НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Обсуждение общих вопросов связанных с игорным бизнесом.

Модератор: Guzel

НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 18:12

Давайте все-таки попробуем разобраться с пресловутыми «недекларированными возможностями».

Вся путаница и все наши непонятки связаны с тем, что на данный момент в нашей отрасли, применительно к игровому оборудованию, используются два различных понятия недекларированных возможностей игровых программ.

В Постановлении № 603 «О лицензировании деятельности по производству … игрового оборудования» одно из лицензионных требований (п. 3 д) предполагает «использование в игровых автоматах игровых программ, не содержащих недекларированных возможностей (функциональных объектов и средств, не указанных в сопроводительной технической документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации).

Здесь подразумевается основное,  «классическое» понятие «недекларируемости», определенное в нормативном документе
РД (Руководящий Документ) «Защита от несанкционированного доступа к информации». Часть 1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».
Из Введения:  «Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей».
Не совсем, правда, понятно, каким образом это применимо к игровому ПО, хотя может быть это: «в том числе и встроенных в общесистемное и прикладное ПО»

Но вся идеология и терминология взята именно оттуда (сравн. с п. 3д Положения о лицензировании):
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
       2.1. Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
       Реализацией недекларированных возможностей, в частности, являются программные закладки.
       2.2. Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.
       2.3. Функциональный объект – элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.
Ну и так далее.

Сам документ устанавливает четыре уровня контроля отсутствия недекларированных возможностей:
      1.4. Самый высокий уровень контроля - первый, достаточен для ПО, используемого при защите информации с грифом «ОВ».
       Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC».
       Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C».
       1.5. Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

Каждый уровень характеризуется определенной минимальной совокупностью требований, которая обязательна к исполнению при исследовании ПО на отсутствие недекларируемости.
Обязательны к представлению «Тексты программ, входящих в состав ПО (ГОСТ 19.401-78)», после чего проводится:
Контроль исходного состояния ПО; статический анализ исходных текстов программ; контроль полноты и отсутствия избыточности исходных текстов; контроль соответствия исходных текстов ПО его объектному (загрузочному) коду; контроль связей функциональных объектов по управлению; контроль связей функциональных объектов по информации; контроль информационных объектов; контроль наличия заданных конструкций в исходных текстах; формирование перечня маршрутов выполнения функциональных объектов; анализ критических маршрутов выполнения функциональных объектов; анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т. п., построенных по исходным текстам контролируемого ПО; контроль выполнения функциональных объектов; сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа.

В общем, муть страшная, нудная и, надо думать, недешёвая.
Последний раз редактировалось Genka 25 фев 2007, 18:18, всего редактировалось 1 раз.
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва


Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 18:13

Второе понятие «недекларируемости» было недавно введено г-ном Шаталовым в его знаменитом письме ФНС.

Причем сначала он пишет как бы правильные, бесспорные вещи: «при производстве игровых автоматов предусмотрено наличие документа, содержащего результаты экспертизы игровых программ, используемых в игровых автоматах, с целью установления отсутствия в них недекларированных возможностей - на каждую единицу программного продукта» (хотя это – просто цитата из Положения о лицензировании производства).

А потом вдруг из этого следует совершенно ничем не подтвержденный вывод о том, что «При проверке соответствия технически заложенного среднего процента выигрыша игрового автомата следует проверять наличие документа (сертификата), подтверждающего значение технически заложенного среднего процента денежного выигрыша (не ниже девяносто процентов) и отсутствия в программном обеспечении недекларированных возможностей по изменению указанного процента выигрыша в процессе эксплуатации игрового оборудования».

На самом деле, достаточно хорошо понятно, откуда в данном несоответствии растут ноги, достаточно просто взглянуть, на соответствие чему проводились экспертизы программ тех фирм, которые уже прошли процесс лицензирования и получили лицензию на производство.

Проведение всех этих экспертиз захватила в свои руки некая «Евро-Азиатская Ассоциация производителей товаров и услуг в области безопасности» (ЕВРААС). И все проведенные ею экспертизы игровых программ были именно «На отсутствие недекларированных возможностей изменения технологически заложенного среднего процента денежного выигрыша». При этом деятели ЕВРААСа совершенно четко представляют себе, что такое на самом деле «недекларированные возможности» в их «классическом» виде, и уже провели немало экспертиз на соответствие многих программ Руководящему Документу «Защита от несанкционированного доступа к информации». Часть 1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», упомянутому в предыдущем посте.

Ну вот, например (одна из многих), Учрежденческо-производственная автоматическая телефонная станция SI2000/VEGA(M), изготовленная ЗАО «ИскраУралТЕЛ», г. Екатеринбург, была ими сертифицирована на соответствие именно этому нормативному документу, по 4-му уровню контроля, так что люди, вообще говоря, полностью в теме.
И совершенно непонятно, на соответствие чему были сертифицированы игровые программы, прошедшие у этого ЕВРААСа испытания для лицензирования производства, в каком нормативном документе определено понятие «Отсутствия недекларированных возможностей изменения технологически заложенного среднего процента денежного выигрыша» ??

И что теперь делать Роспрому с уже выданными лицензиями, ведь, по сути дела, лицензии были выданы с грубыми нарушениями следующих требований «Положения о лицензировании»:

3. Лицензионными требованиями и условиями при производстве и реализации игровых автоматов являются:
д) использование в игровых автоматах игровых программ, не содержащих недекларированных возможностей (функциональных объектов и средств, не указанных в сопроводительной технической документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации).

5. К заявлению о предоставлении лицензии ……… прилагаются копии:
г) документа, содержащего результаты экспертизы игровых программ, используемых в игровых автоматах, с целью установления отсутствия в них недекларированных возможностей – на каждую единицу программного продукта.

6. Лицензирующий орган не вправе требовать от соискателя лицензии представления документов, не предусмотренных настоящим Положением.
(А ведь потребовали, причем потребовали документ, подтверждающий совсем не то, что прописано в п. 3д.)

7. Лицензирующий орган проводит проверку полноты сведений, указанных в заявлении соискателя лицензии, и документов, прилагаемых к нему.
(А ведь не проверили, и не потребовали переделать или исправить)

13. Грубыми нарушениями лицензионных требований и условий являются неоднократные или неустранимые нарушения лицензиатом требований, предусмотренных подпунктами «в», «г» и «д» пункта 3 настоящего Положения.

И уж совершенно непонятно, как это Роспром (контора вполне официальная и государственная) принимает к лицензированию документы, выданные какой-то частной лавочкой, которая придумала какую-то свою, внутреннюю (внутри своей ассоциации) систему ДОБРОВОЛЬНОЙ сертификации, и выдает на испытанные (причем испытанные не на то, что прописано в Положении) программы не «Документ, содержащий результаты экспертизы игровых программ», а целый СЕРТИФИКАТ, со всеми вытекающими из этого последствиями – ежегодными инспекционными проверками, соответствующими денежными суммами за это и т.д. и т.п.

Некисло ребятишки из этого ЕВРААСа устроились! Ясен пень, что гораздо проще, вместо экспертного заключения по недекларируемым возможностям (а там ой-ой какие процедуры надо проводить), выдать липовую бумаженцию, Сертификат системы, которая к игровому оборудованию и отношения не имеет. Называется – «Система Добровольной Сертификации средств информационных технологий по требованиям информационной безопасности («АйТиСертифика»)». И чего нам, игровикам, эта информационная безопасность?

Причем этот Сертификат, ничего не значащий и ничего не стоящий по трудозатратам на исследование ПО, стОит у них порядка 1000 у.ё. НА КАЖДУЮ ИГРОВУЮ ПРОГРАММУ, а не на автомат в целом, как хотелось бы. Нормальный такой порядок цен, а?

И представьте себе, какие же цены они выкатили бы за документы, указанные в п.п. 3«в» и 3«г» «Положения о лицензировании производства» – испытания и контроль ИА утвержденному типу! Нынешние метрологи со своими 10 000 руб за испытания 1 программы нервно курят д-а-а-а-а-леко в сторонке!!!!!
Да и за контроль одного автомата уж наверняка никак не штуку деревом бы брали.

И кстати, эта ЕВРААС в данный момент ужом извивается, всех и вся окучивает, лишь бы оттяпать себе этот кусок, даже несмотря на то, что у метрологов Правила, по которым они работают, являются официальным ГОСУДАРСТВЕННЫМ нормативно-правовым актом, утвержденным в установленном порядке и зарегистрированным в МинЮсте, в отличие от их ДОБРОВОЛЬНОЙ, внутри их ассоциации действующей, системы сертификации.

Вот вам и вопрос, кто и с какой целью загоняет нас всех в эти непонятные рамки?
Последний раз редактировалось Genka 25 фев 2007, 18:25, всего редактировалось 1 раз.
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 18:14

Еще чуток про письмо Шаталова.

Вот тоже перец, сам-то он понял, что подписал? Или как всегда, не глядя подмахнул?
Ну ладно, по порядку.

Первое. Вот он пишет: «При проверке соответствия технически заложенного среднего процента выигрыша игрового автомата следует проверять ………»Â 
То есть уже как бы всё, идем и проверяем. А разве у ФНС где-то в их инструкциях или там Положениях, прописано, что они имеют полномочия по контролю игрового оборудования?

Второе. Ну ладно, примут по-бырому какой-никакой документ, и поскакают проверять. А чего проверять-то будут? Опять же Шаталов пишет: «При проверке соответствия технически заложенного среднего процента выигрыша игрового автомата следует проверять наличие документа (сертификата), подтверждающего значение технически заложенного среднего процента денежного выигрыша (не ниже девяносто процентов) и отсутствия в программном обеспечении недекларированных возможностей по изменению указанного процента выигрыша в процессе эксплуатации игрового оборудования»
Это что ж за документ такой должен быть? Ведь не говорят, что «копия документа (сертификата)», а именно «документ» в чистом виде должен быть. Это что, мне теперь оригинал «Сертификата утверждения типа» каждого автомата у себя иметь надо?

Тут мне на днях шепнули, что метрологи скоро будут по новым каким-то Актам контроля работать, с указанием прямо в акте игрушки и процента. Было бы классно! Так ведь, если формально на письмо смотреть, не прокатят такие акты для проверяющих налоговиков, им согласно письму СЕРТИФИКАТ надо. Или круглые скобки, в которых заключено слово «сертификат», накладывают на него печать необязательности?
А какой документ подтверждает «отсутствие в программном обеспечении недекларированных возможностей по изменению процента выигрыша»? Тот самый Сертификат ЕВРААСа? Так он пока что еще только на несколько новых игрушек 2х – 3х производителей есть, да и где мне, опять же, ОРИГИНАЛ его взять (да пусть даже и копию)?

Третье. Меня вообще убивает эта фраза «наличие документа (сертификата)»!!! Особенно – сертификата!!!
Уже сейчас менты конкретно достают с требованиями о наличии у владельца ЗИА копий (слава богу, что не оригиналов) Сертификата утверждения типа ИА, причем требуют каких-то «живых» печатей, заверяющих, якобы, «чистоту» происхождения автомата. Чушь дебильная, блин! Метрологи уже тысячу писем раздали, всем желающим, что ЕДИНСТВЕННЫМ документом, подтверждающим соответствие игрового оборудования утвержденному типу является метрологический АКТ КОНТРОЛЯ ИА, и вс-ё-ё-ё-ё-ё-ё!!!!!
А теперь еще и налоговики будут требовать наличие СЕРТИФИКАТА!!!  Сертификата на что, кто б еще объяснил?!!!

Причем, как пишет Шаталов, «Копии документов (сертификатов) и указанное в них игровое оборудование маркируются специальными защитными знаками (знаками соответствия) организацией, выдавшей данные документы».
Так все-таки «наличие документа (сертификата)» они будут проверять, или достаточно только «Копии документов (сертификатов)»?
Опять же, что, КОПИИ документов будут маркироваться специальными защитными знаками (знаками соответствия)? Это где ж это такая процедура прописана?
И кто это будет делать? «Организация, выдавшая данные документы»? Организация, выдавшая КОПИИ данных документов?

В общем, полный капец, жить дальше с такими документами просто невозможно !!!!! Хоть бы метрологи чего-нибудь подсказали, письмецо что-ли какое-нибудь накропали ……

Ладно, у кого какие мыслишки будут?
Последний раз редактировалось Genka 25 фев 2007, 18:29, всего редактировалось 1 раз.
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Humorist » 25 фев 2007, 18:36

Что за "письмо Шаталова"?
Юрист сказал - как надо, а вы - делайте, как хотите!
Humorist
Гуру
Гуру
 
Сообщений: 2316
Зарегистрирован: 27 фев 2004, 11:22

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 18:39

Как, однако, всё запущено!!!

http://www1.minfin.ru/chance/pismo05030301ot160107.htm
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Humorist » 25 фев 2007, 18:48

Н-н-нуизвини ::)
Только неясно, чего хочешь, сочувствия, что нет документа, которого нет ни у кого (правила проведения испытаний не переутверждены)?
Все наши аргументы сейчас не катят. По этому письму уже налоговики в регионах актируют "отсутствие документа".
Никакого нормативного материала, регулирующего статус "Сертификата-90", нет, поэтому дискутировать просто непродуктивно. Разве что обсуждать кто какую лапшу вешал проверяющим :-X
Юрист сказал - как надо, а вы - делайте, как хотите!
Humorist
Гуру
Гуру
 
Сообщений: 2316
Зарегистрирован: 27 фев 2004, 11:22

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 18:56

Изменения в ПР 50.2.023-2000  "ПРАВИЛА ПРОВЕДЕНИЯ ИСПЫТАНИЙ ИГРОВЫХ АВТОМАТОВ С ДЕНЕЖНЫМ ВЫИГРЫШЕМ С ЦЕЛЬЮ УТВЕРЖДЕНИЯ ТИПА И КОНТРОЛЯ ЗА ИХ СООТВЕТСТВИЕМ УТВЕРЖДЕННОМУ ТИПУ" (если вы о них) утверждены Госстандартом 15-го февраля 2007 г.  Ждут регистрации в МинЮсте.

Я вообще-то считал, что не только об этом спрашивал, а захватил достаточно широкий круг вопросов, по которым можно не без пользы пообщаться.
Последний раз редактировалось Genka 25 фев 2007, 18:59, всего редактировалось 1 раз.
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Humorist » 25 фев 2007, 19:01

Я о них. Спасибо :)
Но пока в силу не вступили, насколько понимаю ;)
К сожалению, для предметного анализа нужен их текст - можете переслать:
ssd77@mail.ru ?
Юрист сказал - как надо, а вы - делайте, как хотите!
Humorist
Гуру
Гуру
 
Сообщений: 2316
Зарегистрирован: 27 фев 2004, 11:22

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Genka » 25 фев 2007, 19:03

Пока есть только инфа о принятии изменений. 
Genka
 
Сообщений: 171
Зарегистрирован: 25 фев 2007, 17:59
Откуда: Москва

Re: НЕДЕКЛАРИРОВАННЫЕ ВОЗМОЖНОСТИ !!!!!!!

Сообщение Guzel » 25 фев 2007, 23:37

Genka,не нагоняй тоски. Примут документ, тады поговорим. А на письмо Шаталова плюнь,  он (Шаталов) уже сам забыл какую пургу он подписал, если он ваще  ее читал-то, а ты будешь грузить нас ею. Мало нам мусоров! Достали уже этим письмом. Млин, что за жизнь! Им больше уже с начала миллениума делать нечего стало, только что мониторить сайты наши и законодательство. :-\
Аватар пользователя
Guzel
Гуру
Гуру
 
Сообщений: 10878
Зарегистрирован: 18 ноя 2004, 01:42
Откуда: как и все: из детства

След.

Вернуться в Общее

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 177

cron