Основы расследования преступлений в сфере компьютерной информации

 

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть.

3. Установление времени совершения преступления.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.

7. Установление вредных последствий преступления.

8. Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства:

- появление в компьютере фальшивых данных;

- не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;

- частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети;

- осуществление сверхурочных работ без видимых на то причин;

- немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;

- неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;

- чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр;

- участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.

 

Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:

1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.

2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно-розыскные, организационные и иные мероприятия:

1) получение объяснения (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей (очевидцев);

2) вызов и инструктаж необходимых специалистов для участия в осмотре места происшествия;

3) осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, средств вычислительной техники (СВТ), документов и т. п.);

4) проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, определения рабочего места преступника, обнаружения следов и других вещественных доказательств;

5) изучение справочной литературы, ведомственных нормативных актов, положений, инструкций, правил эксплуатации конкретного СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;

6) наведение справок в контролирующих, инспектирующих и лицензирующих организациях и их структурных подразделениях ФСТЭК России, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);

7) истребование материалов контрольных проверок, инвентаризаций и ревизий (соблюдения правил обработки информации, системы защиты конфиденциальной информации, оборота электронных документов и др.) за интересующий следствие период, в случае необходимости – организовать их производство (в т.ч. повторно);

8) выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носителях информации), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;

9) допросы подозреваемых и/или свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;

10) обыски на рабочих местах и по месту проживания подозреваемых;

11) назначение экспертиз – программно-технической, радиотехнической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.

Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.

При наличии третьей следственной ситуации необходимо:

1) изучить поступившие материалы с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка их передачи в органы предварительного следствия. При необходимости следует принять меры к получению недостающей процессуальной информации;

2) решить вопрос о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях;

3) личный обыск задержанного;

4) осмотр места происшествия с участием соответствующих заранее приглашенных специалистов;

4) допрос задержанного;

5) обыски на рабочем месте и по месту проживания задержанного;

6) установление связей задержанного и лиц, причастных к совершению преступления;

7) допрос свидетелей (очевидцев);

8) допрос подозреваемого;

9) выемка и осмотр следующих вещественных доказательств и документов:

- подлинных документов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те производственные операции, в процессе которых допущены нарушения и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации);

- орудий подготовки, совершения и сокрытия преступления;

- предмета преступления;

10) допрос лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установленных нарушений;

11) истребование, а при необходимости производство выемки нормативных актов и документов, характеризующих порядок и организацию работы в данном подразделении с конфиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.;

12) допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с преступником;

13) анализ полученной информации и решение вопроса о необходимости назначения судебных экспертиз, проведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).

В очередность перечисленных следственных действий, оперативных и организационных мероприятий могут быть внесены коррективы в зависимости от изменения ситуации.