НАЦІОНАЛЬНА КОМІСІЯ З ЦІННИХ ПАПЕРІВ ТА ФОНДОВОГО РИНКУ
РІШЕННЯ
27.12.2013 N 2996
Зареєстровано
в Міністерстві юстиції України
21 січня 2014 р. за N 124/24901
Про затвердження Порядку обігу, зберігання та
знищення електронних документів, що використовуються
професійними учасниками депозитарної
системи України
Відповідно до частини третьої статті 27 Закону України "Про депозитарну систему України", пункту 38 частини другої статті 7, пунктів 13, 20 статті 8 Закону України "Про державне регулювання ринку цінних паперів в Україні", з метою встановлення загальних правил інформаційної діяльності професійних учасників депозитарної системи України з обігу (створення, оброблення, відправлення, передавання, одержання) електронних документів, їх зберігання та знищення електронних документів Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:
1. Затвердити Порядок обігу, зберігання та знищення електронних документів, що використовуються професійними учасниками депозитарної системи України, що додається.
2. Управлінню інформаційних технологій, зовнішніх та внутрішніх комунікацій (А. Заїка) забезпечити:
подання цього рішення для здійснення експертизи на відповідність Конвенції про захист прав людини і основоположних свобод до Секретаріату Урядового уповноваженого у справах Європейського суду з прав людини Міністерства юстиції України;
подання цього рішення на державну реєстрацію до Міністерства юстиції України;
опублікування цього рішення відповідно до вимог чинного законодавства.
3. Це рішення набирає чинності з дня офіційного опублікування.
4. Контроль за виконанням цього рішення покласти на члена Комісії М. Назарчука.
Голова Комісії Д. Тевелєв
Протокол засідання Комісії
від 27.12.2013 N 70
Затверджено
Рішення Національної комісії з цінних
паперів та фондового ринку
27.12.2013 N 2996
Зареєстровано
в Міністерстві юстиції України
21 січня 2014 р. за N 124/24901
Порядок
обігу, зберігання та знищення електронних документів,
що використовуються професійними учасниками
депозитарної системи України
І. Загальні положення
1. Цей Порядок розроблено відповідно до Законів України "Про депозитарну систему України", "Про інформацію", "Про електронні документи та електронний документообіг", "Про електронний цифровий підпис", "Про захист інформації в інформаційно-телекомунікаційних системах", Вимог до програмних продуктів на фондовому ринку, затверджених рішенням Національної комісії з цінних паперів та фондового ринку від 02 жовтня 2012 року N 1342, зареєстрованих в Міністерстві юстиції України 19 жовтня 2012 року за N 1760/22072, Положення про провадження депозитарної діяльності, затвердженого рішенням Національної комісії з цінних паперів та фондового ринку від 23 квітня 2013 року N 735, зареєстрованого в Міністерстві юстиції України 27 червня 2013 року за N 1084/23616 (далі - Положення про провадження депозитарної діяльності), наказу Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року N 1236/5/453 "Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису", зареєстрованого в Міністерстві юстиції України 20 серпня 2012 року за N 1398/21710.
2. Цей Порядок встановлює загальні правила інформаційної діяльності професійних учасників депозитарної системи України, пов’язаної з обігом (створення, оброблення, відправлення, передавання, одержання) електронних документів, їх зберіганням та знищенням (далі - інформаційна діяльність).
3. У цьому Порядку терміни вживаються у таких значеннях:
вид електронного документа - реквізит електронного документа, який визначає його зміст та спосіб обробки;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою;
прикладне програмне забезпечення - сукупність програмних продуктів (модулів), що забезпечують реалізацію функцій, які використовуються професійними учасниками депозитарної системи для оброблення та обігу електронних документів в обліково-розрахунковій інформаційно-телекомунікаційній системі обробки інформації Центрального депозитарію цінних паперів (далі - ІТС ЦД);
стан (статус) - реквізит електронного документа. Стан (статус) визначає етап (стадію) обробки електронного документа в ІТС ЦД.
Інші терміни у цьому Порядку вживаються у значеннях, наведених у законодавстві України, що регулює питання інформаційної діяльності.
4. У рамках здійснення своєї діяльності професійні учасники депозитарної системи України здійснюють інформаційну діяльність згідно із Законом України "Про інформацію".
5. Інформаційна діяльність професійних учасників депозитарної системи України здійснюється в рамках правовідносин між Центральним депозитарієм цінних паперів (далі - Центральний депозитарій) та депозитарними установами, права та обов’язки яких визначаються на договірних засадах з урахуванням вимог, встановлених нормативно-правовими актами Національної комісії з цінних паперів та фондового ринку (далі - НКЦПФР).
6. Для здійснення інформаційної діяльності професійні учасники депозитарної системи України використовують ІТС ЦД.
7. Функції з обігу (створення, оброблення, відправлення, передавання, одержання) електронних документів, їх зберігання та знищення виконуються професійними учасниками депозитарної системи України та реалізуються в програмному забезпеченні ІТС ЦД.
8. У ІТС ЦД повинен забезпечуватись захист інформації, яка в цій системі обробляється та зберігається, шляхом створення комплексної системи захисту інформації з підтвердженою відповідністю у встановленому законодавством України порядку.
ІІ. Електронні документи в ІТС ЦД
1. Електронний документ в ІТС ЦД складається з таких реквізитів (дані, зафіксовані в електронному документі для його ідентифікації, організації обігу):
1) службова частина;
2) змістовна частина;
3) електронний цифровий підпис.
2. Службова частина містить унікальний ідентифікатор електронного документа, а також відомості про:
1) дату та час створення;
2) автора (підписувача);
3) адресата;
4) стан (статус);
5) вид електронного документа.
3. Змістовна частина електронного документа залежить від його виду та містить відомості, на підставі яких виникають певні дії щодо змін у системі депозитарного обліку (вхідні електронні документи), результат виконання таких дій (вихідні електронні документи), а також такі, які носять інформативний характер (вхідні та вихідні електронні документи).
4. У процесі інформаційної діяльності професійних учасників депозитарної системи України можуть використовуватись електронні документи відповідно до вимог законодавства у сфері депозитарної діяльності, а також електронні документи, передбачені правовідносинами між професійними учасниками депозитарної системи України з урахуванням нормативно-правових актів НКЦПФР.
5. Електронний цифровий підпис (далі - ЕЦП) використовується для ідентифікації автора (підписувача) електронного документа іншими професійними учасниками депозитарної системи України, а також для забезпечення цілісності електронного документа.
6. Професійні учасники депозитарної системи України отримують послуги ЕЦП від акредитованого центру сертифікації ключів (далі - АЦСК).
ІІІ. Створення електронних документів в ІТС ЦД
1. Прикладне програмне забезпечення ІТС ЦД здійснює реалізацію ідентифікації користувача як автора електронного документа на всіх стадіях роботи з ним.
2. Змістовна частина електронного документа заповнюється автором електронного документа залежно від відомостей, на підставі яких створюється електронний документ.
3. Створення електронного документа в ІТС ЦД завершується його засвідченням ЕЦП особи, яка має повноваження вносити зміни в інформацію системи депозитарного обліку або отримувати чи надавати інформацію системи депозитарного обліку.
Під час засвідчення електронного документа ЕЦП передбачається здійснення запиту до АЦСК на отримання позначки часу.
4. Єдині уніфіковані правила (стандарти) відображення та передачі інформації у вигляді електронних документів, яка створюється із використанням прикладного програмного забезпечення ІТС ЦД, визначаються Центральним депозитарієм.
Створення електронного документа звершується накладанням ЕЦП з урахуванням вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року N 1236/5/453, зареєстрованим в Міністерстві юстиції України 20 серпня 2012 року за N 1398/21710.
5. Прикладне програмне забезпечення ІТС ЦД реалізує функцію створення паперової копії електронного документа. Паперова копія електронного документа засвідчується у встановленому законодавством порядку професійними учасниками депозитарної системи України.
IV. Відправлення, передавання та одержання
електронних документів
1. Функції обміну електронними документами (відправлення, передавання та одержання) реалізовані в прикладному програмному забезпеченні ІТС ЦД таким чином, щоб унеможливити відправлення електронного документа іншому суб’єкту інформаційної діяльності професійних учасників депозитарної системи України, крім визначеного в електронному документі.
2. Відправлення та одержання електронних документів в ІТС ЦД фіксуються в спеціальних інформаційних масивах (журналах, протоколах тощо).
3. Достовірність інформаційного обміну Центрального депозитарію та депозитарної установи забезпечується відповідністю відомостей в обох суб’єктів щодо відправлених та отриманих електронних документів, функціонуванням механізму перевірки відповідності та актуалізації таких відомостей, який є складовою прикладного програмного забезпечення ІТС ЦД.
4. Одержання електронного документа адресатом можливе лише за умови позитивного результату перевірки цілісності цього документа, а також позитивного результату перевірки ЕЦП автора електронного документа.
5. Передавання електронних документів відкритими каналами зв’язку здійснюється лише з використанням засобів криптографічного захисту інформації від несанкціонованого доступу.
6. Засоби криптографічного захисту інформації від несанкціонованого доступу, що використовуються для передавання електронних документів відкритими каналами зв’язку, повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
V. Оброблення
1. Функції оброблення електронних документів реалізовані в прикладному програмному забезпеченні ІТС ЦД.
2. Оброблення електронного документа в ІТС ЦД можливе лише в рамках операційного дня Центрального депозитарію або депозитарної установи.
3. Оброблення електронного документа в ІТС ЦД Центральним депозитарієм або депозитарною установою можливе лише за умови позитивного результату перевірки цього документа на цілісність, позитивного результату перевірки електронного цифрового підпису автора електронного документа.
Перевірка посиленого сертифіката відкритого ключа здійснюється формуванням запиту до АЦСК на отримання інформації про статус посиленого сертифіката відкритого ключа відповідно до Вимог до протоколу визначення статусу сертифіката, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року N 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за N 1403/21715.
4. Для оброблення електронного документа Центральним депозитарієм повторно перевіряються повноваження автора електронного документа на внесення змін у систему депозитарного обліку або отримання/надання інформації депозитарного обліку.
VI. Зберігання та знищення електронних документів
1. Зберігання електронних документів в ІТС ЦД здійснюється з використанням електронних носіїв даних.
2. Зберігання електронних документів в Центральному депозитарії та в депозитарній установі повинне забезпечувати захист інформації від втрати, бути організованим таким чином, щоб унеможливити втрату інформації системи депозитарного обліку, яка може виникнути через збої в програмних чи апаратних компонентах ІТС ЦД.
3. Зберігання електронних документів підтримується створенням резервних копій цих електронних документів (далі - резервні копії електронних документів) на електронних носіях даних.
Зберігання резервних копій електронних документів має здійснюватись окремо від зберігання оригіналів електронних документів.
4. Програмно-технічні засоби, які безпосередньо використовуються для створення, оброблення, відправлення, передавання, одержання, а також зберігання електронних документів, які містять інформацію системи депозитарного обліку, повинні забезпечувати резервування такої інформації.
5. Під час зберігання електронних документів необхідно дотримуватись таких вимог:
1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;
2) повинна зберігатися інформація у разі наявності, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.
6. Строк зберігання електронних документів, резервних копій електронних документів на електронних носіях даних повинен бути не меншим за строк зберігання аналогічних документів у паперовій формі, що встановлюється Положенням про провадження депозитарної діяльності та законодавством України.
7. Знищення електронних документів, резервних копій електронних документів здійснюється за рішенням керівника професійного учасника депозитарної системи України у разі, якщо сплив строк зберігання таких електронних документів.
8. Знищення електронних документів, резервних копій електронних документів здійснюється комісією працівників професійного учасника депозитарної системи України у кількості не менше трьох осіб.
Склад комісії затверджується відповідно до абзацу другого пункту 10 розділу ІІ Положення про провадження депозитарної діяльності.
Членами такої комісії є представники депозитарних підрозділів та підрозділу захисту інформації.
У разі відсутності в структурі професійного учасника депозитарної системи України підрозділу із захисту інформації дозволяється залучати працівників підрозділу інформаційних технологій.
9. Знищення електронних документів, резервних копій електронних документів фіксується в акті про знищення.
Невід’ємною частиною акта про знищення повинен бути реєстр знищених документів згідно з абзацом другим пункту 10 розділу ІІ Положення про провадження депозитарної діяльності.
Акт про знищення підписується всіма членами комісії зі знищення.
10. Знищення електронних документів, резервних копій електронних документів повинно здійснюватись у спосіб, що унеможливлює відновлення таких документів.
Начальник управління інформаційних технологій,
зовнішніх та внутрішніх комунікацій А. Заїка