ОМП по делам о комп прест-х направлен на выявление следов совершения прест – основные среди них:
1) Изменения в ОЗУ
2) Следы в файловой системе (копии чужих файлов, спец ПО, программы для создания ПО и др.)
3) Спец конфигурация оборудования
4) Спец конфигурация программ работы в сетях
ОМП как правило включает в себя:
- осмотр обстановки предполагаемого МП + может включать: осмотр вычислительной техники/ осмотр электронного носителя инфы/ осмотр комп док-та.
Осмотром места происшествия по делам данной категории является участок местности, на котором располагается пострадавшее учреждение (предприятие, организация), а также, ввиду специфичности предмета осмотра, вся сетевая среда, принадлежащая названным субъектам хозяйствования, в том числе точки доступа из нее к глобальным сетям.
Основными целями ОМП по делам рассматриваемой категории является:
• выяснение обстановки происшествия;
• обнаружение следов компьютерного преступления;
• выяснение иных обстоятельств, имеющих значение для дела и выдвижения обоснованных версий.
По делам о компьютерных преступлениях в качестве специалистов могут привлекаться:
• сотрудники экспертных подразделений всех уровней и различной ведомственной принадлежности;
• компетентные работники контролирующих органов;
• представители научных и педагогических коллективов, обладающие глубокими познаниями в области информационных технологий;
• частные лица, не состоящие в штате каких-либо официальных структур.
Все привлекаемые в качестве специалистов лица, должны быть компетентны в конкретной компьютерной или операционной системе.
Это значит, что следователь, планируя проведение ОМП, должен предусмотреть присутствие специалистов, имеющих знания, применение которых способно обеспечить выполнение мероприятий по поиску и обнаружению следов. Тактика ОМП по делам данной категории включает в себя, как и тактика проведения ОМП вообще, несколько этапов: подготовительный, рабочий, заключительный. После принятия решения о производстве осмотра следователь на подготовительном этапе, до выезда на место происшествия, должен совершить следующие действия:
1. Принять меры по обеспечению охраны МП до своего прибытия.
2. Принять меры к предотвращению или ослаблению вредных последствий компьютерного преступления.
3. Обеспечить к моменту своего прибытия присутствие лиц, которые могут дать необходимую информацию о происшествии:
• администраторов сетей;
• руководителей служб безопасности предприятия;
• очевидцев преступления, если они известны;
• операторов ЭВМ;
• аналитиков, бухгалтеров и иных лиц.
4. Обеспечить присутствие специалиста.
5. Поручить специалистам проверить готовность программно-технических средств.
По прибытию на МП:
1. Удалить с места происшествия всех посторонних лиц.
2. Выявить лиц, побывавших на МП до приезда следственно — оперативной группы, а также возможные изменения, внесенные в обстановку.
3. Привлечь при необходимости к участию в ОМП понятых и окончательно определить других участников данного следственного действия.
4. Отдать поручения специалистам о проверке готовности программно- технических средств.
5. Собрать путем непротоколированной беседы с сотрудниками потерпевшей организации предварительные сведения, которые должны быть приняты во внимание при осмотре.
6. Оценить возможность доступа посторонних лиц в помещение, где находятся критичные к несанкционированному доступу электронные устройства.
7. Выяснить порядок протоколирования доступа к информации, а также — каким образом и кем ведется администрирование сети.
С учетом специфики расследования дел данной категории следователь должен поручить специалистам выяснить следующие обстоятельства, влияющие на способы и последовательность обнаружения, фиксации и изъятия следов компьютерного преступления:
• наличие в сетевой среде выхода в глобальные сети;
• наименование и характеристики используемого телекоммуникационного оборудования, а также средств электронной почты;
• использование или не использование средств защиты принимаемой и передаваемой ин-формации;
• наличие в данной обстановке оборудования, нормально функционирующего в системе, а также чужеродного оборудования, факт обнаружения которого в данной обстановке необычен;
• пространственное расположение помещений, занимаемое потерпевшим субъектом хозяйствования;
• факты использования внешних магнитных, оптических и иных средств переноса и хранения информации;
• возможность использования дисководов, не подключенных к сети компьютеров, для переноса информации;
• факты наличия существенных сбоев в функционировании компьютерных систем, имевшихся ранее, распределение их во времени, размер причиненного ущерба.
Указанная информация фиксируется в протоколе ОМП.
Рабочий этап ОМП должен производиться только с участием приглашенных следователем специалистов. Он начинается со сбора традиционных доказательств: невидимых и слабо видимых следов пальцев рук на клавиатуре, выключателях и т.д, рукописных записей и иных.
Следует использовать концентрический способ осмотра — от периферии к центру.
Рабочий этап ОМП по делам о компьютерных преступлениях можно представить в виде нескольких последовательных важнейших мероприятий, объединенных единым замыслом и руководством. Это следующие мероприятия.
1. Поиск и обнаружение следов-предметов, свидетельствующих о попытках зондирования системы или ведения радиоэлектронной разведки:
• визуальный осмотр помещений с целью проверки целостностиприспособлений для разводки кабеля, кабельного хозяйства, попыток стороннего подключения;
• поиск электронных закладок методом радиомониторинга;
• поиск иных устройств дистанционного съема информации с использованием специальных модулей;
• истребование и осмотр документов, отражающих установление сеансов связи (телефонные и иные виды счетов).
2. 2. Поиск и обнаружение следов-отображений и следов-предметов, свидетельствующих о действии вредоносных программ:
• полное резервное копирование файлов с сервера и рабочих станций на собственные носители;
• истребование предыдущих резервных копий данных субъекта хозяйствования;
• антивирусное тестирование сервера;
• антивирусное тестирование рабочих станций;
• определение «зараженных» файлов;
• копирование пораженных вирусом файлов на собственные носители.
3. Поиск и обнаружение следов-отображений и следов-предметов при проведении аудита компьютерных систем:
• осмотр журналов регистрации событий защиты контроллера домена (если он существует);
осмотр журналов регистрации событий сервера;
• осмотр журналов регистрации событий защиты рабочих станций;
• осмотр системного журнала;
• осмотр журнала защиты;
• осмотр журнала приложений;
• мониторинг деятельности удаленных пользователей;
• оценка файловых следов, поиск частей файлов (при необходимости).
Изъятие предварительно зафиксированных файловых следов отображений и следов-предметов возможно двумя способами:
• Первый способ: изымаются следы вместе с компьютерной системой (На предварительно выключенной и обесточенной компьютерной системе осуществляется отсоединение интерфейсных и силовых кабелей. Порядок всех производимых действий фиксируется в протоколе. Изъятое оборудование аккуратно упаковывается и доставляется в лабораторию.);
• Второй способ может производиться двумя путями:
1) Путем изъятия данных предварительно зафиксированных специалистом на собственных носителях информации.
2) Путем изъятия самих носителей информации.
Процесс фиксации состоит из следующих из следующих взаимосвязанных и направленных на достижение общие цели действий:
• физическая фиксация наиболее существенных признаков и свойств (консервирование найденных электронных средств, копирование файлов, применение видеосъемки, фотосъемки, изготовление чертежей, эскизов, планов и схем, поясняющих процесс поиска. Обычно это делают специалисты по поручению следователя);
• удостоверение результатов физической фиксации (понятые удостоверяют данные факты, содержание и результаты действий следователя и специалистов);
• облечение результатов фиксации в процессуальную форму (следователь составляет протокол ОМП, приобщает к протоколу акт применения специалистом программных модулей, чертежей, эскизов, планов, схем, а также обнаруженные устройства, также акт применения специалистом программных модулей обнаружения вирусов и вредоносных программ и акт о проведении аудита компьютерных систем.
Рассмотрев данный вопрос нашей темы, можно сделать вывод о том, что важнейшим следственным действием на первоначальном этапе расследования по делам о компьютерных преступлениях, является осмотр места происшествия и от знания тактики и тактических приемов проведения указанного следственного действия, практически зависит дальнейший ход расследования по уголовному делу.
В целях сохранения имеющейся информации в компьютерах и на магнитных носителях необходимо:
• Не разрешать, кому бы то ни было из лиц, работающих на объекте обыска (персоналу) или находящимся здесь по другим причинам, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры, а также выключать электроснабжение объекта;
• Не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.
В ходе осмотров по делам данной категории также могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу: носящие следы совершенного преступления (телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и проч.); имеющие следы действия аппаратуры (бумажные носители информации, которые могли остаться, например, внутри принтеров в результате сбоя в работе устройства); описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем); нормативные акты, устанавливающие правила работы с ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью; личные документы подозреваемого или обвиняемого и др.
