Для преступлений в области компьютерной информации типичны три ситуации первоначального этапа расследования:
первая ситуация — собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфиденциальности в информационной системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы;
вторая ситуация — собственник самостоятельно выявил названные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы;
третья ситуация — данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и о виновном лице стали известны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативнорозыскных мероприятий по другому делу), виновное лицо неизвестно.
Для всех первоначальных ситуаций расследования характерны версии о способах, мотивах и соучастниках преступной деятельности и объемах причиненного вреда. Во всех ситуациях, связанных с неправомерным доступом и появлением вредоносных программ в ЭВМ, первоначальной задачей расследования является выявление следов преступной деятельности.
Первая ситуация — направление на фиксацию факта нарушения целостности (конфиденциальности) информационной системы и его последствий, следов конкретной деятельности преступника, отразившихся в информационной системе на месте доступа к ней и вокруг этого места, на «транзитных» машинных носителях информации.
В данной ситуации задача следствия заключается в сборе (с помощью собственника информационной системы или его работников (с участием специалиста) и процессуальной фиксации доказательств:
• нарушения целостности (конфиденциальности) информации в системе;
• размера ущерба, причиненного преступлением;
• причинной связи между действиями, образующими способ нарушения и наступившими последствиями путемдетализации данных о механизме совершенных виновным действий;
• отношения виновного лица к совершенным действиям инаступившим последствиям.
Если преступник задержан на месте совершения преступления (или сразу же после его совершения), характерны следующие первоначальныеследственныедействия:
• личный обыск задержанного;
• допрос задержанного;
• обыск по месту жительства задержанного.
Следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и по месту жительства, а также в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). Полученные в результате следственных действий доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого (обвиняемого). К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию местонахождения и состояния компьютерной информации, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.
Для второй и третьей ситуаций характерны специфическая задача поиска признаков механизма совершения преступных действий, путей проникновения в информационную систему и на основе этих данных — определение круга лиц, которые могли использовать этот механизм. В данных ситуациях первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации данных о проникновениях в информационную систему с целью выявления способа и механизма действий. Важнейшим элементом работы является выемка документов (предпочтительно с участием специалиста), в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к розыску виновного и поиску его рабочего места, откуда осуществлялось вторжение в информационную систему. При этом осуществляется поиск: места входа в данную информационную систему и способа входа в систему — вместе и с помощью должностных лиц собственника информационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы — вместе и с помощью должностных лиц иных информационных и коммуникационных систем — до рабочего места злоумышленника.
Типовыми частными версиями являются: версии о личности преступника (преступников); версии о местах совершения внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.
Наряду с показаниями очевидцев большое значение имеют результаты осмотра машинных носителей компьютерной информации, в ходе которого фиксируются следы нарушения целостности (конфиденциальности) информационной системы и ее элементов. Важную роль в сборе данных о совершенном преступлении играют сведения о действиях должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе. Эти лица в отдельных случаях могут выступать в качестве свидетелей, а при бесспорном установлении непричастности к расследуемому событию — в качестве специалистов при производстве следственных действий.