Читайте также:
|
Перед тем как приступить к осмотру места происшествия, следователь должен выполнить ряд мероприятий организационного характера. Подготовка к осмотру должна начинаться до выезда на место происшествия. Прежде всего, нужно выяснить у информированного лица, что произошло на объекте, подлежащем осмотру, каковы количество и тип компьютерной техники, вид программного обеспечения; характер взаимодействия (соподчи-ненности) устройств; наличие аппаратных и программных средств защиты от несанкционированного доступа. Принять меры по обеспечению сохранности обстановки на месте происшествия, целостности компьютерной системы1, блокированию и охране помещений, подлежащих осмотру; принять меры к ослаблению вредных последствий преступления. В отдельных случаях для осмотра надо выбрать время наименьшей загруженности организации и ее сети. Администрация может предложить план перераспределения рабочего режима ресурсов и согласовать его со следственной группой, чтобы избежать или, по крайней мере, минимизировать нарушение деловых операций вследствие локальных осмотров.
Важным аспектом при подготовке к осмотру места происшествия является подбор участников следственного действия. Для квалифицированного осмотра места происшествия необходимо пригласить специалиста в области компьютерных технологий: программиста, системного аналитика, инженера по средствам связи или сетевому администрированию2.
Профиль специалиста определяется исходя из следственной ситуации, целей, задач данного следственного действия, а также компьютерной техники и установленного на ней программного обеспечения (сетевой операционной системы, операционных систем и прикладных программ на отдельных компьютерах). Обязанности специалистов заключаются в подборе программных средств, оказании содействия следователю в инструктировании членов следственно-оперативной группы о порядке работы с данными программами и другими средствами, обнаружении, изъятии компьютерной информации, комментировании происходящего участникам следственного действия, оказании содействия в фиксации хода и результатов осмотра. Если предварительные сведения о происшествии носят недостаточно определенный характер, то вначале можно привлечь специалиста широкого профиля, однако по мере уточнения характера происшествия может понадобиться квалифицированный специалист в более узкой области.
При необходимости для участия в осмотре места происшествия могут быть приглашены и другие незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием персонального компьютера и т.д.)3.
Для работы с традиционными следами (рук, ног, взлома и т.д.), осуществления фотосъемки и видеозаписи необходимо привлечь специалиста-криминалиста.
С целью охраны помещения, входов и выходов, а возможно и предотвращения противодействия работе следственной группы во время осмотра, нужно обеспечить участие сотрудников органа внутренних дел.
Для удостоверения факта производства осмотра места проис-* шествия, а также содержания его хода и результатов приглашаются понятые, разбирающиеся в компьютерной технике хотя бы на уровне пользователей. Не следует приглашать понятых из числа работников организации, помещения которой подлежит осмотру.
1 Руководителю пострадавшей организации следует объяснить, что аварийное
восстановление компьютерной системы до прибытия следственно-оперативной группы
крайне негативно повлияет на результативность осмотра места происшествия.
2 Для обнаружения и изъятия компьютерной информации к участию в осмотре
можно привлечь сразу нескольких специалистов.
3 См.: Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники. М., 2000. С. 22; Криминалистическая методика расследования отдельных видов преступлений / Под ред. А.П. Резва-на, М.В. Субботиной. М., 2002. Ч. 2. С. 100.
Если местом происшествия является помещение организации, то для участия в его осмотре приглашается представитель ее администрации, а также кто-либо из сотрудников, способных дать пояснения по компьютерной системе, имеющемуся программному обеспечению, сущности произошедшего события. Например, можно пригласить администратора сети, руководителя службы безопасности предприятия, оператора ЭВМ, системного аналитика, бухгалтера, очевидцев преступления (если они есть)4.
На подготовительной стадии надо решить вопрос о материально-техническом обеспечении осмотра. Следователь и специалисты применяют как традиционные технико-криминалистические средства обнаружения, предварительного исследования, изъятия и фиксации следов, так и специальную технику, специальное программное обеспечение, предназначенное для доступа, считывания и хранения компьютерной информации.
Для осмотра желательно иметь специальную аппаратуру:
1) специализированный лабораторно-исследовательский переносной компьютер со специальным аппаратным и программным обеспечением для просмотра содержимого дискет, компакт-дисков, других носителей, которые окажутся на месте происшествия, если на месте нет других работающих компьютеров или их применение нецелесообразно. Используют также ноутбук с жестким диском большой емкости, возможностью подключения сменных жестких дисков, с дисководом 3,5 дюйма и приводом CD-ROM (желательно пишущим), портами для подключения внешних устройств (принтера, внешнего винчестера, ZIP накопителя, цифрового фотоаппарата или видеокамеры);
2) соединительные кабели и аппаратные средства необходимы для Прямого подключения к компьютерам и подключения к сети;
3) портативный (или малогабаритный) принтер, подключаемый к ноутбуку, позволит сделать бумажные распечатки протокола осмотра, списка каталогов и файлов, обнаруженных на осматриваемом компьютере;
4 Зарубежные руководства по осмотру мест происшествия при расследовании компьютерных преступлений рекомендуют дополнительно включать в группу составителя плана-эскиза помещений и расположения оборудования. См.: Clark F., Diliberto К. Investigating Computer Crime / New York, CRC Press. 1996. P. 9. В наших условиях эту работу выполняет сам следователь.
4) загрузочные носители (дискеты и компакт-диски) должны содержать «исследовательское» и сервисное программное обеспечение. Для резервирования информации, которая будет изыматься, необходимы отформатированные диски, записываемые компакт-диски, переносные накопители большой емкости типа ZIP, другие устройства. Если планируется изъятие большого объема информации, то для копирования необходимо иметь достаточное количество накопителей большой вместимости, они должны быть сопоставимы с ноутбуком следственной группы, пишущим дисководом для записи на компакт-диски;
5) внешний винчестер с необходимым программным обеспечением, чтобы запускать с него осматриваемый компьютер, если запуск собственной операционной системы невозможен или нежелателен, чтобы не допустить изменение или разрушение исходной информации на жестком диске исследуемого компьютера5. Исследовать информацию в компьютерах на месте происшествия с помощью программного обеспечения, установленного на самих осматриваемых компьютерах, крайне нежелательно из-за опасности исказить или повредить данные. В современных компьютерах такой «осмотр» неизбежно сопровождается изменением информации на компьютерных носителях по сравнению с исходной;
6) обычные или цифровые фотокамера и видеокамера, фотовспышка, принтер6;
7) на исследовательском компьютере (компьютерах) должно быть установлено программное обеспечение общего и специального назначения (прил. 3):
а) текстовый редактор для составления компьютерной версии протокола, табличный редактор для описи оборудования или % даже заготовленная база данных (в версии для портативных компьютеров) для описания осматриваемых и изъятых устройств, носителей, других объектов, копируемой информации;
5 Об этом также см.: Быстряков Е.Н., Иванов А.Н., Климов В.А. Особенности про
изводства отдельных следственных действий при исследовании средств компьютерной
техники // Следователь сегодня: Матер, научно-практич. конф. (8 декабря 1999 г.). Сара
тов, 2000. С. 64-65; Они же. Проблемы технологизации расследования компьютерных
преступлений // Теория и практика криминалистики и судебной экспертизы: Межвуз. сб.
науч. ст. Саратов, 2002. Вып. 11. С. 160-162.
6 См.: Дмитриев Е.И. Проблемы применения цифровой фотографии при рассле
довании уголовных дел: Автореф. дисс.... канд. юрид. наук. М., 1998.
б) диагностические программы для сбора информации об
устройствах, входящих в состав компьютерной системы, их па
раметрах и техническом состоянии;
в) программы сбора информации о файловой системе на ма
шинных носителях (структуре папок и файлов, их свойствах, ат
рибутах);
г) программы для выявления вредоносных программ в компью
терной системе и отдельных машинных носителях информации;
д) программы получения информации о программах, нахо
дящихся в оперативной памяти ЭВМ на месте осмотра, обеспечи
вающие просмотр буфера памяти компьютера;
е) программы определения настроек аппаратуры и программ;
ж) программы просмотра и вывода на печать содержимого
файлов разных типов7.
Кроме того, необходимо подготовить достаточное количество упаковочного материала для компьютерной техники, носителей информации и документации, которые могут быть изъяты в процессе осмотра (антистатические пластиковые пакеты, крепкие картонные коробки и упаковочная пена, боксы-контейнеры для дискет, компакт-дисков, лент и других носителей), цветные само-клеющиеся ярлыки, бумагу для принтеров8. Количество упако-
7 См.: Приложение 3 данной книга, а также: Закатов Л.А., Рогозин B.IO. Исполь
зование специализированного программного обеспечения и новейших компьютерных
технологий в расследовании преступлений // Криминалистическая экспертиза: Исследова
ние документов: Межвуз. сб. науч. Статей. Саратов, 1998. С. 5; Соловьев JI.H. Классифи
кация программных средств компьютерной техники, используемых при проведении след
ственных осмотров // Криминалистика: актуальные вопросы теории и практики: Сб. тез.
Всерос. «круглого стола» (15-16 мая 2000 г.). Ростов/н/Д., 2000. С. 194-195; Он же. Рас
следование преступлений, связанных с созданием, использованием и распросгранением
вредоносных программ для ЭВМ: Автореф. дисс.... канд. юрид. наук. М., 2003. С. 22; Он
же. Вредоносные программы: расследование и предупреждение преступлений. М, 2004.
С. 108-110; Нехорошее А.Б., Черкасов В.Н., Черноокое Д.Ю. Программа анализа про
граммного обеспечения компьютера // Судебная экспертиза на рубеже тысячелетий: Ма
териалы межвед. науч.-практ. конф.: В 3 ч. Саратов, 2002. Ч. 3. С. 167-169; Нехорошее
А.Б., Черкасов В.Н., Потоцкий ЕМ. Программа первоначального осмотра информации в
компьютере // Судебная экспертиза на рубеже тысячелетий: Материалы межвед. науч.-
практ. конф.: В 3 ч. Саратов, 2002. Ч. 3. С. 170-171; Яковлев AM. Программное обеспече
ние как инструмент исследования компьютерных систем // Человек как источник крими
налистически значимой информации: Материалы Всерос. межвед. научно-практ. конф. /
Под ред. А.М. Зинина, М.Н. Шухнина: В 2 ч. Саратов, 2003. Ч. 2. С. 214-216.
8 См.: Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления: Руково
дство по борьбе с компьютерными преступлениями. М„ 1999. С. 229-230.
ночного материала и бумаги определяется с учетом предполагаемою объема работы на месте происшествия.
Дня перевозки указанной специальной аппаратуры, а также ком-иыогерной техники, которая, возможно, будет изъята с места происшествия, нужно обеспечить следственную группу транспортом.
Дата добавления: 2015-09-03; просмотров: 82 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Понятие, задачи и особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации | | | Подготовительные действия следователя по прибытии на место происшествия |