Про затвердження Вимог до програмних продуктів, які використовуються на ринках капіталу та організованих товарних ринках, та програмного забезпечення автоматизованих, інформаційних та інформаційно-телекомунікаційних систем, призначених для здійснення професійної діяльності на ринках капіталу та організованих товарних ринках, депозитарної діяльності Центрального депозитарію цінних паперів
{Заголовок Рішення із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
{Із змінами, внесеними згідно з Рішеннями Національної комісії
з цінних паперів та фондового ринку
№ 2997 від 27.12.2013
№ 362 від 23.03.2015
№ 708 від 09.10.2018
№ 1241 від 16.12.2021}
Відповідно до пункту 20 статті 8 Закону України «Про державне регулювання ринків капіталу та організованих товарних ринків», з метою встановлення єдиних підходів до використання програмних продуктів у професійній діяльності на фондовому ринку Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:
{Преамбула із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
1. Затвердити Вимоги до програмних продуктів, які використовуються на ринках капіталу та організованих товарних ринках, та програмного забезпечення автоматизованих, інформаційних та інформаційно-телекомунікаційних систем, призначених для здійснення професійної діяльності на ринках капіталу та організованих товарних ринках, депозитарної діяльності Центрального депозитарію цінних паперів, що додаються.
{Пункт 1 в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013; із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
2. Визнати таким, що втратило чинність, рішення Державної комісії з цінних паперів та фондового ринку від 16 липня 2003 року № 349 "Про встановлення вимог до програмних продуктів на фондовому ринку", зареєстроване в Міністерстві юстиції України 17 листопада 2003 року за № 1057/8378.
3. Департаменту інформаційних технологій (А. Заїка) забезпечити:
подання цього рішення на державну реєстрацію до Міністерства юстиції України;
публікацію цього рішення відповідно до законодавства.
{Пункт 3 із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
4. Це рішення набирає чинності через шість місяців з дня його офіційного опублікування.
5. Контроль за виконанням цього рішення покласти на члена Комісії Ю. Бойка.
{Пункт 5 із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
ПОГОДЖЕНО: В.о. Голови Голова Державної служби |
|
ВИМОГИ
до програмних продуктів, які використовуються на ринках капіталу та організованих товарних ринках, та програмного забезпечення автоматизованих, інформаційних та інформаційно-телекомунікаційних систем, призначених для здійснення професійної діяльності на ринках капіталу та організованих товарних ринках, депозитарної діяльності Центрального депозитарію цінних паперів
{Заголовок в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013; із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
{У тексті Вимог слова «фондовому ринку» замінено словами «ринках капіталу та організованих товарних ринках» згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
1. Ці Вимоги розроблено відповідно до пунктів 13, 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", Законів України "Про електронні документи та електронний документообіг", "Про електронні довірчі послуги", "Про інформацію", "Про доступ до публічної інформації", "Про авторське право і суміжні права", "Про захист інформації в інформаційно-телекомунікаційних системах", підпункту 8 пункту 6 Положення про Національну комісію з цінних паперів та фондового ринку, затвердженого Указом Президента України від 23 листопада 2011 року № 1063, Указу Президента України від 22 травня 1998 року № 505 "Про Положення про порядок здійснення криптографічного захисту інформації в Україні", постанови Кабінету Міністрів України від 29 березня 2006 року № 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", наказу Адміністрації Державної служби спеціального зв`язку та захисту інформації України від 20 липня 2007 року № 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації", зареєстрованого в Міністерстві юстиції України 30 липня 2007 року за № 862/14129.
{Пункт 1 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013; із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
2. Ці Вимоги встановлюються до спеціалізованих програмних продуктів, програмного забезпечення автоматизованих, інформаційних систем, які створюються та/або використовуються професійними учасниками фондового ринку, Центральним депозитарієм цінних паперів (далі - Центральний депозитарій) при здійсненні професійної діяльності, депозитарної діяльності Центрального депозитарію (далі - програмні продукти).
{Абзац перший пункту 2 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
Ці Вимоги встановлюються до програмного забезпечення спеціалізованих інформаційно–телекомунікаційних систем (далі - ІТС) для здійснення професійної діяльності, депозитарної діяльності Центрального депозитарію, яке створюється та/або використовується професійними учасниками фондового ринку, Центральним депозитарієм.
{Абзац другий пункту 2 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
Ці Вимоги розповсюджуються на всі спеціалізовані програмні продукти, які використовуються для формування форм подання до Національної комісії з цінних паперів та фондового ринку (далі - Комісія) адміністративних даних різних видів та інформації, а також при обміні інформацією у електронному вигляді між професійними учасниками фондового ринку та/або Центральним депозитарієм.
{Пункт 2 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
3. У цих Вимогах терміни використовуються у таких значеннях:
{Абзац перший пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
документація - взаємопов’язані документи або документ, які/який містить опис функціональних можливостей програмного продукту, проєктні та організаційні рішення для забезпечення функціонування, перевірки функціонування програмного продукту. Функціональні можливості програмного продукту мають відповідати вимогам, наведеним у Законі України «Про депозитарну систему України», цих Вимогах;
{Пункт 3 розділу I доповнено абзацом другим згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015; в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
життєвий цикл програмного продукту - період часу, який починається з моменту встановлення вимог до програмного продукту, включає в себе розробку, використання, супроводження, технічну підтримку програмного продукту і закінчується припиненням використання програмного продукту;
засіб криптографічного захисту інформації - програмний, апаратно-програмний, апаратний або інший засіб, призначений для криптографічного захисту інформації;
засоби розробки програмних продуктів - засоби, до складу яких входять мови програмування, засоби розробки баз даних, операційні системи, програмні продукти обміну даними, в тому числі з використанням поштових систем, офісні пакети додатків;
криптографічний захист - вид захисту, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
спеціалізована інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації для здійснення професійної діяльності на ринках капіталу та організованих товарних ринках, депозитарної діяльності Центрального депозитарію діють як єдине ціле;
{Пункт 3 розділу I доповнено новим абзацом згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
спеціалізований програмний продукт - програмний продукт, який створюється із застосуванням засобів розробки програмних продуктів та використовується професійними учасниками, Центральним депозитарієм на ринках капіталу та організованих товарних ринках при здійсненні професійної діяльності, депозитарної діяльності Центрального депозитарію, за винятком:
{Абзац пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
програмного засобу ІТС (операційної системи, програми обміну електронною поштою, програмного засобу захисту ІТС тощо), які без додаткових змін та доповнень у повному обсязі можуть використовуватись у діяльності, не пов`язаній з фондовим ринком;
{Абзац пункту 3 розділу I в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
програмного продукту загального користування (операційна система, офісний засіб, засіб архівування даних, файловий менеджер, програма обміну електронною поштою тощо), який без додаткових змін та доповнень у повному обсязі може використовуватись у діяльності, не пов`язаній з фондовим ринком;
допоміжного програмного продукту, використання або невикористання якого не впливає на професійну діяльність, депозитарну діяльність Центрального депозитарію;
{Абзац пункту 3 розділу I в редакції Рішень Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013, № 708 від 09.10.2018}
Під використанням програмного продукту на ринках капіталу та організованих товарних ринках професійними учасниками, Центральним депозитарієм під час здійснення професійної діяльності, депозитарної діяльності Центрального депозитарію слід розуміти як безпосереднє використання програмного продукту зазначеними суб’єктами, так і використання програмного продукту клієнтами зазначених суб’єктів у випадках, якщо необхідність такого використання зумовлена наданням зазначеними суб’єктами послуг під час здійснення ними професійної діяльності, депозитарної діяльності Центрального депозитарію.
{Розділ I доповнено новим абзацом 12 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
Визначення спеціалізованого програмного продукту поширюється на програмні продукти для комп’ютерів та інших електронних пристроїв, у тому числі бездротових (мобільних).
{Розділ I доповнено новим абзацом 13 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
Визначення спеціалізованого програмного продукту поширюється на програмні засоби у формі відокремлених програм, програмних засобів та комплексів, у формі комплексних, у тому числі розподілених, автоматизованих систем, у формі веб-сайтів та веб-застосунків;
{Розділ I доповнено новим абзацом 14 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
технічне завдання - документ, який складений з урахуванням вимог державних, галузевих і чинних в Україні міжнародних стандартів, норм та регламентів, який визначає мету, підстави, призначення, вимоги, які необхідні для розроблення (розвитку або модернізації) програмного продукту або програмного забезпечення ІТС, містить технічні, якісні, функціональні характеристики та перелік робіт, необхідних для створення програмного продукту, а також стадії та етапи розробки;
{Абзац пункту 3 розділу I в редакції Рішень Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013, № 1241 від 16.12.2021}
функціональні вимоги - опис функцій, які реалізовані (пропонується реалізувати) у програмному продукті або посилаються на програмний продукт та обумовлюють його функціональні можливості, є підставою для технічних рішень при його створенні;
цілісність інформації - умови, за яких інформація зберігається, передається та приймається без змін.
4. У цих Вимогах інші терміни використовуються у значеннях, наведених у законодавстві України.
II. Вимоги до програмних продуктів
1. Програмний продукт, який створюється професійним учасником фондового ринку, Центральним депозитарієм або на замовлення професійного учасника фондового ринку, Центрального депозитарію, створюється на підставі технічного завдання або аналогічного за змістом документа.
Програмний продукт, який створено не на замовлення професійного учасника фондового ринку або Центрального депозитарію, а було придбано або отримано у користування професійним учасником фондового ринку, Центральним депозитарієм, повинен мати документацію.
{Пункт 1 розділу II в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
2. Технічне завдання або інший аналогічний за змістом документ щодо створення програмного продукту з метою програмної реалізації норм певного нормативно-правового акта Комісії має відповідати вимогам норм такого нормативно-правового акта та цим Вимогам.
3. Професійні учасники фондового ринку та Центральний депозитарій мають використовувати програмні продукти та засоби розробки програмних продуктів на правових підставах із дотриманням майнових та авторських прав, а також із дотриманням законодавства про санкції.
{Пункт 3 розділу II в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
4. Документація до програмного продукту повинна містити опис реалізованих процедур, які відповідно до вимог нормативно-правових актів Комісії програмно реалізовані цим продуктом, мати інструкцію щодо користування програмним продуктом, опис процедури резервного копіювання та відновлення інформації, у тому числі баз даних, якщо програмний продукт використовується для створення або модифікації власних даних, описи процедур роботи з інформацією різного рівня доступу до неї, засобів захисту інформації.
{Абзац перший пункту 4 розділу II із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
5. Засоби захисту інформації, які використовуються у складі програмного продукту, мають бути реалізовані відповідно до національних стандартів, нормативно-правових актів з питань захисту інформації.
{Розділ II доповнено новим пунктом 5 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
ІІІ. Функціональність програмного продукту
1. Функціональність програмного продукту має відповідати таким вимогам:
а) інтерфейс користувача програмного продукту забезпечує керування функціями, зазначеними у технічному завданні на програмний продукт або аналогічному за змістом документі, та повинен відповідати вимогам цих документів.
Інтерфейс користувача програмного продукту забезпечує керування функціями, наведеними у документації до програмного продукту;
{Підпункт "а" пункту 1 розділу III доповнено новим абзацом згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
б) обслуговувати запити користувачів та забезпечувати надання необхідної інформації, якщо програмний продукт використовується для обслуговування запитів користувачів та надання користувачам інформації.
Можливість обслуговування запитів користувачів повинна бути передбачена технічним завданням або аналогічним за змістом документом, якщо програмний продукт створюється для обслуговування запитів користувачів та надання користувачам інформації;
Можливість обслуговування запитів користувачів здійснюється за умови наведення такої функції у документації до програмного продукту, якщо програмний продукт створений для обслуговування запитів користувачів та надання користувачам інформації;
{Підпункт "б" пункту 1 розділу III доповнено абзацом третім згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
{Підпункт "б" пункту 1 розділу III в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}
в) передбачати можливість перегляду інформації, створеної з урахуванням вимог нормативно-правового акта Комісії, за допомогою програмного продукту, створеного на вимогу такого нормативно-правового акта;
г) передбачати можливість роздрукування на певну (запитувану) дату на паперовому носії документів, створених в електронній формі за допомогою програмного продукту та передбачених певним нормативно-правовим актом Комісії, відповідно до якого цей продукт створено, здійснювати контроль формату даних таких документів, контроль та перевірку відповідності та цілісності інформації документів в електронній формі, якщо продукт створено для здійснення зазначених функцій на виконання вимог нормативно-правового акта Комісії.
Дані, що відображені у роздрукованих документах на паперових носіях, повинні відповідати даним, що містяться у електронній формі цього документа та відповідати вимогам, визначеним нормативно-правовими актами Комісії;
ґ) мати механізм обробки незавершених логічно неподільних операцій (трансакцій) та забезпечувати ведення журналів усіх виконаних у програмному продукті функцій у разі виконання програмним продуктом неподільних операцій (трансакцій).
Помилки у роботі програмного продукту або його аварійне завершення не повинні викликати втрату, часткове або повне порушення інформаційного масиву, з яким працює програмний продукт;
д) мати власний або використовувати наявні механізми створення резервних копій та відновлення інформації з резервних копій незалежно від того, у якій з попередніх версій програмного продукту ця резервна копія була створена, якщо програмний продукт використовується для створення або модифікації власних даних;
е) передбачати можливість додавання нових функціональних модулів до програмного продукту без зміни структури програмного продукту або блокування використання нових функціональних модулів, якщо цим програмним продуктом така можливість передбачена.
Можливість блокування використання нових функціональних модулів до програмного продукту, які створені для роботи з інформацією з обмеженим доступом, повинна бути передбачена на виконання вимог певного нормативно-правового акта Комісії;
є) забезпечувати для формування даних, які подаються до Комісії, експорт інформації у форматах, які визначає Комісія, та імпорт інформації з цих форматів у разі можливості виконання імпорту інформації;
ж) у разі призначення програмного продукту для обробки інформації, вимоги щодо захисту якої встановлено законодавством, програмний продукт повинен мати вбудовані механізми захисту інформації від несанкціонованого доступу, механізми забезпечення ідентифікації та автентифікації користувачів, механізми збереження цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом; програмний продукт може не включати вбудованих механізмів захисту, а використовувати зазначені механізми захисту системного програмного забезпечення або мати можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується, якщо використання програмного продукту передбачає його інтегрування в комплексну систему захисту інформації;
з) програмний продукт, у тому числі електронна торговельна система (далі - ЕТС) оператора організованого ринку, який при формуванні інформації використовує інформаційні, інформаційно-телекомунікаційні системи передачі інформації, повинен мати вбудовані механізми або передбачати можливість підключення сторонніх засобів здійснення діагностики функціонування програмного продукту, ЕТС оператора організованого ринку, систем передачі інформації та у разі виявлення порушення роботи програмного продукту, ЕТС оператора організованого ринку, системи передачі інформації надавати попередження;
{Підпункт "з" пункту 1 розділу III із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
и) у разі використання вбудованих засобів криптографічного захисту інформації (далі - КЗІ) такі засоби повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері КЗІ відповідно до законодавства;
і) у разі використання вбудованих засобів електронного підпису чи печатки, або засобів удосконаленого електронного підпису чи печатки, або засобів кваліфікованого електронного підпису чи печатки їх застосування здійснюється відповідно до Законів України «Про електронні документи та електронний документообіг», «Про електронні довірчі послуги»;
{Підпункт "і" пункту 1 розділу III в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
ї) відповідати (не суперечити) функціональним вимогам, які безпосередньо або опосередковано випливають з вимог нормативно-правових актів Комісії, до відповідного напряму професійної діяльності на ринках капіталу та організованих товарних ринках.
{Пункт 1 розділу III доповнено новим підпунктом "ї" згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
2. Створення програмним продуктом архіву даних у разі, якщо архівація даних, передбачена технічним завданням або аналогічним за змістом документом, наведена у документації до програмного продукту, повинно забезпечити дотримання таких вимог:
{Абзац перший пункту 2 розділу III в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
а) можливість здійснювати архівування даних, які втратили актуальність, для їх подальшого зберігання протягом строку, визначеного законодавством;
б) можливість пошуку документів та інформації в архіві, який створюється програмним продуктом.
IV. Супроводження та технічна підтримка програмного продукту
1. У процесі життєвого циклу програмний продукт підлягає супроводженню та технічній підтримці.
2. У разі внесення змін до законодавства, вимогам якого повинен відповідати програмний продукт, ці зміни мають бути впроваджені через зміни у програмному продукті у термін, передбачений відповідним законодавством.
3. У разі власної розробки або розробки на замовлення зміни до програмного продукту розробляються на підставі змін до технічного завдання на цей програмний продукт або документа, що його замінює, та відображаються в експлуатаційній документації на програмний продукт.
Зміни до програмного продукту, який придбано або отримано у користування, вносяться у порядку супроводження такого продукту та повинні мати супроводжувальну документацію (актуалізовану експлуатаційну документацію або зміни та доповнення до неї у вигляді окремих документів).
{Розділ IV доповнено новим пунктом 3 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
V. Загальні вимоги до програмного забезпечення спеціалізованих інформаційно-телекомунікаційних систем
1. При обробці в ІТС професійного учасника фондового ринку, Центрального депозитарію інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинен забезпечуватися захист такої інформації відповідно до вимог статті 8 Закону України «Про захист інформації в інформаційно-комунікаційних системах».
{Пункт 1 розділу V із змінами, внесеними згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 1241 від 16.12.2021}
2. Програмне забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію створюється на підставі технічного завдання, яке повинно містити вимоги із захисту інформації.
Зазначене технічне завдання (або окреме технічне завдання на систему захисту інформації в ІТС) повинно бути погоджено з Державною службою спеціального зв’язку та захисту інформації України в установленому порядку.
3. Функціональність програмного забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію має відповідати вимогам:
а) мати механізм забезпечення ідентифікації та автентифікації користувачів, реєстрації дій користувачів в ІТС;
б) мати механізм керування ІТС;
в) забезпечувати обмін даними та інформацією засобами телекомунікаційної системи ІТС під час їх автоматизованої обробки;
г) забезпечувати доступ користувача інформаційної системи ІТС до телекомунікаційних мереж, мережі Інтернет або інших мереж для обміну даними та інформацією;
ґ) забезпечувати захист даних та інформації від комп’ютерних вірусів;
д) мати механізм встановлення повноважень користувачів щодо виконання певних дій з обробки інформації (читання, модифікація, знищення, введення інформації тощо) та розмежування доступу користувачів до інформації, яка обробляється в ІТС;
е) забезпечувати блокування несанкціонованих дій щодо інформації, яка обробляється в ІТС.
4. При створенні ІТС та програмного забезпечення ІТС професійного учасника фондового ринку або Центрального депозитарію програмні засоби мають використовуватись на правових підставах із дотриманням майнових та авторських прав, а також законодавства про санкції.
{Пункт 4 розділу V в редакції Рішення Національної комісії з цінних паперів та фондового ринку № 708 від 09.10.2018}
5. Документація до програмного забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію повинна мати опис функціональних можливостей, які відповідно до вимог законодавства, у тому числі нормативно-правових актів Комісії, реалізовані цим програмним забезпеченням, мати інструкцію щодо користування програмним забезпеченням.
{Розділ V доповнено новим пунктом 5 згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 362 від 23.03.2015}
6. У процесі життєвого циклу прийняте до експлуатації програмне забезпечення ІТС професійного учасника фондового ринку, Центрального депозитарію підлягає супроводженню та технічній підтримці.
{Вимоги доповнено новим розділом згідно з Рішенням Національної комісії з цінних паперів та фондового ринку № 2997 від 27.12.2013}