Расчет стоимости финансовых потерь при нарушении работы АСУ или сети

Не утвержденные за пять лет Рекомендации ФСТЭК России по оценке экономических показателей объектов критической информационной инфраструктуры (далее – КИИ) определяют список рассчитываемых финансовых потерь при нарушении работы АСУ или сети, но не содержат формул расчёта. 

Фото: https://storage.printhit.org/source/1/ewYaEvswN9w-OFf-Fl50Aa5TJsXxysUz.jpg

Противоречие приводит к неопределенным, трудновыполнимым и (или) обременительным требованиям к гражданам и организациям, называемым в законодательстве «коррупциогенными факторами».

При тенденции, когда каждая АСУ или сеть, начинает рассматриваться как объект КИИ, применение приводимых в публикации формул делает расчёт финансовых потерь доступным для неспециалистов, а при внесении в электронные таблицы – сокращают время расчетов до 10 – 15 минут.

Формулы расчёта помогают решить обратную задачу и определить приемлемые или требуемые значения экономических показателей. Технические задания на создание (модернизацию) АСУ или сети изменяются в соответствии с полученными результатами.

Для удобочитаемости по тексту вместо термина «АСУ или сеть» применён термин «объект КИИ».

Обоснование формул будет приведено в комментариях к публикации по запросу.

 

Шаг 1. Расчёт количества пользователей в простое

Прекращение или нарушение функционирования объекта КИИ одномоментно затронет не всех пользователей. Часть из них будет временно отсутствовать или выполнять должностные обязанности без использования объекта КИИ.

Соответственно финансовые потери выразятся в оплате невыполненной в период неработоспособности объекта КИИ работы пользователей.

а) Количество пользователей, должностные обязанности которых выполняются исключительно с использованием объекта КИИ будет равно:

Nп = 0,7 * Nис,

где

Nп – количество пользователей, оказавшихся в простое при прекращении или нарушении функционирования объекта КИИ;

0,7 – коэффициент присутствия, учитывающий временное отсутствие 30% пользователей (болезнь, отпуск, командировки);

Nис – количество пользователей, определённое проектной документацией.

 

б) Количество пользователей, должностные обязанности которых выполняются частично с использованием объекта КИИ, или если пользователи распределены по часовым зонам, будет равно:

Nп = 0,02878 * Nис * Tчас,

где

Nп – количество пользователей, оказавшихся в простое при прекращении или нарушении функционирования объекта КИИ;

0,02878 – коэффициент снижения погрешности между формулой, учитывающей распределение пользователей по часовым зонам (Nп = 0,0289 * Nис * Tчас) и формулой, учитывающей пиковую авторизацию пользователей по усреднённым коэффициентам (Nп = 0,325 * 0,2 * 0,7 * 0,9 * 0,7 * Nис *Tчас);

Nис – количество пользователей, определённое проектной документацией;

Tчас – время в часах, в течение которого в период рабочего дня пользователи не могли авторизоваться или использовать объект КИИ.

0,325 – Кактив – коэффициент активных пользователей в процентах:

Высокий показатель (30-50%) – хорошая вовлеченность

Средний показатель (15-30%) – нормальная активность

Низкий показатель (менее 15%) – требуется анализ причин

Среднее значение – 32,5%

0,2 – Kодноврем – коэффициент одновременности. Среднее значение – 0,2.

0,7 – Ксессий – коэффициент одновременности сессий. Среднее значение 0,7.

0,9 – Квосст – коэффициент восстановления системы. Среднее значение 0,9.

0,7 – Кприсутствия – коэффициент присутствия, учитывающий временное отсутствие 30% пользователей (болезнь, отпуск, командировки).

Для пользователей, работающих из одной часовой зоны Тчас =<8 часов.

Для пользователей, работающих из разных часовых зон Тчас =<17 часов.

Обоснование расчета количества пользователей, распределенных по часовым зонам приведено в статье «Три секрета категорирования объектов КИИ».

 

в) Если позволяют технические возможности, расчёт пользователей в простое выполняется по фактическому количеству авторизаций за период времени. Такой расчёт наиболее точен.

Nп = (Nобщ / Tпериод) ∗ Kпик ∗ Kпик ∗ Kспец * Ксессий * Квосст,

где

Nп – количество пользователей, оказавшихся в простое при прекращении или нарушении функционирования объекта КИИ;

Nобщ – общее количество авторизаций за наблюдаемый период;

Tпериод – длительность наблюдаемого периода в часах (сутки – 24 часа;
неделя – 24 * 7; месяц – 24 * 7 * 30 и т.д.)

Kпик – коэффициент пиковой нагрузки, учитывающий неравномерность распределения нагрузки. Обычно принимается в диапазоне 1.5-3.0. Среднее значение: (1,5 + 3) / 2 = 4,5/2 = 2,25;

Kсезон – сезонный коэффициент, учитывающий сезонные колебания нагрузки (1.0-1.5). Среднее значение: (1 + 1,5) / 2 = 2,5/2 = 1,25;

Kспец – коэффициент специальных событий, учитывающий влияние особых событий (1.0-2.0). Среднее значение: (1 + 2) / 2 = 3/2 = 1,5;

Ксессий – коэффициент одновременности сессий. Среднее значение 0,7;

Квосст – коэффициент восстановления системы. Среднее значение 0,9

По средним значениям:

Nп = 2,6578 * (Nобщ / Tпериод)

 

Шаг 2. Расчет стоимости финансовых потерь при оплате простоя

На основании статьи 157 ТК РФ оплата простоя пользователям по независящим от них причинам рассчитывается по формуле:

Упростой = 2/3 * W * Nп * Tчассумм

где

Упростой –ущерб организации от оплаты простоя пользователям (руб.);

W – cтоимость 1 часа работы 1 работника (руб./час);

2/3 – коэффициент оплаты простоя по независящим причинам;

Nп – количество пользователей, оказавшихся в простое при прекращении или нарушении функционирования объекта КИИ;

Tчассумм – время в часах, в течение которого в период рабочего дня пользователи не могли авторизоваться или использовать объект КИИ (используется значение на шаге 1). Если простой захватывает несколько рабочих дней, то время простоя за каждый рабочий день суммируется.

 

Шаг 3. Расчёт стоимости финансовых потерь при оплате работ по восстановлению объекта КИИ

Объект КИИ, функционирование которого прекращено (нарушено) восстанавливается администраторами системы.

Восстановление выполняется в рабочее время, в нерабочее время, в период праздников и выходных.

По будням, в нерабочее время, внеурочная работа администраторов оплачивается с коэффициентом 1,5.

Внеурочная работа не может быть более 24 – 8 = 16 часов в сутки.

В период праздников (выходных) внеурочная работа оплачивается с коэффициентом 2. Ущерб от оплаты простоя пользователям, которые не работают в период праздников (выходных), в этом случае будет равен нулю.

Формула расчёта ущерба от оплаты внеурочной работы по восстановлению объекта КИИ выглядит следующим образом:

Увосст = 1,5 * W * Nадм * Tвосст

где

W – cтоимость 1 часа работы 1 работника (руб./час);

Nадм – количество администраторов, восстанавливающих объект КИИ;

Tвосст – время внеурочной работы по восстановлению объекта КИИ (в часах).

 

Шаг 4. Расчёт стоимости потерь дохода

а) Расчёт через потерю производительности труда основан на том, что в период простоя значение производительности труда всей организации уменьшается на значение производительности труда пользователей объекта КИИ, оказавшихся в простое.

Официальный показатель производительности труда 1-го работника за период (год) в единицах рублей берётся из отчета организации за год или у специалистов, анализирующих финансово-экономическую деятельность организации.

Удоход = (1 - К) * Nп * Тчассумм * ПТраб.час,

где

К – коэффициент критичности объекта КИИ. Основные рекомендуемые значения K:

0,9–1,0 – для систем с возможностью частичного функционирования через альтернативные каналы (например, резервные копии, бумажные носители). Подходит для ситуаций, когда:

-     есть временные решения;

-     сотрудники могут выполнять базовые задачи;

-     критические процессы частично доступны.

0,7–0,9 – для систем, где возможна ограниченная работа с потерей производительности:

-     ручное ведение документации;

-     использование обходных процедур;

-     снижение скорости обработки данных.

0,5–0,7 – для систем, где работа существенно затруднена:

-     отсутствие автоматизации;

-     необходимость координации через сторонние каналы;

-     значительные временные затраты на выполнение задач.

0,3–0,5 – для критически важных систем без альтернативных решений:

-     полная остановка процессов;

-     невозможность выполнения основных функций;

-     существенные потери производительности.

0–0,3 – для систем, остановка которых парализует бизнес-процессы:

-     полная неработоспособность;

-     невозможность выполнения ключевых задач;

-     критические потери дохода.

Nп – количество пользователей, оказавшихся в простое при прекращении или нарушении функционирования объекта КИИ (определено на шаге 1);

Tчассумм – время в часах, в течение которого в период рабочего дня пользователи не могли авторизоваться или использовать объект КИИ (используется значение на шаге 1). Если простой захватывает несколько рабочих дней, то время простоя за каждый рабочий день суммируется.

ПТраб.час – производительность труда 1 работника в час, равная отношению производительности труда 1 работника за период к количеству рабочих часов в периоде. Для 40-часовой рабочей недели в периоде 1972 рабочих часа.

Для объектов КИИ, у которых отсутствуют пользователи, например – АСУТП, за значение Nп требуется брать персонал рабочей смены, контролирующей работу системы.

 

б) При отсутствии официального показателя производительности труда 1-го работника за период (год) в расчёте используется бухгалтерская и финансовая отчетность организации за прошедший год из бухгалтерии или на ресурсе БФО.

Удоход = (1 – К) * Nп * Тчассумм * (стр. 2100 – стр. 2210 – стр. 2220 + стр. 2340 – стр. 2350 + Ам + РП) / (ССЧ *1972),

где

ССЧ – среднесписочная численность работников организации отражается в Таблице № 2 Пояснения к бухгалтерской отчетности, доступное на ресурсе БФО (последний нижний блок);

стр. 2100 – валовая прибыль;

стр. 2210 – коммерческие расходы;

стр. 2220 – управленческие расходы;

стр. 2340 – прочие доходы;

стр. 2350 − прочие расходы;

РП – бюджет расходов на персонал, отражается в Таблице № 43 Пояснения к бухгалтерской отчетности, доступного на ресурсе БФО;

Ам – амортизационные отчисления, отражаются в Таблице № 43 Пояснения к бухгалтерской отчетности, доступного на ресурсе БФО.

 

в) При сокрытии в соответствии с законодательством Российской Федерации данных об официальном показателе производительности труда, бухгалтерской и финансовой отчетности, упрощённый расчёт производительности труда 1-го работника за период выполняется по формуле:

ПТраб.период = (Выр – ПрмРсх – КосвРсх + ОТ) / ССЧ

где

ПрмРсх — прямые расходы: строка 010 (прямые расходы, относящиеся к реализованным товарам, работам или услугам) и строка 020 (для прямых расходов торговых организаций) приложения 2 к листу 02 налоговой декларации;

КосвРсх — косвенные расходы (строка 040 приложения 2 к Листу 02 налоговой декларации);

ОТ — расходы на оплату труда (строка 020 раздела 1 справки 6-НДФЛ)

 

г) При расчёте стоимости потерь дохода по расходам на поддержку объекта КИИ возникает увеличивающая ущерб погрешность.

Расходы на поддержку возникают с момента завершения проекта по созданию объекта КИИ и передачи его в поддержку. Значение расходов на поддержку и периода поддержки определяется в карточке проекта.

В период поддержки должны окупиться затраты на создание системы. Соответственно, вместо данных о расходах на поддержку допускается использовать стоимость создания объекта КИИ.

Расчёт основан на выводе о том, что нарушение (прекращение) функционирования объекта КИИ приведёт к ущербу равному расходам на поддержку в период простоя.

Удоход = Р * Тчас / (Nг * 8760)

где

Р – расходы на поддержку объекта КИИ за планируемый период времени (в рублях);

Тчас – время неработоспособности системы (в часах);

Nг – планируемое количество лет поддержки (в годах);

8760 – количество часов в одном году, равном 365 суток

 

Шаг 5. Расчёт стоимости потери возможных продаж и закупок

Прекращение или нарушение функционирования объекта КИИ снизит лояльность покупателей и поставщиков продукции, что приведёт к ущербу от потери возможных продаж и закупок.

Упродаж = Удоход * 0,3

где

Упродаж – прогнозируемое значение ущерба от потери продаж и закупок;

Удоход – ущерб от потери дохода, рассчитанный на шаге 4;

0,3 – средний показатель (процент) повторных продаж «R», принимаемый по умолчанию равным 30%.

 

Шаг 6. Расчёт стоимости потери репутации

Прекращение (нарушение) функционирования объекта КИИ может привести к потере клиентов, которые исследуют рынок, чтобы найти наиболее выгодные предложения или рекомендации о компаниях.

Ущерб от потери репутации рассчитывается по формуле:

Урепутац = 0,2 * Удоход,

где

Урепутац – прогнозируемое значение ущерба от потери репутации;

Удоход – ущерб от потери дохода, рассчитанный на шаге 4;

0,2 – средний показатель (процент) потери клиентов «R^,» принимаемый по умолчанию равным 20%.

 

Шаг 7. Расчёт совокупной стоимости финансовых потерь

Совокупная стоимость финансовых потерь или суммарный ущерб рассчитывается как сумма потерь, определённых на шагах 2 – 6.

Усовокуп = Упростой +Увосст + Удоход + Упродаж + Урепутац

К совокупной стоимости финансовых потерь в зависимости от автоматизируемых в объекте КИИ функций прибавляются:

а) штрафы и пени:

– штраф за непредставление налоговой декларации в установленный срок согласно статье 119 НК РФ;

– пени за нарушение сроков уплаты налогов и подачи отчетности согласно статье 75 НК РФ;

– штраф за несвоевременное представление расчёта по форме 4-ФСС в Фонд социального страхования согласно статье 26.30 Федерального закона от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

– штраф за просрочку или несвоевременное представление сведений о застрахованных лицах в Фонд социального страхования согласно статье 15.33.2 КоАП РФ и статье 17 Федерального закона от 01.04.1996 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– штраф за нарушение законодательства о закупках согласно статьям 7.30.4, 19.5, 19.8 КоАП РФ

– неустойка при неисполнении или ненадлежащем исполнении договорных обязательств, в частности при просрочке исполнения.

б) ущербы при возникновении аварий и катастроф, определённые:

– приказом МЧС России от 01.09.2020 № 631 «Об утверждении методики оценки ущерба от чрезвычайных ситуаций» (в ред. от 24.07.2022 № 740);

– постановлением Правительства Российской Федерации от 25.07.2024 № 1005 «Об утверждении правил предоставления субсидий из федерального бюджета, источником финансового обеспечения которых являются бюджетные ассигнования резервного фонда Правительства Российской Федерации, бюджетам субъектов Российской Федерации в целях софинансирования расходных обязательств субъектов Российской Федерации по финансовому обеспечению отдельных мер по ликвидации чрезвычайных ситуаций природного и техногенного характера, отнесенных к чрезвычайным ситуациям регионального характера» (ред. от 27.03.2025 № 387).

 

Послесловие

Для уменьшения совокупной стоимости финансовых потерь необходимо уменьшать количество пользователей «Nис», время простоя «Тчас» и увеличивать коэффициент «К» до 1, создавая объекты КИИ с возможностью частичного функционирования через альтернативные каналы.

Уменьшение достигается, в частности:

– через оптимизацию процессов, которые требуется автоматизировать;

– через ограничение количества пользователей объекта КИИ;

– через создание отказоустойчивой и катастрофоустойчивой архитектуры объектов КИИ.

 

Сергей   Нефедьев

Статья опубликована по адресу:  https://dzen.ru/a/aRS5mciZMUHtCC6n

 

 Другие публикации автора

 

Три секрета категорирования объектов КИИ

Безопасность систем и сетей: От модели оценки угроз до преступлений

Критическая инфраструктура или КИИ?

Кого считать субъектом КИИ?

Государственная социальная платформа «Мы» (обновлено 12.07.2024)

Какие методы воздействия на людей могут использоваться для создания тоталитарного режима? Отвечает Яндекс-Алиса

Оценка степени информационногопоражения государства по доле структур, работающих в интересах глобалистов