Расследование несанкционированного доступа к данным

В предыдущих статьях я рассказывал о расследовании компьютерных преступлений совершённых с использованием вредоносных программ:

• Разрушающие программные средства (РПС)
• Расследование применения вредоносных программ
• Проведение компьютерно-технической экспертизы

В этой статье речь пойдёт о расследовании случаев НСД. Подробнее о несанкционированном доступе к данным можно узнать в Руководящем документе ФСТЭК РФ, утверждённый решением Председателя Гостехкомиссии РФ от 30 марта 1992 г. "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации".

В этом документе содержится информация:

• основные принципы защиты от НСД
• модель нарушителя в АС
• основные способы НСД
• направления обеспечения защиты от НСД
• организация работ по защите от НСД

В уголовном праве предусмотрена статья 272. Неправомерный доступ к компьютерной информации УК РФ предусматривающая уголовную ответственность за НСД:

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, -

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

...

Действия правоохранительных органов

Сотрудники правоохранительных органов в случае расследования НСД определяют:

• факт неправомерного доступа к информации - устанавливается потерпевшими или выясняется в ходе оперативно-розыскной деятельности
• место и время несанкционированного доступа к информации - фиксируются объекты на месте происшествия и проводится криминалистическая экспертиза
• устанавливается круг подозреваемых лиц - в результате расследования
• определяется масштаб вредных последствий НСД - как правило, проводится комплексная экспертиза с участием сертифицированных специалистов

В ходе расследования, по учётным и контролирующим функциям информационной системы, можно установить:

• как производилась идентификация, аутентификация и авторизация подозрительных субъектов
• оцениваются все учётные сведения системы контроля входа пользователя в систему
• анализируется информация от средств контроля оперативных и информационных ресурсов системы с целью моделирования действий подозреваемого
• анализируются сведения систем контроля над служебными функциями, с целью установления факта проведения действий по сборке мусора, нарушения целостности информации, получения доступа к управляющим функциям системы
• определяются признаки скрытого доступа к данным со стороны процесса

Процессы по доступу к данным можно представить в виде следующей схемы:

С помощью классификации и соотнесения процессов доступа к ресурсным объектам относительно субъектов и распределения их по временной шкале, можно установить роли участников несанкционированного доступа к данным и определить степень их участия в преступлении.

Следствием проводятся аппаратные и программные экспертизы, моделируются все стадии преступления, устанавливаются недостающие звенья и разрабатываются соответствующие оперативно-розыскные мероприятия для обеспечения полноты доказательств преступления.

Применяется правило: чем сложнее информационная система, тем больше следов присутствия правонарушителя можно из неё извлечь.

В следующих статьях речь пойдёт способах обработки информации различных видов и назначения, основных методах защиты информации и возможных вариантах расследования компьютерно-информационных инцидентов.

автор публикации: Демешин С.В.