В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:
Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):
III категория значимости — более 0,001, но менее или равно 0,05;
II категория значимости — более 0,05, но менее или равно 0,1;
I категория значимости — более 0,1.
Важно: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.
Приведенные ниже примеры необходимо актуализировать с учётом сумм, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.
Для корректного подсчёта необходимо:
- Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
- Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
- 2019 год — 19 969,3 млрд. руб.
- 2020 год — 20 218,6 млрд. руб.
- 2021 год — 20 978,0 млрд. руб
- Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
- Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 510 руб.
- Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
- Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
- При этом, согласно п. 14(1) ПП-127:
должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба. - На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
- Сумма недополученной прибыли, руб. — 500 000 000;
- Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
- Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
- Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
- Общая сумма налоговых платежей, руб — 200 000 000.
- При этом, согласно п. 14(1) ПП-127:
- Разделить сумму, полученную в п.2 на число, полученное в п.1
- Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
- Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
- 0,00098% < 0,001%, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.
- 0,00098% < 0,001%, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.