Обыск и выемка по делам о компьютерных преступлениях.
⇐ ПредыдущаяСтр 4 из 4 Обыск по делам о преступлениях, совершаемых с использованием СВТ, в большинстве случаев является неотложным следственным действием и требует тщательной подготовки. На подготовительном этапе обыска следователю необходимо осуществить следующие мероприятия: - выяснить, какие СВТ находятся в помещении, намеченном для проведения обыска (по возможности установить их тактико-технические характеристики); - установить, какие средства защиты информации и СВТ от несанкционированного доступа находятся по месту обыска (по возможности - выяснить ключи доступа и тактико-технические характеристики средств защиты); - определить режим и технические системы охраны объекта, СВТ и категорию обрабатываемой информации (общедоступная или конфиденциальная); - выяснить, какие средства связи и телекоммуникаций используются для работы СВТ; - пригласить соответствующих специалистов для подготовки и участия в следственном действии; - подготовить соответствующие СВТ, специальную аппаратуру и материалы для поиска, просмотра, распаковки, расшифровки, изъятия и последующего хранения машинной информации, СВТ и специальных технических устройств; - определить дату, время и границы проведения обыска, время поиска и меры, обеспечивающие его конфиденциальность (важно, чтобы пользователь, владелец или оператор СВТ не подозревал о предстоящем следственном действии и не работал в момент проведения обыска на СВТ); - по возможности изучить личность обыскиваемого, пользователя (владельца) СВТ, вид его деятельности, профессиональные навыки по владению СВТ; - пригласить понятых, обладающих специальными познаниями в области автоматизированной обработки информации.
По прибытии к месту проведения обыска необходимо вести себя следующим образом: - быстро и внезапно войти в обыскиваемый объект (или одновременно в несколько помещений); - при оказании сопротивления со стороны лиц, находящихся на объекте обыска, принять срочные меры по нейтрализации противодействия и скорейшему проникновению в обыскиваемое помещение; - организовать охрану места обыска и наблюдение за ним; Следователю нужно знать, что к изменению или уничтожению машинной информации, ее носителей и СВТ, которые впоследствии могут выступать в качестве доказательств по делу, приводят не только манипуляции с самими СВТ, но и включение или выключение их электропитания. Поэтому все электротехническое оборудование и средства электротехнических систем, имеющиеся на месте обыска, должны находиться до момента их осмотра специалистом в том пространственном положении и техническом состоянии, в котором они были в момент начала обыска. Для этого необходимо соблюдать следующие условия: На обзорной стадии обыска необходимо: 1) Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают информацию и МНИ при нарушении процедуры доступа к СВТ и машинной информации, порядка их использования и/или установленных правил работы с ними; принять меры к установлению пароля, ключа санкционированного доступа и шифрования-дешифрования информации. 2) Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи по схемам «компьютер -компьютер», «компьютер - управляющий компьютер»... При наличии компьютерной сети любого уровня технической организации в первую очередь должен быть осмотрен и подвергнут обыску центральный управляющий компьютер (сервер сети, компьютер процессингового центра, узла связи, охранной системы и т. п.). Данное СВТ хранит в своей оперативной и постоянной памяти наибольшую часть машинной информации, управляет другими СВТ, имеет с ними прямую и обратную связь и, как правило, имеет программу автоматической фиксации доступа СВТ друг к другу (своеобразный «электронный журнал» учета работы всех СВТ сети - их индивидуальные номера (позывные, абонентские и т. п.), точные даты и время каждого соединения при обмене информацией, длительность и вид сеанса связи, характеристику передаваемой и получаемой информации, аварийные ситуации, сбои в работе отдельных СВТ (рабочих станций, периферийного оборудования), идентификационные коды и пароли операторов, попытки несанкционированного или нештатного доступа и т. д.).
3) Определить СВТ, находящиеся во включенном состоянии, и характер выполняемых ими операций и/или программ. Особое внимание необходимо уделить терминальным печатающим и видеоотображающим устройствам (принтерам и мониторам). Распечатки информации (листинги) при необходимости должны быть изъяты и приобщены к протоколу следственного действия; изображение на экране монитора изучено и детально описано в протоколе (можно также зафиксировать его на видеопленку, либо сделать распечатку на бумаге с использованием специальных сканирующих программ). Если специалисту удастся установить, что на момент обыска на каком-либо СВТ происходит уничтожение информации, либо уничтожается машинный носитель информации, необходимо всеми возможными способами приостановить этот процесс и начать обследование с данного места или СВТ. 4) При обследовании персонального компьютера необходимо: - установить последнюю исполненную программу и/или операцию; - произвести экспресс-анализ машинной информации, содержащейся на жестком диске и в оперативной памяти компьютера с целью получения информации, имеющей значение для следствия. Необходимо четко организовать поисковые мероприятия, направленные на поиск тайников, в которых могут находится предметы, устройства и документы. Ими может служить и само СВТ - аппаратные и программные оболочки модулей его составляющих. Следователю стоит придерживаться следующих рекомендаций:
- При невозможности вскрытия корпуса СВТ (если это может привести к утрате информации, физическому повреждению ее носителя либо приведению к неисправному состоянию) необходимо изъять СВТ целиком для лабораторного исследования. - Все обнаруженные машинные носители информации (дискеты, пластиковые карточки, ленты, в т. ч. аудио-, видеокассеты и оптические компакт-диски) следует изъять для последующего анализа содержащихся на них данных на аттестованном исследовательском оборудовании, при отсутствии которого осмотр информации недопустим. - Нельзя использовать специальную поисковую и досмотровую технику, один из элементов которой - источник электромагнитных или магнитных излучений. - При необходимости изъятия жесткого диска персонального компьютера целесообразно изъять весь системный блок. - В случае изъятия печатающего устройства (принтера) необходимо помнить, что в настоящее время возможна идентификация печатной продукции, изготовленной лишь на матричном (игольчатом) принтере. Для лазерного (электрографического) и струйного типов принтеров данный анализ практически невозможен. На заключительном этапе обыска составляются протокол следственного действия и описи к нему. Предметом выемки в абсолютном большинстве случаев служат средства вычислительной техники, машинные носители информации, машинная информация, всевозможные документы, средства защиты информации, специальная разведывательная и контрразведывательная аппаратура, а также свободные образцы почерка, машинописных текстов и готовой продукции для сравнительного исследования. Помимо вышеуказанного могут быть изъяты материалы, предметы, приспособления, устройства и инструменты, которые могли быть использованы преступником при изготовлении орудий преступления, поддельных документов, машинных носителей информации и самой информации; черновики, на которых отрабатывалась поддельная подпись и т. д.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|