Благодарим Вас за посещение. Осмотр компьютерных средств на месте происшествия. методические рекомендации. Харьков 1999.

Академия правовых наук Украины
Научно-исследовательский институт изучения проблем преступности

Благодарим Вас за посещение [ Cкачайте файл, чтобы посмотреть ссылку ]




ОСМОТР КОМПЬЮТЕРНЫХ СРЕДСТВ НА МЕСТЕ ПРОИСШЕСТВИЯ


методические рекомендации










Харьков 1999



Методическое пособие подготовили:
проф. М.В. Салтевский
доц. М.Г. Щербаковский
мл. н.с. В.А. Губанов




Отв. редактор проф. В. С. Зеленецкий.


Рецензенты:
Зав. кафедрой «Информатики и вычислительной техники» Национальной юридической академи им. Ярослава Мудрого, к.т.н. В.Г. Иванов
Прокурор-криминалист прокуратуры Харьковской области, ст. советник юстиции В.А. Кундиус.







Одобрено на заседании Ученого Совета НИИ ИПП АПрНУ 10.03 1999г.
От редактора

Научно-техническая революция, кибернетизация и информатизация сфер социальной деятельности породили не только новые виды организованной преступности, но и средства ее совершения. Компьютеризация средств научной организации труда бухгалтера, бизнесмена, экономиста, следователя и судьи превратилась в орудие совершения наиболее опасных экономических преступлений в кредитно-банковской системе, в сфере производства, предпринимательства и товарно-денежных отношений.
На месте происшествия все чаще стали встречаться компьютерные средства, которые служили объектами преступного посягательства либо были средствами совершения преступления и сохранили следы преступной деятельности. Осмотр и фиксация таких объектов требует разработки особых тактических рекомендаций, а от субъектов проведения следственных действий - владение минимумом специальных знаний обращения с компьютером, принтером, модемом и т.п. компьютерными средствами.
Настоящее пособие излагает первоначальные простейшие тактические и организационные рекомендации о том, как организовать осмотр места происшествия, на котором имеются компьютерные средства; каков порядок действий следователя на месте происшествия; какие специалисты должны привлекаться к участию в следственном действии; какие манипуляции можно производить с компьютером при осмотре; как, где и какие следы преступной деятельности можно обнаружить; каким образом упаковать компьютерные средства и, наконец, какую назначить экспертизу и какие вопросы необходимо поставить на ее разрешение.
Пособие ориентировано на работников органов дознания и предварительного следствия. Оно будет полезно студентам юридических высших учебных заведений, изучающих курс криминалистики и информатики.
При расследовании преступлений, связанных с хищением денежных средств и материальных ценностей на предприятиях с различной формой собственности с использованием средств компьютерной техники, необходимо помнить, что некоторые преступные операции, осуществляемые с помощью компьютеров, оставляют следы на магнитных носителях информации (винчестере, дискетах, лентах). Своевременное обнаружение компьютерных средств и правильное их изъятие предопределяет эффективность последующей компьютерно-технической экспертизы, назначаемой с целью извлечения информации, хранящейся на магнитных носителях, и обнаружения, таким образом, указанных следов преступной деятельности.
Обнаружение, осмотр и изъятие компьютерных средств в ходе предварительного следствия могут осуществляться не только при следственном осмотре (ст. 190 УПК), но и в ходе проведения иных следственных действий: обыске (ст. 178 УПК), выемке (ст. 179 УПК), воспроизведении обстановки и обстоятельств события (ст. 194 УПК).
Производство следственного действия требует тщательной подготовки, обусловленной особенностями компьютерных средств.
Надо помнить, что помещение и компьютерные средства, как правило, находятся под надежной электронной охраной и один неправильный шаг может привести к непоправимым последствиям. Например, информация на винчестере может быть уничтожена автоматически при вскрытии кожуха компьютера, открытии комнаты, в которой находится компьютер, или при других обстоятельствах, определенных руководителем предприятия (фирмы). Так, на практике используются следующие способы уничтожения важной информации, хранящейся в компьютере: дистанционно (например, по локальной сети); путем нажатия на тревожную кнопку; передачей сообщения по телефону на пейджер, который находится в компьютере; использованием устройства "брелок" - передатчик для отключения охранной сигнализации автомобиля или мобильного передатчика и т.п.
Поэтому предлагаемые рекомендации предназначены следователям, дознавателям для грамотного проведения следственных действий, осмотра и изъятия компьютерных средств. С целью достижения наиболее благоприятных результатов к участию следственного действия в соответствии со ст. 128 УПК необходимо обязательно привлекать специалиста - сведующего лица в области компьютерной техники.
Подготовительная стадия включает выполнение следующих действий.
1. У руководителя подразделения, лица, отвечающего за эксплуатацию компьютерной техники, либо иного сотрудника организации, фирмы необходимо отобрать объяснение, а при возбужденном уголовном деле допросить и выяснить следующие обстоятельства:
а) заблокировано ли помещение, в котором находится компьютер, электронной системой допуска либо охранной сигнализацией и какие технические средства обеспечения используются для этого. Поскольку систему блокировки выбирает пользователь, то необходимо потребовать на нее документацию и соответствующий электронный либо физический пароль (код), а в некоторых случаях и дополнительное устройство (электронный ключ) для доступа к охраняемым объектам.
При этом следует помнить, что электронная блокировка помещения соединена с системой блокировки самоуничтожения важной информации в компьютере, которая работает от встроенного в компьютер источника питания. При нарушении установленного порядка входа в помещение срабатывает защита и компьютер уничтожает информацию на винчестере, даже если он отключен от питающей сети. Фирмы, использующие подобные системы уничтожения важной информации на компьютере, обязательно имеют надежно спрятанную ежедневную копию этой информации либо используют "зеркальный" винчестер. Содержимое последнего является точной копией основного винчестера, изменения которого отслеживаются ежесекундно. "Зеркальный" винчестер находится на значительном удалении от основного под особой охраной;
б) какие имеются срества охранной сигнализации и обеспечения безопасности компьютерной информации, где находится соответствующая документация;
в) установлены ли специальные средства в компьютере для уничтожения информации в случае попытки несанкционированного доступа к ней; выяснить место нахождения организации, установившей эту систему;
г) необходим ли пароль (дополнительное устройство - электронный ключ) для доступа к информации (отдельным задачам, областям данных и т.п.), находящейся в компьютере, либо отдельным ее частям. Правила его использования. Ведет ли нарушение этих правил к порче информации;
д) соединены (включены) ли компьютеры в локальную сеть предприятия (фирмы), объединения, какова схема локальной сета, основные правила ее безопасного использования;
2. В досудебной оперативно-розыскной работе либо в ходе предварительного следствия необходимо помнить, что при правильно организованной работе компьютерных средств в конце рабочего дня проводится обязательное резервное (на всякий случай) копирование данных с ведением полного протокола работы компьютера за день. Поэтому у лиц, ответственных за резервное копирование и хранение протоколов, выясняется нахождение соответствующих документов и копий на магнитных носителях.
3. Если компьютер подключен к сети ИНТЕРНЕТ (ИНТРАНЕТ), то необходимо изъять договора у руководителя предприятия (фирмы), где будет проводится осмотр, немедленно связаться с сетевым администратором провайдером узла, к которому подключено данное предприятие (фирма), и организовать с его помощью изъятие и сохранение электронной информации, принадлежащей либо поступившей в адрес предприятия (фирмы).
4. Изъять и изучить документацию, связанную с обеспечением безопасности компьютерной информации на интересующей следствие фирме, предприятии. Изъять протоколы и резервные копии винчестера. При наличии протоколов можно установить удаленную (стертую) информацию на винчестере (магнитном носителе).
5. Перед тем, как непосредственно приступить к осмотру следователь знакомит специалиста с объяснениями либо протоколами допросов, изъятой документацией и копиями. Составляется и обсуждается план проведения осмотра (как безопасно для сохранения компьютерной информации войти в помещение, как отключить компьютеры от сети, как прекратить их работу и т.п.).
Рабочий этап осмотра начинается с устранения блокировки входной двери. Следователь предлагает специалисту, входящему в состав следственно-оперативной группы, выполнить действия, направленные на недопущение порчи информации извне, например, по модемной, пейджерной или радиосвязи. Для этого необходимо:
а) отстранить сотрудников фирмы (предприятия) от компьютерных средств и разместить их в помещении, исключающем использование любых средств связи;
б) в процессе осмотра не принимать помощи от сотрудников фирмы (предприятия);
в) изъять у персонала пейджеры, электронные записные книжки, ноутбуки, индивидуальные устройства отключения сигнализации автомобиля и т.п.;
г) зафиксировать информацию на экранах работающих компьютеров путем фотографирования (детальная съемка) либо составления чертежа;
д) выключить питание мини-АТС и опечатать ее;
е) составить схему подключения внешних кабелей к компьютерным устройствам и пометить кабели для правильного восстановления соединения в последующем;
ж) изолировать компьютеры от всякой связи извне: модемной, компьютерной сети, радиосвязи;
з) наиболее эффективным образом отключить все компьютерные средства от источников питания (в том числе и от бесперебойных источников);
и) экранировать системный блок компьютера, помещая его в специальный футляр.
Одновременно с действиями специалиста следователь визуально фиксирует общую картину места происшествия, фотографирует общий вид обстановки (обзорная съемка), организует охрану помещения и наблюдение за перемещением лиц - сотрудников предприятия (фирмы). Фиксирует узловой съемкой место положение и внешний вид компьютерных средств.
Специалист в это время оперативно выполняет действия согласно плану, выработанному со следователем. Внешним осмотром устанавливаются следующие специфические обстоятельства, касающиеся компьютерных средств, которые заносятся в протокол:
а) состав компьютерного средства: наличие системного блока, монитора, клавиатуры, принтера, модема, бесперебойного источника питания, колонок и др. периферийных устройств;
б) по расположению устройств на передней панели системного блока определяет наличие и виды устройств хранения информации (дисководы), а также устройств считывания кредитных карт, парольных карт и т.п., особо отмечается наличие неизвестных ему устройств. По возможности определяет присутствие устройства для уничтожения информации;
в) по расположению разъемов на задней панели системного блока определяет наличие и виды встроенных устройств: сетевой платы, модема (отмечает был ли он подключен к телефонной или иной линии связи), наличие портов последовательного и параллельного каналов, были ли они подключены к внешним линиям связи.
Заключительная стадия осмотра включает составление протокола, схем, плана Отключаемые кабели подлежат маркировке с целью восстановления соединения при производстве последующей компьютерно-технической экспертизы. Экранированный системный блок компьютера, принтер, обнаруженные дискеты, магнитные ленты и другие носители компьютерной информации (например, распечатки) опечатывают и изымают, о чем делается отметка в протоколе.


Примечания
1) Все дальнейшие процедуры с опечатанным компьютером выполняет эксперт при производстве компьютерно-технической экспертизы.
2) Компьютерно-техническую экспертизу проводит научно-исследовательская лаборатория НИИ ИПП АПрН Украины на коммерческой основе.
ПРИЛОЖЕНИЕ 1.

ОБЪЕКТЫ ОПИСАНИЯ В ПРОТОКОЛЕ
ОСМОТРА МЕСТА ПРОИСШЕСТВИЯ

При составлении протокола следственного действия подлежат описанию:
а) Системный блок:
- размеры блока;
- наименование фирмы-изготовителя, модель, марка;
- идентификационный номер;
б) Принтер:
- размеры;
- наименование фирмы-изготовителя, модель, марка;
- идентификационный номер;
в) Модем:
- размеры;
- наименование фирмы-изготовителя, модель, марка;
- идентификационный номер;
г) Гибкие магнитные диски (дискеты):
- размеры;
- тип;
- наименование фирмы-изготовителя;
- фирменные и рукописные надписи на наклейке (если имеется).

ПРИЛОЖЕНИЕ 2.

СПИСОК ВОПРОСОВ, РАЗРЕШАЕМЫХ
КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗОЙ

1. Исправен ли компьютер и его комплектующие? Если неисправен, то каковы возможные причины неисправности компьютера и периферийных устройств? Возможно ли восстановление работоспособности компьютера и периферийных устройств?
2. Каково содержание и назначение информации, имеющейся на внутренних (винчестер) и внешних магнитных носителях (дискеты, магнитные ленты и т.п.) информации?
3. Имеются ли в компьютере пароли, скрытые файлы, программы защиты, предназначенные для предотвращения несанкционированного доступа к информации, и каков механизм их действия?
4. Имеется ли в компьютере скрытая информация? Каково ее содержание?
5. Имеются ли на магнитных носителях уничтоженные файлы? Возможно ли восстановление этих файлов? Каково содержание информации, находящейся в этих файлах?
6. Каково содержание информации, находящейся в пейджере, электронных записных книжках, ноутбуках и т.п.?
7. Имеется ли в пейджере, электронных записных книжках и др. скрытая информация и если да, то каково ее содержание?
8. Произведена ли запись информации на магнитных носителях с помощью представленного компьютера?

Примечание: документы, выполненные на принтере, исследуются комплексной компьютерно-технической и технико-криминалистической экспертизой документов.
ЛИТЕРАТУРА

1. Колмаков В.П. Следственный осмотр. – М., 1969.
2. Крылов В.В. Информационные компьютерные преступления. – М., 1997.
3. Осмотр места происшествия. – М, 1960.
4. Осмотр места происшествия. // Справочник следователя. – М., 1982.
5. Осмотр места происшествия. // Справочное пособие под ред. Кравченко Ю.Ф. – К., 1993.
6. Скоромников К.С., Венецкий А.П. Обнаружение, фиксация, изъятие следов на месте происшествия. // Учебное пособие. – М., 1971.
7. Следственный осмотр. // Учебное пособие под ред. Кулагина Н.И. –Волгоград, 1983.
8. Справочник следователя. // Практическое пособие под ред. Н.А. Селиванова – Вып. 1. Практическая криминалистика. – М., 1990.
9. Фиксация результатов осмотра места происшествия. // Справочное пособие для следователей. – К., 1981.
10. Филиппов А.Г. Осмотр места происшествия. – М., 1976.
11. Шепiтько В.Ю. Тактика огляду мiсця подii. // Конспект лекцii. – Харкiв, 1994.







Подписано к печати 07.07.99г. Формат 60x90/16 Гарнитура Times
Печать офсетная. Бумага офсетная. Усл.печ.лист. 0.5.
Заказ № 318 от 07.07.99r. Тираж 1000 экз.
Цена договорная.


Отпечатано и малой типографии ООО «ЛТД Знание»
Украина, г. Харьков, ул. Петровского, 24.
13PAGE 15


13PAGE 141115




Й^^ Заголовок 1h Заголовок 2f Заголовок 3h Заголовок 4Ў: 15` Основной текстB Нижний колонтитул, Номер страницы~ Основной текст с отступом‚ Основной текст с отступом 2z z

Приложенные файлы

  • doc 3310613
    Размер файла: 77 kB Загрузок: 0

Добавить комментарий