АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Несанкционированный (неправомерный) доступ к компьютерной информации

Читайте также:
  1. Access.conf : файл доступа к серверу
  2. Адресна доступність
  3. БИОЛОГИЧЕСКАЯ ДОСТУПНОСТЬ ЛЕКАРСТВЕННЫХ СРЕДСТВ
  4. В соединении с расположением на высокой горе с крутыми склонами это была труднодоступная крепость.
  5. В условиях компьютерной обработки данных
  6. Виды информации.
  7. Виды компьютерной графики
  8. Влияние вспомогательных веществ и вида грануляции на биодоступность лекарственных веществ из таблеток
  9. Вопрос 4. Транспортная доступность и обеспеченность.
  10. ВРЕДНАЯ ИНФОРМАЦИЯ. КЛАССИФИКАЦИЯ ВРЕДНОЙ ИНФОРМАЦИИ.
  11. Государственная система патентной информации.
  12. Группы пользователей. Права доступа

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

– Установление факта, места и времени неправомерного доступа к информации в компьютерной системе или сети.

– Установление наличия и состояния средств защиты компьютерной информации.

– Установление способа неправомерного доступа.

– Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.

– Установление вредных последствий преступления.

– Выявление обстоятельств, способствовавших преступлению.

Например, признаки подготовки к неправомерному доступу могут указывать следующие обстоятельства:

– необычные проявления в работе компьютеров, жалобы пользователей на работу программ;

– сверхурочные работы сотрудников без известных причин;

– случаи отказов от отпусков некоторых сотрудников, обслуживающих компьютерные системы или сети;

– приобретение сотрудником для дома мощного дорогостоящего компьютера;

– случаи, когда сотрудники под разными предлогами приносили чистые носители информации.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в данную компьютерную систему или сеть) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства компьютерно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем (разработчиков систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Чем сложнее в техническом отношении способ проникновения в компьютерную систему, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется целесообразной следующая последовательность решения основных задач:

– Установление факта, способа создания, использования или распространения вредоносной программы.

– Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

– Установление вреда, причиненного данным преступлением.

– Установление обстоятельств, способствовавших совершению расследуемого преступления.

Для того, чтобы программа считалась вредоносной, нужны три условия [ w: Вредоносная программа]:

– Уничтожение информации или нарушение работы. Таким образом, взломщик защиты от копирования – не вредоносная программа.

– Несанкционированная работа. Программа форматирования диска, входящая в комплект любой ОС, не является вредоносной, так как её запуск санкционируется пользователем.

– Явная цель несанкционированно уничтожить информацию. Программы с ошибкой могут пройти как нарушение прав потребителей или как преступная халатность – но не как вредоносные.

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей.

 

Расследование нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети

[ w: Правонарушения в области технической защищённости систем]

С ростом ценности информации в информационной системе возрастает цена ошибки персонала, соответственно, должна повышаться мера ответственности за соблюдение правил работы в системе, т.е. правил эксплуатации таких систем. При серьёзных последствиях нарушение правил эксплуатации приобретает признаки уголовного преступления и так же наказывается. В УК РФ этим правонарушениям посвящена статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

В этой статье вызывает вопросы определение понятие «правила эксплуатации». При расследовании происшествий, повлекших потери информации, может оказаться сложно разделить нарушения правил эксплуатации собственно ЭВМ, системы ЭВМ или их сети от нарушений в сфере эксплуатации обеспечивающих комплексов и средств. Особенно не просто это сделать при так называемых форс-мажорных обстоятельствах: пожарах, катастрофах и т.п.

Таким образом, необходимо установить и доказать:

– факт, место и время (период времени), способ и механизм нарушения правил эксплуатации ЭВМ;

– факт нарушения правил определенным лицом;

– характер последствий нарушения правил;

– характер и размер ущерба, причиненного преступлением;

– виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;

– обстоятельства, способствовавшие совершению расследуемого преступления.

 

Помимо этого существует много особенностей, которые должны учитываться при производстве отдельных следственных действий. Приведем некоторые из них.

Если лицо, проводящее дознание, располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровывание данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике.

По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:

– не разрешать кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;

– не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;

– в случае, если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;

– самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее не известен.

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники. При этом следует принять во внимание следующие неблагоприятные факторы:

– возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;

– возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;

– возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа; постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов лицо, проводящее дознание, может придерживаться следующих рекомендаций:

– Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера – путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель – приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).

– При наличии средств защиты ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).

– Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).

– Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.

– В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.

– Следует изъять все ЭВМ, обнаруженные на объекте.

– При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и специальную аппаратуру.

– Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.

– Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции.

Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, кражи и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта.

При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй – на переднюю панель вверху с заходом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала.

При изъятии магнитных носителей машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах, исключающих разрушающее действие различных электромагнитных полей. В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт), о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети), в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами: Государственный стандарт (ГОСТ) 6104-84 от 01.07.87 г. УСД. «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения» и Постановление Госстандарта 2781 от 24.09.86 «Методические указания по внедрению и применению ГОСТ 6104-84». Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон. Практика работы многих следователей показывает, что вышеуказанные рекомендации в большинстве случаев следователями не применяются в практической деятельности по расследованию преступлений. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.006 сек.)