Провести экспертизу игорного оборудования. Государственная система обеспечения единства измерений
Игровые аппараты
АНО «Центр Технических Экспертиз» предлагает свои услуги по проведению экспертизы игровых автоматов. Таковыми считаются приспособления, которые используются для игры в казино. Компания занимается предоставлением такого вида услуг, так как имеет специальное техническое оснащение, а также команду специалистов, которая занимается экспертизой игровых автоматов.
Такое исследование компания проводит после заключения договоров, как с физическим, так и юридическими лицами. Сама по себе экспертиза игровых автоматов выполняется по постановлению суда, налоговой, таможенных органов, дознания, а также следствия. Основанием проведения экспертизы является поданное официальное прошение.
Для чего выполняются данные исследования
В настоящее время, в век развития современных технологий, существуют непорядочные владельцы игровых автоматов. Чтобы как-то вывести их на чистую воду, проводят экспертизу игровых автоматов. Так как сегодня игральные устройства могут быть запрограммированы электронным способом, это дает прекрасную возможность мошенникам настраивать их работу в свою пользу.
Довольно часто встречаются случаи, когда многие владельцы подобных заведений устанавливают процентную ставку выигрыша в свою пользу. Главная цель при исследовании игровых установок ― выявить автоматы, на которых установлены специальные программы, которые играют больше на руку хозяину, чем тому, кто за ним сидит.
Обычно экспертиза назначается по постановлению специальных организаций, которые курируют данное оборудование. Также все аппараты, находящиеся в игровом зале, могут проверяться на соответствие предоставленным администрацией документam и т. д.
Экспертиза игровых автоматов - является разновидностью компьютерно-технической экспертизы и позволяет устанавливать важные обстоятельства и факты, многие из которых играют решающую роль при вынесении приговора или для разрешения спора. Экспертиза игровых автоматов, игрового оборудования и игровых программ - это совокупность исследований, которые проводятся с целью обнаружения в игровых программах недекларированных возможностей, а также установления, является ли представленное на экспертное исследование оборудование игровым либо лотерейным.
Экспертиза игровых автоматов, игорного и лотерейного оборудования, проводится по определенной схеме, одинаковой практически для всех случаев экспертиз. Схема подразумевает следующий порядок действий:
Условия для проведения экспертного осмотра игровых автоматов или игорного оборудования
Для проведения осмотра необходимо помещение с возможностью подключения к электросети, наличие ключей, знание паролей.
Возможно проведение исследований системных электронных плат, каждая из которых должна иметь бирку с надписью из какого автомата она изъята. Платы могут быть направлены в ООО "ЦЭАиЭ" отдельно от корпусов автоматов. В этом случае выезд специалистов не планируется.
На разрешение экспертизы могут быть поставлены следующие вопросы:
| 1. | Представленное на исследование оборудование является игровым или развлекательным? |
| 2. | Каково функциональное назначение и принцип работы указанного оборудования? |
| 3. | Предназначены ли электронные платы, которые представлены на экспертизу, для проведения азартной игры? |
| 4. | Исправны или не исправны представленные на экспертизу электронные платы? |
| 5. | Какое программное обеспечение воспроизведено в памяти электронных плат, представленных на экспертизу? |
| 6. | Является ли данное программное обеспечение игровым (лотерейным, развлекательным)? |
| 7. | Какой элемент электронных плат содержит в себе программное обеспечение? |
| 8. | Каково функциональное назначение электронных плат, представленных на исследование? |
| 9. | Какова дата последней переустановки программного обеспечения, дата инициализации или обнуления данных запоминающих устройств? |
| 10. | Определить технически заложенный средний процент выигрыша игрового автомата? |
| 11. | И.Т.Д |
Экспертиза игровых автоматов и игорного оборудования проводится в следующих случаях:
| 1. | Экспертиза игорного оборудования при необходимости определения алгоритмов, определяющих результаты розыгрыша |
| 2. | Экспертиза игровых автоматов и игорного оборудования по предписанию контролирующих органов |
| 3. | Экспертиза игровых автоматов и игорного оборудования при необходимости определения соответствия программной части аппарата к лотерейной |
| 4. | Экспертиза игорного оборудования при необходимости определения соответствия сертификации к аппаратной части |
| 5. | Независимая экспертиза игорного оборудования при необходимости определения технической составляющей лотерейного оборудования |
| 6. | Экспертиза игорного оборудования при необходимости определения скрытых элементов |
Оплата экспертных услуг рассчитывается индивидуально, исходя из числа вопросов, поставленных в качестве экспертной задачи и количества игрового оборудования.
Центр Экономического Анализа и Экспертизы соответствует всем требованиям российского законодательства в сфере оценочной, экономической, строительной, финансовой и прочих экспертиз и имеет право предоставления на территории Российской Федерации. Чтобы воспользоваться любыми услугами экспертизы и оценки - свяжитесь с нами, используя Звоните, мы поможем!
Экспертиза игорного оборудования назначается судом или делается в досудебном порядке для суда. С развитием современной техники стало проще автоматизировать различные процессы повседневной жизни, в т.ч. и азартные игры. Ни для кого не секрет, что игорный бизнес был всегда выгодным бизнесом и даже в наше время остается таковым.Экспертиза лотерейного и игорного оборудования - это ряд исследований, которые проводятся с целью обнаружения в железе игровых автоматов латентных алгоритмов, скрытых информационных программных массивов, а также некоторых частей механизмов. Лотерейные розыгрыши и игровые автоматы (однорукий бандит) часто используются для получения высоких доходов путем изменения алгоритма выигрыша специальными программными средствами. Например, автомату с помощью программного обеспечения (или удаленно) задается более низкий процент выигрыша клиента, по сравнению со среднестатистическими показателями. Все дело в том, что, согласно стандартной теории вероятностей, выигрыш клиента наступает в определенном количестве случаев. Согласно правилам, выигрыш у классического автомата, должен быть не менее семидесяти процентов в пользу клиента. В связи с тем, что все подобные машины теперь программируются электронным образом, процент выигрыша можно выставить какой угодно, что обычно и происходит. Администрация игровых залов выставляет определенный процент выигрыша в зависимости от различных факторов.
Получите бесплатную консультацию независимого эксперта прямо сейчас!
Отправьте заявку для бесплатной квалифицированной консультации специалиста!
В настоящее время, в связи с развитием техники и технологий, проведение лотерей значительно упростилось. Теперь нет необходимости в выпуске специальных бумажных билетов. И, хотя тиражные лотереи по-прежнему, существуют (телевидение, радио и т.д.), все большую популярность приобретают электронные лотереи – путем регистрации через специальные лотерейные терминалы. Подобные розыгрыши носят моментальный характер, сумма выигрыша рассчитывается после получения от игрока платы за участие в лотерее. Далее, прямо на экране компьютера (терминала) игрок выбирает цветовое поле, и ему открывается числовая комбинация. В зависимости от того, является ли она выигрышной, игрок получает или не получает приз в виде преумноженной суммы денежных средств. Такие лотерейные терминалы используют различные статические алгоритмы для выявления призовых комбинаций. Задача экспертизы лотерейного оборудования – определить законность применяемых алгоритмов, то есть соответствие процента выигрыша клиента статистически ожидаемому результату.
1. ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Настоящая рекомендация предназначена для использования в центрах испытаний игровых автоматов (ЦИИА) и содержит описание методов и порядка проведения экспертизы игровых программ (ИП) игровых автоматов с денежным выигрышем (ИАДВ) с целью обнаружения в них недекларированных возможностей.
2. НОРМАТИВНЫЕ ССЫЛКИ
1. «Положение о лицензировании деятельности по производству и реализации специального игрового оборудования, предназначенного для осуществления игорного бизнеса», утвержденное Постановлением Правительства РФ от 06.10.2006 г., № 603;
3.4. Экспертиза игровых программ, используемых в ИАДВ, проводится комиссией экспертов (экспертами) ЦИИА. Специалисты ЦИИА (эксперты), проводящие экспертизу игровых программ, используемых в ИАДВ, должны иметь документальное подтверждение компетентности на проведение такой экспертизы.
3.5. После проведения экспертизы ее материалы (программа тестирования и протокол тестирования) представляются в ЦИИА ФГУП «ВНИИМС» для подготовки экспертного заключения. Окончательным результатом экспертизы является документ (экспертное заключение), форма которого приведена в Приложении , выдаваемый ЦИИА ФГУП «ВНИИМС», подтверждающий (или не подтверждающий) наличие в игровых программах, используемых в ИАДВ, недекларированных возможностей.
4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
4.1. игровой автомат с денежным выигрышем : Специальное устройство, которое после внесения в него денежной ставки предоставляет пользователю (игроку) право на проведение игры с возможностью получения денежного выигрыша.
4.2. средний процент выигрыша : Отношение выигрыша к ставке, рассчитанное для совокупности игр и выраженное в процентах.
4.3. игровая программа : Программное средство, обеспечивающее ответные действия игрового автомата на действия игрока.
4.3. недекларированные возможности ИП : Функциональные объекты и средства, не указанные в сопроводительной технической документации или не соответствующие указанным, при использовании которых возможно нарушение случайного характера игрового процесса (т.е. появление в результатах игры разного рода тенденций или закономерностей), установленного среднего процента выигрыша, а также конфиденциальности, доступности или целостности обрабатываемой информации.
4.4. обрабатываемая информация : Данные, участвующие в функционировании ИП и представленные в виде, пригодном для передачи, интерпретации или обработки.
4.5. доступность обрабатываемой информации : Состояние обрабатываемой информации, обеспечивающее ее получение правомочным способом в соответствии с сопроводительной технической документацией.
4.6. конфиденциальность обрабатываемой информации : Состояние ограниченного доступа к обрабатываемой информации в соответствии с сопроводительной технической документацией и ее защищенности от неправомочного доступа.
4.7. целостность обрабатываемой информации : Состояние обрабатываемой информации, характеризующееся отсутствием изменений преднамеренного или случайного характера.
5. ОБЩИЕ ТРЕБОВАНИЯ К ИГРОВЫМ ПРОГРАММАМ, ИСПОЛЬЗУЕМЫМ В ИАДВ
Общие требования, предъявляемые к ИП, приведены в таблице .
|
№№ п/п |
||
|
1. Требования к документации |
||
|
1.1. |
ИП, представляемая для экспертизы, должна сопровождаться документацией в соответствии с требованиями данной рекомендации. |
|
|
2. Требования к случайности игрового процесса |
||
|
2.1. |
ИП, используемая в игровом автомате, должна обеспечивать получение выигрыша только в зависимости от случая (т.е. в результатах игры должны отсутствовать разного рода тенденции или закономерности). Технологически заложенный в ИП средний процент выигрыша не может быть ниже определенного значения, устанавливаемого в законодательном порядке. |
5.2. |
|
3. Требования к доступности обрабатываемой информации |
||
|
3.1. |
ИП, используемые в ИАДВ, должны обеспечивать возможность своевременного и полного получения необходимой обрабатываемой информации правомочным способом. |
|
|
4. Требования к целостности обрабатываемой информации |
||
|
4.1. |
После утверждения типа игрового автомата, ИП, используемая в игровом автомате данного типа, не должна изменяться. Для каждого экземпляра ИАДВ утвержденного типа используется точная копия ИП ИАДВ, прошедшего испытания с целью утверждения типа. |
5.4.1 |
|
4.2. |
ИП содержит средства обнаружения, обозначения и защиты от сбоев (функциональных дефектов), а также изменений случайного или преднамеренного характера, которые нарушают целостность обрабатываемой информации. |
5.4.2. |
|
5. Требования к конфиденциальности обрабатываемой информации |
||
|
5.1. |
ИП, используемая в ИАДВ, содержит средства авторизации доступа к конфиденциальной обрабатываемой информации и защиты конфиденциальной обрабатываемой информации от несанкционированного доступа. |
|
5.1. ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ
5.1.1. Наряду с документацией, перечисленной в Приложении Б правил по метрологии ПР 50.2.023 , ИП, представляемые для экспертизы, должны сопровождаться технической документацией в соответствии с требованиями данной рекомендации.
5.3. ТРЕБОВАНИЯ К ДОСТУПНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
5.3.1. ИП, используемые в ИАДВ, должны обеспечивать возможность своевременного и полного получения необходимой обрабатываемой информации правомочным способом.
5.3.1.1 Обрабатываемая информация может быть представлена в символьном, графическом, цифровом, печатном или ином виде.
5.3.1.2 ИП должна обеспечить представление обрабатываемой информации таким образом, чтобы игрок имел полное и однозначное представление о всех возможностях ИП, связанных с игровым процессом (величина кредита, ставка на линию, количество активных линий, сервисное меню, правила игры, условия выпадения бонусов, назначения клавиш и т.д.), а также о состоянии игрового процесса в каждый момент времени.
5.3.1.3 Обрабатываемая информация, возможность получения которой обеспечивает ИП, полнота ее содержания, а также порядок (способ) ее получения, в том числе с использованием дополнительных программных и (или) аппаратных средств (протоколов), должны точно соответствовать технической документации, сопровождающей ИП.
5.3.2 Техническая документация должна содержать исчерпывающий перечень способов представления (получения) обрабатываемой информации, а также перечень программных и (или) аппаратных средств, используемых для выполнения этих функций.
5.3.3. Запрещается использовать программные и (или) аппаратные средства получения, передачи, интерпретации и использования обрабатываемой информации, не указанные в технической документации на ИП.
5.3.4. Нарушение или ограничение доступности обрабатываемой информации допускается лишь в случаях, предусмотренных сопровождающей ИП технической документацией (например, в случае срабатывания защиты от сбоев).
5.4. ТРЕБОВАНИЯ К ЦЕЛОСТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
5.4.1. После утверждения типа ИАДВ ИП, используемая в игровом автомате данного типа, не должна изменяться. Для каждого экземпляра ИАДВ утвержденного типа используется точная копия ИП ИАДВ, прошедшего испытания с целью утверждения типа. Не допускается изменение как всей ИП, так и отдельных ее частей (графического интерфейса, текстовых сообщений, звукового оформления, элементов сервисного меню и т.д.).
5.4.1.1. ИП, используемая в ИАДВ утвержденного типа, не должна содержать функциональных возможностей, изменяющих состав самой программы и не описанных в сопроводительной технической документации.
5.4.1.2. При наличии функциональных возможностей, описанных в сопроводительной технической документации, позволяющих изменить состав ИП игрового автомата утвержденного типа (изменение версии ИП и т.д.), экспертиза ИП проводятся повторно после каждого изменения ИП.
5.4.1.3. Техническая документация, сопровождающая ИП ИАДВ утвержденного типа, должна содержать исчерпывающий перечень функциональных возможностей ИП, а также перечень программных и (или) аппаратных средств, используемых для выполнения этих функциональных возможностей.
5.4.1.4. ИП игрового автомата разрабатывается таким образом, чтобы она не была подвержена влиянию со стороны иного программного обеспечения.
5.4.2. ИП должна содержать средства обнаружения, обозначения и защиты от сбоев (функциональных дефектов), а также изменений случайного или преднамеренного характера, которые нарушают целостность обрабатываемой информации (контрольная сумма, цифровая подпись и т.д.).
5.4.3. В случае возникновения сбоя или изменений обрабатываемой информации случайного или преднамеренного характера пользователь извещается об этом. ИП выдает предупреждение (визуальный и (или) звуковой сигнал) о необходимости завершения работы. В случае невозможности обозначения и (или) устранения сбоя или изменений обрабатываемой информации случайного или преднамеренного характера, ИП должна предусматривать ситуацию аварийного завершения работы.
5.4.4. ИП осуществляет запись в соответствующем журнале событий, связанных с нарушением целостности обрабатываемой информации в результате сбоев или изменений случайного или преднамеренного характера.
5.5. ТРЕБОВАНИЯ К КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
5.5.1. ИП, используемые в ИАДВ, содержат средства авторизации доступа к конфиденциальной обрабатываемой информации и защиты конфиденциальной обрабатываемой информации от несанкционированного доступа.
5.5.1.1. Средства авторизации доступа к конфиденциальной обрабатываемой информации должны обеспечивать доступ к конфиденциальной обрабатываемой информации авторизированному пользователю и обеспечить отказ в доступе неавторизированному пользователю.
5.5.1.2. ИП, используемые в ИАДВ, должны обеспечить защиту конфиденциальной обрабатываемой информации при ее хранении и передаче. Защита конфиденциальной обрабатываемой информации, обеспечивается с помощью электронной подписи, кодирования или иными способами.
5.5.1.3. Все события, связанные с доступом к конфиденциальной информации, должны в обязательном порядке фиксироваться в журнале событий ИП.
6. МЕТОДЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ИП С ЦЕЛЬЮ ОБНАРУЖЕНИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ
При экспертизе ИП ИАДВ с целью обнаружения недекларированных возможностей используются следующие методы:
1. Испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша.
2. Тестирование ИП ИАДВ с целью обнаружения нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации.
6.1. Испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша, определяются системой испытаний игровых автоматов с денежным выигрышем и контроля за их соответствием утвержденному типу. Испытания ИАДВ с целью утверждения типа регламентируются следующими нормативными документами: ПР 50.2.023 , МИ 2674, МИ 2562 , МИ 2662 .
6.2. Результаты испытаний ИАДВ представлены в Акте испытаний ИАДВ, форма которого приведена в Приложении Д Правил по метрологии ПР 50.2.023 .
6.3. Тестирование ИП ИАДВ с целью обнаружения нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации включает в себя следующие этапы:
1. Проведение проверки технической документации;
2. Проведение тестирования ИП на соответствие требованиям к доступности, целостности и конфиденциальности обрабатываемой информации;
3. Составление протокола тестирования ИП ИАДВ.
7. ПРОВЕДЕНИЕ ПРОВЕРКИ ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ
7.1. Представление документации на экспертизу в соответствии с п. настоящей рекомендации является необходимым условием ее проведения. При этом оценивается достаточность комплекта представленной документации для проведения проверки, а также проводится анализ структуры и полноты ее содержания.
При этом проверяются следующие разделы технической документации на ИП:
7.1.1. Общие сведения об ИП.
В данном разделе должны быть указаны:
Наименование ИП, ее версия;
Программное обеспечение, необходимое для функционирования ИП;
Языки программирования, среда разработки, средства компиляции, используемые при разработке ИП.
7.1.2. Описание логической структуры ИП.
В данном разделе должны быть описаны:
Структура ИП с описанием функций составных частей и связи между ними;
Реализованные алгоритмы ИП, а также приведены их блок-схемы;
Используемые методы обработки информации;
Связи ИП с иным программным обеспечением, а также методы получения и передачи обрабатываемой информации.
Для всех описанных функций ИП должны быть указаны входные и выходные данные, а также результат их выполнения.
7.1.3. Описание используемых технических средств.
В разделе указывают типы электронно-вычислительных машин и устройств, которые необходимы для работы ИП, а также типы дополнительных устройств, с которыми взаимодействует ИП.
Раздел содержит описание способов и порядка вызова ИП с соответствующего носителя данных.
7.1.5. Входные данные.
В разделе «Входные данные» должны быть указаны описание, формат и организация входных данных ИП.
7.1.6. В разделе «Выходные данные» должны быть указаны описание, формат и организация выходных данных ИП.
7.1.7 Руководство по обслуживанию ИП. В разделе должны быть описаны правила игры, игровые события (с обязательной иллюстрацией) и интерфейсы ИП, ее сервисное меню с подробным указанием всех его пунктов, способов доступа и навигации по пунктам, способов доступа к журналу событий ИП, а также способы диагностики, настройки и инициализации ИП.
7.1.8. Описание реализованных методов защиты ИП и обрабатываемой информации.
Проверяется описание реализованных методов (авторизация пользователя, журнал событий, кодирование данных и т.д.) защиты программного обеспечения и обрабатываемой информации от недопустимых изменений и сбоев.
7.2. В зависимости от особенностей ИП допускается вводить дополнительные разделы или объединять отдельные разделы.
7.3. Допускается содержание разделов иллюстрировать пояснительными примерами, таблицами, схемами, графиками.
7.4. В приложение к описанию ИП допускается включать различные материалы, которые нецелесообразно включать в разделы описания.
7.5. Результаты проверки технической документации, в том числе выявленные несоответствия, полученные при анализе документации программного обеспечения, заносятся в протокол тестирования.
7.6. Перечень технических документов, сопровождающих ИП, объем и методы проверки документации могут корректироваться соглашением между исполнителем и заказчиком экспертизы ИП.
8. ПРОВЕДЕНИЕ ТЕСТИРОВАНИЯ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ДОСТУПНОСТИ, ЦЕЛОСТНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
8.1. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К ДОСТУПНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
8.1.1. На основе анализа технической документации проверяется:
8.1.1.1. Полнота и своевременность представления пользователю информации об особенностях игры. Проверяется, в частности, в справочном меню ИП информация о правилах игры, количестве игровых линий, ставках, выигрышных комбинациях, бонусных играх и т.д. При этом проверяется (в необходимом объеме) соответствие представленных пользователю правил игры ИП фактическим.
8.1.1.2. Полнота и своевременность представления пользователю обрабатываемой информации, соответствующей каждому игровому состоянию ИП, условия перехода из одного в другое, а также их количество.
8.1.1.3 Полнота и своевременность получения пользователем обрабатываемой информации, соответствующей каждому пункту сервисного меню, а также способы доступа и навигации по пунктам сервисного меню.
8.1.1.4 Порядок (способ), полнота и своевременность получения обрабатываемой информации при использовании как основных (штатных), так и дополнительных программных и (или) аппаратных средств.
8.1.2. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к доступности обрабатываемой информации, если в процессе тестирования программа обеспечивает правомочный доступ к обрабатываемой информации способами, предусмотренными технической документацией.
8.2. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К ЦЕЛОСТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
8.2.1. Проверяются все заявленные в технической документации функциональные возможности ИП ИАДВ и определяется их соответствие представленной технической документации. ИП ИАДВ исследуется на предмет наличия функциональных возможностей, не описанных в технической документации (в том числе позволяющих изменить состав ИП), а также на предмет недекларированного влияния со стороны иного (другого) программного обеспечения.
8.2.2. При наличии функциональных возможностей, позволяющих изменить состав ИП ИАДВ утвержденного типа (изменение версии ИП и т.д.) и описанных в технической документации, исследуется возможность изменения состава ИП и определяется ее соответствие представленной технической документации.
8.2.3. Проверяется реакция ИП при получении недопустимых входных данных, а также возможность введения недопустимых данных при настройке и инициализации ИП.
8.2.4. Проверяется наличие и достаточность средств защиты целостности ИП и обрабатываемой информации. Для этого:
8.2.4.1. Имитируются сбои ИП (отключение питания, преднамеренное введение функциональных дефектов и изменений), которые могут повлечь нарушение целостности ИП и обрабатываемой информации. Проверяется реакция ИП на указанные сбои, в том числе наличие предупреждений (визуального и (или) звукового сигнала) о необходимости завершения работы.
8.2.4.2. Проверяются методы идентификации ИП (самоидентификация и (или) с использованием дополнительных программных и (или) аппаратных средств) и способов работы с ними. Оценивается соответствие методов идентификации уровню требуемой защиты ИП и обрабатываемой информации.
8.2.4.3. Проверяются механические средства защиты целостности ИП и обрабатываемой информации (замки, пломбы, контрольные этикетки и пр.).
8.2.4.4. Проверяется наличие журнала событий и записей в нем, фиксирующих нарушение целостности ИП и (или) обрабатываемой информации в результате сбоев или изменений случайного или преднамеренного характера, а также возможность правки и удаления записей в журнале событий.
8.2.5. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к целостности обрабатываемой информации, если в результате тестирования устанавливается соответствие функциональных возможностей ИП описанным в технической документации, а также наличие средств обнаружения, обозначения и защиты от сбоев (функциональных дефектов) и изменений случайного или преднамеренного характера в соответствии с представленной технической документацией.
8.3. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ
8.3.1. На основе анализа технической документации проверяется:
8.3.1.1. Организация способа доступа пользователя к конфиденциальной обрабатываемой информации, а также процедура изменения параметров доступа к ней. В том случае, если доступ к конфиденциальной обрабатываемой информации является многоуровневым, то проверяется организация способа доступа пользователя к конфиденциальной обрабатываемой информации каждого уровня доступа.
8.3.1.2. Организация способа доступа к конфиденциальной обрабатываемой информации при использовании как основных (штатных), так и дополнительных программных и (или) аппаратных средств, а также процедура изменения параметров доступа к ней.
8.3.1.3. Наличие и достаточность средств защиты обрабатываемой конфиденциальной информации от несанкционированного доступа и изменений.
Средства защиты могут включать в себя:
Кодирование с организацией способа доступа пользователя к конфиденциальной обрабатываемой информации (например, использование паролей);
Кодирование без организации способа доступа пользователя к конфиденциальной обрабатываемой информации (например, использование электронной подписи (контрольной суммы) файлов, содержащих конфиденциальную обрабатываемую информацию);
Программный журнал событий;
Механические средства защиты (замки, пломбы, этикетки).
8.3.2. При данной проверке могут выполняться следующие испытания:
Проверяется реакция ИП на неоднократный ввод неправильной информации при авторизации;
Проверяется процедура изменения параметров авторизации.
8.3.2.2. Проверка программного журнала событий:
Проверяется появление соответствующей записи в журнале событий после доступа и изменения конфиденциальной обрабатываемой информации;
Проверяется возможность правки и удаления записей журнала событий.
8.3.2.3. Проверяется реакция ИП на срабатывание механических средств защиты (визуальный и (или) звуковой сигнал, запись в журнале событий).
8.3.3. В зависимости от особенностей ИП и ИАДВ, могут выполняться и другие испытания средств защиты обрабатываемой конфиденциальной информации ИП.
8.3.4. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к конфиденциальности обрабатываемой информации, если в результате тестирования установлено наличие средств авторизации доступа и защиты конфиденциальной обрабатываемой информации от несанкционированного доступа.
8.4. СОСТАВЛЕНИЕ ПРОТОКОЛА ТЕСТИРОВАНИЯ
8.4.1. После проведения экспертизы ИП ИАДВ с целью обнаружения недекларированных возможностей составляется протокол тестирования, форма которого приведена в Приложении .
8.4.2. В протокол тестирования ИП ИАДВ вносятся результаты проведения испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша.
8.4.3. В протокол тестирования ИП ИАДВ вносятся результаты проведения проверки технической документации и тестирования, устанавливающего наличие или отсутствие нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации.
9. ПОРЯДОК ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ИП С ЦЕЛЬЮ ОБНАРУЖЕНИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ
9.1. Цели экспертизы ИП ИАДВ, организации, проводящие такую экспертизу, требования к экспертам и результаты экспертизы изложены в п. настоящей рекомендации.
9.2. Документы, подаваемые на экспертизу, составляются в соответствии с требованиями п. настоящей рекомендации и представляются как на бумажном носителе, так и в электронном виде на компакт-диске.
9.3. Порядок проведения экспертизы ИП ИАДВ включает:
Подачу заявки на экспертизу, форма которой приведена в Приложении и необходимой документации в ЦИИА;
Принятие решения по заявке (с учетом полноты и достаточности представленной документации) и назначение экспертов (эксперта) на проведение работы по экспертизе (отказ в проведении экспертизы возможен в случае, если представленные заявителем материалы недостаточны для проведения экспертизы);
Представление в ЦИИА ИП в электронном виде и, при необходимости, на оригинальном носителе;
Разработку программы тестирования ИП ИАДВ, форма которой приведена в Приложении ;
Проведение проверки технической документации и тестирования ИП;
Представление материалов экспертизы (программы тестирования, протокола тестирования и ИП в электронном виде и, при необходимости, на оригинальном носителе) в ЦИИА ФГУП «ВНИИМС»;
Проведение проверки представленных в ФГУП «ВНИИМС» материалов экспертизы и выдачу ЦИИА ФГУП «ВНИИМС» экспертного заключения об отсутствии (или обнаружении) в ИП ИАДВ недекларированных возможностей.
9.4. Сведения о выдаче экспертного заключения вносятся в реестр ИП Банка данных ИАДВ, который ведет ЦИИА ФГУП «ВНИИМС».
9.5. Работы, связанные с проведением экспертизы ИП ИАДВ, а также с проверкой материалов экспертизы, оформлением и выдачей экспертных заключений, проводятся на договорной основе.
9.6. При возникновении разногласий между ЦИИА, проводящим экспертизу, ФГУП «ВНИИМС» и заказчиком экспертизы они решаются в установленном законодательством РФ порядке.
Приложение А
|
УТВЕРЖДАЮ Руководитель ЦИИА ФГУП «ВНИИМС» __________________ «___» _______ 200_ г. Экспертное заключение по результатам тестирования ИП ИАДВ на наличие недекларированных возможностей, представленной _____________________________________________________________ (название организации, представившей ИП на экспертизу) 1. Комиссия экспертов (эксперт) ЦИИА ______________________________________ (название ЦИИА) в составе ___________________________________________________________________ провела тестирование ИП ИАДВ на наличие недекларированных возможностей. Тестирование проведено в период с _____ по ______ _________ 200__ г. в ЦИИА (название ЦИИА) 2. ЦИИА, проводившему тестирование, были представлены соответствующая документация и ИП ИАДВ ____________________________________________________ (в т.ч. наименование ИП с указанием версии) 3. Ознакомившись с предъявленной ИП и рассмотрев сопровождающую документацию, комиссия экспертов (эксперт) ЦИИА признала предоставленные материалы достаточными для проведения тестирования. 4. Комиссия экспертов ЦИИА _______________________________________________ (название ЦИИА) провела тестирование ИП ИАДВ в соответствии с МИ 3017-2006, утвержденной ФГУП «ВНИИМС» ___________ 2006 г., специалисты ЦИИА ФГУП «ВНИИМС» провели проверку представленных материалов экспертизы ИП ИАДВ. 5. В результате проведенной зкспертизы было установлено, что в ИП ИАДВ отсутствуют недекларированные возможности: нарушение случайности игрового процесса, конфиденциальности, доступности и целостности обрабатываемой информации (в случае обнаружения не-декларированных возможностей фиксируется их характер). Экспертное заключение составлено в 2-х экземплярах. Члены экспертной комиссии (эксперт) |
Приложение Б
ПРОГРАММА ТЕСТИРОВАНИЯ
_________________________________________________,
(название ИП ИАДВ)
представленной на экспертизу и тестирование __________
__________________________________________________
(название организации-заявителя)
Место проведения
Программа содержит описание и последовательность процедур тестирования ИП ИАДВ в соответствии с рекомендациями настоящей методики (тестирование на соответствие требованиям к документации, к доступности, целостности и конфиденциальности обрабатываемой информации).
Программа тестирования после изложения содержательной части подписывается разработчиками - комиссией экспертов (экспертом) ЦИИА, проводящего тестирование ИП ИАДВ, утверждается руководителем ЦИИА и согласуется с заявителем.
Приложение В
|
_________________________________________________ (название организации, проводящей тестирование ИП ИАДВ) Утверждаю Руководитель ЦИИА ___________________ «__ » ________ 200_ г. Протокол тестирования игровой программы ИАДВ Название программы ________________________________________________________ ___________________________________________________________________________ Версия / Идентификационный номер ___________________________________________ Организация-разработчик ИП _________________________________________________
Заключение по результатам тестирования: ____________________________________ ___________________________________________________________________________ ___________________________________________________________________________ Исполнители (должности, фамилии, инициалы, подписи): Дата проведения тестирования Ознакомлен (должность, фамилия, инициалы, подпись заявителя): |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Документы, прилагаемые к данной заявке, полностью отражают принцип действия (функционирования) ИП ИАДВ. Все производимые копии ИП выполнены по той же технической документации, что и представленные на экспертизу образцы и являются их точными копиями.
Заявитель обязуется оплатить все расходы по проведению экспертизы ИП ИАДВ в соответствии с условиями заключенного договора.
(в том числе игрового и лотерейного оборудования)
Стоимость проведения компьютерно-технической экспертизы в Центре независимых судебных экспертиз “ТЕХЭКО” (далее - Центр) составляет от 15 000 до 300 000 рублей в зависимости от сложности и количества вопросов, поставленных на разрешение эксперта. Срок проведения экспертизы составляет от 5 до 40 рабочих дней.
Кроме того, экспертами Центра проводится рецензирование заключений, оформленных по результатам компьютерно-технической экспертизы, стоимость услуг по проведению рецензии составляет от 15 000 до 60 000 рублей. Срок проведения рецензии от 5 до 20 рабочих дней.
Компьютерно-техническая экспертиза - это совокупность действий, состоящих из проведения необходимых исследований и дачи заключения экспертом по вопросам, связанным с определением функций аппаратного и/или программного обеспечения, в том числе выяснение статуса объекта экспертизы, его роли, поиском и анализом информации, содержащейся на объектах экспертизы.
Судебная компьютерно-техническая экспертиза - процессуальное действие, состоящее из проведения исследований и дачи заключения экспертом по вопросам, относящимся к области знаний компьютерно-технического эксперта, которые поставлены перед экспертом судом, судьей, органом дознания, лицом, производящим дознание, следователем или прокурором, в целях установления обстоятельств, подлежащих доказыванию по конкретному делу. По результатам производства указанных экспертиз подготавливается заключение эксперта - письменный документ, отражающий ход и результаты исследований, проведенных экспертом.
Виды компьютерно-технической экспертизы:
Компьютерно-техническая экспертиза - это общее название для направления инженерно-технических экспертиз, включающее в себя аппаратно-компьютерную экспертизу, программно-компьютерную экспертизу (программно-техническую экспертизу), информационно-компьютерную экспертизу и компьютерно-сетевую экспертизу.
Такое деление весьма условное и определяется, как правило, основной задачей, которую планируется решить в результате проведения экспертизы.
Основная задача аппаратно-компьютерной экспертизы - определение работоспособности, выявление причин неработоспособности, диагностика и т.п. аппаратных элементов компьютерной системы.
Наиболее часто аппаратно-компьютерная экспертиза проводится в случаях, когда покупатель компьютерной техники сомневается в ее качестве, или когда организация желает определить возможность списания компьютерной техники с баланса.
Основная задача программно-компьютерной (программно-технической) экспертизы - выявление алгоритма функционирования программного обеспечения, подтверждение наличия (или отсутствия) в программном обеспечении тех или иных функций.
Наиболее часто программно-компьютерная экспертиза проводится в случаях когда:
- Необходимо определить вредоносным или нет является программное обеспечение;
- Необходимо установить соответствие/не соответствие разработанного программного обеспечения техническому заданию/договору на разработку.
В настоящее время актуально проведение программно-компьютерной экспертизы с целью определения является ли компьютерное оборудование игровым автоматом, относится к лотерейному оборудованию или является оборудованием другого назначения. Для признания компьютерной системы игровым автоматом необходимо наличие в программном обеспечении компьютерной системы определенных функций. Наличие (или отсутствие) этих классифицирующих функций позволяет сделать вывод о признании (или не признании) компьютерной системы игровым автоматом.
Основная задача информационно-компьютерной экспертизы - поиск и анализ информации, содержащейся в компьютерной системе или на носителе информации. Все данные, хранящиеся в компьютерных системах и на носителях информации, можно условно разделить на две группы: информация, с которой непосредственно работает пользователь и информация, существующая в компьютерной системе или на носителе информации помимо желания пользователя.
Наиболее часто информационно-компьютерная экспертиза проводится в случаях, когда необходимо доказать совершение тех или иных действий конкретным человеком, группой лиц или с использованием конкретной компьютерной системы или устройства.
Основная задача компьютерно-сетевой экспертизы - выявление особенностей взаимодействия компьютерных систем с использованием каналов связи (сетей). Компьютерно-сетевую экспертизу можно рассматривать как программно-компьютерную экспертизу, особое внимание в которой уделено именно сетевому взаимодействию.
Наиболее часто компьютерно-сетевая экспертиза проводится в случаях совершения противоправных действий с использованием сети Интернет (то есть, когда не имеется возможности получить физический доступ к компьютерной системе злоумышленника).
Объекты компьютерно-технической экспертизы:
- аппаратное обеспечение: персональные компьютеры (настольные и переносные) и их комплектующие, носители информации и их комплектующие, сетевое оборудование и его комплектующие, встраиваемые системы и их комплектующие, интегрированные системы и их комплектующие, периферийные устройства и их комплектующие;
- системное и прикладное программное обеспечение, в том числе исходные коды программного обеспечения, представленные как на электронных, так и бумажных носителях;
- информационные объекты (данные): текстовые, графические, аудио, видео и т.п. документы, созданные с использованием компьютерных систем, информация в форматах баз данных, лог файлы и т.п.
На разрешение компьютерно-технической экспертизы могут быть поставлены вопросы:
- О работоспособности объектов экспертизы, пригодности их использования для совершения тех или иных действий;
- О периодах функционирования (использования) объектов экспертизы;
- О действиях, произведенных с объектами экспертизы (или с использованием объектов экспертизы);
- О наличии/отсутствии на объектах экспертизы интересующей информации, в том числе в удаленном или зашифрованном виде;
- О функциях программного обеспечения, позволяющих отнести объект экспертизы к категории вредоносного программного обеспечения;
- О функциях программного обеспечения, позволяющих отнести объект экспертизы к категории игрового автомата;
- О соответствии программного обеспечения заявленным (или требуемым) функциям, соответствии техническому заданию на разработку, соответствии договору на разработку;
- О степени сходства объектов экспертизы между собой (например, определение степени сходства исходных кодов программного обеспечения или файлов программного продукта);
- О проверке корректности (правильности) электронной цифровой подписи (ЭЦП);
- Об особенностях сетевого взаимодействия с объектами экспертизы (например, в случаях несанкционированного доступа с использованием каналов связи или в случаях атак на ресурсы сети Интернет).
