Расследование преступлений в сфере компьютерной информации

предварительного следствия: именуют следственными действиями? В зависимости

от задач: которые решаются при производстве этих действий: их обычно

принято подразделять на две относительно самостоятельные группы:

1? Следственные действия исследовательского характера: посредством

которых орган дознания: следователь или прокурор решают задачи: связанные с

выявлением: закреплением и исследованием доказательств в предварительном

(досудебном( порядке?

2? Иные следственные действия: направленные прежде всего на

обеспечение прав участвующих в деле лиц (ознакомление обвиняемого с

постановлением о его привлечении в качестве обвиняемого: разъяснение и

обеспечение ему соответствующих прав: ознакомление с соответствующими

постановлениями потерпевшего: гражданского истца или гражданского

ответчика: разъяснение и обеспечение этим лицам их прав и т?п?(?

В настоящей главе речь идет о следственных действиях первой группы?

Следственными действиями: посредством которых выявляют: закрепляют и

исследуют доказательства: являются %

допрос (свидетеля: потерпевшего: обвиняемого и подозреваемого: а в

некоторых случаях также эксперта(*

2. очная ставка*

3. предъявление для опознания*

4. обыск*

5. выемка*

6. осмотр*

7. освидетельствование*

8. следственный эксперимент*

9. производство экспертизы?

[6]

3 Следственные действия по делам рассматриваемой категории

1 Допрос свидетеля и потерпевшего

Допрос свидетеля и потерпевшего - пожалуй: одно из наиболее

распространенных следственных действий? Он является способом получения:

закрепления и проверки такого вида доказательств: как показания названных

лиц? По внешности допрос имеет определенное сходство с опросом: получением

объяснений и интервью? Однако он существенно отличается от них своей

правовой природой и прежде всего установленным для него законом

процессуальным порядком? Если опросы и подобные им способы получения

информации обычно не нуждаются в особых формальностях и правовых гарантиях:

то допрос строится таким образом: чтобы порядок его производства по

возможности позволял получать в максимальной степени заслуживающие доверия

значимые для дела фактические данные и в то же время надежно гарантировал

права человека и гражданина: оберегал честь и достоинство допрашиваемого?

Важнейшим условием ценности показаний любого лица является его

правдивость: которая обеспечивается прежде всего добровольностью и

моральным долгом дающего показания говорить правду и только правду?

Добровольность дачи показаний обеспечивается нашим законодательством (ч?3

ст? 20 УПК и ст? 179 УК(: запрещающим под страхом уголовной ответственности

домогаться показаний путем насилия: угроз и других незаконных мер?

Обеспечивается она и моральным долгом граждан не лгать и оказывать

содействию правосудию?

Сам допрос производится по общим правилам: выработанным

практикой и закрепленным в действующем законодательстве для данного

следственного действия? [6]

Допрос свидетелей: потерпевших и подозреваемых необходимо начинать со

свободного рассказа о всем: что им известно по делу? Выслушав свободный

рассказ: следователь может задать вопросы (ст?ст? 158:161 УПК(?

Допрос обвиняемого надо начинать с вопроса - признает ли он себя

виновным? Затем обвиняемому предлагается дать показания по существу

обвинения?[22]

При расследовании неправомерного доступа к компьютерной информации

путем допросов разработчиков и пользователей компьютерной системы можно

установить: предусмотрены ли в данной компьютерной системе меры защиты от

несанкционированного доступа к определенным файлам? Допросами лиц:

обслуживающих компьютерную систему: можно установить: кто запускал

нештатную программу: было ли это зафиксировано каким-либо способом? Следует

также выяснить: кто увлекается программированием: учится или учился на

компьютерных курсах??

Когда производится расследование создания: использования и

распространения вредоносных программ для ЭВМ то (при допросе свидетелей из

числа представителей потерпевшей стороны следует выяснить: какая информация

подвергалась неправомерному воздействию: ее назначение и содержание* как

осуществляется доступ к ресурсам ЭВМ: системы ЭВМ или их сети: кодам:

паролям и другой компьютерной информации* как организована противовирусная

защита* каким образом ведется учет пользователей компьютерной системы?([9]?

При расследовании нарушения правил эксплуатации ЭВМ: системы ЭВМ или

их сети: а точнее для установления конкретного правила эксплуатации ЭВМ:

нарушение которого привело к вредным последствиям: следователю

целесообразно допросить всех лиц: работавших на ЭВМ и обслуживавших

компьютерное оборудование в соответствующий период времени? В необходимых

случаях к участию в допросе привлекается специалист? Допрашиваемому могут

быть поставлены примерно следующие вопросы %

- Каковы Ваши обязанности при работе с ЭВМ (либо оборудованием к ней(:

какими правилами они установлены;

- Какую конкретно работу на ЭВМ и в каком порядке Вы выполняли: когда

произошло уничтожение: блокирование: изменение компьютерной информации или

наступили иные вредные последствия;

- Какие неполадки в компьютерной системе Вы обнаружили при работе на

ЭВМ: не было ли при этом каких-либо сбоев: чреватых причинением

существенного вреда компьютерной информации;

- Какие правила работы с компьютером нарушены в данной ситуации;

- Каким образом должны фиксироваться факты уничтожения: блокирования

или модификации компьютерной информации в случае нарушения определенных

правил эксплуатации ЭВМ;

- Связаны ли уничтожение: блокирование: модификация информации с

нарушением правил эксплуатации ЭВМ либо они явились следствием

непредвиденных обстоятельств: если связаны: то с нарушением каких правил;

Кроме того: могут быть допрошены в качестве свидетелей администратор

сети и специалисты: обслуживающие файловый сервер: в котором произошло

уничтожение: блокирование или модификация компьютерной информации?

Им могут быть заданы примерно следующие вопросы:

На какой рабочей станции могли быть нарушены правила эксплуатации

компьютерной сети: где она расположена;

Могли ли быть нарушены правила эксплуатации данной локальной

вычислительной сети на рабочей станции: расположенной там-то; [9]

2 Следственный осмотр

Следственный осмотр есть следственное действие: состоящее в

непосредственном восприятии и изучении следователем любых объектов в целях

исследования обстоятельств деяния: обнаружения: фиксации и изъятия

предметов: документов: веществ и следов: которые имеют или могут иметь

значение для раскрытия преступления и расследования уголовного дела?

Уголовно-процессуальный закон: являющийся: как известно: правовой

основой следственной практики: в качестве главных процессуально (а:

следовательно: и криминалистически( значимых целей этого следственного

действия: относящихся к любому его виду: называет следующее: обнаружение

следов преступления и других вещественных доказательств: выяснение

обстановки происшествия* выяснение иных обстоятельств: имеющих для дела

(ст? 178 УПК(?[23]

В зависимости от обследуемых объектов существует множество

разновидностей осмотра?

Все виды осмотра вправе производить орган дознания: следователь и

прокурор? Осмотр местности или помещения в некоторых случаях производит

также суд (ст? 293 УПК(? При осмотре местности или помещения судом участие

понятых не требуется? Во всех остальных случаях осмотр производится в

присутствии понятых? Для участия в осмотре могут привлекаться обвиняемый:

подозреваемый: защитники этих лиц: потерпевший: а также свидетель? В

необходимых случаях для участия в осмотре могут привлекаться

соответствующие специалисты?

Перед началом осмотра всем приглашенным для участия в нем лицам: в том

числе понятым разъясняют их права и обязанности: а специалист

предупреждается об ответственности за отказ или уклонение от выполнения

своих обязанностей: о чем отмечается в протоколе осмотра и удостоверяется

подписью специалиста?

Осмотр условно принято делить на статическую и динамическую стадии? В

ходе первой стадии объект обследуется в том виде: в каком он был обнаружен

в начале осмотра: а во второй - производится более детальное изучение

осматриваемого объекта: в ходе которого отдельные предметы могут

перемещаться?

Участвующие в осмотре лица могут обращать внимание того: кто

производит данное следственное действие: на необходимость отражения в

протоколе тех или иных обстоятельств: имеющих значение? Специалист помогает

в обнаружении и закреплении доказательств: а также дает пояснения по поводу

отдельных обстоятельств: связанных с их обнаружением?

В ходе осмотра могут производиться соответствующие измерения: фото-:

кино- или видео-съемка: могут составляться планы: схемы: изготовляться

слепки и оттиски следов? ?

Осмотр предметов и документов: обнаруженных при выемке или обыске:

осмотре места происшествия: местности и помещения: может производиться в

зависимости от конкретных условий на месте производства соответствующего

следственного действия либо после их изъятия отдельно: в ходе

самостоятельного их затем осмотра? В первом случае результаты их осмотра

отражаются в общем протоколе соответствующего следственного действия? Во

втором случае изъятые предметы и документы должны быть упакованы и

опечатаны: а затем подробно описаны в протоколе их последующего

самостоятельного осмотра (ч? 4 ст? 179 УПК(? [6]

При расследовании неправомерного доступа к компьютерной информации при

следственном осмотре компьютера и его компонентов устанавливается

причастность конкретного лица к несанкционированному доступу к компьютерной

информации могут способствовать различные материально-фиксированные

отображения? Это: например: следы пальцев рук: отдельные записи на внешней

упаковке дискет: дисков? Для их исследования назначаются криминалистические

экспертизы — дактилоскопическая: почерковедческая: технико-

криминалистическая? При осмотре изьятого при обыске целесообразно

привлекать специалиста: который может: например: прочесть информацию:

содержащуюся на машинных носителях: либо в памяти изъятого компьютера?

При расследовании нарушения правил эксплуатации ЭВМ: системы ЭВМ или

их сети (конкретное место нарушения правил эксплуатации ЭВМ можно

установить при осмотре автоматизированных рабочих мест (АРМ( пользователя

компьютерной системы или сети? Осмотру подлежат все подключенные к ним

компьютеры? Осмотр проводится обычно с участием специалиста: помогающего

установить местонахождение компьютера: работа с которым привела к вредным

последствиям в результате преступного нарушения правил его эксплуатации(

[9]

3 Обыск и выемка

Особо повышенные требования к гарантиям прав человека: охраны чести и

достоинства личности предъявляются при производстве таких следственных

действий: которые могут привести к ограничению конституционных прав и

свобод? Прежде всего это относится к обыску и выемке: наложению ареста на

имущество? В определенной мере они предъявляются также к некоторым

разновидностям осмотра (например: осмотру жилых помещений и т?п?(:

освидетельствованию: следственному эксперименту: отдельным видам экспертиз

(помещение обвиняемого или подозреваемого в медицинское учреждение и др?(?

Обыском является следственное действие: посредством которого

отыскивают и при необходимости изымают объекты (орудия преступления:

добытые преступным путем предметы и ценности и т?п?(: могущие иметь

значения для дела? Целью обыска может быть обнаружение разыскиваемых лиц: а

также трупов? Для производства обыска требуется достаточно обоснованное

предположение: что в каком-либо помещении: ином месте или у кого-либо

скрываются объекты: могущие иметь значение для дела?

Выемка отличается от обыска тем: что для ее производства должно быть

точно известно: где и у кого подлежащие изъятию объекты находятся (ст? 167

УПК(?

Решение о производстве обыска и выемки оформляется в виде

мотивированного постановления (ст?ст? 167 - 168 УПК(: которое: как правило

(ч? 2 ст? 167 и ч? 3 ст? 168 УПК(: требует санкции прокурора? Разрешение на

производство обыска: связанного с проникновением в жилище против воли

проживающих в нем лиц: может быть получено и у суда (ст? 25 Конституции

РФ(?

Вместе с тем: при некоторых разновидностях обыска допускаются и более

простые решения? В случаях: не терпящих отлагательства: обыск может быть

произведен без санкции прокурора: но с последующим сообщением прокурору в

суточный срок (ч? 3 ст? 168 УПК(? Личный обыск без вынесения о том

отдельного постановления и без санкции прокурора допускается:

а( при задержании или заключении лица под стражу* и

б( при наличии достаточных оснований полагать что лицо: находящееся в

помещении или ином месте: в котором производится выемка или обыск: скрывает

при себе предметы и документы: могущие иметь значение для дела (ст? 172

УПК(?

При этом личный обыск должен производиться только лицом одного пола с

обыскиваемым и в присутствии понятых того же пола?

Порядок производства обыска и выемки детально регламентирован законом

(ст? 170 УПК(? Производство этих действий не допускается в ночное время:

кроме случаев: не терпящих отлагательства? Приступая к совершению этих

действий: полномочное производить их должностное лицо (следователь: лицо:

производящее дознание или прокурор( обязано предъявить постановление об

этом? При осуществлении данных действий требуется присутствие понятых? В

необходимых случаях приглашаются и соответствующие специалисты? [6]

При расследовании неправомерного доступа к компьютерной информации у

лиц: заподозренных в неправомерном доступе к компьютерной информации: при

наличии достаточных оснований производится обыск: при котором могут быть

обнаружены: компьютеры разных конфигураций: принтеры: средства

телекоммуникационной связи с компьютерными сетями: записные книжки с

уличающими записями: в том числе электронные: дискеты: диски: магнитные

ленты: содержащие сведения: могущие иметь значение для дела: в том числе

коды: пароли: идентификационные номера пользователей конкретной

компьютерной системы: а также данные о ее пользователях? В ходе обыска

следует обращать внимание на литературу: методические материалы по

компьютерной технике и программированию?

К производству обыска и последующего осмотра изъятого при обыске

целесообразно привлекать специалиста: который может: например: прочесть

информацию: содержащуюся на машинных носителях либо в памяти изъятого

компьютера? [9]

При расследовании создания: использования и распространения

вредоносных программ для ЭВМ (установлению факта создания вредоносной

программы способствует выявление фактов ее использования и распространения

и особенно получение данных: позволяющих заподозрить то или иное лицо в

соответствующей деятельности? Этому может способствовать своевременно и

тщательно произведенный обыск по месту работы и месту жительства

подозреваемого: а также в местах: где он мог иметь доступ к компьютерной

системе? К участию в обыске целесообразно привлечь специалиста-

программиста: стремясь обнаружить все: что может иметь отношение к созданию

вредоносной программы?( [9]

4 Назначение и производство экспертизы

Судебная экспертиза - это процессуальное действие: проводимое в целях

получения заключения по вопросам: имеющим доказательственное значение по

делу? Лицо: обладающее специальными полномочиями и назначенное в

соответствии с постановлением следователя для дачи такого заключения:

именуется экспертом?

Судебные экспертизы выполняются в специализированных экспертных

учреждениях: относящихся к системе министерства юстиции: внутренних дел:

здравоохранения: обороны: службы контрразведки Российской Федерации?[24]

Назначение любого вида экспертизы оформляется постановлением

следователя? В нем обязательно должны содержаться: мотивировка

необходимости этого следственного действия: сведения об эксперте или

экспертном учреждении: вопросы: на которые должен дать эксперт: а также

описание материалов: предоставляемых для исследования (ст? 184 УПК(?

С постановлением обязательно знакомят обвиняемого: которому даны

достаточно широкие права: заявить отвод эксперту: просить о назначении

эксперта из числа указанных им лиц: представить дополнительные вопросы

эксперту для получения по ним заключения: присутствовать с разрешения

следователя при производстве экспертизы и давать объяснения эксперту:

знакомиться с его заключением до окончания расследования? При отказе в

удовлетворении ходатайства обвиняемого должно быть вынесено мотивированное

постановление? Если же оно удовлетворяется: то должно быть составлено новое

постановление о назначении экспертизы? [6]

По делам данной категории (расследование неправомерного доступа к

компьютерной информации( путем производства информационно-технической

судебной экспертизы может быть установлен способ несанкционированного

доступа? Перед экспертом следует поставить вопрос % (Каким способом мог

быть совершен несанкционированный доступ в данную компьютерную систему;(?

Целесообразно представить эксперту всю проектную документацию на

исследуемую систему (если таковая имеется(: а также имеющиеся данные о ее

сертификации?

При производстве такой экспертизы рекомендуется использовать

компьютерное оборудование той же системы: в которую проник преступник: либо

специальные технические и программные средства? [9]

По делам рассматриваемой категории (расследовании нарушения правил

эксплуатации ЭВМ: системы ЭВМ или их сети( по результатам информационно-

технической судебной экспертизы может быть установлено место нарушения

правил? Перед экспертами могут быть поставлены вопросы:

1? На какой рабочей станции локальной вычислительной сети могли быть

нарушены правила ее эксплуатации: в результате чего наступили вредные

последствия;

2? Могли ли быть нарушены правила эксплуатации сети на рабочей

станции: расположенной там-то;

5 Следственный эксперимент

Следственный эксперимент представляет собой познавательный прием:

посредством которого путем воспроизведения действий: обстановки или иных

обстоятельств определенного события или явления и совершения необходимых

опытных действий: в контролируемых и управляемых условиях исследуются эти

события или явления? Такой прием с давних пор применяют и при исследовании

каких-либо обстоятельств преступного события в ходе расследования: а также

судебного разбирательства уголовных дел?

Действующим УПК для производства следственного эксперимента

предусмотрены специальные правила (ст? 183( Его вправе производить

следователь или прокурор: а также орган дознания по делам о преступлениях:

по которым предварительное следствие не обязательно? Известны случаи: когда

интересные и убедительные эксперименты подобного рода проводились и в суде?

Если эксперимент проводится в ходе предварительного следствия или

дознания: то для этого приглашаются понятые? При необходимости могут

приглашаться соответствующие специалисты?

Суть самого следственного эксперимента: как сказано в законе (ст?183

УПК(: заключается в воспроизведении действий: обстановки или иных

обстоятельств определенного события и совершения необходимых опытных

действий в целях проверки и уточнения данных: имеющих значение для дела?

Посредством такого рода действий обычно проверяют возможность видеть:

слышать определенные: значимые для дела обстоятельства в тех или иных

условиях: возможность совершения определенных действий и получения

определенных результатов при наличии конкретных условий и т?п?

При производстве следственного эксперимента в необходимых случаях

могут участвовать обвиняемый или подозреваемый: защитники этих лиц: а также

потерпевший и свидетель?

Производство следственного эксперимента допускается при условии: если

при этом не унижается достоинство и честь участвующих в нем лиц и

окружающих и не создается опасности для их здоровья?

Ход и результаты производства следственного эксперимента описываются в

протоколе с соблюдением требований статей 141 и 142 УПК? Если при

производстве следственного эксперимента производились какие-либо измерения

или применялись технические средства: то все это должно найти отражение в

протоколе? [6]

Следственный эксперимент по делам данной категории (преступления в

сфере компьютерной информации( производится (с целью проверки возможности

преодоления средств защиты компьютерной системы одним из предполагаемых

способов? Его целью может стать и проверка возможности появления на экране

дисплея закрытой информации или ее распечатка вследствие ошибочных:

неумышленных действий оператора или в результате случайного технического

сбоя в компьютерном оборудовании(:

Для установления возможности создания вредоносной программы

определенным лицом: сознавшимся в этом: проводится следственный эксперимент

с использованием соответствующих средств компьютерной техники

(расследование создания: использования и распространения вредоносных

программ для ЭВМ(?

При проведении следственного эксперимента выясняется возможность

наступления вредных последствий при нарушении определенных правил? Он

проводится с использованием копий исследуемой информации и по возможности

на той же ЭВМ: при работе на которой нарушены правила (расследование

нарушения правил эксплуатации ЭВМ: системы ЭВМ или их сети(?

6 Допрос обвиняемого и подозреваемого

Закон (ст? 150 УПК( предписывает приступить к допросу обвиняемого

сразу же после предъявления обвинения и разъяснения его прав? Допрос

собственно и является прежде всего способом обеспечения одного из важнейших

прав обвиняемого - давать объяснения по предъявленному обвинению в

интересах собственной защиты (ст? 46 УПК(? Он в меньшей мере необходим и

следователю: для которого служит способом получения доказательства -

показаний обвиняемого и тем самым одним из важных способов проверки

правильности сформулированной по делу версии обвинения? Допрос обвиняемого

является также одним из средств: с помощью которого его изобличают в

совершении преступления?

Следует: однако: иметь в виду: что дача показаний для обвиняемого -

это его право: а не обязанность? Поэтому обвиняемого: в отличие от

свидетеля и потерпевшего: нельзя перед допросом: а также в ходе допроса

предупреждать об уголовной или какой-либо иной (например: административной

и т?п?( ответственности за отказ от дачи показаний: равно как и за дачу

ложных показаний?

По смыслу ст? 51 Конституции РФ обвиняемый и подозреваемый вообще

вправе отказаться от дачи показаний и не отвечать ни на какие вопросы либо

отвечать на них сугубо добровольно? Потому при возникновении у суда

сомнений относительно добровольности данных этими лицами показаний в ходе

предварительного следствия или дознания обязанность доказывания: что

показания действительно были даны добровольно: следовало бы возлагать на

органы уголовного преследования: получившие такие показания?

О каждом допросе обвиняемого составляется протокол с соблюдением

требований: предусмотренных ст? ст? 141: 142 и 151 УПК? После дачи

обвиняемым показаний: в случае его просьбы: ему предоставляется возможность

изложить свои показания собственноручно (ст? 152 УПК) [6]

Обычно по уголовным делам рассматриваемой категории (расследование

создания: использования и распространения вредоносных программ для ЭВМ( при

допросе обвиняемого необходимо выяснить обстоятельства подготовки и

совершения преступления: алгоритм функционирования вредоносной программы: а

также на какую информацию и как она воздействует?

По делам данной категории при допросе подозреваемого требуется

установить уровень его профессиональной подготовленности как программиста:

опыт его работы по созданию программы конкретного класса на данном языке

программирования: знание им алгоритмов работы про грамм: подвергшихся

неправомерному воздействию?

Также необходимо выяснить (допрос подозреваемого(% (места его

жительства: работы или учебы: профессию: взаимоотношения с сослуживцами:

семейное положение: образ жизни: сферу интересов: привычки: наклонности:

круг знакомых: навыки в программировании: ремонте и эксплуатации средств

вычислительной техники: какими средствами вычислительной техники: машинными

носителями: аппаратурой и приспособлениями он располагал: где: на какие

средства их приобрел и где хранил?( [6]

РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ?

1 Расследование неправомерного доступа к компьютерной информации

Согласно ст? 272 УК ответственность за деяние наступает при условии:

если неправомерный доступ к компьютерной информации повлек за собой хотя бы

одно из следующих негативных последствий: уничтожение: блокирование:

модификацию либо копирование информации: нарушение работы ЭВМ: системы ЭВМ

или их сети?

1 Общая схема расследования неправомерного доступа к компьютерной

информации?

В ходе расследования основные следственные задачи целесообразно решать

в такой последовательности:

1? Установление факта неправомерного доступа к информации в

компьютерной системе или сети?

2? Установление места несанкционированного проникновения в

компьютерную систему или сеть?

3? Установление времени совершения преступления?

4? Установление надежности средств защиты компьютерной информации?

5? Установление способа несанкционированного доступа?

6? Установление лиц: совершивших неправомерный доступ: их виновности и

мотивов преступления?

7? Установление вредных последствий преступления?

8? Выявление обстоятельств: способствовавших преступлению?

Установление факта неправомерного доступа к информации в компьютерной

системе или сети? Такой факт : как правило: первыми обнаруживают

пользователи автоматизированной информационной системы: ставшие жертвой

данного правонарушения?

Факты неправомерного доступа к компьютерной информации иногда

устанавливаются в результате оперативно-розыскной деятельности органов

внутренних дел: ФСБ: налоговой полиции? Установить их можно в ходе

прокурорских проверок: при проведении ревизий: судебных экспертиз:

следственных действий по уголовным делам? Рекомендуется в необходимых

случаях при рассмотрении материалов: связанных с обработкой информации в

компьютерной системе или сети: установление фактов неправомерного доступа к

ним поручать ревизорам и оперативно-розыскным аппаратам?'

На признаки несанкционированного доступа или подготовки к нему могут

указывать следующие обстоятельства:

появление в компьютере фальшивых данных*

необновление в течение длительного времени в автоматизированной

информационной системе кодов: паролей и других защитных средств*

частые сбои в процессе работы компьютеров*

участившиеся жалобы клиентов компьютерной системы Или сети*

осуществление сверхурочных работ без видимых на то причин*

немотивированные отказы некоторых сотрудников: обслуживающих

компьютерные системы или сети: от отпусков*

неожиданное приобретение сотрудником домашнего дорогостоящего

компьютера*

чистые дискеты либо диски: принесенные на работу сотрудниками

компьютерной системы под сомнительным предлогом перезаписи программ для

компьютерных игр*

участившиеся случаи перезаписи отдельных данных без серьезных на то

причин*

чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток

(листингов(: выходящих из принтеров?

Особо следует выделить признаки неправомерного доступа: относящиеся к

отступлению от установленного порядка работы с документами: а именно:

а( нарушение установленных правил оформления документов: в том числе

изготовления машинограмм*

6( повторный ввод одной и той же информации в ЭВМ*

в( наличие в пачке лишних документов: подготовленных для обработки на

компьютере*

г( отсутствие документов: послуживших основанием для записи во

вторичной документации*

д( преднамеренная утрата: уничтожение первичных документов и машинных

носителей информации: внесение искажений в данные их регистрации?

Для фактов неправомерного доступа к компьютерной информации характерны

также следующие признаки: относящиеся к внесению ложных сведений в

документы:

а( противоречия (логические или арифметические( между реквизитами того

или иного бухгалтерского документа*

б( несоответствие данных: содержащихся в первичных документах: данным

машинограмм*

в( противоречия между одноименными бухгалтерскими документами:

относящимися к разным периодам времени*

г( несоответствие учетных данных взаимосвязанных показателей в

различных машинограммах*

д( несоответствие между данными бухгалтерского и другого вида учета?

Следует иметь в виду: что указанные признаки могут быть следствием не

только злоупотребления: но и других причин: в частности случайных ошибок и

сбоев компьютерной техники?

Установление места несанкционированного доступа в компьютерную систему

или сеть? Решение данной задачи вызывает определенные трудности: так как

таких мест может быть несколько?

Чаше обнаруживается место неправомерного доступа к компьютерной

информации с целью хищения денежных средств?

При обнаружении факта неправомерного доступа к информации в

компьютерной системе или сети следует выявить все места: где расположены

компьютеры: имеющие единую телекоммуникационную связь?

Проще рассматриваемая задача решается в случае несанкционированного

доступа к отдельному компьютеру: находящемуся в одном помещении? Однако при

этом необходимо учитывать: что информация на машинных носителях может

находиться в другом помещении: которое тоже надо устанавливать?

Труднее определить место непосредственного применения технических

средств удаленного несанкционированного доступа (не входящих в данную

компьютерную систему или сеть(? К установлению такого места необходимо

привлекать специалистов?

Установлению подлежит и место хранения информации на машинных

носителях либо в виде распечаток: добытых в результате неправомерного

доступа к компьютерной системе или сети?

Установление времени несанкционированного доступа? С помощью программ

общесистемного назначения в работающем компьютере обычно устанавливается

текущее время: что позволяет по соответствующей команде вывести на экран

дисплея информацию о дне недели: выполнения той или иной операции: часе и

минуте? Если эти данные введены: то при входе в систему или сеть (в том

числе и несанкционированном( время работы на компьютере любого пользователя

и время конкретной операции автоматически фиксируются в его оперативной

памяти и отражаются: как правило: в выходных данных (на дисплее: листинге

или на дискете(?

С учетом этого время несанкционированного доступа можно установить

путем следственного осмотра компьютера либо распечаток или дискет? Его

целесообразно производить с участием специалиста: так как неопытный

следователь может случайно уничтожить информацию: находящуюся в оперативной

памяти компьютера или на дискете?

Время неправомерного доступа к компьютерной информации можно

установить также путем допроса свидетелей из числа сотрудников данной

компьютерной системы: выясняя у них: в какое время каждый из них работал на

компьютере: если оно не было зафиксировано автоматически? [9]

Установление способа несанкционированного доступа? В ходе установления

способа несанкционированного доступа к компьютерной информации следствие

может вестись по трем не взаимоисключающим друг друга вариантам:

Допросом свидетелей из числа лиц: обслуживающих компьютер:

компьютерную систему или сеть (системный администратор: операторы(:

разработчиков системы и: как правило: поставщиков технического и

программного обеспечения? В данном случае необходимо выяснить: каким

образом преступник мог преодолеть средства защиты данной системы: в

частности: узнать идентификационный номер законного пользователя* код*

пароль для доступа к ней* получить сведения о других средствах защиты?

Производством судебной информационно-технической экспертизы? В ходе

экспертизы выясняются возможные способы проникнуть в систему при той

технической и программной конфигурации системы в которую проник преступник:

с учетом возможного использования последним специальных технических и

программных средств? При производстве судебной: информационно-технической

экспертизы целесообразно поставить эксперту следующий вопрос: (Каким

способом мог быть совершен несанкционированный доступ в данную компьютерную

систему (

Проведением следственного эксперимента: в ходе которого проверяется

возможность несанкционированного доступа к информации одним из

предполагаемых способов?

Установление надежности средств защиты компьютерной информации? Прежде

всего необходимо установить: предусмотрены ли в данной компьютерной системе

меры защиты от несанкционированного доступа к определенным файлам? Это

можно выяснить путем допросов ее разработчиков и пользователей: а также

изучением проектной документации: соответствующих инструкций по

эксплуатации данной системы? При ознакомлении с инструкциями особое

внимание должно уделяться разделам о мерах защиты информации: порядке

допуска пользователей к определенным данным: разграничении их полномочий:

организации контроля за доступом: конкретных методах защиты информации

(аппаратных: программных: криптографических: организационных и других(?

Надо иметь в виду: что в целях обеспечения высокой степени надежности

информационных систем: в которых обрабатывается документированная

информация с ограниченным доступом: осуществляется комплекс мер:

направленных на их безопасность?

В частности: законодательством предусмотрены обязательная сертификация

средств защиты этих систем и обязательное лицензирование всех видов

деятельности в области проектирования и производства таких средств?

Разработчики: как правило: гарантируют надежность своих средств при

условии: если будут соблюдены установленные требования к ним? Поэтому в

процессе расследования требуется установить: во-первых: имеется ли лицензия

на производство средств защиты информации от несанкционированного доступа:

используемых в данной компьютерной системе: и: во-вторых: соответствуют ли

их параметры выданному сертификату? Для проверки такого соответствия может

быть назначена информационно-техническая экспертиза с целью решения вопроса

% «Соответствуют ли средства защиты информации от несанкционированного

допуска: используемые в данной компьютерной системе: выданному

сертификату;»

Вина за выявленные при этом отклонения: ставшие причиной

несанкционированного доступа к компьютерной информации: возлагается на

пользователя системы: а не на разработчика средств защиты?

Установление лиц: совершивших неправомерный доступ к компьютерной

информации?

Опубликованные в прессе результаты исследований: проведенных

специалистами: позволяют составить примерный социологический портрет

современного хакера? Возраст правонарушителей колеблется в широких границах

—от 15 до 45 лет: причем на момент совершения преступления у трети возраст

не превышал 20 лет? Свыше 80( преступников в компьютерной сфере — мужчины:

абсолютное большинство которых имело высшее и среднее специальное

образование? При этом у более 50( преступников была специальная подготовка

в области автоматизированной обработки информации: а 30( — были

непосредственно связаны с эксплуатацией ЭВМ и разработкой программного

обеспечения к ней? Однако: согласно статистики: профессиональными

программистами из каждой тысячи компьютерных преступлений совершено только

семь? 38( отечественных хакеров действовали без соучастников: 62( — в

составе преступных групп По оценкам специалистов основная опасность базам

данных исходит от внутренних пользователей ими совершается 94(

преступлений: а внешними — только 6(?[21]

Данные вышеприведенного статистического анализа показывают: что

несанкционированный доступ к ЭВМ: системы ЭВМ или их сети совершают

специалисты с достаточно высокой степенью квалификации в области

информационных технологий? Поэтому поиск подозреваемого следует начинать с

технического персонала пострадавших компьютерных систем или сетей

(разработчиков соответствующих систем: их руководителей: операторов:

программистов: инженеров связи: специалистов по защите информации и

других(?

Следственная практика показывает: что чем сложнее в техническом

отношении способ проникновения в компьютерную систему или сеть: тем легче

выделить подозреваемого: поскольку круг специалистов: обладающих

соответствующими способностями: обычно весьма ограничен?

При выявлении лиц: причастных к совершению преступления: необходим

комплекс следственных действий: включающий в себя следственный осмотр

компьютера (системы ЭВМ и ее компонентов(: допрос лиц: обязанных

обеспечивать соблюдение доступа к компьютерной системе или сети: обыск у

лиц: заподозренных в неправомерном доступе к компьютерной информации: при

наличии к тому достаточных оснований изложенных ранее в главе

(расследование(?

Установление виновности и мотивов лиц: совершивших неправомерный

доступ к компьютерной информации? Установить виновность и мотивы

несанкционированного доступа к компьютерной информации можно только по

совокупности результатов всех процессуальных действий? Решающими из них

являются показания свидетелей: подозреваемых: обвиняемых: потерпевших:

заключения судебных экспертиз: главным образом информационно-

технологических и информационно-технических: а также результаты обыска? В

процессе расследования выясняется: во-первых: с какой целью совершен

несанкционированный доступ к компьютерной информации* во-вторых: знал ли

правонарушитель о системе ее защиты* в-третьих: желал ли он преодолеть эту

систему и: в-четвертых: если желал: то по каким мотивам и какие действия

для этого совершил?

Установление вредных последствий неправомерного доступа к компьютерной

Страницы: 1, 2, 3