§ 2. Типичные исходные следственные ситуации и меры по их разрешению

Для преступлений в области компьютерной информации типичны три ситуации первоначального этапа расследования:

первая ситуация — собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфи­денциальности в информационной системе, обнаружил прича­стное лицо и заявил об этом в правоохранительные органы;

 

594

 

Методика расследования отдельных видов преступлений

 

вторая ситуация — собственник самостоятельно выявил на­званные нарушения в системе, однако не смог обнаружить ви­новное лицо и заявил об этом в правоохранительные органы;

третья ситуация — данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и о виновном лице стали известны или непосредствен­но обнаружены органом дознания (например, в ходе проведе­ния оперативно-розыскных мероприятий по другому делу), ви­новное лицо неизвестно.

Для всех первоначальных ситуаций расследования характер­ны версии о способах, мотивах и соучастниках преступной дея­тельности и объемах причиненного вреда. Во всех ситуациях, связанных с неправомерным доступом и появлением вредонос­ных программ в ЭВМ, первоначальной задачей расследования является выявление следов преступной деятельности.

■ Первоначальные действия следователя:

Первая ситуация — направление на фиксацию факта нару­шения целостности (конфиденциальности) информационной системы и его последствий, следов конкретной деятельности преступника, отразившихся в информационной системе на месте доступа к ней и вокруг этого места, на «транзитных» ма­шинных носителях информации.

В данной ситуации задача следствия заключается в сборе (с помощью собственника информационной системы или его работников (с участием специалиста) и процессуальной фиксации доказательств:

нарушения целостности (конфиденциальности) инфор­

мации в системе;

размера ущерба, причиненного преступлением;

причинной связи между действиями, образующими спо­

соб нарушения и наступившими последствиями путем

детализации данных о механизме совершенных винов­

ным действий;

отношения виновного лица к совершенным действиям и

наступившим последствиям.

Если преступник задержан на месте совершения преступления (или сразу же после его совершения), характерны следующие первоначальные  следственные  действия:

•               личный обыск задержанного;

 

Компьютерные преступления                        595

допрос задержанного;

обыск по месту жительства задержанного.

Следует принять меры к фиксации состояния рабочего мес­та заподозренного, откуда он осуществил вторжение в инфор­мационную систему и где могут сохраняться следы его дейст­вий (их подготовки и реализации). Такое место может быть как по месту его службы, так и по месту жительства, а также в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). Полу­ченные в результате следственных действий доказательства могут обеспечить основания для принятия решения о привле­чении лица к делу в качестве подозреваемого (обвиняемого). К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию местонахо­ждения и состояния компьютерной информации, допросы оче­видцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих соб­ственника системы.

Для второй и третьей ситуаций характерны специфическая задача поиска признаков механизма совершения преступных действий, путей проникновения в информационную систему и на основе этих данных — определение круга лиц, которые мог­ли использовать этот механизм. В данных ситуациях пер­воначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации данных о проникновениях в инфор­мационную систему с целью выявления способа и механизма действий. Важнейшим элементом работы является выемка до­кументов (предпочтительно с участием специалиста), в том числе на машинных носителях, фиксировавших состояния ин­формационной системы в момент вторжения в нее злоумыш­ленника или его программ и отражающих последствия вторже­ния. Принимаются меры к розыску виновного и поиску его ра­бочего места, откуда осуществлялось вторжение в информаци­онную систему. При этом осуществляется поиск: места входа в данную информационную систему и способа входа в систему — вместе и с помощью должностных лиц собственника инфор­мационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы — вместе и с помощью должностных лиц иных ин-

 

596          Методика расследования отдельных видов преступлений

формационных и коммуникационных систем — до рабочего места злоумышленника.

Типовыми частными версиями явля­ются: версии о личности преступника (преступников); версии о местах совершения внедрения в компьютерные системы; вер­сии об обстоятельствах, при которых было совершено преступ­ление; версии о размерах ущерба, причиненного преступлени­ем.

Наряду с показаниями очевидцев большое значение имеют результаты осмотра машинных носителей компьютерной ин­формации, в ходе которого фиксируются следы нарушения це­лостности (конфиденциальности) информационной системы и ее элементов. Важную роль в сборе данных о совершенном преступлении играют сведения о действиях должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциаль­ность) информации в системе. Эти лица в отдельных случаях могут выступать в качестве свидетелей, а при бесспорном уста­новлении непричастности к расследуемому событию — в каче­стве специалистов при производстве следственных действий.

«все книги     «к разделу      «содержание      Глав: 121      Главы: <   114.  115.  116.  117.  118.  119.  120.  121.