24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации

24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации

16
0

Общие положения

По делам о
преступлениях данной категории (ст. 272-274 УК РФ) место происшествия не всегда
ограничивается какой-то одной опреде­ленной территорией (одним помещением или
отдельным зданием). Места, подлежащие осмотру, могут располагаться на
значительных рас­стояниях друг от друга. Так, например, неправомерный доступ к
охра­няемой законом компьютерной информации совершен с одного места, а вредные
последствия – причинены в другом. То же самое можно ска­зать и о создании,
использовании и распространении вредоносных про­грамм для ЭВМ либо преступном
нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети. Компьютерное оборудование
может представлять как отдельную ЭВМ, решающую самостоятельные авто­номные
задачи, так и компьютер, являющийся составной частью ком­пьютерной системы или
сети. Когда компьютер используется в пре­ступных целях не как часть системы или
сети, то место совершения преступления ограничивается тем помещением, где он
установлен. Если же он представляет часть системы или сети, то границы осмотра
могут быть значительно расширены.

Объекты осмотра

Осмотру могут
подлежать:

1. Место
непосредственной обработки и постоянного хранения ком­пьютерной информации,
ставшей предметом преступного посягатель­ства.

2. Место
непосредственного использования компьютерного обору­дования для неправомерного
доступа к охраняемым базам и банкам данных или создания, использования и
распространения вредоносных программ для ЭВМ.

3. Место хранения
информации на машинном носителе, в электрон­но-вычислительной машине (ЭВМ),
системе ЭВМ или их сети, добы­той преступным путем из других компьютерных
систем и сетей.

4. Место
непосредственного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети.

5. Место
наступления вредных последствий (несанкционированное уничтожение, блокирование,
модификация либо копирование охра­няемой законом компьютерной информации,
нарушение работы ЭВМ, системы ЭВМ или их сети).

Рекомендации по
осмотру

Осмотр места
происшествия должен начинаться с тщательной подго­товки, заключающейся в
уточнении его границ, выборе необходимых специалистов, технических средств и
четком определении его объек­тов. Целесообразно обратиться к помощи службы
безопасности той организации, в которой обнаружено правонарушение.

По прибытии на
место происшествия следует принять меры к обес­печению сохранности информации в
находящихся здесь компьютерах и на магнитных носителях, для чего необходимо:

а) не разрешать кому
бы то ни было из лиц, работающих в это время или находящихся здесь по другим
причинам, прикасаться к компью­терному оборудованию;

6) не разрешать
кому бы то ни было из персонала выключать электроснабжение объекта;

в) не производить
самому никаких манипуляций с компьютерной техникой, если результат этих
манипуляций заранее не известен.

При проведении
осмотра необходимо принять во внимание следую­щие неблагоприятные факторы:

а) возможные
попытки уничтожить информацию и ценные данные лицами из числа персонала,
заинтересованными в сокрытии преступ­ления;

б) наличие в ЭВМ
специальных средств защиты от несанкциониро­ванного доступа, которые, не
получив в установленное время специаль­ный код, автоматически уничтожают всю
информацию;

в) возможное
наличие в ЭВМ иных средств защиты информации от несанкционированного доступа и
прочие неожиданности.

В связи с
изложенным крайне важно участие специалистов на самом первом этапе производства
осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного
оборудова- • ния и машинных носителей информации, но и указать, что подлежит^
изъятию. Профиль нужного специалиста определяется в зависимости;

от целей и задач
осмотра с учетом первоначальных данных о характере преступления. Чаще всего
может потребоваться помощь нескольких;

специалистов, в
том числе программиста по операционным системам и, прикладным программам,
электронщика, хорошо знающего компью-;

терную технику,
специалиста по средствам связи, а также техника-кри-  миналиста. Последний
необходим для обнаружения и сбора традици­онных доказательств, например скрытых
отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др.,
шифрованных рукописных записях и пр.

Осмотру подлежат
все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с
участием специалистов поможет воссо­здать картину действий злоумышленников и
получить важные доказа­тельства.

В ходе общего
осмотра необходимо наметить план детальных дей­ствий. Объекты, подлежащие
осмотру, можно условно подразделить на четыре основные группы:

1) служебное
помещение;

2) средства
вычислительной техники;

3) носители
информации;

4)документы.

Осмотр служебного
помещения. Он необходим для об­щего обзора, определения границ осмотра места
происшествия, коли­чества и схемы расположения рабочих мест, уточнения порядка
разме­щения компьютерного оборудования и мест хранения машинных носи­телей
информации. Это позволит в дальнейшем изучить возможность несанкционированного
проникновения посторонних лиц в помещение, где находится ЭВМ, а также
установить место создания, использования либо распространения вредоносной
программы для ЭВМ и место на­рушения правил эксплуатации ЭВМ, системы ЭВМ или
их сети. В про­цессе осмотра необходимо отразить в протоколе месторасположение
данного помещения в здании учреждения, наличие охранной сигнали­зации,
состояние оконных и дверных проемов (повреждения, техничес­кое состояние),
запорных устройств, экранирующих средств защиты;

микроклиматические
условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха).
Целесообразно начертить схему ос­матриваемого помещения с обозначением на ней
мест расположения оборудования. Кроме того, осматриваемое помещение должно быть
сфотографировано по правилам судебной фотографии – сначала общий вид его, затем
по правилам узловой фотосъемки зафиксировать отдельные компьютеры и
подключенные к ним устройства, а в случае вскрытия системного блока – по
правилам детальной съемки отдель­ные его узлы, особенно те, которые согласно
инструкции по эксплуата­ции не должны устанавливаться на материнской плате или
в корпусе блока (это определит специалист).

Осмотр средств
вычислительной техники. Непо­средственными объектами осмотра могут быть:
отдельные компьюте­ры, не являющиеся составной частью локальных или глобальных сетей;

рабочие станции
(компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей;
сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При
их осмотре в протоколе следует отразить:

1. Положение
переключателей на блоках и устройствах вычисли­тельной техники.

2. Состояние
индикаторных ламп.

3. Содержание
информации, высвечиваемой на мониторе, и свето­вых сигналов на различных
индикаторах и табло.

4. Состояние
кабельных соединений (их целостность и отсутствие следов подключения нештатной
аппаратуры).

5. Наличие и
содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и
устройствах компьютерного оборудования.

6. Механические
повреждения.

7. Наличие внутри
компьютерной техники нештатной аппаратуры и различных устройств.

8. Следы
нарушения аппаратной системы защиты информации и другие признаки воздействия на
вычислительную технику.

Помимо этих общих
положений необходимо отметить особенности осмотра работающего и неработающего
компьютера.

При осмотре
работающего компьютера следует с участием, специ­алиста:

1) установить,
какая программа выполняется, для чего осмотреть изображение на экране дисплея и
детально описать его (а проще про­извести фотографирование или видеозапись);

2) по мере
необходимости остановить исполнение программы и ус­тановить, какая информация
получена после окончания ее работы;

3) определить и
восстановить наименование вызывавшейся послед­ней раз программы;

4) установить
наличие в компьютере накопителей информации (винчестеры, дисководы для дискет,
стриммеры, оптические диски), их тип (вид) и количество;

5) скопировать
информацию (программы, файлы данных), имею­щуюся в компьютере (особенно это
важно для информации, находя­щейся в ОЗУ и виртуальном диске, так как после
выключения компью­тера она уничтожается).

Если компьютер
подключен к локальной сети, то необходимо.

1. Установить
количество подключенных к файл-серверу рабочих станций или компьютеров, вид
связи сети, количество файл-серверов в сети.

2. По возможности
организовать параллельный осмотр включенных в локальную сеть рабочих станций и
компьютеров (по вышеизложен­ной схеме осмотра работающего компьютера). Если же
такая возмож­ность отсутствует, то надо обеспечить их остановку и далее произво­дить
осмотр в режиме неработающего компьютера.

Осматривая с
участием специалиста неработающий компьютер, нужно:

1. Определить
местонахождение компьютера и его периферийных устройств (печатающего
устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в
протоколе наименования, номера, модели, формы, цвета каждого из них.

2. Установить
порядок соединения между собой вышеуказанных устройств^ количество
соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и
количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в
какую именно и каковы способ и средства его подключения.

3. Проверить
красящую ленту матричного принтера, на которой могут быть обнаружены следы
текста.

Надо иметь в
виду, что в отличие от работающего компьютера нера­ботающий лишен таких
признаков, как светящееся изображение на экране дисплея, свечение индикаторов
на передних панелях системно­го блока, шум внутренних вентиляторов.

В процессе
осмотра нельзя забывать о необходимости соблюдения элементарных правил
обращения с вычислительной техникой, в част­ности:

1. Все включения
и выключения компьютерного оборудования должны осуществляться только
специалистами либо под их руковод­ством.

2. Не производить
разъединения или соединения кабельных линий, прежде чем не будут выяснены их
назначение, чтобы не допустить ущерба компьютерной системе.

3. Вскрытие и
демонтаж компьютерного оборудования производить только с участием специалиста.

4. Не допускать
попадания мелких частиц и порошков на рабочие части устройств ввода-вывода
компьютеров.

5. Применение
магнитных искателей, ультрафиолетовых осветите­лей, инфракрасных
преобразователей и других подобных приборов для осмотра вычислительной техники
должно быть согласовано со специ­алистом, чтобы избежать разрушения носителей
информации и мик­росхем памяти ЭВМ.

Осмотр носителей
машинной информации. Он про­изводится с целью установления содержания самой
компьютерной ин­формации и обнаружения внешних следов, в том числе следов
пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной
информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические
диски, дискеты, магнитные ленты, оператив­ные запоминающие устройства (ОЗУ),
постоянно запоминающие уст­ройства (ПЗУ), виртуальные диски, бумажные носители
информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).

При осмотре
необходимо указать в протоколе:

1. Место
обнаружения каждого носителя информации (стол, шкаф, сейф), температуру
воздуха, при которой он хранился.

2. Характер его
упаковки (конверт, специальный футляр-бокс для хранения дискет, коробка, фольга
и пр.), надписи на упаковке, наклей­ки на носителях информации с
соответствующими пометками, цвет материала упаковки и наклейки, наличие
штрихового кода и прочие особенности.

3. Тип и размер
носителя (в дюймах).

4. Изготовитель,
плотность записи и номер (если они обозначены на дискете), состояние средств
записи от стирания (открытые или от­ломанные шторки на дискетах и кассетах).

5. Особые приметы
на машинных носителях (царапины, иные по­вреждения, гравировки и пр.).

6. Тип
компьютера, для которого предназначен обнаруженный но­ситель (его марка,
фирма-изготовитель).

Нужно помнить о
наличии дискет, принесенных со стороны, кото­рые могут содержать вредоносные
программы (компьютерные вирусы) либо незаконно скопированную информацию.

Обращаться с
магнитными носителями информации следует осто­рожно – не прикасаться руками к
рабочей поверхности дисков, не под­вергать их электромагнитному воздействию, не
сгибать диски, не хра­нить их без специальной упаковки, не допускать резких
перепадов тем­пературы при хранении и транспортировке.

Осмотр
документов. Это могут быть: журналы учета работы на компьютере (если они
ведутся), листинги, техническая, технологи­ческая, кредитно-финансовая,
бухгалтерская и прочая документация (инструкции, положения, правила, уставы,
технорабочие проекты на автоматизированную информационную систему (АИС),
договоры, контракты, соглашения и т.д.).

Особое внимание
нужно обратить на: подчистки, исправления; до­полнительные записи; отсутствие нумерации
страниц; дополнительно вклеенные страницы, листки, бланки; письменные
распоряжения на исполнение определенных работ по изменению программ для ЭВМ,
вводу дополнительной информации, не предусмотренной технологи­ческим процессом;
соответствие ведущихся в системе форм регистра­ции информации правилам,
установленным технической и технологи­ческой документацией.

Вопрос об изъятии
документов надлежит согласовать со специалис­том, а в протоколе указать
наименование, количество экземпляров, число страниц, место обнаружения.

В случае изъятия
отдельных устройств вычислительной техники и машинных носителей информации,
обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать
следующие правила упаковки и транспортировки:

1. Упаковку
желательно производить в специальную тару, в которой данную технику поставляет
предприятие-изготовитель (если она со­хранилась).

2. Сменные
носители компьютерной информации (дискеты, лазер­ные диски, магнитные ленты
стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный,
пластмассовый или полиэтилено­вый), при их отсутствии можно просто завернуть в
плотную бумагу, а для ослабления электромагнитного воздействия целесообразно
маг­нитный носитель информации поверх конвертов обернуть в бытовую алюминиевую
фольгу.

3. Технические
устройства при отсутствии заводской тары упаковы­ваются в деревянные ящики,
используя для внутренних перегородок прокладки из упругого материала
(гофрированного картона, пеноплас­та, толстого слоя бумаги).

4. Опечатать
упаковку и снабдить ее удостоверительными надпи­сями.

Вопросы упаковки
компьютерной техники желательно уточнить со специалистом.

Что касается
транспортировки, то ее необходимо осуществлять так, чтобы не допустить:

1) механического
воздействия на аппаратуру;

2) влияния атмосферных
факторов (дождя, снега, повышенной влажности);

3) воздействия
электромагнитных излучений;

4) влияния
слишком высоких и низких температур, помня, что для аппаратуры, содержащей в
себе магнитные носители информации, они должны храниться в диапазоне
температуры от 0 до 50°С.

Типичные ошибки
при осмотре места происшествия по делам о преступлениях в сфере компьютерной
информации:

1. Несоблюдение
правил обращения с вычислительной техникой и но­сителями компьютерной
информации.

2. Отсутствие
чистой дискеты для неотложного копирования ин­формации, содержащейся в
оперативном запоминающем устройстве и там, где она может быть быстро уничтожена
при отключении электропитания компьютерного оборудования или по другим при­чинам.

3. Употребление в
тексте протокола осмотра непонятных техничес­ких и профессиональных терминов,
используемых в информатике, без доступного пояснения.

4. Необоснованное
изъятие отдельных технических средств и ком­пьютерного оборудования, так
сказать «на всякий случай».

5. Использование
вместо копий подлинных носителей машинной информации для пробного включения
компьютеров в процессе осмот­ра места происшествия (особенно программ для ЭВМ).

6. Нарушение
правил упаковки и транспортировки компьютерной техники и машинных носителей
информации.

Назначение
экспертиз

По результатам
осмотра места происшествия возможно назначение ин­формационно-технической или
информационно-технологической экс­пертиз. Если объектом экспертного
исследования является только про­грамма для ЭВМ, то такая экспертиза может быть
названа компьютер­но-программной. Перед экспертами можно поставить такие
вопросы:

1) С какого
терминала (компьютера) и по каким средствам связи и телекоммуникации мог быть
совершен неправомерный доступ в дан­ную компьютерную систему или сеть?

2) Возможно ли
восстановить записанную ранее информацию на частично поврежденном носителе?
Если да, то каково ее содержание?

3) Является ли
подлинным представленный на исследование дан­ный машинный носитель или это его
копия?

4) Может ли
программа, обнаруженная на месте происшествия, быть вредоносной? Если да, то
какой вред могла она причинить?

5) Позволяет ли
техническое состояние компьютерного оборудова­ния решать в полном объеме
задачи, предусмотренные проектной и эксплуатационной документацией на данную
компьютерную систему

или сеть?

6) Каков механизм
внесения изменений в компьютерную информа­цию?

7) Может ли быть
выявленное отклонение от технологии электрон­ной обработки данных
непосредственной причиной наступления вред­ных последствий?

По характеру
конкретного преступления могут возникнуть сомне­ния, требующие устранения. Так,
по делам о неправомерном доступе к охраняемой законом компьютерной информации
перед информацион­но-технологической экспертизой могут быть поставлены более част­ные
вопросы, относящиеся к режиму ее обработки и охраны, главным образом, к
организационно-административным мерам защиты этой ин­формации и, особенно,
связанные с ограничением -доступа к компью­терной информации.

Частные вопросы
для информационно-технической экспертизы должны относиться к техническим
особенностям уничтожения, блоки­рования модификации, копирования информации,
нарушения работы как отдельного компьютера и его внешних технических устройств,
так и системы ЭВМ либо их сети.

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ