Общие положения 1Назначение Модели угроз 8



страница1/13
Дата20.12.2017
Размер1.73 Mb.
#4033
  1   2   3   4   5   6   7   8   9   ...   13


Содержание


1.Общие положения 8

1.1Назначение Модели угроз 8

1.2Правовые и методические основы Модели угроз 8

1.3Цели разработки Модели угроз 9

1.4Объекты защиты 10

1.5Структура Модели угроз 10

1.6Понятия и определения 12

1.7Список аббревиатур 14

2.Базовая модель угроз безопасности фискальных данных 15

2.1Определение условий создания и использования фискальных данных 15

2.1.1Описание форм представления фискальных данных 15

2.1.2Описание информации, сопутствующей процессам создания и использования фискальных данных в ККТ 16

2.1.3Источник фискальных данных 19

2.1.4Описание этапов жизненного цикла ККТ, влияющих на состояние информационной безопасности фискальных данных 19

2.1.5Функциональные элементы, выполняющие операции обработки фискальных данных 22

2.2Процесс разработки и производства ККТ и модулей фискальной памяти 26

1.Поставщик ККТ и/или поставщик модуля фискальной памяти (МФП) разрабатывает и сертифицирует модель МФП ККТ в соответствии с установленным порядком разработки шифровальных (криптографических) средств [5]. 26

2.Разработанная модель МФП ККТ включается ФСБ России в перечень сертифицированных средств криптографической защиты. 27

3.Модули фискальной памяти в установленном для СКЗИ порядке поэкземплярно регистрируются поставщиком МФП ККТ. 27

4.Поставщик ККТ получает МФП и встраивает их в модель ККТ, в установленном порядке производит тематические исследования ККТ на предмет отсутствия негативных влияний программно-аппаратных средств разработанной модели ККТ на МФП. 27

5.При положительном результате тематических исследований ККТ Поставщик ККТ включает сведения о разработанной модели ККТ в реестр ККТ. 27

6.Поставщик ККТ производит ККТ, осуществляет их поэкземплярный учет, в том числе указывая номера МФП, установленных в ККТ. 27

2.3Процесс технической поддержки ККТ 27

2.4Источники угроз информационной безопасности фискальных данных 28

2.4.1Мотивация непосредственных нарушителей безопасности фискальных данных 28

1.Для налогоплательщика, заинтересованного в сокрытии части выручки, фактически полученной от покупателей (клиентов) в ходе расчетных операций и от налоговых органов с целью уклонения от уплаты налогов. 28

2.Для сотрудника налогоплательщика, заинтересованного в сокрытии от налогоплательщика части выручки, фактически полученной им в ходе расчетных операций, для присвоения им этой части выручки. 28

3.Для внешнего нарушителя, заинтересованного в несанкционированном доступе к информации, путем перехвата фискальных данных, коммерческой тайны продавца, коммерческой или личной тайны покупателя, дискредитации налогоплательщика перед покупателями, контрагентами, налоговыми органами, дискредитации поставщика ККТ перед его потенциальными покупателями. 28

2.4.2Вторичные мотивы и вторичные субъекты налоговых правонарушений 29

3.Недобросовестный производитель ККТ и ПО для ККТ, который позиционирует уязвимость системы защиты ККТ, как «конкурентное преимущество» своей продукции. Такой производитель либо прямо размещает в ККТ свою закладку, либо закладывает в конструкции ККТ возможность для применения закладки, поставляемой в дальнейшем. 29

4.Производитель закладки для ККТ. При этом закладка может исполняться в виде программного или программно-аппаратного модуля, устанавливаемого в ККТ в дополнение к ее программным или программно-аппаратным средствам, либо вместо ее штатных программных или программно-аппаратных средств, в том числе в виде контрафактного процессора ККТ или контрафактного модуля фискальной памяти, в виде несанкционированной модификации ПО ККТ. 29

5.Недобросовестный сотрудник службы технического обслуживания ККТ, производящий незаконную модернизацию ККТ или бездействующий при выявлении незаконной модернизации ККТ. 29

5.1.1Обзор практик нарушений информационной безопасности фискальных данных 30

1.В настоящее время¸ при отсутствии удаленного доступа к программно-аппаратным средствам ККТ, доминирующим мотивом нарушения безопасности фискальных данных является замысел на налоговое правонарушение. Инициатива нарушения безопасности при этом принадлежит налогоплательщику. 35

6.Значительная часть налоговых правонарушений осуществляется нетехническими методами. Прежде всего – это невыдача чека покупателю и/или выдача чекового суррогата, не выдерживающего проверки. 36

7.Возможность нарушения безопасности фискальных данных с использованием нетехнических махинаций не дает оснований для признания этого способа махинаций основным и пренебрежения угрозы совершения махинаций с использованием технических средств, а также противодействия этим угрозам с использованием технических средств защиты фискальных данных. 36

8.Следует признать, что техническое обеспечение нарушений информационной безопасности фискальных данных весьма развито, изобретательно, изощренно и составляет отдельный, сформировавшийся и вполне объемный рынок продукции и услуг, предназначенных для технического обеспечения налоговых правонарушений. 36

9.Фокус технической атаки при этом направлен на целостность потока фискальных данных. Простым, эффективным и одновременно технически наиболее сложно детектируемым способом уклонения от налогообложения является изъятие части первичных фискальных документов из оборота – невыдача чека по факту его формирования или отложенное формирование чеков и «переучет» выручки с изъятием части выручки из обращения, например, по результатам смены или истечения срока давности привлечения к административной ответственности за выдачу недостоверного кассового чека. 36

10.Вторым по распространенности видом атаки является нарушение целостности непосредственно фискального документа. Это - выдача правдоподобно выглядящего, иногда даже – дающего положительный результат проверки КПК чека (путем, например, дублирования чеков или фальсификации данных на входе системы фискальной регистрации). Эта атака, как правило, реализуется путем нарушения целостности ККТ, которая, будучи проверенной, включенной в реестр контрольно-кассовой техники, правильно зарегистрированной и эксплуатируемой, должна противостоять такого рода атакам. 36

11.Далее, наряду с нарушением целостности фискальных документов (путем, возможно, сопутствующего нарушения целостности ККТ), широчайшим образом применяется нарушение систем идентификации и аутентификации ККТ. К распространенным атакам данного вида относится нарушение системы аутентификации, позволяющее осуществить клонирование ККТ («вторая касса», «черная касса», «касса под столом»), когда один зарегистрированный образец ККТ, несущий умеренную нагрузку по выручке, «прикрывает» собой один или несколько образцов ККТ, выдающих неучтенные фискальные документы и скрывающих свою выручку от налогообложения. Нарушения идентификации ККТ выполняются путем регистрации ККТ на некоторую фирму-однодневку (не платящую и не собирающуюся никогда платить налоги) и подстановка этой кассы в торговый зал другой, фактически выполняющей продажи, организации. Как определенный класс мошенничеств с нарушением аутентификации следует выделить также выдачу фискальных документов от имени другой организации, вполне легитимной, зарегистрированной и платящей налоги (мошенничество «перекладывание налогов на соседа»). 37

12.Важнейшим объектом атаки и соответственно, важным объектом защиты фискальных данных являются часы ККТ. Время выдачи фискального документа фальсифицируется в ряде атак, связанных как с целостностью фискальных данных (например, путем «переучета» и сокрытия части чеков при отложенной фискальной регистрации выручки), в мошенничествах с многократным оборотом однажды выданного легитимного чека, а также атак, связанных с идентификацией и аутентификацией ККТ, когда мошенник выдает свои чеки «под прикрытием» ранее выданных другой, легитимной организацией, чеков. 37

13.Далее, потенциально значительный ущерб взиманию налогов наносит оборот неучтенных копий, клонов и повторно используемых средств регистрации фискальных данных и ключевых документов. По данной зоне мошенничеств отсутствует собранная до конца и доведенная до следственного результата и судебного взыскания практика. Однако о таких нарушениях убедительно свидетельствуют два факта: появление чеков с «правильным» КПК, выдаваемых вне налогового учета клонами зарегистрированной техники и существенный дисбаланс между числом официально проданных и фактически эксплуатируемых образцов нелегитимных (несертифицированных ФСБ России) средств защиты фискальных данных. Хотя инициатором и исполнителем налогового правонарушения в данном случае, как и ранее, является недобросовестный налогоплательщик, данное нарушение, как и вывод на рынок ряда уязвимостей ККТ и закладок в ККТ, выполняется при активном содействии недобросовестного производителя ККТ и недобросовестных производителей нелегитимных средств регистрации фискальных данных и ключевых документов. В налоговое правонарушение при этом вовлекаются, как правило, и операторы «серого» рынка контрафактной ККТ, а также производители средств взлома ККТ. 37

13.1.1Вновь появляющиеся угрозы информационной безопасности фискальных данных 38

13.1.2Сетевая информационная безопасность ККТ 38

13.2Модель угроз верхнего уровня 39

1.Эксплуатация недобросовестным налогоплательщиком уязвимостей, недокументированных возможностей ККТ, в т.ч. закладок производителя (атаки на целостность фискальных данных при их создании и обработке). 39

14.Внедрение недобросовестным налогоплательщиком или лицами, находящимися в сговоре с ним, закладок в ККТ. Несанкционированная модернизация, разрушение, порча, нарушение целостности ККТ, установка контрафактного МФП, закладки, несанкционированная «перепрошивка» ПО кассы (атаки на целостность фискальных данных при их создании и обработке). 39

15.Нарушение недобросовестным налогоплательщиком или лицами, находящимися в сговоре с ним, маркировки, системы идентификации ККТ (в т.ч. электронной), подмена ККТ, клонирование ККТ, средств регистрации фискальных данных и ключевых документов (атаки на целостность фискальных данных при их создании и обработке или манипуляции с несанкционированными образцами ККТ). 39

16.Блокирование недобросовестным налогоплательщиком или лицами, находящимися в сговоре с ним, или третьими лицами, фискальных данных (в т.ч. при их передаче Оператору фискальных данных или в налоговые органы). 39

17.Нарушение недобросовестным налогоплательщиком или лицами, находящимися в сговоре с ним, или третьими лицами, целостности фискальных данных при их передаче Оператору фискальных данных или в налоговые органы (атаки перехвата, искажения, издания от чужого имени фискальных данных). 40

18.Нарушение третьими лицами конфиденциальности фискальных данных при их передаче Оператору фискальных данных или в налоговые органы (перехват, разглашение коммерческой тайны владельца ККТ). 40

19.Нарушение недобросовестным налогоплательщиком или лицами, находящимися в сговоре с ним, или третьими лицами, целостности первичных фискальных документов при их использовании и обработке в электронном виде (искажение, фальсификация юридически значимого документа). 40

19.1Модель нарушителя информационной безопасности фискальных данных технических средств и автоматизированных систем обработки фискальных данных 40

19.1.1Классификация нарушителей информационной безопасности 40

19.1.2Н1: нарушитель, не имеющий доступа к системам обработки фискальных данных 41

19.1.3Н2: субъект в зоне эксплуатации ККТ 42

19.1.4Н3: нарушитель с правами пользователя ККТ 43

20.Модель угроз средств обработки фискальных данных. Контрольно-кассовая техника 45

20.1Состав угроз целостности контрольно-кассовой техники на этапах ее проектирования, одобрения типа и производства 45

1.Ошибка проектирования, приводящая к появлению уязвимости ККТ. 45

21.Разработка третьим лицом (нарушитель Н1z) специализированного для применения в данной модели ККИ средства атаки на первичные фискальные данные (аппаратной или программной закладки). 45

22.Установка закладки в процессе производства, хранения, транспортировки ККТ (путем модернизации аппаратной части ККТ, ПО ККТ или того и другого). Данная атака может производиться недобросовестным разработчиком, недобросовестным сотрудником производителя ККТ, третьим лицом, участвующим в процессе складского хранения или поставки готовой продукции ККТ. 45

22.1Состав угроз контрольно-кассовой технике на этапе регистрации (перерегистрации) ККТ 45

1.Установка закладки в процессе приобретения, ввода в эксплуатацию, перевода ККТ в фискальный режим. Разновидностью данной атаки является блокирование средств криптографической защиты фискальных данных в составе ККТ и установка имитатора СКЗФД, некорректно выполняющего функции защиты первичных фискальных данных, либо нелегитимного СКЗФД, заведомо имеющего дубликаты или клоны, позволяющие имитировать применение СКЗФД и не осуществлять регистрацию, передачу и долговременное хранение фискальных данных. 45

23.Регистрация в качестве ККТ техники, не прошедшей одобрение типа. 46

24.Нарушение правил проверки целостности и исправности ККТ при регистрации ККТ. (В частности, применение неаттестованного оборудования для регистрации ККТ, не производящего полную проверку целостности, неустановка или ненадлежащая установка марки-пломбы и т.п.). 46

24.1Угрозы целостности ККТ и отдельных элементов ККТ на этапе эксплуатации ККТ 46

1.Нарушение целостности программно-аппаратных средств ККТ (размещение программной или аппаратной закладки, нарушение целостности штатного ПО). 46

25.Нарушение целостности модуля фискальной памяти ККТ. Нарушение средств идентификации МФП ККТ. Клонирование/компрометация модуля фискальной памяти ККТ. 47

26.Применение в составе ККТ контрафактных модулей фискальной памяти. 47

27.Клонирование ККТ. Применение, наряду с легально зарегистрированной, «теневой» контрольно-кассовой техники, на которую выводится регистрация скрываемой от налогообложения выручки. 47

27.1Сетевые угрозы целостности ККТ 47

1.Поиск уязвимостей ККТ методами сетевого доступа и/или эксплуатация известных уязвимостей ККТ по отношению к сетевым атакам. Захват прав доступа администратора и модернизация прошивки (установка закладки) в ККТ. 47

28.Атаки на ККТ, выполняемые путем распространения опасного мобильного кода (вирусопоражение, установка spyware и т.п.) из открытых сетей общего пользования и ЛВС налогоплательщика. 47

29.Перехват каналов сетевого управления (конфигурирования) ККТ. Нарушение конфигурации ККТ. 47

30.Модель угроз информационной безопасности фискальных данных, фиксируемых контрольно-кассовой техникой и переданных оператору фискальных данных 48

30.1Состав угроз ИБ ФД на этапе эксплуатации ККТ 48

30.1.1Угрозы целостности фискальных данных при вводе первичной информации и выдаче распечатки фискального документа 48

30.1.2Угрозы фискальным данным в процессе их формирования и обработки 49

1.Манипуляции с чеками при их создании (блокирование регистрации ФД и невыдача чека, дублирование чеков или подмена номера/идентификатора чека). 49

31.Фальсификация содержания чека (блокирование учета части данных при формировании фискального документа, нарушение целостности фискальных данных путем изъятия или фальсификации части товарных позиций, путем фальсификации данных о владельце ККТ или регистрационных атрибутов ККТ). 49

32.Фальсификация фискального признака чека. 49

33.Отложенное формирование или ревизия отчетности с изъятием полного состава (или части) фискальных данных. 49

34.Фальсификация электронного фискального документа (в случае, если фискальные документы предполагается формировать в электронном виде). 49

34.1.1Сетевые угрозы информационной безопасности фискальных данных 49

1.Любое нарушение целостности фискальных данных произвольным нарушителем из сети. 50

35.Изъятие из потока (блокировка) или нарушение целостности фискальных данных недобросовестным налогоплательщиком на этапе их передачи от ККТ к ОФД. 50

36.Перехват (нарушение конфиденциальности) фискальных данных на этапе их передачи от ККТ к ОФД. 50

37.Атаки на систему аутентификации участников сетевого взаимодействия. Атака с посредником. Имперсонация ККТ. 50

38.Подавление сетевой активности ККТ (атака «отказ в обслуживании», направленная на кассу). 50

39.Модель угроз средств обработки фискальных данных. Автоматизированная система электронной регистрации контрольно-кассовой техники 50

39.1Порядок выполнения электронной регистрации контрольно-кассовой техники 50

39.2Назначение и функции АС ЭР ККТ 53

39.3Классификация угроз информационной безопасности АС ЭР ККТ 54

39.3.1Угрозы со стороны поставщика ККТ 56

1.Выпуск незарегистрированной продукции. Дублирование заводских номеров контрольно-кассовой техники. (Целью угрозы является последующая эксплуатация незарегистрированной техники с уклонением от налогообложения расчетных операций). 56

40.Выпуск контрольно-кассовой техники, не соответствующей образцу модели, прошедшей одобрение типа. Выпуск ККТ, содержащей программный или аппаратные закладки. Выпуск ККТ, содержащей уязвимости для установок программных или аппаратных закладок. 56

41.Применение несертифицированных средств криптографической защиты фискальных данных. 56

41.1.1Угрозы нарушения технического регламента регистрации ККТ 56

1.Регистрация (легитимизация) образца контрольно-кассовой техники, модель которой не включена в Государственный реестр. 56

42.Регистрация неисправной, не выполняющей или некорректно выполняющей функции регистрации информации контрольно-кассовой техники. 57

43.Регистрация техники без уведомления налоговых органов. При эксплуатации такой техники правонарушитель может пытаться обеспечить корректный результат проверки контрольного проверочного кода для чеков, выведенных из-под налогообложения. 57

44.Нарушение целостности корпуса ККТ или ненадлежащее использование защиты корпуса ККТ. 57

45.Нарушение правил проверки целостности и регистрации ККТ. Неприменение или ненадлежащее применение технических средств проверки исправности ККТ. Перевод в фискальный режим и ввод в эксплуатацию неисправной (содержащей закладки, не выполняющей функции регистрации информации) контрольно-кассовой техники. (В частности, применение неаттестованного оборудования для регистрации ККТ, не производящего полную проверку целостности, неустановка или ненадлежащая установка марки-пломбы и т.п.). 57

46.Оформление ложных регистрационных документов или ложных свидетельств об исполнении этапов процедуры регистрации ККТ (осмотра, проверки соответствия модели, проверки исправности ККТ). 57

46.1.1Угрозы целостности регистрационных данных 57

1.Подача налогоплательщиком Оператору регистрации неверных сведений для регистрации ККТ. 57

47.Ввод в ККТ недостоверной регистрационной информации. 57

48.Нарушение целостности содержания регистрационной информации при ее вводе в ККТ и/или нарушение функции средств проверки целостности регистрационной информации. 57

48.1.1Угрозы техническим средствам дистанционной проверки исправности ККТ 58

48.1.2Сетевые угрозы информационной безопасности АС ЭР ККТ 58

1.Перехват, нарушение конфиденциальности регистрационных данных и/или результатов проверки сведений и проверки исправности ККТ. 58

49.Перехват, нарушение целостности (фальсификация) регистрационных данных и/или результатов проверки сведений и проверки исправности ККТ. 58

50.Фальсификация регистрационной сессии. Подмена сетевого узла, регистрирующего ККТ. 58

51.Фальсификация регистрационной сессии. Подмена сетевого сервера АС ЭР ККТ (фишинг). 58

52.Нарушение целостности АРМ АС ЭР ККТ, вирусопоражение, установка закладки в АРМ АС ЭР ККТ из сети в процессе регистрации ККТ. 59

53.Несанкционированный доступ из сети, нарушение целостности, вирусопоражение АС ЭР ККТ, установка закладки из сети в АС ЭР ККТ. 59

54.Перехват, нарушение конфиденциальности и целостности данных, передаваемый между Оператором регистрации и налоговыми органами. 59

55.Подавление услуги АС ЭР ККТ избыточным количеством сетевых соединений, подлинных (включая атаку перехвата и повторной передачи пакета или сообщения) или ложных запросов на регистрацию. 59

56.Выпуск незарегистрированной и/или не соответствующей образцу модели, прошедшей одобрение типа контрольно-кассовой техники с одновременным предоставлением фальсифицированных (фишинг) средств регистрации ККТ. 59

56.1.1Юридические риски Оператора регистрации 59

1.Отказ участником процесса регистрации ККТ от факта выполнения действия (операции). Перераспределение ответственности за неправомерные действия. 59

57.Непризнание налогоплательщиком причин (фактов) отказа в регистрации ККТ. 59

58.Оформление ложных документов о регистрации ККТ. 59

58.1.1Внутренние угрозы информационной безопасности АС ЭР ККТ 60

59.Модель угроз средств обработки фискальных данных. Автоматизированная система Оператора фискальных данных 62

59.1Предположения о порядке сбора фискальных данных Оператором фискальных данных 62

59.2Назначение и функции АС ОФД 63

59.3Классификация угроз информационной безопасности АС ОФД 63

59.4Сетевые угрозы информационной безопасности АС ОФД 65

1.Подавление услуги АС ОФД (атака «отказ в обслуживании»). Перехват и повторная передача ранее переданных легитимных фискальных данных (может иметь как самостоятельные деструктивные последствия, так и использоваться для усиления эффекта атаки «отказ в обслуживании»). 66

60.Создание ложного сервера АС ОФД (имперсонация АС ОФД, «фишинг»). Блокировка/фальсификация каналов квитирования приема фискальных документов. 67

61.Создание ложного канала проверки фискального признака (в пакете с выдачей ложного чека). 67

61.1Юридические риски Оператора фискальных данных, связанные с качеством фискальных данных 67

1.Перенаправление к Оператору фискальных данных претензий покупателей в случае отказа владельца ККТ от фискального документа. 67

62.Претензия налогоплательщика в случае легализации Оператором фискальных данных фальшивого фискального документа или при обнаружении чека, изданного третьим лицом от имени налогоплательщика. 67

62.1Внутренние угрозы информационной безопасности АС ОФД 67

63.Анализ угроз информационной безопасности фискальных данных, средств и систем обработки фискальных данных 68

64.Анализ мер противодействия угрозам информационной безопасности фискальных данных, средств и систем обработки фискальных данных 101

64.1Описание мер противодействия угрозам ИБ ФД, ККТ, АС ЭР ККТ, АС ОФД 101

1.1Оценка эффективности мер противодействия угрозам информационной безопасности 137

64.2Заключение об эффективности мер защиты фискальных данных, средств и систем обработки фискальных 154

1.Применение контрольно-кассовой техники с передачей данных дает ряд ощутимых преимуществ как для бизнеса, так и для осуществления контрольной работы налоговых органов. В то же время, подключение контрольно-кассовой техники к сетям связи общего пользования, расширение состава технических средств (включая так называемую мобильную и инновационную технику), выполнение электронной регистрации контрольно-кассовой техники без непосредственного присутствия представителей налоговых органов при осуществлении процесса регистрации – изменяют условия эксплуатации контрольно-кассовой техники, создают предпосылки для доступа к ней значительно большего количества нарушителей информационной безопасности и тем самым порождают ряд качественно новых угроз. Появление новых угроз, наряду с уже существующей масштабной криминальной индустрией, обслуживающей интересы налоговых правонарушителей, требует усиления мер защиты фискальных данных, средств и систем обработки фискальных данных. 154

65.Несмотря на то, что количество угроз информационной безопасности фискальных данных, средств и систем обработки фискальных данных в новом порядке применения ККТ увеличивается, их анализ показывает, что адекватные меры противодействия этим угрозам позволяют: 154

66.Важнейшим мотивом перехода к новому порядку применения контрольно-кассовой техники является снижение нагрузки на бизнес. Анализ показывает, что достигнуть перечисленных выше целей нового порядка применения ККТ можно без практического влияния на бюджет налогоплательщика, а по некоторым статьям – с возможным его сокращением. Решающим фактором сокращения издержек в экономике средств и систем фискального контроля является применение криптографических технологий, поскольку именно криптографические, в отличие от инженерно-технических, меры защиты информации обладают одновременно большей стойкостью и меньшей стоимостью. 155

67.Результаты анализа угроз информационной безопасности фискальных данных, средств и систем их обработки позволяют выделить следующие ключевые направления обеспечения безопасности нового порядка применения ККТ: 155

68.В области контроля за парком применяемой ККТ наиболее актуальной угрозой безопасности средств обработки фискальных данных является разработка контрафактной продукции с функциями поддержки налоговых правонарушений. Главной защитой от этой угрозы является развитие мер одобрения типа ККТ, установленных в системе Государственного реестра ККТ, для применения в ККТ с передачей данных и в новых платформах ККТ. Поскольку новый порядок применения ККТ расширяет, не изменяя основ, функциональность ККТ, представляется возможным преемственное расширение требований существующей в рамках Государственного реестра системы контроля и автоматизация этого контроля для вновь вводимой услуги электронной регистрации ККТ. Основными принципами защиты от угроз применения вредоносной контрафактной продукции являются контроль за парком техники (обоснованное включение ККТ в Государственный реестр), учет выпускаемой продукции (в том числе поэкземплярный учет средств криптографической защиты фискальных данных), проверка исправности ККТ при ее регистрации. 156

69.Автоматизированная услуга электронной регистрации ККТ является одновременно важным фактором снижения нагрузки на бизнес и эффективным средством контроля за действующим парком ККТ. Наиболее актуальными угрозами средствам фискального контроля в этой области являются всякого рода способы нарушить целостность регистрируемой контрольно-кассовой техники или подменить модель одобренного типа контрафактным устройством с вредоносной функциональностью. Важнейшим элементом защиты на этом этапе является автоматизированная проверка исправности ККТ, которая может выполняться дистанционно и в автоматическом режиме. Однако некоторые функции, такие, как осмотр (контроль целостности) корпуса ККТ, контроль подлинности предъявленной модели ККТ, контроль подлинности сведений о налогоплательщике и документов ККТ, если эти документы представлены в бумажном виде, – не поддаются полной автоматизации и потребуют присутствия представителя поставщика ККТ или специалиста Оператора регистрации. 156

70.На этапе эксплуатации ККТ, при выполнении регистрации информации о платежах и расчетах, более всего опасны манипуляции с чеками и фальсификация фискальных данных. В тех случаях, когда в результате налоговых правонарушений при выполнении расчетных операций покупателю выдается чековый суррогат, определяющее значение приобретают средства криптографической защиты фискальных данных, позволяющие однозначно выявить фальсификации в ходе учета фискальных данных. Для защиты от фальсификации чеков требуется применение средств криптографической защиты в составе каждого экземпляра ККТ, соблюдение требований по эксплуатации ККТ, исключающих подмену и блокирование этих средств криптографической защиты. Особое значение приобретает построение систем проверки фискального признака покупателем. Такие средства были апробированы в эксперименте ФНС России, показали положительный результат их применения и представляют существенный резерв для обеспечения безопасности фискальных данных. Для того, чтобы социальный ресурс покупателей, мобилизованный на выполнение этих проверок, не растрачивался впустую, следует уделить внимание однородности средств криптографической защиты фискальных данных и целостности пространства доверия в зоне генерации и проверки фискальных данных. Недостаточное внимание этим вопросам может приводить к одновременному созданию недобросовестными производителями контрафактной продукции ККТ и средств «проверки» формируемых ею «фискальных признаков». Прецеденты создания таких систем имеются уже сегодня, до введения нового порядка применения ККТ. 156

71.Внедрение перечисленных мер информационной безопасности фискальных данных, средств и систем обработки фискальных данных требует обновления и гармонизации действующего законодательства и нормативно-правовой базы эксплуатации ККТ. Основными задачами в этом направлении являются: 157

72.Приложение 1. Источники разработки 159

1.ФНС России. «Концепция информационной безопасности Федеральной налоговой службы Российской Федерации» (утверждена приказом Федеральной налоговой службы от 13 января 2012 г. № ММВ-7-4/6@). 159

73.Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» (Собрание законодательства Российской Федерации, 2003, N 21, ст. 1957; 2009, N 23, ст. 2776; N 29, ст. 3599; 2010, N 31, ст. 4161). 159

74.Постановление Правительства Российской Федерации от 23 июля 2007 г. № 470 «Об утверждении Положения о регистрации и применении контрольно-кассовой техники, используемой организациями и индивидуальными предпринимателями» (Собрание законодательства Российской Федерации, 2007, N 31, ст. 4089; 2008, N 24, ст. 2869). 159

75.Постановление Правительства Российской Федерации от 30 июля 1993 г. № 745 «Об утверждении Положения по применению контрольно-кассовых машин при осуществлении денежных расчетов с населением и Перечня отдельных категорий предприятий (в том числе физических лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в случае осуществления ими торговых операций или оказания услуг), организаций и учреждений, которые в силу специфики своей деятельности либо особенностей местонахождения могут осуществлять денежные расчеты с населением без применения контрольно-кассовых машин» (Собрание законодательства Российской Федерации, 1993, N 32, ст. 3017; 1995, N 44, ст. 4182; 1997, N 3, ст. 384; 1998, N 1, ст. 125; 1998, N 33, ст. 4016; N 36, ст. 4525; N 48, ст. 5932; 1999, N 3, ст. 338; 2000, N 50, ст. 4898; 2003, N 33, 3270). 159

76.ФСБ России. «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждено приказом ФСБ России от 09.02.2005 г. № 66, зарегистрировано в Минюсте России 03.03.2005 г. № 6382. 159

77.Требования ФСБ России к СКЗИ. 160

78.Требования ФСБ России к СКЗФД. 160

79.ФСБ России. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г., №149/5-144. 160

80.ФСТЭК России. Руководящий документ «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации», утвержден 30 марта 1992 г. 160

81.ФСТЭК России. Руководящий документ «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», утвержден 4 июня 1999 г. 160

82.ФСТЭК России. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены 02 марта 2001 г. 160

83.Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». 160

84.ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. 160

85.ЗАО «Атлас-карт». Отчет о работе нормативно методического характера по теме «Разработка предложений по совершенствованию организационной, программно-аппаратной, законодательной системы государственного контроля при осуществлении наличных денежных расчетов при реализации товаров (работ, услуг) в целях налогообложения, на основе международного опыта», выполненного по заказу №0173100007812000049 в рамках госконтракта от 17.09.2012 № 5-7-02/169 ФНС России. 160

86.«Административный регламент предоставления Федеральной налоговой службой государственной услуги по регистрации контрольно-кассовой техники, используемой организациями и индивидуальными предпринимателями в соответствии с законодательством Российской Федерации», утвержден Приказом Министра финансов Российской Федерации от 29 июня 2012 г. № 94н. 160

87.Приложение №1 к «Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», «Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств», утвержден постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313. 161

88.«Доклад об оценке результатов эксперимента по применению контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с применением платежных карт, обеспечивающей передачу налоговым органам информации в электронном виде информации о таких расчетах, на территории Республики Татарстан, Калужской области, Московской области и г. Москвы с 1 августа 2014 года до 1 февраля 2015 г.», приложение к письму ФНС России в Правительство Российской Федерации № ЕД-16-2/62@ от 05.03.2015. 161

89.ГОСТ Р 51901.1-2002. «Менеджмент риска. Анализ риска технологических систем». 161

90.ФСБ России «Требования к средствам электронной подписи и удостоверяющего центра», утверждены приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. N 796. 161







Поделитесь с Вашими друзьями:
  1   2   3   4   5   6   7   8   9   ...   13




База данных защищена авторским правом ©vossta.ru 2022
обратиться к администрации

    Главная страница