Эксплуатации ЭВМ, их системы или сети

Большой ущерб ЭВМ, их системе или сети может причинить

нарушение правил эксплуатации, обычно приводящее к сбоям в

обработке информации, а в конечном счете — дестабилизирую-

щее деятельность соответствующего предприятия, учреждения

или организации.

При расследовании дел данной категории необходимо прежде

всего доказать факт нарушения эксплуатационных правил, по-

влекший уничтожение, блокирование или модификацию компью-

терной информации с причинением существенного вреда. Кроме

того, следует установить и доказать:

а) место и время (период времени) нарушения правил экс-

плуатации ЭВМ, их системы или сети;

б) характер компьютерной информации, подвергшейся вследст-

вие этого уничтожению, блокированию или модификации;

в) способ и механизм нарушения правил;

г) характер и размер причиненного ущерба;

д) факт нарушения правил определенным лицом и виновность

последнего.

Доказывая факт преступного нарушения правил эксплуата-

ции ЭВМ, необходимо тщательно изучить пакет документов об

эксплуатации данной компьютерной системы или сети, обеспече-

нии их информационной безопасности. Правила должны опреде-

лять порядок получения, обработки, накопления, хранения, поис-

ка, распространения и представления потребителю компьютер-

ной информации, а также ее защиты от неправомерных посяга-

тельств. Правила могут быть общими и особенными — установ-

ленными собственником или владельцем информационных ре-

сурсов, систем, технологий и средств их обеспечения.

Статья 274 УК РФ охраняет информацию, имеющую ограни-

ченный доступ. Такая информация по условиям правового режи-

ма использования подразделяется на отнесенную к государст-

венной тайне и конфиденциальную. Именно эти две категории

сведений, циркулирующих в компьютерных системах и сетях,

нуждаются в особой защите от противоправных посягательств.

Порядок накопления, обработки, предоставления пользовате-

лю и защиты информации с ограниченным доступом определяет-

§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 727

ся органами государственной власти либо собственником таких

сведений. Соответствующие правила установлены в органах го-

сударственной исполнительной власти, в государственных архи-

вах, информационных системах, обрабатывающих конфиденци-

альную информацию и ту, которая составляет государственную

тайну. Для определения размера ущерба, причиненного преступ-

ным нарушением правил эксплуатации ЭВМ, их системы или се-

ти, степень секретности и конфиденциальности информации име-

ет решающее значение.

Такие факты становятся известными в первую очередь вла-

дельцам и пользователям системы или сети ЭВМ, когда они об-

наруживают отсутствие необходимой информации либо ее суще-

ственные изменения. В соответствии с Федеральным законом от

20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации

и защите информации» владелец документов, их массива или

информационной системы обязан оповещать их собственника

обо всех фактах нарушения установленного режима защиты ин-

формации.

Для конкретизации правила, нарушение которого привело к

вредным последствиям, необходимо допросить всех лиц, рабо-

тавших на ЭВМ и обслуживавших компьютерное оборудование в

интересующий следствие период времени. К участию в допросе

целесообразно привлечь специалиста.

Подлежат выяснению следующие вопросы:

1) круг обязанностей допрашиваемого при работе с ЭВМ либо

ее оборудованием, какими правилами они установлены;

2) какая конкретно работа на ЭВМ и в каком порядке выпол-

нялась, когда произошло уничтожение, блокирование, изменение

компьютерной информации или наступили иные вредные послед-

ствия;

3) какие неполадки в компьютерной системе обнаружились

при работе на ЭВМ, не было ли при этом каких-либо сбоев, чре-

ватых причинением существенного вреда;

4) какие конкретно правила работы с компьютером были в

данной ситуации нарушены;

5) каким образом должны фиксироваться факты уничтожения,

блокирования или модификации компьютерной информации в

случае нарушения определенных правил эксплуатации ЭВМ;

6) связаны ли уничтожение, блокирование, модификация ин-

формации с нарушением правил эксплуатации ЭВМ и каких

именно, либо они явились следствием непредвиденных обстоя-

тельств.

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

Факт нарушения правил эксплуатации ЭВМ может быть уста-

новлен по материалам служебного расследования. Обычно оно

проводится отделом информационной безопасности предпри-

ятия, на котором произошел уголовнонаказуемый инцидент. В

этих материалах можно найти предварительные ответы на мно-

гие из вышеприведенных вопросов. По этим материалам могут

быть установлены также место и время преступного нарушения

правил, другие обстоятельства, подлежащие доказыванию.

Конкретное место нарушения правил эксплуатации ЭВМ мож-

но определить при осмотре автоматизированных рабочих мест

пользователей компьютерной системы или сети всех подключен-

ных к ним ЭВМ. Осмотр должен проводиться с участием специа-

листа, помогающего выяснить дислокацию компьютера, работа

на котором привела к вредным последствиям из-за преступного

нарушения правил его эксплуатации.

Необходимо различать место нарушения правил и место на-

ступления вредных последствий. Они не всегда совпадают, осо-

бенно когда нарушаются правила эксплуатации компьютерных

сетей, в которых персональные ЭВМ подчас расположены на

весьма значительных расстояниях друг от друга.

При расследовании данной категории дел очень важно уста-

новить, где расположена станция, эксплуатация которой велась с

грубыми отступлениями от требований информационной безо-

пасности. В первую очередь следует определить места, где по

схеме развертывания сети дислоцированы рабочие станции,

имеющие собственные дисководы, так как именно там имеется

возможность для преступных нарушений правил эксплуатации

компьютерной сети. Это, например, возможность скопировать

данные с файлового сервера на свою дискету либо использовать

дискеты с различными программами, в том числе зараженными

компьютерными вирусами. Такие действия, ставящие под реаль-

ную угрозу целостность информации, содержащейся в централь-

ных файловых серверах, на бездисковых рабочих станциях

должны быть исключены.

Рекомендуется производить следственный осмотр учетных

данных, в которых могут быть отражены сведения о расположе-

нии конкретной рабочей станции, использующей файловый сер-

вер. Кроме того, необходимо допросить в качестве свидетелей

администратора сети и специалистов, обслуживающих файловый

сервер, в котором произошло уничтожение, блокирование или

модификация компьютерной информации.

§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 729

Подлежат выяснению следующие вопросы:

1) на какой рабочей станции могли быть нарушены правила

эксплуатации компьютерной сети, где она расположена;

2) могли быть нарушены правила на конкретной рабочей

станции и какие именно.

Если правила нарушены непосредственно на файловом сер-

вере, то места нарушения и наступления вредных последствий

совпадают.

Место нарушения правил может установить и информацион-

но-техническая экспертиза, если перед ней поставлен вопрос: на

какой конкретно рабочей станции локальной вычислительной

сети были нарушены правила ее эксплуатации, что повлекло на-

ступление вредных последствий?

При определении времени нарушения правил эксплуатации

ЭВМ необходимо установить и зафиксировать еще и время на-

ступления вредных последствий. Нарушение правил и наступле-

ние таких последствий могут произойти одновременно. Так, при

отключении электропитания вследствие нарушения установлен-

ных правил обеспечения информационной безопасности может

быть мгновенно уничтожена введенная в ЭВМ информация, кото-

рую не успели записать на дискету. Это неизбежно происходит в

случае отсутствия источников автономного электропитания, ав-

томатически вводимых в действие при отключении основного.

Возможен и большой временной интервал между моментом

нарушения правил и моментом наступления вредных последст-

вий. Например, в определенный промежуток времени злоумыш-

ленник в нарушение установленных правил изменяет программу

или базу данных, а вредные последствия наступают значительно

позже.

Время нарушения правил обычно конкретизируется по учет-

ным данным, которые фиксируются в процессе эксплуатации

ЭВМ. К ним относятся данные о результатах применения

средств автоматического контроля компьютерной системы, ре-

гистрирующих ее пользователей и моменты подключения к ней

абонентов, содержание журналов учета сбойных ситуаций, пе-

редачи смен операторами ЭВМ, распечатки выходной инфор-

мации, где, как правило, фиксируется время ее обработки.

Указанные данные могут быть получены благодаря осмотру

места происшествия, выемке и осмотру необходимых докумен-

тов. Осмотр места происшествия и документов проводится с обя-

зательным участием специалиста.

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

Время нарушения правил можно установить также путем до-

просов свидетелей из числа лиц, участвующих в эксплуатации

ЭВМ. Допрашиваемым необходимо задать следующие вопросы:

1) каким образом в данной компьютерной системе фиксируют-

ся факты и время отклонения от установленных правил эксплуа-

тации ЭВМ;

2) когда могло быть нарушено определенное правило экс-

плуатации компьютера, повлекшее вредные последствия.

При необходимости может быть назначена судебная инфор-

мационно-техническая экспертиза, перед которой для установле-

ния времени преступного нарушения правил нужно сформулиро-

вать следующие вопросы:

1) как технически осуществляется автоматическая фиксация

времени обращения пользователей к данной компьютерной сис-

теме или сети и всех изменений, происходящих в информацион-

ных массивах;

2) можно ли по представленным машинным носителям ин-

формации установить время нарушения определенных правил

эксплуатации ЭВМ, если да, то когда нарушение произошло.

Время наступления вредных последствий устанавливается по

материалам служебного расследования и результатам осмотра

места происшествия, а также путем допроса свидетелей и произ-

водства судебных экспертиз.

При осмотре места происшествия могут быть обнаружены

машинные носители информации, на которых ранее хранились

важные, защищаемые законом данные. Последние вследствие

нарушения правил эксплуатации ЭВМ оказались уничтоженными

или существенно измененными либо заблокированными. На но-

сителях может быть зафиксировано время наступления таких

последствий, которое выясняется при следственном осмотре с

помощью специалиста.

Значение осмотра средств компьютерной техники обусловле-

но тем, что следы преступных манипуляций остаются на винче-

стере, дискетах и других носителях компьютерной информации.

Своевременное обнаружение компьютерных средств и их гра-

мотное изъятие увеличивают доказательственный потенциал

компьютерно-технической экспертизы, назначаемой для извлече-

ния информации с магнитных носителей в целях обнаружения

следов совершения и сокрытия преступления.

Обнаружение, осмотр и изъятие компьютерных средств

обычно осуществляются при следственном осмотре, производ-

§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 731

ство которого требует тщательной подготовки в связи со спе-

цификой охранных мероприятий. Так, помещение с компьюте-

рами, как правило, обеспечивается электронной охраной, по-

этому любые неправильные действия следователя или иных

участников осмотра могут привести к нежелательным последст-

виям. Например, информация на винчестере может быть авто-

матически уничтожена при вскрытии кожуха компьютера, откры-

тии кабинета, в котором он стоит, либо при других обстоятель-

ствах, предусмотренных службой охраны фирмы: дистанционно

— по локальной сети, нажатием на тревожную кнопку, переда-

чей сообщения на пейджер, соединенный с ЭВМ.

Поэтому при подготовке к осмотру необходимо выяснить:

1) с помощью каких технических средств заблокировано по-

мещение, в котором установлен компьютер, каков пароль (код), а

иногда и электронный ключ доступа к данному объекту. Нужно

помнить, что электронная блокировка помещения нередко соеди-

нена с системой самоуничтожения важной компьютерной инфор-

мации, действующей от автономного источника питания. Тогда

при нарушении установленного порядка доступа в помещение

срабатывает защита — компьютер стирает информацию на вин-

честере, даже если он отключен от электросети. Владельцы по-

добных систем обязательно имеют надежно спрятанную копию

этой информации, которая находится на значительном расстоя-

нии под особой охраной;

2) какие средства охраны и обеспечения безопасности компь-

ютерной информации задействованы, установлена ли специаль-

ная система ее уничтожения, каковы средства и порядок доступа

к информации, включен ли компьютер в локальную сеть, каковы

ее схема, правила обеспечения безопасности ее использования.

Если компьютер подключен к интернету, необходимо связать-

ся с сетевым провайдером узла и организовать с его помощью

сохранение и изъятие компьютерной информации, принадлежа-

щей либо поступившей в адрес данной фирмы.

Вредные последствия часто обнаруживаются пользователями

компьютерной системы или сети, а также администраторами ба-

зы данных. Поэтому при их допросах в качестве свидетелей сле-

дует уточнить, когда они впервые обнаружили отсутствие или

существенное изменение информации, находившейся в опреде-

ленной базе данных.

Время наступления вредных последствий можно установить и

в результате производства информационно-технической экспер-

тизы, на разрешение которой ставятся следующие вопросы:

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

1) как технически осуществляется автоматическая фиксация

времени уничтожения или изменения базы данных либо блокиро-

вания отдельных файлов;

2) можно ли по стертым или измененным вследствие наруше-

ния правил эксплуатации ЭВМ базам данных установить время

наступления вредных последствий, и если да, то когда они насту-

пили.

Способ нарушения правил эксплуатации ЭВМ может быть как

активным, так и пассивным. Первый выражается в самовольном

выполнении непредусмотренных операций при компьютерной

обработке информации, а второй — в невыполнении предписан-

ных действий.

Механизм нарушения таких правил связан с технологией об-

работки информации на компьютере. Это, например, неправиль-

ное включение и выключение ЭВМ, использование посторонних

дискет без предварительной проверки на компьютерный вирус

или обязательного копирования информации на случай, если

оригинал будет уничтожен.

Способ и механизм нарушения правил выясняются путем до-

просов свидетелей, подозреваемых и обвиняемых, проводимых с

участием специалистов; следственного эксперимента; судебной

информационно-технической экспертизы. При ее назначении

может быть поставлен вопрос: «Каков механизм нарушения пра-

вил эксплуатации ЭВМ?»

При допросах выясняется последовательность тех или иных

операций на компьютере, которые привели к нарушению правил.

В ходе следственного эксперимента проверяется возможность

наступления вредных последствий при нарушении определенных

правил. Он проводится с использованием копий исследуемой

информации и по возможности на той же ЭВМ, при работе на

которой правила эксплуатации были нарушены.

Характер ущерба, причиненного преступным нарушением

правил эксплуатации ЭВМ, заключается в уничтожении, блокиро-

вании или модификации охраняемой законом информации.

Ущерб либо носит чисто экономический характер, либо вредит

интересам государства вследствие утечки сведений, составляю-

щих государственную тайну. Разглашение или утрата такой ин-

формации может создать серьезную угрозу внешней безопасно-

сти Российской Федерации, что влечет еще и уголовную ответст-

венность по ст. 283 и 284 УК РФ. Степень секретности информа-

§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети 733

ции определяется в соответствии с Законом от 21 июля 1993 г.

«О государственной тайне».

Размер ущерба устанавливается посредством информацион-

но-экономической экспертизы, разрешающей вопрос: «Какова

стоимость информации, уничтоженной (или измененной) вслед-

ствие нарушения правил эксплуатации ЭВМ?»

При установлении лица, допустившего преступное нарушение

правил эксплуатации ЭВМ, следует иметь в виду, что виновным

согласно ч. 1 ст. 274 УК РФ может быть лицо, имеющее доступ к

ЭВМ, их системе или сети. При этом необходимо помнить, что не

всякое лицо, допущенное к ЭВМ, имеет доступ ко всей компью-

терной информации. К ЭВМ, их системе или сети, как правило,

имеют доступ определенные лица в силу выполняемой ими рабо-

ты, связанной с применением средств компьютерной техники.

Среди них и следует устанавливать нарушителей правил.

В отношении каждого из них устанавливается:

а) фамилия, имя, отчество;

б) занимаемая должность (относится к категории должност-

ных лиц, ответственных за информационную безопасность и на-

дежность работы компьютерного оборудования, либо к категории

непосредственно отвечающих за обеспечение выполнения пра-

вил эксплуатации данной компьютерной системы или сети);

в) образование, специальность, стаж работы по специально-

сти и в данной должности, уровень профессиональной квалифи-

кации;

г) конкретные обязанности по обеспечению информационной

безопасности и нормативные акты, которыми они установлены

(положение, приказ, распоряжение, контракт, договор, проектная

документация на автоматизированную систему и пр.);

д) участие в разработке, внедрении в опытную и промышлен-

ную эксплуатацию данной компьютерной системы или сети;

е) наличие и объем доступа к базам и банкам данных;

ж) характеристика лица по месту работы;

з) наличие личного компьютера и оборудования к нему.

Все это выясняется посредством допросов свидетелей, по-

дозреваемого и обвиняемого, осмотра и изучения эксплуатаци-

онных документов на данную компьютерную систему, осмотра

компьютера, оборудования к нему, машинных носителей инфор-

мации и распечаток.

Виновность лица, совершившего преступное нарушение пра-

вил эксплуатации ЭВМ, устанавливается по результатам всех

проведенных следственных действий. Соответствующие правила

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

могут быть нарушены как умышленно, так и по неосторожности, в

то время как относительно последствий вина может быть только

неосторожной. При наличии умысла на причинение вредных по-

следствий должна наступать ответственность за совокупность

совершенных преступлений.

Обстоятельства, способствовавшие совершению данного

преступления, выявляются путем анализа как общего состояния

охраны информационной безопасности в определенной системе

или сети, так и факторов, непосредственно обусловивших рас-

следуемое событие. Многие обстоятельства, способствовавшие

нарушению правил эксплуатации ЭВМ, устанавливаются по ма-

териалам служебного расследования, которые следователем

должны быть тщательно изучены и при необходимости приобще-

ны к расследуемому уголовному делу.

Литература:

Крылов В.В. Расследование преступлений в сфере информа-

ции. М., 1998.

Расследование преступлений повышенной общественной

опасности. Пособие для следователей / Под ред. Н.А. Селивано-

ва, А.И. Дворкина. М., 1998. С. 333-428.

Россинская Е.Р. Экспертиза в уголовном, гражданском, ар-

битражном процессе. М., 1996. С. 173-179.

Россинская Е.Р., Усов А.И. Судебная компьютерно-тех-

ническая экспертиза. М., 2001.