ПОСТАНОВА
Іменем України
01 березня 2019 року
Київ
справа №855/53/19
адміністративне провадження №А/9901/45/19
Верховний Суд у складі колегії суддів Касаційного адміністративного суду:
головуючої судді - Желтобрюх І.Л.,
суддів: Данилевич Н.А., Стрелець Т.Г.,
секретаря судового засідання Вітковської К.М.,
представника позивача - ОСОБА_1,
представника відповідача - Краснощока А.І.,
розглянувши у відкритому судовому засіданні апеляційну скаргу довіреної особи кандидата на пост Президента України ОСОБА_3 в особі ОСОБА_1 на рішення Шостого апеляційного адміністративного суду від 25 лютого 2019 року (колегія суддів у складі: головуючого судді - Мєзєнцева Є.І., суддів - Файдюка В.В., Чаку Є.В.) у справі за позовом кандидата на пост Президента України ОСОБА_3 до Центральної виборчої комісії про визнання протиправною та нечинною постанови в частині,
встановив:
Кандидат на пост Президента України ОСОБА_3 звернувся до Шостого апеляційного адміністративного суду з адміністративним позовом до Центральної виборчої комісії (далі - ЦВК) про визнання протиправною та нечинною постанови від 18 лютого 2019 року № 334 «Про заходи щодо забезпечення безпеки функціонування інформаційно-аналітичної системи «Вибори Президента України» Єдиної інформаційно-аналітичної системи «Вибори» (далі - ІАС «Вибори Президента України» ЄІАС «Вибори») в частині, а саме:
- пункт перший частини першої резолютивної частини постанови, де зазначено: «утворити робочу групу із забезпечення безпеки функціонування та перевірки стану захищеності програмно-технічного комплексу ІАС «Вибори Президента України» ЄІАС «Вибори», до складу якої включити за їх згодою співробітників Державної служби спеціального зв'язку та захисту інформації України (далі - Держспецзв,язку, ДССЗЗІ) та Служби безпеки України (далі - СБ України) на підставі відповідних приписів, наданих керівниками цих державних органів або керівниками їх регіональних органів»;
- пункт другий частини першої резолютивної частини постанови, де зазначено: «забезпечити виконання робочою групою до 28 березня 2019 року включно заходів щодо перевірки відповідності стану захищеності ПТК ІАС «Вибори Президента України» ЄІАС «Вибори», елементи якого встановлено в приміщеннях окружних виборчих комісій, вимогам із захисту інформації в Україні»;
- пункт третій частини першої резолютивної частини постанови, де зазначено: «за результатами перевірки, здійсненої робочою групою, скласти протокол аналізу результатів впровадження технічних та організаційних заходів зі створення комплексної системи захисту інформації ІАС «Вибори президента України» ЄІАС «Вибори», який до 29 березня 2019 року включно подати до ЦВК».
Вважав постанову ЦВК від 18 лютого 2019 року № 334 в оскаржуваній частині протиправною і такою, що прийнята з порушенням вимог Закону України «Про вибори Президента України».
Рішенням Шостого апеляційного адміністративного суду від 25 лютого 2019 року у задоволенні позову відмовлено.
Не погоджуючись із таким рішенням суду довірена особа кандидата на пост Президента України ОСОБА_3 в особі ОСОБА_1 звернулась з апеляційною скаргою, в якій, посилаючись на неправильне застосування судом норм матеріального права, порушення норм процесуального права, вибіркове дослідження судом доказів у справі, просить скасувати рішення Шостого апеляційного адміністративного суду та ухвалити нове, яким позовні вимоги задовольнити у повному обсязі.
В обґрунтування вимог апеляційної скарги вказує на те, що судом першої інстанції не надано правової оцінки основним доводам, якими позивач обґрунтовував свій позов, а саме: чи наділені ЦВК та окружні виборчі комісії правом під час підготовки та проведення виборів Президента України створювати робочі групи із забезпечення безпеки функціонування та перевірки стану захищеності ПТК ІАС «Вибори президента України» ЄІАС «Вибори» шляхом залучення інших осіб та співробітників органів державної влади.
Зауважує, що суд першої інстанції не перевірив, які саме функції входитимуть до повноважень таких робочих груп під час перевірки стану захищеності ПТК ІАС «Вибори президента України» ЄІАС «Вибори», та не дослідив, відповідно до яких критеріїв відбиратимуться фахівці СБ України та Держспецзв'язку України.
Також апелянт стверджує, що постановою ЦВК від 11 квітня 2014 року № 255 затверджено Порядок залучення спеціалістів, експертів та технічних працівників для організаційного, правового, інформаційного, технічного забезпечення здійснення повноважень виборчих комісій на час підготовки та проведення виборів Президента України (далі - Порядок № 255), і лише цим нормативним актом визначається процедура залучення спеціалістів, які можуть забезпечити безпеку функціонування та перевірку стану захищеності ПТК ІАС «Вибори президента України» ЄІАС «Вибори».
Крім того, зауважує, що Постановою ЦВК від 1 лютого 2019 року № 179 «Про затвердження Вимог до програмно-технічного комплексу інформаційно-аналітичної системи «Вибори Президента України» Єдиної інформаційно-аналітичної системи «Вибори» окружної виборчої комісії з виборів Президента України» передбачається, що до складу технічного персоналу ПТК ІАС «Вибори Президента України» ОВК входять системний адміністратор та оператори, які на період з дня утворення ОВК до закінчення її повноважень забезпечують роботу зазначеного ПТК. Отже, ЦВК вже визначила коло осіб, які мають здійснювати забезпечення в ОВК експлуатації засобів обчислювальної техніки та діагностики її несправностей.
Також заявник апеляційної скарги стверджує, що судом апеляційної інстанції неправильно застосовано положення статті 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», адже за змістом вказаної норми ЦВК, як власник інформаційної системи, зобов'язана утворити службу захисту інформації або призначити осіб, на яких покладатиметься така функція, а не залучати неуповноважених на це осіб.
У відзиві на апеляційну скаргу ЦВК заперечує проти доводів апеляційної скарги, просить її відхилити, а рішення суду першої інстанції залишити без змін. Зауважує, що в умовах інформаційної війни, що ведеться проти України Російською Федерацією, ЦВК як власник ЄІАС «Вибори» зобов'язана вжити вичерпних заходів щодо захисту інформації та забезпечення кібербезпеки системи. Прийняття спірної постанови було зумовлене саме необхідністю залучення до відповідних робочих груп, які утворюються окружними виборчими комісіями з чергових виборів Президента України, фахівців національної системи кібербезпеки, а саме: Держспецзв'язку та СБ України. Вважає помилковими і такими, що не ґрунтуються на нормах чинного законодавства, твердження апелянта про те, що виключно технічний персонал уповноважений забезпечувати безпеку функціонування та перевірку стану захищеності ПТК ІАС «Вибори Президента України» ЄІАС «Вибори».
У судовому засіданні представник позивача позовні вимоги підтримав з підстав, викладених в позовній заяві та в апеляційній скарзі, просив позов задовольнити. Додатково наголосив на тому, що реалізуючи повноваження за спірною постановою представники Держспецзв'язку та СБ України можуть бути присутніми у приміщенні ОВК, де проводитиметься підрахунок голосів, натомість, що забороняється з метою уникнення сторонніх втручань. Крім того, в оскаржуваній постанові не визначений конкретний перелік повноважень та обов'язків таких осіб, а також їх відповідальність.
Представник відповідача у судовому засіданні проти позову заперечував з мотивів, викладених у відзиві на апеляційну скаргу, та просив відмовити в задоволенні позову.
Заслухавши суддю-доповідача, вивчивши матеріали справи, дослідивши й проаналізувавши доводи апеляційної скарги та відзиву на неї, колегія суддів КАС ВС дійшла висновку, що апеляційна скарга не підлягає задоволенню, з наступних підстав.
Судом встановлено, що Постановою Верховної Ради України від 26 листопада 2018 року №2631-VIII призначено чергові вибори Президента України на 31 березня 2019 року.
Постановою ЦВК від 27 грудня 2018 року № 253 оголошено з 31 грудня 2018 року початок виборчого процесу з чергових виборів Президента України.
Постановою ЦВК № 62 від 15 січня 2019 року ОСОБА_3 зареєстровано як кандидата на пост Президента України на чергових виборах Президента України 31 березня 2019 року.
18 лютого 2019 року з метою забезпечення безпеки функціонування ІАС «Вибори Президента України» ЄІАС «Вибори», відповідно до положень статті 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», статті 25 Закону України «Про вибори Президента України», Закону України «Про Службу безпеки України», статей 2, 16 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України», Порядку взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах, затвердженого Постановою Кабінету Міністрів України від 16 листопада 2002 року № 1772, керуючись статтями 11 - 13, 25 Закону України «Про Центральну виборчу комісію», ЦВК прийнято постанову №334 «Про заходи щодо забезпечення безпеки функціонування ІАС «Вибори Президента України» ЄІАС «Вибори», якою постановлено окружним виборчим комісіям з виборів Президента України, що здійснюють підготовку та проведення чергових виборів Президента України 31 березня 2019 року:
1) утворити робочу групу із забезпечення безпеки функціонування та перевірки стану захищеності ПТК ІАС «Вибори Президента України» ЄІАС «Вибори», до складу якої включити за їх згодою співробітників Держспецзв'язку України та СБ України на підставі відповідних приписів, наданих керівниками цих державних органів або керівниками їх регіональних органів;
2) забезпечити виконання робочою групою до 28 березня 2019 року включно заходів щодо перевірки відповідності стану захищеності ПТК ІАС «Вибори Президента України» ЄІАС «Вибори», елементи якого встановлено в приміщеннях окружних виборчих комісій, вимогам із захисту інформації в Україні»;
3) за результатами перевірки, здійсненої робочою групою, скласти протокол аналізу результатів впровадження технічних та організаційних заходів зі створення комплексної системи захисту інформації ІАС «Вибори президента України» ЄІАС «Вибори», який до 29 березня 2019 року включно подати до ЦВК.
Відмовляючи у задоволенні позовних вимог суд першої інстанції дійшов висновку, що оскаржувана позивачем постанова ЦВК (в частині) була прийнята з метою забезпечення належного рівня кібербезпеки та ефективного функціонування ІАС «Вибори Президента України» ЄІАС «Вибори», а форма взаємодії органів державної влади у вигляді створення робочих груп є цілком припустимою та не забороненою законом.
Надаючи правову оцінку встановленим обставинам справи та висновкам суду першої інстанції, колегія суддів Верховного Суду виходить з такого.
Організація і порядок проведення виборів Президента України визначені Законом України від 5 березня 1999 року №474-XIV «Про вибори Президента України».
Частиною другою статті 22 Закону України «Про вибори Президента України» обумовлено, що ЦВК очолює систему виборчих комісій, які організовують підготовку і проведення виборів Президента України, і є комісією вищого рівня щодо усіх окружних та дільничних виборчих комісій, передбачених цим Законом.
За змістом частини другої статті 16 Закону України «Про Центральну виборчу комісію» від 30 червня 2004 року № 1932-IV комісія (…) у разі необхідності може за власною ініціативою розглянути та прийняти у встановленому цим Законом порядку рішення стосовно: організації підготовки та проведення виборів (пункт 2); організації роботи виборчих комісій (пункт 3); інших питань, віднесених до повноважень Комісії (пункт 5).
Використання ЦВК автоматизованої інформаційної системи передбачено статтею 25 Закону України «Про Центральну виборчу комісію», за змістом якої при проведенні виборів (…) Президента України (…) Комісія застосовує автоматизовану інформаційну систему. Під час процедури голосування автоматизована інформаційна система використовується виключно для спостереження за ходом і результатами голосування.
Згідно з частиною першою статті 1 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 року № 80/94-ВР, який регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, інформаційна (автоматизована) система - це організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів; власник системи - це фізична або юридична особа, якій належить право власності на систему; захист інформації в системі - це діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі.
За змістом статті 2, частини першої статті 9 зазначеного вище Закону об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначене для обробки цієї інформації. Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Порядок надання, обробки, захисту та збереження інформації щодо підготовки та проведення виборів і референдумів в Україні з використанням засобів Єдиної інформаційно-аналітичної системи «Вибори» затверджено постановою ЦВК від 21 грудня 2001 року № 60 (далі - Постанова ЦВК № 60).
Відповідно до пункту 1 Постанови ЦВК № 60 інформація надається Комісії суб'єктами, визначеними цим Порядком, для забезпечення повного та оперативного інформування громадськості про підготовку, проведення і результати виборів. Обробка, захист та збереження інформації щодо виборів Президента України (…) здійснюються з використанням засобів ЄІАС «Вибори» відповідно до чинного законодавства. Власником інформації, наданої Комісії суб'єктами надання інформації та отриманої після її обробки, як такої, що створена за рахунок коштів Державного бюджету України, є держава. Власником автоматизованої системи ЄІАС «Вибори» є Комісія.
Пунктом 7 Постанови ЦВК № 60 обумовлено, що захист інформації в ЄІАС «Вибори» забезпечується відповідними засобами, що підтримуються комплексом апаратно-технічних, організаційних і правових заходів. Правові заходи реалізуються шляхом дотримання нормативно-правових актів України щодо захисту інформації, що належить державі, та інформаційної безпеки держави.
Так, правові та організаційні основи забезпечення захисту життєво важливих інтересів людини і громадянина, суспільства та держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки, повноваження державних органів у цій сфері, основні засади координації їхньої діяльності із забезпечення кібербезпеки визначені Законом України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII.
Відповідно до частини першої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» національна система кібербезпеки є сукупністю суб'єктів забезпечення кібербезпеки та взаємопов'язаних заходів політичного, науково-технічного, інформаційного, освітнього характеру, організаційних, правових, оперативно-розшукових, розвідувальних, контррозвідувальних, оборонних, інженерно-технічних заходів, а також заходів криптографічного і технічного захисту національних інформаційних ресурсів.
Частиною другою статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» обумовлено, що до основних суб'єктів національної системи кібербезпеки належать Державна служба спеціального зв'язку та захисту інформації України та Служба безпеки України.
За змістом статей 2, 8 Закону України «Про Службу безпеки України» від 25 березня 1992 року № 2229-XII на СБ України покладається у межах визначеної законодавством компетенції захист державного суверенітету, конституційного ладу, територіальної цілісності, економічного, науково-технічного і оборонного потенціалу України, законних інтересів держави та прав громадян від розвідувально-підривної діяльності іноземних спеціальних служб, посягань з боку окремих організацій, груп та осіб тощо. Служба безпеки України взаємодіє з державними органами (…), які сприяють виконанню покладених на неї завдань.
Згідно зі статтями 2, 16 Закону України «Про Державну службу спеціального