В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
1? Установление факта неправомерного доступа к информации в компьютерной системе или сети?
2? Установление места несанкционированного проникновения в компьютерную систему или сеть?
3? Установление времени совершения преступления?
4? Установление надежности средств защиты компьютерной информации?
5? Установление способа несанкционированного доступа?
6? Установление лиц: совершивших неправомерный доступ: их виновности и мотивов преступления?
7? Установление вредных последствий преступления?
8? Выявление обстоятельств: способствовавших преступлению?
Установление факта неправомерного доступа к информации в компьютерной системе или сети? Такой факт : как правило: первыми обнаруживают пользователи автоматизированной информационной системы: ставшие жертвой данного правонарушения?
Факты неправомерного доступа к компьютерной информации иногда устанавливаются в результате оперативно-розыскной деятельности органов внутренних дел: ФСБ: налоговой полиции? Установить их можно в ходе прокурорских проверок: при проведении ревизий: судебных экспертиз: следственных действий по уголовным делам? Рекомендуется в необходимых случаях при рассмотрении материалов: связанных с обработкой информации в компьютерной системе или сети: установление фактов неправомерного доступа к ним поручать ревизорам и оперативно-розыскным аппаратам?'
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства:
появление в компьютере фальшивых данных*
необновление в течение длительного времени в автоматизированной информационной системе кодов: паролей и других защитных средств*
частые сбои в процессе работы компьютеров*
участившиеся жалобы клиентов компьютерной системы Или сети*
осуществление сверхурочных работ без видимых на то причин*
немотивированные отказы некоторых сотрудников: обслуживающих компьютерные системы или сети: от отпусков*
неожиданное приобретение сотрудником домашнего дорогостоящего компьютера*
чистые дискеты либо диски: принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр*
участившиеся случаи перезаписи отдельных данных без серьезных на то причин*
чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток "листингов": выходящих из принтеров?
Особо следует выделить признаки неправомерного доступа: относящиеся к отступлению от установленного порядка работы с документами: а именно:
а) нарушение установленных правил оформления документов: в том числе изготовления машинограмм*
6) повторный ввод одной и той же информации в ЭВМ*
в) наличие в пачке лишних документов: подготовленных для обработки на компьютере*
г) отсутствие документов: послуживших основанием для записи во вторичной документации*
д) преднамеренная утрата: уничтожение первичных документов и машинных носителей информации: внесение искажений в данные их регистрации?
Для фактов неправомерного доступа к компьютерной информации характерны также следующие признаки: относящиеся к внесению ложных сведений в документы:
а) противоречия "логические или арифметические" между реквизитами того или иного бухгалтерского документа*
б) несоответствие данных: содержащихся в первичных документах: данным машинограмм*
в) противоречия между одноименными бухгалтерскими документами: относящимися к разным периодам времени*
г) несоответствие учетных данных взаимосвязанных показателей в различных машинограммах*
д) несоответствие между данными бухгалтерского и другого вида учета?
Следует иметь в виду: что указанные признаки могут быть следствием не только злоупотребления: но и других причин: в частности случайных ошибок и сбоев компьютерной техники?
Установление места несанкционированного доступа в компьютерную систему или сеть? Решение данной задачи вызывает определенные трудности: так как таких мест может быть несколько?
Чаше обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств?
При обнаружении факта неправомерного доступа к информации в компьютерной системе или сети следует выявить все места: где расположены компьютеры: имеющие единую телекоммуникационную связь?
Проще рассматриваемая задача решается в случае несанкционированного доступа к отдельному компьютеру: находящемуся в одном помещении? Однако при этом необходимо учитывать: что информация на машинных носителях может находиться в другом помещении: которое тоже надо устанавливать?
Труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть)? К установлению такого места необходимо привлекать специалистов?
Установлению подлежит и место хранения информации на машинных носителях либо в виде распечаток: добытых в результате неправомерного доступа к компьютерной системе или сети?
Установление времени несанкционированного доступа? С помощью программ общесистемного назначения в работающем компьютере обычно устанавливается текущее время: что позволяет по соответствующей команде вывести на экран дисплея информацию о дне недели: выполнения той или иной операции: часе и минуте? Если эти данные введены: то при входе в систему или сеть (в том числе и несанкционированном) время работы на компьютере любого пользователя и время конкретной операции автоматически фиксируются в его оперативной памяти и отражаются: как правило: в выходных данных (на дисплее: листинге или на дискете)?
С учетом этого время несанкционированного доступа можно установить путем следственного осмотра компьютера либо распечаток или дискет? Его целесообразно производить с участием специалиста: так как неопытный следователь может случайно уничтожить информацию: находящуюся в оперативной памяти компьютера или на дискете?
Время неправомерного доступа к компьютерной информации можно установить также путем допроса свидетелей из числа сотрудников данной компьютерной системы: выясняя у них: в какое время каждый из них работал на компьютере: если оно не было зафиксировано автоматически? [9]
Установление способа несанкционированного доступа? В ходе установления способа несанкционированного доступа к компьютерной информации следствие может вестись по трем не взаимоисключающим друг друга вариантам:
Допросом свидетелей из числа лиц: обслуживающих компьютер: компьютерную систему или сеть (системный администратор: операторы): разработчиков системы и: как правило: поставщиков технического и программного обеспечения? В данном случае необходимо выяснить: каким образом преступник мог преодолеть средства защиты данной системы: в частности: узнать идентификационный номер законного пользователя* код* пароль для доступа к ней* получить сведения о других средствах защиты?
Производством судебной информационно-технической экспертизы? В ходе экспертизы выясняются возможные способы проникнуть в систему при той технической и программной конфигурации системы в которую проник преступник: с учетом возможного использования последним специальных технических и программных средств? При производстве судебной: информационно-технической экспертизы целесообразно поставить эксперту следующий вопрос: "Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему "
Проведением следственного эксперимента: в ходе которого проверяется возможность несанкционированного доступа к информации одним из предполагаемых способов?
Установление надежности средств защиты компьютерной информации? Прежде всего необходимо установить: предусмотрены ли в данной компьютерной системе меры защиты от несанкционированного доступа к определенным файлам? Это можно выяснить путем допросов ее разработчиков и пользователей: а также изучением проектной документации: соответствующих инструкций по эксплуатации данной системы? При ознакомлении с инструкциями особое внимание должно уделяться разделам о мерах защиты информации: порядке допуска пользователей к определенным данным: разграничении их полномочий: организации контроля за доступом: конкретных методах защиты информации (аппаратных: программных: криптографических: организационных и других)?
Надо иметь в виду: что в целях обеспечения высокой степени надежности информационных систем: в которых обрабатывается документированная информация с ограниченным доступом: осуществляется комплекс мер: направленных на их безопасность?
В частности: законодательством предусмотрены обязательная сертификация средств защиты этих систем и обязательное лицензирование всех видов деятельности в области проектирования и производства таких средств? Разработчики: как правило: гарантируют надежность своих средств при условии: если будут соблюдены установленные требования к ним? Поэтому в процессе расследования требуется установить: во-первых: имеется ли лицензия на производство средств защиты информации от несанкционированного доступа: используемых в данной компьютерной системе: и: во-вторых: соответствуют ли их параметры выданному сертификату? Для проверки такого соответствия может быть назначена информационно-техническая экспертиза с целью решения вопроса % «Соответствуют ли средства защиты информации от несанкционированного допуска: используемые в данной компьютерной системе: выданному сертификату;»
Вина за выявленные при этом отклонения: ставшие причиной несанкционированного доступа к компьютерной информации: возлагается на пользователя системы: а не на разработчика средств защиты?