Первоначальные действия в случаях обнаружения признаков преступлений в сфере компьютерной информации.

Для преступлений в сфере компьютерной информации характерны следующие типовые ситуации первоначального этапа расследования.

№
Типовые ситуации
Общие версии (т.е. версии о преступлении в целом)
Частные версии (т.е. версии о каких-либо элементах преступления)
Начальная задача расследования: определить свидетельскую базу и круг лиц, причастных к этому деянию + выявить размер ущерба .

Собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфиденциальности информации в системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы.

Преступление действительно имело место при тех обстоятельства, которые вытекают из первичных материалов расследования.
Версии о личности преступника
Обнаружение, фиксация, закрепление и изъятие следов криминальной деятельности.

Собственник самостоятельно выявил названные нарушения в системе, но не смог обнаружить виновное лицо и заявил об этом в органы.

Преступления не было вовсе, а заявитель добросовестно заблуждается.
Версии о местах внедрения в компьютерные системы
Выявление данных о способе нарушения целостности и конфиденциальности информации

Данные о нарушении целостности и (или) конфиденциальности информации в системе и виновном лице непосредственно обнаружены органом дознания (например, по другому делу).

Ложное заявление о преступлении.
Версии об обстоятельствах, при которых было совершено преступление.
Выявление данных о порядке регламентации собственником работы информационной системы

Данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и виновном лице стали общеизвестны.

Версии о размерах ущерба, причиненного преступлением.
Получение данных о круге лиц, имеющих возможность работать в информационной системе, в которой совершены действия.

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и её пользователями.
Каковы признаки вторжения в ЭВМ, вызывающие подозрение и необходимые для отражения в ходе осмотра?
1. Изменения заданной в предыдущем сеансе работы с ЭВМ структуры файловой системы, в том числе:
- Переименование каталогов и файлов,
- Изменение размеров и содержимого файлов,
- Изменения стандартных реквизитов файлов,
- Появление новых каталогов и файлов.
2. Изменения в заданной ранее конфигурации компьютера, в том числе:
- Изменение картинки и цвета экрана при включении,
- Изменение порядка взаимодействия с периферийными устройствами, например, с принтером, Ethernet-адаптером.
- Появление новых и удаление прежних устройств.
3. Необычные проявления в работе ЭВМ:
- Замедленная или неправильная загрузка операционной системы.
- Замедление реакции машины на ввод с клавиатуры.
- Замедление работы машины с внешними устройствами.
- Неадекватные реакции ЭВМ на команды пользователя, появление на экране нестандартных символов.

Признаки 1 и 2 могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил её эксплуатации (ст. 272 – 273). Признак 3 помимо этого может свидетельствовать и о появлении в ЭВМ вредоносной программы.
Следовательно, наибольшее значение на данном этапе имеют результаты осмотра ЭВМ и машинных носителей, в ходе которого фиксируются следы нарушения целостности и (или) конфиденциальности информационной системы и её элементов. Анализ первичных данных о расследуемом событии позволяет конкретизировать механизм совершенного преступления и определить дальнейшие направления расследования и розыскных мероприятий. Важную роль играют действия собственника информационной системы и его сотрудников, которые в отдельных случаях могут выступать в качестве специалистов при производстве следственных действий.

ЕСЛИ ПОДОЗРЕВАЕМЫЙ УЖЕ ИМЕЕТСЯ
ЕСЛИ ПОДОЗРЕВАЕМЫЙ НЕ УСТАНОВЛЕН
Если подозреваемый уже имеется, то задача следствия заключается в сборе и процессуальной фиксации доказательств:
- нарушения целостности информации в системе,
- размера ущерба
- причинной связи между действиями, образующими способ нарушения и наступившими последствиями,
- способа нарушения целостности информации в системе и характера совершенных виновным действий.

Задача следствия заключается в сборе и процессуальной фиксации доказательств:
- Нарушения целостности информации в системе.
- Размера ущерба.

Если преступник задержан на месте совершения преступления, то действия следующие:
- Личный обыск задержанного.
- Допрос задержанного.
- Обыск по месту жительства задержанного.
Типичные следственные действия на данной стадии:
- Осмотр и фиксация состояния ЭВМ и машинных носителей. При этом важна выемка (с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ, отражающих последствия вторжения.
- Фиксация состояния рабочего места заподозренного, откуда он совершил вторжение, и где могут сохраниться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура (например, интернет-кафе).
- Допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в т.ч. должностных лиц собственника системы.
Полученные доказательства могут обеспечить основания для принятия решения о привлечении лица в качестве подозреваемого или сразу в качестве обвиняемого.

Принимаются меры к розыску виновного и к поиску его рабочего места, откуда было совершено преступление.
Осуществляется поиск:
1. Места входа в информационную систему и способа входа (с помощью должностных лиц информационной системы).
2. Путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы (с должностными лицами собственника информационной системы).
Розыск виновного может осуществляться с привлечением ресурсов Интерпола. Для запроса в Интерпол необходимы точные сведения о:
- потерпевшей стороне,
- способе совершения преступления,
- адресах (в том числе сетевых), с которых производилась передача информации,
- адресе, на который производилась передача информации,
- дате и времени начала, продолжительности и окончании противоправных действий.

Не сдавайте скачаную работу преподавателю!

Данный конспект лекций Вы можете использовать для создания шпаргалок и подготовки к экзаменам.

Доработать Узнать цену работы по вашей теме

Поделись с друзьями, за репост + 100 мильонов к студенческой карме :

Заказать работу:

!	Курсовая работа
!	Дипломная работа
!	Реферат
!	Решение задач
!	Отчет по практике
!	Контрольная работа

Пишем конспект самостоятельно:

!	Как написать конспект Как правильно подойти к написанию чтобы быстро и информативно все зафиксировать.

Другие популярные конспекты:

Конспект	Движение тел в жидкостях и газах.
Конспект	Основные проблемы и этапы развития средневековой философии
Конспект	СОЕДИНЕНИЕ ПЛАНЕТЫ С ЛУННЫМИ УЗЛАМИ.
Конспект	Основы финансовых вычислений
Конспект	Лекция 1. История возникновения и развития межкультурной коммуникации
Конспект	Проблема познаваемости мира. Гносеологический оптимизм, скептицизм, агностицизм. Взаимосвязь субъекта и объекта познания
Конспект	Внутренняя политика первых Романовых.
Конспект	Понятие финансовой устойчивости организации
Конспект	Синтагматические, парадигматические и иерархические отношения в языке
Конспект	Техника безопасности при работах на высоте и за бортом судна

Сейчас смотрят :

Конспект	Тема 1.2. Плоская система сходящихся сил. Определение равнодействующей геометрическим способом 13
Конспект	Общая характеристика процессов сбора, передачи, обработки и накопления информации
Конспект	Европа в период Реформации и Контрреформации.
Конспект	Тема 1.6.2. Общение в сестринском деле.
Конспект	Понятие мировоззрения, его уровни и структура. Исторические типы мировоззрения

Конспект лекций по предмету "Информатика"

Первоначальные действия в случаях обнаружения признаков преступлений в сфере компьютерной информации.

Другие популярные конспекты:

Сейчас смотрят :