АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Первоначальные действия в случаях обнаружения признаков преступлений в сфере компьютерной информации

Читайте также:
  1. I .Характер действия лекарственных веществ 25 мин.
  2. I. Выражение обязательности действия, совета
  3. I. Действия водителей на месте ДТП
  4. I. Назначение, классификация, устройство и принцип действия машины.
  5. II. Классификация С/А в зависимости от способности всасываться в кровь и длительности действия.
  6. II. Полномочия органов внутренних дел в сфере лицензирования негосударственной (частной) охранной и сыскной деятельности
  7. II. ПРЕСТУПЛЕНИЯ В СФЕРЕ ЭКОНОМИКИ
  8. III.1. Гендерные отношения в сфере спорта высших достижений.
  9. III.3.6. Порядок взаимодействия Правительства России с Федеральным Собранием
  10. III.3.7. Порядок взаимодействия Правительства России с судебными органами
  11. III.4.3.Порядок взаимодействия федеральных органов исполнительной власти
  12. IV. Срок действия, порядок заключения и изменения договора обязательного страхования

Для преступлений в сфере компьютерной информации характерны следующие типовые ситуации первоначального этапа расследования.

 

Типовые ситуации Общие версии (т.е. версии о преступлении в целом) Частные версии (т.е. версии о каких-либо элементах преступления) Начальная задача расследования: определить свидетельскую базу и круг лиц, причастных к этому деянию + выявить размер ущерба.  
  Собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфиденциальности информации в системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы.   Преступление действительно имело место при тех обстоятельства, которые вытекают из первичных материалов расследования. Версии о личности преступника Обнаружение, фиксация, закрепление и изъятие следов криминальной деятельности.  
  Собственник самостоятельно выявил названные нарушения в системе, но не смог обнаружить виновное лицо и заявил об этом в органы.   Преступления не было вовсе, а заявитель добросовестно заблуждается. Версии о местах внедрения в компьютерные системы Выявление данных о способе нарушения целостности и конфиденциальности информации
  Данные о нарушении целостности и (или) конфиденциальности информации в системе и виновном лице непосредственно обнаружены органом дознания (например, по другому делу).   Ложное заявление о преступлении. Версии об обстоятельствах, при которых было совершено преступление. Выявление данных о порядке регламентации собственником работы информационной системы
  Данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и виновном лице стали общеизвестны.     Версии о размерах ущерба, причиненного преступлением. Получение данных о круге лиц, имеющих возможность работать в информационной системе, в которой совершены действия.

 

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и её пользователями.

Каковы признаки вторжения в ЭВМ, вызывающие подозрение и необходимые для отражения в ходе осмотра?

1. Изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе:

- Переименование каталогов и файлов,

- Изменение размеров и содержимого файлов,

- Изменения стандартных реквизитов файлов,

- Появление новых каталогов и файлов.

2. Изменения в заданной ранее конфигурации компьютера, в том числе:

- Изменение картинки и цвета экрана при включении,

- Изменение порядка взаимодействия с периферийными устройствами, например, с принтером, Ethernet-адаптером.

- Появление новых и удаление прежних устройств.

3. Необычные проявления в работе ЭВМ:

- Замедленная или неправильная загрузка операционной системы.

- Замедление реакции машины на ввод с клавиатуры.

- Замедление работы машины с внешними устройствами.

- Неадекватные реакции ЭВМ на команды пользователя, появление на экране нестандартных символов.

 

Признаки 1 и 2 могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил её эксплуатации (ст. 272 – 273). Признак 3 помимо этого может свидетельствовать и о появлении в ЭВМ вредоносной программы.

Следовательно, наибольшее значение на данном этапе имеют результаты осмотра ЭВМ и машинных носителей, в ходе которого фиксируются следы нарушения целостности и (или) конфиденциальности информационной системы и её элементов. Анализ первичных данных о расследуемом событии позволяет конкретизировать механизм совершенного преступления и определить дальнейшие направления расследования и розыскных мероприятий. Важную роль играют действия собственника информационной системы и его сотрудников, которые в отдельных случаях могут выступать в качестве специалистов при производстве следственных действий.

 

ЕСЛИ ПОДОЗРЕВАЕМЫЙ УЖЕ ИМЕЕТСЯ ЕСЛИ ПОДОЗРЕВАЕМЫЙ НЕ УСТАНОВЛЕН
Если подозреваемый уже имеется, то задача следствия заключается в сборе и процессуальной фиксации доказательств: - нарушения целостности информации в системе, - размера ущерба - причинной связи между действиями, образующими способ нарушения и наступившими последствиями, - способа нарушения целостности информации в системе и характера совершенных виновным действий.   Задача следствия заключается в сборе и процессуальной фиксации доказательств: - Нарушения целостности информации в системе. - Размера ущерба.  
Если преступник задержан на месте совершения преступления, то действия следующие: - Личный обыск задержанного. - Допрос задержанного. - Обыск по месту жительства задержанного. Типичные следственные действия на данной стадии: - Осмотр и фиксация состояния ЭВМ и машинных носителей. При этом важна выемка (с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ, отражающих последствия вторжения. - Фиксация состояния рабочего места заподозренного, откуда он совершил вторжение, и где могут сохраниться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура (например, интернет-кафе). - Допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в т.ч. должностных лиц собственника системы. Полученные доказательства могут обеспечить основания для принятия решения о привлечении лица в качестве подозреваемого или сразу в качестве обвиняемого.   Принимаются меры к розыску виновного и к поиску его рабочего места, откуда было совершено преступление. Осуществляется поиск: 1. Места входа в информационную систему и способа входа (с помощью должностных лиц информационной системы). 2. Путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы (с должностными лицами собственника информационной системы). Розыск виновного может осуществляться с привлечением ресурсов Интерпола. Для запроса в Интерпол необходимы точные сведения о: - потерпевшей стороне, - способе совершения преступления, - адресах (в том числе сетевых), с которых производилась передача информации, - адресе, на который производилась передача информации, - дате и времени начала, продолжительности и окончании противоправных действий.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)