Протокол засідання Комісії
від 05 жовтня 2021 р. № 47
ЗАТВЕРДЖЕНО
Рішення Національної комісії з цінних паперів та фондового ринку
05 жовтня 2021 року № 931
ПОРЯДОК
функціонування комплексної інформаційної системи Національної комісії з цінних паперів та фондового ринку
I. Загальні положення
1. Цей Порядок розроблено з метою забезпечення державного регулювання ринків капіталу та організованих товарних ринків з урахуванням сучасних тенденцій розвитку електронного урядування.
2. Терміни у цьому Порядку вживаються у значеннях, визначених Законами України “Про державне регулювання ринків капіталу та організованих товарних ринків”, “Про ринки капіталу та організовані товарні ринки”, “Про інформацію”, “Про електронні довірчі послуги”, “Про захист інформації в інформаційно-телекомунікаційних системах”, “Про доступ до публічної інформації”.
3. Комплексна інформаційна система (КІС) – інтегрована система, функціональність складових (підсистем) якої спрямована на забезпечення, зокрема, здійснення НКЦПФР нагляду за діяльністю учасників ринків капіталу та організованих товарних ринків, надання нею послуг (у тому числі електронних) фізичним та юридичним особам, пов’язаних із здійсненням державного регулювання ринків капіталу та організованих товарних ринків, а також розкриття інформації учасниками ринків капіталу та професійними учасниками організованих товарних ринків.
4. Технічний адміністратор КІС – державне підприємство, що належить до сфери управління НКЦПФР, з яким укладено договір про технічне, технологічне забезпечення функціонування КІС.
5. КІС повинна забезпечити оперативність отримання, достовірність та захист інформації, яка зберігається в КІС, а також надати можливості для досягнення прозорості та якісно нового рівня прийняття рішень в системі регулювання ринків капіталу та організованих товарних ринків.
6. КІС призначена автоматизувати ділові процеси та процеси управлінської діяльності посадових осіб і фахівців НКЦПФР, вдосконалити, підвищити продуктивність, оперативність підготовки і прийняття ними якісних та обґрунтованих рішень, виконувати наступні завдання:
- оперативне забезпечення доступу до достовірної інформації та матеріалів, що зберігаються в КІС, які можуть містити довідкову, аналітичну, прогнозну, рекомендаційну та іншу інформацію;
- на основі інформації, яка зберігається в КІС, надавати можливість формування звітів, що вміщують оперативну інформацію, яка надходить в КІС від учасників ринків, органів державної влади, засобів масової інформації, з інших джерел;
- проведення аналізу, прогнозування різних розрізів та аспектів функціонування ринків капіталу та організованих товарних ринків, результати яких подаються на розгляд посадовим особам НКЦПФР для прийняття рішень;
- надання якісних та прозорих адміністративних послуг в електронній формі;
- допомагати в формуванні та поетапній реалізації стратегії розвитку ринків капіталу та організованих товарних ринків, у формуванні висновків і пропозицій з цих питань;
- створення та впровадження інтегрованої системи обміну інформацією між державними органами з питань що стосуються функціонування та регулювання ринків капіталу та організованих товарних ринків;
- оптимізація управлінських і ділових процесів, посилення підзвітності і відповідальності за результати прийнятих рішень.
II. Засади створення КІС
1. КІС створюється як програмно-технічне рішення, яке складається з програмних, технічних компонентів, організаційного, технологічного забезпечення, яке відповідає функціональному призначенню відповідно до Закону України “Про державне регулювання ринків капіталу та організованих товарних ринків”.
2. НКЦПФР укладає з державним підприємством, що належить до сфери її управління, договір про технічне, технологічне забезпечення функціонування КІС, умови якого повинні містити, зокрема, обов’язок такого підприємства (Технічного адміністратора КІС) забезпечити збереження та захист даних, що містяться в КІС, здійснення заходів із створення, доопрацювання та супроводження програмного забезпечення КІС, електронних сервісів КІС, організацію доступу до КІС та проведення навчання роботі з КІС та надання консультативної допомоги.
III. Функціональне призначення КІС
1. Створення КІС повинно забезпечити підвищення якості прийняття рішень у сфері забезпечення діяльності НКЦПФР та розвитку ринків капіталу та професійних учасників організованих товарних ринків в Україні на основі комплексної обробки оперативних, аналітичних, нормативно-довідкових, експертних та статистичних даних, що зберігаються в КІС, отриманих з різних джерел, сумісності інформації за рахунок використання єдиних принципів побудови баз даних, єдиних класифікаторів та стандартів.
2. З боку учасників ринків капіталу та організованих товарних ринків КІС повинна забезпечити подання регламентованих даних та іншої інформації та документів з використанням кваліфікованих електронних довірчих послуг до НКЦПФР.
3. З боку НКЦПФР КІС повинна забезпечити:
- адміністрування функціонального ядра КІС та бізнес-процесів НКЦПФР;
- автоматизацію процесів надання адміністративних послуг;
- автоматизацію процесів формування та ведення реєстрів, ведення яких здійснює НКЦПФР;
- підвищення рівня автоматизації процесу планування перевірок, їх проведення, оброблення результатів та контролю проведення інспекційної діяльності НКЦПФР;
- завантаження даних, що надаються НКЦПФР іншими установами та державними органами з метою створення та впровадження системи обміну інформацією між органами, що здійснюють державний нагляд та контроль за функціонуванням ринку капіталів та організованих товарних ринків;
- автоматизацію процесів реєстрації та обробки регламентованих даних, іншої інформації та документів з використанням кваліфікованих електронних довірчих послуг;
- функціонування аналітичної підсистеми КІС;
- функціонування підсистем КІС які забезпечують відкритість та прозорість діяльності НКЦПФР, зокрема підсистем офіційного вебсайту НКЦПФР;
- інформаційно-аналітичну підтримку процесів контролю виконання управлінських рішень щодо державного регулювання у сфері протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, на основі формування і використання єдиного інформаційного простору, інформаційних ресурсів і сучасних технологій, із застосуванням сучасних засобів автоматизованого моніторингу та управління, підтримки прийняття рішень та електронного документообігу.
4. КІС повинна забезпечити можливість взаємодії між учасниками ринків капіталу, товарних спот-ринків та НКЦПФР за допомогою офіційних каналів зв’язку, якими вважаються засоби електронної пошти, адресу якої зазначено учасником ринків капіталу та професійним учасником організованих товарних ринків у документах, поданих до НКЦПФР, та засоби КІС, за допомогою яких НКЦПФР здійснює обмін документами та повідомленнями з такими учасниками. Засоби КІС, які забезпечують можливість взаємодії, встановлюються документами нормативно-технічного характеру НКЦПФР, зокрема це засоби офіційної електронної пошти НКЦПФР, засоби вебзастосунків, виділені канали зв’язку, засоби систем інформаційної взаємодії, зокрема документообігу, які впроваджено в Україні, як обов’язкові для використання органами державної влади, тощо.
IV. Структура КІС
1. Загальна структура КІС побудована на основі окремих її модулів (компонентів), що інтегровані в єдине середовище для взаємодії та обміну інформацією.
2. Функціонування, структура та взаємозв’язки окремих модулів (компонентів) КІС визначаються основними принципами існуючої системи державного регулювання ринків капіталу та організованих товарних ринків.
3. Забезпечення роботи КІС здійснюється апаратними засобами та програмним забезпеченням КІС та інфраструктурою його технічної підтримки і функціонування.
4. КІС є інтегрованою системою у складі таких основних підсистем:
- адміністрування інфраструктури фондового ринку;
- комплексний реєстр інфраструктури;
- надання адміністративних послуг в електронній формі;
- офіційний вебсайт НКЦПФР;
- підсистема нагляду за ринком (моніторинг, аналіз, пруденційний нагляд);
- система розкриття інформації;
- система електронного документообігу;
- автоматизації процесів адміністрування.
5. Структура КІС може змінюватися шляхом внесення змін до цього Порядку у зв’язку зі змінами законодавства щодо вимог до роботи інформаційно-телекомунікаційних систем, змін у галузевому законодавстві, яке є підставою для розробки та впровадження нових підсистем, встановленням додаткових модулів (компонентів) для одержання, обробки і формування інформації тощо.
V. Права та обов’язки Технічного адміністратора та користувачів КІС
1. Технічний адміністратор КІС має право:
- визначати порядок доступу користувачів до КІС та її сервісів;
- одержувати, обробляти, зберігати, аналізувати інформацію, яка міститься у базах даних КІС;
- укладати угоди із суб’єктами господарювання, які забезпечують розвиток, модернізацію, технічне обслуговування та підтримку функціонування КІС;
- контролювати зміст та стан технічної інформації, що надається в КІС щодо забезпечення її повноти, актуальності та достовірності;
- обмежувати користувачам доступ до КІС за порушення порядку доступу до неї.
2. Технічний адміністратор КІС зобов’язаний:
- забезпечувати можливість доступу користувачів до КІС відповідно до прав доступу;
- здійснювати технічну підтримку та методичний супровід користувачів КІС;
- приймати участь у визначенні умов та механізмів захисту інформації, що міститься в КІС, у тому числі персональних даних, та забезпечувати дотримання вимог щодо захисту інформації.
3. Користувачі КІС мають право на доступ:
- до КІС у порядку, визначеному Технічним адміністратором КІС та погодженим НКЦПФР;
- до інформації, що міститься в КІС, з урахуванням обмежень, визначених законодавством.
4. Користувачі КІС зобов’язані:
- визначати відповідальних осіб за роботу з КІС, якщо доступ визначено для юридичних осіб;
- використовувати КІС відповідно до законодавства;
- не використовувати отриману з КІС інформацію з метою заподіяння шкоди юридичним та фізичним особам, державним органам та установам;
- дотримуватись порядку доступу до КІС, визначеному Технічним адміністратором КІС.
VI. Порядок функціонування КІС
1. Функціонування КІС забезпечується виконанням організаційно-технічних заходів, які здійснюються НКЦПФР та Технічним адміністратором КІС.
2. НКЦПФР спільно з Технічним адміністратором КІС розробляється комплекс загальносистемних, функціональних, організаційних, технічних заходів щодо:
- визначення вимог до КІС;
- архітектури КІС та опису її структурних елементів;
- визначення інформаційних потоків КІС, класифікації інформації, що обробляється, визначення рівнів доступу;
- розроблення специфікації на програмно-апаратне забезпечення КІС;
- здійснення інсталяції та налагодження прикладного програмного забезпечення;
- розроблення та затвердження документів нормативно-технічного характеру щодо забезпечення функціонування КІС;
- дотримання принципів створення уніфікованої програмно-технічної платформи та телекомунікаційного середовища КІС;
- забезпечення проведення регламентного обслуговування технічних, мережевих та телекомунікаційних засобів, що складають КІС;
- забезпечення заходів з організації безперервного живлення засобів технічної платформи та телекомунікаційного середовища КІС;
- забезпечення підтримки працездатності програмного забезпечення КІС, проведення заходів, спрямованих на забезпечення вимог щодо захисту інформації, виконання резервного копіювання програмного забезпечення та конфігураційних файлів КІС, баз даних та інформаційних масивів;
- забезпечення підтримки цілісності інформаційного забезпечення КІС та працездатності системи, відновлення у разі збоїв, запобігання несанкціонованому доступу.
3. Технічним адміністратором КІС розробляються та погоджуються НКЦПФР технічні регламенти функціонування КІС як комплексної інтегрованої системи, окремо по кожній складовій підсистемі та щодо інформаційної взаємодії автоматизованих робочих місць КІС.
VII. Порядок доступу до КІС та інформаційних ресурсів
1. Користувачами КІС є НКЦПФР, державні органи та установи, з якими укладено меморандуми про інформаційну взаємодію в межах чинного законодавства, Технічний адміністратор КІС, учасники ринків капіталу та професійні учасники організованих товарних ринків, інші учасники системи інформаційної взаємодії.
2. Користувачі мають доступ до КІС, її сервісів та інформаційних ресурсів, відповідно до прав доступу, визначених для кожної категорії користувачів та типу інформації (відкрита, регульована інформація на ринках капіталу та організованих товарних ринках, службова інформація, технологічна інформація, інформація з обмеженим доступом тощо) з урахуванням вимог законодавства про доступ до публічної інформації, про захист персональних даних та про захист інформації в інформаційно-телекомунікаційних системах.
Переліки інформації, що обробляється в підсистемах КІС, визначаються окремими нормативно-правовими актами Комісії.
3. Технічний адміністратор має право встановлювати обмежувальні заходи для користувачів щодо яких є обґрунтовані підстави вважати що вони порушують правила функціонування КІС, правила користування інформаційними ресурсами та сервісами, створюють підстави для працездатності КІС або окремих підсистем.
4. Доступ користувачів до КІС здійснюється відповідно до визначених для кожного ресурсу та сервісу прав доступу. Доступ учасників ринків капіталу та професійних учасників організованих товарних ринків до КІС здійснюється на безоплатній основі.
VIII. Вимоги інформаційної безпеки
1. КІС повинна забезпечувати належний ступінь захисту інформації відповідно до законодавства України.
2. До функцій захисту КІС належать:
- забезпечення цілісності інформаційних ресурсів (зокрема – державних) КІС;
- забезпечення заданих рівнів доступності інформаційних ресурсів та підсистем КІС;
- захист інформації з обмеженим доступом (зокрема – публічної), що зберігається КІС, від несанкціонованих дій та (або) несанкціонованого поширення (розголошення).
3. Захист КІС повинен забезпечуватись на всіх технологічних етапах обробки інформації та у всіх режимах функціонування, в тому числі при проведенні ремонтних (регламентних робіт).
4. Програмно-технічні засоби захисту не повинні суттєво погіршувати основні функціональні характеристики КІС (надійність, швидкодія, можливість зміни конфігурації).
5. Розгалуження прав доступу користувачів та адміністраторів КІС повинно будуватись за принципом “що не дозволено, то заборонено”.
6. Має бути забезпечена ізоляція (відокремлення на різні сервери):
- програмного забезпечення та баз даних щодо яких встановлено відповідно до законодавства різні режими доступу;
- програмного забезпечення вебсайту, безпосередньо задіяного в обробці запитів користувачів, від програмного забезпечення, що здійснює безпосередній доступ до баз даних та документів, на підставі яких формуються дані для користувача;
- програмного забезпечення вебсайту, що здійснює формування та передавання даних користувачам, від програмного забезпечення вебсайту, яке забезпечує виконання функцій адміністраторів та користувачів НКЦПФР;
- баз даних, які безпосередньо використовуються в момент і для цілей надання інформації зовнішнім користувачам від баз даних, в яких міститься (створюється, зберігається) оригінальна інформація.
7. КІС має базуватися на єдиному (інтегрованому) інформаційному масиві даних та має охоплювати всі ділові процеси та інформаційні потоки в НКЦПФР.
8. КІС має будуватись на архітектурі системи управління базами даних, що включає три рівні (трирівнева архітектура):
- внутрішній рівень – рівень єдиної бази даних, який забезпечує зберігання даних, безпосередній доступ до них, їх безпеку та цілісність;
- середній рівень – рівень серверів прикладних завдань, який забезпечує: функціональність підсистем; взаємодію прикладних програмних засобів з інформацією єдиної бази даних без надання таким програмним засобам безпосереднього доступу до бази даних; захисту даних на рівні обмежень та контролю доступу; автоматичне протоколювання (ведення автоматичних журналів) процесів доступу до інформації; забезпечення автоматичного балансування навантажень;
- зовнішній рівень – рівень прикладних програмних засобів “тонких клієнтів”, який забезпечує інтерфейс взаємодії різних груп користувачів з підсистемами за допомогою вебзастосунків, мобільних застосунків, спеціалізованих прикладних програмних засобів.
Трирівнева архітектура дозволить забезпечити належний рівень безпеки, можливості масштабування системи, можливості створення нових прикладних програмних засобів незалежно і без впливу на особливості засобів зберігання.
Директор департаменту
інформаційних технологій
Андрій ЗАЇКА