Преступления в сфере компьютерной информации

Факт нарушения правил эксплуатации ЭВМ становится известным  в первую очередь обычно владельцам и пользователям компьютерной системы или сети вследствие обнаружения отсутствия необходимой информации или ее существенного изменения: негативно отразившегося на деятельности предприятия: организации: учреждения?

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного "административного" расследования: если таковое имело место? Оно проводится обычно службой информационной безопасности объекта: на котором имел место соответствующий инцидент? В этих материалах можно найти ответы на многие из вопросов: перечисленных выше?

По материалам служебного расследования могут быть установлены  также место: время преступного  нарушения правил и другие обстоятельства: подлежащие доказыванию? Если служебное  расследование не проводилось: подлежащие доказыванию обстоятельства устанавливаются лишь следственным путем?

При осмотре автоматизированных рабочих мест пользователя ЭВМ: системы  ЭВМ или их сети можно установить конкретное место нарушения правил эксплуатации ЭВМ?

Необходимо различать  место нарушения правил и место  наступления вредных последствий? Нередко они не совпадают: особенно при нарушении правил эксплуатации компьютерных сетей: которые: как известно: представляют собой объединение ряда персональных компьютеров: расположенных в различных местах: подчас на значительных расстояниях друг от друга?

При расследовании нарушения  правил эксплуатации компьютерной сети очень важно установить: где расположена  обычная станция: эксплуатация которой  осуществлялась с грубым нарушением правил информационной безопасности? В первую очередь необходимо определить места: где по схеме развертывания сети расположены рабочие станции: имеющие собственные дисководы: так как на них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерной сети? Это: например: возможность для нарушителя копирования данных с файлового сервера на свою дискету или использования дискеты с различными программами: в том числе с компьютерными вирусами? Такие действия: ставящие под угрозу целостность информации: содержащейся и центральных файловых серверах: исключены на бездисковых рабочих станциях? Рекомендуется производить следственный осмотр учетных данных: в которых могут быть отражены сведения о расположении конкретной рабочей станции: использующей файловый сервер?

Кроме того: могут быть допрошены в качестве свидетелей администратор сети и специалисты: обслуживающие файловый сервер: в котором произошло уничтожение: блокирование или модификация компьютерной информации?

Им могут быть заданы примерно следующие вопросы %

На какой рабочей  станции могли быть нарушены правила эксплуатации компьютерной сети: где она расположена;

Могли ли быть нарушены правила  эксплуатации данной локальной вычислительной сети на рабочей станции: расположенной  там-то;

Если правила нарушаются непосредственно на файловом сервере: то место нарушения этих правил может совпадать с местом наступления вредных последствий?

Место нарушения правил может быть установлено и по результатам  информационно-технической экспертизы: перед экспертами которой могут  быть поставлены вопросы %

1? На какой рабочей  станции локальной вычислительной  сети могли быть нарушены правила  ее эксплуатации: в результате  чего наступили вредные последствия;

2? Могли ли быть  нарушены правила эксплуатации  сети на рабочей станции: расположенной  там-то;

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать как время нарушения конкретных правил: так и время наступления вредных последствий?

Нарушение правил и наступление  вредных последствий могут произойти  одновременно? Например: при отключении электропитания в результате нарушения установленных правил обеспечения информационной безопасности может быть мгновенно уничтожена с трудом введенная в компьютер очень важная информация: которую не успели записать на дискету (в случае отсутствия запасных источников автономного питания: которые обычно автоматически подключаются при отключении основного)?

Но возможен также  значительный разрыв во времени между  моментом нарушения правил и временем наступления вредных последствий? Так: например: в определенный момент времени вносятся изменения в программу или базу данных в нарушение установленных правил и значительно позже наступают вредные последствия этого?

Время нарушения правил обычно устанавливается по учетным  данным: которые фиксируются в процессе эксплуатации ЭВМ? К ним относятся сведения о результатах применения средств автоматического контроля компьютерной системы: регистрирующих ее пользователей и моменты подключения к ней абонентов: содержание журналов учета сбойных ситуаций: передачи смен операторами ЭВМ: распечатки выходной информации: где: как правило: фиксируется время ее обработки? Указанные данные могут быть получены благодаря осмотру места происшествия: выемке и осмотру необходимых документов? Осмотр места происшествия и документов целесообразно проводить с участием специалиста? Время нарушения правил можно установить также путем допроса свидетелей из числа лиц: участвующих в эксплуатации ЭВМ? Допрашиваемым могут быть заданы примерно следующие вопросы %

Каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил (порядка)эксплуатации ЭВМ;

Когда могло быть нарушено определенное правило эксплуатации ЭВМ: вследствие чего наступили вредные  последствия;

При необходимости может  быть назначена судебная информационно-техническая экспертиза: перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы %

Как технически осуществляется автоматическая фиксация времени обращения  пользователей к данной компьютерной системе или сети и всех изменений: происходящих в их информационных массивах;

Можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ: если да: то когда  нарушение произошло;

Время наступления вредных последствий устанавливается по материалам служебного расследования: по результатам осмотра места происшествия: а также путем допроса свидетелей и производства судебных экспертиз?

При осмотре места  происшествия могут быть обнаружены машинные носители информации: на которых ранее хранились важные: охраняемые законом данные: которые вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными? На них может быть зафиксировано время наступления таких последствий: которое можно выявить при следственном осмотре: с помощью специалиста?

Указанные последствия  часто обнаруживаются пользователями компьютерной системы или сети: а  также администраторами базы данных? Поэтому при допросе их в качестве свидетелей следует выяснить: когда они впервые обнаружили отсутствие или существенное изменение той информации: которая находилась в определенной базе данных?

Время наступления вредных  последствий может быть установлено  в и результате производства информационно-технической экспертизы: при назначении которой перед экспертами целесообразно ставить следующие вопросы %

Как технически осуществляется автоматическая фиксация времени уничтожения  или изменения базы данных либо блокирования отдельных файлов;

Можно ли по стертым или  измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступления вредных последствий  и если да: то когда они наступили;

Способ нарушения  правил эксплуатации ЭВМ может быть как активным: так и пассивным? Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации: а второй - в невыполнении предписанных действий?

Механизм нарушения  таких правил связан с технологией обработки информации на ЭВМ? Это: например: неправильное включение и выключение ЭВМ: использование посторонних дискет без предварительной проверки на наличие в ней компьютерного вируса: невыполнение требования об обязательном копировании информации для ее сохранения на случай уничтожения первого экземпляра?

Способ и механизм нарушения правил устанавливается  путем допросов свидетелей: подозреваемых  и обвиняемых (желательно с участием специалистов): проведения следственного эксперимента: производства информационно-технической экспертизы?

При допросах выясняется последовательность той или иной операции на ЭВМ: которая привела к нарушению правил?

Характер ущерба: наносимого преступным нарушением правил эксплуатации ЭВМ: в общих чертах обозначен в диспозиции ст? 274 УК? Он может заключаться в уничтожении: блокировании или модификации охраняемой законом информации? Ущерб либо носит чисто экономический характер: либо вредит интересам государства вследствие утечки сведений: составляющих государственную тайну? Разглашение или утрата такой информации может нанести серьезный ущерб внешней безопасности Российской Федерации: что влечет также уголовную ответственность по статьям 283 и 284 УК?

Размер ущерба устанавливается  посредством информационно-экономической  экспертизы: перед которой целесообразно  ставить вопрос: "Какова стоимость информации: уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ"?

Степень секретности  информации устанавливается в соответствии с Законом "О государственной тайне"?

При установлении лица: допустившего преступное нарушение правил эксплуатации ЭВМ: следует иметь в виду: что виновным может быть согласно ч? 1 ст? 274 УК лицо: имеющее доступ к ЭВМ: системе ЭВМ или их сети? При этом необходимо различать лицо: имеющее доступ к ЭВМ: и лицо: имеющее доступ к компьютерной информации? кое лицо: допущенное к ЭВМ: имеет доступ к компьютерной информации? Доступ к ЭВМ: системе ЭВМ или сети: как правило: имеют определенные лица в силу выполняемой ими работы: связанной с применением средств компьютерной техники? Среди них и следует устанавливать нарушителей правил? В отношении каждого из них устанавливается:

фамилия: имя: отчество*

занимаемая должность (относимость к категории должностных лиц: ответственных за информационную безопасность и надежность работы компьютерного оборудования: либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети)*

образование*

специальность*

стаж работы по специальности  и на данной должности*

уровень профессиональной квалификации*

конкретные обязанности по обеспечению информационной безопасности и нормативные акты: которыми они установлены (договор: проектная документация на автоматизированную систему и пр?)*

причастность к разработке: внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети*

наличие и объем доступа  к базам и банкам данных*

данные: характеризующие  лицо по месту работы*

наличие домашнего компьютера и оборудования к нему?

Все это устанавливается  посредством допросов свидетелей: обвиняемого: осмотра эксплуатационных документов на данную компьютерную систему: осмотра компьютера: оборудования к нему: машинных носителей информации: распечаток?

Виновность  лица: совершившего преступное нарушение правил эксплуатации ЭВМ: устанавливается на основе анализа результатов всех проведенных в ходе расследования следственных действий? Соответствующие правила могут быть нарушены как умышленно: так и неосторожно? В отношении же последствий вина может быть только неосторожной? При умышленном нарушении рассматриваемых правил и наличии умысла на вредные последствия нарушения должна наступать ответственность за совокупность преступлений: например: при нарушении правил с целью повреждения компьютерного оборудования - по ст? 274 и 167 УК?

Обстоятельство: способствовавшие совершению данного преступления: выявляются путем изучения как общего состояния охраны информационной безопасности в определенной системе или сети: так и факторов: непосредственно обусловивших расследуемое событие?

Многие обстоятельства: способствовавшие нарушению правил эксплуатации ЭВМ: но установить по материалам служебного расследования?

Так: в связи с покушением на хищение более 68 млрд? рублей из Центрального банка РФ служебным расследованием: проведенным до возбуждения уголовного дела: были установлены причины: способствовавшие этому преступлению: главными их которых явились нарушения правил эксплуатации компьютерной системы осуществления безналичных расчетов: среди которых фигурировали: в частности: следующие %

ведение обработки платежных  документов без использования сертифицированных средств защиты*

слабые руководство  и контроль за технологическими процессами компьютерной обработки платежных  документов со стороны Управления безопасности??

Установлению криминогенных  факторов могут способствовать судебные экспертизы?

По уголовному делу о  хищении валютных средств во Внешэкономбанке: совершенных путем использования  компьютерных расчетов: комплексной  судебно-бухгалтерской и информационно-технической  экспертизой были установлены следующие  нарушения порядка эксплуатации компьютерной системы %

отсутствие организации  работ по обеспечению информационной безопасности*

нарушение технологического цикла проектирования: разработки: испытаний и сдачи в эксплуатацию программного обеспечения системы  автоматизации банковских операций*

совмещение функций  разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения: что позволяло разработчикам  после сдачи компьютерной системы  в промышленную эксплуатацию иметь  доступ к закрытой информации в нарушение установленных правил (под предлогом доводки программного обеспечения)*