює технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу.

ДП «Дія» внесено до Довірчого списку, що розміщений на сайті Центрального засвідчувального органу Міністерства цифрової трансформації та у Реєстрі кваліфікованих надавачів електронних послуг.                    

Як зазначено позивачем, вивчаючи матеріали відкритого доступу, розміщені на електронних ресурсах Міністерства цифрової трансформації, нею було встановлено факти порушення відповідачем законодавства.

З матеріалів справи вбачається, що особа N, який не є позивачем у цій справі, звернувся до Адміністрації Державної служби спеціального зв`язку та захисту інформації України із запитом на отримання публічної інформації від 18.02.2020, в якому просив надати таку інформацію:

  • чи видавався Державною службою спеціального зв`язку та захисту інформації України Атестат відповідності на систему технічного захисту інформації в інформаційно-телекомунікаційні системі центрального засвідчувального органу, що належить ДП «Дія» Міністерства цифрової трансформації України або Міністерству цифрової трансформації України;
  • надати копію виданого Державною службою спеціального зв`язку та захисту інформації України Атестату відповідності на систему технічного захисту інформації в інформаційно-телекомунікаційні системі центрального засвідчувального органу, що належить ДП «Дія» Міністерства цифрової трансформації України або Міністерству цифрової трансформації України.

Листом від 24.02.2020 Адміністрація Державної служби спеціального зв`язку та захисту інформації повідомила про те, що за результатами опрацювання запиту на отримання публічної інформації зазначений у запиті атестат відповідності Адміністрацією Держспецзв`язку не видався.

За посиланням позивача, ДП «Дія» на дату включення до Довірчого списку не мало атестату відповідності КСЗІ і не подавало його засвідчену в установленому законодавством порядку копію, а тому ДП «Дія», всупереч вимогам Закону «Про електронні довірчі послуги», було включено до Довірчого списку.

У відкритому доступі на електронних ресурсах Міністерства цифрової трансформації було розміщено копію Атестату відповідності КСЗІ ITC ЦЗО ДП «Дія» від 10.06.2020 за № 21585. У той же час ДП «Дія» внесено відповідачем до Довірчого списку під час відсутності Атестату відповідності КСЗІ ITC ЦЗО, що виданий ДП «Дія», що є порушенням вимог законодавства, оскільки законом не передбачено включення до Довірчого списку за часткового подання документів, наведених у пункті 2 статті 30 Закону «Про електронні довірчі послуги».

Таким чином, позивач дійшов висновку, що вказані факти щодо відсутності КСЗІ ITC ЦЗО ДП «Дія» та підтверджена відсутність Атестату відповідності КСЗІ ITC ЦЗО у період з 19.12.2019 до 10.06.2020 є порушення норм Закону «Про електронні довірчі послуги» та Закону «Про захист інформації в інформаційно-телекомунікаційних системах» щодо політики безпеки і є дійсною фактичною подією, що призвела або може призвести до несанкціонованого доступу до особистих ключів та кореневих сертифікатів ЦЗО.

Суд дійшов висновку про необґрунтованість позовних вимог, виходячи з такого.

У позовній заяві позивачем не було вказано конкретних прав, свобод чи інтересів, що були нібито порушені відповідачем внаслідок внесення ДП «Дія» до Довірчого списку.

З аналізу норм Закону «Про електронні довірчі послуги» та КАС України вбачається, що судовому захисту підлягають порушені права, свободи та законні інтереси користувачів  електронних довірчих послуг, що має місце лише у тому випадку, коли їх права порушені внаслідок дій чи бездіяльності певних надавачів електронних довірчих послуг та органів, що здійснюють державне регулювання у сфері електронних довірчих послуг.           

Водночас позивачем не наведено і, відповідно, з матеріалів справи не вбачається, що остання є користувачем електронних довірчих послуг надавача електронних довірчих послуг ДП «Дія», внаслідок користування послугами якого порушено її права та інтереси.

Таким чином, з наявних матеріалів справи неможливо встановити, що позивач є саме користувачем електронних довірчих послуг ДП «Дія» та яким чином відповідач порушив права позивача. Отже, позивачем не доведено факту порушення своїх прав, свобод чи інтересів діями Міністерства цифрової трансформації України, пов`язаних із внесенням ДП «Дія» до Довірчого списку надавачів електронних довірчих послуг, що є обов`язковою передумовою звернення до суду з даним позовом та що, відповідно, свідчить про безпідставність заявлених позовних вимог.

Тому суд відмовив у задоволенні позову.

 Підписуйтесь на наш Telegram-канал та на Twitter, щоб бути в курсі найважливіших подій.

XX съезд судей Украины – онлайн-трансляция – день первый
Telegram канал Sud.ua
XX съезд судей Украины – онлайн-трансляция – день первый
Главное о суде
Сегодня день рождения празднуют
  • Андрій Єрмак
    Андрій Єрмак
    керівник Офісу Президента України
  • Ярослава Білоусова
    Ярослава Білоусова
    суддя Східного апеляційного господарського суду