В соответствии с подпунктом 3-2) статьи 4 Закона Республики Казахстан от 4 мая 2009 года "О товарных биржах", ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые обязательные требования к электронной торговой системе товарных бирж.

      2. Департаменту регулирования торговой деятельности Министерства национальной экономики Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан его направление на официальное опубликование в периодических печатных изданиях и информационно-правовой системе "Әділет";

      3) опубликование настоящего приказа на официальном интернет-ресурсе Министерства национальной экономики Республики Казахстан.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра национальной экономики Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после первого официального опубликования.

      "СОГЛАСОВАН"

      Министр по инвестициям и развитию

      Республики Казахстан

      __________________ А. Исекешев

      10 марта 2015 года

Обязательные требования к электронной торговой системе товарных бирж

1. Основные положения

      1. Настоящими обязательными требованиями к электронной торговой системе товарных бирж (далее – обязательные требования) устанавливаются требования к электронной торговой системе, используемой товарными биржами.

      2. Настоящие обязательные требования включают в себя требования к программному и аппаратному обеспечению товарных бирж, информационной безопасности (далее – ИБ), размещению оборудования, а также иные организационно-технические требования, соблюдение которых необходимо в целях эффективного и бесперебойного функционирования электронной торговой системы товарной биржи.

      3. Не допускается эксплуатация товарными биржами электронных торговых систем, не отвечающих настоящим обязательным требованиям.

      4. В настоящих обязательных требованиях используются следующие понятия и определения:

      1) программное средство (далее – ПС) – объект, состоящий из программ, процедур, правил, другой сопутствующей документации и данных, относящихся к функционированию системы обработки данных;

      2) рабочая станция (терминал) – компьютер, имеющий специализированное программное обеспечение, находящийся у члена биржи и подключенный к электронной торговой системе товарной биржи;

      3) сервер – вычислительная машина (система), управляющая определенным видом ресурсов сети;

      4) электронная торговая система товарной биржи (далее – ЭТСТБ) – комплекс вычислительных средств, программного обеспечения, баз данных, телекоммуникационных средств и другого оборудования товарной биржи, необходимый для проведения электронных биржевых торгов и обеспечивающий автоматизацию процесса заключения биржевых сделок, а также сбора, хранения, обработки и раскрытия информации.

2. Обязательные требования к электронной торговой
системе товарных бирж

      5. ЭТСТБ обеспечивает:

      1) функционирование в условиях локальных вычислительных сетей;

      2) функционирование в условиях корпоративных вычислительных сетей;

      3) организацию, хранение и отображение информации о брокерах, дилерах и их клиентах на основе связи с базами данных;

      4) хранение и отображение информации по заявкам, сделкам, результатам торгов, сообщениям на основе связи с базами данных;

      5) хранение и отображение информации в базе данных;

      6) организацию работы комплекса программных средств через систему меню, поддерживаемых краткими инструкциями, подсказками и пояснениями;

      7) постоянный обмен информацией между участниками системы (независимо от их взаимного физического месторасположения) в режиме реального времени;

      8) членам биржи (брокерам, дилерам) работу в системе вне торгового зала биржи;

      9) технологию, при которой информация, введенная с любой рабочей станции (терминала), немедленно становится общедоступной всем участникам, подключенным к электронной торговой системе товарной биржи;

      10) унификацию информации, обращающейся в системе, поступление информации (введенной с какой-либо рабочей станции) в систему только при условии формирования ее по заранее установленным биржами правилам;

      11) формирование необходимого аналитического материала, выборки по состоянию рынка отдельных торгуемых активов (финансовых инструментов, товаров и другие), групп активов, объемам оборота, объемам спроса и предложения, котировкам, объемам открытого интереса (нереализованного объема), размерам лотов, процессам быстрого и легкого поиска информации по различным критериям;

      12) возможность обмена информацией с внешними системами с помощью стандартных протоколов межбанковского обмена и протоколов обмена биржевой информацией;

      13) удаленный доступ антимонопольному органу к электронной торговой системе товарной биржи в режиме реального времени;

      6. ЭТСТБ имеет в своем составе автоматизированный журнал учета событий по торговым сессиям (далее – журнал событий), регистрирующий содержание следующих событий и данных:

      1) время открытия торгов;

      2) время закрытия торгов;

      3) идентификация участника торгов;

      4) время входа в систему участника торгов;

      5) время выхода из системы участника торгов;

      6) время выставления заявки участником торгов;

      7) время снятия заявки участником торгов;

      8) время изменения заявки участником торгов;

      9) время совершения сделки участником торгов;

      10) наименование актива;

      11) количество актива в заявке;

      12) количество лотов;

      13) цена актива.

      Формат времени фиксации – год, месяц, день, час, минута, секунда (с точностью минимум до 0,001 секунды).

      7. ЭТСТБ обеспечивает строгое соответствие данных отчета по проведенным биржевым торгам содержанию журнала событий.

      8. ЭТСТБ обеспечивает ведение уникального автоматически присваиваемого номера выполняемой операции в журнале событий.

      9. ЭТСТБ относится к информационным ресурсам ограниченного доступа и не допускается размещение на серверах общего доступа.

      9-1. В ЭТСТБ используются персонализированные пользовательские учетные записи.

      При этом ЭТСТБ применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом товарной биржи.

      Идентификация и аутентификация пользователей производится посредством ввода пары "учетная запись (идентификатор) – пароль" и (или) биометрической и (или) криптографической и (или) аппаратной аутентификации.

      9-2. В регистрацию событий ИБ входит:

      журналирования действий администраторов и пользователей;

      применения системы мониторинга инцидентов и событий ИБ;

      оповещения на основе автоматического распознавания критического события или инцидента ИБ.

      9-3. Журналы регистрации событий хранятся в течение срока, указанного в технической документации по ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев.

      10. К программному обеспечению ЭТСТБ предъявляются следующие требования:

      1) ПС ЭТСТБ разрабатывается и эксплуатируется с использованием лицензионного программного обеспечения актуальной версии;

      2) во избежание полной или частичной потери информации и нарушения целостности баз данных ПС ЭТСТБ строится таким образом, чтобы обеспечивалась обработка ошибок пользователя, ошибок, возникающих при технических сбоях, и ошибок базы данных с выдачей сообщений пользователю, в которых описаны последующие действия;

      3) в ПС ЭТСТБ имеется модуль контроля за работой программ, обеспечивающий такие функции, как идентификация (опознавание), аутентификация (подтверждение подлинности) и авторизация (присвоение полномочий) пользователя; контроль доступа к ресурсам ЭТСТБ; регистрация и анализ событий, происходящих в ЭТСТБ; контроль целостности ресурсов ЭТСТБ;

      4) ПС ЭТСТБ не позволяет вносить изменения в выходные данные, сформированные по результатам торгов;

      5) ПС ЭТСТБ обеспечивает контроль полноты и достоверность вводимых данных;

      6) ПС ЭТСТБ включает в себя такие программные системы (или обеспечивает электронное взаимодействие с существующими программными системами) как торговая система; информационно-аналитическая система; сети передачи данных (если технологический процесс торговли предусматривает взаимодействие с такой системой);

      6-1) ПС ЭТСТБ обеспечивает контроль денежных средств участника в ходе торгов под каждую выставленную заявку и заключенную сделку, в соответствии с размером биржевого обеспечения.

      10-1. ПС ЭТСТБ обеспечивается синхронизация системного времени информационной системы с централизованным источником эталонного сервера времени: time.windows.com.

      11. К аппаратному обеспечению ЭТСТБ предъявляются следующие требования:

      1) сервер и коммуникационное оборудование обеспечивают производительность, достаточную для обеспечения регламента работ, принятых на биржах, но не менее ста транзакций в секунду;

      2) масштабность – возможность обработки растущих объемов информации;

      3) для организации высоконадежных систем необходимо оснащение сервера дисковыми накопителями и источниками питания с "горячей заменой" (избыточным электропитанием);

      4) система вентиляции сервера с возможностью контроля температуры;

      5) электропитание сервера необходимо осуществлять через устройство бесперебойного питания со стабилизацией входного напряжения. При этом мощность устройства бесперебойного питания выбирается в зависимости от потребляемой сервером мощности и обеспечивает время работы от батарей не менее тридцати минут и нагруженность не более чем на семьдесят пять процентов номинальной мощности;

      6) на дисковых накопителях, а также внешних устройствах хранения данных обеспечивается резервирование информации;

      7) серверы оснащаются специализированной оперативной памятью с обнаружением и коррекцией ошибок;

      8) устойчивая и масштабная сетевая инфраструктура. Устойчивость сетей включает физическую избыточность, защищающую сеть от любых аппаратных отказов ("горячее" резервирование оборудования), использование протоколов агрегирования соединений для серверного оборудования.

      При удаленном подключении рабочих станций к ЭТСТБ через каналы общего пользования предусматривается резервирование каналов связи за счет не менее двух независимых провайдеров. При этом настраивается автоматическое межканальное переключение при отказе любого из резервных каналов связи.

      11-1. ЭТСТБ обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующих компонентов ЭТСТБ и ПС, в том числе обновлений безопасности.

      11-2. При наличии резервного центра во внутренних документах товарной биржи отражается:

      1) местонахождение резервного центра;

      2) перечень бизнес–процессов, технических, программных или других средств, обеспечивающих работу информационных систем, восстановление которых планируется в резервном центре;

      3) порядок восстановления работы ЭТСТБ в резервном центре;

      4) критерии, позволяющие принять решение о завершении работы в резервном центре, порядок принятия такого решения, а также порядок возврата в штатный режим функционирования в основном центре;

      5) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра.

      11-3. В целях проверки готовности процессов восстановления деятельности ЭТСТБ не менее одного раза в год проводится тестирование восстановления информационных систем в соответствии с планами восстановления (далее – план тестового восстановления).

      Тестирование по планам тестового восстановления проводится по разработанной и утвержденной внутренними документами товарной биржи, предусматривающей описание сценария возникновения нештатной ситуации, восстанавливаемых рабочих процессов и информационных систем, действий команды восстановления, требований по срокам и месту проведения работ.

      12. По ИБ ЭТСТБ предъявляются следующие требования:

      1) ЭТСТБ обеспечивается системой, включающей в себя комплекс организационно-технических мер и программно-аппаратных средств защиты информации;

      2) ЭТСТБ обеспечивает многоуровневую защиту данных, включающую в себя защиту данных от несанкционированного доступа – использование процедур аутентификации и идентификации пользователя при входе в систему, наличие процедур шифрования информации, многоуровневый доступ к данным, предусматривающий наличие нескольких типов пользователей в соответствии с их полномочиями, отсутствие возможности внесения изменений в данные ЭТСТБ;

      3) уполномоченным органом (советом директоров или правлением) товарной биржи утверждаются следующие внутренние нормативные документы, касающиеся ИБ ЭТСТБ: по вопросам защиты паролем и управления доступом к ЭТСТБ; физической безопасности ЭТСТБ; резервного копирования и восстановления данных ЭТСТБ; политики безопасности, направленной на своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением нормального функционирования ЭТСТБ;

      4) работа участников биржи в ЭТСТБ с использованием средств криптографической защиты информации, в том числе средств электронно-цифровой подписи, осуществляется в порядке, установленном законодательством. При этом для обмена информацией применяется единый для всех участников технологического процесса торгов алгоритм шифрования;"

      5) система обеспечения ИБ ПС ЭТСТБ реализовывается соответствующей политикой безопасности, обеспечивающей своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением их нормального функционирования;

      6) соединение с ЭТСТБ осуществляется по защищенным либо выделенным каналам связи.

      12-1. Товарная биржа в целях соответствия ЭТСТБ требованиям ИБ обеспечивает:

      1) наличие подразделения ИБ или должностного лица, ответственное за обеспечение ИБ или приобретение услуг в части обеспечения информационной безопасности;

      2) создание собственного оперативного центра ИБ и обеспечение его функционирования или приобретение услуг оперативного центра ИБ;

      3) наличие положительного акта испытаний на соответствие требованиям ИБ в соответствии с законодательством об информатизации;

      4) наличие технической документации ИБ.

      12-2. Для защиты внутренних данных ЭТСТБ применяются системы предотвращения утечки данных (DLP).

      При этом ЭТСТБ обеспечиваются:

      1) визуальное уведомление пользователя о проводимом контроле действий;

      2) размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.

      12-3. Для защиты ЭТСТБ используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды на сервере, рабочих станциях.

      Используемое антивирусное программное обеспечение соответствует следующим требованиям:

      1) обнаружение вирусов на основе известных сигнатур;

      2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

      3) сканирование сменных носителей при подключении;

      4) запуск сканирования и обновления антивирусной базы по расписанию;

      5) наличие централизованной консоли администрирования и мониторинга;

      6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

      7) защита внутренней и внешней сети средствами антивирусного обеспечения.

      12-4. Комплекс организационно-технических мер и программно-аппаратных средств защиты информации в ЭТСТБ от изменения, уничтожения, нарушения целостности и несанкционированного доступа обеспечиваются:

      - аутентификацией и авторизацией пользователей;

      - шифрованием данных, хранимых и передаваемых ЭТСТБ;

      - контролем доступа к информации, включающий управление правами доступа, мониторинга активности пользователей, разграничение доступа и другие методы;

      - защитой от вредоносных программ, включая использование антивирусных программ, межсетевых экранов, системы обнаружения вторжений и других мер;

      - регулярным резервированием информации баз данных, журналов системы, журналов инцидентов ИБ;

      - регулярным обновлением используемого программного обеспечения до актуальных версий;

      - аудитом ИБ, включая регулярные проверки и анализ уязвимостей;

      - мониторингом и анализом событий, включая использования систем логирования, мониторинга и уведомления;

      - управлением конфигурацией, включая контролем версий, обновлением программного обеспечения до актуальных версий и мер, которые обеспечивают корректность и стабильность работы системы ЭТСТБ.

      13. К размещению оборудования ЭТСТБ предъявляются следующие требования:

      1) оборудование ЭТСТБ размещается и монтируется в серверном помещении, отвечающем требованиям по наличию бесперебойного источника питания; наличию системы кондиционирования; серверы находятся в нежилом помещении; оборудование серверного помещения соединяется с главным электродом системы заземления здания кондуитом размером не менее 1,5 сантиметров; высота потолка серверного помещения составляет не менее 2,44 метра; система автоматического оповещения и пожаротушения; ограниченный доступ в серверное помещение, контроль доступа; наличие прошнурованного журнала проводимых работ в серверном помещении;

      2) электроснабжение серверного помещения обеспечивается электроприемниками I категории в соответствии с требованиями законодательства Республики Казахстан, регламентирующего правила устройства электроустановок.

      14. Организационно-технические требования к ЭТСТБ включают в себя следующие параметры:

      1) ЭТСТБ обеспечивает возможность работы по непрерывному циклу в течение двадцати четырех часов в сутки (в рабочие дни);

      2) каждый участник биржевых торгов имеет равные права и доступ к электронной торговой системе товарной биржи. Количество участников не ограничивается производительностью или аппаратно-программными характеристиками ЭТСТБ;

      3) при организации распределенной работы биржи (функционирование удаленных филиалов, обособленных брокерских мест, торговых площадок и другие) необходимы обеспечение надежными с необходимой пропускной способностью каналами связи для функционирования удаленных точек подключения к электронной системе биржевых торгов и равные условия торговли для участников торгов. При этом биржа не несет ответственность за работоспособность терминалов с техническими характеристиками и комплектацией, самостоятельно выбранных и используемых участниками торгов;

      4) при работе в режиме удаленного доступа биржа обеспечивает необходимое количество портов для подключения удаленных участников торгов и должностных лиц антимонопольного органа;

      5) уполномоченным органом (советом директоров или правлением) товарной биржи утверждается нормативный документ, определяющий условия, требования и технические характеристики при подключении к электронной торговой системе товарной биржи и работе в ней участников торгов и должностных лиц антимонопольного органа в режиме удаленного доступа;

      6) обслуживание ЭТСТБ осуществляется штатными сотрудниками, являющимися специалистами в данной области;

      7) технические центры товарной биржи оборудуются резервными каналами связи и резервным электропитанием, обеспечивающим бесперебойную работу торговых систем.