Про затвердження Вимог до технічного забезпечення та інформаційних систем для ведення персоніфікованого обліку учасників недержавного пенсійного фонду

від 22 червня 2004 року N 1101

8 липня 2004 р. за N 855/9454

Відповідно до вимог Закону України "Про недержавне пенсійне забезпечення", а також з метою вдосконалення державного регулювання діяльності з надання послуг з недержавного пенсійного забезпечення Державна комісія з регулювання ринків фінансових послуг України ПОСТАНОВИЛА:

1. Затвердити Вимоги до технічного забезпечення та інформаційних систем для ведення персоніфікованого обліку учасників недержавного пенсійного фонду (додається).

2. Департаменту нагляду за недержавними пенсійними фондами (Рибальченко А. А.) та юридичному управлінню (Ткаченко Д. В.) забезпечити подання цього розпорядження до Міністерства юстиції України для державної реєстрації.

3. Відділу взаємодії із засобами масової інформації та зв'язків з громадськістю (Нагорняк М. В.) забезпечити опублікування цього розпорядження в засобах масової інформації після його державної реєстрації.

4. Контроль за виконанням розпорядження покласти на члена Комісії - директора департаменту нагляду за недержавними пенсійними фондами Рибальченка А. А.

Вимоги до технічного забезпечення та інформаційних систем для ведення персоніфікованого обліку учасників недержавного пенсійного фонду

Ці Вимоги розроблені відповідно до вимог Законів України "Про фінансові послуги та державне регулювання ринків фінансових послуг", "Про недержавне пенсійне забезпечення", Положення про Державну комісію з регулювання ринків фінансових послуг України, затвердженого Указом Президента України від 4 квітня 2003 року N 292/2003, та інших чинних нормативно-правових актів, які регламентують відносини, що виникають у сфері здійснення діяльності з адміністрування недержавних пенсійних фондів.

Розділ 1. Загальні положення

1.1. Ці Вимоги поширюються на технічне забезпечення та інформаційні системи, які створюються та (або) використовуються адміністраторами недержавних пенсійних фондів для ведення персоніфікованого обліку учасників недержавного пенсійного фонду.

1.2. У цих Вимогах нижченаведені терміни вживаються в такому значенні:

інформаційна система для ведення персоніфікованого обліку учасників недержавного пенсійного фонду (далі - інформаційна система) - система, що здійснює зберігання, передачу та обробку даних, до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), методи і процедури, а також програмне забезпечення;

промислова СУБД - система управління базами даних, що дозволяє:

безперебійно обробляти всі операції, що здійснюються в системі персоніфікованого обліку із загальною кількістю індивідуальних пенсійних рахунків понад один мільйон, протягом 25 операційних днів підряд;

забезпечувати безперебійну роботу системи персоніфікованого обліку в режимі он-лайн (без зупинки роботи системи) у разі збою комп'ютерної техніки та (або) обладнання;

автоматичне щоденне архівування системи персоніфікованого обліку та її відновлення з архіву;

реєстрацію всіх операцій системи персоніфікованого обліку з фіксацією суті та основних параметрів операції, дати і часу її проведення, ідентифікацією оператора системи, що здійснив операцію;

забезпечувати розмежування доступу операторів інформаційної системи до її різних частин;

обов'язково здійснювати всі операції в режимі трансакцій (тобто в разі збою при проведенні будь-якої операції система повинна автоматично відтворити стан, в якому вона перебувала саме перед проведенням збійної операції).

Інші терміни у цих Вимогах вживаються відповідно до чинного законодавства України, зокрема: до Законів України "Про фінансові послуги та державне регулювання ринків фінансових послуг", "Про недержавне пенсійне забезпечення".

Розділ 2. Загальні вимоги до інформаційної системи ведення персоніфікованого обліку учасників недержавних пенсійних фондів

2.1. Ведення адміністратором недержавного пенсійного фонду персоніфікованого обліку учасників фонду здійснюється виключно автоматизовано.

2.2. Зберігання інформації, що безпосередньо стосується персоніфікованого обліку, та організація доступу до неї через програмне забезпечення повинні здійснюватися засобами промислових СУБД, що ліцензовані та офіційно підтримуються (супроводжуються) виробником СУБД.

2.3. Інформаційна система повинна:

підтримуватись (супроводжуватись) її постачальником (розробником);

забезпечувати цілісність, актуальність та несуперечність інформації, що обробляється;

забезпечувати конфіденційність інформації, що зберігається в інформаційній системі;

забезпечувати розмежування доступу користувачів до об'єктів та функцій інформаційної системи;

зберігати аудит-інформацію про автора та час створення, модифікації та видалення будь-якого об'єкта інформаційної системи;

підтримувати можливість обміну інформацією з іншими суб'єктами недержавного пенсійного забезпечення та Держфінпослуг.

2.4. Інформаційна система повинна забезпечити збереження інформації та містити засоби відновлення роботи системи:

при аваріях та перебоях у системах енергопостачання;

при аваріях (несправностях) та відмові серверів або робочих станцій;

при появі комп'ютерних вірусів в обчислювальній мережі.

Дані, що занесені до системи персоніфікованого обліку (електронного архіву), повинні зберігатись у системі протягом терміну, установленого чинним законодавством.

Розділ 3. Вимоги до програмного забезпечення для ведення персоніфікованого обліку

3.1. Вимоги до розробки програмного забезпечення

3.1.1. Розробка програмного забезпечення, що призначене для ведення персоніфікованого обліку, виконується на підставі технічного завдання.

3.1.2. Зміст технічного завдання на розробку програмного забезпечення повинен відповідати Закону України "Про недержавне пенсійне забезпечення" та нормативно-правовим актам Державної комісії з регулювання ринків фінансових послуг України (далі - Держфінпослуг).

3.1.3. Програмне забезпечення має бути створене на базі ліцензійного загального програмного забезпечення (з використанням ліцензійних засобів розробки).

3.1.4. Програмне забезпечення, яке розробляється і впроваджується до використання, має передбачати можливість нарощування функціональних характеристик, а також адаптації у разі змін нормативно-правової бази щодо персоніфікованого обліку.

3.1.5. Документація до програмного забезпечення повинна мати опис процедур ведення персоніфікованого обліку, резервного копіювання та відновлення інформації, а також інших функцій, що реалізовані в програмному забезпеченні.

3.1.6. Розробник програмного забезпечення при використанні в інформаційній системі засобів криптографічного захисту інформації повинен мати ліцензії Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (далі - ДСТСЗІ СБУ) на діяльність у галузях технічного захисту інформації та криптографічного захисту інформації та сертифікати ДСТСЗІ СБУ на засоби криптографічного захисту інформації, що постачаються.

3.2. Вимоги до функціональності програмного забезпечення

3.2.1. Програмне забезпечення для ведення персоніфікованого обліку повинне забезпечувати можливість:

інтеграції з іншим базовим та програмним забезпеченням, інформаційної сумісності з іншими системами через контрольований інтерфейс для імпорту (експорту) даних з (до) інших систем;

додавання нових функціональних модулів до програмного забезпечення без зміни структури програмного забезпечення;

обслуговування запитів користувачів та надання необхідної інформації у зручному для сприйняття вигляді;

оперативного пошуку документів та інформації в архіві, який створюється;

експортувати інформацію у форматі, визначеному Держфінпослуг, при формуванні інформації, яка подається до Держфінпослуг відповідно до законодавства;

роздруковування документів у паперовому вигляді.

3.2.2. Інтерфейс користувача програмного забезпечення повинен бути максимально простий та зручний для використання.

3.2.3. Програмне забезпечення повинне мати механізм обробки незавершених трансакцій та забезпечувати реєстрацію всіх операцій системи персоніфікованого обліку. Помилки в роботі програмного забезпечення або аварійне завершення роботи програми не повинні спричиняти втрату, часткове або повне порушення бази даних програмного продукту.

3.2.4. Програмне забезпечення має передбачати можливість створення резервних копій інформації та механізм відновлення інформації з резервних копій незалежно від того, у якій з попередніх версій програми ця резервна копія була створена.

3.2.5. Програмне забезпечення повинне забезпечувати можливість виконання всіх функцій адміністратора в частині ведення персоніфікованого обліку:

ідентифікація учасника, на користь якого зараховуються пенсійні внески, повинна виконуватися не менше ніж за трьома реквізитами, щонайменше один з яких повинен бути унікальним;

формування звітів про операції, що ведуться в системі персоніфікованого обліку.

Розділ 4. Вимоги до технічного забезпечення

4.1. Інформаційні системи персоніфікованого обліку створюються на основі комп'ютерних систем, які можуть забезпечити виконання технологічних операцій з ведення персоніфікованого обліку, а також відповідають даним вимогам.

4.2. Склад та структура технічного забезпечення визначаються адміністратором самостійно, виходячи з його можливості виконувати встановлені операції технологічного процесу ведення персоніфікованого обліку, визначеного Законом України "Про недержавне пенсійне забезпечення" та нормативними документами Державної комісії з регулювання ринків фінансових послуг України, можливості інтегрування до існуючого програмного забезпечення, захисту від несанкціонованого доступу.

4.3. Обчислювальна потужність комп'ютерів, що використовуються для ведення персоніфікованого обліку, повинна бути достатньою для роботи програмного забезпечення, засобів технічного захисту інформації та ліцензованої промислової СУБД.

4.4. Штатними засобами промислової СУБД щоденно (або частіше) повинна виконуватись процедура резервного копіювання бази даних. Резервні копії повинні зберігатись на окремому носії інформації або на окремому спеціалізованому мережевому апаратному засобі.

4.5. До складу технічних засобів повинен входити енергонезалежний (з метою недопущення втрати інформації) довгостроковий запам'ятовувальний пристрій для зберігання інформації персоніфікованого обліку з виключенням можливості її зміни.

Розділ 5. Вимоги щодо захисту та збереження інформації

5.1. Організація захисту інформації, що міститься в інформаційній системі, здійснюється відповідно до чинного законодавства України, зокрема до Закону України "Про захист інформації в автоматизованих системах".

5.2. Захист інформації в інформаційній системі повинен:

охоплювати етапи розробки, упровадження та експлуатації системи;

складатися з відповідних організаційних, технічних та програмних засобів.

5.3. Основними завданнями захисту інформації в інформаційній системі є:

захист від зловживань;

захист від технічних порушень та відмов обладнання (вихід з ладу апаратних чи програмних засобів, поява перешкод у каналах зв'язку).

5.4. Засоби захисту від зловживань повинні забезпечувати:

неможливість заміни штатного програмного забезпечення на інше (не сертифіковане);

неможливість будь-яких змін щодо даних, зафіксованих після здійснення операцій засобами програмного забезпечення;

ведення протоколу дій у системі (дані протоколу мають бути не доступні для змін та знищення);

захист від несанкціонованого доступу до баз даних системи;

автоматичний запис протоколу роботи системи з обов'язковою фіксацією дати та часу;

захист інформації, яка передається каналами зв'язку;

можливість централізованого управління привілеями та правами користувачів;

блокування облікових записів користувачів та доступу до інформації при неправильній фіксації;

установлення терміну дії та правил використання пароля та криптографічних ключів при їх використанні.

5.5. Доступ до ресурсів, як окремих комп'ютерів, так і обчислювальної мережі в цілому, повинен бути обмеженим за допомогою автентифікації користувачів та делегування користувачам повноважень відповідно до їх посадових інструкцій. Операційні системи, що використовуються, повинні забезпечувати розмежування доступу як до локальних, так і до мережевих ресурсів.

5.6. Доступ до інформації, яка записана в пам'яті, базах даних, робочих файлах, має бути захищений апаратно-програмним або програмним шляхом, у тому числі штатними засобами промислової СУБД, що використовується.

5.7. Адміністратор повинен розробити порядок установлення паролів при роботі з програмою ведення персоніфікованого обліку.

5.8. Технічний комплекс системи персоніфікованого обліку повинен бути в окремому приміщенні. Список осіб, які мають доступ до приміщення технічного комплексу системи персоніфікованого обліку, визначається відповідним наказом керівника адміністратора.

5.9. Копії електронних масивів (файлів) повинні зберігатися в окремих приміщеннях, за межами розміщення серверу бази даних системи персоніфікованого обліку адміністратора. Копії електронних масивів (файлів) повинні надаватися до Держфінпослуг у порядку, визначеному законодавством.

5.10. При використанні в інформаційній системі криптографічних засобів захисту вони повинні бути сертифіковані ДСТСЗІ СБУ.

Розділ 6. Державний контроль

6.1. Державний контроль за дотриманням цих Вимог здійснюється Держфінпослуг та її територіальними управліннями відповідно до чинного законодавства.

6.2. Перевірка технічного забезпечення та інформаційних систем для ведення персоніфікованого обліку учасників недержавного пенсійного фонду на відповідність цим Вимогам здійснюється шляхом проведення перевірок у порядку, установленому законодавством.