Методика расследования компьютерных преступлений

В очередность перечисленных  следственных действий, оперативных  и организационных мероприятий  могут быть внесены коррективы в  зависимости от изменения ситуации. [30]

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ГЛАВА 4. Особенности  тактики производства отдельных  следственных действий.

Все следственные действия по делам о преступлениях в  сфере компьютерной информации должны проводиться в строгом соответствии с правилами, регламентированными  действующим уголовно-процессуальным законодательством, но с учетом следующих  основных особенностей:

следственное действие должно быть заблаговременно подготовлено и детально спланировано;

в каждом следственном действии должны принимать участие специалисты четко представляющие свои задачи, права и обязанности; понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей ПЭВМ), следователь и специалисты - познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; 

для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.

При осмотре места происшествия в состав следственно - оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить:

·  специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ;

·  специалист по компьютерным технологиям;

·  специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети);

·  специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи);

·  оперативные сотрудники;

·  участковый оперуполномоченный, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом);

·  специалист для проведения цветной фото- или видеосъемки следственного действия.

При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику  работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты  спутниковых систем связи, операторы  компьютерных систем и сетей электросвязи, др.).

Целью осмотра  места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и(или) орудия совершения преступления и несущих в себе следы преступной деятельности. Поэтому при производстве следственного действия целесообразнее всего использовать тактический прием «от центра - к периферии» (“Эксцентрический”), где в качестве «центра» (отправной точки осмотра места происшествия) будет выступать конкретное СВТ и(или) компьютерная информация, обладающая вышеуказанными свойствами. Детальное описание данных предметов, их соединений (физических и логических) должно сопровождаться видеосъемкой, фиксирующей последовательность действий следователя и специалистов, а также полученный при этом результат.

Если при проведении осмотра  места происшествия используются СВТ  и специальные поисковые технические  устройства (материалы), об этом делается соответствующая отметка в протоколе  следственного действия с указанием  их индивидуальных признаков (тип, марка, название, заводской номер и т.д.). Кроме того, в обязательном порядке  делается отметка о том, что данные СВТ перед началом следственного  действия в присутствии понятых  были тестированы специальным программным  средством (указывают его тип, вид, название, версию, автора и другие реквизиты) на предмет отсутствия в них вредоносных  программно - аппаратных средств и  закладок.

Следователю необходимо знать, что к изменению или уничтожению  компьютерной информации (следов преступника  и преступления) может привести не только работа за пультом управления СВТ (клавиатурой), но и одноразовое  кратковременное включение-выключение СВТ или разрыв соединения между  ними. Поэтому, если на момент проведения следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком положении до момента окончания осмотра их специалистом. По этой же причине подлежат обязательной охране все пункты отключения электропитания, находящиеся на месте происшествия.

Особенно тщательно  должны быть описаны в протоколе  следующие фактические данные:

· технические и конструктивные особенности местности, связанные  с установкой и эксплуатацией  СВТ, включая расположение и основные характеристики токонесущих коммуникаций;

· расположение СВТ относительно друг друга и оконечных устройств  токонесущих коммуникаций;

· отсутствие или наличие  соединений между ними (видимых и  дистанционных); наличие или отсутствие соединений СВТ с оборудованием, в том числе находящемся вне территории осмотра (на это могут указывать кабели и провода, идущие от осматриваемого СВТ за границы места осмотра, либо к аппаратам электросвязи (в таком случае границы осмотра места происшествия значительно расширяются);

· наличие, внешнее состояние, расположение и вид охраны СВТ  и компьютерной информации от НСД, их основные технические характеристики;

· расположение СВТ относительно вентиляционных и иных отверстий  в строительных конструкциях, дверных  и оконных проемов, технических  средств видеонаблюдения, а также  относительно других рабочих мест;

· наличие в одном помещении  со СВТ других электрических устройств  и приборов ( телефонных и иных аппаратов электросвязи, пейджеров, систем электрочасофикации, оргтехники - ксероксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишуших машинок, приборов электроосвещения, громкоговорителей, телевизоров, радиоприемников и т.д.).

Особенно тщательно должны быть осмотрены и описаны в  протоколе типичные вещественные доказательства:

1. вредоносные программы  для ЭВМ и машинные носители  с ними;

2. рограммы для ЭВМ, заведомо приводящие к несанкционированным пользователем действиям ( влияющие на конечные результаты технологического процесса), а также их носители;

3. обнаруженные СТС негласного  получения (уничтожения, блокирования) компьютерной информации и магнитных  носителей;

4.   специфические следы преступника и преступления.

Типичными следами  являются:

1.   следы орудий взлома, повреждения, уничтожения и(или) модификации охранных и сигнальных устройств;

2.   показания регистрирующей аппаратуры (видеотехники, электронного журнала учета операций с компьютерной информацией, доступа к ней и СВТ, др.);

3.   показания специальных мониторинговых (тестовых) программно-аппаратных средств, в том числеэлектронной цифровой подписи (сокр. ЭЦП); следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсильных вилках, тумблерах, кнопках и рубильниках, включающих и отключающих СВТ и электрооборудование;

4.   остатки соединительных проводов и изоляционных материалов;

5.   капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изоляции токонесущих и соединительных (управляющих) проводов, приклеивания к ним сторонних предметов и устройств.

Осмотру подлежат следующие документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления:

а) учетно-справочная документация по работе с СВТ и компьютерной информацией (технический паспорт  или документ его заменяющий; журнал оператора или протокол автоматической фиксации технологических операций, доступа к СВТ и конфиденциальной компьютерной информации; журналы (карточки) учета машинных носителей информации, машинных документов,  заказов (заданий или запросов), выдачи МНИ и машинных документов, массивов (участков, зон), программ, записанных на МНИ; журналы учета уничтожения брака бумажных МНИ и машинных документов; акты на стирание конфиденциальной информации и уничтожение машинных носителей с ней);

б) документация, отражающая санкционированность доступа ( удостоверения личности, электронные ключи доступа, пароли, персональные идентификационные номера (ПИН-коды), ЭЦП и иные средства (предметы или устройства) идентификации и аутентификации санкционированного пользователя);

в) учетно-регистрационная  и бухгалтерская документация (лицензии и лицензионные соглашения; сертификаты  соответствия СВТ, программ для ЭВМ, средств защиты информации (в том  числе и ЭЦП), протоколов обмена информацией  и форматов электронных документов установленным требованиям; договора (соглашения) на пользование СВТ  и доступ к компьютерной информации с соответствующим комплектом документов; расчетно-кассовые и иные бухгалтерские  документы, отражающие факт оплаты пользователем  предоставленной ему услуги, отпущенного  товара или осуществленной им кредитно-банковской операции);

г) учетно-контрольная документация (журналы (акты) пуско - наладочных, ремонтных и регламентных работ по техническому обслуживанию СВТ, программ для ЭВМ и средств защиты информации; журналы аварий и сбойных (нештатных) ситуаций; акты сбоев и ложных сработок охранных сигнализаций; акты контрольных проверок соблюдения режима безопасности информации, ревизий, служебных и иных документальных проверок; сводные отчеты и контрольные показатели по отдельным участкам работы, операциям и временным интервалам);

д) документация, регламентирующая действия обслуживающего персонала  ( должностные обязанности; инструкции по работе с СВТ, программами для ЭВМ, средствами защиты от НСД, действий оператора в нештатной ( аварийной) ситуации; черновая рабочая документация оператора СВТ).

Их осмотр позволяет установить способ совершения преступления в сфере  компьютерной информации, использованные для этого преступником материалы  и средства, наличие у субъекта специальных навыков и познаний; выдвинуть версии о причинно-следственных связях.

 

Осмотр средства электронно-вычислительной техники в большинстве случаев является первоначальным следственным действием и проводится для обнаружения следов преступления; для решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста.

Прежде всего нужно уяснить смысл и назначение СВТ;

установить, включено оно  или нет;

проверить его работоспособность  и наличие в его памяти компьютерной информации;

установить наличие или  отсутствие сопряжения с каналом  электросвязи и другими техническими устройствами. После этого необходимо перейти к поиску материальных следов, содержащихся на его корпусе, отдельных  деталях и проводных соединениях, в его постоянной и оперативной  памяти (в виде компьютерной информации).

При осмотре СВТ  недопустимо использование:

1. магнитосодержащих  материалов и инструментов;

2. технических устройств,  генерирующих и излучающих электромагнитные  поля и наводки (магнитный порошок  и кисточка, электромагнит, металлодетектор, мощные осветительные приборы,  УФ и ИК излучатели и т.п.);

3. кислотно-щелочных материалов  и нагревательных приборов во избежании уничтожения (повреждения) СВТ и компьютерной информации, следов преступника и преступления.

Вышеуказанными материалами  и оборудованием можно пользоваться с особой осторожностью на расстоянии более 1 метра от СВТ и их соединительных проводов.

Осмотр СВТ обычно приводит к необходимости их изъятия для  последующего экспертного исследования и(или) приобщения к делу в качестве вещественного доказательства.

В протоколе осмотра СВТ  фиксируют:

· его тип (назначение), марку (название), конфигурацию, цвет и заводской  номер (серийный, инвентарный или  учетный номер изделия);

· тип (назначение), цвет и  другие индивидуальные признаки соединительных и электропитающих проводов;

· состояние на момент осмотра (выключено или включено);

· техническое состояние - внешний вид, целостность корпуса, комплектность (наличие и работоспособность  необходимых блоков, узлов, деталей, и правильность их соединения между  собой), наличие расходных материалов, тип используемого машинного  носителя информации;

· тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее  напряжение, частота тока, рабочая  нагрузка, наличие предохранителя,  стабилизатора, сетевого фильтра, количество подключенного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.);

· наличие заземления («зануления») СВТ и его техническое состояние;

· наличие и техническая  возможность подключения к СВТ  периферийного оборудования и(или) самого СВТ к такому оборудованию, либо к каналу электросвязи;

· имеющиеся повреждения, непредусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли  возникнуть в результате преступления, а равно могли спровоцировать возникновение происшествия; следы  преступной деятельности (следы орудий взлома корпуса СВТ, проникновения  внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сторонних  технических устройств и др.);

· расположение СВТ в пространстве,  относительно периферийного оборудования и других электротехнических устройств; точный порядок соединения СВТ с другими техническими устройствами; категорию обрабатываемой информации (общего пользования или конфиденциальная); наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования.