Главная страница

преступления в компьютерной свере. диплом. В связи с этим, одной из первоочередных задач, стоящих перед органами внутренних дел, является разработка и совершенствование средств, приемов и методов расследования вышеупомянутой группы преступлений


Скачать 104.29 Kb.
НазваниеВ связи с этим, одной из первоочередных задач, стоящих перед органами внутренних дел, является разработка и совершенствование средств, приемов и методов расследования вышеупомянутой группы преступлений
Анкорпреступления в компьютерной свере
Дата03.11.2022
Размер104.29 Kb.
Формат файлаdocx
Имя файладиплом.docx
ТипДокументы
#768938
страница2 из 4
1   2   3   4

2.2. Особенности тактики производства следственных действий и организационных мероприятий



К следственным действиям, которые по делам о преступлениях, совершаемых с использованием средств электронно-вычислительной техники, отличаются наибольшей спецификой, относятся1:

осмотр места происшествия;

осмотр средства вычислительной техники;

осмотр машинного носителя информации (МНИ);

осмотр машинного документа;

обыск и выемка;

назначение экспертиз.

Проводятся они в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом некоторых особенностей.

При осмотре места происшествия в состав следственно-оперативной группы (СОГ) в зависимости от конкретной следственной ситуации должны входить следующие лица:

- следователь, специализирующийся на расследовании уголовных дел рассматриваемой категории - руководитель СОГ;

- специалист-криминалист, знающий особенности работы со следами преступлений данной категории;

- специалист по СВТ;

- сотрудник Гостехкомиссии России (в случае совершения преступления в отношении юридического лица и/или наличия специальных средств защиты информации и СВТ) или оперативно-технического подразделения правоохранительного органа;

- специалист по сетевым технологиям СВТ (в случае наличия на месте происшествия периферийного оборудования удаленного доступа или локальной компьютерной сети);

- специалист по системам связи (при использовании для дистанционной передачи данных каналов электросвязи);

- оперативные сотрудники (ОУР, ОБЭП, налоговой полиции, ФСБ);

- участковый инспектор, обслуживающий данную территорию;

- инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, являются охраняемыми объектами).

При необходимости для участия в осмотре места происшествия могут быть приглашены и другие незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей - сотовых, пейджинговых, Интернет и др. - и т. д.).

Рассматриваемое следственное действие должно быть заблаговременно подготовлено и детально спланировано, необходимо предварительно провести следующую работу:

  1. с учетом сложившейся следственной ситуации, наметить круг лиц, участвующих в осмотре;

  2. определить последовательность действия лиц при осмотре

места происшествия;

  1. пригласить соответствующих квалифицированных специалистов;

  1. перед началом осмотра разъяснить цели проведения следственного действия и задачи, стоящие перед специалистами, а также их права и обязанности;

  2. провести подбор и инструктаж понятых, в качестве которых целесообразнее привлекать лиц, обладающих минимально необходимыми знаниями в области СВТ и компьютерных технологий, разъяснить их права и обязанности.

Ц е л ь осмотра места происшествия - установление конкретного СВТ, выступающего в качестве предмета и/или орудия совершения преступления и имеющего следы преступной деятельности. При производстве следственного действия целесообразно использовать тактический прием «от центра - к периферии», где «центром» (отправной точкой осмотра места происшествия) являются СВТ, находящиеся на месте осмотра. Удалить с места происшествия всех посторонних лиц и организовать его охрану, если этого не было сделано. Обязательной охране подлежат такие объекты:

- территория места происшествия;

- все СВТ, находящиеся на территории (в помещении);

- пункты отключения электропитания СВТ, находящиеся в здании (учреждении, организации, на территории).

К изменению или уничтожению информации (следов) может привести не только работа за пультом управления СВТ (клавиатурой), но и включение-выключение СВТ или разрыв соединения между ними. Поэтому, если на момент производства следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком состоянии до момента окончания осмотра их специалистом. Опросить потерпевшего, материально ответственное лицо и очевидцев (операторов СВТ) об изменениях, внесенных в обстановку, о категории обрабатываемой информации (общедоступная или конфиденциальная), а также о действиях потерпевшего до прибытия СОГ. Вопросы необходимо конкретизировать по мере детального осмотра места происшествия, поиска следов и других вещественных доказательств.

В протоколе осмотра следует отразить следующие фактические данные:

- наименование и назначение объекта, где совершено преступление;

- территориальное расположение объекта осмотра (на улице, в помещении, в банке, в магазине, на автостоянке, бензоколонке, станции метро, в ресторане, гостинице, помещении кассы, на складе, вокзале, контрольно-пропускном пункте и т. д.) и его ориентация относительно сторон света;

- ближайшее окружение объекта и подступы к нему - здания, технические сооружения, площади, зоны, участки ( производственные, административные, жилые) и расстояние до них; наличие дорог, подъездных путей (в т. ч. и водного транспорта), парковок и автостоянок; наличие линий и пунктов (колодцев, концентраторов, коробов, потерн и т. д.) инженерно-технических коммуникаций (электросвязи, электропередачи, тепло- , водо- и газоснабжения, вентиляции и т. д.);

- технические и конструктивные особенности местности, связанные с установкой и эксплуатацией СВТ (этажность, материал стен и других строительных конструкций, форма строения, наличие дверей, окон, ограждений, фальшполов и подвесных потолков, наличие и фактическое состояние устройств электропитания и др.);

- наличие, внешнее состояние и расположение охраны объекта, специальных защитных и сигнальных устройств от несанкционированного съема и утечки информации - постов охраны, охранно-пожарной сигнализации, контрольно-пропускных пунктов доступа лиц на данную территорию (неавтоматический, полуавтоматический или автоматический), освещения, металлических решеток, штор, жалюзи, рольставен, замков и запорных механизмов, экранов, заземлений, специальных стекол и пленок, генераторов шума, фильтров и т. д.;

- расположение СВТ относительно вентиляционных и иных отверстий в строительных конструкциях, дверных и оконных проемов, технических средств видеонаблюдения, а также других рабочих мест (если таковых несколько в одном помещении);

- расположение в одном помещении вместе с СВТ других электрических устройств и приборов - телефонных и иных аппаратов электросвязи, систем электрочасофикации, оргтехники (ксероксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишущих машинок и т. п.), приборов электроосвещения (настольных, напольных, настенных, потолочных, подвесных и т. д.), абонентских громкоговорителей, телевизоров и мониторов, радиоприемников и магнитол, электроплиток, печей, чайников, кондиционеров и т. д.;

- наличие в одном помещении со СВТ линий, пунктов, разъемов промежуточных и оконечных устройств систем инженерно-технических коммуникаций (электросвязи, электропередачи, антенны-провода, тепло- , водо- и газоснабжения);

- наличие или отсутствие технических средств сопряжения СВТ с каналами электросвязи и между собой (на это могут указывать кабели и провода, которыми СВТ соединены между собой, а также с аппаратами или линией электросвязи);

- наличие или отсутствие соединений СВТ с оборудованием или вычислительной техникой, находящейся вне территории (помещения) осмотра; на это могут указывать кабели и провода, идущие от осматриваемого СВТ за границу места осмотра (в другие помещения или здания) либо к аппаратам внутренней связи (в этом случае граница осмотра места происшествия значительно расширяется);

- наличие на объекте, путях подхода и отхода следов преступления и преступника, специфическими среди которых являются: следы орудий взлома, повреждения, уничтожения и/или модификации охранных и сигнальных устройств; показания регистрирующей (электронный журнал) или специальной мониторинговой (тестовой) аппаратуры; следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсельных вилках, тумблерах, кнопках и рубильниках, включающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов, капли припоя, канифоли или флюса; следы проплавления, прокола, надреза изоляции проводов СВТ, наличие участков механического сдавливания и приклеивания сторонних предметов;

- наличие или отсутствие учетно-справочной документации к СВТ - технического паспорта и подобного ему документа; журнала оператора или протокола автоматической фиксации расчетно-кассовых и иных операций; журнала учета машинных носителей информации (МНИ), машинных документов, заказов (заданий или запросов); журнала (карточки) учета выдачи МНИ и машинных документов; журнала (карточки) учета массивов (участков, зон), программ, записанных на МНИ; журнала учета уничтожения брака бумажных МНИ и машинных документов; актов на стирание конфиденциальной информации, уничтожение машинных носителей с конфиденциальной информацией, конфиденциальных машинных документов.

Осмотр СВТ, участвовавшего в преступлении, производят для достижения следующих целей:

  1. обнаружения следов, образовавшихся в результате происшествия или совершения преступления, и других вещественных доказательств для установления, кем, с какой целью и при каких обстоятельствах было совершено преступление;

  2. выяснения обстановки происшествия для восстановления механизма совершения преступления;

  3. установления технического состояния СВТ.

При реализации первой цели требуется участие специалиста-криминалиста и специалиста в области СВТ и информационных технологий. В решении двух других непосредственное участие специалиста-криминалиста не требуется. В зависимости от специфики осматриваемого СВТ в следственном действии должен/ны принимать участие следующие специалисты:

- по обслуживанию и ремонту СВТ (для осмотра аппаратной части СВТ и соединительной арматуры; для ЭВМ - инженер-системотехник);

- в области сетевых технологий (для осмотра СВТ, используемых в системах дистанционной передачи данных - компьютерных сетях, периферийного оборудования удаленного доступа, удаленных терминалов);

- по средствам связи и телекоммуникациям (для осмотра оборудования электросвязи, используемого для передачи компьютерных данных и команд, а также СВТ, являющихся средствами связи);

- операторы СВТ - ЭВМ, пейджинговой и сотовой связи, контрольно-кассовых аппаратов, бухгалтер по приему и отправке электронных платежей и т. д. (для наружного осмотра СВТ);

- сотрудник Гостехкомиссии России (для осмотра специальных технических средств защиты выделенных помещений, СВТ и информации от несанкционированного доступа, утечки и съема, а также обнаруженной специальной разведывательной аппаратуры негласного получения информации);

- инженер-программист (для осмотра программного обеспечения СВТ, определения принципа его функционирования, установления следов преступной деятельности в среде машинной информации).

Отметим, что во избежании уничтожения (повреждения) СВТ и следов преступления при работе специалиста - криминалиста по осмотру СВТ недопустимо использование магнитосодержащих материалов, инструментов, приборов и оборудования, направленных источников электромагнитного излучения ( магнитного порошка, магнитной кисточки, электромагнита, металлодетектора, мощных ламп освещения, мощных УФ и ИК излучателей, и т. д.), а также кислотно-щелочных материалов и нагревательных приборов. При осмотре места происшествия и при производстве других следственных действий вышеуказанными материалами и оборудованием можно пользоваться с особой осторожностью на расстоянии более 1 метра от СВТ и их соединительных проводов1.

- тип, марка, конфигурация, цвет и заводской номер (или инвентарный, учетный номер) изделия;

- тип (назначение), цвет и индивидуальные признаки соединительных и электропитающих проводов;

- состояние СВТ на момент проведения осмотра ( выключено или включено);

- техническое состояние - внешний вид, целостность корпуса, комплектность СВТ - наличие и работоспособность необходимых блоков, узлов, деталей и правильность их соединения между собой, наличие расходных материалов, тип используемого машинного носителя информации и т. д. (проверку проводит соответствующий специалист);

- тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, наличие предохранителя, стабилизатора, сетевого фильтра, количество подключенных к нему электроприборов, число разъемов - розеток и т. д.);

- наличие заземления («зануления») СВТ и его техническое состояние;

- наличие и техническая возможность подключения к СВТ периферийного оборудования и/или самого СВТ к такому оборудованию, либо к каналу электросвязи (определяется специалистом по наличию у СВТ соответствующих портов и разъемов);

- повреждения, непредусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его деталей ( частей, блоков), особенно те, которые могли возникнуть в результате происшествия или преступления, а также спровоцировать создание внештатной технической ситуации (привести к возникновению происшествия);

- следы преступной деятельности (орудий взлома корпуса СВТ, проникновения внутрь корпуса СВТ, пальцев рук, несанкционированного подключения к СВТ сторонних технических устройств, а также канифоли, припоя, флюсов и других химических веществ, обрезки монтажных проводов и изоляционных материалов, кровь, пот, волосы, волокна ткани и т. д.);

- расположение СВТ в пространстве относительно периферийного оборудования и других электротехнических устройств;

- точный порядок соединения СВТ с другими техническими устройствами;

- категорию информации, циркулирующей в СВТ ( общедоступная или конфиденциальная);

- наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа, съема и утечки (особенно тех из них, которые автоматически уничтожают информацию и МНИ при нарушении процедуры доступа к СВТ, порядка их использования и/или правил работы с информацией) определяется специалистом Гостехкомиссии России;

- расположение рабочих механизмов СВТ и изображение на его экране (мониторе) или визуально-контрольном окне (для принтеров, контрольно-кассовых машин, контрольно - пропускных механизмов, цифровых аппаратов связи и т. д.) в том случае, если на момент осмотра они находится в рабочем состоянии;

- все основные действия, производимые специалистом при осмотре СВТ (порядок нажатия на клавиши и запорные механизмы, корректного приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения или соединения СВТ и ее составляющих, отсоединения коммуникационных и электропитающих проводов и кабелей, результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т. п.).

Осмотр машинного носителя информации может быть произведен в ходе осмотра места происшествия или как самостоятельное следственное действие.

Осмотр МНИ производится с участием специалиста и начинается с определения типа, вида, назначения, технических параметров и ознакомления с его содержанием1. К машинным носителям информации, как правило, относятся магнитные диски (гибкие - дискеты, жесткие - «винчестеры», «банки» и «Zip»); оптические и магнитооптические компакт-диски (CD - «лазерные диски»); бумажные перфоленты и магнитные ленты (в бобинах и кассетах); бумажные перфокарты и магнитные карты (поштучно и в «колодах», комплектах); пластиковые карты (карточки); интегральные микросхемы (ИМС), в т. ч. находящиеся в различных СВТ - в виде оперативной памяти (ОЗУ) и/или постоянного запоминающего устройства (ПЗУ) - персональных компьютерах, пейджерах, сотовых и иных аппаратах электросвязи, электронных записных книжках, электронных переносных справочниках и переводчиках, контрольно-кассовых аппаратах, банкоматах, контрольно-пропускных устройствах, смарт-картах и т. д.). Необходимо также установить1:

Техническое состояние - размеры носителя, внешний вид, материал каркаса носителя, его целостность и индивидуальные признаки, материал основного информационно-несущего слоя и его целостность (механические повреждения - царапины, деформации, нарушения несущего слоя и т. д.), наличие и положение (сохранность) приспособлений от несанкционированного уничтожения (перезаписи) информации (ключей, пломб, заглушек, маркеров), наличие и техническое состояние механизмов защиты информационно-несущего материала (отверстий окон для считывания и записи информации).

Наличие, размеры, цвет, марка и техническое состояние разъемов для подключения к специальному считывающему устройству.

Присутствие внешней спецификации, ее цвет и размеры (заводские или пользовательские наклейки с текстом или специальными пометками).

Наличие, индивидуальные признаки защиты носителя от несанкционированного использования (тип - голография, штрихкод, эмбосинг, флуоресцирование, перфорация, ламинирование, вплавление личной подписи пользователя и т. д.; размеры, цвет, вид).

Признаки материальной подделки МНИ и их защиты -подчистки, подтирки, травления, термического воздействия, переклеивания (склеивания, наклеивания, заклеивания), дописки, замены, переэмбосирования, перепайки и т. д.

Работоспособность и внутренняя спецификация - серийный номер и/или метка тома, либо код; размер разметки (для дисков - по объему записи информации, для лент - по продолжительности записи); размер области носителя, свободной от записи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, каталогов (подкаталогов), данных, их структура, название (имя и/или расширение), размер и объем, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т. д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).

  1. Результат осмотра содержимого файлов (программ, компьютерной информации), записанных на МНИ или находящихся в оперативной памяти СВТ и имеющих значение для дела.

  2. Все манипуляции (нажатия на клавиши и т.д.) со средствами вычислительной техники, совершенные в процессе осмотра.

  3. Индивидуальные признаки СВТ, используемых в процессе осмотра, - тип, вид, марка, название, заводской или регистрационный (учетный) номер и т. п.

  4. Ссылка на то, что используемые в процессе осмотра СВТ перед началом следственного действия были тестированы специалистом на предмет отсутствия в них вредоносных программных и аппаратных средств.

Осмотр документа на машинном носителе и машинограмме, создаваемым СВТ, производится с участием специалиста (или группы специалистов) в зависимости от сферы (области) деятельности, в которой используется осматриваемый документ (кредитно-финансовая, банковская, расчетно-кассовая, услуг, охраны и т. д.).

Ц е л и осмотра - выявление и анализ внешних признаков и реквизитов документа, анализ его содержания, обнаружение возможных признаков его подделки (фальсификации).

При подготовке к проведению данного следственного действия следователю необходимо ознакомиться с требованиями ГОСТ 6.10.4-84 от 01.07.87 г. «УСД. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения». Этим нормативным актом определяются требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники; порядок внесения изменений в эти документы; транспортирования (передачи, пересылки и т. д.) машинных документов, их записи на МНИ; система приема по каналам электросвязи, воспроизведения машинного документа на машинограмму, создания копий и дубликатов машинных документов.

Документы, используемые в документообороте юридических лиц (учреждений, организаций, предприятий и т. д.) могут создаваться как для внешнего, так и внутреннего пользования. Однако в соответствии с требованиями ГОСТ 6.38-72 «Система организационно-распорядительной документации. Основные положения», рассматриваемые документы должны всегда иметь следующие реквизиты: наименование юридического лица, выдавшего (или создавшего) документ; номер документа и дата его составления; заголовок; адресат; содержание; подпись и печать на документах, требующих особого удостоверения их подлинности (или код лица, утвердившего документ).

В соответствии со статьей 160 Гражданского кодекса Российской Федерации допускается использование для удостоверения подлинности юридических документов факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи (ЭЦП) либо иного аналога собственноручной подписи физического лица.

В частности, порядок использование ЭЦП определяется ГОСТ Р 34.10.94 «Электронная цифровая подпись (ЭЦП)». Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства путем электронно-цифровой фиксации основного текста и личностных характеристик подписи физического лица, утвердившего документ, но и установить факт неискаженности (целостности) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Электронная подпись, состав которой непосредственно зависит от заверяемого текста, соответствует только этому тексту при условии, что его никто не изменял. Проверочная сумма (хэш-функция) измененного (фальсифицированного) электронного документа отличается от проверочной функции, которая получается в результате обработанного преобразования электронной подписи. Алгоритм криптографического преобразования данных в ЭВМ, системе ЭВМ или их сети с помощью ЭЦП определяется ГОСТ Р 34.11.94 «Функция криптографического преобразования данных (хэш-функция)». Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя, который содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

Порядок работы с некоторыми видами документов, создаваемых СВТ, может регулироваться, кроме вышеуказанных, межотраслевыми, внутриотраслевыми и другими нормативными актами (например, приказом по объединению, учреждению, организации, предприятию, возлагающим обязанности по удостоверению документов определенной категории на конкретное должностное лицо или работника).

При осмотре необходимо учитывать следующие даны еследующие данные1:

  1. Наименование (назначение) документа (например, идентификационный код и наименование формы документа по классификатору ОКУД).

  2. Тип используемого машинного носителя, его индивидуальные признаки и техническое состояние.

  3. Тип, марка, конфигурация и техническое состояние аппаратного и программного оборудования, других технических устройств, применявшихся при осмотре.

  4. Наличие сопроводительного письма или документа, его заменяющего (например, договора на использование пластиковой карточки или регистрационного сертификата на использование ЭЦП).

  5. Форма записи содержания документа (человекочитаемая, закодированная в машинном формате, смешанная).

  6. Реквизиты организации (лица) создателя документа ( наименование и юридический адрес).

  7. Наличие грифа ограничения доступа к документу на машинном носителе или машинограмме («конфиденциально», «для служебного пользования», «секретно», «совершенно секретно»).

  8. Регистрационный номер документа и/или машинного носителя (заводской номер, серийный номер тома, метка тома).

  9. Дата изготовления (создания) или выдачи документа (с указанием времени записи документа на МНИ, позволяющим идентифицировать ее с машинным протоколом).

  10. Размер документа (линейный или объемный - по количеству символов или общему объему символов в документе в байтах) и/или количество страниц.

  11. На чье имя выдан (реквизиты адресата-получателя).

  12. Какими реквизитами заверен (ЭЦП; кодом (позывным) лица, ответственного за правильность изготовления, копирования или передачу документа по телекоммуникационным каналам; собственноручной подписью уполномоченного лица; печатью; индивидуальным кодом абонента сети дистанционной передачи данных - «электронной почты»; специальным позывным кодом аппаратуры связи).

  13. Индивидуальные признаки документа (название файла - программы); структура расположения символов; машинный формат текста (формат MS DOS, WORD for WINDOWS и т. д.); наличие маркеров страниц, выделений текста; тип и цвет печати (матричный, струйный, электрографический, смешанный) указать конкретно для каждого элемента; наличие защитных знаков и т. д.).

  14. Выявленные при осмотре признаки подлога и материальной подделки документа и его носителя.


1   2   3   4


написать администратору сайта