Неофициальный перевод. (с) СоюзПравоИнформ

РЕШЕНИЕ НАЦИОНАЛЬНОЙ КОМИССИИ ПО ЦЕННЫМ БУМАГАМ И ФОНДОВОМУ РЫНКУ УКРАИНЫ

от 2 октября 2012 года №1342

Об утверждении Требований к программным продуктам на фондовом рынке

В соответствии с пунктом 20 статьи 8 Закона Украины "О государственном регулировании рынка ценных бумаг в Украине", с целью установления единых подходов к использованию программных продуктов в профессиональной деятельности на фондовом рынке Национальная комиссия по ценным бумагам и фондовому рынку РЕШИЛА:

1. Утвердить Требования к программным продуктам на фондовом рынке, которые прилагаются.

2. Признать утратившим силу решение Государственной комиссии по ценным бумагам и фондовому рынку от 16 июля 2003 года №349 "Об установлении требований к программным продуктам на фондовом рынке", зарегистрированное в Министерстве юстиции Украины 17 ноября 2003 года за №1057/8378.

3. Управлению информационных технологий, внешних и внутренних коммуникаций (А. Заика) обеспечить:

представление данного решения на государственную регистрацию в Министерство юстиции Украины;

публикацию данного решения в соответствии с законодательством.

4. Данное решение вступает в силу через шесть месяцев со дня его официального опубликования.

5. Контроль за выполнением данного решения возложить на члена Комиссии К. Кривенко.

Утверждены Решением Национальной комиссии по ценным бумагам и фондовому рынку Украины от 2 октября 2012 года №1342

Требования к программным продуктам на фондовом рынке

І. Общие положения

1. Данные Требования к программным продуктам на фондовом рынке (дальше - Требования) разработаны в соответствии с пунктами 13, 20 статьи 8 Закона Украины "О государственном регулировании рынка ценных бумаг в Украине", Законами Украины "Об электронных документах и электронном документообороте", "Об электронной цифровой подписи", "Об информации", "О доступе к публичной информации", "Об авторском праве и смежных правах", "О защите информации в информационно-телекоммуникационных системах", Указом Президента Украины от 22 мая 1998 года №505/98 "О Положении о порядке осуществления криптографической защиты информации в Украине", постановлением Кабинета Министров Украины от 29 марта 2006 года №373 "Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах", приказом Администрации государственной службы специальной связи и защиты информации Украины от 20 июля 2007 года №141 "Об утверждении Положения о порядке разработки, производства и эксплуатации средств криптографической защиты информации", зарегистрированным в Министерстве юстиции Украины 30 июля 2007 года за №862/14129.

2. Эти Требования устанавливаются к специализированным программным продуктам, программному обеспечению автоматизированных информационных систем, которые создаются и/или используются профессиональными участниками фондового рынка, Центральным депозитарием ценных бумаг (далее - Центральный депозитарий) при осуществлении профессиональной деятельности, депозитарной деятельности Центрального депозитария (далее - программные продукты).

Эти Требования устанавливаются к программному обеспечению специализированных информационно-телекоммуникационных систем (далее - ИТС) для осуществления профессиональной деятельности, депозитарной деятельности Центрального депозитария, которое создается и/или используется профессиональными участниками фондового рынка, Центральным депозитарием.

3. В данных Требованиях термины употребляются в таком значении:

жизненный цикл программного продукта - период времени, который начинается с момента установления требований к программному продукту, включает в себя разработку, использование, сопровождение, техническую поддержку программного продукта и заканчивается прекращением использования программного продукта;

средство криптографической защиты информации - программное, аппаратно-программное, аппаратное или другое средство, предназначенное для криптографической защиты информации;

средства разработки программных продуктов - средства, в состав которых входят языки программирования, средства разработки баз данных, операционные системы, программные продукты обмена данными, в том числе с использованием почтовых систем, офисные пакеты приложений;

криптографическая защита - вид защиты, который реализуется с помощью преобразований информации с использованием специальных данных (ключевых данных) с целью сокрытия (или восстановления) содержания информации, подтверждения ее подлинности, целостности, авторства и тому подобное;

специализированный программный продукт - программный продукт, который создается с применением средств разработки программных продуктов и используется профессиональными участниками на фондовом рынке при осуществлении профессиональной деятельности, за исключением:

программного продукта общего пользования (операционная система, офисное средство, средство архивации данных, файловый менеджер, программа обмена электронной почтой и тому подобное), который без дополнительных изменений и дополнений в полном объеме может использоваться в деятельности, не связанной с фондовым рынком;

вспомогательного программного продукта, замена которого на другой программный продукт не приведет к нарушению профессиональной деятельности;

техническое задание - документ, который определяет цель, требования и порядок создания (развития или модернизации) программного продукта, в соответствии с которым осуществляются создание программного продукта, его принятие во время введения в действие;

функциональные требования - описание функций, которые реализованы (предлагается реализовать) в программном продукте или ссылаются на программный продукт и обусловливают его функциональные возможности, является основанием для технических решений при его создании;

целостность информации - условия, при которых информация хранится, передается и принимается без изменений.

4. В данных Требованиях другие термины употребляются в значениях, приведенных в законодательстве Украины.

II. Требования к программным продуктам

1. Программный продукт создается на основании технического задания или другого аналогичного по содержанию документа, который, в частности содержит функциональные требования к программному продукту.

2. Техническое задание или другой аналогичный по содержанию документ относительно создания программного продукта с целью программной реализации норм определенного нормативно-правового акта Комиссии должно отвечать требованиям норм такого нормативно-правового акта и данным Требованиям.

3. При создании программных продуктов используются средства разработки программных продуктов с соблюдением законодательства по вопросам правовой охраны интеллектуальной собственности, в частности правомерного использования компьютерных программ.

4. Документация к программному продукту должна содержать описание реализованных процедур, которые в соответствии с требованиями нормативно-правовых актов Комиссии программно реализованы этим продуктом, иметь инструкцию относительно пользования программным продуктом, описание процедуры резервного копирования и восстановления информации, в том числе баз данных, если программный продукт используется для создания или модификации собственных данных.

ІІІ. Функциональность программного продукта

1. Функциональность программного продукта должна отвечать таким требованиям:

а) интерфейс пользователя программного продукта обеспечивает управление функциями, указанными в техническом задании на программный продукт или аналогичном по содержанию документе, и должен отвечать требованиям этих документов;

б) обслуживать запросы пользователей и обеспечивать предоставление необходимой информации, если эти функциональные требования определены в техническом задании на соответствующий программный продукт или аналогичном по содержанию документе;

в) предусматривать возможность просмотра информации, созданной с учетом требований нормативно-правового акта Комиссии, с помощью программного продукта, созданного по требованию такого нормативно-правового акта;

г) предусматривать возможность распечатки на определенную (запрашиваемую) дату на бумажном носителе документов, созданных в электронной форме с помощью программного продукта и предусмотренных определенным нормативно-правовым актом Комиссии, в соответствии с которым этот продукт создан, осуществлять контроль формата данных таких документов, контроль и проверку соответствия и целостности информации документов в электронной форме, если продукт создан для осуществления указанных функций на выполнение требований нормативно-правового акта Комиссии.

Данные, которые отображены в распечатанных документах на бумажных носителях, должны отвечать данным, которые содержатся в электронной форме этого документа и отвечать требованиям, определенным нормативно-правовыми актами Комиссии;

ґ) иметь механизм обработки незавершенных логично неделимых операций (трансакций) и обеспечивать ведение журналов всех выполненных в программном продукте функций в случае выполнения программным продуктом неделимых операций (трансакций).

Ошибки в работе программного продукта или его аварийное завершение не должны вызывать потерю, частичное или полное нарушение информационного массива, с которым работает программный продукт;

д) иметь собственный или использовать имеющиеся механизмы создания резервных копий и восстановления информации из резервных копий независимо от того, в какой из предыдущих версий программного продукта эта резервная копия была создана, если программный продукт используется для создания или модификации собственных данных;

е) предусматривать возможность добавления новых функциональных модулей в программный продукт без изменения структуры программного продукта или блокирования использования новых функциональных модулей, если этим программным продуктом такая возможность предусмотрена.

Возможность блокирования использования новых функциональных модулей к программному продукту, которые созданы для работы с информацией с ограниченным доступом, должна быть предусмотрена на выполнение требований определенного нормативно-правового акта Комиссии;

є) обеспечивать для формирования данных, которые подаются в Комиссию, экспорт информации в форматах, которые определяет Комиссия, и импорт информации по этим форматам в случае возможности выполнения импорта информации;

ж) в случае назначения программного продукта для обработки информации, требования относительно защиты которой установлены законодательством, программный продукт должен иметь встроенные механизмы защиты информации от несанкционированного доступа, механизмы обеспечения идентификации и аутентификации пользователей, механизмы сохранения целостности электронных документов, регистрации действий пользователей, управления доступом пользователей к информации и отдельным функциям, которые предоставляются продуктом; программный продукт может не включать встроенных механизмов защиты, а использовать указанные механизмы защиты системного программного обеспечения или иметь возможность интегрироваться в комплексную систему защиты информации автоматизированной системы, в которой этот продукт используется, если использование программного продукта предусматривает его интегрирование в комплексную систему защиты информации;

з) программный продукт, в том числе электронная торговая система (дальше - ЭТС) фондовой биржи, который при формировании информации использует информационные, информационно-телекоммуникационные системы передачи информации, должен иметь встроенные механизмы или предусматривать возможность подключения посторонних средств осуществления диагностики функционирования программного продукта, ЭТС фондовой биржи, систем передачи информации и в случае выявления нарушения работы программного продукта, ЭТС фондовой биржи, системы передачи информации предоставлять предупреждение;

и) в случае использования встроенных средств криптографической защиты информации (дальше - КЗИ) такие средства должны иметь сертификат соответствия или позитивное экспертное заключение по результатам государственной экспертизы в сфере КЗИ в соответствии с законодательством;

і) в случае использования встроенных средств электронной цифровой подписи их применение осуществляется в соответствии с Законами Украины "Об электронных документах и электронном документообороте", "Об электронной цифровой подписи".

2. Создание программным продуктом архива данных в случае, если архивирование данных предусмотрено техническим заданием или аналогичным по содержанию документом, должно обеспечить соблюдение таких требований:

а) возможность осуществлять архивирование данных, которые потеряли актуальность, для их дальнейшего хранения в течение срока, определенного законодательством;

б) возможность поиска документов и информации в архиве, который создается программным продуктом.

IV. Сопровождение и техническая поддержка программного продукта

1. В процессе жизненного цикла программный продукт подлежит сопровождению и технической поддержке.

2. В случае внесения изменений в законодательство, требованиям которого должен отвечать программный продукт, эти изменения должны быть внедрены через изменения в программном продукте в срок, предусмотренный соответствующим законодательством.