РУКОВОДЯЩИЙ ДОКУМЕНТ

НЕГОСУДАРСТВЕННОЕ ПЕНСИОННОЕ ОБЕСПЕЧЕНИЕ

ТРЕБОВАНИЯ К ПРОГРАММНЫМ СРЕДСТВАМ, ПРИМЕНЯЕМЫМ В негосударственных пенсионных фондах

Москва 2004

1. РАЗРАБОТАН: Рабочей группой N9 Экспертного совета Инспекции НПФ при Минтруда РФ
2. ВНЕСЕН: Членом Экспертного Совета Недбаем А.А.
3. ПРИНЯТ: Экспертным советом Инспекции НПФ при Минтруде РФ
4. ВВЕДЕН ВПЕРВЫЕ

ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Настоящий руководящий документ устанавливает общие требования к программным средствам, предназначенным для использования в информационных технологиях обработки информации в негосударственных пенсионных фондах в рамках негосударственного пенсионного обеспечения.

1.2. Руководящий документ определяет состав и назначение общих требований:

§ к характеристикам, свойствам и документации на программное обеспечение;

§ к структуре пенсионных счетов;

§ к составу, структуре и содержанию выходных документов;

§ по защите конфиденциальной информации;

1.3. Требования документа распространяются на однопользовательские и многопользовательские программные средства, предназначенные для сбора, хранения, обработки и защиты информации (от несанкционированного доступа, воздействия) в негосударственных пенсионных фондах.

1.4. Руководящий документ должен использоваться совместно с документами:

§ Федеральный закон "О негосударственных пенсионных фондах";

1.5. Руководящий документ предлагается использовать:

§ Уполномоченным федеральным органом при проведении работ, связанных с проведением инспекционных проверок;

§ Негосударственными пенсионными фондами при формулировании требований (технических заданий) к применяемым (разрабатываемым) программным средствам;

§ Негосударственными пенсионными фондами при разработке внутренних правил и регламентов по сбору, обработке и хранению информации по пенсионным договорам;

§ Разработчиками программных средств для негосударственных пенсионных фондов.

Нормативные ссылки

В настоящем документе использованы ссылки на следующие федеральные законы, стандарты и руководящие документы:

• Федеральный закон от 7 мая 1998 года N 75-ФЗ "О негосударственных пенсионных фондах";
• ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".
• ГОСТ Р 28806-90 "Качество программных средств. Термины и определения".
• ГОСТ Р 51275-99 "Объект информатизации. Факторы, воздействующие на информацию. Общие положения".
• РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Термины и определения", 1992 г.
• РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", 1992 г.

Определения и сокращения

3.1. В руководящем документе приняты следующие термины с соответствующими определениями:

Термин	Источник	Определение
Адаптируемость программного средства	ГОСТ 28806_90	Совокупность свойств программного средства, характеризующая возможности его адаптации для функционирования в различных заданных средах без приложения действий или средств, дополнительных по отношению к тем, которыми для этой цели обеспечено само рассматриваемое программное средство
Адекватность программного средства	ГОСТ 28806_90	Совокупность свойств программного средства, характеризующая наличие и степень достаточности обеспечиваемых им функции для решения задач в соответствии с его назначением
Безопасность информации	РД Гостехкомиссии РФ. "Защита от НСД. Термины и определения"	Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз
Вкладчик	ФЗ "О негосударственных пенсионных фондах"	физическое или юридическое лицо, являющееся стороной пенсионного договора и уплачивающее пенсионные взносы в фонд
Возврат пенсии	Новый	Операция, сторнирующая операцию выплаты пенсии. Суммы пенсий вернувшиеся на р/с фонда в связи с невозможностью их зачисления на лицевой счет в банке по реквизитам Участника. Одновременно увеличивается размер обязательств фонда перед участником по выплатам пенсий за прошедшие периоды времени
Восстанавливаемость программного средства	ГОСТ 28806_90	Совокупность свойств программного средства, характеризующая возможность осуществления, трудоемкость и продолжительность действий по восстановлению им своего уровня пригодности, а также непосредственно подвергшихся воздействию данных, в случае отказа
Выкупная сумма	ФЗ "О негосударственных пенсионных фондах"	Денежные средства, выплачиваемые фондом вкладчику или участнику либо переводимые в другой фонд при расторжении пенсионного договора
Выплата пенсии	Новый	Операция списания с расчётного счёта фонда суммы негосударственной пенсии и перечисления её на расчетный счет (выдачи через кассу фонда) участнику
Договор негосударственного пенсионного обеспечения (пенсионный договор)	ФЗ "О негосударственных пенсионных фондах"	Соглашение между фондом и вкладчиком фонда, в соответствии с которым вкладчик обязуется уплачивать пенсионные взносы в фонд, а фонд обязуется выплачивать участнику (участникам) фонда негосударственную пенсию
Доходы от инвестирования средств пенсионных накоплений	ФЗ "О негосударственных пенсионных фондах"	Дивиденды и проценты (доход) по ценным бумагам, а также по банковским депозитам, другие виды доходов от операций по инвестированию средств пенсионных накоплений, чистый финансовый результат от реализации активов и чистый финансовый результат, отражающий изменение рыночной стоимости инвестиционного портфеля за счет переоценки на отчетную дату
Закрытие пенсионного счета	Новый	Прекращение учетных операций по пенсионному счету в связи с выполнением обязательств фонда, либо в связи с расторжением пенсионного договора
Зачисление пенсионного взноса	Новый	Учетная операция, отражающая поступление пенсионного взноса на расчетный счет (в кассу) фонда и соответствующее изменение обязательств фонда перед Вкладчиком, в соответствии с заключенным пенсионным договором
Информационная технология	ГОСТ 34.003_90 (Приложение 1)	Приемы, способы и методы применения средств вычислительной техники, программного обеспечения при выполнении функций сбора, хранения, обработки, передачи и использования данных
Конфиденциальная информация	ФЗ "Об информации, информатизации и защите информации"	Документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
Начисление пенсии	Новый	Формирование размера обязательств фонда перед участником по выплате пенсии за прошедшие периоды времени.
Негосударственная пенсия	ФЗ "О негосударственных пенсионных фондах"	Денежные средства, регулярно выплачиваемые участнику в соответствии с условиями пенсионного договора
Негосударственный пенсионный фонд	ФЗ "О негосударственных пенсионных фондах"	Особая организационно - правовая форма некоммерческой организации социального обеспечения, исключительными видами деятельности которой являются: § деятельность по негосударственному пенсионному обеспечению участников фонда в соответствии с договорами негосударственного пенсионного обеспечения; § деятельность в качестве страховщика по обязательному пенсионному страхованию в соответствии с Федеральным законом от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации" и договорами об обязательном пенсионном страховании; § деятельность в качестве страховщика по профессиональному пенсионному страхованию в соответствии с федеральным законом и договорами о создании профессиональных пенсионных систем
Несанкционированный доступ к информации	РД Гостехкомиссии РФ. "Защита от НСД. Термины и определения"	Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем
Носитель информации	ГОСТ Р 50922-96	Физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин
Объект доступа	РД Гостехкомиссии РФ. "Защита от НСД. Термины и определения"	Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
Открытие пенсионного счета	Новый	Открытие учетных операций по пенсионному счету
Пенсионная схема	ФЗ "О негосударственных пенсионных фондах"	Совокупность условий, определяющих порядок уплаты пенсионных взносов и выплат негосударственных пенсий
Пенсионный взнос	ФЗ "О негосударственных пенсионных фондах"	Денежные средства, уплачиваемые вкладчиком в пользу участника в соответствии с условиями пенсионного договора
Пенсионный счет	ФЗ "О негосударственных пенсионных фондах"	Форма аналитического учета в фонде, отражающая обязательства фонда перед вкладчиками, участниками или застрахованными лицами
Пенсионный счет негосударственного пенсионного обеспечения	ФЗ "О негосударственных пенсионных фондах"	Форма аналитического учета в фонде, отражающая поступление пенсионных взносов, начисление дохода, начисление выплат негосударственных пенсий и выплат выкупных сумм участнику (именной пенсионный счет) или участникам (солидарный пенсионный счет), а также начисление выкупных сумм участнику (участникам) для перевода в другой фонд при расторжении пенсионного договора
Перевод пенсионных обязательств	Новый	Операция по уменьшению пенсионных обязательств или их части, отраженных на одном пенсионном счёте, и отражение их на другом пенсионном счёте, открытом в том же фонде
Пользователь (программного средства)	ГОСТ Р 50922-96	Юридическое или фактическое лицо, применяющее программное средство или участвующее в деятельности, прямо или косвенно зависящей от функционирования данного программного средства
Правила фонда	ФЗ "О негосударственных пенсионных фондах"	Документы, определяющие порядок и условия исполнения фондом обязательств по пенсионным договорам
Программа	ГОСТ 19781-90	Данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма
Программное обеспечение	ГОСТ 19781-90	Совокупность программ системы обработки информации и программных документов, необходимых для их эксплуатации
Программное средство	ГОСТ 28806_90	Объект, состоящий из программ, процедур, правил, а также, если предусмотрено, сопутствующих им документации и данных, относящихся к функционированию системы обработки информации. Примечание: программное средство представляет собой конкретную информацию, объективно существующую как совокупность всех значимых с точки зрения её представления свойств каждого из материальных объектов, содержащих в фиксированном виде эту информацию
Свойство программного средства	ГОСТ 28806_90	Отличительная особенность программного средства, которая может проявляться при его создании, использовании, анализе или изменении
Списание начисленных, но не выплаченных сумм пенсий	Новый	Операция, сторнирующая операцию начисления пенсий. Операция уменьшает размер обязательств фонда перед участником по выплатам пенсий за прошедшие периоды времени
Субъект доступа	РД Гостехкомиссии РФ. "Защита от НСД. Термины и определения"	Лицо или процесс, действия которого регламентируются правилами разграничения доступа
Уполномоченный федеральный орган исполнительной власти	ФЗ "О негосударственных пенсионных фондах"	Федеральный орган исполнительной власти, на который Правительством Российской Федерации возложены государственное регулирование деятельности фондов по негосударственному пенсионному обеспечению, обязательному пенсионному страхованию и профессиональному пенсионному страхованию, а также надзор и контроль за указанной деятельностью
Участник	ФЗ "О негосударственных пенсионных фондах"	Физическое лицо, которому в соответствии с заключенным между вкладчиком и фондом пенсионным договором должны производиться или производятся выплаты негосударственной пенсии. Участник может выступать вкладчиком в свою пользу
Учет дохода фонда от размещения пенсионных резервов	Новый	Операция, отражающая зачисление дохода фонда в пенсионные резервы
Целостность информации	РД Гостехкомиссии РФ. "Защита от НСД. Термины и определения"	Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

требования к характеристикам, свойствам и документации на программное средство

4.1. Требования к программному средству делятся на общие и специальные.

4.2. Общие требования к характеристикам и свойствам программного средства.

1). Выбор режимов, функций должен осуществлять пользователь (оператор). В случаях выбора вариантов программа должна запрашивать команду пользователя, предлагая при этом предпочтительный вариант действий.

2). Программное средство должно контролировать входные данные (команды пользователя, обрабатываемые и импортируемые файлы) на допустимость, корректность, непротиворечивость, обо всех обнаруженных несоответствиях выдавать соответствующие сообщения.

3). Во время исполнения программы на экране должны отображаться справочные данные о выполняемых операциях и обрабатываемых данных. По завершении какого либо законченного действия должны отображаться: интегральная оценка выполнения, результаты выполнения, диагностические данные причин аварийного завершения.

4). Управление программным средством должно осуществляться манипулятором типа ``мышь'' и/или с клавиатуры.

5). Должна быть обеспечена сохранность данных (в том числе и при вводе ошибочных данных или ошибочных действиях пользователя) и возможность архивирования информации на внешних носителях.

6). Возможность интеграции (совместимость) программного средства с другими программными средствами, применяемыми в информационных технологиях фонда.

7). Адекватность программного средства.

8). Восстанавливаемость программного средства - совокупность свойств программного средства, характеризующая возможность осуществления, трудоемкость и продолжительность действий по восстановлению им своего уровня пригодности, а также непосредственно подвергшихся воздействию данных, в случае отказа

9). Адаптируемость программного средства - совокупность свойств программного средства, характеризующая возможности его адаптации для функционирования в различных заданных средах без приложения действий или средств, дополнительных по отношению к тем, которыми для этой цели обеспечено само рассматриваемое программное средство.

10). Программная и эксплуатационная документация должна:

1). содержать описание всех вариантов применения программного средства, режимов функционирования и получаемых результатов при любых (корректных и ошибочных) входных данных и действиях пользователя (включая сообщения об ошибках, действия после них и способы их устранения);

2). характеризоваться полнотой, непротиворечивостью, ссылочной целостностью и удобством использования;

3). характеризоваться достаточностью описания процедур инсталляции (начальной установки), конфигурирования и использования программного средства.

4). Язык исполнения документации - Государственный язык Российской Федерации.

11). Обязательно наличие у производителя (поставщика) программного средства системы технической поддержки (сопровождения) эксплуатации программного средства.

4.3. Специальные требования к характеристикам и свойствам программного средства.

1). Программное средство должно иметь возможность адаптации к правилам фонда и используемым фондом пенсионным схемам.

2). Программное средство должно обеспечивать ввод, хранение и отображение всех данных (включая операции по ведению пенсионных счетов), которые фонд должен учитывать в соответствии с правилами фонда.

3). Каждая операция должна сопровождаться следующей обязательной информацией:

· дата проведения операции;

· тип операции;

· другие данные, предусмотренные правилами фонда.

4). Выходные формы документов, получаемые с помощью программного средства, должны соответствовать по форме и содержанию документам, заявленным в правилах фонда.

5). Программное средство должно обеспечивать ввод, хранение и отображение следующих обязательных данных (см. Приложение):

· сведения об участниках фонда;

· сведения об учтенных пенсионных договорах;

· сведения об операциях по пенсионным счетам;

· сведения об обязательствах фонда.

Общие требования к структуре пенсионных счетов

5.1. Программное средство должно обеспечивать автоматизированное ведение пенсионных счетов.

5.2. На пенсионных счетах негосударственного пенсионного обеспечения отражаются:

1). Поступления пенсионных взносов.

2). Начисления дохода.

3). Начисления и выплаты негосударственных пенсий

4). Начисления и выплаты выкупных сумм участнику (участникам), в том числе для перевода в другой фонд.

5). Перевод пенсионных обязательств между счетами внутри фонда.

6). Обязательства Фонда перед вкладчиками и участниками.

Общие требования к формированию отчетов

6.1. Программное средство должно обеспечивать формирование отчетов как минимум по следующим группам:

• внешняя отчетность;
• отчётность для вкладчиков, участников и застрахованных лиц.

6.2. Внешняя отчетность

Программное средство должно обеспечивать возможность формирования внешней отчетности в соответствии с требованиями Уполномоченного федерального органа.

Отчеты должны формироваться в формате(-ах) определяемом Уполномоченным федеральным органом.

6.3. Отчётность для вкладчиков, участников и застрахованных лиц

Программное средство должно обеспечивать возможность формирования отчетов о состоянии пенсионных счетов в соответствии с правилами фонда.

Общие требования по защите конфиденциальной информации

7.1. Требования по защите конфиденциальной информации представляют собой перечень механизмов, которые должны быть реализованы в программном средстве, его свойств и документов, направленных на обеспечение сохранности информации в условиях применения конкретного программного средства в составе информационных технологий применяемых в негосударственном пенсионном фонде.

7.2. Требования, предъявляемые к свойствам программного средства и его характеристикам функциональности, представляют собой набор характеристик качества программного средства, влияющих на обеспечение безопасности информации.

7.3. Программное средство, применяемое в информационных технологиях обработки информации в негосударственном пенсионном фонде должно обладать следующими характеристиками (свойствами).

1). Автоматизированная (автоматическая) авторизация результатов применения программного средства с точностью до конкретного субъекта доступа, их применившего. Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения программного средства. В параметрах регистрации указываются:

• дата и время входа/выхода субъекта доступа в/из программного средства;
• результат попытки входа: успешная или неуспешная;
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.

В программном средстве должно быть предусмотрено, как минимум, два уровня доступа:

• доступ ко всем функциям - "администратор";
• доступ только к разрешенным "администратором" функциям - "пользователь".

2). Пароли после ввода в систему должны быть защищены от просмотра со стороны средств операционных систем.

3). Доказательство авторства субъекта доступа при создании (изменении) объектов доступа. Процесс создания (изменения) информационного ресурса, доступ к которому регламентируется установленными правилами разграничения доступа, должен сопровождаться сведениями, позволяющими однозначно идентифицировать субъект, создавший (изменивший) конкретный информационный ресурс (объект доступа).

4). Автоматический учет создаваемых объектов доступа. Всем информационным ресурсам, доступ к которым регламентируется установленными правилами разграничения доступа, автоматически должны устанавливаться ограничения по их использованию.

5). Наличие документации, описывающей технические, организационные и другие меры безопасности и механизмы необходимые для обеспечения конфиденциальности и целостности информации при использовании программного средства.

6). Наличие у производителя (поставщика) программного средства системы технической поддержки (сопровождения) эксплуатации программного средства.

7.4. Требования, предъявляемые к защите конфиденциальной информации программного средства (персональных данных участников и вкладчиков) должны соответствовать требованиям действующего законодательства РФ в области защиты конфиденциальной информации.

ПРИЛОЖЕНИЕ

(Обязательное)

СОСТАВ

сведений подлежащих обязательному автоматизированному учету и ведению в программных средствах предназначенных для использования в информационных технологиях обработки информации в негосударственных пенсионных фондах

Программное средство должно обеспечивать ввод, хранение и отображение обязательных данных по следующим категориям:

· сведения об участниках фонда;

· сведения об учтенных пенсионных договорах;

· сведения об операциях по пенсионным счетам;

· сведения об обязательствах фонда.

1. Сведения об участниках фонда

Для расшифровки следующих строк отчетности:

· количество участников по действующим пенсионным договорам;

· количество выбывших участников.

Данные:

· ФИО;

· номер пенсионного счета;

· вкладчик;

· номер и дата заключения пенсионного договора;

· дата начала обслуживания (прекращения, смерти, выполнения обязательств по договору).

2. Сведения об учтенных пенсионных договорах

Для расшифровки следующих строк отчетности:

· количество действующих пенсионных договоров;

· количество прекращенных пенсионных договоров.

Данные:

· номер пенсионного договора;

· дата заключения;

· дата прекращения (закрытия);

· пенсионная схема.

3. Сведения об операциях по пенсионным счетам

Для расшифровки следующих строк отчетности:

· выплаты негосударственных пенсий;

· пенсионные взносы.

Данные:

· дата операции;

· документ основание (первичный документ);

· сумма операции.

4. Сведения об обязательствах фонда

Для расшифровки следующих строк отчетности:

· современная стоимость обязательств фонда по схеме.

Данные:

· пенсионная схема;

· расчет обязательств.