В соответствии с пунктом 4 статьи 45 , подпунктом 2) пункта 1 статьи 48 Закона Республики Казахстан "О рынке ценных бумаг" и подпунктом 10) статьи 12 Закона Республики Казахстан "О государственном регулировании и надзоре финансового рынка и финансовых организаций", Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемую Инструкцию о требованиях к программно-техническим средствам, необходимым для осуществления деятельности на рынке ценных бумаг.
2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции.
3. Департаменту надзора за субъектами рынка ценных бумаг и накопительными пенсионными фондами (Токобаев Н.Т.):
1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
2) в десятидневный срок со дня принятия настоящего постановления довести его до сведения заинтересованных подразделений Агентства, Объединения юридических лиц "Ассоциация финансистов Казахстана", Объединения юридических лиц "Ассоциация управляющих активами", Объединения юридических лиц "Казахстанская ассоциация реестродержателей".
4. Профессиональным участникам рынка ценных бумаг в срок до 1 января 2006 года привести свое программно-техническое обеспечение в соответствии с настоящим постановлением.
5. Отделу международных отношений и связей с общественностью
(Пернебаев Т.Ш.) принять меры к публикации настоящего постановления
в средствах массовой информации Республики Казахстан.
6. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Бахмутову Е.Л.
Председатель
Утверждена
постановлением Правления Агентства
Республики Казахстан по регулированию и
надзору финансового рынка и
финансовых организаций
от 19 апреля 2005 года N 132
Инструкция о требованиях к программно-техническим
средствам, необходимым для осуществления деятельности
на рынке ценных бумаг
Глава 1. Общие положения
Настоящая Инструкция определяет требования к программно-техническим средствам (далее - программное обеспечение) и организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся у профессиональных участников рынка ценных бумаг.
1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при:
полном или частичном отключении электропитания на любом участке программного обеспечения в любое время;
аварии сетей, телекоммуникаций, разрыве установленных физических и виртуальных соединений на любом этапе выполнения операции обмена данными;
полном или частичном отказе любых вычислительных средств программного обеспечения в процессе выполнения любой функции программного обеспечения;
попытке несанкционированного доступа к информации программного обеспечения;
2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении. Программное обеспечение должно предусматривать, как минимум, два уровня доступа: администратор и пользователь;
3) контроль полноты вводимых данных (в случае выполнения функций или операции без полного заполнения всех полей программа должна выдавать соответствующее уведомление);
4) поиск информации по индивидуальному запросу и по любым критериям с сохранением запроса, а также сортировку информации по любым параметрам и возможность просмотра информации за предыдущие даты;
5) обработку и хранение информации по датам без сокращений;
6) формирование форм отчетов, установленных уполномоченным органом по регулированию и надзору финансового рынка и финансовых организаций, отчетов по конкретному клиенту профессионального участника рынка ценных бумаг, а также получение справки для всех видов зарегистрированных лиц;
7) ведение журналов системы внутреннего учета профессиональных участников рынка ценных бумаг, предусмотренных законодательством Республики Казахстан и их внутренними документами. Должна быть предусмотрена возможность формирования журнала как полностью, так и частично (на указанный диапазон дат, определенную дату, для конкретного зарегистрированного лица, для конкретного статуса входящего документа);
8) возможность архивации (восстановление данных из архива);
9) возможность вывода выходных документов на экран, принтер или в файл.
2. Для организаций, обладающих лицензией на осуществление брокерско-дилерской деятельности с правом ведения счетов клиентов в качестве номинального держателя, деятельности по ведению системы реестров держателей ценных бумаг, кастодиальной деятельности, программное обеспечение в дополнение к требованиям, предусмотренным пунктом 1 настоящей Инструкции, должно обеспечивать:
1) учет активов клиентов, переданных в номинальное держание (финансовых инструментов, денег, начисленного и полученного вознаграждения) и ведение персонального учета активов клиента, всех операций по его счету, возможность анализа истории операций по лицевому счету;
2) проведение следующих операций:
открытие лицевого счета;
изменение сведений о зарегистрированном лице, паевом инвестиционном фонде или об управляющей компании паевого инвестиционного фонда;
зачисление или снятие ценных бумаг;
обременение ценных бумаг и снятие обременения;
блокирование ценных бумаг и снятие блокирования ценных бумаг;
операции "репо";
аннулирование выпуска акций и погашение ценных бумаг;
закрытие лицевого счета;
выдача выписки с лицевого счета;
подготовка и выдача отчетов, уведомлений и справок;
других операций, предусмотренные внутренними документами профессионального участника рынка ценных бумаг;
3) при изменении фамилии, имени, отчества или полного наименования зарегистрированного лица сохранность изменяемых данных и поиск зарегистрированного лица по прежним данным;
4) сохранность информации по всем операциям, проведенным по лицевому счету за весь период.
3. Сохранность информации должна обеспечиваться путем периодического сохранения резервной копии базы данных и системного журнала транзакций на дополнительном сервере.
4. Для каждого пользователя программного обеспечения должен быть предусмотрен вход по индивидуальному паролю. Для уровня доступа "администратор" должна быть реализована возможность изменения паролей. В программном обеспечении не должно быть возможности доступа к входным данным, функциям, операциям, отчетам без ввода соответствующего пароля.
5. Защита информации должна обеспечиваться следующими основными функциями уровня доступа "администратор":
1) определение групп пользователей, разделение их на категории по выполняемым функциям и установление им уровней доступа к информации, смена паролей;
2) блокирование доступа пользователей к данным и функциям программного обеспечения;
3) настройка параметров функционирования программного обеспечения;
4) просмотр подключенных к базе данных программного обеспечения пользователей;
5) открытие/закрытие операционного дня;
6) отключение пользователей от базы данных программного обеспечения в случае необходимости;
7) смена рабочей даты;
8) создание архивных и резервных копий на съемных носителях данных долговременного хранения.
6. Основными функциями уровня доступа "пользователь" являются:
1) смена пользователем собственного пароля;
2) периодическое обновление справочной информации в базе данных программного обеспечения;
3) ввод данных в программное обеспечение;
4) проведение в программном обеспечении определенных операций с ценными бумагами;
5) формирование отчетных/выходных форм;
6) сохранение необходимой информации;
7) печать отчетов и выходных документов.
7. В зависимости от специфики деятельности профессиональных участников рынка ценных бумаг для уровня доступа "администратор" и "пользователь" могут быть предусмотрены дополнительные функции.
8. В программном обеспечении (независимо от уровня доступа) не допускается:
1) содержание средств, позволяющих исполнить определенные функции и операции с нарушением установленного порядка их выполнения;
2) иметь функции, позволяющие напрямую вносить изменения в данные сформированных выходных документов;
3) изменение/удаление данных о проведенных операциях и о состоянии лицевых счетов, за исключением специально предназначенных для этого операций (функций).
9. При выполнении операций программное обеспечение должно выдавать уведомление, при наступлении следующих условий:
1) количество ценных бумаг, подлежащих списанию с лицевого счета, превышает количество ценных бумаг на счету;
2) ценные бумаги, подлежащие списанию, обременены или блокированы. Уведомление должно содержать ссылку на лицевой счет и раздел залогодержателя;
3) списываемые ценные бумаги, учитываемые на лицевом счету, находятся в общей собственности нескольких лиц;
4) лицевой счет, с которого списываются ценные бумаги, блокирован.
10. При исправлении ошибки, в поле "комментарий" ошибочной записи регистрационного журнала записывается текст "ошибка" (в случае, если возможно исправление записи об ошибочной операции) и указывается номер записи регистрационного журнала об операции, предназначенной для исправления ошибки.
11. В программном обеспечении могут быть предусмотрены дополнительные данные, функции и отчеты. Выполнение дополнительных функций не должно приводить к нарушению законодательства Республики Казахстан.
12. Программное обеспечение профессиональных участников рынка ценных бумаг сертифицируется в соответствии с законодательством Республики Казахстан.
13. На рабочем месте пользователя в обязательном порядке должно быть установлено антивирусное программное обеспечение с регулярно обновляемой антивирусной базой.
14. На персональном компьютере пользователя, используемом для проведения операций, запрещается установка программных средств, не предназначенных для решения задач по подготовке, обработке, передаче или ведению электронных документов.
15. Одному системному имени пользователя, по которому идентифицируется пользователь при входе в программную среду, должно соответствовать одно физическое лицо.
16. Системный блок персонального компьютера пользователя должен быть опечатан или опломбирован ответственным лицом профессионального участника рынка ценных бумаг. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.
17. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другие), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам.