Ремонт ОС и новые ФСБУ: что важно знать бухгалтеру
Вступающие в силу с отчетности за 2022 год ФСБУ 6/2020 «Основные средства» и ФСБУ 26/2020 «Капитальные вложения» вносят много нового в порядок отражения в регистрах бухучета процесса приобретения (создания) и последующей эксплуатации основных средств. Давайте разбираться в деталях. Тем более, что на просторах соцсетей (в том числе и на «Клерке») уже развернулась бурная дискуссия по вопросу отражения ремонта основных средств с учетом новых стандартов. Но начнем все-таки с определений.
Что такое ремонт?
Упомянутые ФСБУ такого ответа не дают. Но дает Межгосударственный стандарт «Система технического обслуживания и ремонта техники. Термины и определения» ГОСТ 18322-2016.
Он утвержден приказом Росстандарта от 28.03.2017 N 186-ст и вступил в силу с 01.09.2017.
В нем даты однозначные определения многих терминов, которые давно и успешно используются (и иногда почти правильно) широкой бухгалтерской общественностью.
| № п/п | Термин | Определение | Пункт ГОСТ 18322-2016 |
| 1 | Ремонт | Комплекс технологических операций и организационных действий по восстановлению работоспособности, исправности и ресурса объекта и/или его составных частей. | 2.1.2. |
| 2 | Ремонт плановый | Ремонт, постановка на который планируется в соответствии с требованиями документации. | 2.3.6. |
| 3 | Ремонт плановый капитальный | Плановый ремонт, выполняемый для восстановления исправности и полного или близкого к полному ресурса объекта* с заменой или восстановлением любых его частей, включая базовые. *Значение ресурса объекта, близкое к полному, устанавливается в документации. | 2.3.7. |
| 4 | Ремонт плановый средний | Плановый ремонт, выполняемый для восстановления исправности и частичного восстановления ресурса объекта* с заменой или восстановлением составных частей ограниченной номенклатуры и контролем технического состояния объекта в объеме, предусмотренном в документации. *Объем восстановления ресурса устанавливается в документации. | 2.3.8. |
| 5 | Ремонт плановый текущий | Плановый ремонт, выполняемый для обеспечения или восстановления работоспособности объекта и состоящий в замене и/или восстановлении отдельных легкодоступных его частей. | 2.3.9. |
| 6 | Ремонт неплановый | Ремонт, постановка на который осуществляется без предварительного назначения. | 2.3.12. |
| 7 | Ремонт аварийный | Неплановый ремонт, выполняемый при внезапных поломках оборудования, вызванных нарушением условий эксплуатации, перегрузками или другими причинами, для восстановления работоспособности объекта. | 2.3.14. |
| 8 | Техническое обслуживание | Комплекс технологических операций и организационных действий по поддержанию работоспособности или исправности объекта при использовании по назначению, ожидании, хранении и транспортировании. | 2.1.1 |
Мы не призываем бухгалтеров досконально разобраться в вышеупомянутом ГОСТе. Достаточно будет, если они (после прочтения этой статьи) посоветуют своим коллегам-производственникам внимательно его изучить и не требовать более от бухгалтерии разъяснений по тем вопросам, решение которых входит в их рабочие обязанности.
Также на основе этого ГОСТа можно разработать оптимальную, по нашему мнению, схему документооборота по ремонту основных средств. Ну, с определениями вроде разобрались.
А как на практике?
Теперь переходим непосредственно к ФСБУ 6/2020 и 26/2020, которые регламентируют несколько иной порядок отражения в регистрах бухгалтерского учета затрат на ремонт, чем это было предусмотрено ПБУ 6/01. Мы уже изучили стандарты и составили понятный курс про семь новых ФСБУ: Аренда, НМА, ОС, Капвложения, Документооборот, Запасы, Инвентаризация , с которым вы легко сможете вести отчетность в 2024 году, а еще получите удостоверение о повышении квалификации на 144 акад.часов.
Вы будете понимать сложные формулировки официальных документов и работать без ошибок, подготовитесь к применению новых стандартов, сдадите годовую отчетность по новым правилам стандарта.
Посмотреть программу обучения
Так, к капитальным вложениям, то есть к затратам, которые подлежат включению в стоимость объекта основных средств, в том числе относятся и затраты на улучшение и (или) восстановление объекта основных средств (например, достройка, дооборудование, модернизация, реконструкция, замена частей, ремонт, технические осмотры, техническое обслуживание) (подп. «ж» п. 5 ФСБУ 6/2020). Значит ли это, что например, замена свечей зажигания в автомобиле, или, там, поклейка новых обоев в офисе не могут быть списаны на расходы, как сейчас, а в обязательном порядке будут подлежать включению в стоимость объекта? Думается, что не совсем так. Так, например, п. 16 ФСБУ 26/2020 гласит, что в капитальные вложения не включаются: — затраты на поддержание работоспособности или исправности основных средств, их текущий ремонт (подп. «б»); — затраты на неплановые ремонты основных средств, обусловленные поломками, авариями, дефектами, ненадлежащей эксплуатацией, в той степени, в которой такие ремонты восстанавливают нормативные показатели функционирования объектов основных средств, в том числе сроки полезного использования, но не улучшают и не продлевают их (подп. «в»).
То есть, всё, как и раньше. Обычный ремонт, вне зависимости от суммы затрат на его проведение, организация имеет право признать расходами текущего периода, не увеличивая стоимость этого объекта. И счет 08 не задействуется, а используются, как и год, и пять, и двадцать пять лет назад, счета учета затрат — 23,25,26,44.
А вот если по какому-то оборудованию или сооружению, согласно установленным правилам его эксплуатации, организация обязана с определенной периодичностью (каждые, например, три или там, четыре года) проводить какие-то регламентированный работы, то затраты на их проведение уже можно капитализировать. То есть не списывать на расходы через 23 или 44, а относить на 08, а потом, после завершения процесса, на 01. Но и здесь могут быть варианты. Первый. Согласно установленному регламенту проводится ревизия определенных деталей, узлов, агрегатов и пр. данного оборудования или сооружения. И если эти детали не соответствуют техническим условиям, то они подлежат замене. В этом случае после окончания ремонта затраты на его проведения увеличивают стоимость объекта в целом.
Второй. Вне зависимости от фактического состояния какого-то определенного агрегата (детали, узла) в установленный срок он подлежит обязательной замене.
Так, например, при эксплуатации воздушных летательных аппаратов, или оборудования в химической промышленности, технической документацией предусмотрен обязательный капитальный ремонт с обязательной заменой каких-либо агрегатов, вне зависимости от их фактического состояния.
И вот как раз тут регламент проведения обязательных ремонтов (технического обслуживания) и регулирует последнее предложение п. 10 ФСБУ 6/2020: Самостоятельными инвентарными объектами признаются также существенные по величине затраты организации на проведение ремонта, технического осмотра, технического обслуживания объектов основных средств с частотой более 12 месяцев или более обычного операционного цикла, превышающего 12 месяцев. Агрегаты, подлежащие обязательной замене на новые (или прошедшие капитальный ремонт), имеют меньший срок службы, чем сем объект в целом. Их стоимость составляет иногда до 30-40% от стоимости всего объекта. В этом случае объект в учете может отражаться в учете, как несколько инвентарных номеров, каждый из которых имеет свою стоимость и свой срок полезного использования. И замена, пусть и исправного агрегата, на новый, будет учтена, как выбытие одного инвентарного номера (то есть объекта основных средств), и принятие к учету другого.
Но для большинства организаций, у которых нет на балансе воздушных или морских (речных) судов, или, там, оборудования для смешивания опасных химических веществ под давлением, такая метода не представляет практического интереса.
Для них все остается, как и прежде: — ремонт списываем на расходы, модернизацию признаем капитальными вложениями. И в очередной раз хотелось бы обратить внимание, что вводимые стандарты бухгалтерского учета предназначены не для бухгалтерии, а для руководства организации в целом.
Задача бухгалтерии в свете новых ФСБУ — своевременно отразить в регистрах бухгалтерского учета ту информацию, которую им обязаны дать другие службы и подразделения, согласно требованиям этого самого ФСБУ.
Сколько стоит информационная безопасность
Рынок информационной безопасности в России показывает постоянный рост: мы видим, что год от года увеличиваются бюджеты на ИБ, создаются новые подразделения, нацеленные на обеспечение кибербезопасности, видим, как в их арсенале появляются новейшие технологии, строятся центры мониторинга и реагирования на инциденты информационной безопасности (security operations centers). И при всем этом общее число инцидентов, происходящих в мире (и в России в частности), также год от года растет: они приобретают все большую массовость и все чаще оборачиваются крупномасштабными эпидемиями, ущерб от которых также становится все ощутимее (от нарушения работы отдельных сервисов до полной остановки бизнес-процессов со всеми вытекающими последствиями). Получается, что, с одной стороны, «пациент» — среднестатистическая организация — все больше сил и средств вкладывает в «лечение» (свою информационную безопасность), а с другой — лучше ему, мягко говоря, не становится. В чем дело? Конечно же, нам как компании, активно исследующей актуальные угрозы и новые векторы атак, причины происходящего весьма интересны. Поставить точный диагноз и назначить пациенту правильное лечение — без обследования невозможно. Именно этой идеей мы и руководствовались в подготовке данного отчета: это своего рода анамнез отечественного бизнеса с описанием основных точек приложения усилий в сфере ИБ, их анализом и, конечно же, с общими рекомендациями в итоге.
С уважением, Максим Филиппов,
директор по развитию бизнеса Positive Technologies в России
Мировая экономика переходит в цифровую плоскость. И пока компании перестраивают и автоматизируют бизнеспроцессы, а ресурсы выводят в интернет, преступники также перемещают свою деятельность в киберпространство. Для того чтобы украсть кошелек, ограбить банк или начать войну, хакерам не нужно выходить из дома. При этом одна масштабная вредоносная кампания способна нанести ущерб, сопоставимый с доходами небольшого государства. Ярким примером может служить эпидемия WannaCry, от которой пострадали тысячи организаций по всему миру, а суммарный ущерб составил более миллиарда долларов.
В этом исследовании мы рассмотрим основные статьи расходов на обеспечение информационной безопасности и расскажем, на что нужно обратить внимание при планировании бюджета, проанализируем, способны ли компании самостоятельно оценить возможный ущерб заранее — или только после того, как сами станут жертвой хакерской атаки.
Разумное распределение ресурсов позволит не только соответствовать требованиям регуляторов, но и уверенно противостоять киберпреступникам.
ПОРТРЕТ УЧАСТНИКОВ
В качестве респондентов выступили представители 170 российских компаний — руководители IT- и ИБ-подразделений, директора. Организации, принявшие участие в исследовании, различны по сфере экономики, числу сотрудников, количеству офисов, однако большинство из них входят в рейтинг 500 крупнейших компаний России по выручке за 2016 год или лидируют в своей отрасли.
68% компаний обладают распределенной инфраструктурой, насчитывают множество филиалов по стране, некоторые также имеют представительства в других странах
> 1000 сотрудников в большинстве компаний-респондентов
БЮДЖЕТИРОВАНИЕ
Распределение ресурсов в условиях ограниченности бюджета осуществляется в соответствии с приоритетами компании. В части обеспечения информационной безопасности приоритеты должны расставляться в соответствии с результатом оценки рисков, присущих конкретной организации. В рамках этой публикации мы не будем углубляться в теорию оценки и обработки рисков ИБ, однако рассмотрим в деталях, как различается бюджет, выделяемый на ИБ в разных компаниях, а также на что он расходуется.
Компании тратят бюджет ИБ в первую очередь на приведение инфраструктуры в соответствие требованиям регуляторов в части защиты информации
Некоторые банки и государственные организации существенно выделяются на фоне остальных компаний по объему бюджета на обеспечение ИБ. Поэтому в отдельные категории мы выделили 5 госорганизаций и 10 банков, бюджеты которых оказались крупнее бюджетов других компаний соответствующих отраслей в десятки и сотни раз.
Анализ показал, что некоторые госкомпании не скупятся, их бюджет, выделяемый на обеспечение ИБ, порой достигает 800 миллионов рублей в год, в то время как, например, образовательные учреждения ограничены совсем небольшими суммами, порой не превышающими и одного миллиона рублей. Это в первую очередь связано с общими бюджетами компаний, которые в крупных государственных учреждениях в разы больше, чем в других организациях. Более того, подразделение, отвечающее непосредственно за информационную безопасность, существует лишь в 44% компаний-респондентов, в остальных организациях необходимые функции выполняются специалистами IT-отдела. Из-за высокой сложности контроля и управления многочисленными техническими ресурсами в крупных распределенных инфраструктурах компаниям приходится внедрять специализированные средства, что также увеличивает затраты на ИБ.
Ряд решений по защите масштабируемы и не зависят (или зависят незначительно) от количества защищаемых ресурсов. Поэтому с ростом штата компании расходы на ИБ в перерасчете на одного сотрудника могут снижаться.
Опыт показывает, что бюджет, выделяемый на обеспечение ИБ, расходуется в первую очередь на приведение инфраструктуры в соответствие требованиям регуляторов. А это значит, что существенная часть средств уходит:
- на разработку и адаптацию организационно-распорядительных документов;
- на приобретение и внедрение минимально необходимых технических средств защиты, таких как антивирусы, межсетевые экраны и системы обнаружения вторжений.
И поскольку часто имеется возможность соблюдать требования без дополнительных затрат (например, администратор может ежедневно вручную проверять журналы событий безопасности вместо использования централизованной системы мониторинга), то многие организации на этом экономят и не приобретают лишние, на их взгляд, средства защиты.
Далее мы детально рассмотрим основные статьи расходов на обеспечение ИБ, на которые действительно стоит тратить бюджет, чтобы эффективно защитить компанию от современных киберугроз и избежать не только наказания от регуляторов, но и серьезных последствий от целенаправленных или массовых атак киберпреступников.
РИСКИ
Риски информационной безопасности характеризуются комбинацией двух величин — вероятностью реализации угрозы и размером ущерба для компании. Стоит отметить, что ущерб от реализации риска не всегда связан с прямыми финансовыми потерями, также это могут быть:
- репутационные издержки;
- невозможность исполнения обязательств;
- санкции регуляторов;
- сокращение клиентской базы.
Мы попросили респондентов указать, какие угрозы они считают наиболее опасными для их компании.
Считаем, что инвестиции в ИБ надо делать на основе анализа рисков, который должен регулярно обновляться. По результатам анализа текущей ситуации затраты на ИБ в 2017–18 году существенно повышены.
Артем Натрусов,
вице-президент по ИТ ООО «ЕвразХолдинг»
Новые технологии — новые риски
Технологии привносят в бизнес не только новые возможности, но и новые риски, которыми необходимо эффективно управлять
В каждой второй компании внешний нарушитель может получить полный контроль над всеми ресурсами
Сегодня инфраструктура практически каждой компании может быть взломана. По результатам исследования Positive Technologies, 73% компаний, проанализированных в 2016 году, были подвержены угрозе преодоления сетевого периметра. Кроме того, в половине организаций специалистам удалось получить полный контроль над инфраструктурой от лица внешнего нарушителя и во всех без исключения случаях — от лица внутреннего (например, недобросовестного сотрудника или подрядчика). Полный контроль означает не только доступ к серверам, компьютерам сотрудников, сетевому оборудованию, но и к критически важным системам, таким как системы управления финансовой отчетностью, компьютерам директоров компании, почтовым серверам, на которых доступна вся переписка сотрудников, к системам документооборота. В случае банка это могут быть АБС, процессинговый центр или система управления банкоматами. В случае промышленных предприятий — системы управления технологическими процессами, серверы, на которых хранятся данные о перспективных разработках, ноу-хау и т. п. Кроме того, сегодня зарождается новый тренд — атака на компании не с целью их компрометации, а с целью использования их инфраструктуры для атак на другие компании, что может привести к серьезным репутационным потерям, нарушению доверия со стороны партнеров и клиентов, блокированию ресурсов надзорными органами.
Для каждой современной компании сайт является визитной карточной, которая позволяет клиентам получить всю необходимую информацию. При этом, согласно нашему исследованию, атаки на веб-приложения в 25% случаев позволяют получить доступ к внутренней сети организации (если приложение находится не на внешнем хостинге) и еще в 25% — к базе данных. Кроме того, есть компании, деятельность которых выстроена на базе веб-ресурсов, например интернет-магазины, онлайн-банки, различные онлайн-сервисы. Если их сайты становятся недоступны (например, в результате DDoSатаки), то нарушаются важные бизнес-процессы. Как правило, у клиентов это вызывает негативную реакцию, и они могут уйти к конкурентам.
В следующих разделах отчета мы остановимся подробнее на последствиях атак на инфраструктуру компаний и на веб-приложения, а также рассмотрим, как оценивают соответствующий ущерб компании-респонденты.
Далее при анализе бизнес-процессов обеспечения ИБ в компаниях мы исключили из оценки организации, попавшие в категорию «Другие», поскольку их было недостаточно для формирования выводов по отдельным отраслям.
ФИНАНСОВЫЕ ПОТЕРИ ОТ КИБЕРИНЦИДЕНТОВ
Предлагаем сравнить оценку потерь от потенциального киберинцидента, которую предоставили компании-респонденты, с реальными последствиями аналогичных атак, расследуемых экспертами отдела мониторинга и реагирования на инциденты Positive Technologies.
Специалисты по ИБ ПАО «Росбанк» согласны с тем, что часть компаний недооценивает возможный ущерб от реализации киберугроз. Именно это обстоятельство и непринятие мер для предотвращения таких угроз и создает «питательную» среду для кибермошенников, позволяет им реализовывать свои устремления по хищению денежных средств со счетов компаний, проявляющих беспечность или самоуверенность в отношении киберугроз
Николай Носов,
начальник управления департамента информационной безопасности ПАО «Росбанк»
Атаки на корпоративную информационную систему
5 уязвимостей достаточно внешнему нарушителю для проникновения во внутреннюю сеть компании и получения полного контроля над доменом
Действует хакер целенаправленно или так получается случайно, но кибератака порой заканчивается для жертвы нарушением работы внутренних систем. Как правило, инфраструктура организаций строится на основе доменов Active Directory. Если нарушитель получит полный контроль над доменом и сетевым оборудованием, то он сможет парализовать работу всей сетевой инфраструктуры компании на длительное время. Практика показывает, что даже когда имеются средства защиты, они могут быть неэффективно настроены, и в этом случае получить контроль над доменом довольно просто. И если внешнему нарушителю для атаки потребуется эксплуатация в среднем 5 уязвимостей, то внутреннему нарушителю (например, сотруднику, контрагенту или любому другому человеку, получившему доступ к сетевой розетке, например уборщику) достаточно найти и использовать всего две-три уязвимости, для чего не потребуется глубоких технических знаний или дорогостоящих устройств
Четверть компаний считают, что от остановки в работе всех систем на один день потеряют не более 500 тысяч рублей. Примечательно, что в эту категорию попали большинство IT-компаний, деятельность которых напрямую зависит от работоспособности информационных систем. На диаграмме ниже и далее мы рассматриваем разделение по категориям не только для всех компаний-респондентов, но и внутри одной отрасли.
Скорее всего, некоторые респонденты недооценивают ущерб от простоя корпоративной инфраструктуры. Так, по оценке KnowBe4, предполагаемый ущерб, который нанес WannaCry по всему миру, превысил миллиард долларов США. При оценке ущерба учитывались потери компаний от простоя в работе, снижения производительности, недоступности данных, выплат шантажистам и, конечно, репутационные потери. Последствия были вызваны тем, что компании потеряли доступ только к данным. Еще один пример: троян-шифровальщик NotPetya обошелся датской логистической компании Moller-Maersk в 200–300 миллионов долларов. Эту сумму составила недополученная выручка компании за время простоя зараженных систем.
Помимо прямых финансовых потерь от киберинцидента (например, когда с корреспондентских счетов банка уводят деньги) и упущенной выгоды, связанной с простоем инфраструктуры и оттоком клиентов, существенные затраты могут быть вызваны дальнейшим восстановлением бизнес-процессов.
Мы сталкивались с целевой атакой, когда злоумышленники с целью шпионажа скомпрометировали контролеры доменов, серверы управления инфраструктурой, прокси-серверы, рабочие станции сотрудников, в том числе высокопоставленных лиц компании. Организации для устранения всех последствий той атаки пришлось заново выстраивать всю корпоративную информационную систему буквально с нуля, что заняло более двух месяцев.
100% респондентов уверены, что восстановят работу корпоративных систем в случае выхода из строя всех ресурсов домена менее чем за месяц
Наибольшую оценку стоимости восстановления инфраструктуры дали 60% транспортных компаний, а также 11% государственных организаций (как вы понимаете, данную оценку дали все анализируемые госкомпании из топ-5 по выделяемому бюджету). По их подсчетам, в случае вывода из строя всех ресурсов домена потребуется более 50 миллионов рублей для возобновления работоспособности корпоративных информационных систем. Большинство же компаний полагает траты на восстановление незначительными. Большинство промышленных компаний, а также 30% банков готовы восстановить всю инфраструктуру, не потратив и 500 тысяч рублей. В случае некоторых банков это может объясняться относительно небольшими размерами инфраструктуры, в случае же промышленных компаний данная оценка кажется заниженной.
Атаки на веб-приложения
Компании выгодны долгосрочные отношения с покупателями, поэтому мы стараемся, чтобы люди в нашем интернет-магазине чувствовали себя комфортно и безопасно. Потенциальную атаку на посетителя сайта мы рассматриваем как удар по репутации компании, грозящий потерей лояльности наших клиентов. И мы непрерывно занимаемся анализом и реализацией мер, направленных на минимизацию таких рисков.
Артем Кроликов, руководитель департамента информационной безопасности ООО «М.Видео Менеджмент»
Не стоит недооценивать важность защиты сайтов, даже если это всего лишь информационные страницы с контактами компании. Опираясь на наши ежеквартальные исследования атак на веб-приложения, мы определили, что ежедневно происходит в среднем 926 атак на веб-ресурсы. Практика показывает, что наибольший интерес злоумышленники проявляют к сайтам государственных и финансовых организаций. При этом атаки на веб-приложения потенциально могут приводить к утечке персональных данных. Так, например, 20% проанализированных в 2016 году веб-приложений, в которых обрабатывались персональные данные, включая сайты банков и государственных учреждений, были подвержены данной угрозе. Кроме того, как показывает опыт проведения тестирований на проникновение, в 77% всех выявленных векторов проникновения во внутреннюю сеть организаций сетевой периметр удалось преодолеть благодаря использованию именно уязвимостей веб-приложений.
Угрозе отказа в обслуживании веб-ресурсов подвержены компании из любой отрасли. В 2016 году при исследовании атак на веб-приложения мы отмечали, что каждый третий сайт подвергался данной атаке. Преимущественно атаки типа «Отказ в обслуживании» были направлены на промышленные предприятия и интернет-магазины. Во втором квартале 2017 года четверть атак на сайты медицинских учреждений составили именно попытки вызвать отказ в обслуживании.
Интересно то, что стоимость атаки на веб-ресурсы в течение часа в даркенете оценивается приблизительно в 5 долл. США, в течение суток — 300 долл. США, а вот ущерб для компании, которая в это время не могла выполнять основные свои функции, будет в сотни и тысячи раз больше.
Однако веб-ресурсы могут оказаться недоступны по разным причинам. Несмотря на то, что в этом в первую очередь винят DDoS-атаки хакеров, недостатки в конфигурации веб-сервера также могут нарушить работу веб-приложений. Так, в ходе расследования DDoS-атаки на сайт одного банка мы выяснили, что недостаток памяти в журналах ошибок стал причиной недоступности веб-ресурсов. Из-за недостатков в конфигурации сервера злоумышленникам было достаточно создать относительно небольшой поток запросов к ресурсоемким разделам сайта, чтобы нарушить его функционирование.
Миллионы рублей составляет потенциальный ущерб от нарушения работы критически важных сайтов
К нарушению работы веб-сервисов могут привести и другие атаки, в том числе удаление БД или дефейс.
Наибольшие потери от отказа в обслуживании сайтов, составляющие десятки миллионов рублей, понесут банки. Действительно, невозможность совершить перевод или платеж через онлайн-банк в течение одного дня вызовет недовольство среди клиентов, которые усомнятся в надежности банка, а возможно — понесут финансовые потери из-за невозможности завершить сделку.
Компании выгодны долгосрочные отношения с покупателями, поэтому мы стараемся, чтобы люди в нашем интернет-магазине чувствовали себя комфортно и безопасно. Потенциальную атаку на посетителя сайта мы рассматриваем как удар по репутации компании, грозящий потерей лояльности наших клиентов. И мы непрерывно занимаемся анализом и реализацией мер, направленных на минимизацию таких рисков. Артем Кроликов, руководитель департамента информационной безопасности ООО «М.Видео Менеджмент» Веб-приложения являются одним из связующих звеньев, которое позволяет организовать подготовку и доставку информационного контента до конечного пользователя, а также обеспечить оперативное взаимодействие между собой работников, участвующих в повседневных производственных процессах.
Закономерно, что компании, являющейся круглосуточным информационным телеканалом, осуществляющим вещание в более чем 100 странах мира, необходимо принимать во внимание существующие риски.
Исходя из вышесказанного, защита веб-приложений является одним из приоритетных направлений в реализации стратегии обеспечения информационной безопасности телеканала.
Евгений Макаревич, руководитель отдела информационной безопасности
дирекции информационных технологий Телеканал RT (Russia Today)
Кража базы данных
53% атак на веб-приложения могут привести к утечке данных
Существует множество сценариев атак, при которых злоумышленники могут получить базу данных о клиентах организации. Это может быть и недовольный сотрудник, который из обиды «сливает» данные конкурентам, и атака на внешние веб-ресурсы компании, в результате которой среди прочих данных злоумышленник получает и клиентскую базу, и многое другое.
Значительная доля опрошенных компаний (41%) не ждет финансовых потерь в случае реализации такой угрозы. Действительно, есть такие организации, прибыль которых не зависит напрямую от количества клиентов (например, те, что финансируются из государственного бюджета — образовательные учреждения, некоторые промышленные предприятия). Но что касается банков и IT-компаний, то мы рекомендуем им пересмотреть свою оценку.
Если об инциденте станет известно клиентам компании, то пострадает репутация организации. Если же конкуренты воспользуются полученной базой данных для того, чтобы переманить клиентов к себе, то компания понесет финансовые убытки из-за упущенной выгоды.
Мы сталкивались с ситуацией, когда злоумышленники начинали шантажировать, угрожая уничтожением базы данных или ее публикацией в интернете. В результате атаки на веб-приложения компании злоумышленники якобы получили полный контроль над сервером базы данных и направили жертве письмо с требованием заплатить 10 000 долл. США. В результате расследования факты, подтверждающие возможность кражи данных, или следы присутствия нарушителя в инфраструктуре обнаружены не были. Однако компания все равно решила перестраховаться и заплатить злоумышленникам, поскольку риск публикации базы клиентов оценивался как недопустимый. Последствия реализации этого риска могли нанести серьезный удар по репутации и снизить уровень доверия к компании, а возможно, и вызвать судебные иски со стороны клиентов.
Кроме того, нельзя забывать, что законодательством Российской Федерации предусмотрена ответственность за «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб» в виде штрафа в размере до 500 000 рублей. А персональные данные клиентов как раз относятся к охраняемой информации.
РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
Именно от корректности действий, совершенных сотрудниками в случае возникновения инцидента ИБ, будет зависеть ущерб — сколько денег потеряет компания в результате атаки.
Превосходство на стороне хакеров, они не ограничены ни во времени, ни в методах, они на шаг впереди защитников. Универсальной защиты от киберугроз пока что не существует, однако можно минимизировать время обнаружения и реагирования на инциденты, если грамотно спланировать и регламентировать порядок действий всех вовлеченных в эту деятельность сотрудников.
Серьезный инцидент можно сравнить с пожаром. Например, троян-шифровальщик, попавший во внутреннюю сеть банка и заблокировавший все компьютеры, в том числе рабочие станции операционистов в распределенных офисах, посеет хаос и панику в отделениях, которая может распространиться и на клиентов. Однако как действовать при пожаре, куда бежать и как спасаться, знают все. И дважды в год проводятся тренировочные учения, чтобы все действия были отработаны до автоматизма. А что делать в случае киберинцидента? На этот вопрос ответит не каждый специалист отдела безопасности, не то что рядовой сотрудник.
Действия сотрудников в случае киберинцидента должны быть так же отработаны, как эвакуация при пожаре
Как правило, когда компания сталкивается с действительно серьезным инцидентом, сотрудники IT-отдела не могут быстро справиться с ситуацией. Для противостояния современным атакам уже недостаточно знаний в области информационных технологий, нужно быть экспертом и в ИТ, и в ИБ, и в форензике, и в проведении пентестов, и в обратной разработке, разбираться в принципах проведения типовых атак и методах сокрытия следов. Практика расследования инцидентов, связанных с целевыми атаками, показывает, что многие компании не подозревают, что оказались жертвами киберпреступников. После получения доступа к инфраструктуре нарушитель может контролировать ее годами и скрывать свое присутствие. Один из подобных инцидентов был выявлен нашими экспертами спустя 5 лет после того, как произошло вторжение. Помочь в расследовании инцидента и принятии мер по устранению последствий могут как компании, специализирующиеся на вопросах безопасности, так и центры по противодействию киберугрозам соответствующей отрасли. Однако всего 17% организаций пользуются подобными услугами, в то время как больше половины пытаются справиться с угрозами своими силами.
В ¼ компаний-респондентов отсутствует практика выявления и расследования инцидентов
Большое количество киберинцидентов, произошедших за последнее время, привлекло внимание руководителей компаний к проблемам информационной безопасности. В организациях массово стали появляться собственные ситуационные центры информационной безопасности (security operations centers, SOC). Они, в частности, функционируют в 24% компаний-респондентов, преимущественно в промышленной сфере, банках и госорганизациях.
Стратегия расходов на ИБ Агентство Gartner ожидает, что расширение возможностей по обнаружению и реагированию на атаки станет ключевым приоритетом компаний на период до 2020 года.
Примечательно, что большинство организаций, консультирующихся со сторонними экспертами в ходе расследования киберинцидентов, имеют собственное подразделение SOC. Этот подход считается наиболее рациональным, поскольку внутренний SOC хорошо осведомлен о процессах компании, обладает информацией обо всех инцидентах, происходивших ранее, и может, соответственно, проводить аналогии между ними. В то же время сторонние эксперты могут использовать опыт работы с другими организациями той же отрасли.
Для проникновения во внутреннюю сеть организации злоумышленники часто сканируют сетевой периметр компании, чтобы выявить веб-уязвимости, и даже не пытаются скрыть свои действия. Примечательно, что большинство атак подобного рода можно пресечь еще на стадии подготовки — до того, как нарушители получат доступ к внутренним ресурсам и важной информации. Так, например, если атакуемая организация использует систему корреляции и консолидации событий безопасности (SIEM-систему), то служба безопасности своевременно получит уведомление о событиях, связанных с началом атаки, и сможет принять необходимые меры по предотвращению инцидента. А применение межсетевого экрана уровня приложений (WAF) не позволит злоумышленникам проэксплуатировать уязвимости, выявленные на сайтах, и, соответственно, продолжить атаку на внутренние ресурсы компании.
Кроме того, компрометация веб-приложения может позволить нарушителю распространять вредоносное ПО на компьютеры пользователей сайта, что нанесет существенный ущерб репутации компании. Ярким примером является распространение трояна-шифровальщика Bad Rabbit через сайты популярных российских СМИ в октябре 2017 года.
Примечательно, что межсетевой экран уровня приложений используют лишь 15% компаний-респондентов, в число которых входят государственные организации, банки, транспортные и промышленные компании.
Если требования к степени безопасности и скорости реакции, в том числе на новые угрозы, достаточно высоки — безусловно, возникает вопрос о необходимости привлечения внешней экспертизы. Это не только позволяет расширить наблюдаемое пространство угроз, но и в кризисных ситуациях (даже при наличии достаточной компетенции) распараллелить поисковую и аналитическую работу, существенно сократить время до появления и проверки первых признаков компрометации — ключевых для принятия решения о дальнейших действиях, в том числе имеющих непосредственное влияние на бизнес организации. В нашей практике, помимо дежурной смены (группы быстрого реагирования), построенной по классической схеме L1–L2–L3, мы опираемся на экспертизу дочерней компании Сбербанка — Bi.Zone. Совместная работа наших оперативных дежурных, обогащенная глубокой экспертизой, позволяет поддерживать на высоком уровне скорость работы внутренних служб и при этом обеспечивать должную глубину проработки поступающей информации об угрозах.
Алексей Качалин Исполнительный директор центра киберзащиты ПАО «Сбербанк»
SIEM-системы применяются примерно в четверти организаций, причем преимущественно в компаниях с множеством офисов и более чем 1000 сотрудников. Ввиду специфики систем сбора и корреляции событий этот компонент необходим компаниям со зрелой разветвленной инфраструктурой. При этом правильно настроенная SIEMсистема способна прийти на помощь SOC, анализируя события, происходящие в инфраструктуре, в режиме реального времени.
Совместное применение WAF и SIEM позволит организовать комплексную защиту от киберугроз как на периметре, так и внутри корпоративной инфраструктуры, а также сэкономит время и ресурсы за счет автоматизации работ, которые специалисты по ИБ обычно выполняют вручную (например, анализ журналов событий со всех средств защиты).
35% компаний-респондентов, в которых более 1000 сотрудников, применяют систему корреляции и консолидации событий безопасности (SIEM)
Сопоставив бюджет компаний, выделяемый на обеспечение ИБ, и принимаемые меры по реагированию на инцидент, мы видим, что большинство организаций, в которых на защиту информации выделяется более 50 млн рублей, создают внутренние подразделения SOC. SIEM и WAF начинают использоваться при наличии бюджета на ИБ свыше 10 млн рублей в год.
Когда у компании небольшой бюджет, а на обеспечение ИБ ежегодно выделяется всего пара миллионов рублей, то об использовании таких дорогостоящих решений, как SIEM, речи не идет. Однако этого бюджета достаточно для принятия минимально необходимых мер по защите на организационном уровне (например, для разработки процедур мониторинга и реагирования на инциденты), а также на покупку продуктов для защиты конечных точек (endpoint security), таких как антивирусное ПО.
ФИНАНСОВЫЕ ЗАТРАТЫ НА ЗАЩИТУ
Законодательство Российской Федерации устанавливает необходимость использования ряда технических средств для обеспечения информационной безопасности. Средства антивирусной защиты, межсетевого экранирования, резервирования, управления доступом, системы обнаружения вторжений — затраты на внедрение, поддержание и модернизация этих компонентов в той или иной мере закладываются в бюджет всех компаний. Однако технологии развиваются намного быстрее требований регуляторов, законов и политик безопасности. Далее мы рассмотрим важные статьи расходов бюджета, выделяемого на защиту, о которых нельзя забывать — но не потому, что их отсутствие может привести к санкциям регуляторов, а потому что без них инфраструктура компании будет уязвима.
Подчеркнем, что это — результаты опроса. Наш опыт проведения тестов на проникновение показывает, что проверку эффективности принятых мер по устранению уязвимостей проводят лишь порядка 35–40% организаций. В то же время при проведении последующих пентестов у некоторых компаний мы встречаем недостатки, которые не были устранены, либо принятых мер было недостаточно и уязвимости можно эксплуатировать повторно. Возможно, впрочем, что ряд организаций проводит проверку устранения уязвимостей, выявленных нашими экспертами, — самостоятельно или с привлечением других специалистов.
Тестирование на проникновение
Для того чтобы обеспечить защиту корпоративной инфраструктуры, рекомендуется регулярно (не реже одного раза в год, а также при внесении существенных изменений в инфраструктуру) проводить тестирование на проникновение и (или) комплексный аудит информационной безопасности. Эти работы позволяют выявить уязвимости и недостатки безопасности и, соответственно, определить актуальные для организации угрозы ИБ и учесть их при оценке рисков. Только часть банков, государственных и промышленных организаций следуют рекомендациям и регулярно проводят тестирование на проникновение. Большинство компаний инициируют проверки, аудит ИБ, тесты на проникновение лишь в случае необходимости, например по факту выявления конкретного инцидента.
Примечательно, что несмотря на требование стандарта PCI DSS 3.2 (относится ко всем организациям, которые обрабатывают данные владельцев платежных карт) о проведении ежегодного тестирования на проникновение, а также вопреки рекомендации Банка России по проведению комплексной оценки защищенности автоматизированной банковской системы, включающей тестирование на проникновение (РС БС ИББС 2.6-2014) — 10% финансовых организаций никогда не проводили подобных работ.
Важно отметить, что существенную роль в построении системы защиты играет не столько выявление уязвимостей, сколько принятие своевременных мер по их нейтрализации. Поэтому после устранения всех выявленных уязвимостей рекомендуется проводить проверку эффективности принятых мер. И этой рекомендации придерживаются 86% компаний-респондентов из числа тех, что проводят тестирование на проникновение и (или) аудит ИБ.
Инвентаризация ресурсов сетевого периметра
72% компаний могут не заметить случайное появление новых ресурсов, доступных из сети Интернет
Невозможно защищать ресурсы, о наличии которых не знаешь. Пятая часть компаний не могут с уверенностью сказать — сколько и каких ресурсов доступно на периметре их сети. При этом в 91% организаций в ходе работ по анализу защищенности были выявлены интерфейсы удаленного доступа, управления оборудованием и подключения к СУБД. Причем большинство компаний, у которых такие интерфейсы были обнаружены, не ожидали увидеть на периметре сети столько уязвимых узлов и ресурсов, которые, по их мнению, не должны были быть доступны из сети Интернет.
Исследование сетевого периметра финансовых организаций показало, что чем крупнее банк, тем сложнее его инфраструктура и, соответственно, больше сервисов размещено на сетевом периметре. А с ростом числа сервисов увеличивается вероятность ошибки конфигурации. Для 100 анализируемых банков был выявлен 2781 доступный адрес, из которых 326 содержали потенциально опасные сервисы.
Информационные системы в крупных компаниях развиваются стремительно: даже в пределах одной недели может появиться несколько десятков новых узлов и столько же могут перестать функционировать. И вероятность того, что некоторые из узлов будут доступны из сети Интернет, очень велика. Уследить за тем, чтобы на всех рабочих станциях и серверах не были доступны опасные сервисы или везде были установлены актуальные обновления, — крайне сложная задача. Именно по этой причине периодический контроль состояния периметра в режиме, максимально приближенному к реальному времени, очень важен для обеспечения безопасности.
Анализ защищенности беспроводных сетей
В 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. При этом до тестирования специалисты по ИБ часто уверены в их безопасности
Беспроводные сети являются неотъемлемой частью корпоративной инфраструктуры большинства современных компаний. Однако успешный взлом Wi-Fi позволяет не только перехватывать чувствительную информацию, атаковать пользователей беспроводной сети, но и развивать атаку для получения доступа к ресурсам внутренних сетей организаций. Поэтому наряду с выявлением уязвимостей в корпоративных информационных системах важно также проверять и защищенность беспроводных сетей, используемых в компании.
Регулярно анализ защищенности беспроводных сетей проводит лишь четверть банков, а еще четверть — никогда не проводили данные работы. В 6% компаний-респондентов отсутствуют беспроводные сети. В общем-то, это можно считать мерой защиты, ведь если нет Wi-Fi, то нет и риска, что хакеры им воспользуются для проведения атак 🙂
Ежеквартально необходимо проверять наличие авторизованных и неавторизованных точек Wi-Fi (согласно стандарту PCI DSS). Требование актуально преимущественно для сферы розничной торговли, где часто используются беспроводные терминалы оплаты
Контроль обновлений
Примечательно, что хотя большинство компаний контролируют установку обновлений, в ходе тестов на проникновение наши специалисты регулярно выявляют использование устаревших версий программного обеспечения или отсутствие необходимых обновлений безопасности. Так, 82% исследованных в 2016 году корпоративных информационных систем использовали уязвимые версии прикладного ПО, 64% — уязвимые версии веб-серверов, а 18% — уязвимые версии поставляемых вендорами веб-приложений. А значит, нарушитель мог использовать известные уязвимости, характерные для этих версий ПО, в реализации различных атак.
Например, про небезопасность использования протокола SMBv1 известно достаточно давно, патч для устранения уязвимости MS17-010 появился в марте 2017 года. Практически в то же время был опубликован известный на весь мир эксплойт ETERNALBLUE. В 71% проектов по тестированию на проникновение, проведенных нашими специалистами в течение 7 месяцев с момента появления обновления, была продемонстрирована возможность получения полного контроля над ресурсами компаний с использованием именно этого инструмента.
В некоторых случаях технические специалисты аргументируют отказ от установки актуальных обновлений тем, что внесение изменений в систему может повлиять на корректность функционирования компонентов, не совместимых с новой версией ПО. Однако в случаях, когда риск нарушения работоспособности действительно велик, необходимо принимать дополнительные меры по защите, например выделяя такие компоненты в отдельные сетевые сегменты, доступ к которым из пользовательской сети будет закрыт.
Выявление и устранение уязвимостей нулевого дня
Исследователи по всему миру периодически находят и публикуют информацию об уязвимостях нулевого дня. Против таких уязвимостей не действуют существующие защитные механизмы, однако производитель программного обеспечения, в котором была выявлена такая уязвимость, как правило, дает рекомендации для решения проблемы на время, пока не появится соответствующий патч, устраняющий уязвимость.
Надо ли говорить, что злоумышленники стараются воспользоваться такими уязвимостями, чтобы атаковать компании, которые не приняли необходимые меры для защиты. Менее половины компаний-респондентов отслеживает появление информации о новых уязвимостях и оперативно принимает меры по их устранению или превентивные меры защиты, остальные либо не следят за новостями в этой области, либо откладывают принятие мер на неопределенный срок.
Обучение сотрудников
Фишинг сегодня является самым распространенным методом проникновения в корпоративную сеть при реализации APT-атаки
Слабым местом в обеспечении ИБ любой компании являются сотрудники — по причине их недостаточной осведомленности в вопросах информационной безопасности. Примечательно то, что несмотря на сложность и продуманность системы защиты в организации, всего один работник, перешедший по вредоносной ссылке из письма или загрузивший файл с вредоносным ПО, может привести к компрометации всех ресурсов компании.
Практика расследования целевых атак показывает, что именно рассылка фишинговых писем — наиболее частый и при этом эффективный начальный вектор атак, позволяющий злоумышленникам проникнуть во внутреннюю сеть компании.
Несмотря не регулярные оповещения и тренинги всегда остается вероятность того, что работник не распознает угрозу. Как показывает практика, на хорошо подготовленные целенаправленные фишинговые письма попадаются даже квалифицированные и опытные IT- и ИБ-специалисты. Поэтому мы учим не только не открывать подозрительные письма, но также и правильно реагировать в случае их открытия и возникновения малейших сомнений на счет отправителя и содержимого письма.
Александр Евтеев, директор по информационной безопасности ООО «РТ-ИНФОРМ»
Исследование показало, что банковская отрасль — единственная, в которой 100% компаний принимают меры по обучению сотрудников основам ИБ. В этом основная заслуга требований Банка России и международного стандарта PCI DSS, обязывающих проводить работу с персоналом по обучению и повышению осведомленности в вопросах информационной безопасности.
Больше трети организаций (38%) не уделяют внимания обучению сотрудников основным правилам ИБ. Заметим, что помимо скучных методических документов сегодня существует множество нестандартных способов повышения осведомленности — от красочных плакатов до мультфильмов, освещающих различные киберугрозы и порядок действий в той или иной ситуации.
Ежегодные расходы на ИБ для нашего вуза это продление лицензий антивирусных средств, ОС и прикладного ПО, а также повышение квалификации IТ-специалистов в вопросах безопасности. Среди приоритетов на 2018 год отмечу программно-аппаратный комплекс для создания внутренней защищенной сети и организацию безопасного соединения с филиалами в других городах. Кроме того, на 2018 год запланированы аттестация ИС, в которых обрабатываются персональные данные, и тренинги для сотрудников на базе симулятора вирусных атак.
Алексей Гузеев, директор департамента информационных систем и технологий МТУСИ
Бюджет и организационные меры по защите
Оценив соотношение бюджета, выделяемого на обеспечение ИБ, и принимаемых организационных мер защиты, мы видим, что значительный бюджет в 10, 50 и даже более чем в 100 миллионов рублей, выделяемый на обеспечение ИБ, не гарантирует, что в организации применяются все необходимые и достаточные меры для защиты от киберугроз. В компаниях, обладающих колоссальными средствами (это 5 госкомпаний и 10 банков с наибольшим ИБ-бюджетом), основные рекомендации преимущественно выполняются.
Большие вопросы вызывает целесообразность расходов в организациях с бюджетом свыше 10 миллионов. Возможно, что значительная часть ресурсов уходит на разработку организационно-методических документов, удовлетворяющих требования регуляторов. Однако сложно внедрять в компании руководящие документы по защите информации и описывать существующие процессы без актуальных результатов проведенного аудита. Также мы видим, что защита беспроводных сетей и контроль периметра осуществляются в этих компаниях в меньшей мере; возможно, они пока сосредоточены на закупке дорогостоящих аппаратных средств защиты и не успели уделить данным вопросам достаточно внимания.
КОМПОНЕНТЫ ЗАЩИТЫ
Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, демилитаризованные зоны, IPS/IDS, средства резервирования — эти компоненты в той или иной мере присутствуют в каждой организации, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Кроме того, необходимость обучения сотрудников основным правилам информационной безопасности сегодня также не требует доказательств.
Однако тенденции кибератак показывают, что стандартные средства защиты перестали быть серьезной преградой для целевой атаки на организацию, а значит — пора совершенствовать систему защиты. Причем для разумного распределения бюджета мы рекомендуем выделить шесть основных компонентов защиты от киберугроз.
01 Регулярное (не реже 1 раза в год) проведение тестирования на проникновение и (или) аудита ИБ
Это первый и обязательный для всех компаний шаг, позволяющий выявить актуальные угрозы. Причем помимо заключения договора с опытными компаниями существуют и другие способы решения этого вопроса. Например, некоторые небольшие организации, ограниченные в бюджете, берут в штат одного сотрудника, обладающего необходимым опытом по анализу защищенности систем.
02 Контроль за появлением небезопасных ресурсов на сетевом периметре
Когда в компании всего десяток компьютеров, то все открытые на них сетевые интерфейсы, доступные из сети Интернет, можно контролировать. Однако когда у организации большая инфраструктура и тем более распределенная (например, несколько офисов в разных городах, а часть сотрудников работают из дома), то уже сложно не только сказать, какие порты доступны из сети Интернет, но и вообще точно подсчитать, сколько и каких ресурсов используются и каков уровень их защищенности. В таком случае необходимо применять специализированные сканеры для анализа защищенности сетевого периметра или поручать эту работу специализированным организациям.
03 Применение системы сбора и корреляции событий (SIEM)
Ввиду специфики систем сбора и корреляции событий этот компонент необходим компаниям со зрелой разветвленной инфраструктурой. При этом правильно настроенная SIEM-система способна прийти на помощь SOC, анализируя события, происходящие в инфраструктуре, в режиме реального времени.
04 Применение межсетевого экрана уровня приложений (WAF)
Этот компонент значим для всех компаний, у которых есть сайт, поскольку позволяет своевременно выявить и предотвратить веб-атаки. Наиболее актуально применение WAF в организациях, которые размещают серверную часть веб-ресурсов внутри корпоративной инфраструктуры, а не на стороннем хостинге, поскольку в такой ситуации в случае успешной атаки помимо риска проведения атак на пользователей и нарушения работы сайта (например, в результате DDoS или дефейса) также возможно проникновение злоумышленника во внутреннюю сеть. Данный компонент необходим не только в тех сферах деятельности, которые построены на основе возможностей веб-ресурсов (например, системы дистанционного обслуживания в банковской отрасли или интернет-магазины), но и компаниям, которые не хотят оказаться промежуточным звеном целенаправленной атаки. В последнее время злоумышленники стали использовать уязвимые сайты для размещения на них вредоносного ПО, а владельцы этих веб-ресурсов становятся невольными соучастниками атаки.
05 Готовность к реагированию и расследованию киберинцидентов
Речь идет не только о создании внутреннего подразделения SOC, которое в режиме 24/7 выявляет и анализирует инциденты ИБ и кибератаки, но и о предварительных договоренностях со сторонними специалистами, которые в случае инцидента смогут быстро прибыть на место и помочь с принятием необходимых мер для блокировки атаки и нейтрализации последствий. Кроме того, внешний SOC может полностью взять на себя функции по мониторингу событий в системах защиты компании, сообщать в случае выявления инцидента и самостоятельно принимать меры по нейтрализации угроз.
06 Регулярное обучение и повышение осведомленности сотрудников в вопросах ИБ
Всего один работник, перешедший по вредоносной ссылке из письма или загрузивший файл с вредоносным ПО, может стать причиной компрометации всех ресурсов компании. Поэтому необходимо обучать сотрудников компании основным правилам информационной безопасности: это позволит снизить риски, связанные с неумышленными действиями персонала при работе в корпоративной информационной системе.
Ниже представлена сводная таблица, которая показывает доли компаний, применяющих те или иные компоненты в совокупности.
ЗАКЛЮЧЕНИЕ
Технологии привносят в бизнес не только новые возможности, но и новые риски, которыми необходимо эффективно управлять. К сожалению, всего в 3% компаний мы увидели комплексный подход к защите от киберугроз (в их числе оказались только финансовые учреждения, 13% опрошенных банков). Риск-ориентированный подход к решению задач информационной безопасности используется в компаниях редко и не в полном объеме. О страховании рисков кибератак большинство российских компаний либо не слышали, либо только начинают задумываться (за исключением банковской сферы, где страхование в принципе широко распространено). Хотя на Западе страхование является стандартным способом обработки рисков в тех ситуациях, когда компания не в силах принять меры для их снижения и не имеет возможности отказаться от деятельности, связанной с ними.
Подводя итоги исследования, мы видим, что большое количество киберинцидентов, произошедших за последнее время, привлекло внимание компаний к проблемам информационной безопасности. По данным рекрутинговых агентств, со стороны работодателей растет интерес к специалистам по информационной безопасности. Компании создают внутренние подразделения SOC, для которых требуются сотрудники. Кроме того, организации стремятся отделять специалистов, занимающихся вопросами защиты, от тех, кто выполняет функции администраторов.
Среди компаний-респондентов выделяются государственные компании, которые не скупятся на нужды ИБ, однако при этом не применяют все необходимые и достаточные меры для защиты. Так, например, тестирование на проникновение в половине государственных организаций проводится только после инцидента или и вовсе ни разу не проводилось. Финансовые организации также не жалеют средств, но они при этом, как мы видим, стараются идти в ногу со временем.
Промышленным компаниям в первую очередь важна работоспособность используемых систем, а их безопасность является делом второстепенным, поэтому и бюджет, выделяемый на обеспечение ИБ, в большинстве случаев не столь значителен, как в государственных или финансовых компаниях. К тому же промышленность — это важнейшая сфера, где любые изменения в инфраструктуре могут оказать серьезное влияние на технологический процесс, поэтому все дополнительные средства защиты применяются с осторожностью. Кроме того, не всегда существует возможность быстро внести изменения в конфигурацию оборудования и прикладного ПО или установить обновления. И хотя организации знают о проблемах, связанных с ИБ, в настоящее время не все готовы их решать эффективно ввиду нюансов, связанных с используемыми технологиями и внутренними бизнес-процессами, а также в связи с неготовностью руководства вкладывать в безопасность значительные суммы. Стоит предположить, что введение в действие федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» внесет существенные положительные изменения в процессы обеспечения защиты промышленных объектов.
Исследование показало, что IT-компании максимально оптимизируют затраты и принимают меры лишь в случае реальных инцидентов, зачастую пренебрегая превентивными мерами защиты.
Разные сферы по-разному подходят к вопросам защиты. Главное, что никто не стоит на месте, а своим путем идет к созданию безопасного пространства для ведения бизнеса.
Статьи по теме
- 19 ноября 2019 Трудозатраты специалистов по ИБ на работу c SIEM-системами
- 31 мая 2023 Новая кибербезопасность: от процесса к понятному результату
- 25 июля 2018 Рынок преступных киберуслуг
Порядок определения затрат на производство продукции оборонного назначения, поставляемой по гособоронзаказу
утвердить прилагаемый Порядок определения состава затрат на производство продукции оборонного назначения, поставляемой по государственному оборонному заказу.
Врио Министра А. Реус
Порядок определения состава затрат на производство продукции оборонного назначения, поставляемой по государственному оборонному заказу
1. Настоящий Порядок разработан во исполнение распоряжения Правительства Российской Федерации от 15 октября 2005 г. N 1684-р и устанавливает состав затрат, принимаемых в качестве основы при формировании контрактных цен на поставку и планировании затрат на производство вооружения и военной техники, комплектующих изделий и материалов, работ по ремонту и модернизации вооружения и военной техники, работ по утилизации и уничтожению выводимых из эксплуатации вооружения и военной техники, работ в области военно-технического сотрудничества Российской Федерации с иностранными государствами в соответствии с международными договорами Российской Федерации, а также на производство вещевого и военного имущества по государственному оборонному заказу (далее — продукция).
2. Целью настоящего Порядка является экономически обоснованное определение величины затрат, необходимых для производства и реализации каждой единицы подлежащей поставке продукции, отвечающей требованиям, предъявляемым к ее качеству.
3. Порядок применяется при исчислении (калькулировании) себестоимости единицы конкретного вида промышленной продукции (изделия, базового изделия, группы однородных изделий, комплекта, узла, детали и т.д.) или вида выполняемых работ и услуг. Калькуляционная единица должна соответствовать натуральному измерению, принятому для данного вида продукции в стандартах или технических условиях.
4. Порядок предназначается для применения всеми государственными заказчиками и организациями-исполнителями государственного оборонного заказа независимо от форм собственности и ведомственной принадлежности.
II. Состав и содержание статей затрат
5. Расчет себестоимости единицы продукции осуществляется по статьям калькуляции, перечень которых приведен в приложении 1 к настоящему Порядку.
Группировка затрат по калькуляционным статьям производится в зависимости от целевого назначения затрат и мест их возникновения.
При калькулировании себестоимости продукции, поставляемой по государственному оборонному заказу, должны преимущественно использоваться прямые методы отнесения затрат на себестоимость конкретной продукции. Основанием для включения затрат в себестоимость продукции является их принадлежность к производству этой продукции в соответствии с Правилами ведения организациями, выполняющими государственный заказ за счет средств федерального бюджета, раздельного учета результатов финансово-экономической деятельности, утвержденными постановлением Правительства Российской Федерации от 19 января 1998 г. N47. В организациях, выполняющих государственный оборонный заказ, учет затрат, связанный с его выполнением, следует осуществлять отдельно по каждому виду продукции.
6. Статья калькуляции «Затраты на материалы» отражает величину затрат на приобретение материальных ресурсов (за вычетом стоимости возвратных отходов), относящихся на себестоимость продукции в качестве прямых затрат исходя из установленных норм и нормативов расхода материалов и цен их приобретения (без налога на добавленную стоимость) и состоит из:
1) затрат на приобретение сырья и основных материалов, используемых в производстве продукции в соответствии с технологией и образующих ее основу. В указанных затратах учитываются неизбежные технологические потери в пределах установленных норм;
2) затрат на приобретение вспомогательных материалов, используемых в производстве на технологические цели, являющихся необходимым компонентом в процессе изготовления, и относимых на себестоимость конкретных изделий по соответствующим нормам и нормативам;
3) затрат на приобретение покупных полуфабрикатов — заготовок и деталей в черновом или не полностью обработанном виде. Себестоимость полуфабрикатов собственного производства отражается по соответствующим статьям затрат. Организации, имеющие собственные заготовительные производства, в отдельных случаях могут калькулировать и показывать эти затраты отдельно, как полуфабрикаты собственного производства.
При определении указанных затрат учитываются неизбежные технологические потери, порядок нормирования которых регламентируется нормативными документами;
4) затрат на приобретение комплектующих изделий в порядке производственной кооперации, и требующих дополнительных затрат на сборку при укомплектовании выпускаемой продукции;
5) затрат на оплату работ и услуг производственного характера, выполняемых сторонними организациями или (и) собственными обслуживающими производствами, которые могут быть прямо отнесены на себестоимость данного вида продукции;
6) транспортно-заготовительных расходов, включающих ввозные таможенные пошлины и сборы, провозную плату, стоимость услуг по доставке и разгрузке, содержание специализированных заготовительных цехов и складов, расходы на оплату командировок, непосредственно связанных с заготовкой материалов. На эту же статью относятся потери сырья и материалов в пределах норм естественной убыли, утвержденных в порядке, установленном Правительством Российской Федерации;
7) затрат на все виды топлива на технологические цели, как получаемые со стороны, так и вырабатываемые самой организацией, относимые на стоимость изделий либо прямым способом, если такая возможность имеется, либо с помощью утвержденных в установленном порядке нормативов;
8) затрат на все виды электрической, тепловой и других видов энергии на технологические цели (приобретаемой и вырабатываемой), а также расходов на трансформацию и передачу энергии, относимых на стоимость изделий либо прямым способом, если такая возможность имеется, либо по соответствующим нормативам;
9) затрат по оплате тары (невозвратной) и упаковки, полученных от поставщиков материальных ресурсов, и затрат на восстановление возвратной тары. Отнесение тары к возвратной или невозвратной и ее оценка определяется с учетом условий контракта на приобретение материальных ресурсов;
10) стоимости остатков сырья, материалов, полуфабрикатов и других материальных ресурсов, образующихся во время технологического процесса изготовления продукции и утративших частично потребительские качества исходного материала (далее — возвратные отходы), которая вычитается из затрат на материалы и покупные полуфабрикаты.
Возвратные отходы оцениваются по:
пониженной цене исходного материального ресурса (по цене возможного использования);
полной цене исходного материального ресурса, если отходы реализуются на сторону для использования в качестве полноценного ресурса.
7. Статья калькуляции «Затраты на оплату труда основных производственных рабочих» включает основную заработную плату и компенсации (дополнительную заработную плату) производственных рабочих, относящуюся на конкретные изделия (заказы) в качестве прямых затрат.
В состав основной заработной платы производственных рабочих включаются затраты на оплату труда, начисляемую за выполнение операций по сдельным нормам и расценкам, оплату труда рабочих-повременщиков и других категорий работающих, непосредственно участвующих в процессе производства; начисления стимулирующего характера; затраты на оплату труда за работу в условиях, отклоняющихся от нормальных, а также надбавки, обусловленные районным регулированием оплаты труда.
В состав начислений стимулирующего характера включаются премии за производственные результаты, надбавки к тарифным ставкам и окладам за профессиональное мастерство и иные начисления, предусмотренные системой оплаты труда, применяемой в организации.
В состав затрат на оплату труда за работу в условиях, отклоняющихся от нормальных, включаются расходы, связанные с особым режимом работы и условиями труда в соответствии с законодательством Российской Федерации.
Размер основной заработной платы производственных рабочих, относимый на данную статью, определяется исходя из расчетной (плановой) трудоемкости и тарифных ставок (окладов) оплаты труда работника за выполнение нормы труда (трудовых обязательств), дифференцированных по видам работ и признаку сложности (квалификации) за единицу времени, принятых в коллективном договоре организации.
Расчет организацией трудоемкости изготовления изделия в плановом периоде должен учитывать ее фактическую величину, достигнутую в отчетном периоде, процент переработки норм в указанном периоде, а также базироваться на анализе планируемых мероприятий по повышению производительности труда и изменению соотношения технически обоснованных и опытно-статистических норм.
При планировании расходов на оплату труда допускается по согласованию с заказчиком использование показателя среднего размера заработной платы, который определяется исходя из его уровня, достигнутого организацией в отчетном периоде, с учетом уровня оплаты труда в отрасли и регионе. При этом фонд оплаты труда организации отчетного периода корректируется, исходя из планируемого объема производства продукции, намеченных мероприятий по повышению производительности труда и с учетом прогнозируемого на федеральном уровне показателя инфляции.
Доля тарифной части в составе заработной платы и минимальный размер оплаты труда (размер месячной заработной платы за труд неквалифицированного работника, полностью отработавшего норму рабочего времени при выполнении простых работ в нормальных условиях труда) должны быть не ниже размера, установленного соответствующим отраслевым соглашением, подписываемым в соответствии со статьей 45 Трудового кодекса Российской Федерации. При этом размеры месячной оплаты труда в соответствии со статьями 132 и 133 Трудового кодекса Российской Федерации не могут быть ниже размера прожиточного минимума трудоспособного человека и максимальным размером не ограничиваются.
Компенсации (дополнительная заработная плата) включают начисления, предусмотренные коллективными договорами за фактически неотработанное время и относятся на себестоимость конкретной продукции по нормативу к основной заработной плате производственных рабочих, согласованному с заказчиком.
8. Затраты по статье калькуляции «Отчисления на социальные нужды» включают единый социальный налог и взносы на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний. Величина отчислений определяется в порядке и размерах, установленных законодательством Российской Федерации.
9. Статья калькуляции «Затраты на подготовку и освоение производства» включает пусковые расходы и затраты на подготовку и освоение производства новых видов продукции, относимые на себестоимость этой продукции (заказа), в порядке, согласованном с заказчиком, если ранее указанные расходы не были возмещены отдельным контрактом.
Пусковые расходы включают затраты, связанные с обеспечением готовности новых производств, цехов и агрегатов к вводу их в эксплуатацию путем комплексного опробования (под нагрузкой) всех машин и механизмов (пробная эксплуатация) с пробным выпуском предусмотренной проектом установочной партии продукции, наладкой оборудования. Номенклатура пусковых расходов приведена в приложении 2 к настоящему Порядку.
Затраты на подготовку и освоение производства новых видов продукции включают расходы, связанные с разработкой технологического процесса изготовления продукции, проектированием специальной оснастки, инструментов и приспособлений, организацией производства, которые не носят капитальный характер. Номенклатура затрат на подготовку и освоение производства новых видов продукции приведена в приложении 3 к настоящему Порядку.
Нормы списания на единицу продукции устанавливаются по согласованию с заказчиком исходя из величины затрат и объема выпуска продукции.
10. Статья калькуляции «Затраты на специальную технологическую оснастку» включает затраты на изготовление, приобретение, ремонт и поддержание в рабочем состоянии технологической оснастки целевого назначения. Затраты на изготовление специальной технологической оснастки и инструментов собственного изготовления учитываются по себестоимости их изготовления. Списание затрат по специальной оснастке на себестоимость продукции осуществляется в соответствии с согласованной с заказчиком ставкой погашения на единицу изделия, рассчитанной исходя из сметы расходов и количества изделий. При изготовлении единичных заказов расходы по изготовлению инструментов и приспособлений целевого назначения относятся на себестоимость продукции по данному заказу в соответствии с условиями контракта.
11. Статья калькуляции «Специальные затраты» предусматривается в калькуляции отдельной строкой, если данные затраты имеют значительный удельный вес в связи со спецификой технологического процесса изготовления продукции. К ним относятся, в частности, затраты на содержание специальных служб организации, оказание специальной технической помощи сторонними организациями, специальные испытания изделий и др. Номенклатура специальных затрат, относимых на данную статью, приведена в приложении 4 к настоящему Порядку.
Если удельный вес специальных затрат незначителен, то они учитываются в составе общехозяйственных затрат.
12. На статью калькуляции «Общепроизводственные затраты» относятся затраты на содержание, амортизацию и ремонт производственных зданий и сооружений, оборудования, внутризаводского транспорта и других видов производственного имущества цехов, износ и затраты на восстановление приспособлений производственного назначения и т.д., основная и дополнительная заработная плата аппарата управления цехов или иных производственных подразделений с отчислениями на социальные нужды, другие расходы, связанные с управлением и обслуживанием производства в соответствии с номенклатурой общепроизводственных затрат, приведенной в приложении 5 к настоящему Порядку.
В том случае, если предусматривается формирование ремонтного фонда, то затраты на все виды ремонта основных средств в общепроизводственные и общехозяйственные расходы не включаются.
В состав общепроизводственных затрат не включаются расходы на работы, выполняемые для собственного капитального строительства или ремонта, а также услуги для непромышленных хозяйств.
Общепроизводственные затраты каждого структурного подразделения (цеха) могут относиться на виды производимой продукции либо прямым счетом, либо одним из следующих методов, определяемых спецификой производимой продукции: пропорционально основной заработной плате производственных рабочих (в отраслях, специализирующихся на выпуске конструктивно и технологически близкой продукции), по нормо-часам, по сметным ставкам, пропорционально выпуску.
13. Статья калькуляции «Общехозяйственные затраты» включает затраты, связанные с организацией и управлением деятельностью организации в целом: основная и дополнительная заработная плата управленческого персонала с отчислениями на социальные нужды, амортизация, расходы на содержание и ремонт зданий, сооружений, инвентаря и иного имущества общехозяйственного назначения; расходы, связанные со служебными командировками; расходы на содержание лабораторий общехозяйственного назначения и расходы, связанные с проводимыми в них испытаниями, исследованиями и опытами; расходы на подготовку и переподготовку кадров, и другие расходы общехозяйственного назначения в соответствии с номенклатурой общехозяйственных затрат, приведенной в приложении 6 к настоящему Порядку.
Общехозяйственные затраты распределяются между всеми видами конечной продукции, как правило, пропорционально основной заработной плате производственных рабочих. Исходя из специфики производимой продукции, может быть установлен иной порядок распределения, общехозяйственных затрат, согласованный с заказчиком и отраженный в учетной политике организации.
На продукцию внутризаводского оборота общехозяйственные затраты не распределяются.
14. В статью калькуляции «Прочие производственные затраты» включаются:
проценты по кредитам, в размере не более ставки рефинансирования Центрального Банка Российской Федерации на момент формирования цены на изделие. Размеры и сроки кредитов рассчитываются по согласованию с заказчиком, исходя из потребности организации в денежных средствах на производство конкретного заказа с учетом получаемых авансов;
страховые взносы по различным видам страхования рисков, возникающих при производстве, хранении и транспортировке военной продукции. Расходы по обязательным видам страхования включаются в пределах страховых тарифов, утвержденных в соответствии с законодательством Российской Федерации и требованиями международных конвенций, расходы по другим видам страхования включаются по нормативам, согласованным с заказчиком;
другие виды затрат, в соответствии с установленным законодательством Российской Федерации порядком.
15. Статья «Затраты на ремонт» вводится в калькуляцию, если в организации образован ремонтный фонд.
Списание этих затрат осуществляется по нормативам, согласованным с заказчиком.
16. Сумма затрат, отраженных в калькуляционных статьях по строкам 01, 12, 15, 16, 19, 20, 21, 22 и 23 и приведенных в перечне статей калькуляции, составляет производственную себестоимость калькуляционной единицы (строка 24).
17. По статье калькуляции «Внепроизводственные затраты» (строка 25) отражаются: транспортные расходы по доставке готовой продукции, а также расходы на тару и упаковку на складах готовой продукции, — в соответствии с условиями государственного контракта. Производственная себестоимость калькуляционной единицы, увеличенная на величину внепроизводственных затрат, составляет ее полную себестоимость (строка 26).
4.3.7. Состав затрат по статье «Расходы на содержание и эксплуатацию оборудования»
81. В статью «Расходы на содержание и эксплуатацию оборудования» включаются: амортизация машин, оборудования и транспортных средств на полное восстановление, затраты на эксплуатацию оборудования и все виды ремонта, внутризаводское перемещение грузов, износ малоценных и быстроизнашивающихся инструментов и приспособлений, платежи по обязательному страхованию оборудования, а также отдельных категорий работников, прочие расходы.
Номенклатура статей расходов на содержание и эксплуатацию оборудования приведены в Приложении 1.
82. Амортизационные отчисления на полное восстановление активной части основных фондов (машин, оборудования, транспортных средств) производятся в течение нормативного срока их службы или срока, за который балансовая стоимость этих фондов полностью переносится на себестоимость. В случаях, определяемых законодательством, возможно применение ускоренной амортизации активной части основных фондов (машин, оборудования и транспортных средств), т.е. полное перенесение балансовой стоимости на издержки производства и обращения в более короткие сроки.
В плановой калькуляции сумма амортизационных отчислений определяется исходя из норм амортизационных отчислений на реновацию (полное восстановление) и среднегодовой балансовой стоимости основных средств, предусмотренной в плане. Нормы амортизационных отчислений должны уточняться с внедрением достижений научно-технического прогресса.
Амортизационные отчисления горно-капитальных выработок на горнодобывающих предприятиях производятся по потонной ставке, порядок определения которой изложен в подотраслевых Методических указаниях по планированию, учету и калькулированию себестоимости добычи руды при очистных работах.
В отчетных калькуляциях амортизация начисляется от первоначальной (балансовой) стоимости всех основных средств, фактически находящихся в эксплуатации, кроме тех, чей нормативный срок службы истек. В случае списания основных фондов до полного перенесения их балансовой стоимости на себестоимость суммы недоначисленных амортизационных отчислений возмещаются за счет прибыли, остающейся в распоряжении предприятия. По объектам, по каким-либо причинам не оформленным актом приемки в эксплуатацию, но фактически введенным в действие, амортизационные отчисления начисляются и учитываются отдельно.
После оформления приемки такого объекта в эксплуатацию начисленная сумма амортизации отражается по дебету счета «Уставный фонд» и кредиту счета «Износ основных средств».
Отчисления в амортизационный фонд не производят только по основным средствам, переведенным в установленном порядке на консервацию. Амортизационные отчисления по основным средствам производятся или прекращаются с начала месяца, следующего за поступлением их в эксплуатацию или выбытием из эксплуатации.
83. В данной статье отражаются затраты на все виды ремонта машин, оборудования и транспортных средств (текущий, средний, капитальный).
В целях обеспечения равномерности включения затрат на ремонт в себестоимость продукции рекомендуется создавать в установленном порядке ремонтный фонд (резерв средств).
Если же на предприятии ремонтный фонд не создается, то затраты на все виды ремонта списываются на себестоимость в том месяце, когда они были произведены.
Отчисления в ремонтный фонд производятся исходя из балансовой стоимости основных производственных фондов и утверждаемых самими предприятиями нормативов затрат на ремонт.
Нормативы затрат на ремонт — рациональные величины годовых суммарных затрат материальных, трудовых и финансовых ресурсов на текущий и капитальный ремонт, отнесенные к единице балансовой стоимости каждого вида основных фондов, необходимых для поддержания в работоспособном состоянии на период нормативного срока службы. Они устанавливаются в процентах к стоимости основных фондов. При создании на предприятии ремонтного фонда фактические затраты на ремонт на себестоимость не относятся, а списываются с соответствующих счетов.
Отчисления в ремонтный фонд для текущего и капитального ремонта зданий и сооружений относятся соответственно на цеховые или общехозяйственные расходы.
84. Погашение стоимости сменного оборудования, малоценных и быстроизнашивающихся инструментов, производственных приспособлений и инвентаря, учитываемых в составе оборотных средств, относится на затраты производства по подстатье «Износ малоценных и быстроизнашивающихся инструментов и приспособлений». Содержание таких же предметов общезаводского назначения учитывается в общехозяйственных расходах; цехового — в цеховых.
84.1. В состав сменного оборудования включаются многократно используемые в производственном процессе приспособления, применяемые для непосредственного воздействия на обрабатываемый материал, специализированные для производства определенных видов продукции при переходе на производство других видов продукции.
Перечень сменного оборудования и порядок его погашения в отдельных производствах указан в подотраслевых Методических указаниях по калькулированию себестоимости продукции.
В плане расход сменного оборудования и основных видов инструмента нормируется на единицу продукции и рассчитывается по установленным нормам расхода не единицу продукции. Расход остальных видов инструмента и малоценного инвентаря определяется в плане путем анализа отчетных данных с учетом металлолома, который будет получен при списании сменного оборудования. В соответствующих случаях в затратах предусматриваются также и расходы по ремонту и содержанию сменного оборудования и инструмента.
Стоимость отдельных видов сменного оборудования в зависимости от быстроты их износа и порядка отбраковки, а также от сложности учета и доли в затратах на производство погашается одним из ниже приведенных способов:
а) стоимость сменного оборудования за вычетом его стоимости по цене лома списывается со счета «Износ малоценных и быстроизнашивающихся предметов» на затраты производства, при этом 50% остаточной стоимости его относится на себестоимость продукции при передаче в эксплуатацию, а остальные 50% — при выбытии (по этому методу погашается сменное оборудование с небольшими сроками службы);
б) стоимость сменного оборудования за вычетом стоимости лома полностью списывается со счета «Износ малоценных и быстроизнашивающихся предметов» на затраты производства в том месяце, в котором оно передается в эксплуатацию. По выбытии из строя стоимость отбракованного оборудования списывается: по цене лома — на субсчет «Сырье и основные материалы» и в оставшейся сумме — на уменьшение износа малоценных и быстроизнашивающихся предметов (по этому методу погашается сменное оборудование, используемое в больших количествах и заменяемое относительно равномерно);
в) погашение производится ежемесячно в нормализованном порядке (на единицу выработанной продукции или в абсолютной сумме, исходя из утвержденного графика работы оборудования) с отнесением сумм погашения на затраты производства с субсчета «Износ малоценных и быстроизнашивающихся предметов» (по этому методу погашается сменное оборудование, замена которого производится неравномерно).
Нормы погашения определяются на основе составляемых на предприятии технических расчетов, исходя из срока износа сменного оборудования.
Суммы начисленного нормализованного погашения сверяются с фактическим износом сменного оборудования не менее двух раз в год. На устанавливаемые при проверках отклонения корректируются затраты производства в том месяце, в котором эти отклонения выявлены.
При значительных отклонениях нормализованного погашения от фактического износа нормы погашения должны быть тщательно проверены и исправлены.
По мере отбраковки стоимость выбывших предметов сменного оборудования за вычетом стоимости лома списывается на уменьшение износа, а стоимость лома — на счет основных материалов.
Расход сменного оборудования учитывается в затратах на производство как по количеству, так и по стоимости.
84.2. К малоценным и быстроизнашивающимся предметам относятся инструменты, приспособления и инвентарь общего назначения, служащие менее года или служащие более года, но стоимость которых ниже предела, установленного для отнесения к основным фондам. Спецодежда и спецобувь относятся к малоценным предметам независимо от стоимости и срока службы.
Малоценные и быстроизнашивающиеся предметы, стоимостью свыше предела, установленного для отнесения их к основным фондам, погашаются в размере 50% при передаче их в эксплуатацию, в размере остальных 50% (за вычетом стоимости этих предметов по цене возможного пользования) — при выбытии их за непригодностью.
Малоценные предметы списываются полностью на затраты производства при передаче в эксплуатацию.
Все малоценные предметы учитываются оперативно по местам использования до полного их износа и исключаются из учета на основании соответствующих актов, составляемых один раз в месяц.
85. Транспортные расходы по перевозке продукции и отходов по внутризаводским путям, а также расходы по перевозкам, производимым для цехов предприятия железнодорожным, автомобильным и другим транспортом, планируются и учитываются в составе расходов на содержание и эксплуатацию оборудования по подстатье «Внутризаводское перемещение грузов».
При отнесении стоимости услуг заводского транспорта и расходов по разгрузке на затраты того или иного цеха следует руководствоваться тем, что, как правило, стоимость доставки продукции одного цеха в другой или на склад и ее разгрузки входит в затраты цеха — изготовителя.
— погрузка, доставка продукции на общезаводской склад и ее разгрузка входят в затраты цеха — изготовителя;
— при централизованной доставке продукции на общезаводской склад по ее погрузке, транспортировке и разгрузке относятся на общехозяйственные расходы.
В случае когда выработанная продукция не может быть отправлена перерабатывающему цеху по его вине (загруженность его складов, остановка агрегатов и т.п.) и цех — производитель вынужден из-за этого направлять свою продукцию на промежуточные склады, расходы по погрузке и доставке продукции с промежуточного склада относятся за счет цеха — получателя.
Доставка и выгрузка материалов, получаемых цехами с заводских складов, относятся на расходы цехов — получателей, а при централизованной доставке — на общехозяйственные расходы.
Расходы по выгрузке сырья, материалов, полуфабрикатов и топлива, получаемых цехами непосредственно от других предприятий или организаций, включаются в стоимость заготовления материалов. Расходы по отгрузке продукции с цеховых и общезаводских складов для отправки покупателям относятся на коммерческие расходы.
На комбинированных предприятиях транспортные расходы по доставке руды от рудников, входящих в комбинат и находящихся на значительных расстояниях, в себестоимость добытой руды у отправителя на включаются. В таких случаях транспортные расходы включаются в стоимость руды у получателя.
На рудниках, где расходы по транспортировке руды из карьеров к местам хранения, а также пустой породы составляют значительную долю и реализуются в виде услуг транспортными организациями и самостоятельным транспортным цехом, эти расходы выделяются в калькуляции в отдельную статью «Внутрирудничное перемещение грузов».
86. В состав расходов на содержание и эксплуатацию оборудования не должны включаться затраты, не связанные с работой оборудования (например, затраты на вспомогательные материалы, используемые на технологические цели, подлежащие отражению по статье «Вспомогательные материалы на технологические цели», заработная плата производственных рабочих, оплачиваемых повременно, которая относится к статье «Расходы на оплату труда производственных рабочих» и т.д.).
Расходы на содержание и эксплуатацию оборудования каждого цеха должны относится только на те виды продукции и работ, которые производятся в данном цехе.
87. Расходы на содержание и эксплуатацию оборудования (за исключением износа малоценных и быстроизнашивающихся инструментов и затрат по внутрипроизводственному перемещению грузов) распределяются в плане и учете следующими методами:
87.1. В цехах и производствах, выпускающих один вид продукции — по прямому назначению.
87.2. В цехах основного производства, выпускающих продукцию нескольких видов:
а) по сметным нормативным ставкам (см. ниже);
б) другими методами, установленными подотраслевыми Методическими указаниями с учетом специфики различных производств.
87.3. В цехах вспомогательного производства, выпускающих однородную продукцию (работы, услуги) — пропорционально расходам на оплату труда производственных рабочих.
87.4. На рудниках — пропорционально объему (куб. м) отбитой горной массы.
88. При сметном нормативном методе составляется плановый расчет распределения расходов на содержание и эксплуатацию оборудования на изделие (заказ) в следующем порядке:
а) по каждому цеху предприятия оборудование (станки, прессы, ванны, термические печи и т.п.) объединяется в группы с учетом его технологического назначения;
б) по каждой группе оборудования устанавливаются:
— нормативная сумма расходов на его содержание и эксплуатацию по плану на год;
— плановая загрузка (работы) оборудование (количество машино-часов) в расчете на год (с учетом сменности, режима работы, времени на ремонт и т.п.);
— нормативная величина расходов на один машино-час, определяемая путем деления суммы расхода на количество машино — часов работы оборудования по плану на год;
в) по каждому изделию устанавливается необходимое количество машино-часов работы по каждой группе оборудования на единицу изделия;
г) умножением нормативной величины расходов одного машино-часа каждой группы на количество машино-часов, определенных по каждому изделию, и сложением полученных результатов устанавливается сметная ставка расходов на производство одного изделия.
Пример определения сметной ставки приводится в таблице.
Исчисленные таким методом нормативные ставки, при отсутствии резких изменений в загрузке оборудования, сменности, стабильности ставок на энергию и т.д. могут служить нормативами длительного действия.
89. Распределение фактических расходов на содержание и эксплуатацию оборудования по указанному выше методу в учете производится ежемесячно следующим образом:
а) определяется нормативная сумма расходов по каждому изделию путем умножения фактического выпуска изделий на сметную ставку расходов по изделию;