Обнаружение и фиксация следов

Для обнаружения и фиксации следов КП необходимы следующие действия:

· осмотр места происшествия;

· осмотр средства вычислительной техники;

· осмотр машинного носителя информации (МНИ);

· осмотр машинного документа;

· обыск и выемка;

· информационная экспертиза.

Проводятся они в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом некоторых особенностей[2].

Осмотр места происшествия

Цель осмотра места происшествия - установление конкретного СВТ, выступающего в качестве предмета и/или орудия совершения преступления и имеющего следы преступной деятельности. При производстве следственного действия целесообразно использовать тактический прием «от центра - к периферии», где «центром» (отправной точкой осмотра места происшествия) являются СВТ, находящиеся на месте осмотра.

Осмотр средства вычислительной техники

Осмотр СВТ, участвовавшего в преступлении, производят для достижения следующих целей:

1) обнаружения следов, образовавшихся в результате происшествия или совершения преступления, и других вещественных доказательств для установления, кем, с какой целью и при каких обстоятельствах было совершено преступление;

2) выяснения обстановки происшествия для восстановления механизма совершения преступления;

3) установления технического состояния СВТ.

Осмотр машинного носителя информации(МНИ)

Осмотр машинного носителя информации может быть произведен в ходе осмотра места происшествия или как самостоятельное следственное действие.

Осмотр МНИ производится с участием специалиста и начинается с определения типа, вида, назначения, технических параметров и ознакомления с его содержанием.

Осмотр машинного документа

Осмотр документа на машинном носителе, создаваемым СВТ, производится с участием специалиста (или группы специалистов) в зависимости от сферы (области) деятельности, в которой используется осматриваемый документ (кредитно-финансовая, банковская, расчетно-кассовая, услуг, охраны и т. д.).

Цели осмотра - выявление и анализ внешних признаков и реквизитов документа, анализ его содержания, обнаружение возможных признаков его подделки (фальсификации).

Изъятие средств вычислительной техники, машинных носителей информации, компьютерной информации как элемент отдельных

Следственных действий

Изъятие СВТ, машинных носителей информации и компьютерной информации должно происходить при непосредственном участие соответствующих специалистов. При этом следователь должен обеспечить строгое соблюдение требований уголовно-процессуального законодательства, иначе изъятые при производстве следственного действия СВТ, материалы и документы впоследствии не смогут выступать в качестве доказательств по делу.

Осмотр места происшествия, средства вычислительной техники, машинного носителя информации и документа необходимо проводить в строгой последовательности, уделяя особое внимание тем частям предметов, на которых имеются повреждения и следы, и с обязательным использованием фото- и/или видеосъемки. Важно сфотографировать или произвести видеозапись не только места происшествия, отдельных объектов, СВТ и их соединений, но и все действия специалистов, участвующих в осмотре.

Обыск и выемка

Обыск по делам о преступлениях, совершаемых с использованием СВТ, в большинстве случаев является неотложным следственным действием и требует тщательной подготовки.

На подготовительном этапе обыска следователю необходимо осуществить следующие мероприятия:

- выяснить, какие СВТ находятся в помещении, намеченном для проведения обыска (по возможности установить их тактико-технические характеристики);

- установить, какие средства защиты информации и СВТ от несанкционированного доступа находятся по месту обыска (по возможности выяснить ключи доступа и тактико-технические характеристики средств защиты);

- определить режим и технические системы охраны объекта, СВТ и категорию обрабатываемой информации (общедоступная или конфиденциальная);

- выяснить, какие средства связи и телекоммуникаций используются для работы СВТ и информационного обмена - установить их тип, тактико-технические характеристики, категорию (общедоступные или конфиденциальные), абонентские номера, позывные, ключи (коды) доступа и т. п.;

- установить тип источников электропитания вышеперечисленных технических средств (электросеть, автономные, бесперебойные - комбинированные) и расположение пунктов обесточивания помещения и аппаратуры, подлежащих обыску;

- пригласить соответствующих специалистов для подготовки и участия в следственном действии;

- подготовить соответствующие СВТ, специальную аппаратуру и материалы для поиска, просмотра, распаковки, расшифровки, изъятия и последующего хранения машинной информации, СВТ и специальных технических устройств;

- определить дату, время и границы проведения обыска, время поиска и меры, обеспечивающие его конфиденциальность (важно, чтобы пользователь, владелец или оператор СВТ не подозревал о предстоящем следственном действии и не работал в момент проведения обыска на СВТ);

- проинструктировать оперативных сотрудников и видеооператора о специфике проводимого следственного действия;

- по возможности изучить личность обыскиваемого, пользователя (владельца) СВТ, вид его деятельности, профессиональные навыки по владению СВТ;

- пригласить понятых, обладающих специальными познаниями в области автоматизированной обработки информации.

На обзорной стадии обыска необходимо:

1) Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают информацию и МНИ при нарушении процедуры доступа к СВТ и машинной информации, порядка их использования и/или установленных правил работы с ними; принять меры к установлению пароля, ключа санкционированного доступа и шифрования-дешифрования информации.

2) Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи по схемам «компьютер - компьютер», «компьютер - управляющий компьютер», «компьютер - периферийное устройство», «компьютер - средство электросвязи», «компьютер - канал электросвязи», «периферийное устройство - периферийное устройство», «периферийное устройство - канал (средство) электросвязи» и наоборот.

При наличии компьютерной сети любого уровня технической организации в первую очередь должен быть осмотрен и подвергнут обыску центральный управляющий компьютер. Данное СВТ хранит в своей оперативной и постоянной памяти наибольшую часть машинной информации, управляет другими СВТ, имеет с ними прямую и обратную связь и, как правило, имеет программу автоматической фиксации доступа СВТ друг к другу (своеобразный «электронный журнал» учета работы всех СВТ сети - их индивидуальные номера ( позывные, абонентские и т. п.), точные даты и время каждого соединения при обмене информацией, длительность и вид сеанса связи, характеристику передаваемой и получаемой информации, аварийные ситуации, сбои в работе отдельных СВТ (рабочих станций, периферийного оборудования), идентификационные коды и пароли операторов, попытки несанкционированного или нештатного доступа и т. д.).

3) Определить СВТ, находящиеся во включенном состоянии, и характер выполняемых ими операций и/или программ. Особое внимание необходимо уделить терминальным печатающим и видеоотображающим устройствам (принтерам и мониторам). Распечатки информации (листинги) при необходимости должны быть изъяты и приобщены к протоколу следственного действия; изображение на экране монитора изучено и детально описано в протоколе (можно также зафиксировать его на видеопленку, либо сделать распечатку на бумаге с использованием специальных сканирующих программ).

Если специалисту удастся установить, что на момент обыска на каком-либо СВТ происходит уничтожение информации, либо уничтожается машинный носитель информации, необходимо всеми возможными способами приостановить этот процесс и начать обследование с данного места или СВТ.

4) При обследовании персонального компьютера необходимо:

- установить последнюю исполненную программу и/или операцию, а при возможности все, начиная с момента включения компьютера;

- произвести экспресс-анализ машинной информации, содержащейся на жестком диске и в оперативной памяти компьютера с целью получения информации, имеющей значение для следствия (интерес могут представлять файлы с текстовой и графической информацией).

Детальный этап обыска является очень трудоемким и требует высокой квалификации как специалиста в области СВТ, так и всей следственно-оперативной группы.

Необходимо четко организовать поисковые мероприятия, направленные на поиск тайников, в которых могут находится предметы, устройства и документы. Ими может служить и само СВТ - аппаратные и программные оболочки модулей его составляющих.

Предметом выемки в абсолютном большинстве случаев служат средства вычислительной техники, машинные носители информации, машинная информация, всевозможные документы, средства защиты информации, специальная разведывательная и контрразведывательная аппаратура, а также свободные образцы почерка, машинописных текстов и готовой продукции для сравнительного исследования.

Помимо вышеуказанного могут быть изъяты материалы, предметы, приспособления, устройства и инструменты, которые могли быть использованы преступником при изготовлении орудий преступления, поддельных документов, машинных носителей информации и самой информации; черновики, на которых отрабатывалась поддельная подпись или другие реквизиты документа; копии и бланки регистрационно-учетных документов и расчетно-кассовых операций; техническая и справочная литература, косвенно связанная с технологией обращения и изготовления электронных документов и машинных носителей информации, орудий преступления; фотографии, аудио-, видеокассеты соответствующего содержания, в том числе с зарубежными художественными видеофильмами, содержащими эпизоды преступной деятельности, способы подготовки, совершения и сокрытия преступлений, изготовления спецтехники; оргтехника - копировальные и печатные аппараты (ксероксы, печатные машинки, телефонные аппараты с расширенными функциями, факсы, пейджеры, сотовые и радиотелефонные аппараты и т. д.); штампы, печати и маркираторы; ламинаторы; средства эмбосирования машинных носителей, нанесения защитных знаков и т. д.

Информационная экспертиза

С помощью информационной экспертизы можно решать следующие задачи:

- воспроизводить и распечатывать всю или часть компьютерной информации (по определенным темам, ключевым словам и т. п.), содержащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах - в форме языков программирования, электронных таблиц, баз данных и т. д.);

- восстанавливать компьютерную информацию, ранее содержавшуюся на машинных носителях, но впоследствии стертую или измененную (модифицированную) по различным причинам;

- устанавливать дату и время создания, изменения ( модификации), стирания, уничтожения, либо копирования той или иной информации (документов, файлов, программ и т. д.);

- расшифровывать закодированную информацию, подбирать пароли и раскрывать систему защиты СВТ;

- исследовать СВТ на предмет наличия в них программно-аппаратных модулей и модификаций, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети (вредоносных средств - компьютерных вирусов, «закладок», «жуков» и т. п.);

- определять авторство, место (средство) подготовки и способ изготовления документов (файлов, программ), находящихся на машинном носителе информации;

- выяснять возможные каналы утечки конфиденциальной информации из компьютерной сети, конкретных СВТ и помещений; устанавливать возможные несанкционированные способы доступа к охраняемой законом компьютерной информации и ее носителям;

- выяснять техническое состояние, исправность СВТ, оценивать их износ, а также индивидуальные признаки адаптации СВТ к конкретному пользователю;

- устанавливать уровень профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя;

- определять конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети;

- выяснять причины и условия, способствующие совершению правонарушения, связанному с использованием СВТ.

Следователь, правильно оценив и тщательно изучив заключения экспертов и прилагаемые к ним материалы, может широко использовать полученные данные как при назначении и производстве других экспертиз и следственных действий, так и в качестве самостоятельных доказательств по делу.

Доказательная база компьютерного преступления состоит из:

- уникальной вредоносной программы, расположенной на объекте и явно указывающей на злоумышленника;

- похищенной с объекта информации и следов работы с ней;

- утилит получения несанкционированного доступа к ресурсам объекта и утилит по расширению полномочий, расположенных у злоумышленника;

- следов использования утилит для расширения полномочий у злоумышленника идентичных следам на объекте;

- следов разработки кодов для получения несанкционированного доступа и расширения полномочий, следов их отладки и применения;

- сведений от провайдера связи о подключениях к сети Интернет в указанный диапазон времени, для злоумышленника;

- файлов журналов систем защиты и операционной системы объекта;

- файлов журналов утилит для получения доступа и расширения полномочий;

- следов принципиального или графического моделирования объекта атаки;

- специализированных утилит у злоумышленника для обработки информации, хранящейся на объекте;

- следов исследования открытых источников информации объекта с целью обнаружения информации об организации защиты на объекте, а также об уязвимостях систем защиты, установленных на объекте;

- публикаций злоумышленника в открытых источниках информации о совершенной атаке.

Собрав все возможные технические доказательства, подкрепив их пояснениями специалистов и комментариями компьютерного преступника, материалы передаются в судебные органы. Для объективности принятия решения судебным органами стоит провести консультацию судье в присутствии необходимых специалистов. Обвинение и судебное разбирательство подробно не рассмотрено, так как это вопрос рассматривают специалисты в области юриспруденции.

Выводы

Пошаговое восстановление хроники событий в первую очередь необходимо правоохранительным органам для расследования киберпреступленнй. Однако оно также полезно и для администраторов безопасности объекта, которые могут практически оценить действительные угрозы, оценить риски и управлять ими. Таким образом, первые получат существенный организационный и технический вклад в расследовании кнберпреступления, а вторые получат проверенную практикой эффективную политику безопасности.

Также с помощью модели киберпреступлений администраторы безопасности могут провести анализ вероятных угроз и оценить риски, связанные с ними, что, в свою очередь, будет являться серьезным упреждающим воздействием.

Раздел БЖД

Разработка модели киберпреступлений, куда входит:

- совершение киберпреступления;

- расследование киберпреступления,

требует затрат человеческого труда.

Разработка модели, проводится в закрытом помещении с естественным и искусственным освещением, рассчитанном на 4 рабочих места, площадью 15 м2 , ширина которого - 5 м, длина - 3 м.

Охрана труда