Методика расследования компьютерных преступлений

Если на момент осмотра СВТ находится в рабочем  состоянии необходимо детально описать:  

расположение его рабочих  механизмов и изображение на его  видеоконтрольном устройстве (экране, мониторе, дисплее);

основные действия, производимые специалистом при осмотре СВТ (порядок  корректного приостановления работы и закрытия исполняемой операции или  программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т.п.).

Осмотр машинного  носителя и  компьютерной информации проводят по принципу «от общего к частному». Вначале описывают внешние индивидуальные признаки носителя: его цвет, размер, тип, вид, название, марка, заводской и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на МНИ. [13]

Перед началом  ее осмотра необходимо указать в  протоколе следственного действия:

1. индивидуальные признаки  используемого для осмотра средства  электронно-вычислительной техники  и основные реквизиты его программного  обеспечения (тип, вид, марку,  название, заводской или регистрационный  номер, номер версии, юридический  адрес и(или) автора программного продукта);

2. юридические реквизиты  программы, с помощью которой  СВТ и его программное обеспечение  в присутствии понятых было  тестировано специалистом на  предмет отсутствия вредоносных  программно-аппаратных средств. 

После этого на указанный  предмет проверяется и осматриваемая  компьютерная информация.

Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому  событию.

Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного  поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра  должен дополнительно фиксироваться  на цветной фото- или видеопленке. При обнаружении следов преступления, необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу  следственного действия с указанием  в протоколе индивидуальных признаков  использованного для этого печатающего  устройства (тип, вид, марку, название, номер). [13]

В протоколе осмотра, помимо вышеуказанного, необходимо отразить:

· наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эмбоссинг, флуоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т.п.);

· признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя - серийный номер и(или) метку тома, либо код, размер разметки (для дисков - по объему записи информации, для лент - по продолжительности записи);

· размер области носителя свободной от записи и занятой  под информацию;

· количество и номера сбойных  зон, секторов, участков, кластеров, цилиндров;

· количество записанных программ, файлов, каталогов (структура их расположения на МНИ, название, имя и(или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.);

· наличие скрытых или  ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).

Готовясь к проведению обыска, следователь должен решить что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведения и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информациипредметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты. [16]

В ходе обыска следует  обращать внимание на литературу, методические материалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на аудио-, видеокассеты, распечатки машинной информации и документы о соответствующем образовании. Особое внимание нужно уделять предметам, содержащим коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях. Необходимо также переиллюстрировать записные (телефонные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных устройств.[19]

Ценные доказательства могут  быть обнаружены и при личных обысках  подозреваемых (обвиняемых).

Предметом выемки в подавляющем большинстве случаев совершения преступления в сфере компьютерной информации являются персональные компьютеры, машинные носители информации (включая распечатки на бумаге, аудио- и видеокассеты, пластиковые карты) и всевозможные документы (в том числе иэлектронные), отражающие и регламентирующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной информации, использования ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.

Помимо вышеуказанного могут быть изъяты специальные технические средства для негласного получения, модификации и уничтожения информации, свободные образцы почерка, бланки и фрагменты документов, заготовки машинных носителей информации, исходные тексты программ для ЭВМ, черновики и иные образцы для сравнительного исследования.

Перед изъятием магнитных  носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия. [31]

Назначение экспертиз. При расследовании преступления в сфере компьютерной информации наиболее характерна компьютерно - техническая экспертиза.

Ее проводят в  целях:

1. воспроизведения и распечатки  всей или части компьютерной  информации (по определенным темам,  ключевым словам и т.д.), содержащейся  на машинных носителях, в том  числе находящейся в нетекстовой  форме (в сложных форматах: в  форме языков программирования, электронных таблиц, баз данных  и т.д.);

2. восстановления компьютерной  информации, ранее содержавшейся  на машинных носителях, но впоследствии  стертой (уничтоженной) или измененной (модифицированной) по различным  причинам; установления даты и времени создания, изменения (модификации), уничтожения, либо копирования информации (документов, файлов, программ);

3. расшифровки закодированной  информации, подбора паролей и  раскрытия системы защиты от  НСД; исследования СВТ и компьютерной  информации на предмет наличия  программно-аппаратных модулей и  модификаций, приводящих к несанкционированному  уничтожению, блокированию, модификации  либо копированию информации, нарушению  работы ЭВМ, системы ЭВМ или  их сети; установления авторства,  места (средства) подготовки и  способа изготовления документов (файлов, программ), находящихся на  МНИ;

4. выяснения возможных  каналов утечки информации из  компьютерной сети, конкретных СВТ  и помещений;

5. установления возможных  несанкционированных способов доступа  к охраняемой законом компьютерной  информации и ее носителям; выяснения технического состояния, исправности СВТ, оценки их износа, а также индивидуальных признаков адаптации СВТ под конкретного пользователя;

6. установления уровня  профессиональной подготовки отдельных  лиц, проходящих по делу, в области  программирования и в качестве  пользователя конкретного СВТ;

7. установления конкретных  лиц, нарушивших правила эксплуатации  ЭВМ, системы ЭВМ или их сети; установления причин и условий,  способствующих совершению преступления  в сфере компьютерной информации.

 

До вынесения постановления  о назначении экспертизы рекомендуется  проконсультироваться со специалистом по поводу ее целей, формулировки вопросов, характера предоставляемых материалов.

Может быть назначена идентификационная  и не идентификационная компьютерно-техническая  экспертиза.

По делам рассматриваемой  категории из криминалистических экспертиз  наиболее часто назначаютдактилоскопическую, одорологическую, трасологическую, почерковедческую, фоноскопическую, автороведческую, радиотехническую и технико-криминалистическую экспертизу документов, экспертизу полимерных материалов и изделий из них.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ЗАКЛЮЧЕНИЕ

Таким образом можно сделать вывод, что внедрение современных информационных технологий и развитие телекоммуникаций создают определенные благоприятные возможности для лиц, вынашивающих противозаконные намерения, которые могут использовать вычислительные сети как средство для реализации своих замыслов.

Одной из важнейших отличительных  особенностей преступлений и злоупотреблений  в глобальной сети является специфика  способов и приемов их совершения. Эти способы и приемы основаны на использовании возможностей, а  также выявлении и эксплуатации уязвимых сторон интернет-технологий.

Интернет все более  активно используется преступными  группировками для незаконного  проникновения в корпоративные  и личные базы данных. Результатом  развития Интернет является возникновение  не только нелегального рынка, где сбывается  информация, но и пособий по приготовлению  террористических акций, изготовления СВУ, рекомендации относительно того, как уйти от уголовного преследования, пропаганды национальной вражды и призывов к развязыванию войны.

Но также существуют и  правовые заблуждения, о которых  нередко упоминается — это  о распространении преступности в Интернет. Нередко можно услышать, что Интернет это среда для  криминала. Высказывается, что в  Интернете все очень просто —  мафия, организованная преступность, любые  криминальные элементы, — осуществляют свою деятельность. То есть, в Интернете  идет торговля оружием, наркотиками, человеческими  органами. Такие утверждения вызывают большой резонанс в обществе, но возникает вопрос: а каким образом  транспортируются наркотики, оружие, человеческие органы — через Интернет. Это  же, все-таки, физические поставки, и  борьба идет не с тем, что распространяется информация о готовящихся преступлениях, а с определенными действиями. Да, если информация есть, то нужно действовать  по этой информации. Правоохранительные органы для того и созданы. Но Интернет — это ведь только средство связи  в этом случае, а не среда для  распространения организованной преступности. И все время преступность пресекается  по конкретным фактам, по конкретным действиям. Если наркотики — то это транспортировка  наркотиков, продажа оружия — это  тоже только транспортировка, использование. То есть, Интернет — это средство телекоммуникаций, а не среда для  организованной преступности.

Отсюда можно сделать  вывод о том, что необходимо разделить  преступность в Интернете и преступность, которая использует Интернет.

Учитывая всеобъемлющий  характер Интернет и его востребованность, а также то, что люди формируют  собственное мнение и принимают  решения на основе того, что они  получили из средств массовой информации (к которым можно отнести и  Интернет). Можно говорить о реальной возможности задействования Интернета  в противодействии преступности.

Но к большому сожалению у нас в стране существуют проблемы с расследованиями преступлений, совершенных в сети Internet.

Во-первых – это нехватка специалистов в правоохранительных органах, имеющих достаточную квалификацию, во-вторых – высокая латентность  данного рода преступлений. 

Целью данного исследования было обобщение основных методик  расследования данного рода преступлений. Мы видим, что методы и способы  организации различных следственных действий довольно обширны и содержательны. Но мы не можем говорить об идеальности  следствия. Эти дела действительно  для нас новы и необычны.

И хочется надеяться на то, что работники правоохранительных будут чаще и теснее сотрудничать со специалистами данной сферы. Повышение уровня знаний в нашем современном обществе является непосредственной необходимостью. И все идет к тому, что в  ближайшем будущем процент компьютерных преступлений по отношению ко всем преступлениям достигнет достаточно высокой планки.

С П И С О К

ИСПОЛЬЗОВАННЫХ  ИСТОЧНИКОВ

 
 

1. Конституция Республики  Беларусь 1994 года (с изменениями и дополнениями). Принята на республиканском референдуме 24 ноября 1996 г. // Национальный реестр правовых актов Республики Беларусь. – 1999. – № 1. – С. 4–28.

2. Уголовный  Кодекс Республики Беларусь от 9 июля 1999 г. N 275-З (в ред. Законов Республики Беларусь от 08.05.2002 N 98-З, от 24.06.2002 N 112-З, от 04.01.2003 N 173-З, от 14.07.2003 N 220-З, от 22.07.2003 N 227-З, от 03.08.2004 N 309-З, с изм., внесенными Заключением Конституционного суда от 11.03.2004 N З-171/2004).-Мн.:Национальный центр правовой информации Республики Беларусь,1999.-229.

3. Уголовно-процессуальный  кодекс Республики Беларусь. Кодекс  Республики Беларусь от 16 июля 1999 г. № 295-З (Национальный реестр  правовых актов Республики Беларусь, 2000 г., № 77-78)

4. ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ  от  июля 1999 г. N 289-З ОБ ОПЕРАТИВНО-РОЗЫСКНОЙ ДЕЯТЕЛЬНОСТИ Принят Палатой представителей 24 июня 1999 года.Одобрен Советом Республики 30 июня 1999 года(в ред. Законов Республики Беларусь от 16.06.2000 N 400-З, от 09.08.2004 N 315-З)

 

5. Вестник Муниципального  института права и экономики  (МИПЭ). – Вып. 1. – Липецк: Издательство НОУ «Интерлингва», 2004. – С. 77 – 86.