Серьезный ущерб компьютерной системе или сети может нанести нарушение правил их эксплуатации: что обычно приводит к сбоям в обработке информации и в конечном счете дестабилизации деятельности соответствующего предприятия или учреждения?
При расследовании по делам данной категории необходимо прежде всего доказать факт нарушения определенных правил: повлекший уничтожение: блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред? Кроме того: необходимо установить и доказать:
место и время "период времени" нарушения правил эксплуатации ЭВМ*
характер компьютерной информации: подвергшейся уничтожению: блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети*
способ и механизм нарушения правил*
характер и размер ущерба: причиненного преступлением*
факт нарушения правил определенным лицом*
виновность лица: допустившего преступное нарушение правил эксплуатации ЭВМ*
обстоятельства: способствовавшие совершению расследуемого преступления?
При установлении факта преступного нарушения правил эксплуатации ЭВМ необходимо тщательно изучить нормативные документы: предусматривающие правила эксплуатации данной компьютерной системы или сети: их характер и назначение: имея в виду: что соответствующие правила направлены на обеспечение информационной безопасности компьютерных систем и сетей? Они могут определять порядок создания: сбора: обработки: накопления: хранения: поиска: распространения и представления потребителю компьютерной информации: ее защиту?
Ст? 274 УК предусматривает охраняемую законом информацию: то есть главным образом информацию ограниченного доступа: которая по условиям ее правового режима использования подразделяется на информацию: отнесенную к государственной тайне: и конфиденциальную? Именно эти два вида информации: циркулирующие в компьютерных системах и сетях: нуждаются в особых средствах защиты?
Порядок накопления: обработки: защиты и предоставления пользователю информации с ограниченным доступом определяется органами государственной власти либо ее собственником? Такие правила существуют: например: в государственных архивах: органах государственной исполнительной власти: в информационных системах которых функционирует конфиденциальная информация или составляющая государственную тайну?
Степень секретности и конфиденциальности информации имеет существенное значение для определения размера ущерба: причиненного преступным нарушением правил эксплуатации ЭВМ?
Факт нарушения правил эксплуатации ЭВМ становится известным в первую очередь обычно владельцам и пользователям компьютерной системы или сети вследствие обнаружения отсутствия необходимой информации или ее существенного изменения: негативно отразившегося на деятельности предприятия: организации: учреждения?
Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного "административного" расследования: если таковое имело место? Оно проводится обычно службой информационной безопасности объекта: на котором имел место соответствующий инцидент? В этих материалах можно найти ответы на многие из вопросов: перечисленных выше?
По материалам служебного расследования могут быть установлены также место: время преступного нарушения правил и другие обстоятельства: подлежащие доказыванию? Если служебное расследование не проводилось: подлежащие доказыванию обстоятельства устанавливаются лишь следственным путем?
При осмотре автоматизированных рабочих мест пользователя ЭВМ: системы ЭВМ или их сети можно установить конкретное место нарушения правил эксплуатации ЭВМ?
Необходимо различать место нарушения правил и место наступления вредных последствий? Нередко они не совпадают: особенно при нарушении правил эксплуатации компьютерных сетей: которые: как известно: представляют собой объединение ряда персональных компьютеров: расположенных в различных местах: подчас на значительных расстояниях друг от друга?
При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить: где расположена обычная станция: эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности? В первую очередь необходимо определить места: где по схеме развертывания сети расположены рабочие станции: имеющие собственные дисководы: так как на них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерной сети? Это: например: возможность для нарушителя копирования данных с файлового сервера на свою дискету или использования дискеты с различными программами: в том числе с компьютерными вирусами? Такие действия: ставящие под угрозу целостность информации: содержащейся и центральных файловых серверах: исключены на бездисковых рабочих станциях? Рекомендуется производить следственный осмотр учетных данных: в которых могут быть отражены сведения о расположении конкретной рабочей станции: использующей файловый сервер?
Кроме того: могут быть допрошены в качестве свидетелей администратор сети и специалисты: обслуживающие файловый сервер: в котором произошло уничтожение: блокирование или модификация компьютерной информации?
Им могут быть заданы примерно следующие вопросы %
На какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети: где она расположена;
Могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на рабочей станции: расположенной там-то;
Если правила нарушаются непосредственно на файловом сервере: то место нарушения этих правил может совпадать с местом наступления вредных последствий?
Место нарушения правил может быть установлено и по результатам информационно-технической экспертизы: перед экспертами которой могут быть поставлены вопросы %
1? На какой рабочей станции локальной вычислительной сети могли быть нарушены правила ее эксплуатации: в результате чего наступили вредные последствия;
2? Могли ли быть нарушены правила эксплуатации сети на рабочей станции: расположенной там-то;
При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать как время нарушения конкретных правил: так и время наступления вредных последствий?
Нарушение правил и наступление вредных последствий могут произойти одновременно? Например: при отключении электропитания в результате нарушения установленных правил обеспечения информационной безопасности может быть мгновенно уничтожена с трудом введенная в компьютер очень важная информация: которую не успели записать на дискету (в случае отсутствия запасных источников автономного питания: которые обычно автоматически подключаются при отключении основного)?
Но возможен также значительный разрыв во времени между моментом нарушения правил и временем наступления вредных последствий? Так: например: в определенный момент времени вносятся изменения в программу или базу данных в нарушение установленных правил и значительно позже наступают вредные последствия этого?
Время нарушения правил обычно устанавливается по учетным данным: которые фиксируются в процессе эксплуатации ЭВМ? К ним относятся сведения о результатах применения средств автоматического контроля компьютерной системы: регистрирующих ее пользователей и моменты подключения к ней абонентов: содержание журналов учета сбойных ситуаций: передачи смен операторами ЭВМ: распечатки выходной информации: где: как правило: фиксируется время ее обработки? Указанные данные могут быть получены благодаря осмотру места происшествия: выемке и осмотру необходимых документов? Осмотр места происшествия и документов целесообразно проводить с участием специалиста? Время нарушения правил можно установить также путем допроса свидетелей из числа лиц: участвующих в эксплуатации ЭВМ? Допрашиваемым могут быть заданы примерно следующие вопросы %
Каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил (порядка)эксплуатации ЭВМ;
Когда могло быть нарушено определенное правило эксплуатации ЭВМ: вследствие чего наступили вредные последствия;
При необходимости может быть назначена судебная информационно-техническая экспертиза: перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы %
Как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети и всех изменений: происходящих в их информационных массивах;
Можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ: если да: то когда нарушение произошло;
Время наступления вредных последствий устанавливается по материалам служебного расследования: по результатам осмотра места происшествия: а также путем допроса свидетелей и производства судебных экспертиз?
При осмотре места происшествия могут быть обнаружены машинные носители информации: на которых ранее хранились важные: охраняемые законом данные: которые вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными? На них может быть зафиксировано время наступления таких последствий: которое можно выявить при следственном осмотре: с помощью специалиста?
Указанные последствия часто обнаруживаются пользователями компьютерной системы или сети: а также администраторами базы данных? Поэтому при допросе их в качестве свидетелей следует выяснить: когда они впервые обнаружили отсутствие или существенное изменение той информации: которая находилась в определенной базе данных?
Время наступления вредных последствий может быть установлено в и результате производства информационно-технической экспертизы: при назначении которой перед экспертами целесообразно ставить следующие вопросы %
Как технически осуществляется автоматическая фиксация времени уничтожения или изменения базы данных либо блокирования отдельных файлов;
Можно ли по стертым или измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступления вредных последствий и если да: то когда они наступили;
Способ нарушения правил эксплуатации ЭВМ может быть как активным: так и пассивным? Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации: а второй - в невыполнении предписанных действий?
Механизм нарушения таких правил связан с технологией обработки информации на ЭВМ? Это: например: неправильное включение и выключение ЭВМ: использование посторонних дискет без предварительной проверки на наличие в ней компьютерного вируса: невыполнение требования об обязательном копировании информации для ее сохранения на случай уничтожения первого экземпляра?
Способ и механизм нарушения правил устанавливается путем допросов свидетелей: подозреваемых и обвиняемых (желательно с участием специалистов): проведения следственного эксперимента: производства информационно-технической экспертизы?
При допросах выясняется последовательность той или иной операции на ЭВМ: которая привела к нарушению правил?
Характер ущерба: наносимого преступным нарушением правил эксплуатации ЭВМ: в общих чертах обозначен в диспозиции ст? 274 УК? Он может заключаться в уничтожении: блокировании или модификации охраняемой законом информации? Ущерб либо носит чисто экономический характер: либо вредит интересам государства вследствие утечки сведений: составляющих государственную тайну? Разглашение или утрата такой информации может нанести серьезный ущерб внешней безопасности Российской Федерации: что влечет также уголовную ответственность по статьям 283 и 284 УК?
Размер ущерба устанавливается посредством информационно-экономической экспертизы: перед которой целесообразно ставить вопрос: "Какова стоимость информации: уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ"?
Степень секретности информации устанавливается в соответствии с Законом "О государственной тайне"?
При установлении лица: допустившего преступное нарушение правил эксплуатации ЭВМ: следует иметь в виду: что виновным может быть согласно ч? 1 ст? 274 УК лицо: имеющее доступ к ЭВМ: системе ЭВМ или их сети? При этом необходимо различать лицо: имеющее доступ к ЭВМ: и лицо: имеющее доступ к компьютерной информации? кое лицо: допущенное к ЭВМ: имеет доступ к компьютерной информации? Доступ к ЭВМ: системе ЭВМ или сети: как правило: имеют определенные лица в силу выполняемой ими работы: связанной с применением средств компьютерной техники? Среди них и следует устанавливать нарушителей правил? В отношении каждого из них устанавливается:
фамилия: имя: отчество*
занимаемая должность (относимость к категории должностных лиц: ответственных за информационную безопасность и надежность работы компьютерного оборудования: либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети)*
образование*
специальность*
стаж работы по специальности и на данной должности*
уровень профессиональной квалификации*
конкретные обязанности по обеспечению информационной безопасности и нормативные акты: которыми они установлены (договор: проектная документация на автоматизированную систему и пр?)*
причастность к разработке: внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети*
наличие и объем доступа к базам и банкам данных*
данные: характеризующие лицо по месту работы*
наличие домашнего компьютера и оборудования к нему?
Все это устанавливается посредством допросов свидетелей: обвиняемого: осмотра эксплуатационных документов на данную компьютерную систему: осмотра компьютера: оборудования к нему: машинных носителей информации: распечаток?
Виновность лица: совершившего преступное нарушение правил эксплуатации ЭВМ: устанавливается на основе анализа результатов всех проведенных в ходе расследования следственных действий? Соответствующие правила могут быть нарушены как умышленно: так и неосторожно? В отношении же последствий вина может быть только неосторожной? При умышленном нарушении рассматриваемых правил и наличии умысла на вредные последствия нарушения должна наступать ответственность за совокупность преступлений: например: при нарушении правил с целью повреждения компьютерного оборудования - по ст? 274 и 167 УК?
Обстоятельство: способствовавшие совершению данного преступления: выявляются путем изучения как общего состояния охраны информационной безопасности в определенной системе или сети: так и факторов: непосредственно обусловивших расследуемое событие?
Многие обстоятельства: способствовавшие нарушению правил эксплуатации ЭВМ: но установить по материалам служебного расследования?
Так: в связи с покушением на хищение более 68 млрд? рублей из Центрального банка РФ служебным расследованием: проведенным до возбуждения уголовного дела: были установлены причины: способствовавшие этому преступлению: главными их которых явились нарушения правил эксплуатации компьютерной системы осуществления безналичных расчетов: среди которых фигурировали: в частности: следующие %
ведение обработки платежных документов без использования сертифицированных средств защиты*
слабые руководство и контроль за технологическими процессами компьютерной обработки платежных документов со стороны Управления безопасности??
Установлению криминогенных факторов могут способствовать судебные экспертизы?
По уголовному делу о хищении валютных средств во Внешэкономбанке: совершенных путем использования компьютерных расчетов: комплексной судебно-бухгалтерской и информационно-технической экспертизой были установлены следующие нарушения порядка эксплуатации компьютерной системы %
отсутствие организации работ по обеспечению информационной безопасности*
нарушение технологического цикла проектирования: разработки: испытаний и сдачи в эксплуатацию программного обеспечения системы автоматизации банковских операций*
совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения: что позволяло разработчикам после сдачи компьютерной системы в промышленную эксплуатацию иметь доступ к закрытой информации в нарушение установленных правил (под предлогом доводки программного обеспечения)*
использование незарегистрированных в установленном порядке программ*
неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций по обработке компьютерной информации и лиц: эксплуатирующих ЭВМ?