Главная страница
Навигация по странице:

  • Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования

  • В первых двух следственных ситуациях

  • При наличии третьей следственной ситуации необходимо

  • Целью осмотра места происшествия является

  • Особенно тщательно должны быть описаны в протоколе следующие фактические данные

  • Типичными следами являются

  • Криминалистическая характеристика. Криминалистическая характеристика преступлений в сфере компьютер. Криминалистическая характеристика преступлений в сфере компьютерной информации


    Скачать 264.69 Kb.
    НазваниеКриминалистическая характеристика преступлений в сфере компьютерной информации
    АнкорКриминалистическая характеристика
    Дата15.11.2022
    Размер264.69 Kb.
    Формат файлаrtf
    Имя файлаКриминалистическая характеристика преступлений в сфере компьютер.rtf
    ТипЗакон
    #790676
    страница2 из 3
    1   2   3

    К типичным признакам подготовки, совершения и сокрытия преступления в сфере компьютерной информации относятся: появление в ЭВМ, системе ЭВМ или их сети фальшивых данных; несанкционированные изменения структуры файловой системы, программного обеспечения и конфигурации ЭВМ, системы ЭВМ или их сети; необычные (нестандартные) проявления в работе СВТ и их программного обеспечения; частые сбои в работе аппаратуры; жалобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхурочная работа некоторых сотрудников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графика их эксплуатации; нерегламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компьютерной информации отдельных субъектов; нарушение правил работы с компьютерной информацией и несанкционированные манипуляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к содержанию чужих распечаток (листингов) и компьютерной информации определенной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различными предлогами (записи игр и т.п.); исследование мусорных корзин (контейнеров) с технологическими отходами компьютерной обработки информации; случаи утечки конфиденциальной информации, либо обнаружение негласных устройств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; создание копий определенной категории данных и компьютерной информации, не предусмотренных технологическим процессом; несоответствие данных, содержащихся в первичных (исходных) документах, данным машинограмм и иным более поздним по времени создания документам; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации определенной категории.

    Чтобы детально разобраться в особенностях деятельности потерпевшего (физического или юридического лица), следователю и оперативному сотруднику необходимо ознакомиться с соответствующей справочной литературой, изучить ведомственные нормативные акты. Исключительно важное значение имеют консультации со специалистами. Для этих целей могут быть привлечены любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники различных организаций, осуществляющих свою деятельность в сфере информации, информатизации и защиты информации. Наиболее предпочтительны сотрудники: Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) и ее региональных структурных подразделений (Спеццентров); оперативно-технических подразделений правоохранительных органов; подразделений «К» при УСТМ МВД России; специалисты межрегиональных Центров защиты информации, функционирующих на базе гражданских высших учебных технических заведений; научные работники исследовательских институтов и лабораторий, а также учебных заведений.

    Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:

    1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.

    2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

    3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

    В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно - розыскные, организационные и иные мероприятия:

    1) получение объяснения (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей ( очевидцев);

    2) вызов и инструктаж необходимых специалистов для участия в осмотре места происшествия;

    3) осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, СВТ, документов и т. п.);

    4) проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, определения рабочего места преступника, обнаружения следов и других вещественных доказательств;

    5) изучение справочной литературы, ведомственных нормативных актов, положений, инструкций, правил эксплуатации конкретного СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;

    6) наведение справок в контролирующих, инспектирующих и лицензирующих организациях и их структурных подразделениях (Гостехкомиссии, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);

    7) истребование материалов контрольных проверок, инвентаризаций и ревизий (соблюдения правил обработки информации, системы защиты конфиденциальной информации, оборота электронных документов и др.) за интересующий следствие период, в случае необходимости - организовать их производство (в т.ч. повторно);

    8) выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носителях информации), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;

    9) допросы подозреваемых и/или свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;

    10) обыски на рабочих местах и по месту проживания подозреваемых;

    11) назначение экспертиз - программно-технической, радиотехнической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.

    Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.

    При наличии третьей следственной ситуации необходимо:

    1) изучить поступившие материалы с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка их передачи в органы предварительного следствия. При необходимости - принять меры к получению недостающей процессуальной информации;

    2) решить вопрос о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях;

    3) личный обыск задержанного;

    4) осмотр места происшествия с участием соответствующих заранее приглашенных специалистов;

    4) допрос задержанного;

    5) обыски на рабочем месте и по месту проживания задержанного;

    6) установление связей задержанного и лиц, причастных к совершению преступления;

    7) допрос свидетелей (очевидцев);

    8) допрос подозреваемого;

    9) выемка и осмотр следующих вещественных доказательств и документов: подлинных документов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те производственные операции, в процессе которых допущены нарушения и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации); орудий подготовки, совершения и сокрытия преступления; предмета преступления;

    10) допрос лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установленных нарушений;

    11) истребование, а при необходимости производство выемки нормативных актов и документов, характеризующих порядок и организацию работы в данном подразделении с конфиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.;

    12) допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с преступником;

    13) анализ полученной информации и решение вопроса о необходимости назначения судебных экспертиз, проведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).

    В очередность перечисленных следственных действий, оперативных и организационных мероприятий могут быть внесены коррективы в зависимости от изменения ситуации.

    Особенности тактики производства отдельных следственных действий

    Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей: следственное действие должно быть заблаговременно подготовлено и детально спланировано; в каждом следственном действии должны принимать участие специалисты четко представляющие свои задачи, права и обязанности; понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей ПЭВМ), следователь и специалисты - познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.

    При осмотре места происшествия в состав следственно - оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить: специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ; сотрудник Гостехкомиссии России, Центра защиты информации (при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) СТС негласного получения (уничтожения, блокирования) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (отдела «К» или ОБЭП); участковый оперуполномоченный, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); специалист для проведения цветной фото- или видеосъемки следственного действия.

    При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).

    Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и(или) орудия совершения преступления и несущих в себе следы преступной деятельности. Поэтому при производстве следственного действия целесообразнее всего использовать тактический прием «от центра - к периферии», где в качестве «центра» (отправной точки осмотра места происшествия) будет выступать конкретное СВТ и(или) компьютерная информация, обладающая вышеуказанными свойствами. Детальное описание данных предметов, их соединений (физических и логических) должно сопровождаться видеосъемкой, фиксирующей последовательность действий следователя и специалистов, а также полученный при этом результат.

    Если при проведении осмотра места происшествия используются СВТ и специальные поисковые технические устройства (материалы), об этом делается соответствующая отметка в протоколе следственного действия с указанием их индивидуальных признаков (тип, марка, название, заводской номер и т.д.). Кроме того, в обязательном порядке делается отметка о том, что данные СВТ перед началом следственного действия в присутствии понятых были тестированы специальным программным средством (указывают его тип, вид, название, версию, автора и другие реквизиты) на предмет отсутствия в них вредоносных программно - аппаратных средств и закладок.

    Следователю необходимо знать, что к изменению или уничтожению компьютерной информации (следов преступника и преступления) может привести не только работа за пультом управления СВТ (клавиатурой), но и одноразовое кратковременное включение-выключение СВТ или разрыв соединения между ними. Поэтому, если на момент проведения следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком положении до момента окончания осмотра их специалистом. По этой же причине подлежат обязательной охране все пункты отключения электропитания, находящиеся на месте происшествия.

    Особенно тщательно должны быть описаны в протоколе следующие фактические данные: технические и конструктивные особенности местности, связанные с установкой и эксплуатацией СВТ, включая расположение и основные характеристики токонесущих коммуникаций; расположение СВТ относительно друг друга и оконечных устройств токонесущих коммуникаций; отсутствие или наличие соединений между ними (видимых и дистанционных); наличие или отсутствие соединений СВТ с оборудованием, в том числе находящемся вне территории осмотра (на это могут указывать кабели и провода, идущие от осматриваемого СВТ за границы места осмотра, либо к аппаратам электросвязи (в таком случае границы осмотра места происшествия значительно расширяются); наличие, внешнее состояние, расположение и вид охраны СВТ и компьютерной информации от НСД, их основные технические характеристики; расположение СВТ относительно вентиляционных и иных отверстий в строительных конструкциях, дверных и оконных проемов, технических средств видеонаблюдения, а также относительно других рабочих мест; наличие в одном помещении со СВТ других электрических устройств и приборов ( телефонных и иных аппаратов электросвязи, пейджеров, систем электрочасофикации, оргтехники - ксероксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишуших машинок, приборов электроосвещения, громкоговорителей, телевизоров, радиоприемников и т.д.).

    Особенно тщательно должны быть осмотрены и описаны в протоколе типичные вещественные доказательства: вредоносные программы для ЭВМ и машинные носители с ними; программы для ЭВМ, заведомо приводящие к несанкционированным пользователем действиям ( влияющие на конечные результаты технологического процесса), а также их носители; обнаруженные СТС негласного получения (уничтожения, блокирования) компьютерной информации и магнитных носителей; специфические следы преступника и преступления. Типичными следами являются: следы орудий взлома, повреждения, уничтожения и(или) модификации охранных и сигнальных устройств; показания регистрирующей аппаратуры (видеотехники, электронного журнала учета операций с компьютерной информацией, доступа к ней и СВТ, др.); показания специальных мониторинговых (тестовых) программно-аппаратных средств, в том числе электронной цифровой подписи (сокр. ЭЦП); следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсильных вилках, тумблерах, кнопках и рубильниках, включающих и отключающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов; капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изоляции токонесущих и соединительных (управляющих) проводов, приклеивания к ним сторонних предметов и устройств.

    Осмотру подлежат следующие документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления:

    а) учетно-справочная документация по работе с СВТ и компьютерной информацией (технический паспорт или документ его заменяющий; журнал оператора или протокол автоматической фиксации технологических операций, доступа к СВТ и конфиденциальной компьютерной информации; журналы (карточки) учета машинных носителей информации, машинных документов, заказов (заданий или запросов), выдачи МНИ и машинных документов, массивов (участков, зон), программ, записанных на МНИ; журналы учета уничтожения брака бумажных МНИ и машинных документов; акты на стирание конфиденциальной информации и уничтожение машинных носителей с ней);

    б) документация, отражающая санкционированность доступа ( удостоверения личности, электронные ключи доступа, пароли, персональные идентификационные номера (ПИН-коды), ЭЦП и иные средства (предметы или устройства) идентификации и аутентификации санкционированного пользователя);

    в) учетно-регистрационная и бухгалтерская документация (лицензии и лицензионные соглашения; сертификаты соответствия СВТ, программ для ЭВМ, средств защиты информации (в том числе и ЭЦП), протоколов обмена информацией и форматов электронных документов установленным требованиям; договора (соглашения) на пользование СВТ и доступ к компьютерной информации с соответствующим комплектом документов; расчетно-кассовые и иные бухгалтерские документы, отражающие факт оплаты пользователем предоставленной ему услуги, отпущенного товара или осуществленной им кредитно-банковской операции);

    г) учетно-контрольная документация (журналы (акты) пуско - наладочных, ремонтных и регламентных работ по техническому обслуживанию СВТ, программ для ЭВМ и средств защиты информации; журналы аварий и сбойных (нештатных) ситуаций; акты сбоев и ложных сработок охранных сигнализаций; акты контрольных проверок соблюдения режима безопасности информации, ревизий, служебных и иных документальных проверок; сводные отчеты и контрольные показатели по отдельным участкам работы, операциям и временным интервалам);

    д) документация, регламентирующая действия обслуживающего персонала ( должностные обязанности; инструкции по работе с СВТ, программами для ЭВМ, средствами защиты от НСД, действий оператора в нештатной ( аварийной) ситуации; черновая рабочая документация оператора СВТ).

    Их осмотр позволяет установить способ совершения преступления в сфере компьютерной информации, использованные для этого преступником материалы и средства, наличие у субъекта специальных навыков и познаний; выдвинуть версии о причинно-следственных связях.
    1   2   3


    написать администратору сайта