Comments | infowatch: Неприемлемые методы исследования компьютерной информации

infowatch

Неприемлемые методы исследования компьютерной информации

Oct 01, 2009 05:15

Сегодня мы поднимем тему практически философскую. Но выросла она из вполне будничной задачи: исследовать информацию на машинном носителе и юридически строго доказать, какая именно информация там находится. Обычно такая задача ставится при назначении компьютерной (компьютерно-технической, программно-технической) экспертизы. А также при расследовании ( Read more... )

криминалистика, НДВ, DLP-система

Comments 11

О (не)законности перлюстрации электронной почты anonymous October 1 2009, 06:44:35 UTC

Вы пишете о незаконности перлюстрации электронной почты (или других сообщений) и о возможной законности в том случае, когда сотрудник предоставил письменное согласие на это. А что насчет его собеседника за периметром, от которого такое согласие получить нереально?

Существует ли в Вашей DLP-системе возможность отключения анализа/обработки/хранения исключительно входящих сообщений?

---
Алексей Корюкалов

Re: О (не)законности перлюстрации электронной почты infowatch October 1 2009, 10:40:05 UTC

Чтобы ознакомление с сообщением было правомерным, требуется получить разрешение на такое ознакомление от одного из двух лиц: отправителя или получателя. Вот ещё некоторые подробности о тайне связи.

Что касается нашей DLP-системы, то её основной, рекомендуемый режим работы вообще не подразумевает ознакомления человека с сообщениями. Информация анализируется и при необходимости блокируется автоматически.

Re: О (не)законности перлюстрации электронной почты anonymous October 2 2009, 07:16:33 UTC

"Чтобы ознакомление с сообщением было правомерным, требуется получить разрешение на такое ознакомление от одного из двух лиц: отправителя или получателя."

А откуда это следует?

---
Алексей Корюкалов

Re: О (не)законности перлюстрации электронной почты infowatch October 2 2009, 12:01:02 UTC

Это иджма.

Единодушное мнение авторитетных правоведов. Выведено логически из ст.23 Конституции.

Thread 5

хм... swan_lj October 1 2009, 16:09:33 UTC

Мне всегда казалось что можно построить целое дерево из цепочек событий, чтобы ответить на вопрос:
- как запись появилась в реестре.
Практику судебную лично не наблюдал, но помнится один случай, когда "эксперт" мамой клялся и парой красных дипломов, что MAC адрес изменить невозможно и идентификация по МАС адресу самая что ни на есть надежная...

Хочу сформулировать вопрос так:
Случлось ли, на вашей памяти, что вопрос Защитника ставил в тупик Эксперта. Мне кажется что спор двух ХОРОШИХ экспертов с обоих сторон может поставить в тупик весь процесс.
Ведь вариантов/предположений некоего события или состояния ПО или *** огромное количество и порой доказательство события или невозможно или вероятностно.

Другими словами - Судья не может сказать "Подозреваемый виновен с вероятностью 50%". А именно так может сложиться результат экспертизы...

Re: хм... infowatch October 1 2009, 16:25:30 UTC

но помнится один случай, когда "эксперт" мамой клялся и парой красных дипломов, что MAC адрес изменить невозможно
Дык, по состоянию на 1991 год так оно и было.

Случлось ли, на вашей памяти, что вопрос Защитника ставил в тупик Эксперта. Мне кажется что спор двух ХОРОШИХ экспертов с обоих сторон может поставить в тупик весь процесс.
Случалось. Правда, два эксперта в суде спорить не могут - "регламент" не позволяет.
Но бывало так, что защитник или представитель потерпевшего начинал допрашивать эксперта (специалиста) с применением специальных знаний. Услышав "птичий язык", нормальный судья прерывает допрос. Но может молча пропустить всё мимо ушей. Секретарь суда при этом наверняка не запишет ни слова.

Re: хм... dibr December 31 2009, 10:53:16 UTC

>> но помнится один случай, когда "эксперт" мамой клялся и парой красных дипломов, что MAC адрес изменить невозможно
> Дык, по состоянию на 1991 год так оно и было

А разве в те годы MAC не был в большинстве карточек зашит в маленький восьминогий EEPROM, часто ещё и не впаянный, а "в панельке"? Который можно было, даже если сама карточка могла его только читать, перешить внешним программатором?

Re: хм... swan_lj October 1 2009, 16:35:15 UTC

Судья не может сказать "Подозреваемый виновен с вероятностью 50%". А именно так может сложиться результат экспертизы...

Так не МОЖЕТ сложиться. Так ВСЕГДА складывается. На любом суде. Даже без экспертизы.

Среди российских судей положено так.
Если сложившаяся вероятность виновности от 80 до 100% - виновен, приговор по статье.
Если вероятность от 25 до 80% - виновен, приговор по низшему пределу.
Если вероятность меньше 25% - виновен, приговор ниже низшего, условно, без штрафа и конфискации.

anonymous October 4 2009, 14:20:52 UTC

Что-то сейчас много обсуждения вопросов о выявлении подключения флешек к компьютеру. Для чего это надо? ФСТЭК замучило проверками? :)) Почему-то в последнее время это их излюбленная "фишка". Больше делать что-ли нечего?

infowatch October 4 2009, 19:37:48 UTC

Флэшка - распространённый путь утечек информации. В нашей статистике что-то около 5%. И в судебной компьютерной экспертизе этот вопрос появляется с завидной регулярностью.