§ 2. Организация расследования на первоначальном этапе

Раскрывать преступления в сфере компьютерной информации, сложно, так как нередко преступники прибегают к различным улов­кам, маскируют свои преступные деяния многочисленными объек­тивными и субъективными причинами, которые действительно мо­гут иметь место (например, сбой в работе ЭВМ и программного обеспечения, средств электросвязи, энергообеспечивающего обо­рудования; замыкание в электропроводке и т. п.).

Перечень неотложных следственных действий и оперативных мероприятий, очередность их проведения будут определяться кон­кретной следственной ситуацией, в которой начинается расследо­вание. Следственная ситуация характеризуется, прежде всего, объ­емом и достоверностью исходной криминалистически значимой информации, имеющейся в распоряжении следователя и оператив­ного работника.

Поводами и основаниями для возбуждения уголовных дел чаще всего служат: заявления граждан (конкретных потерпевших); сооб­щения руководителей предприятий, учреждений, организаций и должностных лиц (базирующиеся, как правило, на материалах кон­трольно-ревизионных проверок и сообщениях служб безопасности); сведения, полученные в результате проведения оперативно-розы­скных мероприятий; непосредственное обнаружение следовате­лем, прокурором или судом признаков преступления; статьи, замет­ки и письма, опубликованные в средствах массовой информации, а также в сети Интернет.

Как правило, возбуждению уголовного дела предшествует пред­варительная проверка материалов, поступивших в правоохрани­тельные органы. В связи с этим следователь может заблаговре-

94

менно ознакомиться с собранными по делу материалами, совмест­но с оперативным сотрудником выбрать в тактическом отношении наиболее оптимальный момент для возбуждения дела, а также оп­ределить характер и последовательность первоначальных следст­венных действий, организационных и иных мероприятий. Успех расследования преступления в сфере компьютерной информации во многом обеспечивают: быстрота и решительность действий сле­дователя и оперативного сотрудника в самые первые часы произ­водства по делу; организованное взаимодействие с различными подразделениями правоохранительных органов; наличие специа­листа в области компьютерной обработки информации (возможно, пользователя ЭВМ).

В ходе предварительной проверки материалов при решении во­проса о возбуждении уголовного дела следователь должен прежде всего получить четкое и полное представление о предмете посяга­тельства, месте его нахождения и условиях охраны; о характере деятельности и структуре объекта, где, возможно, было совершено преступление; об особенностях технологии производства; изучить конкретные условия деятельности данного объекта, существующий там порядок учета и отчетности, систему товаро- и документообо­рота, коммуникативные и иные тактико-технические характеристики используемой компьютерной техники, организацию охраны. Необ­ходимо также хорошо знать служебные обязанности лиц, имеющих прямые или косвенные отношения к орудиям обработки и компью­терной информации, которые стали предметом преступного посяга­тельства.

К типичным признакам подготовки, совершения и сокрытия пре­ступления в сфере компьютерной информации относятся: появле­ние в ЭВМ, системе ЭВМ или их сети фальшивых данных; несанк­ционированные изменения структуры файловой системы, про­граммного обеспечения и конфигурации ЭВМ, системы ЭВМ или их сети; необычные (нестандартные) проявления в работе СВТ и их программного обеспечения; частые сбои в работе аппаратуры; жа­лобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхуроч­ная работа некоторых сотрудников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графика их эксплуатации; нерег-ламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компью­терной информации отдельных субъектов; нарушение правил рабо­ты с компьютерной информацией и несанкционированные манипу­ляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к содержанию чужих распечаток (листингов) и компь-

95

ютерной информации определенной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных, требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различными предлогами (записи игр и т. п.); исследование мусорных корзин (контейнеров) с технологическими отходами компьютерной обра­ботки информации; случаи утечки конфиденциальной информации либо обнаружение негласных устройств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; созда­ние копий определенной категории данных и компьютерной инфор­мации, не предусмотренных технологическим процессом; несоот­ветствие данных, содержащихся в первичных (исходных) докумен­тах, данным машинограмм и иным более поздним по времени соз­дания документам; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации опреде­ленной категории.

Чтобы детально разобраться в особенностях деятельности по­терпевшей стороны (физического или юридического лица), следо­вателю и оперативномучхпруднику необходимо ознакомиться с со­ответствующей справочной литературой, изучить ведомственные нормативные акты. Исключительно важное значение имеют кон­сультации со специалистами. Для этих целей могут быть привлече­ны любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники различных организаций, осуществляющих свою деятель­ность в сфере информации, информатизации и защиты информации. Наиболее предпочтительны сотрудники: Государственной техниче­ской комиссии при Президенте Российской Федерации Гостехкомис-сии России) и ее региональных структурных подразделений (Спец­центров), размещающихся на базе воинских формирований Мини­стерства обороны; подразделений Федерального агентства прави­тельственной связи и информации (ФАПСИ), размещающихся на базе оперативно-технических подразделений ФСБ России; опера­тивно-технических подразделений правоохранительных органов; отделов по борьбе с преступлениями в сфере высоких технологий (ОБПСВТ) МВД России; специалисты межрегиональных центров за­щиты информации, функционирующих на базе гражданских высших учебных технических заведений; научно-педагогические работники научно-исследовательских институтов и лабораторий, а также учеб­ных заведений.

96

Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования.

Ситуация 1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонаруши­теля отсутствуют.

Ситуация 2. Имеются сведения о причинах возникновения пре­ступления, способе его совершения, но нет сведений о личности преступника.

Ситуация 3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и дру­гие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно-розыскные, организационные и иные мероприятия:

1. получение объяснения (допрос) заявителя или лиц, на кото­ рых указано в исходной информации как на возможных свидетелей (очевидцев);

2. вызов и инструктаж необходимых специалистов для участия в" осмотре места происшествия;

3. осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, СВТ, документов и т. п.);

4. проведение оперативно-розыскных мероприятий в целях ус­ тановления причин совершения преступления, выявления лиц, ви­ новных в его совершении, определения рабочего места преступни­ ка, обнаружения следов и других вещественных доказательств;

5. изучение справочной литературы, ведомственных норматив­ ных актов, положений, инструкций, правил эксплуатации конкретно­ го СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;

6. наведение справок в контролирующих, инспектирующих и ли­ цензирующих организациях и их структурных подразделениях (ФАПСИ, Гостехкомиссии, налоговой инспекции, Комитете по кон­ тролю за использованием радиочастот, Энергонадзоре, Госпожнад- зоре, КРУ, торговой инспекции и т. п.);

7. истребование материалов контрольных проверок, инвентари­ заций и ревизий (соблюдения правил обработки информации, сис­ темы защиты конфиденциальной информации, оборота электрон­ ных документов и др.) за интересующий следствие период, в слу­ чае необходимости — организовать их производство (в том числе повторно);

К *~ ■■ . ■

7 Криминалистическая методика ' 97

8. выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носите­ лях информации), характеризующих производственную операцию, в ходе которой, по имеющимся данным, совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;

9. допросы подозреваемых и(или) свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;

10. обыски на рабочих местах и по месту проживания подозре­ ваемых;

11. назначение экспертиз — программно-технической, радиотех­ нической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.

Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.

При наличии третьей следственной ситуации необходимо: 1) изучить поступившие материалы с позиций их полноты, соблю­дения норм уголовно-пр&цессуального законодательства и порядка их передачи в органы предварительного следствия. При необходи­мости — принять меры к получению недостающей процессуальной информации; 2) решить вопрос о возможности задержания преступ­ника с поличным и о необходимых в связи с этим мероприятиях; 3) провести личный обыск задержанного; 4) осмотр места происше­ствия с участием соответствующих заранее приглашенных специа­листов; 5) допрос задержанного; 6) обыски на рабочем месте и по месту проживания задержанного; 7) установить связи задержанного и лиц, причастных к совершению преступления; 8) провести допрос свидетелей (очевидцев); 9) допрос подозреваемого; 10) выемку и осмотр вещественных доказательств и документов: подлинных до­кументов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те про­изводственные операции, в процессе которых допущены наруше­ния и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации); ору­дий подготовки, совершения и сокрытия преступления; предмета преступления; 11) провести допросы лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установ­ленных нарушений; 12) истребовать, а при необходимости — про­извести выемки нормативных актов и документов, характеризую-

98 ,

щих порядок и организацию работы в данном подразделении с кон­фиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.; 13) провести допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с пре­ступником; 14) проанализировать полученную информацию и ре­шить вопрос о необходимости назначения судебных экспертиз, про­ведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).

В очередность перечисленных следственных действий, опера­тивных и организационных мероприятий могут быть внесены кор­рективы в зависимости от изменения ситуации.