3. Типовые следственные ситуации и направления расследования.

1 – Ситуация 1

Собственник информационной системы сам выявил нарушения целостности, обнаружил причастное лицо и заявил об этом в органы.

2 – Ситуация 2

Собственник выявил нарушения в системе, но не смог обнаружить виновное лицо и заявил об этом в органы.

3 – Ситуация 3

Данные о нарушении целостности и конфиденциальности информации и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания, или ОРД.

Общая задача:

- Выявить способ нарушения

- Порядок работы информационной системы собственника

- Круг лиц имеющих возможность взаимодействовать с информационной системой

Выполнение общих задач позволит решить вопросы о лицах, причастных к деянию, определить размер ущерба.

Следственные действия в основном – осмотр ЭВМ, осмотр рабочего места ЭВМ и допросы свидетелей и очевидцев.

Типовые первоначальные версии:

- Преступление имело место

- Преступления не было, а заявитель добросовестно заблуждается

- Ложное заявление о преступлении.

Признаки вторжения:

- Изменение структуры файловой системы: переименование файлов, изменение размеров файлов, их содержимого, изменения реквизитов файлов, появление новых файлов.

Скорее всего нарушение правил эксплуатации или неправомерный доступ к информации.

- Изменение конфигурации компьютера: изменение порядка работы принтера, модема, появление новых и удаление прежних сетевых устройств. – скорее всего неправомерный доступ или нарушение правил эксплуатации

- Необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы, замедление реакции машины на ввод с клавиатуры. Замедление работы с внешними устройствами, появление на экране нестандартных символов. Это скорее всего ВП.

4. Расследование.

Особенность в том, что сильно нужны специалисты, так как в современном мире юрист не успевает за всеми премудростями научных и информационных технологий, он в первую очередь, юрист. Поиск специалистов в учреждениях, которые обслуживают технику, в НИИ, а также специалисты информационно-вычислительных центров УВД.

В ряде субъектов есть управления «К».

Компьютерно-техническая экспертиза отвечает на вопрос:

- Какова конфигурация и состав ЭВМ и можно ли с помощью этой ВМ осуществить действия.

- Какие информационные ресурсы есть в данной ЭВМ,

- Являются ли найденные файлы копиями

- Являются ли представленные файлы вредоносными?

- Подвергалась ли компьютерная информация изменению.

Осмотр и выемка.

Важнейшие инструменты, в ходе которых фиксируется не только факт изъятия, но и процесс обыска и результаты осмотра места происшествия, отражается местонахождение объекта.

В озможна нейтрализация преступления нарушителем путем сильного электромагнитного воздействия на источники информации, в результате которых произойдет уничтожение информации, или например, есть программы, которые устанавливают пароль, неправильное введение которого уничтожит информацию.

Электромагнитные поля проверяются компасом.

Традиционные доказательства при осмотре – скрытые отпечатки пальцев на клавиатуре, а также включателях.

Осматриваются все периферийные устройства.

Осмотр и изъятие ЭВМ и ее устройств.

Если оно работает, то:

- Определяется как программа выполняется

- Описываются процессы на экране

- Далее программа останавливается, фиксируются результаты реакции ЭВМ

- Фиксируется наличие внешних устройств, устройств удаленного доступа.

- Разъединяются кабели.

Если ЭВМ не работает, следует – отразить в протоколе схему нахождения ЭВМ, А также порядок соединения между собой этих устройств, с указание особенностей (цвет, спецификация).

Перед разъединением осуществляется фотографирование мест соединения, а затем разъединяются.

Упаковывается раздельно и помещается в оболочки без статического электричества.

После в лабораторных условиях со специалистами информация изымается.

Из ЭВМ выбираются те примерно те следы, которые изображены на рисунке 33.: