4. Возникновение ущерба бюджету Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период)

Должна оцениваться возможность снижения соответствующих выплат государственным органом, государственным учреждением, российским юридическим лицом, индивидуальным предпринимателем в бюджет в случае нарушения функционирования рассматриваемого объекта КИИ.

Данный критерий касается объектов КИИ, которые реализуют процессы, связанные с производством продукции или предоставлением услуг, являющимися источниками дохода субъекта, облагаемыми налогами, пошлинами, акцизами и т.д.

Должны рассматриваться инциденты, из-за которых возможно прекращение или нарушение работы указанных объектов, влекущие нарушение производственных процессов или процессов предоставления услуг. При оценке должны рассматриваться такие последствия как:

нарушение производства/предоставления услуг субъекта;

изменение качества, скорости, объема выпускаемой продукции.

Ущерб оценивается как прогнозируемое снижение выплат в бюджет за ожидаемый период нарушения объекта КИИ в процентах от среднегодового дохода федерального бюджета за 3-летний период:

1) выполняется оценка максимальной оценочной длительности разового нарушения работоспособности объекта КИИ с учетом возможных нарушителей и угроз безопасности, а также существующих мер резервирования и возможностей по обеспечению непрерывности и восстановления.

2) Рассчитываются средние выплаты субъекта КИИ. Необходимо запросить данные о среднегодовых выплатах субъекта в бюджет (запрашивается в бухгалтерии в соответствии с перечнем кодов видов доходов бюджетов и соответствующих им кодов аналитической группы подвидов доходов бюджетов). Необходимо рассматривать исключительно выплаты, связанные с деятельностью субъекта (производство, оказание услуг), выплаты, связанные со страховыми взносами, НДФЛ и т.д. рассматриваться не должны, так как не зависят напрямую от работоспособности объектов (если не планируется сокращение персонала из-за остановки производства). Чаще всего рассматриваются налоги на прибыль, на добавленную стоимость, акцизы, на доходы от оказания платных услуг и т.д.

3) Оценивается влияние объекта КИИ на выплаты в бюджет - для этого необходимо определить какие процессы будут нарушены из-за нарушения работоспособности объекта КИИ и их влияние на выплаты в бюджет. Для оценки влияния объекта на процессы рекомендуется строить дерево процессов, отражающее взаимосвязь процессов с указанием зависимости (полная, частичная и т.д.). В случае, если автоматизируемый процесс не является непосредственным источником отчислений в бюджет, то необходимо рассмотреть процессы, на которые он оказывает влияние и выполнение которых будет невозможно или усложнится в случае нарушения данного процесса. В случае, если объект оказывает влияние на несколько процессов, являющихся самостоятельными источниками отчислений в бюджет, расчет потерь должен выполняться для каждого подобного процесса. В случае затруднений с оценкой влияния объекта и/или процессов на выплаты в бюджет, для объектов, связанных с процессами, являющимися источниками дохода, можно рассматривать 100%-ую зависимость (остановка объекта КИИ влечет к полной остановке производства/оказания услуг и в соответствующим масштабе будет недополучена прибыль и, соответственно, не произведены выплаты в бюджет).

На данном этапе необходимо рассчитать усредненное дневное уменьшение выплат в бюджеты Российской Федерации: среднегодовые выплаты в бюджет, связанные с рассматриваемыми процессами/365.

4) Рассчитывается итоговый ущерб посредством умножения максимальной оценочной длительности нарушения работоспособности объекта КИИ на усредненное дневное уменьшение выплат в бюджеты Российской Федерации, связанное с нарушением работоспособности объекта КИИ.

5) Итоговый ущерб оценивается в процентном соотношении к прогнозируемому годовому доходу федерального бюджета, усредненному за планируемый 3-летний период.

При оценке возможных последствий необходимо рассматривать максимальный негативный сценарий, без учета компенсирующих защитных мер (межсетевое экранирование, резервирование и т.д.), необходимо делать прогноз возможного развития аварии или сбоя без учета аварийных систем или мер защиты (за исключением вариантов, когда данные системы являются неотъемлемой технологической частью системы, на которую атака не считается возможной).