Смекни!
smekni.com

Расследование неправомерного доступа к компьютерной информации (стр. 2 из 3)

Третью группу составляют смешанные способы, которые могут осуществ­ляться как путем непосредственного, так и опосредованного (удаленного) дос­тупа. К числу этих способов относятся: тайное введение в чужую программу таких команд, которые помогают ей осуществить новые, незапланированные функции при одновременном сохранении прежней ее работоспособности; моди­фикация программ путем тайного встраивания в программу набора команд, ко­торые должны сработать при определенных условиях, через какое-либо время; осуществление доступа к базам данных и файлам законного пользователя пу­тем нахождения слабых мест в системах защиты.

Неправомерный доступ к компьютерной информации может быть связан и с насилием над личностью либо угрозой его применения.

Способы сокрытия рассматриваемого преступления в значительной сте­пени детерминированы способами его совершения. При непосредственном дос­тупе к компьютерной информации, сокрытие следов преступления сводится к воссозданию обстановки, предшествующей совершению преступления, т.е. уничтожению оставленных следов (следов пальцев рук, следов обуви, микро­частиц и пр.). При опосредованном (удаленном) доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа. Это достигается применением чужих паролей, иден­тификационных средств доступа и т.д.

Одним из распространенных орудий неправомерного доступа к компью­терной информации является сам компьютер. Необходимо различать орудия непосредственного и опосредованного доступа. К орудиям непосредственного доступа можно отнести, прежде всего, машинные носители информации, а так же все средства преодоления защиты информации.

К орудиям опосредованного (удаленного) доступа относится, прежде все­го, сетевое оборудование (при неправомерном доступе из локальных сетей), а так же средства доступа в удаленные сети (средства телефонной связи, модем).

Другим распространенным средством совершения неправомерного дос­тупа в последнее время стала глобальная мировая телекоммуникационная среда Интернет.

Одним из распространенных орудий неправомерного доступа к компью­терной информации является сам компьютер.

Обстановку совершения неправомерного доступа к компьютерной ин­формации составляют обстоятельства, характеризующие вещественные, техни­ческие, пространственные, временные, социально-психологические особенности события рассматриваемого преступления.

Особенностью данного преступления является то, что на него практиче­ски не оказывают влияние природно-климатические факторы. Дополнитель­ными факторами, характеризующими обстановку совершения неправомерного доступа к компьютерной информации могут являться наличие и состояние средств защиты компьютерной техники (организационных, технических, про­граммных), сложившаяся на объекте дисциплина, требовательность со стороны руководителей по соблюдению норм и правил информационной безопасности и эксплуатации ЭВМ. Для обстановки, в которой возможно совершение рассмат­риваемого преступления, наиболее свойственно следующее: невысокий технико-организационный уровень хозяйственной деятельности и контроль за информа­ционной безопасностью, неналаженная система защиты информации, атмосфера безразличия к случаям нарушения требований информационной безопасности. Так же особенностью неправомерного доступа к компьютерной информации является то, что место непосредственного совершения противоправного деяния - (место, где выполнялись действия объективной стороны состава преступления) и место наступления вредных последствий (место, где наступил результат про­тивоправного деяния) могут не совпадать.

Следы неправомерного доступа к компьютерной информации подразде­ляются на два вида: традиционные следы, рассматриваемые трассологией, и не­традиционные - информационные следы.

К первому тину относятся материальные следы. Ими могут быть рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиату­ре, дисководах, принтере и т.д.), а так же на магнитных носителях и CD-ROM дисках.

Информационные следы образуются в результате воздействия (уничто­жения, модификации, копирования, блокирования) на компьютерную информа­цию путем доступа к ней и представляют собой любые изменения компьютер­ной информации, связанные с событием преступления. Прежде всего, они оста­ются на магнитных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов), находя­щейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен фай­лов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются так же ре­зультаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей про­граммистов, протоколов работы антивирусных программ, а так же программ­ного обеспечения. Для выявления подобных следов необходимо участие спе­циалистов в сфере программного обеспечения и вычислительной техники.

3. Особенности первоначального этапа расследования не­правомерного доступа к компьютерной информации

Наиболее распростра­ненными поводами к возбуждению уголовного дела по ст. 272 УК РФ являются: сообщения должностных лиц организаций или их объединений (около 40 %); заявления граждан (около 35 %); непосредственное обнаружение органом доз­нания, следователем или прокурором сведений, указывающих на признаки преступления (около 20 %); сообщения в средствах массовой информации и иные поводы (около 5 %).

В зависимости от источника и содержания сведений о неправомерном дос­тупе к компьютерной информации, могут складываться различные проверочные ситуации:

1. Неправомерный доступ обнаружен при реализации компьютерной ин­формации незаконным пользователем (например, при распространении сведе­ний, носящих конфиденциальный характер).

2. Факт неправомерного доступа к компьютерной информации обнаружен законным пользователем, но лицо, совершившее это, не установлено.

3. Неправомерный доступ обнаружен законным пользователем с фикса­цией на своей ЭВМ данных о лице, осуществляющем «перекачку» информации через сеть.

4. Неправомерный доступ обнаружен оператором, программистом или иным лицом в результате того, что преступник застигнут на месте преступле­ния.

5. Имел место неправомерный доступ к компьютерной информации (имеются иные сведения об этом), однако лицо, его совершившее, не установлено.

Для установления основания для возбуждения уголовного дела и разре­шения приведенных проверочных ситуаций необходимо осуществление прове­рочных действий в соответствии со ст. 109 УПК РСФСР: получение объясне­ний, производство осмотра места происшествия, истребование необходимых ма­териалов, осуществление оперативно-розыскных мероприятий.

Для уточнения оснований к возбуждению уго­ловного дела по ст. 272 УК РФ необходимо получить объяснения у инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением (отладкой и обслуживанием), операторов, специалистов по техническому обеспечению, занимающихся эксплуатацией и ремонтом средств компьютерной техники, системных программистов, инженеров по средствам связи и телекоммуникационному оборудованию, специалистов по обеспечению безопасности компьютерных систем и др.

При подготовке к проведению осмотра места происшествия необходимо пригласить соответствующих специалистов и понятых из числа лиц, владеющих компьютерной техникой, подготовить соответствующую компьютерную техни­ку, проинструктировать членов следственной группы и провести консультации со специалистами. По прибытии на место происшествия необходимо:

1) зафик­сировать обстановку, сложившуюся на момент осмотра места происшествия;

2) исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием;

3) определить, соедине­ны ли находящиеся в помещении компьютеры в локальную вычислительную сеть;

4) установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;

5) пояснить, под­ключен ли компьютер к телефонной или телетайпной линиям;

6) определить, запущены ли программы на ЭВМ и какие именно.

При изъятии компьютерной информации необходимо руководствоваться следующими рекомендациями:

1) в случае невозможностиизъятия средства компьютерной техники, после его осмотре необходимо блокировать соответствующее помещение, отключать источ­ники энергопитания аппаратуры;

2) при изъятии, магнитного носителя информа­ции нужно их перемещать ихранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготов­ления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучении;

3) при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии.