Установление обстоятельств: способствовавших совершению преступления?
Полную безопасность компьютерных систем обеспечить нельзя: но снизить
опасность вредоносных программ для ЭВМ до определенного уровня возможно: в
частности: путем устранения обстоятельств: способствующих созданию:
использованию и распространению вредоносных компьютерных программ? К числу
таких обстоятельств относятся в основном следующие: отказ от использования антивирусных средств* использование случайного несертифицированного программного
обеспечения* использование нелегальных копий программ для ЭВМ* отсутствие резервных копий программ и системных файлов* отсутствие учета и контроля за доступом к компьютерным системам* использование компьютеров не по назначению для компьютерных игр:
обучения посторонних: написания программ лицами: в обязанности которых это
не входит* игнорирование требования относительно проверки каждой приобретенной
программы с целью возможного обнаружения признаков ее заражения
компьютерным вирусом* незащищенность загрузочных дискет от нежелательных записей посредством
специальной прорези* нерегулярность записей программ: устанавливаемых в компьютерную
систему?
Устанавливаются перечисленные обстоятельства по результатам тщательного анализа всех материалов уголовного дела? Основным средством их установления является судебная информационно-технологическая экспертиза: при назначении которой необходимо ставить вопрос: (Что способствовало совершению преступления: связанного с созданием: использованием и распространением вредоносных программ для ЭВМ;(?
3 Расследование нарушения правил эксплуатации ЭВМ: системы ЭВМ или их сети
Серьезный ущерб компьютерной системе или сети может нанести нарушение правил их эксплуатации: что обычно приводит к сбоям в обработке информации и в конечном счете дестабилизации деятельности соответствующего предприятия или учреждения?
При расследовании по делам данной категории необходимо прежде всего
доказать факт нарушения определенных правил: повлекший уничтожение:
блокирование или модификацию охраняемой законом компьютерной информации и
причинивший существенный вред? Кроме того: необходимо установить и
доказать: место и время (период времени( нарушения правил эксплуатации ЭВМ* характер компьютерной информации: подвергшейся уничтожению:
блокированию или модификации вследствие нарушения правил эксплуатации
компьютерной системы или сети* способ и механизм нарушения правил* характер и размер ущерба: причиненного преступлением* факт нарушения правил определенным лицом* виновность лица: допустившего преступное нарушение правил эксплуатации
ЭВМ* обстоятельства: способствовавшие совершению расследуемого
преступления?
При установлении факта преступного нарушения правил эксплуатации ЭВМ необходимо тщательно изучить нормативные документы: предусматривающие правила эксплуатации данной компьютерной системы или сети: их характер и назначение: имея в виду: что соответствующие правила направлены на обеспечение информационной безопасности компьютерных систем и сетей? Они могут определять порядок создания: сбора: обработки: накопления: хранения: поиска: распространения и представления потребителю компьютерной информации: ее защиту?
Ст? 274 УК предусматривает охраняемую законом информацию: то есть главным образом информацию ограниченного доступа: которая по условиям ее правового режима использования подразделяется на информацию: отнесенную к государственной тайне: и конфиденциальную? Именно эти два вида информации: циркулирующие в компьютерных системах и сетях: нуждаются в особых средствах защиты?
Порядок накопления: обработки: защиты и предоставления пользователю информации с ограниченным доступом определяется органами государственной власти либо ее собственником? Такие правила существуют: например: в государственных архивах: органах государственной исполнительной власти: в информационных системах которых функционирует конфиденциальная информация или составляющая государственную тайну?
Степень секретности и конфиденциальности информации имеет существенное значение для определения размера ущерба: причиненного преступным нарушением правил эксплуатации ЭВМ?
Факт нарушения правил эксплуатации ЭВМ становится известным в первую очередь обычно владельцам и пользователям компьютерной системы или сети вследствие обнаружения отсутствия необходимой информации или ее существенного изменения: негативно отразившегося на деятельности предприятия: организации: учреждения?
Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного (административного( расследования: если таковое имело место? Оно проводится обычно службой информационной безопасности объекта: на котором имел место соответствующий инцидент? В этих материалах можно найти ответы на многие из вопросов: перечисленных выше?
По материалам служебного расследования могут быть установлены также место: время преступного нарушения правил и другие обстоятельства: подлежащие доказыванию? Если служебное расследование не проводилось: подлежащие доказыванию обстоятельства устанавливаются лишь следственным путем?
При осмотре автоматизированных рабочих мест пользователя ЭВМ: системы
ЭВМ или их сети можно установить конкретное место нарушения правил
эксплуатации ЭВМ?
Необходимо различать место нарушения правил и место наступления вредных последствий? Нередко они не совпадают: особенно при нарушении правил эксплуатации компьютерных сетей: которые: как известно: представляют собой объединение ряда персональных компьютеров: расположенных в различных местах: подчас на значительных расстояниях друг от друга?
При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить: где расположена обычная станция: эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности? В первую очередь необходимо определить места: где по схеме развертывания сети расположены рабочие станции: имеющие собственные дисководы: так как на них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерной сети? Это: например: возможность для нарушителя копирования данных с файлового сервера на свою дискету или использования дискеты с различными программами: в том числе с компьютерными вирусами? Такие действия: ставящие под угрозу целостность информации: содержащейся и центральных файловых серверах: исключены на бездисковых рабочих станциях? Рекомендуется производить следственный осмотр учетных данных: в которых могут быть отражены сведения о расположении конкретной рабочей станции: использующей файловый сервер?
Кроме того: могут быть допрошены в качестве свидетелей администратор сети и специалисты: обслуживающие файловый сервер: в котором произошло уничтожение: блокирование или модификация компьютерной информации?
Им могут быть заданы примерно следующие вопросы %
На какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети: где она расположена;
Могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на рабочей станции: расположенной там-то;
Если правила нарушаются непосредственно на файловом сервере: то место нарушения этих правил может совпадать с местом наступления вредных последствий?
Место нарушения правил может быть установлено и по результатам информационно-технической экспертизы: перед экспертами которой могут быть поставлены вопросы %
1? На какой рабочей станции локальной вычислительной сети могли быть нарушены правила ее эксплуатации: в результате чего наступили вредные последствия;
2? Могли ли быть нарушены правила эксплуатации сети на рабочей станции: расположенной там-то;
При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать как время нарушения конкретных правил: так и время наступления вредных последствий?
Нарушение правил и наступление вредных последствий могут произойти одновременно? Например: при отключении электропитания в результате нарушения установленных правил обеспечения информационной безопасности может быть мгновенно уничтожена с трудом введенная в компьютер очень важная информация: которую не успели записать на дискету (в случае отсутствия запасных источников автономного питания: которые обычно автоматически подключаются при отключении основного(?
Но возможен также значительный разрыв во времени между моментом нарушения правил и временем наступления вредных последствий? Так: например: в определенный момент времени вносятся изменения в программу или базу данных в нарушение установленных правил и значительно позже наступают вредные последствия этого?
Время нарушения правил обычно устанавливается по учетным данным:
которые фиксируются в процессе эксплуатации ЭВМ? К ним относятся сведения о
результатах применения средств автоматического контроля компьютерной
системы: регистрирующих ее пользователей и моменты подключения к ней
абонентов: содержание журналов учета сбойных ситуаций: передачи смен
операторами ЭВМ: распечатки выходной информации: где: как правило:
фиксируется время ее обработки? Указанные данные могут быть получены
благодаря осмотру места происшествия: выемке и осмотру необходимых
документов? Осмотр места происшествия и документов целесообразно проводить
с участием специалиста? Время нарушения правил можно установить также путем
допроса свидетелей из числа лиц: участвующих в эксплуатации ЭВМ?
Допрашиваемым могут быть заданы примерно следующие вопросы %
Каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил (порядка(эксплуатации ЭВМ;
Когда могло быть нарушено определенное правило эксплуатации ЭВМ: вследствие чего наступили вредные последствия;
При необходимости может быть назначена судебная информационно- техническая экспертиза: перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы %
Как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети и всех изменений: происходящих в их информационных массивах;
Можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ: если да: то когда нарушение произошло;
Время наступления вредных последствий устанавливается по материалам служебного расследования: по результатам осмотра места происшествия: а также путем допроса свидетелей и производства судебных экспертиз?
При осмотре места происшествия могут быть обнаружены машинные носители информации: на которых ранее хранились важные: охраняемые законом данные: которые вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными? На них может быть зафиксировано время наступления таких последствий: которое можно выявить при следственном осмотре: с помощью специалиста?
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
