Основы расследования преступлений в сфере компьютерной информации.
В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства:
- появление в компьютере фальшивых данных;
- не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;
- частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети;
- осуществление сверхурочных работ без видимых на то причин;
- немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;
- неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;
- чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр;
- участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.
Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:
1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.
2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.
3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.
В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно-розыскные, организационные и иные мероприятия:
1) получение объяснения (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей (очевидцев);
2) вызов и инструктаж необходимых специалистов для участия в осмотре места происшествия;
3) осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, средств вычислительной техники (СВТ), документов и т. п.);
4) проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, определения рабочего места преступника, обнаружения следов и других вещественных доказательств;
5) изучение справочной литературы, ведомственных нормативных актов, положений, инструкций, правил эксплуатации конкретного СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;
6) наведение справок в контролирующих, инспектирующих и лицензирующих организациях и их структурных подразделениях ФСТЭК России, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);
7) истребование материалов контрольных проверок, инвентаризаций и ревизий (соблюдения правил обработки информации, системы защиты конфиденциальной информации, оборота электронных документов и др.) за интересующий следствие период, в случае необходимости – организовать их производство (в т.ч. повторно);
8) выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носителях информации), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;
9) допросы подозреваемых и/или свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;
10) обыски на рабочих местах и по месту проживания подозреваемых;
11) назначение экспертиз – программно-технической, радиотехнической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.
Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.
При наличии третьей следственной ситуации необходимо:
1) изучить поступившие материалы с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка их передачи в органы предварительного следствия. При необходимости следует принять меры к получению недостающей процессуальной информации;
2) решить вопрос о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях;
3) личный обыск задержанного;
4) осмотр места происшествия с участием соответствующих заранее приглашенных специалистов;
4) допрос задержанного;
5) обыски на рабочем месте и по месту проживания задержанного;
6) установление связей задержанного и лиц, причастных к совершению преступления;
7) допрос свидетелей (очевидцев);
8) допрос подозреваемого;
9) выемка и осмотр следующих вещественных доказательств и документов:
- подлинных документов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те производственные операции, в процессе которых допущены нарушения и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации);
- орудий подготовки, совершения и сокрытия преступления;
- предмета преступления;
10) допрос лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установленных нарушений;
11) истребование, а при необходимости производство выемки нормативных актов и документов, характеризующих порядок и организацию работы в данном подразделении с конфиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.;
12) допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с преступником;
13) анализ полученной информации и решение вопроса о необходимости назначения судебных экспертиз, проведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).
В очередность перечисленных следственных действий, оперативных и организационных мероприятий могут быть внесены коррективы в зависимости от изменения ситуации.