Головна Криміналістика Криміналістична методика розслідування Розслідування порушення правил експлуатації ЕОМ, їх системи або мережі

Розслідування порушення правил експлуатації ЕОМ, їх системи або мережі

Великих збитків ЕОМ, їх системи або мережі може завдати порушення правил експлуатації, зазвичай призводить до збоїв в обробці інформації, і в кінцевому рахунку дестабілізуючий діяльність відповідного підприємства, установи чи організації.

При розслідуванні справ даної категорії необхідно насамперед довести факт порушення експлуатаційних правил, що призвела до знищення, блокування чи внесення змін до комп'ютерної інформації з заподіянням істотної шкоди. Окрім того, слід встановити і довести:

а) місце та часу (період часі) порушення правил експлуатації ЕОМ, їх системи або мережі;

б) характер комп'ютерної інформації, що зазнала внаслідок цього знищення, блокування чи модифікації;

в) спосіб і механізм порушення правил;

г) характер та розмір заподіяної шкоди;

д) факт порушення правил певною особою і винність останнього.

Доводячи факт злочинної порушення правил експлуатації ЕОМ, необхідно ретельно вивчити пакет документів про експлуатацію даної комп'ютерної системи або мережі, забезпечення їх інформаційної безпеки. Правила повинні визначити порядок одержання, обробки, нагромадження, збереження, пошуку, розповсюдження та представлення споживачеві комп'ютерної інформації, а також її захисту від неправомірних посягань. Правила можуть бути загальними і особливими встановленими власником або власником інформаційних ресурсів, систем, технологій та засобів їх забезпечення.

Стаття 274 КК РФ оберігає інформацію, що має обмежений доступ. Така інформація щодо умов правового режиму використання поділяється на віднесену до державної таємниці і конфіденційну. Саме ці дві категорії відомостей, що циркулюють в комп'ютерних системах і мережах, потребують особливого захисту від протиправних посягань.

Порядок накопичення, обробки, надання користувачу і захисту інформації з обмеженим доступом визначається органами державної влади або власником таких відомостей. Відповідні правила встановлені у органах державної виконавчої влади, в державних архівах, інформаційних системах, що опрацьовують конфіденційну інформацію і ту, що становить державну таємницю. Для визначення розміру шкоди, заподіяної злочинним порушенням правил експлуатації ЕОМ, їх системи або мережі, ступінь секретності і конфіденційності інформації має вирішальне значення.

Такі стають відомими факти в першу чергу власникам і користувачам системи або мережі ЕОМ, що коли вони виявляють відсутність необхідної інформації чи її істотні зміни. Згідно з Федеральним законом від 20 лютого 1995 N 24-ФЗ "Про інформацію, інформатизацію та захист інформації" власник документів, їх масиву або інформаційної системи зобов'язаний сповіщати їх власника про всі факти порушення встановленого режиму захисту інформації.

Для конкретизації правила, порушення якого привело до шкідливих наслідків, необхідно допитати всіх осіб, які працювали на ЕОМ і обслуговували комп'ютерне обладнання в зацікавив наслідок період часу. До участі в допиті доцільно залучити фахівця.

Чи підлягають з'ясуванню такі питання:

1) коло обов'язків допитуваного при роботі з ЕОМ або її обладнанням, якими правилами вони встановлені;

2) яка конкретно робота на ЕОМ і у якому порядку виконувалася, коли сталося знищення, блокування, зміна комп'ютерної інформації або настали інші шкідливі наслідки;

3) які неполадки в комп'ютерній системі виявилися під час роботи на ЕОМ ", чи не було при цьому будь-яких збоїв, чреватих заподіянням істотної шкоди;

4) які конкретно правила роботи з комп'ютером були у даній ситуації порушені;

5) яким чином повинні фіксуватися факти знищення, блокування чи модифікації комп'ютерної інформації у разі порушення певних правил експлуатації ЕОМ;

6) чи пов'язані знищення, блокування, модифікація інформацією із порушенням правил експлуатації ЕОМ і яких саме, або вони стали наслідком непередбачених обставин.

Факт порушення правил експлуатації ЕОМ може бути встановлено за матеріалів службового розслідування. Зазвичай воно проводиться відділом інформаційної безпеки підприємства, на якій стався уголовнонаказуемий інцидент. У цих матеріалах можна знайти попередні відповіді на багато з вищенаведених питань. За цими матеріалами можуть бути встановлені також місце і час злочинного порушення правил, інші обставини, що підлягають доказуванню.

Конкретне місце порушення правил експлуатації ЕОМ можна визначити при огляді автоматизованих робочих місць користувачів комп'ютерної системи або мережі всіх підключених до них ЕОМ. Огляд повинен проводитися за участю спеціаліста, який допомагає з'ясувати дислокацію комп'ютера, робота на якому призвела до шкідливих наслідків через злочинного порушення правил його експлуатації.

Необхідно розрізняти місце порушення правил і місце настання шкідливих наслідків. Вони не завжди збігаються, особливо коли порушуються правила експлуатації комп'ютерних мереж, у яких персональні ЕОМ часом розташовані на досить значних відстанях один від одного.

При розслідуванні даної категорії справ дуже важливо встановити, де розташована станція, експлуатація якої велася з грубими відступами від вимог інформаційної безпеки. У першу чергу варто визначити місця, де за схемою розгортання мережі дислоковані робочі станції, які мають власні дисководи, тому що саме там є можливість для злочинних порушень правил експлуатації комп'ютерної мережі. Це, наприклад, можливість скопіювати дані з файлового сервера на свою дискету або використовувати дискети з різними програмами, у тому числі зараженими комп'ютерними вірусами. Такі дії, що ставлять під реальну загрозу цілісність інформації, що міститься в центральних файлових серверах, на бездискових робочих станціях повинні бути виключені.

Рекомендується проводити слідчий огляд облікових даних, в яких можуть бути відображені відомості про розташування конкретної робочої станції, що використовує файловий сервер. Крім того, необхідно допитати як свідків адміністратора мережі і спеціалістів, які обслуговують файловий сервер, в якому відбулося знищення, блокування чи модифікація комп'ютерної інформації.

Чи підлягають з'ясуванню такі питання:

1) на який робочої станції могли бути порушені правила експлуатації комп'ютерної мережі, де вона розташована;

2) могли бути порушені правила на конкретній робочій станції і які саме.

Якщо правила порушені безпосередньо на файловому сервері, то місця порушення та настання шкідливих наслідків збігаються.

Місце порушення правил може встановити та інформаційно-технічна експертиза, якщо перед нею поставлено питання: на якій конкретно робочої станції локальної обчислювальної мережі були порушені правила її експлуатації, що спричинило настання шкідливих наслідків?

При визначенні часу порушення правил експлуатації ЕОМ необхідно встановити і зафіксувати ще й час настання шкідливих наслідків. Порушення правил і настання таких наслідків можуть відбутися одночасно. Так, при відключенні електроживлення внаслідок порушення встановлених правил забезпечення інформаційної безпеки може бути миттєво знищена введена в ЕОМ інформація, яку не встигли записати на дискету. Це неминуче відбувається у разі відсутності джерел автономного електроживлення, автоматично вводяться в дію при відключенні основного.

Можливий і великий часовий інтервал між моментом порушення правил і моментом настання шкідливих наслідків. Наприклад, у певний проміжок часу зловмисник на порушення встановлених правил змінює програму чи базу даних, а шкідливі наслідки наступають значно пізніше.

Час порушення правил звичайно конкретизується за обліковими даними, які фіксуються в процесі експлуатації ЕОМ. До них відносяться дані про результати застосування засобів автоматичного контролю комп'ютерної системи, що реєструють її користувачів і моменти підключення до неї абонентів, зміст журналів обліку збійних ситуацій, передачі змін операторами ЕОМ, роздруківки вихідної інформації, де, як правило, фіксується час її обробки.

Ці дані можуть бути отримані завдяки огляду місця події, виїмки й огляду необхідних документів. Огляд місця події і документів проводиться з обов'язковою участю фахівця.

Час порушення правил можна встановити також шляхом допитів свідків з числа осіб, що беруть участь в експлуатації ЕОМ. Допитуваним необхідно задати наступні питання:

1) яким чином в даній комп'ютерній системі фіксуються факти і час відхилення від встановлених правил експлуатації ЕОМ;

2) коли могло бути порушене певне правило експлуатації комп'ютера, що спричинило шкідливі наслідки.

При необхідності може бути призначена судова інформаційно-технічна експертиза, перед якою для встановлення часу злочинного порушення правил треба сформулювати наступні питання:

1) як технічно здійснюється автоматична фіксація часу звернення користувачів до даної комп'ютерної системи або мережі та всіх змін, що відбуваються в інформаційних масивах;

2) чи можна за представленим машинним носіям інформації встановити час порушення певних правил експлуатації ЕОМ, якщо так, то коли порушення сталося.

Час настання шкідливих наслідків встановлюється за матеріалами службового розслідування і результатами огляду місця події, а також шляхом допиту свідків та виробництва судових експертиз.

При огляді місця події можуть бути виявлені машинні носії інформації, на яких раніше зберігалися важливі, що захищаються законом дані. Останні внаслідок порушення правил експлуатації ЕОМ виявилися знищеними або істотно зміненими або заблокованими. На носіях може бути зафіксовано час настання таких наслідків, яке з'ясовується при слідчому огляді за допомогою фахівця.

Значення огляду засобів комп'ютерної техніки обумовлено тим, що сліди злочинних маніпуляцій залишаються на вінчестері, дискетах та інших носіях комп'ютерної інформації. Своєчасне виявлення комп'ютерних засобів та їх грамотне вилучення збільшують доказательственной потенціал комп'ютерно-технічної експертизи, яка призначається для витягання інформації з магнітних носіїв з метою виявлення слідів вчинення та приховування злочину.

Виявлення, огляд і вилучення комп'ютерних засобів зазвичай здійснюються при слідчому огляді, виробництво якого вимагає ретельної підготовки у зв'язку зі специфікою охоронних заходів. Так, приміщення з комп'ютерами, як правило, забезпечується електронною охороною, тому будь-які неправильні дії слідчого чи інших учасників огляду можуть призвести до небажаних наслідків. Наприклад, інформація на вінчестері може бути автоматично знищена при розтині кожуха комп'ютера, відкриття кабінету, в якому він стоїть, або за інших обставин, передбачених службою охорони фірми: дистанційно по локальній мережі, натисканням на тривожну кнопку, передачею повідомлення на пейджер, з'єднаний з ЕОМ .

Тому при підготовці до огляду необхідно з'ясувати:

1) за допомогою яких технічних засобів заблоковане приміщення, в якому встановлено комп'ютер, який пароль (код), а іноді і електронний ключ доступу до даного об'єкта. Потрібно пам'ятати, що електронне блокування приміщення нерідко сполучена із системою самознищення важливою комп'ютерної інформації, яка діє від автономного джерела живлення. Тоді при порушенні встановленого порядку доступу в приміщення спрацьовує захист комп'ютер стирає інформацію на вінчестері, навіть якщо він відключений від електромережі. Власники подібних систем обов'язково мають надійно заховану копію цієї інформації, яка знаходиться на значній відстані під особливою охороною;

2) які засоби охорони і забезпечення безпеки комп'ютерної інформації задіяні, чи встановлена спеціальна система її знищення, які кошти і порядок доступу до інформації, чи включений комп'ютер в локальну мережу, які її схема, правила забезпечення безпеки її використання.

Якщо комп'ютер підключений до інтернету, необхідно зв'язатися з мережевим провайдером вузла і організувати з його допомогою збереження і вилучення комп'ютерної інформації, що належить або що надійшла на адресу даної фірми.

Шкідливі наслідки часто виявляються користувачами комп'ютерної системи або мережі, а також адміністраторами бази даних. Тому при їх допиті в якості свідків слід уточнити, коли вони вперше виявили відсутність або істотна зміна інформації, що знаходилася в певній базі даних.

Час настання шкідливих наслідків можна встановити і в результаті виробництва інформаційно-технічної експертизи, на вирішення якої ставляться наступні питання:

1) як технічно здійснюється автоматична фіксація часу знищення або зміни бази даних або блокування окремих файлів;

2) чи можна за стертим або зміненим внаслідок порушення правил експлуатації ЕОМ баз даних встановити час настання шкідливих наслідків, і якщо так, то коли вони настали.

Спосіб порушення правил експлуатації ЕОМ може бути як активним, так і пасивним. Перший виражається у самовільному виконанні непередбачених операцій при комп'ютерній обробці інформації, а друга у невиконанні запропонованих дій.

Механізм порушення таких правил пов'язаний з технологією обробки інформації на комп'ютері. Це, наприклад, неправильне включення і виключення ЕОМ, використання сторонніх дискет без попередньої перевірки на комп'ютерний вірус чи обов'язкової копіювання інформації на випадок, якщо оригінал буде знищений.

Спосіб і механізм порушення правил з'ясовуються шляхом допитів свідків, підозрюваних і звинувачених, що проводяться за участю фахівців; слідчого експерименту; судової інформаційно-технічної експертизи. При її призначенні може бути поставлене питання: "Який механізм порушення правил експлуатації ЕОМ?"

При допитах з'ясовується послідовність тих чи інших операцій на комп'ютері, які призвели до порушення правил. Під час слідчого експерименту перевіряється можливість настання шкідливих наслідків при порушенні певних правил. Він проводиться з використанням копій досліджуваної інформації і по можливості на тій же ЕОМ, при роботі на якій правила експлуатації були порушені.

Характер шкоди, заподіяної злочинним порушенням правил експлуатації ЕОМ, полягає у знищенні, блокування чи модифікації що охороняється законом інформації. Збиток або носить суто економічний характер, або шкодить інтересам держави внаслідок витоку відомостей, що становлять державну таємницю. Розголошення або втрата такої інформації може створити серйозну загрозу зовнішньої безпеки Російської Федерації, що тягне за собою ще й кримінальну відповідальність за ст. 283 і 284 КК РФ. Ступінь секретності інформації визначається відповідно до Закону від 21 липня 1993 "Про державну таємницю".

Розмір збитків встановлюється за допомогою інформаційно-економічної експертизи, що вирішує питання: "Яка вартість інформації, знищеної (або зміненої) внаслідок порушення правил експлуатації ЕОМ?"

При встановленні особи, яка допустила злочинне порушення правил експлуатації ЕОМ, слід мати на увазі, що винним за ч. 1 ст. 274. КК РФ може бути особа, яка має доступ до ЕОМ, їх системи або мережі. При цьому необхідно пам'ятати, що не будь-яку особу, допущену до ЕОМ, має доступ до всієї комп'ютерної інформації. До ЕОМ, їх системи або мережі, як правило, мають доступ певні особи в силу виконуваної ними роботи, пов'язаної із застосуванням засобів комп'ютерної техніки. Серед них і слід встановлювати порушників правил.

Щодо кожного з них встановлюється:

а) прізвище, ім'я, по батькові;

б) посада (відноситься до категорії посадових осіб, відповідальних за інформаційну безпеку і надійність роботи комп'ютерного обладнання, або до категорії безпосередньо відповідають за забезпечення виконання правил експлуатації даної комп'ютерної системи або мережі);

в) освіта, спеціальність, стаж роботи за фахом і на даній посаді, рівень професійної кваліфікації;

г) конкретні обов'язки щодо забезпечення інформаційної безпеки та нормативні акти, якими вони встановлені (положення, наказ, розпорядження, контракт, договір, проектна документація на автоматизовану систему і пр.);

д) участь у розробці, впровадженні в дослідну та промислову експлуатацію даної комп'ютерної системи або мережі;

е) наявність і обсяг доступу до баз і банків даних;

ж) характеристика особи за місцем роботи;

з) наявність особистого комп'ютера і обладнання до нього.

Все це з'ясовується за допомогою допитів свідків, підозрюваного і обвинуваченого, огляду та вивчення експлуатаційних документів на цю комп'ютерну систему, огляду комп'ютера, обладнання до нього, машинних носіїв інформації і роздруківок.

Винність особи, що вчинила злочинне порушення правил експлуатації ЕОМ, встановлюється за результатами всіх проведених слідчих дій. Відповідні правила можуть бути порушені як навмисне, так і з необережності, в той час як щодо наслідків вина може бути тільки необережної. За наявності умислу на спричинення шкідливих наслідків повинна наступати відповідальність за сукупністю скоєних злочинів.

Обставини, які сприяли вчиненню даного злочину, виявляються шляхом аналізу як загального стану охорони інформаційної безпеки в певній системі або мережі, так і факторів, що безпосередньо обумовили розслідується подія. Багато обставини, що сприяли порушення правил експлуатації ЕОМ, встановлюються за матеріалами службового розслідування, які слідчим повинні бути ретельно вивчені і при необхідності долучені до що розслідується кримінальній справі.