|
ний или запросов); журнал (карточки) учета выдачи машинных носителей информации (МНИ) и машинных документов; журнал (карточки) учета массивов (участков, зон), программ, записанных на МНИ; журнал учета уничтожения брака бумажных МНИ и машинных документов; акты на стирание конфиденциальной информации и уничтожение машинных носителей с ней; удостоверения личности; электронные ключи доступа. Их осмотр позволяет установить способ совершения преступления в сфере компьютерной информации, использованные для этого преступником материалы и средства, наличие у субъекта специальных навыков и познаний; выдвинуть версии о причинно-следственных связях1 . Еще на предварительной стадии следователь должен иметь в виду, что для исследования больших вычислительных систем потребуется значительное время нс только часы, но и дни. И к этому он должен быть готов. В процессе расследования неправомерного доступа к компьютерной информации возможны ситуации, когда физически невозможно перевезти компьютеры для их изучения и исследования. В таких случаях необходимо руководствоваться следующими рекомендациями: 1) в случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключить электропитание оборудования или, в крайнем случае, создать условия лишь для приема информации; 2) изъятый магнитный носитель необходимо хранить только в специальном опломбированном и экранированном контейнере или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений; 1Вехов В.Б, Компьютерные преступления: способы совершения и раскрытия / под ред. Б.П. Смагоринского. М„ 1996. С. 121. |
83 устройства опознания пользователя по почерку, для чего используются динамические характеристики процесса подписи: скорость, давление на бумагу, и статические форма и размер подписи; приспособления опознавания пользователей по голосу. Есть примеры внедрения специальных многоканальных фильтров (фирма «Philips»). При наличии подобных устройств, подключенных к компьютеру, в них производится автоматическая фиксация всех незаконных попыток вторжения. Например, данные системы считывают информацию с магнитных карточек незаконных владельцев, записывают их голос, отпечатки пальцев. Эти данные в дальнейшем могут быть использованы для идентификации личности преступника. На рабочей стадии осмотра фиксируется вид неправомерного доступа (уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ). Для этого с помощью специалиста наблюдается действие программ, содержимое текстовых файлов и баз данных. Если выясняется, что имел место неправомерный доступ, то необходимо отыскивать следы пальцев рук, микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п. Целесообразно просмотреть результаты работы программ контроля доступа к ЭВМ, системам протоколирования действий оператора и при наличии воздействий на них, изъять. Результаты такой работы выводятся на печать и приобщаются к делу в качестве документов в порядке ст. 88 УПК РСФСР. Необходимо иметь в виду, что для исследования больших вычислительных систем потребуется значительное время не только часы, но и дни. И к этому он должен быть готов. В процессе расследования неправомерного доступа к компьютерной информации возможны ситуации, когда физически невозможно перевезти компьютеры для их изучения и исследования. В таких случаях необходимо руководствоваться следующими рекомендациями: 1) в обязательном порядке после осмотра средств компьютерной техни (сервера, рабочей станцией компьютерной сети) необходимо блокировать не 84 только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы; 2) магнитные носители машинной информации должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений; 3) информацию из оперативной памяти компьютера (ОЗУ), необходимо изымать путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств. В таких случаях они снабжаются соответствующим документальным приложением. В протоколе осмотра места происшествия необходимо зафиксировать следующее: программу, исполняемую (или исполненную) компьютером на момент проведения (или до проведения) следственного действия. Для этого необходимо детально изучить и описать существующее на экране монитора компьютера изображение, все функционирующие при этом периферийные устройства и результат их деятельности. Многие сервисные программные средства позволяют определить и просмотреть наименование всех ранее вызывавшихся программ и исполненную в последнюю очередь. Например, с использованием NORTON COMMANDER, последняя исполнявшаяся программа определяется по положению курсора (выделенной световой полосой); результат действия обнаруженной программы; манипуляции со средствами компьютерной техники (включая нажатия на клавиши клавиатуры), произведенные в процессе проведения следственного действия и их результат (например, при копировании программ и файлов, оп 165 мендациями: 1) в случае невозможности изъятия средства компьютерной техники, после его осмотра необходимо блокировать соответствующее помещение, отключать источники энергопитания аппаратуры; 2) при изъятии магнитного носителя информации нужно их перемещать и хранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений; 3) при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии. 16. При решении вопроса о возбуждении уголовного дела целесообразно истребовать: журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени; документы о проведенных в течение дня операциях; физические (материальные) носители информации; программное обеспечение ЭВМ (при невозможности изъять физические носители); файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); системный блок и выносные накопители информации; информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере; технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; и др. 17. На первоначальном этапе расследования могут складываться следующие типичные следственные ситуации: 1) установлен неправомерный доступ к |