1. LIBRARY
  2. Компьютерно-техническая экспертиза автоматизированных рабочих мест

Компьютерно-техническая экспертиза автоматизированных рабочих мест

Компьютерно-техническая экспертиза автоматизированных рабочих мест

Статья посвящена исследованию методов и методик компьютерно-технической экспертизы автоматизированных рабочих мест (АРМ). Рассматриваются основные этапы и процедуры проведения экспертизы, включая подготовку, сбор доказательств, анализ и интерпретацию результатов. Особое внимание уделяется вопросам идентификации программного обеспечения, выявления следов несанкционированного доступа и восстановления удаленных данных. Приводятся рекомендации по обеспечению информационной безопасности и защите конфиденциальной информации.

Введение

Автоматизированные рабочие места (АРМ) широко используются в современных организациях для повышения эффективности труда сотрудников и оптимизации бизнес-процессов. Однако, вместе с ростом популярности и распространенности АРМ возрастает риск утечки конфиденциальной информации, атак хакеров и нарушений информационной безопасности. Для предотвращения таких угроз и расследования возможных инцидентов проводится компьютерно-техническая экспертиза АРМ.

Цель настоящей статьи состоит в систематизации подходов и методов, применяемых при проведении компьютерной технической экспертизы АРМ, определении наиболее эффективных инструментов анализа и обеспечении методической поддержки процессуальных действий, направленных на выявление фактов нарушения норм эксплуатации компьютерных систем и обеспечение сохранности электронных документов.

Определение понятия компьютерно-технической экспертизы

Под компьютерно-технической экспертизой понимается совокупность процедур и мероприятий, осуществляемых специалистами-экспертами в области информационно-коммуникационных технологий (ИКТ) с целью обнаружения признаков неправомерного вмешательства в работу автоматизированных систем, анализа состояния аппаратного и программного обеспечения, оценки качества хранения и обработки информации, установления подлинности электронной документации, а также выявления обстоятельств и условий возникновения инцидента или происшествия, связанного с нарушением функционирования автоматизированных комплексов и технических устройств.

Основные цели и задачи экспертизы

Задача компьютерной технической экспертизы заключается в предоставлении объективных сведений о состоянии исследуемого объекта исследования и выявленных нарушениях требований нормативно-правовых актов, регламентирующих порядок эксплуатации автоматических систем управления технологическими процессами и обработкой персональных данных пользователей. Экспертиза призвана установить факты наличия или отсутствия противоправных деяний, связанных с использованием компьютеров, сетевых ресурсов и коммуникационного оборудования, выявить причины сбоев и аварийных ситуаций, определить степень ущерба от случившегося события и разработать мероприятия по предотвращению аналогичных происшествий в будущем.

Цели экспертизы включают:

  • установление факта повреждения компьютера или сети вследствие внешнего воздействия либо внутренних факторов;
  • обнаружение следов незаконного проникновения в систему путем взлома паролей, изменения настроек безопасности, внедрения вредоносного ПО;
  • определение степени ответственности лица, нарушившего правила пользования компьютером;
  • получение информации о характере совершенных действий преступника относительно защищаемой законом тайны (коммерческой, служебной, личной);
  • восстановление утраченной информации с жестких дисков и иных запоминающих устройств;
  • подтверждение соответствия техническому заданию и требованиям стандартов изготовления и комплектации оборудования;
  • проверка правильности установки лицензионного программного продукта и исправления ошибок операционной системы;
  • выяснение уровня квалификации персонала предприятия по работе с техническими средствами и электронными документами;
  • оценка стоимости восстановительных работ после аварии или преступления;
  • подготовка рекомендаций по улучшению защиты инфраструктуры организации от кибератак и прочих рисков.

Этапы проведения экспертизы

Процесс проведения экспертизы включает ряд последовательных этапов, каждый из которых имеет свою специфику и требует определенных навыков и опыта специалиста.

Подготовка к проведению экспертизы

Перед началом непосредственно исследовательских мероприятий необходимо провести подготовительные работы, включающие ознакомление с материалами дела, изучение нормативных документов, выбор методики исследований и подбор необходимых инструментальных средств.

Сбор исходных материалов

Первым этапом подготовки является формирование комплекта исходных материалов, необходимых для начала процесса экспертизы. К таким материалам относятся:

  • описание ситуации происшествия или инцидента;
  • протокол осмотра места происшествия;
  • показания свидетелей и потерпевших лиц;
  • вещественные доказательства (компьютеры, жесткие диски, флэш-накопители и прочие носители информации);
  • копии файлов, найденных на компьютере подозреваемого лица;
  • документация на программное обеспечение и оборудование;
  • заключения ранее проведенных экспертиз и проверок;
  • сведения о сотрудниках, имевших доступ к компьютеру или серверу, подвергшемуся нападению.

Собранные материалы помогают сформировать общую картину произошедшего и позволяют правильно выбрать направление дальнейших исследований.

Анализ предъявленных объектов исследования

Следующим важным этапом является детальное изучение собранных предметов исследования, среди которых могут находиться электронные устройства и цифровые файлы, содержащие следы незаконных манипуляций. Это позволяет эксперту сделать предварительный вывод о целесообразности дальнейшего продолжения экспертных исследований и принять решение о выборе конкретных способов диагностики и фиксации полученных результатов.

Анализ предусматривает проведение визуального осмотра техники, проверку работоспособности компонентов ПК, диагностику памяти и накопителей, создание резервных копий важных данных, тестирование установленных приложений и операционных систем, исследование журналов активности пользователя и конфигурации сервера.

Проведение исследований

После завершения этапа подготовки начинается основной этап проведения самой экспертизы, который включает выполнение ряда специальных операций и испытаний с целью получения необходимой доказательной базы.

Идентификация аппаратного обеспечения

При проведении идентификационных тестов определяются уникальные характеристики аппаратуры, позволяющие однозначно идентифицировать устройство и сопоставлять полученные результаты с известными образцами и эталонами. Обычно применяются методы тестирования производительности отдельных элементов машины, измерения электрических характеристик сигналов интерфейсов ввода-вывода, сравнения серийных номеров деталей с заводскими спецификациями производителя.

Исследование программного обеспечения

Изучение установленного на компьютере программного обеспечения осуществляется путем анализа его функциональности, структуры каталогов, состава файлов и записей реестра Windows, конфигурации операционной среды и администрирования служб. Специалисты проверяют наличие обновлений и патчей, устанавливают совместимость используемых продуктов друг с другом и определяют возможные уязвимости и слабые стороны имеющихся решений.

Особое внимание уделено проверке целостности бинарных образов исполняемых модулей и библиотек DLL, сравнению контрольных сумм хэшей md5 и sha1, установлению лицензированного статуса приобретенного коммерческого софта и поиску пиратского ПО.

Обнаружение следов вторжения

Обнаружение следов вторжений производится посредством изучения истории запуска процессов, просмотров открытых страниц веб-сайтов, взаимодействия с устройствами ввода-вывода, отслеживания попыток входа в учетные записи пользователей, регистрации подключаемых USB-флешек и съемных дисков. Применяются специальные программы мониторинга активности, помогающие обнаружить признаки присутствия вирусов, троянов, руткитов и шпионских утилит.

Эксперт проводит мониторинг изменений прав доступа к файлам и папкам, изучает конфигурационные настройки роутера и прокси-серверов, проверяет журналы DNS-запросов и SMTP-почтового трафика, сравнивает IP-адреса отправителей сообщений с базами известных ботнетов и спамерских сетей.

Выявление аномалий поведения системы

Выявление отклонений от нормального режима работы выполняется путем анализа статистики потребления ресурсов центрального процессора, оперативной памяти, диска и сети. Устанавливаются критичные пороги загрузки ключевых узлов и сервисов, оцениваются отклонения значений производительности от средних показателей стабильной работы.

Для решения проблемы применяют профилирование работы приложений, трассировку обращений к API-интерфейсам ОС, построение графиков зависимости частоты срабатывания предупреждений антивирусных сканеров от количества запущенных процессов и объема загружаемого файла.

Реконструкция событий

Реконструкция последовательности событий, приведших к возникновению конфликта или инциденту, достигается методом обратного хода событий, начиная с момента наступления последствия и заканчивая начальной точкой появления угрозы. Экспертом фиксируются все известные детали произошедшего, строятся гипотезы развития сценария, моделируются возможные варианты реализации атаки и тестируется работоспособность каждого предположительного варианта.

В результате удается воссоздать полную хронологию произошедших событий, установить взаимосвязи между действиями злоумышленников и результатами выполненных ими операций, предложить меры профилактики и повысить уровень защищенности информационной инфраструктуры.

Методы и инструменты экспертизы

Методы проведения компьютерной технической экспертизы зависят от целей исследования и особенностей конкретного случая. Рассмотрим некоторые из них подробнее.

Метод анализа метаданных

Метод анализа метаданных основан на изучении скрытых атрибутов файлов и цифровых артефактов, хранящихся внутри файлов или операционных систем. Этот метод используется для восстановления утраченных данных, подтверждения принадлежности документа определенному лицу или устройству, выявления признаков подделки и фальсификации.

Метаданные содержат важную информацию о создателях, владельцах, источниках происхождения, изменениях, внесенных в документ, времени последнего редактирования и сохранении, типе используемого приложения и версии операционной системы.

Пример: если файл был сохранен на флеш-карте, принадлежащей подозреваемому, то соответствующая запись появится в журнале проводника Windows, и специалист сможет доказать факт использования именно этой карты в ходе преступления.

Метод цифровой криминалистики

Цифровая криминалистика представляет собой область судебной науки, занимающуюся расследованием преступлений, совершаемых с применением информационных технологий. Она включает в себя широкий спектр методов сбора, сохранения и анализа цифровых доказательств, позволяющих раскрыть обстоятельства совершения правонарушения и установить виновных лиц.

Специалисты используют специализированные средства автоматизации и специализированное оборудование для быстрого извлечения данных из поврежденных или зашифрованных хранилищ, выявления фрагментов стертой информации, реконструкции цепочек команд и действий пользователя, проверки подлинности изображений и видеозаписей.

Основные направления цифрового криминалистического анализа:

  • исследование файловых систем;
  • реконструкция временных рядов событий;
  • сравнение образцов подписи с оригиналом;
  • верификация цифровых подписей и сертификатов;
  • аудит сетевого траффика и коммуникаций;
  • восстановление уничтоженных данных;
  • диагностика неисправностей оборудования;
  • проверка на вирусы и шпионы;
  • моделирование схем атак и мошенничества.

Инструменты исследования

Для успешного проведения компьютерно-технических экспертиз используются разнообразные профессиональные инструменты и комплексы специального назначения, обеспечивающие надежное хранение и обработку больших объемов информации, защиту от случайных повреждений и искажений, интеграцию различных типов форматов представления данных и стандартизацию отчетности.

Среди популярных инструментов выделяют:

  • EnCase Forensic Suite (Guidance Software Inc.) — комплексное решение для расследования уголовных дел и гражданских споров, поддерживающее импорт множества разных форматов файлов и быстрый экспорт отчетов в PDF-формате.
  • AccessData FTK Imager Lite Edition — бесплатное приложение для копирования и снятия образа жесткого диска, позволяющее сохранять точные копии содержимого накопителя даже при наличии серьезных физических дефектов поверхности пластин HDD.
  • Helix3 Pro — профессиональный пакет программного обеспечения для профессиональной судебно-компьютерной экспертизы, предназначенный для извлечения скрытой информации, фильтрации дубликатов, построения наглядных диаграмм связей между объектами и автоматической расшифровки шифрованных контейнеров TrueCrypt.
  • Paraben Device Seizure — специальная программа для извлечения фотографий, SMS-сообщений, контактов и заметок с мобильных телефонов, планшетов и смартфонов, использующих операционную систему Android, iOS, BlackBerry OS, Symbian OS и Windows Mobile.
  • Passware Kit Enterprise Edition — комплексный продукт для вскрытия неизвестных паролей, распознавания сложных алгоритмов шифрования и дешифрования архивированных файлов, созданных различными приложениями Microsoft Office, Adobe Acrobat Reader DC, WinRAR, 7-Zip, VeraCrypt и др.

Использование указанных инструментов значительно повышает качество проводимых экспертиз и сокращает сроки предоставления заключений специалистам следственных органов.

Заключение

Проведение компьютерно-технической экспертизы автоматизированных рабочих мест играет ключевую роль в процессе обеспечения информационной безопасности организаций и частных лиц. Применение современных методов и инструментов позволяет эффективно решать задачи по восстановлению утраченных данных, выявлению признаков нелегитимного вмешательства и формированию убедительной доказательной базы для последующего судебного разбирательства.

Регулярное обновление нормативно-методической базы и постоянное повышение квалификации специалистов способствуют повышению уровня профессионализма работников правоохранительных структур и снижению числа случаев правонарушений в сфере ИКТ-технологий.

Таким образом, своевременно проведенная компьютерно-техническая экспертиза помогает минимизировать риски финансовых потерь и репутационных издержек, вызванных сбоями в функционировании ИТ-инфраструктуры предприятий, и способствует укреплению доверия клиентов и партнеров к бизнесу в целом.

Список литературы

  1. Федеральный закон № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации».
  2. ГОСТ Р ИСО/МЭК 27001—2006. Информационная безопасность. Система менеджмента информационной безопасности.
  3. Приказ МВД России от 29 декабря 2011 г. № 1307 «Об утверждении Административного регламента Министерства внутренних дел Российской Федерации исполнения государственной функции по контролю за соблюдением юридическими лицами и индивидуальными предпринимателями обязательных требований в области связи и информатизации».
  4. Приказ ФСБ России от 10 марта 2015 г. № 149 «Об утверждении Положения о порядке осуществления ведомственного контроля за деятельностью государственных органов исполнительной власти субъектов Российской Федерации в области защиты государственной тайны».
  5. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении Правил оказания услуг связи и порядка рассмотрения жалоб абонентов на нарушение сроков и качества предоставляемых услуг связи».
  6. Постановление Пленума Верховного Суда РФ от 26 июня 2018 г. № 21 «О некоторых вопросах, возникающих при рассмотрении судами дел об административных правонарушениях, предусмотренных статьями главы 13 Кодекса Российской Федерации об административных правонарушениях».
  7. Руководство по применению стандарта ISO/IEC 27001 для малого бизнеса / пер. с англ.; под ред. Ю.Н.Кузьмина. — СПб.: БХВ-Петербург, 2015. — 320 с.
  8. Волков О.А., Глушаков С.В., Иванов Д.С. Практическое руководство по информационной безопасности. — М.: Форум, 2014. — 288 с.
  9. Корнеев В.И., Костюк В.Н., Охрименко С.А. Основы информационной безопасности. Учебное пособие. — Москва: Академия, 2016. — 368 с.
  10. Кузнецов Н.А., Мирошниченко Е.П. Судебная экспертиза компьютерных преступлений. Учебно-практическое пособие. — Ростов н/Д: Феникс, 2017. — 256 с.

Похожие статьи: