Постановление Тринадцатого арбитражного апелляционного суда от 22.12.2014 N 13АП-21271/14 (ключевые темы: министерство здравоохранения рф - аттестация - техническое задание - защита информации - медицинские учреждения)

Постановление Тринадцатого арбитражного апелляционного суда от 22 декабря 2014 г. N 13АП-21271/14

г. Санкт-Петербург

22 декабря 2014 г.

Дело N А21-10983/2013

Резолютивная часть постановления объявлена 16 декабря 2014 года.

Постановление изготовлено в полном объеме 22 декабря 2014 года.

Тринадцатый арбитражный апелляционный суд

в составе:

председательствующего Мельниковой Н.А.

судей Сотова И.В., Черемошкиной В.В.

при ведении протокола судебного заседания: Самборской А.С.

при участии:

от истца (заявителя): Федосовой Е.Б. (доверенность от 02.04.2014 г., паспорт), Байзаковой Ю.Р. (доверенность от 02.04.2014 г., паспорт)

от ответчика (должника): не явился (извещен)

от первого 3-го лица: директора Воронкова С.А. (протокол N 12 от 12.03.2013 г., паспорт), от второго 3-го лица: не явился (извещен), от третьего 3-го лица: Родова А.М. (доверенность от 12.12.2014 г., паспорт)

рассмотрев в открытом судебном заседании апелляционную жалобу (регистрационный номер 13АП-21271/2014) Министерства здравоохранения Калининградской области на решение Арбитражного суда Калининградской области от 02.06.2014 по делу N А21-10983/2013(судья Залужная Ю.Д.), принятое по ОАО "Ростелеком"

к Министерству здравоохранения Калининградской области

3-е лицо: 1) ООО "Агентство информационной безопасности", 2) Министерство финансов Калининградская область, 3) ЗАО "Барс Групп"

о взыскании

установил:

Открытое акционерное общество междугородной и международной связи "Ростелеком" в лице Калининградского филиала (ОГРН 1027700198767, адрес: 191002, г.Санкт-Петербург, ул.Достоевского,15; филиала: 236006, г.Калининград, Ленинский проспект,32) (далее - ОАО "Ростелеком", Общество, истец, исполнитель) обратилось в Арбитражный суд Калининградской области с иском, уточненным в ходе судебного заседания к Министерству здравоохранения Калининградской области (ОГРН 1053900190387, 236007, г.Калининград, ул.Донского,1) (далее - ответчик, заказчик) о взыскании задолженности за выполненные работы в сумме 2 084 820 рублей, неустойки в размере 180 452,99 рублей, а также судебных расходов в виде уплаченной госпошлины в размере 33 796,99.

К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований на предмет спора, привлечены ООО "Агентство информационной безопасности", Министерство финансов Калининградская область, ЗАО "Барс Групп".

Решением Арбитражного суда Калининградской области от 02.06.2014 по делу N А21-10983/2013 заявленные требования удовлетворены.

На указанное решение Министерством здравоохранения подана апелляционная жалоба, в которой, указывая на необоснованность принятого по делу судебного акта, просит его отменить, в удовлетворении иска отказать. В обоснование своей позиции указывает, что государственный контракт исполнен ненадлежащим образом: сорваны сроки выполнения работ; не проведена дополнительная подготовка специалистов для внедрения медицинской информационной системы; не выполнены настройки кластеризации базы данных регионального сегмента единой государственной информационной системы в сфере здравоохранения (РС ЕГИСЗ) на случай перехода системы на работу в аварийном режиме; установленная система защиты информации персональных данных не имеет сертификата ФСТЭК.

Истец с доводами апелляционной жалобы не согласился по основаниям, изложенным в отзыве на апелляционную жалобу. В обоснование своей позиции указал, что в соответствии с протоколом от 14.01.2013 г. стороны подтвердили, что государственный заказчик допустил просрочку исполнения обязательства по предоставлению оборудования для проведения исполнителем работ по установке и настройке программного обеспечения. Ответчик выполненные истцом работы принял, претензий по качеству не заявил. Именно дефекту оборудования Минздрава привели к перерыву работы установленной медицинской информационной системы.

ООО "Агентство информационной безопасности" против удовлетворения апелляционной жалобы возражает по основаниям, изложенным в отзыве на апелляционную жалобу.

ЗАО "Барс Групп" также возражает против удовлетворения апелляционной жалобы. Кредитор не вправе требовать уплаты неустойки, если должник не несет ответственности за неисполнение или ненадлежащее исполнение обязательства. Из содержания подписанных сторонами актов выполненных работ 1, 2, 3 этапов контракта все работы приняты с отметкой об их надлежащем выполнении в полном объеме без замечаний.

Извещенный надлежащим образом о времени и месте судебного разбирательства ответчик в судебное заседание не явился, апелляционная жалоба рассмотрена в его отсутствие.

Законность и обоснованность судебного акта проверены в апелляционном порядке.

Как явствует из материалов дела, 15 октября 2012 года между истцом (исполнитель) и ответчиком (заказчик - до 01.01.2013 года Агентство главного распорядителя средств бюджета) был заключен Государственный контракт N 89-К, предметом которого являлось выполнение работ по созданию регионального сегмента единой государственной информационной системы в сфере здравоохранения (далее Система, РС ЕГИСЗ), в соответствии с техническим заданием и требованиями действующих нормативно-технических и методических документов ФСТЭК и ФСБ России, нормативно-правовых актов по защите персональных данных, а также нормами действующего законодательства (далее Контракт).

В соответствии с условиями Контракта работы должны проводиться в три этапа:

- 1 этап. Выполнение работ по установке и настройке Системы в ЦОДе (центр обработки данных) на оборудовании Правительства Калининградской области по адресу г. Калининград ул. Дм. Донского д.1 не более 15 календарных дней с даты подписания Контракта.

- 2 этап. Выполнение работ по установке и настройке Системы в 2-ух пилотных учреждениях здравоохранения, инструктаж представителей в пилотных учреждениях здравоохранения, настройка Системы на АРМ в пилотных учреждениях здравоохранения, настройка серверного и сетевого оборудования в пилотных учреждениях здравоохранения не более 45-и календарных дней с даты подписания Контракта.

- 3 этап. Выполнение работ по установке и настройке Системы на АРМ в учреждениях здравоохранения, в соответствии с приложением N 1 к техническому заданию, за исключением пилотных учреждений здравоохранения, выполнение Работ в соответствии с требованиями п.3.2 технического задания во всех учреждениях здравоохранения, включая пилотные учреждения здравоохранения, в том числе аттестация ИСПДн на соответствие требованиям безопасности информации, инструктаж представителей Получателя в учреждениях здравоохранения, за исключением пилотных учреждений здравоохранения, обеспечение функционирования Системы в полном объеме в соответствии с техническим заданием не более 90 календарных дней с момента заключения Контракта.

В процессе исполнения Контракта, как указывает ОАО "Ростелеком" в иске, ответчиком многократно допускались значительные многомесячные просрочки исполнения своих обязательств по предоставлению оборудования, необходимого исполнителю для выполнения своих обязательств в связи со следующим.

Как явствует из Приложения N 2, Приложения N 3 к Техническому заданию Контракта, ответчик обязался предоставить ОАО "Ростелеком" как исполнителю четко определенное количество оборудования для развертывания Системы с определенными заданными техническими характеристиками (терминальные станции, сервера, персональные компьютеры и проч.), подключенное в сеть передачи данных по волоконно-оптическим линиям связи, организованным от всех медицинских учреждений региона до ЦОДа Правительства Калининградской области по ул. Дм. Донского, 1.

К моменту заключения истцом и ответчиком Контракта, последний оказался не готов предоставить ОАО "Ростелеком" соответствующий фронт работ.

Поставленное по Контракту N 0135200000512000218-0077427-03 от 20.04.2012 г. (поставщик компания ООО "Балттинформ") оборудование хранилось на складах в запакованном виде и в лечебно-профилактических учреждениях (далее ЛПУ) установлено не было. Аукционной комиссией Конкурсного агентства Калининградской области аукцион на строительство локально-вычислительных сетей в медучреждениях был признан несостоявшимся; соответствующий контракт м ООО "Балттинформ" не заключен.

В рамках дела N А21-10486/2012 установлено, что конкурсным агентством был проведен повторный открытый аукцион в электронной форме N 0135200000512001851 на право заключения государственного контракта на выполнение работ по персонифицированному учету оказания медицинских услуг, возможности ведения электронной медицинской карты, записи к врачу в электронном виде и ведению единого регистра медицинских работников в соответствии с целевой программой Калининградской области "Программа модернизации здравоохранения Калининградской области на 2011 - 2012 годы" (модернизация локальных вычислительных сетей в учреждениях здравоохранения Калининградской области), в котором победителем аукциона определено ООО "Балтик стайл".

Работы по внутренним коммуникациям были выполнены компанией ООО "Балтик стайл" только в первом полугодии 2013 года после проведения повторных закупочных процедур в декабре 2012 года.

Протоколом от 14.01.13г. (том 2 л.д.1) стороны подтвердили, что государственный заказчик допустил просрочку исполнения своего обязательства по предоставлению оборудования для проведения исполнителем работ по установке и настройке прикладного программного обеспечения. На момент подписания протокола в ЛПУ отсутствовали локально-вычислительные сети, и включенное посредством таких сетей оборудование. По договоренности сторон срок выполнения работ 3-го этапа был установлен в 90 дней с момента полной готовности всех ЛПУ, перечисленных в приложении N 2 Контракта, о чем заказчик обязан проинформировать исполнителя письменно.

24.06.2013 года в адрес ОАО "Ростелеком" поступило уведомление Минздрава (исх.01-28/4993 от 21.06.2013 г.) о полной готовности всех ЛПУ к проведению работ третьего этапа. Однако, уведомление содержало оговорку о том, что Неманская Центральная районная больница (далее Неманская ЦРБ) к работам не готова в связи с проводимым капитальным ремонтом здания. Из письма Нестеровской ЦРБ N 1006 от 24.07.2013 года также следовало, что дату начала проведения работ в указанном учреждении здравоохранения следует перенести на конец сентября 2013 года в связи с капитальным ремонтом.

Посчитав, что направленное уведомление от 21.06.13г. полученное истцом 24.06.13г. для отсчета 90-дневный срока выполнения работ, является ненадлежащим извещением, поскольку им документально подтверждена неготовность ряда объектов к внедрению программного продукта, Общество направило в адрес ответчика письмо (N 0203/05/2864-13 от 02.07.2013 г.) о невозможности начала исчисления срока для выполнения третьего этапа работ с 24.06.13г.

Дополнительно информация о неготовности ряда больниц доводилась ОАО "Ростелеком" до заказчика письмами N 0203/05/3164-13 от 19.07.2013 г, N 0203/05/3248-13 от 25.07.2013, N 0203/05/3658-13 от 23.08.2013 г, N 0203/05/3954-13 от 13.09.2013 г.

Письмами N 01-218/5545 от 08.07.2013 г, N 01-28/6782 от 19.07.2013, N 01-28/6745 от 18.07.2013 г, N01-28/8530 от 05.09.2013 года Минздрав с частичной неготовностью объектов согласился и уведомил о возможности выполнения работ в Нестеровской ЦРБ после завершения капитального ремонта, только к 17.09.13г.

20.09.2013 года в адрес исполнителя заказчиком было направлено надлежащее уведомление (исх.01-28/9251) (том 4 л.д.138) о полной готовности всех лечебных учреждений к внедрению медицинской информационной системы, полученное им 24.09.13г.

В связи с чем, как указывает истец, последний день срока выполнения работ третьего этапа Контракта (с учетом протокола от 14.01.2013 года о признании переноса начала третьего этапа работ путем письменного информирования заказчиком), выпадал на 23 декабря 2013 года.

Несмотря на то, что сроки выполнения работ заказчиком были сдвинуты, 27.09.2013 года истец направил в его адрес план-график сдачи выполненных работ, а 04.10.2013 года материалы выполненных работ по аттестационным мероприятиям.

Приемка выполненных работ была отложена Минздравом в связи с предъявленными требованиями по дополнительному обучению медицинского персонала. Кроме того ответчик пытался обязать истца выполнить работы, не предусмотренные Техническим заданием контракта, как то настройка принтеров, терминальных станций, разработка дополнительных функциональных возможностей Системы, ввод данных за сотрудников ЛПУ и т.д. (письмо ОАО "Ростелеком" N 0203/05/4509-13 от 15.10.2013 года, N 0203/05/4812-13 от 31.10.2013 г).

В связи с чем, по предъявленным 04.10.2013 года к приемке работам акт был подписан только 07.11.2013 г.

Также заказчиком допускалась просрочка в отношении 1 и 2 этапа работ по Контракту, что отражено в протоколах к актам выполненных работ от 12.11.2013 года и 14.12.2012 года.

Тем не менее, сами работы всех трех этапов Контракта были приняты заказчиком без замечаний к объему и качеству.

Однако, 12.11.2013 года после подписания заказчиком акта выполненных работ, в адрес истца поступило письмо Минздрава (исх.N 01-28/11052) с требованием подписать акт сверки, предусматривающий удержание с него штрафных санкций за просрочку исполнения обязательств по Контракту. Указанный Акт Общество подписать отказалось (письмо исх.0203/05/5061-13).

При перечислении денежных средств в счет оплаты работ 3-го этапа Контракта, ответчик удержал в счет неустойки 2 084 820 рублей (платежные поручения N 476, N 107), недоплатив истцу стоимость выполненных работ.

Суд первой инстанции, оценив все имеющиеся в материалах дела доказательства, обоснованно удовлетворил заявленные требования.

По своему характеру заключенный контракт правильно оценен судом как договор возмездного оказания услуг.

Императивными нормами статей 309 и 310 ГК РФ установлено, что обязательства должны исполняться надлежащим образом в соответствии с условиями обязательства, требованиями закона и иных правовых актов, односторонний отказ от исполнения обязательства не допускается.

Отношения сторон возникли из договора об оказании услуг по обеспечению охраны объектов, которые регулируются главой 39 ГК РФ.

В соответствии со статьями 779, 781 ГК РФ по договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги, а заказчик обязуется оплатить эти услуги.

Заказчик обязан оплатить оказанные ему услуги в сроки и порядке, которые указаны в договоре возмездного оказания услуг.

Из положений названных статей следует, что оплате подлежат оказанные услуги.

Согласно статье 65 АПК РФ каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основании своих требований и возражений.

В силу положений ст.783 ГК РФ к договору возмездного о5казания услуг применяются положения о подряде, если это не противоречит ст.779-782 Кодекса, а также особенностям предмета договора возмездного оказания услуг.

В соответствии со ст. 718 ГК РФ заказчик обязан в случаях, в объеме и в порядке, предусмотренных договором подряда, оказывать подрядчику содействие в выполнении работ.

При неисполнении заказчиком этой обязанности подрядчик вправе требовать возмещения причиненных убытков, включая дополнительные издержки, вызванные простоем, либо перенесения сроков исполнения работы, либо увеличения указанной в договоре цены работы.

В соответствии с пунктом 1 статьи 719 Кодекса, подрядчик вправе не приступать к работе, а начатую работу приостановить в случаях, когда нарушение заказчиком своих обязанностей по договору подряда, в частности, непредоставление материала, оборудования, технической документации или подлежащей переработке (обработке) вещи, препятствует исполнению договора подрядчиком, а также при наличии обстоятельств, очевидно свидетельствующих о том, что исполнение указанных обязанностей не будет произведено в установленный срок (статья 328 Кодекса).

Согласно ст. 328 ГК РФ в случае непредоставления обязанной стороной обусловленного договором исполнения обязательства либо наличия обстоятельств, очевидно свидетельствующих о том, что такое исполнение не будет произведено в установленный срок, сторона, на которой лежит встречное исполнение, вправе приостановить исполнение своего обязательства либо отказаться от исполнения этого обязательства и потребовать возмещения убытков.

С учетом имеющейся в материалах дела переписки сторон, также подписанного сторонами протокола от 14.01.13г., где они констатировали, что исполнитель не приступил к выполнению работ третьего этапа по причине неготовности локальных сетей на объектах заказчика и установленного активного сетевого оборудования для подключения рабочих станций пользователей и персональных компьютеров, а также уведомлений двух лечебных учреждений о неготовности к проведению работ ввиду проводимого там капитального ремонта (Нестеровская и Неманская ЦБР), суд первой инстанции обоснованно посчитал надлежащим уведомлением о полной готовности сторон письмо ответчика в адрес истца (исх.01-28/9251) от 20.09.2013 года.

Поскольку последний день срока выполнения работ третьего этапа Контракта с истекал 23 декабря 2013 года, а акт выполненных работ подписан ответчиком до 07.11.2013 года, в протоколе от 14.01.13г. стороны согласились на неприменение штрафных санкций к ответчику, основания для удержания денежных средств в размере 2 084 820 рублей за просрочку исполнения обязательств с ОАО "Ростелеком" у Министерства здравоохранения отсутствовали.

Довод ответчика о том, что истец отказался сдавать ЛПУ поэтапно, противоречит материалам дела.

Письмом от 18.02.2013 года N 0203/25/709-13 Общество прямо известило Минздрав, что приступает к работам в тех ЛПУ, которые указаны в письме ответчика N 01-28/1157 от 11.02.13 года, однако возражает против исчисления начала срока выполнения работ от указанной даты.

Именно Общество являлось инициатором поэтапной сдачи отдельных ЛПУ, полагая, что одномоментная приемка работ во всех территориально удаленных объектах будет затруднена в связи с их поэтапным приведением к готовности самим заказчиком (письма исх.N 0203/05/2822-13 от 28.06.13, N 0203/05/3954-13 от 13.09.13, N 0203/05/4155-13 от 27.09.2013). ЛПУ к внедрению оказались не готовы по причине недостаточного количества туннелируемых адресов координаторов и недоукомплектованностью принтеров заказчика (письмо Истца исх.N 0203/05/1931-13 от 26.04.2013 года).

Как следует из представленных Актов готовности, подписанных главврачами мед. учреждений, а также писем истца исх.N 0203/05/2798-13 от 27.06.2013 года (о выполненных работах в 5 ЛПУ), N0203/05/3127-13 от 18.07.2013 года (о выполненных работах в 7 ЛПУ), N0203/05/3258-13 от 26.07.13 года (о неготовности 3-ех переданных в работу ЛПУ), N0203/05/3292-13 от 29.07.2013 (о готовности 7 ЛПУ), N0203/05/3528-13 от 13.08.2013 года (о 26-ти ЛПУ готовых к сдаче заказчику) и др., истец не прекращал разумно и добросовестно исполнять обязательства по Контракту, регулярно отчитываясь о проведенных мероприятиях и возникающих проблемах внедрения МИС, связанных с недостатками оборудования заказчика вплоть до момента полной готовности ЛПУ.

Таким образом, вина истца в перенесении сроков выполнения работ с декабря 2012 года на октябрь 2013 года отсутствует.

Из содержания подписанных сторонами Актов выполненных работ 1, 2, 3-го этапа Контракта все работы приняты с отметкой об их надлежащем выполнении в полном объеме без каких-либо замечаний.

Таким образом, ответчик не вправе ссылаться на какие-либо недостатки выполненных работ при наличии подтвержденного качества в результате личной приемки.

В соответствии с заключенным Минздравом Контрактом с компанией ООО "Балтинформ", последняя обязалась поставить в числе прочего серверное оборудование для центра обработки данных Минздрава. В соответствии с Техническим заданием поставщик обязался произвести монтаж данного оборудования в ЦОДе, подключить их к имеющейся инфраструктуре Минздрава с настройкой программного обеспечения, защищенной сети и т.д. Пункт 5.10 Контракта предусматривает гарантию на поставленный Товар сроком 36 месяцев.

Таким образом, поскольку обслуживание серверов не входит в предмет обязательств истца по Контракту N 89-К, предъявление требований в этой части ответчиком неправомерно.

Системные журналы, ведущиеся ответчиком, подтверждают факт аварии серверов в декабре 2013 года и не перехода Системы в аварийный режим работы, однако не подтверждают наличие причинно-следственной связи между качеством выполненных работ по кластеризации ОАО "Ростелеком" и выходом из строя оборудования заказчика.

Письмом исх.N 01-28/11840 от 05.12.2013 года подтверждается позиция ответчика о том, что сбой не связан с некачественным выполнением по Контракту N 89-К, поскольку неисправность сервера по вине поставщика имела место также в декабре 2012 года, о чем свидетельствует письмо Минздрава в адрес ООО "Балтинформ" N 01-28/10693 от 28.12.2012 г.. В связи с чем, в 2013 году оборудование ЦОД было модернизировано Минздравом по соглашению с ООО "Печатное дело".

Следовательно, вывод ответчика о некачественно выполненной ОАО "Ростелеком" работе по контракту N 89-К не нашел подтверждения в ходе рассмотрения дела.

Доводы относительно поставки истцом несертифицированного программного обеспечения являются несостоятельным.

Как следует из п. 4.3.2 Контракта 89-К исполнитель гарантирует наличие у него прав на передачу неисключительных прав на программное обеспечение, участвующее в создании Системы МИС. Права на программное обеспечение Oracle переданы Госзаказчику бессрочно Соглашением от 07.11.2013 года, что подтверждено Актом приема-передачи.

Техническое задание к Контракту не предусматривает передачу в адрес Ответчика прав на такое программное обеспечение, которое имеет сертификат соответствия ФСТЭК, а, значит и не входит в состав обязательств истца.

Как следует из положений ст.25 ФЗ "О техническом регулировании" обязательная сертификация может быть проведена любым заявителем на основании договора с органом по сертификации, при этом сертификат соответствия выдается на серийно выпускаемую продукцию, на отдельно поставляемую партию продукции или на единичный экземпляр продукции.

Поскольку обязательства по созданию самой системы защиты информации (кроме процедуры аттестации) заказчик принял на себя, то и процедура сертификации должна быть произведена им самостоятельно.

Региональный сегмент единой государственной информационной системы в сфере здравоохранения Калининградской области (РГЕСИЗ) в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" относится к информационным системам персональных данных (ИСПДн) 2-ого уровня защищенности персональных данных и, как сегмент государственной информационной системы, в соответствии с Приказом ФСТЭК от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах" относится к государственным информационным системам 1-го класса (К1) защищенности.

В соответствии с условиями Контракта ОАО "Ростелеком" в числе прочего обязалось оказать услуги по аттестации ИСПДн на соответствие требованиям безопасности информации (3-ий этап ГК).

ООО "АИБ", имеющее действующую лицензию ФСТЭК России на деятельности по технической защите конфиденциальной информации, а также аттестат аккредитации органа по аттестации объектов информатизации, являлось субподрядчиком истца в этой части исполнения контрактных обязательств.

Суд первой инстанции обоснованно указал, что аттестация является лишь одним из многочисленных мероприятий по защите информации, проведение которых должен обеспечить собственник информационного ресурса, то есть сам Минздрав.

Поскольку, в силу положений Государственного контракта на Исполнителя было возложено только проведение процедуры аттестации Системы (из всего комплекса мероприятий), рассмотрение вопроса о качестве оказанных услуг должно ограничиваться исследованием соблюденного истцом порядка предусмотренного п.17.1-17.5 Приказа ФСТЭК России N 17, а именно проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям.

В качестве исходных данных, необходимых для аттестации информационной системы, используются модель угроз безопасности информации, акты классификации информационной системы, техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы, материалы предварительных и приемочных испытаний системы защиты информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.

Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.

Итоговыми документами по результатам аттестационных испытаний является заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний - подтверждения соответствия действующим требованиям по безопасности информации аттестуемого объекта информатизации.

Как следует из представленной в материалы дела переписки истца и ответчика, в адрес последнего вся вышеуказанная документация была направлена в полном объеме письмом ОАО "Ростелеком" исх.N .0203/05/4296-13/ДСП и N 0203/05/4299-13/ДСП от 04.10.2013 года. Довод о том, что истец направил комплект организационных документов вместе с отрицательным заключением, что лишило Минздрав возможности устранить какие-либо недостатки средств защиты, является несостоятельным, поскольку предварительный отчет обследования объектов Минздрава выслан письмом ОАО "Ростелеком" исх.N 0203/05/3822-13 заблаговременно - 06.09.2013 года.

Кроме того, Техническое задание к Контракту не предусматривает поэтапность осуществления аттестационных мероприятий, а также наличие временного интервала между процедурой предоставления типовых организационных документов и представления заключения о соответствии / не соответствии объекта требованиям по безопасности.

Вместе с тем, истцом (по представленной от ООО "АиБ" информации) неоднократно доводилось до сведения заказчика о недостаточности средств защиты. Так, изначально, в письме исх.N 0203/05/2864-13 от 02.07.13 года истец сообщает, что неправильно установлен режим VIP-net координатора, имеются ошибки в настройках средств защиты Secret Net 7, не установлены режимы идентификации по паролю и др., а также частично не установлено оборудование по рабочим местам. В письме исх.N 0203/05/3164-13 от 19.07.13 года истцом указано на недоступность установленных VIP-net координаторов, а, значит отсутствии защищенных каналов передачи данных. Письмом N 0203/05/3248/13 от 25.07.13 изложена необходимость устранения заказчиком программных несоответствий, установки сертифицированных антивирусов, приобретении идентификаторов, исключении размещения VIP-net координаторов в общедоступных местах, заведении и заполнении журналов учета средств защиты информации по прилагаемой форме и т.д. и т.д.

Непосредственно к аттестации субподрядчик (ООО "АиБ") приступил 02.09.2013 года, о чем сообщил в адрес Минздрава (исх.N 0203/05/3756-13 от 02.09.2013 г). При этом, ОАО "Ростелеком" обращал внимание ответчика на необходимость устранения выявленных в июле 2013 года недостатков системы защиты персональных данных до подведения итогов аттестации (письмо исх.N 0203/05/3822-13 от 06.09.2013 г.) с приложением предварительного отчета, показавшего несоответствие системы.

Минздрав согласился в переписке (исх.N 01-28/5544 от 08.07.13, N 01-28/5545 от 08.07.2013, N 01-28/6745 от 18.07.2013, 01-28/6782 от 19.07.2013 года) с выявленными недостатками. Более того, письмом исх.N 01-19/6826 от 15.07.2013 года Минздрав обязал главврачей ЛПУ организовать выполнение мероприятий по защите персональных данных.

Таким образом, поскольку самим заказчиком не проведены входящие в сферу его ответственности мероприятия, в том числе считающиеся заказчиком завершёнными, качественно выполненными, а также принятые заказчиком у иных подрядчиков работы по мероприятиям, предшествующим проведению самой процедуры аттестации, поименованные в п.13 Приказа ФСТЭК России N 17 (формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение средств и систем защиты информации информационной системы), ООО "АИБ" правомерно подготовлено отрицательное заключение по результатам проведенных аттестационных мероприятий в связи с недостаточной комплектацией средств защиты информации, полноты мероприятий по их внедрению и качеству исполнения работ по их внедрению, означающих в совокупности отсутствие завершённой Государственным заказчиком системы защиты информации.

Довод о том, что отрицательное заключение ООО "АиБ" связано с отсутствием оборудования на объектах, не поименованных в Госконтракте, противоречит содержанию документа. Предъявленные субподрядчиком замечания связаны со следующим: не установлен 2-ой режим координатора, неправильные настройки политики безопасности, отсутствие сертифицированного антивируса, отсутствие ограничений для USB-накопителей и др.

Довод ответчика о том, что обследование проведено только на 10 объектах Госзаказчика из 60-ти также не принимается судом, в связи со следующим.

В соответствии с п. 17.3 Приказа ФСТЭК России N 17 допускается возможность аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. Указанное число - 10 ЛПУ - более чем достаточно для обоснования выявленного несоответствия всей информационной системы требованиям по безопасности информации. Целью аттестации не является представление данных для планирования мероприятий по устранению выявленных нарушений. Осуществление мероприятий по устранению выявленных в ходе аттестации нарушений Техническим заданием к Контракту также не предусмотрено.

Разработка и внедрение системы защиты информации как обязательство исполнителя в Техническом задании к Контракту N 89-К не поименовано. Более того, внедрение системы защиты осуществлялось, как следует из материалов дела самим Минздравом и не относилась на ОАО "Ростелеком", выполнявшего по Контракту очень узкую задачу - проверку созданной Госзаказчиком системы защиты информации на соответствие установленным требованиям.

Довод Минздрава о том, что частная модель угроз должна содержать сведения о составе основных средств, программного обеспечения и т.д., расположенных в каждом ЛПУ отдельно, является несостоятельным, поскольку указанная информация должна отражаться, как указано в п.15 Приказа ФСТЭК России N 17, в проектной документации, изготавливаемой на стадии разработки системы защиты персональных данных, а не на стадии уже аттестационных мероприятий.

Как указано в п.3.2 Технического задания Контракта актуальные угрозы ИБ, которым подвергается ИСПДн, определяются и обосновываются в модели угроз, которая разрабатывается Исполнителем. Модель угроз должна быть подготовлена на основе Руководящего документа ФСТЭК России "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

Частная модель угроз, переданная ОАО "Ростелеком" в адрес Минздрава письмом от 04.10.2013 года N 0203/05/4896-13/ДСП (Уч.N 118дсп), полностью отвечает требованиям к типовым моделям угроз, утвержденным вышеуказанным РД, утвержденным ФСТЭК России 15 февраля 2008 г. Информационной системой персональных данных стороны именуют информационную систему персональных данных в целом, а не выделенный сегмент отдельно взятого ЛПУ.

Техническое задание к Контракту не содержит обязанности изготовить частную модель угроз для каждого сегмента ЕРГСИЗ, т.к. предметом обследования является единая государственная информационная система в сфере здравоохранения (п.3.2 Технического задания).

Не нашел подтверждения в заседании и довод ответчика о том, что том, что исполнителем направлены незаполненные документы. Оператором обработки персональных данных пациентов является конкретное ЛПУ, которое обязано издать соответствующие локальные акты по учреждению - такие как - приказ о назначении ответственных лиц и администраторов безопасности, о порядке доступа работников ЛПУ к оборудованию, о назначении комиссии, утвердить инструкции и правила обработки персональных данных, завести журналы определенного формата и др. Поскольку такие документы одинаковы для всех мед. учреждений, в адрес ответчика переданы шаблоны для заполнения, как на бумаге, так и на электронном носителе (Приложения 61-62 к письму). ОАО "Ростелеком" не управомочено определять своим приказом (распоряжением) конкретных ответственных лиц из числа работников ЛПУ или своим распоряжением утверждать внутренние документы другого юридического лица.

В соответствии с заключением, выданным Санкт-Петербургским научно-техническим центром Федерального государственного унитарного предприятия "Научно-производственное предприятие "Гамма" 04.02.2013 года, аттестация объекта информатизации Минздрава РГЕСИЗ проведена в полном объеме и в порядке, предусмотренном действующим законодательством, разработанная модель угроз и организационно-распорядительная документация удовлетворяет предъявляемым требованиям, рекомендаций, изложенных в отчете (уч.N 97дсп, 2013) достаточно для проведения мероприятий по устранению нарушений, а анализ состояния защищенности по результатам аттестационных мероприятий проведен с достаточной степенью детализации.

В соответствии с п. 5 ст.16 ФЗ "Об информации, информационных технологиях и о защите информации", требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Во исполнение указанной нормы ФСТЭК России принят приказ N 17 от 11.02.2013 года, который вступил в силу с 01.09.2013 года, то есть до проведения непосредственно аттестационных мероприятий истцом.

В соответствии с п. 17.3 Приказа допускается возможность аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.

Действовавший на момент заключения Контракта N 89-К Приказ ФСТЭК N 58, на который ссылается ответчик в дополнении к отзыву, не регулировал процедуру проведения аттестационных мероприятий.

Таким образом, довод о том, что ранее действовавший порядок (до вступления в силу Приказа ФСТЭК N 17) обязывал аттестующий орган к аттестации объектов на всех 68 ЛПУ, не соответствует действительности.

Вменяя нарушение нормативно установленного порядка аттестации, Минздрав не указывает какой конкретно пункт Приказа N 58 не исполнен ОАО "Ростелеком", что повлияло на качество выполненных работ в этой части.

На момент заключения Контракта N 89-К, то есть на 15.10.2012 года действовал ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения", утвержденный 17.04.2012 года. В соответствии с о пунктом 6.5.3 для распределённой информационной системы, предназначенной для обработки информации ограниченного доступа, не содержащей сведения составляющие государственную тайну, допускается проводить аттестацию входящих в неё типовых автоматизированных рабочих мест и (или) локальных информационных систем. При этом разрешается распространять результаты указанной аттестации на однотипные автоматизированные рабочие места и (или) локальные информационные системы.

Таким образом, выборочная аттестация отдельных элементов информационной системы допускается как ГОСТом, который регулировал порядок аттестационных испытаний на момент заключения Контракта, так приказом ФСТЭК N 17, вступившим в силу на момент проведения собственно аттестационных мероприятий истцом.

Техническое задание к Контракту также не содержит обязанности исполнителя провести обследование и аттестацию для каждого сегмента ЕРГСИЗ, т.к. предметом аттестационных испытаний является единая государственная информационная система в сфере здравоохранения (п.3.2 ТЗ Контракта). Информационной системой персональных данных стороны по Контакту именуют информационную систему персональных данных в целом, а не выделенный элемент отдельно взятого ЛПУ. Техническое задание не содержит конкретного перечня действий в рамках аттестации и "пошаговых" инструкций Исполнителю о порядке проведения испытаний, а лишь отсылает к действующему нормативному порядку.

В связи с изложенным, доводы Минздрава о произвольном уменьшении объема работ по сравнению с указанным в Контракте, бездоказательны.

Доводы, изложенные в апелляционной жалобе, были проанализированы судом первой инстанции, им дана надлежащая правовая оценка.

В связи с вышеизложенным апелляционная инстанция не находит оснований для отмены принятого по делу судебного акта, нормы материального и процессуального права применены верно, в удовлетворении апелляционной жалобы следует отказать.

На основании изложенного и руководствуясь статьями 269 - 271 Арбитражного процессуального кодекса Российской Федерации, Тринадцатый арбитражный апелляционный суд

ПОСТАНОВИЛ:

Решение Арбитражного суда Калининградской области от 02.06.2014 г. по делу N А21-10983/2013 оставить без изменения, апелляционную жалобу - без удовлетворения.

Постановление может быть обжаловано в Арбитражный суд Северо-Западного округа в срок, не превышающий двух месяцев со дня его принятия.

Председательствующий

Н.А. Мельникова

Судьи

И.В. Сотов В.В. Черемошкина