ния показателя, предусмотренного позицией 7 перечня показателей критериев значимости, проводится оценка информационных систем государственного органа на предмет нарушения условий международного договора Российской Федерации, срыва переговоров или подписания планируемого к заключению международного договора Российской Федерации по уровню международного договора Российской Федерации с последующим присвоением объектам критической информационной инфраструктуры категорий значимости согласно значениям соответствующего показателя, указанным в перечне показателей критериев значимости.
39. Расчет значения показателя, предусмотренного позицией 8 перечня показателей критериев значимости, осуществляется согласно внутренним документам субъекта критической информационной инфраструктуры.
40. В целях расчета значения показателя, предусмотренного позицией 9 перечня показателей критериев значимости:
а) учитывается значение времени простоя и (или) деградации технологических процессов следующими субъектами критической информационной инфраструктуры:
кредитными организациями - в соответствии с нормативным актом Центрального банка Российской Федерации, устанавливающим обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (далее - требования к кредитным организациям) ;
некредитными финансовыми организациями - в соответствии с нормативным актом Центрального банка Российской Федерации, устанавливающим обязательные для некредитных финансовых организаций требования к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) ", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг) (далее - требования к некредитным финансовым организациям) ;
б) в отношении информационных систем, обеспечивающих функции, связанные с оказанием услуг платежной инфраструктуры, учитывается продолжительность восстановления оказания услуг платежной инфраструктуры в соответствии с нормативным актом Центрального банка Российской Федерации, устанавливающим требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков (далее - требования к функционированию платежной системы) , а в отношении информационных систем, обеспечивающих функции оператора платформы цифрового рубля, учитывается продолжительность восстановления функционирования платформы цифрового рубля в соответствии с требованиями, определенными оператором платформы цифрового рубля;
в) в случаях, не указанных в подпунктах "а" и "б" настоящего пункта, субъекты критической информационной инфраструктуры учитывают определяемое ими максимально возможное время нарушения технологических процессов, приводящего к неоказанию или ненадлежащему оказанию услуг на финансовом рынке.
41. Расчет значения показателя, предусмотренного позицией 9 перечня показателей критериев значимости (
) , процентов, осуществляется по формуле:
,
где:
- среднее время простоя и (или) деградации технологических процессов кредитных организаций и некредитных финансовых организаций за последние 3 года, определяемое в соответствии с требованиями к кредитным организациям либо в соответствии с требованиями к некредитным финансовым организациям, или максимально возможное время нарушения бесперебойности функционирования информационных систем, обеспечивающих функции, связанные с оказанием услуг платежной инфраструктуры, и функции оператора платформы цифрового рубля за последний год, определяемое в соответствии с требованиями к функционированию платежной системы или требованиями, определенными оператором платформы цифрового рубля, или максимально возможное время нарушения оказания услуг на финансовом рынке за последний год субъекта критической информационной инфраструктуры, указанного в подпункте "в" пункта 40 настоящего документа (далее - среднее время простоя и (или) деградации технологических процессов) , часов;
- максимальное значение суммы годовых отчислений субъекта критической информационной инфраструктуры в бюджеты бюджетной системы Российской Федерации за последние 3 года, рублей;
У - сопутствующий экономический ущерб субъекта критической информационной инфраструктуры, усредненный за последние 3 года, рублей;
Д - прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период, рублей.
42. Среднее время простоя и (или) деградации технологических процессов (
) рассчитывается по формуле:
,
где:
n - общее количество лет, в рамках которых осуществляется расчет максимально возможного времени простоя и (или) деградации технологических процессов (
) и которое принимается равным 3. В случае если период с момента установления показателей, указанных в пункте 43 настоящего документа, составляет менее 3 лет, субъект критической информационной инфраструктуры рассчитывает среднее время простоя и (или) деградации технологических процессов (
) на основе фактически имеющегося периода с последующим дополнением данными за новые годы по мере их накопления вплоть до достижения 3 лет;
i - порядковый номер календарного года, за который осуществляется расчет максимально возможного времени простоя и (или) деградации технологических процессов (
) ;
- максимально возможное время простоя и (или) деградации технологических процессов, часов. Технологические процессы определены в требованиях к кредитным организациям и требованиях к некредитным финансовым организациям.
43. Максимально возможное время простоя и (или) деградации технологических процессов (
) за календарный год определяется как максимальное значение среди следующих показателей:
показатель допустимого суммарного времени простоя и (или) деградации технологического процесса, определенного во внутренних документах субъекта критической информационной инфраструктуры в соответствии с требованиями к кредитным организациям (для кредитных организаций) и требованиями к некредитным финансовым организациям (для некредитных финансовых организаций) ;
показатель порогового уровня допустимого времени простоя и (или) деградации технологического процесса, определенного в требованиях к кредитным организациям (для кредитных организаций) и требованиях к некредитным финансовым организациям (для некредитных финансовых организаций) ;
показатель суммарного времени простоя и (или) деградации технологического процесса за последние 12 календарных месяцев на момент расчета показателя, предусмотренного позицией 9 перечня показателей критериев значимости (
) , при превышении допустимой доли деградации технологического процесса в соответствии с требованиями к кредитным организациям (для кредитных организаций) и требованиями к некредитным финансовым организациям (для некредитных финансовых организаций) .
44. Максимальное значение суммы годовых отчислений субъекта критической информационной инфраструктуры в бюджеты бюджетной системы Российской Федерации за последние 3 года (
) рассчитывается в соответствии с законодательством Российской Федерации. Определяется максимальное значение суммы годовых отчислений в бюджеты бюджетной системы Российской Федерации за последние 3 года.
45. Сопутствующий экономический ущерб субъекта критической информационной инфраструктуры, усредненный за последние 3 года (У) , вызванный простоем и (или) деградацией технологических процессов, включает в себя следующие усредненные за 3-летний период затраты и потери:
затраты на ликвидацию и устранение последствий целенаправленной компьютерной атаки;
затраты на оплату труда персонала и условно-постоянные расходы за время простоя и (или) деградации технологического процесса;
затраты на оплату труда персонала, привлекаемого сверхурочно, для ликвидации последствий нарушений, вызванных простоем и (или) деградацией технологического процесса;
потери от уплаты неустоек, штрафов, пеней и прочих выплат за невыполнение условий договоров в результате простоя и (или) деградации технологического процесса;
потери в результате снижения количества потенциальных контрактов (репутационные потери) ;
прямые финансовые потери субъекта критической информационной инфраструктуры, связанные с хищением или другой необратимой утратой денежных средств или иного имущества.
46. Прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период (Д) , рассчитывается с учетом положений федерального закона о федеральном бюджете и иных положений законодательства Российской Федерации.
47. Значение показателя, предусмотренного позицией 10 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- количество осуществляемых объектом критической информационной инфраструктуры операций по переводу денежных средств, млн. единиц (расчет осуществляется по итогам года, а для создаваемых объектов критической информационной инфраструктуры - на основе прогнозных значений) . Операторы услуг платежной инфраструктуры учитывают проведение операций по осуществлению перевода денежных средств в рамках системно и социально значимых платежных систем.
48. Значение показателя, предусмотренного позицией 101 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- размер исполненных обязательств по передаче денежных средств в валюте Российской Федерации по итогам клиринга за последние 12 месяцев, трлн. рублей.
49. Значение показателя, предусмотренного позицией 102 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- количество ценных бумаг российских эмитентов, которые учитывались на счетах в центральном депозитарии за последние 12 месяцев, тыс. штук.
50. Значение показателя, предусмотренного позицией 103 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где:
- пенсионные накопления негосударственного пенсионного фонда (по состоянию на 10-й рабочий день календарного года) , млрд. рублей;
- пенсионные резервы негосударственного пенсионного фонда, млрд. рублей.
51. Значение показателя, предусмотренного позицией 104 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- объем активов страховой организации (по состоянию на 10-й рабочий день календарного года) , млрд. рублей.
52. Значение показателя, предусмотренного позицией 105 перечня показателей критериев значимости (
) , рассчитывается по формуле:
где 
- количество заключенных договоров с кредитными организациями (по состоянию на 10-й рабочий день календарного года) .
53. Значение показателя, предусмотренного позицией 106 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- объем микрозаймов, выданных за годовой отчетный период, млрд. рублей.
54. Значение показателя, предусмотренного позицией 107 перечня показателей критериев значимости (
) , рассчитывается по формуле:
,
где 
- количество кредитных историй, хранящихся в бюро кредитных историй, млн. единиц.
55. При оценке масштаба возможных последствий в случае возникновения компьютерных инцидентов при проведении компьютерных атак на объект критической информационной инфраструктуры рекомендуется:
а) рассматривать наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых будут являться прекращение или нарушение проектного или штатного функционирования объектов критической информационной инфраструктуры, и нанесение максимально возможного ущерба (отсутствие организационных, технических и иных мер безопасности, реализованных на объекте критической информационной инфраструктуры и в субъекте критической информационной инфраструктуры в целом, дублирование процесса аналоговыми приборами или переход на бумажные носители информации) ;
б) учитывать зависимость процессов от осуществления иных процессов, выполняемых субъектом критической информационной инфраструктуры;
в) учитывать зависимость функционирования одного объекта критической информационной инфраструктуры от функционирования другого объекта критической информационной инфраструктуры;
г) оценивать возможность реализации угроз безопасности информации в отношении объекта критической информационной инфраструктуры, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на объектах критической информационной инфраструктуры соответствующего типа.
___________