Экзамен зачет учебный год 2023 / 4.13. Доп
.pdf1! из 4!
4.13. Доп
Действующим уголовным законом введен ряд новых для нашего законодательства терминов и понятий, описывающих способы совершения преступлений в сфере компьютерной информации, существенных для уяснения криминалистической сути преступного поведения данного вида:
•Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
•Документированная информация (документ) — это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
•Компьютерная информация — документированная информация, хранящаяся в ЭВМ или управляющая ею.
•Электронно-вычислительной машиной называется комплекс электронных устройств, позволяющий осуществлять предписанные программой (или пользователем) информационные процессы.
•Поскольку понятие «система» предполагает собой любой объект, элементы которого
находятся в упорядоченной взаимосвязи, под системой ЭВМ следует понимать комплексы, в которых хотя бы одна ЭВМ является элементом системы либо несколько ЭВМ составляют систему.
•Под сетями ЭВМ понимаются компьютеры, объединенные между собой линиями (сетями) электросвязи.
• К машинным носителям компьютерной информации относятся устройства памяти ЭВМ, периферийные устройства ЭВМ, компьютерные устройства связи, сетевые устройства и сети электросвязи.
•Уничтожение информации — полная физическая ликвидация информации или ликвидация таких ее элементов, которые влияют на изменение существенных идентифицирующих информацию признаков. Наиболее опасным разрушающим информационные системы фактором чаще всего являются действия людей. Уничтожение информации осуществляется действиями лиц, имеющих возможность воздействия на эту информацию. Причины программно-технического характера, связанные с недостатками или сбоями в работе устройств и систем, встречаются реже и связаны главным образом с эксплуатационными ошибками или бракованными элементами устройств.
•Блокирование — результат воздействия на ЭВМ и ее элементы, повлекшие временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией.
•Под модификацией информации следует понимать внесение в нее любых несанкционированных собственником изменений, обусловливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса.
•Копирование информации без явно выраженного согласия собственника информационного ресурса независимо от способа копирования также является преступлением.
•Под понятием нарушение работы ЭВМ следует понимать создание правонарушителем любой нестандартной (нештатной) ситуации с ЭВМ или ее устройствами, повлекшей уничтожение, блокирование, модификацию или копирование информации.
Операции, производимые компьютерной техникой, осуществляются, главным образом, над файлами, являющимися носителями информации. Для файлов характерны следующие стандартные свойства:
• тип информации (текстовая, числовая, графическая, программный код и др.);
2! из 4!
•местонахождение информации (описание места расположения на временном или постоянном носителе и указание типа носителя);
•наименование (символьное описание названия);
•размер (объем) хранимой информации (количество страниц, абзацев, строк, слов, символов или байт);
•время создания, время изменения;
•атрибуты информации (архивная, скрытая, системная, только для чтения и др.).
При передаче файлов и сообщений (информации) в других формах (в виде сигналов) по системам, например электросвязи, они не теряют своих индивидуальных свойств. Именно поэтому в числе носителей сведений, составляющих государственную тайну, указаны и физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Неправомерный доступ к компьютерной информации может включать в себя:
•хищение и (или) копирование, подмену машинных носителей информации;
•копирование документов с исходными данными и выходных документов;
•использование визуальных, оптических и акустических средств наблюдения за ЭВМ;
•считывание и расшифровку различных электромагнитных излучений и «паразитных наводок» в ЭВМ и в обеспечивающих системах;
•запоминание информации;
•фотографирование информации в процессе ее обработки;
•изготовление дубликатов входных и выходных документов;
•копирование распечаток;
•использование недостатков программного обеспечения, операционных систем;
•несанкционированное подключение к основной и вспомогательной аппаратуре ЭВМ, внешним запоминающим устройствам, периферийным устройствам, линиям связи и др.
Вредоносной является любая программа, специально разработанная или
модифицированная для несанкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ.
Существует как минимум два вида правил эксплуатации ЭВМ, которыми должны руководствоваться в своей деятельности лица, работающие с ЭВМ:
1.инструкции по работе с ЭВМ и машинными носителями информации, разработанные изготовителем ЭВМ и периферийных технических устройств, поставляемых вместе с данным экземпляром ЭВМ. Эти правила обязательны к соблюдению пользователем ЭВМ под угрозой, как минимум, потери прав на гарантийный ремонт и обслуживание.
2.правила, установленные собственником или владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения, определяющие порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями информации.
Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и ее пользователями. Косвенными признаками постороннего вторжения в ЭВМ, вызывающими подозрения и находящими отражение в показаниях
очевидцев, являются:
•изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов;
3! из 4!
•изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т.п.); появление новых и удаление прежних сетевых устройств и др.;
•необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление реакции машины на ввод с клавиатуры; замедление работы машины с внешними устройствами; неадекватные реакции ЭВМ на команды пользователя; появление на экране нестандартных символов и т.п.
Признаки первых двух групп могут свидетельствовать об имевших место фактах
неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации; признаки третьей группы, кроме того, могут являться свидетельством о появлении в ЭВМ ВП.
Наряду с показаниями очевидцев большое значение имеют результаты осмотра ЭВМ и машинных носителей компьютерной информации, в ходе которого фиксируются следы нарушения целостности (конфиденциальности) информационной системы и ее элементов. Анализ первичных данных о расследуемом событии позволяет конкретизировать характер преступления и определить дальнейшие направления расследования и розыскных мероприятий.
Про следственные действия: |
выемка (предпочтительно с участием |
Важнейшим элементом работы является |
специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и
отражающих последствия вторжения. |
меры к фиксации состояния рабочего места |
Одновременно следует принять |
заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).
Круг типовых общих версий сравнительно невелик:
•преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;
•преступления не было, а заявитель добросовестно заблуждается;
•ложное заявление о преступлении.
Типовыми частными версиями являются:
•версии о личности преступника(ов);
•версии о местах внедрения в компьютерные системы;
•версии об обстоятельствах, при которых было совершено преступление;
•версии о размерах ущерба, причиненного преступлением.
Основные методы расследования
Компьютерно-техническая экспертиза может оказать действенную помощь при
выяснении следующих вопросов:
•какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия;
•какие информационные ресурсы находятся в данной ЭВМ;
4! из 4!
•не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ;
•не являются ли представленные файлы с программами, зараженными вредоносными программами и если да, то какими именно;
•не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначение этой программы;
•подвергалась ли данная компьютерная информация изменению и если да, то какому именно и др.
Осмотр и изъятие ЭВМ и ее устройств . Признаками работающей ЭВМ могут быть
подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных. В этом случае следует определить, какая программа выполняется. Для этого необходимо:
•изучить изображение на экране дисплея и по возможности детально описать его;
•осуществить фотографирование или видеозапись изображения на экране дисплея;
•остановить исполнение программы;
•зафиксировать (отразить в протоколе) результаты своих действий и реакции на них ЭВМ;
•определить наличие у ЭВМ внешних устройств — накопителей информации на жестких магнитных дисках (винчестерах), внешних устройств удаленного доступа (например, модемов) к системе и их состояния (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска (например, отключить телефонный шнур).
Если ЭВМ не работает, следует:
•точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатура и т.п.), а также порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей;
•перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения, а затем с соблюдением всех возможных мер предосторожности разъединить устройства ЭВМ, предварительно обесточив их.
Упаковывать все изъятое следует раздельно (с указанием в протоколе и на конверте
места обнаружения) и помещать их в оболочки, не несущие заряда статического электричества.
Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда ЭВМ.
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.