НАЦІОНАЛЬНА КОМІСІЯ З ЦІННИХ ПАПЕРІВ ТА ФОНДОВОГО РИНКУ
РІШЕННЯ
02.10.2012 N 1342
Зареєстровано
в Міністерстві юстиції України
19 жовтня 2012 р. за N 1760/22072
Про затвердження Вимог
до програмних продуктів на фондовому ринку
Відповідно до пункту 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", з метою встановлення єдиних підходів до використання програмних продуктів у професійній діяльності на фондовому ринку Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:
1. Затвердити Вимоги до програмних продуктів на фондовому ринку, що додаються.
2. Визнати таким, що втратило чинність, рішення Державної комісії з цінних паперів та фондового ринку від 16 липня 2003 року N 349 "Про встановлення вимог до програмних продуктів на фондовому ринку", зареєстроване в Міністерстві юстиції України 17 листопада 2003 року за N 1057/8378.
3. Управлінню інформаційних технологій, зовнішніх та внутрішніх комунікацій (А. Заїка) забезпечити:
подання цього рішення на державну реєстрацію до Міністерства юстиції України;
публікацію цього рішення відповідно до законодавства.
4. Це рішення набирає чинності через шість місяців з дня його офіційного опублікування.
5. Контроль за виконанням цього рішення покласти на члена Комісії К. Кривенка.
Голова Комісії Д. Тевелєв
Протокол засідання Комісії
від 02.10.2012 р. N 43
Затверджено
Рішення Національної комісії з
цінних паперів та фондового ринку
02.10.2012 N 1342
Зареєстровано
в Міністерстві юстиції України
19 жовтня 2012 р. за N 1760/22072
Вимоги
до програмних продуктів на фондовому ринку
І. Загальні положення
1. Ці Вимоги до програмних продуктів на фондовому ринку (далі - Вимоги) розроблено відповідно до пунктів 13, 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", Законів України "Про електронні документи та електронний документообіг", "Про електронний цифровий підпис", "Про інформацію", "Про доступ до публічної інформації", "Про авторське право і суміжні права", "Про захист інформації в інформаційно-телекомунікаційних системах", Указу Президента України від 22 травня 1998 року N 505/98 "Про Положення про порядок здійснення криптографічного захисту інформації в Україні", постанови Кабінету Міністрів України від 29 березня 2006 року N 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", наказу Адміністрації державної служби спеціального зв`язку та захисту інформації України від 20 липня 2007 року N 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації", зареєстрованого в Міністерстві юстиції України 30 липня 2007 року за N 862/14129.
2. Ці Вимоги встановлюються до спеціалізованих програмних продуктів, які створюються за призначенням для фондового ринку та/або використовуються професійними учасниками фондового ринку при здійсненні професійної діяльності (далі - програмні продукти).
Ці Вимоги розповсюджуються на всі спеціалізовані програмні продукти, які використовуються для формування електронних форм подання до Національної комісії з цінних паперів та фондового ринку (далі - Комісія) адміністративних даних різних видів та інформації, а також при електронному інформаційному обміні між професійними учасниками фондового ринку.
3. У цих Вимогах терміни використовуються у такому значенні:
життєвий цикл програмного продукту - період часу, який починається з моменту встановлення вимог до програмного продукту, включає в себе розробку, використання, супроводження, технічну підтримку програмного продукту і закінчується припиненням використання програмного продукту;
засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;
засоби розробки програмних продуктів - засоби, до складу яких входять мови програмування, засоби розробки баз даних, операційні системи, програмні продукти обміну даними, в тому числі з використанням поштових систем, офісні пакети додатків;
криптографічний захист - вид захисту, що реалізується за допомогою перетворень інфонрмації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
спеціалізований програмний продукт - програмний продукт, який створюється із застосуванням засобів розробки програмних продуктів та використовується професійними учасниками на фондовому ринку при здійсненні професійної діяльності, за винятком:
програмного продукту загального користування (операційна система, офісний засіб, засіб архівування даних, файловий менеджер, програма обміну електронною поштою тощо), який без додаткових змін та доповнень у повному обсязі може використовуватись у діяльності, не пов`язаній з фондовим ринком;
допоміжного програмного продукту, заміна якого на інший програмний продукт не призведе до порушення професійної діяльності;
технічне завдання - документ, який визначає мету, вимоги та порядок створення (розвитку або модернізації) програмного продукту, відповідно до якого здійснюються створення програмного продукту, його приймання під час введення в дію;
функціональні вимоги - опис функцій, які реалізовані (пропонується реалізувати) у програмному продукті або посилаються на програмний продукт та обумовлюють його функціональні можливості, є підставою для технічних рішень при його створенні;
цілісність інформації - умови, за яких інформація зберігається, передається та приймається без змін.
4. У цих Вимогах інші терміни використовуються у значеннях, наведених у законодавстві України.
II. Вимоги до програмних продуктів
1. Програмний продукт створюється на підставі технічного завдання або іншого аналогічного за змістом документа, який, зокрема містить функціональні вимоги до програмного продукту.
2. Технічне завдання або інший аналогічний за змістом документ щодо створення програмного продукту з метою програмної реалізації норм певного нормативно-правового акта Комісії має відповідати вимогам норм такого нормативно-правового акта та цим Вимогам.
3. При створенні програмних продуктів використовуються засоби розробки програмних продуктів із дотриманням законодавства з питань правової охорони інтелектуальної власності, зокрема правомірного використання комп`ютерних програм.
4. Документація до програмного продукту повинна містити опис реалізованих процедур, які відповідно до вимог нормативно-правових актів Комісії програмно реалізовані цим продуктом, мати інструкцію щодо користування програмним продуктом, опис процедури резервного копіювання та відновлення інформації, у тому числі баз даних, якщо програмний продукт використовується для створення або модифікації власних даних.
ІІІ. Функціональність програмного продукту
1. Функціональність програмного продукту має відповідати таким вимогам:
а) інтерфейс користувача програмного продукту забезпечує керування функціями, зазначеними у технічному завданні на програмний продукт або аналогічному за змістом документі, та повинен відповідати вимогам цих документів;
б) обслуговувати запити користувачів та забезпечувати надання необхідної інформації, якщо ці функціональні вимоги визначені у технічному завданні на відповідний програмний продукт або аналогічному за змістом документі;
в) передбачати можливість перегляду інформації, створеної з урахуванням вимог нормативно-правового акта Комісії, за допомогою програмного продукту, створеного на вимогу такого нормативно-правового акта;
г) передбачати можливість роздрукування на певну (запитувану) дату на паперовому носії документів, створених в електронній формі за допомогою програмного продукту та передбачених певним нормативно-правовим актом Комісії, відповідно до якого цей продукт створено, здійснювати контроль формату даних таких документів, контроль та перевірку відповідності та цілісності інформації документів в електронній формі, якщо продукт створено для здійснення зазначених функцій на виконання вимог нормативно-правового акта Комісії.
Дані, що відображені у роздрукованих документах на паперових носіях, повинні відповідати даним, що містяться у електронній формі цього документа та відповідати вимогам, визначеним нормативно-правовими актами Комісії;
ґ) мати механізм обробки незавершених логічно неподільних операцій (трансакцій) та забезпечувати ведення журналів усіх виконаних у програмному продукті функцій у разі виконання програмним продуктом неподільних операцій (трансакцій).
Помилки у роботі програмного продукту або його аварійне завершення не повинні викликати втрату, часткове або повне порушення інформаційного масиву, з яким працює програмний продукт;
д) мати власний або використовувати наявні механізми створення резервних копій та відновлення інформації з резервних копій незалежно від того, у якій з попередніх версій програмного продукту ця резервна копія була створена, якщо програмний продукт використовується для створення або модифікації власних даних;
е) передбачати можливість додавання нових функціональних модулів до програмного продукту без зміни структури програмного продукту або блокування використання нових функціональних модулів, якщо цим програмним продуктом така можливість передбачена.
Можливість блокування використання нових функціональних модулів до програмного продукту, які створені для роботи з інформацією з обмеженим доступом, повинна бути передбачена на виконання вимог певного нормативно-правового акта Комісії;
є) забезпечувати для формування даних, які подаються до Комісії, експорт інформації у форматах, які визначає Комісія, та імпорт інформації з цих форматів у разі можливості виконання імпорту інформації;
ж) у разі призначення програмного продукту для обробки інформації, вимоги щодо захисту якої встановлено законодавством, програмний продукт повинен мати вбудовані механізми захисту інформації від несанкціонованого доступу, механізми забезпечення ідентифікації та автентифікації користувачів, механізми збереження цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом; програмний продукт може не включати вбудованих механізмів захисту, а використовувати зазначені механізми захисту системного програмного забезпечення або мати можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується, якщо використання програмного продукту передбачає його інтегрування в комплексну систему захисту інформації;
з) програмний продукт, у тому числі електронна торговельна система (далі - ЕТС) фондової біржі, який при формуванні інформації використовує інформаційні, інформаційно-телекомунікаційні системи передачі інформації, повинен мати вбудовані механізми або передбачати можливість підключення сторонніх засобів здійснення діагностики функціонування програмного продукту, ЕТС фондової біржі, систем передачі інформації та у разі виявлення порушення роботи програмного продукту, ЕТС фондової біржі, системи передачі інформації надавати попередження;
и) у разі використання вбудованих засобів криптографічного захисту інформації (далі - КЗІ) такі засоби повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері КЗІ відповідно до законодавства;
і) у разі використання вбудованих засобів електронного цифрового підпису їх застосування здійснюється відповідно до Законів України "Про електронні документи та електронний документообіг", "Про електронний цифровий підпис".
2. Створення програмним продуктом архіву даних у разі, якщо архівація даних передбачена технічним завданням або аналогічним за змістом документом, повинно забезпечити дотримання таких вимог:
а) можливість здійснювати архівування даних, які втратили актуальність, для їх подальшого зберігання протягом строку, визначеного законодавством;
б) можливість пошуку документів та інформації в архіві, який створюється програмним продуктом.
IV. Супроводження та технічна підтримка програмного продукту
1. У процесі життєвого циклу програмний продукт підлягає супроводженню та технічній підтримці.
2. У разі внесення змін до законодавства, вимогам якого повинен відповідати програмний продукт, ці зміни мають бути впроваджені через зміни у програмному продукті у термін, передбачений відповідним законодавством.
Начальник управління інформаційних технологій,
зовнішніх та внутрішніх комунікацій А. Заїка