272; создание использование и распространение вредоносных программ для ЭВМ ст
Работа добавлена на сайт samzan.net:
Глава 42
Расследование преступлений в сфере компьютерной информации
К числу преступлений в сфере компью терной информации, ответственность за ко торое предусмотрена в главе 28 УК РФ от носятся: неправомерный доступ к компью терной информации (ст. 272); создание, ис пользование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Общим объектом указанных преступлений являются общественные отношения в сфере обеспечения информационной безопасности, а к непосредственным объектам преступного посягательства относятся: базы и банки дан ных конкретных компьютерных систем или сетей, их отдельные файлы, а также компью терные технологии и программные средства их обеспечения, включая средства защиты компьютерной информации.
§1. Расследование неправомерного доступа к компьютерной информации
Согласно ст. 272 УК ответственность за деяние наступает при условии, если непра вомерный доступ к компьютерной инфор мации повлек за собой хотя бы одно из сле дующих негативных последствий: уничтоже ние, блокирование, модификацию либо ко пирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Под уничтожением информации понима ется такое изменение ее состояния, при ко тором она лишается своей первоначальной качественной определенности и перестает отвечать своему назначению; под блокиро ванием — невозможность доступа к ней со стороны законного пользователя; под моди фикацией — видоизменение, характеризую щееся появлением новых (по смыслу ст. 272 УК РФ, нежелательных) свойств; под копи рованием ~ воспроизведение точного или относительно точного аналога оригинала; под нарушением работы ЭВМ (систем ЭВМ, их сети) — прекращение, зацикливание, за медление действия программы, нарушение порядка выполнения команд, отказ в выда че информации, отключение элементов ком пьютерной системы (серверов, модемов и т.п.).
1) Система ЭВМ — это совокупность вза имосвязанных ЭВМ с их единым организа ционно-техническим обеспечением, а сеть —
объединение дислоцированных на опреде ленной территории систем ЭВМ. В литера туре иногда термином «система» обознача ется средство автоматизации информацион ных процессов в виде единственного ком пьютера.
Общая схема расследования неправомер ного доступа к компьютерной информации. В ходе расследования основные следственные задачи целесообразно решать в такой после довательности:
1. Установление факта неправомерного доступа к информации в компьютерной си стеме или сети.
2. Установление места несанкциониро ванного проникновения в компьютерную систему или сеть.
3. Установление времени совершения преступления.
4. Установление надежности средств за щиты компьютерной информации.
5. Установление способа несанкциониро ванного доступа.
6. Установление лиц, совершивших не правомерный доступ, их виновности и мо тивов преступления.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способство вавших преступлению.
ГЛАВА 42. Расследование преступлений в сфере компьютерной информации
Установление факта неправомерного досту па к информации в компьютерной системе или сети. Такой факт , как правило, первы ми обнаруживают пользователи автоматизи рованной информационной системы, став шие жертвой данного правонарушения.
Факты неправомерного доступа к ком пьютерной информации иногда устанавли ваются в результате оперативно-розыскной деятельности органов внутренних дел, ФСБ, налоговой полиции. Установить их можно в ходе прокурорских проверок, при проведе нии ревизий, судебных экспертиз, следствен ных действий по уголовным делам. Рекомен дуется в необходимых случаях при рассмот рении материалов, связанных с обработкой информации в компьютерной системе или сети, установление фактов неправомерного доступа к ним поручать ревизорам и опера тивно-розыскным аппаратам.'
На признаки несанкционированного до ступа или подготовки к нему могут указы вать следующие обстоятельства:
появление в компьютере фальшивых дан ных;
необновление в течение длительного вре мени в автоматизированной информацион ной системе кодов, паролей и других защит ных средств;
частые сбои в процессе работы компью теров;
участившиеся жалобы клиентов компью терной системы или сети;
осуществление сверхурочных работ без видимых на то причин;
немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;
неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;
чистые дискеты либо диски, принесен ные на работу сотрудниками компьютерной системы под сомнительным предлогом пе резаписи программ для компьютерных игр;
участившиеся случаи перезаписи отдель ных данных без серьезных на то причин;
чрезмерный интерес отдельных сотрудни ков к содержанию чужих распечаток (лис-тингов), выходящих из принтеров.
Особо следует выделить признаки непра вомерного доступа, относящиеся к отступ лению от установленного порядка работы с документами, а именно:
а) нарушение установленных правил оформления документов, в том числе изго товления машинограмм;
б) повторный ввод одной и той же ин формации в ЭВМ;
в) наличие в пачке лишних документов, под готовленных для обработки на компьютере;
г) отсутствие документов, послуживших основанием для записи во вторичной доку ментации;
д) преднамеренная утрата, уничтожение первичных документов и машинных носи телей информации, внесение искажений в данные их регистрации.
Для фактов неправомерного доступа к компьютерной информации характерны так же следующие признаки, относящиеся к внесению ложных сведений в документы:
а) противоречия (логические или ариф метические) между реквизитами того или иного бухгалтерского документа;
б) несоответствие данных, содержащих ся в первичных документах, данным маши нограмм;
в) противоречия между одноименными бухгалтерскими документами, относящими ся к разным периодам времени;
г) несоответствие учетных данных взаи мосвязанных показателей в различных ма шинограммах;
д) несоответствие междуданными бухгал терского и другого вида учета.
Следует иметь в виду, что указанные при знаки могут быть следствием не только зло употребления, но и других причин, в част ности случайных ошибок и сбоев компью терной техники.
Установление места несанкционированно го доступа в компьютерную систему или сеть. Решение данной задачи вызывает определен ные трудности, так как таких мест может быть несколько.
Чаще обнаруживается место неправомер ного доступа к компьютерной информации с целью хищения денежных средств.
Согласно ст. 14, п. 3 Федерального закона «Об оперативно-розыскной деятельности», принятого Госу дарственной Думой 05.07.95 г.. органы, уполномоченные ее осуществлять, обязаны «исполнять в преде лах своих полномочий поручения в письменной форме органа дознания, следователя, указания прокуро ра и решения суда о проведении оперативно-розыскных мероприятий по уголовным делам, принятым ими к производству».
§ 1. Расследование неправомерного доступа к компьютерной информации
При обнаружении факта неправомерно го доступа к информации в компьютерной системе или сети следует выявить все места, где расположены компьютеры, имеющие единую телекоммуникационную связь.
Проще рассматриваемая задача решает ся в случае несанкционированного доступа к отдельному компьютеру, находящемуся в одном помещении. Однако при этом необ ходимо учитывать, что информация на ма шинных носителях может находиться в дру гом помещении, которое тоже надо устанав ливать.
Труднее определить место непосредствен ного применения технических средств уда ленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть). К установлению такого места не обходимо привлекать специалистов.
Установлению подлежит и место хране ния информации на машинных носителях либо в виде распечаток, добытых в результа те неправомерного доступа к компьютерной системе или сети.
Установление времени несанкционирован ного доступа. С помощью программ обще системного назначения в работающем ком пьютере обычно устанавливается текущее время, что позволяет по соответствующей команде вывести на экран дисплея инфор мацию о дне недели, выполнения той или иной операции, часе и минуте. Если эти данные введены, то при входе в систему или сеть (в том числе и несанкционированном) время работы на компьютере любого поль зователя и время конкретной операции ав томатически фиксируются в его оператив ной памяти и отражаются, как правило, в выходных данных (на дисплее, листинге или на дискете).
С учетом этого время несанкционирован ного доступа можно установить путем след ственного осмотра компьютера либо распе чаток или дискет. Его целесообразно произ водить с участием специалиста, так как не опытный следователь может случайно унич тожить информацию, находящуюся в опера тивной памяти компьютера или на дискете.
Время неправомерного доступа к ком пьютерной информации можно установить также путем допроса свидетелей из числа сотрудников данной компьютерной системы, выясняя у них, в кйкое время каждый из них работал на компьютере, если оно не было зафиксировано автоматически.
Установление способа несанкционирован ного доступа. Для совершения рассматрива емого преступления применяются различные способы, в том числе: использование чужо го имени, подбор пароля, нахождение и ис пользование пробелов в программе, другие способы преодоления защиты компьютерной информации. Конкретный способ несанкци онированного доступа к ней можно устано вить в процессе допроса свидетелей из чис ла лиц, обслуживающих эту систему, или ее разработчиков. У них необходимо выяснить, каким образом преступник мог преодолеть средства защиты данной системы, в частно сти, узнать идентификационный номер за конного пользователя, код, пароль для до ступа к ней, получить сведения о других средствах защиты.
Способ несанкционированного доступа может быть установлен и путем производст ва информационно-технической судебной экспертизы, перед экспертом следует поста вить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесооб разно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся дан ные о ее сертификации.
При производстве такой экспертизы ре комендуется использовать компьютерное оборудование той же системы, в которую проник преступник, либо специальные тех нические и программные средства.
При решении задачи по установлению способа несанкционированного доступа к компьютерной информации может быть про веден следственный эксперимент с целью проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Его целью может стать и проверка возможности появления на экране дисплея закрытой информации или ее распечатка вследствие ошибочных, неумы шленных действий оператора или в резуль тате случайного технического сбоя в компью терном оборудовании.
Установление надежности средств защиты компьютерной информации. Прежде всего не обходимо установить, предусмотрены ли в данной компьютерной системе меры защи ты от несанкционированного доступа к оп ределенным файлам. Это можно выяснить путем допросов ее разработчиков и пользо вателей, а также изучением проектной до-
658
ГЛАВА 42. Расследование преступлений в сфере компьютерной информации
кументации, соответствующих инструкций по эксплуатации данной системы. При оз накомлении с инструкциями особое внима ние должно уделяться разделам о мерах за щиты информации, порядке допуска поль зователей к определенным данным, разгра ничении их полномочий, организации кон троля за доступом, конкретных методах за шиты информации (аппаратных, программ ных, криптографических, организационных и других).
Надо иметь в виду, что в целях обеспече ния высокой степени надежности информа ционных систем, в которых обрабатывается документированная информация с ограни ченным доступом, осуществляется комплекс мер, направленных на их безопасность.
В частности, законодательством предус мотрены обязательная сертификация средств защиты этих систем и обязательное лицен зирование всех видов деятельности в облас ти проектирования и производства таких средств. Разработчики, как правило, гаран тируют надежность своих средств при усло вии, если будут соблюдены установленные требования к ним. Поэтому в процессе рас следования требуется установить, во-первых, имеется ли лицензия на производство средств защиты информации от несанкционирован ного доступа, используемых в данной ком пьютерной системе, и, во-вторых, соответ ствуют ли их параметры выданному серти фикату. Для проверки такого соответствия может быть назначена информационно-тех ническая экспертиза с целью решения во проса: «Соответствуют ли средства защиты информации от несанкционированного до пуска, используемые в данной компьютер ной системе, выданному сертификату?»
Вина за выявленные при этом отклоне ния, ставшие причиной несанкционирован ного доступа к компьютерной информации, возлагается на пользователя системы, а не на разработчика средств защиты.
Установление лиц, совершивших неправо мерный доступ к компьютерной информации. Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только спе циалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозревае мых следует начинать с технического персо нала пострадавших компьютерных систем или сетей (разработчиков соответствующих
систем, их руководителей, операторов, про граммистов, инженеров связи, специалистов по защите информации и других).
Следственная практика показывает, что чем сложнее в техническом отношении спо соб проникновения в компьютерную систе му или сеть, тем легче выделить подозрева емого, поскольку круг специалистов, обла дающих соответствующими способностями, обычно весьма ограничен.
Установлению причастности конкретно го лица к несанкционированному доступу к компьютерной информации могут способст вовать различные материально-фиксирован ные отображения, обнаруживаемые иногда при следственном осмотре компьютера и его компонентов. Это, например, следы пальцев рук, отдельные записи на внешней упаковке дискет, дисков. Для их исследования назна чаются криминалистические экспертизы — дактилоскопическая, почерковедческая, тех нико-криминалистическая.
Чтобы выявить лиц, обязанных обеспечи вать соблюдение режима доступа к компью терной системе или сети, надо прежде всего ознакомиться с имеющимися инструкциями, устанавливающими полномочия должност ных лиц, ответственных за защиту информа ции, после чего следует допросить их.
Допросами лиц, обслуживающих ком пьютерную систему, можно установить, кто запускал нештатную программу, было ли это зафиксировано каким-либо способом. Сле дует также выяснить, кто увлекается про граммированием, учится или учился на ком пьютерных курсах.
У лиц, заподозренных в неправомерном доступе к компьютерной информации, при наличии достаточных оснований •произво дится обыск, при котором могут быть обна ружены: компьютеры разных конфигураций, принтеры, средства телекоммуникационной связи с компьютерными сетями, записные книжки с уличающими записями, в том чис ле электронные, дискеты, диски, магнитные ленты, содержащие сведения, могущие иметь значение для дела, в том числе коды, паро ли, идентификационные номера пользовате лей конкретной компьютерной системы, а также данные о ее пользователях. В ходе обыска следует обращать внимание на лите ратуру, методические материалы по компью терной технике и программированию.
К производству обыска и последующего осмотра изъятого при обыске целесообраз-
§ 1. Расследование неправомерного доступа к компьютерной информации
659
но привлекать специалиста, который может, например, прочесть информацию, содержа щуюся на машинных носителях либо в па мяти изъятого компьютера.
Установление виновности и мотивов лиц, совершивших неправомерный доступ к компью терной информации. Установить виновность и мотивы несанкционированного доступа к компьютерной информации можно только по совокупности результатов всех процессу альных действий. Решающими из них явля ются показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения су дебных экспертиз, главным образом инфор мационно-технологических и информацион но-технических, а также результаты обыска. В процессе расследования выясняется, во-первых, с какой целью совершен несанкци онированный доступ к компьютерной ин формации; во-вторых, знал ли правонаруши тель о системе ее защиты; в-третьих, желал ли он преодолеть эту систему и, в-четвер тых, если желал, то по каким мотивам и какие действия для этого совершил.
Установление вредных последствий непра вомерного доступа к компьютерной системе или сети. Прежде всего необходимо установить, в чем заключаются вредные последствия та кого доступа (хищение денежных средств или материальных ценностей, завладение ком пьютерными программами, информацией путем изъятия машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование информации или выведение из строя компьютерного обо рудования, введение в компьютерную сис тему заведомо ложной информации или ком пьютерного вируса и т.д.).
Хищение денежных средств чаще совер шается в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в них изменений и дополнений. Обычно такие пра вонарушения обнаруживаются самими работ никами банков. Устанавливаются они и в результате проведения оперативно-розыскных мероприятий. Сумма хищения устанавлива ется судебно-бухгалтерской экспертизой.
Факты неправомерного завладения ком пьютерными программами вследствие не санкционированного доступа к той или иной системе и их незаконного использования выявляются, как правило, потерпевшими.
Наибольший вред приносит незаконное получение информации из различных ком пьютерных систем, ее копирование, размно жение с целью продажи и получения мате риальной выгоды либо использования в дру гих преступных целях (например, для сбора компроматов на кандидатов в депутаты раз личных представительных органов власти).
Похищенные программы и информаци онные базы данных могут быть обнаружены путем производства обысков у обвиняемых, а также при проведении оперативно-розы скных мероприятий. Так, сотрудниками санкт-петербургской милиции было прове дено несколько операций, в ходе которых выявлены многочисленные факты распрост ранения копий разнообразных компьютер ных программ, добытых в результате несанк ционированного доступа к компьютерным системам, вследствие чего некоторым фир мам — производителям программ причинен крупный материальный ущерб.
Если незаконно приобретенная инфор мация относится к категории конфиденци альной или государственной тайны, то кон кретный вред, причиненный разглашением, устанавливается представителями Гостехко-миссии РФ.
Факты незаконного изменения, уничто жения, блокирования информации, выведе ния из строя компьютерного оборудования, введения в компьютерную систему заведомо ложной информации устанавливаются преж де всего самими пользователями информа ционной системы или сети.
Следует иметь в виду, что не все эти по следствия наступают в результате умышлен ных действий. Нередко их причиной стано вится случайный сбой в работе компьютер ного оборудования.
По имеющимся сведениям, серьезные сбои в работе сетевого оборудования и про граммного обеспечения в большинстве рос сийских фирм происходят не реже одного раза в месяц'.
ГТри определении размера вреда, причи ненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию его последствий, но и упущен ная выгода.
Негативные последствия неправомерно го доступа к компьютерной информации могут устанавливаться в процессе следствен-
Ведев Л.Д. Защита данных в компьютерных сетях//0ткрытые системы, 1995, Ма 3, С. 12.
ГЛАВА42. Расследование преступлений в сфере компьютерной информации
ного осмотра компьютерного оборудования и носителей информации (анализа баз и банков данных), допросов технического пер сонала, владельцев информационных ресур сов. Вид и размер ущерба устанавливаются обычно посредством комплексной эксперти зы, проводимой с применением специаль ных познаний в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и то вароведения.
Выявление обстоятельств, способствовав ших неправомерному доступу к компьютерной информации. На заключительном этапе рас следования формируется целостное представ ление об обстоятельствах, способствовавших несанкционированному доступу к компью терной информации. В данном аспекте важ но последовательное изучение различных документов, главным образом относящихся к защите информации. Особое значение при этом могут иметь материалы ведомственно го (служебного) расследования.
Вопросы о способствовавших рассматри ваемому преступлению обстоятельствах це лесообразно ставить при информационно-технологической и информационно-техни ческой судебных экспертизах. Соответству ющие обстоятельства могут устанавливаться также благодаря допросам технического пер сонала, очным ставкам, следственным экс периментам, осмотрам документов.
Эти обстоятельства состоят главным об разом в следующем:
1) Неэффективность методов эашиты ком пьютерной информации от несанкционирован ного доступа, что в значительной мере отно сится к компьютерным сетям.
2) Совмещение функций разработки и экс плуатации программного обеспечения в рам ках одного структурного подразделения. Раз работчики компьютерной программы неред ко сами участвуют в ее промышленной экс плуатации. Они имеюТ возможность вносить в нее разные изменения, осуществлять до ступ к любой информации, в том числе за крытой. Являясь авторами средств защиты и их эксплуатационщиками, они подобны главному бухгалтеру, выполняющему также функции кассира.
3) Неприменение в технологическом про цессе всех имеющихся средств и процедур регистрации и протоколирования операций, действий программ и обслуживающего персо нала.
4) Нарушение сроков изменения паролей пользователей.
5) Нарушение установленных сроков хра нения копий программ и компьютерной инфор мации либо отсутствие их.
На допросах лица, обвиняемого в непра вомерном доступе к компьютерной инфор мации, уточняются и дополняются ранее полученные данные.
§2. Расследование создания, использования и распространения вредоностных программ для ЭВМ
К. вредоносным программам для ЭВМ принято относить прежде всего так называ емые компьютерные вирусы, то есть про граммы, способные внедряться в другие про граммы, самовоспроизводиться (размножать ся) и при определенных условиях повреж дать компьютерные системы или храняшие-ся в них данные и программы'. Название «вирусы» они получили потому, что многие их свойства подобны свойствам природных вирусов. Компьютерный вирус может раз множаться во всех системах определенного типа, а не только в той, где был создан.
Компьютерные вирусы имеют те или иные названия, например «Мак Маг», «Рож-
дественская открытка». Некоторые из само воспроизводящихся программ безопасны, однако значительная их часть приносит су щественный вред. Имеются также иные вре доносные программы, используемые обыч' но для хищений денежных средств в ком пьютерных банковских системах и соверше ния других злоупотреблений в сфере ком пьютерной информации.
Непосредственным объектом рассматри ваемого преступления являются обществен ные отношения, призванные обеспечить бе зопасное использование ЭВМ, ее программ ного обеспечения и информационного на полнения. Состав преступления в ч. 1 ст. 273
Файтс Ф.. Джонстон П., Крату М. Компьютерный вирус: проблемы и прогноз: Пер. с анг. — М.: Мир, 1994. -С. 16.
§ 2. Расследование создания вредоносных программ для ЭВМ
УК определен как формальный и предусма тривает совершение одного из следующих действий: а) создание программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанк ционированному уничтожению, блокирова нию, модификации либо копированию ин формации, нарушению работы ЭВМ, систе мы ЭВМ или их сети; б) использование либо распространение таких программ или ма шинных носителей с такими программами. Изменение программы — это преобразова ние описанного в ней на языке ЭВМ машин ного алгоритма, а распространение — рас ширение сферы ее применения за пределы рабочего места создателя'.
Частью 2 ст. 273 УК. предусмотрено бо лее опасное преступление: любое из выше указанных действий, повлекшее тяжкие по следствия. Это — преступление с материаль ным составом и двумя формами вины: умыс лом по отношению к действиям и неосто рожностью относительно общественно опас ных последствий. Характер преступлений, предусмотренных ст. 273 УК, предопределя ет их высокую латентность. Особенно труд но выявлять лиц, создавших вредоносные программы. Однако и эта задача в принципе разрешима.
Представляется наиболее целесообразной следующая последовательность решения ос новных задач при расследовании таких пре ступлений:
1) Установление факта и способа созда ния вредоносной программы для ЭВМ.
2) Установление факта использования и распространения вредоносной программы.
3) Установление лиц, виновных в созда нии, использовании и распространении вре доносных программ для ЭВМ.
4) Установление вреда, причиненного данным преступлением.
5) Установление обстоятельств, способ ствовавших совершению расследуемого пре ступления.
Установление факта и способа создания вредоносной программы для ЭВМ. Вредонос ная программа, как правило, обнаруживает ся в момент, когда уже явно проявляются последствия ее применения. Выявляется она также в процессе антивирусной проверки, производимой пользователем компьютерной системы перед началом работы на компью-
тере, особенно часто практикуемой при ис пользовании чужих дискет и дисков.
Способов создания программ для ЭВМ очень много. Однако разработка вредонос ных программ осуществляется обычно одним из двух нижеописанных способов.
1. Создание вредоносной программы ве дется непосредственно на одном из рабочих мест автоматизированной информационной системы. Это, как правило, маскируется под правомерную повседневную работу на том или ином участке разработчиком вредонос ной программы, который в силу своих слу жебных обязанностей имеет доступ к инфор мационной системе и функционирующей в ней информации, а иногда и владеет кода ми, паролями. Сокрытие преступных деист-. вий разработчик осуществляет путем удале ния компрометирующих его данных или хранения их на собственных дискетах.
2. Создание такой программы ведется вне сферы непосредственной Деятельности ком пьютерной системы, для воздействия на ко торую она предназначена. При этом преступ нику необходимы сведения о функциониру ющей в данной системе информации, спосо бах доступа к ней, методах ее защиты. Для их получения он устанавливает связи с кем-либо из пользователей системы либо внедряет в нее свое доверенное лицо, чаще программиста.
Иногда вредоносная программа создает ся путем внесения изменений в существую щую программу.
На факт создания вредоносной програм мы косвенно могут указывать следующие обстоятельства:
а) повышенная заинтересованность алго ритмами функционирования программ, ра ботой системы информационной защиты, входной и выходной информацией лицами, в круг обязанностей которых это не входит;
б) внезапная увлеченность программиро ванием лиц, в круг обязанностей которых программирование не входит.
Эти обстоятельства могут устанавливать ся как в результате проведения оперативно-розыскных мероприятий, так и следственных действий (например, допроса свидетелей из числа пользователей компьютерной системы, в которой обнаружены признаки использо вания вредоносной программы).
Установлению факта создания вредонос ной программы способствует выявление
" Ляпунов Б., Максимов В. Ответственность за компьютерные преступления//3аконность. 1997, №1, С. 13.
ГЛАВА42. Расследование преступлений в сфере компьютерной информации
фактов ее использования и распространения и особенно получение данных, позволяющих заподозрить то или иное лицо в соответст вующей деятельности. Этому может способ ствовать своевременно и тщательно произ веденный обыск по месту работы и месту жительства подозреваемого, а также в мес тах, где он мог иметь доступ к компьютер ной системе. К участию в обыске целесооб разно привлечь специалиста-программиста, стремясь обнаружить все, что может иметь отношение к созданию вредоносной про граммы.
Установление факта использования и рас пространения вредоносной программы. Боль шинство пользователей компьютерных сис тем может обнаружить вредоносные програм мы с помощью антивирусных программ. В процессе расследования факт использования вредоносной программы можно установить посредством осмотра следующих документов: журналов учета (рабочего времени, доступа к вычислительной технике, сбоев и ремон та, регистрации пользователей компьютер ной системы или сети, проведения регла ментных работ); лицензионных соглашений и договоров на пользование программными продуктами и их разработку; книг паролей; приказов и других документов, регламенти рующих работу учреждения и, в частности, использование компьютерной информации. Надо иметь в виду, что эти документы могут существовать в электронной форме, на ма шинных носителях. К ознакомлению с ними рекомендуется привлекать специалиста. При изучении таких документов следователь мо жет получить информацию о законности использования того или иного программно го обеспечения, системе организации рабо ты учреждения, использования в ней инфор мации, доступа к информации и вычисли тельной технике, круге лиц, находившихся в определенный момент времени на объек те, где функционирует компьютерная систе ма, или имевших доступ к вычислительной технике.
При допросе подозреваемого требуется установить уровень его профессиональной подготовленности как программиста, опыт его работы по созданию программы конкрет ного класса на данном языке программиро вания, знание им алгоритмов работы про-
грамм, подвергшихся неправомерному воз действию.
При допросе обвиняемого необходимо выяснить обстоятельства подготовки и со вершения преступления, алгоритм функци онирования вредоносной программы, а так же, на какую информацию и как она воз действует.
При допросе свидетелей из числа предста вителей потерпевшей стороны следует вы яснить, какая информация подвергалась неправомерному воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, системы ЭВМ или их сети, кодам, паролям и другой компьютерной информации; как организована противови русная защита; каким образом ведется учет пользователей компьютерной системы.
При производстве допросов вышеуказан ных лиц необходимо выяснить способы рас пространения вредоносных программ, то есть предоставления доступа к ним путем прода жи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей'.
Надо иметь в виду, что применяется мно жество способов использования и распрост ранения вредоносных программ. В частнос ти, оно осуществляется в случаях запуска программы с другого компьютера или с дис кеты, купленной, одолженной, полученной в порядке обмена, или с электронной «дос ки объявлений» (BBS). Распространение про граммы, вызывающей уничтожение и бло кирование информации, нарушение работо способности ЭВМ, системы ЭВМ или их сети, может осуществляться по компьютер ной сети в результате использования нели цензионной и несертифицированной про граммы или купленной у случайного лица, а также скопированной у кого-либо из знако мых, например, чаще игровых программ.
Важное значение для установления фак тов использования и распространения вре доносных программ имеет своевременное производство информационно-технологиче ской экспертизы, которая может определить, какие изменения внесены в исследуемые программы, время внесения изменений, их характер, какие последствия способны вы звать использование и распространение вре доносных программ. Она может также уста-
См. Закон РФ «О правовой охране программ для электронных н вычислительных машин л баз данных» // Ведом. Верх, Сов. РФ. № 42. 22 окт. 1992. ст. 2325.
§ 2. Расследование создания вредоносных программ для ЭВМ
новить примененный преступником способ преодоления программной и аппаратной за щиты (подбор ключей и паролей, отключе ние средств защиты, использование специ альных программных средств.
Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ. При решении данной следственной задачи необходимо учитывать, что вредоносную программу может создать человек, обладающий навыками в обраще нии с компьютером и написании программ. Лучше всего их могут сделать опытные про граммисты, но они, как правило, не участ вуют в их распространении. Нередко вредо носные программы создают и используют лица, сравнительно давно освоившие машин ный язык, из чувства самоутверждения, по мотиву корысти или мести, а иногда из по требности в вандализме. Некоторые делают это в форме интеллектуального вызова, стре мясь преодолеть систему информационмой защиты, считающейся неуязвимой.
Использовать и распространять вредо носные программы может любой человек, умеющий работать на персональном ком пьютере. Однако наибольшую опасность представляют высококвалифицированные специалисты в области компьютерных тех нологий, опытные компьютерные взломщи ки, получившие в литературе название ха керов.
Преступления данной категории иногда совершаются группой лиц, причем один ха кер создает вредоносные программы, а ос тальные члены группы обеспечивают его деятельность в материально-техническом и информационном отношениях. В мировой практике борьбы с компьютерными преступ лениями известны случаи осуществления хакерами связей с организованной преступ ностью, когда преступные сообщества высту пают в роли заказчиков компьютерных ма хинаций, обеспечивая хакеров необходимой техникой, организуя прикрытие, снимая че рез подставных лиц деньги в банковских компьютерных системах'.
Поиск лица, причастного к использова нию вредоносных программ, требует значи тельных затрат времени и средств. В благо приятных случаях установить его можно по следам рук, оставленным на участках дис-
ководов, клавишах, некоторых других час тях компьютера.
После установления подозреваемого его задержание должно быть произведено не замедлительно, чтобы не допустить уничто жения компрометирующих его материалов. В случае если вредоносная программа яв ляется компьютерным вирусом, от быстро ты задержания зависят масштабы его воз можного распространения и причинения ущерба.
При допросе подозреваемого необходи мо выяснить: места его жительства, работы или учебы, профессию, взаимоотношения с сослуживцами, семейное положение, образ жизни, сферу интересов, привычки, наклон ности, круг знакомых, навыки в программи ровании, ремонте и эксплуатации средств вычислительной техники, какими средства ми вычислительной техники, машинными носителями, аппаратурой и приспособлени ями он располагал, где, на какие средства их приобрел и где хранил.
Органу дознания целесообразно дать по ручение выявить и проверить лиц, ранее привлекавшихся к ответственности за такое же преступление.
Для установления возможности создания вредоносной программы определенным ли цом, сознавшимся в этом, проводится след ственный эксперимент с использованием соответствующих средств компьютерной тех ники.
Установление вреда, причиненного данным преступлением. Решая данную задачу, надо иметь в виду, что вредоносная программа в виде вируса может за считанные секунды размножиться в большом количестве экземп ляров и за короткий период времени зара зить многие компьютерные системы. Ком пьютерные вирусы могут:
а) заполнить весь диск или всю свобод ную память компьютера своими копиями;
б) переставить местами часть файлов, т.е. смешать их так, что найти их на диске будет практически невозможно; в) испортить таблицу размещения файлов; г) отформатировать диск или дискету, уничтожив все ранее записанное на соответ ствующем носителе;
д) вывести на дисплей то или иное неже лательное сообщение;
См. Кокоткин А. Компьютерные взломщики//Аргументы и факты, февраль 1997, Кузнецов Л. Компью терные мошенничества//По оперативным сводкам УВД, Na 19 [Na 23), май 1996.
ГЛАВА 42. Расследование преступлений в сфере компьютерной информации
е) перегрузить компьютер, то есть осу ществить произвольный перезапуск; ж) замедлить работу компьютера; з) внести изменения в таблицу определе ния кодов, делая невозможным пользование клавиатурой;
и) изменить содержание программ и фай лов, что может привести к ошибкам в слож ных расчетах;
к) привести в негодность персональный компьютер;
л) раскрыть информацию с ограничен ным доступом.
Размер ущерба, причиненного преступ лением данного вида, устанавливается экс пертным путем. Он может быть определен в рамках судебно-бухгалтерской и судебно-экономической экспертиз в комплексе с информационно-технологической и инфор мационно-технической экспертизами.
Установление обстоятельств, способство вавших совершению преступления. Полную безопасность компьютерных систем обеспе чить нельзя, но снизить опасность вредонос ных программ для ЭВМ до определенного уровня возможно, в частности, путем устра нения обстоятельств, способствующих созда нию, использованию и распространению вредоносных компьютерных программ. К числу таких обстоятельств относятся в ос новном следующие:
отказ от использования антивирусных средств;
использование случайного несертифици рованного программного обеспечения;
использование нелегальных копий про грамм для ЭВМ;
отсутствие 'резервных копий программ и системных файлов;
отсутствие учета и контроля за доступом к компьютерным системам;
использование компьютеров не по назна чению (для компьютерных игр, обучения посторонних, написания программ лицами, в обязанности которых это не входит);
игнорирование требования относитель но проверки каждой приобретенной про граммы с целью возможного обнаружения признаков ее заражения компьютерным ви русом;
незащищенность загрузочных дискет от нежелательных записей посредством специ альной прорези;
нерегулярность записей программ, уста навливаемых в компьютерную систему.
Устанавливаются перечисленные обсто ятельства по результатам тщательного ана лиза всех материалов уголовного дела. Ос новным средством их установления являет ся судебная информационно-технологиче ская экспертиза, при назначении которой необходимо ставить вопрос: «Что способ ствовало совершению преступления, связан ного с созданием, использованием и рас пространением вредоносных программ для ЭВМ?»
§ 3. Расследование нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети
Серьезный ущерб компьютерной систе ме или сети может нанести нарушение пра вил их эксплуатации, что обычно приводит к сбоям в обработке информации и в конеч ном счете дестабилизации деятельности со ответствующего предприятия или учрежде ния.
При расследовании по делам данной ка тегории необходимо прежде всего доказать факт нарушения определенных правил, по влекший уничтожение, блокирование цли. модификацию охраняемой законом компью терной информации и причинивший суще ственный вред. Кроме того, необходимо ус тановить и доказать:
место и время (период времени) наруше ния правил эксплуатации ЭВМ;
характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации- вследствие нарушения правил эксплуатации компьютерной систе мы или сети;
способ и механизм нарушения правил; характер и размер ущерба, причиненно го преступлением;
факт нарушения правил определенным лицом;
виновность лица, допустившего преступ ное нарушение правил эксплуатации ЭВМ;
обстоятельства, способствовавшие совер шению расследуемого преступления.
При установлении факта преступного на рушения правил эксплуатации ЭВМ необхо димо тщательно изучить нормативные доку-
§ 3. Расследование нарушения правил эксплуатации ЭВМ
менты, предусматривающие правила эксплу атации данной компьютерной системы или сети, их характер и назначение, имея в виду, что соответствующие правила направлены на обеспечение информационной безопасности компьютерных систем и сетей. Они могут определять порядок создания, сбора, обработ ки, накопления, хранения, г1оиска, распро странения и представления потребителю ком пьютерной информации, ее защиту.
Ст. 274 УК. предусматривает охраняемую законом информацию, то есть главным об разом информацию ограниченного доступа, которая по условиям ее правового режима использования подразделяется на информа цию, отнесенную к государственной тайне, и конфиденциальную. Именно эти два вида информации, циркулирующие в компьютер ных системах и сетях, нуждаются в особых средствах защиты.
Порядок накопления, обработки, защи ты и предоставления пользователю инфор мации с ограниченным доступом определя ется органами государственной власти либо ее собственником. Такие правила существу ют, например, в государственных архивах, органах государственной исполнительной власти, в информационных системах кото рых функционирует конфиденциальная ин формация или составляющая государствен ную тайну.
Степень секретности и конфиденциаль ности информации имеет существенное зна чение для определения размера ущерба, при чиненного преступным нарушением правил эксплуатации ЭВМ.
Факт нарушения правил эксплуатации ЭВМ становится известным в первую оче редь обычно владельцам и пользователям компьютерной системы или сети вследствие обнаружения отсутствия необходимой ин формации или ее существенного изменения, негативно отразившегося на деятельности предприятия, организации, учреждения'.
Для установления конкретного правила эксплуатации ЭВМ, нарушение которого привело к вредным последствиям, следова телю целесообразно допросить всех лиц, работавших на ЭВМ и обслуживавших ком пьютерное оборудование в соответствующий период времени. В необходимых случаях к
участию в допросе привлекается специалист. Допрашиваемому могут быть поставлены примерно следующие вопросы:
— Каковы Ваши обязанности при работе с ЭВМ (либо оборудованием к ней), какими правилами они установлены?
— Какую конкретно работу на ЭВМ и в каком порядке Вы выполняли, когда произо шло уничтожение, блокирование, изменение компьютерной информации или наступили иные вредные последствия?
— Какие неполадки в компьютерной си стеме Вы обнаружили при работе на ЭВМ, не было ли при этом каких-либо сбоев, чре ватых причинением существенного вреда компьютерной информации?
— Какие правила работы с компьютером нарушены в данной ситуации?
— Каким образом должны фиксировать ся факты уничтожения, блокирования или модификации компьютерной информации в случае нарушения определенных правил экс плуатации ЭВМ? .
— Связаны ли уничтожение, блокирова ние, модификация информации с наруше нием правил эксплуатации ЭВМ либо они явились следствием непредвиденных обсто ятельств, если связаны, то с нарушением каких правил?
Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного (административного) расследо вания, если таковое имело место. Оно про водится обычно службой информационной безопасности объекта, на котором имел ме сто соответствующий инцидент. В этих ма териалах можно найти ответы на многие из вопросов, перечисленных выше.
По материалам служебного расследова ния могут быть установлены также место, время преступного нарушения правил и дру гие обстоятельства, подлежащие доказыва-нню. Если служебное расследование не про водилось, подлежащие доказыванию обсто ятельства устанавливаются лишь следствен ным путем.
Конкретное место нарушения правил эксплуатации ЭВМ можно установить при осмотре автоматизированных рабочих мест (АРМ) пользователя компьютерной системы или сети. Осмотру подлежат все подключен-
В соответствии с Законам РФ «Об информации, информатизации и защите информации» владелец до кументов, массива документов, информационных систем обязан оповещать собственника информаци онных систем о всех фактах нарушения режима (правил) защиты информации.
ГЛАВА 42. Расследование преступлений в сфере компьютерной информации
ные к ним компьютеры. Осмотр проводится обычно с участием специалиста, помогаю щего установить местонахождение компью тера, работа с которым привела к вредным последствиям в результате преступного на рушения правил его эксплуатации.
Необходимо различать место нарушения правил и место наступления вредных послед ствий. Нередко они не совпадают, особенно при нарушении правил эксплуатации ком пьютерных сетей, которые, как известно, представляют собой объединение ряда пер сональных компьютеров, расположенных в различных местах, подчас на значительных расстояниях друг от друга.
При расследовании нарушения правил эксплуатации компьютерной сети очень важ но установить, где расположена обычная станция, эксплуатация которой осуществля лась с грубым нарушением правил инфор мационной безопасности. В первую очередь необходимо определить места, где по схеме развертывания сети расположены рабочие станции, имеющие собственные дисководы, так как на них значительно больше возмож ностей для преступных нарушений правил эксплуатации компьютерной сети. Это, на пример, возможность для нарушителя копи рования данных с файлового сервера на свою дискету или использования дискеты с раз личными программами, в том числе с ком пьютерными вирусами. Такие действия, ста вящие под угрозу целостность информации, содержащейся в центральных файловых сер верах, исключены на бездисковых рабочих станциях. Рекомендуется производить след ственный осмотр учетных данных, в кото рых могут быть отражены сведения о распо ложении конкретной рабочей станции, ис пользующей файловый сервер.
Кроме того, могут быть допрошены в качестве свидетелей администратор сети и специалисты, обслуживающие файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютер ной информации.
Им могут быть заданы примерно следу ющие вопросы:
На какой рабочей станции могли быть нарушены правила эксплуатации компьютер ной сети, где она расположена?
Могли ли быть нарушены правила экс плуатации данной локальной вычислитель ной сети на рабочей, станции, расположен ной там-то?
Если правила нарушаются непосредст венно на файловом сервере, то место нару шения этих правил может совпадать с мес том наступления вредных последствий.
Место нарушения правил может быть установлено и по результатам информаци онно-технической экспертизы, перед экспер тами которой могут быть поставлены вопро сы:
1. На какой рабочей станции локальной вычислительной сети могли быть нарушены правила ее эксплуатации, в результате чего наступили вредные последствия?
2. Могли ли быть нарушены правила экс плуатации сети на рабочей станции, распо ложенной там-то?
При определении времени нарушения пра вил эксплуатации ЭВМ необходимо устано вить и зафиксировать как время нарушения конкретных правил, так и время наступле ния вредных последствий.
Нарушение правил и наступление вред ных последствий могут произойти одновре менно. Например, при отключении электро питания в результате нарушения установлен ных правил обеспечения информационной безопасности может быть мгновенно унич тожена с трудом введенная в компьютер очень важная информация, которую не ус пели записать на дискету (в случае отсутст вия запасных источников автономного пи тания, которые обычно автоматически под ключаются при отключении основного).
Но возможен также значительный разрыв во времени между моментом нарушения правил и временем наступления вредных последствий. Так, например, в определенный момент времени вносятся изменения в про грамму или базу данных в нарушение уста новленных правил и значительно позже на ступают вредные последствия этого.
Время нарушения правил обычно уста навливается по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического кон троля компьютерной системы, регистриру ющих ее пользователей и моменты подклю чения к ней абонентов, содержание журна лов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксирует ся время ее обработки. Указанные данные могут быть получены благодаря осмотру места происшествия, выемке и осмотру не-
§ 3. Расследование нарушения правил эксплуатации ЭВМ
обходимых документов. Осмотр места про исшествия и документов целесообразно про водить с участием специалиста. Время нару шения правил можно установить также пу тем допроса свидетелей из ччсла лиц, участ вующих в эксплуатации ЭВМ. Допрашивае мым могут быть заданы примерно следую щие вопросы:
Каким образом в данной компьютерной системе фиксируютсяяфакты и время откло нения от установленных правил (порядка) эксплуатации ЭВМ?
Когда могло быть нарушено определен ное правило эксплуатации ЭВМ, вследствие чего наступили вредные последствия?
При необходимости может быть назна чена судебная информационно-техническая экспертиза, перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы:
Как технически осуществляетсяяавтома тическая фиксация времени обращения пользователей к данной компьютерной сис теме или сети и всех изменений, происходя щих в их информационных массивах?
Можно ли по представленным машин ным носителям информации установить вре мя нарушения определенных правил эксплу атации ЭВМ, если да, то когда нарушение произошло?
Время наступления вредных последствий устанавливается по материалам служебного расследованияя по результатам осмотра мес та происшествия, а также путем допроса сви детелей и производства судебных экспертиз.
При осмотре места происшествия могут быть обнаружены машинные носители ин формации, на которых ранее хранились важ ные, охраняемые законом данные, которые вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или суще ственно измененными либо заблокирован ными. На них может быть зафиксировано время наступления таких последствий, ко торое можно выявить при следственном ос мотре, с помощью специалиста.
Указанные последствия часто обнаружи ваются пользователями компьютерной сис темы или сети, а также администраторами базы данных. Поэтому при допросе их в ка честве свидетелей следует выяснить, когда они впервые обнаружили отсутствие или существенное изменение той информации, которая находилась в определенной базе данных.
Время наступления вредных последствий может быть установлено в и результате про изводства информационно-технической экс пертизы, при назначении которой перед экспертами целесообразно ставить следую щие вопросы:
Как технически осуществляется автома тическая фиксация времени уничтожения или изменения базы данных либо блокиро вания отдельных файлов?
Можно ли по стертым или измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступ ления вредных последствий и если да, то когда они наступили?
Способ нарушения правил эксплуатации ЭВМ может быть как активным, так и пас сивным. Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации, а второй — в невыполнении предписанных действий.
Механизм нарушения таких правил связан с технологией обработки информации на ЭВМ. Это, например, неправильное вклю чение и выключение ЭВМ, использование посторонних дискет без предварительной проверки на наличие в ней компьютерного вируса, невыполнение требования об обяза тельном копировании информации для ее сохранения на случай уничтожения первого экземпляра.
Способ и механизм нарушения правил устанавливается путем допросов свидетелей, подозреваемых и обвиняемых (желательно с участием специалистов), проведения следст венного эксперимента, производства инфор мационно-технической экспертизы.
При допросах выясняется последователь ность той или иной операции на ЭВМ, ко торая привела к нарушению правил.
При проведении следственного экспери мента выясняется возможность наступления вредных последствий при нарушении опре деленных правил. Он проводится с исполь зованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой нарушены правила.
При назначении указанной экспертизы может быть поставлен вопрос: «Каков меха низм нарушения правил эксплуатации ЭВМ?» Характер ущерба, наносимого преступным нарушением правил эксплуатации ЭВМ, в общих чертах обозначен в диспозиции ст. 274 УК. Он может заключаться в уничтожении,
ГЛАВА 42. Расследование преступлений в сфере компьютерной информации
блокировании или модификации охраняемой законом информации.
Ущерб либо носит чисто экономический характер, либо вредит интересам государст ва вследствие утечки сведений, составляю щих государственную тайну. Разглашение или утрата такой информации может нанес ти серьезный ущерб внешней безопасности Российской Федерации, что влечет также уголовную ответственность по статьям 283 и 284 УК.
Размер ущерба устанавливается посредст вом информационно-экономической экспер тизы, перед которой целесообразно ставить вопрос: «Какова стоимость информации, уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ?»
Степень секретности информации уста навливается в соответствии с Законом «О государственной тайне».
При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что виновным может быть согласно ч. 1 ст. 274 УК лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. При этом необходимо различать лицо, имеющее доступ к ЭВМ, и лицо, име ющее доступ к компьютерной информации. Не всякое лицо, допущенное к ЭВМ, имеет доступ к компьютерной информации. Доступ к ЭВМ, системе ЭВМ или сети, как прави ло, имеют определенные лица в силу выпол няемой ими работы, связанной с примене нием средств компьютерной техники. Сре ди них и следует устанавливать нарушите лей правил. В отношении каждого из них устанавливается: фамилия, имя, отчество; занимаемая должность (относимость к категории должностных лиц, ответственных за информационную безопасность и надеж ность работы компьютерного оборудования, либо к категории непосредственно отвеччю щих за обеспечение выполненияяправил экс плуатации данной компьютерной системы или сети); образование; специальность;
стаж работы по специальности и на дан ной должности;
уровень профессиональной квалификации; конкретные обязанности по обеспечению информационной безопасности и норматив ные акты, которыми они установлены (по ложение, приказ, распоряжение, контракт)
договор, проектная документация на авто матизированную систему и пр.);
причастность к разработке, внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети;
наличие и объем доступа к базам и бан кам данных;
данные, характеризующие лицо по месту работы;
наличие домашнего компьютера и обо рудования к нему.
Все это устанавливается посредством до просов свидетелей, обвиняемого, осмотра эксплуатационных документов на данную компьютерную систему, осмотра компьюте ра, оборудования к нему, машинных носи телей информации, распечаток.
Виновность лица, совершившего преступ ное нарушение правил эксплуатации ЭВМ, устанавливается на основе анализа резуль татов всех проведенных в ходе расследова ния следственных действий. Соответствую щие правила могут быть нарушены как умы шленно, так и неосторожно. В отношении же последствий вина может быть только неосторожной. При умышленном нарушении рассматриваемых правил и наличии умысла на вредные последствия нарушения должна наступать ответственность за совокупность преступлений, например, при нарушении правил с целью повреждения компьютерно го оборудования — по ст. 274 и 167 УК.
Обстоятельства, способствовавшие соверше нию данного преступления, выявляются путем изучения как общего состояния охраны ин формационной безопасности в определенной системе или сети, так и факторов, непосред ственно обусловивших расследуемое событие.
Многие обстоятельства, способствовав шие нарушению правил эксплуатации ЭВМ, можно установить по материалам служебно го расследования.
Так, в связи с покушением на хищение более 68 млрд. рублей из Центрального бан ка РФ служебным расследованием, проведен ным до возбуждения уголовного дела, были установлены причины, способствовавшие этому преступлению, главными их которых явились нарушения правил эксплуатации компьютерной системы осуществления без наличных расчетов, среди которых фигури ровали, в частности, следующие:
ведение обработки платежных докумен тов без использования сертифицированных средств защиты;
§ 3. Расследование нарушения правил эксплуатации ЭВМ
слабые руководство и контроль за техно логическими процессами компьютерной об работки платежных документов со сторо ны Управления безопасности.
Установлению криминогенных факторов могут способствовать судебные экспертизы.
По уголовному делу о хищении валют ных средств во Внешэкономбанке, совер шенных путем использования компьютерных расчетов, комплексной судебно-бухгалтер ской и информационно-технической экспер тизой были установлены следующие наруше ния порядка эксплуатации компьютерной системы:
отсутствие организации работ по обеспе чению информационной безопасности;
нарушение технологического цикла про ектирования, разработки, испытаний и сда-
чи в эксплуатацию программного обеспече ния системы автоматизации банковских опе раций;
совмещение функций разработки и эксплу атации программного обеспечения в рамках одного структурного подразделения, что поз воляло разработчикам после сдачи компью терной системы в промышленную эксплуата цию иметь доступ к закрытой информации в нарушение установленных правил (под пред логом доводки программного обеспечения);
использование незарегистрированных в установленном порядке программ;
неприменение в технологическом процес се всех имеющихся средств и процедур ре гистрации операций по обработке компью терной информации и лиц, эксплуатирую щих ЭВМ.
22 Руководство для следователей
2. Реферат- Биография и творчество Антуана де Сент-Экзюпери.html
3. Инфекции
4. П Ауд 205 Основы философии Тимофеева Л
5. 1 Настоящие федеральные государственные требования устанавливают нормы и положения обязательные при реал
6. а under под behind за сзади позади
7. Контрольная работа по Русскому языку и культуре речиВариант 11Выполнил- студент 1 курса специальности- Юри
8. Хрупкая душа Джоди ПиколтХрупкая душа Книжный клуб ldquo;Клуб семейного досуг
9. 112012 ~ отр 30
10. Буйволы
11. Мечты Энни Маурин ЛиМечты Энни Scn OCR SpellCheck- LrisF Мечты Энни - Маурин Ли; пер
12. а Обязательства возникающие вследствие причинения вреда
13. это совокупность приемов манера поведения руководителя по отношению к подчиненным позволяющая заставить
14. новым его романом
15. Инструктажи по охране труда- виды сроки проведения
16. Введение- Термин менеджер трактуется довольно широко поэтому любое его определение будет недостаточно
17. Пять юных сыщиков и верный пес оказались в тупике И немудрено ведь из улик имеется лишь крошечная красная
18. Нелинейные мыслительные конструкции, токсичные мысли, боевые метафоры
19. Состав территория и официальные языки Европейского Союза
20. Когда меня хвалят мне кажется что я произвожу лучшее впечатление чем я есть на самом деле