ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ УНИТАРНОЕ ПРЕДПРИЯТИЕ
ВСЕРОССИЙСКИЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ
МЕТРОЛОГИЧЕСКОЙ СЛУЖБЫ
(ФГУП «ВНИИМС»)
ФЕДЕРАЛЬНОГО АГЕНТСТВА
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

РЕКОМЕНДАЦИЯ

ГОСУДАРСТВЕННАЯ СИСТЕМА
ОБЕСПЕЧЕНИЯ ЕДИНСТВА ИЗМЕРЕНИЙ

ИГРОВЫЕ АВТОМАТЫ С ДЕНЕЖНЫМ ВЫИГРЫШЕМ.
МЕТОДЫ И ПОРЯДОК ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ
ИГРОВЫХ ПРОГРАММ С ЦЕЛЬЮ ОБНАРУЖЕНИЯ
В НИХ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

МИ 3017-2006

Москва
2006

ПРЕДИСЛОВИЕ

СОДЕРЖАНИЕ

РЕКОМЕНДАЦИЯ

1. ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Настоящая рекомендация предназначена для использования в центрах испытаний игровых автоматов (ЦИИА) и содержит описание методов и порядка проведения экспертизы игровых программ (ИП) игровых автоматов с денежным выигрышем (ИАДВ) с целью обнаружения в них недекларированных возможностей.

1.2. Рекомендация распространяется на игровые программы, используемые в ИАДВ и вляющиеся их неотъемлемой частью, определяющие функциональные характеристики игрового автомата.

2. НОРМАТИВНЫЕ ССЫЛКИ

В настоящей рекомендации использованы ссылки на следующие нормативные документы:

1. «Положение о лицензировании деятельности по производству и реализации специального игрового оборудования, предназначенного для осуществления игорного бизнеса», утвержденное Постановлением Правительства РФ от 06.10.2006 г., № 603;

2. ПР 50.2.023-2000. ГСИ. Правила проведения испытаний игровых автоматов с денежным выигрышем с целью утверждения типа и контроля за их соответствием утвержденному типу;

3. ГОСТ 19.402-78. ЕСПД. Описание программы;

4. ГОСТ 19.404-79. ЕСПД. Пояснительная записка. Требования к содержанию и оформлению;

5. МИ 2562-2001. ГСИ. Игровые автоматы с денежным выигрышем. Методика обработки статистической информации при испытаниях с целью утверждения типа;

6. МИ 2662-2005. Игровые автоматы с денежным выигрышем. Типовая методика контроля за соответствием утвержденному типу;

7. МИ 2674-2001. ГСИ. Игровые автоматы с денежным выигрышем. Требования к разработке программ испытаний с целью утверждения типа.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1. Необходимость проведения экспертизы игровых программ обусловлена требованием п. 5 д). «Положения о лицензировании деятельности по производству и реализации специального игрового оборудования, предназначенного для осуществления игорного бизнеса», утвержденного Постановлением Правительства РФ от 06.10.2006 г., № 603.

3.2. Целью проведения экспертизы игровых программ, используемых в ИАДВ, является обнаружение в них недекларированных возможностей.

3.3. Экспертиза игровых программ, используемых в ИАДВ, проводится на этапе испытаний ИАДВ с целью утверждения типа (после утверждения типа ИАДВ), осуществляемых аккредитованными на проведение таких испытаний ЦИИА. Порядок проведения испытаний ИАДВ с целью утверждения типа определяется правилами по метрологии ПР 50.2.023.

3.4. Экспертиза игровых программ, используемых в ИАДВ, проводится комиссией экспертов (экспертами) ЦИИА. Специалисты ЦИИА (эксперты), проводящие экспертизу игровых программ, используемых в ИАДВ, должны иметь документальное подтверждение компетентности на проведение такой экспертизы.

3.5. После проведения экспертизы ее материалы (программа тестирования и протокол тестирования) представляются в ЦИИА ФГУП «ВНИИМС» для подготовки экспертного заключения. Окончательным результатом экспертизы является документ (экспертное заключение), форма которого приведена в Приложении А, выдаваемый ЦИИА ФГУП «ВНИИМС», подтверждающий (или не подтверждающий) наличие в игровых программах, используемых в ИАДВ, недекларированных возможностей.

4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

4.1. игровой автомат с денежным выигрышем: Специальное устройство, которое после внесения в него денежной ставки предоставляет пользователю (игроку) право на проведение игры с возможностью получения денежного выигрыша.

4.2. средний процент выигрыша: Отношение выигрыша к ставке, рассчитанное для совокупности игр и выраженное в процентах.

4.3. игровая программа: Программное средство, обеспечивающее ответные действия игрового автомата на действия игрока.

4.3. недекларированные возможности ИП: Функциональные объекты и средства, не указанные в сопроводительной технической документации или не соответствующие указанным, при использовании которых возможно нарушение случайного характера игрового процесса (т.е. появление в результатах игры разного рода тенденций или закономерностей), установленного среднего процента выигрыша, а также конфиденциальности, доступности или целостности обрабатываемой информации.

4.4. обрабатываемая информация: Данные, участвующие в функционировании ИП и представленные в виде, пригодном для передачи, интерпретации или обработки.

4.5. доступность обрабатываемой информации: Состояние обрабатываемой информации, обеспечивающее ее получение правомочным способом в соответствии с сопроводительной технической документацией.

4.6. конфиденциальность обрабатываемой информации: Состояние ограниченного доступа к обрабатываемой информации в соответствии с сопроводительной технической документацией и ее защищенности от неправомочного доступа.

4.7. целостность обрабатываемой информации: Состояние обрабатываемой информации, характеризующееся отсутствием изменений преднамеренного или случайного характера.

5. ОБЩИЕ ТРЕБОВАНИЯ К ИГРОВЫМ ПРОГРАММАМ, ИСПОЛЬЗУЕМЫМ В ИАДВ

Общие требования, предъявляемые к ИП, приведены в таблице 1.

Таблица 1

5.1. ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ

5.1.1. Наряду с документацией, перечисленной в Приложении Б правил по метрологии ПР 50.2.023, ИП, представляемые для экспертизы, должны сопровождаться технической документацией в соответствии с требованиями данной рекомендации.

5.1.2. Минимальный набор документов, необходимый для проведения экспертизы ИП состоит из:

- описания программы (ГОСТ 19.402-78. ЕСПД. Описание программы), содержащего описание ее состава, структуры и оформления;

- пояснительной записки (ГОСТ 19.404-79. ЕСПД. Пояснительная записка. Требования к содержанию и оформлению), содержащей описание применяемых математических методов, выбранного математического аппарата и используемых алгоритмов;

- руководства по обслуживанию игровой программы (руководства пользователя).

5.1.3. Перечень документов, сопровождающих ИП, может корректироваться соглашением между исполнителем и заказчиком экспертизы ИП.

5.1.4. Графическая и текстовая информация в документации выполняется таким образом, чтобы она была пригодна для полного и однозначного понимания.

5.2. ТРЕБОВАНИЯ К СЛУЧАЙНОСТИ ИГРОВОГО ПРОЦЕССА

5.2.1. ИП, используемая в ИАДВ, должна обеспечивать получение выигрыша только в зависимости от случая (т.е. в результатах игры должны отсутствовать разного рода тенденции или закономерности). Технологически заложенный в ИП средний процент выигрыша не может быть ниже определенного значения, устанавливаемого в законодательном порядке.

5.2.2. Соответствие свойств ИП требованиям случайности игрового процесса подтверждают в ходе испытаний ИАДВ с целью утверждения типа на основе обработки и анализа статистической информации в соответствии с МИ 2562.

5.3. ТРЕБОВАНИЯ К ДОСТУПНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

5.3.1. ИП, используемые в ИАДВ, должны обеспечивать возможность своевременного и полного получения необходимой обрабатываемой информации правомочным способом.

5.3.1.1 Обрабатываемая информация может быть представлена в символьном, графическом, цифровом, печатном или ином виде.

5.3.1.2 ИП должна обеспечить представление обрабатываемой информации таким образом, чтобы игрок имел полное и однозначное представление о всех возможностях ИП, связанных с игровым процессом (величина кредита, ставка на линию, количество активных линий, сервисное меню, правила игры, условия выпадения бонусов, назначения клавиш и т.д.), а также о состоянии игрового процесса в каждый момент времени.

5.3.1.3 Обрабатываемая информация, возможность получения которой обеспечивает ИП, полнота ее содержания, а также порядок (способ) ее получения, в том числе с использованием дополнительных программных и (или) аппаратных средств (протоколов), должны точно соответствовать технической документации, сопровождающей ИП.

5.3.2 Техническая документация должна содержать исчерпывающий перечень способов представления (получения) обрабатываемой информации, а также перечень программных и (или) аппаратных средств, используемых для выполнения этих функций.

5.3.3. Запрещается использовать программные и (или) аппаратные средства получения, передачи, интерпретации и использования обрабатываемой информации, не указанные в технической документации на ИП.

5.3.4. Нарушение или ограничение доступности обрабатываемой информации допускается лишь в случаях, предусмотренных сопровождающей ИП технической документацией (например, в случае срабатывания защиты от сбоев).

5.4. ТРЕБОВАНИЯ К ЦЕЛОСТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

5.4.1. После утверждения типа ИАДВ ИП, используемая в игровом автомате данного типа, не должна изменяться. Для каждого экземпляра ИАДВ утвержденного типа используется точная копия ИП ИАДВ, прошедшего испытания с целью утверждения типа. Не допускается изменение как всей ИП, так и отдельных ее частей (графического интерфейса, текстовых сообщений, звукового оформления, элементов сервисного меню и т.д.).

5.4.1.1. ИП, используемая в ИАДВ утвержденного типа, не должна содержать функциональных возможностей, изменяющих состав самой программы и не описанных в сопроводительной технической документации.

5.4.1.2. При наличии функциональных возможностей, описанных в сопроводительной технической документации, позволяющих изменить состав ИП игрового автомата утвержденного типа (изменение версии ИП и т.д.), экспертиза ИП проводятся повторно после каждого изменения ИП.

5.4.1.3. Техническая документация, сопровождающая ИП ИАДВ утвержденного типа, должна содержать исчерпывающий перечень функциональных возможностей ИП, а также перечень программных и (или) аппаратных средств, используемых для выполнения этих функциональных возможностей.

5.4.1.4. ИП игрового автомата разрабатывается таким образом, чтобы она не была подвержена влиянию со стороны иного программного обеспечения.

5.4.2. ИП должна содержать средства обнаружения, обозначения и защиты от сбоев (функциональных дефектов), а также изменений случайного или преднамеренного характера, которые нарушают целостность обрабатываемой информации (контрольная сумма, цифровая подпись и т.д.).

5.4.3. В случае возникновения сбоя или изменений обрабатываемой информации случайного или преднамеренного характера пользователь извещается об этом. ИП выдает предупреждение (визуальный и (или) звуковой сигнал) о необходимости завершения работы. В случае невозможности обозначения и (или) устранения сбоя или изменений обрабатываемой информации случайного или преднамеренного характера, ИП должна предусматривать ситуацию аварийного завершения работы.

5.4.4. ИП осуществляет запись в соответствующем журнале событий, связанных с нарушением целостности обрабатываемой информации в результате сбоев или изменений случайного или преднамеренного характера.

5.5. ТРЕБОВАНИЯ К КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

5.5.1. ИП, используемые в ИАДВ, содержат средства авторизации доступа к конфиденциальной обрабатываемой информации и защиты конфиденциальной обрабатываемой информации от несанкционированного доступа.

5.5.1.1. Средства авторизации доступа к конфиденциальной обрабатываемой информации должны обеспечивать доступ к конфиденциальной обрабатываемой информации авторизированному пользователю и обеспечить отказ в доступе неавторизированному пользователю.

5.5.1.2. ИП, используемые в ИАДВ, должны обеспечить защиту конфиденциальной обрабатываемой информации при ее хранении и передаче. Защита конфиденциальной обрабатываемой информации, обеспечивается с помощью электронной подписи, кодирования или иными способами.

5.5.1.3. Все события, связанные с доступом к конфиденциальной информации, должны в обязательном порядке фиксироваться в журнале событий ИП.

6. МЕТОДЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ИП С ЦЕЛЬЮ ОБНАРУЖЕНИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

При экспертизе ИП ИАДВ с целью обнаружения недекларированных возможностей используются следующие методы:

1. Испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша.

2. Тестирование ИП ИАДВ с целью обнаружения нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации.

6.1. Испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша, определяются системой испытаний игровых автоматов с денежным выигрышем и контроля за их соответствием утвержденному типу. Испытания ИАДВ с целью утверждения типа регламентируются следующими нормативными документами: ПР 50.2.023, МИ 2674, МИ 2562, МИ 2662.

6.2. Результаты испытаний ИАДВ представлены в Акте испытаний ИАДВ, форма которого приведена в Приложении Д Правил по метрологии ПР 50.2.023.

6.3. Тестирование ИП ИАДВ с целью обнаружения нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации включает в себя следующие этапы:

1. Проведение проверки технической документации;

2. Проведение тестирования ИП на соответствие требованиям к доступности, целостности и конфиденциальности обрабатываемой информации;

3. Составление протокола тестирования ИП ИАДВ.

7. ПРОВЕДЕНИЕ ПРОВЕРКИ ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ

7.1. Представление документации на экспертизу в соответствии с п. 5.1.2 настоящей рекомендации является необходимым условием ее проведения. При этом оценивается достаточность комплекта представленной документации для проведения проверки, а также проводится анализ структуры и полноты ее содержания.

При этом проверяются следующие разделы технической документации на ИП:

7.1.1. Общие сведения об ИП.

В данном разделе должны быть указаны:

• наименование ИП, ее версия;

• программное обеспечение, необходимое для функционирования ИП;

• языки программирования, среда разработки, средства компиляции, используемые при разработке ИП.

7.1.2. Описание логической структуры ИП.

В данном разделе должны быть описаны:

• структура ИП с описанием функций составных частей и связи между ними;

• реализованные алгоритмы ИП, а также приведены их блок-схемы;

• используемые методы обработки информации;

• связи ИП с иным программным обеспечением, а также методы получения и передачи обрабатываемой информации.

Для всех описанных функций ИП должны быть указаны входные и выходные данные, а также результат их выполнения.

7.1.3. Описание используемых технических средств.

В разделе указывают типы электронно-вычислительных машин и устройств, которые необходимы для работы ИП, а также типы дополнительных устройств, с которыми взаимодействует ИП.

7.1.4. Вызов и загрузка.

Раздел содержит описание способов и порядка вызова ИП с соответствующего носителя данных.

7.1.5. Входные данные.

В разделе «Входные данные» должны быть указаны описание, формат и организация входных данных ИП.

7.1.6. В разделе «Выходные данные» должны быть указаны описание, формат и организация выходных данных ИП.

7.1.7 Руководство по обслуживанию ИП. В разделе должны быть описаны правила игры, игровые события (с обязательной иллюстрацией) и интерфейсы ИП, ее сервисное меню с подробным указанием всех его пунктов, способов доступа и навигации по пунктам, способов доступа к журналу событий ИП, а также способы диагностики, настройки и инициализации ИП.

7.1.8. Описание реализованных методов защиты ИП и обрабатываемой информации.

Проверяется описание реализованных методов (авторизация пользователя, журнал событий, кодирование данных и т.д.) защиты программного обеспечения и обрабатываемой информации от недопустимых изменений и сбоев.

7.2. В зависимости от особенностей ИП допускается вводить дополнительные разделы или объединять отдельные разделы.

7.3. Допускается содержание разделов иллюстрировать пояснительными примерами, таблицами, схемами, графиками.

7.4. В приложение к описанию ИП допускается включать различные материалы, которые нецелесообразно включать в разделы описания.

7.5. Результаты проверки технической документации, в том числе выявленные несоответствия, полученные при анализе документации программного обеспечения, заносятся в протокол тестирования.

7.6. Перечень технических документов, сопровождающих ИП, объем и методы проверки документации могут корректироваться соглашением между исполнителем и заказчиком экспертизы ИП.

8. ПРОВЕДЕНИЕ ТЕСТИРОВАНИЯ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ДОСТУПНОСТИ, ЦЕЛОСТНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

8.1. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К ДОСТУПНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

8.1.1. На основе анализа технической документации проверяется:

8.1.1.1. Полнота и своевременность представления пользователю информации об особенностях игры. Проверяется, в частности, в справочном меню ИП информация о правилах игры, количестве игровых линий, ставках, выигрышных комбинациях, бонусных играх и т.д. При этом проверяется (в необходимом объеме) соответствие представленных пользователю правил игры ИП фактическим.

8.1.1.2. Полнота и своевременность представления пользователю обрабатываемой информации, соответствующей каждому игровому состоянию ИП, условия перехода из одного в другое, а также их количество.

8.1.1.3 Полнота и своевременность получения пользователем обрабатываемой информации, соответствующей каждому пункту сервисного меню, а также способы доступа и навигации по пунктам сервисного меню.

8.1.1.4 Порядок (способ), полнота и своевременность получения обрабатываемой информации при использовании как основных (штатных), так и дополнительных программных и (или) аппаратных средств.

8.1.2. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к доступности обрабатываемой информации, если в процессе тестирования программа обеспечивает правомочный доступ к обрабатываемой информации способами, предусмотренными технической документацией.

8.2. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К ЦЕЛОСТНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

8.2.1. Проверяются все заявленные в технической документации функциональные возможности ИП ИАДВ и определяется их соответствие представленной технической документации. ИП ИАДВ исследуется на предмет наличия функциональных возможностей, не описанных в технической документации (в том числе позволяющих изменить состав ИП), а также на предмет недекларированного влияния со стороны иного (другого) программного обеспечения.

8.2.2. При наличии функциональных возможностей, позволяющих изменить состав ИП ИАДВ утвержденного типа (изменение версии ИП и т.д.) и описанных в технической документации, исследуется возможность изменения состава ИП и определяется ее соответствие представленной технической документации.

8.2.3. Проверяется реакция ИП при получении недопустимых входных данных, а также возможность введения недопустимых данных при настройке и инициализации ИП.

8.2.4. Проверяется наличие и достаточность средств защиты целостности ИП и обрабатываемой информации. Для этого:

8.2.4.1. Имитируются сбои ИП (отключение питания, преднамеренное введение функциональных дефектов и изменений), которые могут повлечь нарушение целостности ИП и обрабатываемой информации. Проверяется реакция ИП на указанные сбои, в том числе наличие предупреждений (визуального и (или) звукового сигнала) о необходимости завершения работы.

8.2.4.2. Проверяются методы идентификации ИП (самоидентификация и (или) с использованием дополнительных программных и (или) аппаратных средств) и способов работы с ними. Оценивается соответствие методов идентификации уровню требуемой защиты ИП и обрабатываемой информации.

8.2.4.3. Проверяются механические средства защиты целостности ИП и обрабатываемой информации (замки, пломбы, контрольные этикетки и пр.).

8.2.4.4. Проверяется наличие журнала событий и записей в нем, фиксирующих нарушение целостности ИП и (или) обрабатываемой информации в результате сбоев или изменений случайного или преднамеренного характера, а также возможность правки и удаления записей в журнале событий.

8.2.5. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к целостности обрабатываемой информации, если в результате тестирования устанавливается соответствие функциональных возможностей ИП описанным в технической документации, а также наличие средств обнаружения, обозначения и защиты от сбоев (функциональных дефектов) и изменений случайного или преднамеренного характера в соответствии с представленной технической документацией.

8.3. ТЕСТИРОВАНИЕ ИП НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ К КОНФИДЕНЦИАЛЬНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

8.3.1. На основе анализа технической документации проверяется:

8.3.1.1. Организация способа доступа пользователя к конфиденциальной обрабатываемой информации, а также процедура изменения параметров доступа к ней. В том случае, если доступ к конфиденциальной обрабатываемой информации является многоуровневым, то проверяется организация способа доступа пользователя к конфиденциальной обрабатываемой информации каждого уровня доступа.

8.3.1.2. Организация способа доступа к конфиденциальной обрабатываемой информации при использовании как основных (штатных), так и дополнительных программных и (или) аппаратных средств, а также процедура изменения параметров доступа к ней.

8.3.1.3. Наличие и достаточность средств защиты обрабатываемой конфиденциальной информации от несанкционированного доступа и изменений.

Средства защиты могут включать в себя:

- кодирование с организацией способа доступа пользователя к конфиденциальной обрабатываемой информации (например, использование паролей);

- кодирование без организации способа доступа пользователя к конфиденциальной обрабатываемой информации (например, использование электронной подписи (контрольной суммы) файлов, содержащих конфиденциальную обрабатываемую информацию);

- программный журнал событий;

- механические средства защиты (замки, пломбы, этикетки).

8.3.2. При данной проверке могут выполняться следующие испытания:

8.3.2.1. Проверка авторизации пользователя:

- проверяется возможность обхода авторизации;

- проверяется реакция ИП на неоднократный ввод неправильной информации при авторизации;

- проверяется процедура изменения параметров авторизации.

8.3.2.2. Проверка программного журнала событий:

- проверяется появление соответствующей записи в журнале событий после доступа и изменения конфиденциальной обрабатываемой информации;

- проверяется возможность правки и удаления записей журнала событий.

8.3.2.3. Проверяется реакция ИП на срабатывание механических средств защиты (визуальный и (или) звуковой сигнал, запись в журнале событий).

8.3.3. В зависимости от особенностей ИП и ИАДВ, могут выполняться и другие испытания средств защиты обрабатываемой конфиденциальной информации ИП.

8.3.4. ИП ИАДВ считается прошедшей тестирование на соответствие требованиям к конфиденциальности обрабатываемой информации, если в результате тестирования установлено наличие средств авторизации доступа и защиты конфиденциальной обрабатываемой информации от несанкционированного доступа.

8.4. СОСТАВЛЕНИЕ ПРОТОКОЛА ТЕСТИРОВАНИЯ

8.4.1. После проведения экспертизы ИП ИАДВ с целью обнаружения недекларированных возможностей составляется протокол тестирования, форма которого приведена в Приложении В.

8.4.2. В протокол тестирования ИП ИАДВ вносятся результаты проведения испытания ИАДВ с целью утверждения типа, подтверждающие случайный характер игрового процесса и отсутствие нарушения установленного среднего процента выигрыша.

8.4.3. В протокол тестирования ИП ИАДВ вносятся результаты проведения проверки технической документации и тестирования, устанавливающего наличие или отсутствие нарушений требований к конфиденциальности, доступности и целостности обрабатываемой информации.

9. ПОРЯДОК ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ИП С ЦЕЛЬЮ ОБНАРУЖЕНИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

9.1. Цели экспертизы ИП ИАДВ, организации, проводящие такую экспертизу, требования к экспертам и результаты экспертизы изложены в п. 3 настоящей рекомендации.

9.2. Документы, подаваемые на экспертизу, составляются в соответствии с требованиями п. 5.1.2 настоящей рекомендации и представляются как на бумажном носителе, так и в электронном виде на компакт-диске.

9.3. Порядок проведения экспертизы ИП ИАДВ включает:

- подачу заявки на экспертизу, форма которой приведена в Приложении Г и необходимой документации в ЦИИА;

- принятие решения по заявке (с учетом полноты и достаточности представленной документации) и назначение экспертов (эксперта) на проведение работы по экспертизе (отказ в проведении экспертизы возможен в случае, если представленные заявителем материалы недостаточны для проведения экспертизы);

- представление в ЦИИА ИП в электронном виде и, при необходимости, на оригинальном носителе;

- разработку программы тестирования ИП ИАДВ, форма которой приведена в Приложении Б;

- проведение проверки технической документации и тестирования ИП;

- представление материалов экспертизы (программы тестирования, протокола тестирования и ИП в электронном виде и, при необходимости, на оригинальном носителе) в ЦИИА ФГУП «ВНИИМС»;

- проведение проверки представленных в ФГУП «ВНИИМС» материалов экспертизы и выдачу ЦИИА ФГУП «ВНИИМС» экспертного заключения об отсутствии (или обнаружении) в ИП ИАДВ недекларированных возможностей.

9.4. Сведения о выдаче экспертного заключения вносятся в реестр ИП Банка данных ИАДВ, который ведет ЦИИА ФГУП «ВНИИМС».

9.5. Работы, связанные с проведением экспертизы ИП ИАДВ, а также с проверкой материалов экспертизы, оформлением и выдачей экспертных заключений, проводятся на договорной основе.

9.6. При возникновении разногласий между ЦИИА, проводящим экспертизу, ФГУП «ВНИИМС» и заказчиком экспертизы они решаются в установленном законодательством РФ порядке.

Приложение А

Форма экспертного заключения

Приложение Б

Форма титульного листа программы тестирования ИП ИАДВ

Приложение В

Форма протокола тестирования игровой программы

Приложение Г

Форма заявки на проведение экспертизы ИП ИАДВ