Как заполнить енвд для ип: Образец заполнения декларации по ЕНВД за 4 квартал 2020 года

Содержание

код ликвидации, сроки, образец заполнения декларации

Закрыть ИП очень просто, если вы не находитесь на ЕНВД. В этой системе есть свои тонкости, в которых нужно разобраться. Хорошо, если вы решили «свернуться» по окончании отчетного периода. А если нет, как быть? Совсем не хочется платить налог за 90 дней, если проработали 2 недели. И не надо. Налоговая не обяжет вас платить впустую, если вы отправите ей финальный отчет с кодом ликвидации.

Что внести в отчет

Форма налоговой декларации при закрытии ИП на ЕНВД не отличается от той, что вы привыкли подавать ежеквартально. Она была утверждена в 2014 году приказом № ММВ-7-3/353.

Основное отличие в ее содержании. В том случае, если вы сворачиваете деятельность, отработав полный трехмесячный период, то срок сдачи документа сохраняется – до 20 числа первого за отчетным периодом месяца.

Разница со «штатным» документом в том, что в поле «Налоговый период» вы должны проставить значение 50, а в поле «Форма реорганизации» нужно вписать число 0 – код ликвидации. Это говорит о том, что больше ожидать отчетов по ЕНВД от вас не стоит.

Подробная инструкция по заполнению налоговой декларации на «вмененке» содержится на официальном портале налоговой службы. Указания можно использовать как образец заполнения, просто вставляя в нужные строки свои данные.

Если закрылись до окончания отчетного периода

Но что же делать, если ИП сворачивает деятельность до окончания отчетного трехмесячного периода? Многие не понимают, как нужно уплачивать ЕНВД в этом случае. Ведь завершить фактическую деятельность можно, проработав лишь 30 дней в квартале. И будет как минимум странным отдавать налог за все 90 дней.

Для того чтобы сохранить средства и не переплатить, существует определенный механизм. И реализуется он именно при сдаче финального отчета. Напомним, что для налоговой абсолютно неважны доходы и расходы предпринимателя, практикующего уплату ЕНВД. Инспекторам также неважно, работаете вы или нет, самое главное, что у вас есть статус ИП.

Для налоговой абсолютно неважны доходы и расходы предпринимателя, практикующего уплату ЕНВД.

Налог начисляется исходя из ряда показателей и коэффициентов, которые утверждаются на федеральном и местном уровне. В расчете налога присутствует физический показатель, который определяет масштаб вашего бизнеса в числовом эквиваленте. Предположим, что вы прекратили бизнес до окончания отчетного периода, распустили персонал, закрыли магазины, распродали технику и т.д. В этом случае физический показатель будет равен 0, и именно эту цифру нужно проставить в соответствующем поле декларации.

Внимание! Физический показатель равен 0 только в те месяцы, в которых вы действительно прекратили деятельность. Такое значение физического показателя документально обнулит базовую доходность бизнеса, который по факту уже не существует. Налоговая база станет равна нулю, и переплачивать налог не придется.

Предпринимателям стоит понять важную вещь: процесс ликвидации бизнеса процедура не менее ответственная, чем его регистрация. Соблюдайте все установленные формальности, это позволит выйти из дела без неприятностей.

Нужно ли сдавать декларацию по усн если ип на енвд

]]>

Подборка наиболее важных документов по запросу Нужно ли сдавать декларацию по усн если ип на енвд (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Нужно ли сдавать декларацию по усн если ип на енвд
Открыть документ в вашей системе КонсультантПлюс:

Подборка судебных решений за 2019 год: Статья 346.26 "Общие положения" главы 26.3 "Система налогообложения в виде единого налога на вмененный доход для отдельных видов деятельности" НК РФ
(Юридическая компания "TAXOLOGY")Индивидуальный предприниматель выявил ошибку в применении ЕНВД, поскольку фактически им осуществлялся вид деятельности не "оказание бытовых услуг", а "платные услуги прачечной (стирки текстильных изделий) юридическим лицам и индивидуальным предпринимателям", который не подпадает под систему налогообложения в виде ЕНВД. Предприниматель подал уточненные налоговые декларации по УСН к доплате и уточненные налоговые декларации по ЕНВД с суммой налога к уменьшению. Налоговый орган отказался возвратить сумму излишне уплаченного ЕНВД, поскольку, по мнению налогового органа, факт отсутствия предпринимательской деятельности не может рассматриваться в качестве обстоятельства, исключающего возможность начисления ЕНВД. Суд признал решение налогового органа незаконным, поскольку ошибочное определение налогоплательщиком осуществляемого вида деятельности как относящегося к ЕНВД не может служить достаточным основанием для вменения лицу обязанности по уплате ЕНВД.

Статьи, комментарии, ответы на вопросы: Нужно ли сдавать декларацию по усн если ип на енвд Открыть документ в вашей системе КонсультантПлюс:
Готовое решение: Как ИП заполнить и сдать декларацию по старой форме 4-НДФЛ
(КонсультантПлюс, 2019)4-НДФЛ - это декларация о предполагаемом доходе физлица - индивидуального предпринимателя. Она нужна для расчета авансовых платежей по налогу. Ее сдают ИП на общем режиме налогообложения, если в текущем налоговом периоде они зарегистрированы как ИП либо утратили право на спецрежим (УСН, ЕНВД, ПСН). Также эту декларацию должны сдавать те ИП на общем режиме налогообложения, у которых доход изменился более чем на 50%.

Нормативные акты: Нужно ли сдавать декларацию по усн если ип на енвд Приказ Минтруда России N 703н, Минфина России N 112н, Минобрнауки России N 1294 от 29.11.2013
"Об утверждении разъяснения о порядке применения подпункта "з" пункта 2 Перечня видов заработной платы и иного дохода, из которых производится удержание алиментов на несовершеннолетних детей, утвержденного постановлением Правительства Российской Федерации от 18 июля 1996 г. N 841"
(Зарегистрировано в Минюсте России 17.01.2014 N 31039)1) для индивидуальных предпринимателей, применяющих общий режим налогообложения, систему налогообложения для сельскохозяйственных товаропроизводителей (единый сельскохозяйственный налог), упрощенную систему налогообложения, в том числе с объектом налогообложения в виде доходов, систему налогообложения в виде единого налога на вмененный доход для отдельных видов деятельности - копия налоговой декларации, представленной в налоговый орган в установленном порядке;

Налоговая декларация ИП: особенности систем налогообложения

Налоговая декларация ИП — документ, в котором предприниматель заявляет о доходе и исчисленном налоге. Опираясь на данные в декларации, налоговый орган контролируют величину налога, подлежащего к уплате.

Декларацию подают в налоговую инспекцию с разной периодичностью, в зависимости от режима налогообложения ИП. Предприниматели на ОСНО сдают декларацию по нескольким налогам в разные периоды. Проще отчитаться тем, кто применяет УСН, ЕСХН, ЕНВД.

Важно: индивидуальные предприниматели на режиме ПСН не сдают налоговую декларацию. От составления и подачи отчета их освобождает ст. 346.52 НК РФ.

Как будет выглядеть декларация — также зависит от режима налогообложения. Информация о правилах заполнения и сроках подачи деклараций для ИП на каждом из режимов представлена в статье.


Налоговая декларация ИП на ЕСХН и УСН

ИП на ЕСХН платят налог авансом раз в полгода. А декларацию по единому налогу подают раз в год не позднее 31 марта.

Правила заполнения и представления декларации по ЕСХН установлены приказом ФНС № ММВ-7-3/[email protected]

ИП на УСН платят единый налог ежеквартально, но представляют налоговую декларацию в ФНС по итогам года. Отчитаться нужно не позднее 30 апреля.

Составление декларации и подача в ИФНС происходит в порядке, установленном приказом ФНС № ММВ-7-3/[email protected] Декларацию нужно сдать, даже если ИП не ведет деятельность или еще не имеет оборотов.

Декларацию по УСН в налоговую можно предоставить в бумажном виде, в том числе по почте. Однако если в компании работает 25 человек или более, отчитываться нужно в электронном виде. Передачу данных по защищенным каналам обеспечивают спецоператоры связи. Декларацию заполняют в компьютерных программах или сервисах.

Сервис Новый Астрал Отчет работает в браузере — не занимает место на компьютере и позволяет работать с разных устройств. Он сохраняет данные отчетности, когда операционная система компьютера подводит.

Пользователь Новый Астрал Отчет может не беспокоится о том, как выглядит тот или иной вид отчета. Нужно только выбрать, куда отчитаться. А заполнению формы поможет автозаполнение и подсказки.

Неподача отчетности вовремя грозит ИП штрафом в 5% от неуплаченного налога за каждый месяц просрочки. Максимальный штраф составляет 30% от неуплаченного налога. Инспекция может заблокировать счёт ИП, если бизнес не рассчитается с задолженностью в 10 дней.


Налоговая декларация ИП на ЕНВД

Налоговый периодом на ЕНВД составляет квартал. Отчитываться в ИФНС нужно по итогам каждого квартала не позднее 20-го числа месяца, следующего за истекшим налоговым периодом.

Порядок заполнения «вмененной» декларации на 2019 год утвердил приказ ФНС № ММВ-7-3/[email protected]

За неподачу декларации в срок индивидуальный предприниматель на ЕНВД несет ответственность в соответствии ст. 119 НК РФ.

Важно: оформление «нулевой» декларации на ЕНВД не предусмотрена. Налог ЕНВД рассчитывается не от фактически полученной прибыли, а от вмененного дохода. Платить налоги и сдавать декларацию нужно, даже если компания не ведет деятельность.


Налоговая декларация ИП на ОСНО

В отличие от организаций, ИП на ОСНО не платят налог с прибыли, а значит не сдают и декларацию по налогу на прибыль.

Предприниматели на ОСНО составляют и сдают:

Составление декларации 3-НДФЛ является ежегодной обязанностью ИП на общем режиме налогообложения. Декларацию представляют в налоговую не позднее 30 апреля года, следующего за истекшим налоговым периодом.

Форму декларации и порядок заполнения установил приказ ФНС № ММВ-7-11/[email protected] В ней отражают годовой доход и исчисленный налог.

Декларацию по НДС сдают по итогам каждого квартала в соответствии с п. 5 ст. 174 НК РФ. Сделать это нужно не позднее 25 числа месяца, следующего за истекшим налоговым периодом.

Неподача отчетности в срок грозит ИП штрафом в размере 5% от неуплаченного налога за каждый месяц просрочки. Поэтому если ИП только начал работать или приостановил деятельность, нужно сдать «нулевую» декларацию.

Официальное название «нулевки» — единая (упрощенная) налоговая декларация. Составить и заполнить отчет нужно в соответствии с приказом Минфина № 62н.

«Нулевую» декларацию подают компании на ОСНО, у которых в отчетном периоде не было оборотов по банковским счетам и кассе и нет объекта налогообложения по соответствующим налогам.


Форма ЕНВД-4 - как заполнить заявление 2019

ЕНВД является специальным режимом налогообложения для ИП и организаций. Он имеет некоторые преимущества и может быть более выгодным, чем другие системы налогообложения. Переход на данный режим сопровождается предоставлением особого заявления в органы налоговой инспекции. Согласно законодательству, выход из-под такого режима также требует документации. Примером ее для ИП является ЕНВД-4.

Как заполнить заявление

Для того чтобы успешно провести снятие ИП с учета как налогоплательщика по ЕНВД, нужно скачать актуальную форму бланка. Заполнить ее правильно и достоверно, а также успеть передать в налоговую в необходимый временной промежуток, который равен 5 дням.

Титульный лист должен содержать такую информацию:

  • ИНН, а также ОГРНИП плательщика налогов, которые ему предоставил налоговый орган.
  • ФИО самого предпринимателя, который является плательщиком налога.
  • Код, указывающий на причину снятия с налогообложения ЕНВД, или код «4», который говорит о корректировке данных и внесении изменений в характер самой деятельности или место ее воспроизведения.
  • Дата, в которую ЕНВД перестает действовать для данного ИП. Здесь стоит быть особо внимательными. Если это прекращение деятельности, то данный показатель соответствует дню прекращения. Если это переход на другой режим, то дата соответствует моменту, когда этот другой режим начал действовать. Если это нарушение, вследствие которого снято право с ИП пользоваться ЕНВД, то указывается окончательная дата того месяца, в котором выявлены данные нарушения.
  • При необходимости указывают количество страниц приложения и подтверждающих документов, которые, например, могут прилагаться в том случае, если документ писало доверенное лицо ИП.
  • В графе По достоверности указывается, кем было заполнено данное заявление.
  • Необходимо также указать дату, когда форма ЕНВД-4 была составлена и заполнена.
  • Необходимо указать номер телефона, который будет использован в случае необходимости связаться с ИП.
  • Если форма составлялась представителем, то указывается название и номер доверенности.

Оставшиеся незаполненными поля подлежат заполнению налоговым инспектором в порядке рассмотрения и принятия заявления.

Образец заполнения 1 листа:

На втором листе (Приложение) заполняется информация о территориальном расположении объекта и код вида деятельности.

Образец заполнения 2 листа:

Назначение данной формы

ИП, осуществляя ту деятельность, которая подлежит ЕНВД, может прекратить ее осуществлять, может изменить адреса, по которым работает, может совершить нарушения, неприемлемые для ЕНВД. Все эти действия требуют снятия ИП с учета как налогоплательщика по этому спец. режиму. Этот процесс осуществляется путем рассмотрения налоговыми органами специального документа – заявления по форме ЕНВД-4, которое ИП обязан предоставить в налоговые органы при таком развитии событий.

Данная форма требует особого заполнения, которое регламентируется законодательством. В том случае, если ИП осуществил его неправильно или допустил ошибки, документ налоговые органы могут не принять к рассмотрению, что чревато начислением ИП штрафов от налоговой и пени.

Отличительной чертой указанного выше документа является то, что в нем необходимо указать причину выхода из-под налогового режима ЕНВД. Происходит это путем указания кода причины, каковых может быть несколько:

  • Прекращение деятельности ИП.
  • Переход ИП на другой вид деятельности, который не входит в перечень тех, что дают право на ЕНВД.
  • Смена адресов, по которым ИП осуществляет свои действия в рамках бизнеса.
  • Переход на другой режим налогообложения.
  • Прекращение действия ЕНВД для этого ИП из-за допущенных им ошибок и правонарушений.

Отдельно стоит сказать о том, когда ИП хочет уведомить налоговые органы про изменения, которые наступили в его деятельности (например, изменились адреса, или вид деятельности сменился на другой). В таком случае в определенной графе титульной страницы указывается код «4», за этим следует заполнение приложения, в котором можно указать изменения по трем видам деятельности. Если их больше, то приложение займет еще одну страницу.

Приложение для подачи ЕНВД-4 необходимо заполнять только в том случае, когда на «титулке» указан код «4». При иных обстоятельствах вся форма ЕНВД-4 займет всего один лист.

Эту форму предприниматель обязан подать в течение пяти дней после того, как он прекратил деятельность, сменил режим налогообложения, или в его деятельности наступили изменения. Дата в самой форме указывается такая, когда ЕНВД перестал действовать. Ее налоговики и возьмут как дату снятия с учета. Если сроковые показатели не соблюдать, то налог может продолжать начисляться, а его неуплата провоцирует возникновение штрафов, а также нарастание сумм пени.

Итак, ЕНВД-4 является особой формой заявительного документа, который применяется ИП в том случае, когда необходимо осуществить выход из-под налогообложения ЕНВД. Такие ситуации возникают при прекращении действия права на ЕНВД в связи с нарушениями, добровольным желанием ИП, коррекцией данных по этому же виду налогообложения, а также при изменении формы его деятельности на такую, которая под ЕНВД не попадает.

Образец заполнения формы ЕНВД-1 для ООО

Для того, чтобы поставить на учет организацию в качестве плательщика ЕНВД необходимо подать заявление в налоговую по форме ЕНВД-1, которая введена в действие с 2013 года. Без правильной регистрации в ФНС работать нельзя, за это можно получить и штрафные санкции. Рассмотрим порядок ее заполнения, также выложим для вас актуальную форму, которую можно будет скачать.

Пример заполнения титульного листа заявления ЕНВД-1

Первым делом необходимо заполнить титульный лист, вверху внести данные по ИНН организации и КПП, как записано в регистрационных документах, номер страницы «001».

Далее записываем код налогового органа в которой вы будете регистрировать плательщика. Если он находится в вашем районе, соответственно заявление подается в вашу налоговую и прописывается ее код, а если в другом районе, то соответственно внести код налоговой того района, в котором будете ставить на учет. Код можно взять также из уведомления, он состоит из 4-х цифр, зачастую, но не всегда, это первые 4 цифры вашего ИНН, но лучше узнать его через официальный сайт ФНС.

После вносим полное наименование организации, как записано в учредительных документах.

В поле ОГРН вносится номер, как в свидетельстве о государственной регистрации или же можно посмотреть в уведомлении Росстата о постановке на учет.

Проставляем дату с корой вы начали применять вмененку, т.е. дату начала по ней хозяйственной деятельность, в выдаваемых вам документах дата начала деятельность будет именно от этой даты.

Внимание! Данное заявление необходимо подать не позже 5 дней с начала деятельности по Единому налогу

Указываем количество страниц, которые содержит заявление, если у вас 2 листа, то записываем в следующем формате: «2–». В случае приложения каких-либо копий документов, необходимо указать количество листов, если нет, то ставится прочерк.

В конце первого листа указываются сведения о заявителе. Если форму утверждает руководитель, то ставится в поле «3», а ниже указываются ФИО полностью, как в паспорте. После вписать ИНН руководителя и телефон для связи. Если документ визирует представитель то указываются его полное ФИО, как в паспорте. После необходимо будет поставить дату утверждения документа, подпись и печать организации.

Если форму подписывает представитель, необходимо ниже подписи заполнить данные о документе, подтверждающем его полномочия, а копию документа приложить к отчету.

Заполнения второй страницы

Вверху также указывается ИНН и КПП организации и номер страницы, если она вторая – то ставим «002». Далее указывается код вида деятельности, согласно Приложения 5, правил заполнения заявления.

После вносим адрес места фактического расположения, где будет проходить хозяйственная деятельность, попадающая под ЕНВД, как в показано в примере. Для определения кода региона воспользуетесь Приложением 6.

ЕНВД-1 новая форма 2015 бланк скачать

Скачать заявление ЕНВД-1 в формате Excel.
Заявление ЕНВД-1 в формате Pdf, скачать.

Полезная информация

Как поставить на учет плательщика Единого налога.
Порядок заполнения декларации по Единому налогу, действующей с 2015 года.

общие характеристики налогового режима, инструкция по заполнению формы, бланк и образец заполнения, способы подачи, ответственность

Некоторые предприниматели  могут использовать такую систему налогообложения, как единый налог на вменённый доход. На эту систему моно перейти с другой, или же выбрать при регистрации. Как правильно форму для перехода на ЕНВД?

Содержание статьи

Общие характеристики

Кто может применять этот налоговый режим?

ЕНВД – это специальный режим налогообложения, которые могут использовать не все предприниматели, а только те, кто занимается определённым видом деятельности.

Все они перечислены в п. 2 ст. 346. 26 НК РФ. В этой же статье перечислены ограничения, при которых ИП или юрлицо не может применять этот специальный режим. К таким ограничениям относятся:

  • численность наёмных работников, оформленных в соответствии с ТК РФ, превышает 100 человек;
  • не может быть больше ¼ от всей суммы уставного капитала фирмы вложения от других учредителей;
  • ведение запрещённого вида деятельности, то есть такого, который не представлен в п. 2 ст. 346. 26 НК РФ.

Подробнее про особенности применения этого режима налогообложения можно узнать по этой ссылке.

Составление и подача заявления

Заявление по данной форме заполняется и подаётся в налоговую инспекцию по месту регистрации налогоплательщика или по месту ведения им деятельности, в том случае, если он желает применять этот спецрежим. Такая форма подаётся только предпринимателями, юрлица заполняют другую форму.

Если нет оснований для ограничения к применению этого режима, то ИП просто уведомляется ФНС о своём решении с помощью этого документа. Разрешительный порядок отменён уже несколько лет.

Если ИП переходит на ЕНВД с другой системы налогообложения, то подать документ он должен не позднее конца текущего года.  Тогда с нового, календарного года, он сможет перейти на эту систему.

Заявление подаётся в ФНС:

  • по месту ведения предпринимателем своей деятельности;
  • по месту регистрации ИП, если он оказывает автотранспортные услуги, торгует в розницу или занимается рекламной деятельностью.

Закон не запрещает подачу заявления в момент регистрации новой фирмы. Сделать это нужно:

  • сразу же при подаче документов;
  • в течение 5 дней с момента, когда ИП начал фактически вести деятельность, попадающую под перечень в п. 2 ст. 346. 26 НК РФ.

Если предприниматель решил прекратить свою деятельность на «вменёнке», он также должен уведомить об этом налоговую службу. Сделать он это может в любой момент. Именно с этого числа и будет прекращена его деятельность. Это принципиально в целях налогообложения. То есть, если ИП вовремя не подаст уведомление о прекращении деятельности, то налоги он должен будет уплатить за целый месяц, а не за те дни, когда финансовые операции совершались фактически.

Ограничения

Предприниматель больше не может применять ЕНВД, если:

  • он фактически прекратил свою деятельность;
  • если он нарушил одно из условий, которые ограничивают применение этой системы налогообложения.

Инструкция по заполнению

Если заявление о применении ЕНВД не будет вовремя подано, или же оно будет заполнено с ошибками, налоговый инспектор не разрешит предпринимателю применять этот режим. Нарушение этой нормы чревато для ИП штрафами, а также доначислением налогов.

Скачать бланк и образец заполнения формы ЕНВД-2 можно по ссылке ниже.

Документы для скачивания (бесплатно)

Заполнение формы

Чтобы правильно заполнить форму, необходимо следовать инструкции:

  • в верхней строке необходимо вписать свой ИНН. Это уникальный номер, он присваивается каждому налогоплательщику;
  • также нужно указать порядковый номер страницы – «001»;
  • указывается код налогового органа. Его можно узнать непосредственно в налоговой инспекции или же на официальном сайте ФНС;
  • затем нужно указать своё ФИО, как в паспорте. Сделать это нужно печатными буквами, без ошибок и помарок;
  • в поле «ОГРНИП» указывается 15-значный номер, который был присвоен при регистрации предпринимателя, и который указан в свидетельстве о регистрации;
  • дата, с которой ИП начнёт заниматься «вменённым» видом деятельности;
  • указывается количество страниц в таком формате «1—«;
  • далее ИП должен указать на то, что он подтверждает, что все сведения достоверны и указаны в полном объёме. Для этого он должен:
  • поставить цифру «1», если документы сдаёт лично ИП, или же цифру «2», если документы сдаёт его доверенное лицо;
  • если присутствует представитель ИП, то нужно внести все сведения о нём печатными буквами в соответствии с паспортом представителя, и указать его ИНН;
  • указать номер контактного телефона предпринимателя или его представителя. Номер нужно указывать вместе с кодом города и оператора мобильной связи;
  • необходимо поставить свою подпись. Делает это лично предприниматель, или его представитель;
  • указывается дата, когда заявление было заполнено. Дата проставляется в формате «день, месяц, год»;
  • если документы сдаёт представитель, то нужно внести реквизиты доверенности, на основании которой он действует.

Заполненная форма ЕНВД-2 без представителя и заполненная форма ЕНВД-2 с представителем должны соответствовать инструкции, которая приведена Приложении 10 к Приказу ФНС от 11. 12. 2012 года № ММВ-7-7/[email protected]. Таким образом заполняется лист 1 формы ЕНВД-2.

Заполнение приложения

Теперь нужно правильно заполнить приложение к заявлению. Для этого необходимо:

  • снова указать свой ИНН;
  • номер страницы поставить в формате «002»;
  • затем нужно правильно указать код (коды) того вида (видов) деятельности, которыми ИП планирует заниматься на этой системе налогообложения. Перечень разрешённых видов деятельности представлен в п. 2 ст. 346. 26 НК РФ, а коды каждого разрешённого вида деятельности для заполнения формы — Приложении 5 к Приказу ФНС от 04. 07. 2014 года № ММВ-7-3/[email protected]. Код проставляется в двухзначном формате. Например, «05»;
  • нужно указать адрес ведения разрешённой предпринимательской деятельности. Указывать нужно в следующем порядке:
  • индекс;
  • код региона. Его можно узнать из Приложения 2 к Приложению 9 Приказа ФНС от 11. 12. 2012 года № ММВ-7-6/[email protected];
  • название района. Если населённый пункт не районного подчинения, то нужно поставить прочерк;
  • города;
  • населённого пункта;
  • другие координаты.
  • подпись заявителя.

Так заполняет приложение к заявлению по форме ЕНВД-2.

Способы

Заполнить заявление можно 2-мя способами:

  • вручную;
  • на компьютере с помощью специального текстового редактора.

Если заявление заполняется на компьютере, то проблем возникнуть не должно. А если заявление заполняется вручную, то нужно быть очень внимательным, чтобы не допустить ошибок.

Если ошибка будет сделана при написании, нужно просто взять чистый бланк, и снова его заполнить. Сложнее исправить ошибку, когда само заявление уже будет в налоговой инспекции на регистрации.

В этом случае, нужно обратиться в эту налоговую службу с просьбой исправить ошибку. Если заявление ещё не зарегистрировано, а сведения об этом ИП не внесены в реестр, то инспектор просто выдаст новый чистый бланк, и его уже нужно будет правильно заполнить. Если же сведения уже внесены в реестр, тогда нужно будет писать заявление об изменении некоторых данных.

Подача заявления

При подаче заявления по форме ЕНВД-2, предприниматель должен учесть несколько важных нюансов:

  • необходимо подавать 2 экземпляра заявления. Одно, с отметкой ФНС, будет передано обратно заявителю, а другой – останется в налоговой. Тот экземпляр, который будет передан налогоплательщику, будет являться доказательством того, что он применяет этот специальный режим на законных основаниях с указанной в заявлении даты;
  • пустые клеточки в заявлении ЕНВД-2 нужно заполнять прочерками, а не оставлять их пустыми;
  • заявление можно заполнить как вручную, так и на компьютере. Бланки в электронной форме можно скачать со многих сайтов. Но лучше воспользоваться официальным сайтом ФНС. здесь можно не только скачать документ, но и сразу же его заполнить, а затем направить его в ФНС. Это избавит предпринимателя от посещения налоговой инспекции;
  • если предприниматель решил скачать документ с интернет – ресурса, он должен обратить внимание на актуальность данной формы в текущем году;
  • сведения о себе нужно указывать правдиво. От этого напрямую зависит, какое решение будет принято инспекторами.

Что делать после подачи заявления?

После того, как предприниматель подал в налоговую инспекцию заявление о применении ЕНВД, он должен дождаться выдачи ему на руки уведомления о постановке его на учёт в качестве плательщика «вменённого» налога.

Если заявление будет заполнено неправильно или неточно, налоговый инспектор не выдаст на руки уведомление. Поэтому осуществление деятельности без такого документа чревато для ИП штрафными санкциями.

Если же никаких претензий со стороны налоговой службы к предпринимателю относительно ЕНВД-2 нет, то уведомление о постановке на учёт будет выдано ему в течение 5 рабочих дней с момента подачи заявления.

ВАЖНО: Не имеет значения, зарегистрирован ли этот ИП в этой же налоговой как налогоплательщик, но по другой системе налогообложения. Если он начинает деятельность на «вменёнке», то он должен подать соответствующее заявление.

Ответственность

Если ИП не подаст вовремя заявление, но начнёт применять ЕНВД, то он должен будет уплатить все положенные налоги. Кроме того, налоговые инспекторы начислят ему штраф за нарушение налогового законодательства, и также пени на всю сумму неуплаченных налогов.

Заключение

Применять ЕНВД могут как юридические лица, так и индивидуальные предприниматели. Но, если некоторые ограничения, которые стоит учитывать. Кроме того, есть определённый перечень видов деятельности, осуществляя которые применение «вменёнки» становится возможным.

«Вменёнку» можно совмещать и с другими режимами налогообложения. Например, ИП осуществляет несколько видов деятельности, один из которых попадает под применение ЕНВД. Он может встать на учёт в качестве плательщика ЕНВД, но при этом быть зарегистрированным на общей системе.

Envd 4 новая форма. Федеральная налоговая служба

Для снятия с учета плательщика ЕНВД предпринимателю необходимо подать налоговое заявление по форме ЕНВД-4, которое утверждено приказом ФНС России № ММВ-7-06 / 941 от 11.12.2012. Продумайте процедуру заполнения формы и в итоге вы сможете скачать ее в нужном вам формате. Вы можете более подробно ознакомиться с процедурой снятия с регистрации, перейдя по ссылке. Организации используют

ИНН предпринимателя указывается вверху листа, ниже необходимо ввести код налогового органа, в котором зарегистрирован плательщик, состоит из 4 цифр.Вы можете найти его в регистрационных документах или узнать в налоговой службе по ссылке.


После укажите причину отмены регистрации предпринимателя в качестве ЕНВД налогоплательщика, укажите номер:

  • «1» в случае прекращения деятельности.
  • «2» при переходе на другой налоговый режим.
  • «3», если при разрешительных условиях использования налоговой системы вы не можете ее использовать, например, вы превысили допустимую численность персонала.
  • «4» при закрытии отдельных видов деятельности, в отношении которых применялся налоговый режим.


Ниже мы вводим полное имя, затем имя и отчество с каждой новой строкой. Заполните пустые ячейки тире, как в примере. Далее делаем ОГРИП, как в регистрационных документах.

Необходимо указать дату прекращения деятельности, подпадающей под единый налог.

После прекращения действия по вменению вы должны подать это заявление в течение 5 дней.

Укажите, сколько страниц содержит выписка, если она есть, поставьте «1–», а также количество приложенных листов, если их нет, затем поставьте прочерк.

Если бланк заверяет сам предприниматель, то в поле «1» и в полях с ФИО поставить прочерк в поле ИНН, поставить прочерк, указать контактный телефон для связи, дату утверждения и подпись ставятся ниже.

В случае заполнения представителем необходимо указать его ФИО, указать ИНН, контактный номер, подпись и дату. Ниже укажите данные доверенности, на основании которой она действует, а к заявлению необходимо приложить копию документа.

Заполнение страницы 2

Страница заполняется, если предприниматель снял с учета определенный вид деятельности, подпадающий под ЕНВД.

Форма ЕНВД 4 используется в случае прекращения работы ИП по получению взятки. Структура документа регламентирована и заполняется по строгим правилам. В статье пойдет речь о том, как правильно ввести необходимые реквизиты в графы формы.

Почему бланк ЕНВД-4

ЕНВД форма 4 - это выписка, используемая индивидуальным предпринимателем, находящимся на ЕНВД, в следующих случаях:

  • исключить из реестра лиц, пользующихся вменением;
  • при необходимости уведомить инспекцию Федеральной налоговой службы об изменениях, произошедших в составе видов деятельности, к которым применяется вменение, или месте его осуществления.

По ЕНВД форма 4 с целью исключения из реестра сдается не только в случае отказа индивидуального предпринимателя от вменения добровольно, но и при принудительном переходе на другую систему налогообложения из-за нарушений .

Где и в какие сроки представляется ЕНВД-4

Для предоставления данной информации ИП подает в налоговый орган ЕНВД выписку 4 .Форма ЕНВД-4 утверждена приказом ФНС России от 11.12.2012 № ММВ-7-6 / [адрес электронной почты защищен]

Необходимо найти выписку УТИ-4 формы , скачать , заполнить и подать в ИФНС по месту регистрации в качестве плательщика ЕНВД в следующие сроки:

  • если деятельность прекращена по собственной инициативе, то в течение 5 дней с момента прекращения этой деятельности;
  • при необходимости, то в течение 5 дней с последнего числа месяца того налогового периода, в котором произошло нарушение.

В ведомости ЕНВД 4 обязательно указать дату прекращения деятельности, так как она будет принята за дату снятия с учета в соответствии с п. 3 ст. 346.28 Налогового кодекса.

ФНС России, утвердив форму формы ЕНВД-4, утвердила формат ее подачи в электронный формат, хотя пока подача ЕНВД-4 формы в электронном виде не осуществляется. Поэтому его необходимо подать в налоговый орган на бумаге лично или через представителя.

УТИИ-4 - образец заполнения

Приводим образец заполнения данной формы.

Таким образом, ИП необходимо выписку по форме 4-ЕНВД скачать с доступного ресурса, правильно заполнить и сдать в установленные сроки в налоговые органы.

Порядок заполнения ЕНВД-4

На титульном листе ЕНВД-4 необходимо указать:

  • ИНН, ОГРНИП, фамилия, имя, отчество налогоплательщика - индивидуального предпринимателя;
  • код причины снятия с учета плательщиком ЕНВД или код, отражающий внесение изменений в информацию (при необходимости изменений необходимо будет заполнить анкету)
  • дата прекращения деятельности на ЕНВД, если речь идет о снятии с учета;
  • количество имеющихся приложений и копий документов (при необходимости).

Заявление подписывается и подается в налоговые органы либо самим индивидуальным предпринимателем, либо его уполномоченным представителем.

Какая информация содержится в приложении к форме ЕНВД-4?

UTII-4 также предоставляет возможность сообщать об изменениях, которые произошли с IP-адресами, применяющими этот режим. Для этого для формы ENVD-4 есть приложение, в котором индивидуальный предприниматель может уведомить налоговый орган о:

  • прекращение одного или нескольких видов деятельности, которые осуществляются им на ЕНВД;
  • изменение адреса, по которому осуществляется вид деятельности.

На одном листе заявки есть место для отражения всего 3 изменений. Если вам нужно сообщить о большем количестве, вам нужно заполнить необходимое количество листов. В этом случае все листы формы будут иметь непрерывную нумерацию.

На титульном листе факт внесения таких изменений зашифрован специальным кодом - «4». Потребность в заполнении приложения возникает только с помощью этого кода.

Где скачать бесплатно форму ЕНВД-4

ЕНВД Форма 4 Скачать бесплатно Вы можете на нашем сайте (см. Ссылку ниже).

О том, какие еще обязанности остаются у гражданина после снятия с учета в качестве плательщика ЕНВД, читайте в материале .

ЕНВД - это специальный режим налогообложения для индивидуальных предпринимателей, а также организаций. У нее есть некоторые преимущества, и она может быть для них более выгодной, чем другие системы налогообложения. Переход на этот режим сопровождается подачей специального заявления в налоговые органы. По закону для выхода из этого режима также требуется оформление документов.Пример этого для IP - ЕНВД-4.

Как заполнить заявку

Для того, чтобы успешно провести снятие ИП с реестра в качестве налогоплательщика ЕНВД, ему необходимо скачать актуальную форму анкеты. Заполните его правильно и достоверно, а также успейте передать в налоговую инспекцию в требуемый срок, то есть 5 дней.

Титульный лист должен содержать следующую информацию:

  • ИНН, а также регистрационную форму налогоплательщика, предоставленную налоговым органом
  • ФИО предпринимателя - налогоплательщика
  • Код, указывающий причину снятия ЕНВД с налогообложения, которым является место или код «4», который указывает на корректировку данных и изменение характера самой деятельности или места ее воспроизведения
  • Дата, когда ЕНВД перестает действовать для данного IP.Следует быть особенно осторожным. Если это прекращение активности, то этот показатель соответствует дню прекращения. Если это переход в другой режим, то дата соответствует моменту начала работы этого другого режима. Если это нарушение, в результате которого у ИП лишается права на использование ЕНВД, то указывается конечная дата месяца, в котором эти нарушения были выявлены.
  • При необходимости также на титульном листе указать количество страниц заявки и подтверждающих документов, которые, например, могут быть приложены, если документ был написан доверенным лицом ИП.
  • В столбце надежности указано, кто заполнил это заявление.
  • Также необходимо указать дату составления и заполнения формы 4 uTII
  • Также необходимо указать номер телефона, который будет использован в случае необходимости связаться с SP
  • Если форма была составлена ​​представителем, то указывается наименование и номер доверенности

Поля, оставленные пустыми, заполняются налоговым инспектором самостоятельно в порядке рассмотрения и принятия заявления.

Образец заполнения 1 лист:


На втором листе (Приложение) заполняется информация о территориальном расположении объекта и коде вида деятельности.

Образец заполнения 2 листа:


Назначение данной формы

ИП, осуществляющий деятельность, которая подлежит ЕНВД, может прекратить ее осуществлять, может изменить адреса, по которым работает, может сделать нарушения недопустимыми в ЕНВД. Все эти действия требуют снятия ИП с реестра как налогоплательщика, следовательно, особый режим.Этот процесс осуществляется путем рассмотрения налоговыми органами специального документа - заявления по форме ЕНВД-4 , , который ИП обязан предоставить в налоговые органы при данной разработке.

Эта форма требует специального заполнения, которое регулируется законодательством. В случае, если предприниматель сделал это неправильно или допустил ошибки, налоговые органы могут не принять документ к рассмотрению, что чревато начислением пени из налога и пени.

Во избежание подобного развития событий стоит более внимательно изучить технику заполнения и выполнить ее максимально грамотно, так как это в интересах самого ИП.

Отличительной особенностью указанного документа является то, что в нем должна быть указана причина выхода из налогового режима ЕНВД. Это происходит путем указания кода причины, которого может быть несколько:

  • Прекращение IP-активности
  • Переход ИП на другой вид деятельности.Которая не входит в перечень таких, дающих право ЕНВД
  • Изменение адресов, по которым IP выполняет свои действия в рамках бизнеса
  • Переход на другой режим налогообложения
  • Прекращение ЕНВД данного ИП в связи с допущенными им ошибками и нарушениями

Отдельно стоит упомянуть, когда ИП желает уведомить налоговые органы об изменениях, произошедших в его деятельности (например, поменялись адреса или вид деятельности поменялся на другой).В этом случае код «4» указывается в определенном столбце титульной страницы, после чего следует заполнение заявки, в которой можно указать изменения в трех видах деятельности. Если их больше, приложение перейдет на другую страницу.

Заявку на подачу ЕНВД-4 необходимо заполнять только при указании кода «4» в «заголовке». В других случаях вся форма ЕНВД-4 займет только один лист.

Предприниматель должен подать эту форму в течение пяти дней после того, как он прекратил деятельность, изменил режим налогообложения или произошли изменения в его деятельности.Дата, в самой форме, указывается таким образом, когда ЕНВД перестала действовать. Налоговые органы примут это за дату снятия с учета. Если сроки не соблюдаются, то налог может продолжать взиматься, а неуплата его влечет наложение штрафов, а также увеличение суммы штрафов, что не в интересах ИП.

Итак, ЕНВД-4 - это особая форма заявки-документа, которая применяется ИП, в том случае, когда необходимо осуществить их выход из-под налогообложения ЕНВД.Такие ситуации возникают, когда право на ЕНВД прекращается, в связи с нарушениями. Добровольное желание индивидуальных предпринимателей, корректировка данных по однотипному налогообложению, а также при изменении формы своей деятельности на не подпадающую под ЕНВД.

Законодательство для предпринимателей предусматривает несколько видов льготного налогообложения, в том числе ЕНВД. Все они используются на общественных началах. Поэтому ИП с целью снижения налоговой нагрузки периодически может менять налоговые системы.Кроме того, из-за грядущей отмены ЕНВД (2018 г.) многие предприниматели постепенно уходят из нее.

IP может прекратить использование вменения по следующим причинам:

  • Вид деятельности, указанный на ЕНВД, больше не осуществляется.
  • Закрывает предприятие.
  • Нарушены критерии применения этого режима.
  • Изменяется налоговый режим.

Налоговый кодекс РФ устанавливает, что предприниматель должен в пятидневный срок направить заявление о выходе из ИФНС, если он перестает пользоваться данным режимом.Для этого документа приказом ФНС установлена ​​специальная форма ЕНВД 4. Для его заполнения вы можете воспользоваться интернет-сервисами, программами отчетности. Бланк ЭНВД-4 индивидуальный предприниматель также может приобрести в типографии или распечатать с компьютера и заполнить от руки.

Заявление на снятие средств бухгалтерского учета ЕНВД Индивидуальный предприниматель направляет его в налоговый орган по месту осуществления деятельности лично через уполномоченное лицо.Бланк ЕНВД-4 можно отправить по почте или по электронным каналам связи.

Прекращение использования вменения начинается с даты, указанной в документе, с последнего дня месяца, в котором имело место нарушение заявок uTII, момента перехода на новый режим.

Индивидуальный предприниматель должен помнить, что в некоторых случаях переход ЕНВД на другой льготный режим (например,) может быть произведен в конце года. Если это будет сделано во время него, то, скорее всего, предприниматель будет вынужден применять единую систему налогообложения.Поэтому решение о переходе правильнее было бы отложить до конца года.

ИФНС после получения заявки по форме ЕНВД-4 в течение пяти дней должна удалить ИП как налогоплательщика по вменению, и направить ему письменное уведомление об этом.

Если предприниматель работал в этом режиме в нескольких муниципальных образованиях, то заявки необходимо подавать в каждую ИФНС по месту деятельности. Также, если ИП полностью решил не использовать ЕНВД, и он использовал ее для двух и более видов деятельности, все они должны быть указаны в заявке.

Образец заполнения ЕНВД-4

Вверху документа указывается ИНН предпринимателя из 12 знаков. Чуть ниже, в правой части листа под номером формы, вводится код налоговой службы 4 цифры, на которую отправляется заявление.

Далее необходимо указать причину снятия с учета предпринимателя на ЕНВД:

  • Код «1» устанавливается, если он полностью прекращает какую-либо хозяйственную деятельность.
  • Код «2» - если он собирается перейти на другую налоговую систему.
  • Код «3» применяется, если в процессе осуществления деятельности были нарушены условия применения вмененной системы - количество наемных рабочих превысило 100 человек.
  • Код «4» - в остальных случаях, например, если предприниматель продолжает работать, но закрывает тот вид деятельности, на который подавался ЕНВД.


После этого необходимо указать полное название или ФИО без сокращений. Все пустые ячейки в этом поле зачеркнуты.

В следующей строке записан код ОГРНИП. После проставляется дата, с которой предприниматель желает снять с учета.

Под ним нужно указать количество листов заявки, с разбивкой по видам деятельности. Кроме того, если уполномоченный представитель подает налоговое заявление, необходимо указать, на скольких листах прилагаются документы, подтверждающие его права.

В следующем блоке, который разделен на две части, предприниматель вводит данные только слева.В нем указано, кто отправляет заполненную форму - сам предприниматель (код «1» ) или его представитель (код «2» ). Во втором случае необходимо ввести его ФИО и ИНН. Затем записывается контактный телефон, ставится подпись и дата заполнения. Если документ подает представитель, необходимо указать наименование документа, подтверждающего его права. Все пустые ячейки должны быть помечены знаком «-».


На листе заявки вы можете ввести три кода активности, для которых происходит отмена регистрации.Если таких типов больше, то можно использовать дополнительные страницы.


В каждом необходимо указать полный адрес, по которому оно проводилось. Все пустые ячейки во всех блоках зачеркнуты. В конце страницы нужно поставить подпись, подтверждающую правильность данных в документе.

Скачать форму заявки ЕНВД-4


Шаг 4. Подать заявку

Индивидуальный предприниматель, изъявивший желание перейти на ЕНВД, в течение пяти дней со дня начала применения указанной системы налогообложения, заявление о регистрации по форме №ЕНВД-2 в налоговой инспекции по месту осуществления хозяйственной деятельности.

Проходит 5 дней со дня начала применения данной системы налогообложения.

Для некоторых видов деятельности сделано исключение. Например, при осуществлении перевозок, а также при доставке и дистрибьюции необходимо встать на учет в налоговой инспекции по месту жительства индивидуального предпринимателя.

Порядок и порядок


Особенности постановки на учет индивидуального предпринимателя в налоговом органе в качестве плательщика единого налога определены в ст.346.28 Налогового кодекса.

Снятие с учета индивидуального предпринимателя при прекращении предпринимательской деятельности, подлежащей налогообложению ЕНВД, переходу на другой режим налогообложения, в том числе в случае нарушения налогоплательщиком требований, установленных подпунктами 1 и 2 пункта 2.2 статьи 346.26 Налогового кодекса Российской Федерации, является осуществляется на основании заявления о снятии с учета в качестве налогоплательщика ЕНВД по форме № ЕНВД-4, поданного в налоговый орган в течение пяти дней с даты прекращения деятельности, облагаемой единым налогом, либо со дня перехода на иной режим налогообложения или с последнего числа месяца налогового периода, в котором допущены нарушения установленных требований.

В настоящее время плательщики ЕНВД не обязаны сообщать в налоговый орган по месту регистрации об изменении ранее представленной информации о видах и местах деятельности. Однако налогоплательщик вправе сообщить в налоговый орган о таких изменениях, используя форму заявления на регистрацию / заявление на снятие с учета.

В настоящее время налогоплательщики ЕНВД не обязаны сообщать в налоговый орган по месту регистрации об изменениях ранее представленных сведений о видах деятельности и местах их осуществления.При этом налогоплательщик вправе сообщить в налоговый орган об этих изменениях, используя форму заявления о постановке на учет (заявление о снятии с учета).

3 случая
когда ИП не может быть переведен на ЕНВД

  1. Среднесписочная численность сотрудников превышает 100 человек.
  2. Осуществляет деятельность в рамках договора простого товарищества.
  3. Не соответствует условиям и ограничениям, установленным гл.26.3 Налогового кодекса (статьи 346.26, 346.27). Например, осуществляет розницу через магазин с площадью торгового зала более 150 м 2.

يفية ملء الإعلان ENVD SP ي 2019

وفقا للتشريعات الروسية يتعين على جميع الشركات وأصحاب المشاريع الفردية إبلاغ السلطات الضريعين ميعين عل ميع الشركات وأصحاب المشاريع الفردية إبلاغ السلطاتلالضريعين ميدية. هناك أنواع مختلفة من الضرائب, ولكن الأكثر ملاءمة وشعبية بين رجال الأعمال هو ضريبة واحدة على الدخل المدخر (ЕНВД), والتي تغطي أكبر عدد من فئات النشاط الريادي.

واعد لتقديم علان UTII


وفقا للقواعد المعمول بها, يتعين عليك تقديم بيان ЕНВД ربع سنوي إلى مكتب الضرائب, بالإضافة إلى سداد الدفعات المقدمة إلى الميزانية وفقا للحسابات المقدمة في هذه الوثيقة.يمكنك تقديم وإصدار إعلان ЕНВД على الموقع الرسمي لفحص دائرة الضرائب الفيدرالية, ولهذا ستحتاج إلى التصديق على المستند بتوقيعك الإلكتروني الشخصي.
بالإضافة لى ذلك ، ناك العديد من الوكالات التي تقدم خدماتها في تقديم التقارير الضريبية. ي هذه الحالة ، من الضروري إصدار توكيل رسمي معتمد من كاتب العدل. ولا يتم تقديم الإعلانات إلا في النسخة الإلكترونية ؛ ومن المستحيل ن يتم تعبئتها يدويًا وشخصيًا لإحضارها إلى مكتب الضرائب. ومع لك ، لن يكون ملء الإعلان صعبًا إذا قرر صاحب المشروع القيام بذلك بنفسه.يمكن ن تأتي الخدمات المختلفة عبر الإنترنت للمساعدة ، مما يوضح بوضوح كيفية ملء اء من المسنتد.

كيفية ملء الإعلان


يوفر نموذج المستند لإكمال صفحة العنوان وثلاثة أقسام:
في صفحة العنوان في الحقول المناسبة, يجب تحديد المعلومات القياسية عن صاحب المشروع: الاسم الكامل; ГОСТИНИЦА. ORGN. اتف الاتصال رقم سلطة الضرائب كود OKATO فترة التقرير.
- واحد - حجم مبلغ UTII مستحق الدفع للميزانية ؛
- الجزء 2 - مصمم لحساب هذا المبلغ ؛
- الجزء 3 - حساب كمية UTII للفترة الضريبية.

يف تحسب مبلغ الضريبة على الدخل المدخر؟


يجب نتر نه وفقا لأمر من مصلحة الضرائب الاتحادية للاتحاد الروسي رقم MM-7-3 / 13 февраля 23.02.2012. لا يجوز إيداع إقرارات ضريبية لـ UTII. لحساب مبلغ UTII بشكل مستقل ، تحتاج إلى معرفة الربحية الأساسية لأنشطتها. المادة 3446,29 من انون الضرائب ي الاتحاد الروسي يمكن أن تساعد في ذلك ، حيث في الجدول انون الرائب ي الاتحاد الروسي يمكن ن تساعد في ذلك ، حيث في الجدول ي اللي ي الدول ي الصلي
المرحلة التالية من الحساب هي الحاجة إلى مضاعفة قيمة العائد الأساسي بواسطة المؤشر الفيزيائي (عدد м2, л.с., إلخ), معامل انكماش К1.تتم الموافقة على قيمته سنويا من قبل وزارة التنمية الاقتصادية في الاتحاد الروسي, ويمكن توضيح هذا الرقم على الموقع الرسمي للإدارة.
بالإضافة لى K1 ، تقدم الحكومة المحلية عامل تصحيح K2. ويرد وصف آلية تطويرها في المادة المقابلة من قانون الضرائب في الاتحاد الروسي, ويقصد بها أن تعكس العوامل الحقيقية التي تؤثر على مقدار دخل رجل الأعمال الذي يدفع ЕНВД.
وبالتالي ، يتم حساب مية UTII وفقًا للصيغة: DB * Physical. المؤشر * K1 * K2.
إن مساهمات التأمين في الوقت المناسب في صندوق المعاشات يمكن أن تقلل من مبلغ ЕНВД مستحقة الدفع إلى الميزانية: إذا كان صاحب المشروع يدفعها بحسن نية بشكل ربع سنوي, فإن هذه المبالغ يتم تعويضها, مما يسمح بتوفير كبير في دفع ЕНВД.
عندما يقبل موظف من مفتشية التفتيش الضريبي الوثيقة للمعالجة, سيقوم البرنامج بإنشاء بروتوكول استقبال البيانات, والذي يمكن طباعته وإرفاقه بتقاريره الورقية. بالنسبة لإعلان ЕНВД المكتمل بشكل غير صحيح, من المتوقع إجراء تعديل للبيانات, ولكن هذا الاحتمال لن يظهر إلا بعد قيام مفتش الضرائب بفحصه, ويجد تناقضا ويرسل الإشعار المناظر إلى ПИ.
  • Envd 2013 يفية حساب ووضع بيان
  • الانتهاء من الإعلان عن UTII ي عام 2019

Работа в режиме Envd в 2012 году и перспективы на будущее.

Налоговый режим ЕНВД, деятельность которой полностью охватывает сферу малого бизнеса, предоставляет хозяйствующим субъектам возможность максимально упростить налоговую отчетность и не подтверждать понесенные расходы. Перспективы его отмены, которые обсуждаются уже несколько лет, негативно воспринимаются налогоплательщиками и вызывают огромное количество вопросов.

В начале января в связи с множеством обращений предпринимателей ФНС объявила, что в 2012 г. будет применяться такой же режим ЕНВД (письмо от №ED-4-3 / 355 от 17 января 2012 г.). 346.26 Налогового кодекса введение ЕНПН на территории России осуществляется уполномоченными органами городских округов и муниципальных образований путем издания соответствующих правовых актов. В 2012 году на федеральном уровне отмена ЕНВД не предусмотрена; виды деятельности для этого режима остаются прежними. Налогоплательщикам необходимо обратить внимание на то, что порядок применения ЕНВД может быть изменен в определенных регионах, для получения дополнительной информации необходимо обратиться в местную налоговую инспекцию.

ЕНВД будущего, деятельность и применение.

Будет ли ЕНВД по отдельным видам деятельности после конца текущего года? В своем письме ФНС на этот вопрос не отвечает. Минфин же четко выражает свою позицию, считая, что ЕНВД уже сыграл свою роль в обеспечении гарантированных доходов госбюджета, а также в легализации предпринимательской прибыли, и его дальнейшее использование бесперспективно.

Законопроект об отмене данного режима предусматривал ряд поправок в Налоговый кодекс, согласно которым с 2013 года перечень видов деятельности ЕНВД был бы значительно сокращен.Исключения составили, в частности, бытовые услуги, розничная торговля, аренда недвижимости, услуги общественного питания, что минимизировало сферу применения данной налоговой системы, а с 2014 г. предполагалось полностью отменить ее.

Представители малого бизнеса не согласны с данными законодательными новациями. Предпринимательские ассоциации направили множество писем протеста в различные государственные органы и получили отличные результаты. Принятие законопроекта отложено на 6 лет, новые попытки упразднить ЕНВД будут предприняты в 2018 году.Кроме того, было внесено предложение отказаться от обязательного применения этого режима и предоставить предпринимателю полную свободу выбора налоговой системы. В ближайшее время владельцы малого бизнеса могут не опасаться значительных изменений, продолжая использовать ЕНВД, деятельность и условия которой останутся прежними.

Чем законодатель предлагает заменить ЕНВД?

Несмотря на то, что предпринимателям удалось продлить ЕНВД на достаточно длительное время, многих интересует вопрос возможных альтернатив этому режиму.Сегодня законодатели планируют заменить ее патентной системой. В федеральном законопроекте описаны только его общие черты, а детализация остается на усмотрение регионов.

Новая патентная система - это добровольный налоговый режим, предназначенный только для предпринимателей с определенной суммой годового дохода и количеством сотрудников. Срок действия патента может составлять от 1 до 12 месяцев. В случае утраты права на применение этого режима ИП обязан перейти на общую систему налогообложения (DOS) со следующего дня после истечения срока действия патента.В случае добровольного отказа IP перейдет в DOS со дня после прекращения коммерческой деятельности, указанной в патенте. Основное преимущество этого режима - отсутствие необходимости применять ККМ в рознице. Кассовые чеки необходимо заменить другими документами, подтверждающими оплату. Отрицательным изменением станет невозможность уменьшения стоимости патента в размере отчислений во внебюджетные фонды.

CVSS v2 Полная документация

В настоящее время ИТ-менеджеры должны выявлять и оценивать уязвимости во многих разрозненных аппаратных и программных платформах.Им необходимо определить приоритеты этих уязвимостей и устранить те, которые представляют наибольший риск. Но когда необходимо исправить так много данных, и каждая из них оценивается по разным шкалам [2] [3] [4], как ИТ-менеджеры могут преобразовать эту гору данных об уязвимостях в информацию, имеющую практическую ценность? Общая система оценки уязвимостей (CVSS) - это открытая платформа, которая решает эту проблему. Он предлагает следующие преимущества:

  • Стандартизированные оценки уязвимостей : когда организация нормализует оценки уязвимостей для всех своих программных и аппаратных платформ, она может использовать единую политику управления уязвимостями.Эта политика может быть похожа на соглашение об уровне обслуживания (SLA), в котором указывается, как быстро конкретная уязвимость должна быть проверена и устранена.
  • Open Framework : Пользователи могут быть сбиты с толку, если уязвимости присвоена произвольная оценка. «Какие свойства дали ему такую ​​оценку? Чем он отличается от выпущенного вчера?» С помощью CVSS любой может увидеть индивидуальные характеристики, используемые для получения оценки.
  • Приоритетный риск : при вычислении экологической оценки уязвимость становится контекстной.То есть теперь оценки уязвимости отражают реальный риск для организации. Пользователи знают, насколько важна данная уязвимость по сравнению с другими уязвимостями.

1.1. Что такое CVSS?

CVSS состоит из трех групп показателей: базовых, временных и экологических, каждая из которых состоит из набора показателей, как показано на рис. 1 .

Рисунок 1: Группы метрик CVSS

Эти группы показателей описываются следующим образом:

  • База : представляет внутренние и фундаментальные характеристики уязвимости, которые постоянны во времени и в пользовательских средах.Базовые метрики обсуждаются в разделе 2.1.
  • Temporal : представляет характеристики уязвимости, которые меняются со временем, но не в разных пользовательских средах. Временные метрики обсуждаются в разделе 2.2.
  • Окружающая среда : представляет характеристики уязвимости, которые актуальны и уникальны для среды конкретного пользователя. Метрики окружающей среды обсуждаются в разделе 2.3.

Целью базовой группы CVSS является определение и передача основных характеристик уязвимости.Такой объективный подход к характеристике уязвимостей дает пользователям четкое и интуитивно понятное представление об уязвимости. Затем пользователи могут вызывать временные группы и группы окружающей среды для предоставления контекстной информации, которая более точно отражает риск для их уникальной среды . Это позволяет им принимать более обоснованные решения при попытке снизить риски, связанные с уязвимостями.

1,2. Другие системы оценки уязвимостей

Существует ряд других систем «оценки» уязвимостей, которыми управляют как коммерческие, так и некоммерческие организации.У каждого из них есть свои достоинства, но они различаются тем, что они измеряют. Например, CERT / CC дает числовую оценку от 0 до 180, но учитывает такие факторы, как наличие риска для инфраструктуры Интернета и какие предварительные условия необходимы для использования уязвимости [3]. Шкала анализа уязвимостей SANS учитывает, обнаружена ли уязвимость в конфигурациях по умолчанию или в клиентских или серверных системах [4]. Собственная система оценки Microsoft пытается отразить сложность эксплуатации и общее воздействие уязвимости [2].Несмотря на то, что эти системы оценки полезны, они обеспечивают универсальный подход, предполагая, что воздействие уязвимости является постоянным для каждого человека и организации.

CVSS также можно описать тем, чем он не является. То есть это не следующее:

  • Система оценки угроз, например, используемая Министерством внутренней безопасности США и Sans Internet Storm Center. [1] Эти услуги предоставляют консультативную систему предупреждения об угрозах критически важным ИТ-сетям в США и по всему миру соответственно.
  • База данных уязвимостей, такая как Национальная база данных уязвимостей (NVD), База данных уязвимостей с открытым исходным кодом (OSVDB) или Bugtraq. Эти базы данных содержат обширный каталог известных уязвимостей и подробностей об уязвимостях.
  • Система идентификации уязвимостей, такая как отраслевой стандарт Common Vulnerabilities and Exposures (CVE) или словарь слабых мест, например Common Weakness Enumeration (CWE). Эти структуры предназначены для однозначной идентификации и классификации уязвимостей в зависимости от причин, «как они проявляются в коде, дизайне или архитектуре."[2]

1,3. Как работает CVSS?

Когда базовым показателям присваиваются значения, базовое уравнение вычисляет оценку в диапазоне от 0 до 10, и создается вектор, как показано ниже на рисунке 2. Вектор способствует «открытому» характеру структуры. Это текстовая строка, которая содержит значения, присвоенные каждой метрике, и используется для точного определения того, как рассчитывается оценка для каждой уязвимости. Следовательно, вектор всегда должен отображаться с оценкой уязвимости. Векторы более подробно описаны в Разделе 2.4.

Рисунок 2: Показатели и уравнения CVSS

При желании базовая оценка может быть уточнена путем присвоения значений временным метрикам и метрикам окружающей среды. Это полезно для предоставления дополнительного контекста для уязвимости за счет более точного отражения риска, создаваемого уязвимостью для среды пользователя. Однако этого не требуется . В зависимости от цели может быть достаточно базовой оценки и вектора.

Если требуется временная оценка, временное уравнение объединит временные метрики с базовой оценкой для получения временной оценки в диапазоне от 0 до 10. Точно так же, если требуется оценка окружающей среды, уравнение окружающей среды объединит метрики окружающей среды с временной балл для получения баллов по окружающей среде от 0 до 10. Базовые, временные и экологические уравнения полностью описаны в Разделе 3.2.

1,4. Кто проводит подсчет очков?

Как правило, базовые и временные метрики указываются аналитиками бюллетеней уязвимостей, поставщиками продуктов безопасности или поставщиками приложений, поскольку они, как правило, имеют лучшую информацию о характеристиках уязвимости, чем пользователи.Однако показатели окружающей среды указываются пользователями, поскольку они лучше всего способны оценить потенциальное воздействие уязвимости в своей собственной среде.

1,5. Кому принадлежит CVSS?

CVSS находится под опекой Форума групп реагирования на инциденты и безопасности (FIRST). [3] Однако это полностью бесплатный и открытый стандарт. Ни одна организация не владеет CVSS, и членство в FIRST не требуется для использования или внедрения CVSS. Наша единственная просьба заключается в том, чтобы те организации, которые публикуют оценки, соответствовали руководящим принципам, описанным в этом документе, и предоставили как оценку, так и вектор оценки (описанный ниже), чтобы другие могли понять, как была получена оценка.

1,6. Кто использует CVSS?

Многие организации используют CVSS, и каждая по-своему оценивает ценность. Ниже приведены несколько примеров:

  • Поставщики бюллетеней уязвимостей: Как некоммерческие, так и коммерческие организации публикуют базовые и временные оценки и векторы CVSS в своих бесплатных бюллетенях уязвимостей. В этих бюллетенях содержится много информации, включая дату обнаружения, затронутые системы и ссылки на поставщиков для получения рекомендаций по исправлению.
  • Поставщики программных приложений: Поставщики программных приложений предоставляют своим клиентам базовые оценки и векторы CVSS. Это помогает им правильно сообщать о серьезности уязвимостей в своих продуктах и ​​помогает своим клиентам эффективно управлять своими ИТ-рисками.
  • Организации пользователей: Многие организации частного сектора используют CVSS для внутренних целей, чтобы принимать обоснованные решения по управлению уязвимостями. Они используют сканеры или технологии мониторинга, чтобы сначала обнаружить уязвимости хоста и приложения.Они объединяют эти данные с базовыми, временными и экологическими оценками CVSS, чтобы получить более контекстную информацию о рисках и устранить те уязвимости, которые представляют наибольший риск для их систем.
  • Сканирование уязвимостей и управление ими: Организации, занимающиеся управлением уязвимостями, сканируют сети на наличие ИТ-уязвимостей. Они предоставляют базовые оценки CVSS для каждой уязвимости на каждом хосте. Организации-пользователи используют этот критически важный поток данных для более эффективного управления своей ИТ-инфраструктурой за счет сокращения простоев и защиты от злонамеренных и случайных ИТ-угроз.
  • Управление безопасностью (рисками) : Фирмы, занимающиеся управлением рисками безопасности, используют баллы CVSS в качестве исходных данных для расчета уровня риска или угрозы организации. Эти фирмы используют сложные приложения, которые часто интегрируются с топологией сети организации, данными об уязвимостях и базой данных активов, чтобы предоставить своим клиентам более информированное представление об уровне их риска.
  • Исследователи : Открытая структура CVSS позволяет исследователям выполнять статистический анализ уязвимостей и их свойств.

1,7. Быстрые определения

В этом документе используются следующие определения:

  • Уязвимость : ошибка, недостаток, уязвимость или уязвимость приложения, системы, устройства или службы, которые могут привести к нарушению конфиденциальности, целостности или доступности.
  • Угроза : вероятность или частота возникновения опасного события.
  • Риск : относительное влияние эксплуатируемой уязвимости на среду пользователя.

2.1. Базовые показатели

Базовая группа показателей отражает характеристики уязвимости, которые постоянны во времени и во всех пользовательских средах. Метрики «Вектор доступа», «Сложность доступа» и «Проверка подлинности» фиксируют, как осуществляется доступ к уязвимости и требуются ли дополнительные условия для ее использования. Три метрики воздействия измеряют, как уязвимость в случае использования напрямую повлияет на ИТ-актив, где воздействия независимо определяются как степень потери конфиденциальности, целостности и доступности.Например, уязвимость может привести к частичной потере целостности и доступности, но не к потере конфиденциальности.

2.1.1. Вектор доступа (AV)

Этот показатель отражает способ использования уязвимости. Возможные значения этой метрики перечислены в таблице 1. Чем дальше злоумышленник может атаковать хост, тем выше будет оценка уязвимости.

Метрическое значение Описание
Местный (L) Уязвимость может быть использована только при локальном доступе . требует, чтобы злоумышленник имел физический доступ к уязвимой системе или локальную (оболочку) учетную запись.Примерами локальных уязвимостей являются периферийные атаки, такие как атаки Firewire / USB DMA, и локальные повышения привилегий (например, sudo).
Смежная сеть (A) Уязвимость, которую можно использовать с доступом к соседней сети. требует, чтобы злоумышленник имел доступ либо к широковещательному домену, либо к домену конфликтов уязвимого программного обеспечения. Примеры локальных сетей включают локальную IP-подсеть, Bluetooth, IEEE 802.11 и локальный сегмент Ethernet.
Сеть (N) Уязвимость, которую можно использовать при доступе к сети означает, что уязвимое программное обеспечение привязано к сетевому стеку, и злоумышленнику не требуется доступ к локальной сети или локальный доступ.Такую уязвимость часто называют «доступной для удаленного использования». Пример сетевой атаки - переполнение буфера RPC.

Таблица 1: Оценка скоринга вектора доступа

2.1.2. Сложность доступа (AC)

Этот показатель измеряет сложность атаки, необходимую для использования уязвимости после того, как злоумышленник получил доступ к целевой системе. Например, рассмотрим переполнение буфера в Интернет-сервисе: как только целевая система обнаружена, злоумышленник может запустить эксплойт по своему желанию.

Однако для использования других уязвимостей могут потребоваться дополнительные действия. Например, уязвимость в почтовом клиенте используется только после того, как пользователь загрузит и откроет испорченное вложение. Возможные значения этой метрики перечислены в таблице 2. Чем ниже требуемая сложность, тем выше оценка уязвимости.

Метрическое значение Описание
Высокий (В) Существуют специальные условия доступа.Например:
- в большинстве конфигураций атакующая сторона должна уже иметь повышенные привилегии или подделывать дополнительные системы в дополнение к атакующей системе (например, перехват DNS).
- Атака зависит от методов социальной инженерии, которые легко обнаруживаются знающими людьми. Например, жертва должна совершить несколько подозрительных или нетипичных действий.
- Уязвимая конфигурация на практике встречается очень редко.
- Если существует состояние гонки, окно очень узкое.
Средний (M) Условия доступа несколько специализированы; Ниже приведены примеры:
- Атакующая сторона ограничена группой систем или пользователей с определенным уровнем авторизации, возможно, ненадежной.
- Некоторая информация должна быть собрана до начала успешной атаки.
- Затронутая конфигурация не является конфигурацией по умолчанию и обычно не настраивается (например, уязвимость присутствует, когда сервер выполняет аутентификацию учетной записи пользователя по определенной схеме, но не присутствует для другой схемы аутентификации).
- Атака требует небольшого количества социальной инженерии, которая может иногда вводить в заблуждение осторожных пользователей (например, фишинговые атаки, которые изменяют строку состояния веб-браузеров, чтобы показывать ложную ссылку, необходимость быть в чьем-то списке друзей перед отправкой эксплойта IM).
Низкий (L) Особых условий доступа или смягчающих обстоятельств не существует. Ниже приведены примеры:
- затронутому продукту обычно требуется доступ к широкому кругу систем и пользователей, возможно, анонимных и ненадежных (например,g., веб-сервер или почтовый сервер с выходом в Интернет).
- Уязвимая конфигурация используется по умолчанию или используется повсеместно.
- Атака может быть выполнена вручную и не требует особых навыков или сбора дополнительной информации.
- Состояние гонки - ленивое (т.е. технически это гонка, но легко выиграть).

Таблица 2: Оценка сложности доступа

2.1.3. Аутентификация (Au)

Этот показатель измеряет, сколько раз злоумышленник должен пройти аутентификацию на цели, чтобы воспользоваться уязвимостью.Этот показатель не измеряет силу или сложность процесса аутентификации, только то, что злоумышленник должен предоставить учетные данные до того, как может произойти эксплойт. Возможные значения этой метрики перечислены в таблице 3. Чем меньше требуется экземпляров аутентификации, тем выше оценка уязвимости.

Метрическое значение Описание
Несколько (M) Для использования уязвимости злоумышленник должен пройти аутентификацию два или более раз, даже если каждый раз используются одни и те же учетные данные.Примером может служить злоумышленник, который аутентифицируется в операционной системе в дополнение к предоставлению учетных данных для доступа к приложению, размещенному в этой системе.
Одиночный (S) Уязвимость требует, чтобы злоумышленник вошел в систему (например, из командной строки, через сеанс рабочего стола или веб-интерфейс).
Нет (N) Для использования уязвимости аутентификация не требуется.

Таблица 3: Оценка аутентификации

Метрика должна применяться на основе аутентификации, которую злоумышленник требует перед запуском атаки.Например, если почтовый сервер уязвим для команды, которая может быть запущена до аутентификации пользователя, метрика должна быть оценена как «Нет», потому что злоумышленник может запустить эксплойт до того, как потребуются учетные данные. Если уязвимая команда доступна только после успешной аутентификации, тогда уязвимость должна быть оценена как «одиночная» или «множественная» в зависимости от того, сколько экземпляров аутентификации должно произойти перед выдачей команды.

2.1.4. Влияние на конфиденциальность (C)

Этот показатель измеряет влияние на конфиденциальность успешно использованной уязвимости.Конфиденциальность означает ограничение доступа к информации и ее раскрытие только авторизованным пользователям, а также предотвращение доступа или раскрытия неавторизованным пользователям. Возможные значения этой метрики перечислены в таблице 4. Повышенное влияние на конфиденциальность увеличивает оценку уязвимости.

Метрическое значение Описание
Нет (N) Нет влияния на конфиденциальность системы.
Частично (P) Имеется значительное раскрытие информации.Доступ к некоторым системным файлам возможен, но злоумышленник не может контролировать то, что он получает, или объем потери ограничен. Примером может служить уязвимость, которая раскрывает только определенные таблицы в базе данных.
Полный (C) Полное раскрытие информации, в результате чего раскрываются все системные файлы. Злоумышленник может прочитать все данные системы (память, файлы и т. Д.)

Таблица 4: Оценка влияния на конфиденциальность

2.1.5. Влияние на целостность (I)

Этот показатель измеряет влияние на целостность успешно использованной уязвимости. Под честностью понимается надежность и гарантированная достоверность информации. Возможные значения этой метрики перечислены в таблице 5. Повышенное воздействие на целостность увеличивает оценку уязвимости.

Метрическое значение Описание
Нет (N) Не влияет на целостность системы.
Частично (P) Возможно изменение некоторых системных файлов или информации, но злоумышленник не может контролировать, что может быть изменено, или объем того, на что злоумышленник может повлиять, ограничен. Например, системные файлы или файлы приложения могут быть перезаписаны или изменены, но либо злоумышленник не может контролировать, какие файлы затронуты, либо злоумышленник может изменять файлы только в ограниченном контексте или области действия.
Полный (C) Произошла полная компрометация целостности системы.Происходит полная потеря защиты системы, что приводит к компрометации всей системы. Злоумышленник может изменять любые файлы в целевой системе.

Таблица 5: Оценка воздействия на целостность

2.1.6 Влияние на доступность (A)

Этот показатель измеряет влияние успешно использованной уязвимости на доступность. Доступность относится к доступности информационных ресурсов. Атаки, которые потребляют пропускную способность сети, циклы процессора или дисковое пространство, влияют на доступность системы.Возможные значения этой метрики перечислены в таблице 6. Повышенное влияние доступности увеличивает оценку уязвимости.

Метрическое значение Описание
Нет (N) Нет никакого влияния на доступность системы.
Частично (P) Снижение производительности или перебои в доступности ресурсов. В качестве примера можно привести сетевую лавинную атаку, которая разрешает ограниченное количество успешных подключений к Интернет-сервису.
Полный (C) Произошло полное отключение затронутого ресурса. Злоумышленник может сделать ресурс полностью недоступным.

Таблица 6: Оценка воздействия на доступность

2.2. Временные метрики

Угроза, создаваемая уязвимостью, может со временем измениться. CVSS фиксирует три таких фактора: подтверждение технических деталей уязвимости, статус исправления уязвимости и доступность кода или методов эксплойта.Поскольку временные метрики необязательны, каждая из них включает значение метрики, не влияющее на оценку. Это значение используется, когда пользователь считает, что конкретная метрика неприменима, и желает «пропустить» ее.

2.2.1. Возможность использования (E)

Этот показатель измеряет текущее состояние техники эксплойтов или доступность кода. Публичная доступность простого в использовании кода эксплойта увеличивает количество потенциальных злоумышленников за счет включения неквалифицированных лиц, тем самым повышая серьезность уязвимости.

Изначально эксплуатация в реальном мире может быть только теоретической. Может последовать публикация доказательства концептуального кода, функционального кода эксплойта или достаточных технических деталей, необходимых для использования уязвимости. Более того, доступный код эксплойта может перейти от демонстрации проверки концепции к использованию кода, который успешно использует уязвимость на постоянной основе. В тяжелых случаях он может быть доставлен как полезная нагрузка сетевого червя или вируса. Возможные значения этого показателя перечислены в таблице 7.Чем проще использовать уязвимость, тем выше оценка уязвимости.

Метрическое значение Описание
Недоказано (U) Код эксплойта недоступен, или эксплойт носит чисто теоретический характер.
Proof-of-Concept (POC) Доступен проверочный код эксплойта или демонстрация атаки, которая непрактична для большинства систем. Код или методика работают не во всех ситуациях и могут потребовать существенной модификации опытным злоумышленником.
Функциональный (F) Функциональный код эксплойта доступен. Код работает в большинстве ситуаций, когда существует уязвимость.
Высокая (В) Либо уязвимость может быть использована функциональным автономным мобильным кодом, либо эксплойт не требуется (запуск вручную), и подробности широко доступны. Код работает в любой ситуации или активно доставляется через мобильный автономный агент (например, червь или вирус).
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку.Это сигнал уравнению пропустить эту метрику.

Таблица 7: Оценка пригодности к использованию

2.2.2. Уровень реабилитации (RL)

Уровень устранения уязвимости является важным фактором при расстановке приоритетов. При первоначальной публикации типичная уязвимость не исправляется. Обходные пути или исправления могут предлагать временное исправление, пока не будет выпущено официальное исправление или обновление. На каждом из этих этапов временная оценка снижается, отражая уменьшение срочности по мере того, как исправление становится окончательным.Возможные значения этой метрики перечислены в таблице 8. Чем менее официальное и постоянное исправление, тем выше оценка уязвимости.

Метрическое значение Описание
Официальное исправление (OF) Доступно полное решение от поставщика. Либо поставщик выпустил официальный патч, либо доступно обновление.
Временное исправление (TF) Доступно официальное, но временное исправление.Сюда входят случаи, когда поставщик выпускает временное исправление, инструмент или обходной путь.
Временное решение (W) Доступно неофициальное решение стороннего производителя. В некоторых случаях пользователи уязвимой технологии создают собственное исправление или предоставляют действия по обходу уязвимости или иным образом смягчают ее.
Недоступно (U Решение либо отсутствует, либо его невозможно применить.
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку.Это сигнал уравнению пропустить эту метрику.

Таблица 8: Оценка уровня реабилитации

2.2.3. Отчет об уверенности (RC)

Этот показатель измеряет степень уверенности в существовании уязвимости и достоверность известных технических деталей. Иногда оглашается только наличие уязвимостей, но без конкретных деталей. Позднее уязвимость может быть подтверждена, а затем подтверждена путем подтверждения автора или поставщика уязвимой технологии.Актуальность уязвимости выше, когда известно, что уязвимость существует с уверенностью. Этот показатель также указывает на уровень технических знаний, доступных потенциальным злоумышленникам. Возможные значения этой метрики перечислены в таблице 9. Чем больше уязвимость подтверждается поставщиком или другими авторитетными источниками, тем выше оценка.

Метрическое значение Описание
Не подтверждено (UC) Имеется единственный неподтвержденный источник или, возможно, несколько противоречивых отчетов.Нет уверенности в достоверности отчетов. Примером может служить слух, распространяющийся из хакерского подполья.
без подтверждения (UR) Существует множество неофициальных источников, включая, возможно, независимые охранные компании или исследовательские организации. На этом этапе могут быть противоречивые технические детали или другая неопределенность.
Подтверждено (C) Уязвимость подтверждена поставщиком или автором уязвимой технологии.Уязвимость также может быть подтверждена, когда ее существование подтверждается внешним событием, таким как публикация функционального кода эксплойта или кода проверки концепции или широко распространенная эксплуатация.
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку. Это сигнал уравнению пропустить эту метрику.

Таблица 9: Оценка достоверности отчета

2.3. Экологические показатели

Различные среды могут иметь огромное влияние на риск, который уязвимость представляет для организации и ее заинтересованных сторон.Группа показателей среды CVSS фиксирует характеристики уязвимости, связанные с ИТ-средой пользователя. Поскольку метрики окружающей среды являются необязательными, каждая из них включает значение метрики, которое не влияет на оценку. Это значение используется, когда пользователь считает, что конкретная метрика неприменима, и желает «пропустить» ее.

2.3.1. Потенциал побочного ущерба (CDP)

Этот показатель измеряет возможность гибели людей или физических активов в результате повреждения или кражи имущества или оборудования.Этот показатель также может измерять экономическую потерю производительности или дохода. Возможные значения этой метрики перечислены в таблице 10. Естественно, чем больше вероятность ущерба, тем выше оценка уязвимости.

Метрическое значение Описание
Нет (N) Потеря жизни, материальных активов, производительности или дохода отсутствует.
Низкий (L) Успешное использование этой уязвимости может привести к легкому физическому ущербу или повреждению имущества.Или может иметь место небольшая потеря дохода или производительности для организации.
Низкое-Среднее (LM) Успешное использование этой уязвимости может привести к умеренному физическому ущербу или материальному ущербу. Или может иметь место умеренная потеря дохода или производительности для организации.
Средне-высокий (MH) Успешное использование этой уязвимости может привести к значительному физическому ущербу или материальному ущербу или потере. Или может быть значительная потеря дохода или производительности.
Высокая (В) Успешное использование этой уязвимости может привести к катастрофическому материальному ущербу или материальному ущербу или потере. Или может произойти катастрофическая потеря дохода или производительности.
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку. Это сигнал уравнению пропустить эту метрику.

Таблица 10: Оценка потенциального побочного ущерба

Очевидно, каждая организация должна определить для себя точное значение слов «незначительный, умеренный, значительный и катастрофический».«

2.3.2. Целевое распределение (TD)

Этот показатель измеряет долю уязвимых систем. Он задуман как индикатор, зависящий от среды, чтобы приблизительно оценить процент систем, которые могут быть затронуты уязвимостью. Возможные значения этого показателя перечислены в таблице 11. Чем больше доля уязвимых систем, тем выше оценка.

Метрическое значение Описание
Нет (N) Целевых систем не существует, или мишени настолько узкоспециализированы, что существуют только в лабораторных условиях.Фактически 0% окружающей среды находится под угрозой.
Низкий (L) Цели существуют внутри окружающей среды, но в небольшом масштабе. Под угрозой находится от 1% до 25% всей окружающей среды.
Средний (M) Цели существуют внутри окружающей среды, но в среднем масштабе. Под угрозой находится от 26% до 75% всей окружающей среды.
Высокая (В) Цели существуют внутри окружающей среды в значительных масштабах. От 76% до 100% всей окружающей среды считается подверженной риску.
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку. Это сигнал уравнению пропустить эту метрику.

Таблица 11: Оценка целевого распределения

2.3.3. Требования безопасности (CR, IR, AR)

Эти метрики позволяют аналитику настраивать оценку CVSS в зависимости от важности затронутого ИТ-актива для организации-пользователя, измеряемой с точки зрения конфиденциальности, целостности и доступности, то есть, если ИТ-актив поддерживает бизнес-функцию, для которой доступность Что наиболее важно, аналитик может придать большее значение доступности по сравнению с конфиденциальностью и целостностью.Каждое требование безопасности имеет три возможных значения: низкий, средний или высокий.

Полное влияние на оценку среды определяется соответствующими базовыми метриками влияния (обратите внимание, что сами базовые метрики влияния на конфиденциальность, целостность и доступность не меняются). То есть эти метрики изменяют оценку среды, перенастраивая (базовые) метрики воздействия на конфиденциальность, целостность и доступность. Например, показатель влияния на конфиденциальность (C) имеет увеличенный вес , если требование конфиденциальности (CR) высокое.Аналогичным образом, показатель влияния на конфиденциальность имеет уменьшенный вес , если требования к конфиденциальности низкие. Взвешивание показателя воздействия на конфиденциальность является нейтральным, если требования к конфиденциальности являются средними. Та же самая логика применяется к требованиям целостности и доступности.

Обратите внимание, что требование конфиденциальности не повлияет на оценку состояния окружающей среды, если для (базового) воздействия на конфиденциальность установлено значение «Нет». Кроме того, увеличение требования к конфиденциальности со среднего до высокого не изменит оценку состояния окружающей среды, когда (базовые) метрики воздействия установлены на завершение.Это связано с тем, что промежуточная оценка воздействия (часть базовой оценки, которая рассчитывает воздействие) уже имеет максимальное значение 10.

Возможные значения требований безопасности перечислены в таблице 12. Для краткости для всех трех показателей используется одна и та же таблица. Чем выше требования к безопасности, тем выше оценка (помните, что по умолчанию считается средний). Эти показатели изменят оценку на плюс или минус 2,5.

Метрическое значение Описание
Низкий (L) Утрата [конфиденциальности / целостности / доступности], вероятно, окажет лишь ограниченное неблагоприятное воздействие на организацию или лиц, связанных с организацией (например,г., сотрудники, покупатели).
Средний (M) Потеря [конфиденциальности / целостности / доступности] может иметь серьезные неблагоприятные последствия для организации или лиц, связанных с организацией (например, сотрудников, клиентов).
Высокая (В) Потеря [конфиденциальности / целостности / доступности] может иметь катастрофические неблагоприятные последствия для организации или отдельных лиц, связанных с организацией (например, сотрудников, клиентов).
Не определено (ND) Присвоение этого значения метрике не повлияет на оценку. Это сигнал уравнению пропустить эту метрику.

Таблица 12: Оценка требований безопасности

Во многих организациях ИТ-ресурсы маркируются рейтингами критичности, основанными на местоположении в сети, бизнес-функциях и потенциальной потере дохода или жизни. Например, правительство США относит каждый неклассифицированный ИТ-актив к группе активов, называемой Системой.Каждой Системе должны быть присвоены три рейтинга «потенциального воздействия», чтобы показать потенциальное влияние на организацию, если система будет скомпрометирована в соответствии с тремя целями безопасности: конфиденциальность, целостность и доступность. Таким образом, каждый неклассифицированный ИТ-актив в правительстве США имеет низкий, средний или высокий рейтинг потенциального воздействия в отношении целей безопасности, таких как конфиденциальность, целостность и доступность. Эта рейтинговая система описана в Федеральных стандартах обработки информации (FIPS) 199.CVSS следует этой общей модели FIPS 199, но не требует от организаций использования какой-либо конкретной системы для присвоения низкого, среднего и высокого рейтингов воздействия.

2,4. Базовые, временные, экологические векторы

Каждая метрика в векторе состоит из сокращенного имени метрики, за которым следует «:» (двоеточие), а затем сокращенное значение метрики. Вектор перечисляет эти метрики в заранее определенном порядке, используя символ «/» (косая черта) для разделения метрик. Если временная метрика или метрика окружающей среды не используются, ей присваивается значение «ND» (не определено).Базовый, временной и средовой векторы показаны ниже в Таблице 13.

Метрическое значение Описание
База AV: [L, A, N] / AC: [H, M, L] / Au: [M, S, N] / C: [N, P, C] / I: [N, P, C] / A: [N, P, C]
Временный E: [U, POC, F, H, ND] / RL: [OF, TF, W, U, ND] / RC: [UC, UR, C, ND]
Окружающая среда CDP: [N, L, LM, MH, H, ND] / TD: [N, L, M, H, ND] / CR: [L, M, H, ND] / IR: [L, M, H, ND] / AR: [L, M, H, ND]

Таблица 13: Базовые, временные и экологические векторы

Например, уязвимость с базовыми значениями метрики «Вектор доступа: низкая, сложность доступа: средняя, ​​аутентификация: нет, влияние на конфиденциальность: нет, влияние на целостность: частичное, влияние на доступность: полное» будет иметь следующий базовый вектор: «AV : L / AC: M / Au: N / C: N / I: P / A: C.«

3.1. Руководящие принципы

Ниже приведены рекомендации, которые должны помочь аналитикам при оценке уязвимостей.

3.1.1. Общий

СОВЕТ ПО ОЦЕНКЕ № 1: При оценке уязвимости не следует принимать во внимание какое-либо взаимодействие с другими уязвимостями. То есть каждая уязвимость должна оцениваться независимо.

СОВЕТ № 2: При оценке уязвимости учитывайте прямое воздействие только на целевой хост. Например, рассмотрим уязвимость межсайтового сценария: воздействие на систему пользователя может быть намного больше, чем воздействие на целевой хост.Однако это косвенное влияние. Уязвимости межсайтового скриптинга следует оценивать без ущерба для конфиденциальности или доступности и частичного воздействия на целостность.

СОВЕТ № 3: Многие приложения, такие как веб-серверы, можно запускать с разными привилегиями, и оценка воздействия включает в себя предположение о том, какие привилегии используются. Следовательно, уязвимости следует оценивать в соответствии с наиболее часто используемыми привилегиями. Это может не обязательно отражать лучшие практики безопасности, особенно для клиентских приложений, которые часто запускаются с привилегиями корневого уровня.Если вы не уверены, какие привилегии наиболее распространены, аналитики должны использовать конфигурацию по умолчанию.

СОВЕТ № 4: При оценке воздействия уязвимости, имеющей несколько методов эксплуатации (векторов атаки), аналитик должен выбрать метод эксплуатации, который оказывает наибольшее влияние, а не метод, который является наиболее распространенным или наиболее простым для выполнения. Например, если функциональный код эксплойта существует для одной платформы, но отсутствует для другой, то для возможности использования следует установить значение «Функциональный».Если два отдельных варианта продукта находятся в параллельной разработке (например, PHP 4.x и PHP 5.x), и исправление существует для одного варианта, но отсутствует для другого, то для Уровня исправления необходимо установить значение «Недоступно».

3.1.2. Базовые показатели

3.1.2.1. Вектор доступа

СОВЕТ № 5: Если уязвимость может быть использована как локально, так и из сети, следует выбрать значение «Сеть». Если уязвимость может быть использована как локально, так и из соседних сетей, но не из удаленных сетей, следует выбрать значение «Соседняя сеть».Если уязвимость может быть использована из соседней сети и удаленных сетей, следует выбрать значение «Сеть».

СОВЕТ № 6: Многие клиентские приложения и служебные программы имеют локальные уязвимости, которые можно использовать удаленно либо с помощью действий со стороны пользователя, либо с помощью автоматической обработки. Например, утилиты декомпрессии и антивирусные сканеры автоматически проверяют входящие сообщения электронной почты. Кроме того, вспомогательные приложения (офисные пакеты, программы просмотра изображений, медиаплееры и т. Д.) Используются при обмене вредоносными файлами по электронной почте или загрузке с веб-сайтов.Следовательно, аналитики должны оценить вектор доступа этих уязвимостей как «Сеть».

3.1.2.2. Аутентификация

СОВЕТ ПО ОЦЕНКЕ № 7: Если уязвимость существует в самой схеме аутентификации (например, PAM, Kerberos) или в анонимной службе (например, общедоступный FTP-сервер), метрике следует присвоить оценку «Нет», поскольку злоумышленник может воспользоваться уязвимостью. без предоставления действительных учетных данных. Наличие учетной записи пользователя по умолчанию может рассматриваться как «одиночная» или «множественная» аутентификация (в зависимости от ситуации), но может иметь «высокий уровень использования», если учетные данные опубликованы.

СОВЕТ № 8: Важно отметить, что метрика аутентификации отличается от вектора доступа. Здесь требования аутентификации считаются , когда к системе уже был осуществлен доступ . В частности, для локальных уязвимостей этот показатель должен быть установлен только на «одиночный» или «множественный», если аутентификация требуется сверх того, что требуется для входа в систему. Примером локально используемой уязвимости, требующей аутентификации, является уязвимость, влияющая на ядро ​​базы данных, которое прослушивает сокет домена Unix (или какой-либо другой несетевой интерфейс).Если пользователь должен пройти аутентификацию как действующий пользователь базы данных, чтобы воспользоваться уязвимостью, тогда этот показатель должен быть установлен на «single».

3.1.2.3. Конфиденциальность, целостность и доступность влияют на

СОВЕТ № 9: Уязвимости, обеспечивающие доступ корневого уровня, должны оцениваться с полной потерей конфиденциальности, целостности и доступности, в то время как уязвимости, которые предоставляют доступ на уровне пользователя, должны оцениваться только с частичной потерей конфиденциальности, целостности и доступности.Например, нарушение целостности, которое позволяет злоумышленнику изменить файл паролей операционной системы, должно оцениваться с полным влиянием на конфиденциальность, целостность и доступность.

СОВЕТ № 10: Уязвимости с частичной или полной потерей целостности также могут повлиять на доступность. Например, злоумышленник, который может изменять записи, вероятно, также может удалить их.

3.2. Уравнения

Уравнения и алгоритмы оценки для базовой, временной и метрической групп описываются ниже.Дальнейшее обсуждение происхождения и тестирования этих уравнений доступно на www.first.org/cvss.

3.2.1. Базовое уравнение

Базовое уравнение является основой оценки CVSS. Основное уравнение (версия формулы 2.10):

  BaseScore = round_to_1_decimal (((0,6 * Воздействие) + (0,4 * Возможность использования) -1,5) * f (Воздействие))

Воздействие = 10,41 * (1- (1-ConfImpact) * (1-IntegImpact) * (1-AvailImpact))

Возможность использования = 20 * AccessVector * AccessComplexity * Authentication

f (удар) = 0, если удар = 0, 1.176 иначе

AccessVector = case AccessVector из
                        требуется локальный доступ: 0,395
                        Доступна соседняя сеть: 0,646
                        сеть доступна: 1.0

AccessComplexity = case AccessComplexity из
                        высокий: 0,35
                        средний: 0,61
                        низкий: 0,71

Аутентификация = case Аутентификация
                        требует нескольких экземпляров аутентификации: 0,45
                        требует единственного экземпляра аутентификации: 0.56
                        не требует аутентификации: 0,704

ConfImpact = case ConfidentialityImpact of
                        нет: 0,0
                        частичный: 0,275
                        полный: 0,660

IntegImpact = case IntegrityImpact of
                        нет: 0,0
                        частичный: 0,275
                        полный: 0,660

AvailImpact = case AvailabilityImpact of
                        нет: 0.0
                        частичный: 0,275
                        полный: 0,660  

3.2.2. Временное уравнение

Если используется, временное уравнение объединит временные метрики с базовой оценкой, чтобы получить временную оценку в диапазоне от 0 до 10. Кроме того, временная оценка даст временную оценку не выше, чем базовая оценка, и не более 33%. ниже базовой оценки. Временное уравнение:

  TemporalScore = round_to_1_decimal (BaseScore * Возможность использования
                * RemediationLevel * ReportConfidence)

Возможность использования = случай. Возможность использования
                        бездоказательно: 0.85
                        доказательство концепции: 0,9
                        функциональный: 0,95
                        высокий: 1,00
                        не определено: 1.00

RemediationLevel = case RemediationLevel of
                        официальное исправление: 0.87
                        временное исправление: 0,90
                        обходной путь: 0,95
                        недоступно: 1.00
                        не определено: 1.00

ReportConfidence = case ReportConfidence of
                        неподтвержденный: 0,90
                        неподтвержденный: 0,95
                        подтверждено: 1.00
                        не определено: 1.00  

3.2.3. Экологическое уравнение

Если используется, уравнение окружающей среды объединит метрики окружающей среды с временной оценкой, чтобы получить оценку окружающей среды в диапазоне от 0 до 10. Кроме того, это уравнение даст оценку не выше временной оценки.Уравнение окружающей среды:

  EnvironmentalScore = round_to_1_decimal ((AdjustTemporal +
(10-Скорректированный временный) * CollateralDamagePotential) * TargetDistribution)

AdjustTemporal = TemporalScore, пересчитанный с помощью под-
уравнение заменено уравнением AdjustImpact

AdjustImpact = min (10,10,41 * (1- (1-ConfImpact * ConfReq) * (1-IntegImpact * IntegReq)
                     * (1-AvailImpact * AvailReq)))

CollateralDamagePotential = case CollateralDamagePotential of
                                 нет: 0
                                 низкий: 0.1
                                 низкий-средний: 0,3
                                 средне-высокий: 0,4
                                 высокий: 0,5
                                 не определено: 0

TargetDistribution = case TargetDistribution из
                                 нет: 0
                                 низкий: 0,25
                                 средний: 0,75
                                 высокий: 1,00
                                 не определено: 1.00

ConfReq = case ConfReq of
                        низкий: 0,5
                        средний: 1.0
                        высокий: 1,51
                        не определено: 1.0

IntegReq = case IntegReq из
                        низкий: 0,5
                        средний: 1.0
                        высокий: 1,51
                        не определено: 1.0

AvailReq = case AvailReq из
                        низкий: 0.5
                        средний: 1.0
                        высокий: 1,51
                        не определено: 1.0  

3.3. Примеры

Ниже мы приводим примеры использования CVSS для трех различных уязвимостей.

3.3.1. CVE-2002-0392

Рассмотрим CVE-2002-0392: уязвимость Apache, приводящая к повреждению памяти при фрагментированном кодировании. В июне 2002 года была обнаружена уязвимость в средствах, с помощью которых веб-сервер Apache обрабатывает запросы, закодированные с использованием фрагментированного кодирования.Фонд Apache Foundation сообщил, что успешный эксплойт в некоторых случаях может привести к отказу в обслуживании, а в других - к выполнению произвольного кода с привилегиями веб-сервера.

Поскольку уязвимость может использоваться удаленно, вектор доступа - «Сеть». Сложность доступа "Низкая", потому что для успешной работы эксплойта не требуется дополнительных обстоятельств; злоумышленнику нужно только создать правильное сообщение об эксплойте для веб-прослушивателя Apache. Для активации уязвимости не требуется аутентификации (любой пользователь Интернета может подключиться к веб-серверу), поэтому метрика аутентификации - «Нет».

Поскольку уязвимость может быть использована несколькими методами с разными результатами, баллы должны быть получены для каждого метода и самого высокого из используемых.

Если уязвимость используется для выполнения произвольного кода с разрешениями веб-сервера, тем самым изменяя веб-контент и, возможно, просматривая информацию о локальном пользователе или конфигурации (включая параметры подключения и пароли к внутренним базам данных), показатели воздействия на конфиденциальность и целостность будут установлен на «Частично».Вместе эти показатели дают базовую оценку 6,4.

Если уязвимость используется для отказа в обслуживании, для воздействия на доступность устанавливается значение «Завершено». Вместе эти показатели дают базовую оценку 7,8. Поскольку это наивысшая возможная базовая оценка вариантов эксплуатации, она используется как базовая оценка.

Таким образом, базовый вектор этой уязвимости: AV: N / AC: L / Au: N / C: N / I: N / A: C.

Известно, что существует код эксплойта, и поэтому для возможности использования установлено значение «Функциональный».Фонд Apache выпустил исправления для этой уязвимости (доступные для версий 1.3 и 2.0), поэтому уровень исправления - «Официальное исправление». Естественно, достоверность отчета «Подтверждена». Эти метрики корректируют базовую оценку, чтобы получить временную оценку 6,4.

Предполагая, что доступность для целевых систем важнее, чем обычно, и в зависимости от значений для потенциального сопутствующего ущерба и целевого распределения, оценка среды может варьироваться от 0,0 («Нет», «Нет») до 9.2 («Высокий», «Высокий»). Результаты представлены ниже.

  БАЗОВАЯ МЕТРИЧЕСКАЯ ОЦЕНКА
            -------------------------------------------------- -
            Вектор доступа [Сеть] (1.00)
            Сложность доступа [низкая] (0,71)
            Аутентификация [Нет] (0,704)
            Влияние на конфиденциальность [Нет] (0,00)
            Влияние на целостность [Нет] (0.00)
            Влияние на доступность [Завершено] (0,66)
            -------------------------------------------------- -
            БАЗОВАЯ ФОРМУЛА БАЗОВЫЙ СЧЕТ
            -------------------------------------------------- -
            Воздействие = 10,41 * (1- (1) * (1) * (0,34)) == 6,9
            Возможность использования = 20 * 0,71 * 0,704 * 1 == 10,0
            f (Удар) = 1,176
            BaseScore = (0,6 * 6,9 + 0,4 * 10,0 - 1,5) * 1,176
                                                        == (7.8)
            -------------------------------------------------- -

            -------------------------------------------------- -
            ВРЕМЕННАЯ МЕТРИЧЕСКАЯ ОЦЕНКА ОЦЕНКИ
            -------------------------------------------------- -
            Возможность использования [Функциональная] (0,95)
            Уровень исправления [Официальное исправление] (0.87)
            Доверие к отчету [Подтверждено] (1.00)
            -------------------------------------------------- -
            ВРЕМЕННАЯ ФОРМУЛА ВРЕМЕННАЯ ОЦЕНКА
            -------------------------------------------------- -
            круглый (7.8 * 0,95 * 0,87 * 1,00) == (6,4)
            -------------------------------------------------- -

            -------------------------------------------------- -
            МЕТРИЧЕСКАЯ ОЦЕНКА ОКРУЖАЮЩЕЙ СРЕДЫ
            -------------------------------------------------- -
            Потенциал сопутствующего ущерба [нет - высокий] {0–0,5}
            Целевое распределение [Нет - Высокое] {0 - 1.0}
            Конфиденциальность Треб. [Средний] (1,0)
            Треб. Целостности[Средний] (1,0)
            Доступность Треб. [Высокий] (1,51)
            -------------------------------------------------- -
            ЭКОЛОГИЧЕСКАЯ ФОРМУЛА ЭКОЛОГИЧЕСКИЙ СЧЕТ
            -------------------------------------------------- -
            Скорректированное воздействие = мин (10,10,41 * (1- (1-0 * 1) * (1-0 * 1)
                     * (1-0,66 * 1,51)) == (10,0)
            Скорректированная база = ((0,6 * 10) + (0,4 * 10,0) 1,5) * 1,176
                                                       == (10.0)
            Скорректированный темпоральный == (10 * 0,95 * 0,87 * 1,0) == (8,3)
            EnvScore = round ((8,3+ (10-8,3) * {0-0,5}) * {0-1})
                                                 == (0,00 - 9,2)
            -------------------------------------------------- -  

3.3.2. CVE-2003-0818

Рассмотрим CVE-2003-0818: уязвимость библиотеки Microsoft Windows ASN.1, связанная с обработкой целых чисел. В сентябре 2003 года была обнаружена уязвимость, нацеленная на библиотеку ASN.1 всех операционных систем Microsoft.Успешное использование этой уязвимости приводит к переполнению буфера, что позволяет злоумышленнику выполнить произвольный код с административными (системными) привилегиями.

Это уязвимость, которую можно использовать удаленно и не требует аутентификации, поэтому вектор доступа - «Сеть», а «Аутентификация» - «Нет». Сложность доступа «Низкая», потому что для успешного использования эксплойта не требуется дополнительного доступа или особых обстоятельств. Для каждой метрики воздействия установлено значение «Завершено» из-за возможности полной компрометации системы.Вместе эти показатели дают максимальную базовую оценку 10,0.

Таким образом, базовым вектором этой уязвимости является: AV: N / AC: L / Au: N / C: C / I: C / A: C.

Существуют известные эксплойты для этой уязвимости, поэтому возможность использования является «функциональной». В феврале 2004 года Microsoft выпустила исправление MS04-007, сделав уровень исправления «Официальное исправление» и «Подтвержденный уровень достоверности отчета». Эти метрики корректируют базовую оценку, чтобы получить временную оценку 8,3.

Предполагая, что доступность для целевых систем менее важна, чем обычно, и в зависимости от значений для потенциального сопутствующего ущерба и целевого распределения, оценка среды может варьироваться от 0.0 («Нет», «Нет») и 9.0 («Высокий», «Высокий»). Результаты представлены ниже.

  ------------------------------------------------ ----
            БАЗОВАЯ МЕТРИЧЕСКАЯ ОЦЕНКА
            -------------------------------------------------- -
            Вектор доступа [Сеть] (1.00)
            Сложность доступа [низкая] (0,71)
            Аутентификация [Нет] (0,704)
            Влияние на конфиденциальность [Завершено] (0.66)
            Влияние на целостность [завершено] (0,66)
            Влияние на доступность [Завершено] (0,66)
            -------------------------------------------------- -
            ФОРМУЛА БАЗОВЫЙ СЧЕТ
            -------------------------------------------------- -
            Воздействие = 10,41 * (1- (0,34 * 0,34 * 0,34)) == 10,0
            Возможность использования = 20 * 0,71 * 0,704 * 1 == 10,0
            f (Удар) = 1,176
            BaseScore = ((0,6 * 10,0) + (0.4 * 10,0) -1,5) * 1,176
                                                       == (10.0)
            -------------------------------------------------- -

            -------------------------------------------------- -
            ВРЕМЕННАЯ МЕТРИЧЕСКАЯ ОЦЕНКА ОЦЕНКИ
            -------------------------------------------------- -
            Возможность использования [Функциональная] (0,95)
            Уровень исправления [Официальное исправление] (0.87)
            Доверие отчета [Подтверждено] (1.00)
            -------------------------------------------------- -
            ФОРМУЛА ВРЕМЕННОЙ ОЦЕНКИ
            -------------------------------------------------- -
            круглый (10,0 * 0,95 * 0,87 * 1,00) == (8,3)
            -------------------------------------------------- -

            -------------------------------------------------- -
            МЕТРИЧЕСКАЯ ОЦЕНКА ОКРУЖАЮЩЕЙ СРЕДЫ
            -------------------------------------------------- -
            Потенциал сопутствующего ущерба [Нет - Высокий] {0 - 0.5}
            Целевое распределение [Нет - Высокое] {0 - 1.0}
            Конфиденциальность Треб. [Средний] (1,0)
            Треб. Целостности [Средний] (1,0)
            Доступность Треб. [Низкий] (0,5)
            -------------------------------------------------- -
            ФОРМУЛА ОКРУЖАЮЩЕЙ СРЕДЫ
            -------------------------------------------------- -
            Скорректированное воздействие = 10,41 * (1- (1-0.66 * 1) * (1-0,66 * 1)
                     * (1-0,66 * 0,5)) == 9,6
            Скорректированная база = ((0,6 * 9,6) + (0,4 * 10,0) 1,5) * 1,176
                                                        == (9,7)
            Скорректированный темпоральный == (9,7 * 0,95 * 0,87 * 1,0) == (8,0)
            EnvScore = round ((8.0+ (10-8.0) * {0-0.5}) * {0-1})
                             == (0,00 - 9,0)
            -------------------------------------------------- -  

3.3.3. CVE-2003-0062

Рассмотрим CVE-2003-0062: переполнение буфера в антивирусе NOD32.NOD32 - это антивирусное программное обеспечение, разработанное Eset. В феврале 2003 года в версиях Linux и Unix до 1.013 была обнаружена уязвимость, связанная с переполнением буфера, которая могла позволить локальным пользователям выполнять произвольный код с привилегиями пользователя, выполняющего NOD32. Чтобы вызвать переполнение буфера, злоумышленник должен дождаться (или уговорить) другого пользователя (возможно, root) просканировать путь к каталогу чрезмерной длины.

Поскольку уязвимость может использовать только пользователь, локально вошедший в систему, вектор доступа является «Локальным».Сложность доступа "Высокая", потому что злоумышленник не может использовать эту уязвимость. Существует дополнительный уровень сложности, потому что злоумышленник должен дождаться, пока другой пользователь запустит программное обеспечение для сканирования вирусов. Для аутентификации установлено значение «Нет», потому что злоумышленнику не нужно проходить аутентификацию в какой-либо дополнительной системе. Если бы административный пользователь запустил проверку на вирусы, вызвав переполнение буфера, то была бы возможна полная компрометация системы. Поскольку необходимо учитывать наиболее опасный случай, для каждой из трех метрик воздействия устанавливается значение «Завершено».Вместе эти показатели дают базовую оценку 6,2.

Таким образом, базовый вектор этой уязвимости: AV: L / AC: H / Au: N / C: C / I: C / A: C.

Выпущен частичный код эксплойта, поэтому показатель «Эксплуатация» установлен на «Proof-Of-Concept». Компания Eset выпустила обновленное программное обеспечение, присвоив уровень исправления «Официальное исправление» и уровень достоверности отчета «Подтверждено». Эти три показателя корректируют базовую оценку, чтобы получить временную оценку 4,9.

Предполагая, что конфиденциальность, целостность и доступность примерно одинаково важны для целевых систем, и в зависимости от значений для потенциального сопутствующего ущерба и целевого распределения, оценка среды может варьироваться от 0.0 («Нет», «Нет») и 7,5 («Высокий», «Высокий»). Результаты представлены ниже.

  ------------------------------------------------ ----
            БАЗОВАЯ МЕТРИЧЕСКАЯ ОЦЕНКА
            -------------------------------------------------- -
            Вектор доступа [локальный] (0,395)
            Сложность доступа [Высокая] (0,35)
            Аутентификация [Нет] (0,704)
            Влияние на конфиденциальность [Завершено] (0.66)
            Влияние на целостность [завершено] (0,66)
            Влияние на доступность [Завершено] (0,66)
            -------------------------------------------------- -
            ФОРМУЛА БАЗОВЫЙ СЧЕТ
            -------------------------------------------------- -
            Воздействие = 10,41 * (1- (0,34 * 0,34 * 0,34)) == 10,0
            Эксплуатационная способность = 20 * 0,35 * 0,704 * 0,395 == 1,9
            f (Удар) = 1,176
            BaseScore = ((0,6 * 10) + (0.4 * 1,9) -1,5) * 1,176
                                                      == (6.2)
            -------------------------------------------------- -

            -------------------------------------------------- -
            ВРЕМЕННАЯ МЕТРИЧЕСКАЯ ОЦЕНКА ОЦЕНКИ
            -------------------------------------------------- -
            Возможность использования [Proof-Of-Concept] (0.90)
            Уровень исправления [Официальное исправление] (0.87)
            Доверие отчета [Подтверждено] (1.00)
            -------------------------------------------------- -
            ФОРМУЛА ВРЕМЕННОЙ ОЦЕНКИ
            -------------------------------------------------- -
            круглый (6,2 * 0,90 * 0,87 * 1,00) == (4,9)
            -------------------------------------------------- -

            -------------------------------------------------- -
            МЕТРИЧЕСКАЯ ОЦЕНКА ОКРУЖАЮЩЕЙ СРЕДЫ
            -------------------------------------------------- -
            Потенциал сопутствующего ущерба [Нет - Высокий] {0 - 0.5}
            Целевое распределение [Нет - Высокое] {0 - 1.0}
            Конфиденциальность Треб. [Средний] (1,0)
            Треб. Целостности [Средний] (1,0)
            Доступность Треб. [Средний] (1,0)
            -------------------------------------------------- -
            ФОРМУЛА ОКРУЖАЮЩЕЙ СРЕДЫ
            -------------------------------------------------- -
            Скорректированный темпоральный == 4.9
            EnvScore = round ((4.9+ (10-4,9) * {0-0,5}) * {0-1})
                                                == (0,00 - 7,5)
            -------------------------------------------------- -  

Ниже мы представляем список ресурсов, которые могут быть полезны всем, кто внедряет CVSS. Бюллетени уязвимостей полезны при поиске подробной информации о конкретной уязвимости. Калькуляторы CVSS полезны при попытке вычислить ваши собственные базовые, временные или средовые оценки.

Бюллетени по уязвимостям
:
  • Национальный институт национального института стандартов и технологий (NIST) ведет Национальную базу данных уязвимостей (NVD), веб-сайт бюллетеня уязвимостей, который включает базовые оценки CVSS.NIST предоставляет эти веб-бюллетени в дополнение к каналам XML бесплатно для использования. Их можно найти на http://nvd.nist.gov/nvd.cfm и http://nvd.nist.gov/download.cfm#XML соответственно.
  • IBM Internet Security Systems (ISS) публикует бюллетени уязвимостей X-Force бесплатно для использования. Они включают базовые и временные оценки CVSS, и их можно найти на http://xforce.iss.net/xforce/alerts.
  • Qualys публикует ссылки на уязвимости, которые включают как базовые, так и временные оценки CVSS. Их можно найти по адресу http: // www.qualys.com/research/alerts/.
  • Бюллетени уязвимостей Cisco
  • , включая базовые и временные оценки CVSS, можно найти по адресу http://tools.cisco.com/MySDN/Intelligence/home.x. (Примечание: требуется учетная запись Cisco Connection Online).
  • Tenable Network Security публикует подключаемые модули для инструмента сканирования уязвимостей Nessus. Эти плагины, которые включают базовую оценку CVSS, можно найти по адресу http://www.nessus.org/plugins/.
Калькуляторы CVSS

Авторы признают, что в CVSS можно было включить многие другие показатели.Мы также понимаем, что ни одна система подсчета очков не может полностью удовлетворить потребности каждого. Конкретные показатели, используемые в CVSS, были определены как лучший компромисс между полнотой, простотой использования и точностью. Они представляют собой совокупный опыт членов CVSS Special Interest Group, а также обширное тестирование реальных уязвимостей в средах конечных пользователей. По мере развития CVSS эти метрики могут расширяться или корректироваться, делая оценку еще более точной, гибкой и репрезентативной для современных уязвимостей и связанных с ними рисков.

[1]. Майк Шиффман, Герхард Эшельбек, Дэвид Ахмад, Эндрю Райт, Саша Романоски, «CVSS: общая система оценки уязвимостей», Национальный консультативный совет по инфраструктуре (NIAC), 2004.

[2]. Корпорация Майкрософт. Система оценки серьезности бюллетеней безопасности Microsoft Security Response Center.

Опубликовано в категории: Разное

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *