<<
>>

§ 2. НАЧАЛЬНЫЙ ЭТАП РАССЛЕДОВАНИЯ

При начальном этапе расследования преступлений в сфере компьютерной информации можно выделить три типичные следственные ситуации.

Первая следственная ситуация — преступление произошло в условиях очевидности - характер и его обстоятельства известны и выявлены потерпевшим собственными силами, преступник известен и задержан.

Главное направление расследования — ус-тановление причинно-следственной связи между несанкционированным проникновением в компьютер и наступившими последствиями, а также определение размера ущерба.

Вторая следственная ситуация — известен способ совершения, но механизм преступления в полном объеме неясен, преступник известен, но скрылся. Главное направление расследования — наряду с указанным выше, розыск и задержание преступника.

Третья следственная ситуация — налицо только преступный результат, а механизм преступления и преступник неизвестны. Главное направление расследования — установление механизма преступления и личности преступника, розыск и задержание преступника.

На начальном этапе расследования проводятся следующие следственные действия: осмотр места происшествия, обыск, выемка, контроль и запись телефонных и других переговоров, допросы подозреваемых (обвиняемых), свидетелей и потерпевших.

Важное значение осмотра места происшествия с целью обнаружения компьютерной техники в первую очередь обусловлено тем, что следы манипуляций с компьютерной информацией остаются на носителях информации (винчестере, компакт-дисках, дискетах и т.п.), и своевременное обнаружение компьютерной техники и грамотное ее изъятие увеличивают доказательственный потенциал компьютерно-технической экспертизы.

Вопрос о необходимости изъятия компьютерной информации следователь решает на этапе подготовки к осмотру, обыску или выемке. Поэтому необходимо еще на подготовительном этапе осмотра или обыска получить достоверную информацию о конфигурации компьютера; выяснить, подключен ли он к сети и с помощью каких технических средств заблокировано помещение (терминал) с компьютерной техникой, каков пароль (электронный ключ доступа) к нему; собрать информацию о том, какие средства охраны и обеспечения безопасности компьютерной информации используются, установлена ли система ее уничтожения, порядке доступа к компьютерной информации, системе электропитания помещений, где установлена компьютерная техника; собрать сведения о сотрудниках, обслуживающих компьютерную технику и т.д.

Если компьютер подключен к сети Интернет, необходимо связаться с провайдером и организовать сохранение и изъятие необходимой компьютерной информации пользователя. Если известно, что компьютеры организованы в локальную сеть, необходимо установив местонахождение всех компьютеров, подключенных к локальной сети, организовать групповой обыск одновременно во всех помещениях (терминалах), где установлена компьютерная техника.

Поскольку компьютерную информацию можно быстро уничтожить, поэтому решающее значение имеет внезапность осмотра (обыска) и обязательное выполнение мероприятий по предотвращению повреждения или уничтожения компьютерной информации. С этой целью необходимо: обеспечить бесперебойное электроснабжение компьютерной техники в момент осмотра (обыска), удалить из помещения (терминала) посторонних лиц и отключить посторонние источники электромагнитного излучения.

Осмотр (обыск) необходимо производить с участием специалиста в области компьютерной техники, с приглашением в качестве понятых лиц, знакомых с работой на компьютере.

До момента начала поиска информации в компьютере, необходимо изучить всю техническую документацию на компьютер; осмотреть различные черновые записи пользователя, т.к. зачастую, не надеясь на свою память, они оставляют записи о паролях и изменениях конфигурации компьютера; обнаружить и изъять любые носители компьютерной информации, т.к. большинство пользователей хранят компьютерную информацию на дискетах (компакт-дисках) во избежание ее утраты при выходе компьютера из строя.

Только после этого следует приступать к действиям по преодолению защиты компьютера от несанкционированного доступа. При этом тактика действий по преодолению защиты компьютера от несанкционированного доступа должна избираться исходя из степени защищенности компьютерной информации на момент производства следственного действия, т.к. при некорректном обращении защищенные данные могут быть уничтожены, искажены, спрятаны с помощью специальных программ.

После успешного преодоления защиты компьютера от несанкционированного доступа следует переходить к поиску компьютерной информации, тактика поиска которой зависит от функционального состояния средств компьютерной техники на момент осмотра (обыска). Поэтому следователю необходимо выбирать различные тактические приемы поиска в зависимости от того, работает компьютер на момент начала следственного действия или отключен, т.к. компьютерная информация может быть либо зафиксирована на постоянном физическом носителе, либо храниться в компьютере только в период его работы.

В случае, если компьютер на момент начала осмотра (обыска) оказался включен, необходимо вначале оценить информацию, изображенную на мониторе, и определить, какая программа выполняется в этот момент. Затем необходимо сфотографировать экран монитора, отключить все телефонные линии, подсоединенные к компьютеру, и описать все соединения на задней стенке системного блока компьютера. Если это необходимо, то, вскрыв корпус системного блока, визуально определить конфигурацию компьютера и описать месторасположение электронных плат. В случае выявления при осмотре системного блока неизвестных участникам осмотра (обыска) устройств (платы расширения, нестандартные соединения и т.п.), компьютер необходимо сразу выключить. Затем (до отсоединения проводов) необходимо промаркировать всю систему подключения, все порты и разъемы, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств.

Если конфигурация компьютера стандартна, то следует корректно завершить работу исполняемой в данный момент программы, либо дождаться завершения ее работы до выдачи дополнительных, возможно искомых, данных. При этом присутствующим при осмотре (обыске) необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с компьютером.

Если для поиска информации следователь или специалист используют свои компьютерные программы, то это необходимо отметить в протоколе осмотра (обыска).

В случае обнаружения необходимой компьютерной информации изображение экрана монитора фотографируется, после чего компьютерная информация переписывается на постоянный физический носитель (дискету, компакт-диск) или распечатывается.

Компьютеры и их комплектующие опечатываются, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. В протоколе следственного действия описываются основные технические характеристики изымаемых устройств, серийные номера аппаратуры, их видимые индивидуальные признаки. При этом распечатки компьютерной информации прилагаются к протоколу.

При первом допросе подозреваемых (обвиняемых) необходимо выяснить уровень его подготовки как программиста и все обстоятельства подготовки и совершения преступления: какие изменения в работу компьютера были внесены, какие вирусы использовались, алгоритм функционирования вредоносной программы, на какую информацию и как она воздействует, какие сведения и кому передавались и т.п. Для проверки возможности создания вредоносной программы признавшимся обвиняемым проводится следственный эксперимент.

При первых допросах свидетелей и потерпевших необходимо выяснить: кто имел доступ к компьютерной технике и в помещения (терминал), где она находилась, какие средства защиты использовались, какая информация подверглась вредоносному воздействию, какой вред причинен преступлением и имеются ли способы его уменьшить и т.п.

<< | >>
Источник: Д.Н. Балашов Н.М. Балашов С.В. Маликов. КРИМИНАЛИСТИКА (Учебник). 2005 {original}

Еще по теме § 2. НАЧАЛЬНЫЙ ЭТАП РАССЛЕДОВАНИЯ:

  1. § 2. НАЧАЛЬНЫЙ ЭТАП РАССЛЕДОВАНИЯ
  2. § 2. НАЧАЛЬНЫЙ ЭТАП РАССЛЕДОВАНИЯ В СИТУАЦИИ ОБНАРУЖЕНИЯ ТРУПА С ПРИЗНАКАМИ НАСИЛЬСТВЕННОЙ СМЕРТИ
  3. Начальный этап становления нового инвестиционного механизма
  4. Начальный этап становления инвестиционной инфраструктуры (1989-1991 гг.)
  5. § 2. ТИПИЧНЫЕ СЛЕДСТВЕННЫЕ СИТУАЦИИ И СОДЕРЖАНИЕ НАЧАЛЬНОГО ЭТАПА РАССЛЕДОВАНИЯ
  6. § 2. ТИПИЧНЫЕ СЛЕДСТВЕННЫЕ СИТУАЦИИ И СОДЕРЖАНИЕ НАЧАЛЬНОГО ЭТАПА РАССЛЕДОВАНИЯ
  7. § 2. ТИПИЧНЫЕ СЛЕДСТВЕННЫЕ СИТУАЦИИ И СОДЕРЖАНИЕ НАЧАЛЬНОГО ЭТАПА РАССЛЕДОВАНИЯ
  8. § 2. ТИПИЧНЫЕ СЛЕДСТВЕННЫЕ СИТУАЦИИ И СОДЕРЖАНИЕ НАЧАЛЬНОГО ЭТАПА РАССЛЕДОВАНИЯ
  9. § 2. ТИПИЧНЫЕ СЛЕДСТВЕННЫЕ СИТУАЦИИ И СОДЕРЖАНИЕ НАЧАЛЬНОГО ЭТАПА РАССЛЕДОВАНИЯ
  10. 24.3. ПЕРВОНАЧАЛЬНЫЙ ЭТАП РАССЛЕДОВАНИЯ