close

Вход

Забыли?

вход по аккаунту

- ремонт контрольно

код для вставкиСкачать
ОАО «МОСКАССЗАВОД»
Интервью К.Н. Пармененкова
Экспертное мнение.
В последнее время очень много событий происходило вокруг ЭКЛЗ, были письма, статьи, публикации на эту тему,
обсуждалась легитимность применения в составе ККТ тех или иных ЭКЛЗ. Сегодня мы беседуем с К.Н. Пармененковым,
который долгое время был у руля ГМЭК по ККМ, под его руководством внедрялась ЭКЛЗ. В июле 2010 года мы уже
публиковали интервью с К.Н.Пармененковым, сейчас новая встреча. Наши с ним интервью уже становятся доброй
традицией.
Алексей Шинкин. Константин Николаевич, в последнее время письма Центра защиты информации ФСБ России,
которыми оперировало ЗАО «Атлас-карт», однозначно указывали на легитимность только одной ЭКЛЗ в России – это
ЭКЛЗ, которую распространяет компания Безант. Хотелось бы услышать от Вас, насколько обоснованы претензии на
монополию ЭКЛЗ от компании Безант.
Константин Пармененков. Причина появления таких писем вполне понятна. Долгое время компания Безант
распространяла ЭКЛЗ практически единолично, хотя законных оснований для этого не было. Так получилось, что на
заре становления ЭКЛЗ, в 2001 году Безант первым из компаний предложило свою разработку ЭКЛЗ на рынок. А
дальше началась реформа органов власти. Сначала Указом Президента России от 11 марта 2003 года N308 было
упразднено ФАПСИ, которое занималось по поручению ГМЭК по ККМ (далее – ГМЭК) работами по координации
разработки и производства ЭКЛЗ. Функции ФАПСИ были переданы ФСБ России, СВР России и Службе специальной
связи и информации при ФСО России, при этом функции по ЭКЛЗ никому не передавались. Затем
Постановлением Правительства РФ от 16 апреля 2004 г. № 215 упразднена была и сама ГМЭК по ККМ, функции
которой так же были переданы другим органам власти, и тоже только частично. В результате ООО «Безант»
воспользовалось правовым вакуумом и само себя назначило естественной монополией.
Алексей Шинкин. Значит у ООО «Безант» есть все основания быть единственным поставщиком ЭКЛЗ?
Константин Пармененков. Нет, совсем не так. Быть первым – не значит остаться единственным навсегда. Кроме
того, стоит отметить, что ООО «Безант», которое в своё время упоминалось в решениях ГМЭК, еще в 2009 г. прекратило
свою деятельность, связанную с производством и распространением ЭКЛЗ. Разработанная им в 2001 г. ЭКЛЗ давно
снята с производства. Сегодняшняя ЭКЛЗ, это уже ЭКЛЗ-3, которая имеет мало общего с той первой ЭКЛЗ, как и ООО
«Безант», которое сегодня занимается распространением ЭКЛЗ-3, это совсем другое юридическое лицо. Просто
предприимчивые люди открыли под тем же наименованием другую фирму, сделали другую ЭКЛЗ и спокойно
работают, создавая миф о своей единственности и неповторимости. И только когда на рынок вышли ЭКЛЗ-КС и ЭКЛЗ-К,
это видимо сильно им не понравилось, вот и начали писать юридически несостоятельные письма. Только авторы писем
не учли, что с момента внедрения ЭКЛЗ изменилось законодательство в Российской Федерации, улучшилась ситуация с
юридической грамотностью в стране. Так, например, сегодня деятельность по разработке, производству и
распространению криптографической продукции может, как подпадать под лицензирование, так и не попадать, а
сертифицированная криптографическая продукция для ККТ потеряла свой иммунитет от необходимости
лицензирования. Если прежний Безант, который имел сертификат ФСБ России на свою ЭКЛЗ, мог распространять её
без лицензии, то с апреля 2012 года для распространения и технического обслуживания ЭКЛЗ Безанта требуется
лицензия ФСБ. С этого времени ЭКЛЗ Безанта подпадает под действие Положения о лицензировании деятельности по
разработке, производству, распространению шифровальных (криптографических) средств (далее – Положение о
лицензировании), утвержденного постановлением Правительства Российской Федерации от 16 апреля 2012 г. №313.
Другое дело – ЭКЛЗ-КС или ЭКЛЗ-К. Эти ЭКЛЗ не сертифицированы в ФСБ и поэтому под обязательное
лицензирование не попадают. То есть, после последних изменений в законодательстве сертификат ФСБ, за который как
за стену всё это время прятался Безант, стал сегодня для Безанта капканом, так как для ЦТО и генпоставщиков ККТ,
работающих с ЭКЛЗ Безанта, если следовать требованиям Положения о лицензировании, теперь тоже требуется
лицензия ФСБ. Сложившейся ситуацией тут же воспользовались производители ЭКЛЗ-КС и ЭКЛЗ-К. Вот мы и увидели в
вышеуказанных письмах попытку вернуть себе рынок административным путём. Однако авторы не учли, что
подействовать их письма могут только на отдельных слабонервных руководителей налоговой службы на местах. Мы
живём в век информационных технологий. Не успели эти письма распространиться по стране, как явная
ангажированность и лоббирование одного из участников рынка тут же привлекли к себе внимание со стороны ФАС и
ФНС России. И реакция последовала незамедлительно. Соответствующие указания ФНС России отправлены во все
1 Бунаков Борис Владимирович E-mail: [email protected]
ОАО «МОСКАССЗАВОД»
территориальные подразделения, у Безанта нет больше монополии на ЭКЛЗ, а ЭКЛЗ-КС и ЭКЛЗ-К признаются
инспекциями ФНС наряду с ЭКЛЗ Безанта.
Алексей Шинкин. А как же аргументы, которые излагали Атлас-карт и Центр защиты информации?
Константин Пармененков. Давайте конкретно разберём эти «аргументы». В письмах часто фигурируют Технические
требования к ККМ в части ЭКЛЗ, которые были утверждены протоколом ГМЭК №6/65 от 27.11.2001 г. Читаем, что
там сказано:
Утвердить представленные ФАПСИ (письмо от 27 ноября 2001 года N 18/5-710) в соответствии с решениями
Государственной комиссии от 15 июня 2000 года (раздел V протокола N 2/56-2000) и от 14 февраля 2001 года
(раздел III протокола N 1/60-2001) Технические требования к контрольно-кассовым машинам в части электронной
контрольной ленты защищенной (ЭКЛЗ) согласно приложению N 6 к настоящему протоколу.
Теперь приведём выдержку из Приложения №6:
Электронная контрольная лента защищенная (ЭКЛЗ) — программно-аппаратный модуль в составе ККМ,
обеспечивающий контроль функционирования ККМ путем:
- некорректируемой (защищенной от коррекции) регистрации в нем информации обо всех оформленных на ККМ
платежных документах и отчетах закрытия смены, проводимой в едином цикле с их оформлением;
- формирования криптографических проверочных кодов для указанных документов и отчетов закрытия смены;
- долговременного хранения зарегистрированной информации в целях дальнейшей ее идентификации, обработки и
получения необходимых сведений налоговыми органами.
Криптографический проверочный код (КПК) — совокупность параметров: значение КПК и номер КПК.
Значение КПК — контрольная сумма документа, рассчитываемая из его параметров на основании
криптографических алгоритмов.
Номер КПК — непрерывно нарастающий порядковый номер операции формирования значения КПК.
Регистрационный номер ЭКЛЗ — номер, присвоенный данной ЭКЛЗ в процессе ее изготовления.
Обратите внимание, что в Технических требованиях к ККМ в части ЭКЛЗ не определён конкретный способ
формирования КПК, не указаны криптографические алгоритмы для получения значения КПК. Такое решение было
принято ГМЭКом сознательно. В период работы над требованиями по ЭКЛЗ у отдельных специалистов, принимавших
участие в работе над проектом ЭКЛЗ, были предложения указать конкретно, что формирование КПК следует
осуществлять с использованием алгоритма криптографического преобразования информации в соответствии с ГОСТ
28147-89 в режиме выработки имитовставки. ООО «Безант» в 2001 году даже представило в ГМЭК Спецификацию на
свою ЭКЛЗ, которая была реализована на основе ГОСТ 28147-89. Эту Спецификацию ГМЭК согласовал в качестве
одного из возможных способов технической реализации ЭКЛЗ.
Однако мы понимали, что ограничивать производителей ЭКЛЗ каким-то одним техническим решением нельзя,
поэтому в итоговых документах ГМЭК в части технических требований к ЭКЛЗ мы отказались от конкретики, оставив
выбор криптографического алгоритма за разработчиком ЭКЛЗ. Таким образом, ограничение списка криптографических
алгоритмов одним только ГОСТ 28147-89 при разработке и производстве ЭКЛЗ противоречит решениям ГМЭК. Но в
письмах Атлас-карт почему-то замалчивается этот факт, они умышленно вводят в заблуждение людей, убеждая всех,
что если в требованиях ГМЭК упоминаются криптографические алгоритмы, значит, они обязательно должны быть
сертифицированы, и регулятором в разработке и применении ЭКЛЗ должна выступать ФСБ России. Но мы знаем из
законодательства, что криптография бывает разной. Какая-то часть криптографических алгоритмов действительно
требует лицензирования и сертификации, но есть и исключения, которые указаны в пункте 3 Положения о
лицензировании.
Ещё в Атлас-карт почему-то забывают о существования «Положения о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств защиты информации» (далее – Положение 2005 г.),
утвержденного Приказом ФСБ России от 9 февраля 2005 г. №66 . Согласно пункту 27 Положения 2005 г. (в ред. от
12.04.2010) при разработке средств криптографической защиты информации (далее – СКЗИ) «рекомендуется
использовать криптографические алгоритмы, утвержденные в качестве национальных стандартов или
определенные перечнями, утверждаемыми в порядке, установленном постановлением Правительства Российской
Федерации от 23 сентября 2002 года N 691».
Следовательно, разработчик СКЗИ самостоятельно определяет, какие криптографические алгоритмы ему нужно
использовать.
Подведём итоги:
а)Требование по обязательному применению в ЭКЛЗ криптографического алгоритма по ГОСТ 28147-89 в качестве
единственно возможного не подтверждено законодательством,
б) Отнесение шифровальных средств к ЭКЛЗ по критерию наличия в них криптографического алгоритма по ГОСТ 2814789 неправомочно,
в) Применение криптографических алгоритмов для формирования КПК определяется разработчиком ЭКЛЗ,
2 Бунаков Борис Владимирович E-mail: [email protected]
ОАО «МОСКАССЗАВОД»
г) Обязательности получения сертификатов ФСБ для ЭКЛЗ в действующем законодательстве не установлено.
Алексей Шинкин. В письмах указано, что ФСБ России осуществляет нормативно-правовое регулирование в области
разработки, производства, реализации и эксплуатации СКЗИ, а, следовательно, и ЭКЛЗ. Какое Ваше мнение на этот
счёт?
Константин Пармененков. Данное утверждение правомочно в случае, когда на СКЗИ (ЭКЛЗ) не распространяется
действие пункта 3 Положение о лицензировании. Как указано выше, в зависимости от применяемых
криптографических алгоритмов ЭКЛЗ может быть предметом нормативно-правового регулирования со стороны ФСБ
России, а может и не быть. Например, ЭКЛЗ-3, производство которой осуществляют ОАО «приборный завод Тензор» и
ЗАО «Научные приборы», сертифицирована в ФСБ России. Поэтому все отношения, возникающие при разработке,
производстве, реализации и эксплуатации ЭКЛЗ-3 регулируются Положением 2005 г. Если в ЭКЛЗ применяются
криптографические алгоритмы, на которые распространяются действия пункта 3 Положения о лицензировании, то ЭКЛЗ
не подлежит лицензированию в соответствии с требованиями Федерального закона Российской Федерации «О
лицензировании отдельных видов деятельности». Следовательно, разработка, производство, реализация и
эксплуатация таких ЭКЛЗ не является предметом нормативно-правового регулирования со стороны ФСБ России.
Отнесение деятельности по разработке, производству, распространению и эксплуатации ЭКЛЗ к исключительной
компетенции ФСБ России неправомочно, потому что:
а) в требованиях ГМЭК, в Федеральном законе «О применении контрольно-кассовой техники при осуществлении
наличных денежных расчетов и (или) расчетов с использованием платежных карт» от 22.05.2003 №54-ФЗ (в ред. от
07.05.2013) не определены полномочия ФСБ России в части ЭКЛЗ,
б) в требованиях ГМЭК, в Федеральном законе №54-ФЗ, в «Положении о регистрации и применении контрольнокассовой техники, используемой организациями и индивидуальными предпринимателями» (утв. Постановлением
Правительства Российской Федерации от 23.07.2007 № 470) не определены требования по порядку разработки,
производства и реализации ЭКЛЗ, не установлены требования по защите информации, по применяемым
криптографическим алгоритмам, не указаны возможные угрозы, которым должна противостоять ЭКЛЗ и т.п.
Информация, которая защищается в ККМ, не относится к компетенции ФСБ России ещё и потому, что защита
информации регулируется Федеральным законом "Об информации, информационных технологиях и о защите
информации" № 149-ФЗ от 27.07.2006 (в ред. от 28.12. 2013).
Пункт 5 статьи 16 этого Закона устанавливает:
«5. Требования о защите информации, содержащейся в государственных информационных системах,
устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и
федеральным органом исполнительной власти, уполномоченным в области противодействия техническим
разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации
государственных информационных систем используемые в целях защиты информации методы и способы ее
защиты должны соответствовать указанным требованиям».
Таким образом, требования по защите определяются ФСБ России только для государственных информационных
систем.
Пунктом 2 статьи 14 этого же Закона установлено:
«Государственные информационные системы создаются и эксплуатируются с учетом требований, предусмотренных
законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для
обеспечения государственных и муниципальных нужд».
Таким образом, государственная информационная система может быть создана только заказчиком-госорганом в
порядке, определяемым Федеральным законом «О контрактной системе в сфере закупок товаров, работ, услуг для
обеспечения государственных и муниципальных нужд» № 44-ФЗ от 5апреля 2013 г. (в ред. от 02.07.2013) .
Такой информационной системы в части фискальных данных или данных из ЭКЛЗ не создавалось, так как ЭКЛЗ и
фискальные данные, которые в ней хранятся, к государственным информационным системам не относятся.
Следовательно, на текущий момент требования по защите информации в ЭКЛЗ, согласно закону о защите информации,
не могут устанавливаться ФСБ России.
Алексей Шинкин. А какая сертификация всё же требуется для ЭКЛЗ?
Константин Пармененков. Для ЭКЛЗ требуется обязательная сертификация в порядке, определяемом Федеральным
законом "О техническом регулировании" от 27.12. 2002 N 184-ФЗ (в ред. от 28.12. 2013). Кроме того, разработчик
ЭКЛЗ должен обеспечить некорректируемую регистрацию информации обо всех оформленных на ККМ платежных
документах, формирование КПК, долговременное хранение зарегистрированной информации. Всё это прописано в
действующем законодательстве по ККТ.
Алексей Шинкин. А как обстоят дела с защитой информации в ЭКЛЗ?
Константин Пармененков
3 Бунаков Борис Владимирович E-mail: [email protected]
ОАО «МОСКАССЗАВОД»
Я лично, как руководитель «Техкассэкспертизы» и специалист, владеющий ситуацией на рынке ЭКЛЗ, не
располагаю данными о случаях «скручивания» ЭКЛЗ-К и ЭКЛЗ-КС. Нет у меня и информации о том, что ЭКЛЗ
Безанта на сегодняшний день на 100% гарантирует защиту фискальных данных.
4 Бунаков Борис Владимирович E-mail: [email protected]
1/--страниц
Пожаловаться на содержимое документа