- •Isbn 5-7975-0332-8 © « Юристъ», 2000
- •Общая часть
- •1. Некоторые общие положения осмотра места происшествия
- •1. Некоторые общие положения осмотра места происшествия
- •2. Фотографирование на месте происшествия
- •2. Фотографирование на месте происшествия
- •3. Видеозапись на месте происшествия
- •3. Видеозапись на месте происшествия
- •5. Протокол осмотра места происшествия
- •4. Применение звукозаписи при осмотре места происшествия
- •5. Протокол осмотра места происшествия
- •5. Протокол осмотра места происшествия
- •6. Вычерчивание схем и планов места происшествия Значение схем и планов
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук1
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •7. Обнаружение, фиксация и изъятие следов пальцев рук
- •8. Следы обуви
- •8. Следы обуви Виды следов обуви
- •8. Следы обуви
- •8. Следы обуви
- •8. Следы обуви
- •8. Следы обуви
- •9. Следы крови
- •9. Следы крови
- •9. Следы крови
- •9. Следы крови
- •9. Следы крови
- •10. Следы курения
- •10. Следы курения Виды следов курения
- •10. Следы курения
- •10. Следы курения
- •10. Следы курения
- •10. Следы курения
- •11. Следы запаха
- •11. Следы запаха
- •11. Следы запаха
- •12. Микрочастицы Понятие микрочастицы
- •13. Научно-технические средства, применяемые при осмотре места происшествия
- •14. Осмотр трупа
- •14. Осмотр трупа
- •14. Осмотр трупа
- •14. Осмотр трупа
- •14. Осмотр трупа
- •15. Осмотр трупа неизвестного лица, ставшего жертвой убийства
- •15. Осмотр трупа неизвестного лица, ставшего жертвой убийства
- •15. Осмотр трупа неизвестного лица, ставшего жертвой убийства
- •15. Осмотр трупа неизвестного лица, ставшего жертвой убийства
- •16. Осмотр места происшествия по делам об убийствах, совершенных по найму
- •17. Осмотр места происшествия по делам об изнасиловании Следственные действия, предшествующие осмотру
- •17. Осмотр места происшествия по делам об изнасиловании
- •17. Осмотр места происшествия по делам об изнасиловании
- •17. Осмотр места происшествия по делам об изнасиловании
- •17. Осмотр места происшествия по делам об изнасиловании
- •17. Осмотр места происшествия по делам об изнасиловании
- •17. Осмотр места происшествия по делам об изнасиловании
- •18. Осмотр места происшествия по делам о грабеже и разбойном нападении на граждан в жилище
- •19. Осмотр места происшествия по делам о вымогательстве
- •1. Место задержания вымогателей с поличным
- •19. Осмотр места происшествия по делам о вымогательстве
- •19. Осмотр места происшествия по делам о вымогательстве
- •2. Место содержания лиц, похищенных с целью вымогательства выкупа
- •20. Осмотр места происшествия по делам, связанным с наркотическими средствами и психотропными веществами1
- •21. Осмотр места происшествия по делам,
- •22. Осмотр места происшествия по делам о взрыве изделий, снаряженных взрывчатыми веществами
- •216 Особенная часть
- •218 Особенная часть
- •23. Осмотр места происшествия по делам о загрязнении окружающей среды
- •24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации
- •25. Осмотр места происшествия по делам о кражах грузов на железной дороге
- •26. Осмотр места происшествия по делам о кражах, совершаемых с проникновением в жилище или иные помещения
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •Осмотр трупа.
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
- •28. Осмотр места происшествия по делам о крушениях и авариях на железнодорожном транспорте
- •29. Осмотр места происшествия по делам об авиационных катастрофах
- •29. Осмотр места происшествия по делам об авиационных катастрофах 317
- •29. Осмотр места происшествия по делам об авиационных катастрофах 32)
- •29. Осмотр места происшествия по делам об авиационных катастрофах 323
- •29. Осмотр места происшествия по делам об авиационных катастрофах 325
- •29. Осмотр места происшествия по делам об авиационных катастрофах 327
- •29. Осмотр места происшествия по делам об авиационных катастрофах 331
- •29. Осмотр места происшествия по делам об авиационных катастрофах
- •117342, Г. Москва, ул. Бутлерова, д. 17 «б»
- •143200, Г. Можайск, ул. Мира, 93
- •230 Особенная часть
- •27. Осмотр места дорожно-транспортного происшествия (дтп)
24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации
Общие положения
По делам о преступлениях данной категории (ст. 272-274 УК РФ) место происшествия не всегда ограничивается какой-то одной определенной территорией (одним помещением или отдельным зданием). Места, подлежащие осмотру, могут располагаться на значительных расстояниях друг от друга. Так, например, неправомерный доступ к охраняемой законом компьютерной информации совершен с одного места, а вредные последствия — причинены в другом. То же самое можно сказать и о создании, использовании и распространении вредоносных программ для ЭВМ либо преступном нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети. Компьютерное оборудование может представлять как отдельную ЭВМ, решающую самостоятельные автономные задачи, так и компьютер, являющийся составной частью компьютерной системы или сети. Когда компьютер используется в преступных целях не как часть системы или сети, то место совершения преступления ограничивается тем помещением, где он установлен. Если же он представляет часть системы или сети, то границы осмотра могут быть значительно расширены.
Объекты осмотра
Осмотру могут подлежать:
Место непосредственной обработки и постоянного хранения ком пьютерной информации, ставшей предметом преступного посягатель ства.
Место непосредственного использования компьютерного обору дования для неправомерного доступа к охраняемым базам и банкам данных или создания, использования и распространения вредоносных программ для ЭВМ.
Место хранения информации на машинном носителе, в электрон но-вычислительной машине (ЭВМ), системе ЭВМ или их сети, добы той преступным путем из других компьютерных систем и сетей.
Место непосредственного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Место наступления вредных последствий (несанкционированное уничтожение, блокирование, модификация либо копирование охра няемой законом компьютерной информации, нарушение работы ЭВМ, системы ЭВМ или их сети).
Рекомендации по осмотру
Осмотр места происшествия должен начинаться с тщательной подготовки, заключающейся в уточнении его границ, выборе необходимых специалистов, технических средств и четком определении его объектов. Целесообразно обратиться к помощи службы безопасности той организации, в которой обнаружено правонарушение1.
По прибытии на место происшествия следует принять меры к обеспечению сохранности информации в находящихся здесь компьютерах и на магнитных носителях, для чего необходимо:
а) не разрешать кому бы то ни было из лиц, работающих в это время или находящихся здесь по другим причинам, прикасаться к компью терному оборудованию;
б) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;
в) не производить самому никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.
1 Согласно и. 4 ст. 21 Федерального закона «Об информации, информатизации и защите информации», организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, должны создавать специальные службы, обеспечивающие ее защиту.
246
Особенная часть
24. По делам о преступлениях в сфере компьютерной информации
247
При проведении осмотра необходимо принять во внимание следующие неблагоприятные факторы:
а) возможные попытки уничтожить информацию и ценные данные лицами из числа персонала, заинтересованными в сокрытии преступ ления;
б) наличие в ЭВМ специальных средств защиты от несанкциониро ванного доступа, которые, не получив в установленное время специаль-
• ный код, автоматически уничтожают всю информацию;
в) возможное наличие в ЭВМ иных средств защиты информации от несанкционированного доступа и прочие неожиданности.
В связи с изложенным крайне важно участие специалистов на самом первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудования и машинных носителей информации, но и указать, что подлежит изъятию. Профиль нужного специалиста определяется в зависимости от целей и задач осмотра с учетом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких специалистов, в том числе программиста по операционным системам и прикладным программам, электронщика, хорошо знающего компьютерную технику, специалиста по средствам связи, а также техника-криминалиста. Последний необходим для обнаружения и сбора традиционных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др., шифрованных рукописных записях и пр.
Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказа-«тельства.
В ходе общего осмотра необходимо наметить план детальных действий. Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы:
служебное помещение;
средства вычислительной техники;
носители информации;
документы.
Осмотр служебного помещения. Он необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение,
где находится ЭВМ, а также установить.место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В процессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха). Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии — сначала
§ общий вид его, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока — по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).
Осмотр средств вычислительной техники. Непосредственными объектами осмотра могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе следует отразить:
1. Положение переключателей на блоках и устройствах вычисли тельной техники.
2. Состояние индикаторных ламп.
3. Содержание информации, высвечиваемой на мониторе, и свето вых сигналов на различных индикаторах и табло.
4. Состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры).
5. Наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования.
Механические повреждения.
Наличие внутри компьютерной техники нештатной аппаратуры и различных устройств.
8. Следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.
Помимо этих общих положений необходимо отметить особенности осмотра работающего и неработающего компьютера.
248
Особенная часть
24. По делам о преступлениях в сфере компьютерной информации
249
При осмотре работающего компьютера следует с участием специалиста:
установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще про извести фотографирование или видеозапись);
по мере необходимости остановить исполнение программы и ус тановить, какая информация получена после окончания ее работы;
определить и восстановить наименование вызывавшейся послед ней раз программы; '
установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стриммеры, оптические диски), их тип (вид) и количество;
скопировать информацию (программы, файлы данных), имею щуюся в компьютере (особенно это важно для информации, находя щейся в ОЗУ и виртуальном диске, так как после выключения компью тера она уничтожается).
Если компьютер подключен к локальной сети, то необходимо:
Установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети.
По возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложен ной схеме осмотра работающего компьютера). Если же такая возмож ность отсутствует, то надо обеспечить их остановку и далее произво дить осмотр в режиме неработающего компьютера.
Осматривая с участием специалиста неработающий компьютер, нужно:
Определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них.
Установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения.
Проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.
Надо иметь в виду, что в отличие от работающего компьютера неработающий лишен таких признаков, как светящееся изображение на
экране дисплея, свечение индикаторов на передних панелях системного блока, шум внутренних вентиляторов.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
1. Все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руковод ством.
Не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не допустить ущерба компьютерной системе.
Вскрытие и демонтаж компьютерного оборудования производить только с участием специалиста.
Не допускать попадания мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров.
Применение магнитных искателей, ультрафиолетовых осветите лей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специ алистом, чтобы избежать разрушения носителей информации и мик росхем памяти ЭВМ.
Осмотр носителей машинной информации. Он производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оперативные запоминающие устройства (ОЗУ), постоянно запоминающие устройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).
При осмотре необходимо указать в протоколе:
1. Место обнаружения каждого носителя информации (стол, шкаф, сейф), температуру воздуха, при которой он хранился.
Характер его упаковки (конверт, специальный футляр-бокс для : хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклей- ; ки на носителях информации с соответствующими пометками, цвет ^материала упаковки и наклейки, наличие штрихового кода и прочие ^особенности.
Тип и размер носителя (в дюймах).
Изготовитель, плотность записи и номер (если они обозначены |на дискете), состояние средств записи от стирания (открытые или от- |ломанные шторки на дискетах и кассетах).
250
Особенная часть
Особые приметы на машинных носителях (царапины, иные по вреждения, гравировки и пр.).
Тип компьютера, для которого предназначен обнаруженный но ситель (его марка, фирма-изготовитель).
Нужно помнить о наличии дискет, принесенных со стороны, которые могут содержать вредоносные программы (компьютерные вирусы) либо незаконно скопированную информацию.
Обращаться с магнитными носителями информации следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать диски, не хранить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.
Осмотр документов. Это могут быть: журналы учета работы на компьютере (если они ведутся), листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и прочая документация (инструкции, положения, правила, уставы, технорабочие проекты на автоматизированную информационную систему (АИС), договоры, контракты, соглашения и т.д.).
Особое внимание нужно обратить на: подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы, листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.
Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.
В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила упаковки и транспортировки:
Упаковку желательно производить в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она со хранилась).
Сменные носители компьютерной информации (дискеты, лазер ные диски, магнитные ленты стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтилено вый), при их отсутствии можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия целесообразно маг-
24. По делам о преступлениях в сфере компьютерной информации 251
нитный носитель информации поверх конвертов обернуть в бытовую алюминиевую фольгу.
Технические устройства при отсутствии заводской тары упаковы ваются в деревянные ящики, используя для внутренних перегородок прокладки из упругого материала (гофрированного картона, пеноплас та, толстого слоя бумаги).
Опечатать упаковку и снабдить ее удостоверительными надпи сями.
Вопросы упаковки компьютерной техники желательно уточнить со специалистом.
Что касается транспортировки, то ее необходимо осуществлять так, чтобы не допустить:
механического воздействия на аппаратуру;
влияния атмосферных факторов (дождя, снега, повышенной влажности);
воздействия электромагнитных излучений;
влияния слишком высоких и низких температур, помня, что для аппаратуры, содержащей в себе магнитные носители информации, они должны храниться в диапазоне температуры от 0 до 50°С.
Типичные ошибки при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
1. Несоблюдение правил обращения с вычислительной техникой и носителями компьютерной информации.
Отсутствие чистой дискеты для неотложного копирования ин формации, содержащейся в оперативном запоминающем устройстве и там, где она может быть быстро уничтожена при отключении электропитания компьютерного оборудования или по другим при чинам.
Употребление в тексте протокола осмотра непонятных техничес ких и профессиональных терминов, используемых в информатике, без доступного пояснения.
Необоснованное изъятие отдельных технических средств и ком пьютерного оборудования, так сказать «на всякий случай».
Использование вместо копий подлинных носителей машинной информации для пробного включения компьютеров в процессе осмот ра места происшествия (особенно программ для ЭВМ).
Нарушение правил упаковки и транспортировки компьютерной техники и машинных носителей информации.
252
Особенная часть
Назначение экспертиз
По результатам осмотра места происшествия возможно назначение информационно-технической или информационно-технологической экспертиз. Если объектом экспертного исследования является только программа для ЭВМ, то такая экспертиза может быть названа компьютерно-программной. Перед экспертами можно поставить такие вопросы:
С какого терминала (компьютера) и по каким средствам связи и телекоммуникации мог быть совершен неправомерный доступ в дан ную компьютерную систему или сеть?
Возможно ли восстановить записанную ранее информацию на частично поврежденном носителе? Если да, то каково ее содержание?
Является ли подлинным представленный на исследование дан ный машинный носитель или это его копия?
Может ли программа, обнаруженная на месте происшествия, быть вредоносной? Если да, то какой вред могла она причинить?
Позволяет ли техническое состояние компьютерного оборудова ния решать в полном объеме задачи, предусмотренные проектной и эксплуатационной документацией на данную компьютерную систему
или сеть?
Каков механизм внесения изменений в компьютерную информа цию?
Может ли быть выявленное отклонение от технологии электрон ной обработки данных непосредственной причиной наступления вред ных последствий?
По характеру конкретного преступления могут возникнуть сомнения, требующие устранения. Так, по делам о неправомерном доступе к охраняемой законом компьютерной информации перед информационно-технологической экспертизой могут быть поставлены более частные вопросы, относящиеся к режиму ее обработки и охраны, главным образом, к организационно-административным мерам защиты этой информации и, особенно, связанные с ограничением доступа к компьютерной информации.
Частные вопросы для информационно-технической экспертизы должны относиться к техническим особенностям уничтожения, блокирования модификации, копирования информации, нарушения работы как отдельного компьютера и его внешних технических устройств, так и системы ЭВМ либо их сети.