Основы методики расследования преступлений в сфере компьютерной информации.

 


Компьютерная информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, находящиеся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
Установление факта неправомерного доступа к информации в компьютерной системе или сети.
Установление места несанкционированного проникновения в компьютерную систему или сеть.
Установление времени совершения преступления.
Установление надежности средств защиты компьютерной информации.
Установление способа несанкционированного доступа.
Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
Установление вредных последствий преступления.
Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию.

При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
Установление факта и способа создания вредоносной программы для ЭВМ.
Установление факта использования и распространения вредоносной программы.
Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
Установление вреда, причиненного данным преступлением.
Установление обстоятельств, способствовавших совершению расследуемого преступления.

Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:
- не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
- не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;
- в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
- самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Предыдущие материалы: Следующие материалы: