Я выработка единых следственных действий, обязательных при расследований преступлений против информационной безопасности

3. На заключительной стадии:

3.1. производится оформление  протокола осмотра.

В протоколе осмотра места происшествия должно быть четко отражено:

– место, время проведения осмотра;

– использование научно-технических средств;

– процесса и результатов использования специальных технических средств;

– расположение всех предметов осматриваемого помещения;

– последствия действий и сами действия, производимые специалистом (экспертом) под его руководством, и вести запись всех операций для того, чтобы затем было возможно объяснить причины возникновения различных негативных проявлений;

– какие предметы изъяты, подробная их опись, где именно изъяты и каким образом упакованы.

3.2. изъятие и упаковывание  вещей (данный пункт подробно  описан в параграфе 2.3. «Алгоритм  тактики производства выемки  при производстве расследований  преступлений против информационной  безопасности»).

Подготовительная стадия осмотра места происшествия.

 

Рабочая стадия осмотра места происшествия.

 

 

1.

2. В ходе производства осмотра  необходим осмотр дискеты, CD-диска  (изучать желательно все дискеты и CD-диски):

3.

4.

Заключительная стадия осмотра места происшествия.

2.2 Алгоритм тактики  производства обыска при расследований  преступлений против информационной  безопасности

До обыска желательно, чтобы у следователя была вся информация, касающаяся наличия на обыскиваемом объекте компьютерной техники. Также следователь должен владеть информацией:

– где конкретно находятся компьютеры, в каких помещениях установлены;

– автономны ли они;

– подключены ли данные компьютеры в какую-либо сеть. В случае наличия данного подключения, желательно установление месторасположения головного компьютера.

При прибытии на место обыска следует принять меры к обеспечению сохранности информации на находящихся в обыскиваемом помещении компьютерах и магнитных носителях:

– не трогать клавиатуру. (Хотя это хорошее правило, возможны ситуации, когда вы должны воспользоваться клавиатурой. Например, в сетевой среде вам потребуется запустить программы, которые загружают требуемые данные);

– не отключать питание;

– не изменять каким–либо образом текущее состояние компьютера;

– сделать видеозапись места, чтобы задокументировать конфигурацию системы и состояние места обыска при вашем появлении, а также состояние всего оборудования, находящегося в поле зрения;

– сфотографировать серийные номера, номера моделей и схемы подключения аппаратуры;

– промаркировать все доказательства, чтобы кабели и другое оборудование можно было повторно собрать в точно такой же конфигурации;

– защитить от записи все дискеты на месте обыска и убедиться, что все они помечены

Если проводиться обыск на объекте, где работает электронная доска объявлений, необходимо обратить внимание на следующее:

1. Следить за монитором, чтобы определить, передается или  принимается звонящим абонентом  какая-либо уличающая информация.

2. При обнаружении такой  информации, не вмешиваясь в работу  системы, попытайтесь идентифицировать  того, кто получил доступ к  системе.

3. Если такая информация  не обнаружена, отключите только  модем.

4. Обеспечить безопасность  распечаток и других документов, содержащих уличающую информацию .

После принятия указанных выше неотложных мер можно приступать к рабочей стадии обыска помещения и изъятию средств компьютерной техники. При этом следует принять во внимание следующие неблагоприятные факторы:

– возможные попытки со стороны персонала повредить средства компьютерной техники с целью уничтожения информации и ценных данных;

– возможное наличие на средствах компьютерной техники специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;

– возможное наличие на средствах компьютерной техники иных средств защиты от несанкционированного доступа;

– постоянное совершенствование средств компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

 

 

Сразу следователь устанавливает у кого конкретно из персонала в юридических лицах либо у собственника при обыске у физического лица находятся ключи от запертых помещений. Особое внимание обращается на:

– физическую защиту обыскиваемого объекта (наличие охранных решеток на окнах, сигнализации, специальных дверных запоров, металлических дверей  и др.);

– внешний вид обыскиваемого объекта (наличие специальных столов для компьютерной техники, специальных шкафов или хранилищ для оргтехники и сопутствующих предметов).

Следует учитывать следующие неблагоприятные факторы, которые могут быть созданы также и присутствующими:

– попытка отключить подачу электроэнергии;

– попытка повредить компьютеры и (или) магнитные носители с целью уничтожения информации, находящейся на них;

– наличие на компьютере специальных защитных программ, которые, не получив в соответствующий момент специального кода, сами приступают к уничтожению информации;

– наличие пароля для доступа к компьютеру или к отдельным программам;

– наличие незнакомых следователю или специалисту программно-технических средств как результат постоянного совершенствования вычислительной техники.

 

Таким образом, приведем контрольный список материалов для изъятия, который  для разных дел будет разным. На месте обыска необходимо изымать в качестве доказательства следующие объекты (при условии, что они имеют отношения к материалам уголовного дела):

1. Все найденные на  месте аппаратные средства.

2. Все найденное на  месте программное обеспечение.

3. Компьютерные дискеты, магнитные ленты и другие носители.

4. Вся найденная на  месте документация.

5. Все периферийное оборудование, включая принтеры, модемы, кабели и т.д.

6. Любые выброшенные документы, распечатки и картриджи с лентой  для принтеров.

Существует фактически два вида поиска:

1) поиск, где именно искомая  информация находится в компьютере  на месте обыска, и

2) поиск, где еще разыскиваемая  информация могла быть сохранена.

На заключительной стадии обыска необходимо придерживаться всех рекомендаций, что и при осмотре места происшествия, а именно при составлении протокола обыска:

– правильно указать время и место проведения. Ни в коем случае оно не должно быть шире, чем это указано в постановлении. Данный факт особенно важен, когда компьютер подключен к глобальной или локальной сети;

– показать использование научно-технических средств, а так же процесс и результат их использования;

– указать конкретное месторасположение изъятых предметов, а также компьютерной информации. Процесс изъятия компьютерной информации подробно рассмотрен в следующем параграфе;

– подробно и четко писать процесс упаковки изъятых предметов, документов, а также самой компьютерной информации.

2.3  Алгоритм производства  выемки по делам против информационной  безопасности

Так же необходимо установить и зафиксировать в протоколе проведения следственного действия следующее:

– программу, исполняемую компьютером на момент проведения следственного действия или последнюю исполненную им. Для этого необходимо детально изучить и описать изображение, существующее на экране дисплея компьютера, все функционирующие при этом периферийные устройства и результат их деятельности. Необходимо знать, что многие сервисные программные средства позволяют определить и просмотреть наименование всех ранее вызывавшихся программ и последнюю исполненную. Например, с использованием NORTON COMMANDER последняя исполнявшаяся программа определяется по положению курсора (выделенной световой полосой);

– результат действия обнаруженной программы;

– все манипуляции со средствами компьютерной техники (включая нажатия на клавиши клавиатуры), произведенные в процессе проведения следственного действия, и их результат (например, при копировании программ и файлов, определении их атрибутов, времени и даты создания и записи, а также при включении и выключении аппаратуры, порядка отсоединения ее частей).

Изъятие аппаратуры средств компьютерной техники производится только в выключенном состоянии. При этом должны быть выполнены и отражены в протоколе следующие действия:

– установлено включенное оборудование и зафиксирован порядок его отключения;

– описано точное местонахождение изымаемых предметов и их расположение относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);

– точно описан порядок соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штекеров и их спецификация);

– определено отсутствие либо наличие используемого для нужд средств компьютерной техники канала (каналов) связи и телекоммуникаций. В последнем установлены тип связи, используемая аппаратура, абонентский номер, позывной либо рабочая частота;

– разъединены с соблюдением всех необходимых мер предосторожности аппаратные части (устройства) с одновременным опломбированием их технических входов и выходов.

 

Как показывает практика, при изъятии средств компьютерной техники у следователя могут возникать конфликты с их собственниками. При их разрешении дополнительно к вышеизложенным правилам желательно руководствоваться следующими рекомендациями:

1) недопустимо производить  изъятие в несколько приемов, даже если следователь не располагает  необходимым транспортом. В этом  случае нужно сделать несколько  рейсов с объекта до места  хранения изъятых материалов;

2) изъятые материалы не  могут быть оставлены на ответственное  хранение на самом объекте  или в другом месте, где к  ним могут иметь доступ посторонние  лица;

3) недопустимо оставление  на объекте части средств компьютерной  техники по мотивам ее «абсолютной  необходимости» для деятельности  данной фирмы (организации). Желание  персонала сохранить от изъятия  определенные средства компьютерной  техники обычно указывает на  наличие на них важной для  следствия информации;

4) следует изымать все  средства компьютерной техники, находящиеся в помещении объекта, независимо от их юридической  принадлежности;

5) в протоколе следственного  действия желательно отмечать  все конкретные качества изымаемого  средства компьютерной техники (марка, быстродействие, марка процессора, объем памяти и т. д.).

 

 

При изъятии компьютера:

1) если компьютер работает, ситуация для следователя, проводящего  следственное действие без помощи  специалиста, существенно осложняется, однако и в этом случае не  следует отказываться от оперативного  изъятия необходимых данных. В  данной ситуации:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы. Осуществить фотографирование или видеозапись изображения на экране дисплея;

б) остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш Ctrl–C, либо Ctrl–Break, либо Ctrl–Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу "Esc" или указать курсором на значок прекращения работы программы;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств–накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе выемки (например, отключить телефонный шнур – не шнур питания! – из модема).