CC BY
31РАЗДЕЛ II
ПРОБЛЕМЫ ПРОФИЛАКТИКИ
ДМИТРИЙ СТАНИСЛАВОВИЧ МИШИН,
кандидат юридических наук, преподаватель Орловского юридического института МВД России;
СЕРГЕЙ ЛЕОНИДОВИЧ ПАНЬКОВ,
начальник организационно-научного и редакционно-издательского отдела
Орловского юридического института МВД России;
ОЛЕГ ВЛАДИМИРОВИЧ ТРЕТЬЯКОВ,
кандидат исторических наук, доцент Академии федеральной службы охраны России
НЕКОТОРЫЕ ОСОБЕННОСТИ ВЫЯВЛЕНИЯ, ПРЕДОТВРАЩЕНИЯ И ПРОФИЛАКТИКИ ПРАВОНАРУШЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Проводится анализ существующих методик обнаружения и реагирования на инцидент, связанный с неправомерным доступом к компьютерной информации. Кроме того, предлагаются приемы и методы обнаружения и фиксации следов подобных деяний для проведения последующего анализа с целью выработки эффективной методики противодействия и профилактики.
Ключевые слова: противоправные деяния, профилактика, анализ, следы, информационно-телекоммуникационная инфраструктура, рабочая станция, компьютерная информация. D.S. Mishin, PhD (Law), Lecturer, Russia Ministry of the Interior Law Institute (Orel City); e-mail: mishinds@mail. ru, tel. 8 (4862) 41-45-50;
S.L. Pankov, Head, Research organization and editorial-publishing department Russia Ministry of the Interior Law Institute (Orel City); tel. 8 (4862) 41-06-11;
O.V. Tretyakov, PhD (History), Assistant Professor Russia Federal Protective Service Academy; tel. 8 (4862) 41-99-41.
Some peculiarities in detecting and preventing infringements of the law in the sphere of computer information.
The present methods for detecting of and reacting to an incident consisting in the illegal access to computer information are analyzed. Besides, tools and means used to detect and fix down traces of similar acts, intended for the following analysis with the aim to develop efficient tools of counteracting and preventing, are suggested.
Key words: infringements of the law, prevention, analysis, traces, information and telecommunication structure, workstation, information.
Начавшаяся во второй половине XX в. научно-техническая революция привела к существенным изменениям в общественной жизни. С началом XXI в. человечество вступило в эру новых информационных технологий, использование которых, кроме позитивных тенденций, обладает и рядом негативных. На современном этапе развития мирового сообщества информация и информационные процессы играют ключевую роль не только в функционировании обществен-
ных и государственных институтов, но и в жизни каждого человека в отдельности. Все возрастающие требования к оперативности протекания информационных процессов в различных областях деятельности мирового сообщества, а также постоянное совершенствование технического и программного обеспечения стали побудительным мотивом создания современных информационных систем и методов распределенной обработки данных, реализации доступа к вычис-
лительным сетям посредством информационно-телекоммуникационных сетей. В федеральном законодательстве дается следующее определение: «Информационно-телекоммуникационная сеть (ИТС) - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники»1.
Данные, хранящиеся и обрабатываемые в информационно-телекоммуникационных сетях, объединяются в информационные ресурсы, по мере усиления важности которых возрастает ценность и спрос на них на рынках. В Доктрине информационной безопасности Российской Федерации говорится: «Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений»2.
Одновременно с развитием информационно-телекоммуникационной инфраструктуры общества и увеличением объема циркулирующей информации возникла серьезная проблема, связанная с неправомерным нарушением безопасности информационных процессов. В связи с этим следует указать на немаловажное значение решения проблем профилактики неправомерных действий в данной области. Повышение эффективности профилактических действий, связанных с предотвращением и противодействием неправомерному доступу к компьютерной информации, напрямую зависит от качества выявления, фиксации и анализа подобных деяний. Именно этой проблеме и будет посвящена данная статья.
АЛГОРИТМ ОБНАРУЖЕНИЯ И РЕАГИРОВАНИЯ
Обнаружение попытки совершения противоправного деяния должно повлечь за собой не только быстрый и продуманный ответ с целью предотвращения потерь информации, но и эффективное использование специальных процедур для преследования и идентификации злоумышленника. Осуществлять формирование доказательной базы инцидента должен специ-
ально подготовленный специалист, так как в противном случае может быть случайно модифицировано ценное доказательство или не идентифицирован важный признак неавторизирован-ной, незаконной активности в течение анализа процесса совершения противоправного деяния.
Реакция на инцидент, связанный с противоправным деянием, является сложной задачей, которую можно решить с использованием специально разработанной методики с учетом предполагаемых действий правонарушителя (рис. 1).
1 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. 2006. 29 июля.
2 Доктрина информационной безопасности Российской Федерации // Российская газета. 2000. 28 сент.
Рис. 1. Реагирование на инцидент, связанный с противоправным деянием
На первом этапе осуществляется подготовка к неправомерным действиям и формирование алгоритма реагирования на инцидент на основе информации о его процедурах. Доскональная проработка этого вопроса позволяет наиболее эффективно противодействовать рассматриваемым попыткам. Обнаружение инцидентов, связанных с совершением противоправного деяния, осуществляется при содействии установленного программного обеспечения.
Факт совершения противоправного деяния может быть обнаружен различными программно-техническими и организационными средствами. К программно-техническим средствам можно отнести систему обнаружения атак и брандмауэры (Т1геша!1), формирующие сообщения об опасных ситуациях в файлах отчета (журналах регистрации). В течение этого процесса происходит фиксирование даты и времени, природы инцидента, оборудования и программного обеспечения, участвующих в нем. То есть осуществляется обнаружение и регистрация факта неправомерного доступа к компьютерной информации, формируется файл отчета.
Следующим этапом является реализация мероприятий реагирования на инцидент на осно-
ве уже сформированного примерного алгоритма реагирования на нештатные ситуации, включающего в себя несколько этапов. На первом проверяется информация об инциденте и сетевые журналы, а на втором этапе осуществляется реализация мероприятий безопасности и изоляция инцидента.
На основе зарегистрированного факта осуществляется предупреждение администратора сети, а в отдельных случаях системой принимается решение на полную остановку обмена данными. Происходит реализация мероприятий по реагированию на нарушение информационной безопасности, изоляция попытки неправомерного доступа, фиксирование доказательной базы.
Целью заключительного этапа является создание как можно более полного набора документов. Применение системы обнаружения атак позволяет формировать необходимые документы и отчет о происшедшем инциденте, начиная с первой фазы вторжения. Основываясь на файлах отчета, можно осуществить поиск и установление лица или группы лиц, виновных в инциденте, выработать рекомендации по совершенствованию мер защиты в используемой информационно-телекоммуникационной сети. Реализация предлагаемой методики невозможна без предварительного выполнения некоторых действий, которые будут рассмотрены ниже.
СПОСОБЫ И ПРИЕМЫ АНАЛИЗА ПРОТИВОПРАВНЫХ ДЕЯНИЙ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Работу по анализу противоправных деяний в сфере информационных технологий выполняет эксперт-криминалист, обладающий специальными познаниями в области выявления неправомерных действий в сфере компьютерной информации. Представляется, что данный процесс для повышения эффективности следует разбить на несколько этапов, которые заключаются в реализации трех фаз:
сохранение системы; поиск следов противоправного деяния; реконструкция событий. На этапе сохранения системы необходимо произвести консервацию места совершения противоправного деяния. Задача данной фазы заключается в сведении к минимуму всех возможных потерь следов, необходимых для проведения последующего анализа.
В процессе перехода к фазе поиска следов и анализа места совершения противоправного деяния в сфере компьютерной информации необходимо определить, как она будет проводиться -
на самом носителе информации (так называемый живой анализ) или на специально созданной копии («мертвый анализ»).
При любом предложенном виде анализа необходимо определить криптографический хеш-код, который может понадобиться для доказательства целостности данных и отсутствия на носителе информации следов их модификации в процессе проведения экспертных действий. Для процедур хеширования разработаны специальные алгоритмы, при которых получение одинакового результата для двух разных входящих данных крайне маловероятно. Неизменность хеш-кода свидетельствует о том, что информация не подверглась модификации.
На этапе поиска следов совершения противоправного деяния осуществляется поиск доказательственной информации, необходимой для подтверждения или опровержения выдвинутых на первоначальном этапе гипотез о происшедшем неправомерном доступе. В случае известности типа неправомерного доступа круг поиска доказательств сужается.
По мере проведения анализа требуется найти подтверждение или опровержение выдвинутых гипотез по обнаруженным следам совершения противоправного деяния. При проведении данного процесса эксперту необходимо искать не только следы, подтверждающие выдвинутую гипотезу, но и опровергающие ее.
Для выполнения подобных задач существует множество программ, используемых при проведении анализа цифровых систем, функции которых в основном сосредоточены в фазах сохранения и поиска следов неправомерных действий в сфере информационных технологий. В качестве примера можно привести бесплатно распространяемый пакет TSK (The Sleuth Kit), содержащий необходимые комплексы программ.
Практика расследования неправомерного доступа в сфере компьютерной информации показывает, что большинство следов находятся в файловой системе. В этом случае к стандартной методике поиска следует отнести поиск ключевой комбинации в названии файла или поиск по шаблонам. Часто необходимо осуществлять поиск определенного слова в содержании файла или по его временным параметрам (время последнего обращения или записи), если анализ проводится по «горячим следам». В некоторых случаях поиск можно осуществлять простым сравнением хеш-кодов содержимого файлов. В случаях, когда требуется анализ сетевого трафика, возможен поиск всех пакетов, отправленных с некоторого исходного адреса, или всех пакетов, адресованных конкретному порту. Кроме того,
при необходимости, можно найти все пакеты с заданными ключевыми словами.
При выполнении фазы реконструкции событий на основе найденных следов производится восстановление последовательности событий, происходивших в системе. Для осуществления данной задачи эксперт должен на достаточно высоком уровне работать с операционной системой и приложениями, установленными на данном компьютере, чтобы провести правильную реконструкцию происходивших событий.
На основании предложенного порядка проведения анализа места совершения противоправного деяния в сфере информационных технологий следует привести некоторые общие рекомендации.
В первую очередь целесообразно осуществить сохранение исследуемой системы. Эксперт должен исключить любую вероятность модификации или уничтожения данных, которые могут послужить доказательствами совершенного неправомерного доступа к компьютерной информации, т.е. он должен изолировать среду анализа от внешнего мира. Необходимость выполнения подобных действий объясняется тем, что неизвестно назначение и скрытые задачи исследуемых файлов. Порядок выполнения данной рекомендации зависит от метода проведения анализа. Предлагается различать, как указывалось ранее, два типа: «мертвый анализ» и «живой анализ».
При проведении «живого анализа» необходимо завершить или приостановить все подозрительные процессы, происходящие в операционной системе компьютера, при необходимости отключить его от сети. В этом случае целесообразно подключить компьютер к отдельному концентратору для предотвращения появления в журнале сообщений о недоступности сети и неверной работы некоторых программ.
Проведение «мертвого анализа» требует завершения всех процессов, протекающих в компьютере, с последующим отключением системы. По окончании данного процесса целесообразно создать резервные копии всех данных, содержащихся на жестком диске.
При использовании метода «мертвого анализа» необходимо:
провести копирование важных данных на аналогичный носитель и поместить оригинальный носитель исследуемой информации в надежное место. Исследование точной копии необходимо для исключения возможности модификации или удаления данных с исходного носителя информации в результате возможного срабатывания программ с заранее заготовленными вредоносными сценариями;
в процессе проведения исследования необходимо произвести вычисление хеш-кодов при помощи алгоритмов MD5 и SHA, что позволит сузить круг поиска доказательственной информации.
При использовании метода «живого анализа» необходимо:
воспользоваться устройствами блокирования записи во время любых действий, в особенности способных привести к изменениям данных во время анализа;
свести к минимуму количество файлов, создаваемых в период проведения анализа и способствующих стиранию следов на свободном пространстве диска. По оценкам специалистов, из «хвостовых» кластеров через сутки можно извлечь до 85%, а через десять суток - до 25-40% исходной информации;
проявлять осторожность при открытии файлов, так как данное событие может, в свою очередь, привести к модификации или удалению необходимых следов. Анализируемый файл может произвести запуск удаления данных, форматирования диска или осуществить попытку связаться с удаленной системой, а HTML-файл - инициировать свой заготовленный сценарий или запустить его с удаленного сервера.
Данное исследование позволяет сделать вывод о том, что проведение «живого анализа» должно осуществляться в исключительных случаях, если в силу определенных обстоятельств нет возможности остановить работающий компьютер.
Документирование всех действий, совершаемых во время проведения анализа, является обязательным и позволяет использовать полученные данные в качестве доказательственной информации.
По окончании краткого рассмотрения фаз анализа места совершения противоправного деяния в сфере компьютерной информации целесообразно приступить к рассмотрению способов и методики проведения анализа.
Современные базы данных имеют многоуровневую архитектуру, при этом обладая необходимой гибкостью и масштабируемостью для эффективного хранения и обработки информации, циркулирующей в персональных компьютерах и информационно-телекоммуникационных сетях3. Для определения типов анализа воспользуемся структурой, включающей в себя две независимые области. Первая основывается на устройствах хранения информации, а вторая - на устройствах обмена данными.
3 Cm.: Carrier, Brian. «Defining Digital Forensic Examination and Analysis Tools Using Abstraction Layers». International Journal of Digital Evidence, Winter 2003a. http://www.ijde.org.
Последовательность проведения анализа основывается на архитектуре цифровых данных. После проведения анализа физических носителей информации необходимо переходить к анализу томов и файловой системы с последующим выходом на прикладной уровень операционной системы. В рамках данной статьи не рассматривается обращение к таким видам анализа, как анализ файлов подкачки, баз данных, анализ ячеек памяти, сетевой анализ.
Анализ физических носителей информации относится к исследованию низкоуровневых данных и требует наличия надежного метода чтения физических носителей (жесткие диски, карты памяти и т.д.). Это объясняется тем, что при необходимости долгосрочного хранения информации она организуется в виде томов, где под томами понимается совокупность ячеек, доступных для обращения и записи со стороны приложений. Самым распространенным содержимым томов являются файлы и файловые системы, созданные различными прикладными программами, кроме того, они могут содержать базы данных или использоваться как временное пространство подкачки.
Файловые системы являются набором структур данных, которые позволяют приложениям производить различные действия с файлами. Анализ подобных систем необходим для поиска файлов, их восстановления в случае удаления и в первую очередь должен быть направлен на поиск скрытой информации. Для определения содержания файла необходимо перейти на прикладной уровень, который определяет структуру файла в зависимости от создавшего его приложения или операционной системы. Анализ прикладного уровня играет важную роль, так как, основываясь на анализе конфигурации файлов, можно определить программы, выполнявшиеся в системе, и выявить скрытое содержание некоторых типов файлов (например, графических), которое может создаваться при помощи специальных программ.
В целом можно сделать вывод о том, что поток байтов, полученный в результате анализа жесткого диска, в последующем анализируется на уровне томов, а дальнейший анализ происходит на уровне файловой системы и прикладном уровне. При этом необходимо учитывать, что данные об имени файла и его местоположении (адресе) обязательны. Если они неверны или отсутствуют, то в этом случае прочитать содержимое файла не представится возможным или будет получено ошибочное содержание. Кроме того, такой показатель, как время последнего обращения к файлу, может быть изменен умышлен-
но или случайно, и опираться на подобные данные следует с осторожностью.
ОБНАРУЖЕНИЕ СЛЕДОВ НА ОСНОВЕ АНАЛИЗА ДАННЫХ РАБОЧЕЙ СТАНЦИИ
Эффективность использования методики реагирования на противоправное деяние зависит от качества проведения анализа рабочих станций. Он заключается в определении закономерностей механизма собирания, исследования, оценки и использования следов неправомерного доступа к компьютерной информации, а также совершенствовании средств, приемов, методов анализа и предотвращения в последующем подобных противоправных деяний. На основании отчета, предоставленного системой, необходимо провести проверку по следам, оставленным в результате неправомерного доступа к компьютерной информации. Исследования компьютерных средств и систем по степени сохранности объекта компьютерно-технической экспертизы можно классифицировать на следующие виды:
никак не влияющие на объект компьютерно-технической экспертизы и не требующие реализации процедур пробоподготовки;
не разрушающие объект компьютерно-технической экспертизы, но изменяющие его состав, структуру или отдельные свойства;
не разрушающие образец, но требующие для его изготовления разрушения или видоизменения объекта;
полностью или частично разрушающие объект компьютерно-технической экспертизы или образец4.
Естественно, что наиболее целесообразными являются методы, никак не влияющие на объекты информационно-телекоммуникационной сети. В этом случае есть возможность наиболее полно оценить процедуру неправомерного доступа, вред, нанесенный данным деянием, и выработать методику противодействия.
Поиск следов неправомерного доступа к компьютерной информации и анализ компьютерных сетей невозможны без обращения к данным, хранящимся на жестком диске рабочей станции. Подобный анализ может проводиться как в работающих системах - «прямой анализ» (т.е. продолжающих функционировать в составе информационно-телекоммуникационных сетей), так и при помощи «автономного анализа» (т.е. с отключением от ИТС) в целях исключения моди-
4 См.: Усов А.И. Судебно-экспертное исследование компьютерных средств и систем: Учеб. пособие. М.: Экзамен, 2003.
фикации или утраты хранящейся на жестком диске информации, для чего производится их копирование на внешний носитель для последующего исследования (рис. 2).
Рис. 2. Анализ жесткого диска
Наибольшую сохранность следов обещает второй вид анализа, но при этом порядок его проведения зависит от средств обеспечения информационной безопасности в данной информационно-телекоммуникационной сети.
В том случае, если производится исследование рабочей станции компьютерной сети с действующей системой обнаружения атак, достаточно простого копирования файлов, так как в ней имеется журнал регистрации, содержащий информацию о действиях правонарушителя. При уверенности эксперта в том, что журналы регистрации не изменялись и все необходимые следы находятся на файловом уровне, для получения результата достаточно произвести копирование файлов отчетов с целью последующего анализа.
Такой подход объясняется принципом работы системы обнаружения атак, основанным на том факте, что поведение взломщиков, вторгающихся в работу сети, отличается от действий зарегистрированных пользователей. При этом производится анализ отчетов о функционировании операционной системы, приложений и сравнение системных событий с заранее известной базой процедур нарушений безопасности. Располагающиеся на сетевых рабочих станциях компоненты системы обнаружения атак следят за различными аспектами безопасности и в случае взлома или отклонений от нормального режима функционирования реагируют на инцидент. Системой регистрируется подозрение на факт неправомерного доступа, предупреждается адми-
нистратор, а в отдельных случаях производится полная остановка рабочих станций, изменение настроек межсетевых экранов или маршрутизаторов. При этом система производит запись в журнал регистрации любых аномальных событий5.
При использовании в компьютерных сетях иных средств обеспечения информационной безопасности необходимо проводить копирование информации, содержащейся на жестком диске. Для повышения эффективности данного процесса его необходимо проводить путем сохранения каждого байта на внешний носитель, так как при проведении этой работы на более высоких уровнях (диски, тома, файлы, приложения) теряется часть данных, необходимых для объективного анализа. Например, если произведено копирование только существующих файлов, то в этом случае невозможно восстановление удаленных файлов, недоступны временные данные, служебная информация, скрытая в структурах и разделах исследуемой файловой системы.
В целях обеспечения безопасности копирования информации, содержащейся на диске, Национальным институтом стандартов и технологий США (NIST, National Institute of Standards Technology) в рамках проекта CFTT (Computer Forensic Tool Testing) был разработан перечень требований для создания образов дисков. Спецификации приведены на сайте: http://www.cftt.nist.gov/ disk_imaging.htm.
Как известно, существуют два способа обращения к диску:
операционная система или программа копирования обращается к жесткому диску напрямую;
операционная система или программа копирования обращается к жесткому диску через BIOS (Basic Input/Output System).
Можно подумать, что второй способ удобнее, так как BIOS владеет всеми аппаратными тонкостями компьютера, но на самом деле все несколько сложнее. Если BIOS считает, что размер диска, например, 40 Гбайт, а не фактические 60 Гбайт (такая ситуация может возникнуть, так как разные фирмы производят жесткие диски и материнские платы для компьютеров), то функция INT 13h предоставит доступ только к 40 Гбайтам и, как следствие, 20 Гбайт не будут скопированы для исследования и анализа6.
В целях предотвращения подобных проблем эксперты нередко загружают исследуемую рабочую станцию с компакт-диска Linux, конфигура-
5 См.: Мишин Д.С., Еременко А.В. Методы и системы обнаружения атак в компьютерных сетях // Вестник информационных и компьютерных технологий. 2006. № 10.
6 См.: U.S. Department of Justice, 2003.
ция которого не предусматривает модификации данных, и приступают к копированию информации, что предотвращает запуск программ, разработанных для работы в среде Windows, и соответственно защищает данные от искажения. Кроме того, необходимо обратить внимание на обнаружение защищенных областей диска, так как в противном случае хранящиеся в них данные не будут исследованы. Во избежание случайных потерь информации необходимо предварительно создать образ диска, а факт вскрытия защищенной области эксперту следует задокументировать.
Одной из составляющих успешного проведения экспертизы является сведение к минимуму вероятности любых изменений исходных данных. Для эффективного достижения поставленных целей желательно использовать блокировщик записи, устройство, подключенное между компьютером и носителем информации и предотвращающее изменение первоначальных данных. К подобным устройствам можно отнести NoWrite компании My Key Technologies, которое выполняет функцию посредника между контроллером и жестким диском7. Оно позволяет записывать в регистр только заведомо безопасные команды. Блокировщик записи должен проходить специальное тестирование. Группа CFTT при NIST опубликовала спецификацию подобных устройств на сайте: http://www.cftt.nist.gov/hardware_write_ block.htm.
Кроме аппаратных, широкое применение находят и программные блокировщики записи, в основу работы которых заложена модификация таблицы прерываний. Специальная программа изменяет таблицу прерываний так, что в записи прерывания 0х13 хранится адрес кода блокиров-щика вместо адреса кода BIOS.
Использование предлагаемых способов проведения анализа рабочих станций, подвергшихся неправомерному доступу, позволит получить достаточно полную картину происшествия и, как следствие, разработать политику предупреждения, противодействия и профилактики.
СПОСОБЫ ПРОФИЛАКТИКИ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Помимо традиционно используемого способа профилактики неправомерного доступа к компьютерной информации, заключающегося в усилении защищенности компьютерных систем от несанкционированного вмешательства в их
' My Key Technology, 2003.
деятельность (имеются в виду как способы использования программно-технических средств, так и ограничение физического доступа к компьютерам), рассмотрим ряд способов, применение которых правоохранительными органами позволит снизить количество правонарушений, заключающихся в несанкционированном доступе к компьютерной информации:
пропаганда правовых знаний и широкая огласка ответственности за рассматриваемое нами деяние позволят ограничить круг лиц, совершающих его из любопытства или хулиганских побуждений;
проведение работы по официальной блокировке и закрытию сайтов, размещенных в сети Интернет, на которых осуществляется пропаганда хакерства и крэкерства, а также свободно распространяются способы совершения несанкционированного доступа к компьютерной информации и программы, позволяющие его осуществлять;
проведение работы по официальной блокировке и закрытию сайтов, размещенных в сети Интернет, которые скрывают 1Р-адреса пользователей, делая их деятельность в сети Интернет анонимной;
рассылка в издательства и типографии страны предупреждений о недопустимости издания книг, газет и журналов, содержащих пропаганду хакерства и крэкерства;
в случаях обнаружения фактов использования компьютерных программ, осуществляющих несанкционированный доступ к компьютерной информации (например, атака не прошла, но в файлах отчетов информация осталась) на 1Р-адрес, с которого вышеназванные действия осуществлялись, направлять электронное письмо с предупреждением об уголовной ответственности в случае установления факта совершения несанкционированного доступа к компьютерной информации.
Постоянное совершенствование способов неправомерного доступа к компьютерной информации приводит к уменьшению количества остающихся следов противоправных деяний. В то же время системы безопасности в информационно-телекоммуникационных сетях также постоянно совершенствуются с целью осуществления эффективной профилактики несанкционированного доступа к компьютерной информации.
В современных телекоммуникационных сетях следы противоправных деяний в большинстве случаев остаются на жестком диске рабочей станции, и корректное копирование данных позволяет более полно оценить действия правонарушителя, а также принять необходимые меры
для предотвращения подобных деяний и их профилактики. При этом для проведения эффективного анализа необходимо использовать такие программные средства, чтобы полученные с их помощью данные можно было легко проверить. К проведению экспертных действий необходимо в обязательном порядке привлекать специалиста, обладающего специальными познаниями в сфере компьютерной информации.
Как представляется, применение рассматриваемых в данной статье методов позволит в дальнейшем принимать достаточно эффективные меры для профилактики и пресечения правонарушений, совершаемых в сфере компьютерной информации.
Литература Доктрина информационной безопасности Российской Федерации // Российская газета. 2000. 28 сентября.
Уголовный кодекс Российской Федерации. Принят Государственной Думой РФ 24 мая 1996 г. Одобрен Советом Федерации 5 июня 1996 г. (с последующими изменениями и дополнениями). - М.: ТК Велби, 2005.
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. 2006. 29 июля.
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
Криминалистическая характеристика преступлений. - М.: Щит-М, 1998.
Румянцев О.Г., Додонов В.Н. Юридический энциклопедический словарь. - М.: ИНФРА-М, 1997.
Теоретические основы развития информационно-телекоммуникационной среды (организационно-правовые и социокультурные аспекты) / Мишин Д.С., Скрыль С.В., Третьяков О.В., Чуев А.В. - Орел: ОрЮИ МВД России, 2005.
Шурухнов Н.Г. Криминалистика: Учебник. -М.: Эксмо, 2005.
