Судебная практика

Суды разрешили спор о расходовании средств ОМС на информационную безопасность

26.05.2026
0 2 Время чтения: 4 мин.


© fabiobalbi / Фотобанк 123RF.com

Станция скорой помощи оспаривала акт проверки ТФОМС в части вывода о нецелевом использовании средств ОМС на оплату госконтракта. Предметом спорного контакта были, во-первых, услуги по аудиту информационной безопасности в части ГИС, которой пользуется станция СМП, и во-вторых, разработка организационно-распорядительной документации по защите информации (пакет документов, который был необходим согласно ранее действовавшему приказу ФСТЭК № 17 о защите информации в ГИСах; напомним, сейчас аналогичные и даже более строгие требования ФСТЭК применяются не только к ГИС, но к иным ИС госучреждений) (Постановление Седьмого ААС суда от 31 марта 2026 г. № 07АП-747/26).

Кроме того, станция просила уменьшить штраф за «нецелевку» по другим нарушениям: с нарушениями станция не спорила, но размер штрафа сочла слишком суровым.

Суд первой инстанции удовлетворил иск:

  • в части аудита инфобеза. Станция СМП использует две ГИС – ГИС «Кадры» и ГИС «Здравоохранение. Открытая скорая», в обеих обрабатываются персданные сотрудников и пациентов, в том числе спецкатегории ПДн;
  • следовательно, станция СМП должна соблюдать Требования ФСТЭК № 17 и осуществлять организационные и технические меры по обеспечению безопасности персданных при их обработке в ИСПДн, утвержденные приказом ФСТЭК № 21;
  • при этом за несколько месяцев до заключения спорного госконтракта работу станции СМП с ГИС проверяло местное УФСБ, и обнаружило нарушения в части инфобеза. Например, выявлено, что на АРМ нет сертифицированных средств доверенной загрузки (п. 15.1 Требований № 17) и аттестатов соответствия (п. 17, п. 17.2 Требований № 17). Это зафиксировано постановлением УФСБ о назначении административного наказания;
  • чтобы устранить выявленные нарушения в сфере инфобеза, станция СМП, по мнению суда первой инстанции, совершенно обоснованно решила провести аудит информационной безопасности и озаботиться составлением пакета внутренних документов по защите информации. Своих сотрудников по инфобезу на станции СМП нет. Да и лицензии на техзащиту информации тоже нет. Следовательно, обращение за указанными услугами к лицензиату совершенно оправданно;
  • тем более что аудит инфобезопасности проводился в отношении ГИС «Здравоохранение Открытая скорая», а эта ГИС является основным программным продуктом, используемым в работе медперсонала станции, содержит все данные об оказании скорой медпомощи населению, и нарушение ее работы повлечет за собой невозможность своевременно оказывать скорую медицинскую помощь;
  • для того, чтобы провести аттестацию АРМ, необходимо сначала разработать пакет внутренней документации по инфобезу, потому что согласно п. 17, п. 17.1 Требований ФСТЭК № 17, аттестация ГИС включает проведение комплекса аттестационных испытаний, а в качестве исходных данных, необходимых для аттестации, и нужны эти документы, в том числе – модель угроз безопасности, акт классификации ГИС, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей ГИС и т. д.;
  • кроме того, указал суд, в числе организационных и технических мер по обеспечению безопасности персданных при их обработке в ИСПДн (приказ ФСТЭК № 21) указан контроль (анализ) защищенности персональных данных, и этот контроль осуществляется путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты ПДн (п. 8.8. Перечня № 21). Требования ФСТЭК № 17 также предписывает такую меру защиты информации в ИС, как анализ уязвимостей информационной системы, включающий в себя анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы (п. 16.6 приказа ФСТЭК № 17);
  • и поскольку ГИС «Здравоохранение Открытая скорая» имеет непосредственное отношение к оказанию скорой медпомощи населению, то оплата расходов на обеспечение ее безопасности, включая аудит ИБ, должна осуществляться из основного источника финансирования станции, то есть из средств ОМС;
  • в части снижения штрафа. Ссылаясь на ст. 333 ГК РФ, постановление Пленума ВС РФ от 24 марта 2016 г. № 7, определение КС РФ от 21 декабря 2000 г. № 263-О суд снизил неустойку (связанную с другими нарушениями, не с аудитом ИБ) в два раза, с 24 000 до 12 000 руб. По этой причине суд взыскал с ТФОМС полный размер госпошлины, которую уплатила станция СМП при обращении в суд (50 000 руб.).

ТФОМС обжаловал решение арбитражного суда и в части расходования средств ОМС на аудит ИБ, и в части возмещения госпошлины в полном объеме: ведь суд не отменил штраф целиком, а всего лишь снизил его размер, почему же госпошлину нужно возмещать целиком?

Седьмой ААС согласился с фондом лишь частично:

  • в части возврата госпошлины. Госпошлина в указанном случае возмещается станции СМП в полном объеме независимо от того, насколько сильно суд снизил размер штрафа. Потому что согласно правовой позиции Верховного Суда РФ, изложенной в абзаце 8 п. 42 Обзора судпрактики № 5, утв. Президиумом ВС РФ 27 декабря 2017 года, при снижении в связи с наличием смягчающих обстоятельств в судебном порядке размера штрафа, назначенного органом, осуществляющим контроль за уплатой страховых взносов, судебные расходы в виде уплаченной при обращении в суд госпошлины возмещаются в полном объеме;
  • в части неправомерного использования средств ОМС на аудит ИБ – в данном деле, указывая на конкретные фактические обстоятельства дела, суд согласился с ТФОМС. Потому что УФСБ проверяло и выявило нарушения Требования ФСТЭК № 17 только применительно к ГИС Кадры. А предметом спорного госконтракта был аудит информационной безопасности в отношении иной ГИС – ГИС Здравоохранение. Открытая скорая;
  • кроме того, в постановлении УФСБ о привлечении к административной ответственности прямо не сказано о необходимости проведения станцией СМП аудита инфобеза и составления внутренней документации по защите информации, по крайней мере в отношении спорной ГИС,
  • согласно ГОСТ Р 50922-2006, аудит информационной безопасности в организации – это периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности (п. 2.8.6). Следовательно, аудит ИБ не связан напрямую с оказанием медицинской помощи пациентам;
  • при этом ТП ОМС не предусматривает направление средств ОМС на инфобез, и эти расходы нельзя признать непосредственно связанными с оказанием медпомощи или необходимыми для обеспечения деятельности медорганизации в целом;
  • и вообще, ни один нормативный правовой акт не обязывает организацию проводить именно аудит информационной безопасности. Суд первой инстанции просто перепутал термины «аудит ИБ» и «контроль (анализ) защищенности персональных данных», а эти понятия вовсе не являются тождественными (аналогичными), равнозначными или взаимозаменяемыми, – результатом аудита является ответ на вопрос «выполняются ли в организации установленные требования», а результатом контроля (анализа) защищенности является ответ на вопросы «обеспечивается или не обеспечивается защита и работоспособность информационной системы». Тем более что согласно отчету об обследовании информационной инфраструктуры станции СМП в рамках спорного госконтракта, целью проведения обследования информационной инфраструктуры являлась оценка защищенности информационной структуры, а также соответствия требованиям законодательства в области защиты конфиденциальной информации и персональных данных. Фактически в данном отчете содержится только оценка соответствия ГИС требованиям нормативно-правовых актов РФ в области инфобеза, в том числе требованиям приказов ФСТЭК России № 17 и № 21, что свидетельствует о проведении именно аудита, но не контроля (анализа). А еще в данном отчете нет выводов о том, что в результате анализа защищенности ГИС и тестирования работоспособности системы защиты персональных данных защита и работоспособность этой ГИС обеспечиваются или нет;
  • наконец, ранее ВС РФ в п. 29 Обзора практики рассмотрения судами дел, связанных с применением законодательства об ОМС (утвержден Президиумом ВС РФ 27 ноября 2024 года), приходил к выводу о нецелевом расходовании средств ОМС на обычный аудит (не аудит ИБ). Значит, эту позицию можно применить и к финансированию расходов на аудит информационной безопасности.

Вывод. Суды очень осторожно подходят к вопросу о возможности оплаты услуг по ИБ за счет средств ОМС. Возможно, аккуратное оформление результатов таких услуг в строгом соответствии с «текущими» Требованиями ФСТЭК № 117 могло бы склонить суды на сторону медорганизации.

Источник

Теги

Добавить комментарий

Кнопка «Наверх»
Закрыть
Закрыть