Значение и отличительные признаки методик служебного расследования фактов нарушения информационной безопасности от расследования других правонарушений

Служебное расследование - деятельность в рамках дисциплинарного производства соответствующих должностных лиц по своевременному, всестороннему, полному и объективному сбору и исследованию материалов по факту дисциплинарного проступка, сотрудников (работников), либо невыполнения ими функциональных обязанностей.

Методика расследования отдельных видов преступлений представляет собой раздел криминалистики, изучающий опыт совершения и практику расследования преступлений и разрабатывающая на основе познания их закономерностей систему наиболее эффективных методов расследования и с точки зрения отношения к уголовному закону методики подразделяются на видовые и особенные. Первые из них построены по видам преступлений (например, методика расследования убийств, методика расследования краж, методика расследования мошенничества и т.д.). К особенным относятся частные методики в качестве оснований построения которых могут быть взяты место совершения преступления, личность преступника, личность потерпевшего, время, прошедшее с момента преступления.

По уровню конкретизации методики расследования преступлений могут быть одноступенчатыми и многоступенчатыми.

Наиболее важными типичными элементами частных криминалистических методик являются:

1. криминалистическая характеристика преступлений;

2. круг обстоятельств, подлежащих установлению;

3. типичные следственные ситуации, возникающие на разных этапах расследования, версии и планирование;

4. первоначальные и последующие следственные и оперативно-розыскные мероприятия;

5. особенности тактики проведения наиболее характерных для расследования данного вида преступлений отдельных следственных действий;

6. взаимодействие следователя с оперативно-розыскными органами;

7. особенности использования специальных познаний при расследовании;

8. особенности предупреждения данного вида преступлений.

[ЕСЛИ БУДЕТ ВРЕМЯ ОТСЮДА]

Расследование преступлений условно делиться на три этапа: первоначальный; последующий; заключительный.

На первоначальном этапе проводятся неотложные следственные действия и оперативно-розыскные мероприятия, направленные на установление факта совершения преступления, преследования преступника по "горячим следам, выявления и закрепления доказательственной информации.

К типичным следственным действиям можно отнести:

· осмотр места происшествия;

· допрос потерпевшего и свидетелей;

· задержание и допрос подозреваемого;

· освидетельствование подозреваемого, в некоторых случаях и потерпевшего;

· производство обысков по месту жительства и работы подозреваемого, его родственников, знакомых;

· производство опознания предметов (похищенного, орудий преступления и др.) и подозреваемого;

· назначение некоторых экспертиз.

На последующем этапе продолжается работа по выявлению и закрепление доказательств, установлению и задержанию неизвестных преступников (с последующим проведением мероприятий по отработке их причастности), розыску похищенного и др.

К типичным следственным действиям последующего этапа можно отнести следующие:

· допросы и очные ставки;

· обыски;

· следственные эксперименты;

· проверка и уточнение показаний на месте;

· назначение и проведение судебных экспертиз;

· предъявление обвинения.

На заключительном этапе уголовное дело готовится для направления в народный суд. С этой целью производится оценка собранных доказательств, определяется подсудность, составляется обвинительное заключение и дело передается прокурору для проверки и подписания обвинительного заключения.

Криминалистическая характеристика включает следующий набор элементов, содержащих обобщенные сведения о:

1. способе совершения и сокрытия преступления;

2. обстановке при которой совершается преступление;

3. предмете преступного посягательства;

4. мотивах и целях;

5. свойствах личности преступника;

6. свойствах личности потерпевшего.

[ДО СЮДА]

Под компьютерными преступлениями следует понимать предусмотренные уголовным законом общественно опасные действия, в которых машинная информация является объектом преступного посягательства. В данном случае в качестве предмета или орудия преступления будет выступать машинная информация, компьютер, компьютерная система или компьютерная сеть.

Значение проведения служебного расследования заключается в том, что фирма может понести существенный экономический ущерб и потерю имиджа.

Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:

1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.

2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей: следственное действие должно быть заблаговременно подготовлено и детально спланировано;

Компьютерные преступления - это преступления, совершенные с использованием компьютерной информации. При этом, компьютерная информация является предметом и (или) средством совершения преступления.

Уголовное наказание за совершение преступлений в сфере компьютерной информации предусмотрено главой 28-ой УК РФ.

Осмотр: При осмотре места происшествия в состав следственно - оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить: специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ; сотрудник Гостехкомиссии России, Центра защиты информации (при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) СТС негласного получения (уничтожения, блокирования) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (отдела «К» или ОБЭП); участковый оперуполномоченный, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); специалист для проведения цветной фото- или видеосъемки следственного действия.

Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и(или) орудия совершения преступления и несущих в себе следы преступной деятельности.

Осмотру подлежат документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления, также производится смотр средства электронно-вычислительной техники, все фиксируется в протоколе осмотра.

Обыск: По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.

Изъятие: Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.

Назначение экспертиз: при расследовании преступления в сфере компьютерной информации наиболее характерна компьютерно - техническая экспертиза. Может быть назначена идентификационная и не идентификационная компьютерно техническая экспертиза.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети подлежат установлению следующие обстоятельства:

· факт преступного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;

· место и время совершения преступления;

· характер информации, являющейся предметом преступного посягательства;

· способ нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;

· характер и размер ущерба, причиненного преступлением;

· виновность лица;

· обстоятельства, способствовавшие совершению преступления.

· В расследовании данной категории преступлений одной из главных проблем становится установление самого факта нарушения правил эксплуатации ЭВМ.

Отличительные признаки фактов нарушения информационной безопасности и методик служебного расследования:

1. Использование новейших информационных технологий

2. Требуют специального образования и высокого интеллектуального уровня

3. Сложность своевременного выявления компьютерных преступлений и установления виновных

4. Трудности в сборе доказательств

5. Возможностью совершения преступления с использованием средств удаленного доступа, что не требует присутствия правонарушителя на непосредственном месте совершения преступления

6. Необходимо различать место нарушения правил и место наступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютерных сетей, в которых персональные ЭВМ подчас расположены на весьма значительных расстояниях друг от друга.

7. При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий.

Особенность методик расследования заключается в том, что «Фиксируется последний кадр» легального или безаварийного движения информации в системе. Фиксируется факт нарушения ИБ, объект нарушения, временные рамки нарушения, субъекты доступа участвовавшие в обработке информации (либо имевшие возможность доступа к ней к ней), устанавливается способ нарушения ИБ (определяется канал передачи/утечки информации). Важно рассмотреть и учесть временную составляющую, маршрут и обстоятельства движения информации в системе до момента фиксирования факта нарушения, т.е. определить весь путь движения информации с момента последнего официально зафиксированного безопасного состояния системы и до момента нарушения ИБ. Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить.

68. Практическое составление основных правовых документов (концепции информационной безопасности, плана мероприятий информационной безопасности, инструкции информационной безопасности для рабочего места)

Создание Концепции обеспечения информационной безопасности обычно предшествует техническому проектированию СОИБ. Целью создания Концепции является определение основных целей и задач, а также общей стратегии построения СОИБ, выработка требований и базовых подходов к их реализации.

Концепция информационной безопасности организации определяет состав критичных информационных ресурсов и основные принципы их защиты. Принципы обеспечения ИБ обуславливают необходимость применения определенных методов и технологий защиты. Определение способов реализации этих принципов путем применения конкретных программно-технических средств защиты и системы организационных мероприятий является предметом конкретных проектов и политик безопасности, разрабатываемых на основе Концепции.

Концепция информационной безопасности должна раскрыть:

· Цели и задачи обеспечения ИБ.

· Принципы обеспечения ИБ.

· Описание объекта защиты с указанием критичных ресурсов и бизнес-процессов.

· Модели угроз и потенциального злоумышленника.

· Целевая функциональная архитектура системы обеспечения ИБ.

· Зоны ответственности подразделений компании за обеспечение ИБ.

Содержание Концепции ИБ:

· Термины и определения

· Общие положения

· Содержание концепции

· Описание объекта защиты

· Основные принципы обеспечения ИБ

· Организация работ по обеспечению ИБ

· Меры обеспечения ИБ

· Распределение ответственности и порядок взаимодействия подразделений

· Порядок категорирования защищаемой информации

· Модель нарушителя безопасности

· Модель угроз безопасности

· Требования по обеспечению ИБ

· Ответственность за нарушение ИБ

· История изменений

План мероприятий ИБ содержит комплекс правовых, организационно-административных и технических мер, направленных на совершенствование системы информационной безопасности организации. План мероприятий является реализацией Концепции ИБ.

План мероприятий должен содержать 3 раздела:

· организационные мероприятия

· правовые мероприятия

· технические мероприятия

План мероприятий:

1. Краткое описание необходимости защиты информации на предприятии

2. Организационные мероприятия (перечень)

3. Технические и технологические мероприятия

4. Юридические (нормативные) мероприятия по обеспечению безопасности информации

План концепции может выглядеть следующим образом:

1. Исследование объекта защиты;

2. Оценка существующих угроз ИБ;

3. Оценка существующей системы ОИБ;

4. Принципы ИБ по направлениям, критерии оценки эффективности работы системы ОИБ (зависят от структуры организации);

5. Выводы об обеспечении ИБ на предприятии (так же по основным направлениям) + общий вывод;

6. Выводы и предложения по усовершенствованию мер безопасности.

Инструкции ИБ для рабочего места:

Создаются подразделениями предприятия, визируются главными специалистами предприятия (по ИБ). Содержат порядок получения, передачи, хранения, обработки информации. Указываются обязательные требования по доступу к ресурсам. Отдельным разделом запрещается производить какие-либо действия. Все нормативно правовые документы касающиеся предприятия должны быть утверждены руководителем организации и вводятся в работу приказом руководителя.