Справа: № 826/7396/14 Головуючий у 1-й інстанції: Данилишин В.М. Суддя-доповідач: Мацедонська В.Е.
Іменем України
23 вересня 2014 року м. Київ
Київський апеляційний адміністративний суд у складі:
головуючого - судді Мацедонської В.Е.,
суддів Мельничука В.П., Лічевецького І.О.,
при секретарі Горяіновій Н.В.,
розглянувши у відкритому судовому засіданні в м.Києві справу за апеляційною скаргою Міністерства юстиції України на постанову Окружного адміністративного суду м.Києва від 04 липня 2014 року у справі за адміністративним позовом приватного акціонерного товариства «Інфраструктура відкритих ключів» до Міністерства юстиції України, третя особа: Державна служба спеціального зв'язку та захисту інформації України про скасування рішення,-
Постановою Окружного адміністративного суду м.Києва від 04 липня 2014 року позов приватного акціонерного товариства «Інфраструктура відкритих ключів» до Міністерства юстиції України, третя особа: Державна служба спеціального зв'язку та захисту інформації України про скасування рішення задоволено повністю, визнано протиправним та скасовано наказ Міністерства юстиції України від 27 травня 2014 року №821/5 «Про скасування акредитації та анулювання свідоцтва про акредитацію центру сертифікації ключів приватного акціонерного товариства «Інфраструктура відкритих ключів».
Не погоджуючись з прийнятим судовим рішенням, відповідач подав апеляційну скаргу, в якій просить скасувати постанову суду першої інстанції з мотивів порушення норм матеріального та процесуального права права та прийняти нову постанову, якою відмовити в задоволенні позовних вимог. Апелянт зазначає про неправомірність висновків суду щодо відсутності необхідних документів у центрального засвідчувального органу для прийняття рішення про скасування реєстрації. На думку відповідача, законодавством України та, зокрема, Законом України «Про електронний цифровий підпис» не передбачена видача розпорядження про анулювання свідоцтва про акредитацію, а наявність чи відсутність такого розпорядження не впливає на можливість центрального засвідчувального органу скасовувати акредитацію. Крім того, на момент прийняття оскаржуваного позивачем рішення у Міністерства юстиції України була відсутня інформація про винесення контролюючим органом припису, яким було встановлено строк, протягом якого необхідно усунути недоліки, та більше того на момент розгляду справи зазначений строк сплив, а згідно інформації контролюючого органу (третьої особи у справі) вимоги припису позивачем не виконано.
Заслухавши доповідь судді-доповідача, пояснення представників сторін та третьої особи, перевіривши матеріали справи, доводи апеляційної скарги, колегія суддів знаходить, що апеляційна скарга не підлягає задоволенню, виходячи з наступного.
Повноваження суду апеляційної інстанції з перегляду судових рішень встановлені ст.195 КАС України, відповідно до якої перегляд оскаржуваного рішення здійснюється в межах апеляційної скарги, за винятком встановлення апеляційним судом порушень, допущених судом першої інстанції, які призвели до неправильного вирішення справи.
Відповідно до ч.1 ст.200 КАС України суд апеляційної інстанції залишає апеляційну скаргу без задоволення, а постанову або ухвалу суду - без змін, якщо визнає, що суд першої інстанції правильно встановив обставини справи та ухвалив судове рішення з додержанням норм матеріального і процесуального права. Згідно ст.159 КАС України судове рішення повинно бути законним і обґрунтованим. Законним є рішення, ухвалене судом відповідно до норм матеріального права при дотриманні норм процесуального права. Обґрунтованим є рішення, ухвалене судом на підставі повно і всебічно з'ясованих обставин в адміністративній справі, підтверджених тими доказами, які були досліджені в судовому засіданні.
З матеріалів справи вбачається, що судом першої інстанції було правильно встановлено обставини, які спричинили спір між сторонами, вірно визначено норми матеріального права, які підлягають застосуванню, а також не допущено порушень норм процесуального права, які б впливали на правильність вирішення справи по суті спору.
Як встановлено судом, відповідно до виданого Міністерством юстиції України ПрАТ «Інфраструктура відкритих ключів» свідоцтва серії А №12 про акредитацію центру сертифікації ключів, центр сертифікації ключів позивача відповідає вимогам до акредитованого центру сертифікації ключів та 01 лютого 2013 року внесений до Реєстру суб'єктів, які надають послуги електронного цифрового підпису за №2/2013, свідоцтво дійсне до 31 січня 2018 року.
Згідно атестату відповідності від 06 вересня 2013 року №8881, виданого Державною службою спеціального зв'язку та захисту інформації України, комплексна система захисту інформації центру сертифікації ключів позивача забезпечує захист інформації відповідно до вимог нормативних документів системи технічного захисту інформації в Україні; атестат видано на підставі експертного висновку, який надано організатором експертизи - ТОВ «Науково-виробниче підприємство «Безпека інформаційно-телекомунікаційних систем». Атестат відповідності дійсний до 06 вересня 2018 року.
В період із 03 березня 2014 року по 14 березня 2014 року комісією Державної служби спеціального зв'язку та захисту інформації України проведено планову перевірку стану дотримання вимог законодавства у сфері надання послуг електронного цифрового підпису в акредитованому центрі сертифікації ключів позивача, за результатами якої 14 березня 2014 року складено акт №ВП02/03-03, відповідно до висновків якого позивачем допущено ряд порушень законодавства: віддалений адміністратор реєстрації ВПР має права локальної групи користувачів «Адміністратор», той самий, що і адміністратор безпеки, що є порушенням розділу 4 Порядку ВПР; встановлено антивірусне програмне забезпечення Microsoft Security Essentials (Engine version 1.1.10302.0), яке не має позитивного експертного висновку за результатами державної експертизи в сфері технічного захисту інформації щодо правильності реалізації функціональних послуг безпеки, як того вимагає розділ 6.2 Порядку ВПР; у «Посадових інструкціях відділеного адміністратора реєстрації ВПР», «Посадових інструкціях начальника ВПР» та «Посадових інструкціях оператора реєстрації ВПР» були відсутні підписи щодо ознайомлення; відсутні документи «Комплексна система захисту інформації АС ЦСК. Комплекс засобів захисту. Засоби антивірусного захисту» та «Програмно-технічний комплекс центру сертифікації ключів. РС віддаленого адміністратора реєстрації центру сертифікації ключів. Інструкція з експлуатації КТЗ», наявність яких передбачена розділом 5 Порядку ВПР; відсутній документ «Пам'ятка обслуговуючому персоналу щодо забезпечення безпеки експлуатації технічних засобів ВПР та поводження із ключовими документами», наявність якого передбачена розділом 5 Порядку ВПР; одне з приміщень ВПР не має шафи або аналогу для зберігання документів, що містять персональні дані заявників/підписувачів. Обидва ВПР не мають сейфів для зберігання персональних ключових документів. Порушення вимог розділу 6.5 Порядку ВПР; встановлене прикладне програмне забезпечення не відповідає зазначеному у формулярі на ВПР (додатково встановлені програми: Expert-FM, Mozilla Firefox 14.0.1, Skype 6.1, Google chrome, CCleaner 3.4.1369 та інші).
На підставі акту перевірки 14 березня 2014 року контролюючим органом складено припис про усунення порушень вимог законодавства у сфері надання послуг електронного цифрового підпису, яким акредитований центр сертифікації ключів позивача зобов'язано у строк до 01 липня 2014 року усунути виявлені у ході перевірки та зафіксовані в акті порушення.
Про результати проведеної перевірки позивача контролюючим органом також було повідомлено Міністерство юстиції України листом за вих.№11/11-402 від 27 березня 2014 року.
27 травня 2014 року, не зважаючи на встановлені приписом строки, протягом яких мають бути усунені порушення, відповідачем видано оскаржуваний наказ №821/5, яким, зокрема, скасовано акредитацію акредитованого центру сертифікації ключів позивача з 27 травня 2014 року та анульовано свідоцтво серії А №12, видане відповідно до рішення центрального засвідчувального органу 01 лютого 2013 року №209/5. Зазначений наказ було розміщено на офіційному веб-сайті відповідача.
Як вбачається з оскаржуваного наказу, його видано згідно з постановою Кабінету Міністрів України від 28 жовтня 2004 року №1451 «Про затвердження Положення про центральний засвідчувальний орган» та абзацу 5 п.14 Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року №903, у зв'язку з невиконанням акредитованим центром сертифікації ключів позивача встановлених вимог щодо надання послуг електронного цифрового підпису.
Судом першої інстанції вірно визначені норми матеріального права, на підставі яких має бути вирішено спір, а також правильно визначено компетенцію та повноваження Міністерства юстиції України як центрального засвідчувального органу.
Відповідно до ст.1 Закону України «Про електронний цифровий підпис» електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.
Згідно ч.1 ст.8 Закону України «Про електронний цифровий підпис» центром сертифікації ключів може бути юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги електронного цифрового підпису та засвідчила свій відкритий ключ у центральному засвідчувальному органі або засвідчувальному центрі з дотриманням вимог ст.6 цього Закону.
У відповідності до ст.9 вищезазначеного Закону центр сертифікації ключів, акредитований в установленому порядку, є акредитованим центром сертифікації ключів та має право: надавати послуги електронного цифрового підпису та обслуговувати виключно посилені сертифікати ключів; отримувати та перевіряти інформацію, необхідну для реєстрації підписувача і формування посиленого сертифіката ключа, безпосередньо у юридичної або фізичної особи чи її представника. Акредитований центр сертифікації ключів має виконувати усі зобов'язання та вимоги, встановлені законодавством для центру сертифікації ключів, та додатково зобов'язаний використовувати для надання послуг електронного цифрового підпису надійні засоби електронного цифрового підпису. Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються Кабінетом Міністрів України.
Відповідно до п.3 Положення про Міністерство юстиції України, затвердженого Указом Президента України від 06 квітня 2011 року №395/2011, на вказане міністерство покладено функції центрального засвідчувального органу шляхом забезпечення створення умов для функціонування засвідчувальних центрів органів виконавчої влади або інших державних органів та центрів сертифікації ключів.
Основним завданням центрального засвідчувального органу, відповідно до Положення про центральний засвідчувальний орган Міністерства юстиції, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року №1451, є обслуговування сертифікатів ключів центрів та їх акредитація. Серед інших завдань, зокрема, передбачено здійснення акредитації центрів, видачу, переоформлення та анулювання відповідних свідоцтв, блокування, скасовування та поновлення сертифікатів ключів центрів у випадках, передбачених Законом України «Про електронний цифровий підпис».
Згідно ст.12 Закону України «Про електронний цифровий підпис» функції контролюючого органу здійснює спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації. Контролюючий орган перевіряє дотримання вимог цього Закону центральним засвідчувальним органом, засвідчувальними центрами та центрами сертифікації ключів.
Функції контролюючого органу покладено законодавством на Державну службу спеціального зв'язку та захисту інформації України - третю особу у справі.
Відповідно до п.п.8.1, 8.5 розділу 8 Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 24 липня 2007 року №143, на підставі акта, який складено за результатами здійснення перевірки, у ході якої виявлено порушення вимог законодавства, протягом п'яти робочих днів з дня завершення перевірки складається припис про усунення порушень, виявлених під час перевірки. Припис видається та підписується членами Комісії, які здійснювали перевірку. Суб'єкт перевірки зобов'язаний у встановлений в приписі термін письмово подати контролюючому органу інформацію про усунення порушень разом з документами, що це підтверджують.
Крім того, відповідно до п.7.7 вищезазначеного Положення в разі перевірки акредитованого центру, копія акта протягом п'яти робочих днів після завершення перевірки направляється до центрального засвідчувального органу.
В силу п.8.6 вищезазначеного Положення у випадку встановлення за результатами проведеної перевірки акредитованого центру та центру сертифікації ключів фактів (ознак) компрометації особистого ключа порушення вимог законодавства у сфері послуг ЕЦП, не усунених за встановлений у приписі термін, недостовірних даних, зазначених у сертифікаті ключа, контролюючим органом розглядаються надані матеріали та відповідно до ст.12 Закону України «Про електронний цифровий підпис» вирішуються питання щодо видання розпорядження центральному засвідчувальному органу про застосування заходів стосовно суб'єкта перевірки відповідно до закону.
Вичерпний перелік підстав для скасування акредитації визначений Порядком акредитації центру сертифікації ключів, затвердженим постановою Кабінету Міністрів України від 13 липня 2004 року №903.
Згідно з вимогами п.14 вищезазначеного Порядку рішення про скасування акредитації центральний засвідчувальний орган приймає у разі: повідомлення контролюючим органом про порушення акредитованим центром законодавства; неукладення протягом року жодного договору про надання послуг електронного цифрового підпису; непоповнення спеціального рахунка для забезпечення відшкодування збитків; невиконання акредитованим центром встановлених вимог щодо надання послуг електронного цифрового підпису згідно із законодавством; прийняття акредитованим центром рішення про припинення діяльності.
Відповідно до ч.3 ст.12 Закону України «Про електронний цифровий підпис» у разі невиконання або неналежного виконання обов'язків та виявлення порушень вимог, встановлених законодавством для центру сертифікації ключів, засвідчувального центру, контролюючий орган дає розпорядження центральному засвідчувальному органу про негайне вжиття заходів, передбачених законом.
З наведених правових норм вбачається, що процедура проведення перевірок в сфері послуг ЕЦП, оформлення її результатів, прийняття рішення, а також повноваження державних органів, зокрема, контролюючого та центрального засвідчувального органів, є чітко визначеними та спрямовані на унеможливлення зловживання своїми повноваженнями зі сторони якогось одного з вищеназваних суб'єктів. Рішення про застосування заходів впливу до суб'єкта господарювання повинно прийматися центральним засвідчувальним органом саме за розпорядженням контролюючого органу. У зв'язку з тим, що такий порядок встановлено ч.3 ст.12 Закону України «Про електронний цифровий підпис», посилання апелянта на достатність для прийняття рішення про скасування акредитації також повідомлення контролюючого органу відповідно до Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року №903, є безпідставним.
Крім того, направлений третьою особою відповідачу лист за вих.№ 11/11-402 від 27 березня 2014 року в будь-якому випадку неможливо вважати повідомленням центрального засвідчувального органу щодо порушення законодавства ПрАТ «Інфраструктура відкритих ключів», оскільки як вбачається з матеріалів справи вказаний лист є супровідним листом до акту перевірки, примірник якого контролюючий орган зобов'язаний направляти відповідачу відповідно до п.7.7 Положення про порядок здійснення державного контролю за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 24 липня 2007 року №143. Також із зазначеного листа вбачається про інформування відповідача про винесення припису за результатами перевірки, хоча копія припису до Міністерства юстиції України не направлялася. Більше того, участь у засіданні постійно діючої комісії з акредитації засвідчувальних центрів сертифікації ключів при Міністерстві юстиції України посадових осіб контролюючого органу також спростовує той факт, що відповідачу перед прийняттям рішення не було відомо про винесення припису з встановленим строком усунення порушень та який на момент прийняття оскаржуваного рішення від 27 травня 2014 року не сплинув.
Згідно з ч.2 ст.19 Конституції України органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України. Однак, в даному випадку Міністерство юстиції України, приймаючи оскаржуваний позивачем наказ №821/5 від 27 травня 2014 року, діяло всупереч вищевказаній нормі Основного закону та вимогам Закону України «Про електронний цифровий підпис».
На підставі вищенаведеного, приймаючи до уваги, що судом першої інстанції правильно встановлено обставини справи, судове рішення ухвалено з додержанням норм матеріального та процесуального права, висновки суду першої інстанції доводами апелянта не спростовані, колегія суддів приходить до висновку про відсутність підстав для зміни або скасування постанови суду.
Керуючись ст.ст.195, 196, 198, 200, 205, 206, 212, 254 КАС України, суд,-
Апеляційну скаргу Міністерства юстиції України - залишити без задоволення.
Постанову Окружного адміністративного суду м.Києва від 04 липня 2014 року - залишити без змін.
Ухвала набирає законної сили з моменту проголошення та може бути оскаржена протягом двадцяти днів з дня її складення в повному обсязі шляхом подачі касаційної скарги безпосередньо до Вищого адміністративного суду України.
Повний текст ухвали виготовлено 29 вересня 2014 року.
Головуючий суддя В.Е.Мацедонська
Судді В.П.Мельничук
І.О.Лічевецький
.
Головуючий суддя Мацедонська В.Е.
Судді: Лічевецький І.О.
Мельничук В.П.