Чем реализация товара по договору комиссии может быть выгодна? Кому и в каких случаях имеет смысл ее выбирать? Как оформить комиссию правильно и к обоюдному удовольствию сторон? Как осуществляется комиссионная схема торговли , если договор комиссии заключают между собой организации, применяющие разные режимы налогообложения? На эти и другие вопросы мы ответим в нашей статье.

Вести торговлю комиссионными товарами удобно в сервисе МойСклад. В нем можно принимать товары на реализацию с договором комиссии, вести по ним учет, автоматически формировать отчет комитенту после продажи, смотреть прибыльность, оформлять возврат, если товар не продается. и попробуйте прямо сейчас: это бесплатно!

Преимущества торговли по договору комиссии

Если вы занимаетесь розничной торговлей и нашли поставщика, который согласен отдавать вам товар на реализацию по договору комиссии, вам повезло. И особенно повезло, если вы только входите в бизнес. Закон разрешает отдать деньги за товар, оформленный по договору комиссии, уже после его продажи. То есть, комиссионная схема торговли позволяет вам начать работать без больших вложений и без особенных рисков.

Если же вы производите товар или закупаете его в больших количествах для последующей розничной реализации в разных точках, то комиссионная схема торговли для вас тоже может быть выгодна. Как минимум это позволит увеличить рынок сбыта. Какой-нибудь маленький магазинчик, находящийся в таком месте, где вы сами работать бы не стали, может бойко распродать товар, который в традиционных точках у вас не расходится. При этом покупку партии такого товара магазин может не потянуть, а вот на комиссию возьмет с удовольствием.

Комиссионная схема торговли выгодна еще и потому, что при ней проще оформить возврат товара, чем в рамках договора купли-продажи. Если товар был приобретен по схеме «купля-продажа», то, чтобы вернуть его из магазина обратно поставщику, необходимо проводить обратную реализацию. Это создает проблемы в плане налогообложения - когда один из участников сделки не платит НДС, второй теряет деньги, так как не может принять НДС к вычету. Если же поставка товара оформлена по договору комиссии, этой проблемы не возникает. Посредник просто списывает товар с забалансового учета и возвращает поставщику. Впрочем, при возврате товара, взятого на комиссию, есть некоторые тонкости, и к ним мы в этом материале еще вернемся.

Как оформляется комиссионная торговля

В упрощенном виде эта схема выглядит так. Поставщик (комитент) отдает свой товар на реализацию посреднику (комиссионеру). При этом право собственности на товар к последнему не переходит. Комиссионер продает товар покупателю, действуя от своего имени, но за счет комитента. Как только товар продан, комитент перестает быть его собственником. Комиссионер отчитывается перед поставщиком, отдает ему выручку за товар и получает свое вознаграждение.

Итак, как оформить комиссию правильно? Допустим, некая компания собирается отдать на реализацию товар в магазин. Первым делом поставщик и магазин составляют договор комиссии, в котором прописывается, кто из них комиссионер, кто комитент, а также указывается, что первый от лица второго будет продавать товары за вознаграждение. Размер вознаграждения тоже лучше прописать в договоре. Это может быть как фиксированная сумма с каждого проданного товара, так и определенный процент с продаж. Закон, а именно, 51 статья Гражданского кодекса РФ, обязывает комиссионера отчитываться перед комитентом о продажах. Сроки предоставления отчета не регламентируются, но их тоже лучше прописать заранее. Договор комиссии может быть заключен на определенный срок или быть бессрочным. Указывать ли территорию его исполнения, тоже решают сами предприниматели. Образец договора комиссии можно скачать в нашей библиотеке форм документов.

Договор комиссии заключен. Что дальше? Дальше товар передается в магазин, что сопровождается актом приема-передачи товара на комиссию и накладной ТОРГ-12. Образец акта приема-передачи , а также накладной , вы можете скачать на нашем сайте. Акт приема-передачи товара на комиссию необходим в том случае, если это прописано в договоре. Если же такого условия нет, то достаточно накладной.


Партия товара благополучно прибыла в магазин, и комиссионер начинает продавать. По закону продажа товара должна начаться не позднее, чем на следующий день после его приема. После того как определенное количество реализовано, либо прошел отчетный период, указанный в договоре, магазин составляет отчет комиссионера. В нем указывается, сколько единиц товара было продано, по какой цене и какова сумма вознаграждения. Как мы уже писали выше, сроки предоставления отчета лучше прописать в договоре, хотя по закону это не обязательно. Можно договориться предоставлять его каждую неделю или каждый месяц. Образец отчета комиссионера есть у нас на сайте .

Помимо отчета рекомендуется составить и подписать акт об оказании услуг между сторонами. Ведь, совершая сделки от лица комитента, комиссионер оказывает ему услугу. Об этом и составляется документ. Сумма в акте - это сумма вознаграждения комиссионера за отчетный период.

Вместе с отчетом посредник передает поставщику вырученные деньги и удерживает свою комиссию. Возможен и другой вариант, когда комитент забирает все вырученные деньги и только потом перечисляет вознаграждение комиссионеру. Далее сотрудничество продолжается или заканчивается.

Если комитента чем-то не устраивает отчет комиссионера, то сообщить об этом он должен в течение 30 дней с момента получения документа. Впрочем, этот срок можно изменить с помощью предварительного соглашения сторон.

Автоматизация очень упрощает процесс комиссионной торговли. Сервис МойСклад предлагает оптимальное решение и для комитента, и для комиссионера. В самой системе можно создать договор комиссии, учесть отгрузку и приемку товара, зафиксировать продажи комиссионных товаров, а также автоматически сформировать отчеты комиссионера. При этом во всех созданных формах и отчетах мгновенно считается выручка за проданный товар, вознаграждение комиссионера, НДС и другие необходимые суммы.

Теперь посмотрим, что говорит нам закон об особенных случаях.

Комиссионная торговля: особые случаи

Комиссионер продал товар дороже или дешевле, чем предполагалось

Допустим, товары расходились настолько хорошо, что магазин принял решение поднять на них цены. В этом случае комиссионеру удалось получить дополнительную выгоду, которую по закону он должен поровну разделить с комитентом. Если, конечно, иные условия не предусмотрены в договоре. И тут нужно обратить внимание на одну важную деталь, касающуюся оформления и выплаты этих денег. Согласно письму Минфина России от 5 июня 2008 г. № 03-03-06/1/347, прежде, чем часть прибыли будет выплачена комиссионеру, комитент должен отобразить всю эту сумму в доходах, которые облагаются налогом на прибыль. И лишь после этого начислить причитающееся комиссионеру.

Если же товары по какой-то причине не расходились по оговоренной цене, и магазин ее снизил, то тут возможно два варианта развития событий.

  1. Магазин доказал комитенту, что у него не было возможности продать товар дороже, и этот ход предотвратил еще большие потери. В этом случае от комиссионера не потребуется возвращать разницу.
  2. Магазину не удалось доказать, что снижение цены оказалось необходимым шагом. Тогда, увы, комиссионеру придется возместить поставщику убыток.

Кстати, в договоре комиссии не возбраняется прописать и эти случаи. Кроме того, в него можно добавить условия, что, прежде, чем менять цены, комиссионер должен спросить разрешения у комитента.


Договор не был исполнен

Допустим, часть товара, который комитент поставил в магазин, оказалась бракованной, либо оговоренное количество товара не было поставлено, или по какой-то другой причине договор комиссии не может быть исполнен по вине поставщика. В этом случае закон предписывает комитенту все равно выплатить комиссионеру вознаграждение, а также возместить расходы. Если же договор комиссии не может быть исполнен по вине магазина, то, в свою очередь, он должен будет возместить ущерб комитенту.

Субкомиссия

Представим, что магазин нашел еще одну выгодную точку сбыта товара, которая управляется другой компанией. В этом случае он вправе заключить с данной компанией договор субкомиссии. Тогда комиссионер отвечает за действия субкомиссионера перед своим комитентом, а для второго магазина сам становится комитентом. И несколько важных замечаний. Субкомиссия возможна, если иное не оговорено в договоре комиссии. При этом комитент не вправе вступать в отношения с субкомиссионером, если, опять же, иное не предусмотрено соглашением сторон.

Комиссионер не продал за отчетный период ни одного товара

Если весь товар так и остался на складах и полках магазина, магазин вправе вернуть их комитенту. Возврат товара, как и его получение, оформляется накладной ТОРГ-12.

Значительно облегчить оформление возврата товара от комиссионера комитенту поможет сервис для управления торговлей МойСклад . В системе есть специальные формы, в которых регистрируется возврат, и введенные данные автоматически переходят во все отчеты, которые имеют отношение к исполнению договора комиссии.

Возврат товара комиссионеру от покупателя

Допустим, что вернуть товар хочет по каким-то причинам розничный покупатель.

Учитывая, что, продавая товар клиенту, комиссионер от своего имени заключал с ним договор купли-продажи , то и отказ от этой сделки оформляет он.

Если покупатель возвращает товар из-за обнаруженных недостатков, ответственность за них необходимо распределить между комиссионером и комитентом. Если товар был поврежден по вине магазина, то расходы покупателю возмещает он. А если выяснится, что виноват поставщик, комиссионер будет иметь право на возмещение расходов и вознаграждение.

Товар может быть возвращен до того, как отчет комиссионера подписан сторонами, или после. В первом случае посредник делает в отчете запись на сумму возврата со знаком минус. Во втором - оптовый покупатель, возвращая товар, оформляет накладную на имя комиссионера. Если же конечный покупатель - розничный, то он должен написать заявление о возврате товара. После этого комиссионер возвращает товар комитенту, сопровождая возвратной накладной на его имя, а также счетом-фактурой. На основании этих документов комитент сможет уменьшить свой НДС к оплате.

Счета-фактуры при комиссионной торговле

Счета-фактуры при комиссионной торговле в розницу

В нашем примере, где комиссионером является магазин, последний не выставляет покупателям счета-фактуры, поскольку при розничной торговле этот документ заменяет кассовый чек с выделенной отдельной строкой суммой НДС. Комитент также не выставляет комиссионеру счета-фактуры. Но при этом магазин выставляет комитенту счет-фактуру на сумму своего вознаграждения по результатам отчетного периода.

Закон не обязывает наш розничный магазин, торгующий по договору комиссии, вести журнал учета счетов-фактур.

Показатели контрольных лент ККТ (только показатели, не сами ленты), а также копии лент, передаются комитенту вместе с отчетом комиссионера, и уже комитент регистрирует их в своей книге продаж, чтобы начислить НДС со стоимости реализованных товаров.

При этом если магазин, помимо товаров комитента, продает также и собственные товары, то учет по этим товарам должен быть раздельным. С помощью программы для торговли МойСклад вы легко выполните это требование. Программа показывает комиссионеру, сколько у него собственных товаров, а сколько товаров, полученных по договору комиссии. Комитент же видит в системе, сколько его товара на реализации и у кого.

Счета-фактуры при оптовой комиссионной торговле

Теперь рассмотрим ситуацию, когда комиссионер продает по поручению комитента товары оптом, и оба являются плательщиками НДС. В этом случае счета-фактуры являются для них обязательными документами учета.

Поскольку по условиям договора комиссионер совершает сделки с третьими лицами от своего имени, то и все счета-фактуры он выписывает также от своего имени. Номер документу присваивается в соответствии с хронологией комиссионера. Счет необходимо выписать в двух экземплярах. Один нужно передать покупателю, второй - подшить в журнал учета выставленных счетов-фактур. При этом фактуру на продажу комиссионных товаров не нужно регистрировать в книге продаж комиссионера.

А комитент выставляет и заносит в свою книгу продаж счет-фактуру на имя комиссионера уже с нумерацией в соответствии со своей хронологией. В книге покупок посредника этот документ не регистрируется.

При этом показатели счета, который комиссионер выставляет покупателю, отражаются в счете-фактуре, который выставляет и регистрирует в своей книге продаж поставщик. Комитент также должен выписать два экземпляра - один передать комиссионеру, а второй сохранить у себя в журнале регистрации выданных счетов-фактур.

Документ, полученный от комитента, комиссионер подшивает в журнал учета полученных счетов-фактур.

На основании подписанных отчета и соответствующего акта на сумму своего вознаграждения за отчетный период комиссионер выставляет комитенту отдельный счет-фактуру. Этот документ регистрируется у комиссионера в книге продаж, а у комитента - в книге покупок.

Если комиссионер реализует покупателю товары поставщика одновременно с собственными товарами, то покупателю можно выставить единый счет-фактуру на указанные товары.


Более подробно о выставлении счетов-фактур при комиссионной торговле можно узнать из письма МНС России от 21.05.01 № ВГ-6-03/404.

Комиссионер на УСН - комитент на УСН

Если договор комиссии заключили компании, каждая из которых применяет упрощенный режим налогообложения (УСН), то комиссионеру при возникновении вопросов о том, как считать налоги, необходимо обратиться к 251 статье Налогового кодекса РФ. В ней прямо говорится, что при определении налоговой базы комиссионера не учитываются как доходы имущество и денежные средства, поступившие к нему в связи с исполнением обязательств по договору комиссии. Не учитываются также доходы, поступившие в счет возмещения затрат, произведенных за комитента. То есть, доходом считается только комиссионное вознаграждение. Соответственно, выручка за проданный товар не учитывается как доход. Если комитент на УСН компенсирует комиссионеру на УСН какие-либо расходы, эти деньги также налогом не облагаются.

Датой получения доходов у посредника-«упрощенца» признается дата поступления на его счет вознаграждения от комитента. Если же комиссионер по условиям договора удерживает свое вознаграждение из средств, полученных от покупателей, то датой получение дохода считается день поступления денег в кассу. При этом неважно, что отчет может быть еще не подписан, поскольку к доходам компаний на УСН относятся также и авансы.

Расходы же признаются только после их фактической оплаты. Причем те расходы, которые по закону возмещает комитент (например, на аренду склада, где хранится товар), расходами у комиссионера не считаются.

Что же касается комитента, то согласно письму Минфина №03-11-11/16941 от 15.05.2013 его доходом признается вся сумма, полученная от реализации товаров, включая комиссионное вознаграждение. Да, в схеме «комиссионер на УСН - комитент на УСН» вознаграждение, которое выплачивает комитент, увы, нельзя отнести к его расходам, и налог с него придется уплатить. Но! В случае, если комиссионер удерживает свою комиссию до передачи денежных средств комитенту, доход будет законно равен сумме, которая фактически поступила на счет поставщика. А значит, если компания-комитент на УСН, то в договоре лучше прописывать именно такой вариант.


Днем получения дохода признается момент поступления средств на расчетный счет или в кассу поставщика.

Комитент на УСН не обязан выставлять на свои товары счет-фактуру, т.к. обязанность по составлению этого документа возлагается только на плательщика НДС.

Комиссионер на УСН - комитент на ОСНО

Если комиссионер торгует оптом и при этом является «упрощенцем», а комитент работает на общей системе налогообложения, то посреднику придется выписывать счета-фактуры. Дело в том, что фактически продавцом перед третьими лицами является комитент на ОСНО, а не комиссионер на УСН, поэтому посредник должен исчислять за поставщика налог на добавленную стоимость и предъявлять счет-фактуру покупателю. Схема - такая же, о какой мы писали выше. Комиссионер делает два экземпляра документа, один из которых выставляет покупателю, а второй подшивает в журнал учета выставленных счетов-фактур, не регистрируя его в книге продаж. Показатели этих документов отражаются в фактурах, которые комитент выписывает комиссионеру и регистрирует в своей книге продаж.

И напомним, что при розничной торговле счет-фактуру заменяет кассовый чек с выделенной отдельной строкой суммой НДС.

Поступившую выручку поставщик отражает на основании полученного отчета. Поэтому в случае, когда комиссионер на УСН, а комитент на ОСНО, в договоре важно отразить порядок и сроки его предоставления. Если он поступит позже установленного срока, то поставщик все равно должен будет вовремя уплатить НДС.

Счет-фактуру на комиссионное вознаграждение посредник комитенту не выставляет, так как вознаграждение комиссионера на «упрощенке» НДС не облагается.

В обратной же ситуации, когда комитент на УСН, а комиссионер на ОСНО, посредник не должен выставлять покупателям счет-фактуру, т.к. продавцом по факту является поставщик, а он освобожден от НДС.

Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Анализ рисков

Практически всё в ИБ начинается с анализа рисков, это основа и начало всех процессов в безопасности. Проведу краткий ликбез в этой области, так многие понятия не очевидны и чаще всего путаются.
Итак есть 3 основных понятия:
  • Вероятность реализации
  • Уязвимость

Риск - это возможность понести какие-либо потери (денежные, репутационные и тд), в связи с реализацией уязвимости.
Вероятность реализации - это насколько вероятно, что данная уязвимость будет эксплуатирована для реализации риска.
Уязвимость - непосредственно брешь в вашей системе безопасности, которая с некоей долей вероятности может нанести вред, то есть реализовать риск.

Есть множество методик, различных подходов к управлению рисками, расскажу об основах, остальное вам на первых порах в становлении СУИБ и не понадобится.
Итак вся работа по управлению рисками сводится либо к снижению вероятности реализации, либо к минимизации потерь от реализации. Соответственно риски могут быть приемлемыми и неприемлемыми для организации. Приемлемость риска лучше всего выражать в конкретных суммах потерь от его реализации (в любом случае даже, вроде бы, неосязаемые репутационные потери в итоге выливаются в упущенную прибыль). Необходимо решить с руководством какая сумма для них будет порогом приемлемости и сделать градацию (лучше 3-5 уровней для потерь). Далее сделать градацию по вероятности, так же как с потерями и потом оценивать риски по сумме этих показателей.
После проведения подготовительной работы, выделите реальные уязвимости вашей организации и проведите оценку рисков их реализации и потерь. В итоге вы получите 2 набора рисков - приемлемых и неприемлемых. С приемлемыми рисками вы просто смиритесь и не будете предпринимать активных действий по их минимизации (то есть мы принимаем, что минимизация этих рисков будет нам стоить дороже потерь от них), а с неприемлемыми есть 2 варианта развития событий.

Минимизировать - уменьшить вероятность возникновения, уменьшить возможные потери или вообще предпринять меры по устранению риска (закрытие уязвимости).
Передать - просто переложить заботы о риске на другое лицо, к примеру застраховать организацию от случаев наступления риска или передать актив, подверженный риску (к примеру перенести сервера в дата-центр, таким образом за бесперебойное питание и физическую сохранность серверов будет ответственнен дата-центр).

Масштабы

В первую очередь, конечно же, необходимо оценить масштабы бедствия. Я не буду касаться моментов по защите персданных, по этому поводу уже куча статей, есть описанные не раз практические рекомендации и алгоритмы действий.
Напомню также, что информационная безопасность - это в первую очередь люди, так что нужна нормативная документация. Что бы написать её, для начала нужно понять что туда вписывать.
Основных документов для ИБ в этом плане 3:
Политика информационной безопасности
Ваш основной документ, настольная книга, Библия и другие громкие названия. Именно в ней описаны все процедуры по ИБ, описан уровень безопасности, которому вы следуете в своей организации. Так сказать - идеальный срез безопасности, задокументированный и принятый по всем правилам.
Политика не должна быть мертвым грузом, документ должен жить, должен изменяться под влиянием новых угроз, веяний в ИБ или пожеланий. В связи с этим политика (как, в принципе, и любой процессный документ) должна регулярно пересматриваться на предмет актуальности. Лучше делать это не реже 1 раза в год.
Концепция информационной безопасности
Небольшая выжимка из политики, где описаны основы безопасности вашей организации, нет никаких конкретных процессов, но есть принципы построения СУИБ и принципы формирования безопасности.
Этот документ скорее имиджевый, он не должен содержать никакой «чувствительной» информации и должен быть открытым и доступным для всех. Разместите его на своём сайте, вложите в лоток на информационном стенде, что бы ваши клиенты и посетители могли с ним ознакомиться или просто видели, что вы заботитесь о безопасности готовы это продемонстрировать.
Положение о коммерческой тайне (конфиденциальной информации)
В скобках указал альтернативное наименование подобного документа. По большому счёту, ком. тайна - это частный случай конфиденциалки, но отличий крайне мало.
В этом документе необходимо указать следующее: как и где хранятся документы, составляющие ком. тайну, кто ответственнен за хранение этих документов, как должен выглядеть шаблон документа, содержащего подобную информацию, что будет за разглашение конфиденциальной информации (по законодательству и согласно внутренним договоренностям с руководством). Ну и конечно же перечень сведений, составляющих, для вашей организации, коммерческую тайну или являющиеся конфиденциальными.
По закону, без предпринятых мер по защите конфиденциалки, у вас её как бы и нет:-) То есть сама-то информация вроде бы и есть, а вот конфиденциальной она являться не может. И тут есть интересный момент, что соглашение о неразглашении конфиденциалки подписывают в 90% организации с новыми сотрудниками, а вот мер, положенных по закону, предпринято мало у кого. Максимум перечень информации.

Аудит

Что бы написать эти документы, точнее, что бы понять что должно быть в них, нужно провести аудит текущего состояния ИБ. Понятно, что в зависимости от деятельности организации, территориальной распределенности и тд очень много нюансов и факторов для каждой конкретной организации, но есть несколько основных моментов, которые являются общими для всех.
Политика доступа
Тут 2 ветки - это физический доступ в помещения и доступ в информационные системы.
Физический доступ
Опишите вашу систему контроля доступа. Как и когда выдаются карточки доступа, кто определяет кому в какое помещение есть доступ (при условии, что помещение оборудовано СКД). Так же здесь стоит упомянуть систему видеонаблюдения, принципы её построения (отсутствие слепых зон в наблюдаемых помещениях, обязательный контроль входов и выходов в/из здания, контроль входа в серверную и тп). Так же не забудьте про посетителей, если у вас нет общей приёмной (да и при наличии её) стоить указать каким образом посетители попадают в контролируемую зону (временные пропуска, сопровождающий).
Для серверной, так же, должен быть отдельный перечень доступа с журналом посещений (проще, если в серверной установлена СКД и всё ведется автоматически).
Доступ в информационные системы
Опишите процедуру выдачей доступов, если используется многофакторная аутентификация, то и выдача доп идентификаторов. Парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования УЗ после превышения количества попыток) для всех систем, в которые выдаётся доступ, если у вас не Single Log On повсюду.
Построение сети
Где находятся сервера, имеющие доступ снаружи (DMZ), как к ним обеспечивается доступ изнутри и снаружи. Сегментация сети, чем она обеспечивается. Межсетевые экраны, какие сегменты они защищают (если есть внутри сети между сегментами).
Удаленный доступ
Как он организован и кто имеет доступ. В идеале должно быть так: только VPN, доступ только по согласованию с высшим руководством и с обоснованием необходимости. Если нужен доступ третьим лицам (вендоры, обслуживающий персонал и тд), то доступ ограничен по времени, то есть учетка выдаётся на определенный срок, после которого автоматически блокируется. Естественно, при удаленном доступе, любом, права необходимо ограничивать по минимуму.
Инциденты
Как они обрабатываются, кто ответственный и как построен процесс инцидент менеджмента и проблем менеджмента (если есть, конечно). По работе с инцидентами у меня уже был пост: можете ознакомиться подробнее.
Так же необходимо определиться с трендами в вашей организации. То есть какие инциденты возникают чаще, какие несут больший вред (простой, прямые потери имущества или денег, репутационный вред). Это поможет в контроле рисков и проведении анализа рисков.
Активы
В данном случае под активами понимается всё, что требует защиты. То есть сервера, информация на бумаге или съёмных носителях, жесткие диски компьютеров и тд. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации и тд.

Обучение

Момент, о котором многие забывают. Сотрудникам нужно рассказать о мерах безопасности. Не достаточно ознакомления с инструкциями и политиками под роспись, 90% их не прочитают, а просто распишутся, дабы отвязались. Про обучение я тоже делал публикацию: Там приведены основные моменты, важные при обучении и про которые не стоит забывать. Помимо непосредственно самого обучения, такие мероприятия полезны в плане общения между сотрудниками и офицером безопасности (красивое название, мне очень оно нравится:-). Можно узнать о каких-то мелких происшествиях, пожеланиях, да даже проблемах, про которые в обычном рабочем ритме вы вряд ли бы узнали.

Заключение

Вот, наверное, и всё, о чём хотелось поведать начинающим на поприще ИБ. Я понимаю, что подобным постом я, возможно, лишу какого-то своего коллегу работы, так как потенциальный работодатель просто возложит на админа эти обязанности, но я и огорожу многие организации от интеграторов-бракоделов, любящих выкачивать деньги за аудиты и пишущие многостраничные памфлеты ни о чём, выдавая их за нормативку (http://сайт/post/153581/).
В следующий раз постараюсь рассказать об организации службы информационной безопасности как таковой.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Теги:

  • информационная безопасность
  • документация
  • обучение
Добавить метки

1. Выполнение деятельности по обеспечению информационной безопасности должно поддерживаться системой управления информационной безопасности, которая реализуется службой информационной безопасности в виде совокупности взаимозависимых и постоянно действующих процессов (синхронизации, контроля, мониторинга, анализа и т. д.) штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований информационной безопасности.

2. Задачи защиты информационных активов Организации решаются в рамках функционирования соответствующих технологических процессов, направленных на достижение конкретных практических результатов. Результатом функционирования процессов является защищенность Организации.

3. В Организации процесс обеспечения защиты информации в информационных системах включает в себя:

Планирование мероприятий по защите информации;

Формирование комплекса средств защиты информации;

Администрирование информационной безопасности и средств защиты;

Мониторинг информационной безопасности информационных активов;

Анализ защищенности и контроль выполнения требований информационной безопасности.

4. Планирование мероприятий по защите информации предполагает определение сроков и состава мероприятий по информационной безопасности, производимое в рамках системы планирования Организации. Формами представления данного процесса являются планы мероприятий, политики безопасности, частные политики безопасности.

5. Формирование комплекса средств зашиты информации предполагает оснащение АС и рабочих мест обработки информации средствами защиты, подтверждение соответствия реализованной подсистемы информационной безопасности требованиям эксплуатационной документации для внедряемых АС, формирование требований по обеспечению информационной безопасности и правил работы со средствами защиты информации. Результатом процесса должна явиться комплексная система информационной безопасности, включающая организационные и технические средства защиты, регламент их использования. Формами представления процесса являются акты установки средств защиты, акты сдачи-приема АС, положения, инструкции, регламенты применения средств защиты.

6. Администрирование информационной безопасности и средств защиты предполагает обеспечение и поддержку защищенности информационных активов Организации. Результатом процесса является обеспечение защиты от несанкционированного доступа к средствам вычислительной техники, контроль целостности аппаратной и программной конфигурации АС, соответствие предоставленных прав доступа функциям, выполняемым сотрудниками, обеспечение разграничения доступа к информационным активам, обеспечение восстановления систем защиты информации в нештатных ситуациях, обеспечение защиты электронного документооборота. Формами представления процесса могут являться учетные формы защищаемых активов, допущенных сотрудников, паспорта программного обеспечения, атрибуты доступа, журналы учета и администрирования средств защиты, документы фиксирования инцидентов информационной безопасности (акты).


7. Мониторинг информационной безопасности информационных активов предполагает выявление возможных отклонений от принятой Частной политики информационной безопасности, попыток несанкционированного доступа к информационным активам. Результатом процесса является выявление инцидентов информационной безопасности, уязвимостей, нарушений правил информационной безопасности, попыток НСД, выявление случаев заражения вредоносным кодом, не должного выполнения персоналом своих обязанностей. Отчетными формами представления процесса могут быть любые документы, регистрирующие инциденты информационной безопасности.

8. Анализ защищенности и контроль выполнения требований информационной безопасности предполагает определение уровня зрелости информационной безопасности Организации в соответствии со Стандартом и соответствие информационной безопасности Организации требованиям нормативных документов Банка России. Результатом процесса является проведение плановых, целевых выборочных проверок по выявлению фактов нарушения требований по защите информации, проведение аудита информационной безопасности, проведение самооценки состояния информационной безопасности с использованием специальных методик. Формами представления процесса являются итоговые документы установленных форм (анкеты, акты, справки, служебные записки).

9. Процессы контроля и оценки состояния безопасности и качества проведения технологических операций по защите активов должны быть регламентированы руководящими документами.

10. Основная задача управления информационной безопасностью заключается в том, чтобы приведенные процессы выполнялись непрерывно в виде замкнутого цикла: «планирование – реализация (администрирование) – проверка (мониторинг) – совершенствование (анализ) - планирование и т. д.» так, чтобы осуществлялась периодическая корректировка принятых мер информационной безопасности активов Организации.

Аннотация

Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью, пока существует возможность, защиты своих информационных активов.

В организациях, существование которых значительно зависит от информационных технологий, могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе. Система управления информационной безопасностью является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.

Ключевые слова: информационные системы безопасности, системы управленческой информации, технологии

Введение

Нынешняя эпоха называется постиндустриальной или информационной. В современном мире, информация инфраструктуры, как основной фактор экономического и социального развития стран, играет важную роль в деятельности человека. Основные технологии этой эпохи называются информационным технологиям и в последней интерпретации, информационно-коммуникационными технологиями (ИКТ). Произошло ускорение изменений в области связи и информационных технологий, поэтому специалисты и эксперты в этой области, а также руководители принятия решений по ИКТ требуют определенных усилий для поддержки и обновления своей информации. Новые технологии призваны упростить задачи и навыки, но прежде всего ориентированы на выбор стратегии и планирование деятельности. Ускорение научно-технического прогресса является высоким. Элвин Тоффлер предполагает, что в будущем, «Если от 65 до 70 лет рассматривать как период одного поколения (тоесть прошлые 800 периодов) становится понятным, что изменения осуществлялись более быстрыми темпами в последнем поколении, нежели в предыдущих 799" (Элвин Тоффлер, 1993) . Повышение предприятием поддержки внедрения систем баз данных, где ключевой будет технология для повседневной деятельности и в принятии решений, безопасности данных, управляемых при помощи этих систем, становится крайне важным. Ущерб и несанкционированное использование данных, влияют не только на одного пользователя или приложение, но может иметь катастрофические последствия для всей организации (Bertino и др., 2005). Несколько других организационных факторов, которые препятствуют внедрению технологии также были определены после проведения обширного поиска литературы. Среди них стоимость технологии, отсутствие управленческих и технологических навыков, отсутствие системной интеграции и нехватка финансовых ресурсов.

Обеспечение физической и информационной логики по предотвращению хакерских проникновений и взломщиков компьютерных сетей всегда было одной из проблем, ведущих менеджеров организации.

Аутсайдеры саботажа на компьютерные системы и их доступ к информации и базам данных является одной из угроз, которые должны в соответствии с размещенной информацией, должны обеспечивать серьезный приоритет информационной безопасности среди факторов защиты. С другой стороны предоставление различных услуг и услуги электронного правительства, электронной коммерции, электронного обучения и... в области Интернета, усилиями информационной безопасности будет удвоено. Наиболее важным преимуществом миссии компьютерных сетей является ресурс совместного использования оборудования и программного обеспечения и быстрый и легкий доступ к информации. Контроль доступа и использования общих ресурсов, которые являются наиболее важными целями системы безопасности в сети. С расширением компьютерных сетей (особенно Интернет), отношения к информационной безопасности и другим общим ресурсам, вступила в новую фазу. В связи с этим, любой организации, для защиты ценной информации, необходимо придерживаться иной стратегии и в соответствии с ней осуществлять систему безопасности. Отсутствием надлежащей системы безопасности следуют некоторые неожиданные и негативные последствия. Успех в обеспечении информации зависит от защиты данных и информационных систем от атак, и по этой причине, используется многими спецслужбами. Выбранное обслуживание, должно обладать необходимым потенциалом, созданной системой защиты, своевременным обнаружением атак, и быстрой реакцией. Таким образом, база выбранной стратегии может быть основана на трех компонентах защиты, обнаружения, реакции.

Системы Управления Информационной Безопасностью

Управление информационной безопасностью играет ключевую роль в управлении, организации и сертификации Информационной Системы (ИС). В 1995 году, с появлением стандарта управления информационной безопасностью, возник системный подход по обеспечению безопасности пространства обмена информацией. Согласно этой концепции обеспечение безопасности космического обмена информацией должно осуществляться постепенно, последовательно и на основе обеспечения цикла, включая проектирование, внедрение, оценку и модификацию. Соответственно, каждая организация обязана выполнить безопасное пространство обмена информацией в следующих действиях:

А - Обеспечить организацию безопасности, необходимых планов и программ.

B - Создавать организации, необходимые для создания и поддержки в области безопасности, организации информационного обмена.

C - осуществление безопасности в планах и программах

Стандарты безопасности делятся на две основные категории: первая группа используется в сфере безопасности, связанной с техническими условиями в таких областях, как цифровые подписи, шифрование с открытым ключом, симметричное шифрование, кэш - функции, функции шифрования сообщений и проверки подлинности и т.д., и второй группы в отношении безопасности в менеджменте, в том числе различных частей организации управления, стандарт управления BS7799.(Новая версия ISO / IEC 27001).

Название Год Цель Описание
27000 2009 Основа других стандартов Его считают словарь для других стандартов
27001 2005 Обеспечение информационной безопасности через управление Обычно используется рядом ISO\IEC 27002 стандартом
27002 2007 Обеспечение практической рекомендации на 2007 год управления безопасностью 27002 информации Обычно используется рядом ISO\IEC 27001 обычным стандартом
27003 2010 Обеспечить руководство линии и помочь toimplementation из informationsecurity управления В том числе 9 основных частей, для достижения цели
27004 2009 Измерение, отчет и включение систем по информационной безопасности Оценка работы менеджмента информационной безопасности, в том числе и основная часть 6
27005 2008 Обеспечить прямое руководство для информации по управлению рисками безопасности Этот стандарт поддержки ISO \ IEC 27001 понятий. Этот стандарт не рекомендуется для специального анализа рисков и таким образом структурирован и систематичен
15408 после 1994 Обеспечивает рамки для работы процесса признания, реализации и оценки компьютерных систем Включает 5 основных оценок безопасности

Выражение системы управления информационной безопасностью, вытекающие из положений ISO / IEC 27002 для управления информационной безопасностью и опубликованного международной организацией по стандартизации в 2000 году, располагается в соответствии со стандартом ISO 27001, наряду с другими стандартами в области систем менеджмента, только с ISO 9001 и под непосредственным наблюдением и руководством старшего руководителя организации. Эта система является поставщиком информационной безопасности организации и на основе процессного подхода. Также над использованием системы реализует множество стандартов и методологий, таких как BS 7799 и ISO/IEC, и ISO 15408(общие критерии). Чтобы установить и поддерживать систему управления информационной безопасностью, необходимо выполнить следующее:

  1. Создание системы управления информационной безопасностью.
  2. Внедрение и применение системы управления информационной безопасности.
  3. Мониторинг и контроль системы управления информационной безопасности.
  4. Поддержание и улучшение системы управления информацией.

Конечная цель "ИСУБ" система достижения конфиденциальности достоверности и доступности.

Рис. 1 Процесс управления безопасностью

Для достижения сертификации и осуществления текущего управления СИБ было решено создать Форум безопасности. Основными задачами форума безопасности является постоянное улучшение соблюдений СМИБ. Эти обязанности включают в себя:

  • определения сферы СУИБ;
  • рассмотрения и утверждения всей документации, связанной с СУИБ;
  • проведение оценки риска и запись всех изменений;
  • принятия контроля безопасности, который уменьшает риск для безопасности, в соответствии с коммерческим императивам в команде;
  • назначении менеджера безопасности;
  • проведение проверок соответствия СУИБ;
  • осуществление и мониторинг корректирующих действий, вытекающих из проверки соответствия требованиям;
  • рассмотрении случаев нарушения безопасности и производстве;

Преимущества инвестиций в области информационной безопасности:

  • Уменьшение вероятности инактивации систем и программ
  • Эффективное использование человеческих ресурсов и материальных в организации
  • Снижение затрат на потери данных
  • Повышение защиты интеллектуальной собственности

Соответственно определенному этапу времени: это означает, что во время взаимодействия с информационными технологиями может проявлять инициативу (активность) или реакции в ответ проблемам безопасности. Цель "инициативы" является превентивные меры до возникновения конкретной. проблемы В таких случаях возникнет ряд вопросов, которые помогут нам предотвратить проблему (Что мы должны сделать для...?). «Реактивность» является необходимой реакцией после определенной проблемы безопасности (Теперь, когда... Что мы должны делать?). На основе реализации на уровнях систем безопасности в компьютерной среде: информационная безопасность технологии, от активной или реактивной, может быть реализована на трех уровнях: сетевом уровне, уровне хоста, уровне приложений

Таким образом, система безопасности на уровне сети и ее услуг будет осуществляться в определенных прикладных программах, или в среде, которая обеспечивает необходимые условия для осуществления программы.


Рис. 2 Проекционная технология информационной безопасности


Рис. 2 Реактивная технология информационной безопасности

Риски угроз информационной системы организации

Многие компании пытаются пересмотреть свои управленческие модели. Известные угрозы безопасности информационных систем можно разделить на три основные категории: раскрытие конфиденциальности, повреждение целостности информации (манипуляции), а также отсутствие информации (соответствие услуги). Наиболее значительной угрозой информационной безопасности было раскрытие конфиденциальности. Другие угрожающие риски заключаются в следующем:

  • Человеческая ошибка: наибольшее количество урона от этого способа ввода в информационную систему. Невозможность обеспечить надлежащую подготовку и знания; обновленную информацию пользователи и производители иногда игнорируют, а иногда за информацию в своей работе предъявляют высокие затраты на организацию, что при надлежащем обучение было бы решено, по части важных, связанных с данными пользователей.
  • Стихийные бедствия, такие как наводнения, землетрясения, бури и молнии.
  • Систематические ошибки: аппаратные и программные проблемы системы, аппаратные проблемы, проблемы, связанные с сетью связи оборудования (кабели, маршрутизаторы), остановка и подключение электричества, и т.д.;
  • Пустоты в программном обеспечении.
  • Подрывная деятельность: деятельность осуществляемая людьми или машинами в период информационной атаки систем и угрозой средства и условия для того, чтобы уничтожить, изменить или раскрывать информацию о системе.
  • Незаконной деятельности, включая кражу аппаратных средств и мероприятий, которые называются, кибернетической преступностью.

Принятие политики Безопасности

Согласно стандарту BS 7799, в случаях рисков безопасность реализуется таким образом:

  1. Определение политики информационной безопасности
  2. Осуществлять соответствующую политику
  3. Немедленное рассмотрение текущего состояния безопасности информации после осуществления политики безопасности
  4. Осмотр и тестирование информационной безопасности сети
  5. Совершенствование методов организации информационной Безопасности

Необходимость организации системы Безопасности

Управляющие должны проанализировать все информационные системы, чтобы определить, требует ли система администрирования.(В первые дни использования компьютеров в совместных системах использовался только имя пользователя для идентификации лиц и не было никакой необходимости вводить пароль, но когда начинаются злоупотребления системой, были добавлены пароли. Сегодня руководство учитывает безопасность сети, сильнее чем в любое другое время. Наиболее важные причины для этого следующие:

Стоимость инвестиций в аппаратное и программное обеспечение, оборудование, компьютеры и программное обеспечение очень дорого и заменить его сложно и дорого. Даже если в инциденте, связанном с безопасностью, программным обеспечением и оборудованием проблемы безопасности не исчезнут полностью, Может быть, и придется переустановить все программное обеспечение и затем станет необходимым определение основных требований. Это требует много времени, особенно если ответственный не обладает достаточной технической информации в этой области.

Стоимость корпоративных данных - эти данные могут включать списки клиентов, проектное финансирование или коммерческие приложения, написанные пользователем.

Стоимость персональных данных - может быть, индивидуальные данные не имеют материальной ценности, но их потеря очень вредна и создание новой информации потребует много времени.

Угроза компьютерных преступников, Наряду с технологическим прогрессом, группа диверсантов, которые выиграют от кражи компьютерных данных. Эти люди наносят ущерб, распространяют недоверие и создает критические проблемы в более широком спектре.

Причины слабых мест в Системе Безопасности Программы часто заключается без учета вопросов безопасности. Эта проблема имеет несколько причин:

Беззаботность - программисты и дизайнеры не учитывают важность безопасности

Низкий приоритет - так давно, даже те, кто знали пункты безопасности не выполняли их, и, таким образом, вопросы безопасности не интересуют в настоящем

Ограничения по Времени и затратам - некоторые люди считают, что действия по обеспечению безопасности для проектирования, кодирования и тестирования имеют высокую стоимость в процессе обеспечения производственного процесса и им посвящается слишком много времени.

Неровности работы программиста - в работе, связанной с программой одни и те же ошибки повторяются несколько раз и это может привести к недостаткам в безопасности

Творческих преступников - человек творческий и целеустремленный всегда стремится преодолеть барьеры безопасности и обнаружив ошибки, которые привели к проблемам найдет способ их преодолеть.

Низкий уровень информированности - Обычные пользователи (жертвы нарушения безопасности), как правило, не видят угрозы вокруг них и, следовательно, не ищут подходящих способов обеспечения безопасности данных

Вывод и предложения

Компьютерная безопасность-это, по сути, набор технологических решений для не технических проблем. Время, деньги и усилия могут быть потрачены, чтобы обеспечить защиту компьютера, но оно никогда не может быть обезопасен из-за опасения по поводу случайных данных или умышленного уничтожения информации. Учитывая условия – проблемы с программным обеспечением, авариями, ошибками, несчастьями, плохой погоды или оборудованнием агрессивных и мотивированных - можно увидеть, что Каждый компьютер может быть подвержен взлому, активность падает, или даже полностью уничтожена. Задача экспертов в области безопасности, это помощь организациям при принятии решения о времени и затратах, которые будут посвящены вопросам безопасности. В других секторах обеспечение соответствующих политик и процедур в Организации, является приорететным, потому что бюджетные средства безопасности правильно расформированы. Наконец, специалисты должны изучить систему, потому что правильная реализация соответствующих правил обеспечивает гарантию достижения цели. Так безопасность-это вопрос управления.

Следовательно, безопасность должна быть одной из приоритетных задач организационного управления. Руководство должно понимать основные проблемы безопасности, и способствовать реализации принципов первичной безопасности для защиты активов. Плана обеспечения безопасности могут быть поделены на пять различных фаз:

  1. Планирование потребности в безопасности
  2. Оценка риска и выбор наилучшей практики
  3. Создание Политики, для отражения потребности
  4. Реализация безопасности
  5. Расследования и реагирования на события

Существует два основных принципа, которые влияют на эффективное планирование безопасности и политики: В организациях, знание техники безопасности и политики безопасности, должны быть продлены сверху вниз. Пользовательская осведомленность вопросами безопасности, является очень важной. Менеджеры должны посмотреть на безопасность как на важную проблему, принимать и осуществлять ее правила и положения.

Хотя большинство организаций имеют тенденцию к защищенной сети обеспечения единого определения безопасности, которая может не обеспечивают все требования к сети. Вместо этого, каждая организация должна оценивать стоимость своих данных и затем определить политику безопасности для элементов, которые должны быть защищены. Системы безопасности могут показаться дорогими и занять много времени, но по важности информации в такой системе, является очень важным для выживания организации. В целом следует, что организации, следующие три условия должны быть рассмотрены в дизайн информационной безопасности системы:

  1. Обеспечение информационной чистоты хранения и извлечения информации и создание возможностей для людей, которые имеют право использовать информацию.
  2. Точность: информация должна иметь точность.
  3. Доступность: информация для людей, которым разрешено её использовать, должна быть доступна, и они могут использовать информацию в нужное.

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

По вопросам : klubok@сайт