ЧаВо по КИИ №33

<< Безопасность КИИ и 187-ФЗ
<< Частые вопросы по КИИ

Как корректно посчитать показатель 9 из перечня показателей критериев значимости (ущерб бюджетам РФ)?

Дата актуализации: 14.06.2019

Метки: бюджеты   категорирование   категория значимости   критерий значимости   показатель   ПП-127   ущерб   финансовый показатель

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период): III категория значимости - более 0,001, но менее или равно 0,05; II категория значимости - более 0,05, но менее или равно 0,1; I категория значимости - более 0,1.

ВАЖНО: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год - 19 969,3 млрд. руб.
      • 2020 год - 20 218,6 млрд. руб.
      • 2021 год - 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов - 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит - 203 886 510 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. - 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб - 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб - 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб - 100 000 000;
      • Общая сумма налоговых платежей, руб - 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098% < 0,001%, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.