• Быстрый поиск надежных решений
    и практической информации
Получите доступ к более 2 миллионов готовых решений, публикаций и обзоров
Оформить
подписку

Защита информации в офисе

Чтобы иметь право отразить в налоговом учете расходы на мероприятия, связанные с защитой информации, предприятие должно соблюдать ряд условий и требований, предусмотренных огромным количеством законодательных и подзаконных актов.

Организация системы защиты

Информация может быть представлена в различной форме и на разных физических носителях.

Основными формами информации, представляющими интерес с точки зрения защиты, являются:

  • документальная;
  • акустическая (речевая);
  • телекоммуникационная;
  • цифровая.

Основными объектами защиты информации являются:

  • информационные ресурсы, содержащие сведения, которые признаны коммерческой тайной;
  • средства и системы информатизации (компьютеры, базы данных, прикладное программное обеспечение), то есть системы и средства, непосредственно обрабатывающие информацию, содержащую коммерческую тайну;
  • вспомогательные технические средства и системы, не относящиеся к средствам и системам информатизации, но размещенные в помещениях, в которых обрабатывается секретная информация (например, телефон, сами помещения, предназначенные для обработки информации с ограниченным доступом).

При организации защиты информации все оборудование и организационные мероприятия следует рассматривать как комплексную систему защиты информации (далее – КСЗИ).

Согласно п. 5.8 НД ТЗИ 3.7-003-2005 КСЗИ может быть создана в любых информационно-телекоммуникационных системах (далее – ИТС), где такая необходимость определена владельцем информации.

Отметим, что соблюдение положений указанного нормативного документа является обязательным для всех субъектов, в ИТС которых обрабатывается информация, необходимость защиты которой определена законодательством. Во всех остальных случаях субъекты хозяйствования могут руководствоваться ими их в качестве рекомендаций.

Работы по созданию КСЗИ могут выполняться:

  • самим владельцем информации;
  • другим субъектом хозяйствования, который специализируется на оказании данных услуг.

Первый вариант. В зависимости от структуры и состава КСЗИ для создания системы могут потребоваться некоторые виды работ, подлежащие лицензированию. В этом случае разработчик КСЗИ должен иметь лицензию на осуществление хотя бы одного из таких видов работ. Для выполнения остальных работ он привлекает соисполнителей, у которых есть соответствующие лицензии.

Напомним, согласно п. 12 ч. 3 ст. 9 Закона № 1775-ІІІ от 01.06.00 г. лицензированию подлежит деятельность по предоставлению услуг в области технической защиты информации по перечню, утвержденному Постановлением №517 от 18.05.11 г. Получить лицензию в соответствии с Постановлением КМУ № 626 от 09.06.11 г. можно в Администрации Государственной службы специальной связи и защиты информации Украины (далее – Администрация Госспецсвязи).

Для организации работ по созданию КСЗИ в ИТС формируется служба защиты информации, порядок создания, задачи, функции, структура и полномочия которой определены в НД 1.4-001-2000. Служба защиты создается после принятия решения о необходимости создания КСЗИ (пп. 6.1.1). Как исключение такая служба может быть создана на более поздних этапах работ, но не позднее этапа подготовки к вводу в действие КСЗИ (п. 6.5).

Следует знать, что предупреждение утечки информации по техническим каналам сводится к пассивным и активным средствам защиты. При этом:

  • пассивные средства определяют и локализуют каналы утечки, ничего не внося при этом во внешнюю среду. К ним относятся: экранирующие устройства и сооружения, распределительные устройства в сетях электроснабжения, защитные фильтры и т. д. Цель этих средств – максимально ослабить акустический сигнал от источника звука, например, за счет отделки стен звукопоглощающими материалами. По результатам анализа архитектурно-строительной документации формируется комплекс необходимых мер по пассивной защите тех или иных участков;
  • активные средства предупреждения утечки информации можно разделить на обнаружение и нейтрализацию закладных (подслушивающих) устройств. Современная техника подслушивания достигла такого уровня, что обнаружить приборы считывания и прослушивания становится очень сложно. Поскольку проводить специальные меры по обнаружению каналов утечки информации дорого и долго, в качестве средств защиты информации выгоднее использовать устройства защиты телефонных переговоров, генераторы зашумления, сетевые фильтры и т. д. Например, для предотвращения несанкционированной записи переговоров используют устройства подавления диктофонов.

Второй вариант. Этот вариант создания в офисе КСЗИ не требует от собственника ИТС оформления лицензии, она должна быть у исполнителя работ по установке КСЗИ.

Обращаем внимание: после установки активных средств защиты у предприятия должен быть акт специальных исследований побочного электромагнитного излучения (НД ТЗИ 1.1.005-07, НД ТЗИ 3.7-003-2005), а после завершения всех работ, перед вводом в эксплуатацию КСЗИ, необходимо провести государственную экспертизу и получить экспертное заключение и аттестат соответствия (п. 1.3 Положения № 93 от 16.05.07 г.). Эти документы необязательно оформлять самим, их можно заказать предприятию, которое будет разрабатывать КСЗИ.

Например, исполнитель КСЗИ составляет акт аттестации КСЗИ, который утверждает его руководитель. Таким исполнителем может быть учреждение, имеющее соответствующую лицензию или разрешение на осуществление деятельности в области технической защиты информации.

Учет создания КСЗИ

В бухгалтерском учете рекомендуем отражать КСЗИ как отдельный объект основных средств (далее – ОС) на субсчете 109. В этом случае начисление бухгалтерской амортизации будет привязано к сроку службы системы как комплекса. При этом минимальный срок службы целесообразно устанавливать исходя из срока, указанного в аттестате соответствия. Связано это с тем, что по окончании срока действия аттестата работа КСЗИ будет приостановлена и потребует дополнительных расходов на оформление нового аттестата, что, в свою очередь, может повлечь расходы на модернизацию системы.

Можно использовать еще один вариант бухгалтерского учета, когда объектом ОС выступает конструктивно отделенный предмет, предназначенный для выполнения определенных самостоятельных функций (п. 4 П(С)БУ 7). При этом вся КСЗИ будет состоять из отдельных объектов с разными сроками полезного использования. В этом случае КСЗИ будет учитываться на нескольких субсчетах, а именно: 104 (мониторы, камеры, фильтры), 106 (ящики для маскировки пультов) и 103 (кабели).

В налоговом учете рекомендуем относить КСЗИ к группе 9 ОС «Прочие основные средства», минимально допустимый срок полезного использования которых составляет 12 лет (п. 145.1 НК). Если бухгалтерский учет КСЗИ ведется по отдельным объектам, то и в налоговом они будут учитываться в составе соответствующих групп ОС.

Следует отметить, что создание КСЗИ с пассивными средствами всегда связано с определенными трудностями. В большинстве случаев это строительные расходы на изменение толщины стен, замену дверей и окон, обшивку помещений специальными материалами. Такую КСЗИ предприятия могут позволить себе в собственном помещении. Тогда эти расходы увеличат остаточную стоимость помещения и в дальнейшем будут амортизироваться так же, как и само здание.

При аренде офиса арендодатель, как правило, не разрешает устанавливать пассивные средства защиты. Если все-таки такое разрешение удастся получить, КСЗИ будет учитываться, как ремонт арендуемого офиса.

Если со временем предприятие изменит категорию помещения и переместит секретную зону в другую комнату или здание, то в связи с изменением места осуществления данного вида хозяйственной деятельности налогоплательщику придется произвести демонтаж, перевозку и новую установку КСЗИ. В этом случае балансовая стоимость соответствующей группы ОС увеличивается на сумму расходов на указанные операции при условии, что новое оборудование соответствует определению объекта ОС, приведенному в пп. 14.1.138 НК (ОИР, категория 102.09.01).

Напоминаем, что все расходы должны быть подтверждены соответствующими первичными документами, обязательность ведения и хранения которых предусмотрена правилами ведения бухгалтерского и налогового учета (пп. 139.1.9 НК).

При отсутствии ряда документов (например, акта категорирования помещения с ограничением доступа, плана-схемы контролируемой зоны) будет трудно обосновать связь дальнейших расходов на защиту информации с хозяйственной деятельностью предприятия. Бланки документов и правила их заполнения можно найти на сайте Госспецсвязи www.dstszi.kmu.gov.ua.

Текущие расходы на охрану

Текущее обслуживание и содержание ОС всегда связано с дополнительными расходами. В нашем случае все расходы можно условно разделить на материальные, расходы на оплату труда и услуги сторонних организаций.

К материальным текущим расходам относятся запчасти и материалы, необходимые для текущего ремонта КСЗИ. Их налоговый и бухгалтерский учет ведется так же, как и любых других расходов на ремонт производственных ОС. Если техническая документация по эксплуатации КСЗИ предусматривает проведение регулярного техосмотра, надзора, обслуживания и т. д. для поддержания объекта в рабочем состоянии и получения первоначально определенной суммы будущих экономических выгод от его использования, то такие расходы включаются в состав налоговых.

Расходы на оплату труда сотрудников службы охраны и службы защиты информации можно учитывать в зависимости от вида обеспечения охраны.

Вариант 1. Охрану обеспечивают свои сотрудники. Налоговый и бухгалтерский учет зарплаты таких работников ведется, как и для остальных офисных сотрудников.

Вариант 2. Охрану обеспечивают сотрудники охранного агентства. В соответствии со ст. 8 Закона № 4616-VI от 22.03.12 г. субъект охранной деятельности оказывает услуги охраны на основании договора, заключенного с заказчиком в письменной форме. В этом случае понесенные расходы учитываются как расходы на услуги сторонних организаций с соответствующим отнесением на налоговые и административные в бухгалтерском учете.

Услуги сторонних организаций по обслуживанию КСЗИ (кроме охраны помещения сотрудниками охранного агентства) могут понадобиться и в случаях, когда предприятие после установки сигнализации подписывает с соответствующей организацией договор о постановке объекта на пульт централизованной охраны. Тогда по мере предоставления обслуживающей организацией актов выполненных услуг все расходы будут относиться на административные в налоговом и бухгалтерском учете.

И еще один важный момент. Перед вводом КСЗИ в эксплуатацию на любом предприятии необходимо провести ряд организационных мероприятий. Большинство из них требуют оформления соответствующих документов. Например, приказом по предприятию назначаются лица, ответственные за защиту информации (если это не было сделано на предыдущих этапах), проводится обучение пользователей ИТС всех категорий (технического обслуживающего персонала, обычных пользователей и пользователей, имеющих полномочия по управлению средствами КСЗИ, и др.).

При вводе КСЗИ в эксплуатацию должны быть задействованы все механизмы разграничения доступа пользователей к информации и аппаратным ресурсам ИТС, контроля за действиями пользователей, а также контроля за целостностью ПО и базой данных защиты системы. В эту базу данных вносятся сведения о пользователях ИТС, их полномочиях по доступу к защищаемым объектам, об экспорте/импорте из системы и другая информация.

ПРИМЕР

Руководство предприятия приняло решение создать службу безопасности, а также установить сигнализацию с камерами видеонаблюдения по всей территории офиса и прибор для зашумления подслушивающих устройств в совещательной комнате. Разработкой и реализацией проекта КСЗИ занимается сторонняя организация. Амортизация КСЗИ будет начисляться прямолинейным методом.

В учете операции по созданию КСЗИ отражаются так:

(грн.)


п/п

Содержание операции

Первичные
документы

Бухгалтерский учет

Налоговый учет

Дт

Кт

Сумма

Доход

Расходы

1

2

3

4

5

6

7

8

1

Приобретены материалы для будущей сигнализации и зашумляющего прибора

Приходная накладная

151

631

2 000,00

2

Начислен налоговый кредит по НДС

Налоговая Накладная

641

631

400,00

3

Выполнены сторонней организацией работы по монтажу и наладке

Акт
выполненных работ

151

631

800,00

4

Проведена госэкспертиза и получен аттестат соответствия на 5 лет от Госспецсвязи

Протокол
выполненных работ,
акт выполненных работ

151

685

500,00

5

Введена в эксплуатацию КСЗИ

Приказ о вводе в эксплуатацию,
акт типовой формы № ОЗ-1, инвентарная карточка
типовой формы № ОЗ-6*

109

151

3 300,00

6

Начислена на КСЗИ амортизация прямолинейным методом

Ведомость
начисления амортизации

92

131

55,00**

22,92***

7

Начислена зарплата сотрудникам службы безопасности

Расчетно-платежная ведомость работника (типовая форма № П-6)****

92

661

1 000,00

1 000,00

8

Начислен ЕСВ на зарплату сотрудников службы безопасности (38 % условно)

Ведомость
начисления взносов

92

651

380,00

380,00

* Утверждена Приказом № 352 от 29.12.95 г.

** В бухгалтерском учете амортизация рассчитывается исходя из срока эксплуатации, указанного в аттестате соответствия, т. е. 5 лет. Отсюда сумма годовой амортизации составит 660 грн. (3 300 грн. : 5 лет), ежемесячной – 55 грн. (660 грн. : 12 мес.).

*** В налоговом учете минимальный срок службы основных средств группы 9 – 12 лет. Тогда сумма годовой амортизации составит 275 грн. (3 300 грн. : 12 лет), ежемесячной – 22,92 грн. (275,00 грн. : 12).

**** Утверждена Приказом № 489 от 05.12.08 г.


Учет специализированного ПО

В зависимости от условий договора между заказчиком создания КСЗИ и исполнителем предприятие – владелец ИТС будет вынуждено приобрести специализированное ПО для идентификации пользователей, разграничения доступа, защиты от вирусов, защиты информации при передаче по каналам связи, мониторинга системы и т. д.

Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Безусловно, это самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ, но, как и технические средства, требует лицензирования, причем на криптографические средства защиты лицензия оформляется отдельно.

Основные направления использования криптографических методов – передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

ВЫВОДЫ

Для того чтобы отнести расходы по созданию КСЗИ в состав налоговых, предприятие должно иметь в наличии все документы, обеспечивающие функционирование КСЗИ, организацию проектирования строительных работ с учетом требований технического задания, нормативной и эксплуатационной документации.

Комментарии к материалу

Оформить подписку на раздел «Коммерция»

Надежные решения по бухучету, налогам и праву

525 грн / квартал

Купить