Расследование преступлений в сфере компьютерной информации

Целью курсовой работы является всесторонний анализ имеющегося материала в области расследования преступлений в сфере компьютерной информации. ...

ВВЕДЕНИЕ 3
ГЛАВА 1. КРИМИНАЛИСТИЧЕСКАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 7
1.1. Механизм и способы совершения преступления 7
1.2. Личность преступника и пострадавшего 11
1.3. Механизм следообразования при совершении преступлений в сфере компьютерной информации 14
ГЛАВА 2. МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 17
2.1. Построение и проверка версий при расследовании преступлений в сфере компьютерной информации 17
2.2. Особенности проведения отдельных следственных действий и тактических операций 21
ЗАКЛЮЧЕНИЕ 27
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 29

Благодаря реализации Стратегии развития информационного общества в Российской Федерации к 2015 г. Россия должна войти в двадцатку лидеров в международных рейтингах в области развития информационного общества, по показателю доступности национальной информационной и телекоммуникационной инфраструктуры для субъектов информационной сферы - в десятку стран-лидеров .
Во всей этой компьютерной эйфории необходимо помнить не только о возможностях, которые нам дают стремительное развитие телекоммуникационных технологий и глобальная информатизация, но и о неблагоприятных последствиях компьютеризации. Речь идет о криминализации сферы оборота компьютерной информации.
В рамках реализации государственной политики обеспечения информационной безопасности Российской Федерации к первоочередным мероприятиям о тносится пресечение компьютерной преступности

В 57 % случаев потерпевшие сами создали условия для совершения преступлений в сфере компьютерной информации. Еще 21 % преступлений можно было предотвратить при должной осмотрительности потерпевших.Резюмируя исследование личности преступника и потерпевшего при совершении преступлений в сфере компьютерной информации, следует подчеркнуть следующее.Сведения о типичных личностных особенностях преступника являются основным элементом криминалистической характеристики, на установление которого направлено применение правоприменителем всех имеющихся методов и приемов. Информация о потерпевшей стороне является, безусловно, криминалистически значимой, поскольку помогает полнее охарактеризовать личность преступника, его мотивы, точнее очертить круг лиц, среди которых его следует искать. Существует прямая корреляция между совершением преступления и виктимологическим поведением. Это указывает на низкий уровень компьютерной культуры населения.Очевидно, предупреждение компьютерных преступлений необходимо реализовывать в том числе через виктимологическую профилактику, заключающуюся в обеспечении населения надежной защитой информации. 1.3.Механизм следообразования при совершении преступлений в сфере компьютерной информацииСледовая картина места преступления может содержать ценные сведения о механизме совершения преступления, некоторых личных социально-психологических качествах субъекта преступной деятельности, его преступном опыте, специальных знаниях, поле, возрасте, особенностях взаимоотношений с жертвой преступления и т.п. При помощи грамотно выбранных и примененных криминалистических приемов и средств можно получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных.Исследование закономерностей возникновения материальных следов привело к необходимости классификации следов по такому весьма существенному основанию, как механизм следообразования. В итоге сформировалось два понятия следов – в широком и узком смысле.В широком понимании следом можно считать любые изменения в материальной среде, возникшие в ней в результате совершенного преступления. Следом в узком смысле следует считать отображение на одном из контактирующих объектов свойств и признаков другого объекта в процессе совершения преступления. Думается, что следом преступления или преступника должно считать отражение в обстановке преступного деяния элемента механизма преступления, отображения события, подлежащего расследованию.Согласно общепринятому в криминалистике определению механизмом следообразования является процесс взаимодействия объектов, конечной фазой которого является образование следа-отображения. Для осуществления этого механизма необходимо существование следующих элементов: объекты следообразования — следообразующий объект, следовоспринимающий объект и вещество следа; следовой контакт - момент или процесс взаимодействия объектов, приводящий к возникновению следа.Особенность преступлений в сфере компьютерной информации выражается в наличии специфических видов следов. Кроме традиционно выделяемых в науке материальных или идеальных следов, следы остаются в памяти электронных устройств. Это так называемые электрические и магнитные следы. Понятием «электрический след» обозначается появление в объекте постороннего электротока, вызывающего помехи в измерительных устройствах, компьютерах, точных системах связи. Магнитные следы являются результатом образования магнитного поля на следовоспринимающем объекте. Типичным магнитным следом является звуковой или видеосигнал, записанный на магнитном носителе (пленке, проволоке, дискете). Для обнаружения и исследования магнитных следов имеется специальная аппаратура, например магнитомикроскоп, позволяющий видеть след.Профессор В.Г. Вехов предложил именовать систему образования следов в компьютерной сети, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование операторов связи от компьютера преступника до компьютера потерпевшего, «дорожкой электронно-цифровых следов».Техническую информацию о каких-либо действиях в электронных платежных средствах (в т.ч. действия с титульными знаками в электронных кошельках), содержащуюся в компьютерных файлах, принято обозначать понятием «виртуальный след». Для того, чтобы следы преступления, обнаруженные в процессе расследования, стали доказательствами по делу, они должны быть обнаружены, правильно изъяты и зафиксированы. Для этого применяются специальные технико-криминалистические средства и методы криминалистической техники. Использование новейших информационных технологий при совершении рассматриваемого вида преступлений обуславливает необходимость привлечения для их раскрытия специалистов в области компьютерных средств и систем.Рассмотрев элементы криминалистической характеристики, можно заключить, что их практическая значимость очевидна. Криминалистическая характеристика содержит типичную исходную информацию о компьютерных преступлениях: систему данных о возможных способах совершения преступления; указание на личность вероятного преступника и его характеристики, вероятные мотивы и цели преступления; указание на личность вероятного потерпевшего и его характеристику; описание типичной для данного вида преступлений следовой картины. ГЛАВА 2. МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ2.1.Построение и проверка версий при расследовании преступлений в сфере компьютерной информацииВ настоящее время международное сообщество крайне озабочено ростом компьютерной преступности, весьма серьезную угрозу представляют деяния, связанные с нарушением общественных отношений в сфере изготовления, использования, распространения и защиты компьютерной информации и в России. В Российской Федерации компьютерные преступления получили широкое распространение в середине 90-х гг. XX века.Статистические данные ГИАЦ МВД России о состоянии преступности за период с января по октябрь 2014г. свидетельствуют, что за указанный период было зарегистрировано 1566 преступлений в сфере компьютерной информации (в 2013 г. – 2563), при этом из числа преступлений, дела и материалы о которых находились в производстве, раскрыто 1125.Расследование преступлений в сфере компьютерной информации представляет собой сложный длительный процесс, направленный на установление механизма преступления и личности преступника, розыск и задержание преступника. Процесс расследования условно можно разделить на этапы:-начальный этап (интенсивный поиск, обнаружение и закрепление доказательств, построение версий);-последующий этап (развернутое, последовательное, методическое доказывание);-заключительный этап (проведение дополнительных и повторных следственных действий, организационно-технические мероприятия, необходимые для завершения расследования и т.д.).На начальном этапе расследования можно выделить три стандартные следственные ситуации.Преступление было совершено в условиях очевидности – факт и обстоятельства совершенного преступления обнаружены потерпевшим собственными силами, преступник известен и задержан. Главное задача расследования — установить причинно-следственную связь между преступными действиями и наступившими последствиями, определить размера ущерба.Известен факт совершения правонарушения и способ, однако механизм совершения преступления в полном объеме неясен, преступник известен, но скрылся. Основная задача расследования — розыск и задержание преступника, установление причинно-следственной связи между преступными действиями и наступившими последствиями, определение размера ущерба. Известен только преступный результат. Механизм совершения преступления и предполагаемого преступника необходимо установить.Во всех описанных ситуациях первоочередной задачей является выявление данных о способе нарушения целостности и (или) конфиденциальности информации; порядка регламентации собственником работы информационной системы; круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности и (или) конфиденциальности информации. Решение этих задач дает возможность правоприменителю очертить круг возможных свидетелей преступления, выявить возможных преступников, определить размер причиненного ущерба. Первичные признаки неправомерных действий посторонних лиц с компьютерной информацией выявляют, как правило, сами пользователи. К косвенным признакам постороннего вторжения можно отнести:а) изменения заданной в предыдущем сеансе работы структуры файловой системы, в том числе: переименование каталогов и файлов; появление новых каталогов и файлов и т.п.;б) изменения в ранее заданной конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; появление новых и удаление прежних сетевых устройств и др.;в) необычные проявления в работе компьютера: замедленная загрузка операционной системы; замедление работы машины с внешними устройствами; появление на экране нестандартных символов и т.п.В ходе расследования компьютерных преступлений могут выдвигаться и отрабатываться различные версии, которые впоследствии дополняются и уточняются до тех пор, пока не представят собой документальное изложение установленных фактов. В целом же круг общих версий невелик: преступление имело место при тех обстоятельствах, вытекающих из первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.Типовыми частными версиями являются: версии о личности преступника; версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.Версии о субъективной стороне преступления - это предположения о вине, ее форме, мотиве, и целях преступления (если преступление умышленное). Иногда установить вину и ее форму, мотив, цель бывает сложно. Как показывает судебная практика, допускается неосторожная форма вины по отношению к наступлению указанных в законе последствий. Например, по приговору Самарского районного суда г. Самары от 4 октября 2002 г. З. был осужден по ч. 1 ст. 165 и по ч. 1 ст. 272 УК. Судом первой инстанции он был признан виновным в причинении имущественного ущерба собственнику путем обмана при отсутствии признаков хищения, а также в неправомерном доступе к компьютерной информации, в том, что он, путем обмана, не оплачивая услуги собственнику, пользовался компьютерной информацией в компьютерной сети. В своей надзорной жалобе он утверждал, что его вина не доказана, поскольку он, оплатив осужденному по данному делу К. деньги за пользование сетью Интернет, считал себя добросовестным пользователем.Определением Судебной коллегии по уголовным делам ВС РФ, вынесенным в порядке судебного надзора, состоявшиеся по делу судебные решения были отменены с прекращением дела за отсутствием в действиях З. состава преступления по следующим основаниям. Осужденный по данному делу К. последовательно подтверждал, что именно он предложил З., подключить их персональные компьютеры к сети Интернет, пояснив, что пользование сетью стоит 400 руб. Деньги З. ему передал. При этом, как показал К., пароли и логины он брал сначала у Т., а затем у М. и вводил их в компьютер З.; свидетели Т. и М. указанные обстоятельства также подтвердили. Эти данные свидетельствовали о необоснованности судебных решений с выводами о том, что З. умышленно незаконно пользовался сетью Интернет. Особую роль в построении и проверке рабочих версий играет участие в проведении следственных действий специалиста, своевременное назначение и проведение экспертиз. На практике чаще всего назначается компьютерно-техническая экспертиза для решения таких задач как: поиск информации, созданной с помощью прикладных программ; определение свойств программ и программных продуктов; определение возможности совершения каких-либо действий с помощью определенного средства вычислительной техники и др..Таким образом, в ходе расследования компьютерных преступлений субъект, проводящий расследование, выдвигает и отрабатывает различные версии, впоследствии дополняя и уточняя их до тех пор, пока не получит документальное изложение установленных фактов, имеющее доказательственное значение. Типовые версии могут быть следующими: преступление имело место при тех обстоятельствах, вытекающих из первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.Кроме того, в обязательном порядке разрабатываются и проверяются частные версии: о личности преступника; о местах внедрения в компьютерные системы; об обстоятельствах, при которых было совершено преступление; о размерах ущерба, причиненного преступлением.2.2.Особенности проведения отдельных следственных действий и тактических операцийСпецифика преступлений в сфере компьютерной информации заключается в том, что с самого начала расследования субъекту, проводящему расследование, необходимо взаимодействовать со специалистами в области компьютерной техники. Обращение к носителям специальных знаний необходимо для безопасного поиска доказательств и правильного описания компьютерных средств. Специалист оказывает помощь в выявлении следов преступления и преступника, отобразившихся в программном обеспечении компьютера, компьютерной сети или сложной автоматизированной системе управления, позволяющей в совокупности с другими доказательствами сделать вывод о механизме преступления и иных обстоятельствах расследуемого события.Успешное преодоление защиты от несанкционированного доступа – важный этап процесса собирания доказательств в ходе расследования компьютерных преступлений. В этом вопросе без помощи специалиста также не обойтись.При подготовке к таким следственным действиям как осмотр, обыск или выемка субъект, проводящий расследование, должен решить вопрос о необходимости изъятия компьютерной информации. Кроме того, необходимо выяснить: количество компьютеров, находящихся в помещении, их типы; количество и типы используемых серверов; количество и типы рабочих мест; используемое в сети прикладное программное обеспечение и др.. Владение такой информацией облегчает доступ к хранящейся в компьютере информации. Заранее необходимо предусмотреть меры, исключающие возможность уничтожения преступником вещественных доказательств. Так, злоумышленник может использовать специальное оборудование, создающее при определенных обстоятельствах сильное магнитное поле, стирающее магнитные записи – программное обеспечение, периодически требующее ввода пароля. В случае неверного ввода данные в компьютере автоматически уничтожатся.Так как компьютерную информацию можно довольно быстро уничтожить, особое значение приобретает неотложность осмотра. Перед осмотром необходимо подготовить технику для считывания и хранения компьютерной информации (переносной компьютер, накопители информации со сменными носителями и т.д.). Непосредственно перед началом осмотра с помощью фотосъемки фиксируются места расположения и внешний вид компьютерных средств.Осмотру подлежат отдельные компьютеры, в том числе не подключенные к сети, рабочие станции, входящие в сеть; серверы; телекоммуникационные устройства; магнитные накопители информации; листинги; техническая и иная документация.Если осмотру подлежит отдельное компьютерное средство, то определяется и отражается в протоколе его состав: наличие системного блока, монитора, клавиатуры, принтера, модема, бесперебойного источника питания и других периферийных устройств. Отмечается наличие или отсутствие каналов связи и телекоммуникации, используемых для работы с компьютером.Поскольку основной задачей специалиста является просмотр и изъятие информации, содержащейся в файлах компьютера, ему необходимо изучить содержание дисков, имеющихся на винчестере компьютера, зафиксировать название файлов, содержание жесткого диска, наименование ранее вызывавшихся программ, в том числе той, которая исполнялась последней.При проведении обыска участие специалиста по информационно-компьютерным технологиям, который окажет помощь следователю по вопросам функционирования компьютера и системы в целом, обязательно.Тактические особенности проведения обыска целиком и полностью зависят от функционального состояния компьютера, от того, насколько сложно организована защита компьютера от несанкционированного доступа.Поскольку изымать процессоры не всегда целесообразно, специалист помогает в исследовании хранящейся информации на месте обыска, предпринимает меры для переноса ее на магнитооптические диски, дополнительный жесткий диск после определения относимости информации к расследуемому событию. При осмотре документов, которые могут иметь значимую для дела информацию, обращается внимание на рабочие записи сотрудников, работающих с компьютером. В них могут содержаться пароли, коды доступа и прочие вспомогательные данные.Практика показывает, что часто несоблюдение элементарных правил ведет к тому, что сбор компьютерной информации не приносит должных результатов. Так, присутствующий при обыске подозреваемый незаметно от членов следственно-оперативной группы всего-навсего изменил положение тумблера переключателя рабочего напряжения ПЭВМ, расположенного на задней стенке системного блока, с 220 на 115 вольт. При включении блок питания через некоторое время вышел из строя, что привело к неисправности всего компьютера.Важным следственным действием является выемка документов, в том числе электронных, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Специалист может оказать содействие субъекту, проводящему расследование, в выявлении в ходе допроса способов совершения преступлений, в том числе какие изменения в работу компьютерных систем были внесены, какие вирусы использовались и т.д.Допрос предполагаемого преступника, свидетелей осуществляется с использованием тактических рекомендаций. При первом допросе предполагаемого преступника следует выяснить уровень его знаний в области компьютерной техники и программирования, какие изменения в работу компьютера он внес, какие вирусы использовались, алгоритм функционирования вредоносной программы, на какую информацию и как она воздействует, какие сведения и кому передавались и т.п. Для проверки возможности создания вредоносной программы признавшимся обвиняемым проводится следственный эксперимент.При первых допросах свидетелей и потерпевших необходимо выяснить: кто имел доступ к компьютерной технике и в помещения (терминал), где она находилась, какие средства защиты использовались, какая информация подверглась вредоносному воздействию, какой вред причинен преступлением и имеются ли способы его уменьшить и т.п.После проведения таких следственных действий как осмотр, обыск и выемка компьютеры и их комплектующие должны быть опечатаны, на разъемы наложены листы бумаги, края которых закрепляются на боковых стенках компьютера с целью исключения несанкционированного доступа. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, чтобы исключить разрушающее воздействие различных электромагнитных и магнитных полей и наводок, направленных излучений. Опечатываются только контейнеры или футляры. Пояснительные надписи наносятся на специальные самоклеящиеся этикетки для дискет, причем сначала делается надпись, а потом этикетка наклеивается на предназначенный для этого участок. По нашему мнению, очень удачно с точки зрения учета современных технологий А.Б.