Бланк строгой отчетности для ип 2018 образец: Образец бланка строгой отчетности (БСО) в 2021 году

Содержание

Бланк строгой отчетности для ИП 2017: образец, БСО для ИП

Когда заходит речь о применении БСО бизнесменами и предпринимателями, можно с уверенностью сказать, что интерес читателей распространяется не на утвержденные Минфином путевки и наряды-заказы, а на возможность принимать оплату услуг по квитанциям, минуя необходимость установки ККМ. Поговорим о применении БСО в предпринимательской деятельности и особенностях использования этих документов в современном бизнесе.

Что такое БСО для ИП

Денежные расчеты требуют обязательного использования ККТ, однако законодателями в некоторых случаях разрешено применять бланки строгой отчетности, заменяя ими кассовые чеки, т.е. подтверждая факт оплаты. Действовать так можно, если ИП применяет ПСН или работает на ЕНВД, оказывая услуги физическим лицам и предпринимателям.

Сегодня вместо выдачи кассовых чеков они обязаны предоставлять клиентам квитанции на прием оплаты.

Заметим, что замена выдачи кассовых чеков бланками квитанций запрещена при расчетах с организациями, т.е. юридическими лицами, здесь предполагается обязательное оформление операции чеком ККМ. В сегодняшних реалиях остается небольшой перечень услуг, предоставляемых ИП, где применительно использование БСО. Он освещен в законе о ККТ № 54-ФЗ от 22.05.2003 (ст. 2). ИП на патенте и ЕНВД вправе выписывать БСО до 01.07.2018, в дальнейшем им придется переходить на онлайн-кассы.

Вышеозначенным законом о кассах предусмотрен список видов услуг, дающих право работать на БСО в силу специфики деятельности и удаленности, поэтому БСО для ИП не теряют актуальности.   

Бланки строгой отчетности для ИП

Универсальной формы БСО для ИП не существует, поэтому каждый бизнесмен волен выбирать или разрабатывать собственный, приемлемый для своей деятельности документ.

Применение БСО в работе ИП регулируется правительственным постановлением от 06.05.2008 г. № 359, в котором даются рекомендации о наличии обязательных реквизитов. На его основе сегодня ИП самостоятельно создают форму бланка, руководствуясь при этом условиями, выдвигаемыми в законодательстве. Документ должен содержать:

  1. Наименование, серию и шестизначный номер;
  2. ФИО и должность лица, отвечающего за выдачу бланка и его достоверность;
  3. ИНН, ОГРНИП, адрес нахождения предприятия;
  4. Оказываемые услуги и их стоимость;
  5. Даты составления документа и его оплаты;
  6. Подпись, подтверждающую прием денег и печать ИП;

Не возбраняется дополнить набор реквизитов другими, нужными с точки зрения бизнесмена.

Бланки БСО для ИП: как приобрести

Несложно разработать собственный бланк БСО, ориентируясь на условия, установленные законодателем. Сформированный вариант бланка предпринимателю придется заказать в типографии либо выполнить в автоматизированном режиме на специальной технике, созданной по аналогии с ККМ, но не требующей регистрации в ИФНС. Подобные системы оснащены накопителем и хранят в памяти все выписанные квитанции на протяжении 5-ти лет. При этом ИП обязан по требованию ИФНС представлять информацию из такой автоматизированной системы о документах, информация о выдаче которых хранится в ее памяти.

Распечатывать БСО просто на компьютере постановление не предполагает. Впрочем, в каждой типографии или специализированных печатных домах можно приобрести готовые бланки квитанций, соответствующих требованиям законодательства и удобным для оформления услуг.

Как заполнять бланки строгой отчетности для ИП

В бланке квитанции заполняются все поля. Если в документе предусмотрен отрывной талон, полагающийся клиенту, как доказательство оплаты услуги, то он заполняется по аналогии с основным документом, подписывается, отрывается и остается у покупателя. Предлагаем образец заполнения бланка строгой отчетности для ИП:

Если же в БСО нет отрывного талона, то заполняется он в 2-х экземплярах (как минимум). Когда предпринимателем предусмотрено изготовление двух копий к оригиналу, то это должно быть оговорено при заказе. Копии документа могут исполняться под копировальную бумагу, либо в книжке бланков листы вторых и третьих экземпляров при изготовлении обрабатываются специальной пропиткой и копируют записи при заполнении оригинала.

БСО для ИП, оказывающих услуги населению, – фактор фиксации наличных расчетов, поэтому важно придерживаться требований кассовой дисциплины в оформлении и учете квитанций. Заполнение бланков строгой отчетности для ИП подчинено некоторым правилам. Обычно оформляются они сразу после получения оплаты наличными или с банковской карты. Не допускается заполнение формы с опозданием, либо, наоборот, до получения оплаты.

Квитанции, приобретенные в типографии, учитываются в книге регистрации БСО. Их заносят в нее с полными наименованиями, нумерацией и серией. Этот регистр представляет собой прошнурованный и пронумерованный журнал, прошитый, заверенный подписью предпринимателя и оттиском печати. Учет БСО осуществляет бизнесменом или лицо, с которым был заключен договор об ответственности за прием наличных денег.

Каждый бланк заполняется без поправок или подчисток. Исправления в документе не допускаются. Такие экземпляры автоматически считаются испорченными и не должны быть выброшенными. На них делается отметка «испорчено», они перечеркиваются по диагонали и прилагаются к книге учета квитанций в качестве доказательств того, что деньги по ним получены не были.

Образец заполнения БСО|Как заполнять бланк строгой отчетности для ООО и ИП

Доброго времени суток! Сегодня у меня статья на тему бланка БСО, а точнее

образец как нужно правильно заполнять БСО. Тема очень простая, но почему-то у некоторых начинающих предпринимателей заполнение бланка строгой отчетности вызывает трудности.

Так что, раскроем эту тему во всех подробностях.

Для начала я обратился к поисковикам и думал просто людям ссылку давать на готовые статьи, но увы – тема заполнения бланков строгой отчетности раскрыта плохо и даже те которые попадались были 2х летней давности.

Начнем с того когда необходимо заполнять БСО:

Когда заполняется бланк БСО

Данные бланки используют только при оказании услуг, сразу стоит отметить что оказывая услуги Вы не можете пробивать кассовые чеки или давать любой другой документ кроме как бланк БСО.

Так что если Ваш бизнес – это оказание услуг, то документом подтверждающим получение денег за оказанные услуги должен быть выписан бланк БСО, при этом совершенно без разницы какая у Вас форма собственности бизнеса ИП или ООО.

Где заказать бланки БСО

Бланки БСО заказывают в типографии и отличия бланка строгой отчетности ООО или ИП нет совершенно никакой, кроме того, что на бланках БСО в левом верхнем углу указаны данные предпринимателя или организации.

Плюсом заказа БСО в типографии является, то что во первых сразу пропечатаны все данные того, кто оказывал услугу и во вторых они идут сразу пронумерованные и отрывные.

БСО идут двойные – дублирующие друг друга. То есть Вам не нужна копирка для заполнения, бумага второго квитка заполняется автоматически так как пропитана специальным составом и сразу заполняя главный экземпляр дублирующий заполняется автоматически.

Образец заполнения БСО для ООО и ИП

Заполняются бланки строгой отчетности как для ООО так и для ИП одинаково. После заполнения главный лист который Вы заполняли – оставляете себе и прилагаете к договору по оказанию услуг.

Второй квиток (дублирующий) отрываете и отдаете заказчику вместе с договором и актом выполненных работ.

В типографии бланки БСО выдают пачками, рекомендую для каждого заказа отделять главный и дублирующий бланк БСО от общей пачки так как при заполнении Вы можете продавить до следующего квитка и просто его испортить.

Не смотря на то что БСО не регистрируют в налоговой у него идет нумерация и в случае если вдруг бланк который Вы заполняли был испорчен выбрасывать его нельзя, а нужно сохранить, так как в случае налоговой проверки у Вас спросят где он.

Заполняем БСО для ИП и ООО

Как я говорил выше заполняются они совершенно одинаково, так что рассмотрим один образец заполнения БСО для организации:

Образец заполнения БСО главная страница

Образец заполненного отрывного листа БСО

Как видите в заполнении БСО нет ничего сложного. Соблюдайте нумерацию и для каждого БСО делайте договор об оказанных услугах. Так же смотрите подробности как вести учет БСО.

В настоящее время многие предприниматели для расчета налогов, взносов и сдачи отчетности онлайн используют данную Интернет-бухгалтерию, попробуйте бесплатно. Сервис помог мне сэкономить на услугах бухгалтера и избавил от походов в налоговую.

Процедура государственной регистрации ИП или ООО теперь стала еще проще, если Вы еще не зарегистрировали Ваш бизнес, подготовьте документы на регистрацию совершенно бесплатно не выходя из дома через проверенный мной онлайн сервис: Регистрация ИП или ООО бесплатно за 15 минут. Все документы соответствуют действующему законодательству РФ.

Если у Вас остались вопросы, то можно задать их в комментарии к статье или в социальную группу ВКОНТАКТЕ.

Всем успешного бизнеса! Пока!

Акт списания бланков строгой отчетности. Образец 2021

Акт списания бланков строгой отчетности, образец и бланк которого доступны для скачивания чуть ниже, является важным для многих организаций документом. Он подтверждает факт уничтожения БСО.

ФАЙЛЫ
Скачать пустой бланк акта списания бланков строгой отчетности .xls

Скачать образец акта списания бланков строгой отчетности .xls

Бланк строгой отчетности – это бумага, которая подтверждает факт получения денежных средств от граждан. Оплата поступает юридическому лицу или ИП за предоставленные услуги. Оформлять операции между юридическими лицами БСО категорически запрещается.

Законодательная база

Списание бланков строгой отчетности в законе регулируется Постановлением Правительства №359 от 6 мая 2008 года. Именно в нем описаны все нюансы процедуры. Также рекомендации по работе с БСО описывается в Приказе Минфина №52Н от 30 марта 2015 года. Это два основных документа, и ими следует руководствоваться при возникновении вопросов по теме.

Правила предписывают хранить акты подобного рода 5 лет (а точнее, их корешки). Даже если при заполнении БСО была допущена ошибка, его нельзя сразу же уничтожать. Как только документ был заполнен, он автоматически должен храниться до момента списания.

Обязательна ли именно такая форма

Муниципальные и государственные учреждения для этих целей с успехом используют форму 0504816 по ОКУД. Для них она утверждена законодательно и зафиксирована в качестве единственно возможной. С коммерческими же организациями процедура может быть мягче. Компания вправе сама разработать и закрепить за собой право использовать тот или иной бланк для заполнения акта списания бланков строгой отчетности. Но для этого нужно вносить его в учетную политику, разрабатывать приказ.

Таким образом, перспективу самостоятельного формирования рассматривают редко. Чаще всего скачивается обычный и принимаемый «на ура» проверяющими органами бланк формы 0504816. Он закрепился в деловых кругах. Кроме того, он удобен и имеет графы для размещения всех необходимых данных.

Важные условия

В приводимой документации помарки и исправления недопустимы.

Еще один значительный нюанс: для заполнения акта нужно отдельным приказом созывать комиссию.

Последняя выбирает из своих членов председателя. Именно эти люди будут нести ответственность в случае, если ситуация с бланками строгой отчетности выйдет из-под контроля. Они расписываются в документе в знак подтверждения факта окончательного списания БСО.

Элементы документа

Акт списания бланков строгой отчетности устроен достаточно просто. В начале его располагается:

  • Ссылка на законодательный акт, который предписывает его использование. Она содержится только в тех формах, которые не формируются организациями самостоятельно. Малейшее расхождение с типовой формой – и организация не имеет права публиковать ссылку на закон правом верхнем углу.
  • Виза руководителя учреждения. Она включает в себя: подпись, расшифровку подписи, должность начальника, печать организации (при наличии таковой).
  • Наименование документа с присвоенным ему номером. Именно этот номер вместе с датой подписания акта являются его опознавательным знаком при занесении в последующие регистрационные документы.
  • Мини-таблица с кодами. Там расположены: код по ОКУД (он уже проставлен в прилагаемом бланке), дата подписания акта, код по ОКПО.
  • Название организации. При необходимости – наименование структурного подразделения. Этот пункт особенно актуален при списании бланков строгой отчетности при проведении инвентаризации в рамках одного их подразделении компании.
  • ФИО материально ответственного лица, его должность.
  • Бухгалтерская информация: кредит и дебет счета, по которому проводится акт. Эта информация заполняется уже после поступления акта списания бланков строгой отчетности в бухгалтерию.
  • Перечисление состава комиссии. Оно включает ФИО председателя (отдельно) и членов комиссии с указанием должностей.

Продолжается документ ссылкой на приказ, сформировавший перечисленную комиссию по уничтожению БСО. Ниже обязательно должен быть обозначен период, в который произойдет списание документов.

Основная часть акта списания бланков строгой отчетности – это таблица с перечислением пригодных к уничтожению документов. Удобство таблицы в обилии данных, которые в нее могут быть помещены. Хотя приведенная в бланке таблица предполагает указание в каждой из строк:

  • Номера и серии бланка, подлежащего списанию.
  • Причины списания.
  • Даты уничтожения документа.

Продолжительность таблицы определяется только конкретными условиями, в частности, количеством БСО, трудностью принятия решения об их списании и пр.

Заключительная часть документа, которая может располагаться как на той же странице, так и на значительном расстоянии от начала (смотря по объему прикрепляемой таблицы), – это подписи комиссии во главе с председателем. Каждая подпись требует расшифровки. Также здесь указываются должности всех, кто ставит свои «автографы».

При каких условиях БСО подлежат уничтожению

Организация имеет право уничтожить любой из бланков строгой отчетности, только если у него истек пятилетний срок хранения. В дополнение к этому в организации не должна проводиться инвентаризация.

Согласно существующему законодательству, списание бланков строгой отчетности возможно только в случае, если инвентаризация проводилась более месяца назад. Однако именно факт проведения инвентаризации на практике служит отправной точкой для списания корешков бланков строгой отчетности, срок которых вышел.

Если бланк испорчен

Испорченный бланк вопреки распространенному убеждению не подлежит уничтожению сразу же. По закону он хранится так же, как и корешки действующих БСО, 5 лет. Он тоже регистрируется в книгах учета организации. Это нужно для соблюдения хронологического порядка, создания и поддержания системы в документообороте бланков строгой отчетности.

Таким образом, это действие закреплено законодательством не просто так. Любой произвольно взятый бланк строгой отчетности из регистрационных документов не старше 5 лет должен быть доступен для изучения.

За заполнение акта списания бланков строгой отчетности отвечает руководитель организации. Однако в большинстве случаев он перепоручает эти обязанности своим работникам. Это может быть кадровик, бухгалтер или любой другой сотрудник. Главное, чтобы этот функционал значился в трудовом договоре сотрудника.

карта сайта

Карта сайта

Записи по категориям

Бизнес-идеи (13), Бланки (15), Взносы (13), Взносы ПФР (20), Взносы ФСС (15), Документы (1), Касса ИП (1), Налоги (138), Налоги ЕНВД (35), Налоги ОСНО (14), Налоги УСН (49), Налоговые каникулы (1), НДФЛ (18), Новости (74), Нормативные документы (10), Открыть свой бизнес (6), Отчеты (20), Отчеты ЕНВД (1), Отчеты НДФЛ (8), Отчеты ПФР (7), Отчеты УСН (8), Отчеты ФСС (5), Патент (21), Полезное (29), Программы (6), Прочие налоги (6), Работники (1), Расчетный счет (12), Регистрация ИП (83), Самозанятые (3), Среднесписочная численность (5), Учет ИП (5), Учет кадров (17), Учет кассовых операций (21), Учет оплаты труда (18), Учет основных средств (7), Учетная политика (3), Электронный журнал (10)

Бизнес-идеи (13) ↑

Бланки (15) ↑

Взносы (13) ↑

Взносы ИП в 2016 году.

Взносы ПФР (20) ↑

Взносы ФСС (15) ↑

Документы (1) ↑

Касса ИП (1) ↑

Налоги (138) ↑

  • 2021/06/22 Отчет о вакцинации
  • 2021/05/25 Принудительное исключение ИП из ЕГРИП
  • 2021/04/28 Как совмещать УСН и патент
  • 2021/04/14 Как подать заявление на патент ИП в 2021 году
  • 2021/04/04 Нулевая декларация по УСН за 2021 год для ИП | Образец заполнения Доходы
  • 2021/03/11 Пошаговая инструкция по онлайн-подаче налоговой декларации по УСН
  • 2021/03/10 Какую отчетность сдают ИП на патенте
  • 2021/03/01 Сроки сдачи декларации по УСН за 2020 год для ИП
  • 2021/02/15 Как подать уведомление об уменьшении патента
  • 2021/02/08 ФНС утвердила новую декларацию по УСН
  • 2020/12/24 Какие изменения ждут ИП в 2021 году
  • 2020/12/16 Какой налоговый режим выбрать грузоперевозчикам после отмены ЕНВД?
  • 2020/12/08 Изменения в ПСН с 2021 года
  • 2020/10/27 Какую систему налогообложения выбрать вместо ЕНВД
  • 2020/10/22 Как составить договор между ИП и самозанятым?
  • 2020/09/01 Самозанятость для пенсионеров
  • 2020/08/11 Как ИП получить пособие по безработице?
  • 2020/05/13 Заполнение заявления по форме ЕНВД-4
  • 2020/03/30 Меры поддержки бизнеса в кризис из-за коронавируса
  • 2020/03/19 Заполняем декларацию по ЕНВД в 2020 году
  • 2020/03/11 Правила заполнения нулевой декларации ИП
  • 2020/02/28 Упрощённая система налогообложения — изменения 2020 года
  • 2020/01/27 Декларация УСН для ИП за 2020 год
  • 2019/11/27 Переход на УСН
  • 2019/11/20 Налоговые каникулы для ИП
  • 2019/11/12 Какую систему налогообложения стоит выбрать для ИП в 2021 году?
  • 2019/11/06 Какие изменения коснутся ЕНВД в 2021 году для ИП
  • 2019/09/16 Сколько налогов платит ИП
  • 2019/08/14 Заявление на патент для ИП на 2019 год
  • 2019/07/16 Какую систему налогообложения выбрать ИП для грузоперевозок?
  • 2019/06/18 Патент на работу для иностранных граждан в 2019 году
  • 2019/04/20 Налогообложение ИП или какие налоги платит предприниматель в 2019 году
  • 2019/04/18 ИП на упрощенной системе налогообложения (УСН) в 2021 году
  • 2019/04/08 Декларация по УСН за 2018 год для ИП: образец заполнения Доходы и Доходы минус расходы
  • 2019/03/22 Отчетность УСН в 2021 году за 2020 год: таблица и сроки сдачи деклараций и отчетов
  • 2019/03/09 Уточненная декларация по НДС и не только: подаём уточнёнку правильно
  • 2019/02/24 ИП с НДС: плюсы и минусы 2021
  • 2019/01/30 Налоги для самозанятых граждан в 2019 году
  • 2019/01/29 Книга доходов и расходов ИП на ОСНО
  • 2019/01/27 Учредительные документы для ИП в 2021 году
  • 2018/11/20 ИП Патент: налоги и обязательные платежи
  • 2018/11/15 Авансовые платежи ИП по УСН в 2018 году: сроки уплаты и порядок расчета
  • 2018/10/04 Уменьшение налога УСН на сумму страховых взносов в 2021 году для ИП
  • 2018/07/03 Патент для ИП на 2019 год: список видов деятельности
  • 2018/06/30 Налогообложение интернет магазина в 2021 году: настраиваем налоги для онлайн-торговли
  • 2018/06/27 Подаем заявление на УСН для ИП на 2021 год при регистрации
  • 2018/06/26 Налоговые каникулы для ИП в 2020 году
  • 2018/03/28 Необоснованная налоговая выгода в 2018 году
  • 2018/03/05 Налоговая амнистия 2018 для ИП: физическим лицам простят налоги?
  • 2018/01/11 Изменения для ИП в 2018 году: налоговые и не только
  • 2017/12/27 Налоговые льготы для ИП в 2019 году
  • 2017/02/16 Новая форма декларации по УСН за 2017 год с образцом заполнения
  • 2016/12/22 Как правильно рассчитать авансовые платежи по УСН
  • 2016/12/14 Заявление на получение патента для ИП на 2017 год: скачать образец и бланк
  • 2016/12/13 Как заполнить КУДИР для ИП на УСН | Образец
  • 2016/10/26 Пример заполнения формы 6-НДФЛ за 3 квартал 2016 года
  • 2016/09/27 Подготовка заявления о применении ЕНВД с бланком от 2016 года
  • 2016/09/27 Применение ЕНВД в 2017 году индивидуальными предпринимателями
  • 2016/09/27 Виды деятельности ЕНВД
  • 2016/09/27 Калькулятор ЕНВД 2016 года с примерами расчетов для ИП
  • 2016/09/03 Документы для регистрации ИП: заполняем бесплатно и без ошибок
  • 2016/08/25 Обновленная форма 2-НДФЛ 2017 года: основные новшества и отличия
  • 2016/08/25 КБК НДФЛ 2016 за сотрудников: узнать и расшифровать
  • 2016/08/25 ИП без работников: нужно ли сдавать в ФНС отчетность по форме 6-НДФЛ?
  • 2016/08/25 Справка 2-НДФЛ для ИП: инструкция по заполнению
  • 2016/08/17 Проверяем бухгалтерию, а заодно и бухгалтера.
  • 2016/07/26 Сдаем 6-НДФЛ за полугодие 2017: без ошибок и потери времени
  • 2016/04/21 Страховые взносы ИП в 2016 году
  • 2016/03/26 Книга доходов и расходов УСН, порядок заполнения. Часть 1.
  • 2016/03/24 Общая система налогообложения (ОСНО) для ИП
  • 2016/03/20 Подводные камни УСН «Доходы минус расходы»
  • 2016/03/19 Совмещение ЕНВД и УСН
  • 2016/03/10 Продажа пива в розницу
  • 2016/03/10 Учет кредитов и займов
  • 2016/03/04 ЕНВД: перевозка грузов
  • 2016/02/25 Налоговая и штрафы
  • 2016/02/21 Платежное поручение за работников: образец заполнения
  • 2016/02/20 Товарный чек
  • 2016/02/12 ИП начинает бизнес в другом регионе – регистрация, налоги, отчетность
  • 2016/02/02 ЕНВД: перевозка пассажиров
  • 2016/01/28 Книга доходов и расходов, порядок заполнения. Часть 2
  • 2016/01/27 Принимаем работника на работу | Инструкция для ИП
  • 2016/01/16 Товарная накладная
  • 2016/01/15 Можно ли вернуть излишне уплаченные налоги и как это сделать?
  • 2016/01/11 Универсальный передаточный документ (УПД)
  • 2016/01/10 Уведомление (заявление) на УСН
  • 2016/01/02 Расходы, уменьшающие полученные доходы по УСН
  • 2015/12/28 Необлагаемые налогом доходы при УСН
  • 2015/12/24 Бланки строгой отчетности при оказании бытовых услуг
  • 2015/12/20 Снятие с учета ЕНВД: заявление ЕНВД-4 и новая форма ЕНВД-3
  • 2015/12/11 Добровольные взносы ИП в ФСС
  • 2015/12/10 Аренда транспортного средства
  • 2015/12/06 Налогообложение интернет-магазина
  • 2015/06/30 Торговый сбор уже в Москве – не забудьте подать уведомление
  • 2015/05/19 Патент 2015: что нового?
  • 2014/12/15 Страховые взносы ИП за 2014 год
  • 2014/12/01 Что нового ожидает предпринимателей в 2015 году?
  • 2014/11/03 Интернет-магазин: система налогообложения и учет
  • 2014/08/18 Налоговые новости 3-го квартала 2014 года
  • 2014/07/21 Спорные ситуации по ЕНВД
  • 2014/07/14 Имеют ли право налоговики проводить контрольную закупку?
  • 2014/07/07 Как получить отсрочку по платежам в бюджет?
  • 2014/06/16 Отчетность за работников РСВ-1 по новой форме
  • 2014/06/02 Форма 4-ФСС по новым правилам
  • 2014/05/22 Как проверить контрагента
  • 2014/05/12 Как получить электронную цифровую подпись?
  • 2014/05/03 Риски налоговой проверки для ИП
  • 2014/04/11 Налоговые новости от 11.04.14
  • 2014/04/06 Заполняем декларацию по УСН за 2013 год
  • 2014/04/04 Налог на имущество ИП – быть или не быть?
  • 2014/03/27 Календарь отчетов и платежей для ИП в 2014 году
  • 2014/02/06 Можно ли ИП — часть 3
  • 2014/01/30 Уменьшение налогов УСН, ЕНВД, патента
  • 2014/01/27 Можно ли ИП — часть 2
  • 2014/01/12 Платежные поручения с 2014 года
  • 2013/12/23 Порядок расчета численности работников на ЕНВД
  • 2013/12/20 Новые коэффициенты на 2014 год
  • 2013/11/22 Переход на УСН с других режимов налогообложения
  • 2013/11/13 Переход на ЕНВД в начале и течение года
  • 2013/10/21 Письма Минфина об уменьшении налогов ИП
  • 2013/10/09 Бартер и взаимозачёт при УСН
  • 2013/10/07 Финансовая помощь учредителя компании
  • 2013/10/04 Обособленное подразделение при УСН
  • 2013/09/06 Электронные деньги – шаг в будущее
  • 2013/08/21 Налог ЕНВД и его особенности
  • 2013/08/07 Расчет ЕНВД
  • 2013/07/24 ЕНВД розничная торговля
  • 2013/07/06 ЕНВД 2013 для ИП
  • 2013/06/15 Возмещение НДС
  • 2013/06/11 Возврат аванса при УСН
  • 2013/06/07 Расчет НДС
  • 2013/05/31 Что из себя представляет Интернет-витрина?
  • 2013/05/29 Ставка НДС
  • 2013/05/18 Особенности применения патента в письмах Минфина РФ
  • 2013/03/29 Освобождение от НДС
  • 2013/03/10 Форма ЕНВД 2 — постановка на учет
  • 2013/02/08 Уменьшение налогов при совмещении ЕНВД и УСН за 2012, 2013 год
  • 2013/01/20 Новые КБК на 2013 год
  • 2013/01/17 Переход на патентную систему налогообложения
  • 2013/01/14 Утверждена новая книга доходов и расходов УСН на 2013 год
  • 2012/12/23 Изменения законодательства для ИП в 2013 году
  • 2012/12/20 Уплата страховых взносов ИП в 2013 году
  • 2012/12/04 Патент 2013
  • 2012/11/08 Уплата страховых взносов за работников
  • 2012/11/08 Образцы платежных поручений ИП «за себя» в 2012 году
  • 2012/10/20 ЕНВД 2013: изменения и применение
  • 2012/10/02 Новости недели (24.09.2012 – 30.09.2012)
  • 2012/09/12 Виды деятельности ЕНВД
  • 2012/09/09 Визитки своими руками онлайн
  • 2012/08/25 ИП в декрете и другие пособия для предпринимателей
  • 2012/08/11 Использование личного автомобиля работником
  • 2012/07/15 Платят ли НДФЛ ИП?
  • 2012/07/08 Учет НДС при УСН
  • 2012/06/25 Внереализационные доходы при УСН
  • 2012/06/23 Учет доходов при УСН
  • 2012/06/09 Как оформить отпуск и пособие по уходу за ребенком
  • 2012/06/06 Расчет транспортного налога и авансовых платежей
  • 2012/05/16 Образец заполнения книги доходов и расходов УСН
  • 2012/05/06 Срок уплаты НДФЛ с отпускных
  • 2012/05/05 Как передать налоговый вычет на ребенка, если у супругов разное количество детей
  • 2012/04/27 Налоговый вычет на ребенка можно передать супругу
  • 2012/04/06 Снятие с учета в ФСС
  • 2012/04/04 Регистрация в ФСС
  • 2012/03/30 Подтверждение основного вида деятельности в ФСС в 2012 году
  • 2012/02/27 Виды деятельности по патенту
  • 2012/02/13 Профессиональные налоговые вычеты по НДФЛ
  • 2012/02/12 Имущественный налоговый вычет по НДФЛ
  • 2012/02/10 Социальный налоговый вычет по НДФЛ
  • 2012/02/08 НДФЛ — налоговая база, льготы,вычеты
  • 2012/02/01 Кто платит пониженный тариф страховых взносов в ПФР?
  • 2012/01/25 Изменились стандартные налоговые вычеты по НДФЛ
  • 2012/01/25 Новые КБК на 2012 год
  • 2012/01/23 Изменились взносы ИП в ПФР с 2012 года
  • 2012/01/23 Упрощенная система налогообложения для ИП — уменьшаем налог
  • 2012/01/22 Рассчитываем земельный налог
  • 2012/01/21 Исчисление транспортного налога за 2011 год
  • 2012/01/16 Патентная система налогообложения для ИП
  • 2012/01/16 Прочие налоги для ИП при любой системе налогообложения
  • 2012/01/15 УСН для ИП с наёмными работниками
  • 2011/12/21 ЕНВД для ИП с наёмными работниками
  • 2011/12/20 Упрощенная система налогообложения для ИП без работников
  • 2011/12/19 Налогообложение в виде ЕНВД для ИП без работников
  • 2011/12/18 Какую систему налогообложения выбрать индивидуальным предпринимателям?
  • 2011/11/22 Как уменьшить налоги малому бизнесу?
  • 2011/11/22 Уведомление об открытии банковского счета в ФСС
  • 2011/11/22 Сообщение об открытии счета в ПФР
  • 2011/11/22 Сообщение от открытии счета в ИФНС
  • 2011/11/21 Заявление о переходе на УСН
  • 2011/11/21 Квитанция об уплате госпошлины

Налоги ЕНВД (35) ↑

Налоги ОСНО (14) ↑

Налоги УСН (49) ↑

Налоговые каникулы (1) ↑

Как получить Налоговые каникулы для ИП, какие виды деятельности подпадают под льготы и всем ли индивидуальным предпринимателям доступно это предложение? Читайте статьи рубрики, чтобы разобраться в теме и заполучить желанную налоговую ставку в 0%.

НДФЛ (18) ↑

Новости (74) ↑

Нормативные документы (10) ↑

Открыть свой бизнес (6) ↑

Отчеты (20) ↑

Отчеты ЕНВД (1) ↑

Отчеты НДФЛ (8) ↑

Отчеты ПФР (7) ↑

Отчеты УСН (8) ↑

Отчеты ФСС (5) ↑

Патент (21) ↑

Полезное (29) ↑

Программы (6) ↑

Прочие налоги (6) ↑

Работники (1) ↑

Расчетный счет (12) ↑

Регистрация ИП (83) ↑

Самозанятые (3) ↑

Среднесписочная численность (5) ↑

Учет ИП (5) ↑

Учет кадров (17) ↑

Учет кассовых операций (21) ↑

Учет оплаты труда (18) ↑

Учет основных средств (7) ↑

Учетная политика (3) ↑

Электронный журнал (10) ↑

Бланк строгой отчетности в 2019 году: форма, книга учета, печать и изготовление, использование и уничтожение

Когда применяются бланки строгой отчетности?

Бланки строгой отчетности для ООО применяются при приемке наличных средств у населения, если компания оказывает им услуги или выполняет определенный законодательством перечень работ. При этом не имеет разницы, какую систему налогообложения использует организация. Такого рода платежные квитанции могут быть применены при комплексной работе одновременно на кассовой технике (ККТ) и с использованием бланков (БСО).

Если компания не оказывает социальных услуг, такие документы используются на ЕНВД (вмененке), если общество работает без ККТ. Аналогичная возможность предоставляется предпринимателям, функционирующим по патенту (ПСН). Следует помнить, такая возможность действительна до начала июля 2018 года, когда правительством установлен обязательный ввод ККТ нового типа.

Оформление бланков строгой отчетности

Форма БСО для некоторых сфер профессиональной деятельности может быть установлена законодательно. Например, приказ Минфина № 3н от 14.01.08 г. утверждает формы для залогового билета и сохранной квитанции. В большинстве случае форма бланка не регламентирована и может быть составлена самостоятельно. При этом в его содержание должны быть включены реквизиты, перечень которых установлен постановлением правительства № 359 от 06.05.08 г.:

  1. Название этого документа.
  2. Его номер из шести символов и серия.
  3. Описание вида деятельности, за выполнение которого выплачивается денежное вознаграждение.
  4. Фактическая величина полученной наличности.
  5. День и время осуществления торговой операции.
  6. Ф.И.О кассира или иного уполномоченного исполнять такие действия гражданина.

Назначенное лицо, ответственное за заполнение бланка, должно официально числиться сотрудником компании, и с ним – заключено специальное соглашение или договор о материальной ответственности. По факту заполнения документ заверяется росписью уполномоченного и печатью или штампом организации.

Бланк строгой отчетности для ООО в 2017 году должен быть изготовлен типографским способом или с использованием автоматизированной системы. Перечень последних утверждается ЦБ РФ (Банком России). Изготовить самостоятельно составленный образец такого документа на обычном принтере с использованием прикладных компьютерных программ нельзя.

Для печати следует воспользоваться услугами типографии или приобрести автоматизированное устройство. При изготовлении такими способами на отпечатываемом листе создаются уникальные элементы, подтверждающие идентичность БСО, а также указываются серийный номер и шестизначный шифр, обеспечивающие защиту от незаконного тиражирования «платежки».

При любом варианте изготовления для каждой проведенной операции с наличностью должен быть гарантирован срок хранения не менее 5 лет. Если бланк напечатан в типографии, заполненные документы прикрепляются в книгу учета бланков строгой отчетности, а последняя хранится указанный срок. В случае изготовления автоматизированной системой, она должна сохранять в своей памяти информацию о торговой операции также в течение этого периода.

Где взять образец бланка строгой отчетности для ООО?

Печать бланков строгой отчетности может реализовываться по следующим сценариям:

  • Может быть составлена самостоятельно с внедрением в ее структуру обязательных реквизитов.
  • Оформляется в соответствии законодательства для отдельных видов предпринимательства. Например, печать билетов для проезда в транспорте регулируется собственным положением.
  • Может быть скачена на специальном ресурсе в сети интернет.

Пример по использованию бланков строгой отчетности ООО

ООО, использующее УСН, оказывает услуги населению, связанные с установкой и ремонтом сантехники. На очередном общем собрании приняли решение, что компания продолжит деятельность без использования кассовой техники, а с начала 2018 приобретет ККТ с новым модулем, позволяющим через интернет синхронизировать отчетность с налоговым органом.

Согласно законодательству прием наличности у населения должен сопровождаться выдачей последним платежного уведомления и непосредственным заполнением бланка специальной формы, установленной приказами министерства финансов (для отдельных сфер предпринимательства) или самой компанией. При этом печать документа должна производиться в типографии или с использованием автоматизированной системы.

На собрании общества был установлен образец бланка, включающий обязательные реквизиты, и принято решение о его тираже в ближайшей типографии. После изготовления на каждой копии платежного документа был отображен индивидуальный шестизначный серийный номер.

Приемка образцов БСО в компании произошла под роспись бухгалтера в присутствии руководителя. После оказания каждой услуги и получения денежных средств в качестве оплаты, заполняется платежный документ, отрывная часть которого передается клиенту, а оставшаяся прикладывается в соответствующую книгу учета (БСО может состоять из нескольких частей, как в приведенном примере, так и быть заполнена через копировальный лист).

Заключение

Бланки строгой отчетности вместо кассового аппарата 2017 используются организациями, если они непосредственно работают с населением или применяют одну из специализированных систем налогообложения (например, ЕНВД). Основные выводы:

  • Такая платежка изготавливается в типографии или специальным устройством.
  • Заполненные БСО прикрепляются в книгу учета, хранящуюся не менее 5 лет.
  • Бланк строгой отчетности должен содержать обязательные сведения о реализуемой услуге и полученной за это компенсацией в денежном эквиваленте.

Наиболее популярные вопросы и ответы на них по использованию бланков строгой отчетности ООО

Вопрос: Здравствуйте. Меня зовут Петр Владимирович. Что делать с бланком, отпечатанным типографским способом, если в нем при заполнении была допущена ошибка?

Ответ: Добрый день, Петр Владимирович. Согласно постановлению правительства № 359 от 06.05.08 г. испорченный документ перечеркивается и прикладывается к книге учета бланков в тот лист, который датирован датой, когда была допущена ошибка.

Список законов

Вам могут быть интересны следующие статьи:


Остались вопросы и ваша проблема не решена? Получите бесплатную консультацию у юристов прямо сейчас

Внимание, акция! Получите бесплатную консультацию прямо сейчас по телефонам горячих линий!

Заявки и звонки принимаются круглосуточно и без выходных дней.


Сохраните статью себе!

Бланк строгой отчетности — форма и образец для ИП и ООО, учет и списание, как заполнять?

На сегодня многими предприятиями используется огромное количество бухгалтерской документации, которая требует особых условий заполнения, формирования и хранения.

Что собой представляет бланк строгой отчетности

Это документ, подтверждающий факт расчета с определенными клиентами, используется такой вариант в организациях, не располагающих кассовыми аппаратами.

Для использования данных бланков необходимо, чтобы деятельность предприятия соответствовала перечню, установленному НК РФ.

Важно: такой документ недопустимо использовать в расчетах между юридическими лицами, но при расчетах между ИП он используется, нельзя подтверждать выполнение сделки в такой способ с юридическим лицом.

БСО используется только для правоотношений с физическими лицами, обычно такие бланки применяются для оказания бытовых услуг населению. Такой бланк полноценно заменяет товарный чек.

Как использовать БСО на практике – смотрите в этом видео:

Кто и когда составляет бланк

Выдается такой бланк при расчетах наличными или с помощью электронных средств платежа в момент предоставления услуг предприятиями и предпринимателями физическим лицам, при этом последствия за его невыдачу приравниваются к последствиям за невыдачу кассового чека, так как эти два документа взаимозаменяемы.

Формируются данные документы при помощи специализированной техники – ККТ, которая регистрируется по той же системе, что и кассовые аппараты, но только она предназначена для выдачи БСО.

Важно: с 2017 года при регистрации ККТ необходимо указывать, что она будет применяться исключительно для использования при предоставлении услуг населению.

Законом допускается разработка бланков БСО организацией самостоятельно, но при этом он должен содержать все необходимые данные, кроме того перед началом его использования документ необходимо согласовать с типографией, которая распечатает подобные бланки и зарегистрировать форму в налоговой инспекции.

Размеры документа могут быть абсолютно разные, но использование одинаковых вариантов несколькими фирмами недопустимо.

Важно: распечатывание бланка на компьютере недопустимо, так как он может не сохранять всех сведений положенное время и имеет доступ многих людей. Что представляет собой инкассовое поручение и в чем его ключевые особенности вы узнаете в публикации по ссылке.

Разновидности БСО

К БСО имеют принадлежность многие бланки, но существуют для определенных отраслей специальные формы, предусмотренные законодательством:

  • Путевки;
  • Квитанции на оплату газоснабжения;
  • Железнодорожные билеты;
  • Авиабилеты;
  • Сохранные квитанции;
  • Документы на право перевозки пассажиров и их багажа между городами;
  • Билеты в кинотеатрах и театрах;
  • Чеки в ломбардах;
  • Наряды.

К примеру, форма БО-18 используется для расчетов с постояльцами отелями, гостиницами и прочими подобными комплексами.

Учет бланков строгой отчетности

Вне зависимости от варианта изготовления бланка, его учетом занимается ответственное лицо, обычно это бухгалтер, который вносит все данные в книгу учета БСО.

Форма данной книги свободная, но в нее необходимо вносить основные реквизиты документов – дата выдачи, номер и серия.

Бланки хранятся в процессе всего периода действия книги, которая должна соответствующе составляться и вестись – листы нумеруются и шнуруются, сама книга содержит печать, дату начала ведения и подпись ответственного лица, если это организация ее печать с реквизитами.

С 2017 года для предприятий процедура принятия на учет бланков несколько изменена, теперь их обязана принимать целая комиссия, а не одно лицо с составлением соответствующего акта.

Пример бланка строгой отчетности.

Форма и реквизиты документа

Бланки, формы которых не числятся в перечне обязательных, допустимо формировать организациям самостоятельно, однако они должны содержать основные сведения:

  • Название, номер и серия;
  • Наименование организации или ФИО ИП;
  • ИНН. Как восстановить ИНН при утере – читайте здесь;
  • Контактные сведения;
  • Наименование и стоимость услуги;
  • Указание прописью и цифрами полученную сумму;
  • Дата предоставления услуги и заполнения бланка;
  • ФИО выполнившего операцию сотрудника;
  • Его должность и подпись;
  • При наличии дополнительные сведения.

Особенности использования БСО вместо кассового чека

До 2018 года использовать БСО вместо кассового чека разрешено только тем организациям, деятельность которых соответствует установленным требованиям.

К таким организациям имеют отношения именно те, которые работали и ранее без ККТ и выдавали бланки строгой отчетности, кроме этого данным вариантом могут пользоваться предприятия на ЕНВД и ПСН. Тут вы узнаете, как заполнить заявление о регистрации ККТ.

После 1 июля 2018 года все организации, которым разрешено использовать бланки БСО согласно старым правилам, будут выдавать их посредством специальных аппаратов.

В данном случае формирования бланка допустимо самостоятельно, но с содержанием основных моментов, стандартных для бланка строгой отчетности:

  • Реквизиты организации и контактная информация;
  • Дата составления документа и его наименование;
  • Тип услуг;
  • Стоимость каждой и общий итог;
  • Подпись лица, составившего бланк;
  • Ссылка на то, что данная квитанция является БСО.

Правила составления бланка

Чтобы соответствующе оформить бланк необходимо соблюдать правила:

  • Обязательное указание серии и шестизначного номера;
  • Четкое указание название услуги и ее стоимость, если услуг несколько цена по каждой с выведением итога;
  • Реквизиты организации или индивидуального предпринимателя необходимо указывать в полном объеме;
  • Также важно указать количество предоставленных для расчета денежных средств от клиента;
  • Дата заполнения, получения средств, а также данные лица, выполняющего расчет.
Как избежать ошибок

Недопустимо формирование бланков кроме выше указанных способов, нельзя их писать от руки или распечатывать на компьютере. Недопустимо использовать бланки для расчета с юрлицами.

У каждой структуры должен быть свой образец бланка, недопустимо их формирование в одинаковых вариантах для нескольких фирм.

Формировать бланк необходимо в момент непосредственного обслуживания клиента. Бланк должен правильно учитываться, храниться и списываться.

Форма бланка строгой отчетности.

БСО для ООО и ИП – особенности

Для индивидуального предпринимателя использование данных бланков является допустимым, так как они согласно законодательству не являются юридическими лицами, но с ООО дела обстоят несколько иначе.

Если пользоваться законами от 2008 года, то для них недопустимо использование БСО за исключением предоставления услуг гражданам и ИП, но при обращении внимания на закон 2003 года стает ясно, что организации имеют право использовать только кассовые аппараты.

При этом следует учитывать изменения в 2017 году, согласно которым все дубликаты БСО необходимо отправлять в электронном виде в контролирующие органы.

Формирование же самого документа практически ничем не отличается за исключением реквизитов – ИП указывает свои ФИО, а предприятие свои реквизиты и ФИО исполнительного лица. Важно: использовать допустимо данный вариант только до июля 2018 года.

Списание и хранение

Бланк строгой отчетности является важным документом, так что его хранение выполняется в отдельном закрытом помещении таким же образом, как и книга по его учету.

Период хранения самих форм бланков законодательством не предусмотрен, однако хранение корешков, запечатанных в специальные мешки, обязательно имеет продолжительность 5 лет.

Их недостача и отсутствие выявляется в ходе инвентаризации, которая проводится по истечению срока хранения специальной комиссией для списания бланков.

После выполнения инвентаризации всех корешков испорченных, в том числе, происходит их уничтожение вместе с бланками, пришедшими в негодность. Важно: все действия по списанию и уничтожению выполняются согласно приказу руководителя.

Уничтожать бумаги отчетности возможно в несколько способов:

  • Членами комиссии при небольших объемах;
  • При помощи спецоборудования, если количество документов умеренное;
  • При помощи специализированных фирм в случае больших используемых объемах.

Заключение

Бланки строгой отчетности имеют то же юридическое значение, что и чеки, полученные посредством кассовых аппаратов, с 2018 года их применение несколько измениться, так как возможно будет выдавать их подобно чекам, посредством автоматических аппаратов, необходимы будут электронные версии для ООО.

Что представляют собой бланки строгой отчетности вы узнаете тут:

Не забудьте добавить «FBM.ru» в источники новостей

Документация для ИП и ООО за 2018 год – актуальные бланки

Регистрация / Закрытие / Перерегистрация ИП

Регистрация ИП. Форма № P21001 (формат PDF или формат Excel). Скачать образец заполнения.

Закрытие ИП. Форма № P26001 (формат PDF или формат Excel). Скачать образец заполнения.

Перерегистрация ИП. Форма № P24001 (формат PDF или формат Excel).

 

Документы для каждой системы налогообложения

УСН — Переход на УСН. Форма № 26.2-1 (формат PDF или формат Excel). Скачать образец заполнения.

ЕНВД — Заявление о переходе на ЕНВД для организаций (форма № ЕНВД-1).

  • Заявление о переходе на ЕНВД для ИП (форма № ЕНВД-2).
  • Заявление о снятии с учёта ЕНВД для организаций (форма № ЕНВД-3).
  • Заявление о снятии с учёта ЕНВД для ИП (форма № ЕНВД-4).

 

ЕСХН — Уведомление о переходе на ЕСХН (форма № 26.1-1).

  • Прекращение предпринимательской деятельности (форма № 26.1-7).
  • Утрата права на применение ЕСХН (форма № 26.1-2).
  • Отказ от применения ЕСХН (форма № 26.1-3).

 

ПАТЕНТ — Заявление на получение патента. Форма № 26.5-1 (формат PDF).

  • Скачать образец заполнения форма № 26.5-1.
  • Утрата права на применение патента (форма № 26.5-3).
  • Прекращение предпринимательской деятельности на ПСН (форма№ 26.5-4).
  • Классификатор видов деятельности ПСН по регионам.

 

Документы, связанные с кассовым аппаратом (ККТ / ККМ)
  1. Заявление о регистрации ККТ. Форма по КНД 1110021 (формат PDF или формат Excel).
    Скачать образец заполнения.
  2. Журнал кассира-операциониста (форма КМ-4). Скачать образец заполнения.
  3. Справка-отчёт кассира-операциониста. Форма КМ-6 (формат Excel или формат Word).
    Скачать образец заполнения.
  4. Журнал учёта вызовов технических специалистов (форма КМ-8).
  5. Приходный кассовый ордер (ПКО). Форма КО-1 (формат Excel или формат Word).
  6. Расходный кассовый ордер (РКО). Форма КО-2 (формат Excel или формат Word).
  7. Кассовая книга (форма КО-4).
  8. Акт о возврате (форма КМ-3).

 

Регистрация / Снятие с учёта в страховых фондах

1) Регистрация в Пенсионном фонде в качестве работодателя (формат Word).

2) Регистрация в Фонде Социального Страхования (ФСС) в качестве работодателя (формат Word).

3) Заявление на добровольное страхование в ФСС (формат Word).

4) Снятие с учёта в ПФР в качестве работодателя (формат Word).

5) Снятие с учёта в ФСС в качестве работодателя (формат Word).

 

Налоговые вычеты

Общее для всех налоговых вычетов — Заявление в налоговую на возврат НДФЛ.

Имущественный вычет

— Заявление в налоговую для получения права вычета через работодателя.

— Заявление работодателю на предоставление вычета.

— Заявление на распределение долей в совместной собственности.

Вычет на детей

— Заявление работодателю на предоставление вычета.

90% компаний, входящих в индекс S&P 500, публикуют информацию об устойчивом развитии

Основные моменты:

Институт G&A объявляет о результатах своего ежегодного анализа отчетности в области устойчивого развития S&P 500.
Top Line: 90% опубликованных S&P 500 отчетов об устойчивом развитии — рекордный максимум!

НЬЮ-ЙОРК, 16 июля 2020 г. (GLOBE NEWSWIRE) — В течение почти десяти лет Институт управления и подотчетности (G&A) внимательно следил за тенденциями в области отчетности в области устойчивого развития и раскрытия информации публично торгуемых компаний, включенных в индекс S&P 500®.Эти отчеты также иногда называются отчетами об ответственности, гражданстве или ESG.

Эта совокупность коммерческих предприятий представляет более 80% непогашенного капитала крупнейших компаний США. Индекс S&P 500 с большой капитализацией используется тысячами участников глобального инвестиционного сообщества для выбора акций индексными менеджерами и менеджерами различных классов активов.

Ежегодная серия исследований G&A началась девять лет назад с анализа деятельности по отчетности в области устойчивого развития за 2011 год, когда мы обнаружили, что только около 20% компаний из списка S&P 500 публиковали отчет по устойчивому развитию .G&A обнаружило, что объем отчетности неуклонно растет с 2011 года, а содержание отчетов со временем значительно расширилось. К 2012 году более половины (53%) компаний публиковали отчеты. Этот процент вырос до 75% к 2014 году и до 86% к 2018 году.

В только что завершенном исследовании 2020 года, изучая отчетную деятельность за 2019 год, G&A определила, что 90% — 9 из 10 компаний в S&P 500 публиковали отчет об устойчивом развитии.

В исследовательском отчете за 2020 год представлена ​​разбивка лиц, не являющихся репортерами, по секторам, тех, кто использует широко используемые структуры и стандарты (GRI, SASB, TCFD), тех, которые соответствуют ЦУР ООН, а также исследуются тенденции в области внешнего подтверждения и отчетности по результатам опросов (CDP, CSA / DJSI).

Пример результатов исследования этого года:

  • 51% компаний, составляющих отчеты S&P 500, используют GRI
  • 14% репортеров S&P 500 представили соответствие с SASB
  • 5% репортеров S&P 500 представили соответствие с TCFD
  • 36% репортеров S&P 500 представили согласование с конкретными ЦУР ООН
  • 29% репортеров S&P 500 использовали внешнее подтверждение
  • 65% компаний S&P 500 ответили на CDP

Прочтите полный отчет, чтобы получить более подробные отчеты и подробную информацию о S&P 500.

Луи Коппола , исполнительный вице-президент / соучредитель, разработчик / руководитель всех годовых анализов, объясняет: «В этом году мы начали исследование до пандемии COVID-19. Мы ожидали значительного роста отчетности компаний, особенно в ответ на экспоненциально растущий спрос со стороны инвесторов, и мы это сделали. По мере того, как пандемия разваливалась, исследование за исследованием подтверждали ценность ESG / устойчивости, поскольку инвестиции в ESG превосходили рынок во время кризиса. Благодаря нашему 9-летнему исследованию S&P 500 отчетность в области устойчивого развития не только выросла среди крупнейших компаний США.S., он также стал более сложным, зрелым и полезным для принятия решений инвесторами / заинтересованными сторонами. В этих условиях мы очень рады видеть результаты этого года ».

Хэнк Бёрнер , председатель совета директоров / главный стратег / соучредитель, добавляет: «За годы исследований мы наблюдали неуклонное расширение отчетности в ответ на важные факторы. Эти движущие силы включают давление со стороны коллег, растущий спрос со стороны инвесторов и других важных заинтересованных сторон на более широкое раскрытие корпоративных стратегий, действий и достижений в области ESG.Это привело к стремлению корпоративного сектора достичь лидерства в отрасли, получить конкурентное преимущество — и, что очень важно, преуспеть в конкурентной борьбе за капитал. Мы бы спросили оставшиеся 10% нерепортеров во вселенной S&P 500: чего вы ждете? »

Элизабет Петерсон , старший аналитик по устойчивому развитию, наблюдает и контролирует талантливую исследовательскую группу, комментирует: «В этом году ежегодный анализ G&A был поднят на новый уровень. Наша команда глубже погрузилась в исследование S&P 500, включая изучение использования таких стандартов / структур отчетности, как GRI, SASB и TCFD.Мы смогли определить, какие отрасли показывают лучшие результаты, а какие отстают по процентной доле опубликованных отчетов об устойчивом развитии. Мы считаем, что выводы команды о тенденциях в области отчетности за 2019 год публикации будут приветствоваться инвестиционным сообществом и корпоративным сектором ».

О ГРУППЕ ИССЛЕДОВАНИЙ G&A

G&A с гордостью отмечает нашу исследовательскую группу, внесшую значительный вклад в это исследование:

  • Научный руководитель : Элизабет Петерсон, старший аналитик по вопросам устойчивого развития G&A;
  • Руководители групп / Аналитики по вопросам устойчивого развития G&A : Рейли Сакаи и Джулия Неринг;
  • Аналитики-стажеры : Лама Аларадж, Сара Эль-Милиджи, Келли Мамфорд, София Ялама и Бинью Чжао.

Чтобы прочитать полный отчет, перейдите по адресу:
https://www.ga-institute.com/research-reports/flash-reports/2020-sp-500-flash-report.html

О G&A Institute, Inc. : www.ga-institute.com

о S&P 500 : https://us.spindices.com/index-family/equity/us -equity / us-market-cap # overview

 

AI Reports

AI Reports® уже доступен!

Формы AI Reports® доступны для использования всеми оценщиками, а не только профессионалами Института аттестации.

История AI Reports®

Когда Fannie Mae и Freddie Mac обновили свои формы оценки в 2005 году, стало совершенно ясно, что единственным признанным предполагаемым использованием было ипотечное кредитование. Обновленная форма 1004 содержала новое предложение, которое заметно отображалось в верхней части первой страницы, которое меняет правила игры для оценщиков жилого фонда: Цель этого сводного отчета об оценке состоит в том, чтобы предоставить кредитору / клиенту точное и адекватно обоснованное мнение о рыночной стоимости объекта недвижимости.Кроме того, сертификация на четвертой странице 1004 подтверждает эту цель, заявляя, что предполагаемое использование этого отчета об оценке заключается в том, чтобы кредитор / клиент оценил имущество, которое является предметом этой оценки для сделки по ипотечному финансированию, а также предполагаемое использование. Пользователь этого отчета об оценке является кредитором / клиентом.

Видя явную пустоту для многих других предполагаемых целей оценки, Appraisal Institute сформировал инициативу AI Reports®. Миссия инициативы AI Reports® — разработать форматы отчетов об оценке, разработанные оценщиками и для оценщиков.

В 2005 году Appraisal Institute выпустил свою первую форму AI Reports®, Summary Appraisal Report Residential, с столь необходимым акцентом на объем работ, что позволяет оценщику более точно адаптировать отчет к тому, что подходит для каждого конкретного задания. . В начале 2009 года Appraisal Institute выпустил обновленную форму Краткого отчета об оценке жилого фонда, а также три дополнительных формы AI Report®. В 2011 году было выпущено Дополнение к экологической и энергоэффективной жилой недвижимости.Самая последняя форма — Дополнение к коммерческой экологичности и энергоэффективности — была выпущена в феврале 2015 года.

Получение AI Reports®

AI Reports® разрабатываются Appraisal Institute и предоставляются оценщикам через поставщиков оценочного программного обеспечения. Вы можете получить формы AI Reports®, связавшись с любым из следующих поставщиков:

Формат

Вместо разработки серии форматов отчетов, предназначенных для конкретного использования, Appraisal Institute выбрал первичный дизайн отчетов, который является полезным и нейтральным для пользователей.В этих отчетах предпочтение отдается более повествовательному и гибкому формату отчетности, который больше подходит для различных типов заданий, например:

  • восстановительная стоимость для целей страхования
  • прейскурант для потенциальной продажи (чаще всего ФСБО)
  • завещание
  • планирование недвижимости
  • судебный процесс, урегулирование имущественных отношений, раздел имущества
  • REO
  • частичные интересы

В ответ на отзывы оценщиков раздел о членстве на первой странице формы был изменен, чтобы можно было указать другие профессиональные отношения.Кроме того, формы теперь включают логотип AI Reports®, который не включает слова Appraisal Institute.

Эти форматы были переработаны, чтобы учесть точку зрения оценщика о том, что необходимо для правильного выполнения задания и что сделает отчет доступным для чтения для клиентов. Кроме того, оценщик освобождается от элементов, которые были уникальными для кредитования или любого другого конкретного использования. Такой подход позволяет отчету об оценке быть ориентированным на стоимость, а не на кредитование.

Формы:

  • В отличие от большинства предыдущих проектов жилых форм, дизайн AI Reports® не обязывает оценщика данных, сертификатов или ограничивающих условий, которые выходят далеко за рамки требований USPAP.Это позволяет оценщику иметь больше контроля и гибкости.
  • Размер Letter, обеспечивающий более профессиональный вид.
  • Наблюдать за статусом Института аттестации или другой профессиональной организации и включать заявления о сертификации Института аттестации для Назначенных членов, кандидатов и практикующих аффилированных лиц.
  • Разработано на основе параметров задания и объема работ (показано ниже), что лучше определяет факторы, которые оценщик учитывал в процессе оценки.

Кроме того, формы:

  • Четко определите предполагаемое использование и предполагаемых пользователей
  • Заметно включать гипотетические условия и необычные допущения — концепции, которые часто опускаются или недооцениваются во многих жилых помещениях.
  • Сделайте более сильный акцент и внесите ясность в объем работ
  • Раскрыть лиц, проверяющих
  • Четкое описание используемых методологий оценки
  • Раскрыть значительную помощь
Модульный подход

Чтобы обеспечить последовательность и логическое представление информации, отчеты были разработаны таким образом, чтобы на каждой странице содержались определенные элементы оценки.Следовательно, элементы, которые не относятся к конкретной форме или конкретному назначению, можно легко пропустить. Примером такого подхода является отсутствие страницы улучшений в земельном отчете. Отчет об ограниченном использовании требует только первых двух страниц, которые включают идентификацию объекта собственности, историю собственности объекта, согласования и выводы, параметры назначения и объем работ, а также необходимые сертификаты и ограничивающие условия. Однако другие страницы, обычно находящиеся в итоговом отчете, могут быть использованы оценщиками для документирования своих усилий в рабочем файле и включены или исключены в опубликованный отчет по их усмотрению.

Аналогичным образом, каждый подход к оценке себестоимости, продаж и доходов управляется на отдельных страницах. Это также позволяет оценщику включать или исключать в качестве гарантии уступки. Оценщикам, которые изначально считали формат слишком интенсивным, следует напомнить о гибком и необязательном характере содержания.

Прочие улучшения:

  • В отчете есть больше возможностей для повествовательных комментариев на протяжении
  • Анализ рынка содержит много знакомых вещей
  • Анализ сайта включает в себя сравнительные элементы, чтобы лучше соотнести объект с нормой на его рынке
  • В разделе улучшений рассматриваются наиболее важные физические атрибуты
  • В сетке комнат не указано общее количество комнат, так как нет согласованного подсчета или значимости
  • Для областей, не определенных как общая жилая площадь
  • , есть отдельная сетка.
  • Больше внимания уделяется анализу наиболее эффективного использования

Кроме того, ограничивающие условия не касаются требований ипотечного рынка или кредитора.Они в большей степени ориентированы на оценщика, имеют место для настраиваемых ограничивающих условий и включают определение рыночной стоимости (и источник) в соответствии с требованиями USPAP. Сертификаты также являются следствием строгого соблюдения USPAP. Включена сертификация Appraisal Institute, которая является обязательной для членов Appraisal Institute, кандидатов и практикующих аффилированных лиц, а также есть место для индивидуальной сертификации.

Дополнительные страницы

Следующие отдельные страницы включены в формы для необязательного включения или исключения:

Страница оценки сайта

  • Включает полезные свойства для собственности с высоким соотношением земли к стоимости.
  • Описывает используемую методологию оценки: * наиболее часто используемое сравнение продаж * рыночное извлечение * альтернатива
  • Показывает обширную сетку с корректировкой цены за лот или цены за единицу сравнения.
  • Сетка помечена для сравнения с продажами, поскольку могут использоваться листинги или ожидающие продажи.

Затратный подход, стр.

  • Определяет восстановительную стоимость или стоимость воспроизводства
  • Использует более полную сетку затрат для различных элементов

Доходный подход, стр.

  • Включает вывод рыночной ренты и множителя брутто ренты
  • Предлагает гибкий период аренды (напр.г. аренда / год, аренда / месяц, аренда / сезон и т. д.)

Метод сравнения продаж

  • Включает обширную сетку:
    • прейскурантная цена по сравнению с продажной ценой
    • дата закрытия и дата контракта (что более актуально для корректировок времени)
    • Линия регулировки количества спален и ванных комнат
    • Области ниже уровня и другие жилые помещения указаны в позиции
    • .
Связанные документы

Страница ресурсов приложения «Экологичность и энергоэффективность» — узнайте больше о новейшем дополнении к пакету AI Reports® и дополнительных экологических ресурсах, доступных через Appraisal Institute.

Программное обеспечение AI Reports® и поставщики
Комментарии и отзывы

Инициатива AI Reports® — это постоянно развивающееся решение для практикующих оценщиков. Пользователям предлагается присылать свои отзывы и предложения по адресу [email protected]

Заявление об ограничении ответственности

Институт оценки публикует формы AI Report® для использования оценщиками, если оценщик сочтет использование формы уместным. В зависимости от задания, оценщику может потребоваться предоставить дополнительные данные, анализ и рабочий продукт, которые не указаны в формах.Appraisal Institute не играет никакой роли в заполнении формы и не несет никакой ответственности за анализ данных или любой другой рабочий продукт, предоставленный отдельным оценщиком (ами).

Токсичность и биологическая очистка экосистемы, загрязненной тяжелыми металлами, из сточных вод кожевенных заводов: обзор

Сброс неочищенных сточных вод кожевенных заводов, содержащих биотоксичные вещества тяжелых металлов, в экосистему является одной из наиболее важных проблем для окружающей среды и здоровья в нашем обществе.Следовательно, существует растущая потребность в разработке нового, эффективного, экологически чистого и экономичного подхода к восстановлению неорганических металлов (Cr, Hg, Cd и Pb), выбрасываемых в окружающую среду, и для защиты экосистемы. В этом отношении недавние достижения в области разработки тяжелых металлов на основе микробов сделали биоремедиацию перспективной альтернативой традиционным методам. Тяжелые металлы не поддаются биологическому разложению и могут быть токсичными для микробов. Несколько микроорганизмов эволюционировали, чтобы разработать механизмы детоксикации, чтобы противостоять токсическим эффектам этих неорганических металлов.В настоящем обзоре предлагается критическая оценка способности микроорганизмов к биоремедиации, особенно в контексте защиты окружающей среды. Кроме того, в этой статье обсуждалась биосорбционная способность в отношении использования бактерий, грибов, биопленки, водорослей, генно-инженерных микробов и иммобилизованных микробных клеток для удаления тяжелых металлов. Использование биопленки показало синергетический эффект с многократным увеличением удаления тяжелых металлов как экологически безопасной технологии в ближайшем будущем.

1. Введение

Сточные воды промышленных кожевенных заводов являются основным источником загрязнения окружающей среды тяжелыми металлами. Тяжелые металлы имеют экономическое значение при промышленном использовании и являются наиболее важными загрязнителями окружающей среды. Загрязнение окружающей среды тяжелыми металлами стало серьезной угрозой для живых организмов в экосистеме [1–5]. Токсичность металлов вызывает серьезную озабоченность с точки зрения окружающей среды из-за их биоаккумуляции и отсутствия биоразлагаемости в природе [6, 7]. Некоторые неорганические металлы, такие как магний (Mg), никель (Ni), хром (Cr 3+ ), медь (Cu), кальций (Ca), марганец (Mn) и натрий (Na), а также цинк (Zn). являются жизненно важными элементами, необходимыми в небольшом количестве для метаболических и окислительно-восстановительных функций.Тяжелые металлы, такие как алюминий (Al), свинец (Pb), кадмий (Cd), золото (Au), ртуть (Hg) и серебро (Ag), не имеют биологической роли и токсичны для живых организмов [1, 8 , 9].

Биовосстановление применяется для перевода токсичных тяжелых металлов в менее вредное состояние с помощью микробов [10–12] или их ферментов для очистки загрязненной окружающей среды [13]. Методика экологически безопасна и экономична при оздоровлении окружающей среды [3, 9, 14]. Биоремедиация тяжелых металлов имеет ограничения.Среди них — производство токсичных метаболитов микробами и невозможность биоразложения тяжелых металлов.

Прямое использование микроорганизмов с отличительными характеристиками катаболического потенциала и / или их продуктов, таких как ферменты и био-поверхностно-активные вещества, является новым подходом к усилению и повышению их эффективности восстановления [15, 16]. Также ожидались различные альтернативы для расширения применения микробиологических методов для восстановления тяжелых металлов. Например, было исследовано использование микробных топливных элементов (MFC) для разложения устойчивых тяжелых металлов.Биопленочная биоремедиация может применяться для очистки окружающей среды, загрязненной тяжелыми металлами.

Микробные технологии активно развиваются [17]. Существует долгая история того, как микробы и металлы взаимодействуют как в естественной, так и в антропогенной среде. Взаимодействие микробов с металлами в первую очередь сосредоточено на удалении металлов, то есть на восстановлении и удалении загрязнений. Недавнее возрождение использования твердотельных электродов в качестве доноров или акцепторов электронов для роста микробов открыло новые перспективы, в результате чего появились микробно-электрохимические технологии (МЭТ) [18].Сообщалось о применении микроорганизмов в качестве зеленого подхода к синтезу металлических наночастиц (НЧ) [19]. Генетически модифицированные микроорганизмы также использовались в качестве метода ремедиации [20, 21]. Генная инженерия и химическая модификация могут изменить компоненты поверхности клеток и могут эффективно улучшить адсорбционную способность и селективность по отношению к видам металлов-мишеней.

Несколько факторов, которые влияют на эффективность биоремедиации и ограничивают ее, включают температуру, pH, окислительно-восстановительный потенциал, статус питания, влажность и химический состав тяжелых металлов [22].Использование только микробов показало ограниченную эффективность из-за различных факторов, включая низкую конкурентоспособность, а также чрезмерные концентрации тяжелых металлов. Эффективность можно повысить за счет нескольких добавок неорганических питательных веществ, биосурфактантов, наполнителей и компоста, а также биоугля [23]. Эти корректировки были всесторонне рассмотрены в недавних исследованиях [24–26].

Существует несколько механизмов защиты микробных клеток от устойчивости к тяжелым металлам. Этими механизмами являются внеклеточный барьер, внеклеточная секвестрация и активный транспорт ионов металлов (отток), внутриклеточная секвестрация и восстановление ионов металлов [27, 28].

Таким образом, это исследование направлено на рассмотрение отчетов предыдущих исследователей о токсическом действии и использовании микробных клеток и их продуктов, а именно биосурфактантов, для улучшения восстановления тяжелых металлов. В нем также обсуждаются факторы, влияющие на биоремедиацию тяжелых металлов, и их основные механизмы. Результаты и анализ представлены в следующих разделах. Текущие исследования в области микробной биосорбции и детоксикации не только обобщены, но и предложены направления на будущее.

2. Методология исследования
2.1. Стратегия поиска

В соответствующей научной литературе из основных баз данных был проведен поиск оригинальных исследовательских статей о токсическом воздействии тяжелых металлов и использовании микробных клеток для восстановления тяжелых металлов. Был проведен поиск в следующих базах данных: PubMed, ScienceDirect и Google Scholar. Комбинации ключевых слов для поиска включали токсичность тяжелых металлов, сточные воды кожевенных заводов и биопленки — факторы, влияющие на микробную реабилитацию, биоремедиацию и механизмы микробной реабилитации.

2.2. Критерии включения

Были включены оригинальные научные исследования, в которых сообщалось о токсическом воздействии тяжелых металлов и использовании микроорганизмов для очистки экосистемы от тяжелых металлов.

2.3. Критерии исключения

Статьи, посвященные биоремедиации органических соединений, фиторемедиации тяжелых металлов и другим биологическим методам, были исключены.

3. Токсичность тяжелых металлов для микроорганизмов

Токсичность тяжелых металлов — это способность металла оказывать вредное воздействие на микроорганизмы, и она зависит от биодоступности тяжелого металла и поглощенной дозы [29].Токсичность тяжелых металлов включает несколько механизмов, то есть нарушение фатальных ферментативных функций, реагирование в качестве окислительно-восстановительных катализаторов при производстве активных форм кислорода (АФК), нарушение ионной регуляции и прямое влияние на образование ДНК, а также белка [30, 31] . Физиологические и биохимические свойства микроорганизмов могут изменяться из-за присутствия тяжелых металлов. Хром (Cr) и кадмий (Cd) способны вызывать окислительное повреждение и денатурацию микроорганизмов, а также ослаблять способность микробов к биоремедиации.

Хром Cr (III) может изменять структуру и активность ферментов, реагируя с их карбоксильными и тиольными группами [32]. Внутриклеточные катионные комплексы Cr (III) электростатически взаимодействуют с отрицательно заряженными фосфатными группами ДНК, что может влиять на транскрипцию, репликацию и вызывать мутагенез [32].

Тяжелые металлы, такие как медь (Cu (I) и Cu (II)), могут катализировать образование ROS посредством реакций Фентона и Габера-Вейса, которые будут действовать как растворимые переносчики электронов.Это может вызвать серьезные повреждения цитоплазматических молекул, ДНК, липидов и других белков [33, 34]. Алюминий (Al) может стабилизировать супероксидные радикалы, ответственные за повреждение ДНК [35]. Тяжелые металлы могут останавливать жизненно важные ферментативные функции за счет конкурентных или неконкурентных взаимодействий с субстратами, которые вызывают изменения конфигурации ферментов [30]. Кроме того, он также может вызывать дисбаланс ионов, прилипая к поверхности клетки и проникая через ионные каналы или трансмембранные переносчики [36].

Кадмий (Cd) и свинец (Pb) оказывают вредное воздействие на микробы, повреждают клеточные мембраны и разрушают структуру ДНК. Этот вред вызван вытеснением металлов с их естественных участков связывания или взаимодействием лигандов [37]. На морфологию, метаболизм и рост микробов влияет изменение структуры нуклеиновых кислот, вызывающее функциональные нарушения, разрушение клеточных мембран, ингибирование активности ферментов и окислительное фосфорилирование [38, 39] (Таблица 1).

9044.Факторы, влияющие на микробное восстановление тяжелых металлов

Склонность тяжелых металлов к стимуляции или подавлению микроорганизмов определяется общей концентрацией ионов металлов, химическими формами металлов и связанными с ними факторами, такими как окислительно-восстановительный потенциал. Факторы окружающей среды, такие как температура, pH, низкомолекулярные органические кислоты и гуминовые кислоты, могут изменять трансформацию, транспортировку, состояние тяжелых металлов и биодоступность тяжелых металлов для микроорганизмов.Тяжелые металлы имеют тенденцию к образованию свободных ионных частиц при кислых уровнях pH, с большим количеством протонов, доступных для насыщения участков связывания металлов. При более высоких концентрациях ионов водорода поверхность адсорбента заряжается более положительно, что снижает притяжение между адсорбентом и катионами металлов, тем самым увеличивая его токсичность.

Температура играет важную роль в адсорбции тяжелых металлов. Повышение температуры увеличивает скорость диффузии адсорбата через внешний пограничный слой.Растворимость тяжелых металлов увеличивается с повышением температуры, что улучшает биодоступность тяжелых металлов [44]. Однако действие микроорганизмов усиливается с повышением температуры в подходящем диапазоне, и это усиливает микробный метаболизм и активность ферментов, что ускоряет биоремедиацию. Стабильность комплекса микробы-металл зависит от участков сорбции, конфигурации микробной клеточной стенки и ионизации химических фрагментов на клеточной стенке. Результат процесса разложения зависит от субстрата и ряда факторов окружающей среды (Таблица 2).

и разрушает фермент 9 0324

Тяжелые металлы Воздействие на микробы 9033 9033 9033 9033 9033 9033 9033 9033 [40]
Кадмий Денатурирует белок, разрушает нуклеиновую кислоту, препятствует делению и транскрипции клеток [38]
Хром Подавление роста, удлинение лаг-фазы, ингибирование поглощения кислорода [32 ]
Медь Нарушение функции клеток, подавление активности ферментов [38]
Селен Подавляет скорость роста [41]
Подавляет фермент . действия и транскрипция [38]
Ртуть Денатурирующий белок, подавляет функцию ферментов, разрушает клеточную мембрану [38]
Никель Нарушение клеточной мембраны, препятствует активности ферментов и окислительному стрессу [38, 42]
Серебро Лизис клеток, подавление трансдукции и роста клеток [43]
Цинк Смерть, снижение биомассы, подавление роста [42]

9044.Механизм микробной детоксикации тяжелых металлов

Микроорганизмы используют различные механизмы для взаимодействия и выживания в присутствии неорганических металлов. Различные механизмы, используемые микробами для выживания при токсичности металлов, включают биотрансформацию, экструзию, использование ферментов, производство экзополисахаридов (EPS) [41, 46] и синтез металлотионеинов. В ответ на присутствие металлов в окружающей среде у микроорганизмов выработались оригинальные механизмы устойчивости к металлам и детоксикации. Механизм включает несколько процедур, включая электростатическое взаимодействие, ионный обмен, осаждение, окислительно-восстановительный процесс и поверхностное комплексообразование [47].Основными механическими средствами противодействия тяжелым металлам со стороны микроорганизмов являются окисление металлов, метилирование, ферментативное снижение, металлоорганический комплекс, уменьшение количества металлов, деградация металлических лигандов, насосы оттока металлов, деметилирование, внутриклеточная и внеклеточная секвестрация металлов, исключение за счет проницаемости и продукция хелаторов металлов, таких как металлотионеины и био-поверхностно-активные вещества [48].

Микроорганизмы могут обеззараживать металлы путем преобразования валентности, улетучивания или внеклеточного химического осаждения [48].Микроорганизмы имеют отрицательный заряд на своей клеточной поверхности из-за наличия анионных структур, которые позволяют микробам связываться с катионами металлов [49]. Отрицательно заряженными участками микробов, участвующих в адсорбции металла, являются гидроксильная, спиртовая, фосфорильная, аминная, карбоксильная, сложноэфирная, сульфгидрильная, сульфонатная, тиоэфирная и тиоловая группы [49].

5.1. Механизм биосорбции

Поглощение тяжелых металлов микробными клетками с помощью механизмов биосорбции можно разделить на независимую от метаболизма биосорбцию, которая в основном происходит на внешней поверхности клеток, и биоаккумуляцию, зависящую от метаболизма, которая включает методы секвестрации, окислительно-восстановительной реакции и видовой трансформации. [50, 51].Биосорбция может осуществляться мертвой биомассой или живыми клетками как пассивное поглощение посредством поверхностного комплексообразования клеточной стенкой и поверхностными слоями [52]. Биоаккумуляция зависит от множества химических, физических и биологических механизмов (рис. 1), и эти факторы являются внутриклеточными и внеклеточными процессами, в которых биосорбция играет ограниченную и плохо определенную роль [52].


5.2. Внутриклеточная секвестрация

Внутриклеточная секвестрация — это комплексообразование ионов металлов с помощью различных соединений в цитоплазме клетки.Концентрация металлов в микробных клетках может быть результатом взаимодействия с поверхностными лигандами с последующим медленным переносом в клетку. Способность бактериальных клеток накапливать внутриклеточные металлы использовалась на практике, преимущественно при очистке сточных вод. Толерантный к кадмию штамм P. putida обладал способностью внутриклеточной секвестрации ионов меди, кадмия и цинка с помощью низкомолекулярных белков, богатых цистеином [54]. Также внутриклеточная секвестрация ионов кадмия глутатионом была обнаружена в клетках Rhizobium leguminosarum [55].

Жесткая клеточная стенка грибов состоит из хитина, минеральных ионов, липидов, азотсодержащих полисахаридов, полифосфатов и белков. Они могут обеззараживать ионы металлов за счет поглощения энергии, внеклеточного и внутриклеточного осаждения и преобразования валентности, при этом некоторые грибы накапливают металлы в своем мицелии и спорах. Внешняя часть клеточной стенки грибов ведет себя как лиганд, используемый для мечения ионов металлов, и вызывает удаление неорганических металлов [56-59]. Пептидогликан, полисахарид и липид являются компонентами клеточной стенки, богатыми металлсвязывающими лигандами (например,g., -OH, -COOH, -HPO42-, SO42- -RCOO-, R2OSO3-, -Nh3 и -SH). Амин может быть более активным в захвате металла среди этих функциональных групп, так как он связывается с анионными частицами металлов посредством электростатического взаимодействия и с катионными частицами металлов через поверхностное комплексообразование.

5.3. Внеклеточная секвестрация

Внеклеточная секвестрация — это накопление ионов металлов клеточными компонентами в периплазме или комплексообразование ионов металлов в виде нерастворимых соединений. Резистентные к меди штаммы Pseudomonas syringae продуцировали индуцируемые медью белки CopA, CopB (периплазматические белки) и CopC (белок внешней мембраны), которые связывают ионы меди и микробные колонии [60].Бактерии могут выбрасывать ионы металлов из цитоплазмы, чтобы изолировать металл внутри периплазмы. Ионы цинка могут проникать из цитоплазмы по системе оттока, где они накапливаются в периплазме штамма Synechocystis PCC 6803 [61].

Осаждение металлов — это внеклеточная секвестрация. Бактерия-восстановитель железа, такая как Geobacter spp. и бактерии, восстанавливающие серу, такие как Desulfuromonas spp. способны восстанавливать вредные металлы до менее токсичных или нетоксичных металлов. г.Metallireducens , строгий анаэроб, способен восстанавливать марганец (Mn) от летального Mn (IV) до Mn (II) и уран (U) от ядовитого U (VI) до U (IV) [49]. G. Surreducens и G. Metallireducens обладают способностью снижать содержание хрома (Cr) от очень летального Cr (VI) до менее токсичного Cr (III) [62]. Сульфатредуцирующие бактерии генерируют большое количество сероводорода, вызывающего осаждение катионов металлов [63, 64].

Штамм Klebsiella planticola генерирует сероводород из тиосульфата в анаэробных условиях и осаждает ионы кадмия в виде нерастворимых сульфидов [65].Также кадмий осаждали штаммом P. aeruginosa в аэробных условиях [66]. Штамм Vibrio harveyi осаждал растворимый двухвалентный свинец в виде комплексной фосфатной соли свинца [67].

5.4. Внеклеточный барьер, предотвращающий проникновение металлов в микробную клетку

Микробная плазматическая мембрана, клеточная стенка или капсула могут препятствовать проникновению ионов металлов в клетку. Бактерии могут адсорбировать ионы металлов ионизируемыми группами клеточной стенки (амино, карбоксильными, фосфатными и гидроксильными группами) [68, 69].Pardo et al. [70], Taniguchi et al. [69] и Грин-Руис [71] наблюдали высокий уровень пассивной биосорбции ионов тяжелых металлов для нежизнеспособных клеток Pseudomonas putida, Brevibacterium sp. И Bacillus sp.

Клетки биопленки Pseudomonas aeruginosa проявляют более высокую устойчивость к ионам меди, свинца и цинка, чем планктонные клетки, в то время как клетки, расположенные на периферии биопленки, были убиты. Внеклеточные полимеры биопленки аккумулируют ионы металлов, а затем защищают бактериальные клетки внутри биопленки [72].

5.5. Метилирование металлов

Метилирование увеличивает токсичность металлов в результате повышенной липофильности и, следовательно, увеличения проницаемости через клеточные мембраны. Метилирование микробов играет важную роль в восстановлении металлов. Метилированные соединения обычно взрывоопасны; например, Hg (II) может быть биометилирован некоторыми бактериями, такими как Bacillus spp ., Escherichia spp. , Clostridium spp . , и Pseudomonas spp . до газообразной метилртути. Биометилирование селена (Se) до летучего диметилселенида и мышьяка (As) до газообразных арсинов, а также свинца (Pb) до диметилсвинца наблюдалось в загрязненных верхних слоях почвы [48].

5.6. Восстановление ионов тяжелых металлов микробными клетками

Микробные клетки могут переводить ионы металлов из одного состояния окисления в другое, тем самым снижая их вред [73]. Бактерии используют металлы и металлоиды в качестве доноров или акцепторов электронов для производства энергии. Металлы в окисленной форме могут служить конечными акцепторами электронов при анаэробном дыхании бактерий.Восстановление ионов металлов за счет ферментативной активности может привести к образованию менее токсичных форм ртути и хрома [74, 75].

6. Способность микроорганизмов к биоремедиации тяжелых металлов

Поглощение тяжелых металлов микроорганизмами происходит посредством биоаккумуляции, которая является активным процессом, и / или посредством адсорбции, которая является пассивным процессом. Некоторые микроорганизмы, такие как бактерии, грибы и водоросли, использовались для очистки окружающей среды, загрязненной тяжелыми металлами (таблица 3) [76, 77].Применение устойчивых к металлам штаммов в одиночной, консорциумной и иммобилизованной форме для восстановления тяжелых металлов дало эффективные результаты, в то время как иммобилизованная форма могла иметь больше участков хемосорбции для биосорбции тяжелых металлов.

9035 9035 Индукция метаболитов (i)

Факторы Деятельности

Микробиологические
(iii) Мутация и горизонтальный перенос генов
(iv) Обогащение способных микробных популяций

Субстрат (i) Химическая структура загрязняющих веществ
концентрация загрязняющих веществ
(iii) Токсичность загрязняющих веществ
(iv) Растворимость загрязняющих веществ

Окружающая среда (i) Ингибирующие условия окружающей среды
предпочтительные подложки
(я ii) Недостаток питательных веществ

Ограничения массопереноса (i) Диффузия и растворимость кислорода
(ii) Растворимость / смешиваемость в / с водой
(iii) Диффузия питательных веществ

Ростовый субстрат vs.ко-метаболизм (i) Микробное взаимодействие (конкуренция, последовательность и хищничество)
(ii) Концентрация
(iii) Наличие альтернативного источника углерода

Биологические аэробные анаэробный процесс (i) Микробная популяция, присутствующая на участке
(ii) Потенциал окисления / восстановления
(iii) Наличие акцепторов электронов

903 903 Эффективность 903 cereus . SFC десульфовсульфур ) (иммобилизовать на цеолите) 903 93.7

Микробиологическая группа Биоремедиатор

Бактерии Acinetobacter sp. Cr 16 87 [80]
Sporosarcina saromensis (M52) 50 82,5 [81]
[82]
Bacillus cereus (иммобилизованный) 1500 96
Bacillus circus MN1 1110 71.4 [83]
Bacillus cereus плюс 0,5 глюкозы 1 78 [77]
Bacillus cereus 17 1 25 80 [84]
50 43
Bacillus subtilis 0,57 99,6
100 99.8 [76]
200 56,1
50 99,6
Staphylococcus sp. 4,108 45 [85]
Bacillus sp. (B2) 50-37.06 74,1 [86]
50-36,57 73,14
Bacillus sp. (B9) 50-30.75 61,5
Bacillus sp. (B2) 100-42,15 42.15
Bacillus sp. (B4) 100-73.41 90.4335 100-73.41 90.4335 sp. (B9) 100-60 60
Bacillus sp. (B4) 200-97.76 48.88
Bacillus sp. 81,5 40.75
Bacillus sp. (B9) 200-78.7 39.39
Micrococcus sp. 100 90 [87]
Acinetobacter sp. B9 (MTCC10506 16 78 [88]
15 81
Acinetobacter sp. B9 7 9033 67
246 55,4
Acinetobacter haemolyticus 70 88 [90]
100 903 (PCP3)
86 [91]
E.coli (PCP1) 45
Pseudomonas aeruginosa 325 9035 9035
Streptomyces sp. 6,42 72 [85]
Иммобилизованный B. subtilis (бусинка B) 570-2 99,6 [92]
P. бусинка)
570-4 99,3
Pseudomonas aeruginosa (P) 570-2 99,6 [92]
99.6
Stenotrophomonas sp. 16,59 81,27 [93]

Бактерии Cellulosimicrobium sp. (KX710177) Pb 50 99,33 [94]
100 96,98
200 84,62
9035 3 дезинфекция серы
18 [95]
Gemella sp. 0,3 55,16 ± 0,06 [96]
Micrococcus sp. 36,55 ± 0,01
Bacillus firmus 98,3 [97]
Pseudomonas sp. 1 87,9 [98]
Staphylococcus sp. 0,183 82,6 [85]
Streptomyces sp. 0,286 32,5 [85]
B. йодиниум 100-1,8 87 [99]

KCTC 5768) (иммобилизация на цеолите) Cu 50 97,4 [76]
100 98,2
200 78,7
штамм



Desulfovibrio desulfuricans (иммобилизация на цеолите)
1,536 42 [85]
Streptomyces sp . 1,129 18 [85]
Enterobacter cloacae 100 20 [100]
десульфурмобилизит [76]
Bacillus firmus 74.9 [97]
Flavobacterium sp . 1,194 20,3 [85]
Methylobacterium organophilum 21 [95]
5

903 ]
Enterobacter cloaceae 100 65 [100]
Micrococcus sp. 0,3 38,64 ± 0,06 [96]
Gemella sp. 50,99 ± 0,01
Micrococcus sp. 0,3 38,64 ± 0,06 [96]
Pseudomonas sp. 1 41 [98]
Flavobacterium sp . 0,161 25 [85]
A.faecalis (GP06) 100-19,2 70 [99]
Pseudomonas aeruginosa (CH07) 100-17,4 753335
75
Ni 50 90,3 [85]
100 90,1
200 .1
Micrococcus sp. 50 55 [87]
Pseudomonas sp. 1 53 [98]
Acinetobacter sp. B9 51 68,94 [89]

Бактерии Enterobacter cloacae Co 100 Co 100 100 Бактерии Klebsiella pneumoniae Hg 100 28.65 [102]
Pseudomonas aeruginosa 150 29,83
Vibrio parahaemolyticus (PG02)
903
Bacillus licheniformis 0,1 73 [103]
Vibrio fluvialis 0,25 60 903 903 903 903 Bacillus firmus 9033

17 3 3 6 6 4 9032 А.lentulus 7 sp.

25 9035 325

25 Cd

Zn 61.8 [97]
Pseudomonas sp. 1 49,8 [98]

Консорциум организмов Acinetobacter sp . И Arthrobacter sp. Cr 16 78 [99]
P. aeruginosa и B. subtilis (P + B) 570-2 99,6 9033
С.cerevisiae и B. subtilis (Y + B) 570-16 97,2
S. cerevisiae и P. aeruginosa (Y + P) 570-4

Организмы Консорциума B. licheniformis & C. parapsilosis Hg 0,1 85 [103]
T. parapsilosisrostrata 77
B. licheniformis & T. rostrata 73
B. licheniformis, C. parapsilosis и T. rostrata
883 903 903 903 Грибы Aspergillus sp. Cr 100 92 [87]
Aspergillus versicolor 50 99.89 [105]
Иммобилизованный S. cerevisiae (Y-образная грань) 570-0 100 [92]
Gloeophyllum sepiarium
25
25
25
25
25 9035 106]
Saccharomyces cerevisiae (Y) 570-25 95 [92]
Aspergillus niger (FIST1) (FIST1)
Мутант S.cerevisiae 98,7 [56]
Sphaerotilus natans 200 60 [107]
Cevisia ]
Sphaerotilus natans 200 82 [107]
Phanerochaete chrysosporium (иммобилизованный на мочалке 9035 9035 9035 9035 9035 9035 губка мочалка 325 903 903 9035 9035 9035 9035 губка мочалка

Грибки Кандидозный парапсилоз Hg 0.1 80 [103]

Грибки Aspergillus versicolor Cu 50 29.06 29.06 Na2C03 (0,2N)) 20,82 41,7 [110]
Sphaerotilus natans 200 58 [107]
100 99,7 [59]
Aspergillus niger 50 [105]

9035 9035 Ni
50 30,05 [105]
Aspergillus sp . 50 90
Aspergillus niger (предварительно обработанный Na2C0390.2N)) 40,5 [110]
Aspergillus niger 0,38 98 [111]

niger 9035 — 9035 9035 — Aspergillus 9035 105]

Водоросли Spirogyra sp. Cr 5 98,23 [112]
Spirulina sp. 5 98,3 [112]

Водоросли Chlorella vulgaris Pb 50 мг dm-3 Chlorella vulgaris 51,79 99,4 [114]
Nostoc sp. 1 99,6 [98]

Водоросли Chlorella vulgaris Cu 50 мг дм-3 97335 [113]
Spirogyra sp. 5 89,6 [112]
Spirulina sp. 5 81,2 [112]

Водоросли Nostoc sp . Cd 1 95,4 [98]
Chlorella vulgaris 50 мг дм −3 95.5 [113]
Nostoc sp . Zn 1 49,8 [98]

Водоросли Chlorella vulgaris 0,6 413535 1 88,23 [98]

Водоросли Nostoc sp. Fe 1 97,7 [98]

Микробные поверхностно-активные вещества P. aeruginosa ATCC9027 (рамнолипид) [116]

Protzoa Tetrahymena rostrata рт. Топливные элементы с аэрированным микробным осадком (A-SMFC) Cr 80.7 [117]
Cu 72,72
Ni 80,37
Неаэрированные топливные элементы с микробными осадками (NA-SMFCs) Cr
Cr
Cr
59,36
Ni 52,74

6.1. Бактерии, восстанавливающие способность тяжелых металлов

Микробная биомасса обладает различными биосорбционными способностями, которые также значительно различаются среди микробов.Однако биосорбционная способность каждой микробной клетки зависит от ее предварительной обработки и условий эксперимента. Микробная клетка должна адаптироваться к изменению физической, химической конфигурации и конфигурации биореактора для усиления биосорбции [52]. Бактерии являются важными биосорбентами из-за их повсеместности, размера и способности расти в контролируемых условиях, а также устойчивости к условиям окружающей среды [78, 79].

Де Джайсанкар и его соавторы [99] используют устойчивые к ртути бактерии, такие как Alcaligenes faecalis, Bacillus pumilus, Pseudomonas aeruginosa, и Brevibacterium iodinium для удаления кадмия (Cd) и свинца (Pb).В этом исследовании P. aeruginosa и A. faecalis удалили 70% и 75% кадмия (Cd) с уменьшением на 1000 мг / л до 17,4 мг / л кадмия (Cd) P. aeruginosa и 19,2 мг / л A. faecalis примерно за 72 часа. Brevibacterium iodinium и Bacillus pumilus удаляют более 87% и 88% свинца (Pb) со снижением на 1000 мг / л до 1,8 мг / л за 96 часов (таблица 3). В другом исследовании [118] используется местный факультативно анаэробный Bacillus cereus для детоксикации шестивалентного хрома. Bacillus cereus обладает отличной способностью удалять 72% Cr (VI) при концентрации хромата 1000 мкг / мл г / мл. Бактерии были способны восстанавливать Cr (VI) в широком диапазоне температур (от 25 до 40 ° C) и pH (от 6 до 10) с оптимумом при 37 ° C и начальным pH 8,0.

Несколько тяжелых металлов были протестированы с использованием таких видов бактерий, как Flavobacterium , Pseudomonas , Enterobacter, Bacillus, и Micrococcus sp. (Таблица 3).Их высокая биосорбционная способность обусловлена ​​высоким отношением поверхности к объему и потенциально активными центрами хемосорбции (тейхоевая кислота) на клеточной стенке [119]. Бактерии более стабильны и лучше выживают, когда они находятся в смешанной культуре [120]. Следовательно, консорциумы культур метаболически превосходят по биосорбции металлов и более подходят для применения в полевых условиях [121]. De Jaysankar et al. [99] сообщил о 78% снижении содержания хрома (Cr) с использованием консорциума бактерий Acinetobacter sp.и Arthrobacter sp. концентрации ионов металлов 16 мг / л. Micrococcus luteus был использован для удаления большого количества Pb из синтетической среды. В идеальных условиях элиминационная способность составляла 1965 мг / г [122].

Abioye и его сотрудники [123] исследовали биосорбцию свинца (Pb), хрома (Cr) и кадмия (Cd) в сточных водах кожевенных заводов, используя Bacillus subtilis, B. megaterium, Aspergillus niger и Penicillium sp. B. megaterium зафиксировал самое высокое восстановление свинца (Pb) (2.13 до 0,03 мг / л), за которым следует B . subtilis (2,13-0,04 мг / л). A. niger демонстрирует самую высокую способность снижать концентрацию хрома (Cr) (1,38-0,08 мг / л), за ним следует Penicillium sp. (1,38-0,13 мг / л), в то время как B. subtilis продемонстрировал самую высокую способность снижать концентрацию кадмия (Cd) (0,4-0,03 мг / л), за ним следует B. megaterium (0,04-0,06 мг / л) через 20 дней. Ким и его соавторы [76] разработали периодическую систему с использованием иммобилизованного цеолитом Desulfovibrio desulfuricans для удаления хрома (Cr 6+ ), меди (Cu) и никеля (Ni) с эффективностью удаления 99.8%, 98,2% и 90,1% соответственно (таблица 3). Ашрута и его коллеги [124] сообщили об эффективном удалении хрома, цинка, кадмия, свинца, меди и кобальта консорциумами бактерий примерно на 75-85% менее чем за два часа при продолжительности контакта.

6.2. Способность грибов к восстановлению тяжелых металлов

Грибы широко используются в качестве биосорбентов для удаления токсичных металлов с отличной способностью поглощать и восстанавливать металлы [125–127]. Большинство исследований показало, что активные и безжизненные клетки грибов играют важную роль в адгезии неорганических химикатов [111, 128–130].Шривастава и Тхакур [131] также сообщили об эффективности Aspergillus sp. используется для удаления хрома из сточных вод кожевенных заводов. 85% хрома было удалено при pH 6 в системе биореактора из синтетической среды по сравнению с 65% удалением из сточных вод кожевенного завода. Это может быть связано с наличием органических загрязнителей, препятствующих росту организма.

Coprinopsis atramentaria изучается на предмет его способности к биоаккумуляции 76% Cd 2+ в концентрации 1 мг / л Cd 2+ и 94.7% Pb 2+ при концентрации 800 мг / л Pb 2+ . Следовательно, он был задокументирован как эффективный аккумулятор ионов тяжелых металлов для микромедиации [132]. Парк и его соавторы [133] сообщили, что биомасса мертвых грибов Aspergillus niger, Rhizopus oryzae, Saccharomyces cerevisiae и Penicillium chrysogenum может быть использована для преобразования токсичного Cr (VI) в менее токсичный или нетоксичный Cr (III). Luna et al. [134] также заметил, что Candida sphaerica производит биосурфактанты с эффективностью удаления 95%, 90% и 79% для Fe (железа), цинка (Zn) и свинца (Pb) соответственно.Эти поверхностно-активные вещества могут образовывать комплексы с ионами металлов и непосредственно взаимодействовать с тяжелыми металлами до отделения от почвы. Candida spp. накапливают значительное количество никеля Ni (57–71%) и меди Cu (52–68%), но на процесс влияют исходная концентрация ионов металла и pH (оптимум 3–5) [135].

Биосурфактанты вызывают интерес в последние годы из-за их низкой токсичности, биоразлагаемой природы и разнообразия. Маллиган и др. . [136] оценили эффективность использования сурфактина, рамнолипида и софоролипида для удаления тяжелых металлов (Cu и Zn).Однократная промывка 0,5% рамнолипида удалила 65% меди (Cu) и 18% цинка (Zn), тогда как 4% софоролипида удалили 25% меди (Cu) и 60% цинка (Zn). Несколько штаммов дрожжей, таких как Hansenula polymorpha , S. cerevisiae, Yarrowia lipolytica, Rhodotorula pilimanae, Pichia guilliermondii и Rhodotorula mucilage , были использованы для биопревращения Cr (VI) в Cr (III) [137– 139].

6.3. Удаление тяжелых металлов с помощью биопленки

Имеется несколько отчетов о применении биопленок для удаления тяжелых металлов.Биопленка действует как эффективный инструмент биоремедиации, а также как средство биологической стабилизации. Биопленки обладают очень высокой толерантностью к токсичным неорганическим элементам даже в смертельной концентрации. В исследовании, проведенном на Rhodotorula mucilaginosa , было выявлено, что эффективность удаления металлов составляла от 4,79 до 10,25% для планктонных клеток и от 91,71 до 95,39% для клеток биопленки [140]. Механизмы биоремедиации биопленок могут осуществляться через биосорбент или экзополимерные вещества, присутствующие в биопленках, которые содержат молекулы с поверхностно-активными или эмульгаторными свойствами [141].

6.4. Способность тяжелых металлов к восстановлению водорослей

Водоросли являются автотрофными и, следовательно, требуют мало питательных веществ и производят огромную биомассу по сравнению с другими микробными биосорбентами. Эти биосорбенты также использовались для удаления тяжелых металлов с высокой сорбционной способностью [12]. Биомасса водорослей используется для биоремедиации сточных вод, загрязненных тяжелыми металлами, путем адсорбции или интеграции в клетки. Phycoremediation — это использование различных типов водорослей и цианобактерий для восстановления тяжелых металлов путем удаления или разложения токсиканта [142].Водоросли имеют на своей поверхности различные химические фрагменты, такие как гидроксил, карбоксил, фосфат и амид, которые действуют как участки связывания металлов [12, 143].

Goher и его соавторы [113] использовали мертвые клетки Chlorella vulgaris для удаления ионов кадмия (Cd 2+ ), меди (Cu 2+ ) и свинца (Pb 2+ ) из водного раствора. при различных условиях pH, дозировке биосорбента и времени контакта. Результаты показали, что биомасса C. vulgaris является чрезвычайно эффективным биосорбентом для удаления кадмия (Cd 2+ ) , меди (Cu 2+ ) и свинца (Pb 2+ ) при 95.5%, 97,7% и 99,4%, соответственно, из смешанного раствора 50 мг дм3 -3 каждого иона металла (таблица 3).

6.5. Иммобилизованная биосорбция тяжелых металлов

Использование инкапсулированной биомассы улучшает характеристики биосорбции и увеличивает ее физическую и химическую стабильность. Иммобилизация микробной биомассы в полимерных матрицах придает жесткость и термостойкость с оптимальной пористостью для практического применения. Биомасса Agrobacterium была инкапсулирована в альгинат с наночастицами оксида железа и показала адсорбционную способность 197.02 мг / г для Pb и был эффективным в течение пяти последовательных циклов [144].

6.6. Микробная генная инженерия

Благодаря передовым достижениям в области генной инженерии микробы конструируются с желаемыми характеристиками, такими как способность выдерживать металлический стресс, сверхэкспрессия металл-хелатирующих белков и пептидов и способность накапливать металлы. Frederick et al. [145] сконструировал микроорганизмы для производства трегалозы и установил, что она восстанавливает 1 мМ Cr (VI) до Cr (III). Сконструированный Chlamydomonas reinhardtii привел к значительному повышению толерантности к токсичности кадмия и его накоплению [146].Генно-инженерные микробы для восстановления тяжелых металлов включают использование Escherichia coli ( E. coli, ArsR (ELP153AR)) для нацеливания на As (III) [147] и Saccharomyces cerevisiae (CP2 HP3) для нацеливания на Cd 2+. и Zn 2+ [148]. Corynebacterium glutamicum была генетически модифицирована с использованием сверхэкспрессии оперонов ars ( ars 1 и ars 2) для дезактивации сайтов, загрязненных As [149].

Биоремедиация тяжелых металлов была всесторонне изучена, и эффективность нескольких биоремедиаторов была рассмотрена и обобщена.Биоремедиация — это экологически чистая и экономичная технология очистки сложных промышленных сточных вод кожевенных заводов, содержащих тяжелые металлы. Многие природные биосорбенты микробного происхождения обладают эффективными биосорбционными характеристиками. Недавние модификации поверхности этих биоремедиаторов помогли улучшить их свойства связывания металлов и повысить общую стоимость процесса. Несмотря на такие недостатки, как нативные, так и модифицированные биосорбенты продемонстрировали свою совместимость при тестировании со сточными водами кожевенных заводов.Эти биосорбенты показали эффективное удаление металлов в широком диапазоне температуры, pH и условий раствора.

7. Перспективы на будущее

Определенные факторы, сдерживающие широкое применение этой технологии, как было выявлено различными исследователями, включают, среди прочего, сложность получения надежной и недорогой биомассы и негативное влияние сосуществующих ионов металлов на биосорбционную способность. Перед применением необходимо оценить характеристики сточных вод кожевенного завода и биосорбента.Сохраняя в центре внимания запреты технологии биоремедиации, будущее выглядит многообещающим для микробных генетических технологий и развития повышенной специфичности с использованием биопленок, что может быть достигнуто с помощью процесса оптимизации и методов иммобилизации. Следовательно, следует прилагать больше усилий к биоремедиации, опосредованной биопленками, генетически модифицированным микробам и микробным топливным элементам (MFC) для биоремедиации тяжелых металлов в экосистеме.

8. Заключение

Текущее состояние биоремедиации тяжелых металлов, рассмотренное в этом исследовании, показывает многообещающие перспективы биосорбции и детоксикации металлов, особенно от биопленок и генетически модифицированных микробов.Методы, опосредованные биопленкой, перенос микробных генов и методы, основанные на микробных топливных элементах, в последние годы стали серьезными соперниками. Пептидогликан и полисахаридный компонент клеточной стенки биосорбентов является активным участком связывания для более высокого поглощения металлов. Этот метод является рентабельным и экологически чистым, который имеет такие преимущества, как более быстрая кинетика, высокое связывание металлов в широком диапазоне pH и температуры. Этот обзор дает возможность выявить роль микробных клеток, биопленок и их метаболитов в восстановлении тяжелых металлов и исследованиях окружающей среды.Необходимо расширить область дальнейших исследований, чтобы сфокусировать внимание на переносе генов в биопленках для восстановления тяжелых металлов. Это будет способствовать разработке улучшенных методов биоремедиации тяжелых металлов в экосистеме.

Конфликт интересов

Авторы заявили об отсутствии конфликта интересов в отношении публикации этой статьи.

Вклад авторов

Это исследование было проведено в сотрудничестве со всеми авторами.Бернар Э. Игири получил концепцию исследования, написал черновик рукописи и участвовал в доработке. Стэнли И. Р. Окодува разработал исследование и критически отредактировал рукопись с учетом важного интеллектуального содержания. Грейс О. Идоко, Абрахам О. Адейи, Эбере П. Акабуогу и Ибе К. Эджиогу участвовали в приобретении и управлении соответствующей литературой для черновика рукописи и последующего редактирования. Окончательная версия была написана Бернардом Э. Игири и Стэнли И. Р. Окодува. Все авторы окончательно одобрили публикацию исправленной версии.

Благодарности

Авторы благодарны членам и исследователям из Директората исследований и разработок Нигерийского института кожевенных и научных технологий, Зария, Нигерия, за их моральную поддержку в ходе этого проекта.

Обязательства, политика и стандарты | Shell Global

Компании, в которых Royal Dutch Shell plc прямо или косвенно владеет инвестициями, являются отдельными юридическими лицами. В этом содержании для удобства иногда используются «Shell», «Shell Group» и «Group», когда делается ссылка на Royal Dutch Shell plc и ее дочерние компании в целом.Аналогичным образом, слова «мы», «нас» и «наш» также используются для обозначения Royal Dutch Shell plc и ее дочерних компаний в целом или тех, кто на них работает. Эти термины также используются в тех случаях, когда идентификация конкретного объекта или объектов не служит полезной цели. «Дочерние компании», «Дочерние компании Shell» и «компании Shell», используемые в данном содержании, относятся к организациям, над которыми Royal Dutch Shell plc прямо или косвенно контролирует. Компании и некорпоративные предприятия, над которыми Shell имеет совместный контроль, обычно называются «совместными предприятиями» и «совместными операциями» соответственно.Компании, на которые «Шелл» имеет существенное влияние, но не контролирует и не совместно контролирует, называются «ассоциированными компаниями». Термин «доля участия Shell» используется для удобства, чтобы обозначить прямую и / или косвенную долю владения, принадлежащую Shell в предприятии или совместном предприятии без образования юридического лица, после исключения всех долей участия третьих сторон.

Этот контент содержит прогнозные заявления (в значении Закона США о реформе судебных разбирательств по частным ценным бумагам 1995 года) относительно финансового состояния, результатов деятельности и бизнеса Shell.Все заявления, кроме заявлений об исторических фактах, являются или могут считаться прогнозными заявлениями. Заявления о перспективах — это заявления о будущих ожиданиях, основанные на текущих ожиданиях и предположениях руководства и связанные с известными и неизвестными рисками и неопределенностями, которые могут привести к тому, что фактические результаты, показатели или события будут существенно отличаться от тех, которые выражены или подразумеваются в этих заявлениях. Заявления о перспективах включают, среди прочего, заявления о потенциальной подверженности Shell рыночным рискам и заявления, выражающие ожидания, убеждения, оценки, прогнозы, прогнозы и предположения руководства.Эти прогнозные заявления идентифицируются использованием терминов и фраз, таких как «цель», «амбиции», «предвидеть», «полагать», «мог бы», «оценивать», «» ожидаем », » цели », » намереваемся », » может », «вехи», » цели », ‘перспективы’ ‘,’ ‘план’ ‘,’ ‘вероятно’ ‘, «проект», «риски», «график», «искать», «следует», «цель», «будет» и подобные термины и фразы. Существует ряд факторов, которые могут повлиять на будущую деятельность Shell и могут привести к тому, что эти результаты будут существенно отличаться от тех, которые выражены в прогнозных заявлениях, включенных в это содержание, включая (помимо прочего): (a) колебания цен на сырую нефть и природный газ; (б) изменения спроса на продукцию Shell; (c) колебания валютных курсов; (d) результаты бурения и добычи; (e) оценки запасов; (f) потеря доли рынка и отраслевой конкуренции; (g) экологические и физические риски; (h) риски, связанные с определением подходящих потенциальных объектов для приобретения и целей, а также с успешными переговорами и завершением таких сделок; (i) риск ведения бизнеса в развивающихся странах и странах, подпадающих под международные санкции; (j) законодательные, налоговые и нормативные изменения, включая меры регулирования, касающиеся изменения климата; (k) экономические и финансовые рыночные условия в различных странах и регионах; (l) политические риски, включая риски экспроприации и пересмотра условий контрактов с государственными учреждениями, задержки или продвижение в утверждении проектов и задержки в возмещении общих затрат; (m) риски, связанные с воздействием пандемий, таких как вспышка COVID-19 (коронавирус); и (n) изменения в торговых условиях.Не предоставляется никаких гарантий того, что будущие выплаты дивидендов будут соответствовать или превышать предыдущие выплаты дивидендов. Все прогнозные заявления, содержащиеся в этом содержании, полностью оговорены предостерегающими заявлениями, содержащимися или упомянутыми в этом разделе. Читатели не должны чрезмерно полагаться на прогнозные заявления. Дополнительные факторы риска, которые могут повлиять на будущие результаты, содержатся в форме 20-F Royal Dutch Shell plc за год, закончившийся 31 декабря 2020 г. (доступно на сайте www.shell.com/investor и www.sec.gov). Эти факторы риска также прямо квалифицируют все прогнозные заявления, содержащиеся в данном согласии , и читателю следует их учитывать. Каждое прогнозное заявление действует только на дату этого содержания, 29 июля 2021 года. Ни Royal Dutch Shell plc, ни какая-либо из ее дочерних компаний не берут на себя никаких обязательств по публичному обновлению или пересмотру каких-либо прогнозных заявлений в результате появления новой информации в будущем. события или другая информация. В свете этих рисков результаты могут существенно отличаться от заявленных, подразумеваемых или предполагаемых из прогнозных заявлений, содержащихся в этом содержании.

Операционный план, перспективы и бюджеты Shell прогнозируются на десятилетний период и обновляются каждый год. Они отражают текущую экономическую ситуацию и то, что мы можем разумно ожидать в ближайшие десять лет. Соответственно, операционные планы, прогнозы, бюджеты и ценовые предположения Shell не отражают нашу цель по нулевым выбросам. В будущем, по мере того как общество будет двигаться к нулевым выбросам, мы ожидаем, что операционные планы, прогнозы, бюджеты и ценовые допущения Shell будут отражать это движение.

Кроме того, в этом содержании мы можем ссылаться на «Чистый углеродный след» Shell, который включает выбросы углерода Shell при производстве наших энергетических продуктов, выбросы углерода нашими поставщиками при поставке энергии для этого производства и выбросы углерода наших клиентов, связанные с использование ими энергоносителей, которые мы продаем. Shell контролирует только собственные выбросы. Термин «чистый углеродный след» Shell используется только для удобства и не предполагает, что эти выбросы являются выбросами Shell или ее дочерних компаний.

Содержание веб-сайтов, упомянутых в этом содержании, не является его частью.

Мы могли использовать определенные термины, такие как ресурсы, в этом содержании, которое Комиссия США по ценным бумагам и биржам (SEC) строго запрещает нам включать в наши документы, подаваемые в SEC. Инвесторам настоятельно рекомендуется внимательно рассмотреть раскрытие информации в нашей форме 20-F, файл № 1-32575, доступной на веб-сайте SEC www.sec.gov.

cyber.dhs.gov — Обязательная операционная директива 20-01

2 сентября 2020 г.

Разработка и публикация политики раскрытия уязвимостей

На этой странице содержится веб-версия Обязательной оперативной директивы 20-01 Агентства по кибербезопасности и безопасности инфраструктуры «Разработка и публикация политики раскрытия уязвимостей» .Кроме того, см. Сообщение в блоге помощника директора.

Обязательная оперативная директива — это обязательное указание для федеральной, исполнительной власти, департаментов и агентств в целях защиты федеральной информации и информационных систем.

Раздел 3553 (b) (2) раздела 44 Кодекса США уполномочивает Секретаря Министерства внутренней безопасности (DHS) разрабатывать и контролировать выполнение обязательных операционных директив.

Федеральные агентства обязаны соблюдать директивы DHS.

Эти директивы не применяются ни к определенным законом «системам национальной безопасности», ни к некоторым системам, эксплуатируемым Министерством обороны или разведывательным сообществом.


Кибербезопасность — это общественное благо, которое становится самым сильным, когда общественность имеет возможность вносить свой вклад. Ключевым компонентом получения помощи в области кибербезопасности от общественности является установление официальной политики, описывающей действия, которые могут быть предприняты для обнаружения уязвимостей и сообщения о них в разрешенной законом форме.Такая политика позволяет федеральным агентствам устранять уязвимости до того, как они могут быть использованы злоумышленником, что принесет огромную пользу обществу.

Политика раскрытия информации об уязвимостях повышает отказоустойчивость государственных онлайн-сервисов, поощряя конструктивное сотрудничество между федеральными агентствами и общественностью. Они позволяют общественности узнать, куда отправлять отчет, какие типы тестирования разрешены для каких систем и какого обмена информацией ожидать. Когда агентства интегрируют отчеты об уязвимостях в свою существующую деятельность по управлению рисками кибербезопасности, они могут взвесить и решить более широкий круг проблем.Это помогает защитить информацию, которую общественность доверила правительству, и дает федеральным группам по кибербезопасности больше данных для защиты своих агентств. Кроме того, обеспечение единообразия политик исполнительной власти предлагает тем, кто сообщает об уязвимостях, эквивалентную защиту и более единообразную работу.

Политика раскрытия уязвимостей (VDP) является важным элементом эффективной программы управления уязвимостями предприятия и имеет решающее значение для безопасности федеральных информационных систем, доступных через Интернет.Эта директива требует, чтобы каждое агентство разработало и опубликовало ПДР и поддерживало вспомогательные процедуры обработки. Он выпущен в поддержку Управления по управлению и бюджету M-20-32 «Улучшение выявления, управления и устранения уязвимостей».

Фон

Уязвимость — это «слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы». Уязвимости часто обнаруживаются в отдельных компонентах программного обеспечения, в системах, состоящих из нескольких компонентов, или во взаимодействиях между компонентами и системами.Обычно они используются для ослабления безопасности системы, ее данных или пользователей, что сказывается на их конфиденциальности, целостности или доступности. Основная цель исправления уязвимостей — защитить человек, поддерживая или повышая их безопасность и конфиденциальность.

Раскрытие уязвимости — это «действие по первоначальному предоставлению информации об уязвимости стороне, которая, как считалось, ранее не знала». Физическое лицо или организация, выполняющие это действие, называется репортером .

Выбор раскрытия уязвимости может расстроить репортера, если агентство не определило политику раскрытия уязвимостей, в результате чего отвергают тех, кто помогает защитить общественность:

  • Репортер не может определить, как сообщить. : Федеральные агентства не всегда четко указывают, куда следует отправлять отчет. Когда люди не могут найти разрешенный канал раскрытия информации (часто веб-страницу или адрес электронной почты в форме security @ agency.gov) они могут использовать свои собственные социальные сети или искать в Интернете профессиональные или личные контактные данные сотрудников службы безопасности. Или, если задача кажется слишком обременительной, они могут решить, что отчетность не стоит их времени или усилий.

  • Репортер не уверен, что уязвимость исправлена. : Если репортер не получает ответа от агентства или получает ответ, который считается бесполезным, он может предположить, что агентство не устранит уязвимость.Это может побудить репортера прибегнуть к несогласованному публичному раскрытию информации, чтобы мотивировать исправление и защитить пользователей, и они могут по умолчанию придерживаться такого подхода в будущем.

  • Репортер боится судебных исков : Для многих в сообществе информационной безопасности федеральное правительство имеет репутацию защитника или спорщика в отношениях с внешними исследователями безопасности. Кроме того, многие правительственные информационные системы сопровождаются четко сформулированными законными заявлениями, предупреждающими посетителей от несанкционированного использования.Без четких и теплых заверений в том, что добросовестные исследования в области безопасности приветствуются и санкционируются, исследователи могут опасаться судебных преследований, а некоторые могут вообще не сообщать об этом.

Агентства должны осознавать, что «репортер или любое лицо, обладающее информацией об уязвимостях, может раскрыть или опубликовать информацию в любое время», в том числе без предварительного уведомления агентства. Такое несогласованное раскрытие информации может привести к эксплуатации уязвимости до того, как агентство сможет ее устранить, а также может иметь правовые последствия для репортера.Ключевым преимуществом политики раскрытия уязвимостей является снижение риска для инфраструктуры агентства и общественности за счет стимулирования скоординированного раскрытия информации, чтобы было время исправить уязвимость до того, как она станет общедоступной.

VDP подобен, но отличается от «bug bounty». В программах bug bounty организации платят за достоверные и убедительные выводы об определенных типах уязвимостей в своих системах или продуктах. Финансовое вознаграждение может побудить к действию и привлечь людей, которые иначе не искали бы уязвимых мест.Это также может привести к увеличению количества отчетов или увеличению количества некачественных материалов. Организации, участвующие в программе вознаграждений за ошибки, часто используют сторонние платформы и поставщиков услуг для помощи в управлении и сортировке отчетов об ошибках. Награды за обнаружение ошибок могут быть предложены широкой публике или могут быть предложены только избранным исследователям или тем, кто соответствует определенным критериям. Хотя вознаграждения за ошибки могут повысить безопасность, эта директива не требует от агентств создания программ вознаграждения за обнаружение ошибок.

Требуемые действия

Действия этой директивы были разработаны в соответствии с рамками других федеральных агентств, международными стандартами и передовой практикой.

Разрешить получение незапрашиваемых отчетов

Перед публикацией политики раскрытия уязвимостей агентство должно иметь возможность получать незапрашиваемые отчеты о потенциальных уязвимостях безопасности.

В течение 30 календарных дней после выпуска данной директивы обновите следующую информацию в регистраторе .gov :

  1. Поле контакта безопасности для каждого зарегистрированного домена .gov. Адрес электронной почты, определенный как контакт по безопасности, должен регулярно контролироваться, и персонал, управляющий им, должен иметь возможность отслеживать незапрашиваемые отчеты о безопасности для всего домена.

  2. Поле «Организация» для каждого зарегистрированного домена .gov. В этом поле должен быть указан компонент агентства, ответственный за услуги, доступные в Интернете, предлагаемые в домене. Если домен предназначен для общего или общегосударственного назначения, используйте наиболее подходящий дескриптор. Это значение обычно должно отличаться от значения в поле «Агентство».


Разработка и публикация политики раскрытия информации об уязвимостях

Политика раскрытия уязвимостей помогает агентству узнавать о неизвестных уязвимостях.Он обязывает агентство разрешать добросовестные исследования в области безопасности и отвечать на отчеты об уязвимостях, а также устанавливает ожидания для журналистов.

В течение 180 календарных дней после выпуска данной директивы:

  1. Опубликуйте политику раскрытия уязвимостей в виде общедоступной веб-страницы в виде обычного текста или HTML по пути «/ уязвимость-раскрытие-политика» на основном веб-сайте агентства .gov.

    a) Политика должна включать :

    и. Какие системы входят в сферу действия. По крайней мере, одна доступная в Интернете производственная система или услуга должна быть в объеме на момент публикации.

    ii. Типы тестирования, которые разрешены (или специально не разрешены), и включают заявление, запрещающее раскрытие любой личной идентифицирующей информации, обнаруженной третьим лицам.

    iii. Описание того, как отправлять отчеты об уязвимостях , которые должны включать:

    1. Куда следует отправлять отчеты (e.g., веб-форма, адрес электронной почты).
    2. Запрос информации, необходимой для поиска и анализа уязвимости (например, описание уязвимости, ее местонахождение и потенциальное воздействие; техническая информация, необходимая для воспроизведения; любое подтверждение кода концепции и т. Д.).
    3. Четкое заявление о том, что репортеры могут подавать отчеты анонимно.

    iv. Обязательство не рекомендовать и не возбуждать судебные иски против кого-либо за деятельность по исследованию безопасности, что, по заключению агентства, представляет собой добросовестное усилие по соблюдению политики, и считает, что эта деятельность санкционирована .

    v. Заявление, которое устанавливает ожидания того, когда репортер (если он известен) может ожидать подтверждения своего отчета , и обещает агентству быть максимально прозрачным в отношении того, какие шаги оно предпринимает в процессе исправления .

    vi. Дата выпуска.

    b) Каждое агентство должно рассмотреть , указав в своей политике, что репортеры не будут получать плату за сообщение об уязвимостях и что, подавая информацию, репортеры отказываются от любых требований о компенсации.Если применимо, агентства могут ссылаться на отдельную политику программы вознаграждений за ошибки, которая предусматривает оплату.

    c) Политика или реализация политики, не должна :

    и. Требовать предоставления личной информации . Агентства могут попросить репортера добровольно предоставить контактную информацию.

    ii. Разрешить тестирование только «проверенным» зарегистрированным партиям или гражданам США. . Политика должна предоставлять разрешение для широкой публики.

    iii. Попытка ограничить способность репортера раскрывать обнаруженные уязвимости другим, за исключением запроса на разумно ограниченный период ответа .

    iv. Отправьте обнаруженные уязвимости в процесс оценки уязвимостей или любой аналогичный процесс.

После публикации политики раскрытия уязвимостей:

  1. Все недавно запущенные системы или услуги, доступные в Интернете, должны быть включены в сферу действия политики.Если область действия политики неявно не включает новую систему или службу, политика должна быть обновлена, чтобы явно включить новую систему или службу.
Расширить область применения

В конечном итоге VDP будет охватывать все доступные в Интернете системы или услуги в агентстве, включая системы, которые не были намеренно сделаны доступными в Интернете.

  1. Через 270 календарных дней после выпуска данной директивы и в течение каждых 90 календарных дней после этого объем VDP должен увеличиваться по крайней мере на одну доступную в Интернете систему или услугу, пока все системы и услуги не подпадут под действие политики.

  2. Через 2 года после выпуска этой директивы все доступные в Интернете системы или услуги должны подпадать под действие политики.


Процедуры раскрытия информации об уязвимостях

Для эффективного выполнения VDP требуются определенные процессы и процедуры.

В течение 180 календарных дней после выпуска данной директивы:

  1. Разработать или обновить процедуры обработки раскрытия уязвимостей для поддержки реализации VDP.Процедуры должны:

    a) Опишите, как :

    и. Отчеты об уязвимостях будут отслеживаться до устранения.

    ii. Восстановительные мероприятия будут координироваться внутри компании.

    iii. Раскрытые уязвимости будут оценены на предмет потенциального воздействия и определены приоритетные действия.

    iv. Отчеты о системах и услугах, выходящих за рамки, будут обработаны.

    v. Будет происходить коммуникация с репортером и другими заинтересованными сторонами (например, поставщиками услуг, CISA).

    vi. Любое текущее или прошлое воздействие обнаруженных уязвимостей (, а не , включая воздействие от тех, кто выполнил VDP агентства) будет оцениваться и рассматриваться как инцидент / нарушение, в зависимости от обстоятельств.

    b) Установить целевые сроки и отслеживать:

    и.Подтверждение репортеру (если известно), что его отчет был получен.

    ii. Первоначальная оценка (т. Е. Определение достоверности раскрытых уязвимостей, включая оценку воздействия).

    iii. Устранение уязвимостей, включая уведомление о результатах репортера.


Требования к отчетности и показатели
  1. После публикации VDP немедленно сообщите в CISA :

    a) Любые достоверные или достоверные отчеты о вновь обнаруженных или не публично известных уязвимостях (включая неправильные конфигурации) в системах агентства, использующих коммерческое программное обеспечение или услуги, которые влияют или могут повлиять на другие стороны в правительстве или отрасли.

    b) Действия по раскрытию, координации или устранению уязвимостей, с которыми, по мнению агентства, CISA может помочь или о которых должна знать, особенно в том, что касается внешних организаций.

    c) Любая другая ситуация, когда считается полезным или необходимым привлечь CISA.

  2. По прошествии 270 календарных дней после выпуска данной директивы, в течение первого цикла отчетности FISMA, а затем ежеквартально сообщайте следующие показатели через CyberScope:

    a) Количество отчетов о раскрытии уязвимостей

    b) Количество зарегистрированных уязвимостей, признанных действительными (например,г., по объему и не ложноположительный)

    c) Количество открытых и достоверных обнаруженных уязвимостей

    d) Средний возраст (в днях с момента получения отчета) открытых и достоверных зарегистрированных уязвимостей

    e) Количество открытых и достоверных зарегистрированных уязвимостей старше 90 дней с момента получения отчета

    f) Количество всех отчетов старше 90 дней по уровню риска / приоритета

    g) Средний возраст отчетов старше 90 дней

    ч) Среднее время проверки представленного отчета

    i) Среднее время исправления / смягчения последствий действительного отчета

    j) Среднее время до первоначального ответа репортеру

Действия с CISA

  • CISA будет контролировать соблюдение агентством этой директивы и может принимать меры в случае ее несоблюдения.

    • В течение 180 календарных дней после выпуска этой директивы CISA начнет сканирование VDP агентств на пути «/ уязвимость-раскрытие-политика» своего основного веб-сайта .gov.

    • CISA может время от времени обращаться к сотрудникам службы безопасности по электронной почте с просьбой ответить, чтобы убедиться, что адрес электронной почты отслеживается.

    • CISA может запрашивать процедуры обработки раскрытия уязвимостей.

  • CISA рассмотрит первоначальный план внедрения агентств, отражающий сроки и основные этапы их ПВР, чтобы охватить все федеральные информационные системы, доступные через Интернет, в соответствии с требованиями M-20-32.

  • По запросу агентства CISA поможет раскрыть поставщикам информацию о вновь выявленных уязвимостях в продуктах и ​​услугах, когда агентства их получат.

  • CISA не будет передавать какие-либо уязвимости, которые оно получает или помогает координировать в соответствии с этой директивой, в Процесс оценки уязвимостей.

  • В течение 2 лет после выпуска этой директивы CISA обновит эту директиву, чтобы учесть изменения в общем ландшафте кибербезопасности и включить дополнительные передовые методы для получения, отслеживания и сообщения об уязвимостях, выявленных журналистами.

Контактные лица CISA

Руководство по внедрению

В этом разделе содержится руководство по реализации Обязательной Операционной Директивы 20-01.

Контрольный список

После выпуска директивы к указанному времени должны быть выполнены следующие действия (здесь сокращенно — краткое изложение).

  • В течение 30 календарных дней ( пятница, 2 октября 2020 г. ) обновите следующие данные у регистратора домена .gov:
    • Добавьте контактное лицо службы безопасности для каждого зарегистрированного домена .gov, если вы еще этого не сделали
    • Обновите поле «Организация», чтобы отразить подразделение в вашем агентстве, которое использует домен
    • .
  • В течение 180 календарных дней ( понедельник, 1 марта 2021 г. ):
    • Опубликуйте политику раскрытия уязвимостей по пути «/ уязвимость-раскрытие-политика» на первичном сервере вашего агентства.gov веб-сайт.
  • Через 180 календарных дней :
    • Все недавно запущенные системы или услуги, доступные в Интернете, должны подпадать под действие вашей политики.
  • В течение 270 календарных дней ( вторник, 1 июня 2021 г. ), и каждые 90 календарных дней после этого :
    • Объем вашего VDP должен быть увеличен по крайней мере за счет одной доступной в Интернете системы или услуги.
  • Через 2 года (, пятница, 2 сентября 2022 г., ):
    • Все системы или услуги, доступные в Интернете, должны подпадать под действие вашей политики.

Шаблон VDP

Чтобы вашему агентству было проще начать работу, мы создали шаблон VDP, который был написан в соответствии со структурой Министерства юстиции для программы раскрытия уязвимостей для онлайн-систем. Шаблон также доступен в виде документа Word.

Составьте политику

Начните с нашего шаблона!

Хотя в политиках раскрытия уязвимостей различных организаций есть общие темы, универсального подхода не существует.Необходимые действия в этой директиве — это просто обязательные элементы вашей политики; это требуемый минимум, а не потолок. Например, политика должна:

  • Продемонстрируйте приверженность защите информации американской общественности.
  • Дайте понять, что основная цель агентства — получение любой информации, которая может помочь ему защитить свои системы, и приветствует все добросовестные попытки соблюдать его политику. Другими словами, он должен создавать впечатление, что ваше агентство больше озабочено получением и устранением уязвимостей, чем обеспечением строгого соблюдения буквы политики.
  • Содержат инструкции, помогающие специалистам по обнаружению уязвимостей понять, как оставаться в рамках санкционированного тестирования.
  • Укажите целевое время разрешения в днях.

Ваш полис должен быть написан простым, а не юридическим языком. Это не должно длиться долго. Тон должен быть приглашающим, а не угрожающим.

Рассмотрим известный уровень техники

Оценивая свой подход, подумайте о моделировании VDP по нашему шаблону. Кроме того, несколько документов правительства США, международные стандарты и академические ресурсы могут помочь в разработке политики и управлении ею:

  • Рамочная программа Министерства юстиции по раскрытию уязвимостей онлайн-систем обеспечивает полезную основу для разработки, внедрения и управления политикой.
  • NTIA созвало рабочую группу по темам, связанным со скоординированным раскрытием уязвимостей, и их исследование дает отличный обзор, который может дать информацию о ключевых элементах политик раскрытия уязвимостей и процедур поддержки.
  • Международные стандарты ISO 29147 (раскрытие уязвимостей) и ISO 30111 (процессы обработки уязвимостей) являются высококачественными нормативными ресурсами. Поскольку информация об уязвимостях может быть раскрыта от кого угодно в любой точке земного шара, приведение в соответствие с передовой международной практикой может повысить общие ожидания и минимизировать вероятность трений.
  • Институт программной инженерии Университета Карнеги-Меллона разработал CERT® Guide to Coordinated Vulnerability Disclosure, «путеводитель» от организации, которая помогла координировать раскрытие многих уязвимостей.

Разработать процедуры обработки

Хотя в директиве «создание VDP» и «создание процедур обработки» как два разных действия, они похожи на разные стороны одной медали: процедуры обработки описывают, как ваше агентство реализует вашу политику.

У большинства организаций уже есть процедуры управления уязвимостями в своих системах. Обработка выявленных уязвимостей не должна быть независимой от этого процесса, хотя здесь задействованы разные факторы.

Вы можете начать с вопроса (и задокументировать свои ответы):

  • Как будут отслеживаться отчеты?
  • Как мы внутренне координируем свои действия с теми, кому нужно знать?
  • Каков наш процесс определения приоритетов, определения приоритетов и решения проблем?
  • Как мы будем обрабатывать отчеты, которые выходят за рамки?
  • Как осуществляется коммуникация с докладчиком об уязвимостях (и другими внешними сторонами, такими как CISA)?
  • Что делается для оценки того, привела ли заявленная уязвимость к ранее неизвестному воздействию, и каковы наши процедуры в отношении федеральной отчетности об инцидентах?

При желании ваши процедуры обработки могут быть обнародованы, что может помочь вашей команде быстро их найти и вселить уверенность в сообщениях об уязвимостях в том, что их сообщения будут приняты всерьез.Посмотрите, как Служба преобразования технологий в Администрации общих служб делает это в своем справочнике.

Организационная гибкость

В поддержку этой директивы ваше агентство имеет гибкость, позволяющую различным подразделениям в вашем агентстве поддерживать свои собственные политики раскрытия уязвимостей и процедуры обработки. Фактически, большинство крупных агентств должны оптимизировать этот способ, позволяя устанавливать политику, объем и коммуникации и управлять ими на уровне, близком к владельцу системы.В максимально возможной степени оптимизируйте доступ к владельцу системы, а не на видимость в масштабах всего агентства.

В этом случае ваше агентство должно позаботиться о том, чтобы политика каждого подразделения была открыта и соответствовала требованиям директивы. Например, политика каждого подразделения может быть связана с политикой родительского агентства.

Сторонние продукты и услуги

Используется вашим агентством

При включении систем или услуг в сферу действия вашей политики, которые включают сторонние продукты или услуги (например, от поставщиков облачных услуг), посоветуйтесь со Структурой Министерства юстиции (шаг 1 (C)) и подумайте, какие компоненты могут быть включены в вашем VDP.После того, как вы сделали это определение, постарайтесь указать, что входит, а что не входит в область санкционированного тестирования, и как это можно определить (например, четко указать набор доменных имен, которые входят в границы). См. FAQ, Как директива применяется к доступным через Интернет системам и услугам, предоставляемым поставщиками услуг?

Если у вашего агентства нет подходящего контакта с поставщиками коммерческого программного обеспечения или оборудования, CISA поможет координировать раскрытие информации. Свяжитесь с нами через https: //www.cisa.gov / скоординированный-процесс-раскрытия-уязвимости.

Отправлено вам в связи с реальной или предполагаемой регулирующей ролью

Ваше агентство может получать отчеты об онлайн-услугах организаций в секторе, в котором ваше агентство участвует или курирует. Чтобы сообщить свои ожидания, вы можете поделиться чем-нибудь об этом в своем VDP:

.

Об уязвимостях в {авиации, финансовых системах} следует сообщать поставщику или владельцу системы, а не {Федеральное управление гражданской авиации, министерство финансов}.

Если об уязвимостях все равно сообщается в ваше агентство, вам все равно следует предпринять добросовестные усилия, чтобы передать их соответствующей стороне. Компания CISA может помочь в согласовании таких отчетов, полученных вашим агентством.

Используйте Интернет

Должно быть проще сообщить об уязвимости вашему агентству, чем написать об этом в Твиттере.

Используйте веб-форму или специальное веб-приложение, чтобы принимать отчеты об уязвимостях и поощрять журналистов к их использованию.Материалы, доставляемые через Интернет, вероятно, будут лучше защищены при передаче, чем по электронной почте (поскольку HTTPS является обязательным), а веб-формы позволяют вашему агентству стандартизировать формат отчетов об уязвимостях. Веб-формы также могут помечать определенные поля как обязательные, уменьшая необходимость без надобности связываться с репортером. Существуют коммерческие веб-сервисы, специально разработанные для оказания помощи организациям в получении высококачественных, хорошо структурированных отчетов об уязвимостях.

Однако ваша форма не должна быть единственным способом, которым ваше агентство может получить уведомление или узнать об уязвимости.Вы должны иметь возможность обрабатывать уязвимости, отправленные по электронной почте (например, на контактные адреса службы безопасности или непосредственно сотрудникам, включая пресс-службы) или через сообщения в социальных сетях, независимо от того, рекламируете ли вы эти каналы для сообщений об уязвимостях.

Часто задаваемые вопросы

Ответы на другие распространенные вопросы соответствия приведены ниже.

Контакты службы безопасности и поле «Организация»

VDP

Отчеты об уязвимостях

Координация с докладчиками об уязвимостях

CISA

Разное

Контакты службы безопасности и поле «Организация» FAQ

Мое агентство опубликовало контактную информацию службы безопасности, но у нас еще нет VDP.Что нам делать с получаемыми отчетами?

Даже если ваше агентство не санкционирует исследование безопасности до того, как у вас появится VDP, и, возможно, у вас нет четко определенных процедур координации, вы все равно должны подтвердить, что вы получили отчет, и продемонстрировать добросовестные усилия по устранению уязвимостей. Это устраняет проблемы безопасности и дает вам непосредственный опыт для создания более эффективных процедур обработки раскрытия уязвимостей.

Для чего нужны поле «Контакт безопасности» и «Организация» в.государственный регистратор?

Контактное лицо по вопросам безопасности отправит вас по номеру , чтобы получить релевантную для безопасности информацию для всего домена. Вы можете сделать это, управляя почтовым ящиком для получения отчетов.

Поле Organization может ускорить маршрутизацию сообщений внутренних предприятиям отчетов, отправленных внешними сторонами . Это может быть полезно для обеспечения доставки отчета в нужное организационное подразделение.

Что нужно учитывать при управлении.контактный почтовый ящик службы безопасности gov?
  • Используйте адрес электронной почты команды специально для этих отчетов и избегайте использования адресов электронной почты отдельных лиц.
  • Контактному лицу не требуется круглосуточная поддержка, но кто-то должен ответить в течение нескольких рабочих дней. Те, кто должен быть отзывчивым, должны знать, что они несут эту ответственность.
  • Оцените, следует ли использовать список рассылки вместо общего почтового ящика.
    • Список рассылки позволяет рассылать отчет по электронной почте по всей команде и не требует управления доступом к отдельному почтовому ящику.
    • Общий почтовый ящик — это специальный почтовый ящик, к которому имеют доступ несколько человек. Для управления сообщениями потребуются процедуры, общие для команды, но при этом отдельные сотрудники не смогут отвечать на электронные письма из своей учетной записи.
    • При любом подходе рассмотрите ценность для репортера уязвимостей получения ответа от указанного человека, а не автоответчика, не подписанного «команда».
  • Признайте, что повторное использование уже созданного списка или почтового ящика имеет преимущества и недостатки.Повторное использование чего-либо минимизирует начальные затраты организации, связанные с получением отчетов (например, определение списка, добавление участников, сообщение о его существовании и использовании), но может привести к уменьшению количества отчетов об уязвимостях, потерянным в «шуме» других сообщений. Повторное использование списка / почтового ящика может также ослабить чувство ответственности при принятии мер в отношении отчетов, особенно если количество участников велико. Если имя в адресе электронной почты больше ориентировано на внутренние операции, чем на четкое указание цели информационной безопасности, посторонние могут быть не уверены, подходит ли адрес для их отчета.
  • Вы можете сделать доступным ключ PGP для включения зашифрованной электронной почты, но мы настоятельно рекомендуем вместо этого использовать Интернет.

VDP FAQ

Что означает директива под «добросовестностью»?

В контексте данной директивы «добросовестность» означает исследование безопасности, проведенное с намерением следовать VDP агентства без злонамеренного мотива; ваше агентство может оценивать намерения человека по нескольким причинам, в том числе по их действиям, заявлениям и результатам их действий.Другими словами, добросовестное исследование безопасности означает доступ к компьютеру или программному обеспечению исключительно с целью тестирования или расследования недостатка или уязвимости безопасности и раскрытия этих результатов в соответствии с VDP. Действия исследователя в области безопасности должны быть согласованы с попыткой повысить безопасность и избежать причинения вреда в виде неоправданного вторжения в частную жизнь или причинения ущерба собственности.

Признаком добросовестности является своевременный фактологический отчет об уязвимости в системе, авторизованной для тестирования, направляемый непосредственно в организацию в соответствии с инструкциями VDP; тем не менее, человек может добросовестно проводить исследования и не иметь результатов, о которых можно было бы сообщить.Частное лицо также может действовать добросовестно, сообщая информацию, относящуюся к системам, которые не входят в область действия, если обнаружение уязвимости было случайным или случайным при авторизованном тестировании систем, входящих в область действия. CERT / CC Института программной инженерии приводит пример ситуации, когда кто-то «при тестировании системы, находящейся в рамках [,], обнаруживает, что она раскрывает данные из системы, не входящей в сферу охвата. Об этих уязвимостях по-прежнему можно сообщать «. Напротив, человек, который сознательно решает протестировать системы, не включенные в VDP, не будет действовать добросовестно.

В структуре Министерства юстиции отмечается, что «организация должна решить, как она будет поступать со случайными и добросовестными нарушениями политики раскрытия уязвимостей». В Концепции приводится пример заявления VDP о том, что организация не будет «возбуждать гражданский иск за случайные, добросовестные нарушения своей политики или подавать жалобу в правоохранительные органы за непреднамеренные нарушения» — и директива требует, чтобы ваша VDP содержала подобное заявление. Как минимум, директива требует, чтобы ваш VDP содержал «обязательство не рекомендовать и не возбуждать судебные иски против кого-либо за деятельность по исследованию безопасности, которая, по мнению агентства, представляет собой добросовестное усилие по соблюдению политики и считает эту деятельность разрешенной.”

Что должно включать начальный объем ПВД моего агентства?

Выберите системы / услуги, которые играют значимую роль в вашей миссии и имеют хотя бы умеренный объем использования. Это позволяет применять вашу политику и процедуры обработки, предоставляя возможность вашей команде укрепиться.

Добавляйте системы в свой прицел намеренно, а не в качестве экспериментов. Помните, что ваше агентство имеет большую свободу в определении того, какие системы должны быть включены в вашу сферу (в течение 2 лет после выпуска этой директивы).Изменение объема обычно должно увеличиваться, а не уменьшаться.

Нет необходимости ждать 90-дневные интервалы, указанные в директиве, для увеличения объема вашего VDP; вы можете добавить к нему в любое время.

Можем ли мы исключить системы из сферы действия нашего VDP?

Как правило, этого следует избегать, и CISA предостерегает от этого, поскольку отдельные лица могут полагаться на предварительное включение системы в область действия и вряд ли будут знать о ее удалении. Это может вызвать реальный или предполагаемый риск судебного преследования, затруднить исследования в области безопасности и создать впечатление, что ваше агентство не серьезно относится к получению информации от внешних сторон, сообщающих о потенциальных проблемах.

Однако есть веские причины для сокращения объема, например, отказ от унаследованных систем, которые явно названы. Если вы собираетесь удалить системы, , особенно если это делается из-за нехватки ресурсов , мы просим вас уведомить [email protected] перед этим.

В соответствии с директивой, через 2 года после выпуска этой директивы, все доступные в Интернете системы или услуги должны входить в сферу действия вашего VDP.

Что подразумевается под «доступными в Интернете системами или услугами»?

Директива в целом применяется к федеральным информационным системам и услугам, доступным через Интернет, в том числе к системам, непосредственно управляемым агентством, а также к системам, работающим от имени агентства.Это касается и мобильных приложений.

Фраза «доступные через Интернет производственные системы или услуги », использованная в требовании 3.a.i, используется для определения диапазона приемлемых систем в исходной области вашего VDP . Ниже приводится развертка каждого компонента фразы.

Доступен в Интернете

«Доступный в Интернете» означает систему, доступную через общедоступный Интернет, имеющую публично маршрутизируемый IP-адрес или имя хоста, которое публично разрешается в DNS на такой адрес.Сюда не входит инфраструктура, которая является внутренней по отношению к вашей сети (которая может быть доступна из Интернета через виртуальную частную сеть или VPN), или обязательно включает общие службы, используемые вашим агентством, которые специально не управляются вашим агентством. Однако он включает службы, которые соединяют Интернет с вашей интрасетью, например инфраструктуру VPN. «Доступные в Интернете» включают в себя те системы, которые намеренно не сделали доступными в Интернете.

Многие системы будут использовать.gov домен. (M-17-06 требует, чтобы агентства исполнительной власти использовали адрес .gov или .mil для своих общедоступных цифровых услуг и добавляли использование любых других доменов в список, поддерживаемый Администрацией общих служб.) В целом, большинство систем, которые будут В конечном итоге, VDP вашего агентства включены в набор доступных в Интернете систем, которые M-21-02 требует, чтобы вы постоянно обновляли в CISA.

В ситуациях, когда вы используете инфраструктуру, в которой отсутствует общедоступная запись DNS, не требуется проводить общедоступную инвентаризацию каждого IP-адреса в рамках области действия вашего VDP — даже если она явно относится к области «доступность из Интернета».В этих ситуациях исследователь может получить информацию другими способами, чтобы обнаружить владельца системы. Это может включать, например, уведомление об использовании системы или дополнительную разведывательную деятельность.

Производство

«Производственная» означает системы, которые обслуживают реальных пользователей, а не среды разработки или тестирования. Цель использования этого слова в действии 3 директивы состоит в том, чтобы ваше агентство поместило системы фактических последствий в начальную область вашего VDP.

Для ясности, все доступные через Интернет системы и службы, включая среды разработки или тестирования, должны быть включены в конечный объем вашего VDP.

Системы и услуги

Есть разные способы, которыми агентства определяют границы для своих систем или сервисов, которые влияют на учет приложения. В этой формулировке мы стремимся дать как можно более широкое описание программных приложений, принадлежащих вашему агентству и использующих Интернет.

Например, «системы и услуги» включают программное обеспечение, опубликованное агентством или под его торговой маркой, такое как мобильные приложения (например, iOS, Android). Для программного обеспечения с открытым исходным кодом путь сообщения об уязвимостях, вероятно, уже очевиден; отдельные репозитории с открытым исходным кодом не нужно добавлять в VDP агентства, если любой, кто взаимодействует с репозиторием, может легко обнаружить путь сообщения об уязвимости (например, README проекта).

Как директива распространяется на доступные в Интернете системы и услуги, предоставляемые поставщиками услуг?

Директива применяется ко всем федеральным информационным системам и службам, доступным в Интернете, и ее следует применять как можно шире, чтобы ваше агентство узнало об уязвимостях, но есть важных нюансов .

Ваше агентство может не иметь полномочий разрешать тестирование, например, облачной инфраструктуры или программного обеспечения как услуги, которую вы используете. Перед включением системы в ваш VDP, которая может затрагивать интересы третьих лиц, убедитесь, что третья сторона явно разрешила такое тестирование, например, в контракте вашего агентства с поставщиком или в общедоступной политике поставщика. Директива не дает вашему агентству полномочий принуждать организацию, с которой вы ведете бизнес, иметь политику раскрытия уязвимостей.

Вы должны работать с поставщиком услуг, чтобы определить, как ваши активы могут быть добавлены в ваш VDP. Внимательно изучите структуру Министерства юстиции. Если поставщик не разрешит тестирование, вы не можете включить эту систему или услугу в сферу действия вашего VDP.

Полезным советом для включения данной системы в ваш VDP является вопрос: «Если бы в этой системе была уязвимость, кто бы отвечал за ее устранение?».

  • Если ответ — для вашей группы эксплуатации или разработки, эта система, вероятно, должна входить в сферу действия вашего VDP.(Признайте, что уязвимости могут существовать из-за плохо управляемых конфигураций, которые поддерживает ваше агентство, а не только из-за ошибок, присущих инфраструктуре поставщика.)
  • Если ответ — поставщик , вам нужно будет подтвердить, что поставщик санкционировал такое тестирование или работу для получения разрешения.

В некоторых случаях ответ может быть разделен в зависимости от того, где находится уязвимость или как она выражается. Даже если вы не можете добавить систему в свою политику, ваше агентство должно иметь возможность передавать им вопросы или проблемы, возникающие в связи с безопасностью услуг вашего провайдера, поскольку ваша безопасность зависит от их безопасности.

В вашем VDP четко указывайте конкретные имена хостов, входящие или выходящие за рамки. Включите следующий язык из нашего шаблона VDP:

Любые услуги, прямо не указанные выше, например, любые связанные услуги, исключены из области применения и не разрешены для тестирования. Кроме того, уязвимости, обнаруженные в системах наших поставщиков, выходят за рамки этой политики, и о них следует сообщать непосредственно поставщику в соответствии с их политикой раскрытия информации (если таковая имеется). Если вы не уверены, входит ли система в сферу охвата, свяжитесь с нами по адресу security @ agency.gov перед началом исследования.

Нужно ли включать в сферу охвата наши доступные в Интернете дорогостоящие активы?

Да, в конце концов. Дорогостоящие активы — это важные системы, и вам захочется знать, если кто-то обнаружит проблему. Тем не менее, ценные активы не обязательно называть как ценные активы в рамках вашего VDP.

Должен ли наш VDP размещаться по пути / уязвимости-раскрытия-политики или мы можем перенаправить в другое место?

Использование перенаправления HTTP разрешено, а путь / уязвимость-раскрытие-политика может выполнять внутреннее перенаправление (например,g., в том же домене) или извне. Позаботьтесь о том, чтобы перенаправления использовали HTTPS.

См. Как CISA узнает основной веб-сайт моего агентства .gov, чтобы найти мой VDP?

Отчеты об уязвимостях FAQ

Требует ли директива крайнего срока для исправления обнаруженных уязвимостей?

Нет. Директива не требует сроков разрешения проблем для сообщений об уязвимостях в целом, отчетов, признанных действительными после сортировки, или уязвимостей определенной степени серьезности.Однако директива требует, чтобы ваше агентство установило целевые сроки, когда вы подтвердите отчет, первоначально оцените или упорядочите его и разрешите отчет об уязвимости (включая общение с лицом, сообщившим об уязвимости). Эти временные рамки предназначены для управления поведением организации и позволяют отслеживать производительность; они не разрешение уязвимости сроки .

Хотя в директиве может не указываться, когда данная уязвимость должна быть исправлена, время является критическим фактором для всех ваших действий:

  • Вам следует работать над быстрым устранением уязвимостей, уделяя особое внимание тем, которые имеют реальное воздействие.См. Сноску 21 в директиве, чтобы узнать о других элементах, которые следует учитывать.
  • Хотя, как правило, идеальным является публичное раскрытие информации после исправления уязвимости, агентства должны исходить из того, что любая уязвимость, обнаруженная добросовестным исследователем, могла быть легко обнаружена злоумышленником.
  • Некоторые специалисты по поиску уязвимостей могут стремиться публично раскрыть, как они обнаружили уязвимость и почему она оказала влияние. Это ценное занятие, поскольку оно повышает осведомленность о классе обнаруженных уязвимостей и побуждает других повышать безопасность.Многие в сообществе исследователей безопасности считают целесообразным публичное раскрытие уязвимости в период от 45 до 90 дней после первого обращения к пострадавшему объекту, чтобы дать пострадавшей организации время исправить проблему без ненужных задержек. Агентства могут потребовать, чтобы исследователь предоставил агентству определенное время для устранения уязвимости до публичного раскрытия информации, но эта задержка не может быть необоснованной — и все, что превышает 90 дней, начинает отклоняться от разумного.Агентства не должны пытаться ограничить публикацию после устранения уязвимости.

Более важно, чем намеченные сроки, — постоянное и содержательное общение с докладчиками об уязвимостях . В исследовании, в ходе которого были опрошены группы поставщиков программного обеспечения и исследователей в области безопасности, Национальное управление по телекоммуникациям и информации обобщило перспективы в отношении сроков и связи:

Сроки также были очень важны для исследовательского сообщества: более девяти из десяти респондентов описали желание какой-то крайний срок для исправления.Однако задействованные временные рамки не всегда воспринимаются как нечто, что нужно фиксировать. На Напротив, только 18% исследователей, которые выразили ожидание сроков разрешения проблемы, считали, что вендоры должны соответствовать графику без учета обстоятельств конкретной ошибки. Таким образом, поддержание определенной даты урегулирования несостоятельности. менее важно, чем прозрачное информирование о принятии решений, связанных с определением приоритета решения, позволяя исследователю откалибровать свои ожидания.

См. Раздел «Коммуникация — ключ к успеху» в отчете NTIA «Отношение к раскрытию уязвимостей». и Действия.

Даже в этом случае многие предоставленные вам отчеты будут неважными или недействительными. Их не обязательно устранять вообще или своевременно. Команды безопасности должны уделять большую часть своего внимания отчетам, имеющим наибольшее практическое значение.

См. Также Применяется ли BOD 19-02 к уязвимостям, о которых сообщается в рамках нашего VDP?

Применяется ли BOD 19-02 к уязвимостям, о которых сообщается в рамках нашего VDP?

Как правило, нет.BOD 19-02 требует, чтобы ваше агентство устранило уязвимости с критической и высокой степенью «выявленные с помощью сканирования Cyber ​​Hygiene» в течение 15 и 30 дней соответственно. Во многих случаях устранение уязвимостей, о которых сообщается в рамках вашего VDP, не будет иметь CVE, иметь определенный рейтинг серьезности или устраняться, например, простым исправлением программного обеспечения. Вы должны работать над быстрым устранением уязвимостей, уделяя особое внимание тем, которые имеют реальное воздействие.

Когда обнаруженная уязвимость определяется в вашем отчете Cyber ​​Hygiene как критическая или высокая, требуемые действия согласно BOD 19-02 остаются в силе.

См. Также Требует ли директива крайнего срока для исправления уязвимостей?

Если обнаруженная уязвимость подтверждена, вызывает ли это необходимость сообщать об инциденте?

Нет, определение наличия уязвимости, о которой сообщается, не означает, что произошел инцидент, и не обязательно побуждает к немедленным действиям по сообщению (как указано в M-21-02). Однако уязвимости с потенциально значительным воздействием должны побуждать к оценке пораженной системы, чтобы определить, произошел ли инцидент в прошлом.

Координация с докладчиками об уязвимостях FAQ

Как мы должны общаться с докладчиками об уязвимостях?

Директива требует, чтобы вы были «максимально прозрачны» в отношении шагов, которые вы предпринимаете в процессе исправления.

прозрачный означает, что вы действуете в духе открытости. Это означает, что вы поделитесь тем, что вы сделали, что планируете делать и как (примерно) вы ожидаете получить лекарство. Это не означает , но включает предложение информации, достаточной для того, чтобы докладчик об уязвимостях мог сказать вам, что вы понимаете проблему и предпринимаете конкретные действия.

«По возможности» охватывает соответствие. Вы можете гибко определять уровень информации, которой следует поделиться, но, как правило, если она не оказывает существенного, ощутимого или возможного негативного воздействия на безопасность, вы можете свободно делиться информацией с докладчиком об уязвимостях.

Вы должны общаться с высоким эмоциональным интеллектом:

  • Отсортируйте отчет и как можно быстрее определитесь с наилучшим курсом действий. Сообщите об этом.
  • Словом и тоном не отвечайте в обороне. Вы не атакованы.
  • Выразите признательность. Кто-то нашел время, чтобы сказать вам то, чего не должен был.
  • Отнеситесь к ним серьезно. Вы можете ожидать, что многие отчеты будут от профессионалов, обладающих глубокими знаниями в области информационной безопасности.
  • Ответьте, используя предложенное вами имя или псевдоним. Не предполагайте использование местоимений человека.
  • Показывать свою человечность — это нормально.Ваш ответ не должен восприниматься как робот или проформа.
Нужно ли нам отправлять ответ на каждый отчет об уязвимости?

Если контактная информация известна, вы должны отвечать на все отчеты об уязвимостях, которые передаются добросовестно. Это означает, что вам не нужно отвечать на сообщения, явно являющиеся спамом. GSA / TTS поделились полезными примерами ответов на отчеты, которые явно «не применимы».

Как мое агентство должно обрабатывать сообщения об уязвимостях из анонимных источников?

С этими отчетами следует обращаться так же, как и со всеми другими отчетами: как с подарком.Знание источника отчета может быть реальным преимуществом, поскольку оно позволяет установить взаимопонимание. Однако, если человек, отправивший отчет, неизвестен, жалобу следует просто оценить по существу — как и любой другой отчет.

Очевидно, что если источник неизвестен, вы не обязаны находить это лицо или отвечать ему, и вам не следует никогда не пытаться разоблачать личность человека, добросовестно предлагающего отчет.

Можем ли мы распознать репортеров уязвимых мест за их усилия?

Да.Некоторые организации публично признают людей, которые передают подтвержденные или особо важные сообщения на веб-странице или в социальных сетях. Публичное «спасибо» — это щедрая практика, ничего не стоит и заставляет журналистов, сообщающих об уязвимостях, делиться своими выводами в будущем. Однако этого нельзя делать, если вы не получили явного разрешения репортера на то, что он согласен с публичным признанием.

Вы можете включить в свой VDP формулировку, которая проясняет вашу позицию в отношении признания, что с самого начала способствует совместным ожиданиям.

Роль CISA

Какова роль CISA в скоординированных усилиях моего агентства по раскрытию уязвимостей?

В большинстве случаев ваше агентство должно иметь возможность устранять проблемы, указанные в сообщениях об уязвимостях, напрямую или координировать их решение с поставщиками и партнерами. Согласно директиве, вы должны немедленно сообщить нам об определенных обстоятельствах, но вы также можете связаться с нами, если сочтете это целесообразным.

Мы понимаем, что раскрытие уязвимостей тем, которые не являются существенными для разработки мер по снижению риска, может увеличить риск использования уязвимости.Причина, по которой мы сообщаем CISA подробные сведения об уязвимости, заключается в том, чтобы мы могли помочь устранить ее. Нам также может быть известно о дополнительных сторонах, о которых следует сообщить.

Вне директивы CISA помогает координировать вновь выявленные уязвимости в цифровых продуктах и ​​услугах. Мы поддерживаем хорошие отношения со многими крупными поставщиками и будем помогать агентствам, которые обращаются за помощью, в поиске необходимой партии.

Если CISA получит отчет о системе, которой вы управляете, мы направим репортеров к вашему контактному лицу по безопасности / VDP.Мы также будем последним средством для исследователей, когда они не смогут найти контакт или не получат ответа.

Как CISA узнает основной веб-сайт моего агентства .gov, чтобы найти мой VDP?

Директива требует, чтобы вы сделали свой VDP доступным по пути «/ уязвимость-раскрытие-политика» на основном веб-сайте вашего агентства .gov. Связь между каждым доменом .gov и владельцем домена является общедоступной, и CISA просканирует все веб-сайты домена .gov второго уровня в исполнительной ветви власти по пути «/ уязвимость-раскрытие-политика» в поисках VDP, а затем наших сотрудников. оценит вашу политику на предмет соответствия директиве.

В ситуациях, которые могут быть неясными (например, у агентства есть более одного VDP в разных доменах), мы оценим содержимое файла, чтобы собрать дополнительный контекст, и можем запросить дополнительную информацию у вашего агентства, чтобы мы могли программно поддерживать осведомленность где находятся все агентские VDP.

Разное FAQ

Как наша группа безопасности может отличить злоумышленников, ищущих уязвимости, от людей, действующих добросовестно?

Вы должны продолжать предпринимать те же защитные действия, что и обычно.Когда срабатывают различные предупреждения системы безопасности, было бы бесполезно пытаться угадать, исходили ли пакеты от тех, кто пытается улучшить ситуацию, или от людей, которые могут причинить вред. Просто действуйте как обычно. Однако может быть полезно устранить конфликт трафика с отчетами об уязвимостях, чтобы определить, произошла ли фактическая, ранее неизвестная компрометация.

Наличие VDP не означает, что вы метафорически «уроните свой щит». Поддержание одного из них может обеспечить лучшее понимание организационных слабостей, которые приводят к уязвимостям, таких как небезопасные методы разработки, плохое управление конфигурацией или неэффективное сотрудничество, которые ваша группа безопасности может помочь проанализировать и поработать над устранением.

Запрещается ли федеральному персоналу и подрядчикам проводить тестирование и составлять отчеты в соответствии с нашим VDP?

Нет. Директива требует, чтобы все, кто следует вашей политике, считались уполномоченными. Федеральный персонал и подрядчики могут сообщать об уязвимостях в любое агентство, включая свое собственное. Однако ваше агентство может наложить ограничения на участие ваших сотрудников в программе вознаграждения за ошибки.

Можем ли мы организовать вознаграждение за обнаружение ошибок?

Да. Награды за ошибки могут служить мотиватором для людей, которые в противном случае не могли бы участвовать, и могут помочь направить внешние усилия на системы, представляющие особый интерес для агентства.Вы можете добавить финансовые стимулы за обнаружение определенных проблем или в определенных системах. Дополнительные комментарии о вознаграждениях за ошибки см. В разделе «Справочная информация» о директиве.

Следует ли нам вносить изменения в уведомление об использовании системы, если оно входит в область действия нашего VDP?
Специальная публикация

NIST 800-53v5, control AC-8, предлагает «уведомления об использовании системы», которые являются баннерами на многих государственных информационных системах, предупреждающих посетителей о несанкционированном использовании.

Стоит подумать, как можно упростить отчетность для тех, кто что-то находит, и это может включать обновление уведомления об использовании системы, чтобы уточнить, что система является частью вашего VDP, или сообщить, где сообщать о потенциальных проблемах.

Можно ли использовать файл security.txt?

Да. security.txt — это предлагаемый стандарт, который позволяет веб-сайтам определять политики безопасности и лучшие точки связи для сообщения об уязвимости. Хотя директива не требует использования, она может помочь некоторым людям найти, с кем поделиться результатами поиска уязвимостей.

На https://securitytxt.org/ есть полезная утилита, которая может помочь вам сгенерировать файл.

.

Добавить комментарий

Ваш адрес email не будет опубликован.

OrbitalWars Copyright © 2019. Наши партнеры GoldPride | Free-kassa

Карта сайта