Криминалистические исследования машинных носителей информации
Проведение криминалистического исследования является важной частью расследования инцидента информационной безопасности. Это связано с тем, что носители информации содержат сведения, которые могут пролить свет на произошедший инцидент, а также помочь в идентификации лиц, причастных к его совершению. Благодаря полученной информации заключение о проведенном криминалистическом исследовании может быть использовано в качестве доказательства. Однако такое заключение должно быть составлено независимым компетентным специалистом с использованием криминалистически верных методик и инструментов.
Наиболее распространенными инцидентами информационной безопасности, по которым проводятся криминалистические исследования, являются:
мошеннические действия со счетами в системе дистанционного банковского обслуживания (ДБО);
нарушение авторских и смежных прав на результаты интеллектуальной деятельности (компьютерное пиратство, кража исходных кодов);
атаки на отказ в обслуживании (DoS, DDoS);
несанкционированный доступ к компьютерной информации (взлом серверов, рабочих станций, почтовых систем);
нарушение условий выполнения договоров в области разработки программного обеспечения (сравнение функционала программного продукта и технического задания).
Криминалистическое исследование по этим и иным случаям нарушения информационной безопасности может проводиться как на основании коммерческого договора с Клиентом, так и по постановлению о назначении экспертизы от следственных органов и судов.
В рамках коммерческих и судебных криминалистических исследований компьютерной информации решаются следующие вопросы:
- о наличии признаков несанкционированного доступа к информационной системе, ее криптографическим компонентам;
- о наличии информации в явном и неявном (скрытом, удаленном или зашифрованном) видах по заданным критериям (ключевым словам), в том числе в изображениях, электронных документах и переписке;
- о наличии заданного программного обеспечения в установленном виде либо в виде дистрибутива, о конфигурации обнаруженного программного обеспечения;
- о хронологии событий в информационной системе, имеющих отношение к инциденту информационной безопасности;
- о неизменности (целостности) компьютерной информации после изъятия или исследования.
Все криминалистические исследования, включая судебные экспертизы, проводятся в соответствии с требованиями российского законодательства с учетом методических рекомендаций ведущих государственных экспертных учреждений страны и международных организаций и принимаются в качестве допустимых доказательств в российских и иностранных судах.
.jpg){kind=small}
.jpg)
