Продолжаем обзор изменений
законодательства, произошедших по результатам работы весенней сессии
Государственной Думы.
15 июля вступила в
силу новая редакция Федерального закона от 22.05.2003 № 54-ФЗ «О применении
контрольно-кассовой техники при осуществлении наличных денежных расчетов и
(или) расчетов с использованием электронных средств платежа», в который
Федеральным законом от 03.07.2016 № 290-ФЗ внесены радикальные изменения.
Фактически, начинает действовать совсем другой закон о совсем других кассовых
аппаратах и совсем с другими правоотношениями.
В законе – много интересного
с точки зрения информационной безопасности и обработки персональных данных, но
почему-то об этом именно в среде ИБ-специалистов практически ничего не пишут. А
зря. Фактически создается новый сегмент рынка средств защиты информации, возможно,
гораздо больший по объему, чем тот, которой связывают с пакетом Яровой-Озерова.
К антитеррористическому пакету правительство должно принять ряд НПА, только
после которых станет ясно, кто, что и как будет хранить, а вот кассовые
аппараты есть в каждом магазине, а с принятием закона их должно стать существенно
больше.
Попробую кратко восполнить
этот пробел.
Если коротко, теперь
все (все, подчеркиваю!) кассовые чеки должны сразу же после их создания
направляться прямиком в ФНС по защищенному каналу связи в интернете и там, в
ФНС, храниться.
Для этого каждому
продавцу товаров и услуг контрольно-кассовую технику (ККТ) надо заменить на
другую, правильную, завести интернет в каждый магазин, ларек и машину такси,
принять меры по целостности фискальных данных и т.д.
Создаются новые институты
и реестры: кабинет ККТ на сайте ФНС; реестр ККТ, в котором регистрируются сведения
о каждом изготовленном экземпляре (!) ККТ, и реестр фискальных накопителей
также с регистрацией сведений о каждом таком накопителе; журналы учета ККТ,
ведущиеся налоговыми органами (карточка регистрации ККТ с указанием ее
регистрационного номера в таком журнале должна быть подписана усиленной квалифицированной
электронной подписью); реестр
экспертных организаций, соответствующих требованиям законодательства о
применении ККТ; базы фискальных данных.
Вводится очень
интересное определение ККТ – «электронные
вычислительные машины, иные компьютерные устройства и их комплексы,
обеспечивающие запись и хранение фискальных данных в фискальных накопителях,
формирующие фискальные документы, обеспечивающие передачу фискальных документов
в налоговые органы через оператора фискальных данных и печать фискальных
документов на бумажных носителях в соответствии с правилами, установленными
законодательством Российской Федерации о применении ККТ».
Фискальные
данные
– это сведения о расчетах, об организации или индивидуальном предпринимателе,
осуществляющих расчеты, о ККТ, применяемой при осуществлении расчетов, и, как
обычно, «иные сведения», сформированные ККТ или оператором фискальных данных.
Появилось понятие «средство формирования фискального признака»
- это программно-аппаратное шифровальное (криптографическое) средство защиты
фискальных данных, обеспечивающее возможность формирования фискального признака.
Такая ККТ должна быть
у всех организаций России, осуществляющих расчеты, кроме случаев, прямо
установленных статьей 2 закона. Например, новую ККТ не будут использовать банки,
но только при использовании банкоматов и систем ДБО, или киоски, торгующие мороженым
и газировкой в розлив (хотите продавать бутылки – ставьте ККТ). Не нужна она в
церквях при продаже свечей и заказе отпевания или венчания и т.д.
Записывать фискальные
данные ККТ будет не на какой-то тривиальный жесткий диск, а на фискальный накопитель –
программно-аппаратное шифровальное (криптографическое) средство защиты в
опломбированном корпусе, содержащее ключи фискального признака, обеспечивающее
возможность формирования фискальных признаков, запись фискальных данных в
некорректируемом виде (с фискальными признаками), их энергонезависимое
долговременное хранение, проверку фискальных признаков, расшифровывание и
аутентификацию фискальных документов, подтверждающих факт получения оператором
фискальных данных фискальных документов, переданных ККТ, направляемых в ККТ
оператором фискальных данных, а также обеспечивающее возможность шифрования
фискальных документов в целях обеспечения конфиденциальности информации,
передаваемой оператору фискальных данных.
Кассовые чеки, после
полного вступления закона в силу, мы будем получать не в виде клочка бумаги, а
как смс-сообщение или письмо на электронную почту, а также размещать их на
неких ресурсах сети интернет, откуда покупатель сможет скачать их
самостоятельно. Сами понимаете, для этого продавцу надо дать контактные данные,
а он их будет где-то и как-то хранить. Каждая точка розничной торговли станет
оператором в отношении персональных данных покупателей, которые пока для них
анонимы в большинстве случаев (пока, например, не придут с паспортом сдавать
товар обратно). Про шифрование трафика, содержащего кассовые чеки, в законе
ничего нет.
Фискальные данные
немедленно после расчета направляются в электронном виде в налоговые органы
через операторов фискальных данных, которые будут хранить эти данные в специально создаваемых базах фискальных
данных.
Вопреки
растиражированной информации о том, что в каждом кассовом чеке, направляемом в
налоговые органы, будут персональные данные покупателя, такого требования в
законе нет –размещаемый на кассовом чеке абонентский номер либо адрес электронной
почты покупателя персональными данными не является. Но зато на чеке есть
должность и
фамилия лица, осуществившего расчет с покупателем, которая вместе с данными о
пользователе ККТ вполне подходит под определение персональных данных со всеми
вытекающими отсюда для пользователя ККТ последствиями.
Соответственно,
появляются абсолютно новые направления бизнеса – деятельность операторов фискальных данных и экспертных
организаций.
Операторами являются организации,
получившие разрешение на обработку фискальных данных. Каждый пользователь ККТ
(владелец магазина, например) должен заключить возмездный договор как минимум с
одним оператором фискальных данных. Сведения о заключении, расторжении и
изменении условий каждого такого договора оператор направляет в налоговые
органы через кабинет ККТ в форме электронного документа, подписанного,
естественно, усиленной квалифицированной электронной подписью.
Экспертные
организации
– это те, кто организует и проводит экспертизы моделей ККТ и технических
средств оператора фискальных данных или соискателя разрешения на такую
деятельность. Все такие организации должны быть включены в специальный реестр.
Исходя из требований
к ККТ, к фискальным накопителям и к фискальным данным, представляется, что
такие операторы и экспертные организации без лицензий ФСБ и ФСТЭК обойтись
никак не могут. Но в законе о лицензиях, как обычно, ни слова. Опять пойдут
трактовки и позиции.
ККТ
должна обеспечить передачу фискальных данных и прием квитанций об их получении
оператором в зашифрованном виде.
К фискальным накопителям требований
безопасности, и весьма жестких, предъявляется еще больше:
·
обеспечение
противодействия угрозам безопасности информации фискальных данных (значит,
должна быть для таких данных модель угроз; она, кстати, уже есть, и очень
толковая,
составленная на основании проведенного эксперимента по внедрению новой ККТ, но,
на мой взгляд, требует доработки после внесения в законопроект изменений и
принятия окончательного варианта закона);
·
шифрование
фискальных документов, передаваемых оператору в электронной форме, и
расшифровывание полученного от оператора подтверждения;
·
формирование
фискального признака документов с использованием ключа фискального признака
документов и фискального признака сообщений длиной не менее 256 бит, проверку
фискального признака подтверждения с использованием ключа фискального признака
сообщений;
·
обеспечение
аутентификации и проверка достоверности подтверждений оператора, защищенных фискальным
признаком подтверждения;
·
обеспечение
невозможности коррекции записей и фискальных данных в своей памяти.
Фискальные накопители
должны работать с любой моделью ККТ, для чего устанавливаются протоколы
информационного обмена.
Встраивание
криптографии в ККТ и фискальные накопители – тема крайне интересная, но в
законе совершенно не раскрытая. Алгоритмы шифрования, сертификация ФСБ,
лицензия разработчиков, параметры протокола информационного обмена, безопасность
среды функционирования СКЗИ в составе ККТ и накопителя, порядок создания и
утверждения модели угроз – это только небольшая часть проблем, которые видны
при прочтении закона. Да и методику экспертизы ФНС должна утвердить ФНС, о
согласовании ее с ФСБ и ФСТЭК тоже не упоминается, что не очень правильно,
учитывая изложенное выше.
Правда, прямое
указание на необходимость сертификации в ФСБ применяемой в фискальных
накопителях СКЗИ есть в проекте «Требований к
контрольно-кассовой технике, порядке и условиях регистрации, перерегистрации и
снятия с регистрационного учета контрольно-кассовой техники в налоговых
органах, а также порядок и условия применения контрольно-кассовой техники», который предполагается
утвердить постановлением правительства, но, как и модель угроз, документ
нуждается в переработке в связи с внесенными в законопроект при его принятии
изменениями.
Времени на решение всех
этих проблем совсем нет. Полное счастье наступит 1 июля 2017 года, когда можно
будет использовать только ККТ, соответствующую новым требованиям, за
исключением отдельных случаев. Осталось меньше года.
За невыполнение новых
требований к ККТ и обработке фискальной информации тем же 290-ФЗ в КоАП РФ добавлено
12 новых составов административных правонарушений и установлена конкретная
ответственность. Отсутствие ККТ влечет штраф в размере от трех четвертых до
одного размера суммы расчета, осуществленного с использованием наличных
денежных средств и (или) электронных средств платежа без применения ККТ, а рецидив
приводит к дисквалификации руководителя и административной приостановки
деятельности продавца на срок до 90 суток.
Ну, а мы, простые
покупатели, готовимся к очередному повышению цен в рознице. Новую (наверное,
сертифицированную) ККТ продавцам надо будет купить, обслуживать, оплачивать
услуги операторов. Естественно, за наш с вами счет. А за чей же еще?
Если кому-то интересны
детали встраивания в бизнес создание ККТ, фискальных накопителей, операторской
и экспертной деятельности – обращайтесь, поможем разобраться.
