В эвм и на машинных носителях

Изменения в ОЗУ

Документированная

информация о прохождении

сигнала через оператора

Документы

Компьютерная информация

Специализированная конфигурация оборудо­вания

Документы, регистрирующие соединения абонентов

Базы данных, фиксирующие соединения

Специальная конфигу­рация программ работы в сетях

Протоколы взаи­морасчетов между операторами

Следы в файловой системе

Коммутаторы,

осуществляющие

Копии чужих файлов

и регистрирующие

соединения

Специализирован­ное «хакерское» программное обеспечение

Платежные доку­менты об оплате трафика между операторами

Прочие

Результаты наблюдения при прове­дении оперативно-розыскных мер и предварительного следствия

Пеленгация источника сигналов

Описания програм­много обеспечения

Инструкции по поль­зованию ЭВМ и ее устройствами

Тексты программ

Устройства доступа в телефонные сети и сети ЭВМ

-Э

Прослушивание телефонных

Записные книжки с именами других хакеров

и иных переговоров

Нестандартные пери­ферийные устройства

Прохождение

криминального

сигнала через

Счета телефонных компаний

оператора

§ 1. Расследование факто в неправомерного доступа к компьютерной информации 717

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее устано­вить путем производства судебной информационно-техниче­ской экспертизы. Перед экспертом ставится вопрос: «Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использо­вания компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и про­граммных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты ком­пьютерной системы одним из предполагаемых способов. Одно­временно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распе­чатки вследствие ошибочных, неумышленных действий опера­тора либо случайного технического сбоя в электронном обору­довании.

Выясняя надежность средств зашиты компьютерной ин­формации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанк­ционированного доступа, в том числе к определенным фай­лам. Это возможно в ходе допросов разработчиков и пользо­вателей системы, а также при изучении проектной докумен­тации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, органи­зации контроля за доступом. Важно разобраться в аппарат­ных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспе­чения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограни­ченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного до­ступа.

Глава 38. Методика расследования преступлений в сфере компьютерной информации

Так, законодательством предусмотрена обязательная серти­фикация средств защиты систем и сетей ЭВМ, а кроме того — обязательное лицензирование всех видов деятельности в облас­ти проектирования и производства названных средств. Поэто­му в процессе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации, задей­ствованных в данной компьютерной системе, от несанкциони­рованного доступа и 2) соответствуют ли их параметры выдан­ному сертификату. Ответ на последний вопрос может дать ин­формационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, от­ветственность за выявленные отклонения, позволившие не­санкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие до­статочно высокой квалификацией. Поэтому поиск подозре­ваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите ин­формации, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специа­листов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанк­ционированном доступе к компьютерной информации способ­ствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы паль­цев, записи на внешней упаковке дискет и др. Для их исследо­вания назначаются криминалистические экспертизы — дакти­лоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежа­щий режим доступа к компьютерной системе или сети, следует

§ 1. Расследование фак тов неправомерного доступа к компьютерной информации 719

прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо до­просить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с ули­чающими записями, дискет и дисков с информацией, могу­щей иметь значение для дела, особенно если это коды, паро­ли, идентификационные номера пользователей данной ком­пьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К произ­водству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинте­ресованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществив­ших несанкционированный доступ к компьютерной информа­ции, можно лишь по результатам всего расследования. Ре­шающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и инфор­мационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютер­ной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютер­ными программами, а также информацией путем изъятия ма­шинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информа­ции, выведение из строя компьютерного оборудования, внед-

720____________ Глава 38. Методика расследования
_______________ преступлений в сфере компьютерной информации

§ 2. Расследование создания, использования и распространения вредоносных программ для ЭВМ

 

рение в компьютерную систему вредоносного вируса, ввод за­ведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционирован­ного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавли­ваются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы.

Факты неправомерного завладения компьютерными про­граммами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет неза­конное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях (например, для сбо­ра компрометирующих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).

Похищенные программы и базы данных могут быть обна­ружены в ходе обысков у обвиняемых, а также при оператив­но-розыскных мероприятиях. Если незаконно полученная ин­формация конфиденциальна или имеет категорию государ­ственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирова­ния информации, выведения из строя компьютерного оборудо­вания, «закачки» в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умыш­ленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкцио­нированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная вы­года. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информа­ции с анализом баз и банков данных. Помогут здесь и допросы

технического персонала, владельцев информационных ресур­сов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалис­тов в области информатизации, средств вычислительной тех­ники и связи, экономики, финансовой деятельности и товаро­ведения.

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облег­чили несанкционированный доступ к компьютерной инфор­мации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной ин­формации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации про­граммного обеспечения в рамках одного структурного подраз­деления;

3) неприменение в технологическом процессе всех имею­щихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

§ 2. Расследование создания, использования и распространения вредоносных программ для ЭВМ

К вредоносным программам для ЭВМ прежде всего отно­сятся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в чужие информационные ресурсы, раз­множаться и при определенных условиях повреждать ком­пьютерные системы, хранящуюся в них информацию и про­граммное обеспечение. Свое название они получили потому, что многие их свойства аналогичны свойствам природных вирусов. Компьютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них сравнительно безопасны, поскольку не уничтожают инфор­мацию, однако большинство приносит существенный вред.

722 Глава 38. Методика расследования

преступлений в сфере компьютерной информации

Имеются также иные вредоносные программы, облег­чающие доступ к информационным ресурсам, используемые обычно для хищений денежных средств в компьютерных бан­ковских системах и совершения других злоупотреблений в сфере компьютерной информации.

Непосредственный объект данного преступления — это об­щественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержа­ния. Часть 1 ст. 273 УК РФ предусматривает совершение одно­го из следующих действий:

а) создание программы или внесение в нее изменений,
заведомо влекущих несанкционированное уничтожение, бло­
кирование, модификацию либо копирование информации,
нарушение работы ЭВМ, их системы или сети;

б) использование или распространение подобных программ
либо машинных носителей с ними. Изменением программы
является преобразование алгоритма, описанного в ней на спе­
циальном языке, а распространением — расширение сферы ее
применения.

Часть 2 этой статьи предусматривает более опасное преступ­ление — любое из вышеуказанных действий, повлекшее тяж­кие последствия. Причем возможны две формы вины: умысел по отношению к действиям и неосторожность относительно общественно опасных последствий. Этим преступлениям свой­ственна высокая латентность; особенно трудно выявлять созда­телей вредоносных программ.

Основные задачи расследования решаются в такой последо­вательности:

1) установление факта и способа создания, использования и
распространения вредоносной программы для ЭВМ;

2) установление лиц, виновных в названных деяниях,
а также вреда, причиненного ими.

Установление факта и способа создания, использования и рас­пространения вредоносной программы для ЭВМ. Такая программа обнаруживается, как правило, когда уже проявились вредные ' последствия ее действия. Однако она может быть выявлена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит использова­ние чужих дискет или дисков.

Разработка вредоносных программ для ЭВМ обычно осу­ществляется одним из двух способов.

§ 2. Расследование создания, использования ш

и распространения вредоносных программ для ЭВМ

1. Вредоносная программа разрабатывается прямо на од­ном из рабочих мест компьютерной системы, что обычно маскируется под правомерную повседневную работу. В силу своих служебных обязанностей разработчик имеет доступ к системе и обрабатываемой в йей информации, в том числе нередко к кодам и паролям. Сокрытие преступного характера своих действий разработчик осуществляет путем удаления компрометирующих данных или хранения их на собственных дискетах.

2. Программа создается вне сферы обслуживания компью­терной системы, для воздействия на которую она ориентиро­вана. Злоумышленнику необходимы сведения о функциони­рующей в системе информации, способах доступа к ней, мето­дах ее защиты. Для получения этих данных он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.

Иногда вредоносная программа создается путем изменения действующей программы. Например, на Волжском автозаводе оказалась умышленно расстроенной работа трех линий главно­го сборочного конвейера, управляемого компьютером. Про­изошло это по вине инженера-программиста, который из низ­менных побуждений за пять месяцев до этого ввел в одну из взаимодействующих программ управления накопителем меха­нических узлов заведомо неправильную последовательность команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен крупный материаль­ный ущерб, а кроме того, вследствие сверхнормативного про­стоя главного сборочного конвейера не было собрано около 500 автомобилей «Жигули».

На факт создания вредоносной программы могут косвенно указывать следующие обстоятельства:

а) повышенный интерес посторонних лиц к алгоритмам
функционирования программ, работе системы блокировки и
защиты, входной и выходной информации;

б) внезапный интерес к программированию лиц, в круг
обязанностей которых оно не входит. Эти обстоятельства вы­
являются как в ходе оперативно-розыскных мероприятий, так
и при производстве следственных действий, в частности до­
просов пользователей компьютерной системы, в которой обна­
ружились признаки действия вредоносной программы.

Глава 38. Методика расследования преступлений в сфере компьютерной информации

О создании вредоносной программы свидетельствуют фак­ты ее использования и распространения, особенно данные, позволяющие заподозрить конкретное лицо в такой противо­правной деятельности. При этом необходимы своевременные и тщательно произведенные обыски в местах работы и жи­тельства подозреваемого, а также там, откуда он мог наладить доступ к компьютерной системе. К обыску целесообразно привлечь специалиста-программиста, который поможет обна­ружить все относящееся к созданию вредоносной программы для ЭВМ.

Факты использования и распространения вредоносной про­граммы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно устано­вить при осмотре следующих документов:

а) журналов учета рабочего времени, доступа к вычисли­
тельной технике, ее сбоев и ремонта, регистрации пользовате­
лей компьютерной системы или сети, проведения регламент­
ных работ;

б) лицензионных соглашений и договоров на пользование
программными продуктами и их разработку;

в) книг паролей; приказов и других документов, регламен­
тирующих работу учреждения и использование компьютерной
информации. Эти документы нередко ведутся в электронной
форме, поэтому к ознакомлению с ними необходимо привле­
кать специалиста. При изучении журналов, книг, соглашений
и другой документации следователь может выяснить закон­
ность использования того или иного программного обеспече­
ния, систему организации работы учреждения и обработки в
нем информации, доступа к ней и компьютерной технике, круг
лиц, имевших на это право.

Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному воздействию, ее наз­начение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.

В ходе допросов свидетелей нужно иметь в виду, что прак­тикуется множество способов использования и распростране­ния вредоносных программ. Так, нередки случаи запуска про­граммы с другого компьютера или с дискеты, купленной, одолженной, полученной в порядке обмена, либо с электрон-

§ 2. Расследование создания, использования 725
________________ и распространения вредоносных программ для ЭВМ _________

ной «доски объявлений». Распространение вируса, вызы­вающего уничтожение и блокирование информации, сбои в работе ЭВМ или их системы, может происходить по компью­терной сети вследствие использования нелицензионной и не-сертифицированной программы (чаще игровой), купленной у случайного лица, а также скопированной у кого-либо.

Доказыванию фактов использования и распространения вредоносных программ способствует своевременное производ­ство информационно-технологической экспертизы, посред­ством которой можно определить, какие изменения и когда внесены в исследуемые программы, а также последствия ис­пользования и распространения вредоносных программ. Экс­пертиза может также установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блокировки, использо­вание специальных программных средств).

При установлении лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ, необходимо учитывать, что такую программу может создать человек, об­ладающий специальными познаниями. Легче всего создать вирус опытному программисту, который, как правило, не участвует в их распространении. Зачастую вредоносные про­граммы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мо­тивами корысти или мести, а иногда и потребностью в ком­пьютерном вандализме. Некоторые делают это, стремясь «расколоть» систему защиты информации, официально счи­тающуюся неуязвимой.

Выделяются следующие группы преступников:

а) хакеры — лица, рассматривающие меры защиты инфор­
мационных систем как личный вызов и взламывающие их с
целью получения контроля за информацией независимо от ее

ценности;

б) шпионы — лица, взламывающие защиту информацион­
ных систем для получения информации, которую можно ис­
пользовать в целях политического влияния;

в) террористы — лица, взламывающие информационные
системы для создания эффекта опасности, который можно
использовать и в целях политического влияния;

726 Глава 38. Методика расследования

преступлений в сфере компьютерной информации

г) корпоративные налетчики — служащие компании, взла­
мывающие компьютеры конкурентов для экономического
влияния;

д) воры, вторгающиеся в информационные системы для по­
лучения личной выгоды;

е) вандалы — лица, взламывающие системы с целью их раз­
рушения;

ж) нарушители правил пользования ЭВМ, совершающие про­
тивоправные действия из-за недостаточного знания техники и
порядка пользования информационными ресурсами;

з) лица с психическими аномалиями, страдающие новым видом
заболеваний — информационными болезнями или компьютер­
ными фобиями.

Использовать и распространять вредоносные программы в принципе может любой пользователь персонального компью­тера. Однако наибольшую потенциальную опасность представ­ляют опытные компьютерные взломщики, получившие назва­ние хакеров, а также высококвалифицированные специалисты в области электронных технологий.

Преступления этой категории иногда бывают групповыми: хакер-профессионал создает вредоносные программы, а его сообщники помогают ему в материально-техническом и ин­формационном отношениях. Мировой практике борьбы с ком­пьютерными преступлениями известны случаи связей между хакерами и организованными преступными сообществами. Последние выступают в роли заказчиков компьютерных махи­наций, обеспечивают хакеров необходимой техникой, а те ор­ганизуют хищения денежных средств из банковских компью­терных систем.

Поиск лица, причастного к использованию вредоносных ирограмм для ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить вы­явление и проверку лиц, ранее привлекавшихся к ответствен­ности за аналогичные преступления. В некоторых случаях злоумышленника можно идентифицировать по следам рук, оставленным на участках дисководов, клавишах, других частях компьютера.

Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих мате­риалов. Кроме того, если вредоносная программа является

§ 2. Расследование создания, использования 727

и распространения вредоносных программ для ЭВМ

компьютерным вирусом, промедление может расширить мас­штабы его распространенности и причиненный ущерб.

Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию программ данного класса на конкретном языке программиро­вания, знание алгоритмов их работы, но особенно тех, которые подверглись неправомерному воздействию.

Допрашивая подозреваемого, необходимо выяснить, где он живет, работает или учится, его профессию, взаимоотно­шения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремон­та и эксплуатации компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и при­способлениями он располагает, где и на какие средства их приобрел, где хранил и т.д.

Допрос обвиняемого преследует цель выяснить обстоятель­ства подготовки и совершения преступления, алгоритм функ­ционирования вредоносной программы и то, на какую инфор­мацию и как она воздействует.

Для проверки возможности создания вредоносной програм­мы определенным лицом, признавшимся в этом, проводится следственный эксперимент с использованием соответствующих средств компьютерной техники.

При установлении вреда, причиненного преступлением, сле­дует помнить, что вредоносная программа в виде вируса мо­жет практически мгновенно размножиться в большом коли­честве экземпляров и очень быстро заразить многие компью­терные системы и сети. Это реально, ибо компьютерные

вирусы могут:

а) заполнить весь диск или всю свободную память ЭВМ

своими копиями;

б) поменять местами файлы, т.е. смешать их так, что отыс­
кать их в компьютере будет практически невозможно;

в) испортить таблицу размещения файлов;

г) отформатировать диск или дискету, уничтожив все ранее
записанное на соответствующем носителе;

д) вывести на дисплей то или иное нежелательное сообще­
ние;

е) перезагрузить ЭВМ, т.е. осуществить произвольный пере­
запуск;

ж) замедлить ее работу;

Глава 38. Методика расследования преступлений в сфере компьютерной информации

з) изменить таблицу определения кодов, сделав невозмож­ным пользование клавиатурой;

и) изменить содержание программ и файлов, что повлечет ошибки в сложных расчетах;

к) раскрыть информацию с ограниченным доступом;

л) привести компьютер в полную негодность.

Размер причиненного ущерба устанавливается экспертным путем в рамках судебно-бухгалтерской и судебно-экономиче-ской экспертиз, проводимых в комплексе с информационно-технологической и информационно-технической экспертизами.

Полную безопасность компьютерных систем обеспечить чрезвычайно трудно, однако снизить вредные последствия ви­русов до определенного уровня можно. Для этого необходимо:

а) применять антивирусные средства;,

б) не использовать случайное несертифицированное про­
граммное обеспечение, а также нелегальные копии программ
для ЭВМ;

в) делать резервные копии программ и системных файлов,
а также контролировать доступ к компьютерным системам;

г) проверять каждую приобретенную программу (дискету)
на возможную зараженность компьютерным вирусом;

е) регулярно записывать программы, устанавливаемые в компьютерную систему, и др.

§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети

Большой ущерб ЭВМ, их системе или сети может причи­нить нарушение правил эксплуатации, обычно приводящее к сбоям в обработке информации, а в конечном счете — деста­билизирующее деятельность соответствующего предприятия, учреждения или организации.

При расследовании дел данной категории необходимо преж­де всего доказать факт нарушения эксплуатационных правил, повлекший уничтожение, блокирование или модификацию компьютерной информации с причинением существенного вреда. Кроме того, следует установить и доказать:

а) место и время (период времени) нарушения правил экс­
плуатации ЭВМ, их системы или сети;

б) характер компьютерной информации, подвергшейся
вследствие этого уничтожению, блокированию или модификации;

______ § 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 729

в) способ и механизм нарушения правил;

г) характер и размер причиненного ущерба;

д) факт нарушения правил определенным лицом и винов­
ность последнего.

Доказывая факт преступного нарушения правил эксплуатации ЭВМ, необходимо тщательно изучить пакет документов об эксплуатации данной компьютерной системы или сети, обес­печении их информационной безопасности. Правила должны определять порядок получения, обработки, накопления, хране­ния, поиска, распространения и представления потребителю компьютерной информации, а также ее защиты от неправо­мерных посягательств. Правила могут быть общими и особен­ными — установленными собственником или владельцем ин­формационных ресурсов, систем, технологий и средств их

обеспечения.

Статья 274 УК РФ охраняет информацию, имеющую огра­ниченный доступ. Такая информация по условиям правового режима использования подразделяется на отнесенную к госу­дарственной тайне и конфиденциальную. Именно эти две ка­тегории сведений, циркулирующих в компьютерных системах и сетях, нуждаются в особой защите от противоправных посяга­тельств.

Порядок накопления, обработки, предоставления пользова­телю и защиты информации с ограниченным доступом опреде­ляется органами государственной власти либо собственником таких сведений. Соответствующие правила установлены в ор­ганах государственной исполнительной власти, в государствен­ных архивах, информационных системах, обрабатывающих конфиденциальную информацию и ту, которая составляет го­сударственную тайну. Для определения размера ущерба, при­чиненного преступным нарушением правил эксплуатации ЭВМ, их системы или сети, степень секретности и конфиден­циальности информации имеет решающее значение.

Такие факты становятся известными в первую очередь вла­дельцам и пользователям системы или сети ЭВМ, когда они обнаруживают отсутствие необходимой информации либо ее существенные изменения. В соответствии с Федеральным за­коном от 20 февраля 1995 г. № 24-ФЗ «Об информации, ин­форматизации и защите информации» владелец документов, их массива или информационной системы обязан оповещать их собственника обо всех фактах нарушения установленного ре­жима защиты информации.

730 Глава 38. Методика расследования

преступлений в сфере компьютерной информации

Для конкретизации правила, нарушение которого привело к вредным последствиям, необходимо допросить всех лиц, рабо­тавших на ЭВМ и обслуживавших компьютерное оборудование в интересующий следствие период времени. К участию в до­просе целесообразно привлечь специалиста.

Подлежат выяснению следующие вопросы:

1) круг обязанностей допрашиваемого при работе с ЭВМ либо ее оборудованием, какими правилами они установлены;

2) какая конкретно работа на ЭВМ и в каком порядке вы­полнялась, когда произошло уничтожение, блокирование, из­менение компьютерной информации или наступили иные вредные последствия;

3) какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда;

4) какие конкретно правила работы с компьютером были в данной ситуации нарушены;

5) каким образом должны фиксироваться факты уничтоже­ния, блокирования или модификации компьютерной инфор­мации в случае нарушения определенных правил эксплуатации ЭВМ;

6) связаны ли уничтожение, блокирование, модификация информации с нарушением правил эксплуатации ЭВМ и каких именно, либо они явились следствием непредвиденных обстоя­тельств.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности пред­приятия, на котором произошел уголовнонаказуемый инци­дент. В этих материалах можно найти предварительные ответы на многие из вышеприведенных вопросов. По этим материалам могут быть установлены также место и время преступного на­рушения правил, другие обстоятельства, подлежащие доказы­ванию.

Конкретное место нарушения правил эксплуатации ЭВМ можно определить при осмотре автоматизированных рабочих мест пользователей компьютерной системы или сети всех под­ключенных к ним ЭВМ. Осмотр должен проводиться с учас­тием специалиста, помогающего выяснить дислокацию ком­пьютера, работа на котором привела к вредным последствиям из-за преступного нарушения правил его эксплуатации.

______ § 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 731

Необходимо различать место нарушения правил и место на­ступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютер­ных сетей, в которых персональные ЭВМ подчас расположены на весьма значительных расстояниях друг от друга.

При расследовании данной категории дел очень важно установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информацион­ной безопасности. В первую очередь следует определить места, где по схеме развертывания сети дислоцированы рабочие стан­ции, имеющие собственные дисководы, так как именно там имеется возможность для преступных нарушений правил экс­плуатации компьютерной сети. Это, например, возможность скопировать данные с файлового сервера на свою дискету либо использовать дискеты с различными программами, в том числе зараженными компьютерными вирусами. Такие действия, ста­вящие под реальную угрозу целостность информации, содер­жащейся в центральных файловых серверах, на бездисковых рабочих станциях должны быть исключены.

Рекомендуется производить следственный осмотр учетных данных, в которых могут быть отражены сведения о располо­жении конкретной рабочей станции, использующей файловый сервер. Кроме того, необходимо допросить в качестве свидете­лей администратора сети и специалистов, обслуживающих файловый сервер, в котором произошло уничтожение, блоки­рование или модификация компьютерной информации. Подлежат выяснению следующие вопросы:

1) на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети, где она расположена;

2) могли быть нарушены правила на конкретной рабочей станции и какие именно.

Если правила нарушены непосредственно на файловом сер­вере, то места нарушения и наступления вредных последствий

совпадают.

Место нарушения правил может установить и информаци­онно-техническая экспертиза, если перед ней поставлен во­прос: на какой конкретно рабочей станции локальной вычис­лительной сети были нарушены правила ее эксплуатации, что повлекло наступление вредных последствий?

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий. Нарушение правил и на-