жанного; обыск по месту жительства задержанного. К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Такое место может быть, как по месту его службы, так и дома, в иных местах, где установлена соответствующая аппаратура, например, студенческие вычислительные центры и др.). Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве обвиняемого. При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств: а) нарушения целостности (конфиденциальности) информации в системе; б) размера ущерба, причиненного нарушением целостности (конфиденциальности) информации; в) причинной связи между действиями, образующими способ нарушения и наступившими последствиями путем детализации способа нарушения целостности (конфиденциальности) информации в системе и характер совершенных виновным действий; г) отношения виновного лица к совершенным действиям и наступившим последствиям. |
• уточнение способа нарушения целостности (конфиденциальности) информации; • уточнение порядка регламентации собственником работы информационной системы; • уточнение круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности (конфиденциальности) информации для определения свидетельской базы и выявления круга заподозренных1 ; • уточненных данных о причиненном собственнику информации ущербе. Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника информационной системы. Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе. Опубликованные данные показывают, что исчерпывающая полнота защиты информационных систем может быть достигнута лишь при существенных материальных затратах и выполнении большого объема организационных мероприятий2 . Поэтому собственник информационной системы соразмеряет свои способы защиты системы в зависимости от ценности хранимой в ней информации организационными и материальными возможностями. Анализ отечественного и зарубежного опыта 1.Термин «заподозренный» используется в криминалистической литературе в отношении лип, которые находятся под подозрением У органов следствия или дознания, но не являются подозреваемыми в процессуальном смысле, (ст. 122-123 УПК). Фактически «заподозренный» — лицо, в отношении которого выдвинута версия о причастности к расследуемому событию. 2 См. подробнее: Герасименко В.А. Указ. соч. С. 170-174. показывает, -что можно выделить три типовые следственные ситуации. 1. Собственник информационной системы своими силами выявил нарушения целостности (конфиденциальности) информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы. 2. Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы. 3. Данные о нарушении целостности (конфиденциальности) информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу). При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств: а) нарушения целостности (конфиденциальности) информации в системе; б) размера ущерба, причиненного нарушением целостности (конфиденциальности) информации; в) причинной связи между действиями, образующими способ нарушения и наступившими последствиями путем детализации способа нарушения целостности (конфиденциальности) информации в системе и характер совершенных виновным действий; г) отношения виновного лица к совершенным действиям и наступившим последствиям. Если преступник задержан на месте совершения преступления или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следственные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного. К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Такое место может быть, как по месту его службы, так и дома, в иных местах, где установлена соответствующая аппаратура, например, студенческие вычислительные центры и др.). Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве обвиняемого. При отсутствии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных доказательств. Принимаются меры к розыску виновного и поиску его рабочего места, откуда происходит вторжение в информационную систему. Осуществляется поиск следов на машинных носителях и вокруг них: места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник («транзитные» машинные носители) или проникли его программы — вместе с должностными лицами иных информационных и коммуникационных систем — до рабочего места злоумышленника. Такое место, как указывалось, „может быть, как по месту его службы, так и дома, и в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). В качестве примера действий в ситуации, когда виновное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных информационных систем, рассмотрим следующий случай': злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат Нью-Йорк), причем его действия оставались незамеченными несколько дней. Нападению подверглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных программ, позволяющих перехватывать нажатие клавиш пользователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информацией, но не производил никаких изменений в исходных файлах. Представители ВВС, обнаружив вторжение, начали наблюдение за действиями злоумышленника и обнаружили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET и пытался проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находящиеся в Европе, а также через Чили, Бразилию, другие страны. Для его установления и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов в Европе, а также страны нахождения преступника. Последние привлекли к его поиску коммуникационные компании и с их помощью в ходе наблюдения за действиями преступника было выявлено его местонахождение в момент сеанса связи. В результате проведенного национальными правоохранительными органами .расследования были собраны доказательства, позволяющие получить ордер на проведение обыска. Обыск был начат в момент, когда он осуществлял связь с компьютерными сетями. ' Ярочкин В.И. Указ. соч. С. 141-143 |