Верхнее

Как корректно посчитать показатель 9 из перечня показателей критериев значимости (ущерб бюджетам РФ)?

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):

III категория значимости — более 0,001, но менее или равно 0,05;

II категория значимости — более 0,05, но менее или равно 0,1;

I категория значимости — более 0,1.

Важно: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Приведенные ниже примеры необходимо актуализировать с учётом сумм, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год — 19 969,3 млрд. руб.
      • 2020 год — 20 218,6 млрд. руб.
      • 2021 год — 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 513,92 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. — 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
      • Общая сумма налоговых платежей, руб — 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098 < 0,0001, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.