Использование специальных знаний при расследовании преступлений в сфере компьютерной информации

1.

МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
ВОЛГОГРАДСКАЯ АКАДЕМИЯ
Кафедра предварительного расследования УНК по ПС в ОВД
Мультимедийная презентация к лекции
по учебной дисциплине
«Расследование преступлений в сфере компьютерной информации»
Тема № 2.2. «Организация и производство следственных и иных
процессуальных действий при расследовании преступлений в
сфере компьютерной информации»
Автор : А.А. Коловоротный

2. План лекции

1. Использование специальных знаний при расследовании
преступлений в сфере компьютерной информации.
2. Особенности организации и производства следственных и иных
процессуальных действий.
Слайд 2

3. Литература

1.
Информатика и математика для юристов : учебник / под ред. С. Я. Казанцева, Н. М. Дубининой. 2-е изд., перераб. и доп. - Москва : ЮНИТИ, 2010.
2.
Криминалистика. Углубленный курс : учебник / под ред. А. Г. Филиппова. - Москва : ДГСК МВД
России, 2012.
3.
Технико-криминалистическое обеспечение расследования преступлений в сфере компьютерной
информации [Электронный ресурс] : метод. (практ.) рекомендации / С. Л. Паньков. - Орел : ОрЮИ
МВД России, 2016. - Доступ из ЭК библиотеки ВА МВД России. - pdf.
4.
Использование специальных познаний при раскрытии и расследовании преступлений в сфере
высоких технологий [Электронный ресурс] : учеб.-практ. пособие / А. В. Нарижный, А. Х.-А. Пихов.
- Краснодар : Краснодар. ун-т МВД России, 2014. - Доступ из ЭК библиотеки ВА МВД России. - pdf.
5.
Расследование преступлений в сфере компьютерной информации : учеб.-метод. пособие / В. Б.
Вехов, А. Ф. Родин. - Москва : ЦОКР МВД России, 2008.
6.
Предварительное следствие в органах внутренних дел. Схемы [Электронный ресурс] : учеб.
пособие / Ф.К. Зиннуров, Ф.Р. Хисамутдинов, С.Я. Казанцев, ред.: Н.В. Румянцев, ред.: Ф.К.
Зиннуров. – М. : ЮНИТИ-ДАНА, 2015. – Режим доступа : http://www.rucont.ru.
7.
Предварительное следствие в органах внутренних дел : учебник. Ч. 3 / под ред. М. В. Мешкова. Москва : ДГСК МВД России, 2012.
Слайд 3

4. 1. Использование специальных знаний при расследовании преступлений в сфере компьютерной информации

Формы использования специальных знаний:
- консультация у специалиста;
- участие специалиста при производстве следственного действия;
- производство судебной экспертизы.
Основная задача специалиста:
- дать консультацию по правилам обращения с электронными носителями информации,
описанию компьютерных устройств и программного обеспечения, поиску информации
в компьютере;
- оказать помощь следователю при изъятии электронных носителей информации,
подготовке ее к транспортировке и хранению.
- оказание помощи при подготовке вопросов участникам уголовного судопроизводства
для их дальнейшего допроса.
Слайд 4

5.

Компьютерная судебная экспертиза назначается
и производится для исследования:
1) информационно-технологических процессов сбора информации
(накопления, хранения, поиска, распространения) и представления ее
потребителю в условиях функционирования автоматизированных
информационных систем и сетей;
2) отдельно взятых технических и иных средств обеспечения этих
процессов.
(К подобным техническим средствам относятся компьютерные
устройства, включающие в себя системный блок, устройство внешней
памяти, устройства ввода и вывода информации, периферийные
устройства, а также средства связи и телекоммуникации. К иным
средствам следует отнести программы для компьютеров. Эти
средства, обеспечивающие обработку информации, и составляют
основу информационно-компьютерной технологии).
Слайд 5

6.

Предметы информационно-технологического исследования:
- проектная документация на разработку и эксплуатацию компьютерных
систем и сетей, отражающая процессы сбора, обработки, накопления,
хранения, поиска и распространения информации;
- приказы и распоряжения администрации, инструкции, протоколы,
договоры, положения, уставы и методики по эксплуатации компьютерных
систем и сетей, отражающие порядок формирования информационных
массивов и доступа к ним (важнейшими из этих предметов исследования
могут быть должностные инструкции сотрудников соответствующих
информационных подразделений);
- схемы движения информации от источников к потребителю с указанием
пунктов ее сбора, контроля, накопления, обработки и использования;
- иные эксплуатационные и сопроводительные документы (особое
значение для расследования компьютерных преступлений имеют журналы и
другие виды учета работы операторов, регистрации сбойных ситуаций и
обращений в компьютерную систему или сеть).
Слайд 6

7.

Информационно-технологическое исследование производится в тех случаях, когда
для возникающих в ходе расследования вопросов требуются специальные знания в
технологии информационных процессов.
С помощью этого исследования можно определить:
- соответствие существующего технологического процесса компьютерной обработки
информации проектной и эксплуатационной документации на конкретную
информационную систему либо сеть;
- конкретные отклонения от установленной информационной технологии, а также
непосредственных исполнителей, допустивших нарушение установленной
информационной технологии;
- надежность организационно-технологических мер защиты компьютерной
информации;
- вредные последствия, наступившие из-за неправомерного нарушения
установленной технологии компьютерной обработки информации;
- обстоятельства, способствовавшие преступному нарушению технологии
электронной обработки информации.
Слайд 7

8.

Предметы информационно-технического исследования.
Это инструменты, с помощью которых осуществляется доступ к
информационным технологиям.
Условно их можно разделить на три основные группы:
1) технические средства обработки информации (компьютеры,
печатающие устройства (принтеры); устройства для связи между
пользователями (модемы и факс-модемы) и другие устройства);
2) машинные носители информации, создаваемые средствами
вычислительной техники (жесткие магнитные диски; оптические
диски; пластиковые карты и другие носители информации,
обрабатываемые компьютерами);
3) компьютерные программы и базы данных.
Слайд 8

9.

Информационно-техническое исследование назначается в том случае, когда в ходе следствия возникает
необходимость в специальных исследованиях непосредственно технической части (компьютеров, дисков,
других носителей информации, обрабатываемых компьютерами, а также программных средств).
С помощью информационно-технического исследования можно определить:
техническое состояние компьютерного оборудования и его пригодность для решения задач, предусмотренных
проектной и эксплуатационной документацией на данную компьютерную систему;
с какого терминала и по каким средствам связи и телекоммуникации мог быть совершен несанкционированный
доступ в компьютерную систему или сеть;
возможность восстановления записанной прежде информации на частично поврежденном машинном носителе
и ее содержание;
перечень действий, предусмотренных соответствующими правилами для предотвращения сбоя,
несанкционированного доступа, уничтожения файла, неправомерного копирования компьютерной информации,
и не выполненных ответственным лицом;
признаки несанкционированных изменений информации, записанной на сменные диски и их содержание;
возможность использования в данной компьютерной системе посторонних программ без автоматической
регистрации ее использования;
средства защиты от вредоносных программ, предусмотренные в данной системе, их надежность, наличие
сертификата;
процедура заражения данной системы компьютерным вирусом;
класс (тип) вируса, заразившего данную компьютерную систему и источник его происхождения.
Слайд 9

10.

2. Особенности организации и производства
следственных и иных процессуальных действий
Следственные действия проводятся с учетом следующих особенностей:
- следственное действие должно быть заранее подготовлено и детально
спланировано;
- электронные носители информации изымаются в ходе производства
следственных действий с участием специалиста;
- следователю и специалистам надлежит обладать познаниями в части полной
сохранности (неизменяемости) компьютерной информации, содержащейся на
осматриваемом (изымаемом) средстве электронно-вычислительной техники;
- для осмотра, обыска и выемки компьютерной информации и ее носителей
заранее должны быть подготовлены необходимые средства вычислительной
техники и материалы.
Слайд 10

11.

Поиск и фиксация компьютерной информации (осмотр, обыск,
выемка) может осуществляться в разных местах:
- непосредственного хранения компьютерной информации, ставшей
предметом преступного посягательства;
- непосредственного использования компьютерного оборудования с
целью неправомерного доступа к компьютерной информации,
использования и распространения вредоносных компьютерных
программ;
- непосредственного нарушения правил эксплуатации средств хранения,
обработки или передачи компьютерной информации;
- наступления вредных последствий.
Слайд 11

12.

Ст. 82 УПК РФ: «После производства неотложных следственных действий в случае
невозможности возврата изъятых в ходе производства следственных действий
электронных носителей информации их законному владельцу содержащаяся на этих
носителях информация копируется по ходатайству законного владельца изъятых
электронных носителей информации или обладателя содержащейся на них информации.
Копирование указанной информации на другие электронные носители информации,
предоставленные законным владельцем изъятых электронных носителей информации или
обладателем содержащейся на них информации, осуществляется с участием законного
владельца изъятых электронных носителей информации или обладателя содержащейся
на них информации и (или) их представителей и специалиста в присутствии понятых в
подразделении органа предварительного расследования или в суде. При копировании
информации должны обеспечиваться условия, исключающие возможность ее утраты или
изменения. Не допускается копирование информации, если это может воспрепятствовать
расследованию преступления. Электронные носители информации, содержащие
скопированную информацию, передаются законному владельцу изъятых электронных
носителей информации или обладателю содержащейся на них информации. Об
осуществлении копирования информации и о передаче электронных носителей
информации, содержащих скопированную информацию, законному владельцу изъятых
электронных носителей информации или обладателю содержащейся на них информации
составляется протокол в соответствии с требованиями ст. 166 настоящего Кодекса»
(в ред. ФЗ от 29.11.2012 № 207-ФЗ).
Слайд 12

13.

Ст. 164.1. УПК РФ (Особенности изъятия электронных носителей информации и
копирования с них информации при производстве следственных действий)
«Электронные носители информации изымаются в ходе производства
следственных действий с участием специалиста. По ходатайству законного
владельца изымаемых электронных носителей информации или обладателя
содержащейся на них информации специалистом, участвующим в следственном
действии, в присутствии понятых с изымаемых электронных носителей информации
осуществляется копирование информации. Копирование информации осуществляется
на другие электронные носители информации, предоставленные законным владельцем
изымаемых электронных носителей информации или обладателем содержащейся на
них информации. Копирование информации не осуществляется при наличии
обстоятельств, указанных в пункте 3 части первой настоящей статьи. Электронные
носители информации, содержащие скопированную информацию, передаются
законному владельцу изымаемых электронных носителей информации или обладателю
содержащейся на них информации. Об осуществлении копирования информации и о
передаче электронных носителей информации, содержащих скопированную
информацию, законному владельцу изымаемых электронных носителей информации
или обладателю содержащейся на них информации в протоколе следственного
действия делается запись»
(введена Федеральным законом от 27.12.2018 N 533-ФЗ).
Слайд 13

14.

По прибытии к месту проведения обыска необходимо вести себя
следующим образом:
- быстро войти в обыскиваемый объект (или одновременно в
несколько помещений);
- при оказании сопротивления со стороны лиц, находящихся на
объекте обыска принять срочные меры по нейтрализации
противодействия и скорейшему проникновению в обыскиваемое
помещение;
- организовать охрану места обыска и наблюдение за ним.
Слайд 14

15.

Все компьютеры, имеющиеся на месте обыска, должны находиться до
момента их осмотра специалистом в том положении и техническом
состоянии, в котором они были в начале обыска.
Для этого необходимо соблюдать следующие условия:
- не разрешается участникам обыска (за исключением специалистов),
прикасаться к компьютерам и источникам питания электрооборудования с
любой целью, даже в случае согласия обыскиваемого добровольно выдать
искомый предмет;
- не разрешать выключать-включать электроснабжение (указанные действия
проводить только с разрешения специалиста);
- в случае, если на момент начала обыска электроснабжение объекта
выключено, то до его восстановления следует отключить от электросети все
компьютеры, предварительно зафиксировав в протоколе схему их
подключения к источникам электропитания;
- не производить самостоятельно никаких манипуляций с
электрооборудованием и компьютерной техникой.
Слайд 15