Компьютерно-техническая экспертиза (КТЭ) - представляет собой вид инженерно технических экспертиз, проводимых для выявления и изучения компьютерной информации в целях расследования преступлений и разбирательств по арбитражным спорам различного правового характера, а также установления причин возникновения компьютерных инцидентов с целью ликвидации их последствий.
Очень часто КТЭ проводится в следственных и судебных целях. Ранее, я рассказывал о правонарушениях в компьютерной сфере в статьях:
Сегодня сотрудники правоохранительных органов получают достаточное техническое образование необходимое для грамотного реагирования в случае пресечения правонарушений с сфере информационных технологий, но ещё сравнительно недавно при задержании и изъятии вещественных доказательств могли произойти серьёзные ошибки.
Правила фиксации информации и техники на момент изъятия
1. Одним из главных правил является полное документальное фиксирование процесса изъятия компьютерных средств - составление протокола с фото- и видео- съёмкой, произведение обысков с учётом всех процессуальных норм, присутствия понятых, предупреждения подозреваемого об уголовной ответственности в случае сокрытия улик. Фиксирования изымаемой аппаратуры, программного обеспечения, документации и любых источников компьютерной информации, указывающей на совершение преступления.
2. Запрет на использование компьютерной техники, которая была изъята - доступ к надёжно зафиксированной и изъятой правомерным способом аппаратуре должен совершать сертифицированный эксперт при активизированной системе аудио- и видео- протоколирования процесса экспертизы.
Информация, указывающая на преступный характер деяний, может быть удалена или повреждена в случае некорректного обращения с компьютерной техникой (включения, использования в целях удовлетворения любопытства).
3. Запрет на допуск к изъятой аппаратуре её владельцев и посторонних лиц - почти, такое же правило, как и п. 2, но здесь речь идёт о возможном удалении преступной информации самим пользователем, который выражая желание помочь следствию, и получив доступ, к своему инструменту совершения преступления, может незаметно уничтожить улики, например, если система удаления информации запрограммирована на ввод условленной команды в строке ввода пароля.
4. Профессиональная проверка компьютерного средства на вирусы, закладки и системы противодействия вторжению - как правило, все компьютерные устройства проверяются на особом стенде и не запускаются под своими операционными системами. Это правило позволяет обойти "заряженные" на ликвидацию информации устройства.
Но, не всё ещё легко контролируется в результате оперативных действий. Например, особую сложность представляет изъятие компьютерных систем, которые имеют встроенную автономную аппаратную систему уничтожения информации при смене места расположения устройства или отключения его от других устройств компьютерного комплекса.
Виды компьютерно-технических экспертиз
КТЭ совершает исследовательские и аналитические действия с объектами экспертизы, условно разделёнными на три класса:
Компьютерные экспертизы подразделяются:
- компьютерно-техническая экспертиза аппаратных средств - производит исследование и анализ технических компьютерных средств
- компьютерно-техническая экспертиза программных средств - проводит экспертизу прикладного и системного ПО
- компьютерно-техническая экспертиза информации (данных) - может производить экспертные действия не только с цифровыми объектами, но и с технической документацией и другими данными на бумажном носителе
- комплексная компьютерно техническая экспертиза (при экспертизе целостной компьютерной системы)
- компьютерно-техническая экспертиза специальных средств - в отличие от стандартных видов экспертизы, в этом случае объектами являются технические средства мало относимые к компьютерным средствам, но выполняющие функции в общей компьютерной системе
- судебная компьютерно-техническая экспертиза - установление любого факта по решению суда
Круг вопросов, на которые отвечают компьютерно-технические экспертизы очень большой и, приведя все эти вопросы в данной статье, можно создать полный справочник по компьютерно-технической криминалистике.
Для решения своих задач клиент может получить предварительную консультацию в центрах КТЭ, которые имеют полномочия выдавать экспертные заключения определённой категории сложности (детализации).
Сертифицированные эксперты при проведении исследовательских и аналитических работ учитывают множество факторов, определяют и исследуют многие информационные объекты, анализируют данные подсистем регистрации и учёта.
Функции подсистем регистрации и учёта
Подробно о рекомендуемых функциях можно прочитать в Руководящем документе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" утверждённом решением Председателя Гостехкомиссии РФ от 30 марта 1992 года, в котором приводятся требования к шести классам уровня защищённости системы. Ознакомиться с документом частично и заказать бесплатную демонстрацию системы можно на сайте "Техэксперт".
Некоторые контрольные функции системы:
- осуществление регистрации входа/выхода субъектов доступа в систему/из системы
- регистрация выдачи печатных документов, сохранения данных во внешние файлы
- регистрация запусков/завершения всех задач и процессов системы
- регистрация попыток доступа программных средств к защищаемым файлам
- регистрация попыток доступа к терминалам ЭВМ, узлам сети, каналам связи, внешним устройствам, записям, полям записей, томам, каталогам, файлам
- регистрация изменений полномочий субъектов доступа и объектов доступа
- автоматический учёт создаваемых защищаемых объектов
- учёт всех защищаемых носителей информации, регистрация в соответствующих журналах доступа или выдачи/приёма
- осуществление сигнализации о попытках нарушения защиты на терминал администратора с блокировкой дальнейших действий нарушителя
Специалисты КТЭ анализируют все отчёты систем контроля и события зарегистрированные в журналах, чтобы смоделировать состояние компьютерной системы на соответствующие моменты времени.
Отсутствие вышеуказанных и других регистрационно-контрольных функций в системе делает систему слабо защищённой или подозрительной в сфере применения.
Знание возможностей компьютерно-технической экспертизы и умение вовремя обратиться за проведением компьютерно-технического аудита повышает уровень безопасности информационного комплекса организации в целом.
автор публикации: Демешин С.В.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).