преступление расследование компьютерная информация

По ст. 272 УК ответственность за деяние наступает: если неправомерный доступ к компьютерной информации повлек за собой хотя бы одно из следующих негативных последствий: уничтожение, блокирование, модификацию либо копирование компьютерной информации

3.1.1 Расследование неправомерного доступа к компьютерной информации

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства.

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

1) факт неправомерного доступа к информации в компьютерной системе или сети;

2) место несанкционированного проникновения в эту систему или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной информации;

6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7) вредные последствия содеянного;

8) выявление обстоятельств, способствовавших преступлению Скоромников К.С. Неправомерный доступ к компьютерной информации и его расследование // Прокурорская и следственная практика.- 2005. - N 1. - С. 41-45..

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

1. Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.

2. Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.

3. Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.

4. Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСНП России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

а) появление в компьютере искаженных данных - является следствием воздействия специальных программ, использованных для преодоления систем защиты, либо преднамеренного искажения файлов, к которым и был осуществлён неправомерный доступ;

б) длительное необновление кодов, паролей и других защитных средств компьютерной системы - указывает на то, что преступником может являться лицо, официально работающее с данной системой, поскольку другим лицам сложно осуществить несанкционированное управление системой без привлечения к себе внимания пользователей и обслуживающего персонала системы;

в) увеличение числа сбоев в работе ЭВМ - указывает на использование специальных программ, для преодоления системы защиты, изменения или копирования информации;

г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;

3) приобретение работником для личного пользования дорогостоящего компьютера;

4) чистые дискеты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;

5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов Ястребов А.А., Героев М.М. Вопросы квалификации неправомерного доступа к компьютерной информации // Актуальные проблемы права, управления и природопользования. - 2003. - Вып. 1. - С44 - 47.. Имеются в виду:

а) нарушения принятых правил оформления документов и изготовления машинограмм;

б) лишние документы, подготовленные для обработки на ЭВМ;

в) несоответствие информации, содержащейся в первичных документах, данным машинограмм;

г) преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Обыкновенно доступ имеют ограниченное количество лиц. Также проще определить способ доступа к информации. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.

Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. Это может быть как элементарное видеонаблюдение, так и считывание электромагнитных излучений компьютера и его элементов. Излучение можно считывать даже с клавиатуры, во время набора текста, в том числе и паролей и кодов. К установлению подобного доступа необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти Актуальные вопросы раскрытия и расследования преступлений. Ч. 2.// Следственный бюллетень. - 2001. - N 3. - С. 34 - 56.. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационных центров МВД, ГУВД, УВД субъектов Российской Федерации. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме Гульбин Ю. Преступления в сфере компьютерной информации // Российская юстиция. -1997.- N 10. С. 10-13..

Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть: хищение машинных носителей информации в виде блоков и элементов ЭВМ; использование визуальных, оптических и акустических средств наблюдения за ЭВМ; считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем; фотографирование информации в процессе ее обработки; изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров; осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем; вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами нужных сведений и др. Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, удалённым использованием различных специализированных программ, таких как «кей-логгер» - считывает и передаёт все нажатия клавиш клавиатуры, «ред-админ» - позволяет полный удалённый контроль над компьютером, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например, узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ.

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Просвирник Ю.Г. Преступления в сфере компьютерной информации (понятие и состав)//Российское уголовное законодательство: Проблемы теории и практики. 2004. - Вып. 8.- С. 127 -129. Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании www.cyber-crimes.ru.

Выясняя надежность средств зашиты компьютерной информации, прежде всего, следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам.. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Как правило, неправомерный доступ облегчается халатностью администратора системы или пользователя компьютера, что происходит в 99% случаев «Взлом питерского ISP», Hell-Man // «Хакер».- №12. - 2007. - С. 22 - 31.. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен. С другой стороны среди «хакеров» очень популярно оставлять на месте преступления, т.е. в системе взломанного компьютера, улики, непосредственно указывающие на совершение преступления как раз лицом, официально работающим с системой. Подобные уловки могут легко завести следствие в ненужном направлении, что часто и происходит, учитывая высокую латентность подобного рода преступлений. В системе или в сети могут быть указания на то, что доступ был совершён с компьютера определённого лица. Секрет подобной уловки знает каждый начинающий хакер, для этого существует огромное количество специальных программ, помогающих получить анонимный доступ к сети, либо доступ через компьютер «подставляемого» лица «Секреты удачного взлома», TRR // Internet: http://www. x32.com, 2007 г.. Поэтому на практике следователь всегда должен быть крайне осторожен при определении подозреваемого или обвиняемого.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы дактилоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует, прежде всего, ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу, и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации Минаев В.А., Саблин В.Н. Основные проблемы борьбы с компьютерными преступлениями в России. - Internet: http://www.mte.ru/www/toim.nsf.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них Крылов В.В. Расследование преступлений в сфере информации/ В.В. Крылов. - М.: Городец, 2007. - С.345..

При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы Мухачев С.В., Богданчиков В.Б. Компьютерные преступления и защита информации: учеб. - практ. пособие/ С.В. Мухачев, В.Б. Богданчиков. - Екатеринбург: УрЮИ МВД России, 2008.- 321 с..

Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях.

Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения Кочои С., Савельев Д. "Ответственность за неправомерный доступ к компьютерной информации" // Российская юстиция. - 2006. -N 1. - С.23 -29..

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной информации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;

3) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. - М.: Щит-М, 1999. - 254 с..

К преступлениям в сфере компьютерной информации относятся неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).

Объектами посягательства по данной категории преступлений будут являться банки и базы данных компьютерных систем и сетей, отдельные компьютеры и файлы, программное обеспечение.

Подробный анализ способов совершения компьютерных преступлений провел Ю.М. Батурин. Он разделил все способы компьютерных преступлений на осуществляемые методами перехвата, методами несанкционированного доступа и методами манипуляции.

1. К методам перехвата он отнес:

непосредственный перехват - его особенностью является то, что подключение производится прямо к коммуникационным каналам либо узлам передачи данных;
электромагнитный перехват, который осуществляется по остаточным излучениям тех или иных устройств (дисплея, принтера, систем коммуникаций), причем на достаточном удалении от объекта излучения.

Э. Мелик дополняет эту группу методом "Уборка мусора" - поиском "отходов" информационного процесса как физического характера (бумаг, счетов, иного мусора), так и электронного (поиск и восстановление удаленных данных).

Нам представляется логичным также дополнение этой группы методом аудиовизуального перехвата и расшифровки данных.

2. Методы несанкционированного доступа подразделяются:

на метод "Следование за дураком" (pigbacking) - несанкционированное проникновение в закрытые зоны следом за законным пользователем или вместе с ним;
метод "За хвост" (between the lines entry) - подключение к линии связи законного пользователя и после прекращения им сеанса связи продолжение осуществления доступа к системе от его имени;
метод "Компьютерный абордаж" (hacking) - подбор регистрационных данных пользователей (как правило, имен и паролей);
метод "Неспешный выбор" (browsing) - выявление и использование слабых мест в защите;
метод "Поиск бреши" (trapdoor entry) - использование случайных ошибок и неудач разработчиков программного обеспечения после анализа работы программы;
метод "Люк" (trapdoor) - использование специально запланированных разработчиками недокументированных функций системы защиты;
метод "Маскарад" (masquerading) - использование чужого имени и кода доступа;
метод "Мистификация" (spoofing) - удержание случайно подключившегося пользователя или системы и получение (обманным путем или с помощью взлома) от него полезной информации;
метод "Аварийный" - использование программ защиты системы от сбоев. При работе таких программ защита от взлома несколько ослабляется;
метод "Склад без стен" - получение доступа в результате системной поломки (случайной или инициированной взломщиком).

3. Методы манипуляции:

подмена данных - ввод неверной информации;
подмена кода - изменение самого процесса ввода, хранения, обработки, вывода информации;
Троянский конь" (Trojan horse) - введение в программу (последующее или на этапе ее разработки) команд, позволяющих осуществлять дополнительные, интересующие злоумышленника, функции;
Салями" (salami attack) - присваивание округляемых остатков на счетах (зачастую является функцией "компьютерных червей" в банковских сетях);
Логическая бомба" (logic bomb) - ввод в программу на этапе разработки или последующего ее изменения специальных команд, срабатывающих при определенных условиях;
Временная бомба" (time bomb) - специальные команды, вводимые в программу, срабатывающие в определенный момент времени или временной интервал;
асинхронная атака, состоящая в смешивании команд большого количества пользователей, с которыми система не может справиться.

4. Нам представляется необходимым дополнить данную классификацию методами умышленной порчи информации. Использование этих методов может являться как самоцелью злоумышленника, так и способом сокрытия иного преступления. К таким методам можно отнести:

запуск программы форматирования (особенно - нижнеуровневого форматирования) винчестера;
программное стирание файлов;
уничтожение следов в реестре и log-файлах (или самих этих файлов);
запуск в компьютерную систему (сеть) или в персональный компьютер различных вирусных и иных вредоносных программ;
запуск программ, присваивающих себе функции администратора компьютера, компьютерной системы или сети.

Обстановка совершения данных преступлений характеризуется тем, что подобные преступления могут совершаться как непосредственно на поражаемом компьютере, так и с удаленного стационарного (а в современных условиях развития компьютерной техники - и перемещающегося) терминала. Данным преступлениям, как правило, способствуют использование самодельных и нелицензионных ("взломанных") программ, неэффективность методов защиты, неприменение всех установленных средств и методов защиты и проверки компьютера (системы или сети), несвоевременное обновление кодов и паролей доступа, нарушение правил хранения и уничтожения копий файлов, компьютерных распечаток и иных носителей информации, облегчающих действия злоумышленников, неприменение всех программных средств протоколирования и регистрации действий пользователей.

Субъекты данных преступлений, как правило, характеризуются высоким интеллектуальным уровнем, наличием соответствующего опыта или специальной подготовки в области компьютерных средств. Чем сложнее примененный способ совершения компьютерных преступлений, тем более ограничен круг субъектов. Многие ученые определяют возможный возраст субъектов как 18-60 лет. Однако стоит отметить, что освоение новых технологий и эксперименты с использованием различных функций легче проходят и больше свойственны молодежи. По нашему мнению, основной круг субъектов состоит из лиц 16-35 лет (в некоторых случаях до 45 лет).

Согласно данным Э. Мелик, наиболее распространенными мотивами совершения компьютерных преступлений являются: 1) корыстные соображения - 66%; 2) политические цели - 17%; 3) исследовательский интерес - 7%; 4) хулиганские побуждения и озорство - 5%; 5) месть - 5%.

В качестве следов преступления могут выступать как обычные, трасологические, следы (пальцев рук и т.д.), так и компьютерные носители информации (диски, дискеты и т.д.), документы (записи пользователей, записи злоумышленника, свидетельствующие о разработке преступления, подборе паролей и т.д.), а также "виртуальные" следы в памяти компьютеров и т.д.

Признаками компьютерных преступлений можно считать участившиеся случаи немотивированной перезагрузки компьютера, отказы систем, частые сбои в процессе работы, появление фальшивых данных, исчезновение информации, блокировка действий пользователя и администратора, замедление, ухудшение работы компьютера (а также системы или сети), немотивированное изменение паролей и сетевых адресов, а также телефонов "дозвона" до интернет-провайдера, осуществление отдельных операций без команды пользователя и т.д.

Последствиями преступлений будут: хищение информации, компьютерных программ, баз данных или денежных средств , уничтожение или модификация информации, блокировка работы компьютера, системы или сети, механический выход из строя компьютера (существуют вирусы, повышающие температуру процессора, винчестера или других элементов компьютера, подающие на них повышенное напряжение и "сжигающие" их), автоматическая рассылка пораженным компьютером вирусов и вредоносных программ по адресам "гостевой книги" или иным спискам контактов пользователя, перевод, финансовые потери (при оплате платных сайтов и международных счетов) и т.д.

К обстоятельствам, подлежащим установлению, относятся как обстоятельства, указанные в ст. 73 УПК РФ, подлежащие доказыванию , так и уровень надежности компьютерных средств защиты, используемое программное обеспечение, использование лицензионной продукции, соответствие лицензионной продукции параметрам выданного сертификата, регулярность обновления баз защитных программ, спецификация "пораженного" объекта (модель и показатели персонального компьютера, количество и местоположение компьютеров, объединенных в систему или сеть), количество и персональный состав лиц, имеющих правомерный доступ к компьютеру, лиц, осуществляющих функцию администратора, наличие и персональный состав иных лиц, владеющих компьютерными технологиями и обладающих необходимыми навыками, наличие локальной сети или доступа в Интернет, порядок осуществления смены паролей, порядок хранения и утилизации "отходов" и т.д.

Типичные следственные ситуации по делам о компьютерных преступлениях

Типичные следственные ситуации по данной категории преступлений можно классифицировать по различным основаниям.

По источнику информации выделяют ситуации, когда:

преступление обнаружено самим пользователем;
преступление обнаружено в ходе оперативно-розыскной деятельности ;
преступление обнаружено в ходе прокурорских проверок;
преступление выявлено при проведении ревизии ;
преступление обнаружено в ходе производства следственных действий по другому уголовному делу.

Наименьшим объемом информации характеризуется первая ситуация, наибольшим - последняя.

Вообще в зависимости от объема информации, имеющейся в распоряжении следствия, можно выделить такие ситуации, как:

отсутствует информация о способе, мотивах, личности злоумышленника, известны только последствия преступного деяния;
известны способ, мотивы и последствия преступного деяния, но неизвестна личность злоумышленника;
имеется информация и о способе, и о мотивах, и о личности злоумышленника.

В зависимости от имеющейся у следствия информации проводится предварительная проверка, в ходе которой должны быть получены: документы, обусловливающие права потерпевшего на компьютерную технику или компьютерную информацию, подвергшуюся атаке; документы, отражающие неправомерно совершенную операцию.

В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей - осмотр места происшествия с участием специалистов - проведение ОРМ для установления причин преступления, выявления злоумышленников - допрос свидетелей и потерпевших - выемка и изучение компьютерной техники и документации - задержание злоумышленника - допрос подозреваемого - обыски по месту жительства и работы - назначение и производство судебных экспертиз.

В третьей (максимально информативной) ситуации схема может быть несколько иная: изучение материалов предварительной проверки и возбуждение уголовного дела - осмотр места происшествия - задержание злоумышленника - допрос подозреваемого - обыски по месту жительства и работы подозреваемого - допросы потерпевших и свидетелей - выемка компьютерной техники и документации - назначение экспертиз.

Особенности первоначального этапа расследования

Одним из самых важных следственных действий на первоначальном этапе является осмотр места происшествия . К проведению осмотра необходимо привлекать специалистов. Первейшей задачей осмотра является определение местонахождения всех компьютеров, объединенных в систему или сеть. Местоположение компьютеров фиксируется в протоколе и отмечается в составленной схеме. В схеме также фиксируется "иерархия" соединений (одноранговая сеть, компьютеры-администраторы и компьютеры-пользователи и т.д.). Определяются способы объединения (локальная сеть, прямое подключение и т.д.). Выявляются способ связи компьютеров (сетевой кабель связи, контакт через ИК-порты, контакт через выход в Интернет и т.д.), аппаратура, используемая для связи компьютеров, нахождение на момент осмотра. Проверяется нахождение компьютера "в сети" или индивидуальная работа, а также конкретный домен или компьютер, с которым осуществляется контакт. Исследуются кабельные соединения сети на предмет проверки их целостности и определения посторонних включений. Выясняется политика администрирования сети (с какого терминала осуществляется управление). Дальнейший осмотр отдельных персональных компьютеров желательно начинать с компьютера-сервера (администратора сети).

При осмотре персональных компьютеров фиксируется выведенная на дисплей информация (желательно не только описать ее, но и сфотографировать), определяется работающая на момент начала осмотра программа (работающие программы). Выполнение программы должно быть остановлено и зафиксирован результат остановки выполняемой программы. Осматриваются и описываются в протоколе (а также могут быть сфотографированы) подключенные к компьютеру внешние устройства (внешние модемы, сканеры, принтеры, web-камеры и т.д.). Определяются тип и модель компьютера и периферийных устройств, проверяется возможное использование внешних накопителей (внешних винчестеров, "флэшек"). Проверяется наличие в дисководах дискет и дисков. При наличии принтера желательно распечатать "дерево каталогов" (перечень каталогов, содержащихся в компьютере). Некоторые авторы (например, Е.С. Лапин, А.Н. Иванов) предлагают обязательный запуск при осмотре компьютера антивирусных программ, однако нам представляется, что такая проверка не всегда возможна: проверка антивирусными программами пользователя необязательно даст необходимый результат, поскольку у пользователя могут быть устаревшие антивирусные базы; запуск программы с переносного диска серьезно замедляет антивирусную проверку; большой объем винчестера и большое количество файлов на винчестере приведут к слишком продолжительной проверке; вирусы зачастую в первую очередь поражают системную область диска и антивирусные программы. Поэтому нам кажутся возможными осмотр компьютера без антивирусной проверки и последующая загрузка со "спасательной" дискеты. Информация, содержащаяся на компьютере, может быть скопирована на переносные винчестеры. В любом случае копируются на носители системные файлы и файлы протокола (log-файлы). Обязательно проверяются базы программ online- и offline-сетевого общения (электронная почта, mail-агенты, ICQ и т.д.).

Проверяется наличие классических трасологических следов (микрочастиц, следов рук и т.д.). Наиболее вероятные места обнаружения данных следов - клавиши включения и перезагрузки компьютера, кнопки периферийных устройств, клавиатура, розетки, кнопки дисководов и выдвижения дискет, передняя поверхность системного блока, мышь и т.д.

В протоколе фиксируются все манипуляции, произведенные с компьютерными устройствами.

Проверяется возможность отключения компьютера без повреждения обрабатываемых файлов. При отключении компьютеров сети в первую очередь отключается компьютер администратора.

Перед изъятием должен быть решен вопрос об изъятии компьютера целиком или изъятии только жесткого диска компьютера с сохранением на нем данных оперативной памяти. Изымать компьютер целиком (и системный блок, и монитор, и периферийные устройства) желательно, когда исследованию должен быть подвергнут весь компьютер; когда на компьютере установлено уникальное аппаратное обеспечение, с которым связано программное обеспечение (работа компьютера возможна только при его определенной комплектации); когда пользователем установлен пароль на вход (имеется в виду пароль в BIOS); на месте производства следственного действия нет возможности копирования информации жесткого диска и в некоторых иных случаях. При упаковке компьютерной техники фиксируется схема соединений, опечатываются кнопки и разъемы. Каждое устройство упаковывается отдельно в фиксированном положении во избежание повреждений.

Кроме компьютерных устройств, осматриваются и изымаются носители информации: диски, дискеты, съемные винчестеры, "флэшки" и т.д. Описываются их тип, модель, внешний вид, наличие фирменных обозначений, содержащаяся информация, наличие следов пальцев на поверхности носителя. Каждый носитель упаковывается отдельно.

Следует отметить, что любую компьютерную технику и носители следует оберегать от влажности, воздействия высоких или низких температур, электромагнитных полей и т.д.

При осмотре электронных документов определяются их местонахождение (конкретный носитель и "адрес" на носителе, атрибуты файла (архивный, скрытый, системный и т.д.), формат (doc, rtf, html, txt и т.д.), объем файла, время создания и изменения. Далее включается соответствующая программная оболочка (WordPad, Word и т.д.), в которой и открывается файл. В открытом документе изучается содержащаяся информация (по критериям, аналогичным исследованию письменной речи).

Допросы потерпевших и свидетелей . При расследовании данной категории преступлений может быть допрошено руководство организации, на компьютерную технику или компьютерную информацию которой было осуществлено посягательство, или индивидуальные пользователи, технический (программисты, системные администраторы) и обслуживающий персонал, лица, работающие на "пораженном" терминале, а также иные сотрудники организации. В ходе допросов выясняются: время и обстоятельства обнаружения компьютерного преступления; признаки, по которым оно было обнаружено; круг лиц, имеющих доступ к компьютеру; круг лиц, которые могли узнать коды и пароли доступа; круг лиц, обладающих достаточными знаниями и навыками, необходимыми для совершения компьютерного преступления, или интересующихся программированием; используемые на компьютерной технике программы защиты от несанкционированного доступа и антивирусные программы; кто в организации использовал компьютер для целей, не связанных с производственной деятельностью (переписывал игры, программы, фильмы, музыку и т.д.), самостоятельно устанавливал и запускал программы. Следует также установить возможные факты привлечения в организации к решению определенных задач или устранению проблем посторонних нештатных программистов и собрать сведения о них.

При допросе подозреваемого выясняются сведения о его личности , взаимоотношениях с сослуживцами, уровне профессиональной подготовки, опыте по созданию программ конкретного класса, причинах совершения преступления, способе совершения преступления, соучастниках, технических средствах и программном обеспечении, примененных для совершения преступления, источниках финансовых средств для закупки оборудования и программного обеспечения, сведения об источнике получения программного обеспечения и идентификационных данных, способе разработки программ, которыми пользовался злоумышленник, алгоритме их действия, уровне доступа злоумышленника, закрепленных за подозреваемым паролях и терминалах доступа, паролях, кодах доступа к зашифрованной подозреваемым информации и т.д.

Для производства обыска по месту жительства и работы подозреваемого желательно привлечение соответствующего специалиста. Очень важно обеспечить внезапность обыска для воспрепятствования уничтожению информации. После проникновения на объект блокируется доступ пользователей к компьютерам. При обнаружении запущенных программ удаления информации или форматирования выход осуществляется экстренным отключением компьютера. Само изучение компьютерной техники осуществляется аналогично проведению осмотра. Следует учитывать, что подключенные к компьютеру периферийные устройства, а также несколько компьютеров, объединенных в систему или сеть, могут находиться в разных помещениях. При обыске очень важны обнаружение и изъятие не только компьютерной техники и носителей, но также и компьютерных распечаток, отрывочных записей на листах бумаги или в блокноте. При изучении данных записей могут быть обнаружены: план совершения преступления, записи о системе защиты "пораженного" объекта, попытки подбора паролей и имен пользователей и т.д. Обнаруживается и изымается "хакерское", нелицензионное программное обеспечение на дисках и дискетах. Важно также обнаружить телефонные счета (в настоящее время обслуживание доступа в Интернет выделяется в счете отдельной строкой, и по размеру счета можно определить объем использованного интернет-времени).

В ходе обыска следует также обращать внимание на специфическую литературу по программированию, взлому, созданию вредоносных программ и т.д.

Информация о времени доступа в сеть и времени, проведенном в сети, может быть получена путем проведения выемок журналов регистрации или истребования сведений у провайдера.

Последующий этап расследования

На последующем этапе расследования компьютерных преступлений могут быть проведены очные ставки, допросы обвиняемых, следственные эксперименты , экспертизы и иные процессуальные действия.

Очные ставки могут быть проведены между соучастниками компьютерного преступления или подозреваемыми (обвиняемыми) и свидетелями или потерпевшими при наличии в их показаниях существенных противоречий.

С помощью следственного эксперимента могут быть проверены профессиональные навыки злоумышленника: способность "взломать" компьютер при удаленном доступе к нему или шифры и пароли доступа при работе на самом "взламываемом" терминале, создать "хакерскую" или вредоносную программу, возможность "взломать" компьютер определенным способом, возможность появления на экране "закрытой" информации вследствие ошибки, программной или администратора, сбоя в компьютерном оборудовании, возможность наступления определенных последствий при нарушении конкретных правил пользования компьютером и т.д. При проведении следственного эксперимента необходимо использовать компьютерную технику и программное обеспечение, аналогичные тем, которые стали объектами преступного посягательства или средствами совершения преступления. С помощью следственного эксперимента может быть также проверена надежность средств защиты.

Назначение экспертиз. При расследовании компьютерных преступлений могут назначаться как традиционные трасологические экспертизы (например, по следам рук), почерковедческие (по записям, использовавшимся при подготовке компьютерного преступления), так и специфические. При наличии на компьютере звуковых и мультимедийных файлов возможно производство судебной фоноскопической экспертизы. Для определения размера, причиненного незаконными действиями, ущерба возможно назначение финансово-экономической экспертизы.

К числу специфических экспертиз при расследовании компьютерных преступлений можно отнести компьютерно-техническую экспертизу. Е.Р. Россинская обоснованно выделяет в классе компьютерно-технических экспертиз аппаратно-компьютерную экспертизу; программно-компьютерную экспертизу; информационно-компьютерную экспертизу (данных); компьютерно-сетевую экспертизу.

Аппаратно-компьютерная экспертиза предназначена для исследования аппаратных компьютерных средств, определения вида, типа, модели, технических показателей, параметров, функционального предназначения и функциональных возможностей конкретного компьютера в сети или системы, первоначального технического состояния и конфигурации аппаратного средства, а также состояния и конфигурации на момент исследования и т.д.

Программно-компьютерная экспертиза исследует программное обеспечение с целью определения: общей характеристики программного обеспечения и его компонентов, функционального предназначения программы, наименования, типа, версии и вида представления программы, реквизитов разработчика и законного владельца, даты создания, объема программы, аппаратных требований, совместимости программы с программными оболочками и иными программами на конкретном компьютере, работоспособности программы, алгоритма программного средства, программных средств, применяемых при разработке исследуемой программы, вносились ли в исследуемую программу изменения, время, цели, состав изменения, новые свойства, которые приобрела программа после изменений, и т.д.

Информационно-компьютерная экспертиза исследует пользовательскую информацию и информацию, созданную программами. В ходе информационно-компьютерной экспертизы определяются: вид записи данных на носителе, физическое и логическое размещение данных, свойства, характеристики, вид и параметры данных на носителе информации, тип данных на носителе, доступность данных, наличие средств защиты, признаков преодоления защиты, состояние данных, их свойства и назначение, данные о пользователе, содержание информации, ее первоначальное состояние, произведенные с данными операции (копирование, модификация, блокирование, стирание и т.д.) и хронология этих операций и т.д.

Компьютерно-сетевая экспертиза предназначена для изучения сетевых технологий и сетевой информации. Согласно Е.Р. Россинской, судебная экспертиза этого рода производится для решения таких задач, как: определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети; выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным; определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений; определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа; установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию; определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних ("чужих") программ и т.п.; определение свойств и состояния вычислительной сети по ее отображению в информации носителей; определение структуры механизма и обстоятельства события в сети по его результатам; установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.

§ 4. Технико-криминалистические средства, используемые для экспертного исследования криминалистических объектов

§ 5. Применение технико-криминалистических средств для решения иных криминалистических задач

Глава 5. Компьютеры как средства криминалистической техники § 1. Значение информационно-компьютерного обеспечения криминалистической деятельности

§ 2. Компьютеризация процесса расследования преступлений

§ 3. Компьютеризация экспертных исследований

Глава 6. Криминалистическая фотография, видеозапись и голография § 1. Система и значение криминалистической фотографии

§ 2. Криминалистическая оперативная фотография

§ 3. Криминалистическая исследовательская фотография

§ 4. Криминалистическая видеозапись

§ 5. Голография в криминалистике

Глава 7. Отождествление человека по внешним и внутренним признакам § 1. Правила словесного описания внешнего облика человека

§ 2. Анатомические (морфологические) признаки наружного строения человека

§ 3. Функциональные признаки, особые и броские приметы внешнего облика

§ 5. Использование методики "словесного портрета" в оперативно-розыскной и следственной практике

§ 6. Фотопортретная экспертиза

§ 7. Отождествление человека по генетическим признакам

Глава 8. Трасология § 1. Классификация следов, правила их обнаружения и изъятия

§ 2. Следы рук

§ 3. Следы ног

§ 4. Следы орудий взлома и инструментов

§ 5. Следы транспортных средств

Глава 9. Материалы, вещества, изделия как носители криминалистически значимой информации § 1. Общие положения и задачи криминалистического исследования материалов, веществ и изделий

§ 2. Виды и возможности криминалистического исследования материалов, веществ и изделий

§ 3. Криминалистическое исследование микрообъектов

Глава 10. Криминалистическая одорология § 1. Понятие и классификация одорологических объектов

§ 2. Работа с запаховыми следами человека

Глава 11. Криминалистическая баллистика § 1. Общие положения криминалистической баллистики

§ 2. Классификация и информационное содержание баллистических объектов

§ 3. Классификация и характеристики ручного огнестрельного оружия

Механизм образования следов на гильзах в пистолетах, автоматах и карабинах

§ 4. Обнаружение, осмотр, фиксация и изъятие огнестрельного оружия и следов выстрела

§ 5. Криминалистический анализ оружия и следов его действия

Глава 12. Криминалистическая взрывотехника § 1. Общие положения криминалистической взрывотехники

§ 2. Обнаружение, осмотр, фиксация, изъятие и исследование взрывотехнических объектов

Глава 13. Криминалистическое исследование документов § 1. Понятие, виды и задачи криминалистического исследования документов

§ 2. Понятие и классификация изучаемых объектов

§ 3. Отождествление средств и материалов, использованных для изготовления документов

§ 4. Установление наличия и способа подделки документов

§ 5. Восстановление нечитаемых записей, разорванных и сожженных документов, прочтение шифровальной переписки

§ 6. Исследование материалов документов

Глава 14. Криминалистическое исследование письма и письменной речи § 1. Научные основы криминалистического исследования письма и письменной речи

§ 2. Понятие, классификация и информационное содержание признаков почерка

Глава 15. Криминалистическая фоноскопия § 1. Научные основы криминалистической фоноскопия

§ 2. Определение личных качеств человека по признакам устной речи

§ 3. Автоматизированные методы анализа устной речи

Глава 16. Криминалистическая регистрация § 1. Общие положения криминалистической регистрации

§ 2. Оперативно-справочные, розыскные и криминалистические учеты

§ 3. Экспертно-криминалистические учеты

§ 4. Справочно-вспомогательные учеты

§ 5. Криминалистические информационные массивы международных организаций

Раздел третий. Криминалистическая тактика Глава 17. Общие положения криминалистической тактики § 1. Понятие, сущность и категории криминалистической тактики

§ 2. Криминалистическая тактика и следственная практика

§ 3. Тактика следственного действия

Глава 18. Криминалистические версии и планирование расследования § 1. Особенности версионного процесса в криминалистике

§ 2. Планирование расследования преступлений

§ 3. Планирование отдельных следственных действий и оперативно-розыскных мероприятий

Глава 19. Следственный осмотр и освидетельствование § 1. Понятие и общие тактические положения следственного осмотра

§ 2. Тактика осмотра места происшествия

§ 3. Виды следственного осмотра

§ 4. Освидетельствование

Глава 20. Следственный эксперимент § 1. Общие положения производства следственного эксперимента

§ 2. Подготовка к производству следственного эксперимента

§ 3. Тактика производства следственного эксперимента

Глава 21. Обыск и выемка § 1. Понятие обыска и его общие тактические положения

§ 2. Особенности тактики выемки

Глава 22. Допрос и очная ставка § 1. Общие положения тактики допроса

§ 2. Тактика допроса свидетелей и потерпевших

§ 3. Тактика допроса подозреваемых и обвиняемых

§ 4. Особенности тактики допроса отдельных категорий лиц

§ 5. Тактика производства очной ставки

§ 6. Фиксация хода и результатов допроса и очной ставки

Глава 23. Предъявление для опознания § 1. Понятие, условия и задачи предъявления для опознания

§ 2. Подготовка и производство предъявления для опознания

§ 3. Особенности предъявления для опознания отдельных видов объектов

Глава 24. Проверка показаний на месте § 1. Понятие и содержание проверки показаний на месте

§ 2. Тактика производства проверки показаний на месте

§ 3. Фиксация проверки показаний на месте

Глава 25. Применение специальных познаний при расследовании преступлений § 1. Характеристика специальных познаний и формы их использования в борьбе с преступностью

§ 2. Применение специальных познаний посредством экспертизы

Раздел четвертый. Криминалистическая методика расследования Глава 26. Общие положения криминалистической методики расследования § 1. Понятие и содержание криминалистической методики расследования

§ 2. Основания и принципы формирования криминалистических методик расследования

§ 3. Структура и содержание криминалистических методик расследования

Глава 27. Организационно-управленческие основы расследования преступлений § 1. Понятие оперативно-розыскной деятельности и ее правовые основы

§ 2. Основы тактики взаимодействия следственных, оперативных органов и криминалистических подразделений

§ 3. Взаимодействие следователя и оперативно-розыскных органов с общественностью при расследовании преступлений

§ 4. Основы криминалистической профилактики

Глава 28. Методика расследования убийств § 1. Криминалистическая характеристика убийств

§ 2. Первоначальный этап расследования убийства при наличии трупа

§ 3. Последующий этап расследования убийства при наличии трупа

§ 4. Особенности расследования убийств "без трупа"

Глава 29. Особенности расследования умышленных убийств, совершаемых наемниками § 1. Обстоятельства, подлежащие установлению при расследовании умышленных убийств, совершенных по найму

§ 2. Первоначальный этап расследования умышленных убийств, совершенных наемниками

§ 3. Особенности производства первоначальных следственных действий

§ 2. Выдвижение следственных версий и планирование начала расследования

§ 3. Особенности тактики отдельных следственных действий

Глава 31. Расследование краж, грабежей и разбойных нападений § 1. Криминалистическая характеристика краж, грабежей и разбоев

§ 2. Первоначальные следственные действия и оперативно-розыскные мероприятия по получении сообщения о преступлении

§ 3. Некоторые особенности тактики следственных действий

Глава 32. Методика расследования контрабанды § 1. Криминалистическая характеристика контрабанды

§ 2. Типовые следственные ситуации, версии и планирование расследования

§ 3. Взаимодействие при расследовании дел о контрабанде

§ 4. Тактика проведения отдельных следственных действий по делам о контрабанде

Глава 33. Методика расследования налоговых преступлений § 1. Обстоятельства, подлежащие доказыванию

§ 2. Выявление налоговых преступлений

§ 3. Методика расследования уклонений от уплаты налогов с организаций

§ 4. Методика расследования налоговых преступлений, совершаемых гражданами

Глава 34. Методика расследования поджогов и преступных нарушений правил пожарной безопасности § 1. Криминалистическая характеристика поджогов и нарушений правил пожарной безопасности

§ 2. Тактика осмотра места происшествия по делам о пожарах

§ 3. Особенности тактики отдельных следственных действий

Глава 35. Методика расследования преступного наркобизнеса § 1. Характерные особенности преступного наркобизнеса

§ 2. Особенности следственных ситуаций, отработки версий и планирования расследования

§ 3. Первоначальный этап расследования дел о преступном наркобизнесе

Глава 36. Методика расследования экологических преступлений § 1. Криминалистическая характеристика экологических правонарушений

§ 2. Типичные следственные ситуации и действия следователя на первоначальном этапе расследования

Глава 37. Методика расследования преступлений против безопасности движения и эксплуатации транспорта § 1. Обстоятельства совершения транспортных преступлений

§ 2. Обстоятельства, подлежащие установлению в зависимости от исходных следственных ситуаций

§ 3. Первоначальный этап расследования

§ 4. Последующий этап расследования

Глава 38. Методика расследования преступлений в сфере компьютерной информации § 1. Расследование фактов неправомерного доступа к компьютерной информации

§ 2. Расследование создания, использования и распространения вредоносных программ для эвм

§ 3. Расследование нарушения правил эксплуатации эвм, их системы или сети

Глава 38. Методика расследования преступлений в сфере компьютерной информации § 1. Расследование фактов неправомерного доступа к компьютерной информации

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Общий объект данных преступлений общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.

Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией ее видоизменение с появлением новых, нежелательных свойств. Копирование это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокупность компьютеров с их единым организационно-техническим обеспечением, а сетью объединение систем ЭВМ, действующих на определенной территории.

1) факт неправомерного доступа к информации в компьютерной системе или сети;

2) место несанкционированного проникновения в эту систему или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной информации;

6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7) вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

Признаками несанкционированного доступа или подготовки к нему могут служить:

а) появление в компьютере искаженных данных;

б) длительное необновление кодов, паролей и других защитных средств компьютерной системы;

в) увеличение числа сбоев в работе ЭВМ;

г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

3) приобретение работником для личного пользования дорогостоящего компьютера;

5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду:

а) нарушения принятых правил оформления документов и изготовления машинограмм;

б) лишние документы, подготовленные для обработки на ЭВМ;

в) несоответствие информации, содержащейся в первичных документах, данным машинограмм;

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.

Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

а) хищение машинных носителей информации в виде блоков и элементов ЭВМ;

б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ;

в) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем;

г) фотографирование информации в процессе ее обработки;

д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;

е) использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров;

ж) осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем;

з) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами нужных сведений и др.

Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ (см. схему).

┌───────────────────────────┐

┌────────────────────────────────────┤ Следы преступных действий │

│ └─┬───────────────────────┬─┘

│ ┌──────────────────────────────────────┐ ┌───────────────────────────────┐

│┌──┤ В ЭВМ и на машинных носителях │ │ В линиях электросвязи ├──────┐

││ └──────────────────────────────────────┘ └───────────────────────────────┘ │

││ ┌────────────────────────────┐ ┌────────────────────────────────────┐ │

│├─ │ Изменения в ОЗУ │ │ Документированная информация о │ │

││ └────────────────────────────┘ │ прохождении сигнала через оператора│◄───┤

││ ┌────────────────────────────┐ └───┬────────────────────┬───────────┘ │

││ │ Специализированная │ ▼ ▼ │

│├─ │ конфигурация оборудования │ ┌─────────────────────┐ ┌─────────────────────────┐ │

││ │ │ ┌───┤ Документы │ ┌──┤ Компьютерная информация │ │

││ └────────────────────────────┘ │ └─────────────────────┘ │ └─────────────────────────┘ │

││ ┌────────────────────────────┐ │ ┌─────────────────────┐ │ ┌─────────────────────────┐ │

││ │ Специальная конфигурация │ │ │ Документы, │ ├─ │Базы данных, фиксирующие │ │

│├─ │ программ работы в сетях │ ├── │ регистрирующие │ │ │ соединения │ │

││ └────────────────────────────┘ │ │соединения абонентов │ │ └─────────────────────────┘ │

││ ┌────────────────────────────┐ │ └─────────────────────┘ │ ┌─────────────────────────┐ │

│└─ │ Следы в файловой системе │ │ ┌─────────────────────┐ │ │ Коммутаторы, │ │

│ └─┬───────────┬────────────┬─┘ │ │ Протоколы │ └─ │ осуществляющие и │ │

│ │ ▼ │ ├── │взаиморасчетов между │ │регистрирующие соединения│ │

│ │ ┌──────────────────┐ │ │ │ операторами │ └─────────────────────────┘ │

│ │ │Копии чужих файлов│ │ │ └─────────────────────┘ │

│ │ └──────────────────┘ │ │ ┌─────────────────────┐ │

│ ▼ ▼ │ │ Платежные документы │ │

│ ┌────────────┐┌────────────────┐ └── │ об оплате трафика │ │

│ │ Программное││Специализирован-│ │ между операторами │ │

│ │ обеспечение││ное "хакерское" │ └─────────────────────┘ │

│ │для создания││ программное │ ┌─────────────────────────┘

│ │ программ ││ обеспечение │ │

│ └────────────┘└────────────────┘ ▼

│ ┌────────────┐ ┌─────────────────────────────────────────────────────────┐

│ │ Прочие │ │Результаты наблюдения при проведении оперативно-розыскных│

└────────────────────── │ │ │ мер и предварительного следствия │

└──┬─────────┘ └─────────────────────────┬───────────────────────────────┘

┌───────────────────────┐ │ ┌─────────────────────────────────┐ │

│ Рукописные записи │◄─┼─ │Описания программного обеспечения│ │ ┌────────────────────────────┐

│и принтерные распечатки│ │ └─────────────────────────────────┘ ├─ │Пеленгация источника сигнала│

└┬──────────────────────┘ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘

│ ┌───────────────────┐ │ │ Инструкции по пользованию ЭВМ и │ │ ┌────────────────────────────┐

├─ │ Коды доступа │ ├─ │ ее устройствами │ │ │ Прослушивание телефонных и │

│ └───────────────────┘ │ └─────────────────────────────────┘ ├─ │ иных переговоров │

│ ┌───────────────────┐ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘

├─ │ Текста программ │ │ │ Устройства доступа в телефонные │ │ ┌────────────────────────────┐

│ └───────────────────┘ ├─ │ сети и сети ЭВМ │ │ │ Прохождение криминального │

│ ┌───────────────────┐ │ └─────────────────────────────────┘ └─ │ сигнала через оператора │

│ │ Записные книжки с │ │ ┌─────────────────────────────────┐ └────────────────────────────┘

└─ │ именами других │ ├─ │ Нестандартные периферийные │

│ хакеров │ │ └─────────────────────────────────┘

└───────────────────┘ │ ┌─────────────────────────────────┐

└─ │ Счета телефонных компаний │

└─────────────────────────────────┘

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

Выясняя надежность средств защиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.

Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а кроме того обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации, задействованных в данной компьютерной системе, от несанкционированного доступа и 2) соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной информации от несанкционированного доступа;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

1) Установление факта и способа создания вредоносной программы для ЭВМ.
2) Установление факта использования и распространения вредоносной программы.
3) Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
4) Установление вреда, причиненного данным преступлением.
5) Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

1) место и время (период времени) нарушения правил эксплуатации ЭВМ;
2) характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
3) способ и механизм нарушения правил;
4) характер и размер ущерба, причиненного преступлением;
5) факт нарушения правил определенны лицом;
6) виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;
7) обстоятельства, способствовавшие совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий.

Приведу некоторые из них.

Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации.

Для этого необходимо:

1) не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
2) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;
3) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
4) самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.

При этом следует принять во внимание следующие неблагоприятные факторы:

- возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
- возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
- возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;
- постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:

1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
2. При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т.д.).
3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).
4. Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.
5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
6. Следует изъять все ЭВМ, обнаруженные на объекте.
7. При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.
8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.
9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений.

В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Информация и информационные правоотношения стали новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, их системы или сети (ст. 274).

Общий объект указанных преступлений - общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация - это зафиксированные на материальном носителе сведения с реквизитами, позволяющими их идентифицировать. Компьютерная информация является документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относят устройства памяти ЭВМ, ее периферийные устройства, компьютерные средства связи, сетевые устройства и сети электросвязи.

Статья 272 УК РФ устанавливает ответственность, если неправомерный доступ к компьютерной информации привел к таким негативным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожение информации - это такое изменение ее состояния, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией - ее видоизменение с появлением новых, нежелательных свойств. Копирование - это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети - замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации.

При этом системой считается взаимосвязанная совокупность ЭВМ с их единым организационно-техническим обеспечением, а сетью - объединение действующих на определенной территории систем ЭВМ.

При расследовании неправомерного доступа к компьютерной информации следственные задачи решаются в такой очередности:

1) устанавливается: а) факт неправомерного доступа к информации в компьютерной системе или сети, б) место несанкционированного проникновения в эту систему или сеть и в) время совершения преступления;

2) определяется: а) способ несанкционированного доступа и степень надежности средств защиты компьютерной информации, б) лица, совершившие неправомерный доступ, их виновность и мотивы преступления, в) вредные последствия содеянного.

Факт неправомерного доступа к информации

Факт неправомерного доступа к информации первыми, как правило, обнаруживают пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ , ФСНП. Их можно выявить и в ходе прокурорских проверок, ревизий , судебных экспертиз, следственных действий по уголовным делам.

Признаками несанкционированного доступа или подготовки к нему могут служить: а) появление в компьютере искаженных данных; 6) необновление в течение длительного времени кодов, паролей и других защитных средств компьютерной системы; в) увеличение числа сбоев в работе ЭВМ; г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать: 1) осуществление без необходимости сверхурочных работ; 2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от отпуска; 3) приобретение работником для личного пользования дорогостоящего компьютера; 4) чистые дискеты или диски, принесенные на работу сотрудниками компьютерной системы под предлогом копирования программ для компьютерных игр; 5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин; 6) подозрительный интерес некоторых работников к содержанию чужих принтерных распечаток; 7) повторный ввод в компьютер одной и той же информации.

Необходимо выделить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду: а) нарушения принятых правил оформления документов и изготовления машинограмм; б) лишние документы, подготовленные для обработки на ЭВМ; в) несоответствие информации, содержащейся в первичных документах, данным машинограмм; г) преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например случайных ошибок и сбоев компьютерной техники.

Место несанкционированного доступа

Место несанкционированного доступа в компьютерную систему или сеть удается установить с немалыми трудностями, ибо таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств , но и для этого приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается в случае несанкционированного доступа к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях, которые тоже подлежат установлению.

Значительно труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые, естественно, не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Подлежат выяснению и места хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа

Время несанкционированного доступа устанавливается с помощью программ общесистемного назначения, которые в работающем компьютере обычно фиксируют текущее время. Это позволяет по соответствующей команде вывести на экран дисплея сведения о точном времени выполнения той или иной операции. Если данная программа работает, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируются в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с помощью специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда конкретно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Способы преступной деятельности

Способы преступной деятельности в среде компьютерной информации могут быть разделены на две большие группы. Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть: а) хищение машинных носителей информации в виде блоков и элементов ЭВМ: б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ; в) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем; г) фотографирование информации в процессе ее обработки; д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; е) использование визуальных, оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, подслушивание их разговоров; ж) осмотр и изучение не полностью утилизированных отходов деятельности вычислительных центров; з) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации и получение от них под разными предлогами нужных сведений и др.

Для таких действий, как правило, характерны достаточно локальная следовая картина, определяющаяся тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают, и традиционны приемы по их исследованию.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них.

Так, несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. У них необходимо выяснить, как преступник мог проникнуть в защищенную систему, например, узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: «Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразно производство следственного эксперимента для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея закрытой информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо из-за случайного технического сбоя в электронном оборудовании.

Выясняя надежность средств зашиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это выясняется в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.

Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а также обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в ходе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации от несанкционированного доступа, задействованных в данной компьютерной системе, и 2) соответствуют ли их параметры выданному сертификату. Ответить на последний вопрос может информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционированный доступ к закрытой компьютерной информации

При установлении лиц, совершивших несанкционированный доступ к закрытой компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых лучше начинать с технического персонала пострадавших компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации и т.д.

Следственная практика свидетельствует, что, чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.

Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация - конфиденциальна или имеет категорию государственной тайны , то вред, причиненный ее разглашением, устанавливается представителями Гостехкомиссии РФ.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, закачки в информационную систему заведомо ложных сведений устанавливаются прежде всего самими пользователями компьютерной системы или сети. Надо помнить, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных, допросов технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики , финансовой деятельности и товароведения.

К этим обстоятельствам относятся: 1) неэффективность методов защиты компьютерной информации от несанкционированного доступа; 2) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения; 3) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала; 4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

Расследование создания, использования и распространения вредоносных программ для ЭВМ

К вредоносным программам для ЭВМ прежде всего относятся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в другие программы, размножаться и при определенных условиях повреждать компьютерные системы, хранящуюся в них информацию и программное обеспечение. Свое название они получили потому, что многие их свойства аналогичны свойствам природных вирусов. Компьютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них безопасны, однако большинство приносит существенный вред.

Имеются также иные вредоносные программы, используемые обычно для хищений денежных средств в компьютерных банковских системах и совершения других злоупотреблений в сфере компьютерной информации.

Непосредственный объект данного преступления - это общественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержания. Часть 1 ст. 273 УК РФ предусматривает совершение одного из следующих действий: а) создание программы или внесение в нее изменений, заведомо влекущих несанкционированное уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, их системы или сети; б) использование или распространение подобных программ либо машинных носителей с ними. Изменением программы является преобразование алгоритма, описанного в ней на специальном языке, а распространением - расширение сферы ее применения.

Часть 2 этой статьи предусматривает более опасное преступление - любое из вышеуказанных действий, повлекшее тяжкие последствия. Причем возможны две формы вины : умысел по отношению к действиям и неосторожность относительно общественно опасных последствий. Этим преступлениям свойственна высокая латентность, особенно трудно выявлять создателей вредоносных программ.

Основные задачи расследования решаются в такой последовательности: 1) установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ; 2) установление лиц, виновных в названных деяниях, а также вреда, причиненного ими.

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ. Такая программа обнаруживается, как правило, тогда, когда уже проявились вредные последствия ее действия. Однако она может быть выявлена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит использование чужих дискет или дисков.

Разработка вредоносных программ для ЭВМ обычно осуществляется одним из двух способов.

1. Вредоносная программа разрабатывается прямо на одном из рабочих мест компьютерной системы, что, как правило, маскируется под правомерную повседневную работу. В силу своих служебных обязанностей разработчик имеет доступ к системе и обрабатываемой в ней информации, в том числе нередко к кодам и паролям. Сокрытие преступного характера своих действий разработчик осуществляет путем удаления компрометирующих данных или их хранения на собственных дискетах.

2. Программа создается вне сферы обслуживания компьютерной системы, для воздействия на которую она ориентирована. Злоумышленнику необходимы сведения о функционирующей в системе информации, способах доступа к ней, методах ее защиты. Для получения этих сведений он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.

Иногда вредоносная программа создается путем внесения изменений в действующую программу. Например, на Волжском автозаводе оказалось умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста Урозбаева, который из низменных побуждений пять месяцев назад ввел в одну из взаимодействующих программ управления накопителем механических узлов заведомо неправильную последовательность команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен крупный материальный ущерб, а кроме того, из-за сверхнормативного простоя главного сборочного конвейера не было собрано около 500 автомобилей «Жигули».

На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства: а) повышенная заинтересованность посторонних лиц алгоритмами функционирования программ, работой системы блокировки и защиты, входной и выходной информацией; б) внезапный интерес к программированию лиц, в круг обязанностей которых оно не входит. Эти обстоятельства выявятся как в ходе оперативно-розыскных мероприятий, так и при производстве следственных действий, в частности допросов пользователей компьютерной системы, в которой обнаружились признаки действия вредоносной программы.

О создании вредоносной программы свидетельствуют факты ее использования и распространения, особенно данные, позволяющие заподозрить конкретное лицо в такой противоправной деятельности. При этом необходимы своевременные и тщательно произведенные обыски в местах работы и жительства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К обыску целесообразно привлечь специалиста-программиста, который поможет обнаружить все имеющее отношение к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной программы

Факты использования и распространения вредоносной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре следующих документов: а) журналов учета рабочего времени , доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных работ; б) лицензионных соглашений и договоров на пользование программными продуктами и их разработку; в) книг паролей; приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации. Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста. При изучении журналов, книг, соглашений и другой документации следователь может выяснить законность использования того или иного программного обеспечения, систему организации работы учреждения и использования в нем информации, доступа к ней и компьютерной технике, круг лиц, имевших на это право .

Конкретное место нарушения правил эксплуатации ЭВМ можно установить при осмотре автоматизированных рабочих мест пользователей компьютерной системы или сети. Осмотру подлежат все подключенные к ним ЭВМ. Осмотр должен проводиться с участием специалиста, помогающего выяснить дислокацию компьютера, работа на котором привела к вредным последствиям из-за преступного нарушения правил его эксплуатации.

Необходимо различать место нарушения правил и место наступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютерных сетей, в которых персональные ЭВМ подчас расположены на значительных расстояниях друг от друга.

При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информационной безопасности. В первую очередь следует определить места, где по схеме развертывания сети дислоцированы рабочие станции, имеющие собственные дисководы, так как именно на них имеются потенциальные возможности для преступных нарушений правил эксплуатации компьютерной сети. Это, например, возможность для нарушителя скопировать данные с файлового сервера на свою дискету или использовать дискеты с различными программами, в том числе с компьютерными вирусами.

Такие действия, ставящие под угрозу целостность информации, содержащейся в центральных файловых серверах, на бездисковых рабочих станциях исключены. Рекомендуется производить следственный осмотр учетных данных, в которых могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. Кроме того, необходимо допросить в качестве свидетелей администратора сети и специалистов, обслуживающих файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации.

Подлежат выяснению следующие вопросы: 1) на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети, где она расположена; 2) могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на конкретной рабочей станции.

Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают.

Место нарушения правил может установить и информационно-техническая экспертиза, если перед ней поставлен вопрос: на какой конкретно рабочей станции локальной вычислительной сети были нарушены правила ее эксплуатации, что повлекло наступление вредных последствий?

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий. Нарушение правил и наступление таких последствий могут произойти одновременно. Так, при отключении электропитания вследствие нарушения установленных правил обеспечения информационной безопасности может быть мгновенно уничтожена введенная в ЭВМ очень важная информация, которую не успели записать на дискету. Это неизбежно происходит в случае отсутствия источников автономного электропитания, автоматически подключающихся при отключении основного.

Возможен и большой временной интервал между моментом нарушения правил и временем наступления вредных последствий. Например, в определенный момент времени злоумышленник в нарушение установленных правил вносит изменения в программу или базу данных, а значительно позже наступают вредные последствия.

Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического контроля компьютерной системы, регистрирующих ее пользователей и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксируется время ее обработки.

Указанные данные могут быть получены благодаря осмотру места происшествия , выемке и осмотру необходимых документов. Осмотр места происшествия и документов проводится с участием специалиста. Время нарушения правил можно установить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемым целесообразно задать следующие вопросы: 1) каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации ЭВМ; 2) когда могло быть нарушено определенное правило эксплуатации ЭВМ, повлекшее вредные последствия.

При необходимости может быть назначена судебная информационно-техническая экспертиза, перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы: 1) как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети и всех изменений, происходящих в их информационных массивах; 2) можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ, если да, то когда нарушение произошло.

Время наступления вредных последствий устанавливается по материалам служебного расследования и результатам осмотра места происшествия, а также путем допроса свидетелей и производства судебных экспертиз.

При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились важные, охраняемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными. На носителях может быть зафиксировано время наступления таких последствий, которое выясняется при следственном осмотре, с помощью специалиста.

Указанные последствия часто обнаруживаются пользователями компьютерной системы или сети, а также администраторами базы данных. Поэтому при их допросах в качестве свидетелей следует уточнить, когда они впервые обнаружили отсутствие или существенное изменение сведений, находившихся в определенной базе данных.

Время наступления вредных последствий можно установить и в результате производства информационно-технической экспертизы, на разрешение которой ставятся следующие вопросы: 1) как технически осуществляется автоматическая фиксация времени уничтожения или изменения базы данных либо блокирования отдельных файлов; 2) можно ли по стертым или измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступления вредных последствий и если да, то когда они наступили.

Способ нарушения правил эксплуатации ЭВМ может быть как активным, так и пассивным. Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации, а второй - в невыполнении предписанных действий.

Механизм нарушения

Механизм нарушения таких правил связан с технологией обработки информации на ЭВМ. Это, например, неправильное включение и выключение ЭВМ, использование посторонних дискет без предварительной проверки на наличие компьютерного вируса, невыполнение требования об обязательном копировании информации для ее сохранения на случай уничтожения оригинала.

Способ и механизм нарушения правил выясняется путем допросов свидетелей , подозреваемых и обвиняемых, проводимых с участием специалистов, проведения следственного эксперимента , производства судебной информационно-технической экспертизы. При ее назначении может быть поставлен вопрос: «Каков механизм нарушения правил эксплуатации ЭВМ?»

При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил. В ходе следственного эксперимента проверяется возможность наступления вредных последствий при нарушении определенных правил. Он проводится с использованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой правила эксплуатации были нарушены.

Характер ущерба

Характер ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, может заключаться в уничтожении, блокировании или модификации охраняемой законом информации. Ущерб носит либо чисто экономический характер, либо вредит интересам государства вследствие утечки сведений, составляющих государственную тайну . Разглашение или утрата такой информации может создать серьезную угрозу внешней безопасности Российской Федерации, что влечет еще и уголовную ответственность по ст. 283 и 284 УК РФ. Степень секретности информации определяется в соответствии с Законом «О государственной тайне».

Размер ущерба устанавливается посредством информационно-экономической экспертизы, разрешающей вопрос: «Какова стоимость информации, уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ?»

При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что виновным согласно ч. 1 ст. 274 УК может быть лицо, имеющее доступ к ЭВМ, их системе или сети. При этом необходимо различать субъектов, имеющих доступ к ЭВМ, и тех, кто имеет доступ к компьютерной информации, ибо не всякое лицо, допущенное к ЭВМ, имеет доступ к компьютерной информации. К ЭВМ, их системе или сети, как правило, имеют доступ определенные лица в силу выполняемой ими работы, связанной с применением средств компьютерной техники. Среди них и следует устанавливать нарушителей правил.

В отношении каждого из них устанавливается: а) фамилия, имя, отчество; б) занимаемая должность (относится к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования, либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети); в) образование, специальность, стаж работы по специальности и в данной должности, уровень профессиональной квалификации; г) конкретные обязанности по обеспечению информационной безопасности и нормативные акты , которыми они установлены (положение, приказ, распоряжение, контракт, договор , проектная документация на автоматизированную систему и пр.); д) причастность к разработке, внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети; е) наличие и объем доступа к базам и банкам данных; ж) характеристика лица по месту работы; з) наличие домашнего компьютера и оборудования к нему.

Все это устанавливается посредством допросов свидетелей , подозреваемого и обвиняемого, осмотра и изучения эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации и распечаток.

Виновность лица

Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам всех проведенных следственных действий. Соответствующие правила могут быть нарушены как умышленно, так и по неосторожности, в то время как относительно последствий вина может быть только неосторожной. При умышленном нарушении рассматриваемых правил и наличии умысла на наступление вредных последствий должна наступать ответственность за совокупность совершенных преступлений .

Обстоятельства, способствовавшие совершению данного преступления, выявляются путем изучения как общего состояния охраны информационной безопасности в определенной системе или сети, так и факторов, непосредственно обусловивших расследуемое событие. Многие обстоятельства, способствовавшие нарушению правил эксплуатации ЭВМ, устанавливаются по материалам служебного расследования.