Сборник руководящих документов по защите информации от несанкционированного доступа. Гостехкомиссия России, 1998 г
Настоящий руководящий документ распространяется на электронные контрольно-кассовые машины (ККМ) и автоматизированные кассовые системы (АКС), которые осуществляют обработку информации, подлежащей контролю налоговыми органами.
Данный руководящий документ устанавливает термины и основные понятия в области защиты информации в ККМ и АКС, классификацию ККМ, АКС и требования по защите информации, связанной с налогообложением, в ККМ и АКС различных сфер применения.
Документ должен использоваться как нормативно-методический материал для производителей, разработчиков и поставщиков ККМ и АКС при формулировке и реализации требований по защите информации о денежных расчетах с населением, необходимой для правильного исчисления налогов и контроля налоговыми органами, а также испытательными лабораториями (центрами) при проведении сертификации данных устройств в Системе сертификации средств защиты информации по требованиям безопасности информации (РООС RU 0001.01БИ00).
Данный Руководящий документ разработан в соответствии с Законами Российской Федерации «О применении контрольно-кассовых машин», «Об информации, информатизации и защите информации» и в соответствии с Указом Президента Российской Федерации от 16 февраля 1993 г. №224 «Об обязательном применении контрольно-кассовых машин предприятиями, учреждениями и организациями всех форм собственности при осуществлении расчетов с населением».
Документ учитывает технические требования к электронным ККМ различных моделей и сфер применения, включенных в Госреестр Российской Федерации, технические требования к фискальной памяти электронных ККМ, пакетам прикладных программ в части защиты информации от несанкционированного доступа, утвержденные Государственной межведомственной экспертной комиссией по контрольно-кассовым машинам.
Принятые сокращения:
ККМ - контрольно-кассовая машина;
АКС - автоматизированная кассовая система;
СВТ - средство вычислительной техники;
ЗУ - запоминающее устройство;
ПЗУ - постоянное запоминающее устройство;
НСД - несанкционированный доступ;
ФД - фискальные данные;
ФП - фискальная память;
ППП - пакеты прикладных программ;
ЯЗ - ядро защиты.
Термины и определения
Установленные термины обязательны для применения во всех видах документации по защите информации. Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.
Контрольно-кассовая машина (ККМ) - устройство, предназначенное для автоматизации и механизации учета, контроля и первичной обработки информации кассовых операций и регистрации ее на печатаемых документах в соответствии с принятыми нормативными и правовыми документами.
Автоматизированная кассовая система (АКС) - система, состоящая из персонала и ККМ на основе средств вычислительной техники, реализующая технологию обработки информации кассовых операций.
Фискальные данные (ФД) - информация о денежных расчетах с населением, проведенных на ККМ, необходимая для правильного исчисления налогов и контроля со стороны налоговых органов, подлежащая ежесуточной (ежесменной) регистрации и долговременному хранению.
Фискальные функции (операции с ФД):
формирование и накопление ФД в суточных (сменных) счетчиках и регистрах с оформлением и печатью финансовых документов;
запись (регистрация) ФД в фискальную память с оформлением и печатью финансовых документов;
хранение ФД в фискальной памяти;
чтение ФД из фискальной памяти с оформлением и печатью документов.
Фискальная память ККМ (ФП) - комплекс программно-аппаратных средств в составе ККМ, обеспечивающий некорректируемую, ежесуточную (ежесменную) регистрацию и энергонезависимое долговременное хранение итоговой информации о денежных расчетах с населением, проведенных на ККМ, необходимой для правильного исчисления налогов.
Защита фискальных данных - предотвращение несанкционированного доступа к ФД с целью их корректировки (умышленного искажения), модификации или уничтожения вследствие неисправности технических средств, ошибки программного обеспечения, преднамеренных и непреднамеренных действий человека.
Пакеты прикладных программ (ППП) - комплекс прикладных программ ККМ, предназначенный для решения взаимоувязанных задач реализации фискальных функций.
Системные данные - параметры системы, используемые при загрузке и определяющие конфигурацию средств вычислительной техники.
Фискализация - включение фискального режима ККМ.
Ядро защиты (ЯЗ) - технические, программные и микропрограммные элементы комплекса средств защиты фискальных данных, реализующие функцию управления доступом к фискальной памяти.
Классификация ККМ
2.1. Классификация распространяется на все действующие и проектируемые ККМ зарубежного и отечественного производства.
2.2. Деление контрольно-кассовых машин и средств вычислительной техники, входящих в состав АКС на соответствующие группы по их конструктивным и функциональным особенностям с точки зрения защиты информации, подлежащей контролю налоговыми органами, проводится для выработки и применения обоснованных мер по достижению требуемого уровня защищенности фискальных данных.
2.3. Дифференциация подходов к выбору методов, средств защиты и принципов построения ядра защиты определяется различием контрольно-кассовых машин по своему составу, функциональным и конструктивным особенностям, способам хранения фискальных данных.
2.4. Устанавливаются две группы ККМ, согласно которым к ККМ предъявляются требования по защите информации, хранимой в ФП. Каждая группа характеризуется определенной совокупностью требований по защите информации.
2.5. Первая группа ККМ включает устройства, имеющие закрытую архитектуру.
Признаки закрытой архитектуры:
наличие программного обеспечения, находящегося в ПЗУ и его исполнение путем прямого считывания команд из ПЗУ;
невозможность выполнения прикладного программного обеспечения, находящегося во внешней памяти.
2.6. Вторая группа ККМ включает устройства, имеющие открытую архитектуру.
Признаки открытой архитектуры:
наличие устройства, выполненного на базе универсальных средств вычислительной техники;
прикладное программное обеспечение в виде ППП загружается в оперативную память;
наличие стандартных интерфейсов ввода/вывода с возможностью подключения периферийных устройств;
модульное конструктивное исполнение.
2.7. В пределах каждой группы ККМ классифицируются по масштабам возможных материальных потерь вследствие уклонения от налогообложения. К первому классу относятся устройства, использование которых связано с обработкой информации о денежных оборотах на сумму до 700 минимальных размеров оплаты труда в сутки, а ко второму классу - устройства, связанные с обработкой информации о денежных оборотах на сумму свыше 700 минимальных размеров оплаты труда в сутки.