Манойло А.В. - Государственная информационная политика в условиях информационно-психологической войны - 2012

устранить или уменьшить вред, причиненный несанкционированным проникновением в систему, какие сведения и кому передавались.

Необходимо выяснить назначение и функции компьютерной системы, кто имел доступ к ней и в помещения, где располагалась компьютерная техника, не появлялись ли там посторонние лица, какие средства защиты использовались. Если часть информации была закрытой, то кто санкционировал доступ к ней и кто реально был допущен, какой вред (имущественный, неимущественный) причинен преступлением и имеются ли способы его уменьшить.

Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации – это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Указанные следственные действия могут производиться с целями:

•осмотра и изъятия ЭВМ и ее устройств;

•поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;

•поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

Особенности производства осмотров и обысков. Если компью-

тер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации необходимо:

•определить, какая программа выполняется;

• осуществить фотографирование или видеозапись изображения на экране дисплея;

•остановить исполнение программы;

•зафиксировать (отразить в протоколе) результаты своих действий и реакции на них ЭВМ;

•определить наличие у ЭВМ внешних устройств – накопителей информации на жестких магнитных дисках и виртуального диска;

•определить наличие у ЭВМ внешних устройств удаленного доступа (например, модемов) к системе и определить их состояние (от-

разить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска (например, отключить телефонный шнур);

•скопировать программы и файлы, хранимые на возможно существующем виртуальном диске, на магнитный носитель;

•выключить подачу энергии в ЭВМ и далее действовать по схеме «компьютер не работает».

Если компьютер не работает, следует:

•точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т. п.);

•точно описать порядок соединения между собой этих устройств с указанием особенностей соединительных проводов и кабелей;

•разъединить устройства ЭВМ с соблюдением всех возможных мер предосторожности, предварительно обесточив устройство.;

•упаковать раздельно (указать в протоколе и на конверте места обнаружения) носители на дискетах, компактные диски и магнитные ленты (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;

•упаковать каждое устройство и соединительные кабели провода для обеспечения аккуратной транспортировки ЭВМ;

•защитить дисководы гибких дисков согласно рекомендациям изготовителя.

Более сложной задачей осмотра ЭВМ является поиск содержащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически два вида поиска:

•поиск, где именно искомая информация находится в компьютере;

•поиск, где еще разыскиваемая информация могла быть сохранена.

ВЭВМ информация может находиться непосредственно в ОЗУ при выполнениипрограммы, вОЗУпериферийных устройствинаВЗУ.

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации.

Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный осмотр файлов

и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам.

Периферийные устройства ввода–вывода могут так же некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания.

Так же, как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты может при необходимости осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

•носящие следы совершенного преступления – телефонные счета,

телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и пр.;

•со следами действия аппаратуры – всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри них в результате сбоя в работе устройства;

•описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или дока-

зывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем);

•нормативные акты, устанавливающие правила работы с ЭВМ,

регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал; личные документы подозреваемого или обвиняемого и др.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных,

втом числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость

вназначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Экспертизы при расследовании преступлений в сфере компь-

ютерной информации. Основной род экспертиз, осуществляемых при расследовании преступлений в сфере компьютерной информации, – компьютерно-технические экспертизы. Они являются основными при расследовании компьютерных преступлений. В соответствии с их задачами и спецификой объектов исследования в настоящее время в рамках этого рода экспертиз Р. С. Белкин1 считает возможным выделить два вида.

1.Техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе;

2.Экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, можно, по ее виду, также подразделить на две группы.

Вопросы, разрешаемые технической экспертизой компьютеров

иих комплектующих (диагностические):

1Аверьянова Т. В., Белкин Р. С., Корухов Ю. Г., Россинская Е. Р. Криминалистика: Учебник для вузов / Под ред. Р. С. Белкина. М.: НОРМА (Издательская группа НОРМА-

ИНФРА-М), 2000. Глава 56. С. 961.

•компьютер какой модели представлен на исследование; каковы технические характеристики его системного блока и периферийных устройств; каковы технические характеристики данной вычислительной сети;

•где и когда изготовлен и собран данный компьютер и его комплектующие; осуществлялась ли сборка компьютера в заводских условиях или кустарно;

•соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации; не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации);

•исправен ли компьютер и его комплектующие; каков их износ; каковы причины неисправности компьютера и периферийных устройств; не содержат ли физических дефектов магнитные носители информации;

•не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.);

•каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер); исправны ли эти средства; каковы причины неисправностей.

Вопросы, разрешаемые экспертизой данных и программного обеспечения (диагностические):

•какая операционная система использована в компьютере;

• каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе: какие программные продукты там находятся; каково назначение программных продуктов; каков алгоритм их функционирования, способа ввода и вывода информации; какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных;

•являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками;

•не вносились ли в программы данного системного продукта какиелибо коррективы (какие), изменяющие выполнение некоторых операций (каких);

•соответствует ли данный оригинальный компьютерный продукт техническому заданию; обеспечивается ли при его работе выполнение всех предусмотренных функций;

•использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.; каково содержание скрытой информации; не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа;

•возможно ли восстановление стертых файлов, дефектных магнитных носителей информации; каково содержание восстановленных файлов;

•каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных;

•имеются ли сбои в функционировании компьютера, работе отдельных программ; каковы причины этих сбоев; не вызваны ли сбои в работе компьютера влиянием вируса (какого); распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы; возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденной вирусом;

•каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.; имеется ли в книжке скрытая информация и каково ее содержание;

•когда производилась последняя корректировка данного файла или инсталляция данного программного продукта;

•каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия.

Спомощью компьютерно-технических экспертиз возможно разрешение и некоторых вопросов идентификационного характера:

•имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения;

•не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютернотехнической и автороведческой экспертиз).

Объектами компьютерно-технической экспертизы являются1: компьютеры в сборке, их системные блоки, периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатуры, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей; магнитные носители информации, (жесткие и флоппи-диски, оптические диски, ленты); распечатки программных и текстовых файлов; словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например технические задания и отчеты; электронные записные книжки, пейджеры, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

Для назначения компьютерно-технической экспертизы выносится постановление, в котором кратко излагаются обстоятельства расследуемого дела, указывается лицо, которому поручается производство экспертизы, вопросы, выносимые на разрешение эксперта, объекты экспертного исследования и иные материалы, направляемые на экспертизу, способ упаковки направленных на экспертизу предметов2.

Поручая производство экспертизы, следователь должен определить место производства экспертизы, создать условия для работы эксперта, уточнить с ним план, сроки и методику исследования. Также следует разъяснить ему, что он не имеет права самостоятельно собирать дополнительные материалы, кроме представленных следователем, привлекать к производству экспертизы или консультации других лиц, не входящих в состав экспертной комиссии.

Выделяют еще один вид экспертизы проводимый при расследовании преступлений в сфере компьютерной информации – судебнокибернетическую3. Судебно-кибернетическая экспертиза предоставляет возможность для проведения криминалистического и технического исследования информационных систем, технологий и следов их применения.

Криминалистическое исследование включает обнаружение латентной и закодированной информации на материальных носителях, исследование фрагментов информации в целях ее реконструкции, системный анализ информации, идентификация компьютерных систем по

1Криминалистика: Учебник для вузов / Под ред. Р. С. Белкина. М.: НОРМА (Издательская группа НОРМА-ИНФРА-М), 2000. С. 944–963.

2Законность, 2000, № 1, с. 31.

3Семенов Н. В., Мотуз О. В. Судебно-кибернетическая экспертиза – инструмент борьбы с преступностью XXI века // Защита информации. Конфидент № 1-2, 1999. С. 23-28.

следам применения на различных материальных носителях информации, исследование следов деятельности оператора в целях его идентификации, исследование программ для ЭВМ и баз данных для установления их исполнителей, исследование устройств негласного сбора информации в целях их классификации.

Техническое исследование предполагает диагностику устройств и систем телекоммуникаций, исследование материальных носителей с целью поиска заданной информации, исследование компьютерных технологий для установления возможности решения конкретных преступных задач, исследование программ для ЭВМ и баз данных для определения их предназначения, работоспособности и потребительских свойств, диагностику вычислительных систем и их составных частей в целях установления их технического состояния и потребительских свойств.

Исследуя представленную на экспертизу систему, судебный экс- перт-кибернетик решает следующие задачи.

1.Задачи общего системного анализа: диагностика и классификация систем (например, классификация компьютерной системы (принтера, факса) по тексту, изготовленному с ее применением; отнесение информации к категории программного обеспечения ЭВМ); определение структуры и функций систем; определение элементов системы и ее границ; анализ системных норм; определение семантики и прагматики спорных текстов, работы неизвестных компьютерных систем, воздействия деятельности систем на окружающую микро- и макросреду; реконструкция и прогнозирование поведения систем; определение надежности и устойчивости компьютерных систем.

2.Задачи криминалистической кибернетики: идентификация системы; идентификация автора машинного текста; криминалистическая диагностика системных процессов и поведения систем; системный анализ обстановки места происшествия (ОМП); реконструкция ОМП методами математического анализа и компьютерного моделирования; криминалистическая диагностика роли и функционального назначения отдельных элементов компьютерной системы, диагностика межэлементных связей и отношений; диагностика интеллектуального взлома системы.

Также при расследовании компьютерных преступлений назначаются и другие виды экспертиз. Например, трасологическая – для анализа следов взлома; судебно-почерковедческие, исследующая почерк как систему движений, проявляющихся в рукописном тексте, подписи,

цифровых обозначениях; автороведческая экспертиза (в которой используются синтаксические, лексические особенности письменной речи, а также топографические признаки – форма левого поля текста программы, особенности выделения фрагментов абзацами) с целью идентификации автора компьютерной программы.

6.6.УГОЛОВНО-ПРАВОВАЯ ХАРАКТЕРИСТИКА ОПЕРАЦИЙ ИНФОРМАЦИОННО-ПСИХОЛОГИЧЕСКОЙ ВОЙНЫ

При уголовно-правовой характеристике основных структурных элементов операций информационно-психологической войны следует иметь в виду, что наступление уголовной и иной ответственности за деяния, отнесенные к структурным элементам операций информа- ционно-психологической войны не всегда возможны, поскольку в законодательстве Российской Федерации регулирования отношений в сфере информационно-психологических войн практически отсутствует. Кроме того, не всегда обозначенные как структурные элементы операций информационно-психологической войны явления можно относить к преступным деяниям, либо весьма трудно доказать субъективную сторону данного деяния.

6.6.1. Уголовно-правовая характеристика основных структурных элементов операций информационно-психологической войны

Дезинформирование. Дезинформирование – процесс доведения до иной стороны умышленно искаженной или сфабрикованной информации о событиях, людях для побуждения совершения этой стороной действий, либо формирования общественного мнения в выгодном для инициатора дезинформирования направлении.

Дезинформация – специально подготовленная информация, содержащая частично или полностью вымышленные аспекты.

Объектом дезинформирования могут являются как отдельные люди, так и группы людей. Причем для дезинформирования характерным является то, что объект, как правило, облечен правом принятия решения (руководители фирм, министерств, ведомств, стран). Нередко объектом дезинформирования выступают довольно большие группы, а иногда и целые народы.

Субъектом дезинформирования могут быть как отдельные лица, так и группы людей. Как правило, дезинформацией занимаются специально подготовленные люди.

Объективной стороной дезинформирования является подготовка (изготовление) и распространение информации полностью или частично искажающей действительное положение дел по тому или иному вопросу. Особенностью объективной стороны данного деяния является то, что его конечной целью является не просто доведение некой информации, а прежде всего, введение в заблуждение объекта для инициации с его стороны действий в выгодном для субъекта направлении.

Субъективная сторона дезинформирования отражает мотивацию субъекта на введение в заблуждение или побуждение к совершению действий, выгодных для субъекта, или нанесение вреда объекту дезинформирования.

Как мы уже отмечали, в российском законодательстве данное деяние не относится к преступным. Правда, в некоторых статьях Уголовного кодекса есть понятия, входящие в синонимический ряд с понятием дезинформация. Так, ст. 129 УК РФ регулирует правоотношения при клевете, хотя клевета касается только чести, достоинства и репутации конкретного лица.

В УК РФ есть также понятие обмана, которое как самостоятельное деяние, подлежащее уголовному преследованию, выражено только в ст. 165 – причинение имущественного ущерба путем обмана или злоупотреблением доверием, а также в ст. 200 – обман потребителей. В остальных статьях обман присутствует как составной элемент объективной стороны совершения различных преступлений (ст. 141, 150, 159, 188, 240, 339).

Лоббирование. Объектом лоббирования являются лица или группы людей, облеченных статусом принятия тех или иных решений (руководители министерств и ведомств, депутаты законодательных собраний всех уровней и т. п.). В отличии от дезинформирования, где объект практически совпадает, при лоббировании нет элемента введения субъекта в заблуждение в отношении того, к какого рода действиям его направляют.

Субъектом лоббирования могут выступать как отдельные лица, так и группы людей, преследующих цель побудить объект к совершению действий в выгодном для субъекта направлении.

Объективной стороной лоббирования является создание ситуации, которая может побудить объект к реализации интересов субъекта.

Субъективная сторона выражается в мотивации субъекта достигнуть поставленной цели через оказание соответствующего воздействия на объект. В данном случае речь идет о прямом умысле, который никак не скрывается от объекта.