Я выработка единых следственных действий, обязательных при расследований преступлений против информационной безопасности

1.2. выбор понятых. В качестве  понятых желательно брать лиц  как минимум уровня пользователей  компьютеров с целью того, чтобы  последние понимали происходящее;

1.3. использование технико-криминалистических, тактико-криминалистических приемов  и средств, а также  участие  специалиста. При расследовании  данной категории участие специалиста  желательно в большинстве следственных  действий. Последние могут привлекаться  из числа сотрудников экспертных  подразделений всех уровней и  различной ведомственной принадлежности, компетентных работников контролирующих  органов, представителей научных  и педагогических коллективов, частных  лиц, не состоящих в штате каких-либо  официальных структур, обладающих  глубокими познаниями в области  информационных технологий.

Специалист может выступать с подлежащими занесению в протокол заявлениями, касающимися обнаружения, фиксации и изъятия доказательств, но ни в коем случае заявления, поясняющие элементы механизма происшествия, причинно-следственную связь и выводы, сделанные на основе применения специальных познаний. Такие заключения и выводы специалиста могут использоваться лишь как ориентирующая и оперативная информация для обоснования следственных версий. Специалист используется при осмотре места происшествия для выявления компьютерных средств, документации, пользовательских записей и прочих объектов, которые могут содержать криминалистически значимую информацию. Специалисту предоставляется инициатива в поисках следов преступления, но обязательно под контролем следователя.

1.4. подготовка технических  средств, для последующего изъятия  на них информации и использования  в ходе производства осмотра.

1.5. Так же на подготовительной  стадии производства осмотра  необходимо предварительно иметь  план обстановки и помещения, где будет проводиться осмотр. Желательно при наличии возможности  выяснение аппаратной и программной  оснащенности места производства  осмотра, а именно:

– оснащена ли организация компьютерной техникой, сколько компьютеров в данной организации и каково их распределение в помещении;

– какими именно компьютерами оснащена организация, каковы их параметры;

– какое программное обеспечение используется;

– являются ли компьютеры автономными, входят ли они в компьютерные сети (локальные или локальные), какие виды связи имеются (электронная почта, модем и т.д.);

– если имеется сеть, то где находится центральный компьютер сети;

– какова система защиты;

– сколько человек работает на компьютерах;

– кто является ведущим специалистом по компьютерам, программному обеспечению;

– кто имеет доступ к компьютерам вне пределов помещения при помощи сети.

Желательно, чтобы к приезду на место происшествия следователя, присутствовали лица, могущие дать пояснение о произошедшем.

1.6. Перед началом рабочего  этапа по прибытию на место  происшествия необходимо:

– принять меры к обеспечению охраны места происшествия, и прибыв на место происшествия принять меры к удалению с места происшествия посторонних лиц, однако данные лица предварительно должны быть опрошены;

– зафиксировать сложившуюся обстановку на момент приезда;

– исключить возможность соприкосновения с компьютерами всех лиц, как работникам организации так и участникам оперативно-следственной группы;

– выяснить, кто побывал на месте происшествия до прибытия оперативно-следственной группы, что изменилось в связи с этим;

– привлечь к участию в осмотре понятых и окончательно определить состав остальных участников осмотра;

Приступая к рабочей стадии осмотра места происшествия при расследовании преступлений против информационной безопасности следователь и специалист, который должен производить все действия, должны придерживаться следующих рекомендаций :

– перед выключением питания по возможности закрыть все используемые на компьютере программы. Необходимо помнить, что в случае некорректного выхода из программы может произойти уничтожение информации и порча самой программы;

– принять меры к установлению пароля доступа в защищенных программах;

– при активном вмешательстве в действия следственной группы, отключить компьютеры, опечатать и изъять вместе с магнитными носителями для изучения информации в спокойной обстановке;

– при необходимости консультаций у персонала, получать их у разных сотрудников путем опроса порознь. Такой метод позволит получить максимально правдивую информацию и позволит избежать преднамеренного вредительства;

– при изъятии технических средств изымать только системные блоки и дополнительные периферийные устройства (стримеры, модемы, сканеры и проч.), учитывая совместимость техники;

– при наличии локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на движение информации по сети;

– изымать следует все компьютеры (системные блоки) и магнитные носители;

– при осмотре документов следует обратить особое внимание на рабочие записи операторов, т.к. часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию;

– составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму.

2. В ходе рабочей стадии  осмотра места происшествия каждый  объект обязан быть тщательно  описан в протоколе осмотра.

Рабочий этап осмотра места происшествия начинается с общего осмотра: ориентировки на месте происшествия, определения границ подлежащего осмотру пространства. Следователь вместе с другими участниками осмотра выясняет, какие объекты находятся на месте происшествия, определяет взаимосвязь элементов компьютерных систем, их внешний вид и состояние, подробно фиксирует обнаруженные схемы, планы и чертежи, то есть делает необходимые заметки для будущего протокола осмотра. По окончании общего осмотра следователь переходит к детальному осмотру.

Детальный осмотр должен начинаться с резервного копирования данных на типы устройств пострадавшего субъекта с использованием при этом собственных носителей, так как злоумышленник может успеть уничтожить все данные, которые не были замечены, найдены или учтены в ходе проверки.

При проведении осмотра специалист, а при его отсутствии – следователь, обязан установить:

– не явилась ли утеря данных результатом сбоя или неверного функционирования компьютерной и иной техники, используемой пострадавшим субъектом;

– не было ли исследуемое событие попыткой инсценировки компьютерного преступления с целью увести лицо, проводящее расследование, от раскрытия преступления или дискредитации конкурента, поставившего средства вычислительной техники;

– не было ли попытки скрыть финансовые или иные махинации под предлогом сбоя в компьютерных системах;

– целостность сетевых кабельных линий связи и помещений с целью выявления несанкционированного подключения к сетевым кабелям контактным и бесконтактным способом для установления источников утечки информации;

– провести тестирование персональных компьютеров и сети на предмет наличия вирусосодержащих (вредноносных) программ при помощи тестирующего антивирусного и вирусодетектирующего программного обеспечения.

2.1. Осмотр компьютера

2.1.1. Если компьютер не  работает в протоколе должно  быть отражено:

– местонахождение компьютера и его периферийных устройств, с приложением к протоколу осмотра схемы расположения;

– точно описать порядок соединения периферийных устройств и компьютера между собой с указанием особенностей (разъемы, кабеля, их спецификация);

– конфигурация компьютера и его периферийных устройств, номера моделей и серийные номера каждого из устройств, а так же бухгалтерские инвентарные номера, прочая информация с фабричных ярлыков;

– наличие или отсутствие физических повреждений;

– имеется ли подключение к локальной или глобальной сети.

2.1.2. Если компьютер находится  в рабочем состоянии, так же  отражается:

– какая программа выполняется, путем изучения изображения на экране дисплея. Можно осуществить фотографирование или видеозапись изображения;

– если происходит исполнение программы, команды, то необходимо остановить ее исполнение и отразить в протоколе свои действия и реакции компьютера на них;

– наличие на компьютере внешних устройств – накопителей информации на жестких магнитных дисках и виртуального диска;

– наличие на компьютере внешних устройств удаленного доступа и их состояние.

2.1.3. Если необходимо описать  содержание компьютера, то в протоколе  кроме вышеуказанных данных фиксируется:

– наличие средств защит компьютера (паролем или другими средствами);

– какая программа загружается при загрузке;

– количество жестких дисков;

– количество каталогов на каждом диске и сколько файлов находится на диске, которые не включены не в один каталог и какие именно;

– фиксируется объем занятой и свободной памяти на диске;

– наличие или отсутствие выхода в глобальную или локальную сеть;

– структура локальной сети;

– возможности выхода в глобальную сеть;

– наличие или отсутствие доступа полного или для чтения к тем или иным дискам, папкам;

– пароль, определяющий доступ к файлам, папкам осматриваемого компьютера;

– какое программное обеспечение установлено на данном компьютере;

– наличие или отсутствие скрытых файлов.

После чего осуществляется распечатка всех каталогов, находящихся на компьютере, и в протоколе фиксируется количество листов, на которые произведена распечатка. Если необходимо, то информация копируется на дискеты или на другие носители (на другой компьютер, компактдиски и т.д.), которые следователь опечатывает и забирает с собой. Так же по необходимости можно сразу делать распечатку фалов с выходной информацией, о чем в протоколе делается соответствующая запись. Желательно один комплект информации, находящийся на компьютере передать лицу в чьем помещении производится осмотр.

2.2. Если в ходе производства  осмотра возникла необходимость  осмотра дискеты, CD-диска  (изучать  желательно все дискеты и CD-диски), то в протоколе указывается:

– место ее обнаружения;

– ее параметры;

– состояние системы защиты дискеты (открыто или закрыто «окно» на дискете или CD-диска);

– количество каталогов и файлов, которые не включены не в один каталог и какие именно;

– фиксируется объем занятой и свободной памяти;

– система защиты файлов на самих носителях информации;

– по необходимости делается распечатка файлов с выходной информацией, о чем в протоколе делается соответствующая отметка и указывается количество листов, на которые сделана распечатка;

После осмотра дискет, CD-дисков и фиксации в протоколе осмотра и в случае необходимости изъятия, с дискеты или CD-диска снимается копия, которую желательно отдать лицу, у которого она изымается.

2.3. Если необходимо осмотреть  один файл на диске, то в  протоколе отражается:

– месторасположение на компьютере;

– название с расширением;

– объем, время создания;

– свойства файла (скрытый или нет, архивированный или нет и при помощи какой программы и т.д.);

– отметка при помощи какой программы возможен его просмотр или его запуск;

– система его защиты (если имеется пароль);

– результаты содержимости файла;

– распечатка содержимости файла.

2.4. В ходе производства  осмотра по делам данной категории  необходимо так же производить  поиск следов преступления вне  компьютера, в ходе которого можно  найти:

– «документы, носящие следы совершенного преступления, – телефонные счета, пароли и коды доступа, дневники связи и пр.;

– документы со следами действия аппаратуры (распечатки);

– документы, описывающие аппаратуру и программное обеспечение;

– документы, устанавливающие правила работы с компьютером, нормативные акты, регламентирующие правила работы именно с данным компьютером, системой, сетью, доказывающие, что лицо знало, но умышленно нарушало;

– личные документы подозреваемого или обвиняемого» .

Не следует забывать и про поиск отпечатков пальцев не только вне компьютера, но и на самом (процессоре, мониторе, клавиатуре и проч.). Обращать внимание на состояние монитора, процессора, есть ли на них следы клеящейся бумаги или ленты, так как зачастую пароли хранятся на бумаге, которая приклеивается на монитор или процессор.