Типовые ситуации - наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования.
Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.
Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:1
1. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил от этом в правоохранительные органы.
2. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
3. Данные о нарушении целостности / конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
|
|
При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:
а) нарушения целостности / конфиденциальности информации в системе;
б) размера ущерба, причиненного нарушением целостности /конфиденциальности информации;
в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности /конфиденциальности информации в системе и характера совершенных виновным действий;
г) отношения виновного лица к совершенным действиям и наступившим последствиям.
Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:
а) личный обыск задержанного;
б) допрос задержанного;
в) обыск по месту жительства задержанного.
К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы в том числе должностных лиц. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.
Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий.
|
|
Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.
При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе доказательств:
а) нарушения целостности / конфиденциальности информации в системе;
б) размера ущерба;
в) причинной связи между действиями и наступившими последствиями.
Типичные следственные действия аналогичные первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.
Осуществляется поиск:
- места входа в информационную систему и способа входа в систему (с помощью должностных лиц);
- “путей следования” злоумышленника или его программы к “атакованной” системе (с помощью должностных лиц). Такое место может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура.
Круг типичных общих версий сравнительно невелик:
- преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;
- ложное заявление о преступлении.
Типичными частными версиями являются:
версии о личности преступника (ов);
версии о местах совершения внедрения в компьютерную систему;
версии об обстоятельствах, при которых было совершено преступление;
версии о размерах ущерба, причиненного преступлением.