Как-то не из жизни вообще. Инфраструктуру обслуживает админ, у него работа по ставке и бегать он будет за эту ставку (в 90% случаев внеурочно также без доплат). Админ, обслуживающий инфраструктуру учебного центра того же не приносит непосредственно прибыль, как и HR и т.д. - максимум снижает убыток. Поэтому абсолютно нет основания и возможности считать повышение себестоимости - ее не будет, так как какая ставка была заложена на админа, такая и осталась.
Это может работать в случае, если обслуживание ведется по прейскуранту за каждый чих или у админа много внеурочки и компания будете ее оплачивать

Вот поэтому такие "обоснования" и заворачивают. Конечно же простой оборудования ничего организации не стоит - оно ж и должно просто так стоять ;)

Работа админа, бухгалтера, директора, дворника и всех остальных, кто не приносит непосредственно выручку - это затраты, которые входят в себестоимость продукции и услуг. Обычно они включаются в себестоимость как "накладные расходы".

Когда экономический отдел рассчитывает себестоимость, он берет усредненное значение накладных расходов для нормальных условий (оборудование не простаивает, админу не нужно в авральном режиме носиться по офису, не нужно ремонтировать помещения после пожара или заменять оборудование после затопления).

Любая нештатная ситуация - это дополнительные затраты:
1. Админ занимается восстановлением работоспособности вместо других нужных организации дел.
2. В это время оборудование простаивает и не используется для получения выручки.

Первый показатель посчитать трудно, поэтому его оценивают в трудозатратах. Эти трудозатратв - "лишние", они возникли только потому, что систему сломали и эти затраты всегда считаются как ущерб, который причинили организации.

Второй показатель рассчитывается по усредненным экономическом показателям, там все индивидуально.

Со вторым пунктом все понятно, вопрос не о нем сейчас.
Речь только о влиянии самих работ админа по восстановлению на недоплаты в бюджеты РФ. Если какие-то АРМ встали и говорим только о работах администратора по восстановлению, то на выплаты в бюджет именно этот фактор не повлияет за исключением указанных выше вариантов действительно дополнительных затрат, снижающих общую прибыль. Или у вас администраторы системные также непосредственно продукты разрабатывают, делают код-ревью и ищут заказчиков?

да полно вариантов, когда оборудовнаие работает до поломки. Сломалось, да и ладно. Потом годами стоит в ожидании ремонта. Не жизненный это показатель в очень многих случаях.

Да. Разрабатывают, делают ревью и ищут заказчиков :)

Когда считается стоимость для организации одного часа работы программиста, она считается так: зарплата (в пересчете на час) + налоги/соцстрах(процент от зарплаты) + норма прибыли (процент о  зарплаты) + накладные расходы. В накладнве расходы включается доля затрат на админа, дворника, HR и т. п.

Поэтому любое увеличение работы админа, дворника и HR приводит к увеличению себестоимости услуг, снижению прибыли и снижению налога на прибыль. Насколько - нужно считать и показывать.

И это - задача для экономистов, а не для безопасников, которые в это не умеют

Эти затраты уже есть, до компьютерной атаки. Никакой дополнительной работы и затрат не появляется. Всегда есть избыточность персонала на задачи, просто на случай больничного, отпуска, учебы и т.д.

И вы предлагаете пересчитывать стоимость часа разработчика (и своих продуктов, разумеется) после каждого инцидента, потому что админ потратил лишних 8 часов? Так можно и экстраполировать, что джуны что-то в проекте не успели в срок, а остальные тоже прошляпили и поэтому давайте цену повысим. Смешно же
Я тоже люблю спор ради спора иногда, но надо работать. Возможно, кто-то и пойдет в такие расчеты, но когда я согласовывал методику расчета показателей с представителями ФСТЭК, то такие вещи не упоминались даже близко.

Я предлагаю задавать этот вопрос планово-экономическому отделу, который это знает и умеет. "Админ все равно ничего не делает", "оборудование все равно иногда простаивает", "есть избыточность" - это фантазии людей, по роду своей деятельности не занимающихся такими оценками и не уполномоченных давать такие оценки за свою организацию :)

Я, например, тоже не занимаюсь обоснованием стоимости и доходности своего департамента - мне экономисты спускают формулы, по которым все это рассчитывается.

А зачем вообще считать эти траты? В 90 % случаев величина недополученных бюджетом РФ доходов даже при условии полной остановки производства на срок восстановления даже под 3 категорию не попадёт. Как в физике, можно посчитать полный простой за н дней (месяцев/ лет, смотря сколько к вам может ехать полностью новое оборудование или ПО для восстановления производства с нуля) и пренебречь им как влиянием мухи на скорость вращения планеты.

Потому что ФСТЭК требует обоснование - с этого и началась дискуссия :)

Дак я и предлагаю так обосновать. Типа, мы посчитали процент от бюджета в результате прекращения деятельности предприятия в целом и поняли, что до минимальных показателей значимости нам бизнес ещё развивать и развивать🙂

Да, это самый разумный вариант :)

Я объяснял, почему неверно писать, что ущерб отсутсивует

Коллеги прошу посмотреть будет ли корректно такое письмо, об исключении объекта КИИ из перечня направленного ранее во фстэк. Акты категорирования по объекту отправлялись тоже ранее. Требуется ли прикладывать текущий перечень?

Вы так или иначе должны направлять скорректированный перечень ОКИИ. И в письме или отдельно обосновывать причину внесения изменений.

Получается два письма, в одном направляю просьбу исключить, в другом текущий перечень окии, правильно?

Одно письмо о направлении измененного перечня окии. В приложение к письму вставить скорректированный перечень (установленная форма) и отдельным приложением дать таблицу с обоснованием внесенных изменений (хотя можете это сделать и по тексту письма если речь только об 1 системе).

Подскажите, пожалуйста, при категорированаии, при расчете ущерба бюджетам РФ, учитывается только 20%  налог, или НДС тоже, т.е.40% ?

Обоснование исключения окии из перечня - решение комиссии субъекта. Никакой процедуры согласования перечня или внесения изменений в перечне с фстэк в законодательстве не предусмотрено. Субъект просто информирует фстэк и не более.

Даже если ранее он (ОКИИ) был категорирован как значимый?