Методика расследования компьютерных преступлений

1) использование либо  распространение вредоносных программ  для ЭВМ или машинных носителей  с такими программами;

2) перехват компьютерной  информации;

3) несанкционированный доступ  к компьютерной информации;

4) манипуляции данными  и управляющими командами;

5) нарушения правил эксплуатации  средств электронно - вычислительной техники, электросвязи, защиты компьютерной информации, а также обработки, хранения и передачи конфиденциальной компьютерной информации;

6) комплексные методы.

Наиболее часто используются следующие способы подготовки, совершения и сокрытия преступления в сфере  компьютерной информации: хищение (изъятие) машинных носителей информации, в  т.ч. путем их подмены; копирование конфиденциальной компьютерной информации; создание вредоносных программ для ЭВМ; распространение вредоносных программ; распространение машинных носителей, содержащих вредоносные программы для ЭВМ; внесение изменений в существующие программы; фальсификация входных и/или выходных электронных документов; изготовление дубликатов документов и их носителей; использование недостатков программ для ЭВМ; дезактивация либо обход защиты компьютерной информации и СВТ от несанкционированного доступа (путем подбора пароля, кода доступа и др.); перехват компьютерной информации из канала электросвязи; неправомерный доступ к СВТ и машинным носителям; блокирование, модификация, копирование, уничтожение, повреждение компьютерной информации с использованием специально приспособленных, разработанных, запрограммированных технических  средств негласного получения информации.

При выявлении и расследовании  преступлений в сфере компьютерной информации подлежат установлению: факт совершения преступления (не является ли событие следствием непреодолимых  факторов - погодных условий, природных  катастроф, самопроизвольных технических  аварий, поломок и неполадок); непосредственная причина нарушения безопасности компьютерной информации и орудий ее обработки; предмет преступного  посягательства; категория компьютерной информации (общего пользования или  конфиденциальная); место и время совершения преступления; способ совершения преступления; совершено ли преступление дистанционно извне помещения (по каналам электросвязи и локальной сети ЭВМ); режим работы с компьютерной информацией, орудиями ее обработки и средствами их защиты; с помощью каких конкретно СВТ совершено преступление (тип, вид, модификация, функциональное назначение, техническое состояние и другие признаки); конкретный терминал или участок сети (абонентский (регистрационный) номер, код, шифр, рабочая частота), режим их работы и ответственное лицо; имела ли место утечка конфиденциальной информации (какой именно, откуда, при каких обстоятельствах); размер материального ущерба, из чего он складывается; с какими служебными действиями, с операциями технологического процесса  связано преступление, кто из должностных лиц или работников несет ответственность и имеет непосредственное отношение к ним в силу технологии производства, должностных инструкций (обязанностей) или командно - административного управления; личность подозреваемого и основные ее характеристики (обладает ли специальными познаниями, в какой области и каков их уровень); не совершено ли преступление группой лиц, каковы роль и характер каждого участника преступления; мотив преступления; кто является потерпевшим (физическое или юридическое лицо); кому было известно о намерениях преступников, кто участвовал в сокрытии преступления и его следов; причины и условия, способствовавшие совершению и сокрытию преступления,  что усугубило их проявление - не обусловлено ли это нарушениями нормативных актов, положений, инструкций, правил, организации работы другими лицами, кем именно и по каким причинам.

 
 
 
 
 
 
 

ГЛАВА 3.Организация  расследования на первоначальном этапе.

Раскрывать преступления в сфере компьютерной информации, сложно, так как нередко преступники  прибегают к различным уловкам, маскируют свои преступные деяния многочисленными  объективными и субъективными причинами, которые действительно могут  иметь место (например, сбой в работе ЭВМ и программного обеспечения, средств электросвязи, энергообеспечивающего оборудования; замыкания в электропроводке и т.п.).

Перечень неотложных следственных действий и оперативных мероприятий, очередность их проведения будут  определяться конкретной следственной ситуацией, в которой начинается расследование. Следственная ситуация характеризуется прежде всего объемом  и достоверностью исходной криминалистически значимой информации, имеющейся в распоряжении следователя и оперативного работника.

Поводами и основаниями  для возбуждения уголовных дел  чаще всего служат: заявления граждан (конкретных потерпевших); сообщения  руководителей предприятий, учреждений, организаций и должностных лиц (базирующиеся, как правило, на материалах контрольно - ревизионных проверок и сообщениях служб безопасности); сведения, полученные в результате проведения оперативно -розыскных мероприятий; непосредственное обнаружение следователем, прокурором или судом признаков преступления; статьи, заметки и письма, опубликованные в средствах массовой информации, а также в сети «Интернет».

Как правило, возбуждению  уголовного дела предшествует предварительная  проверка материалов, поступивших в  правоохранительные органы. В связи  с этим, следователь может заблаговременно  ознакомиться с собранными по делу материалами, совместно с оперативным  сотрудником выбрать в тактическом  отношении наиболее оптимальный  момент для возбуждения дела, а  также определить характер и последовательность первоначальных следственных действий, организационных и иных мероприятий. Успех расследования преступления в сфере компьютерной информации во многом обеспечивают: быстрота и  решительность действий следователя  и оперативного сотрудника в самые  первые часы производства по делу; организованное взаимодействие с различными подразделениями  правоохранительных органов; наличие  специалиста в области компьютерной обработки информации (возможно, пользователя ЭВМ).

В ходе предварительной проверки материалов при решении вопроса  о возбуждении уголовного дела следователь  должен прежде всего получить четкое и полное представление о предмете посягательства, месте его нахождения и условиях охраны; о характере деятельности и структуре объекта, где возможно было совершено преступление; об особенностях технологии производства; изучить конкретные условия деятельности данного объекта, существующий там порядок учета и отчетности, систему товаро- и документооборота, коммуникативные и иные тактико-технические характеристики используемой компьютерной техники, организацию охраны. Необходимо также хорошо знать служебные обязанности лиц, имеющих прямые или косвенные отношения к орудиям обработки и компьютерной информации,  которые стали предметом преступного посягательства.[32]

К типичным признакам подготовки, совершения и сокрытия преступления в сфере компьютерной информации относятся: появление в ЭВМ, системе  ЭВМ или их сети фальшивых данных; несанкционированные изменения  структуры файловой системы, программного обеспечения и конфигурации ЭВМ, системы ЭВМ или их сети; необычные (нестандартные) проявления в работе СВТ и их программного обеспечения; частые сбои в работе аппаратуры; жалобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхурочная работа некоторых сотрудников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графика их эксплуатации; нерегламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компьютерной информации отдельных субъектов; нарушение правил работы с компьютерной информацией и несанкционированные манипуляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к содержанию чужих распечаток (листингов) и компьютерной информации определенной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различными предлогами (записи игр и т.п.); исследование мусорных корзин (контейнеров) с технологическими отходами компьютерной обработки информации; случаи утечки конфиденциальной информации, либо обнаружение негласных устройств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; создание копий определенной категории данных и компьютерной информации, не предусмотренных технологическим процессом; несоответствие данных, содержащихся в первичных (исходных) документах, данным машинограмм и иным более поздним по времени создания документам; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации определенной категории.

Чтобы детально разобраться  в особенностях деятельности потерпевшего (физического или юридического лица), следователю и оперативному сотруднику необходимо ознакомиться с соответствующей  справочной литературой, изучить ведомственные  нормативные акты. Исключительно  важное значение имеют консультации со специалистами. Для этих целей могут быть привлечены любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники различных организаций, осуществляющих свою деятельность в сфере информации, информатизации и защиты информации.

Для преступлений в сфере  компьютерной информации типичны три  ситуации первоначального этапа  расследования:

1. Сведения о причинах  возникновения общественно опасных  деяний, способе их совершения  и личности правонарушителя отсутствуют.

2. Имеются сведения о  причинах возникновения преступления, способе его совершения, но нет  сведений о личности преступника.

3. Известны причины возникновения  преступления, способы его совершения  и сокрытия, личность преступника  и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и  осуществляют следующие неотложные следственные действия, оперативно - розыскные, организационные и иные мероприятия:

1) получение объяснения (допрос) заявителя или лиц, на которых  указано в исходной информации  как на возможных свидетелей  ( очевидцев);

2) вызов и инструктаж  необходимых специалистов для  участия в осмотре места происшествия;

3) осмотр места происшествия (с осмотром, предварительным исследованием  и изъятием машинных носителей  и компьютерной информации, СВТ,  документов и т. п.);

4) проведение оперативно-розыскных  мероприятий в целях установления  причин совершения преступления, выявления лиц, виновных в его  совершении, определения рабочего  места преступника, обнаружения  следов и других вещественных  доказательств;

5) изучение справочной  литературы, ведомственных нормативных  актов, положений, инструкций, правил  эксплуатации конкретного СВТ  и порядка работы с компьютерной  информацией, а также консультации  с соответствующими специалистами;

6) наведение справок в  контролирующих, инспектирующих и  лицензирующих организациях и  их структурных подразделениях (Гостехкомиссии, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);

7) истребование материалов  контрольных проверок, инвентаризаций  и ревизий (соблюдения правил  обработки информации, системы защиты  конфиденциальной информации, оборота  электронных документов и др.) за интересующий следствие период, в случае необходимости - организовать  их производство (в т.ч. повторно);

8) выемку и последующий  осмотр недостающих документов (в  том числе находящихся в электронной  форме на машинных носителях  информации), характеризующих производственную  операцию, в ходе которой по  имеющимся данным совершены преступные  действия, а также орудий (СВТ,  программ для ЭВМ, компьютерной  информации, предметов, материалов  и др.), с помощью которых они,  возможно, были изготовлены;

9) допросы подозреваемых  и/или свидетелей, ответственных  за данный участок работы, конкретную  производственную операцию и  защиту конфиденциальной информации;

10) обыски на рабочих  местах и по месту проживания  подозреваемых;

11) назначение экспертиз  - программно-технической, радиотехнической, технической, бухгалтерской, полимерных  материалов и изделий из них  и иных.

Дальнейшие действия планируются  с учетом дополнительной информации, полученной при производстве вышеуказанных  действий.

При наличии третьей следственной ситуации необходимо:

1) изучить поступившие  материалы с позиций их полноты,  соблюдения норм уголовно-процессуального  законодательства и порядка их  передачи в органы предварительного  следствия. При необходимости  - принять меры к получению  недостающей процессуальной информации;

2) решить вопрос о возможности  задержания преступника с поличным  и о необходимых в связи  с этим мероприятиях;

3) личный обыск задержанного;

4) осмотр места происшествия  с участием соответствующих заранее  приглашенных специалистов;

4) допрос задержанного;

5) обыски на рабочем  месте и по месту проживания  задержанного;

6) установление связей  задержанного и лиц, причастных  к совершению преступления;

7) допрос свидетелей (очевидцев);

8) допрос подозреваемого;

9) выемка и осмотр следующих  вещественных доказательств и  документов: подлинных документов, удостоверяющих личность преступника  и наличие у него соответствующих  специальных познаний, характеризующих  те производственные операции, в  процессе которых допущены нарушения  и преступные действия (в том  числе документов, находящихся в  электронной форме на машинных  носителях информации); орудий подготовки, совершения и сокрытия преступления; предмета преступления;

10) допрос лиц, названных  в документах, переданных в следственные  органы, как допустивших нарушения,  ответственных за конкретный  участок работы по фактам установленных  нарушений;

11) истребование, а при  необходимости производство выемки  нормативных актов и документов, характеризующих порядок и организацию  работы в данном подразделении  с конфиденциальной информацией,  с бланками строгой отчетности, компьютерной информацией, ЭВМ,  системой ЭВМ, их сетью и  т. п.;

12) допрос свидетелей, причастных  к соответствующим производственным  операциям или подозреваемых  в связях с преступником;

13) анализ полученной информации  и решение вопроса о необходимости  назначения судебных экспертиз,  проведения ревизии, инвентаризации  или контрольной проверки (в том  числе повторной).