Розпорядження : Про затвердження Вимог щодо програмного забезпечення та спеціального технічного обладнання для ведення страховиками персоніфікованого (індивідуального) обліку договорів страхування життя і Змін до Положення про порядок та умови ведення стра

ДЕРЖАВНА КОМІСІЯ З РЕГУЛЮВАННЯ РИНКІВ
ФІНАНСОВИХ ПОСЛУГ УКРАЇНИ

РОЗПОРЯДЖЕННЯ
15.09.2005 N 4620

Зареєстровано
в Міністерстві юстиції України
5 жовтня 2005 р. за N 1151/11431

Про затвердження Вимог щодо програмного
забезпечення та спеціального технічного
обладнання для ведення страховиками
персоніфікованого (індивідуального) обліку
договорів страхування життя і Змін до Положення
про порядок та умови ведення страховиками
персоніфікованого (індивідуального) обліку
договорів страхування життя

( Із змінами, внесеними згідно з Розпорядженням Національної
комісії, що здійснює державне регулювання
у сфері ринків фінансових послуг
N 2421 від 27.11.2012 )

З метою впорядкування ведення страховиками персоніфікованого (індивідуального) обліку договорів страхування життя та відповідно до пункту 17 частини першої статті 28 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг" ( 2664-14 ) Державна комісія з регулювання ринків фінансових послуг України (далі - Держфінпослуг) ПОСТАНОВИЛА:

1. Затвердити Вимоги щодо програмного забезпечення та спеціального технічного обладнання для ведення страховиками персоніфікованого (індивідуального) обліку договорів страхування життя, що додаються.

2. Затвердити Зміни до Положення про порядок та умови ведення страховиками персоніфікованого (індивідуального) обліку договорів страхування життя, затвердженого розпорядженням Держфінпослуг від 28.12.2004 N 3197, зареєстрованого в Міністерстві юстиції України 09.02.2005 за N 194/10474, що додаються.

3. Департаменту державного регулювання та розвитку ринків фінансових послуг і Юридичному департаменту забезпечити подання цього розпорядження на державну реєстрацію у Міністерстві юстиції України.

4. Управлінню організаційно-аналітичного забезпечення роботи керівника (Шевченко Т.М.) забезпечити опублікування цього розпорядження у засобах масової інформації після його державної реєстрації.

5. Розпорядження набуває чинності через 3 місяці після державної реєстрації в Міністерстві юстиції України.

6. Контроль за виконанням цього розпорядження покласти на заступника Голови Мосійчук Т.К.

В.о. Голови Комісії А.Литвин

Протокол засідання Комісії
N 167 від 15 вересня 2005 р.

Погоджено:

Голова Державного комітету України з питань
регуляторної політики та підприємництва А.В.Дашкевич

Генеральний директор Ліги страхових організацій України Н.Гудима

Затверджено
Розпорядження Державної
комісії з регулювання ринків
фінансових послуг України
15.09.2005 N 4620

Зареєстровано
в Міністерстві юстиції України
5 жовтня 2005 р. за N 1151/11431

Вимоги
щодо програмного забезпечення та спеціального
технічного обладнання для ведення страховиками
персоніфікованого (індивідуального) обліку
договорів страхування життя

Ці Вимоги розроблені відповідно до вимог Законів України "Про фінансові послуги та державне регулювання ринків фінансових послуг" ( 2664-14 ), "Про страхування" ( 85/96-ВР ), Положення про Національну комісію, що здійснює державне регулювання у сфері ринків фінансових послуг, затвердженого Указом Президента України від 23 листопада 2011 року N 1070, та інших чинних нормативно-правових актів, які регулюють відносини, що виникають у сфері здійснення страхової діяльності. ( Преамбула із змінами, внесеними згідно з Розпорядженням Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг N 2421 від 27.11.2012 )

Розділ 1. Загальні положення

1.1. Ці Вимоги поширюються на програмне забезпечення та спеціальне технічне обладнання, які створюються та/або використовуються страховиками для ведення персоніфікованого (індивідуального) обліку договорів страхування життя.

1.2. У Вимогах терміни вживаються в такому значенні:

Інформаційна система для ведення персоніфікованого (індивідуального) обліку договорів страхування життя (далі - інформаційна система) - система, що здійснює зберігання, передачу та обробку даних, до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), методи і процедури, а також програмне забезпечення.

Промислова СУБД - система управління базами даних, що дає змогу:

безперебійно обробляти всі операції, що здійснюються в системі персоніфікованого (індивідуального) обліку договорів страхування життя протягом 25 операційних днів підряд;

забезпечувати автоматичне щоденне архівування системи персоніфікованого (індивідуального) обліку договорів страхування життя;

забезпечувати автоматичне відновлення з архіву системи персоніфікованого (індивідуального) обліку договорів страхування життя;

забезпечувати реєстрацію операцій системи персоніфікованого (індивідуального) обліку договорів страхування життя з фіксацією суті та основних параметрів операції, дати і часу її проведення, ідентифікацією оператора системи, що здійснив операцію;

забезпечувати розмежування доступу операторів інформаційної системи до її різних частин;

обов'язково здійснювати всі операції в режимі трансакцій (тобто в разі збою при проведенні будь-якої операції система повинна автоматично відтворити стан, у якому вона перебувала саме перед проведенням збійної операції).

Окреме приміщення з обмеженим доступом - приміщення, до якого встановлений регламентований доступ та в якому відсутні постійні робочі місця.

Опис процедур - опис процедури ведення реєстру персоніфікованого (індивідуального) обліку договорів страхування життя.

Інші терміни в цих Вимогах уживаються відповідно до законодавства України.

Розділ 2. Загальні вимоги до інформаційної системи
для ведення персоніфікованого (індивідуального)
обліку договорів страхування життя

2.1. Ведення страховиком персоніфікованого (індивідуального) обліку договорів страхування життя здійснюється з використанням інформаційних технологій та комп'ютерної техніки.

2.2. Обробка і зберігання інформації, що безпосередньо стосується персоніфікованого (індивідуального) обліку договорів страхування життя, та організація доступу до неї через програмне забезпечення повинні здійснюватися засобами промислових СУБД.

Для реалізації завдань інформаційної системи повинно використовуватися програмне забезпечення, право на використання якого підтверджене відповідно до законодавства (ліцензія, ліцензійний договір тощо) або розроблене страховиком самостійно, що підтверджується його внутрішніми документами.

2.3. Інформаційна система повинна:

підтримуватись (супроводжуватись) з відповідним документальним підтвердженням постачальником або розробником, або третьою особою, або страховиком самостійно;

забезпечувати цілісність, актуальність та несуперечність інформації, що обробляється;

забезпечувати конфіденційність та захист інформації, що обробляється та зберігається в інформаційній системі;

забезпечувати розмежування доступу користувачів до об'єктів та функцій інформаційної системи;

забезпечувати реєстрацію операцій системи персоніфікованого (індивідуального) обліку договорів страхування життя щодо створення нового запису та внесення змін до основних параметрів договору з фіксацією суті, дати і часу її проведення, ідентифікацією відповідної особи, що здійснила операцію;

зберігати інформацію про відповідну особу, яка виконала операцію щодо створення нового запису та внесення змін до основних параметрів договору, а також час, назву операції, підставу (ідентифікатор документа);

підтримувати облік та зберігання інформації щодо операцій з різними валютами.

2.4. Інформаційна система повинна забезпечити збереження інформації та містити засоби відновлення роботи системи:

при аваріях та перебоях у системах енергопостачання;

при аваріях (несправностях) та відмові серверів, робочих станцій та мережевого обладнання;

при появі комп'ютерних вірусів в обчислювальній мережі.

Електронні дані, що належать до процесу персоніфікованого (індивідуального) обліку договорів страхування життя, повинні зберігатись після закінчення строку дії договору страхування або його припинення протягом терміну, установленого законодавством до паперових носіїв (у разі, якщо термін зберігання не визначено, мінімальний термін зберігання становить 5 років).

Розділ 3. Вимоги до програмного забезпечення
для ведення персоніфікованого (індивідуального)
обліку договорів страхування життя

3.1. Вимоги до програмного забезпечення:

3.1.1. Програмне забезпечення, яке розробляється і впроваджується до використання, має передбачати можливість нарощування функціональних характеристик, а також адаптації в разі змін організаційної структури страховика, нормативно-правової бази щодо персоніфікованого (індивідуального) обліку договорів страхування життя тощо.

3.1.2. Документація до програмного забезпечення повинна мати опис процедур ведення персоніфікованого (індивідуального) обліку договорів страхування життя, резервного копіювання та відновлення інформації, а також інструкції системного адміністратора та користувача із зазначенням функцій програмного забезпечення, які використовуються для ведення персоніфікованого (індивідуального) обліку договорів страхування життя.

3.2. Програмне забезпечення для ведення персоніфікованого (індивідуального) обліку договорів страхування життя повинне забезпечувати можливість:

інтеграції з іншим системним програмним забезпеченням, інформаційної сумісності з іншим програмним забезпеченням через контрольований інтерфейс для імпорту (експорту) даних з (до) інших систем страховика в разі їх наявності;

додання нових функціональних модулів до програмного забезпечення з підтримкою актуальності даних або оперативним пошуком даних в архіві, який створюється, або зі спадкоємністю версій;

обслуговування запитів користувачів та надання необхідної інформації;

щотижневого архівування (електронні архіви) усіх даних, які перебувають у системі, уключаючи інформацію про відповідну особу, яка виконала операцію щодо ведення персоніфікованого (індивідуального) обліку договорів страхування життя;

роздруковування документів у паперовому вигляді.

3.3. У разі прийняття відповідних нормативно-правових актів Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг, чи внесення змін до чинних нормативно-правових актів їх положення мають бути відображені шляхом унесення змін у функціональність інформаційної системи в термін, що визначений відповідним нормативно-правовим актом, але не раніше ніж через 6 місяців після набрання чинності таким нормативно-правовим актом. ( Пункт 3.3 розділу 3 із змінами, внесеними згідно з Розпорядженням Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг N 2421 від 27.11.2012 )

Розділ 4. Вимоги до технічного забезпечення

4.1. Інформаційна система персоніфікованого (індивідуального) обліку договорів страхування життя створюється на основі комп'ютерних систем, які можуть забезпечити виконання технологічних операцій з ведення персоніфікованого (індивідуального) обліку договорів страхування життя, а також відповідають цим Вимогам.

4.2. Склад та структура технічного забезпечення визначаються страховиком самостійно, виходячи з його можливості виконувати встановлені операції технологічного процесу ведення персоніфікованого (індивідуального) обліку договорів страхування життя, визначеного Законом України "Про страхування" ( 85/96-ВР ) та Положенням про порядок та умови ведення страховиками персоніфікованого (індивідуального) обліку договорів страхування життя, затвердженим розпорядженням Держфінпослуг від 28.12.2004 N 3197, зареєстрованим в Міністерстві юстиції України 09.02.2005 за N 194/10474, з можливістю інтегрування до існуючого програмного забезпечення, захисту від несанкціонованого доступу.

Технічне забезпечення повинно передбачати розмежування та захист бази даних.

4.3. Обчислювальна потужність комп'ютерів, що використовуються для ведення персоніфікованого (індивідуального) обліку договорів страхування життя, повинна бути достатньою для роботи інформаційної системи, засобів технічного захисту інформації промислової СУБД тощо.

4.4. Штатними засобами промислової СУБД щотижня (або частіше) повинна виконуватись процедура резервного копіювання бази даних. Резервні копії повинні зберігатись на окремому носії інформації або на окремому спеціалізованому мережному апаратному засобі.

4.5. До складу технічних засобів повинен входити енергонезалежний (з метою недопущення втрати інформації) довгостроковий запам'ятовувальний пристрій для зберігання інформації персоніфікованого (індивідуального) обліку договорів страхування життя з унеможливленням її зміни.

4.6. Серверне та мережне обладнання повинно бути оснащено джерелами безперебійного живлення (мінімальний час забезпечення роботи серверного обладнання не менше 15 хвилин).

Розділ 5. Вимоги щодо захисту та збереження інформації

5.1 Організація захисту інформації, що міститься в інформаційній системі, здійснюється відповідно до законодавства України.

5.2. Захист інформації в інформаційній системі повинен:

охоплювати етап експлуатації системи;

складатися з відповідних організаційних, технічних та програмних засобів.

5.3. Засоби захисту від зловживань повинні передбачати:

обмеження несанкціонованої заміни програмного забезпечення на інше;

захист від несанкціонованого доступу до баз даних системи;

автоматичний запис протоколу роботи системи (відповідно до пункту 2.3 розділу 2 цих Вимог) з обов'язковою фіксацією дати та часу;

захист конфіденційної інформації щодо договорів страхування життя, що обліковуються , яка передається каналами зв'язку;

можливість санкціонованого управління привілеями та правами користувачів;

блокування облікових записів користувачів та доступу до інформації при неправильній авторизації;

установлення терміну дії та правил використання пароля та криптографічних ключів при їх використанні.

5.4. Доступ до ресурсів, як окремих комп'ютерів, так і обчислювальної мережі в цілому, повинен бути обмежений за допомогою аутентифікації користувачів та делегування користувачам повноважень відповідно до їх посадових інструкцій. Операційні системи або сервер баз даних, що використовуються, повинні забезпечувати розмежування доступу як до локальних, так і до мережних ресурсів.

5.5. Доступ до інформації, яка записана в базах даних, робочих файлах, має бути захищений апаратно-програмним або програмним шляхом або штатними засобами промислової СУБД, що використовується.

5.6. Страховик повинен розробити порядок установлення паролів при роботі з інформаційною системою ведення персоніфікованого (індивідуального) обліку договорів страхування життя.

5.7. Серверне обладнання системи персоніфікованого (індивідуального) обліку договорів страхування життя повинно бути в окремому приміщенні з обмеженим доступом (серверна кімната) або обладнано спеціальними засобами для обмеження фізичного доступу, а для філій і представництв (відокремлених підрозділів) - відокремлене з обмеженням доступу.

5.7.1. Кондиціювання серверної кімнати та пожежна система повинні враховувати специфіку приміщення та обладнання.

5.7.2. Список осіб, які мають доступ до приміщення, де розташоване серверне обладнання, та регламент доступу визначаються відповідним наказом керівника страховика.

5.8. Носії з копіями електронних масивів (файлів) повинні зберігатися за межами приміщення, де розташоване серверне обладнання, в окремому приміщенні в сейфах.

5.9. Антивірусний захист повинен забезпечуватися програмним забезпеченням. Антивірусний захист програми повинен розповсюджуватись на сервери ти інші робочі станції, що входять до інформаційної системи.

5.10. Приміщення, у якому розташовані серверне обладнання та архівні копії системи персоніфікованого (індивідуального) обліку договорів страхування життя, повинно бути обладнане сертифікованою пожежною та охоронною сигналізацією.

5.11. Усі функціональні обов'язки та відповідальність користувачів повинні бути закріплені в їхніх посадових інструкціях та відповідних наказах.

Розділ 6. Державний контроль

6.1. Контроль за дотриманням цих Вимог здійснюється Нацкомфінпослуг та її територіальними управліннями відповідно до законодавства України. ( Пункт 6.1 розділу 6 із змінами, внесеними згідно з Розпорядженням Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг N 2421 від 27.11.2012 )

6.2. Перевірка технічного забезпечення та інформаційних систем для ведення персоніфікованого (індивідуального) обліку договорів страхування життя на відповідність цим Вимогам здійснюється шляхом проведення перевірок Національною комісією, що здійснює державне регулювання у сфері ринків фінансових послуг. ( Пункт 6.2 розділу 6 із змінами, внесеними згідно з Розпорядженням Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг N 2421 від 27.11.2012 )

Заступник Голови Т.Мосійчук