Доклады, выступления, видео и электронные публикации

Контрольно-кассовая машина для союза Беларуси и России

Конявский В.А.,
ВНИИПВТИ Минсвязи РФ
(г.Москва)

Совместной программой <Защита общих информационных ресурсов Беларуси и России> [1], п. 5.5 предусмотрено выполнение работы <Разработка защищенной автоматизированной кассовой системы, освоение ее производства в интересах Союза и ее сертификация>.

Данная работа была включена в программу по согласованному предложению ОКБ САПР (Москва) и ООО <МАРФИ> (Минск) при поддержке ВНИИПВТИ Минсвязи РФ. Включение согласовывалось с Гостехкомиссией России и ГЦБИ Республики Беларусь. В работе предполагается не проведение полномасштабной разработки . это слишком дорого, долго и нецелесообразно, а подготовка к производству и внедрение ККМ <Аккорд-КФ>. На данном варианте ККМ остановились потому, что <Аккорд-КФ> включена в Государственные Реестры как России, так и Беларуси, является защищенной компьютерной системой, отлично проявила себя при эксплуатации и в России, и в Беларуси, серийно выпускается в России и может быть быстро освоена в Беларуси.

Немаловажным фактором является и то, что защита контрольно-кассовых машин <Аккорд-КФ> осуществляется на основе средств защиты информации <Аккорд>, хорошо знакомого пользователям и органам, наделенным государственными полномочиями по контролю за защитой информации, стран Союза.

Кроме этого, другие пункты программы предусмаривают внедрение СЗИ <Аккорд>, что позволяет повысить уровень унификации решений по защите информации.

Ниже рассматриваются некоторые важные особенности и требования к защищенным компьютерным ККМ, которые учитываются при выполнении названной выше работы.

1. Низкая эффективность применения ККМ и возможность ее повышения.

Единственным разумным средством повышения собираемости налогов и снижения значимости теневой части экономики является контроль финансовых потоков.

Контролировать финансовые потоки можно с двух сторон . со стороны плательщика и со стороны получателя. Здесь нужно отметить, что не существует и, видимо (к счастью), не будет существовать законных (конституционных) способов, не нарушающих прав человека, осуществлять тотальный контроль со стороны плательщика. Контроль же со стороны продавца (поставщика) товаров (услуг) организовать вполне реально и сделать это следует обязательно, тем более, что для этого необходимо всего лишь установить ККМ во всех точках, где оплата товаров (услуг) осуществляется за наличный расчет.

Нормативной базой применения ККМ является .Закон Российской Федерации от 18 июня 1993г. № 5215-1 <О применении контрольно-кассовых машин при осуществлении денежных расчетов с населением>.. Внедрению ККМ в последние годы уделялось много внимания, создавались различные структуры, вплоть до межведомственных, с целью создания системы сертификации, регистрации и аттестации ККМ, но до сегодняшнего момента положительных результатов это не принесло. Более того, появилась огромная армия чиновников, которых нужно содержать, органы сертификации, услуги которых отнюдь не бесплатны, . следовательно, увеличивается цена ККМ и т.д., и т.п. Роста налогооблагаемой базы при этом обнаружено не было.

Причины этого сейчас очевидны - в ККМ, которые использовались в тот период времени, вообще отсутствовали средства контроля итогов продаж. В этой связи при исчислении налогов можно было опереться только на отчетные материалы, предоставленные самим продавцом, методов инструментального контроля при этом не существовало. Сложилась ситуация, при которой могла подаваться отчетная документация, полностью не соответствующая действительности. В частности, предприниматель, желающий скрыть свои доходы, приобретал два комплекта ККМ, один из которых применялся при расчете с покупателем, второй . для изготовления фиктивной контрольной ленты. Выявить махинации такого рода можно только оперативным путем и только относительно некоторой конкретной покупки/продажи (контрольной закупки). Естественно, что примеры анализа такого рода неизвестны . у налоговых организаций нет ни необходимого количества личного состава для тотального анализа такого рода, ни достаточного количества профессионалов, умеющих выполнять такой анализ. Тем более, что по существующей нормативной базе контрольные ленты должны храниться весьма ограниченный период времени (15 дней после инвентаризации), а по истечении этого периода искать следы вообще бесполезно. Такое положение вещей создавало широчайший простор для махинаций всякого рода, и в этой связи даже рассчитывать на рост уровня собираемости налогов не приходилось.

Учитывая сложившуюся ситуацию, а также мировой опыт, было принято решение о введении в состав ККМ блока фискальной памяти (ФП). Данный блок должен представлять собой некоторую защищенную энергонезависимую память, в которой в процессе работы ККМ должны фиксироваться данные об итогах продаж.

Переход на ККМ с блоком ФП потребовал много времени и финансовых затрат, но никак не повлиял на уровень собираемости налогов. В этом нет ничего удивительного . решение, как обычно, было принято некомплексное и оставляло слишком много возможностей для злоупотреблений. Вот лишь некоторые из них:

1. Программные и технические решения ККМ и блока ФП не анализировались по критериям защиты от НСД, что создавало (и создает) предпосылки для несанкционированных модификаций программ и данных.

2. По-прежнему отсутствуют средства автоматизированного контроля отчетных данных и фискальных данных, а сколько-нибудь полная проверка ручными методами невозможна, в том числе в силу причин, описанных выше.

3. До сих пор решение о том, анализировать фискальный отчет или нет, принимает налоговый инспектор. Не говоря уже о том, что такой путь создает предпосылки для коррупции, анализ вообще очень проблематичен . ведь для того, чтобы получить фискальный отчет, налоговый инспектор должен прибыть непосредственно на место, где установлен ККМ, далее, в зависимости от типа ККМ, выполнить действия по изготовлению фискального отчета (а типов ККМ много, даже у профессионала работа с фискальными отчетами на некоторых типах ККМ может вызвать затруднения), потом вернуться на свое рабочее место и лишь затем приступить к анализу. Естественно, единственной гарантией того, что на пути от торговой точки до инспекции фискальный отчет не будет подменен, является кристальная честность инспектора.

Сегодня ясно, что проблема должна решаться только комплексно (если мы вообще хотим её решить) . от накопления фискальных данных до их сбора и обработки.

Этот процесс может быть организован следующим образом. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ИФП), которая, кроме функций накопления данных об итогах продаж, выполняет еще ряд функций, а именно:

  • обеспечивает защиту программного обеспечения ККМ и данных от НСД;
  • вырабатывает коды аутентификации как ККМ, так и каждого чека - это позволит защитить торговую организацию от подделки чека;
  • поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;
  • обеспечивает съем фискальных данных и запись на носитель с энергонезависимой памятью для представления в налоговую инспекцию одновременно с балансом. Эта информация должна защищаться от несанкционированных модификаций специализированным кодом аутентификации, который может быть верифицирован непосредственно в налоговой инспекции.

Имея такой механизм, каждая организация при регистрации ККМ предъявляет в налоговую инспекцию, кроме паспорта ККМ, еще и электронный ключ, в котором зафиксирована информация для верификации отчетов. В дальнейшем каждая сдача баланса сопровождается предъявлением ключей ККМ, которые одновременно служат энергонезависимой памятью для хранения фискальных отчетов.

Принимая баланс, сотрудник налоговой инспекции прикладывает предъявленный ему ключ к съемнику своей ККМ и сверяет данные, отраженные в фискальном отчете, с данными, приведенными в балансовом отчете. Одновременно данные будут проверяться на подлинность и заноситься в базу данных для возможного в дальнейшем анализа.

Такой механизм не требует от участников процесса никаких дополнительных действий и умений, но позволит очень эффективно и оперативно выявлять нарушения и предупреждать ошибки в отчетности.

В свою очередь, те данные, которые накапливаются в налоговой инспекции, могут обрабатываться в процессе полного анализа. При этом, если возникает необходимость, отчеты с фискальной памяти могут быть сняты уже <под акт> и использоваться в стандартных процедурах налоговых проверок.

Таким образом, необходимо, по крайней мере, решить следующие вопросы:

1. Разработать типовой интерфейс взаимодействия с блоком ФП и на его основе создать спектр блоков для всех типов ККМ. Интерфейс должен обеспечить возможность снятия фискальных отчетов с защитой от несанкционированных модификаций и передачи в электронной форме в налоговую инспекцию вместе с балансовым отчетом.

2. Разработать компьютерные средства для налоговой инспекции, позволяющие вводить в ПЭВМ фискальные отчеты в электронной форме при сдаче балансовых отчетов. Эти средства должны позволять:

- фиксировать целостность представленных отчетов;

- проводить экспресс-анализ на соответствие с данными, представленными в балансовом отчете (адекватность отчетов);

- накапливать данные для последующего подробного анализа (в случае необходимости).

3. Нормативно закрепить порядок предоставления и анализа фискальных отчетов в электронном виде, а также порядок разбора конфликтов в случаях нарушений (несоответствий).

Наличие в составе ККМ фискальной платы, с учетом сказанного выше, позволяет говорить о возможности учета интересов двух участников процесса - продавца и государства. Однако существует еще и третий участник - покупатель, взаимодействующий с продавцом в процессе приобретения товара.

Естественно учесть интересы сторон, возникающие при этом.

Обычно единственным документом, подтверждающим факт розничной покупки, является чек ККМ, который продавец обязан передать покупателю при оплате товара (услуг). Именно на основе чека должны решаться конфликты, возникающие в паре продавец . покупатель. Действительно, любой конфликт может быть разрешен, если подлинность чека установлена. Но вот это подчас становится весьма нетривиальной задачей. Действительно, широко распространенные сегодня технические средства позволяют без затруднений изготовить любой бумажный документ. Как быть, например, владельцу магазина, к которому с таким чеком, с бракованным товаром, якобы приобретенным в данном магазине, явится злоумышленник и, ссылаясь на закон о правах потребителей, потребует вернуть деньги? Выход один . должен быть реализован механизм, позволяющий однозначно установить, был ли предъявляемый чек изготовлен на данной ККМ (является ли он подлинным). Это означает, что каждый чек должен быть снабжен кодом аутентификации, учитывающим параметры, важные для разбора вероятных конфликтов. По сути, КА позволяет установить подлинность тех параметров чека, которые являются и параметрами КА. В первую очередь это:

  • номер ФП;
  • номер ККМ заводской;
  • номер ККМ регистрационный;
  • ИНН владельца ККМ;
  • номер чека;
  • дата чека;
  • время чека;
  • сумма продажи;
  • нарастающий итог.

Такой состав параметров позволяет надежно защитить от подделки чеков как продавцов, так и покупателей.

2. Особенности применения ККМ в системах массовых платежей

В соответствии с Законом Российской Федерации от 18 июня 1993г. № 5215-1 <О применении контрольно-кассовых машин при осуществлении денежных расчетов с населением> эти расчеты должны осуществляться с обязательным применением внесенных в Государственный реестр и зарегистрированных в налоговых органах ККМ.

Однако современные требования к ККМ не обеспечивают безопасного их применения в системах массовых платежей, где соблюдение норм безопасности наиболее важно. При интеграции ККМ в общую информационно-вычислительную систему они используются не изолированно, а являются терминалами сети, в которой обрабатывается, хранится и передается различная информация. Пользуясь незащищенностью ККМ, потенциальный нарушитель имеет возможность несанкционированного доступа к конфиденциальной информации (персональной информации), хранящейся в системе. Уже поэтому необходимы меры по защите компьютерных ККМ от несанкционированного доступа.

Нормативные документы в этой сфере постоянно совершенствуются, и очевидно, что в скором времени требования по защите ККМ от НСД станут обязательными. Если при выборе ККМ для систем массовых платежей не учитывать требования к защите, в скором времени это может повлечь за собой ощутимые финансовые потери на замену (модернизацию) парка ККМ.

Следует отметить, что единственной на данный момент ККМ, отвечающей всем требованиям по защите и обеспечивающей работу в системах массового обслуживания, является ККМ <АККОРД-КФ>.

Используемый в этой ККМ блок ФП <Аккорд-ФП> выполнен на основе СЗИ <Аккорд>, имеющей сертификат Гостехкомиссии России по классу 1В. Этот комплекс обеспечивает все необходимые защитные функции, а именно:

- защиту от несанкционированного доступа;
- идентификацию некопируемым уникальным идентификатором;
- аутентификацию с защитой от раскрытия пароля;
- защиту от несанкционированных модификаций программ и данных;
- контроль целостности программ и данных; - функциональное замыкание информационных систем;
- исключение возможности несанкционированного выхода в ОС.

Фискальные функции блока <Аккорд-ФП> выполнены в соответствии с требованиями ГМЭК. Для интеграции с программным обеспечением АС разработаны программные модули, реализующие необходимые функции.

Ниже кратко опишем основные особенности блока <Аккорд-ФП>.

Защищенная энергонезависимая память контроллера блока разделена на три зоны - в первой (32К) записано программное обеспечение СЗИ НСД, во второй (16К) размещены энергонезависимые регистры ФП, в третьей части регистрируются фискальные данные и размещено программное обеспечение модуля налогового инспектора.

Особенностью здесь является следующее:

1. Функции СЗИ НСД интегрированы с функциями ФП. В этой связи при применении блока <Аккорд-ФП> не требуется применять дополнительных средств обеспечения информационной безопасности, достаточно лишь настроить программное обеспечение СЗИ на выполнение защитных функций.

2. В составе блока ФП выполнены также энергонезависимые регистры ККМ. Это решение принято по следующим основным соображениям:

Первое . это соображение безопасности. Действительно, если регистры ККМ реализованы прикладной программой и хранятся в виде файлов на диске ПЭВМ (как это делается практически во всех известных компьютерных ККМ), то без применения средств защиты от НСД предотвратить их несанкционированную модификацию (обеспечить целостность) практически невозможно. В этом случае в ФП могут записываться уже модифицированные данные, что, естественно, никак не укрепит финансовую дисциплину в стране.

Второе - это соображение интегрируемости. Так, ранее программист, разрабатывающий программу для ККМ, должен был сам заботиться об организации и взаимодействии всех регистров финансовых данных. При этом он должен был задумываться и о функциональности системы, и о безопасности (см. выше). Интеграция блока ФП, не обеспечивающего ведение регистров, потребовала бы значительных усилий от программистов и, скорее всего, была бы невозможной в широких масштабах. Механизм, применяемый в блоке <Аккорд-ФП>, делает такую интеграцию совершенно безболезненной.

3. Процедуры модуля налогового инспектора также интегрированы как неотъемлемая часть в состав блока <Аккорд-ФП>. Это обеспечивает следующие преимущества:

- целостность этих процедур обеспечивается процессом производства, и они не могут быть изменены при недобросовестной интеграции в ККМ или эксплуатации ККМ;
- унифицируется работа налогового инспектора, так как порядок работы с ФП становится независимым от разработки прикладного программного обеспечения ККМ.

Нередко предлагается некоторый третий путь фискализации данных . применение так называемых <фискальных принтеров>. При этом имеется в виду, что к ПЭВМ подключается принтер, который обладает дополнительным процессором и энергонезависимой памятью, что и позволяет ему фискализировать все данные, печатаемые на чековой ленте.

При всей внешней привлекательности такого решения оно не свободно от недостатков: вопервых, . высокая цена и, во-вторых, - отсутствие возможностей защиты от НСД. Действительно, особые свойства принтера никак не могут усилить защищенность информации на ПЭВМ и сервере АС, а это означает, что средства защиты от НСД все равно нужно применять. Таким образом, применение фискальных принтеров нецелесообразно для систем массовых платежей.

На основании указанного выше можно сформулировать основные требования к защите информации в ККМ.

3. Защита информации

3.1. Архитектура защиты

Блок фискальной памяти ККМ должен содержать защищенный от несанкционированных изменений и доступа программный модуль автоматического тестирования и контроля целостности, проводимых при перезагрузке ККМ. Данный программный модуль необходимо размещать в неизменяемой программным путем памяти фискального блока, и его работа должна осуществляться без загрузки исполняемого кода с других носителей информации. Программный модуль должен минимально обеспечивать:

- идентификацию и аутентификацию пользователя ККМ;
- проверку номера ФП;
- проверку заводского номера ККМ;
- проверку целостности объектов операционной среды ККМ и ППП и сравнение вычисленных значений с эталонными значениями, хранящимися в накопителе фискальных данных;
- проверку неизменности (целостности) фискальных данных, хранящихся в накопителе;
- проверку наличия печатающего устройства (устройств), входящих в состав ККМ и сигналов его (их) готовности (состояния);
- выработку сигналов блокировки работы ККМ и выдачу сообщений о результатах тестирования ККМ;
- формирование результатов тестирования;
- выработку и фиксацию КПД.

Средства защиты ФП должны вырабатывать и обеспечивать возможность печати на каждом фискальном документе кода аутентификации (КА) с возможностью его проверки, который бы однозначно определял, что для конкретного фискального документа произведена запись фискальных данных.

КА формируется для каждого фискального документа минимально из следующих параметров:

- информации, хранящейся в ФП (заводской номер ФП, заводской номер ККМ, регистрационный номер ККМ, идентификационный код владельца ККМ);
- номера документа;
- даты документа;
- времени документа;
- итога документа;
- нарастающего итога.

3.2. Гарантии свойств системы защиты и контроля целостности

Гарантии достоверной работы механизмов защиты реализуются на основе формирования функционально замкнутой среды ККМ, включающей только сертифицированное и проверенное на целостность ППП. Функционально замкнутая среда обеспечивается заданием только явных разрешений на запуск модулей ККМ. Механизмы защиты должны обеспечивать запрет загрузки операционной среды с внешних (по отношению к ККМ) устройств.

3.3. Регистрация

В модуле ФП должен быть организован минимальный набор энергонезависимых регистров и областей памяти с обеспечением их защиты от несанкционированного доступа программно-аппаратным способом:

1 - сменный денежный регистр продаж - обнуляется при закрытии смены (увеличивается при продаже);
2 - сменный денежный регистр покупок - обнуляется при закрытии смены (увеличивается при покупке);
3 - сменный счетчик продаж - обнуляется при закрытии смены (увеличивается при продаже);
4 - сменный счетчик покупок - обнуляется при закрытии смены (увеличивается при покупке);
5 - общий счетчик продаж закрытых смен - обнуляется при перерегистрации (увеличивается при закрытии смены);
6 - общий счетчик покупок закрытых смен - обнуляется при перерегистрации (увеличивается при закрытии смены);
7 - дата начала (конца) смены - изменяется при открытии (закрытии) смены;
8 - время начала (конца) смены - изменяется при открытии (закрытии) смены;
9 - дата последней продажи (покупки) - обнуляется при закрытии смены (изменяется при продаже/покупке);
10 - время последней продажи (покупки) - обнуляется при закрытии смены (изменяется при продаже/покупке);
11 - наименование предприятия;
12 - номер последнего фискального отчета - не обнуляется;
13 - регистр флагов (фискальный/нефискальный режим, выполнена перерегистрация, переключатель закрытия смены и т. п.).

3.4. Тестирование

Средства защиты должны обеспечивать тестирование правильности работы аппаратных и программных средств ККМ, а также собственно системы защиты.

3.5. Сигнализация

Средства ККМ должны предусматривать возможность реализации звуковой и визуальной сигнализации о НСД, неисправностях и нарушениях целостности ПО и данных.

Блок фискальной памяти ККМ должен содержать аппаратно защищенный от несанкционированных изменений и внешнего доступа программный модуль налогового инспектора. Данный программный модуль также необходимо размещать в ПЗУ фискального блока, и его работа должна осуществляться без загрузки исполняемого кода с других носителей информации, что может гарантировать правильную выдачу фискальной информации при посещении налоговым инспектором мест расположения ККМ.

3.6. Блокирование

Средства защиты ФП должны обеспечивать следующие блокировки:

всех операций, кроме чтения ФП, при обнаружении испорченных фискальных данных в ФП;
попыток изменения местоположения десятичной точки до операции перерегистрации;
всех операций, кроме чтения ФП, при переполнении ФП;
всех операций при неисправности ФП;
всех операций при отсутствии ФП;
попыток подбора пароля доступа к фискальным данным;
попыток выполнения любых действий с ФП до записи заводского номера;
повторной записи заводского номера;
попыток выполнения любых действий с ФП, кроме чтения и записи заводского номера, до проведения фискализации;
попыток выполнения любых действий с использованием пароля доступа к ФП, до записи суточного (сменного) итога в ФП;
записи в счетчики и регистры, организованные в отдельной энергонезависимой области фискальной памяти, и выработки КПД при невыполнении следующих условий проверки даты и времени:

  • текущая системная дата не может быть более ранней, чем дата последней записи в ФП, включая и дату проведения операции фискализации или перерегистрации;
  • текущие системные дата/время не могут быть более ранними, чем дата/время последней продажи/покупки;
  • дата документа не может быть более ранней, чем дата последней записи в ФП, включая и дату проведения операции фискализации или перерегистрации;
  • дата/время документа не должны более чем на 10 с отличаться от текущих системных даты/времени;
  • дата/время документа не могут быть более ранними, чем дата/время начала смены;
  • дата/время документа не могут быть более ранними, чем дата/время последней продажи/покупки;
  • дата/время документа не могут быть более чем на 24 ч поздними, чем дата/время начала смены.

3.7. Управление и сервис

Для автоматизации снятия налоговыми органами фискальных показаний блок фискальной памяти ККМ должен содержать защищенный от несанкционированных изменений и внешнего доступа модуль, обеспечивающий снятие фискальных показаний, а также дополнительной информации, необходимой налоговым органам (например, сумм налогов, подсчитанных ККМ, сведения о крупных покупках, электронный вариант контрольной ленты и т.п.) и ее запись на внешний носитель информации (например, электронный ключ, дискету, смарт-карту и т.п.) с защитой от несанкционированных модификаций и их прочтения самим продавцом (поставщиком) товаров (услуг) и обязательную передачу этого внешнего носителя в налоговую инспекцию вместе с балансовой документацией. Из налоговой инспекции на том же внешнем носителе передается подтверждающий код, разрешающий дальнейшую работу ККМ. Данный программный модуль необходимо размещать в составе ПО фискального блока, и его работа должна осуществляться без загрузки исполняемого кода с других носителей информации. Обязательность передачи носителя информации в налоговую инспекцию гарантируется тем, что без получения подтверждающего кода (что информация налоговыми органами получена) дальнейшая работа ККМ будет невозможна.

Выводы

1. В системах массовых платежей в целом и в электросвязи в частности целесообразно применять компьютерные ККМ, снабженные сертифицированными средствами защиты от несанкционированного доступа по классу <1В>.

2. Требования к ККМ должны быть доработаны так, чтобы обеспечить защиту интересов не только продавца, но и государства и покупателя.

Для этого можно использовать технологию кодов аутентификации.

3. Важнейшей задачей является создание такого механизма, при котором фискальные данные ККМ будут регулярно доставляться и накапливаться в налоговых инспекциях для последующей обработки.

Один из вариантов такого механизма описан в этой статье.

Литература.

1. Совместная программа <Защита общих информационных ресурсов Беларуси и России> / / Управление защитой информации, Т. 4. № 2. - Минск-Москва, 2000.

Автор: Конявский В. А.

Дата публикации: 01.01.2000

Библиографическая ссылка: Конявский В. А. Контрольно-кассовая машина для союза Беларуси и России // Управление защитой информации. Мн., 2000. Том 4. № 3. С. 276–282.


Метки документа:
другое  

Scientia potestas est
Кнопка связи