Юридические основы анализа инцидентов

1© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKSEC-3061 1

Можно ли собирать «доказательства» без участия полиции?

Какие правила нужно соблюсти?

Легализация полученных данных


Глава 10. Доказательства в уголовном судопроизводстве

ст. 73. Обстоятельства, подлежащие доказываниюст. 74. Доказательстваст. 75. Недопустимые доказательстваст. 81. Вещественные доказательстваст. 84. Иные документы

Глава 11. Доказывание

ст. 86. Собирание доказательств

Можно ли собирать «доказательства» без участия полиции?


«Обстоятельства, подлежащие доказыванию» это:

событие преступления (время, место, способ и другие обстоятельства совершения преступления)

характер и размер вреда, причиненного преступлением

обстоятельства, способствовавшие совершению преступления

«Доказательства» – это любые сведения, на основе которых суд, прокурор, следователь, дознаватель устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию

показания потерпевшего, свидетеля;

заключение и показания эксперта или специалиста;

вещественные доказательства;

иные документы.

Нормативная база – УПК РФ


«Недопустимые доказательства» это:

показания, основанные на догадке, предположении, слухе, атакже показания свидетеля, который не может указать источниксвоей осведомленности;

доказательства, полученные с нарушением Закона

Недопустимые доказательства не имеют юридической силы и не могут быть положены в основу обвинения



«Вещественные доказательства» – это любые предметы:

которые служили орудиями преступления или сохранили насебе следы преступления

на которые были направлены преступные действия

иные предметы и документы, которые могут служитьсредствами для обнаружения преступления и установленияобстоятельств уголовного дела

«Предметы» признаются «вещественными доказательствами» вмомент вынесения соответствующего постановления



«Иные документы» – содержат сведения, имеющие значение для установления обстоятельств инцидента:

зафиксированные как в письменном, так и в ином виде –материалы фото- и киносъемки, аудио- и видеозаписи и иныеносители информации

документы приобщаются к материалам уголовного дела ихранятся в течение всего срока его хранения

по ходатайству законного владельца изъятые и приобщенные куголовному делу документы или их копии могут быть переданыему



Собирание доказательств

Собирание доказательств осуществляется в ходе уголовногосудопроизводства дознавателем, следователем, прокуророми судом путем производства следственных и иныхпроцессуальных действий, предусмотренных Законом

НО:

Подозреваемый, обвиняемый, а также потерпевший,гражданский истец, гражданский ответчик и их представителивправе собирать и представлять письменные документы ипредметы для приобщения их к уголовному делу в качестведоказательств

«ДОКАЗАТЕЛЬСТВА» МОЖНО СОБИРАТЬ БЕЗ ПОЛИЦИИ



Документирование каждого действия

Составление письменного (бумажного) документа при производстве любого технического действия – снятие образа, извлечение/демонтаж оборудования, запись на CD/DVD/BD и т.п..

Использование апробированных методик, оборудования

Применять только «общепринятые» технические приемы и технологии, которые возможно в последующем воспроизвести и повторить с таким же результатом

Соблюдение закона, инструкций и регламентов всеми участниками

Четкое следование положениям принятых в компании (и не только) документов всеми участниками процесса «расследования» инцидента

Какие правила нужно соблюсти?


Любое техническое мероприятие

Распоряжение руководителя (до)

либо

Служебная записка от исполнителя (после)

Указывается:

кто (ответственный сотрудник)

где (помещение, место нахождение оборудования)

когда (дата, время проведения действий)

что делали (какие действия производились)

что использовали (какое оборудование применяли)

зачем (в связи с каким инцидентом ИБ)

Документирование


Использовать только неперезаписываемые носители информации (маркировать)

Использовать только не приводящие к изменению информации (в том числе и мета-данные) методы копирования

Использовать блокираторы записи (!!!). Лучше аппаратные

а также

Не забыть снять значения хеш-функций для исходных и полученных данных

Если есть возможность – снять несколько копий.

Использование апробированных методик, оборудования


Процесс осуществления любых действий – Протокол

Пошагово описать какие действия предпринимались

В Протоколе отразить, куда была записана информация – марку, с/н носителя информации (CD/DVD/BD)

Носитель информации поместить в конверт, запечатать, опломбировать, пломбы скрепить печатью организации и подписями участников мероприятия.

Основное правило для упаковывания – упаковка должна быть такой, чтобы добраться до содержимого было не возможно, не повредив саму упаковку или пломбы.

Составить Акт о передаче на хранение носителя информации

в Акте указать, что за носитель информации и что он содержит (например, «syslog с оборудования Cisco……. по предполагаемому инциденту ИБ от 1.12.2011 г.»)

Соблюдение закона, инструкций и регламентов всеми участниками


После реализации всех этих мер есть возможность без спешкиопределиться с необходимостью проведения «внешнего»расследования и привлечения полиции, например.

В случае принятия подобного решения, опечатанный носительинформации и документы (Протокол, Акт и т.п.) могут бытьпереданы для приобщения их к уголовному делу в качестведоказательств, собранных потерпевшим самостоятельно.

Принятие решения

13© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKSEC-3061

Thank you.

Technology

Юридические основы анализа инцидентов