Криминалистика (Изд. 2-е, переработанное и дополненное) (под ред. Н.П. Яблокова)

Первичное обнаружение признаков (рис. 31) неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и ее пользователями. Косвенными признаками постороннего вторжения в ЭВМ, вызывающими подозрения и находящими отражение в показаниях очевидцев, являются:

а) изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе: переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т.п.;

б) изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т.п.); появление новых и удаление прежних сетевых устройств и др.;

в) необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы; замедление реакции машины на ввод с клавиатуры; замедление работы машины, с внешними устройствами; неадекватные реакции ЭВМ на команды пользователя; появление на экране нестандартных символов и т.п.

Рис. 31. Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику

Признаки групп а) – б) могут свидетельствовать о имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации. Признаки группы в) кроме того могут являться свидетельством о появлении в ЭВМ ВП.

Наряду с показаниями очевидцев большое значение имеют результаты осмотра ЭВМ и машинных носителей компьютерной информации, в ходе которого фиксируются следы нарушения целостности (конфиденциальности) информационной системы и ее элементов. Анализ первичных данных о расследуемом событии позволяет конкретизировать характер преступления и определить дальнейшие направления расследования и розыскных мероприятий.

Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе, которые в отдельных случаях могут выступать в качестве специалистов при производстве следственных действий.

Рис. 32. Виды следов преступной деятельности вокруг ЭВМ и на машинных носителях, принадлежащих преступнику

Если преступник задержан на месте совершения преступления или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следственные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, машинных носителей (рис. 32), допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств.

Следует принять меры к розыску виновного и поиску его рабочего места, откудн осуществлялось вторжение в информационную систему. При этом осуществляется поиск: