Защита информации от ндс

Опубликовано: 03.05.2024

Старший юрист Департамента международного налогового планирования Юридической фирмы Клифф

специально для ГАРАНТ.РУ

Что такое налоговый маневр в IT-отрасли?

Это "народное название" нового пакета налоговых льгот для российских IT-компаний. О налоговом маневре в этой отрасли (еще он получил название IT-маневр), в рамках которого предполагалось существенно снизить налог на прибыль и страховые взносы, впервые заговорил премьер-министр РФ Михаил Мишустин в июне 2020 года. Далее намерение провести IT-маневр подтвердил Владимир Путин в своем публичном выступлении 23 июня, указав, что предлагаемые ставки налога будут одними из самых низких в мире.

В итоге 31 июля 2020 года был принят Федеральный закон № 265-ФЗ "О внесении изменений в часть вторую Налогового кодекса Российской Федерации" (далее – Закон № 265-ФЗ), которым были внесены соответствующие изменения в режим налогообложения IT-компаний. Изменения вступают в силу с 1 января 2021 года.

Чем отличается новый режим налогообложения от ранее действующего?

Изменения коснулись режима налогообложения доходов от ПО и баз данных НДС, налогом на прибыль организаций, а также обложения страховыми взносами.

Основным отличием ИТ-маневра от действующего в настоящий момент режима является изменение порядка налогообложения доходов от программного обеспечения НДС. В текущей редакции подп. 26 п. 2 ст. 149 Налогового кодекса от НДС освобождаются операции по передаче прав на любое ПО и любые базы данных на основании лицензионных, в том числе сублицензионных договоров, а также на основании договоров об отчуждении исключительных прав.

С 2021 года от НДС освобождается передача прав на ПО, в том числе, передача через Интернет при соблюдении следующих условий:

  • ПО включено в специальный реестр российского ПО. В настоящее время в реестр включено более 7,1 тыс. наименований ПО, причем с августа по октябрь текущего года в реестр включено более 230 наименований ПО и баз данных (за тот же период прошлого года в реестр было добавлено около 150 наименований), что может свидетельствовать о высокой заинтересованности во льготе производителей ПО;
  • порядок включения в реестр регулируется Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Постановлением Правительства РФ от 16 ноября 2015 г. № 12365. Для включения в данный реестр необходимо, чтобы исключительные права на ПО (базу данных) были законно получены на территории РФ (введены в гражданский оборот в РФ) или экземпляры программы (базы данных) свободно распространялись в РФ; менее 30% выручки от передачи прав использования на такие ПО (базу данных) приходилось на договоры с иностранными лицами; ПО, права на которое передаются, не является государственной тайной. Кроме того, необходимо, чтобы исключительное право на ПО (базу данных) без ограничений по территории и сроку действия принадлежало российскому лицу (лицам), в том числе российской коммерческой организации, не менее 50% прямого или косвенного участия в которой принадлежат гражданам РФ, российским публичным образованиям (РФ, субъекты РФ, муниципальные образования) или российским некоммерческим образованиям. Помимо указанных выше, Постановлением Правительства № 1236 установлены также дополнительные критерии: ПО не управляется и не обновляется принудительно из-за границы; обслуживание и техническая поддержка ПО осуществляется российской организацией без преимущественного владения иностранными лицами или гражданином РФ;
  • права на ПО, которые буду передаваться, не включают в себе права распространения рекламы в Интернете, и (или) получения доступа к ней, размещения предложений о покупке / продаже товаров (работ, услуг, имущественных прав) в Интернете, поиска информации о потенциальных покупателях (продавцах) и (или) заключения сделок. То есть теперь льгота по НДС станет недоступна для торговых площадок, а также практически любого ПО, на котором есть рекламные баннеры или иное продвижение собственных или чужих товаров (услуг). При этом, льгота потенциально может быть применима, например, к компьютерным играм, продуктам в сфере информационной безопасности, системам управления процессами, образовательному ПО и другим.

Налог на прибыль

Важной составляющей IT-маневра стало существенное снижение ставки по налогу на прибыль для компаний в IT-сфере – 3% вместо 20%.

Так, согласно п. 4 ст. 1 Закона № 265-ФЗ льготы по налогу на прибыль предусмотрены для двух категорий компаний, работающих в сфере ИТ: для российских организаций, разрабатывающих и реализующих ПО, оказывающих услуги по его модификации, адаптации, установке, тестированию и сопровождению ПО и баз данных, а также для организаций, которые занимаются проектированием и разработкой изделий электронной компонентной базы и электронной продукции.

Для организаций из первой группы для получения льготы по налогу на прибыль необходимо соблюдение следующих условий:

  • получение документа о государственной аккредитации компании в сфере ИТ в Порядке, установленном Постановлением Правительства РФ от 6 ноября 2007 г. № 7586. После принятия Закона № 265-ФЗ в данное Постановление не вносились изменения, однако возможно внесение их в будущем;
  • не менее 90 % от суммы доходов компании получено в виде доходов от отчуждения экземпляров ПО (баз данных), разработанных компанией, отчуждения исключительных прав (передачи прав на использование такого ПО и базы данных, обновления к ним, в том числе через Интернет), а также доходов от оказания услуг по разработке, адаптации и модификации ПО, установке, тестированию и сопровождению ПО и баз данных. То есть льгота касается самостоятельно разработанного ПО. При этом, такие доходы не должны включать доходы от передачи прав на распространение или получение доступа к рекламе в Интернете, размещения предложений о покупке и продаже товаров (услуг, работ, имущественных прав) и поиска информации о потенциальных продавцах и покупателях, а также заключения соответствующих сделок. При расчете доли доходов в нее не включаются доходы в виде курсовой разницы и курсовой разницы, возникшей от переоценки выданных (полученных) авансов (п. 2, п. 11 ч. 2 ст. 250 НК РФ), а также доходы от уступки прав требования долга, который возник при признании доходов от операций в IT-сфере;
  • не менее 7 сотрудников за отчетный период (среднесписочная численность).

Для организаций второй категории требования являются аналогичными – включение в реестр (в настоящее время существует только проект Постановления Правительства РФ "О ведении реестра организаций, оказывающих услуги (осуществляющих работы) по проектированию и разработке изделий электронной компонентной базы и электронной (радиоэлектронной) продукции"), получение не менее 90% доходов от соответствующих доходов (доходов от реализации услуг (работ) по проектированию и разработке изделий электронной компонентной базы и электронной (радиоэлектронной) продукции) и наличие среднесписочной численности работников не менее 7 человек в течение отчетного периода.

Также в рамках изменений по налогу на прибыль, отменяется возможность амортизации в отношении электронно-вычислительной техники, ранее предусмотренная п. 6 ст. 259 НК РФ. Теперь расходы на приобретение ЭВМ можно учесть в налоговой базе в качестве материальных расходов.

Условия для применения пониженных тарифов страховых взносов аналогичны перечисленным выше условиям в отношении налога на прибыль (включение в соответствующий реестр, получение не менее 90% доходов от указанных видов деятельности, минимальная среднесписочная численность сотрудников не менее 7 человек). С 2021 года пониженные тарифы страховых взносов являются следующими:

  • на обязательное пенсионное страхование – 6%;
  • на случай временной нетрудоспособности и в связи с материнством – 1,5%
  • на обязательное медицинское страхование – 0,1%.

Таким образом, общая нагрузка по страховым взносам составит 7,6%. Напомню, что в текущей редакции нормы п. 5 ст. 427 НК РФ организации в сфере ИТ могут претендовать на пониженные тарифы по страховым взносам в общем размере 14 % (на ОПС – 8 %, на случай ВНиМ – 2 %, на ОМС – 4 %).

Подводя итог, следует отметить, что несмотря на то, что некоторые представители ИТ-индустрии негативно отзывались об изменениях в налогообложении НДС, в силу которых на льготу может претендовать меньшее число компаний, чем раньше, и более высокую эффективную ставку налогообложения при использовании ПО, чем в аналогичных режимах в иностранных государствах (например, IP-box на Кипре дает возможность использования эффективной ставки налогообложения доходов от использования программного обеспечения в размере 2,5 %), IT-маневр может стать эффективным инструментом для ряда компаний в сфере ИТ, чья деятельность с использованием ПО не связана с рекламой и реализацией товаров (услуг).

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.


Несмотря на еще существующие ограничения, любая организация может почти полностью перейти на безбумажный документооборот. Причем это не только выгодно с экономической точки зрения (меньше затрат на бумагу, пересылку), но и с юридической — ЭДО помогает оперативно передавать документы, проводить сверку, отправлять претензии, а судебные дела проще выигрывать — к пример, подделать ЭП практически невозможно, а чтобы оспорить подписанные ей документы нужны железобетонные доказательства.

Кратко об ЭЦП

Сразу обговорим — существует несколько видов электронных подписей и каждая имеет разные характеристики.

Особенности : не требует сертификата и криптопро средств, требует идентификации пользователя, используется на сайтах госорганов, не гарантирует неизменности документа, может использоваться для обмена информацией между организациями, но требует для этого специального соглашения.

УНЭП — усиленная неквалифицированная электронная подпись

Особенности: те же, что и у простой подписи, но требует наличие криптографических средств и подтверждения неизменности документа.

УКЭП — усиленная квалифицированная электронная подпись

Особенности: аналогично УНЭП + создается с применением криптографических средств, сертифицированных по ГОСТ, требует сертификата от удостоверяющего центра (УЦ). Самое главное — такая подпись равнозначна собственноручной .

Самый частый вопрос об электронной подписи — почему у нее такой короткий срок действия, наверняка УЦ хотят заработать на их выпуске?

Но ежегодная замена связана в первую очередь с безопасностью — злоумышленники с помощью современных технических средств и компьютеров с высокими вычислительными мощностями могут путем перебора подобрать ключ. Это как с сейфом — каким бы защищенным он не был, но дайте взломщику достаточно времени и технологий и он придумает как его взломать.

При этом короткий срок действия не единственная сложность в использовании ЭП — одному сотруднику может понадобиться несколько подписей для разных целей . К примеру, для входа в онлайн-банк и на торговую площадку.

Ближайшие изменения

Законодательство не оперативно, но все же реагирует на изменения в бизнес-среде. Вот, например, статья 312.2 ТК РФ позволяет заключить трудовой договор с дистанционным сотрудником с применением ЭДО. В настоящий момент проводится эксперимент по переводу кадрового документооборота в электронный формат.

В ближайшее время нас ждут глобальные изменения в системе использования электронных подписей .

В частности придание легитимности облачной подписи , которая будет храниться у оператора, появление доверенной третьей стороны, которая обеспечит признание достоверности подписи при возникновении конфликтных ситуаций, выделение личного ключа физлица — сотруднику достаточно будет получить для себя ЭП и использовать ее для различных целей и даже в разных организациях.

Руководители организаций смогут получить ЭП только в ФНС или уполномоченных налоговой службой центрах , что должно резко снизить проблемы выдачи ЭП сторонним лицам (вспомните последние скандалы с декларациями по НДС).

Уже успешно работают такие внедрения как электронная трудовая книжка, электронный СНИЛС, можно заключать сделки о продаже купли-продажи недвижимости в электронном виде. В конце 2020 года ФНС приняла концепцию , касающуюся развития ЭДО в России.

Архивное дело тоже семимильными шагами идет в сторону электронного документооборота. Пока правда сохраняются несколько проблем, связанных с передачей документов в архив : документ должен быть юридически значимым при передаче в архив (иметь действующий сертификат ЭП) и сохранить эту значимость в процессе хранения (а как мы помним ЭП действует только 1 год).

Одна из приоритетных задач на 2021 год у Федерального архивного агентства согласно его же публичной декларации: нормативное и методическое обеспечение постоянного и долговременного хранения электронных архивных документов в рамках создания ГИС "Платформа ЦХЭД”.

Создайте собственный архив организации с Docsvision для бухгалтерских, кадровых, технических и любых других видов документов — настройка автоматического пополнения, интеграция с учетными системами и операторами ЭДО, обеспечение информационной безопасности и доступа с мобильных.

Юридически значимый электронный документооборот

Главные возражения против внедрения ЮЗДО, которые нам приходится слышать — это сложно, долго и очень дорого. На самом деле можно организовать и внедрить ЭДО без излишних затрат времени и сил.

Юридическая значимость — этот термин означает, что документ соответствует существующим требованиям законодательства и может применяться в качестве правового аргумента при доказательстве прав его обладателя, в том числе и в суде.

Что дает внедрение ЮЗДО:

Как обеспечить документам юридическую значимость

Юридически значимым электронный документ становится, если содержит все необходимые реквизиты и атрибуты, юридическую силу ему придают операторы ЭДО, прошедшие аккредитацию, они заверяют подлинность ЭЦП и организуют обмен между контролирующими органами и налогоплательщиком, а также между контрагентами.

Наладить полноценное взаимодействие между всеми участниками — предприятием, его контрагентами, оператором помогают специальные интеграционные инструменты.

Компания Docsvision предоставляет модули, с помощью которых на предприятии можно организовать юридически значимый электронный документооборот. Например, такой модуль используется для ЮЗДО между пользователями системы «Диадок» от СКБ Контур и других операторов ЭДО.

Узнать больше можно посмотрев запись вебинара «Средства поддержки ЮЗДО в Docsvision» на странице мероприятия. Вебинар был полезен бухгалтерам и руководителям компании вместе с ИТ-специалистами.

В чем плюс интеграции:

  • вы сможете создавать и отправлять контрагентам документы, подписанные ЭЦП с помощью механизма, встроенного в решения Docsvision;
  • обработку документации можно настроить в соответствии с внутренними регламентами и бизнес-процессами в организации;
  • кроме обмена формализованными документами (например, счет-фактурами) есть возможность отправлять и получать неформализованную корреспонденцию, в том числе внутри компании;
  • документы структурированы, их легко найти, настроив поисковый запрос, сгруппировав, например, по реквизитам или статусу.

Внедрение включает в себя не только техническую часть, компания Docsvision также проводит обучение сотрудников и сопровождение системы, адаптирует свои решения для конкретных нужд заказчика.

Бухгалтер наверняка понимает плюсы от внедрения в компании юридически значимого документооборота, особенно ценность не только обмена унифицированными формами, но и неформализованными документами. Но решение о внедрении в конечном итоге принимать руководителю, в том числе в зависимости от мнения IT службы — как осуществить внедрение, как это в конечном итоге будет работать, какие возможности даст организации.

Если вы бухгалтер и хотите усовершенствовать документооборот в вашей организации — отправьте запись вебинара представителю IT-отдела, системного администратора, другого сотрудника, который отвечает за внедрение новых сервисов. А также смотрите запись сами — там много полезной информации о ЮЗДО!

В результате принятия ФЗ № 265-ФЗ отдельные аспекты налогообложения IT-компаний с 01.01.2021 подлежат существенным изменениям, в частности, касающиеся налога на добавленную стоимость, налога на прибыль организаций и страховых взносов.

В настоящем обзоре мы представим комплексный анализ всех нововведений, а также порядок и условия их применения.

Льгота по НДС

Льгота заключается в освобождении от обложения НДС операций по реализации (передаче, выполнению, оказанию для собственных нужд) на территории Российской Федерации:

  • исключительных прав на программы для электронно-вычислительных машин (далее – ЭВМ) и базы данных, включенные в единый реестр;
  • прав на использование указанных программ и баз данных.

При этом, права на использование таких программ и баз данных могут передаваться не только путем заключения лицензионного договора, но также путем предоставления к ним удаленного доступа через интернет.

Необходимо отметить, что реализация прав на использование обновлений к указанным программам, базам данных и дополнительным функциональным возможностям также освобождается от обложения НДС.

Для получения указанной льготы передаваемые по лицензионному договору программное обеспечение должно быть включены в единый реестр российских программ для ЭВМ и баз данных, опубликованном на официальном сайте Минкомсвязи России. В случае если в указанном реестре сведения о передаваемом ПО или базе данных отсутствуют, операции по передаче исключительных прав или прав на использование такого ПО (базы данных) не освобождаются от обложения НДС.

Необходимо отметить, что освобождение от обложения НДС вышеуказанных операций не распространяется на передачу прав на использование программ для ЭВМ и баз данных, если эти права состоят в получении возможности:

  • распространять рекламу интернете или получать доступ к ней;
  • размещать в интернете предложения о приобретении или реализации товаров, работ, услуг и имущественных прав;
  • осуществлять поиск информации о потенциальных покупателях и продавцах или заключать сделки.

Льгота по налогу на прибыль организаций

Льгота заключается в применении ставки по налогу, подлежащему зачислению в федеральный бюджет, в размере 3% и ставки по налогу, подлежащему зачислению в бюджет субъекта Российской Федерации, в размере 0%. Соответственно, суммарная ставка по налогу на прибыль для организаций, имеющих право на указанную льготу, составляет 3%.

Получение данной льготы предусмотрено для двух категорий организаций:

1. К первой группе относятся организации:

  • осуществляющие деятельность в области IT;
  • разрабатывающие и реализующие разработанные ими программы для ЭВМ, базы

данных на материальном носителе или в форме электронного документа по каналам связи или оказывающие услуги по разработке, адаптации и модификации программ для ЭВМ, баз данных;

  • устанавливающие, тестирующие и сопровождающие программы для ЭВМ и базы данных.

2. Ко второй группе организаций, имеющих право на получение льготы по налогу на прибыль, относятся организации, которые осуществляют деятельность по проектированию и разработке изделий электронной компонентной базы и электронной (радиоэлектронной) продукции.

Для применения организациями пониженных ставок требуется одновременное соблюдение следующих условий:

  • организацией получен документ о государственной аккредитации организации, осуществляющей деятельность в области информационных технологий, в порядке, установленном Правительством Российской Федерации, либо организация включена в реестр российских организаций, оказывающих услуги (выполняющих работы) по проектированию и разработке изделий электронной компонентной базы и электронной (радиоэлектронной) продукции (Постановление Правительства РФ от 31.12.2020 № 2392);
  • доля доходов от операций в сфере IT по итогам отчетного или налогового периода составляет не менее 90% от суммы всех доходов, полученных организацией;
  • среднесписочная численность работников организации за отчетный (налоговый) период составляет не менее семи человек.

Необходимо отметить, что в случае, если по итогам налогового (отчетного) периода организация не выполняет хотя бы одно из указанных условий, она утрачивает право применения пониженных ставок по налогу на прибыль с начала года, в котором допущено несоответствие вышеуказанным условиям.

Льгота по страховым взносам

Льгота заключается в возможности применения российскими организациями, осуществляющих деятельность в области информационных технологий, разрабатывающих и реализующих разработанные ими программы для ЭВМ, базы данных на материальном носителе или в форме электронного документа по каналам связи независимо от вида договора и (или) оказывающими услуги по разработке, адаптации, модификации программ для ЭВМ, баз данных, устанавливающих, тестирующих и сопровождающих программы для ЭВМ, базы данных, пониженных тарифов страховых взносов:

  • на обязательное пенсионное страхование – 6%;
  • на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством – 1,5%;
  • на обязательное медицинское страхование – 0,1%.

Таким образом суммарная величина тарифов по страховым взносам составляет 7,6%.

Для получения организациями указанной льготы обязательно их соответствие следующим требованиям:

  • получен документ о государственной аккредитации организации, осуществляющей деятельность в области информационных технологий, в порядке, установленном Правительством Российской Федерации, или свидетельства, удостоверяющего регистрацию организации в качестве резидента технико- внедренческой особой экономической зоны или промышленно-производственной особой экономической зоны;
  • среднесписочная численность сотрудников организации за расчетный (отчетный) период составляет не менее семи человек;
  • доля доходов от реализации экземпляров программ для ЭВМ, баз данных, передачи исключительных прав на программы для ЭВМ, базы данных, предоставления прав использования программ для ЭВМ, баз данных по лицензионным договорам, от оказания услуг (выполнения работ) по разработке, адаптации и модификации программ для ЭВМ, баз данных (программных средств и информационных продуктов вычислительной техники), а также услуг (работ) по установке, тестированию и сопровождению указанных программ для ЭВМ, баз данных по итогам отчетного (расчетного) периода составляет не менее 90% в сумме всех доходов организации за указанный период.

При этом важно, что если организация утратит аккредитацию либо статус резидента технико-внедренческой или промышленно-производственной ОЭЗ или по итогам очередного периода перестанет соответствовать одному из вышеуказанных условий, то страховые взносы необходимо будет пересчитать с начала года по стандартным тарифам.

Порядок определения доходов от IT-деятельности

В доходы от деятельности в области IT включаются доходы от:

  • реализации экземпляров разработанных организацией программ для ЭВМ (баз данных);
  • передачи исключительных прав на разработанные ею программы, базы данных, прав на их использование по лицензионному договору (в том числе путем предоставления удаленного доступа через Интернет к программам и базам данных, включая обновления к ним и дополнительные функциональные возможности).
  • услуг (работ) по разработке, адаптации и модификации программ для ЭВМ, баз данных (программных средств и информационных продуктов вычислительной техники). Это могут быть программы, базы данных собственной разработки или разработанные другими лицами (программы, базы данных организаций-партнеров) (письмо Минфина России от 04.12.2020 № 03-03-06/1/106185);
  • услуг (работ) по установке, тестированию и сопровождению программ и баз данных, которые организация разработала либо адаптировала или модифицировала. Адаптированные, модифицированные программы, базы данных могут быть как собственной разработки, так и разработанными другими лицами (программы, базы данных организаций-партнеров)[1].

Исключение составляют доходы от предоставления прав использования программ (баз данных), состоящих в распространении рекламы в Интернете, получении доступа к ней, размещении предложений о приобретении (реализации) товаров (работ, услуг), имущественных прав, в поиске информации о потенциальных покупателях (продавцах), заключении сделок. Их не нужно учитывать в составе доходов от деятельности в IT‑сфере.

Например, не нужно учитывать доходы от предоставления прав на программы, позволяющие участвовать в торгово-закупочных процедурах в электронной форме, размещать рекламу и предложения о продаже товаров (работ, услуг) на электронной торговой или рекламно-торговой площадке (приложение к письму Минфина России от 18.12.2020 № 03-07-07/111669).

Приведенный выше перечень доходов от IT-деятельности является исчерпывающим. Какие-то иные доходы (в частности, вознаграждения за предоставление прав на использование топологий микросхем, секретов производства (ноу-хау) по лицензионным договорам) к сфере IT отнести нельзя[2].

Для IT-компании, созданной в результате выделения (разделения) и получившей исключительные права на программу (базу данных) в порядке правопреемства, имеется особенность. Такая компания может учесть названные доходы при расчете 90% доли, в том числе в случае, когда программу (базу данных) разработала реорганизованная организация[3].

Сумму доходов необходимо определять по данным налогового учета, исключив из нее:

  • доходы в виде курсовых разниц;
  • доходы в виде субсидий, указанных в п. 4.1 ст. 271 НК РФ;
  • доходы от уступки прав требования долга, возникшего при признании доходов от деятельности в области IT.

При подсчете доли доходов, дающей право на применение льготной ставки налога, не учитываются доходы, которые не формируют налоговую базу по налогу на прибыль. Это относится, в частности, к полученным средствам целевого финансирования, например, грантам. Это правило действует только если ведется раздельный учет доходов (расходов), полученных (произведенных) в рамках целевого финансирования (пп. 14 п. 1 ст. 251, п. 1.15 ст. 284 НК РФ, Письмо Минфина России от 24.08.2020 № 03‑03‑07/74034).

Пограничные ситуации применения IT-льгот

Стоит понимать, что в отношении операций по реализации прав на программное обеспечение и базы данных, которые состоят в получении возможности распространять рекламную информацию в интернете, получать доступ к такой информации, размещать предложения о приобретении (реализации) товаров (работ, услуг), имущественных прав в интернете, осуществлять поиск информации о потенциальных покупателях (продавцах) или заключать сделки, не действует освобождение от НДС. Доходы по таким операциям не учитываются в числителе при расчете доли доходов от IT-деятельности при расчете доходов для применения пониженных ставок по налогу на прибыль организаций и страховым взносам.

Однако в письме Минфина России от 18.12.2020 № 03-07-07/111669 приведено несколько типовых ситуаций, когда передача прав на программу по лицензионному договору не подпадает под рассматриваемое исключение и налогоплательщик может воспользоваться освобождением от НДС, если программа включена в соответствующий реестр, а также квалифицировать полученные доходы в качестве доходов от IT-деятельности:

  • программа обеспечивает электронный документооборот. Пользуясь программой, клиенты могут создавать, изменять, хранить, передавать, обменивать, согласовывать, искать документы. В том числе клиенты могут обмениваться с контрагентами договорными документами, подписанными квалифицированной электронной подписью;
  • программа позволяет управлять отношениями с клиентами (CRM), автоматизировать процессы их обслуживания, сбора данных, планирования, бюджетирования, проведения и анализа результатов маркетинговых кампаний и программ лояльности, отслеживания статуса выполнения заказов, контроля процесса продаж. В числе прочего с помощью такой программы можно рассылать сообщения через электронную почту и сервисы обмена мгновенными электронными сообщениями. Характер распространяемой в них информации не влияет на освобождение от НДС. Даже если лицензиар распространяет рекламную информацию (например, рассылает по собственной базе клиентов сообщения об акциях и скидках), препятствий для применения освобождения нет;
  • программа позволяет проводить анализ и проверку контрагентов на основании информации из широкого круга источников (ЕГРЮЛ, информационные базы судов, Росстата, данные торговых площадок и т.д.) и отслеживать изменения в ней;
  • программа предназначена для организации процесса создания, редактирования и управления сайтом (CMS). Пользуясь ею, лицензиат получает возможность конструировать сайт, например, сайт для интернет-магазина. Характер размещаемой на нем информации для освобождения от НДС значения не имеет. Даже если на созданном с помощью программы сайте разместить рекламную информацию или предложения о реализации товаров, применению освобождения от НДС по пп. 26 п. 2 ст. 149 НК РФ это не препятствует.

Конкуренция IT-льгот с льготами для резидентов «Сколково»

Резиденты проекта «Сколково» еще до введения IT-маневра уже имели право на ряд льгот. В частности, при соблюдении ряда условий, имели право в течение первых 10 лет с момента присвоения статуса на:

  • освобождение от уплаты НДС;
  • освобождение от уплаты налога на прибыль;
  • применение по страховым взносам ставки 14%.

Сравнивая льготы в рамках IT-маневра и льготы для резидентов «Сколково» становится видно, что применение льгот в рамках IT-маневра резидентам «Сколково» выгодно в части страховых взносов. В тоже время, применять освобождение от уплаты налога на прибыль и НДС выгоднее, применяя статус резидента «Сколково».

Возможно ли в таком случае комбинировать налоговые льготы? Минфин России в письме от 28.09.2020 № 03-03-10/84983 ответил утвердительно.

Финансовое ведомство разъяснило, что выбор налогоплательщиками осуществляется по каждому платежу отдельно и не зависит от преференций по другим платежам. Например, если по страховым взносам компания выбрала льготу в рамках IT-маневра, то по налогу на прибыль она может воспользоваться преференцией для участника проекта «Сколково» и наоборот.

О «деловой цели» использования IT-льгот

Снижение налоговой нагрузки в рамках IT-маневра неизбежно вызовет желание многих компаний воспользоваться данным преимуществом. После введения IT-льгот некоторое крупные многопрофильные компании задумались о выведении существующих IT-подразделений в отдельные бизнес-единицы, с целью получить возможность воспользоваться льготами.

Однако везде, где есть налоговая выгода, могут возникнуть претензии со стороны налоговых органов о признании её необоснованной. Об этом напомнила ФНС России в письме от 21.01.2021 № СД‑4‑2/561@.

Так, ФНС России в целом не ставит под запрет выделение существующих IT‑подразделений в новые юридические лица. Вместе с тем налоговая служба обратила внимание, что создание IT-компании в результате реорганизации существующих юридических лиц должно исследоваться налоговыми органами в каждом отдельно взятом случае на предмет наличия признаков «дробления бизнеса», когда единственной целью этих действий является получение права на применение пониженных ставок налога на прибыль организаций и тарифов страховых взносов.

В то же время налоговая служба признает создание IT-компании, применяющей пониженные ставки по налогу на прибыль организаций и тарифы страховых взносов, при отсутствии искажений, направленных на создание видимости соблюдения условий их применения, в качестве правомерной деловой цели, полностью соответствующей целям введения пониженного уровня обложения для IT-компаний.

Что это может значить для бизнеса? Выделение из существующей «материнской» компании не должно преследовать цель налоговой экономии. Например, приведенные ниже ситуации наверняка вызовут претензии со стороны налоговых органов:

  • единственным заказчиком вновь созданного IT-подразделения остается «материнская» компания;
  • в результате выделения и снижения выручки/количества персонала «материнской компании» она получила возможность применять и применяет специальный налоговый режим (УСН);
  • вновь выведенное IT-подразделение, в которое трудоустроен большой штат «материнской компании», не имеющий отношения к IT-разработкам.

Поэтому при реорганизации существующих юридических лиц с целью выделить IT-подразделение, которое подпадает под льготный режим, собственники заранее должны готовить обоснование для такой операции. В будущем, при проведении проверки или возникновении вопросов со стороны налогового органа компания должна представить логичное и экономически обоснованное объяснение о наличии деловой цели для выделения IT-подразделения в отдельное юридическое лицо. Например, такой деловой целью может являться:

  • развитие IT-направления в качестве самостоятельной бизнес-единицы;
  • обособление IT-подразделения в качестве профессионального IT-участника для участия в процедурах закупок и тендерах;
  • перепрофилирование IT-активов;
  • диверсификация рисков от развития IT-направления, например, при разработке нового продукта и защита существующего (основного, непрофильного) бизнеса от рисков неудачи.

К сожалению, невозможно привести исчерпывающий перечень обоснований деловой цели или вариантов рискованных действий без изучения каждой конкретной ситуации. Поэтому наиболее безопасным будет заранее готовить обосновывающие материалы, в том числе с привлечением профессиональных консультантов, при планировании бизнес-решений. А собственникам бизнеса рекомендуем в таком случае задать себе простой вопрос: какие преимущества, помимо налоговых, я получу при выделении IT- подразделения в отдельное лицо? Если ответом будет понятная и выгодная бизнес- стратегия, то шансы выиграть спор с налоговой инспекцией значительно повышаются.

[1] письмо Минфина России от 04.12.2020 № 03-03-06/1/106185

[2] письмо Минфина России от 23.11.2020 № 03‑03‑06/1/101948

[3] Письмо Минфина России от 10.12.2020 № 03-03-10/108118

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА


К омпьютерная сеть – самый распространенный на сегодня способ общения и обмена информацией. Всемирная паутина хранит гигабайты персональной информации о своих пользователях. А ПК и сервера в локальной сети – внутреннюю информацию компании. Эти данные нуждаются в защите от постороннего вмешательства.

Что такое информационная безопасность

Уровень защиты сетевых операционных систем позволяет сохранять данные, противостоять угрозам и атакам, несанкционированному доступу в сеть. Тем не менее говорить об исключительной, универсальной системе средств защиты информации не приходится. Возникают ситуации, когда она дает сбой, и устройства оказываются уязвимыми для проникновения.

Информационная безопасность заключается в обеспечении ряда факторов:

  • защищенности сведений от неавторизованного создания, частичной или полной потери;
  • конфиденциальности;
  • гарантии доступа для авторизованных пользователей.

В отдельных областях (банковской, финансовой, государственном управлении, оборонной и правоохранительной) требуется создание дополнительной, более надежной, системы обеспечения безопасности информации.

Защита информации в информационных сетях

Создаваемые масштабные компьютерные линии – локальные, корпоративные, телекоммуникационные – ставят задачу взаимодействия большого количества компьютеров, серверов, сетей и подсетей. Создается проблема определения наиболее эффективного метода защиты информации.

Системная топология, основанная на расположении межкомпьютерных связей, остается главным компонентом всех локальных и корпоративных сетей. Безопасность данных в компьютерных сетях достигается путем обработки критической информации. Этим термином обозначаются факторы, способствующие эффективному управлению основными структурными элементами сети и максимально полному выполнению стратегических задач любого уровня секретности (для личного, служебного пользования, коммерческая тайна либо интеллектуальная собственность физического или юридического лица).

Уязвимость большинства информационных сетей связана с кабельной системой. Есть данные, что именно она становится причиной сбоев и нарушений функционирования. Это необходимо учитывать уже на стадии проектирования сетевых связей.

Широкое распространение получили так называемые структурированные системы кабелей. Принцип их устройства – наличие однотипных проводов для передачи всех видов информации (цифровой, телефонной, видео, сигналов систем охраны).

Структурированность заключается в возможности разделить всю систему кабелей на ряд уровней по их назначению и наличию различных компонентов: внешней, администрирующей, аппаратной, магистральной, горизонтальной подсистем.

Основные проблемы в процессе защиты материалов

Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения.

Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов:

1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.

2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.

3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.

4. Неграмотное сохранение архивов.

5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.

В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.

Какими средствами можно защитить информацию

Как показывает практика, неавторизованные пользователи либо программные продукты вирусного типа могут получить доступ даже к защищенным сетевым ресурсам. Для этого они должны иметь определенный опыт в сфере сетевого или системного программирования и желание подключиться к определенным файлам.

Для полной конфиденциальности разработаны дополнительные средства защиты информации:

  • Аппаратные (антивирусные программы, брандмауэры, сетевые экраны и фильтры, устройства шифрования протоколов).
  • Программные (сетевой мониторинг, архивация данных, криптография, идентификация и аутентификация пользователя, управление доступом, протокол и аудит).
  • Административные (ограничение доступа в помещения, разработка планов действий при ЧС и стратегии безопасности компании).

Любые из этих способов способны ограничить доступ вредоносных программ и файлов или полностью отказать в нем. Задача системных администраторов – выбрать наиболее актуальные. Для надежности барьера часто используют комбинацию нескольких видов защитных средств.

Архивирование и дублирование информации

Сохранить информацию в сети способна грамотная и надежная система архивации данных. Если сеть невелика, система архивации устанавливается в свободный слот сервера. Большие корпоративные сети лучше оснастить отдельным архивирующим сервером.

Такое устройство архивирует данные в автоматическом режиме и с заданной периодичностью представляет отчет. При этом управлять процессом резервного копирования можно, используя консоль системного администратора.

Возможно использование установки на архивирование сведений в связи с отсутствием на жестком диске какого-то количества свободного места или по причине сбоя «зеркального» диска сервера. Эта функция может быть подключена также в автоматическом режиме.
Как поставить барьер для вирусов

Распространение компьютерных вирусов в информационных сетях происходит с невероятной скоростью. Тысячи уже известных вредоносных программ регулярно пополняются сотнями новых. Самые доступные средства борьбы с ними – антивирусные программы.

Подобные программные пакеты способны перекрыть доступ к информации и решить проблему с зараженными файлами. Оптимальным для сохранения системных сведений будет использование комбинации программного и аппаратного барьера. Чаще всего это специализированные платы для борьбы с вирусами.

Защита данных от несанкционированного доступа

Вопрос защиты информации в компьютерной системе от неразрешенного входа связан с широким охватом информационного пространства глобальными телекоммуникационными сетями. Простейшие ошибки самих пользователей наносят более ощутимый вред, чем сбой в системе или поломка оборудования. Для предотвращения подобных ситуаций стоит разграничить пользовательские полномочия.

С этой целью используются встроенные программы операционных систем сети. Каналов утечки данных и возможностей несанкционированного входа десятки. Наиболее распространенные:

  • информация, оставшаяся после разрешенного запроса;
  • взлом системы защиты информации и копирование нужных файлов;
  • представление зарегистрированным пользователем;
  • имитация запроса системы;
  • программные ловушки;
  • несовершенства операционной системы;
  • неутвержденное подсоединение к сетевой аппаратуре;
  • взлом системы безопасности;
  • введение вирусов.

В целях полноценной защиты информации рекомендуется использовать целый ряд организационных и технических методов.

Организационные мероприятия заключаются, прежде всего, в ограничении доступности зданий и офисов, где проводится работа с информацией. Взаимодействовать с ней имеют право только аттестованные и проверенные специалисты. Все носители информации, журналы регистрации и учета необходимо хранить в закрытых сейфах. Стоит исключить возможность просмотра материалов посторонними через мониторы или принтеры. При передаче секретных сведений по каналам связи лучше использовать криптографическое кодирование. И, наконец, нужно следить за тем, чтобы все отработанные устройства и носители, содержащие ценные данные, были вовремя уничтожены.

К организационно-техническим средствам защиты можно отнести устройство независимого блока питания для системы обработки ценных файлов, оснащение входных дверей кодовыми замками и использование ЖК или плазменных дисплеев с высокочастотным излучением электромагнитных импульсов. Кроме того, отправляя оргтехнику в ремонт, нужно стереть все имеющиеся данные. Помещения, в которых происходит работа с секретными материалами, рекомендуется оборудовать стальными экранами.

Технические защитные средства включают в себя установку системы охраны операционных залов и организацию работы контрольно-пропускных пунктов. Нужно обеспечить контроль за возможностью проникновения в память ЭВМ, а также блокировку сведений и использование ключей.

Архитектура программного оборудования заключается в жестком контроле безопасности при вхождении в систему, регистрации в специальных книгах, контроле действий пользователей. Требуется установка системы реагирования (в том числе и звуковой) на проникновение в корпоративную сеть.

Для надежности систему безопасности и защиты данных необходимо регулярно тестировать, проверять готовность и работу всех ее элементов. Большое значение имеет и фиксация всех манипуляций, имеющих хоть какое-то отношение к системной защите.

Механизмы достижения гарантированной безопасности

На сегодня разработаны и с успехом применяются различные методы защиты сведений. Самые актуальные и доступные из них:

1. Использование криптографии. Это применение шифра, позволяющего изменять содержимое файла, делая его нечитаемым. Узнать содержание возможно только посредством использования специальных ключей или паролей.

Для создания шифровки используются два взаимосвязанных понятия: алгоритм и ключ. Первое задает способ кодировки, второе помогает интерпретировать послание. Это просто и доступно без больших финансовых вложений. Один алгоритм может использоваться с несколькими ключами для разных получателей. К тому же при утрате секретности ключи можно сразу сменить, не нарушая алгоритма. Безопасность в таком случае связана только с ключами.

Для достижения большего эффекта кодовые ключи можно делать длинными и сложными. Схемы шифровки две: симметричная (один ключ для отправителя и получателя) и асимметричная (ключ открытого доступа).

2. Применение электронно-цифровой подписи (ЭЦП). Она подтверждает личность отправителя, создается при помощи его личного ключа. Дополнительная степень сохранности ЭЦП – уникальный номер владельца.

3. Аутентификация пользователей. Пожалуй, основной способ защиты данных в сети. Для получения доступа к ресурсу пользователь должен подтвердить это право. Соответствующий сервер принимает запрос на использование ресурса и пересылает его серверу, отвечающему за аутентификацию. Только после получения положительного результата доступ будет открыт.

Одна из версий подтверждения личности – использование пароля. Это может быть любое секретное слово, которое вводится в начале работы с системой. В особых случаях сервер может запросить новый пароль на выходе. Причем они могут быть разными.

Брешь возможна, если секретным словом завладеет кто-то другой. Для предотвращения подобного пароли лучше делать разовыми. Даже перехваченное кодовое слово будет бесполезным при следующем сеансе. Генерировать пароли можно при помощи программ или специальных устройств, вставляемых в слот компьютера.

4. Защита информации внутри корпоративной сети. Сетевые системы корпораций, как правило, подключены к Всемирной паутине. Это создает дополнительные возможности, но и делает систему безопасности уязвимой. Для защиты материалов во внутренней сети нужны брандмауэры (межсетевые экраны), способные разделить трафик на несколько потоков и обозначить условия обмена данными из одного потока в другой. Брандмауэр анализирует проходящий трафик и, проверяя каждый пакет данных, решает – пропускать его или нет. Для этого формируется алгоритм работы программы, где прописаны правила и порядок прохождения данных.

Брандмауэры реализуются аппаратными способами (как специализированный физический элемент) либо в виде отдельной программы, установленной на компьютере. Для обеспечения безопасного функционирования межсетевого экрана в систему, отвечающую за его функционал, регулярно вносятся корректировки. Возможности входа для рядовых пользователей в эту программу нет, он доступен только для системного администратора.

Брандмауэр состоит из нескольких компонентов, в том числе фильтров либо экранирующих устройств для блокирования части трафика. Можно выделить два вида подобных программных элементов:

  • прикладные – блокирующие доступ к отдельным сетевым ресурсам;
  • пакетные – фильтрующие информационные блоки с помощью маршрутизаторов.

В итоге весь трафик, исходящий из внешней системы во внутреннюю и обратно, проходит через систему брандмауэра. Только данные, соответствующие стратегии обеспечения безопасности, достигают адресата.

Читайте также: