Расходы на продвижение сайта

Содержание

Интернет-сайт: бухгалтерские и налоговые вопросы

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 22 августа 2014 г.

Содержание журнала № 17 за 2014 г.На вопросы отвечала Л.А. Елина, экономист-бухгалтер

Без Интернета многие уже не представляют свою жизнь: это и средство общения, и средство рекламирования, и средство продаж, и многое-многое другое. Мы отвечаем на вопросы читателей об особенностях учета расходов на создание и поддержание сайта.

Для начала определимся с тем, что же такое сайт. По определению, данному в Законе об информации, сайт в сети Интернет — это совокупность компьютерных программ и иной информации, содержащейся в системе, доступ к которой обеспечивается посредством сети Интернет по доменным именам и (или) по сетевым адресамп. 13 ст. 2 Закона от 27.07.2006 № 149-ФЗ. Кроме смыслового контента, у сайта есть несколько составляющих: программная (служит для управления данными и обеспечивает функционирование сайта) и визуально-графическая (определяет дизайн сайта, его оформление и способ представления информации на нем). Исходя из этого, проверяющие считают, что затраты на сайт надо учитывать так же, как и затраты на базы данных и программные продуктыПисьма УФНС по г. Москве от 17.01.2007 № 20-12/004121; Минфина от 06.11.2012 № 03-03-06/1/572.

Затраты на «исключительный» сайт нельзя сразу учесть в расходах

В. Грязнова, бухгалтер

Наша компания заключила с организацией-разработчиком договор на создание сайта. По условиям этого договора к нашей организации переходят исключительные права на сайт. Планируем использовать его достаточно долго — уж точно больше года. Сумма расходов на разработку сайта составила 60 000 руб. (без учета НДС). Можем ли мы списать стоимость сайта единовременно на расходы?

: Лучше так не поступать. Поскольку у вас есть исключительные права на сайт и стоимость расходов на его создание составила более 40 000 руб., он должен быть учтен в качестве нематериального актива. Причем как в бухгалтерском, так и в налоговом учетеп. 3 ПБУ 14/2007; п. 3 ст. 257 НК РФ. Так что затраты на создание вашего сайта формируют его первоначальную стоимость.

Далее стоимость сайта будет списываться на расходы через амортизацию — начиная с месяца, следующего за тем, в котором сайт заработает (появится в Интернете и будет выполнять свои функции)п. 4 ст. 259 НК РФ; п. 31 ПБУ 14/2007.

Срок полезного использования — не обязателен, но желателен

В. Грязнова, бухгалтер

Чтобы начислять амортизацию, нужен конкретный срок полезного использования. В документах на создание сайта, предоставленных разработчиком, не указано никаких сроков его использования. Директор нашей организации — не провидец, он не может предсказать, сколько этот сайт прослужит. Как нам быть?

: Если вы решите, что никто в вашей организации не в состоянии определить точный срок использования сайта (учтенного в качестве нематериального актива), то:

  • в налоговом учете СПИ будет равен 10 годамп. 2 ст. 258 НК РФ;
  • в бухгалтерском учете сайт амортизироваться не будетпп. 23, 25 ПБУ 14/2007.

То есть возникнет разница между бухгалтерским и налоговым учетом. Поэтому логичнее все же установить срок планируемого использования сайта. Сделать это можно, к примеру, опираясь на планы по обновлению своего сайта: ведь устаревает не только информация на сайте, но и дизайн сайта и его технические возможности. В крайнем случае (если у вашего руководства совсем нет каких-либо мыслей и планов по поводу сроков использования сайта) установите его равным 10 годам (по аналогии с максимальным сроком, предусмотренным в налоговом учете).

Кстати, в бухгалтерском учете в дальнейшем есть возможность уточнить срок полезного использования сайта. Ведь проверять СПИ всех НМА надо ежегодноп. 27 ПБУ 14/2007.

В налоговом учете СПИ сайта не может быть менее 2 лет

Светлана Федоровна, г. Москва

Организация изготовила собственными силами интернет-сайт и самостоятельно установила в целях бухгалтерского учета срок его полезного использования — 24 месяца. Можно ли принять этот срок и в целях налогового учета?

: Да, можно. Налоговый кодекс также дает возможность организациям самим определять СПИ по нематериальным активам. Единственное ограничение — налоговый СПИ для программ и баз данных не может быть менее 2 летп. 2 ст. 258, п. 3 ст. 257 НК РФ. В вашей ситуации это требование выполняется.

Госрегистрация сайта не обязательна, чтобы признать его НМА

Яна

Организация сама изготовила интернет-сайт, стоимость — свыше 40 000 руб. Срок полезного использования в целях бухгалтерского и налогового учета — 3 года. Сайт работает и приносит экономическую выгоду. Получать свидетельство о регистрации на этот сайт в Роспатенте организация не стала. Правомерно ли принятие сайта к бухгалтерскому и налоговому учету в качестве НМА без его регистрации?

: Наличие или отсутствие государственной регистрации сайта никак не влияет на учет самого сайта. Ведь регистрация баз данных и программ для ЭВМ, во-первых, не обязательна, а во-вторых, не является единственным свидетельством того, что у организации есть исключительные права на сайт. Для того чтобы подтвердить права вашей организации на сайт, разработанный самостоятельно, достаточно внутренних документов компании. К примеру, это могут быть приказ директора о разработке сайта или другой распорядительный документ, график выполнения работ по созданию сайта, акт о его вводе в эксплуатацию.

Модификация сайта не увеличивает его первоначальную стоимость

Ирина Велачевская, бухгалтер

Наш сайт создан 3 года назад. В связи с изменившейся структурой организации и предъявлением новых требований к сайту руководство заключило договор со сторонней компанией на переделку (модификацию) нашего сайта. Сумма весьма значительна — 50 000 руб. По сути это модернизация сайта. Нужно ли в налоговом учете увеличивать первоначальную стоимость самого сайта, который учитывается как НМА, на затраты по его переделке? Или их можно сразу списать на расходы?

: Увеличивать первоначальную стоимость вашего сайта не требуется. Ведь в Налоговом кодексе нет соответствующих положений.

Так что затраты на доработку сайта можно учесть в составе прочих расходовп. 1 ст. 256, подп. 26 п. 1 ст. 264 НК РФ; Письмо Минфина от 19.07.2012 № 03-03-06/1/346. Однако делать это единовременно опасно.

Минфин, ориентируясь на хорошо знакомый всем принцип равномерности признания доходов и расходов, рекомендует распределять затраты на доработку и обновление сайта в течение самостоятельно определенного периодаабз. 2 п. 1 ст. 272 НК РФ; Письмо Минфина от 06.11.2012 № 03-03-06/1/572.

К примеру, данный период можно определить, ориентируясь на частоту периодических обновлений сайта в вашей организации. Если переделка сайта потребовалась вам через 3 года, можно предположить, что очередная модификация потребуется через такое же время.

Можно ориентироваться и на планы руководства (лучше, если они будут утверждены во внутренних документах). Так, если директор не полностью удовлетворен результатом и планирует добавить сайту функционала или внести в него иные изменения, к примеру, через год, то затраты на модификацию сайта можно списать в течение этого года.

Установленный срок для списания затрат зафиксируйте в бухгалтерской справке-расчете.

Затраты на продвижение сайта — рекламные

bux_schet

IT-компания оказывает нашей организации услуги по повышению доступности сайта в поисковых системах, в результате которых наш сайт должен быть виден заинтересованному пользователю в числе первых. Как учитывать расходы на услуги по продвижению web-сайта? На какой счет они списываются в бухучете и как определить вид расходов в учете для целей налогообложения прибыли?

: При расчете налога на прибыль такие затраты вы можете учесть как рекламные. Ведь в результате продвижения вашего сайта он должен быть доступен большему количеству потенциальных клиентов.

Минфин придерживается такой же позиции. Причем расходы учитываются на дату подписания акта об оказании услуг без всяких нормативов, поскольку относятся к расходам на рекламные мероприятия через средства массовой информации и телекоммуникационные сетип. 4 ст. 264 НК РФ; Письмо Минфина от 08.08.2012 № 03-03-06/1/390.

В бухучете вы можете отразить расходы на продвижение сайта по дебету счета 26 «Общехозяйственные расходы» или счета 44 «Расходы на продажу» (в корреспонденции с кредитом учета расчетов с IT-компанией — 60 «Расчеты с поставщиками и подрядчиками» или 76 «Расчеты с разными дебиторами и кредиторами»)пп. 5, 7 ПБУ 10/99.

Неисключительные права на сайт в налоговом учете лучше списывать постепенно

И. Васильев, директор

Нашей компании нужен новый интернет-сайт. Его стоимость — 120 000 руб. Посоветовался с главным бухгалтером — он рекомендует заключить договор о передаче нашей компании неисключительных прав на сайт на 10 лет. Этого вполне достаточно, новый сайт придется делать даже раньше. Говорит, что так будет выгоднее с налоговой точки зрения: не придется создавать нематериальный актив, а значит, можно будет сразу списать все на расходы. Разработчику все равно — напишут в договоре, как попросишь. А я в сомнениях: мне кажется, что лучше исключительные права получить, но в то же время интересны и налоговые выгоды. Что вы посоветуете?

: При прочих равных условиях лучше выбрать исключительные права на сайт. Причем никаких ущемлений в налоговом плане у вас не будет. Чтобы пояснить это, рассмотрим оба варианта.

ВАРИАНТ 1. Вы получите исключительные права на сайт.

В таком случае вы признаете в налоговом учете нематериальный актив и сможете сами установить срок полезного использования сайта (но не менее 2 лет). В течение этого срока вы сможете списать свои расходы.

ВАРИАНТ 2. Вы получите неисключительные права на сайт.

Тогда в налоговом учете не возникнет нематериального актива. Однако единовременно списывать стоимость «неисключительного» сайта на расходы тоже опасноподп. 26 п. 1 ст. 264, п. 1 ст. 272 НК РФ; Письма Минфина от 18.03.2013 № 03-03-06/1/8161, от 31.08.2012 № 03-03-06/2/95.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

БАХВАЛОВА Александра Сергеевна Советник государственной гражданской службы РФ 3 класса

“Если компания приобрела неисключительные права на интернет-сайт, то расходы на его разработку надо учитывать равномерно в прочих расходах в течение срока действия неисключительного права (по аналогии с расходами на приобретение прав на программное обеспечение)подп. 26 п. 1 ст. 264, п. 1 ст. 272 НК РФ”.

То есть, купив неисключительные права на сайт на 10 лет, вы будете списывать его стоимость в течение этого срока. Можно, конечно, списать на расходы все сразу, но в таком случае есть вероятность спора с налоговыми инспекторами.

И. Васильев, директор

А если мы заключим договор о передаче нам неисключительных прав на сайт, но в нем вообще ничего не будет сказано о сроке действия таких прав, можно ли будет сразу все расходы учесть для налогообложения?

: Если в договоре вообще не будет указан срок действия неисключительной лицензии на сайт, это может помочь сократить срок списания. Однако единовременное признание расходов также наверняка приведет к спору с проверяющими. Поскольку Минфин в случаях, когда приобретаются неисключительные права на программное обеспечение, рекомендует списывать расходы на покупку таких прав равномерно:

  • <или>в течение пятилетнего срока (это стандартный срок, определенный Гражданским кодексом)п. 4 ст. 1235 ГК РФ; Письмо Минфина от 23.04.2013 № 03-03-06/1/14039;
  • <или>в течение самостоятельно определенного срока использования таких прав (причем без всякой привязки к пятилетнему сроку, определенному ГКПисьмо Минфина от 18.03.2014 № 03-03-06/1/11743).

Первичная регистрация доменного имени — часть первоначальной стоимости НМА

Марина

Заказали разработку сайта (будет учтен в налоговом учете как НМА), потом проплатили регистрацию доменного имени. Сумма небольшая, срок действия регистрации — год. Можем ли мы сразу учесть эту сумму в расходах? Ведь сайт может работать и без доменного имени.

: Безопаснее включить затраты на регистрацию доменного имени в первоначальную стоимость нематериального актива (если, конечно, вы не начали полноценно эксплуатировать свой сайт раньше)п. 3 ст. 257 НК РФ; Письмо УФНС по г. Москве от 17.01.2007 № 20-12/004121. Ведь затраты на получение доменного имени можно рассматривать как расходы на доведение НМА до состояния, пригодного к использованию: по сетевому адресу (без доменного имени) найти сайт непросто.

А дальнейшие затраты на перерегистрацию доменного имени (фактически — на продление срока регистрации) будете включать в прочие расходы. Поскольку перерегистрация делается на 1 год, то безопаснее списывать затраты на нее в течение этого срока. Однако когда сумма таких затрат несущественная (к примеру, менее 500 руб. или 1000 руб.), многие бухгалтеры предпочитают единовременно учитывать ее в расходах. Кстати, есть Письмо московского УФНС, позволяющее так делатьподп. 49 п. 1 ст. 264 НК РФ; Письмо УФНС по г. Москве от 17.01.2007 № 20-12/004121.

При УСНО учет затрат на сайт зависит от объема прав

Наталья

Организация находится на упрощенной системе налогообложения. Объект — «доходы, уменьшенные на расходы». Заказали разработку сайта у специализированной фирмы. Стоимость работ — более 40 000 руб. Можем ли мы списать на расходы стоимость сайта сразу после того, как он будет принят от разработчика и станет доступен в Интернете?

: Это зависит от того, какие права на сайт вы получаете по условиям договора с разработчиком.

СИТУАЦИЯ 1. Вы получаете исключительные права. Тогда безопаснее в налоговом учете сформировать нематериальный активподп. 2 п. 1 ст. 346.16 НК РФ; Письма Минфина от 28.07.2009 № 03-11-06/2/136; УФНС по г. Москве от 16.12.2011 № 20-14/2/122096@. Его стоимость можно списать на расходы равномерно до конца года, в котором сайт принят к бухучету, — расход признается на последнее число каждого кварталаподп. 2 п. 3, подп. 2 п. 1 ст. 346.16, подп. 4 п. 2 ст. 346.17 НК РФ.

Однако Налоговый кодекс дает упрощенцам возможность и единовременно учесть в расходах стоимость исключительных прав на программыподп. 2.1 п. 1 ст. 346.16 НК РФ. А как мы уже сказали, сайт — это и есть совокупность программ.

ПАХАЛУЕВА Светлана Борисовна Ведущий советник отдела специальных налоговых режимов Департамента налоговой и таможенно-тарифной политики Минфина России

“Если налогоплательщику, применяющему упрощенную систему налогообложения с объектом «доходы, уменьшенные на величину расходов», принадлежат исключительные права на созданный сторонней организацией сайт, необходимый для его хозяйственной деятельности, и указанные права подтверждены документально, то затраты на создание этого программного комплекса могут быть отнесены к расходам на приобретение исключительных прав на программы для ЭВМ и базы данных, предусмотренным подп. 2.1 п. 1 ст. 346.16 КодексаПисьмо Минфина от 16.12.2011 № 03-11-11/317. Такие расходы можно учесть единовременно в отчетном периоде, когда выполняются следующие условия:

  • эти расходы оплачены;
  • сайт принят к бухгалтерскому учету в качестве нематериального актива (введен в эксплуатацию).

Так можно сделать, даже если сумма затрат на разработку сайта превышает 40 000 руб. и сайт планируется использовать более 1 года.

Причем положения Кодекса не содержат требований об отражении в учетной политике такого единовременного способа списания затрат на создание/приобретение сайта”.

СИТУАЦИЯ 2. Вы получаете от разработчика лишь права пользования сайтом (а не исключительные права на сайт). В таком случае расходы на сайт можно учесть как рекламные расходы, ведь наверняка на сайте размещена информация о вашей фирме, ее товарах, работах или услугахподп. 20 п. 1 ст. 346.16 НК РФ; Письма Минфина от 28.07.2009 № 03-11-06/2/136; УФНС по г. Москве от 16.12.2011 № 20-14/2/122096@.

Не забывайте о том, что независимо от варианта учета расходов на создание сайта при формировании базы по «упрощенному» налогу нужно, чтобы эти расходы были оплаченыподп. 4 п. 2 ст. 346.17 НК РФ.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Расходы»:

Минфин разрешил учесть расходы на продвижение сайта при налогообложении прибыли

Авторы письма напомнили, что рекламной признается информация, распространенная любым способом, в любой форме и с использованием любых средств. При условии, что она адресована неопределенному кругу лиц и направлена на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке (п. 1 статьи 3 Федерального закона от 13.03.06 № 38-ФЗ «О рекламе»). В пункте 4 статьи 264 НК РФ названы виды рекламных расходов. В частности, таковыми являются расходы на рекламные мероприятия через средства массовой информации и телекоммуникационные сети.

Рекламные расходы, как и любые другие, учитываются при налогообложении прибыли, если они обоснованы, подтверждены документами и произведены для осуществления деятельности, направленной на получение дохода (ст. 252 НК РФ).

Если затраты на продвижение сайта соответствуют этим требованиям, то их можно учесть в расходах на основании подпункта 28 пункта 1 статьи 264 НК РФ. Согласно этой норме, расходы на рекламу производимых (приобретенных) и (или) реализуемых товаров (работ, услуг), деятельности налогоплательщика, товарного знака и знака обслуживания включаются в состав прочих расходов, связанных с производством и реализацией.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИНТЕРНЕТ-МАГАЗИНА

Магнитогорский государственный университет, студент 51 гр. Факультета информатики

Магнитогорский государственный университет, к.п.н, доц. кафедры Информационных технологий Факультета информатики

Специальность 080801.65 «Прикладная информатика (в экономике)».

Поскольку создание Интернет-магазинов стало общедоступно для всех пользователей сети Интернет, за данный вид коммерции взялись и различные фирмы, более того появились Кампании полностью интегрировавшие свою коммерческую деятельность во Всемирную паутину(Ozon.ru, Amazon.com и др.). Из выше сказанного можно сделать вывод, что всё более распространено понятия того, что Интернет-магазин – лицо Кампании.

Ныне актуально понятие того, что Интернет-магазин представляет собой одну из составляющих коммерческой фирмы. Согласно данным, приведенным корпорацией Symantec, больше 30% хакерских атак приходится именно на веб-сайты компаний малого бизнеса. Каждый день регистрируются десятки взломов. Многие компании с особым вниманием рассматривают вопросы безопасности, так как современные прогрессивные темпы развития и деятельность в конкурентной среде не оставляют другого выбора.

Обезопасить компанию от всевозможных угроз и неприятностей можно за счет:

• оптимального выбора системы управления контентом сайта (CMS);

• использования хостинга, обладающего достаточной надежностью;

• применения необходимого серверного программного обеспечения;

• своевременных мероприятий, позволяющих минимизировать возможность появления непредвиденных проблемных ситуаций на веб-сайтах.

Большая часть атак на web-сайты проводится в автоматическом режиме, посредством автоматических программ сканирования и подобных инструментов специального программного обеспечения, позволяющего обнаруживать «дыры» в обеспечении безопасности сайта. Появление в программном обеспечении web-сайта любой CMS делает этот сайт менее безопасным. Сайт обслуживается http-сервером. Http-серверы проверяются на наличие уязвимостей, но даже в них продолжают находить новые “дыры”. Любая CMS устанавливается в дополнение к http-серверу, и это приводит к тому, что уязвимости CMS прибавляются к уже имеющимся.

При всём этом, количество уязвимостей в CMS( по отношению к статическому сайту) весьма велико. Это обусловлено тем, что, специалисты хостинг-провайдера за безопасностью сервера, а за безопасностью самой CMS придётся следить владельцу сайта. К тому же, вряд ли какая-то из существующих CMS прошла столь же серьёзные испытания на устойчивость, как серверные приложения более низкого уровня.

И всё же тот факт, что CMS приводит к снижению безопасности сайта, не должен становится препятствием внедрению CMS.

На практике более важно управление рисками. Даже защищённый Интернет-магазин может быть взломан потому, что владелец установил легко угадываемый пароль. Таким образом, угрозы, связанные с CMS, оказываются значительно меньше ошибок в организации эксплуатации самой CMS.

Лучше использовать более распространённые CMS, в этом случае несколько выше вероятность того, что уязвимости в них уже обнаружены и закрыты. Впрочем, нет таких гарантий, что в будущем в системе не обнаружат новых “дыр”.

Лучшим выбором является та система, развитие которой не прекращается. Если разработчики прекратили развивать систему, то существует вероятность того, что вновь обнаруженная уязвимость не будет вовремя исправлена.

Так же необходимо следить за всеми обновления CMS, ориентированными на её безопасность и своевременно устанавливать эти обновления. Некоторые современные CMS, например “1С:Bitrix”, позволяют автоматизировать процесс поиска и установки обновлений.

Если были установлены «сторонние» расширения, то тщательно следить за их обновлениями, так как при обновлении самой CMS, уязвимости в расширениях остаются без изменений. При обновлении расширении, необходимо тщательно отслеживать новости на официальных сайтах разработчиков расширений.

Все пароли доступа к управлению сайтом должны быть надёжными и храниться в тайне. Даже если пароль передаётся доверенному лицу, возникает риск того, что пароль у этого лица могут узнать против его воли. Доступ к административному разделу сайта лучше реализовывать с использованием протокола SSL. Этот протокол специально предназначен для применения в Web, хотя он может использоваться для любого типа коммуникаций. Первоначально компания Netscape разработала его для своего навигатора, чтобы помочь развитию электронной коммерции. SSL, опираясь на сертификаты, обеспечивает шифрование данных, аутентификацию обеих сторон и контроль целостности сообщений. В основном SSL работает в фоновом режиме при соединении с web-сервером для защиты пересылаемой информации, и его присутствие мало кто осознает. Обычно он аутентифицирует только одну сторону – серверную, так как у большинства конечных пользователей нет сертификатов. В противном случае, есть вероятность получения злоумышленником паролей через анализ сетевого трафика.

Кроме того, следует тщательно изучить рекомендации хостинг-провайдера по безопасности и следовать им. Если возможная уязвимость может быть чревата потерями тех или иных ресурсов, то нужно провезти аудит программного обеспечения сайта.

Итак, основа практической безопасности – не «непробиваемая» CMS, а верная оценка рисков и угроз, подкрепляемая правильным управлением этими рисками. Лучше всего на вопросы безопасности ответит специалист, но такие специалисты недешевы. Поэтому, если бюджет не позволяет нанять эксперта, то необходимо хотя бы следовать самым простым, только что перечисленным, правилам безопасности.

Одной из основных задач является обеспечение эффективной и надежной защиты от различных хакерских атак, попыток взлома и хищения информации с сайта. Система управления сайтом «1C-Битрикс», оснащена модулем «Проактивная защита», который содержит комплекс мероприятий, предназначенных для защиты интернет-ресурса и различных приложений.

На одном из фестивалей по инициативе компаний Positive Technologies и «1C-Битрикс» был организован конкурс. Его участникам предлагалось взломать сайт, оснащенный «Проактивной защитой». При этом специально были созданы уязвимые места, соответствующие ошибкам, допущенным при разработке сайта. Главной целью конкурса являлась проверка функционирования «Проактивной защиты» в сложившихся тяжелейших условиях. Свыше 600 специалистов пытались обойти систему «Проактивной защиты», среди которых были и участники фестиваля, и многие желающие, принимающие участие в конкурсе через интернет.

Результаты конкурса были проанализированы экспертами в области веб-безопасности. В итоге только одному участнику удалось выполнить задачу конкурса за счет использования недостатков web-браузера Internet Explorer. Данное мероприятие позволило выявить имеющиеся недостатки, внести необходимые поправки в функции фильтра и за счет этого модернизировать функционирование системы.

«Проактивная защита» является результатом многолетней кропотливой работы компании и олицетворяет инновационный подход в области веб-безопасности. Она позволяет существенно повысить эффективность защиты от различных хакерских атак и уменьшить зависимость владельцев сайтов от практически регулярных ошибок веб-разработчиков.

Если же рассматривать более распространённую CMS «Joomla», то, не смотря на то, что они выпустили свой «сканер безопасности» и с его появлением было исправлено более шестидесяти ошибок, в том числе и уязвимости, способствующие отказу в доступе, все же в данной CMS есть ещё много «обходных путей». Примером таких «путей» может служить файл подключения фильтра «class.inputfilter.php». В августе 2006 года к этому файлу был сделан запрос:

«index.php?option=com_poll&task=results&id=14&mosmsg=DOS@HERE<<>AAA<><>».

Данный запрос при неоднократном повторении сводился к статусу «DoS-атака», то есть приводила к отказу в обслуживании. Данная уязвимость была исправлена только в октябре 2007 года. Потом же была найдена и своевременно исправлена аналогичная уязвимость в расширении «Virtuemart». Сейчас выходит множество официальных и сторонних расширений на «свежеиспечённую» «Joomla 3.x», и даже не смотря на то, что данная уязвимость не считается актуальной, однако она до сих пор находит своё применение среди злоумышленников.

Так же довольно популярной стала CMS «WordPress». Первоначальная концепция «WordPress» была направленна на создание сайтов-блогов, «одностраничных» сайтов и подобных. Однако многие пользователи «WordPress» стали ставить самописанные или же готовые сторонние плагины типа «Интернет-магазин» на данную CMS.Однако в 2012 году исследователи из «Sans Institute» заявили, что им поступило несколько сообщений о попытках атаки на популярные системы управления контентом, в частности «WordPress». Скомпрометированные web-сайты были инфицированы вредоносным кодом, перенаправляющим пользователей на сторонние порталы.

Исследователь Джон Бамбенек, руководитель компании «Bambenek Consulting», ведущий блог в «Sans Institute», сообщил, что инцидент является особенно интересными из-за попыток злоумышленников массово атаковать страницы путем взлома серверов.

“Интересно отметить, что это не похоже на эксплоит, производящий поиск одной уязвимости. Судя по всему, злоумышленники сканировали серверы на наличие сразу нескольких брешей в «WordPress»”, – дополнил эксперт в своем личном блоге.

В «Sans Institute» отмечают, что атакованные порталы перенаправляли пользователей на сторонний ресурс, заражающий системы самих посетителей ложным антивирусом. Конечной целью взломщиков было получение материальной платы за регистрацию фальшивого программного обеспечения и якобы устранение угроз безопасности.

Таким образом данный пример хорошо показывает, как уязвимости CMS перерастают в уязвимости http-сервера.

Из всего выше сказанного можно сделать вывод, что информационная безопасность Интернет-магазина является одним из важных и актуальных аспектов его существования в целом.

В наше время торговля посредством сети Интернет развивается достаточно быстро. Данный способ торговли становится все более актуальным, особенно там, где электронным рынком можно воспользоваться большей части предприятий.

Коммерческая деятельность в «Сети» снимает определённые ограничения. Компании, осуществляющие торговлю через сеть Интернет, могут предоставить клиентам круглосуточную поддержку. Покупки могут осуществляться в любое время суток из любой точки земного шара.

Однако в данном способе торговле есть свои минусы. На зарубежных виртуальных рынках, сделки нередко ограничиваются определённой суммой. Это явление обосновывается проблемами информационной безопасности Интернет-магазинов. По мнению ООН, компьютерная преступность вышла на уровень одной из международных проблем.

Исходя из исследований компании «SLI Systems», объем мировой электронной коммерции в 2013 году должен превысить 1,25 триллиона долларов. Данный прогноз обосновывается проблемами обеспечения экономической и информационной безопасности электронной коммерции. Если нынешний уровень безопасности сохранится, то мировой оборот электронной коммерции может существенно снизиться. Из этого следует, что низкий уровень безопасности электронной коммерции является основным сдерживающим фактором развития электронного бизнеса.

Решение проблем обеспечения безопасности электронной коммерции в первую очередь связано с решением вопросов безопасности технологий, применяемых в ней, то есть с обеспечением информационной безопасности.

Объединение бизнеса с сетью Интернет приводит к кардинальному изменению обеспечения безопасности. Прав и обязанности, на основании электронного документа требуют защиты от всей совокупности угроз, как отправителя документа, так и его получателя. К сожалению, руководители предприятий электронной коммерции осознают всю серьезность угроз информационной безопасности и важность организации мер защиты своих ресурсов только в том случае, если сами ресурсы подвергнуться атакам. Как можем понять, все выше сказанное относится к сфере информационной безопасности.

При обеспечении информационной безопасности должен соблюдаться ряд основных требований – доступность, конфиденциальность, целостность. Любая угроза информационной безопасности должна рассматриваться с точки зрения того, как она может повлиять на данные требования.

Угрозы и уязвимости Интернет-магазина.

По своей сути, Интернет-магазин — это web-приложение, состоящее из клиентской и серверной частей, реализующих технологию «клиент-сервер». Клиентская часть реализует интерфейс приложения, посылает запросы к серверу и обрабатывает ответы на эти запросы. Серверная же часть получает запрос, выполняет вычисления относительно запроса, после чего формирует web-страницу, которую видит пользователь. Само же приложение может работать в качестве клиента других служб, например, базы данных или другого веб-приложения, расположенного на другом сервере.

Анализ данных исследований проводимых компанией «Positive Technologies», осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите веб-приложений остаются одним из распространенных недостатков обеспечения информационной безопасности. Уязвимости Интернет-магазинов и корпоративных порталов являются одним из самых распространенных путей реализации атак на web-приложения с целью кражи или уничтожения информации и проникновением в корпоративные информационные системы.

Согласно данным компании «Positive Technologies», чаще всего выделяют следующие виды угроз:

• Межсайтовое кодирование (XSS –атаки);

• SQL — инъекции;

• Неправильная конфигурация web-сервера;

• Вредоносное программное обеспечение;

• Подделка межсайтовых запросов(CSRF);

• Вызов исключительных ситуаций;

• Атаки типа «отказ в обслуживании»(DoS-атаки).

Результатом успешной реализации угроз безопасности Интернет-магазину может быть утечка или уничтожение конфиденциальной данных (коммерческой информации, сведения о покупателях), заражение системы и в последующем компьютеров пользователей вредоносным программным обеспечение, недоступность клиентов к web-приложению.

Ко всему этому, компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования и всё это приводит к ослаблению репутации на рынке.

Угрозы, связанные с перехватом передаваемой информации (получение несанкционированного доступа к ней) посредством сети Интернет, присущи не только к Интернет-магазину. Особое значение представляет то, что в системах электронной коммерции хранятся сведения, несущие экономическое характер: номера кредитных карт, номера счетов, содержание договоров и подобные.

Исходя из сказанного, возникает необходимость в использовании средств и методов защиты информационных ресурсов интернет-магазина от НСД(несанкционированного доступа).

Таким образом, можно сделать вывод, что обеспечение информационной безопасности Интернет-магазина – это не только одно из важных требований успешного ведения электронного бизнеса, но и фундамент доверительных отношений между клиентом и кампанией. Торговля посредством сети Интернет предполагает активный обмен информацией, проведение открытых транзакций через незащищенную сеть общего доступа, которые невозможны без доверия между субъектами бизнеса.

Исходя из этого, обеспечение информационной безопасности подразумевает комплексный подход, включающий в себя такие задачи, как доступ к серверам и web-приложениям, аутентификация и авторизация пользователей, обеспечение конфиденциальности и целостности персональных данных, реализация электронной цифровой подписи и применение прочих мер обеспечения информационной безопасности.

XSS–атаки.

XSS-атаки относятся к типу уязвимостей интерактивных информационных систем в сети Интернет.

XSS-атака – это внедрение вредоносного кода, которое может быть возможным посредством вводимых пользователем данных, которые обычно передаются на страницу через веб-форму. «Атакующий» вредоносный код может быть кодом любого языка web-программирования на стороне клиента, например, JavaScript, HTML, Flash, CSS, и подобные. Код используется для сохранения вредоносных данных на сервере или же выполнения вредоносных действия в браузере пользователя.

К сожалению, межсайтовые скриптовые атаки происходят, в основном, потому, что разработчики не в состоянии обеспечить безопасный код.

Фактический вредоносный код не хранится на сервере, а передается через него жертвам. Атака запускается из внешнего источника, например, из сообщений электронной почты или стороннего сайта.

Непрерывная XSS-атака.

Этот тип атаки происходит, когда вредоносный код уже внедрён в процессе системы и хранится непосредственно в базе данных. В качестве инструмента внедрения может использоваться комментарий, файл журнала, сообщения типа «уведомление» или любой другой раздел на сайте, требующий ввода данных пользователем. После внедрения, в момент, когда «заражённая» информация предоставляется на веб-сайте, вредоносный код запускается на исполнение.

Как пример можно использовать систему комментариев: Как только нарушитель оставит комментарий, тот будет сохранен в файле базы данных. Таким образом, весь файл отображается всей аудитории пользователей. Если в момент обработки вредоносный код выполнится без каких-либо проверок, то он будет сохранен и автоматически запущен.

Методология предотвращения XSS-атак.

В рамках реализации мер безопасности, предотвращающих XSS-атаки, необходимо помнить о таких стандартных методах, как:

• Проверка данных, поступивших в базу;

• нормализация базы данных;

• экранирование символов скрипта в строке ввода данных.

Используя данные метода, можно предотвратить угрозы простых XSS-атак.

Проверка данных, поступивших в базу.

Проверка данных – это процесс обеспечения работы приложения корректными данными. Если PHP-скрипт ожидает возврата целого числа, при вводе данных пользователем, то любой тип данных, неподходящий под требования скрипта, будет отклонен и пользователь получит сообщение об ошибке ввода. Каждая часть пользовательских данных должна быть проверена ещё при обработке.

Если нужно проверить номер телефона, то поле ввода данных должно быть привязано к числовой переменной типа «integer», так как номер телефона должен состоять только из цифр. Необходимо также принимать во внимание длину строки ввода.

Нормализация базы данных.

Нормализация базы данных сфокусирована на манипулировании данными с целью, убедиться, что они безопасны для системы. Происходит удаление нежелательных битов данных или же, при возможности, приведение их к правильной форме.

Экранирование данных.

Для защиты корректного отображения данных на выходе, их необходимо экранировать. Это предотвратит попытку парсера в браузере непреднамеренно изменить значение специальных последовательностей символов, обработанных данным.

Данный метод необходим при отображении введенных пользователем данных, содержащих нежелательные html-тэги.

SQL-инъекция.

SQL-инъекция – это метод атаки базы данных в обход межсетевой защиты.

При использовании данного метода, параметры, передаваемые в базу данных через web-приложения, изменяются таким образом, чтобы изменить

выполняемый SQL-запрос.

Выделяются два основных типа SQL-инъекций:

• SQL Injection в строковом параметре;

• SQL Injection в цифровом параметре.

Методология предотвращения SQL-инъекций.

Предотвращение системы от SQL-инъекций реализуется путём проверки валидности запроса, и имеет в основном программно-технический характер.

Защита от SQL Injection в цифровом параметре.

Для проверки переменной на числовое значение используется функция «is_numeric(n);», которая возвращает «true», если параметр переменной — число, и «false» в противном случае. Так же можно не проверять значение на число, а вручную переопределить тип.

Защита от SQL Injection в строковом параметре.

Большинство взломов через SQL-инъекции происходят по причине нахождения в строках недопустимых специальных символов. Для нормализации работы с такими строками необходимо использовать функцию «addslashes($str);».Данная функция возвращает строку $str с добавленным обратным слешем () перед каждым специальным символом. Данный процесс называется экранизацией.

Подделка межсайтовых запросов(CSRF).

Подделка межсайтовых запросов(CSRF)вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.

Защита от подделки межсайтовых запросов.

Основным способом защиты является механизм, при котором, с каждой сессией пользователя, ассоциируется дополнительный секретный ключ, предназначенный для выполнения запросов. Пользователь посылает этот ключ среди параметров каждого запроса, и перед выполнением каких-либо действий сервер проверяет этот ключ на валидность. Преимуществом данного механизма является гарантированная защита от атак данного типа. Недостатком же являются требования возможности организации пользовательских сессий и требования динамической генерации HTML-кода активных страниц сайта.

При разработке Интернет-магазина, как и при разработке любого веб-проекта, необходимо понимать, что информационная безопасность является одним из важных требований для полноценного и стабильного функционирования Интернет-магазина, как системы.

При правильной настройки системы управления контентом, системы разграничении доступа, http-сервера и системном подходе при решении проблем информационной безопасности CMS, система работает стабильно и даёт возможность управления процессами обеспечения информационной системы.

Таким образом, можно сделать вывод, что внедрение данной системы в Интернет-магазин автоматизирует некоторые процессы информационной безопасности и сократить определённые риски, однако информационная безопасность требует комплексного подхода и чаще всего человеческий фактор играет большую роль в правильном обеспечении безопасности.

Количество просмотров публикации: —

Модель защиты интернет-магазина Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

А.Ю. Оладько, В.С. Аткина МОДЕЛЬ ЗАЩИТЫ ИНТЕРНЕТ-МАГАЗИНА

Цель исследования: разработка модели защиты web-приложения на примере интернет-магазина. Рассмотрена проблема обеспечения безопасности web-приложений, относящихся к различным отраслям. Проанализированы данные статистических исследований безопасности web-приложений, относящихся к различным отраслям. По результатам анализа выделены основные уязвимости web-приложений и наиболее распространенные атаки злоумышленника на web-приложения, реализация которых может привести к утечке информации, НСД к конфиденциальным данным, финансовым и репутационным потерям организаций собственников web-приложений. Определены методы и этапы защиты web-приложений. Предложен подход к защите web-приложения на примере интернет-магазина, представлена и описана архитектура защищенного магазина, приведены результаты экспериментальных исследований направленных на оценку предложенных методов защиты. Сделан вывод о том, что разработанные модули защиты интернет-магазина позволяют защититься от ряда атак злоумышленника, что свидетельствует о возможности применения предложенного подхода к защите на практике при разработке и сопровождении web-приложений.

Web-приложение; защита; электронная коммерция; уязвимости.

A.Yu. Oladko, V.S. Atkina MODEL OF ONLINE STORE PROTECTION

Web- application; protection; e-commerce; vulnerabilities.

Проблема безопасности web-приложений. В связи с постоянным развитием технологий высокоскоростного доступа в Интернет важные компоненты бизнеса перемещаются в среду Web. Системы типа Банк-Клиент, публичные сайты организаций, интернет-магазины, новостные, развлекательные и торговые площадки, блоги, государственные порталы являются обязательной составляющей всемирной сети (рис. 1). Из-за своей доступности они часто становятся привлекательной целью для злоумышленников, поэтому решения по эффективной защите web-приложений сейчас являются все более актуальными и востребованными.

При этом обеспечение безопасности подразумевает защиту ценностей, где ценность определяется как нечто, имеющее стоимость. Некоторые активы являются материальными и имеют денежное выражение, другие — нематериальны, но тем не менее имеют стоимость. Необходимость защиты «почти материальных» активов, таких как реестр имущества компании, персональные данные пользователей, клиентов и сотрудников, электронные деньги сомнений не вызывает. Но важно понимать и то, что такая, безусловно, нематериальная ценность, как репутация компании, тоже имеет стоимость и нуждается в защите.

Доля web-приложений по отраслям

■ Электронная коммерция

■ Интернет-сервисы

■ Онлайновые-СМИ

■ Тематические ресурсы

■ Развлекательные ресурсы

Рис. 1. Статистика распределения web-приложений

Анализ данных исследований проводимых аналитическим центром PT Research, а также компанией PositiveTechnologies осуществляющих проведение тестов на проникновение и аудит информационной безопасности показывают, что ошибки в защите web-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Более того, уязвимости web-приложений являются одним из наиболее распространенных путей реализации злоумышленниками атак на web-приложгния с целью кражи информации и последующим проникновением в корпоративные информационные системы. Согласно данным статистики (см. табл. 1 и рис. 2) наиболее распространенными угрозами безопасности web-приложений являются: межсайтовый скриптинг (XSS-атаки), SQL-инъекции, вызов исключительных ситуаций, подделка межсайтовых запросов(CSRF), угрозы заражения вредоносным программным обеспечением.

Таблица 1

Статистика угроз и их распределение по web-приложениям

№ п/п Угроза информационной безопасности Доля угроз, % Доля уязвимых сайтов, %

1 Межсайтовое кодирование (XSS -атаки) 19,23 27,27

2 SQL-инъекция 17,65 49,35

3 Неправильная конфигурация web-сервера 11,09 37,36

4 Вредоносное программное обеспечение 12,44 37,66

5 Подделка межсайтовых запросов(CSRF) 2 7,79

6 Вызов исключительных ситуаций 11,54 20,78

7 Прочие 26,05 50

Результатом успешной реализации угроз безопасности web-приложений и атак злоумышленника может стать утечка или уничтожение конфиденциальных данных, заражение компьютеров пользователей вредоносным ПО, недоступность сервисов, финансовые и репутационные потери. Следовательно, возникает необходимость в использовании специализированных средств и методов защиты web-приложгний.

Методы защиты web-приложений. Анализ литературных источников показывает, что при обеспечении защиты web-приложений необходимо учитывать ряд особенностей связанных непосредственно с процессом их функционирования:

♦ корпоративные web-сайты и соответствующие web-приложения должны быть доступны для пользователей, заказчиков и партнеров 24 часа 7 дней в неделю;

межсетевые экраны и применение SSL не обеспечивают защиту от взлома web-приложений просто потому, что доступ к сайту из внешних сетей должен быть всегда открыт;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

web-приложения часто имеют прямой доступ к корпоративным данным, таким как базы данных пользователей или платежных данных, ЕЯР системам и другой важной информации;

узконаправленные пользовательские приложения более восприимчивы к атакам, так как они не подвергаются такому длительному тестированию и эксплуатации, как общедоступные известные приложения; традиционные сетевые средства защиты не предназначены для отражения специализированных атак на web-приложения, поэтому злоумышленники при помощи браузеров легко проходят через периметр корпоративной сети и получают доступ к внутренним системам и серверам; ручное обнаружение и устранение уязвимостей в самом приложении, сайте или web-портале также часто не дает положительных результатов — разработчики могут находить и исправлять тысячи уязвимостей, но злоумышленнику для проведения результативной атаки достаточно обнаружить всего одну.

Рис. 2. Статистика угроз web-приложениям

Проведенный анализ позволяет сделать вывод о том, что обеспечение защиты web-приложений должно осуществляться как на этапе проектирования и разработке самого web-приложения, так и в процессе его эксплуатации с внесением в случае необходимости своевременных корректировок . При этом защита должна строиться по двум основным направлениям:

♦ недопущение ошибок в скриптах при разработке web-приложения;

♦ применение специализированных межсетевых экранов уровня приложений (например, решения типа АррИсайопРп^аП), которые обладают встроенным функционалом предотвращения вторжений и обеспечивают защиту от целенаправленных web-атак, таких как переполнение буфера, SQL инъекции, Сross-Site-Sсriрtmg, изменение параметров запросов и других. Решения этого класса фильтруют запросы на доступ к приложению и блокируют все действия, которые не относятся к разрешенной активности пользователей.

Модель защищенного интернет-магазина. Таким образом, на основе проведенного анализа процесса функционирования web-приложения, уязвимостей, основных угроз, требуется, авторами предлагается подход к защите web-приложения, реализованный на примере модели интернет-магазина. Поскольку любой интернет-магазин представляет собой web-приложение относящееся к системе электронной коммерции, то разработанная модель защищенного интернет-магазина должна обеспечивать решение следующих задач:

♦ регистрация клиентов;

♦ отображения каталога товаров;

♦ оформление заказа;

♦ администрирование;

♦ защита от угроз.

Для решения задач защиты от угроз мошенничества, несанкционированного доступа к платежным данным пользователей, защиты от уязвимостей web-приложений, в модели должны быть реализованы следующие методы:

♦ метод защиты от мошенничества;

♦ метод защиты платежных данных;

♦ метод защиты от web-уязвимостей.

Разработанная архитектура модели защищенного интернет-магазина представлена в виде взаимосвязанных между собой модулей (рис. 3). Каждый модуль предназначен для решения определенного круга задач и связан с другими модулями двунаправленными связями.

Менеджер

компании

г

Рис. 3. Архитектура модели защищенного интернет-магазина

Блок «менеджер компании» является внешним по отношению к разработанной архитектуре модели защищенного интернет-магазина. Осуществляет контроль за выполнением заказов.

Блок «клиент» является внешним по отношению к разработанной архитектуре модели защищенного интернет-магазина. Осуществляет покупку товаров и оплату за них.

Блок «биллинг» является внешним по отношению к разработанной архитектуре модели защищенного интернет-магазина. Осуществляет перевод денежных средств со счета клиента, согласно предоставленным им платежным данным, на счет интернет-магазина.

Блок «модуль регистрации» предназначен для регистрации клиентов интернет-магазина. При этом клиент должен вводить контактные данные (электронную почту, номер телефона), адрес доставки товара, платежные данные (включая биллинг-адрес для тех платежных систем, в которых он предусмотрен, например кредитных карт).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Блок «модуль каталога товаров» предназначен для отображения товаров, доступных для покупок в данном интернет-магазине. Используя данный модуль, клиент выбирает необходимый ему товар и переходит к оформлению заказа и оплате выбранного товара.

Блок «модуль оформления заказа» предназначен для составления счета и передачи платежных данных и суммы заказа биллингу.

Блок «административная панель» предназначен для вывода менеджеру компании информации о зарегистрированных пользователях, совершенных заказах.

Блок «ядро» предназначен для осуществления работы с базой данных, HTML-кодом. Может включать в себя интерфейс работы с различными стандартными модулями.

Блок «БД» представляет собой базу данных, в которой хранятся данные о товарах, клиентах, заказах.

Блок «модуль защиты от web-уязвимостей» осуществляет защиту от web-уязвимостей.

Блок «модуль защиты от мошенничества» осуществляет защиту от мошенничества.

Блок «модуль защиты платежных данных» осуществляет защиту платежных данных клиента.

Экспериментальные исследования модели защиты интернет-магазина.

Для экспериментального исследования модели защищенного интернет-магазина на виртуальной машине VMware была установлена и настроена операционная система Linux Red Hat 10, в которой было установлено программное обеспечение, необходимое для функционирования разработанной модели защищенного интернет-магазина, включая:

♦ web-сервер Apache версия 2.0.40;

♦ СУБД MySQL версия 3.23.54;

♦ криптографический пакет OpenSSL версия 0.9.7а;

♦ интерпретатор Perl версия 5.8.9.

С моделью защищенного Интернет-магазина проводились два эксперимента:

1. Оценка воздействия на Интернет-магазин злоумышленника при попытке внедрить вредоносный javascript код через проведение XSS-атаки с целью получения cookie администратора/менеджера интернет-магазина (эксперимент 1).

2. Оценка эффективности модуля защиты платежных данных путем моделирования регистрации пользователей и указания платежных данных (эксперимент 2).

Каждый эксперимент проводится сначала при выключенных модулях защиты, затем данные эксперименты повторяются при включенных модулях защиты.

В эксперименте, направленном на оценку воздействия на Интернет-магазин злоумышленника, при попытке внедрить вредоносный javascript код через проведение XSS-атаки с целью получения cookie администратора магазина моделировалась попытка злоумышленника внедрить вредоносный javascript код, путем проведения XSS-атаки на форму регистрации интернет-магазина. При этом вредоносный javascript код внедрялся в поле ввода данных и региона клиента Интернет-магазина.

При отключенном модуле защиты от уязвимостей web-приложений опасные символы не были отфильтрованы, и вредоносный javascript код выполнился в браузере менеджера компании. Таким образом, злоумышленник достиг своей цели.

При включенном модуле защиты от уязвимостей web-приложений опасные HTML-символы, с использование которых осуществлялась XSS-атака, были заменены на безопасные. Символ ‘<’ был заменен на ‘&lt;’, символ ‘>’ был заменен на ‘&gt;’. В результате этого вредоносный javascript код не был выполнен, а отобразился в браузере менеджера компании (рис. 4).

При проведении второго эксперимента, направленного на оценку эффективности модуля защиты платежных данных была смоделирована регистрация в интернет-магазине трех пользователей и ввод ими своих платежных данных, которые сохранялись в базе данных интернет-магазина.

При отключенном модуле защиты платежных данных платежные данные клиента интернет-магазина были сохранены в базе данных в открытом виде. Таким образом, если злоумышленник сможет получить несанкционированный доступ к базе данных, то сможет завладеть платежными данными клиентов интернет-магазина.

Рис. 4. Результат проведения злоумышленником ХББ-атаки, при включенном модуле защиты от уязвимостей м>вЬ-приложений

При включенном модуле «защита платежных данных платежные данные клиентов интернет-магазина были сохранены в базе данных в зашифрованном виде. Таким образом, если злоумышленник сможет получить несанкционированный доступ к базе данных интернет-магазина (например, используя уязвимости сервера), то в его распоряжении окажутся платежные данные пользователей в зашифрованном виде и он без применения средств криптоанализа и больших временных затрат не сможет ими воспользоваться в свих целях.

Выводы. Результаты проведенных исследований показывают, что разработанные модули защиты интернет-магазина позволяют защититься от таких атак злоумышленника как несанкционированный доступ и кража платежных данных из БД, XSS-атаки, SQL-инъекции, а следовательно могут использоваться при разработке и сопровождения реальных систем.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. January 2013 WebServerSшrvey. — Официальный сайт компании Netcraft. — Режим доступа:http://news.netcraft.com/ (дата обращения 23.02.2014).

2. Статистика web-уязвимостей за 2013 год. — Режим доступа: http://netnsk.ru/publica/security/sec_10.php (дата обращения 23.02.2014).

3. ЛеонтьевВ.С. Безопасность в сети интернет. — М.: ОЛМА Медиа Групп, 2008. — 256 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. РэйнолдсМ. Сделай сам Интернет-магазин. — М.: Изд-во “Лори”, 2009. — 538 с.

5. Защита Web приложений/ЮОО «СОВИТ». : URL -http://www.sovit.net/ services/endpoint_security/web_application_protection (дата обращения 23.02.2014).

6. Статистика национального домена в рунете//Координационный центр национального домена сети интернет: URL — http://www.cctld.ru/ru/statistics (дата обращения 23.02.2014).

7. Статистика и аналитика // Домена России: URL — http://statdom.ru/researchs (дата обращения 23.02.2014).

Статью рекомендовал к опубликованию д.т.н., профессор Л.К. Бабенко.

Оладько Алексей Юрьевич — Волгоградский государственный университет; e-mail: bop-x@yandex.ru; 400062, г. Волгоград, пр-т Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; старший преподаватель.

Аткина Владлена Сергеевна — e-mail: atkina.vlaldlena@yandex.ru; кафедра информационной безопасности; к.т.н.; старший преподаватель.

УДК 004.056

А.В. Никишова, Р.Ф. Рудиков, Е.А. Калинина

НЕЙРОСЕТЕВОЙ АНАЛИЗ СОБЫТИЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Статистика за 2013 год и предсказания на 2014 год относительно атакующих воздействий на информационную систему показывает как рост возникающих атакующих воздействий из числа известных, так и рост новых образцов и направлений реализации атак. В связи с этим актуальной является задача сбора сведений о событиях, происходящих в информационной системе и относящихся к основным объектам информационной системы, и проведение их эффективного анализа. Основными требованиями к средствам анализа являются: скорость и возможность приспособления к новым обстоятельствам — адаптивность. Средствами, удовлетворяющими этим требованиям, являются системы искусственного интеллекта. В частности существует ряд исследований, применяющих нейронные сети в качестве средства анализа. Выделяют различные типы нейронных сетей, различающиеся в зависимости от решаемых задач и более подходящие для различных входных данных. Построена многоагентная система обнаружения атак, осуществляющая сбор и анализ собранных сведений о событиях информационной системы с помощью двух типов нейронных сетей. Для анализа различных журналов

Договор на создание и разработку сайта

Требуется договор на разработку сайта. Возможно, договор продажи сайта (договор купли-продажи сайта). Также интересует, что нужно предусмотреть в договоре на размещение на сайте, договоре на обслуживание сайта, договоре на доработку сайта, договоре аренды сайта? Наверное, мы указали все возможные варианты запросов по данной тематике.

Поэтому перейдем непосредственно к обсуждению вопроса и дадим ряд важных и полезных советов.

1. Что такое сайт и для чего вам вообще разбираться в этом.

Обратим внимание, что если неверно будет определен статус сайта, то неправильно будут выбраны нормы закона, подлежащего применению. В этом случае очень высока вероятность заключения договора, который противоречит закону и (или) не создает никаких правовых последствий для сторон, подписавших некий документ под названием «договор».

В настоящее время закон не предусмотрел напрямую в качестве объекта гражданских прав, в т.ч. объекта авторского права, сайт.

Тем не менее в соответствии с пп.2. п.2 ст.1259 ГК РФ к объектам авторского права относятся составные произведения, т.е. произведения, представляющие собой по подбору или расположению материалов результат творческой деятельности. Также стоит понимать, что подбираемые и располагаемые материалы сами по себе могут являться объектами авторского права и быть охраноспособными. Данный подход нашел свое подтверждение и в судебной практике. Так, суд признает, что сайт является составным произведением.

Сайт может состоять из специально подобранных и расположенных определенным образом материалов (текстов, рисунков, фотографий, чертежей, аудиовизуальных произведений и т.д.), которые могут быть использованы с помощью компьютерной программы (компьютерного кода), являющейся элементом сайта (Постановление Президиума ВАС РФ от 22.04.2008 № 255/08 по делу № А63-14046/2006-С1).

Вывод: заключаемый договор на создание сайта должен предусматривать, что оказываемые исполнителем услуги связаны с подбором и расположением отдельных материалов.

2. Какое значение имеют отдельные элементы сайта?

Отдельные элементы сайта могут также являться объектами авторского права. В этом случае заключаемый с исполнителем договор должен предусматривать указание на конкретные объекты (элементы), которые будут им создаваться (путем перечисления объектов, их описания).

Вывод: заключаемый договор на создание сайта (в т.ч. договор продажи сайта, договор купли-продажи сайта, договор аренды сайта) должен предусматривать, что оказываемые исполнителем услуги связаны с созданием каждого конкретного элемента сайта, который является охраноспособным с точки зрения закона (является результатом творческой деятельности).

3. Как стоит квалифицировать договор между заказчиком и исполнителем?

ГК РФ предусматривает, что в случае если по заданию заказчика действует физическое лицо, то данный договор является договором авторского заказа (ст.1288 ГК РФ). При этом договором может быть предусмотрено отчуждение исключительного права на произведение или предоставление права использования произведения в установленных пределах.

Следовательно, отсутствие положений, касающихся исключительного права на произведение сделает крайне затруднительным использование созданного объекта авторского права без негативных правовых последствий. В случае, если по заданию заказчика действует юридическое лицо, подобный договор можно будет квалифицировать как договор возмездного оказания услуг или договор подряда. Однако и он должен также предусматривать отчуждение исключительного права на произведение либо предоставление права использования произведения.

Таким образом, купля-продажа сайта, аренда сайта и иные варианты отчуждения самого сайта невозможны. Закон предусматривает возможность заключения либо договора об отчуждении исключительного права, либо лицензионного договора.

4. Стоит ли определять происхождение отдельных элементов сайта?

Заказчику стоит понимать какое конкретное физическое лицо является автором тех произведений, которые он в последующем будет использовать. При этом скажем сразу, что заключенный с исполнителем договор по умолчанию не является панацеей от требований третьих лиц, если последние являются истинными правообладателями отдельных элементов, которые были использованы при создании сайта.

Именно поэтому целесообразно на этапе заключения договора включить в него условия, которые предусматривали бы, например, что исполнитель является автором произведений либо правообладателем произведений; исполнитель является работодателем физических лиц, которые непосредственно создали объекты авторского права, и трудовые договоры с ними содержат сведения о создании служебных произведений, а созданное было осуществлено в рамках выполнениях трудовых обязанностей.

Также можно включить обязанность предоставления копий соответствующих документов. Обратим также внимание, что без контроля исполнения данных обязанностей их значимость будет невелика.

5. Как минимизировать риски, связанные с нарушением прав настоящих авторов (правообладателей) и устранением последствий подобного?

В качестве способов минимизации, в частности, предлагаем следующее:

а) предпринимать максимально возможные действия на установление авторов (правообладателей);

б) отслеживать передачу или предоставление исключительных прав на произведение от третьих лиц к заказчику;

в) включать обязанность по подтверждению наличия исключительного права на объекты;

г) предусматривать способы исполнения обязательств по договору.

В случае, если Ваш судебный спор или иной спор, договорная работа или любая другая форма деятельности касается вопросов, рассмотренных в данном или ином нашем материале, рекомендуем проверить и убедиться, что Ваша правовая позиция соответствует последним изменениям практики и законодательству.

Мы будем рады оказать Вам юридическую помощь по поводу минимизации юридических рисков и имеющимся возможностям. Мы постараемся найти решение, подходящее именно для Вас.

Звоните по телефону +7 (383) 310-38-76 или пишите на адрес info@vitvet.com.

Предлагаем своим клиентам наши юридические услуги по следующим направлениям:

1) сопровождение бизнеса;
2) защита интеллектуальной собственности;
3) ведение судебных споров;
4) корпоративная практика;
5) недвижимость;
6) налоговое право.

Рекомендуем почитать наш блог, посвященный юридическим и судебным кейсам (арбитражной практике), и ознакомиться с материалам в Разделе «Статьи».

Наша юридическая компания оказывает различные юридические услуги в разных городах России (в т.ч. Новосибирск, Томск, Омск, Барнаул, Красноярск, Кемерово, Новокузнецк, Иркутск, Чита, Владивосток, Москва, Санкт-Петербург, Екатеринбург).

Будем рады увидеть вас среди наших клиентов!

Звоните или пишите прямо сейчас!

Телефон +7 (383) 310-38-76
Адрес электронной почты info@vitvet.com

Юридическая фирма «Ветров и партнеры»
больше чем просто юридические услуги

Договор подряда или договор возмездного оказания услуг?

Деятельность в сфере разработки Интернет-сайтов достаточно новая. Как зарегистрировать домен? Какой договор подписать? Стоит ли регистрировать торговую марку? Каким образом защитить содержимое от воровства? Эти вопросы все чаще и чаще задают себе люди, которые ведут или еще только собираются вести бизнес связанный с Интернетом.

Попробуем ответить на некоторые из них.

Договор подряда или договор возмездного оказания услуг?

Создание веб-сайта — процесс, который затрагивает несколько сфер права. С одной стороны, мы оказываемся в сфере гражданских правоотношений, и тут возникает вопрос: как эти отношения должны быть оформлены? Договором подряда (договором на выполнение работ) или Договором возмездного оказания услуг?

Гражданский кодекс разделяет эти виды договоров несмотря на то что в них много общего.

Возмездное оказание услуг описывается в главе 39 ГКРФ. По договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги.

Подряд описывается главой 37 ГКРФ и в значительно большей степени разграничивает права и обязанности подрядчика и заказчика. По договору подряда одна сторона (подрядчик) обязуется выполнить по заданию другой стороны (заказчика) определенную работу и сдать ее результат заказчику, а заказчик обязуется принять результат работы и оплатить его.

ГКРФ не содержит определения работ и услуг и это приводит к тому, что исполнитель сам формируя акт выполненных работ должен прописывать, что он делал выполнял работу или оказывал услугу например выкопал яму или копал яму.

Отличие работ от услуг состоит в том, что первые представляют собой действия, направленные на достижение материального результата, а вторые достижения такого результата не предполагают либо их результат отождествляется с самим действиями.

Что лучше защищает разработчика?

Достижение результата

Подряд: результат обязателен, именно он принимается и оплачивается заказчиком
Услуги: можно предусмотреть ситуацию, когда результат не будет достигнут вследствие объективных обстоятельств, и не потерять аванс

Исполнение обязательств

Подряд: исполнитель вправе привлечь субподрядчиков
Услуги: исполнитель обязан оказать услуги лично, если иное не предусмотрено договором

Риск утраты результата

Подряд: риск случайной гибели или случайного повреждения результата выполненной работы до ее приемки заказчиком несет подрядчик
Услуги: когда невозможность исполнения возникла по обстоятельствам, за которые ни одна из сторон не отвечает, заказчик возмещает исполнителю фактически понесенные им расходы.

Отказ заказчика

Подряд: заказчик может в любое время до сдачи ему результата работы отказаться от исполнения договора, уплатив подрядчику часть установленной цены пропорционально выполненной части работы
Услуги: заказчик вправе отказаться от исполнения договора возмездного оказания услуг при условии оплаты исполнителю фактически понесенных им расходов.

Для того что бы выбрать между договором подряда или договором оказания услуг лучше всего ознакомиться с соответствующими статьями ГКРФ и определиться какая именно и в какой степени защищает ваши интересы, как подрядчика или как заказчика.

По материалам презентации на TagLine.RU, Наталья Гоменюк, компания «ИНТЕРНЕТ-ПЕРМЬ»

Получить юридическую консультацию в Туле вы можете у квалифицированного юриста
Шарыгина Сергея Ивановича по телефону +7 910 948-70-91

Является ли Интернет-сайт нематериальным активом компании? Должен ли он быть отражен в бухгалтерской отчетности?

Интернет-сайт — это совокупность программы, обеспечивающей его функционирование, и графического решения (дизайна). По отдельности составляющие элементы сайта свои функции выполнять не могут, поэтому интернет-сайт нужно рассматривать как единый объект для целей налогового учета затрат.

В соответствии с п. 3 ст. 257 НК РФ в целях налогообложения прибыли нематериальными активами признаются приобретенные и (или) созданные налогоплательщиком результаты интеллектуальной деятельности и иные объекты интеллектуальной собственности (исключительные права на них), используемые в производстве продукции (выполнении работ, оказании услуг) или для управленческих нужд организации в течение длительного времени (продолжительностью свыше 12 месяцев).

Для признания нематериального актива необходимо:

  • наличие у него способности приносить налогоплательщику экономические выгоды (доход);
  • наличие надлежаще оформленных документов, подтверждающих существование самого нематериального актива и (или) исключительного права у налогоплательщика на результаты интеллектуальной деятельности (в том числе патенты, свидетельства, другие охранные документы, договор уступки (приобретения) патента, товарного знака).

В Письме Управления Федеральной налоговой службы по г. Москве от 17.01.2007 N 20-12/004121 указано, что по своей сути интернет-сайт — это совокупность двух объектов авторского права — программы, обеспечивающей его функционирование, и графического решения (дизайна). По отдельности составляющие элементы сайта свои функции выполнять не могут, поэтому интернет-сайт нужно рассматривать как единый объект для целей налогового учета затрат.

Права юридического лица на интернет-сайт, фактически, могут возникнуть в результате его самостоятельной разработки, силами организации, либо на договорной основе, то есть переход прав на сайт переходит от его разработчиков к организации. Возможен и другой договорный вариант возникновения права, например, пользования. Это случай, когда разработкой и поддержкой, наполнением интернет-сайта занимается сторонняя организация, за что заказчик осуществляет встречное предоставление в виде оплаты.

С точки зрения российского законодательства существует два способа отражения данного актива в бухгалтерском и налоговом учете:

  • отражение интернет-сайта как нематериального актива организации;
  • отражение интернет-сайта как расходов по обычным видам деятельности в бухгалтерском учете и прочих расходов — в налоговом учете.

Интернет-сайт (интернет-ресурс) с точки зрения бухгалтерского учета — это нематериальный актив.

В рассматриваемом случае в соответствии с п. 1 ст. 1240 Гражданского кодекса Российской Федерации лицо, организовавшее создание сложного объекта, становится владельцем исключительных прав на соответствующий объект.

Далее, в соответствии со ст. 1234 Гражданского кодекса Российской Федерации, покупка интернет-сайта была произведена по договору отчуждения исключительного права на результат интеллектуальной деятельности в составе сложного объекта в полном объеме.

Если понесенные организацией расходы связаны с созданием сайта, предназначенного, как правило, для рекламы деятельности организации, и размещением его на сервере организации, то расходы по его созданию и размещению в сети отражаются в бухгалтерском учете организации в соответствии с Положением по бухгалтерскому учету «Расходы организации» ПБУ 10/99, утвержденным Приказом Минфина России от 06.05.1999 N 33н (Письмо Министерства финансов Российской Федерации от 22.10.2004 N 07-05-14/280).

Также в Письме Министерства финансов Российской Федерации от 12.03.2006 N 03-03-04/2/54 департамент налоговой и таможенно-тарифной политики сообщает, что в соответствии с п. 3 ст. 257 Налогового кодекса Российской Федерации, чтобы учесть созданный сайт как нематериальный актив, у организации должны быть документы, подтверждающие существование самого нематериального актива и исключительного права на него, а сам сайт должен способствовать получению дохода, его стоимость должна превышать 10 000 руб. и срок эксплуатации должен быть свыше 12 месяцев.

Первоначальная стоимость интернет-сайта, созданного сторонним разработчиком, исключительные права на который перешли по договору, будет определяться как сумма расходов на его приобретение (цена договора) и размещение его в сети Интернет за исключением налога на добавленную стоимость.

Согласно п. п. 6 — 9 ПБУ 14/2007 фактическая (первоначальная) стоимость интернет-сайта определяется как сумма, уплаченная разработчику по договору. В этом случае исключительное право на интернет-сайт, созданный по договору авторского заказа, предметом которого было создание интернет-сайта (в соответствии с техническим заданием), принадлежит заказчику, если договором не предусмотрено иное.

Если интернет-сайт был передан в собственность по договору, предусматривающему исполнение обязательств (оплату) неденежными средствами, тогда балансовая стоимость данного нематериального актива определяется как стоимость аналогичного актива. Для определения такой стоимости следует её подтвердить документально, при помощи привлечения экспертной организации в области оценки.

В соответствии с пунктом 7 статьи 3 Федерального закона от 21.11.1996 N 129-ФЗ «О бухгалтерском учете» (далее — Закон N 129-ФЗ) руководителем экономического субъекта признается лицо, являющееся единоличным исполнительным органом экономического субъекта, либо лицо, ответственное за ведение дел экономического субъекта, либо управляющий, которому переданы функции единоличного исполнительного органа. Согласно пункту 1 статьи 7 названного Закона ведение бухгалтерского учета и хранение документов бухгалтерского учета организуются руководителем экономического субъекта.

В силу пункта 1 статьи 13 Закона N 129-ФЗ бухгалтерская (финансовая) отчетность должна давать достоверное представление о финансовом положении экономического субъекта на отчетную дату, финансовом результате его деятельности и движении денежных средств за отчетный период, необходимое пользователям этой отчетности для принятия экономических решений.

Статьей 120 НК РФ установлена ответственность за систематическое (два раза и более в течение календарного года) несвоевременное или неправильное отражение на счетах бухгалтерского учета и в бухгалтерской отчетности хозяйственных операций, денежных средств, материальных ценностей, нематериальных активов и финансовых вложений. За такие нарушения взыскивается штраф в размере:

  • 10 000 руб., если эти деяния совершены в течение одного налогового периода (п. 1 ст. 120 НК РФ);
  • 30 000 руб., если эти деяния совершены в течение более одного налогового периода (п. 2 ст. 120 НК РФ);
  • 20% суммы неуплаченного налога, но не менее 40 000 руб., если эти деяния повлекли занижение налоговой базы (п. 3 ст. 120 НК РФ).

Кроме того, ст. 15.11 КоАП РФ установлена ответственность для должностных лиц организации в виде штрафа в размере от 2000 до 3000 руб. за грубое нарушение правил ведения бухгалтерского учета и представления бухгалтерской отчетности, под которым понимаются:

  • искажение сумм начисленных налогов и сборов не менее чем на 10%;
  • искажение любой статьи (строки) бухгалтерской отчетности не менее чем на 10%.

На основании вышеизложенного можно сделать следующий вывод. Интернет-сайт является нематериальным активом, который должен быть отражен в бухгалтерской отчетности, балансе и иметь определенную стоимость. В случае, если актив организации не отражен в её бухгалтерской отчетности, то это является правонарушением, влекущим административную ответственность в виде штрафа. Данное правонарушение может быть выявлено налоговой инспекцией.

Для ответа на вопрос были использованы следующие документы и нормативно-правовые акты:

  • «Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ;
  • «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ;
  • Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
  • Приказ Минфина РФ от 30.03.2001 N 26н (ред. от 24.12.2010) «Об утверждении Положения по бухгалтерскому учету «Учет основных средств» ПБУ 6/01″ (Зарегистрировано в Минюсте РФ 28.04.2001 N 2689)
  • Письмо Управления Федеральной налоговой службы по г. Москве от 17.01.2007 N 20-12/004121;
  • Письмо Министерства финансов Российской Федерации от 22.10.2004 N 07-05-14/280;
  • Письме Министерства финансов Российской Федерации от 12.03.2006 N 03-03-04/2/54.

>Нематериальные активы

Понятие «Нематериальные активы»

Нематериальные активы – это интеллектуальные ресурсы организации, которые она применяет в работе или для управления как минимум год (п. 3 ст. 257 НК). Если говорить простыми словами, то нематериальные активы – это объекты без материальной формы, которыми владеет предприятие.

НМА и основные средства – главные составляющие внеоборотных активов. Но путать эти два понятия не стоит. Нематериальные активы отличаются от основных средств отсутствием материальной формы. Разница более ощутима, если привести примеры. Здание – это основное средство, товарный знак – НМА.

Форма НМА-1 Карточка учета нематериальных активовСкачать бесплатно

Финансовый словарь предлагает называть НМА также невещественными или неосязаемыми активами. Далее по тексту будем использовать эти термины.

Узнайте, что понимают под основными средствами в налоговом и бухгалтерском учете.

Что относится к НМА

Налоговый кодекс дает открытый перечень невещественных активов предприятия. Документ относит к ним в том числе исключительные права на:

  • фото, видео, аудиофайлы (ст.1263 ГК);
  • модели для электронно-вычислительной машины (персональный компьютер);
  • промышленные образцы;
  • селекционные достижения (например, новый сорт овоща или фрукта);
  • товарные знаки и т. п. (абз. 3 п. 3 ст. 257 НК).

Приведем несколько признаков нематериальных активов:

  • никто из посторонних не имеет к нему доступ;
  • объект не будут перепродавать;
  • предмет может принести прибыль;
  • стоимость имущества можно определить;
  • объект можно сдать в аренду;
  • срок полезного использования более года;
  • у объекта нет материальной формы.

НМА: что не относится к ним

Не все результаты интеллектуальной деятельности можно отнести к невещественным активам. Налоговый кодекс выделяет две категории активов, которые нельзя отнести в эту группу. Это, к примеру, труд, который не принес положительного результата. Речь идет о научно-исследовательских, опытно-конструкторских и технологических работах (п. 3 ст. 257 НК).

Качества работников, их квалификация и способность к труду – тоже примеры интеллектуальной деятельности, которые не входят в категорию «нематериальные активы».

ПБУ 14/2007 «Учет нематериальных активов» исключает из числа неосязаемых активов также: работы, которые организация не закончила и не оформила в установленные законом сроки; средства индивидуализации; финансовые вложения (п. 2 Положения, утв. приказом Минфина от 27.12.07 № 153н; далее – Положение).

Срок службы НМА

Компании потребуется вычислить срок полезного использования (СПИ) объекта, чтобы без ошибок начислить амортизацию по нему. Под СПИ в целях бухгалтерского учета понимают период, в течение которого имущество будут использовать для получения выгоды. Его определяют в месяцах (п. 25 Положения).

Компании не всегда начисляют амортизацию по имуществу без материальной формы. Если определить срок полезного использования нет возможности, то и начислений не будет. В остальных случаях стоимость объекта погашают посредством амортизации. То есть, за счет списания стоимости имущества на себестоимость продукции.

СПИ имущества устанавливают по двум характеристикам. Во-первых, по сроку действия прав компании на предмет интеллектуальной собственности. Соответственно, СПИ не может быть больше того срока, сколько существует организация. Во-вторых, при расчете нужно учитывать срок, в течение которого с имущества планируют получать выгоду (п. 26 Положения).

Компании нужно каждый год проверять, требуется ли уточнить срок полезного использования объекта. Если срок, в течение которого от объекта рассчитывали получать выгоду изменился, то и СПИ будет другим. Все обновления нужно будет показать в бухгалтерском учете (абз. 1 п. 27 Положения).

Читайте также: Справочник ОКОФ с амортизационными группами

Допустима также ситуация, что из-за изменения условий по объекту можно рассчитать СПИ, хотя ранее это было невозможно. Тогда компании нужно будет определить срок и показать его в бухгалтерском учете (абз. 2 п. 27 Положения).

Рассмотрим, как считать срок полезного использования на примере. Допустим, что компания приобрела исключительные права на аудиовизуальное произведение. По договору с правообладателем право будет действовать шесть лет. Тогда срок полезного использования составит: 6 лет х 12 мес. = 72 мес.

Учет нематериальных активов

Компания вправе учесть нематериальные активы в бухгалтерском учете — это если они соответствуют нескольким требованиям (подп. «а»-«ж» п. 3 Положения). Причем соблюсти нужно все условия одновременно. Обязательные требования мы показали в таблице 1.

Таблица 1. Требования к НМА

Условие

способен в перспективе принести компании экономическую выгоду

срок полезного использования больше года

в течение года компания не планирует продавать объект
не имеет материальной формы
можно установить точную первоначальную стоимость
есть возможность отделить от других объектов (как вариант – сдать в аренду)

В плане счетов бухгалтерского учета НМА отвели счет 04. На этом счете организации отражают сведения о наличии имущества такого рода и его движении. Расходы на научно-исследовательские работы также показывают на этом счете (План, утв. приказом от 31.10.00 № 94н).

Проводкой Дебет 04 Кредит 08 компании показывают, что приняли объект к бухгалтерскому учету. Другие типовые проводки, которые понадобятся организации, мы показали в таблице 2.

Таблица 2. Проводки

Значение операции Дебет Кредит
Приобретение
НМА принят к учету 04 08
учтены расходы в связи с покупкой предмета интеллектуальной собственности 08 60
учтен НДС по покупке исключительных прав 19 60
перечислена оплата за покупку исключительного права 60 51
входной НДС принят к вычету 68 19

Теперь обратимся к налоговому учету НМА. У предприятия есть необходимость начислять амортизацию по объекту, если одновременно соблюдаются два условия. СПИ имущества превышает год, а стоимость — порог в 100 тыс. руб. (п. 1 ст. 25 НК).

При этом далеко не все НМА нужно амортизировать. В Налоговом кодексе закрепили список объектов, которые не подлежат амортизации. К ним относятся полученные компанией права на интеллектуальную собственность, если оплачивать их нужно периодическими платежами (подп. 8 п. 2 ст. 256 НК). Подобные расходы компании включают в затраты на производство и реализацию (подп. 37 п. 1 ст. 264 НК).

Нематериальные активы в балансе

В балансе такой вид имущества показывают в первом разделе с названием «Внеоборотные активы». В этом же разделе показывают основные средства, результаты исследований, финансовые вложения и т. п. (приложение 1 к приказу Минфина от 02.07.10 № 66н).

НМА в балансе: пример оформления поясненийСкачать бесплатно

Для НМА в балансе выделили строку 1110. Арифметически показатель этой строки можно вычислить как разницу между дебетовым сальдо счета 04 и кредитовым сальдо счета 05.

Предприятию потребуется заполнить информацию об НМА не только в бухгалтерском балансе, но и в приложении к этому документу. Так в форме 0710005 необходимо показать вид имущества, его первоначальную стоимость и накопленную амортизацию.

В пояснениях к балансу предусмотрели сразу несколько таблиц. Например, в таблице 1.1 показывают наличие и движение имущества, которые не имеют материальной формы. А в таблице 1.2 отражают первоначальную стоимость НМА, которые организация создала сама (приложение 3 к приказу от 02.07.10 № 66н).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *