ОМП по делам о компьютерных преступлениях

ОМП по делам о комп прест-х направлен на выявление следов совершения прест – основные среди них:

1) Изменения в ОЗУ

2) Следы в файловой системе (копии чужих файлов, спец ПО, программы для создания ПО и др.)

3) Спец конфигурация оборудования

4) Спец конфигурация программ работы в сетях

ОМП как правило включает в себя:

- осмотр обстановки предполагаемого МП + может включать: осмотр вычислительной техники/ осмотр электронного носителя инфы/ осмотр комп док-та.

Осмотром места происшествия по делам данной категории является участок местности, на котором располагается пострадавшее учреждение (предприятие, организация), а также, ввиду специфичности предмета осмотра, вся сетевая среда, принадлежащая названным субъектам хозяйствования, в том числе точки доступа из нее к глобальным сетям.

Основными целями ОМП по делам рассматриваемой категории является:

• выяснение обстановки происшествия;

• обнаружение следов компьютерного преступления;

• выяснение иных обстоятельств, имеющих значение для дела и выдвижения обоснованных версий.

По делам о компьютерных преступлениях в качестве специалистов могут привлекаться:

• сотрудники экспертных подразделений всех уровней и различной ведомственной принадлежности;

• компетентные работники контролирующих органов;

• представители научных и педагогических коллективов, обладающие глубокими познаниями в области информационных технологий;

• частные лица, не состоящие в штате каких-либо официальных структур.

Все привлекаемые в качестве специалистов лица, должны быть компетентны в конкретной компьютерной или операционной системе.

Это значит, что следователь, планируя проведение ОМП, должен предусмотреть присутствие специалистов, имеющих знания, применение которых способно обеспечить выполнение мероприятий по поиску и обнаружению следов. Тактика ОМП по делам данной категории включает в себя, как и тактика проведения ОМП вообще, несколько этапов: подготовительный, рабочий, заключительный. После принятия решения о производстве осмотра следователь на подготовительном этапе, до выезда на место происшествия, должен совершить следующие действия:

1. Принять меры по обеспечению охраны МП до своего прибытия.

2. Принять меры к предотвращению или ослаблению вредных последствий компьютерного преступления.

3. Обеспечить к моменту своего прибытия присутствие лиц, которые могут дать необходимую информацию о происшествии:

• администраторов сетей;

• руководителей служб безопасности предприятия;

• очевидцев преступления, если они известны;

• операторов ЭВМ;

• аналитиков, бухгалтеров и иных лиц.

4. Обеспечить присутствие специалиста.

5. Поручить специалистам проверить готовность программно-технических средств.

По прибытию на МП:

1. Удалить с места происшествия всех посторонних лиц.

2. Выявить лиц, побывавших на МП до приезда следственно — оперативной группы, а также возможные изменения, внесенные в обстановку.

3. Привлечь при необходимости к участию в ОМП понятых и окончательно определить других участников данного следственного действия.

4. Отдать поручения специалистам о проверке готовности программно- технических средств.

5. Собрать путем непротоколированной беседы с сотрудниками потерпевшей организации предварительные сведения, которые должны быть приняты во внимание при осмотре.

6. Оценить возможность доступа посторонних лиц в помещение, где находятся критичные к несанкционированному доступу электронные устройства.

7. Выяснить порядок протоколирования доступа к информации, а также — каким образом и кем ведется администрирование сети.

С учетом специфики расследования дел данной категории следователь должен поручить специалистам выяснить следующие обстоятельства, влияющие на способы и последовательность обнаружения, фиксации и изъятия следов компьютерного преступления:

• наличие в сетевой среде выхода в глобальные сети;

• наименование и характеристики используемого телекоммуникационного оборудования, а также средств электронной почты;

• использование или не использование средств защиты принимаемой и передаваемой ин-формации;

• наличие в данной обстановке оборудования, нормально функционирующего в системе, а также чужеродного оборудования, факт обнаружения которого в данной обстановке необычен;

• пространственное расположение помещений, занимаемое потерпевшим субъектом хозяйствования;

• факты использования внешних магнитных, оптических и иных средств переноса и хранения информации;

• возможность использования дисководов, не подключенных к сети компьютеров, для переноса информации;

• факты наличия существенных сбоев в функционировании компьютерных систем, имевшихся ранее, распределение их во времени, размер причиненного ущерба.

Указанная информация фиксируется в протоколе ОМП.

Рабочий этап ОМП должен производиться только с участием приглашенных следователем специалистов. Он начинается со сбора традиционных доказательств: невидимых и слабо видимых следов пальцев рук на клавиатуре, выключателях и т.д, рукописных записей и иных.

Следует использовать концентрический способ осмотра — от периферии к центру.

Рабочий этап ОМП по делам о компьютерных преступлениях можно представить в виде нескольких последовательных важнейших мероприятий, объединенных единым замыслом и руководством. Это следующие мероприятия.

1. Поиск и обнаружение следов-предметов, свидетельствующих о попытках зондирования системы или ведения радиоэлектронной разведки:

• визуальный осмотр помещений с целью проверки целостностиприспособлений для разводки кабеля, кабельного хозяйства, попыток стороннего подключения;

• поиск электронных закладок методом радиомониторинга;

• поиск иных устройств дистанционного съема информации с использованием специальных модулей;

• истребование и осмотр документов, отражающих установление сеансов связи (телефонные и иные виды счетов).

2. 2. Поиск и обнаружение следов-отображений и следов-предметов, свидетельствующих о действии вредоносных программ:

• полное резервное копирование файлов с сервера и рабочих станций на собственные носители;

• истребование предыдущих резервных копий данных субъекта хозяйствования;

• антивирусное тестирование сервера;

• антивирусное тестирование рабочих станций;

• определение «зараженных» файлов;

• копирование пораженных вирусом файлов на собственные носители.

3. Поиск и обнаружение следов-отображений и следов-предметов при проведении аудита компьютерных систем:

• осмотр журналов регистрации событий защиты контроллера домена (если он существует);

осмотр журналов регистрации событий сервера;

• осмотр журналов регистрации событий защиты рабочих станций;

• осмотр системного журнала;

• осмотр журнала защиты;

• осмотр журнала приложений;

• мониторинг деятельности удаленных пользователей;

• оценка файловых следов, поиск частей файлов (при необходимости).

Изъятие предварительно зафиксированных файловых следов отображений и следов-предметов возможно двумя способами:

• Первый способ: изымаются следы вместе с компьютерной системой (На предварительно выключенной и обесточенной компьютерной системе осуществляется отсоединение интерфейсных и силовых кабелей. Порядок всех производимых действий фиксируется в протоколе. Изъятое оборудование аккуратно упаковывается и доставляется в лабораторию.);

• Второй способ может производиться двумя путями:

1) Путем изъятия данных предварительно зафиксированных специалистом на собственных носителях информации.

2) Путем изъятия самих носителей информации.

Процесс фиксации состоит из следующих из следующих взаимосвязанных и направленных на достижение общие цели действий:

• физическая фиксация наиболее существенных признаков и свойств (консервирование найденных электронных средств, копирование файлов, применение видеосъемки, фотосъемки, изготовление чертежей, эскизов, планов и схем, поясняющих процесс поиска. Обычно это делают специалисты по поручению следователя);

• удостоверение результатов физической фиксации (понятые удостоверяют данные факты, содержание и результаты действий следователя и специалистов);

• облечение результатов фиксации в процессуальную форму (следователь составляет протокол ОМП, приобщает к протоколу акт применения специалистом программных модулей, чертежей, эскизов, планов, схем, а также обнаруженные устройства, также акт применения специалистом программных модулей обнаружения вирусов и вредоносных программ и акт о проведении аудита компьютерных систем.

Рассмотрев данный вопрос нашей темы, можно сделать вывод о том, что важнейшим следственным действием на первоначальном этапе расследования по делам о компьютерных преступлениях, является осмотр места происшествия и от знания тактики и тактических приемов проведения указанного следственного действия, практически зависит дальнейший ход расследования по уголовному делу.

В целях сохранения имеющейся информации в компьютерах и на магнитных носителях необходимо:

• Не разрешать, кому бы то ни было из лиц, работающих на объекте обыска (персоналу) или находящимся здесь по другим причинам, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры, а также выключать электроснабжение объекта;

• Не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.

В ходе осмотров по делам данной категории также могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу: носящие следы совершенного преступления (телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и проч.); имеющие следы действия аппаратуры (бумажные носители информации, которые могли остаться, например, внутри принтеров в результате сбоя в работе устройства); описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем); нормативные акты, устанавливающие правила работы с ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью; личные документы подозреваемого или обвиняемого и др.