Значение и отличительные признаки методик служебного расследования фактов нарушения информационной безопасности от расследования других правонарушений.

Служебное расследование - деятельность в рамках дисциплинарного производства соответствующих должностных лиц по своевременному, всестороннему, полному и объективному сбору и исследованию материалов по факту дисциплинарного проступка, сотрудников (работников), либо невыполнения ими функциональных обязанностей.

Методика расследования отдельных видов преступлений представляет собой раздел криминалистики, изучающий опыт совершения и практику расследования преступлений и разрабатывающая на основе познания их закономерностей систему наиболее эффективных методов расследования и с точки зрения отношения к уголовному закону методики подразделяются на видовые и особенные. Первые из них построены по видам преступлений (например, методика расследования убийств, методика расследования краж, методика расследования мошенничества и т.д.). К особенным относятся частные методики в качестве оснований построения которых могут быть взяты место совершения преступления, личность преступника, личность потерпевшего, время, прошедшее с момента преступления.

По уровню конкретизации методики расследования преступлений могут быть одноступенчатыми и многоступенчатыми.

Наиболее важными типичными элементами частных криминалистических методик являются:

1. криминалистическая характеристика преступлений;

2. круг обстоятельств, подлежащих установлению;

3. типичные следственные ситуации, возникающие на разных этапах расследования, версии и планирование;

4. первоначальные и последующие следственные и оперативно-розыскные мероприятия;

5. особенности тактики проведения наиболее характерных для расследования данного вида преступлений отдельных следственных действий;

6. взаимодействие следователя с оперативно-розыскными органами;

7. особенности использования специальных познаний при расследовании;

8. особенности предупреждения данного вида преступлений.

Расследование преступлений условно делиться на три этапа: первоначальный; последующий; заключительный.

На первоначальном этапе проводятся неотложные следственные действия и оперативно-розыскные мероприятия, направленные на установление факта совершения преступления, преследования преступника по "горячим следам, выявления и закрепления доказательственной информации.

К типичным следственным действиям можно отнести:

- осмотр места происшествия;

- допрос потерпевшего и свидетелей;

- задержание и допрос подозреваемого;

- освидетельствование подозреваемого, в некоторых случаях и потерпевшего;

- производство обысков по месту жительства и работы подозреваемого, его родственников, знакомых;

- производство опознания предметов (похищенного, орудий преступления и др.) и подозреваемого;

- назначение некоторых экспертиз.

На последующем этапе продолжается работа по выявлению и закрепление доказательств, установлению и задержанию неизвестных преступников (с последующим проведением мероприятий по отработке их причастности), розыску похищенного и др.

К типичным следственным действиям последующего этапа можно отнести следующие:

- допросы и очные ставки;

- обыски;

- следственные эксперименты;

- проверка и уточнение показаний на месте;

- назначение и проведение судебных экспертиз;

- предъявление обвинения.

На заключительном этапе уголовное дело готовится для направления в народный суд. С этой целью производится оценка собранных доказательств, определяется подсудность, составляется обвинительное заключение и дело передается прокурору для проверки и подписания обвинительного заключения.

Криминалистическая характеристика включает следующий набор элементов, содержащих обобщенные сведения о:

1. способе совершения и сокрытия преступления;

2. обстановке при которой совершается преступление;

3. предмете преступного посягательства;

4. мотивах и целях;

5. свойствах личности преступника;

6. свойствах личности потерпевшего.

Под компьютерными преступлениями следует понимать предусмотренные уголовным законом общественно опасные действия, в которых машинная информация является объектом преступного посягательства. В данном случае в качестве предмета или орудия преступления будет выступать машинная информация, компьютер, компьютерная система или компьютерная сеть.

Значение проведения служебного расследования заключается в том, что фирма может понести существенный экономический ущерб и потерю имиджа.

Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:

1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.

2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей: следственное действие должно быть заблаговременно подготовлено и детально спланировано;

Компьютерные преступления - это преступления, совершенные с использованием компьютерной информации. При этом, компьютерная информация является предметом и (или) средством совершения преступления.

Уголовное наказание за совершение преступлений в сфере компьютерной информации предусмотрено главой 28-ой УК РФ.

Осмотр:При осмотре места происшествия в состав следственно - оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить: специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ; сотрудник Гостехкомиссии России, Центра защиты информации (при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) СТС негласного получения (уничтожения, блокирования) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (отдела «К» или ОБЭП); участковый оперуполномоченный, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); специалист для проведения цветной фото- или видеосъемки следственного действия.

Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и(или) орудия совершения преступления и несущих в себе следы преступной деятельности.

Осмотру подлежат документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления, также производится смотр средства электронно-вычислительной техники, все фиксируется в протоколе осмотра.

Обыск:По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.

Изъятие: Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.

Назначение экспертиз: при расследовании преступления в сфере компьютерной информации наиболее характерна компьютерно-техническая экспертиза. Может быть назначена идентификационная и не идентификационная компьютерно-техническая экспертиза.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети подлежат установлению следующие обстоятельства:

• факт преступного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
• место и время совершения преступления;
• характер информации, являющейся предметом преступного посягательства;
• способ нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
• характер и размер ущерба, причиненного преступлением;
• виновность лица;
• обстоятельства, способствовавшие совершению преступления.
• В расследовании данной категории преступлений одной из главных проблем становится установление самого факта нарушения правил эксплуатации ЭВМ.

Отличительные признаки фактов нарушения информационной безопасности и методик служебного расследования:

1. Использование новейших информационных технологий

2. Требуют специального образования и высокого интеллектуального уровня

3. Сложность своевременного выявления компьютерных преступлений и установления виновных

4. Трудности в сборе доказательств

5. Возможностью совершения преступления с использованием средств удаленного доступа, что не требует присутствия правонарушителя на непосредственном месте совершения преступления

6. Необходимо различать место нарушения правил и место наступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютерных сетей, в которых персональные ЭВМ подчас расположены на весьма значительных расстояниях друг от друга.

7. При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий.

Особенность методик расследования заключается в том, что «Фиксируется последний кадр» легального или безаварийного движения информации в системе. Фиксируется факт нарушения ИБ, объект нарушения, временные рамки нарушения, субъекты доступа участвовавшие в обработке информации (либо имевшие возможность доступа к ней к ней), устанавливается способ нарушения ИБ (определяется канал передачи/утечки информации). Важно рассмотреть и учесть временную составляющую, маршрут и обстоятельства движения информации в системе до момента фиксирования факта нарушения, т.е. определить весь путь движения информации с момента последнего официально зафиксированного безопасного состояния системы и до момента нарушения ИБ. Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить.

Практическое составление основных правовых документов (концепции информационной безопасности, плана мероприятий информационной безопасности, инструкции информационной безопасности для рабочего места)

Создание Концепции обеспечения информационной безопасности обычно предшествует техническому проектированию СОИБ. Целью создания Концепции является определение основных целей и задач, а также общей стратегии построения СОИБ, выработка требований и базовых подходов к их реализации.

Концепция информационной безопасности организации определяет состав критичных информационных ресурсов и основные принципы их защиты. Принципы обеспечения ИБ обуславливают необходимость применения определенных методов и технологий защиты. Определение способов реализации этих принципов путем применения конкретных программно-технических средств защиты и системы организационных мероприятий является предметом конкретных проектов и политик безопасности, разрабатываемых на основе Концепции.

Концепция информационной безопасности должна раскрыть:

• Цели и задачи обеспечения ИБ.
• Принципы обеспечения ИБ.
• Описание объекта защиты с указанием критичных ресурсов и бизнес-процессов.
• Модели угроз и потенциального злоумышленника.
• Целевая функциональная архитектура системы обеспечения ИБ.
• Зоны ответственности подразделений компании за обеспечение ИБ.

Содержание Концепции ИБ:

• Термины и определения

• Общие положения

• Содержание концепции

• Описание объекта защиты

• Основные принципы обеспечения ИБ

• Организация работ по обеспечению ИБ

• Меры обеспечения ИБ

• Распределение ответственности и порядок взаимодействия подразделений

• Порядок категорирования защищаемой информации

• Модель нарушителя безопасности

• Модель угроз безопасности

• Требования по обеспечению ИБ

• Ответственность за нарушение ИБ

• История изменений

План мероприятий ИБ содержит комплекс правовых, организационно-административных и технических мер, направленных на совершенствование системы информационной безопасности организации. План мероприятий является реализацией Концепции ИБ.

План мероприятий должен содержать 3 раздела:

• организационные мероприятия

• правовые мероприятия

• технические мероприятия

План мероприятий:

1) Краткое описание необходимости защиты информации на предприятии

2) Организационные мероприятия (перечень)

3) Технические и технологические мероприятия

4) Юридические (нормативные) мероприятия по обеспечению безопасности информации

План концепции может выглядеть следующим образом:

1. Исследование объекта защиты;

2. Оценка существующих угроз ИБ;

3. Оценка существующей системы ОИБ;

4. Принципы ИБ по направлениям, критерии оценки эффективности работы системы ОИБ (зависят от структуры организации);

5. Выводы об обеспечении ИБ на предприятии (так же по основным направлениям) + общий вывод;

6. Выводы и предложения по усовершенствованию мер безопасности.

Инструкции ИБ для рабочего места:

Создаются подразделениями предприятия, визируются главными специалистами предприятия (по ИБ). Содержат порядок получения, передачи, хранения, обработки информации. Указываются обязательные требования по доступу к ресурсам. Отдельным разделом запрещается производить какие-либо действия. Все нормативно правовые документы касающиеся предприятия должны быть утверждены руководителем организации и вводятся в работу приказом руководителя.

ИНСТРУКЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ РАБОЧЕГО МЕСТА ОБЩИЕ ТРЕБОВАНИЯ

При работе с информационными ресурсами Компании каждый сотрудник обязан:

- обеспечивать, исходя из своих возможностей и специальных обязанностей по обеспечению безопасности информации, защиту от несанкционированного доступа к информации, к которой он имеет санкционированный доступ в силу своих служебных обязанностей;

- ни в какой форме не участвовать в процессах несанкционированного доступа к информации, принадлежащей другим сотрудникам и службам;

- ни в какой форме не использовать ставшую ему известной в силу исполнения своих функциональных обязанностей информацию не по прямому назначению;

- при нарушении установленных правил доступа другими сотрудниками сообщать об этом непосредственному начальнику, ответственным администраторам или в Службу безопасности.

Ремонтные и профилактические регламентные работы должны производиться только уполномоченными лицами эксплуатационной службы по согласованию с руководителем (ответственным лицом) подразделения, в котором установлено компьютерное оборудование. Порядок снятия, переноса, модификации аппаратной конфигурации устанавливается Регламентом проведения такого рода работ и осуществляется только уполномоченными лицами эксплуатационной службы.

РАБОТА В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ

Каждый пользователь лично отвечает за свои действия при обращении с ценной информацией.

Пользователи обязаны:

­ Знать и соблюдать установленные правила и процедуры обработки конфиденциальной информации. Подчиняться распоряжениям лиц, отвечающих за организационные аспекты информационной безопасности, ставить в известность непосредственного руководителя и/или службу безопасности обо всех нештатных или подозрительных ситуациях, которые могут повлечь нарушение информационной безопасности;

­ Использовать информационные ресурсы и ИТ-сервисы Предприятия в соответствии с настоящей ПИБ, требованиями безопасности к конкретным информационным технологиям, системам и приложениям. Не отключать доступные защитные механизмы, обеспечивающие целостность, конфиденциальность и доступность информации;

­ Знать последовательность действий в случае возникновения инцидента информационной безопасности.

­ Знать и соблюдать правила поведения в экстренных и аварийных ситуациях;

­ Использовать в работе только разрешенные службой безопасности носители информации;

­ Своевременно информировать службу безопасности о ставших известными уязвимых местах в информационных системах и ИТ-сервисах Предприятия;

­ Обеспечивать корректное поведение при работе в информационных системах Предприятия, не предпринимать действий по несанкционированному раскрытию, изменению, уничтожению информации, обходу или блокированию механизмов безопасности, не препятствовать получению другими пользователями авторизованного доступа к информационным ресурсам и ИТ-сервисам

ОТВЕТСТВЕННОСТЬ

Сотрудник отвечает за всю информацию, хранящуюся на рабочем месте, технически исправное состояние вверенной ему техники, также несет личную ответственность за весь информационный обмен между его компьютером и другими компьютерами в ЛВС и за ее пределами.

В зависимости от последствий невыполнения предписаний, предусмотренных в настоящей Инструкции, а также других обязательных условий работы с компьютерным оборудованием и ЛВС к сотруднику могут быть применены соответствующие санкции в виде: предупреждения, лишения премии, временного отстранения от работы, удержания заработной платы, увольнение и т.д., определяемых по представлению начальника отдела, в котором работает сотрудник.

КОНТРОЛЬ ЗА ИСПОЛНЕНИЕМ ИНСТРУКЦИИ

Контроль за соблюдением требований по защите информации возлагается на руководителя Службы безопасности.