Расследование преступлений в сфере компьютерной информации
предварительного следствия: именуют следственными действиями? В зависимости
от задач: которые решаются при производстве этих действий: их обычно
принято подразделять на две относительно самостоятельные группы:
1? Следственные действия исследовательского характера: посредством
которых орган дознания: следователь или прокурор решают задачи: связанные с
выявлением: закреплением и исследованием доказательств в предварительном
(досудебном( порядке?
2? Иные следственные действия: направленные прежде всего на
обеспечение прав участвующих в деле лиц (ознакомление обвиняемого с
постановлением о его привлечении в качестве обвиняемого: разъяснение и
обеспечение ему соответствующих прав: ознакомление с соответствующими
постановлениями потерпевшего: гражданского истца или гражданского
ответчика: разъяснение и обеспечение этим лицам их прав и т?п?(?
В настоящей главе речь идет о следственных действиях первой группы?
Следственными действиями: посредством которых выявляют: закрепляют и
исследуют доказательства: являются %
допрос (свидетеля: потерпевшего: обвиняемого и подозреваемого: а в
некоторых случаях также эксперта(*
2. очная ставка*
3. предъявление для опознания*
4. обыск*
5. выемка*
6. осмотр*
7. освидетельствование*
8. следственный эксперимент*
9. производство экспертизы?
[6]
3 Следственные действия по делам рассматриваемой категории
1 Допрос свидетеля и потерпевшего
Допрос свидетеля и потерпевшего - пожалуй: одно из наиболее
распространенных следственных действий? Он является способом получения:
закрепления и проверки такого вида доказательств: как показания названных
лиц? По внешности допрос имеет определенное сходство с опросом: получением
объяснений и интервью? Однако он существенно отличается от них своей
правовой природой и прежде всего установленным для него законом
процессуальным порядком? Если опросы и подобные им способы получения
информации обычно не нуждаются в особых формальностях и правовых гарантиях:
то допрос строится таким образом: чтобы порядок его производства по
возможности позволял получать в максимальной степени заслуживающие доверия
значимые для дела фактические данные и в то же время надежно гарантировал
права человека и гражданина: оберегал честь и достоинство допрашиваемого?
Важнейшим условием ценности показаний любого лица является его
правдивость: которая обеспечивается прежде всего добровольностью и
моральным долгом дающего показания говорить правду и только правду?
Добровольность дачи показаний обеспечивается нашим законодательством (ч?3
ст? 20 УПК и ст? 179 УК(: запрещающим под страхом уголовной ответственности
домогаться показаний путем насилия: угроз и других незаконных мер?
Обеспечивается она и моральным долгом граждан не лгать и оказывать
содействию правосудию?
Сам допрос производится по общим правилам: выработанным
практикой и закрепленным в действующем законодательстве для данного
следственного действия? [6]
Допрос свидетелей: потерпевших и подозреваемых необходимо начинать со
свободного рассказа о всем: что им известно по делу? Выслушав свободный
рассказ: следователь может задать вопросы (ст?ст? 158:161 УПК(?
Допрос обвиняемого надо начинать с вопроса - признает ли он себя
виновным? Затем обвиняемому предлагается дать показания по существу
обвинения?[22]
При расследовании неправомерного доступа к компьютерной информации
путем допросов разработчиков и пользователей компьютерной системы можно
установить: предусмотрены ли в данной компьютерной системе меры защиты от
несанкционированного доступа к определенным файлам? Допросами лиц:
обслуживающих компьютерную систему: можно установить: кто запускал
нештатную программу: было ли это зафиксировано каким-либо способом? Следует
также выяснить: кто увлекается программированием: учится или учился на
компьютерных курсах??
Когда производится расследование создания: использования и
распространения вредоносных программ для ЭВМ то (при допросе свидетелей из
числа представителей потерпевшей стороны следует выяснить: какая информация
подвергалась неправомерному воздействию: ее назначение и содержание* как
осуществляется доступ к ресурсам ЭВМ: системы ЭВМ или их сети: кодам:
паролям и другой компьютерной информации* как организована противовирусная
защита* каким образом ведется учет пользователей компьютерной системы?([9]?
При расследовании нарушения правил эксплуатации ЭВМ: системы ЭВМ или
их сети: а точнее для установления конкретного правила эксплуатации ЭВМ:
нарушение которого привело к вредным последствиям: следователю
целесообразно допросить всех лиц: работавших на ЭВМ и обслуживавших
компьютерное оборудование в соответствующий период времени? В необходимых
случаях к участию в допросе привлекается специалист? Допрашиваемому могут
быть поставлены примерно следующие вопросы %
- Каковы Ваши обязанности при работе с ЭВМ (либо оборудованием к ней(:
какими правилами они установлены;
- Какую конкретно работу на ЭВМ и в каком порядке Вы выполняли: когда
произошло уничтожение: блокирование: изменение компьютерной информации или
наступили иные вредные последствия;
- Какие неполадки в компьютерной системе Вы обнаружили при работе на
ЭВМ: не было ли при этом каких-либо сбоев: чреватых причинением
существенного вреда компьютерной информации;
- Какие правила работы с компьютером нарушены в данной ситуации;
- Каким образом должны фиксироваться факты уничтожения: блокирования
или модификации компьютерной информации в случае нарушения определенных
правил эксплуатации ЭВМ;
- Связаны ли уничтожение: блокирование: модификация информации с
нарушением правил эксплуатации ЭВМ либо они явились следствием
непредвиденных обстоятельств: если связаны: то с нарушением каких правил;
Кроме того: могут быть допрошены в качестве свидетелей администратор
сети и специалисты: обслуживающие файловый сервер: в котором произошло
уничтожение: блокирование или модификация компьютерной информации?
Им могут быть заданы примерно следующие вопросы:
На какой рабочей станции могли быть нарушены правила эксплуатации
компьютерной сети: где она расположена;
Могли ли быть нарушены правила эксплуатации данной локальной
вычислительной сети на рабочей станции: расположенной там-то; [9]
2 Следственный осмотр
Следственный осмотр есть следственное действие: состоящее в
непосредственном восприятии и изучении следователем любых объектов в целях
исследования обстоятельств деяния: обнаружения: фиксации и изъятия
предметов: документов: веществ и следов: которые имеют или могут иметь
значение для раскрытия преступления и расследования уголовного дела?
Уголовно-процессуальный закон: являющийся: как известно: правовой
основой следственной практики: в качестве главных процессуально (а:
следовательно: и криминалистически( значимых целей этого следственного
действия: относящихся к любому его виду: называет следующее: обнаружение
следов преступления и других вещественных доказательств: выяснение
обстановки происшествия* выяснение иных обстоятельств: имеющих для дела
(ст? 178 УПК(?[23]
В зависимости от обследуемых объектов существует множество
разновидностей осмотра?
Все виды осмотра вправе производить орган дознания: следователь и
прокурор? Осмотр местности или помещения в некоторых случаях производит
также суд (ст? 293 УПК(? При осмотре местности или помещения судом участие
понятых не требуется? Во всех остальных случаях осмотр производится в
присутствии понятых? Для участия в осмотре могут привлекаться обвиняемый:
подозреваемый: защитники этих лиц: потерпевший: а также свидетель? В
необходимых случаях для участия в осмотре могут привлекаться
соответствующие специалисты?
Перед началом осмотра всем приглашенным для участия в нем лицам: в том
числе понятым разъясняют их права и обязанности: а специалист
предупреждается об ответственности за отказ или уклонение от выполнения
своих обязанностей: о чем отмечается в протоколе осмотра и удостоверяется
подписью специалиста?
Осмотр условно принято делить на статическую и динамическую стадии? В
ходе первой стадии объект обследуется в том виде: в каком он был обнаружен
в начале осмотра: а во второй - производится более детальное изучение
осматриваемого объекта: в ходе которого отдельные предметы могут
перемещаться?
Участвующие в осмотре лица могут обращать внимание того: кто
производит данное следственное действие: на необходимость отражения в
протоколе тех или иных обстоятельств: имеющих значение? Специалист помогает
в обнаружении и закреплении доказательств: а также дает пояснения по поводу
отдельных обстоятельств: связанных с их обнаружением?
В ходе осмотра могут производиться соответствующие измерения: фото-:
кино- или видео-съемка: могут составляться планы: схемы: изготовляться
слепки и оттиски следов? ?
Осмотр предметов и документов: обнаруженных при выемке или обыске:
осмотре места происшествия: местности и помещения: может производиться в
зависимости от конкретных условий на месте производства соответствующего
следственного действия либо после их изъятия отдельно: в ходе
самостоятельного их затем осмотра? В первом случае результаты их осмотра
отражаются в общем протоколе соответствующего следственного действия? Во
втором случае изъятые предметы и документы должны быть упакованы и
опечатаны: а затем подробно описаны в протоколе их последующего
самостоятельного осмотра (ч? 4 ст? 179 УПК(? [6]
При расследовании неправомерного доступа к компьютерной информации при
следственном осмотре компьютера и его компонентов устанавливается
причастность конкретного лица к несанкционированному доступу к компьютерной
информации могут способствовать различные материально-фиксированные
отображения? Это: например: следы пальцев рук: отдельные записи на внешней
упаковке дискет: дисков? Для их исследования назначаются криминалистические
экспертизы — дактилоскопическая: почерковедческая: технико-
криминалистическая? При осмотре изьятого при обыске целесообразно
привлекать специалиста: который может: например: прочесть информацию:
содержащуюся на машинных носителях: либо в памяти изъятого компьютера?
При расследовании нарушения правил эксплуатации ЭВМ: системы ЭВМ или
их сети (конкретное место нарушения правил эксплуатации ЭВМ можно
установить при осмотре автоматизированных рабочих мест (АРМ( пользователя
компьютерной системы или сети? Осмотру подлежат все подключенные к ним
компьютеры? Осмотр проводится обычно с участием специалиста: помогающего
установить местонахождение компьютера: работа с которым привела к вредным
последствиям в результате преступного нарушения правил его эксплуатации(
[9]
3 Обыск и выемка
Особо повышенные требования к гарантиям прав человека: охраны чести и
достоинства личности предъявляются при производстве таких следственных
действий: которые могут привести к ограничению конституционных прав и
свобод? Прежде всего это относится к обыску и выемке: наложению ареста на
имущество? В определенной мере они предъявляются также к некоторым
разновидностям осмотра (например: осмотру жилых помещений и т?п?(:
освидетельствованию: следственному эксперименту: отдельным видам экспертиз
(помещение обвиняемого или подозреваемого в медицинское учреждение и др?(?
Обыском является следственное действие: посредством которого
отыскивают и при необходимости изымают объекты (орудия преступления:
добытые преступным путем предметы и ценности и т?п?(: могущие иметь
значения для дела? Целью обыска может быть обнаружение разыскиваемых лиц: а
также трупов? Для производства обыска требуется достаточно обоснованное
предположение: что в каком-либо помещении: ином месте или у кого-либо
скрываются объекты: могущие иметь значение для дела?
Выемка отличается от обыска тем: что для ее производства должно быть
точно известно: где и у кого подлежащие изъятию объекты находятся (ст? 167
УПК(?
Решение о производстве обыска и выемки оформляется в виде
мотивированного постановления (ст?ст? 167 - 168 УПК(: которое: как правило
(ч? 2 ст? 167 и ч? 3 ст? 168 УПК(: требует санкции прокурора? Разрешение на
производство обыска: связанного с проникновением в жилище против воли
проживающих в нем лиц: может быть получено и у суда (ст? 25 Конституции
РФ(?
Вместе с тем: при некоторых разновидностях обыска допускаются и более
простые решения? В случаях: не терпящих отлагательства: обыск может быть
произведен без санкции прокурора: но с последующим сообщением прокурору в
суточный срок (ч? 3 ст? 168 УПК(? Личный обыск без вынесения о том
отдельного постановления и без санкции прокурора допускается:
а( при задержании или заключении лица под стражу* и
б( при наличии достаточных оснований полагать что лицо: находящееся в
помещении или ином месте: в котором производится выемка или обыск: скрывает
при себе предметы и документы: могущие иметь значение для дела (ст? 172
УПК(?
При этом личный обыск должен производиться только лицом одного пола с
обыскиваемым и в присутствии понятых того же пола?
Порядок производства обыска и выемки детально регламентирован законом
(ст? 170 УПК(? Производство этих действий не допускается в ночное время:
кроме случаев: не терпящих отлагательства? Приступая к совершению этих
действий: полномочное производить их должностное лицо (следователь: лицо:
производящее дознание или прокурор( обязано предъявить постановление об
этом? При осуществлении данных действий требуется присутствие понятых? В
необходимых случаях приглашаются и соответствующие специалисты? [6]
При расследовании неправомерного доступа к компьютерной информации у
лиц: заподозренных в неправомерном доступе к компьютерной информации: при
наличии достаточных оснований производится обыск: при котором могут быть
обнаружены: компьютеры разных конфигураций: принтеры: средства
телекоммуникационной связи с компьютерными сетями: записные книжки с
уличающими записями: в том числе электронные: дискеты: диски: магнитные
ленты: содержащие сведения: могущие иметь значение для дела: в том числе
коды: пароли: идентификационные номера пользователей конкретной
компьютерной системы: а также данные о ее пользователях? В ходе обыска
следует обращать внимание на литературу: методические материалы по
компьютерной технике и программированию?
К производству обыска и последующего осмотра изъятого при обыске
целесообразно привлекать специалиста: который может: например: прочесть
информацию: содержащуюся на машинных носителях либо в памяти изъятого
компьютера? [9]
При расследовании создания: использования и распространения
вредоносных программ для ЭВМ (установлению факта создания вредоносной
программы способствует выявление фактов ее использования и распространения
и особенно получение данных: позволяющих заподозрить то или иное лицо в
соответствующей деятельности? Этому может способствовать своевременно и
тщательно произведенный обыск по месту работы и месту жительства
подозреваемого: а также в местах: где он мог иметь доступ к компьютерной
системе? К участию в обыске целесообразно привлечь специалиста-
программиста: стремясь обнаружить все: что может иметь отношение к созданию
вредоносной программы?( [9]
4 Назначение и производство экспертизы
Судебная экспертиза - это процессуальное действие: проводимое в целях
получения заключения по вопросам: имеющим доказательственное значение по
делу? Лицо: обладающее специальными полномочиями и назначенное в
соответствии с постановлением следователя для дачи такого заключения:
именуется экспертом?
Судебные экспертизы выполняются в специализированных экспертных
учреждениях: относящихся к системе министерства юстиции: внутренних дел:
здравоохранения: обороны: службы контрразведки Российской Федерации?[24]
Назначение любого вида экспертизы оформляется постановлением
следователя? В нем обязательно должны содержаться: мотивировка
необходимости этого следственного действия: сведения об эксперте или
экспертном учреждении: вопросы: на которые должен дать эксперт: а также
описание материалов: предоставляемых для исследования (ст? 184 УПК(?
С постановлением обязательно знакомят обвиняемого: которому даны
достаточно широкие права: заявить отвод эксперту: просить о назначении
эксперта из числа указанных им лиц: представить дополнительные вопросы
эксперту для получения по ним заключения: присутствовать с разрешения
следователя при производстве экспертизы и давать объяснения эксперту:
знакомиться с его заключением до окончания расследования? При отказе в
удовлетворении ходатайства обвиняемого должно быть вынесено мотивированное
постановление? Если же оно удовлетворяется: то должно быть составлено новое
постановление о назначении экспертизы? [6]
По делам данной категории (расследование неправомерного доступа к
компьютерной информации( путем производства информационно-технической
судебной экспертизы может быть установлен способ несанкционированного
доступа? Перед экспертом следует поставить вопрос % (Каким способом мог
быть совершен несанкционированный доступ в данную компьютерную систему;(?
Целесообразно представить эксперту всю проектную документацию на
исследуемую систему (если таковая имеется(: а также имеющиеся данные о ее
сертификации?
При производстве такой экспертизы рекомендуется использовать
компьютерное оборудование той же системы: в которую проник преступник: либо
специальные технические и программные средства? [9]
По делам рассматриваемой категории (расследовании нарушения правил
эксплуатации ЭВМ: системы ЭВМ или их сети( по результатам информационно-
технической судебной экспертизы может быть установлено место нарушения
правил? Перед экспертами могут быть поставлены вопросы:
1? На какой рабочей станции локальной вычислительной сети могли быть
нарушены правила ее эксплуатации: в результате чего наступили вредные
последствия;
2? Могли ли быть нарушены правила эксплуатации сети на рабочей
станции: расположенной там-то;
5 Следственный эксперимент
Следственный эксперимент представляет собой познавательный прием:
посредством которого путем воспроизведения действий: обстановки или иных
обстоятельств определенного события или явления и совершения необходимых
опытных действий: в контролируемых и управляемых условиях исследуются эти
события или явления? Такой прием с давних пор применяют и при исследовании
каких-либо обстоятельств преступного события в ходе расследования: а также
судебного разбирательства уголовных дел?
Действующим УПК для производства следственного эксперимента
предусмотрены специальные правила (ст? 183( Его вправе производить
следователь или прокурор: а также орган дознания по делам о преступлениях:
по которым предварительное следствие не обязательно? Известны случаи: когда
интересные и убедительные эксперименты подобного рода проводились и в суде?
Если эксперимент проводится в ходе предварительного следствия или
дознания: то для этого приглашаются понятые? При необходимости могут
приглашаться соответствующие специалисты?
Суть самого следственного эксперимента: как сказано в законе (ст?183
УПК(: заключается в воспроизведении действий: обстановки или иных
обстоятельств определенного события и совершения необходимых опытных
действий в целях проверки и уточнения данных: имеющих значение для дела?
Посредством такого рода действий обычно проверяют возможность видеть:
слышать определенные: значимые для дела обстоятельства в тех или иных
условиях: возможность совершения определенных действий и получения
определенных результатов при наличии конкретных условий и т?п?
При производстве следственного эксперимента в необходимых случаях
могут участвовать обвиняемый или подозреваемый: защитники этих лиц: а также
потерпевший и свидетель?
Производство следственного эксперимента допускается при условии: если
при этом не унижается достоинство и честь участвующих в нем лиц и
окружающих и не создается опасности для их здоровья?
Ход и результаты производства следственного эксперимента описываются в
протоколе с соблюдением требований статей 141 и 142 УПК? Если при
производстве следственного эксперимента производились какие-либо измерения
или применялись технические средства: то все это должно найти отражение в
протоколе? [6]
Следственный эксперимент по делам данной категории (преступления в
сфере компьютерной информации( производится (с целью проверки возможности
преодоления средств защиты компьютерной системы одним из предполагаемых
способов? Его целью может стать и проверка возможности появления на экране
дисплея закрытой информации или ее распечатка вследствие ошибочных:
неумышленных действий оператора или в результате случайного технического
сбоя в компьютерном оборудовании(:
Для установления возможности создания вредоносной программы
определенным лицом: сознавшимся в этом: проводится следственный эксперимент
с использованием соответствующих средств компьютерной техники
(расследование создания: использования и распространения вредоносных
программ для ЭВМ(?
При проведении следственного эксперимента выясняется возможность
наступления вредных последствий при нарушении определенных правил? Он
проводится с использованием копий исследуемой информации и по возможности
на той же ЭВМ: при работе на которой нарушены правила (расследование
нарушения правил эксплуатации ЭВМ: системы ЭВМ или их сети(?
6 Допрос обвиняемого и подозреваемого
Закон (ст? 150 УПК( предписывает приступить к допросу обвиняемого
сразу же после предъявления обвинения и разъяснения его прав? Допрос
собственно и является прежде всего способом обеспечения одного из важнейших
прав обвиняемого - давать объяснения по предъявленному обвинению в
интересах собственной защиты (ст? 46 УПК(? Он в меньшей мере необходим и
следователю: для которого служит способом получения доказательства -
показаний обвиняемого и тем самым одним из важных способов проверки
правильности сформулированной по делу версии обвинения? Допрос обвиняемого
является также одним из средств: с помощью которого его изобличают в
совершении преступления?
Следует: однако: иметь в виду: что дача показаний для обвиняемого -
это его право: а не обязанность? Поэтому обвиняемого: в отличие от
свидетеля и потерпевшего: нельзя перед допросом: а также в ходе допроса
предупреждать об уголовной или какой-либо иной (например: административной
и т?п?( ответственности за отказ от дачи показаний: равно как и за дачу
ложных показаний?
По смыслу ст? 51 Конституции РФ обвиняемый и подозреваемый вообще
вправе отказаться от дачи показаний и не отвечать ни на какие вопросы либо
отвечать на них сугубо добровольно? Потому при возникновении у суда
сомнений относительно добровольности данных этими лицами показаний в ходе
предварительного следствия или дознания обязанность доказывания: что
показания действительно были даны добровольно: следовало бы возлагать на
органы уголовного преследования: получившие такие показания?
О каждом допросе обвиняемого составляется протокол с соблюдением
требований: предусмотренных ст? ст? 141: 142 и 151 УПК? После дачи
обвиняемым показаний: в случае его просьбы: ему предоставляется возможность
изложить свои показания собственноручно (ст? 152 УПК) [6]
Обычно по уголовным делам рассматриваемой категории (расследование
создания: использования и распространения вредоносных программ для ЭВМ( при
допросе обвиняемого необходимо выяснить обстоятельства подготовки и
совершения преступления: алгоритм функционирования вредоносной программы: а
также на какую информацию и как она воздействует?
По делам данной категории при допросе подозреваемого требуется
установить уровень его профессиональной подготовленности как программиста:
опыт его работы по созданию программы конкретного класса на данном языке
программирования: знание им алгоритмов работы про грамм: подвергшихся
неправомерному воздействию?
Также необходимо выяснить (допрос подозреваемого(% (места его
жительства: работы или учебы: профессию: взаимоотношения с сослуживцами:
семейное положение: образ жизни: сферу интересов: привычки: наклонности:
круг знакомых: навыки в программировании: ремонте и эксплуатации средств
вычислительной техники: какими средствами вычислительной техники: машинными
носителями: аппаратурой и приспособлениями он располагал: где: на какие
средства их приобрел и где хранил?( [6]
РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ?
1 Расследование неправомерного доступа к компьютерной информации
Согласно ст? 272 УК ответственность за деяние наступает при условии:
если неправомерный доступ к компьютерной информации повлек за собой хотя бы
одно из следующих негативных последствий: уничтожение: блокирование:
модификацию либо копирование информации: нарушение работы ЭВМ: системы ЭВМ
или их сети?
1 Общая схема расследования неправомерного доступа к компьютерной
информации?
В ходе расследования основные следственные задачи целесообразно решать
в такой последовательности:
1? Установление факта неправомерного доступа к информации в
компьютерной системе или сети?
2? Установление места несанкционированного проникновения в
компьютерную систему или сеть?
3? Установление времени совершения преступления?
4? Установление надежности средств защиты компьютерной информации?
5? Установление способа несанкционированного доступа?
6? Установление лиц: совершивших неправомерный доступ: их виновности и
мотивов преступления?
7? Установление вредных последствий преступления?
8? Выявление обстоятельств: способствовавших преступлению?
Установление факта неправомерного доступа к информации в компьютерной
системе или сети? Такой факт : как правило: первыми обнаруживают
пользователи автоматизированной информационной системы: ставшие жертвой
данного правонарушения?
Факты неправомерного доступа к компьютерной информации иногда
устанавливаются в результате оперативно-розыскной деятельности органов
внутренних дел: ФСБ: налоговой полиции? Установить их можно в ходе
прокурорских проверок: при проведении ревизий: судебных экспертиз:
следственных действий по уголовным делам? Рекомендуется в необходимых
случаях при рассмотрении материалов: связанных с обработкой информации в
компьютерной системе или сети: установление фактов неправомерного доступа к
ним поручать ревизорам и оперативно-розыскным аппаратам?'
На признаки несанкционированного доступа или подготовки к нему могут
указывать следующие обстоятельства:
появление в компьютере фальшивых данных*
необновление в течение длительного времени в автоматизированной
информационной системе кодов: паролей и других защитных средств*
частые сбои в процессе работы компьютеров*
участившиеся жалобы клиентов компьютерной системы Или сети*
осуществление сверхурочных работ без видимых на то причин*
немотивированные отказы некоторых сотрудников: обслуживающих
компьютерные системы или сети: от отпусков*
неожиданное приобретение сотрудником домашнего дорогостоящего
компьютера*
чистые дискеты либо диски: принесенные на работу сотрудниками
компьютерной системы под сомнительным предлогом перезаписи программ для
компьютерных игр*
участившиеся случаи перезаписи отдельных данных без серьезных на то
причин*
чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток
(листингов(: выходящих из принтеров?
Особо следует выделить признаки неправомерного доступа: относящиеся к
отступлению от установленного порядка работы с документами: а именно:
а( нарушение установленных правил оформления документов: в том числе
изготовления машинограмм*
6( повторный ввод одной и той же информации в ЭВМ*
в( наличие в пачке лишних документов: подготовленных для обработки на
компьютере*
г( отсутствие документов: послуживших основанием для записи во
вторичной документации*
д( преднамеренная утрата: уничтожение первичных документов и машинных
носителей информации: внесение искажений в данные их регистрации?
Для фактов неправомерного доступа к компьютерной информации характерны
также следующие признаки: относящиеся к внесению ложных сведений в
документы:
а( противоречия (логические или арифметические( между реквизитами того
или иного бухгалтерского документа*
б( несоответствие данных: содержащихся в первичных документах: данным
машинограмм*
в( противоречия между одноименными бухгалтерскими документами:
относящимися к разным периодам времени*
г( несоответствие учетных данных взаимосвязанных показателей в
различных машинограммах*
д( несоответствие между данными бухгалтерского и другого вида учета?
Следует иметь в виду: что указанные признаки могут быть следствием не
только злоупотребления: но и других причин: в частности случайных ошибок и
сбоев компьютерной техники?
Установление места несанкционированного доступа в компьютерную систему
или сеть? Решение данной задачи вызывает определенные трудности: так как
таких мест может быть несколько?
Чаше обнаруживается место неправомерного доступа к компьютерной
информации с целью хищения денежных средств?
При обнаружении факта неправомерного доступа к информации в
компьютерной системе или сети следует выявить все места: где расположены
компьютеры: имеющие единую телекоммуникационную связь?
Проще рассматриваемая задача решается в случае несанкционированного
доступа к отдельному компьютеру: находящемуся в одном помещении? Однако при
этом необходимо учитывать: что информация на машинных носителях может
находиться в другом помещении: которое тоже надо устанавливать?
Труднее определить место непосредственного применения технических
средств удаленного несанкционированного доступа (не входящих в данную
компьютерную систему или сеть(? К установлению такого места необходимо
привлекать специалистов?
Установлению подлежит и место хранения информации на машинных
носителях либо в виде распечаток: добытых в результате неправомерного
доступа к компьютерной системе или сети?
Установление времени несанкционированного доступа? С помощью программ
общесистемного назначения в работающем компьютере обычно устанавливается
текущее время: что позволяет по соответствующей команде вывести на экран
дисплея информацию о дне недели: выполнения той или иной операции: часе и
минуте? Если эти данные введены: то при входе в систему или сеть (в том
числе и несанкционированном( время работы на компьютере любого пользователя
и время конкретной операции автоматически фиксируются в его оперативной
памяти и отражаются: как правило: в выходных данных (на дисплее: листинге
или на дискете(?
С учетом этого время несанкционированного доступа можно установить
путем следственного осмотра компьютера либо распечаток или дискет? Его
целесообразно производить с участием специалиста: так как неопытный
следователь может случайно уничтожить информацию: находящуюся в оперативной
памяти компьютера или на дискете?
Время неправомерного доступа к компьютерной информации можно
установить также путем допроса свидетелей из числа сотрудников данной
компьютерной системы: выясняя у них: в какое время каждый из них работал на
компьютере: если оно не было зафиксировано автоматически? [9]
Установление способа несанкционированного доступа? В ходе установления
способа несанкционированного доступа к компьютерной информации следствие
может вестись по трем не взаимоисключающим друг друга вариантам:
Допросом свидетелей из числа лиц: обслуживающих компьютер:
компьютерную систему или сеть (системный администратор: операторы(:
разработчиков системы и: как правило: поставщиков технического и
программного обеспечения? В данном случае необходимо выяснить: каким
образом преступник мог преодолеть средства защиты данной системы: в
частности: узнать идентификационный номер законного пользователя* код*
пароль для доступа к ней* получить сведения о других средствах защиты?
Производством судебной информационно-технической экспертизы? В ходе
экспертизы выясняются возможные способы проникнуть в систему при той
технической и программной конфигурации системы в которую проник преступник:
с учетом возможного использования последним специальных технических и
программных средств? При производстве судебной: информационно-технической
экспертизы целесообразно поставить эксперту следующий вопрос: (Каким
способом мог быть совершен несанкционированный доступ в данную компьютерную
систему (
Проведением следственного эксперимента: в ходе которого проверяется
возможность несанкционированного доступа к информации одним из
предполагаемых способов?
Установление надежности средств защиты компьютерной информации? Прежде
всего необходимо установить: предусмотрены ли в данной компьютерной системе
меры защиты от несанкционированного доступа к определенным файлам? Это
можно выяснить путем допросов ее разработчиков и пользователей: а также
изучением проектной документации: соответствующих инструкций по
эксплуатации данной системы? При ознакомлении с инструкциями особое
внимание должно уделяться разделам о мерах защиты информации: порядке
допуска пользователей к определенным данным: разграничении их полномочий:
организации контроля за доступом: конкретных методах защиты информации
(аппаратных: программных: криптографических: организационных и других(?
Надо иметь в виду: что в целях обеспечения высокой степени надежности
информационных систем: в которых обрабатывается документированная
информация с ограниченным доступом: осуществляется комплекс мер:
направленных на их безопасность?
В частности: законодательством предусмотрены обязательная сертификация
средств защиты этих систем и обязательное лицензирование всех видов
деятельности в области проектирования и производства таких средств?
Разработчики: как правило: гарантируют надежность своих средств при
условии: если будут соблюдены установленные требования к ним? Поэтому в
процессе расследования требуется установить: во-первых: имеется ли лицензия
на производство средств защиты информации от несанкционированного доступа:
используемых в данной компьютерной системе: и: во-вторых: соответствуют ли
их параметры выданному сертификату? Для проверки такого соответствия может
быть назначена информационно-техническая экспертиза с целью решения вопроса
% «Соответствуют ли средства защиты информации от несанкционированного
допуска: используемые в данной компьютерной системе: выданному
сертификату;»
Вина за выявленные при этом отклонения: ставшие причиной
несанкционированного доступа к компьютерной информации: возлагается на
пользователя системы: а не на разработчика средств защиты?
Установление лиц: совершивших неправомерный доступ к компьютерной
информации?
Опубликованные в прессе результаты исследований: проведенных
специалистами: позволяют составить примерный социологический портрет
современного хакера? Возраст правонарушителей колеблется в широких границах
—от 15 до 45 лет: причем на момент совершения преступления у трети возраст
не превышал 20 лет? Свыше 80( преступников в компьютерной сфере — мужчины:
абсолютное большинство которых имело высшее и среднее специальное
образование? При этом у более 50( преступников была специальная подготовка
в области автоматизированной обработки информации: а 30( — были
непосредственно связаны с эксплуатацией ЭВМ и разработкой программного
обеспечения к ней? Однако: согласно статистики: профессиональными
программистами из каждой тысячи компьютерных преступлений совершено только
семь? 38( отечественных хакеров действовали без соучастников: 62( — в
составе преступных групп По оценкам специалистов основная опасность базам
данных исходит от внутренних пользователей ими совершается 94(
преступлений: а внешними — только 6(?[21]
Данные вышеприведенного статистического анализа показывают: что
несанкционированный доступ к ЭВМ: системы ЭВМ или их сети совершают
специалисты с достаточно высокой степенью квалификации в области
информационных технологий? Поэтому поиск подозреваемого следует начинать с
технического персонала пострадавших компьютерных систем или сетей
(разработчиков соответствующих систем: их руководителей: операторов:
программистов: инженеров связи: специалистов по защите информации и
других(?
Следственная практика показывает: что чем сложнее в техническом
отношении способ проникновения в компьютерную систему или сеть: тем легче
выделить подозреваемого: поскольку круг специалистов: обладающих
соответствующими способностями: обычно весьма ограничен?
При выявлении лиц: причастных к совершению преступления: необходим
комплекс следственных действий: включающий в себя следственный осмотр
компьютера (системы ЭВМ и ее компонентов(: допрос лиц: обязанных
обеспечивать соблюдение доступа к компьютерной системе или сети: обыск у
лиц: заподозренных в неправомерном доступе к компьютерной информации: при
наличии к тому достаточных оснований изложенных ранее в главе
(расследование(?
Установление виновности и мотивов лиц: совершивших неправомерный
доступ к компьютерной информации? Установить виновность и мотивы
несанкционированного доступа к компьютерной информации можно только по
совокупности результатов всех процессуальных действий? Решающими из них
являются показания свидетелей: подозреваемых: обвиняемых: потерпевших:
заключения судебных экспертиз: главным образом информационно-
технологических и информационно-технических: а также результаты обыска? В
процессе расследования выясняется: во-первых: с какой целью совершен
несанкционированный доступ к компьютерной информации* во-вторых: знал ли
правонарушитель о системе ее защиты* в-третьих: желал ли он преодолеть эту
систему и: в-четвертых: если желал: то по каким мотивам и какие действия
для этого совершил?
Установление вредных последствий неправомерного доступа к компьютерной
Страницы: 1, 2, 3
|