книги / Теория и практика борьбы с компьютерной преступностью
..pdf■произошел программный или аппаратный сбой в системе, заявитель о преступлении добросовестно заблуждается;
■произошло нарушение правил эксплуатации компьютерных систем;
■сотрудниками пострадавшего субъекта хозяйствования была оказана помощь проникновению преступника в компьютерную систему (выдача паролей, раскрытие систем защиты и протоколирования) либо преступ ление совершено самими сотрудниками потерпевшего субъекта хозяйст вования.
Следует отметить, что по своей логической природе следственные вер сии ничем не отличаются от версий в иных областях знаний [5, с. 41]. Под версией мы понимаем обоснованное предположение лиц, производящих су дебное исследование доказательств, о наличии или отсутствии события компьютерного преступления, об обстоятельствах его совершения и лично сти преступника.
Специфика выдвижения версий при расследовании компьютерных пре ступлений сказывается практически на всех его этапах, обнаружение и изъ ятие достоверной доказательственной информации зачастую зависит от своевременного и правильного применения специализированных модулей, которые могут сыграть важную роль при выдвижении общих и частных версий.
Применительно к компьютерным преступлениям оперирование общими версиями означает использование предположений: является ли данное событие преступлением, иным правонарушением либо не относится к таковым.
Можно выделить ряд признаков, указывающих на подготовку, либо со вершение компьютерного преступления. В их число входят следующие:
■хищение носителей информации;
■необоснованные манипуляции с ценными данными;
■нарушение заданного режима функционирования компьютерных систем;
■проявление разрушений компьютерной информации, имеющих вирус ный характер;
■необоснованная потеря значительных массивов данных;
■сведения о попытках несанкционированного доступа к компьютерной информации, содержащихся в протоколах работы средств защиты ком пьютерной техники;
■необоснованное нахождение в помещениях организации посторонних лиц, в том числе в ходе внепланового технического осмотра помещений, оборудования, различных средств и систем жизнеобеспечения предста вителями обслуживающих и контролирующих организаций;
■нарушение правил ведения журналов рабочего времени компьютерных систем или полное отсутствие таких журналов;
■повышенный интерес некоторых сотрудников к сведениям, не относя щимся к их непосредственной деятельности, посещение ими других подразделений и служб организации, сверхурочная работа;
■жалобы клиентов;
■передача закрытой информации лицам, не имеющим к ней доступа и др.
Впроцессе расследования компьютерных преступлений к наиболее сложным обстоятельствам, подлежащим выяснению, относятся способ со вершения преступления, а также обстоятельства, связанные с приготовле нием, совершением и сокрытием преступного события. Поэтому знания лишь самой формы проявления способа, описания его общих признаков не всегда достаточно для своевременного выявления компьютерного преступ ления, полного расследования всех его эпизодов.
Версии о способе компьютерного преступления могут строиться во вре мя проведения осмотра места происшествия. Так, осмотр выходных печат ных форм, отчетов (результатов работы прикладной программы) позволяет обнаружить результаты финансовых операций и последствия отдельных действий персонала пострадавшей организации, проследить динамику пер вичных данных и данных, подвергшихся компьютерной обработке и анали зу в запоминающих устройствах.
Логическая природа версий обусловливает необходимость построения их с учетом не только обстоятельств, характеризующих способ преступле ния в целом, но и отдельных его компонентов. В этом смысле частные вер
сии о способе компьютерного преступления являются предположениями о некоторых составных элементах механизма совершения преступления, о методах и приемах преступной деятельности.
При оперировании версиями в ходе осмотра места происшествия следует исходить из разнообразия проявления признаков компьютерного преступ ления. Эти признаки указывают не только на способы преступных действий, но и на непосредственный предмет посягательства, возможных соучастни ков преступления (должностных лиц определенных категорий, других ра ботников) [102, с. 99].
При выдвижении версии о противоправном воздействии персонала по терпевшей организации на компьютерную систему следователю целесооб разно учитывать следующие виды действий криминального характера:
■сознательные противоправные действия, совершаемые из корыстных или хулиганских побуждений;
■использование обмана, подкупа и особенностей характера сотрудников, отвечающих за информационную безопасность;
■ошибочные действия администраторов сетей.
Входе осмотра файлов реестров, журналов аудита и регистрации, дру гих документов на электронных и бумажных носителях, их технико криминалистического анализа сам факт обнаружения признаков объектив но невозможных данных дает основание для выдвижения версий о попыт ках скрыть определенные обстоятельства, а также о способе, примененном преступниками.
Благодаря анализу журналов регистрации и аудита компьютерной сис темы, дат внесения изменений в эти журналы, процедур заполнения, поряд ка и графика резервного копирования данных, условий и способа хранения резервных копий выясняются причины отступления от установленных пра вил, нормативов. Проверку версий по делам о компьютерных преступлени ях с использованием специального инструментария необходимо проводить
сучастием специалиста.
Консультационная помощь специалиста, как одна из форм использова ния специальных знаний, в процессе построения версий обладает опреде ленной спецификой. Лицо, обладающее познаниями в компьютерной техни ке и средствах телекоммуникаций, на основе изучения фактического мате риала по заданию следователя излагает свое мнение об обстоятельствах изучаемого преступного события, причинах его возникновения, развития, способах сокрытия. В данном случае речь идет о так называемом предвари тельном исследовании - непроцессуальной форме использования специаль ных знаний [25, с. 47].
Полученные при этом данные не имеют доказательственного значения, а используются лишь в оперативно-тактических целях. Критерием необхо димости производства предварительного исследования является острая по требность в быстром изучении следов и иных вещественных доказательств с целью получения и немедленного использования дополнительных данных для успешного раскрытия и расследования преступления.
Формулировку задания для проведения предварительного исследования осуществляет следователь. Ему в этом может помочь лицо, которому пору чается это исследование. При выдвижении версий используются не только точные, но и предположительные сведения. Однако сделанные специали стом выводы должны быть в достаточной мере обоснованными. Получен ные сведения могут также быть использованы следователем для детализа ции версий. Специальные знания в области компьютерной техники, стати стики, математики и электроники, опыт работы специалиста создают
предпосылки для успешного и полного использования результатов осмотра места происшествия при построении и проверке версий.
Следует отметить, что осмотр места происшествия, являясь важным ис точником информации, используемой для построения версий при расследо вании компьютерных преступлений, не должен обладать заранее установ ленным приоритетом перед другими следственными действиями, так как для построения и проверки версий возможно использование фактических данных, получаемых в результате проведения иных следственных действий и оперативно-розыскных мероприятий.
ОБЩИЕ ВЫВОДЫ (ЗАКЛЮЧЕНИЕ)
1.Проблема раскрытия и расследования компьютерных преступлений мно гоаспектна и нуждается в дальнейшей проработке. Вместе с тем мы полагаем, что изложенные в пособии предложения позволят в определенной мере совер шенствовать работу органов предварительного расследования по раскрытию, расследованию и предупреждению компьютерных преступлений.
2.Криминалистическая характеристика компьютерных преступлений
представляет собой совокупность наиболее характерной криминалистиче ски значимой взаимосвязанной информации о признаках и свойствах такого рода преступлений, способную служить основанием для выдвижения вер сий о событии преступления и личности преступника, позволяющую верно оценить ситуации, возникающие в процессе раскрытия и расследования, обусловливающую применение соответствующих криминалистических ме тодов, приемов и средств и обретающую свое значение только при установ лении закономерных существенных связей между ее элементами. Основное целевое назначение криминалистической характеристики компьютерных преступлений в том, что она может служить информационной базой для выдвижения версий по делам данной категории.
3.Преодолевая средства защиты компьютерных систем, преступник ос тавляет следы на узлах и устройствах ЭВМ, периферийных и сетевых уст ройствах. Подвергшись преступному посягательству, файл данных или при кладного программного обеспечения становится носителем следовой ин формации. В качестве следообразующего объекта в процессе образования следов на узлах и устройствах ЭВМ, их сетей может выступать виртуаль ный объект « система команд ЭВМ. Для наиболее полного использования в качестве доказательств следов-предметов в виде регистрационных файлов целесообразен переход субъектов хозяйствования на защищенные средства вычислительной техники, так как преодоление средств защиты компьютер ным правонарушителем способствует образованию большего количества следов.
4.Местом происшествия по делам о компьютерных преступлениях сле дует считать участок местности, на котором располагаются пострадавшие субъекты хозяйствования, а также сетевая среда, им принадлежащая, вклю чая точки входа и выхода из нее в глобальные сети. Проведение осмотра места происшествия по делам о компьютерных преступлениях требует обя зательного привлечения следователем специалистов в области средств вы числительной техники и электроники.
5.Процессы обнаружения, фиксации и изъятия следов компьютерных преступлений детерминированы содержанием и последовательностью выполнения трех важнейших мероприятий:
■поиском и обнаружением следов-предметов, свидетельствующих о по пытках ведения радиоэлектронной разведки;
■поиском и обнаружением следов-отображений и следов-предметов, свидетельствующих о действии вредоносных программ;
■поиском и обнаружением следов-отображений и следов-предметов при проведении аудита компьютерных систем.
6.В силу специфики расследования дел о компьютерных преступлениях возникает необходимость часть исследований по обнаружению, фиксации и изъятию следовой информации компьютерных систем проводить непосред ственно на месте происшествия. Это может быть обусловлено невозможно стью изъятия компьютерных систем для проведения экспертизы в лабора торных условиях:
■из-за наличия у следователя оснований полагать, что имеющая доказа тельственное значение информация, содержащаяся в компьютерных сис темах, может быть утеряна или изменена при их отключении в процессе изъятия;
■из-за того, что изъятие компьютерных систем для проведения эксперт ного исследования в лабораторных условиях нанесет существенный ущерб выполнению производственных, финансовых и иных задач.
Приложение 1
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ1
Доктрина информационной безопасности Российской Федерации пред ставляет собой совокупность официальных взглядов на цели, задачи, прин ципы и основные направления обеспечения информационной безопасности Российской Федерации.
Настоящая Доктрина служит основой для:
■формирования государственной политики в области обеспечения ин формационной безопасности Российской Федерации;
■подготовки предложений по совершенствованию правового, методиче ского, научно-технического и организационного обеспечения инфор мационной безопасности Российской Федерации;
1Утверждена Президентом Российской Федерации 9 сентября 2000 г. (№ Пр-1895)
■разработки целевых программ обеспечения информационной безопасно сти Российской Федерации.
Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
I. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ
1.Национальные интересы Российской Федерации
винформационной сфере и их обеспечение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность ин формации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а так же системы регулирования возникающих при этом общественных отноше ний. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, обо ронной и других составляющих безопасности Российской Федерации. На циональная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе техниче ского прогресса эта зависимость будет возрастать.
Под информационной безопасностью Российской Федерации понимает ся состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов лич ности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной за коном деятельности, физического, духовного и интеллектуального разви тия, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспече нии интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общест венного согласия, в духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфра структуры, для реализации конституционных прав и свобод человека и гра жданина в области получения информации и пользования ею в целях обес
печения незыблемости конституционного строя, суверенитета и территори альной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, раз витии равноправного и взаимовыгодного международного сотрудничества.
На основе национальных интересов Российской Федерации в информа ционной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безо пасности.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гу манизма, культурного и научного потенциала страны.
Для достижения этого требуется:
■повысить эффективность использования информационной инфраструк туры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Россий ской Федерации;
■усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу науч но-технического и духовного потенциала Российской Федерации;
■обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную ин формацию о состоянии окружающей среды;
■обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и сво его доброго имени;
■укрепить механизмы правового регулирования отношений в области ох раны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
■гарантировать свободу массовой информации и запрет цензуры;
■не допускать пропаганду и агитацию, которые способствуют разжига нию социальной, расовой, национальной или религиозной ненависти и вражды;
■обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информа ции, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации
винформационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной по зиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
■укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информа ции до российских и иностранных граждан;
■интенсифицировать формирование открытых государственных инфор мационных ресурсов, повысить эффективность их хозяйственного ис пользования.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информа ционных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспече ние потребностей внутреннего рынка ее продукцией и выход этой продук ции на мировой рынок, а также обеспечение накопления, сохранности и эф фективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения про мышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлек тронной и компьютерной промышленности.
Для достижения этого требуется:
■развивать и совершенствовать инфраструктуру единого информационно го пространства Российской Федерации;
■развивать отечественную индустрию информационных услуг и повы шать эффективность использования государственных информационных ресурсов;
■развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расши рять участие России в международной кооперации производителей этих средств и систем;
■обеспечить государственную поддержку отечественных фундаменталь ных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федера ции в информационной сфере включает в себя защиту информационных ре сурсов от несанкционированного доступа, обеспечение безопасности ин формационных и телекоммуникационных систем, как уже развернутых, так
исоздаваемых на территории России. В этих целях необходимо:
■повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государ ственной власти субъектов Российской Федерации, финансово кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и эко номически важными производствами;
■интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
■обеспечить защиту сведений, составляющих государственную тайну;
■расширять международное сотрудничество Российской Федерации в об ласти развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информацион ной сфере.
2. Виды угроз информационной безопасности Российской Федерации
По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:
■угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивиду альному, групповому и общественному сознанию, духовному возрожде нию России;