Расследование в сфере компьютерной информации 7 вариант


План

Задание №1

Задание №2

Литература

Задание № 1.

В марте текущего года сотрудниками отдела «К» УСТМ ГУВД по г. Москве, в рамках проведения операции «Сеть-2010» и отработки оперативной информации об организованной группе лиц, занимающихся разработкой и распространением вредоносных программ для ЭВМ, на территории одного из торгово-выставочных центров проведен комплекс оперативно-розыскных мероприятий с последующей реализацией.

При осуществлении сбыта компакт-дисков, содержащих вредоносные программы для ЭВМ (компьютерные вирусы, программы для взлома компьютерных сетей), задержан гр-н Колосов С.А. У него обнаружены машинные носители информации, содержащие 765 вредоносных программ.

  1. Определите, какой документ будет являться поводом для возбуждения уголовного дела в указанной ситуации.
  2. Перечислите действия которые необходимо выполнить для проверки данного сообщения.

Решение

Поводом для возбуждения уголовного дела является получение оперативной информации и обнаружение машинных носителей информации, содержащих 765 вредоносных программ.

Документом о возбуждении уголовного дела послужат результаты экспертизы, показавшей, что обнаруженные машинные носители информации содержат 765 вредоносных программ.

Действия которые необходимо выполнить для проверки данного сообщения:

  1. Изъять машинные носители информации.
  2. Провести экспертизу этих носителей.
  3. Изъять диски с вредоносными программами.
  4. Провести экспертизу этих дисков.

Задание № 2.

Особенности возбуждения уголовного дела о преступлении в сфере компьютерной информации.

В зависимости от содержания исходной информации о происшедшем событии следователь имеет возможность до возбуждения уголовного дела провести предварительную проверку фактов, изложенных в сообщении о преступлении. Естественно, такая проверка не является стадией предварительного расследования, однако, она типична для преступлений рассматриваемой категории. Ее проводят в сроки, жестко регламентированные действующим национальным уголовно–процессуальным законом. В УПК России они определены ч.ч. 1 и 3 ст. 144.

 Практика раскрытия компьютерных преступлений показывает, что целесообразно составить план предварительной (доследственной) проверки. В нем должны быть отражены следующие позиции:

  1. Истребование необходимых материалов (документов), свидетельствующих о противоправности события либо отражающих незаконность проведения операции с использованием компьютерной информации.
  2. Анализ полноты комплекта и содержания документов, подтверждающих противоправность исследуемого деяния.
  3. Проверка подлинности и действительности документов, имеющихся в распоряжении органа дознания, дознавателя или следователя.
  4. Вопросы лицам, на которых ссылается заявитель или имеются данные о них как о возможных свидетелях происшедшего события.
  5. Получение объяснения от заявителя и возможных свидетелей (очевидцев) события.
  6. Предварительное исследование предметов и документов – возможных орудий преступления (программ для ЭВМ, баз данных, отдельных файлов и других электронных документов, машинных носителей информации, специальных технических средств для негласного получения (блокирования, уничтожения) охраняемой законом информации).
  7. Ознакомление с технологией использования документированной компьютерной информации в конкретном технологическом процессе или операции.
  8. Изучение правовой основы операции, итогом которой явилось событие, изложенное в сообщении о преступлении.
  9. Консультации со специалистами.

В плане могут быть предусмотрены и другие проверочные и ознакомительные действия, которые не являются следственными.
С учетом данных, полученных в результате доследственной проверки поступивших материалов, принимается решение о возбуждении уголовного дела, об отказе в его возбуждении или передаче сообщения о преступлении по подследственности.

Для принятия обоснованного решения о возбуждении уголовного дела о компьютерном преступлении в распоряжении следователя (дознавателя) должны находится следующие сведения и документы:

  1. Письменное заявление потерпевшего либо протокол устного заявления о преступлении.
  2. Объяснение заявителя, в котором содержатся данные о времени и месте совершения преступления, предмете преступного посягательства и его индивидуальных признаках (название электронного реквизита (логина, пароля, номера пластиковой карты) или документа (файла, домена, адреса электронной страницы), место его нахождения, особые условия доступа к нему и его машинному носителю и др.).
  3. Документы либо их копии, подтверждающие право собственности, владения или пользования компьютерной информацией, подвергшейся преступному воздействию либо отражающие неправомерно совершенную операцию (договор на получение услуг Интернет, электросвязи или на обслуживание по банковской карте; пластиковая карта; свидетельство о праве собственности на программу для ЭВМ или базу данных и иной оформленный надлежащим образом документ; счет по оплате услуг Интернет или электросвязи; выписка (биллинг) по банковским операциям, осуществленным с использованием специального карточного счета).
  4. Рапорт об обнаружении признаков преступления и приложенные к нему материалы, полученные в ходе производства оперативно–розыскных мероприятий, ревизий, документальных и иных проверок.
  5. Письменное заключение специалиста о производстве предварительного исследования вещественных доказательств, а также по вопросам, поставленным перед ним лицом, производившим предварительную проверку материалов, содержащих признаки компьютерного преступления.
  6. Идентификационные данные о пользователе (владельце, собственнике) ЭВМ, системы ЭВМ или их сети, осуществившем несанкционированный дистанционный доступ к охраняемой законом компьютерной информации, например, логин и пароль для доступа в сеть Интернет, а также номер абонента сети электросвязи (номер телефона), с помощью которых был осуществлен такой доступ.
  7. Протокол осмотра места происшествия – места обнаружения следов преступления с обязательным осмотром ЭВМ, машинных носителей и содержащейся на них компьютерной информации. В этом процессуальном документе должны быть отражены данные, подтверждающие факты, изложенные заявителем (потерпевшим).
  8. Документы, подтверждающие факт распространения вредоносных программ для ЭВМ, машинных носителей с такими программами, а также контрафактной продукции (кассовый или товарный чек, протокол проверочной закупки или иного оперативно–розыскного мероприятия, а также соответствующие приложения к нему).

Все вышеуказанные документы и содержащиеся в них сведения необходимо оценить с позиций законности, достоверности и достаточности для принятия того или иного процессуального решения.
На момент принятия решения о возбуждении уголовного дела по признакам компьютерного преступления, как правило, складываются следующие исходные следственные ситуации:

  1. Информация о причинах возникновения общественно опасного деяния, способе его совершения и личности правонарушителя отсутствует.
  2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

III. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие первоначальные следственные действия, оперативно-розыскные и организационные мероприятия:

  1. Опрос (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей.
  2. Решение вопроса о возможности задержания преступника с поличным и необходимости проведения в связи с этим оперативно-розыскных мероприятий, следственных действий либо тактической операции.
  3. Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее). Подготовка соответствующих научных и технико-криминалистических средств и материалов.
  4. Осмотр места происшествия.
  5. Проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств.
    6. Выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов (в том числе, находящихся в электронной форме на машинных носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным были совершены преступные действия.
  6. Допросы свидетелей (очевидцев).
  7. Допросы подозреваемых (свидетелей), ответственных за данный участок работы, конкретную производственную операцию и защиту информации. Проверка их по централизованным розыскным и криминалистическим учетам: направление стандартного запроса в ГИЦ МВД России (для стран Содружества независимых государств – СНГ), а также в Национальное центральное бюро Интерпола.
  8. Обыски на рабочих местах и по месту проживания (в жилище) подозреваемых.
  9. Назначение судебной компьютерно-технической, радиотехнической, бухгалтерской и иных экспертиз.

Дальнейшие действия планируются с учетом информации, полученной от реализации вышеуказанного алгоритма.

Для третьей следственной ситуации может быть предложена следующая программа расследования и действий следователя (дознавателя) на первоначальном этапе:

  1. Изучение поступивших материалов доследственной проверки с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка передачи в органы следствия. При необходимости, принимаются меры к получению недостающей информации путем возвращения материалов в орган дознания с соответствующим письменным указанием о проведении дополнительных проверочных действий, проведении дополнительных проверочных действий, оперативно-розыскных мероприятий и следственных действий.
  2. Возбуждение уголовного дела.
  3. Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее). Подготовка соответствующих научных и технико-криминалистических средств и материалов.
  4. Осмотр места происшествия.
  5. Личные обыски задержанных, их рабочих мест и места проживания (жилища).
  6. Допрос подозреваемых.
  7. Выемка и осмотр вещественных доказательств.
  8. Изъятие и осмотр подлинных документов, удостоверяющих личность задержанных, а также документов, характеризующих те производственные операции, в процессе которых допущены нарушения и обнаружены преступные действия (в том числе документов на машинных носителях и машинограмм).
  9. Допрос лиц, названных в документах, переданных в органы предварительного расследования, как допустивших нарушения, ответственных за работу конкретных ЭВМ и других компьютерных устройств, по фактам установленных нарушений.
  10. Проверка подозреваемых по централизованным розыскным и криминалистическим учетам: направление стандартного запроса в ГИЦ МВД России (для стран Содружества независимых государств – СНГ), а также в Национальное центральное бюро Интерпола.
  11. Истребование, а при необходимости производство выемки:

а) нормативных актов и документов, характеризующих порядок и организацию работы на предприятии – месте обнаружения следов преступления (в т. ч. с охраняемой законом информацией, бланками строгой отчетности, по использованию ЭВМ и т. п.);

б) документов, отражающих работу субъекта с конкретной компьютерной информацией – предметом преступления, ЭВМ или системой ЭВМ, например, журнала оператора ЭВМ, электронного журнала фиксации осуществленных операций, электронного реестра регистрации соединений абонентов в сети ЭВМ или электросвязи.

  1. Допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с лицами, совершившими преступные действия.
  2. Анализ полученной информации и решение вопроса о необходимости назначения экспертиз, проведения ревизии, документальной или иной проверки, в том числе повторной (по каким позициям, за какой период и с участием каких специалистов).

С учетом специфики компьютерных преступлений в направляемых для возбуждения уголовного дела материалах должны содержаться:

  • сопроводительное письмо руководителя органа дознания (оперативной службы);
  • рапорт сотрудника, проводившего оперативно-розыскные и иные мероприятия;
  • документы, фиксирующие этапы проведения оперативно-розыскных мероприятий (за исключением сведений, составляющих государственную тайну);
  • протоколы наблюдений и контрольных закупок (при продаже, распространении компакт-дисков с вредоносными компьютерными программами);
  • протоколы и стенограммы прослушивания телефонных переговоров и иных сообщений (радиообмена, пейджинговых, модемных, иных), перехвата информации с иных каналов связи, свидетельствующие о неправомерной деятельности подозреваемых лиц (необходимо иметь в виду, что согласно действующему законодательству указанные оперативно-розыскные мероприятия могут проводиться только на основании судебного решения и только в отношении преступлений особо тяжких, тяжких и средней тяжести);
  • протоколы перехвата и регистрации информации электронной почты лиц, причастных к преступлению;
  • протоколы оперативного наблюдения с приобщенными фото- и видео- кадрами;
  • материалы оперативных экспериментов;
  • протоколы изъятия образцов для сравнительного исследования с участием специалистов;
  • протоколы (акты) изъятия компьютерной техники (машинных носителей) либо отражение такого изъятия непосредственно в протоколах оперативно-розыскных мероприятий (следует обратить внимание на тот факт, что доказательства, изъятые в ходе проведения оперативно-розыскных мероприятий, в соответствии со ст. 89 УПК РФ должны отвечать требованиям, предъявляемым к доказательствам, указанным Кодексом (разъяснение соответствующих прав лицам, присутствующим при изъятии, присутствие общественных наблюдателей и т.п.). В противном случае доказательства, полученные таким образом не будут легитимными и не могут быть положены в основу приговора. Соответственно, теряется какая-либо целесообразность проведения судебных экспертиз по изъятым объектам);
  • бумажные распечатки информации с изъятых машинных носителей информации и информации, находившейся на жестком диске переносного компьютера подозреваемого (при негласном снятии информации или при добровольной выдаче компьютерного оборудования);
  • материалы лабораторных исследований содержимого системных блоков и машинных носителей, изъятых у подозреваемого;
  • протоколы изъятия и осмотров финансовых документов, кассовых чеков, свидетельствующих о внесенных изменениях в базы данных компьютеров, некоторых видов кассовых аппаратов, являющихся разновидностью компьютеров;
  • протоколы использования специальных химических средств (химловушек) при фиксации использования компьютерного оборудования в целях неправомерного доступа, краж машинных носителей информации;
  • объяснения должностных и иных лиц;
  • инструкции, справки, другие документы и материалы.

Если представленных материалов для возбуждения уголовного дела, по мнению прокурора, недостаточно, постановление о возбуждении уголовного дела должно быть отменено в течение 24 часов с момента получения материалов, послуживших основанием для возбуждения уголовного дела.

Литература:

  1. Россинская Е.Р. Судебные компьютерно-технические экспертизы // Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе. – М., 2005.
  2. Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. – М., 2001. – Раздел I, глава 1, п. 1.4, глава 2.
  3. Тушканова О.В. Терминологический справочник судебной компьютерной экспертизы: Справ. пособие. – М., 2005.
  4. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учеб. пособие / Под ред. проф. Е.Р. Россинской. – М., 2008.