В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

• 1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.
• 2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
• 3. Установление времени совершения преступления.
• 4. Установление надежности средств защиты компьютерной информации.
• 5. Установление способа несанкционированного доступа.
• 6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
• 7. Установление вредных последствий преступления.
• 8. Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

• 1) Установление факта и способа создания вредоносной программы для ЭВМ.
• 2) Установление факта использования и распространения вредоносной программы.
• 3) Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
• 4) Установление вреда, причиненного данным преступлением.
• 5) Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

• 1) место и время (период времени) нарушения правил эксплуатации ЭВМ;
• 2) характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
• 3) способ и механизм нарушения правил;
• 4) характер и размер ущерба, причиненного преступлением;
• 5) факт нарушения правил определенны лицом;
• 6) виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;
• 7) обстоятельства, способствовавшие совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий.

Приведу некоторые из них.

Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации.

Для этого необходимо:

• 1) не разрешать, кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
• 2) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;
• 3) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
• 4) самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.

При этом следует принять во внимание следующие неблагоприятные факторы:

• - возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
• - возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
• - возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;
• - постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:

• 1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
• 2. При наличии средств защиты, ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т.д.).
• 3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).
• 4. Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.
• 5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
• 6. Следует изъять все ЭВМ, обнаруженные на объекте.
• 7. При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.
• 8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.
• 9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений.

В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Криминалистическая характеристика

Компьютерная информация – это информация, зафиксированная на машинном носителе или передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ.

Способы совершения преступлений, в сфере компьютерной информации

· неправомерный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети — ст. 272 УК РФ (рис. 1);

Рис. 1. Рабочее место владельца персонального компьютера с возможностью подключения к сети

· создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами – ст. 273 УКРФ (рис. 2);

Рис. 2. Внешний вид компьютера, на котором обнаружены вредоносные программы

· нарушение правил эксплуатации ЭВМ или их сети лицом, имеющим доступ, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред — ст. 274 УК РФ;

· Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей — ст. 159.6 УК РФ.

Методы, используемые при совершении преступлений, в сфере компьютерной информации

· методы перехвата компьютерной информации через ТЛФ канал, подключение к сети, установка микрофона в ПК, осмотр корзин с мусором, деловой переписки;

· методы несанкционированного доступа во время кратковременного отсутствия, минуя защиту в вечернее время;

· метод манипуляции — подмена или изменение программ с помощью спецпрограмм — вирусов;

· комплексные методы.

Характеристика субъекта

· возраст с 14 – 20 лет;

· четкая организация по решению профессиональной задачи;

· хаотическое поведение в быту;

· неряшливый внешний вид: джинсы, свитер;

· ночной образ жизни;

· питание за ПК;

· разбросанные диски, инструкции;

· снят кожух ПК.

Мотивы и цели

· хулиганские с целью попробовать свои силы;

· корыстные и политические, характерно возраст более 21 года, высшее образование, повторность, скрытность;

· негативное отношение с сослуживцами и руководством по месту работы;

· демонстрация личных интеллектуальных способностей.

Поводы для возбуждения уголовного дела

· получение заявления;

· явка с повинной;

· сообщение, полученное из иного источника, рапорт.

Типичные ситуации

· лицо – задержано;

· способ совершения преступления известно, лицо не задержано;

· преступный результат налицо — лицо неизвестно (рис. 34).

Следственно-оперативная группа

· следователь;

· участковый;

· оперативный уполномоченный;

· эксперт и специалист в области компьютерных технологий;

· понятые со знанием ПК.

Проверка заявления

· опрос граждан, установление свидетелей;

· выезд и ОМП;

· проверка данных по криминалистическим учетам.

Основание для возбуждения уголовного дела

Наличие достаточных данных, указывающих на признаки преступления, определенными ст. ст. 272, 273, 274, 159.6 УК РФ.

Рис. 3. Обстановка на момент осмотра в организации в ситуации, когда лицо, совершившее преступление неизвестно

Обстоятельства, подлежащие доказыванию

Установление причинно- следственной связи между несанкционированным проникновением в компьютер и наступившими последствиями, а также определение размера ущерба, розыск и задержание преступника, установление механизма преступления и личности преступника.

В СКТЭ выделяются четыре подвида :

Аппаратно-компьютерная экспертиза;

Программно-компьютерная экспертиза;

Информационно-компьютерная экспертиза (данных);

Компьютерно-сетевая экспертиза.

Приказ Минюста РФ от 14 мая 2003 г. N 114 «Об утверждении Перечня родов (видов) экспертиз, выполняемых в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации, и Перечня экспертных специальностей, по которым предоставляется право самостоятельного производства судебных экспертиз в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации»

Россинская Е.Р. Усов А.И. Классификация компьютерно-технической экспертизы и ее задачи // Уголовный процесс и криминалистика на рубеже веков.– М.: Академия управления МВД РФ, 2000.

Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспечения предназначен такой вид СКТЭ как программно-компьютерная экспертиза . Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения средств микропроцессорной техники. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов в отношении информации на машинных носителях. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид СКТЭ –компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному делу составляют видовой предмет компьютерно-сетевой экспертизы. Данный вид выделен в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным делам, связанным с Интернет-технологиями.

Известно, что среди основных задач, разрешаемых судебными экспертизами, можно выделить направленные на идентификацию объекта, т.е. отождествление объекта по его отображениям. Другая группа задач – диагностические – состоит в выявлении механизма события, времени, способа и последовательности действий, событий, явлений, причинных связей между ними, природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию, и т. д.

1. дайте определение термину компьютерная информация?
2. Перечислите способы совершения преступлений, в сфере компьютерной информации?
3. Каковы методы совершения преступлений, в сфере компьютерной информации?
4. Перечислите основные мотивы и цели побуждающие людей на данный вид преступления?
5. Каков будет портрет типичного нарушителя закона в этой сфере?
6. Состав следственно-оперативной группы?
7. Какие мероприятия включает в себя проверка заявления?
8. Программа расследования на первоначальном этапе?
9. Что является основанием для возбуждения уголовного дела?
10. Каковы обстоятельства, подлежащие доказыванию причастности к преступлению?
11. Что включает в себя последующий этап расследования?
12. Завершающий этап расследования?
13. Как расшифровать аббревиатуру СКТЭ?
14. Что включает в себя данная экспертиза?

Электронный учебник содержит краткую теорию и мультимедийный ресурс, включающий терминологические словари, презентации, видео- и аудиозаписи, задачи, расчетно-графические задания, тесты, кроссворды, флеш, контрольные вопросы и список используемой литературы. Большинство тем снабжено иллюстрационным материалом, что заметно повышает интерес обучающихся и процесс усвоения нового материала, в соответствии с компетенциями ООП ФГОС 3 поколения. Электронный учебник по результатам конкурса в номинации «Учебная книга» ITE Сибирская ярмарка Международной выставки «УчСиб - 2013″ награжден БОЛЬШОЙ ЗОЛОТОЙ МЕДАЛЬЮ. Электронный учебник предназначен для студентов, изучающих курсы «Криминалистика», «МРОВП», «КЭНЭПС» по специальности «Юриспруденция» и для студентов, изучающих курс «Правоведение» не юридических специальностей!!!

§ 4. Технико-криминалистические средства, используемые для экспертного исследования криминалистических объектов

§ 5. Применение технико-криминалистических средств для решения иных криминалистических задач

Глава 5. Компьютеры как средства криминалистической техники § 1. Значение информационно-компьютерного обеспечения криминалистической деятельности

§ 2. Компьютеризация процесса расследования преступлений

§ 3. Компьютеризация экспертных исследований

Глава 6. Криминалистическая фотография, видеозапись и голография § 1. Система и значение криминалистической фотографии

§ 2. Криминалистическая оперативная фотография

§ 3. Криминалистическая исследовательская фотография

§ 4. Криминалистическая видеозапись

§ 5. Голография в криминалистике

Глава 7. Отождествление человека по внешним и внутренним признакам § 1. Правила словесного описания внешнего облика человека

§ 2. Анатомические (морфологические) признаки наружного строения человека

§ 3. Функциональные признаки, особые и броские приметы внешнего облика

§ 5. Использование методики "словесного портрета" в оперативно-розыскной и следственной практике

§ 6. Фотопортретная экспертиза

§ 7. Отождествление человека по генетическим признакам

Глава 8. Трасология § 1. Классификация следов, правила их обнаружения и изъятия

§ 2. Следы рук

§ 3. Следы ног

§ 4. Следы орудий взлома и инструментов

§ 5. Следы транспортных средств

Глава 9. Материалы, вещества, изделия как носители криминалистически значимой информации § 1. Общие положения и задачи криминалистического исследования материалов, веществ и изделий

§ 2. Виды и возможности криминалистического исследования материалов, веществ и изделий

§ 3. Криминалистическое исследование микрообъектов

Глава 10. Криминалистическая одорология § 1. Понятие и классификация одорологических объектов

§ 2. Работа с запаховыми следами человека

Глава 11. Криминалистическая баллистика § 1. Общие положения криминалистической баллистики

§ 2. Классификация и информационное содержание баллистических объектов

§ 3. Классификация и характеристики ручного огнестрельного оружия

Механизм образования следов на гильзах в пистолетах, автоматах и карабинах

§ 4. Обнаружение, осмотр, фиксация и изъятие огнестрельного оружия и следов выстрела

§ 5. Криминалистический анализ оружия и следов его действия

Глава 12. Криминалистическая взрывотехника § 1. Общие положения криминалистической взрывотехники

§ 2. Обнаружение, осмотр, фиксация, изъятие и исследование взрывотехнических объектов

Глава 13. Криминалистическое исследование документов § 1. Понятие, виды и задачи криминалистического исследования документов

§ 2. Понятие и классификация изучаемых объектов

§ 3. Отождествление средств и материалов, использованных для изготовления документов

§ 4. Установление наличия и способа подделки документов

§ 5. Восстановление нечитаемых записей, разорванных и сожженных документов, прочтение шифровальной переписки

§ 6. Исследование материалов документов

Глава 14. Криминалистическое исследование письма и письменной речи § 1. Научные основы криминалистического исследования письма и письменной речи

§ 2. Понятие, классификация и информационное содержание признаков почерка

Глава 15. Криминалистическая фоноскопия § 1. Научные основы криминалистической фоноскопия

§ 2. Определение личных качеств человека по признакам устной речи

§ 3. Автоматизированные методы анализа устной речи

Глава 16. Криминалистическая регистрация § 1. Общие положения криминалистической регистрации

§ 2. Оперативно-справочные, розыскные и криминалистические учеты

§ 3. Экспертно-криминалистические учеты

§ 4. Справочно-вспомогательные учеты

§ 5. Криминалистические информационные массивы международных организаций

Раздел третий. Криминалистическая тактика Глава 17. Общие положения криминалистической тактики § 1. Понятие, сущность и категории криминалистической тактики

§ 2. Криминалистическая тактика и следственная практика

§ 3. Тактика следственного действия

Глава 18. Криминалистические версии и планирование расследования § 1. Особенности версионного процесса в криминалистике

§ 2. Планирование расследования преступлений

§ 3. Планирование отдельных следственных действий и оперативно-розыскных мероприятий

Глава 19. Следственный осмотр и освидетельствование § 1. Понятие и общие тактические положения следственного осмотра

§ 2. Тактика осмотра места происшествия

§ 3. Виды следственного осмотра

§ 4. Освидетельствование

Глава 20. Следственный эксперимент § 1. Общие положения производства следственного эксперимента

§ 2. Подготовка к производству следственного эксперимента

§ 3. Тактика производства следственного эксперимента

Глава 21. Обыск и выемка § 1. Понятие обыска и его общие тактические положения

§ 2. Особенности тактики выемки

Глава 22. Допрос и очная ставка § 1. Общие положения тактики допроса

§ 2. Тактика допроса свидетелей и потерпевших

§ 3. Тактика допроса подозреваемых и обвиняемых

§ 4. Особенности тактики допроса отдельных категорий лиц

§ 5. Тактика производства очной ставки

§ 6. Фиксация хода и результатов допроса и очной ставки

Глава 23. Предъявление для опознания § 1. Понятие, условия и задачи предъявления для опознания

§ 2. Подготовка и производство предъявления для опознания

§ 3. Особенности предъявления для опознания отдельных видов объектов

Глава 24. Проверка показаний на месте § 1. Понятие и содержание проверки показаний на месте

§ 2. Тактика производства проверки показаний на месте

§ 3. Фиксация проверки показаний на месте

Глава 25. Применение специальных познаний при расследовании преступлений § 1. Характеристика специальных познаний и формы их использования в борьбе с преступностью

§ 2. Применение специальных познаний посредством экспертизы

Раздел четвертый. Криминалистическая методика расследования Глава 26. Общие положения криминалистической методики расследования § 1. Понятие и содержание криминалистической методики расследования

§ 2. Основания и принципы формирования криминалистических методик расследования

§ 3. Структура и содержание криминалистических методик расследования

Глава 27. Организационно-управленческие основы расследования преступлений § 1. Понятие оперативно-розыскной деятельности и ее правовые основы

§ 2. Основы тактики взаимодействия следственных, оперативных органов и криминалистических подразделений

§ 3. Взаимодействие следователя и оперативно-розыскных органов с общественностью при расследовании преступлений

§ 4. Основы криминалистической профилактики

Глава 28. Методика расследования убийств § 1. Криминалистическая характеристика убийств

§ 2. Первоначальный этап расследования убийства при наличии трупа

§ 3. Последующий этап расследования убийства при наличии трупа

§ 4. Особенности расследования убийств "без трупа"

Глава 29. Особенности расследования умышленных убийств, совершаемых наемниками § 1. Обстоятельства, подлежащие установлению при расследовании умышленных убийств, совершенных по найму

§ 2. Первоначальный этап расследования умышленных убийств, совершенных наемниками

§ 3. Особенности производства первоначальных следственных действий

§ 2. Выдвижение следственных версий и планирование начала расследования

§ 3. Особенности тактики отдельных следственных действий

Глава 31. Расследование краж, грабежей и разбойных нападений § 1. Криминалистическая характеристика краж, грабежей и разбоев

§ 2. Первоначальные следственные действия и оперативно-розыскные мероприятия по получении сообщения о преступлении

§ 3. Некоторые особенности тактики следственных действий

Глава 32. Методика расследования контрабанды § 1. Криминалистическая характеристика контрабанды

§ 2. Типовые следственные ситуации, версии и планирование расследования

§ 3. Взаимодействие при расследовании дел о контрабанде

§ 4. Тактика проведения отдельных следственных действий по делам о контрабанде

Глава 33. Методика расследования налоговых преступлений § 1. Обстоятельства, подлежащие доказыванию

§ 2. Выявление налоговых преступлений

§ 3. Методика расследования уклонений от уплаты налогов с организаций

§ 4. Методика расследования налоговых преступлений, совершаемых гражданами

Глава 34. Методика расследования поджогов и преступных нарушений правил пожарной безопасности § 1. Криминалистическая характеристика поджогов и нарушений правил пожарной безопасности

§ 2. Тактика осмотра места происшествия по делам о пожарах

§ 3. Особенности тактики отдельных следственных действий

Глава 35. Методика расследования преступного наркобизнеса § 1. Характерные особенности преступного наркобизнеса

§ 2. Особенности следственных ситуаций, отработки версий и планирования расследования

§ 3. Первоначальный этап расследования дел о преступном наркобизнесе

Глава 36. Методика расследования экологических преступлений § 1. Криминалистическая характеристика экологических правонарушений

§ 2. Типичные следственные ситуации и действия следователя на первоначальном этапе расследования

Глава 37. Методика расследования преступлений против безопасности движения и эксплуатации транспорта § 1. Обстоятельства совершения транспортных преступлений

§ 2. Обстоятельства, подлежащие установлению в зависимости от исходных следственных ситуаций

§ 3. Первоначальный этап расследования

§ 4. Последующий этап расследования

Глава 38. Методика расследования преступлений в сфере компьютерной информации § 1. Расследование фактов неправомерного доступа к компьютерной информации

§ 2. Расследование создания, использования и распространения вредоносных программ для эвм

§ 3. Расследование нарушения правил эксплуатации эвм, их системы или сети

Глава 38. Методика расследования преступлений в сфере компьютерной информации § 1. Расследование фактов неправомерного доступа к компьютерной информации

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Общий объект данных преступлений общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.

Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией ее видоизменение с появлением новых, нежелательных свойств. Копирование это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокупность компьютеров с их единым организационно-техническим обеспечением, а сетью объединение систем ЭВМ, действующих на определенной территории.

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

1) факт неправомерного доступа к информации в компьютерной системе или сети;

2) место несанкционированного проникновения в эту систему или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной информации;

6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7) вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

1. Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.

2. Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.

3. Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.

4. Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСНП России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

а) появление в компьютере искаженных данных;

б) длительное необновление кодов, паролей и других защитных средств компьютерной системы;

в) увеличение числа сбоев в работе ЭВМ;

г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;

3) приобретение работником для личного пользования дорогостоящего компьютера;

4) чистые дискеты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;

5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду:

а) нарушения принятых правил оформления документов и изготовления машинограмм;

б) лишние документы, подготовленные для обработки на ЭВМ;

в) несоответствие информации, содержащейся в первичных документах, данным машинограмм;

г) преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.

Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационных центров МВД, ГУВД, УВД субъектов Российской Федерации.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть:

а) хищение машинных носителей информации в виде блоков и элементов ЭВМ;

б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ;

в) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем;

г) фотографирование информации в процессе ее обработки;

д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;

е) использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров;

ж) осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем;

з) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами нужных сведений и др.

Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ (см. схему).

┌───────────────────────────┐

┌────────────────────────────────────┤ Следы преступных действий │

│ └─┬───────────────────────┬─┘

│ ┌──────────────────────────────────────┐ ┌───────────────────────────────┐

│┌──┤ В ЭВМ и на машинных носителях │ │ В линиях электросвязи ├──────┐

││ └──────────────────────────────────────┘ └───────────────────────────────┘ │

││ ┌────────────────────────────┐ ┌────────────────────────────────────┐ │

│├─ │ Изменения в ОЗУ │ │ Документированная информация о │ │

││ └────────────────────────────┘ │ прохождении сигнала через оператора│◄───┤

││ ┌────────────────────────────┐ └───┬────────────────────┬───────────┘ │

││ │ Специализированная │ ▼ ▼ │

│├─ │ конфигурация оборудования │ ┌─────────────────────┐ ┌─────────────────────────┐ │

││ │ │ ┌───┤ Документы │ ┌──┤ Компьютерная информация │ │

││ └────────────────────────────┘ │ └─────────────────────┘ │ └─────────────────────────┘ │

││ ┌────────────────────────────┐ │ ┌─────────────────────┐ │ ┌─────────────────────────┐ │

││ │ Специальная конфигурация │ │ │ Документы, │ ├─ │Базы данных, фиксирующие │ │

│├─ │ программ работы в сетях │ ├── │ регистрирующие │ │ │ соединения │ │

││ └────────────────────────────┘ │ │соединения абонентов │ │ └─────────────────────────┘ │

││ ┌────────────────────────────┐ │ └─────────────────────┘ │ ┌─────────────────────────┐ │

│└─ │ Следы в файловой системе │ │ ┌─────────────────────┐ │ │ Коммутаторы, │ │

│ └─┬───────────┬────────────┬─┘ │ │ Протоколы │ └─ │ осуществляющие и │ │

│ │ ▼ │ ├── │взаиморасчетов между │ │регистрирующие соединения│ │

│ │ ┌──────────────────┐ │ │ │ операторами │ └─────────────────────────┘ │

│ │ │Копии чужих файлов│ │ │ └─────────────────────┘ │

│ │ └──────────────────┘ │ │ ┌─────────────────────┐ │

│ ▼ ▼ │ │ Платежные документы │ │

│ ┌────────────┐┌────────────────┐ └── │ об оплате трафика │ │

│ │ Программное││Специализирован-│ │ между операторами │ │

│ │ обеспечение││ное "хакерское" │ └─────────────────────┘ │

│ │для создания││ программное │ ┌─────────────────────────┘

│ │ программ ││ обеспечение │ │

│ └────────────┘└────────────────┘ ▼

│ ┌────────────┐ ┌─────────────────────────────────────────────────────────┐

│ │ Прочие │ │Результаты наблюдения при проведении оперативно-розыскных│

└────────────────────── │ │ │ мер и предварительного следствия │

└──┬─────────┘ └─────────────────────────┬───────────────────────────────┘

┌───────────────────────┐ │ ┌─────────────────────────────────┐ │

│ Рукописные записи │◄─┼─ │Описания программного обеспечения│ │ ┌────────────────────────────┐

│и принтерные распечатки│ │ └─────────────────────────────────┘ ├─ │Пеленгация источника сигнала│

└┬──────────────────────┘ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘

│ ┌───────────────────┐ │ │ Инструкции по пользованию ЭВМ и │ │ ┌────────────────────────────┐

├─ │ Коды доступа │ ├─ │ ее устройствами │ │ │ Прослушивание телефонных и │

│ └───────────────────┘ │ └─────────────────────────────────┘ ├─ │ иных переговоров │

│ ┌───────────────────┐ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘

├─ │ Текста программ │ │ │ Устройства доступа в телефонные │ │ ┌────────────────────────────┐

│ └───────────────────┘ ├─ │ сети и сети ЭВМ │ │ │ Прохождение криминального │

│ ┌───────────────────┐ │ └─────────────────────────────────┘ └─ │ сигнала через оператора │

│ │ Записные книжки с │ │ ┌─────────────────────────────────┐ └────────────────────────────┘

└─ │ именами других │ ├─ │ Нестандартные периферийные │

│ хакеров │ │ └─────────────────────────────────┘

└───────────────────┘ │ ┌─────────────────────────────────┐

└─ │ Счета телефонных компаний │

└─────────────────────────────────┘

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании.

Выясняя надежность средств защиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.

Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а кроме того обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации, задействованных в данной компьютерной системе, от несанкционированного доступа и 2) соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы дактилоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы.

Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях (например, для сбора компрометирующих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).

Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной информации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;

3) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

Научный руководитель – Кряжев Владимир Сергеевич, кандидат юридических наук, доцент

Профилактика, расследование и предотвращение преступлений в сфере компьютерной информации осуществляется с применением правовых, программно-технических и организационно-технических норм. Правовое поле регулирует нормы, которыми устанавливается ответственность за совершение преступлений в сфере компьютерной информации. С использованием данных норм защищаются авторские права программистов (разработчиков, распространителей и владельцев программного обеспечения).

Распространение компьютерной информации ограничивается рамками законов в сфере международного права. При помощи правовых инструментов контролируется деятельность разработчиков как распространителей компьютерной информации. Организационно-технические нормы позволяют организовать охрану вычислительных центров, куда стекается и откуда распространяется компьютерная информация.

Несмотря на грамотную кадровую политику центров обработки компьютерной информации, существуют как внутренние риски совершения преступлений в сфере компьютерной информации нанятым персоналом, так и риски вирусных атак с кражей данных и порчей хранящейся на вычислительных серверах информации.

Защита систем, где хранится и обрабатывается компьютерная информации, подразумевает наличие системы контроля доступа. Профилактика от распространения вирусов минимизирует риски совершения преступлений в сфере компьютерной информации, однако полностью не исключает этого.

В рамках политики по защите компьютерных данных программисты и владельцы центров обработки информации используют разные инструменты, в частности, резервное копирование данных, программы для защиты от кражи данных, охранные сигнализации и кодовые системы доступа к управлению вычислительным оборудованием. В настоящее время на уровне государства принята программа по развитию специальной службы, цель ее функционирования – профилактика преступлений в сфере компьютерной информации и расследование уже совершенных преступлений.

В настоящее время борьба с компьютерной преступностью в России ведется под воздействием факторов, которые снижают как эффективность профилактических мер, так и расследование преступлений в сфере компьютерной безопасности. По мнению исследователя Щеголаева Н.А., такими факторами являются: отсутствие совершенной правовой системы, которая бы отвечала интересам граждан в сфере защиты компьютерной информации, отсутствие организационно-технического обеспечения, которое бы отвечало интересам власти и его граждан в сфере защиты компьютерной информации.

В настоящее время на борьбу с компьютерной преступностью выделяется небольшой объем финансирования, что не позволяет осуществлять полноценную профилактику преступлений и внедрять эффективные методики расследования совершенных преступлений. Техническая, организационная и правовая база требует не только постоянных финансовых вливаний, но и их увеличения в сфере активизации преступных элементов, действия которых направлены на кражу, перехват и распространение компьютерной информации, которая противоречит правовым нормам России и международного права.

Последствия совершения компьютерных преступлений в сфере компьютерной информации в достаточной мере не осознаются федеральными и региональными властями, институтами правовой защиты гражданского населения.

Правоохранительные органы не располагают достаточной информационно-технической и программной базой для расследования преступлений в сфере компьютерной безопасности. Все структуры правоохранительных органов действуют по-разному, при обнаружении факта совершения преступления.

Отсутствие четкого алгоритма взаимодействия подразделений полиции и других структур ведет к тому, что большая часть преступлений остается нераскрытой, оперативники не могут получить достаточно данных для того, чтобы квалифицировать преступление, опираясь на его признаки. Кроме того, кадровый состав суда, прокуратуры и полиции не имеет достаточного уровня подготовки для профилактики таких преступлений и их эффективного расследования.

В России действует единая система учета совершенных преступлений, однако она морально устарела, не отвечает специфике совершения преступлений в сфере компьютерной информации. Средства и технологии информации в настоящее время недостаточно защищены от действий преступных элементов. Порою пренебрежительность и незнание владельцев компьютерной информации ведет к привлечению внимания к ним преступных элементов.

На мировом уровне уже приняты совершенные законы и внедрены единые системы безопасности, которые позволяют проводить специалистам работу по профилактике преступлений в сфере компьютерной информации, эффективно расследовать преступления и отслеживать преступные действия не только для защиты государственных, но и гражданских интересов. С целью повышения эффективности профилактики преступлений в сфере компьютерной информации, расследования преступлений и защиты интересов граждан предлагается применить несколько необходимых мер. Во-первых, разработать и внедрить проект, который бы предусматривал постоянное функционирование и отслеживание потоков компьютерной информации.

Такая система могла бы выявлять при помощи алгоритмов попытки совершения преступлений, а также устанавливать слежение за активными элементами, которые ведут подозрительную деятельность. Эта система могла бы использоваться и для профилактики преступлений.

Правоохранительная система и судебная система могут взаимодействовать более эффективно, если будут разработаны единые регламенты взаимодействия между структурами. Кроме того, требуется обеспечить подразделения и спецслужбы необходимой программно-технической базой.

В связи с активизацией преступных элементов за рубежом требуется разработать и внедрить стандарты, которые бы стали регулировать порядок взаимодействия российских правоохранительных органов и органов других стран. В связи с тем, что обеспечение компьютерной безопасности возложено не только на специальные подразделения и полицию, но и на владельцев, носителей и хранителей компьютерной информации, необходимо наладить взаимодействие между социальными фондами, банками, владельцами серверов и оборудование путем регламентирования норм взаимодействия. Координированные действия заинтересованных в обеспечении компьютерной безопасности структур позволили бы проводить профилактику преступлений, отслеживать действия подозрительных лиц и эффективно взаимодействовать при обнаружении признаков совершения преступления.

Кроме того, требуется наделить полномочиями в сфере обеспечения компьютерной безопасности лиц, прошедших квалифицированную подготовку. В настоящее время этой работой занимается до 70% специалистов, которые слабо разбираются в специфике распространения компьютерной информации. Это недопустимо для эффективной работы специальных подразделений в сфере обеспечения компьютерной безопасности.

На базе государственных учреждений требуется создать специальные факультеты, где могла бы вестись подготовка специалистов в области компьютерной безопасности. Программами обучения необходимо предусмотреть не только качественную теоретическую подготовку, но и практическую подготовку еще до момента поступления на службу. Учитывая специфику и рост преступлений в сфере компьютерной информации, необходимо предусмотреть постоянное функционирование системы переподготовки специалистов в сфере профилактики и расследования преступлений в сфере компьютерной безопасности.

Это одна из главных задач, которая в настоящее время стоит перед государством, но не выполнена в связи с недостатком финансирования и недостаточной оценкой юридических последствий от совершения таких преступлений.

Обращаясь к правовым нормам в сфере профилактики и расследования преступлений в области компьютерной информации, следует отметить несовершенство правовой системы. Так, в УК содержатся статьи, предусматривающие уголовную ответственность за получение неправомерного доступа к информации, за распространение вредоносных программ, за нарушения в сфере правил эксплуатации электронно-вычислительных машин.

Этими статьями ограничивается правовая ответственность лиц за совершение преступлений в сфере компьютерной информации. Согласно УК, преступлением в сфере компьютерной информации является получение неправомерного доступа к электронно-вычислительным машинам и их сетям, эти действия для квалификации преступления должны подразумевать нанесение такого вреда, как порча, блокировка и незаконное копирование информации.

Что касается международной практики в сфере профилактики и расследования компьютерных преступлений, то она сводится к организации симпозиумов и встреч в рамках ООН, которая формирует рекомендации и рекомендует к применению стандарты взаимодействия субъектов, заинтересованных в обеспечении безопасности компьютерной информации.

Таким образом, к настоящему времени не сложилось общемировой и российской практики по взаимодействию правоохранительных структур, которые являются ответственными за обеспечение безопасности компьютерной информации. Единого плана по развитию отрасли защиты пока не принято. С единым планом действий можно было бы оперативно и качественно наладить работу системы по обеспечению компьютерной безопасности.

Сюда следует отнести внеправительственные мероприятия, разделение ответственности между подразделениями позволит усилить контроль за работой специалистов, заинтересованных в обеспечении компьютерной безопасности с позиции экономики, политики и промышленности. Правительству требуется провести встречи с субъектами-носителями и распространителями компьютерной информации для того, чтобы на этой базе подготовить новые проекты законов в сфере обеспечения компьютерной безопасности.

Требуется разработка проектов по защите от совершения преступлений в сфере компьютерной информации на уровне промышленности, которая убеждена в том, что реализации поставленной задачи нельзя достичь без специальных промышленных продуктов. Требуется развивать международное сотрудничество и разработать единый регламент взаимодействия правоохранительных структур разных стран. Требуется провести работы по унификации законодательных актов и внедрить их в систему международного права.

Требуется разработать и постоянно совершенствовать стандарты по координации взаимодействия разных государственных органов. А в рамках Интерпола можно осуществить первый проект стандартизации взаимодействия национальных структур в сфере обеспечения компьютерной безопасности.

Материально-техническая база системы правосудия и обеспечения правопорядка устарела и не позволяет эффективно бороться с преступниками в сфере компьютерной безопасности. Таким образом, должна быть принята программа финансирования и модернизации материально-технической базы правоохранительных структур, которые специализируются, как только на преступлениях в сфере компьютерной информации, так и на обеспечении общего правопорядка.

С совершенствованием материально-технической базы можно было бы ввести единую систему учета преступлений в сфере компьютерной информации. Ее анализ мог бы быть использован для разработки профилактических мер в сфере обеспечения компьютерной безопасности. К настоящему времени не разработано единой специфики расследования преступлений в сфере обеспечения компьютерной безопасности, что осложняет ведение оперативно-розыскной деятельности.

Знание специфики совершения таких преступлений могло бы улучшить результаты оперативно-розыскной деятельности. Поэтому требуется получение качественных знаний специалистами, как в рамках профессиональной подготовки, так и в рамках программа переподготовки специалистов соответствующих подразделений.

Основными научными дисциплинами в рамках преподавания программ для специалистов в сфере обеспечения безопасности компьютерной информации могли бы стать психология и кибернетика, информационные технологи и психолингвистика. Реализация данного подхода в данное время является затруднительной, поскольку нет достаточного оснащения и необходимой базы для обучения специалистов.

Учитывая тот факт, что повысить эффективность расследования преступлений в сфере компьютерной информации необходимо срочно, следует на базе подразделений обеспечения правопорядка в самом широком смысле использовать последние достижения в сфере информационных технологий.

Для эффективного расследования таких преступлений необходимо разработать единую тактику и стратегию. К данной работе следует привлекать высококвалифицированных специалистов. При осуществлении агентурной работы следует пересмотреть качественный состав субъектов, с целью установления конфиденциального и эффективного сотрудничества.

В арсенал оперативной техники следует включить современные технические приборы и устройства (компьютеры и программное обеспечение). Для личного состава правоохранительных структур необходимо предусмотреть разработку и принятие программ подготовки. С целью выполнения долгосрочной стратегии следует предусмотреть возможности для организации переподготовки специалистов в сфере обеспечения компьютерной безопасности.

Данными программами должна преследоваться не только качественная теоретическая подготовка специалистов, но и практическая работа по освоению современной компьютерной техники и программных средств. Без соблюдения этих требований итоги оперативно-розыскной деятельности по фактам преступлений в сфере компьютерной безопасности останутся неудовлетворительными.

Таким образом, повышению эффективности расследования преступлений в сфере компьютерной безопасности будет способствовать усовершенствование правовой, технической базы и внедрение программ подготовки специалистов в сфере обеспечения компьютерной безопасности.

Благодарим Вас за посещение http://Ndki. *****

Вехов расследования преступлений в сфере компьютерной информации // Современные проблемы криминалистики: Межвуз. сб. науч. тр. – Волгоград: ВЮИ МВД России, 1999. – С. 176 – 180.

(ВЮИ МВД Р оссии)

ПРОБЛЕМЫ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ

В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Стремительное наращивание процессов компьютеризации российского общества привело к возникновению новых видов преступных посягательств, ранее неизвестных отечественной юридической науке и практике, связанных с использованием средств электронно-вычислительной техники и информационно-обрабатывающих технологий . Это обстоятельство потребовало от российского законодателя принятия срочных адекватных правовых мер противодействия преступлениям нового вида. В связи с чем, они были выделены в специальную главу Уголовного кодекса Российской Федерации, получившую название «Преступления в сфере компьютерной информации».

В настоящее время органами внутренних дел Российской Федерации

расследуется значительное число вышеуказанных преступлений. Обобщение следственной практики показало, что в ходе расследования уголовных дел возникает ряд проблем, требующих правильного уголовно-процессуального разрешения. Следователи, производящие расследование преступлений в сфере компьютерной информации, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых выделяются следующие: сложность в определении квалификации преступных деяний; сложность в подготовке и проведении различных следственных действий; сложность в подготовке и назначении программно-технической экспертизы средств электронно-вычислительной техники и охраняемой законом компьютерной информации, в формулировке вопросов, выносимых на рассмотрение эксперта; отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия; отсутствие элементарных познаний в области автоматизированной обработки и передачи данных и информации.

В результате совокупного взаимодействия указанных выше факторов на практике сложилась ситуация, которая существенно затрудняет возможность своевременного обнаружения преступления и полного сбора доказательств на первоначальном этапе работы по делу. Отчасти, это подтверждается и данными социологического опроса, проведенного автором настоящей статьи в 1997–1998 учебном году на факультете повышения квалификации следственных работников Волгоградского МВД России. Так, например, 86% опрошенных руководителей следственных подразделений городских и районных управлений (отделов) органов внутренних дел и 90% следователей - методистов считают, что во вверенных им подразделениях нет следователей, способных успешно расследовать преступления в сфере компьютерной информации.

Анализ следственной практики показывает, что основной проблемой при выявлении и расследовании преступлений в сфере компьютерной информации является отсутствие у сотрудников минимально необходимых специальных познаний в этой области. Большая сложность возникает в вопросах терминологии, определения понятия составных частей ЭВМ, системы ЭВМ и компьютерных сетей, правильного понимания общего режима их функционирования в различных технологических процессах. Все это приводит к тому, что многие нормативные документы, регламентирующие правовой режим функционирования средств электронно-вычислительной техники и обработки охраняемой законом компьютерной информации остаются неизвестными и соответственно не учитываются в процессе проведения оперативно-розыскных мероприятий и следственных действий, что в конечном итоге значительно затрудняет выявление преступлений, сказывается на полном и объективном расследовании уголовных дел данной категории.

Особенно много ошибок возникает при производстве следственных действий, которые, как правило, проводятся без участия соответствующего

специалиста и без учета специфики расследуемого преступления. Так, при осмотре места происшествия изымаются не все средства электронно-вычислительной техники и машинные носители информации, несущие в себе следы преступной деятельности (в том числе и в виде компьютерной информации), имеющие важное значение для следствия, а те из них, которые изымаются, не могут впоследствии играть роль доказательств (в соответствии со ст. 69 и 83 УПК РСФСР), так как их изъятие в подавляющем большинстве случаев производится с нарушением установленного порядка и правил, учитывающих специфику предмета, в результате чего теряется их процессуальное значение.

Помимо вышеназванного, существует целый ряд других особенностей, которые должны учитываться при производстве отдельных следственных действий. В числе последних представляется возможным выделить: осмотр места происшествия; осмотр машинного носителя информации; осмотр документа, созданного средствами электронно-вычислительной техники; осмотр средства электронно-вычислительной техники как носителя охраняемой законом компьютерной информации; обыск и выемка; назначение программно-технической экспертизы.

Зарубежный опыт и отечественная практика свидетельствуют о том, что следователь должен обладать определенными познаниями и навыками в этой области и, как минимум, сам являться пользователем ЭВМ, поскольку без этого невозможно полное и объективное расследование уголовных дел данной категории. Ярким примером, может служить уголовное дело, расследованное СУ УВД Волгоградской области . Уголовное дело было возбуждено по признакам преступления, предусмотренного ч. 1 ст. 273 УК России в отношении гр-на Л., который 30 августа 1997 года в квартире одного из домов, находящегося в Центральном районе города Волгограда с принесенного с собой машинного носителя информации – дискеты диаметром 3,5 дюйма загрузил в систему персонального компьютера гр-на С. четыре вредоносные программы для ЭВМ. Гр-н Л. был задержан на месте совершения преступления; машинный носитель информации и персональный компьютер - изъяты. Следователю, обладающему специальными познаниями в области средств электронно-вычислительной техники и являющегося профессиональным пользователем ЭВМ, не составило особого труда грамотно и методически правильно спланировать, организовать и с успехом провести все необходимые следственные действия на первоначальном этапе расследования преступления. Вина подозреваемого была полностью доказана; сроки следствия соблюдены. Состоявшийся в конце октября 1997 года суд признал Л. виновным и определил следующую меру наказания: 2 года лишения свободы условно и штраф в размере 11 млн. 500 тыс. неденоминированных рублей.

Расследование подобных преступлений вызывает серьезные

затруднения в документировании преступной деятельности, выявлении преступников и требует привлечения специалистов в области электронно-вычислительной техники, защиты конфиденциальной информации, средств и систем электросвязи.

Оставляет желать лучшего и положение с подготовкой соответствующих специалистов. Отечественное положение дел в этом направлении резко контрастирует с зарубежным, где данной проблеме в последние годы уделяется все более повышенное и пристальное внимание со стороны государственных органов. Например, в ФРГ в учебных заведениях системы МВД в курс «Экономические преступления» введен специальный раздел, касающийся вопросов выявления и расследования преступлений, связанных с автоматической обработкой информации в компьютерных системах. В Академии ФБР в США с 1976 г. для слушателей читается специальный трехнедельный учебный курс по теме «Техника расследования преступлений, связанных с использованием компьютеров». Помимо вышеуказанного, в каждом низовом структурном подразделении ФБР имеется штатный специалист по расследованию таких преступлений, а с 1982 г. функционирует специальное подразделение численностью 500 человек. В Канаде работает группа специалистов уголовной полиции, занимающихся выявлением и расследованием преступлений рассматриваемой категории в масштабе всей страны; в Швеции – штатная численность такого подразделения составляет 150 человек.

Давно назрела необходимость создания подобных подразделений и в системе органов внутренних дел Российской Федерации с учетом богатого зарубежного опыта. Отсутствие последних, по оценкам некоторых отечественных специалистов, уже привело к тому, что преступления рассматриваемой категории фактически выпали из сферы контроля правоохранительных органов, что неминуемо грозит к 2000 г. перерасти в серьезную государственную проблему, как это уже было ранее в зарубежных странах.

В тоже время, и это подчеркивается многими отечественными и зарубежными специалистами, необходимо проводить систематическую специальную подготовку сотрудников правоохранительных органов в целях повышения их квалификации в области автоматической обработки информации. Комитетом по законодательству Совета Европы после комплексного исследования данной проблемы было указано, что наиболее распространенным негативным фактом в практике сотрудников полиции европейских государств является недооценка компьютерной информации как возможного вещественного доказательства в целом, когда при расследовании преступлений других категорий, следователи

«просто проходят мимо компьютеров и той информации, которая в них содержится».

В настоящее время, общее положение дел таково, что расследование преступлений вышеуказанной категории ведется лишь сотрудниками отделов по борьбе с экономической преступностью, не имеющих соответствующей специализации и необходимых познаний в сфере компьютерной информации. Лишь совсем недавно в Главном управлении по борьбе с преступлениями в сфере экономики МВД России было создано специализированное подразделение по выявлению и расследованию преступлений в сфере экономики, связанных с использованием компьютерной информации. Данное подразделение находится в стадии становления. Штатная численность сотрудников и материально-техническое обеспечение оставляет желать лучшего.

Проведенный научный анализ оперативно-следственной практики по делам рассматриваемой категории позволяет выделить следующие первоочередные меры, направленные на оптимизацию процесса расследования преступлений в сфере компьютерной информации, а именно:

– разработка комплексной криминалистической методики расследования данного вида преступных посягательств;

– создание специальных подразделений, либо выделение отдельных сотрудников на территориальном уровне, специализирующихся на выявлении, расследовании и предупреждении преступлений в сфере компьютерной информации;

– создание базового координационного экспертно-криминалисти-ческого центра по рассматриваемому кругу проблем, например, на базе экспертно-криминалистического центра МВД России в г. Москве;

– введение в планы проведения занятий учебных заведений МВД России специального курса