|
|
|
ПРОЕКТ от "16 "
апреля 2004г. |
НЕГОСУДАРСТВЕННОЕ
ПЕНСИОННОЕ ОБЕСПЕЧЕНИЕ
ТРЕБОВАНИЯ К
ПРОГРАММНЫМ СРЕДСТВАМ, ПРИМЕНЯЕМЫМ В негосударственных пенсионных фондах
Москва 2004
1. РАЗРАБОТАН: Рабочей группой №9 Экспертного совета Инспекции НПФ при Минтруда РФ
2. ВНЕСЕН: Членом Экспертного Совета Недбаем А.А.
3. ПРИНЯТ: Экспертным советом Инспекции НПФ при Минтруде РФ
4. ВВЕДЕН ВПЕРВЫЕ
Содержание
4. требования к характеристикам,
свойствам и документации на программное средство
5. Общие требования к структуре
пенсионных счетов
6. Общие требования к формированию
отчетов
7. Общие требования по защите
конфиденциальной информации
1.1. Настоящий руководящий документ устанавливает общие требования к программным средствам, предназначенным для использования в информационных технологиях обработки информации в негосударственных пенсионных фондах в рамках негосударственного пенсионного обеспечения.
1.2. Руководящий документ определяет состав и назначение общих требований:
§ к характеристикам, свойствам и документации на программное обеспечение;
§ к структуре пенсионных счетов;
§ к составу, структуре и содержанию выходных документов;
§ по защите конфиденциальной информации;
1.3. Требования документа распространяются на однопользовательские и многопользовательские программные средства, предназначенные для сбора, хранения, обработки и защиты информации (от несанкционированного доступа, воздействия) в негосударственных пенсионных фондах.
1.4. Руководящий документ должен использоваться совместно с документами:
§ Федеральный закон «О негосударственных пенсионных фондах»;
1.5. Руководящий документ предлагается использовать:
§ Уполномоченным федеральным органом при проведении работ, связанных с проведением инспекционных проверок;
§ Негосударственными пенсионными фондами при формулировании требований (технических заданий) к применяемым (разрабатываемым) программным средствам;
§
Негосударственными пенсионными фондами при
разработке внутренних правил и регламентов по сбору, обработке и хранению информации
по пенсионным договорам;
§ Разработчиками программных средств для негосударственных пенсионных фондов.
В настоящем документе использованы ссылки на следующие федеральные законы, стандарты и руководящие документы:
· Федеральный закон от 7 мая 1998 года № 75-ФЗ «О негосударственных пенсионных фондах»;
· ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
· ГОСТ Р 28806-90 «Качество программных средств. Термины и определения».
· ГОСТ Р 51275-99 «Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
· РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения», 1992 г.
· РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г.
3.1. В руководящем документе приняты следующие термины с соответствующими определениями:
|
Термин |
Источник |
Определение |
|
Адаптируемость программного
средства |
ГОСТ 28806‑90 |
Совокупность свойств программного средства, характеризующая возможности
его адаптации для функционирования в различных заданных средах без приложения
действий или средств, дополнительных по отношению к тем, которыми для этой цели обеспечено само
рассматриваемое программное средство |
|
Адекватность программного
средства |
ГОСТ 28806‑90 |
Совокупность свойств программного средства, характеризующая наличие и
степень достаточности обеспечиваемых им функции для решения задач в
соответствии с его назначением |
|
Безопасность информации |
РД Гостехкомиссии РФ.
«Защита от НСД. Термины и определения» |
Состояние защищенности
информации, обрабатываемой средствами вычислительной техники или автоматизированной
системы, от внутренних или внешних угроз |
|
Вкладчик |
ФЗ «О негосударственных
пенсионных фондах» |
физическое или юридическое
лицо, являющееся стороной пенсионного договора и уплачивающее пенсионные
взносы в фонд |
|
Возврат
пенсии |
Новый |
Операция,
сторнирующая операцию выплаты пенсии. Суммы пенсий вернувшиеся на р/с фонда в связи с невозможностью их зачисления на лицевой
счет в банке по реквизитам Участника. Одновременно увеличивается размер
обязательств фонда перед участником по выплатам пенсий за прошедшие периоды
времени |
|
Восстанавливаемость
программного средства |
ГОСТ 28806‑90 |
Совокупность свойств программного средства, характеризующая возможность
осуществления, трудоемкость и продолжительность действий по восстановлению
им своего уровня пригодности, а также непосредственно подвергшихся воздействию
данных, в случае отказа |
|
Выкупная сумма |
ФЗ «О негосударственных
пенсионных фондах» |
Денежные средства,
выплачиваемые фондом вкладчику или участнику либо переводимые в другой фонд
при расторжении пенсионного договора |
|
Выплата
пенсии |
Новый |
Операция
списания с расчётного счёта фонда суммы негосударственной пенсии и перечисления
её на расчетный счет (выдачи через кассу фонда) участнику |
|
Договор негосударственного
пенсионного обеспечения (пенсионный договор) |
ФЗ «О негосударственных
пенсионных фондах» |
Соглашение между фондом и
вкладчиком фонда, в соответствии с которым вкладчик обязуется уплачивать пенсионные
взносы в фонд, а фонд обязуется выплачивать участнику (участникам) фонда
негосударственную пенсию |
|
Доходы от инвестирования средств пенсионных
накоплений |
ФЗ «О негосударственных
пенсионных фондах» |
Дивиденды и проценты (доход)
по ценным бумагам, а также по банковским депозитам, другие виды доходов от
операций по инвестированию средств пенсионных накоплений, чистый финансовый
результат от реализации активов и чистый финансовый результат, отражающий
изменение рыночной стоимости инвестиционного портфеля за счет переоценки на отчетную
дату |
|
Закрытие
пенсионного счета |
Новый |
Прекращение
учетных операций по пенсионному счету в
связи с выполнением обязательств фонда, либо в связи с расторжением
пенсионного договора |
|
Зачисление
пенсионного взноса |
Новый |
Учетная
операция, отражающая поступление пенсионного взноса на расчетный счет (в
кассу) фонда и соответствующее изменение обязательств фонда перед Вкладчиком,
в соответствии с заключенным пенсионным договором |
|
Информационная технология |
ГОСТ 34.003‑90 (Приложение 1) |
Приемы, способы и методы применения средств
вычислительной техники, программного обеспечения при выполнении функций
сбора, хранения, обработки, передачи и использования данных |
|
Конфиденциальная
информация |
ФЗ «Об
информации, информатизации и защите информации» |
Документированная
информация, доступ к которой ограничивается в соответствии с
законодательством Российской Федерации |
|
Начисление
пенсии |
Новый |
Формирование
размера обязательств фонда перед участником по выплате пенсии за прошедшие
периоды времени. |
|
Негосударственная
пенсия |
ФЗ «О
негосударственных пенсионных фондах» |
Денежные
средства, регулярно выплачиваемые участнику в соответствии с условиями
пенсионного договора |
|
Негосударственный пенсионный
фонд |
ФЗ «О негосударственных
пенсионных фондах» |
Особая организационно -
правовая форма некоммерческой организации социального обеспечения, исключительными
видами деятельности которой являются: § деятельность по негосударственному пенсионному
обеспечению участников фонда в соответствии с договорами негосударственного
пенсионного обеспечения; § деятельность в качестве страховщика по обязательному
пенсионному страхованию в соответствии с Федеральным законом от 15 декабря
2001 г. N 167-ФЗ «Об обязательном пенсионном страховании в Российской
Федерации» и договорами об обязательном пенсионном страховании; § деятельность в качестве страховщика по
профессиональному пенсионному страхованию в соответствии с федеральным
законом и договорами о создании профессиональных пенсионных систем |
|
Несанкционированный доступ к информации |
РД Гостехкомиссии РФ. «Защита от НСД. Термины и определения» |
Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание. Под штатными средствами понимается
совокупность программного,
микропрограммного и технического
обеспечения средств
вычислительной техники или автоматизированных систем |
|
Носитель информации |
ГОСТ Р 50922-96 |
Физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин |
|
Объект доступа |
РД Гостехкомиссии
РФ. «Защита от НСД. Термины и определения» |
Единица информационного ресурса
автоматизированной системы, доступ к которой регламентируется правилами
разграничения доступа |
|
Открытие
пенсионного счета |
Новый |
Открытие учетных операций по пенсионному счету |
|
Пенсионная схема |
ФЗ «О негосударственных
пенсионных фондах» |
Совокупность условий, определяющих
порядок уплаты пенсионных взносов и выплат негосударственных пенсий |
|
Пенсионный взнос |
ФЗ «О негосударственных
пенсионных фондах» |
Денежные средства,
уплачиваемые вкладчиком в пользу участника в соответствии с условиями пенсионного
договора |
|
Пенсионный счет |
ФЗ «О негосударственных
пенсионных фондах» |
Форма аналитического учета
в фонде, отражающая обязательства фонда перед вкладчиками, участниками или
застрахованными лицами |
|
Пенсионный счет негосударственного
пенсионного обеспечения |
ФЗ «О негосударственных
пенсионных фондах» |
Форма аналитического учета
в фонде, отражающая поступление пенсионных взносов, начисление дохода, начисление
выплат негосударственных пенсий и выплат выкупных сумм участнику (именной
пенсионный счет) или участникам (солидарный пенсионный счет), а также
начисление выкупных сумм участнику (участникам) для перевода в другой фонд
при расторжении пенсионного договора |
|
Перевод
пенсионных обязательств |
Новый |
Операция
по уменьшению пенсионных обязательств или их части, отраженных на одном
пенсионном счёте, и отражение их на другом пенсионном счёте, открытом в том
же фонде |
|
Пользователь (программного средства) |
ГОСТ Р 50922-96 |
Юридическое или фактическое лицо, применяющее программное средство или участвующее в деятельности, прямо или косвенно зависящей от функционирования данного программного средства |
|
Правила фонда |
ФЗ «О негосударственных
пенсионных фондах» |
Документы, определяющие порядок
и условия исполнения фондом обязательств по пенсионным договорам |
|
Программа |
ГОСТ 19781-90 |
Данные, предназначенные для управления конкретными
компонентами системы обработки информации в целях реализации определенного
алгоритма |
|
Программное обеспечение |
ГОСТ 19781-90 |
Совокупность программ системы обработки информации и
программных документов, необходимых для их эксплуатации |
|
Программное средство |
ГОСТ 28806‑90 |
Объект, состоящий из программ, процедур, правил, а
также, если предусмотрено, сопутствующих им документации и данных, относящихся
к функционированию системы обработки информации. Примечание:
программное средство представляет собой конкретную информацию, объективно
существующую как совокупность всех значимых с точки зрения её представления
свойств каждого из материальных объектов, содержащих в фиксированном виде эту
информацию |
|
Свойство программного
средства |
ГОСТ 28806‑90 |
Отличительная особенность
программного средства, которая может проявляться при его создании, использовании,
анализе или изменении |
|
Списание
начисленных, но не выплаченных сумм пенсий |
Новый |
Операция,
сторнирующая операцию начисления пенсий. Операция уменьшает размер
обязательств фонда перед участником по выплатам пенсий за прошедшие периоды
времени |
|
Субъект доступа |
РД Гостехкомиссии
РФ. «Защита от НСД. Термины и определения» |
Лицо или процесс, действия
которого регламентируются правилами разграничения доступа |
|
Уполномоченный федеральный
орган исполнительной власти |
ФЗ «О негосударственных
пенсионных фондах» |
Федеральный орган
исполнительной власти, на который Правительством Российской Федерации
возложены государственное регулирование деятельности фондов по негосударственному
пенсионному обеспечению, обязательному пенсионному страхованию и
профессиональному пенсионному страхованию, а также надзор и контроль за указанной деятельностью |
|
Участник |
ФЗ «О негосударственных
пенсионных фондах» |
Физическое лицо, которому
в соответствии с заключенным между вкладчиком и фондом пенсионным договором
должны производиться или производятся выплаты негосударственной пенсии.
Участник может выступать вкладчиком в свою пользу |
|
Учет
дохода фонда от размещения пенсионных резервов |
Новый |
Операция,
отражающая зачисление дохода фонда в пенсионные резервы |
|
Целостность информации |
РД Гостехкомиссии
РФ. «Защита от НСД. Термины и определения» |
Способность средства
вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного
и (или) преднамеренного искажения (разрушения) |
4.1. Требования к программному средству делятся на общие и специальные.
4.2. Общие требования к характеристикам и свойствам программного средства.
1). Выбор режимов, функций должен осуществлять пользователь (оператор). В случаях выбора вариантов программа должна запрашивать команду пользователя, предлагая при этом предпочтительный вариант действий.
2). Программное средство должно контролировать входные данные (команды пользователя, обрабатываемые и импортируемые файлы) на допустимость, корректность, непротиворечивость, обо всех обнаруженных несоответствиях выдавать соответствующие сообщения.
3). Во время исполнения программы на экране должны отображаться справочные данные о выполняемых операциях и обрабатываемых данных. По завершении какого либо законченного действия должны отображаться: интегральная оценка выполнения, результаты выполнения, диагностические данные причин аварийного завершения.
4). Управление программным средством должно осуществляться манипулятором типа “мышь” и/или с клавиатуры.
5). Должна быть обеспечена сохранность данных (в том числе и при вводе ошибочных данных или ошибочных действиях пользователя) и возможность архивирования информации на внешних носителях.
6). Возможность интеграции (совместимость) программного средства с другими программными средствами, применяемыми в информационных технологиях фонда.
7). Адекватность программного средства.
8). Восстанавливаемость программного средства – совокупность свойств программного средства, характеризующая возможность осуществления, трудоемкость и продолжительность действий по восстановлению им своего уровня пригодности, а также непосредственно подвергшихся воздействию данных, в случае отказа
9). Адаптируемость программного средства – совокупность свойств программного средства, характеризующая возможности его адаптации для функционирования в различных заданных средах без приложения действий или средств, дополнительных по отношению к тем, которыми для этой цели обеспечено само рассматриваемое программное средство.
10). Программная и эксплуатационная документация должна:
1). содержать описание всех вариантов применения программного средства, режимов функционирования и получаемых результатов при любых (корректных и ошибочных) входных данных и действиях пользователя (включая сообщения об ошибках, действия после них и способы их устранения);
2). характеризоваться полнотой, непротиворечивостью, ссылочной целостностью и удобством использования;
3). характеризоваться достаточностью описания процедур инсталляции (начальной установки), конфигурирования и использования программного средства.
4). Язык исполнения документации – Государственный язык Российской Федерации.
11).
Обязательно наличие у производителя (поставщика)
программного средства системы технической поддержки (сопровождения) эксплуатации
программного средства.
4.3. Специальные требования к характеристикам и свойствам программного средства.
1). Программное средство должно иметь возможность адаптации к правилам фонда и используемым фондом пенсионным схемам.
2). Программное средство должно обеспечивать ввод, хранение и отображение всех данных (включая операции по ведению пенсионных счетов), которые фонд должен учитывать в соответствии с правилами фонда.
3). Каждая операция должна сопровождаться следующей обязательной информацией:
· дата проведения операции;
· тип операции;
· другие данные, предусмотренные правилами фонда.
4). Выходные формы документов, получаемые с помощью программного средства, должны соответствовать по форме и содержанию документам, заявленным в правилах фонда.
5). Программное средство должно обеспечивать ввод, хранение и отображение следующих обязательных данных (см. Приложение):
· сведения об участниках фонда;
· сведения об учтенных пенсионных договорах;
· сведения об операциях по пенсионным счетам;
· сведения об обязательствах фонда.
5.1. Программное средство должно обеспечивать автоматизированное ведение пенсионных счетов.
5.2. На пенсионных счетах негосударственного пенсионного обеспечения отражаются:
1). Поступления пенсионных взносов.
2). Начисления дохода.
3). Начисления и выплаты негосударственных пенсий
4). Начисления и выплаты выкупных сумм участнику (участникам), в том числе для перевода в другой фонд.
5). Перевод пенсионных обязательств между счетами внутри фонда.
6). Обязательства Фонда перед вкладчиками и участниками.
6.1. Программное средство должно обеспечивать формирование отчетов как минимум по следующим группам:
· внешняя отчетность;
· отчётность для вкладчиков, участников и застрахованных лиц.
6.2. Внешняя отчетность
Программное
средство должно обеспечивать
возможность формирования внешней отчетности в соответствии с требованиями
Уполномоченного федерального органа.
Отчеты должны формироваться в формате(-ах) определяемом Уполномоченным федеральным органом.
6.3. Отчётность для вкладчиков, участников и застрахованных лиц
Программное
средство должно обеспечивать
возможность формирования отчетов о состоянии пенсионных счетов в соответствии с
правилами фонда.
7.1. Требования по защите конфиденциальной информации представляют собой перечень механизмов, которые должны быть реализованы в программном средстве, его свойств и документов, направленных на обеспечение сохранности информации в условиях применения конкретного программного средства в составе информационных технологий применяемых в негосударственном пенсионном фонде.
7.2. Требования, предъявляемые к свойствам программного средства и его характеристикам функциональности, представляют собой набор характеристик качества программного средства, влияющих на обеспечение безопасности информации.
7.3. Программное средство, применяемое в информационных технологиях обработки информации в негосударственном пенсионном фонде должно обладать следующими характеристиками (свойствами).
1). Автоматизированная (автоматическая) авторизация результатов применения программного средства с точностью до конкретного субъекта доступа, их применившего. Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения программного средства. В параметрах регистрации указываются:
· дата и время входа/выхода субъекта доступа в/из программного средства;
· результат попытки входа: успешная или неуспешная;
· идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
· код или пароль, предъявленный при неуспешной попытке.
В программном средстве должно быть предусмотрено, как минимум, два уровня доступа:
· доступ ко всем функциям – «администратор»;
· доступ только к разрешенным «администратором» функциям – «пользователь».
2). Пароли после ввода в систему должны быть защищены от просмотра со стороны средств операционных систем.
3). Доказательство авторства субъекта доступа при создании (изменении) объектов доступа. Процесс создания (изменения) информационного ресурса, доступ к которому регламентируется установленными правилами разграничения доступа, должен сопровождаться сведениями, позволяющими однозначно идентифицировать субъект, создавший (изменивший) конкретный информационный ресурс (объект доступа).
4). Автоматический учет создаваемых объектов доступа. Всем информационным ресурсам, доступ к которым регламентируется установленными правилами разграничения доступа, автоматически должны устанавливаться ограничения по их использованию.
5). Наличие документации, описывающей технические, организационные и другие меры безопасности и механизмы необходимые для обеспечения конфиденциальности и целостности информации при использовании программного средства.
6). Наличие у производителя (поставщика) программного средства системы технической поддержки (сопровождения) эксплуатации программного средства.
7.4. Требования, предъявляемые к защите конфиденциальной информации программного средства (персональных данных участников и вкладчиков) должны соответствовать требованиям действующего законодательства РФ в области защиты конфиденциальной информации.
(Обязательное)
СОСТАВ
сведений
подлежащих обязательному автоматизированному учету и ведению в программных
средствах предназначенных для использования в информационных технологиях
обработки информации в негосударственных пенсионных фондах
Программное средство должно обеспечивать ввод, хранение и отображение обязательных данных по следующим категориям:
· сведения об участниках фонда;
· сведения об учтенных пенсионных договорах;
· сведения об операциях по пенсионным счетам;
· сведения об обязательствах фонда.
1. Сведения об участниках фонда
Для расшифровки следующих строк отчетности:
· количество участников по действующим пенсионным договорам;
· количество выбывших участников.
Данные:
· ФИО;
· номер пенсионного счета;
· вкладчик;
· номер и дата заключения пенсионного договора;
· дата начала обслуживания (прекращения, смерти, выполнения обязательств по договору).
2. Сведения об учтенных пенсионных договорах
Для расшифровки следующих строк отчетности:
· количество действующих пенсионных договоров;
· количество прекращенных пенсионных договоров.
Данные:
· номер пенсионного договора;
· дата заключения;
· дата прекращения (закрытия);
· пенсионная схема.
3. Сведения об операциях по пенсионным счетам
Для расшифровки следующих строк отчетности:
· выплаты негосударственных пенсий;
· пенсионные взносы.
Данные:
· дата операции;
· документ основание (первичный документ);
· сумма операции.
4. Сведения об обязательствах фонда
Для расшифровки следующих строк отчетности:
· современная стоимость обязательств фонда по схеме.
Данные:
· пенсионная схема;
· расчет обязательств.