Читаем Криминалистика полностью

Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе, которые в отдельных случаях могут выступать в качестве специалистов при производстве следственных действий.

Рис. 32. Виды следов преступной деятельности вокруг ЭВМ и на машинных носителях, принадлежащих преступнику

Если преступник задержан на месте совершения преступления или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следственные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, машинных носителей (рис. 32), допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств.

Следует принять меры к розыску виновного и поиску его рабочего места, откудн осуществлялось вторжение в информационную систему. При этом осуществляется поиск:

места входа в данную информационную систему и способа входа в систему – вместе и с помощью должностных лиц собственника информационной системы;

путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы – вместе и с помощью должностных лиц иных информационных и коммуникационных систем – до рабочего места злоумышленника.

Круг типовых общих версий сравнительно невелик: преступление действительно имело место при тех обстоятельствах, которые вытекают их первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.

Типовыми частными версиями являются: версии о личности преступника (ов); версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.

Спецификой дел данной категории является то, что с самого начала расследования следователю приходится взаимодействовать со специалистами в области компьютерной техники. Понятно, что при современном и интенсивном развитии компьютерных и информационных технологий юрист – следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в обысках, осмотрах и выемках. Поиск таких специалистов следует проводить в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае, могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при их непричастности к расследуемому событию), а также специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Соответственно компьютерно-техническая экспертиза может оказать действенную помощь при выяснении следующих вопросов: какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия; какие информационные ресурсы находятся в данной ЭВМ; не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ; не являются ли представленные файлы с программами зараженными вирусом и, если да, то каким именно; не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначение этой программы; подвергалась ли данная компьютерная информация изменению и если да, то какому именно и др.

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.