Центр исследования компьютерной преступности

home контакты

Особенности расследования преступлений в сфере компьютерной информации

Дата: 21.06.2006
Источник: www.Crime-research.ru
Автор: Оксана Колпакова


etc/research2.jpgПроблемою розслідування такого роду злочинів є встановлення фактів, що мають істотне значення для рішення подібного роду справ, може тривати досить довгий час чи навіть взагалі бути неможливим для розслідування в силу об'єктивних (наприклад, через простоту «замітання слідів» для злочинця) чи суб'єктивних (небажання потерпілих порушувати кримінальну справу)причин.

Процес розслідування даної категорії злочинів починається з встановлення самого факту неправомірного доступу до інформаційної системи або мережі. Факти такого доступу звичайно виявляють самі ж користувачі автоматизованої інформаційної системи, що стали жертвою такого правопорушення. На ознаки несанкціонованого доступу або підготовки до нього можуть указувати три групи обставин: технічні,
поведінкові,логіко-арифметичні.

До першої можна віднести: появу в комп'ютері фальшивих даних; часті збої в процесі роботи комп'ютерів; повільне відновлення кодів, паролів та інших захисних систем.

Другу групу складають такі обставини: понаднормова робота окремих членів персоналу комп'ютерних систем без видимих на те причин; несподівана відмова деяких співробітників. що обслуговують комгґютерні системи або мережі, іти у відпустку або достроковий вихід із відпустки без усякої службової необхідності; випадки перезапису, що почастішали, окремих даних без серйозних причин; підвищений інтерес окремих співробітників до змісту чужих роздруківок, що виходять з принтерів. та ін.

До третьої групп обставин можуть бути включені: невідповідність даних, наявних у первинних документах, даним машинограм: суперечності між однойменними бухгалтерськими документами, що відносяться до різних періодів часу; невідповідність між даними бухгалтерського та іншого виду обліку тощо.

Неправомірний доступ до комп'ютерної інформації може бути виявлений: при реалізації комп'ютерної інформації незаконним користувачем (наприклад, при поширенні відомостей, що носять конфіденційний характер); при перегляді запису, що автоматично фіксується комп'ютером у «журналі оператора» (журналі контролю доступу); при фіксації законним користувачем на своїй ЕОМ даних про особу, що здійснює «перекачування» інформації через мережу.[1. 187]

Процесу порушення кримінальної справи по даній категорії злочинів передує: проведення перевірочних заходів у порядку ст. 97 КПК України, у ході яких необхідно одержати пояснення, здійснити огляд місця події, зажадати необхідні матеріали, застосувати оперативно-розшукові заходи. [2]

Пояснения відбираються в інженерів-програмістів, що займаються розробкою програмного забезпечення і його супроводження; операторів, фахівців-електронщиків відділу технічного забезпечення обчислювального центру, що займаються експлуатацією і ремонтом засобів комп'ютерної техніки: інженерів по засобах зв'язку і телекомунікаційного обладнання; фахівців із забезпечення безпеки комп'ютерних систем та ін.

Під час опитування необхідно з'ясувати: чи не було розкрадань носіїв інформації; чи не чинив хто-небудь із працюючих необґрунтованих маніпуляцій з інформацією; чи не було порушень заданого режиму функціонування комп'ютерних систем або інших засобів комп'ютерної техніки; чи не було випадків спрацьовування засобів захисту комп'ютерної техніки; чи не з'являлися в приміщенні, де розташовані засоби комп'ютерної техніки, сторонні особи (радіотелемеханік, зв'язківець, інспектор позавідомчої охорони, санепідемстанції, енергонагляду тощо); чи не було порушень правил ведення журналів урахування часу роботи комп'ютерних систем; чи не було необгрунтованих маніпуляцій з інформацісю (зміна. стирання без серйозних на те причин); чи не виявляв хто-небудь інтерес до інформаиії, яка не відноситься до їхньої безпосередньої діяльності та ін. [3,576]

Слідчий огляд по справах даної категорії провадиться за участю спеціаліста в галузі інформатики й обчислювальної техніки. Бажано понятими запрошувати осіб, знайомих з роботою ЕОМ.

Огляд місця події варто починати з вжиття заходів щодо запобігання приховуванню злочинцем своїх дій з машинною інформацією. Для цього необхідно заборонити доступ до засобів обчислювальної техніки всім особам, що працюють на об'єкті. Під час огляду в першу чергу слід звернути увагу на розмішення комп'ютерів у конкретному приміщенні, дана інформація відображується в протоколі огляду, до якого додається схематичний план з'єднання пристроїв.

Під час огляду необхідно з'ясувати наявність спеціальних засобів захисту від несанкціонованого доступу до інформаиії. При наявності подібних пристроїв, підключених до компьютера, у них [провадиться автоматична фіксація всіх незаконних спроб вторгнення. Об'єктами огляду також є всілякі журнали: обліку робочого часу, доступу до обчислювальної техніки, збоїв і ремонту, реестрації користувачів мережі, проведення регламентних робіт; ліцензійні угоди і договори на користування програмними продуктами та їхньою розробкою: книги паролів, накази й інші документи, що регламентують роботу установи і використання інформації.

При огляді засобів електронно-обчислювальної техніки рекомендується: описати в протоколі призначення, назву, комплектацію, наявність і тип підключених периферійних пристроїв; положення всіх перемикачів на всіх блоках і пристроях обчислювальної техніки, а також програму, яка використовується на даний момент. Також обов'язково проводиться фотографування зображення на моніторі, самого комп'ютера та йою комплектуючих.

Комп'ютери та їх комплектуючі опечатуються, магнітні носії упаковуються, зберігаються і перевозяться в спеціальних екранованих контейнерах або в стандартних дискетних футлярах заводського виробництва. У протоколі слідчої дії описуються основні фізичні характеристики пристроїв, що вилучаються, магнітних та інших постійних носіїв інформації, серійні номери, їх видимі індивідуальні ознаки. Машинні роздруківки оформляються як додаток до протоколу.

На початковому етапі розслідування злочинів у даній сфері можуть складатися такі типові слідчі ситуації: [4]

-встановлений неправомірний доступ до комп'ютерної інформації, є сліди, є підозрюваний, що дає правдиві показання;

-встановлений неправомірний доступ до комп'ютерної інформації, є сліди, що прямо вказують на конкретного підозрюваного, але він занеречує свою причетність до вчинення злочину;

-встановлений неправомірний доступ до комп'ютерної інформації, відомі особи, що несуть за своїм службовим становищем за це відповідальність, але характер їхньої особистої провини, а також обставини доступу не встановлені;

-встановлений факт неправомірного доступу до комп'ютерної інформації,

вчинити який і скористатися його результатами могли тільки особи з певного кола або відомі особи (фірми, організації), зацікавлені в одержанні даної інформації.

Для вирішення слідчих ситуацій, що складаються на даному етапі розслідування, проводяться такі слідчі дії: допит підозрюваного (обвинуваченого), допит свідків, обшук приміщення, пред'явлення для впізнання, слідчий експеримент, призначення експертиз та ін.

Тактика допиту, а також коло питань, які необхідно з'ясувати у підозрюваного (обвинуваченого) обумовлені конкретною слідчою ситуацією, що склалася на певному етапі розслідування даної категорії злочинів.

Свідками при розслідуванні злочинів у сфері комп'ютерної інформації можуть виступати представники потерпілої сторони, особи з оточення підозрюваного (обвинуваченого) і очевидці вчинення злочину з числа відвідувачів об'єкта і випадкових осіб.

Представниками потерпілої сторони, допитувані як свідки, звичайно є: особи, що безпосередньо відповідають за порядок доступу на об'єкт, режим доступу до ЕОМ та комп"ютерної інформації, організацію роботи з нею та здійснюють контроль за використанням ресурсів; менеджери різноманітних рівнів; начальники відділів інформації та охорони; технічний персонал, що здійснює безпосередню роботу з обчислювальною технікою та програмними засобами; представники інформаційної (комп'ютерної) безпеки. Свідками з оточення підозрюваного можуть бути: товариші по службі, родичі, сусіди, знайомі. [5]

Шляхом упізнання встановлюються злочинці, комп'ютерна техніка, використана при вчиненні злочину, комп'ютерна інформація, різноманітні предмети й об'єкти, пов'язані зі злочинною діяльністю. Для впізнання може пред'являтися комп'ютерна інформація у вигляді програм, баз даних, текстових і графічних файлів, а також носії комп'ютерної техніки. При підготовці до пред'явлення для впізнання на підставі ознак, зазначених при допиті особою, що виконує впізнання, добирається низка візуально подібних програмних продуктів. При проведенні впізнання комп'ютерної інформації не обов'язково використовувати декілька ЕОМ. Так у систем і windows можливе паралельне виконання декількох програм з одночасним виведенням результатів на екран. При заяві про впізнання програмного продукту виконання програми припиняється і пропонується повідомити, за якими саме ознаками відбулося впізнання.

Під час розслідування злочинів у сфері комп'ютерної інформації, в залежності від уточнених обставин, можуть провадитися різні види слідчого експерименту. Проведения дослідних дій у ході здійснення певного виду слідчого експерименту повинно проходити багаторазово у певному режимі та темпі, а у випадках необхідності — поетапно. [6]
Під час розслідування злочинів у сфері комп'ютерної інформації можуть призначатися і проводитися як традиційні,
криміналістичні(трасологічні,почеркознавчі, експертизи речовин і матеріалів та ін.), економічні, судово- бухгалтерські, так і спеціальні, для даного складу злочинів,комп'ютерно-технічні експертизи.

Відповідно до їхніх завдань і специфіки об'єктів дослідження в даний час у межах цього роду експертиз можна...

Добавить комментарий
2007-03-23 16:53:39 - В статье затронута такая серьёзная тема... natalya
2007-03-23 16:35:01 - В статье затронута такая серьёзная тема... natalya
Всего 2 комментариев


Copyright © 2001–2008 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100