Читайте также:
|
По прибытии на место происшествия следователь должен выполнить ряд мероприятий организационного характера. Прежде всего, необходимо блокировать доступ персонала ко всем компьютерам сети и серверу, чтобы никто не смог изменить или повредить информацию во время осмотра.
Чтобы исключить случайное или преднамеренное уничтожение компьютерной информации со стороны присутствующих в подлежащих осмотру помещениях, нужно предпринять соответствующие меры:
потребовать от персонала отойти от аппаратных средств компьютерной техники (СКТ) — компьютеров, периферийного оборудования, физических носителей машинной информации и не прикасаться к ним;
удалить всех посторонних, по возможности разместив их в помещении, исключающем использование любых средств связи;
выставить охрану у СКТ и электрических распределительных щитов, пультов;
при наличии локальной компьютерной сети, связывающей компьютеры, отсоединить удаленный доступ к системе извне» (например, отключить шнур модема от телефонного кабеля), блокировать выход сервера во внешнюю (глобальную) сеть, чтобы никто не смог изменить или повредить информацию во время осмотра;
установить, не запущена ли на ЭВМ программа уничтожения информации;
если, несмотря на предпринятые меры, такая программа все же запущена, предпринять действия по ее приостановлению (в этих целях компьютер может быть отключен от питания).
Некоторые авторы9 предлагают изымать у персонала организации, в которой производится осмотр, пейджеры, электронные записные книжки, ноутбуки, индивидуальные устройства отключения сигнализации автомобиля и т.п. Подобные рекомендации представляются нам жсьщ сомнительными. С самого начала работы следователь должен стремиться к созданию обстановки делового сотрудничества с работниками этой организации, а вышеназванные действия могут привести к конфронтации и отрицательно сказаться на результатах осмотра. Кроме того, нормы УПК РФ, регламентирующие производство осмотра помещений, не содержат указания на возможность совершения принудительных действий.
И все же на личных электронных записных книжках, ноутбуках, карманных компьютерах и т.п. может содержаться полезная для осмотра информация: пароли доступа, адреса Интернета, документы, взятые для домашней или мобильной работы (к мобильной относится вид работы с компьютером вне постоянного помещения, например, с ноутбуком на совещании, в командировке, в дороге и т.п.). Поэтому можно предложить владельцам личных СКТ добровольно сдать их на время осмотра, разъяснив, для чего это нужно, и предупредив, что изъятое будет возвращено владельцам по окончании следственного действия. В случае отказа от предоставления таких средств следует взять письменное объяснение у владельцев, мотивирующее отказ, или расписку о том, что они предупреждены о запрете пользования этими средствами во время осмотра.
Осмотр места происшествия неизбежно потребует от пострадавшей стороны времени и ресурсов в его поддержку. Если в духе сотрудничества с правоохранительными органами организация поможет следственной группе произвести копирование данных, сделать резервные копии файлов протоколов аудита, выделит опытных специалистов, то осмотр не прервет ее работу надолго, не потребует вывода всех компьютеров, позволит ограничиться извлечением резервных или побитных копий.
Проконсультировавшись со специалистом, можно предпринять шаги к уменьшению неудобств, создаваемых нормальной работе предприятия на период осмотра, например разрешить переключиться на резервную компьютерную систему. В бесконфликтной ситуации, характеризующейся совпадением интересов следователя и лиц, находящихся на объекте, подлежащем осмотру, достаточно попросить персонал приостановить текущую работу с компьютерной техникой, не использовать мобильную связь и перейти в другое помещение, где с ними смогут побеседовать оперативные работники милиции.
После этого, перед тем как приступить к непосредственному осмотру, нужно выполнить следующее:
1. Привлечь к осмотру компьютера или группы компьютеров, расположенных в одном или смежных помещениях, связанных в локальную сеть сетевого или системного администратора организации (системного программиста, системного инженера), отвечающего за осматриваемые компьютеры или знающего особенности их эксплуатации
Осмотр без системного администратора может оказаться неполноценным, поскольку ответственный за эксплуатацию сотрудник знает параметры, назначение и схему размещения осматриваемых технических средств по помещениям, их систему охраны и защиты, особенности запуска, пароль входа в компьютерную систему. Нужно установить, соединены ли компьютеры в локальную сеть, каковы схема их соединения и основные правила се безопасного использования10. У лица, отвечающего за эксплуатацию компьютерных систем, в присутствии привлеченного специалиста нужно выяснить тип используемой сетевой операцион- % ной системы и перечень прикладного программного обеспечения, используемого для работы сети и на рабочих местах; факт наличия и место хранения резервных копий серверных дисков, баз данных11.
9 См.: Куиширенко СП, Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях. СПб., 1998. С. 23, 30; Саятевскш М.В., Щербаковский М.Г., Губанов В.А. Осмотр компьютерных средств на месте происшествия. Харьков, 1999. С. 7.
См.: Салтевский М.В., Щербаковский М.Г., Губанов В.А. Указ. соч. С. 5-6. 11 См.: Российская Е.Р., УсовА.И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 108; Вещественные доказательства: Информационные технологии процессуального доказывания / Под ред. В.Я. Колдина. М., 2002. С. 643; Российская Е.Р. Криминалистика: Курс лекций. М., 2003. С. 406.
2. В присутствии специалистов порознь опросить очевидцев,
лиц, обнаруживших признаки преступления, и иных лиц, распо
лагающих сведениями, которые должны быть приняты во внима
ние при осмотре. Показания опрашиваемых целесообразно фик
сировать с помощью звукозаписи. В частности, у администратора
системы необходимо вгаяснить: какие операционные системы
установлены на сервере и пользовательских компьютерах; какие
системы защиты и шифрования разрешены к применению поль
зователями на рабочих местах; где хранятся файлы, к которым
можно получать доступ с рабочих мест, где и как создаются ре
зервные копии12; как зарегистрированы идентификаторы (имена и
пароли пользователей), кто, кроме администратора сети, имеет
наиболее полные права доступа в систему.
У администратора сети или конкретного сотрудника (оператора ЭВМ) выясняют, какие признаки, по его мнению, свидетельствуют о совершении преступления, когда и при каких обстоятельствах они обнаружены, какие действия предпринимались по устранению вредных последствий до прибытия следователя и другие подробности обнаружения происшествия.
3. Окончательно определить круг участников осмотра, пригласить понятых, если это не было сделано ранее; проконтролировать соответствие понятых требованиям ст. 60 УПК РФ; разъяснить участникам осмотра их права, обязанности и ответственность, а также порядок производства данного следственного действия, уведомить их о том, какие именно и кем будут применяться технические средства.
4. Если в процессе осмотра планируется использование специальной техники и программ для работы с компьютерной информацией, то перед применением они должны быть протестированы в присутствии понятых на предмет отсутствия в ней вредоносных программно-аппаратных средств и закладок13. Понятые извещаются о назначении и лицензионности программного обеспечения, которое будет применяться во время осмотра.
12 См.: Вещественные доказательства: Информационные технологии процессуаль
ного доказывания... М, 2002. С. 644; Российская ЕР. Криминалистика: Курс лекций. М,
2003. С. 402.
13 См.: Криминалистическая методика расследования отдельных видов преступле
ний / Под ред. А.П. Резвана, М.В. Субботиной. М., 2002. Ч. 2. С. 100.
I лава 3. Производство осмотра места происшествия
Дата добавления: 2015-09-03; просмотров: 140 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Действия следователя до выезда на место происшествия | | | Общий осмотр помещений с компьютерной техникой и рабочих мест 1 страница |