Рекомендации по осмотру
Осмотр места происшествия должен начинаться с тщательной подготовки, заключающейся в уточнении его границ, выборе необходимых специалистов, технических средств и четком определении его объектов. Целесообразно обратиться к помощи службы безопасности той организации, в которой обнаружено правонарушение'.
По прибытии на место происшествия следует принять меры к обеспечению сохранности информации в находящихся здесь компьютерах и на магнитных носителях, для чего необходимо:
а) не разрешать кому бы то ни было из лиц, работающих в это время или находящихся здесь по другим причинам, прикасаться к компьютерному оборудованию;
6) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;
в) не производить самому никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.
* Согласно п. 4 ст. 21 Федерального закона «Об информации, информатизации и защите информации», организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, должны создавать специальные' службы, обеспечивающие ее защиту.
При проведении осмотра необходимо принять во внимание следующие неблагоприятные факторы:
а) возможные попытки уничтожить информацию и ценные данные лицами из числа персонала, заинтересованными в сокрытии преступления;
б) наличие в ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожают всю информацию;
в) возможное наличие в ЭВМ иных средств защиты информации от несанкционированного доступа и прочие неожиданности.
В связи с изложенным крайне важно участие специалистов на самом первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудова- • ния и машинных носителей информации, но и указать, что подлежит^ изъятию. Профиль нужного специалиста определяется в зависимости;
от целей и задач осмотра с учетом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких;
специалистов, в том числе программиста по операционным системам и, прикладным программам, электронщика, хорошо знающего компью-;
терную технику, специалиста по средствам связи, а также техника-кри- ' миналиста. Последний необходим для обнаружения и сбора традиционных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др., шифрованных рукописных записях и пр.
Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства.
В ходе общего осмотра необходимо наметить план детальных действий. Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы:
1) служебное помещение;
2) средства вычислительнойтехники;
3) носители информации;
4)документы.
Осмотр служебного помещения.Он необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение,
где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В процессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты;
микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха). Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии — сначала общий вид его, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока — по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).
Осмотр средств вычислительной техники. Непосредственными объектами осмотра могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей;
рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. Приих осмотре в протоколе следует отразить:
1. Положение переключателей на блоках и устройствах вычислительной техники.
2. Состояние индикаторных ламп.
3. Содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло.
4. Состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры).
5. Наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования.
6. Механические повреждения.
7. Наличие внутри компьютерной техники нештатной аппаратуры и различных устройств.
8. Следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.
Помимо этих общих положений необходимо отметить особенности осмотра работающего и неработающего компьютера.
При осмотре работающего компьютера следует с участием, специалиста:
1) установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись);
2) по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания ее работы;
3) определить и восстановить наименование вызывавшейся последней раз программы;
4) установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стриммеры, оптические диски), их тип (вид) и количество;
5) скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).
Если компьютер подключен к локальной сети, то необходимо'.
1. Установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети.
2. По возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
Осматривая с участием специалиста неработающий компьютер, нужно:
1. Определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них.
2. Установить порядок соединения между собой вышеуказанных устройств^ количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения.
3. Проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.
Надо иметь в виду, что в отличие от работающего компьютера неработающий лишен таких признаков, как светящееся изображение на
экране дисплея, свечение индикаторов на передних панелях системного блока, шум внутренних вентиляторов.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
1. Все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством.
2. Не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не допустить ущерба компьютерной системе.
3. Вскрытие и демонтаж компьютерного оборудования производить только с участием специалиста.
4. Не допускать попадания мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров.
5. Применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.
Осмотр носителей машинной информации. Он производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оперативные запоминающие устройства (ОЗУ), постоянно запоминающие устройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).
При осмотре необходимо указать в протоколе:
1. Место обнаружения каждого носителя информации (стол, шкаф, сейф), температуру воздуха, при которой он хранился.
2. Характер его упаковки (конверт, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности.
3. Тип и размер носителя (в дюймах).
4. Изготовитель, плотность записи и номер (если они обозначены на дискете), состояние средств записи от стирания (открытые или отломанные шторки на дискетах и кассетах).
5. Особые приметы на машинных носителях (царапины, иные повреждения, гравировки и пр.).
6. Тип компьютера, для которого предназначен обнаруженный носитель (его марка, фирма-изготовитель).
Нужно помнить о наличии дискет, принесенных со стороны, которые могут содержать вредоносные программы (компьютерные вирусы) либо незаконно скопированную информацию.
Обращаться с магнитными носителями информации следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать диски, не хранить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.
Осмотр документов. Это могут быть: журналы учета работы на компьютере (если они ведутся), листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и прочая документация (инструкции, положения, правила, уставы, технорабочие проекты на автоматизированную информационную систему (АИС), договоры, контракты, соглашения и т.д.).
Особое внимание нужно обратить на: подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы, листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.
Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.
В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила упаковки и транспортировки:
1. Упаковку желательно производить в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она сохранилась).
2. Сменные носители компьютерной информации (дискеты, лазерные диски, магнитные ленты стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтиленовый), при их отсутствии можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия целесообразно маг
нитный носитель информации поверх конвертов обернуть в бытовую алюминиевую фольгу.
3. Технические устройства при отсутствии заводской тары упаковываются в деревянные ящики, используя для внутренних перегородок прокладки из упругого материала (гофрированного картона, пенопласта, толстого слоя бумаги).
4. Опечатать упаковку и снабдить ее удостоверительными надписями. '
Вопросы упаковки компьютерной техники желательно уточнить со специалистом.
Что касается транспортировки, то ее необходимо осуществлять так, чтобы не допустить:
1) механического воздействия на аппаратуру;
2) влияния атмосферных факторов (дождя, снега, повышенной влажности);
3) воздействия электромагнитных излучений;
4) влияния слишком высоких и низких температур, помня, что для аппаратуры, содержащей в себе магнитные носители информации, они должны храниться в диапазоне температуры от 0 до 50°С.
Типичные ошибки при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
1. Несоблюдение правил обращения с вычислительной техникой и носителями компьютерной информации.
2. Отсутствие чистой дискеты для неотложного копирования информации, содержащейся в оперативном запоминающем устройстве и там, где она может быть быстро уничтожена при отключении электропитания компьютерного оборудования или по другим причинам.
3. Употребление в тексте протокола осмотра непонятных технических и профессиональных терминов, используемых в информатике, без доступного пояснения.
4. Необоснованное изъятие отдельных технических средств и компьютерного оборудования, так сказать «на всякий случай».
5. Использование вместо копий подлинных носителей машинной информации для пробного включения компьютеров в процессе осмотра места происшествия (особенно программ для ЭВМ).
6. Нарушение правил упаковки и транспортировки компьютерной техники и машинных носителей информации.
Дата добавления: 2020-08-31; просмотров: 403;