НАЦІОНАЛЬНА КОМІСІЯ З ЦІННИХ ПАПЕРІВ ТА ФОНДОВОГО РИНКУ
РІШЕННЯ
02.10.2012 N 1342
Зареєстровано
в Міністерстві юстиції України
19 жовтня 2012 р. за N 1760/22072
Про затвердження Вимог
до програмних продуктів, які використовуються
на фондовому ринку, та програмного забезпечення
автоматизованих, інформаційних та інформаційно-телекомунікаційних
систем, призначених для здійснення професійної діяльності
на фондовому ринку, депозитарної діяльності Центрального
депозитарію цінних паперів
(Із змінами, внесеними згідно з Рішенням Національної комісії
з цінних паперів та фондового ринку
N 2997 від 27.12.2013)
Відповідно до пункту 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", з метою встановлення єдиних підходів до використання програмних продуктів у професійній діяльності на фондовому ринку Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:
1. Затвердити Вимоги до програмних продуктів, які використовуються на фондовому ринку, та програмного забезпечення автоматизованих, інформаційних та інформаційно-телекомунікаційних систем, призначених для здійснення професійної діяльності на фондовому ринку, депозитарної діяльності Центрального депозитарію цінних паперів, що додаються.
(Пункт 1 в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
2. Визнати таким, що втратило чинність, рішення Державної комісії з цінних паперів та фондового ринку від 16 липня 2003 року N 349 "Про встановлення вимог до програмних продуктів на фондовому ринку", зареєстроване в Міністерстві юстиції України 17 листопада 2003 року за N 1057/8378.
3. Управлінню інформаційних технологій, зовнішніх та внутрішніх комунікацій (А. Заїка) забезпечити:
подання цього рішення на державну реєстрацію до Міністерства юстиції України;
публікацію цього рішення відповідно до законодавства.
4. Це рішення набирає чинності через шість місяців з дня його офіційного опублікування.
5. Контроль за виконанням цього рішення покласти на члена Комісії К. Кривенка.
Голова Комісії Д. Тевелєв
Погоджено:
В.о. Голови Державної служби України
з питань регуляторної політики та розвитку
підприємництва О.Ю. Потімков
Голова Державної служби спеціального
зв'язку та захисту інформації України Г. Резніков
Протокол засідання Комісії
від 02.10.2012 р. N 43
Затверджено
Рішення Національної комісії з
цінних паперів та фондового ринку
02.10.2012 N 1342
Зареєстровано
в Міністерстві юстиції України
19 жовтня 2012 р. за N 1760/22072
Вимоги
до програмних продуктів, які використовуються
на фондовому ринку, та програмного забезпечення
автоматизованих, інформаційних та інформаційно-телекомунікаційних
систем, призначених для здійснення професійної
діяльності на фондовому ринку, депозитарної діяльності
Центрального депозитарію цінних паперів
(Заголовок в редакції Рішення Національної
комісії з цінних паперів та фондового ринку
N 2997 від 27.12.2013)
І. Загальні положення
1. Ці Вимоги розроблено відповідно до пунктів 13, 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", Законів України "Про електронні документи та електронний документообіг", "Про електронний цифровий підпис", "Про інформацію", "Про доступ до публічної інформації", "Про авторське право і суміжні права", "Про захист інформації в інформаційно-телекомунікаційних системах", підпункту 8 пункту 6 Положення про Національну комісію з цінних паперів та фондового ринку, затвердженого Указом Президента України від 23 листопада 2011 року N 1063, Указу Президента України від 22 травня 1998 року N 505 "Про Положення про порядок здійснення криптографічного захисту інформації в Україні", постанови Кабінету Міністрів України від 29 березня 2006 року N 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", наказу Адміністрації Державної служби спеціального зв`язку та захисту інформації України від 20 липня 2007 року N 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації", зареєстрованого в Міністерстві юстиції України 30 липня 2007 року за N 862/14129.
(Пункт 1 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
2. Ці Вимоги встановлюються до спеціалізованих програмних продуктів, програмного забезпечення автоматизованих, інформаційних систем, які створюються за призначенням для використання на фондовому ринку та/або використовуються професійними учасниками фондового ринку, Центральним депозитарієм цінних паперів (далі - Центральний депозитарій) при здійсненні професійної діяльності, депозитарної діяльності Центрального депозитарію (далі - програмні продукти).
Ці Вимоги встановлюються до програмного забезпечення спеціалізованих інформаційно-телекомунікаційних систем (далі - ІТС) для здійснення професійної діяльності, депозитарної діяльності Центрального депозитарію, яке створюється за призначенням для використання на фондовому ринку та/або використовується професійними учасниками фондового ринку, Центральним депозитарієм.
Ці Вимоги розповсюджуються на всі спеціалізовані програмні продукти, які використовуються для формування форм подання до Національної комісії з цінних паперів та фондового ринку (далі - Комісія) адміністративних даних різних видів та інформації, а також при обміні інформацією у електронному вигляді між професійними учасниками фондового ринку та/або Центральним депозитарієм.
(Пункт 2 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
3. У цих Вимогах терміни використовуються у таких значеннях:
(Абзац перший пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
життєвий цикл програмного продукту - період часу, який починається з моменту встановлення вимог до програмного продукту, включає в себе розробку, використання, супроводження, технічну підтримку програмного продукту і закінчується припиненням використання програмного продукту;
засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;
засоби розробки програмних продуктів - засоби, до складу яких входять мови програмування, засоби розробки баз даних, операційні системи, програмні продукти обміну даними, в тому числі з використанням поштових систем, офісні пакети додатків;
криптографічний захист - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
спеціалізована інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації для здійснення професійної діяльності на фондовому ринку, депозитарної діяльності Центрального депозитарію діють як єдине ціле;
(Пункт 3 розділу I доповнено новим абзацом шостим згідно з Рішенням Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
спеціалізований програмний продукт - програмний продукт, який створюється із застосуванням засобів розробки програмних продуктів та використовується професійними учасниками, Центральним депозитарієм на фондовому ринку при здійсненні професійної діяльності, депозитарної діяльності Центрального депозитарію, за винятком:
(Абзац сьомий пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
програмного засобу ІТС (операційної системи, програми обміну електронною поштою, програмного засобу захисту ІТС тощо), які без додаткових змін та доповнень у повному обсязі можуть використовуватись у діяльності, не пов`язаній з фондовим ринком;
(Абзац пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
програмного продукту загального користування (операційна система, офісний засіб, засіб архівування даних, файловий менеджер, програма обміну електронною поштою тощо), який без додаткових змін та доповнень у повному обсязі може використовуватись у діяльності, не пов`язаній з фондовим ринком;
допоміжного програмного продукту, заміна якого на інший програмний продукт не призведе до порушення професійної діяльності, депозитарної діяльності Центрального депозитарію;
(Абзац десятий пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
технічне завдання - документ, оформлений в установленому ГОСТ 19.201-78 порядку, який визначає мету, підстави, призначення, вимоги, які необхідні для розроблення (розвитку або модернізації) програмного продукту або програмного забезпечення ІТС, а також стадії та етапи розробки;
(Абзац одинадцятий пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
функціональні вимоги - опис функцій, які реалізовані (пропонується реалізувати) у програмному продукті або посилаються на програмний продукт та обумовлюють його функціональні можливості, є підставою для технічних рішень при його створенні;
цілісність інформації - умови, за яких інформація зберігається, передається та приймається без змін.
4. У цих Вимогах інші терміни використовуються у значеннях, наведених у законодавстві України.
II. Вимоги до програмних продуктів
1. Програмний продукт створюється на підставі технічного завдання або іншого аналогічного за змістом документа, який, зокрема містить функціональні вимоги до програмного продукту.
2. Технічне завдання або інший аналогічний за змістом документ щодо створення програмного продукту з метою програмної реалізації норм певного нормативно-правового акта Комісії має відповідати вимогам норм такого нормативно-правового акта та цим Вимогам.
3. При створенні програмних продуктів використовуються засоби розробки програмних продуктів із дотриманням законодавства з питань правової охорони інтелектуальної власності, зокрема правомірного використання комп`ютерних програм.
4. Документація до програмного продукту повинна містити опис реалізованих процедур, які відповідно до вимог нормативно-правових актів Комісії програмно реалізовані цим продуктом, мати інструкцію щодо користування програмним продуктом, опис процедури резервного копіювання та відновлення інформації, у тому числі баз даних, якщо програмний продукт використовується для створення або модифікації власних даних.
ІІІ. Функціональність програмного продукту
1. Функціональність програмного продукту має відповідати таким вимогам:
а) інтерфейс користувача програмного продукту забезпечує керування функціями, зазначеними у технічному завданні на програмний продукт або аналогічному за змістом документі, та повинен відповідати вимогам цих документів;
б) обслуговувати запити користувачів та забезпечувати надання необхідної інформації, якщо програмний продукт використовується для обслуговування запитів користувачів та надання користувачам інформації.
Можливість обслуговування запитів користувачів повинна бути передбачена технічним завданням або аналогічним за змістом документом, якщо програмний продукт створюється для обслуговування запитів користувачів та надання користувачам інформації;
(Підпункт "б" пункту 1 розділу III в редакції Рішення Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
в) передбачати можливість перегляду інформації, створеної з урахуванням вимог нормативно-правового акта Комісії, за допомогою програмного продукту, створеного на вимогу такого нормативно-правового акта;
г) передбачати можливість роздрукування на певну (запитувану) дату на паперовому носії документів, створених в електронній формі за допомогою програмного продукту та передбачених певним нормативно-правовим актом Комісії, відповідно до якого цей продукт створено, здійснювати контроль формату даних таких документів, контроль та перевірку відповідності та цілісності інформації документів в електронній формі, якщо продукт створено для здійснення зазначених функцій на виконання вимог нормативно-правового акта Комісії.
Дані, що відображені у роздрукованих документах на паперових носіях, повинні відповідати даним, що містяться у електронній формі цього документа та відповідати вимогам, визначеним нормативно-правовими актами Комісії;
ґ) мати механізм обробки незавершених логічно неподільних операцій (трансакцій) та забезпечувати ведення журналів усіх виконаних у програмному продукті функцій у разі виконання програмним продуктом неподільних операцій (трансакцій).
Помилки у роботі програмного продукту або його аварійне завершення не повинні викликати втрату, часткове або повне порушення інформаційного масиву, з яким працює програмний продукт;
д) мати власний або використовувати наявні механізми створення резервних копій та відновлення інформації з резервних копій незалежно від того, у якій з попередніх версій програмного продукту ця резервна копія була створена, якщо програмний продукт використовується для створення або модифікації власних даних;
е) передбачати можливість додавання нових функціональних модулів до програмного продукту без зміни структури програмного продукту або блокування використання нових функціональних модулів, якщо цим програмним продуктом така можливість передбачена.
Можливість блокування використання нових функціональних модулів до програмного продукту, які створені для роботи з інформацією з обмеженим доступом, повинна бути передбачена на виконання вимог певного нормативно-правового акта Комісії;
є) забезпечувати для формування даних, які подаються до Комісії, експорт інформації у форматах, які визначає Комісія, та імпорт інформації з цих форматів у разі можливості виконання імпорту інформації;
ж) у разі призначення програмного продукту для обробки інформації, вимоги щодо захисту якої встановлено законодавством, програмний продукт повинен мати вбудовані механізми захисту інформації від несанкціонованого доступу, механізми забезпечення ідентифікації та автентифікації користувачів, механізми збереження цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом; програмний продукт може не включати вбудованих механізмів захисту, а використовувати зазначені механізми захисту системного програмного забезпечення або мати можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується, якщо використання програмного продукту передбачає його інтегрування в комплексну систему захисту інформації;
з) програмний продукт, у тому числі електронна торговельна система (далі - ЕТС) фондової біржі, який при формуванні інформації використовує інформаційні, інформаційно-телекомунікаційні системи передачі інформації, повинен мати вбудовані механізми або передбачати можливість підключення сторонніх засобів здійснення діагностики функціонування програмного продукту, ЕТС фондової біржі, систем передачі інформації та у разі виявлення порушення роботи програмного продукту, ЕТС фондової біржі, системи передачі інформації надавати попередження;
и) у разі використання вбудованих засобів криптографічного захисту інформації (далі - КЗІ) такі засоби повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері КЗІ відповідно до законодавства;
і) у разі використання вбудованих засобів електронного цифрового підпису їх застосування здійснюється відповідно до Законів України "Про електронні документи та електронний документообіг", "Про електронний цифровий підпис".
2. Створення програмним продуктом архіву даних у разі, якщо архівація даних передбачена технічним завданням або аналогічним за змістом документом, повинно забезпечити дотримання таких вимог:
а) можливість здійснювати архівування даних, які втратили актуальність, для їх подальшого зберігання протягом строку, визначеного законодавством;
б) можливість пошуку документів та інформації в архіві, який створюється програмним продуктом.
IV. Супроводження та технічна підтримка програмного продукту
1. У процесі життєвого циклу програмний продукт підлягає супроводженню та технічній підтримці.
2. У разі внесення змін до законодавства, вимогам якого повинен відповідати програмний продукт, ці зміни мають бути впроваджені через зміни у програмному продукті у термін, передбачений відповідним законодавством.
V. Загальні вимоги до програмного забезпечення
спеціалізованих інформаційно-телекомунікаційних
систем
1. При обробці в ІТС професійного учасника фондового ринку, Центрального депозитарію інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинен забезпечуватися захист такої інформації шляхом створення комплексної системи захисту інформації з підтвердженою відповідністю у встановленому законодавством порядку.
2. Програмне забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію створюється на підставі технічного завдання, яке повинно містити вимоги із захисту інформації.
Зазначене технічне завдання (або окреме технічне завдання на систему захисту інформації в ІТС) повинно бути погоджено з Державною службою спеціального зв’язку та захисту інформації України в установленому порядку.
3. Функціональність програмного забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію має відповідати вимогам:
а) мати механізм забезпечення ідентифікації та автентифікації користувачів, реєстрації дій користувачів в ІТС;
б) мати механізм керування ІТС;
в) забезпечувати обмін даними та інформацією засобами телекомунікаційної системи ІТС під час їх автоматизованої обробки;
г) забезпечувати доступ користувача інформаційної системи ІТС до телекомунікаційних мереж, мережі Інтернет або інших мереж для обміну даними та інформацією;
ґ) забезпечувати захист даних та інформації від комп’ютерних вірусів;
д) мати механізм встановлення повноважень користувачів щодо виконання певних дій з обробки інформації (читання, модифікація, знищення, введення інформації тощо) та розмежування доступу користувачів до інформації, яка обробляється в ІТС;
е) забезпечувати блокування несанкціонованих дій щодо інформації, яка обробляється в ІТС.
4. При створенні програмного забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію мають використовуватись програмні засоби із дотриманням законодавства з питань правової охорони інтелектуальної власності, зокрема правомірного використання комп’ютерних програм.
5. У процесі життєвого циклу прийняте до експлуатації програмне забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію підлягає супроводженню та технічній підтримці.
(Вимоги доповнено новим розділом згідно з Рішенням Національної комісії з цінних паперів та фондового ринку N 2997 від 27.12.2013)
Начальник управління інформаційних технологій,
зовнішніх та внутрішніх комунікацій А. Заїка