 |
|
Типичные следственные ситуации первоначального этапа и следственные действия
Типовые ситуации - наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования.
Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.
Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:1
1. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил от этом в правоохранительные органы.
2. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
3. Данные о нарушении целостности / конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:
а) нарушения целостности / конфиденциальности информации в системе;
б) размера ущерба, причиненного нарушением целостности / конфиденциальности информации;
в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности / конфиденциальности информации в системе и характера совершенных виновным действий;
г) отношения виновного лица к совершенным действиям и наступившим последствиям.
Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:
а) личный обыск задержанного;
б) допрос задержанного;
в) обыск по месту жительства задержанного.
К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы в том числе должностных лиц. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.
Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий.
Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.
При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе доказательств:
а) нарушения целостности / конфиденциальности информации в системе;
б) размера ущерба;
в) причинной связи между действиями и наступившими последствиями.
Типичные следственные действия аналогичные первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.
Осуществляется поиск:
места входа в информационную систему и способа входа в систему (с помощью должностных лиц);
“путей следования” злоумышленника или его программы к “атакованной” системе (с помощью должностных лиц).
Такое место может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура.
Круг типичных общих версий сравнительно невелик:
преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;
ложное заявление о преступлении.
Типичными частными версиями являются:
версии о личности преступника(ов);
версии о местах совершения внедрения в компьютерную систему;
версии об обстоятельствах, при которых было совершено преступление;
версии о размерах ущерба, причиненного преступлением.
Практические особенности отдельных следственных действий
Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события.
Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.
Следует напомнить, что осмотр - это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск - следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка - следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.
Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РСФСР порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства.
Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники.
При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.
Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.
Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.
Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.
Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.
Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.).
Осмотру подлежат все устройства конкретной ЭВМ.
Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.
Указанные следственные действия могут производиться с целями:
а) осмотра и изъятия ЭВМ и ее устройств;
б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;
в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.
По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:
1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;
2) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;
3) при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.
Особенности производства осмотров и обысков
Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.
В данной ситуации:
а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его.
После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши “F3” можно восстановить наименование вызывавшейся последний раз программы.
Можно осуществить фотографирование или видеозапись изображения;
б) остановить исполнение программы. Остановка осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break;
в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;
г) определить наличие у компьютера внешних устройств - накопителей информации на жестких магнитных дисках и виртуального диска;
д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема);
е) скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;
ж) выключить подачу энергии в компьютер и далее действовать по схеме “компьютер не работает”.
Если компьютер не работает, следует:
а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;
б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения;
в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;
г) упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества;
д) упаковать каждое устройство и соединительные кабели, провода;
е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода);
ж) особой осторожности требует транспортировка винчестера.
Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах
В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).
Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.
Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в “почтовых ящиках” электронной почты или сети ЭВМ.
Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.
Следует обращать внимание на поиск так называемых “скрытых” файлов и архивов, где может храниться важная информация.
Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.
Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.
Поиск и изъятие информации и следов воздействия на нее вне ЭВМ
В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:
а) документы, носящие следы совершенного преступления, - телефонные счета, пароли и коды доступа, дневники связи и пр.;
б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;
в) документы, описывающие аппаратуру и программное обеспечение;
г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;
д) личные документы подозреваемого или обвиняемого.
Использование специальных познаний и назначение экспертиз
Юрист-следователь не в состоянии отслеживать все технологические изменения в данной области. Поэтому специалисты крайне необходимы для участия в обысках, осмотрах, выемках.
Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях.
Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих вопросов (примерный список):
1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемому?
2. Какие информационные ресурсы находятся в данной ЭВМ?
3. Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?
4. Не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно?
5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?
6. Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации?
7. Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила?
8. Находится ли нарушение правил эксплуатации в причинной связи с уничтожением, копированием, модификацией?
Большую помощь в расследовании могут оказать специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Следует иметь в виду, что в системе МВД начато производство так называемых программно-технических экспертиз.
Программно-технической экспертизой (ПТЭ) решаются следующие задачи:
1) распечатка всей или части информации, содержащейся на жестких дисках компьютеров и на внешних магнитных носителях, в том числе из нетекстовых документов;
2) распечатка информации по определенным темам;
3) восстановление стертых файлов и стертых записей в базах данных, уточнение времени стирания и внесения изменений;
4) установление времени ввода в компьютер определенных файлов, записей в базы данных;
5) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;
6) выяснение каналов утечки информации из ЛВС, глобальных сетей и распределенных баз данных;
7) установление авторства, места подготовки и способа изготовления некоторых документов;
8) выяснение технического состояния и исправности СКТ.
Наряду с этими основными задачами при проведении ПТЭ могут быть решены и некоторые вспомогательные задачи:
1) оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей, программных продуктов, а также проверка контрактов на их поставку;
2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы с СКТ;
3) перевод документов технического содержания.
В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования возникает необходимость в назначении криминалистической экспертизы для исследования документов.
Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.
Библиографический список
Нормативная литература
Специальная литература
Нормативная литература
Закон РФ от 23 сентября 1992 г. № 3523-I “О правовой охране программ для электронных вычислительных машин и баз данных”.
Закон РФ от 22 октября 1992 г. “О правовой охране топологий интегральных микросхем”.
Закон РФ от 9 июля 1993 г. № 5351-I, с изменениями и дополнениями “Об авторском праве и смежных правах”.
Закон РФ от 21 июля 1993 г. “О государственной тайне”.
Федеральный закон от 29 декабря 1994 г. № 77-ФЗ “Об обязательном экземпляре документов”.
Федеральный закон от 16 февраля 1995 г. № 15-ФЗ “О связи”.
Федеральный закон от 20 февраля 1995 г. № 24-ФЗ “Об информации, информатизации и защите информации”.
Федеральный закон от 12 августа 1995 г. № 144-ФЗ “Об оперативно-розыскной деятельности”.
Гражданский Кодекс Российской Федерации. Волгоград: ВЮИ МВД России, 1995.
Федеральный закон от 4 июля 1996 г. № 85-ФЗ “Об участии в международном информационном обмене”.
Уголовный Кодекс РФ, Постатейный комментарий. М., 1996.
Комментарий к Уголовному Кодексу РФ. Особенная часть. / Под редакцией Ю.И. Скуратова и В.М. Лебедева. М.: Издательская группа ИНФРА М-НОРМА, 1996.
Комментарий к Уголовному Кодексу РФ. / Под редакцией А.В. Наумова. М.: Юрист, 1996.
Научно-практический комментарий к Уголовному Кодексу РФ в двух томах. Том второй. Н.Новгород: НОМОС, 1996.
Специальная литература
Батурин Ю.М. Проблемы компьютерного права. М.: Юрид. лит., 1991.
Батурин Ю.М., Жодзинский А.М. Компьютерная преступность и компьютерная безопасность. М.: Юрид. лит., 1991.
Безруков Н.Н. Компьютерная вирусология; Справочное руководство. Киев, 1991.
Вехов В.Б. Компьютерные преступления: способы совершения, методики расследования. М.: Право и Закон. 1996.
Гудков П.Б. Компьютерные преступления в сфере экономики // В сб. Актуальные проблемы борьбы с коррупцией и организованной преступностью в сфере экономики. М.: МИ МВД России, 1995.
Касперский Е. Компьютерные вирусы в MS-DOS. М.: “Эдель”-”Ренессанс”, 1992.
Кащеев В.И. Специальная техника контроля и защиты информации // Системы безопасности. М.: “Гротек”, 1995, №1. С.51-73.
Компьютерные преступления и методы борьбы с ними // Проблемы преступности в капиталистических странах. М.: ВИНИТИ, 1985, №1. С.3-7.
Компьютерные преступления и обеспечение безопасности ЭВМ // Проблемы преступности в капиталистических странах. М.: ВИНИТИ, 1983, №6. С.3-6.
Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. №4. 1995.
Криминалистика. Учебник для вузов / Под редакцией Н.П. Яблокова. М., 1995.
Крылов В.В. Информационные компьютерные преступления. М., 1997.
Лучин И.Н., Желдаков А.А., Кузнецов Н.А. Взламывание парольной защиты методом интеллектуального перебора // Информатизация правоохранительных систем. М.: Академия МВД России, 1996. С.287-288.
Некоторые аспекты компьютерной преступности // Проблемы преступности в капиталистических странах. М.: ВИНИТИ, 1990. № 6. С.12-13.
Перишков В.И., Савинков В.М. Толковый словарь по информатике. М.: Фин. и стат., 1991.
Петраков А.В. Защита и охрана личности, собственности, информации. М.: Радио и Связь, 1997.
Петраков А.В., Лагутин В.С. Утечка и защита информации в телефонных каналах. М.: Энергоатомиздат, 1997.
Правовая информатика и кибернетика. Учебник / Под ред. Н.С.Полевого. М., 1993.
Предотвращение компьютерных преступлений // Проблемы преступности в капиталистических странах. М.: ВИНИТИ, 1986, №4. С.5-9.
Проблемы борьбы с компьютерной преступностью // Борьба с преступностью за рубежом. М.: ВИНИТИ, 1992, №4. С.3-10.
Секреты безопасной сетей / д-р Дэвид Стенг, Сильвия Мун. Киев, 1996.
Селиванов Н.А. Проблемы борьбы с компьютерной преступностью // Законность, 1993. №8. С.36-40.
Федоров В. Компьютерные преступления: выявление, расследование и профилактика // Законность, 1994. №6. С.44-47.
Чарльз Бруно. Цифровые детективы // Computer World Россия, 2.09.1997.
Черкасов В.Н. О понятии “компьютерная преступность” // Проблемы компьютерной преступности. Минск: НИИПКК СЭ, 1992. С.26-34.
Фигурнов В.Э. IBM PC для пользователя. М.: ИНФРА-М, 1997.
Эд Тайли. Безопасность компьютера. Минск: “Пепурри”, 1997.
Наумов В. Отечественное законодательство в борьбе с компьютерными преступлениями // Computer World Россия, №8, 1997.
--------------------------------------------------------------------------------
Comments: avator@gagarinclub.ru
Copyright © Eleonora Melik
Литература:
1.Элеонора Мелик. Компьютерные преступления. - http://www.melik.narod.ru/