- •24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации Общие положения
- •Объекты осмотра
- •Рекомендации по осмотру
- •Осмотр служебного помещения.
- •Осмотр средств вычислительной техники.
- •При осмотре работающего компьютера следует с участием специалиста:
- •Если компьютер подключен к локальной сети, то необходимо'.
- •Осматривая с участием специалиста неработающий компьютер, нужно:
- •В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
- •Осмотр носителей машинной информации.
- •При осмотре необходимо указать в протоколе:
- •Осмотр документов.
- •Упаковка и транспортировка
- •Типичные ошибки при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
- •Назначение экспертиз Компьютерно-програмная экспертиза
24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации Общие положения
По делам о преступлениях данной категории (ст. 272-274 УК РФ) место происшествия не всегда ограничивается какой-то одной определенной территорией (одним помещением или отдельным зданием). Места, подлежащие осмотру, могут располагаться на значительных расстояниях друг от друга. Так, например, неправомерный доступ к охраняемой законом компьютерной информации совершен с одного места, а вредные последствия — причинены в другом. То же самое можно сказать и о создании, использовании и распространении вредоносных программ для ЭВМ либо преступном нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети. Компьютерное оборудование может представлять как отдельную ЭВМ, решающую самостоятельные автономные задачи, так и компьютер, являющийся составной частью компьютерной системы или сети. Когда компьютер используется в преступных целях не как часть системы или сети, то место совершения преступления ограничивается тем помещением, где он установлен. Если же он представляет часть системы или сети, то границы осмотра могут быть значительно расширены.
Объекты осмотра
Осмотру могут подлежать:
1. Место непосредственной обработки и постоянного хранения компьютерной информации, ставшей предметом преступного посягательства.
2. Место непосредственного использования компьютерного оборудования для неправомерного доступа к охраняемым базам и банкам данных или создания, использования и распространения вредоносных программ для ЭВМ.
3. Место хранения информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, добытой преступным путем из других компьютерных систем и сетей.
4. Место непосредственного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети.
5. Место наступления вредных последствий (несанкционированное уничтожение, блокирование, модификация либо копирование охраняемой законом компьютерной информации, нарушение работы ЭВМ, системы ЭВМ или их сети).
Рекомендации по осмотру
Осмотр места происшествия должен начинаться с тщательной подготовки, заключающейся в уточнении его границ, выборе необходимых специалистов, технических средств и четком определении его объектов. Целесообразно обратиться к помощи службы безопасности той организации, в которой обнаружено правонарушение*.
По прибытии на место происшествия следует принять меры к обеспечению сохранности информации в находящихся здесь компьютерах и на магнитных носителях, для чего необходимо:
а) не разрешать кому бы то ни было из лиц, работающих в это время или находящихся здесь по другим причинам, прикасаться к компьютерному оборудованию;
б) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;.
в) не производить самому никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.
*Согласно и. 4 ст. 21 федерального закона «Об информации, информатизации и защите информации», организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, должны создавать специальные службы, обеспечивающие ее защиту.
При проведении осмотра необходимо принять во внимание следующие неблагоприятные факторы:
а) возможные попытки уничтожить информацию и ценные данные лицами из числа персонала, заинтересованными в сокрытии преступления;
б) наличие в ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожают всю информацию;
в) возможное наличие в ЭВМ иных средств защиты информации от несанкционированного доступа и прочие неожиданности.
В связи с изложенным крайне важно участие специалистов на самом первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудования и машинных носителей информации, но и указать, что подлежит изъятию. Профиль нужного специалиста определяется в зависимости от целей и задач осмотра с учетом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких специалистов, в том числе программиста по операционным системам и прикладным программам, электронщика, хорошо знающего компьютерную технику, специалиста по средствам связи, а также техника-криминалиста. Последний необходим для обнаружения и сбора традиционных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др., шифрованных рукописных записях и пр.
Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства.
В ходе общего осмотра необходимо наметить план детальных действий. Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы:
1) служебное помещение;
2) средства вычислительной техники;
3) носители информации;
4) документы.