Проверяемый текст
Гаврилин, Юрий Викторович; Расследование неправомерного доступа к компьютерной информации (Диссертация 2000)
[стр. 149]

«ч * ц истребовать; журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени; документа о проведенных в течение дня операциях; физические (материальные) носители информации; программное обеспечение ЭВМ (при не возможности изъять физические носители); файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); системный блок и выносные накопители информации; информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере; технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; и др.
12.
На первоначальном этапе расследования могут складываться следующие типичные следственные ситуации:
I) установлен неправомерный доступ к компьютерной информации, есть следы, есть подозреваемый, который дает правдивые показания; 2) установлен неправомерный доступ к компьютерной информации, имеются следы, прямо указывающие на конкретного подозреваемого, но он отрицает свою причастность к совершению преступления; 3) установлен неправомерный доступ к компьютерной информации, известны лица, несущие по своему служебному положению за это ответственность, но характер их личной вины, а так же обстоятельства доступа нс установлены; 4) установлен факт неправомерного доступа к компьютерной информации, совершить который и воспользоваться его результатами могли только лица из определенного круга либо известны лица, заинтересованные в получении данной информации.
13.
При подготовке к проведению осмотра места происшествия необходимо пригласить соответствующих специалистов и понятых из числа лиц, вла149
[стр. 87]

87 в обслуживающем данное подразделение сервисном центре (вычислительном центре); 2) журнал учета рабочего времени операторов ЭВМ или компьютеров сети; 3) журнал передачи смен операторами ЭВМ; 4) документы о проведенных в течение дня операциях, например, банковских, результаты антивирусных проверок, проверок контрольных сумм файлов и т.п.
В качестве необходимых материалов в этот период могут истребоваться: 1) физические (материальные) носители информации.
В первую очередь необходимо изъять жесткий диск (винчестер) главного компьютера (сервера) вычислительной сети, а так же жесткие диски с других компьютеров.
Кроме того, подлежат изъятию магнитные ленты (при наличии подключенных к компьютеру соответствующих накопителей), дискеты, лазерные и магнито-оптические диски, распечатки, выполненные на принтере и другие носители компьютерной информации; 2) программное обеспечение ЭВМ (при невозможности изъять физические носители).
В этом случае группе, занимающейся изъятием, необходимо иметь либо переносной компьютер (ноутбук), либо переносной накопитель на жестком магнитном диске, либо на магнитной ленте (стример); 3) файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); 4) системный блок и выносные накопители информации; 5) информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; 6) акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах.
Нарушение кон

[стр.,165]

165 мендациями: 1) в случае невозможности изъятия средства компьютерной техники, после его осмотра необходимо блокировать соответствующее помещение, отключать источники энергопитания аппаратуры; 2) при изъятии магнитного носителя информации нужно их перемещать и хранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений; 3) при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии.
16.
При решении вопроса о возбуждении уголовного дела целесообразно истребовать: журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени; документы о проведенных в течение дня операциях; физические (материальные) носители информации; программное обеспечение ЭВМ (при невозможности изъять физические носители); файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); системный блок и выносные накопители информации; информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере; технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; и др.
17.
На первоначальном этапе расследования могут складываться следующие типичные следственные ситуации:
1) установлен неправомерный доступ к

[стр.,166]

166 компьютерной информации, есть следы, есть подозреваемый, который дает правдивые показания; 2) установлен неправомерный доступ к компьютерной информации, имеются следы, прямо указывающие на конкретного подозреваемого, но он отрицает свою причастность к совершению преступления; 3) установлен неправомерный доступ к компьютерной информации, известны лица, несущие по своему служебному положению за это ответственность, но характер их личной вины, а так же обстоятельства доступа не установлены; 4) установлен факт неправомерного доступа к компьютерной информации, совершить который и воспользоваться его результатами могли только лица из определенного круга либо известны лица, заинтересованные в получении данной информации.
18.
Специфика обыска помещений при расследовании неправомерного доступа к компьютерной информации сводится к следующему.
При его подготовке необходимо: выяснить, какая вычислительная техника имеется в обыскиваемом помещении и ее количество; установить, используется ли в комплекте с вычислительной техникой устройства автономного или бесперебойного питания; пригласить специалиста по компьютерным системам; подготовить соответствующую компьютерную технику; изучить личность владельца компьютера, его профессиональные навыки по владению компьютерной техникой; определить меры, обеспечивающие конфиденциальность обыска; спрогнозировать характер возможно находящейся в компьютере информации; ее роль в быстром и результативном обыске, определить, какую компьютерную информацию необходимо изучить на месте, а какую изъять для дальнейшего исследования.
По прибытии к месту проведения обыска необходимо быстро и неожиданно войти в обыскиваемое помещение, после чего необходимо организовать охрану компьютеров.
На обзорной стадии обыска необходимо: определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне обыскиваемого помещения; выяснить,

[Back]