|
|
План расследования преступления, вынесение постановления о назначении необходимых экспертизСОДЕРЖАНИЕ КОМПЛЕКС №3 1. Составьте план расследования преступления ............................ 3 2. Вынесите постановления о назначении необходимых экспертиз .............................................................................16 СПИСОК ЛИТЕРАТУРЫ ......................................................... 18 КОМПЛЕКС №3 10 августа 2000 г. членами организованной преступной группы был осуществлен несанкционированный доступ к средствам компьютерной техники коммерческого банка "Стрела". И в течение суток банк не смог нормально осуществлять все операции по платежам. Только прямой ущерб составил около 70 тысяч рублей. В результате осмотра места преступления и осмотра компьютерной сети банка было обнаружено следующее. В программном обеспечении компьютерной сети банка выявлен "вирус". В 10 часов из-за "вируса" главный сервер отключил всю компьютерную сеть и заблокировал ее. В ходе расследования были задержаны гр-не Н. и М. И у них были изъяты мощные компьютеры и программной обеспечение с компьютерными "вирусами". Задание: 1. Составьте план расследования преступления. "УТВЕРЖДАЮ" Прокурор г. Саратова советник юстиции Демидов Н.М. _________ 10 августа 2002 года ПЛАН расследования по уголовному делу №11764, возбужденному по факту несанкционированного доступа к средствам компьютерной техники коммерческого банка "Стрела" В целях раскрытия преступления, совершенного в отношении коммерческого банка "Стрела", установления лица (лиц), его совершивших, и проверки следственно-оперативным путем вероятных версий совершения преступления необходимо следующее: 1) Вопросы и обстоятельства, общие для всех версий: 1. Назначить по делу судебно-бухгалтерскую экспертизу для определения, имеются ли нарушения требований положений о документообороте и установления лиц, ответственных за эти преступления. Исполнители: следователь Срок: 5 сентября 2002 года. 2. Назначить по делу программно-техническую судебную экспертизу для определения места, с которого был произведен несанкционированный доступ в систему, и ряда других технических деталей преступления. Исполнители: следователь Срок: 5 сентября 2002 года. 3. В случае установления личности подозреваемого назначить по делу дополнительную дактилоскопическую экспертизу по изъятым на месте происшествия отпечаткам пальцев рук. Исполнители: следователь Срок: в ходе расследования Версия 1. Несанкционированный доступ совершен с целью хулиганства. 1. Провести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы лиц, обеспечивающих работу информационной системы банка. Исполнители: следователь Срок: до 15 августа 2002 года. Версия 2. Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) бывшим работником банка. 1. Оперативным путем установить и проверить на причастность к совершению преступления лиц, ранее работающих в банке. Исполнители: следователь Срок: до 20 августа 2002 года. Версия 3. Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) "по найму" сотрудником банка. 1. Оперативным путем установить и проверить на причастность к совершению преступления лиц, работающих в банке. 2. Следственно-оперативным путем установить лиц, из числа сотрудников банка, у которых могут иметься соответствующие компьютерные знания и аппаратура. Провести обыски по месту их жительства. Исполнители: следователь Срок: до 20 августа 2002 года. Следователь прокуратуры Волжского района г. Саратова юрист 2 класса Иванов И.П. "УТВЕРЖДАЮ" Прокурор г. Саратова советник юстиции Демидов Н.М. _________ 10 августа 2002 года ПЛАН расследования по уголовному делу №11764, возбужденному по факту несанкционированного доступа к средствам компьютерной техники коммерческого банка "Стрела" В целях раскрытия преступления, совершенного в отношении коммерческого банка "Стрела", установления лица (лиц), его совершивших, с учетом данных полученных на первоначальном этапе расследования, следует выдвинуть следующую версию: Несанкционированный доступ произведен из корыстных побуждений (с целью хищения денежных средств или получения информации) бывшим работником банка Н и его подельником М. Для проверки следственно-оперативным путем данной версии совершения преступления необходимо: 1. Получить образцы отпечатков пальцев рук подозреваемых гр. Н., М. Исполнители: следователь Срок: 30 августа 2002 года. 2. Назначить по делу дополнительную дактилоскопическую экспертизу по изъятым на месте происшествия отпечаткам пальцев рук и проверить их на принадлежность гр. Н., М. Исполнители: следователь Срок: 30 августа 2002 года. 3. Следственно-оперативным путем (путем проведения опроса и допросов работников банка и сослуживцев) установить, имелось ли соответствующая аппаратура у гр. Н. Провести обыски по месту жительства Н., М. и принять меры по обнаружению и изъятию аппаратуры. Исполнители: следователь Срок: 30 августа 2002 года. 4. Предъявить гр. М. на опознание сослуживцам Н. 5. В случае дачи подозреваемыми признательных показаний провести с их участием проверку показаний на месте совершения преступлений. Исполнители: следователь Срок: в ходе расследования. Следователь прокуратуры Волжского района г. Саратова юрист 2 класса Иванов И.П. При расследовании компьютерных преступлений можно выделить три типичные следственные ситуации: 1. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил от этом в правоохранительные органы. 2. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы. 3. Данные о нарушении целостности/конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу). При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств: а) нарушения целостности/конфиденциальности информации в системе; б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации; в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных виновным действий; г) отношения виновного лица к совершенным действиям и наступившим последствиям. Т.к. подозреваемые задержаны сразу же после совершения преступления, для данной ситуации характерны следующие первоначальные следственные действия: а) личный обыск задержанных; б) допрос задержанных; в) обыск по месту жительства задержанных. Практические особенности отдельных следственных действий Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события. Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка. Следует напомнить, что осмотр - это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск - следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка - следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности. Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РСФСР порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства. Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники. При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств. Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств. Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты. Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются. Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей. Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры. Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.). Осмотру подлежат все устройства конкретной ЭВМ. Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов. Указанные следственные действия могут производиться с целями: а) осмотра и изъятия ЭВМ и ее устройств; б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ. По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо: 1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры; 2) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен; 3) при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение. Особенности производства осмотров и обысков Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных. В данной ситуации: а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы. Можно осуществить фотографирование или видеозапись изображения; б) остановить исполнение программы. Остановка осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break; в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них; г) определить наличие у компьютера внешних устройств - накопителей информации на жестких магнитных дисках и виртуального диска; д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема); е) скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY; ж) выключить подачу энергии в компьютер и далее действовать по схеме "компьютер не работает". Если компьютер не работает, следует: а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств; б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения; в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его; г) упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества; д) упаковать каждое устройство и соединительные кабели, провода; е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода); ж) особой осторожности требует транспортировка винчестера. Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ). Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее. Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в "почтовых ящиках" электронной почты или сети ЭВМ. Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя. Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где может храниться важная информация. Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания. Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра. Поиск и изъятие информации и следов воздействия на нее вне ЭВМ В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу: а) документы, носящие следы совершенного преступления, - телефонные счета, пароли и коды доступа, дневники связи и пр.; б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства; в) документы, описывающие аппаратуру и программное обеспечение; г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал; д) личные документы подозреваемого или обвиняемого. Комплекс неотложных следственных действий обязательных для первоначального этапа расследования также включает: 1. Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и других документов, имеющих или возможно имеющих отношение к несанкционированному отношению программного обеспечения или носящих иные следы подготовки к хищению денежных средств. 2. Исследование: журналов сбойных ситуаций, рабочего времени ЭВМ, по передачи смен операторами; средств защиты и контроля банковских компьютерных систем, регистрирующих пользователей, моменты включения (активации) системы либо подключение к ним абонентов с определенным индексом или без такового; протоколов вечернего решения, представляющих собой копию действий операторов, отображенную на бумажном носителе в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня; контрольных чисел файлов; всего программного обеспечения ЭВМ; "прошитых" микросхем постоянно запоминающих устройств, микропроцессоров и их схемного исследования. 3. Истребование и анализ технических указаний по обработке ежедневной бухгалтерской информации с перечнем выходящих форм. 4. Допрос лиц из числа инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением, специалистов отвечающих за защиту информации и специалистов электронщиков, занимающихся эксплуатацией и ремонтов вычислительной техники. 5. Назначение комплексной судебно-бухгалтерской и программно-технической экспертизы с привлечением специалистов правоохранительных органов, специалистов в области средств компьютерной техники, по ведению банковского учета с использованием средств компьютерной техники, документообороту, организации бухучета и отчетности, специалистов по обеспечению безопасности информации в компьютерных системах. В ходе судебно-бухгалтерской экспертизы должно быть установлено, имеются ли нарушения требований положений о документообороте при отображении первичных документов в регистрах бухгалтерского учета и отчетности зафиксированных на машинном носителе, установлены их причины (с целью совершения преступления, злоупотребления или ошибки), ответственных лиц за эти нарушения. Результаты программно-технической экспертизы должны быть оформлены как заключение экспертов для того, чтобы они могли играть роль доказательств в процессе суда. В настоящее время с помощью таких экспертиз могут решаться следующие задачи: 1. Воспроизведение и распечатка всей или части информации, содержащейся на физических носителях. В том числе находящихся в нетекстовой форме. 2. Восстановление информации, ранее содержавшейся на физических носителях и в последствии стертой или измененной по различным причинам. 3. Установление времени ввода, изменение, уничтожение либо копирование той или иной информации. 4. Расшифровка закодированной информации, подбор паролей и раскрытие систем защиты. 5. Установление авторства, места, средства, подготовки и способа изготовления документов (файлов, программ). 6. Выяснения возможных каналов утечки информации из компьютерной сети и помещений. 7. Выяснение технического состояния, исправности программно-аппаратных комплексов БИВС, возможности их адаптации под конкретного пользователя. 8. Установления уровня профессиональной подготовки отдельных лиц, проходящих по делу в области программирования и в качестве пользователя. 2. Вынесите постановления о назначении необходимых экспертиз. ПОСТАНОВЛЕНИЕ о назначении программно-технической судебной экспертизы г. Саратов 12 августа 2000 г. Следователь прокуратуры Волжского района г. Саратова юрист 2 класса Иванов И.П., рассмотрев материалы уголовного дела № 11764, УСТАНОВИЛ: 10 августа 2000 г. членами организованной преступной группы был осуществлен несанкционированный доступ к средствам компьютерной техники коммерческого банка "Стрела". В течение суток банк не смог нормально осуществлять все операции по платежам. Прямой ущерб составил около 70 тысяч рублей. В результате осмотра места преступления и осмотра компьютерной сети банка было обнаружено следующее. В программном обеспечении компьютерной сети банка выявлен "вирус". В 10 часов из-за "вируса" главный сервер отключил всю компьютерную сеть и заблокировал ее. В ходе расследования были задержаны гр-не Н. и М. И у них были изъяты мощные компьютеры и программной обеспечение с компьютерными "вирусами". На основании изложенного и руководствуясь ст.195 (196) и 199 УПК РФ, ПОСТАНОВИЛ: Назначить программно-техническую судебную экспертизу, производство которой поручить эксперту ЭКО г. Саратова. Поставить перед экспертом вопросы: 1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемым? 2. Какие информационные ресурсы находятся в данной ЭВМ? 3. Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ? 4. Не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно? 5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы? 6. Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации? 7. Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила? 8. Находится ли нарушение правил эксплуатации в причинной связи с уничтожением, копированием, модификацией? Предоставить в распоряжение эксперта материалы: - копию настоящего постановления; - материалы настоящего уголовного дела; - возможность экспертного осмотра места происшествия и ЭВМ. 4. Поручить разъяснить эксперту права и обязанности, предусмотренные ст. 57 УПК РФ, и предупредить его об уголовной ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения. Следователь Иванов И.П. Права и обязанности, предусмотренные ст. 57 УПК РФ, мне разъяснены 12 августа 2000 г. Одновременно я предупрежден об уголовной ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения. Эксперт ______________ СПИСОК ЛИТЕРАТУРЫ Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. №174-ФЗ Божкова Н.Р. и др. Следственная (криминалистическая) тактика. - Саратов, 1996. Быстряков Е.Н., Иванов А.Н., Климов В.Л. Расследование компьютерных преступлений. - Саратов, 2000. Криминалистика / Под. ред. Белкина Р.С. - М., 1999. Криминалистика: Учебник. / Отв.ред. Н.П. Яблоков. - М.: Юристъ, 1999. Россинская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. - М., 1996. "___" ________ ______ г. ____________ Янкин А.В. 17 Работа на этой странице представлена для Вашего ознакомления в текстовом (сокращенном) виде. Для того, чтобы получить полностью оформленную работу в формате Word, со всеми сносками, таблицами, рисунками, графиками, приложениями и т.д., достаточно просто её СКАЧАТЬ.  |
|
Банк готовых работ
Форма заказа
Скачать работу
экономические  Copyright © refbank.ru 2005-2024
Все права на представленные на сайте материалы принадлежат refbank.ru. Перепечатка, копирование материалов без разрешения администрации сайта запрещено. |
|