-
О НАУФОР
- Краткая информация
- Членство
- Организационная структура
- Контрольная деятельность
- Советы/Комитеты/Рабочие группы
- Внутренние документы
- Контакты и реквизиты
- Региональная сеть
- Публикации
- About NAUFOR
- Фонд целевого капитала НАУФОР
Стандарты- Для брокеров, дилеров, управляющих, депозитариев
- Для инвестиционных советников
- Для регистраторов
- Для управляющих компаний ПИФ
- Для специализированных депозитариев
- Обзоры контрольных практик НАУФОР за соблюдением стандартов
- Стандартная документация для срочных сделок на финансовых рынках
Информационные материалы- Документы НАУФОР по вопросам деятельности на рынке ценных бумаг
- Регулирование
- Третейское разбирательство в РСПП
- Видеоматериалы
- Эмитентам - МСП
- Цифровой профиль
- СБП
Аттестация и обучениеМероприятия- Конференции
- Общие собрания членов НАУФОР
- Знатоки фондового рынка
- Элита фондового рынка
- Клуб выпускников НАУФОР
Взаимодействие регистраторов с разработчиками программного обеспечения
Предыдущие версииРазъясненияРекомендацииВнутренний стандарт НАУФОРВзаимодействие регистраторов с разработчиками программного обеспеченияУтвержден решением Совета директоров НАУФОР 8 апреля 2025 года
Вступил в силу с 9 октября 20251. Общие положения1.1. Настоящий Внутренний стандарт «Взаимодействия регистраторов с разработчиками программного обеспечения» (далее – Внутренний стандарт) устанавливает требования к организациям – членам НАУФОР, осуществляющим деятельность по ведению реестра владельцев ценных бумаг, при их взаимодействии с разработчиками программного обеспечения, используемого при осуществлении профессиональной деятельности, (далее - Поставщик). 1.2. Внутренний стандарт подлежит изменению при изменении требований законодательства и нормативных актов Банка России, Базовых стандартов , регулирующих сферу действия Внутреннего стандарта. 1.3. До момента внесения соответствующих изменений Внутренний стандарт действует в части, не противоречащей действующим на дату применения Внутреннего стандарта законодательству, нормативным актам Банка России и Базовым стандартам. 1.4. Внутренний стандарт является обязательным для применения всеми членами НАУФОР, осуществляющими деятельность по ведению реестра владельцев ценных бумаг (далее – Регистратор), и распространяется на заключение новых договоров с Поставщиком и перезаключение (пролонгацию) ранее заключенных договоров. 1.5. Требования Внутреннего стандарта действуют в отношении следующих видов программного обеспечения (далее – ПО, Программное обеспечение):
- прикладное Программное обеспечение автоматизированных систем и приложений, распространяемых Регистраторами своим клиентам для совершения действий в целях осуществления финансовых операций (в том числе, мобильные приложения, личные кабинеты акционеров);
- Программное обеспечение, обрабатывающее информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», в том числе ПО, используемое для ведения реестра владельцев ценных бумаг1.6. Внутренний стандарт вступает в силу по истечении 6 месяцев с даты его утверждения Советом директоров НАУФОР. 2. Договор на поставку и сопровождение Программного обеспечения. Регистратор обязан предпринять меры для включения в договор на поставку и сопровождение Программного обеспечения (далее – Договор):2.1. требований к уровню и качеству предоставления услуг с учетом требований по обеспечению информационной безопасности и защите конфиденциальной информации, в том числе подтверждение того, что Поставщик: 2.1.1. реализует внутренние процедуры по управлению рисками информационной безопасности; 2.1.2. реализует технические и организационные мероприятия по защите и управлению доступом к исходным кодам и инфраструктуре разработки ПО; 2.1.3. реализует технические и организационные мероприятия по защите и управлению доступом к Программному обеспечению и инфраструктуре тестирования ПО; 2.1.4. обеспечивает архивирование и резервирование исходных кодов Программного обеспечения, компонентов и конфигурации инфраструктуры разработки и тестирования Программного обеспечения; 2.1.5. реализует технические и организационные мероприятия по проверке исходных кодов на наличие уязвимостей. 2.2. требований к созданию условий непрерывности предоставления услуг (требования к Service Level Agreement, SLA) и к инструментам по мониторингу этого уровня, в том числе: 2.2.1. порядок определения уровня критичности возникшей проблемы при эксплуатации ПО и сроков ее решения Поставщиком. 2.3. требований об обязательном информировании Регистратора в течение предусмотренного Договором времени после выявления ошибок (уязвимостей) поставленного (разработанного) Программного обеспечения, а также о мерах, принятых Поставщиком для их устранения, и мероприятиях, которые необходимо выполнить Регистратору при эксплуатации ПО. 2.4. требований о соблюдении конфиденциальности информации при взаимодействии с Поставщиком, в том числе: 2.4.1. условие о том, что под конфиденциальной информацией понимается любая информация, непосредственно связанная с основной деятельностью Регистратора как профессионального участника рынка ценных бумаг, передаваемая сторонами друг другу в рамках исполнения обязательств по Договору, в том числе посредством включения такой информации в информацию о произошедших сбоях в работе ПО или возникших ошибках; 2.4.2. условие о том, что полученная конфиденциальная информация может быть использована только для целей, указанных в Договоре, и для исполнения условий Договора. 3. Анализ поставщика программного обеспечения3.1. При выборе Поставщика для последующего заключения и (или) продления с ним договора о поставке (разработке) программного обеспечения и (или) технической поддержки поставляемого программного обеспечения Регистратору следует запрашивать у Поставщика или иным образом получать информацию, необходимую для анализа наличия ресурсов, компетенций, разрешений (лицензий) у такого Поставщика, а также информацию для оценки возможных рисков такого Поставщика. Указанная информация должна учитываться при выборе Регистратором соответствующего Поставщика и последующем заключении с ним Договора. К такой информации, в том числе, относится информация: 3.1.1. о наличии у Поставщика персонала, необходимого для разработки и сопровождения Программного обеспечения по Договору, имеющего соответствующую квалификацию; 3.1.2. о наличии у Поставщика лицензии ФСБ для выполнения работ, связанных с использованием криптографических средств защиты информации в ПО, или обязанности Поставщика привлечь лиц, имеющих необходимые лицензии/ разрешения для выполнения указанных работ;
Регистратор должен получить от Поставщика подтверждение о наличии процедур управления рисками полной или частичной невозможности исполнения своих обязательств по Договору, в том числе, включая, но не ограничиваясь, в связи с утратой квалифицированных кадров, утратой исходных кодов Программного обеспечения, внедрением вредоносного программного обеспечения в ПО;3.1.3. о применении иностранного Программного обеспечения или Программного обеспечения, не включенного в Единый реестр российского программного обеспечения; 3.1.4. о графике, порядке перехода на использование Программного обеспечения, включенного в Единый реестр российского программного обеспечения. 3.2. Регистратор, реализующий усиленный и стандартный уровни защиты информации , обязан, а Регистратору, реализующему минимальный уровень защиты информации, рекомендуется провести анализ (получить результат анализа) на соответствие требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013 . Анализ на соответствие требованиям к ОУД не проводится в случае сертификации Программного обеспечения в системе сертификации Федеральной службы по техническому и экспортному контролю. 3.3. Основываясь на информации, полученной в соответствии с пунктом 3.1 Внутреннего стандарта, но ограничиваясь ей, Регистратор должен идентифицировать риск невозможности предоставления услуг по технической поддержке поставляемого Программного обеспечения Поставщиком Регистратору как риск, который может привести к невозможности непрерывного осуществления дальнейшей деятельности профессионального участника .
