lawbook.org.ua - Библиотека юриста




lawbook.org.ua - Библиотека юриста
March 19th, 2016

Васильев, Андрей Анатольевич. - Судебная аппаратно-компьютерная экспертиза: правовые, организационные и методические аспекты: Дис. ... канд. юрид. наук :. - Москва, 2003 246 с. РГБ ОД, 61:03-12/1063-0

Posted in:

в{- ОЪ - JSL/io бЪ-0

МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

МОСКОВСКИЙ УНИВЕРСИТЕТ

i

На правах рукописи Васильев Андрей Анатольевич

СУДЕБНАЯ

АППАРАТНО-КОМПЬЮТЕРНАЯ ЭКСПЕРТИЗА:

ПРАВОВЫЕ, ОРГАНИЗАЦИОННЫЕ И

МЕТОДИЧЕСКИЕ АСПЕКТЫ

Специальность 12.00.09 - уголовный процесс;

криминалистика и судебная экспертиза;

оперативно-розыскная деятельность

Диссертация на соискание ученой степени кандидата юридических наук

Научный руководитель: заслуженный деятель науки Российской Федерации, доктор юридических наук, профессор Российская Е.Р.

Москва • 2003

ОГЛАВЛЕНИ Е

i

*

Введе ние 3-10

Гла ва 1. Судеб ная аппар атно- комп ьютер ная экспе ртиза и ее ,

испо льзо вани е в раск рыти и и рассл едова нии прест упле ний

§ 1. Родо вая крим инал истич еская харак терис тика прест упле ний, совер шаем ых с прим енени ем средс тв вычи слите ль ной техни ки и ради оэлек трон ных устро йств 11 - 47

§ 2. Пред мет, объек ты и задач и судеб ной аппа ратно -

комп ьюте рной экспе ртиз ы 47-56

§ 3. Испо льзов ание специ альн ых знани й при раскр ытии и рассл едова нии прест уплен ий, сопря женн ых с прим ене нием техни чески х (аппа ратн ых) средс тв комп ьюте рных систе м ‘ 56-71

§ 4. Особ еннос ти такти ки следс твенн ых дейст вий, сопря жен ных с соби рание м крим инал истич ески значи мой инфо р маци и с техни чески х (аппа ратн ых) средс тв комп ьюте р ных систе м 71-91

Г л а в а 2. Пред вари тель ное и экспе ртно е иссле дова ние

техн ичес ких (аппа ратн ых) средс тв комп ьюте рных и ради оэлек трон ных систе м

§ 1. Особ еннос ти назна чения судеб ной аппа ратно -

комп ьюте рной экспе ртиз ы. Подг отовк а матер иалов на

экспе ртизу 92-106

§ 2. Прои зводс тво судеб ных экспе ртиз и предв арите льны х иссле дован ий техни чески х (аппа ратн ых) средс тв комп ь ютер ной систе мы 106- 138

§ 3. Оцен ка закл ючен ия судеб ной аппа ратно - комп ьюте рной

экспе ртиз ы следо вател ем и судо м 139- 155

Закл ючен ие 156 - 164

Лите рату ра 165-189

Прил ожен ия 190 - 246

3

ВВЕДЕНИЕ

Актуальность темы исследования. Современная глобализация эко- номических процессов происходит в неразрывной связи с развитием компь-ютерно-информационных технологий. Одновременно с этим расширяются и углубляются криминальные процессы с использованием достижений информатизации современного общества.

Преступления, совершаемые с применением средств вычислительной техники (ВТ) и радиоэлектронных устройств (РЭУ), имеют свои особенности, определяемые, прежде всего, наличием «виртуальной составляющей» в их механизме. Количество таких преступлений возрастает пропорционально распространению компьютерных и радиоэлектронных систем в самые разнообразные сферы жизнедеятельности общества. Так, только в 2000 г. было за- регистрировано 800 преступлений в сфере неправомерного доступа к компьютерной информации1.

Однако данная статистика далеко не отражает современных масштабов компьютерной преступности, прежде всего в следствие ее высокой латентно-сти. Так, проведенный опрос более ста Российских компаний, работающих в сферах высоких технологий, телекоммуникаций и бизнеса, показал, что 65% опрошенных сообщили о нарушениях компьютерной безопасности в течении последнего 2001 г. Причем, половина случаев связана с попытками несанкционированного доступа в систему извне и изнутри компании, 26% опрошенных столкнулись с отказом в работе важнейших корпоративных систем. Опрос 459 директоров фирм по информационным технологиям и руководителей компаний в 17 странах в 2002 г. показал, что 40% организаций вообще не расследуют случаи несанкционированного доступа в информационные се-

Андреев Б.В., Пак П.Н. и др. Расследование преступлений в сфере компьютерной информации - М., 2001.С4.

4

ти (ИС), и такое же число организаций в состоянии обнаружить только атаку на ИС1. Наряду с этими фактами, обыденностью стало и использование преступниками компьютерных систем и отдельных радиоэлектронных устройств в качестве «записных книжек» криминальной информации, средств ее анализа и систематизации в преступлениях, которые нельзя отнести к «компьютерным», а также передачи этой информации на расстояние (например, сотовые телефоны в местах лишения свободы).

Оценка динамики роста преступлений в сфере высоких технологий за 2003-2004 гг., произведенная нами, показывает опережающие темпы роста преступлений данной группы над объективными процессами их раскрытия и расследования2. Так, математическая модель роста преступлений описывается полиномом пятой степени, тогда как процессы расследования этих преступлений и получения доказательственной базы по ним описываются полиномом второй степени. Это указывает на отставание становления механизма расследований по преступлениям данной группы в целом, что требует от правоохранительных и судебных органов скорейшей выработки и принятия адекватных мер.

Современное состояние вопроса характеризуется, с одной стороны, недостаточной научной разработанностью, а с другой - большой реальной значимостью для практики борьбы с преступностью. Это нашло свое отражение в диссертационных исследованиях А.В. Макиенко (1997), В.Ю Рогозина (1998), А.В. Касаткина (1998), В.В. Крылова (1999), Н.Г. Шурухнова (1999), Ю.В. Гаврилина (2000), В.А. Мещерякова (2001) и других ученых.

Проблемы использования специальных знаний при расследовании пре- ступлений в сфере неправомерного доступа к компьютерной информации

1 Мур М. Исследования в области информационной безопасности в России и СНГ // Научно-практич. конференция «Безопасность телекоммуникационных и информацион ных технологий для взаимодействия граждан, бизнеса и органов государственной власти». - М.,2002.

2 См.стр. 136 диссертационного исследования: Динамика потребностей ОВД в про изводстве судебных компьютерно-технических экспертиз.

5

были рассмотрены в научных работах Е.Р. Российской и А.И. Усова (1996-2002). Некоторые аспекты были также затронуты А.В. Гортинским и А.Б. Нехорошевым (2000), А.Н. Яковлевым (2000), В.А. Мещеряковым (2001), Т.И. Абдурагимовой (2002) и др. Существующие в настоящее время методи-ческие рекомендации по выявлению и раскрытию преступлений с использованием компьютерных технологий правоохранительными органами РФ не отражают всю специфику деятельности экспертных подразделений по раскрытию и расследованию различных видов рассматриваемых преступлений и в основном нацелены на проведение следственных действий при совершении преступлений в кредитно-финансовой сфере.

В тоже время, практика показывает необходимость разработки ком- плексных методических рекомендаций, позволяющих повысить эффективность участия экспертно-криминалистических подразделений (ЭКП) в расследовании и раскрытии подобных преступлений. Насущна и проблема научно обоснованного методического сопровождения тактических операций и следственных действий специалистами- экспертами при использовании в преступлениях «новых видов» компьютерной и радиоэлектронной техники. Принятие нового УПК РФ открывает, в связи с этим, новые возможности в организации подобного обеспечения, что в условиях постоянной модернизации компьютерных и радиоэлектронных средств противодействия следствию приобретает чрезвычайно важное значение.

Ответы на эти и другие вопросы, а именно проведение исследований в области технических (аппаратных) средств компьютерных и радиоэлектронных систем с целью поиска, обнаружения, фиксации и изъятия следовой картины криминального события, выявления возможностей использования технических средств в преступных целях должна дать судебная аппаратно-компьютерная экспертиза (САКЭ), решающая указанные проблемы в тесном взаимодействии с другими видами судебных компьютерно-технических экспертиз (СКТЭ). Однако, следует констатировать, что правовые, процессуаль-

б

ные, методические и организационные основы судебной аппаратной компьютерной экспертизы не были до настоящего времени предметом комплексного монографического исследования. Таким образом, актуальность диссертационного исследования обусловлена как научной неразработанностью данной проблемы, так и большой ее практической значимостью для раскрытия и расследования преступлений.

Предмет исследования представляют закономерности формирования системы научно-технических и правовых знаний, синтез которых составляют научную и практическую основу судебной аппаратно- компьютерной экспертизы.

Объектом исследования является судебно-экспертная деятельность по исследованию компьютерных и радиоэлектронных средств ИС, применяемых в преступных деяниях.

Целью и задачами исследования являлась разработка комплекса ор- ганизационных и методических рекомендаций, позволяющих повысить эффективность действий подразделений СКМ и ЭКП в расследовании и раскрытии преступлений, совершаемых в различных сферах общественной жизни с использованием компьютерных и радиоэлектронных средств. Выработка единых организационных и методических подходов по обращению с многообразным арсеналом компьютерных и радиоэлектронных средств, а также выявление механизмов, позволяющих при проведении экспертного исследования аппаратных средств компьютерных и радиоэлектронных систем решать диагностические и идентификационные задачи.

Судебная аппаратно-компьютерная экспертиза представляет собой комплексную проблему, поэтому диссертант не претендует на всестороннюю полноту изложения всех вопросов, в том числе и вопросов касающихся информационной безопасности (ИБ) информационных систем, а затрагивает лишь основные, базисные проблемы становления САКЭ. Некоторые аспекты

7

проблемы в исследовании рассмотрены частично, что вызвано наличием печатных изданий, освещающих тот или иной вопрос.

Методологической и теоретической основой исследования является

диалектическая теория познания, формальная логика, криминалистическая

i методология и общетеоретические концепции криминалистики. Автор в своем исследовании использовал общенаучные (анализ, синтез, статистический метод) методы познания. При проведении исследований использовались также математические, кибернетические, а также специальные методы криминалистики и других наук, в частности системно-структурный анализ, основы теории ИБ.

Теоретическую основу работы составили труды ученых в области кри- миналистики и судебной экспертизы. Методологические основы СКТЭ, как самостоятельного рода класса инженерно-технических экспертиз, были впервые исследованы Е.Р. Российской (1996), а в последствии (1997-2002), в работах Е.Р. Российской и А.И. Усова эта теория получила свое дальнейшее развитие. Ряд положений, связанных с классификацией СКТЭ, были высказаны Т.В. Аверьяновой (1999-2001), Т.Н. Абдурагимовой (2001), А.В. Гор-тинским (2000), В.А. Мещеряковым (2000-2002), А.Н. Яковлевым (2000), а также А.А. Прозоровым (2001) и другими научными и практическими работниками ЭКУ. А.И. Усовым (2002) было произведено полное исследование концептуальных основ СКТЭ, одной из составляющих которой и является САКЭ.

В качестве основной правовой базы использовались положения Кон- ституции и законы Российской Федерации, уголовное и уголовно- процессуальное законодательство РФ, директивы, постановления и указы Президента и Правительства РФ, Доктрина информационной безопасности, ведомственные нормативные акты.

Эмпирическая база исследования. В течение 1998-2002 гг. автором было исследовано свыше 180 уголовных и гражданских дел, по которым

8

проводилась судебная экспертиза компьютерных и радиоэлектронных средств. Произведен обзор и анализ отечественного и зарубежного опыта. Результаты исследования основаны на обширном эмпирическом материале анкетирования более 21 ЭКУ, проводившемся ЭКЦ МВД России в 1998-2002 гг. В процессе исследования автор принял участие в работе по теме НИР «Методы и средства решения задач КТЭ» №303.13, плана НИР 2000 г. ЭКЦ МВД России, разработка которой велась в соответствии с Постановлением Правительства РФ от 22.10.1999 г. №1701-р. Результаты исследований обсуждались в ГУ ЭКЦ МВД России и в ЮИ МВД России и получили одобрение. Диссертантом использован также собственный опыт работы с техническими средствами, в том числе и в ЭКЦ МВД России. В диссертационном исследовании использовались документы юридической направленности из практики правоохранительных и судебных органов, в частности уголовные дела, экспертные заключения, приговоры суда. В работе над диссертацией также использованы законы и подзаконные акты, регламентирующие работу экспертных, следственных подразделений МВД России, судебных и экспертных учреждений Минюста России.

Научная новизна диссертационного исследования состоит в уточнении существующих и создании новых теоретических и практических аспектов использования специальных знаний в области компьютерных и радио- электронных средств при расследовании и раскрытии преступлений. Форма их применения - судебная аппартно-компьютерная экспертиза. В работе исследуются и обосновываются правовые, процессуальные, организационные и методические аспекты судебно-экспертной деятельности по исследованию компьютерных и радиоэлектронных средств в ИС.

На защиту выносятся следующие положения:

классификация преступлений, совершаемых с использованием ЭВМ и радиоэлектронной техники, и особенности их родовой криминали- стической характеристики;

9

классификация объектов исследования судебной аппаратно- компыотерной экспертизы;

предложения по осуществлению следственных действий, сопряженных с  собиранием криминалистически значимой информации с компью-

i

терных и радиоэлектронных средств. Методические рекомендации по фикси- рованию в протоколе следственного действия виртуальной следовой картины;

рекомендации по организации, методическому обеспечению и про  ведению экспертизы компьютерных и радиоэлектронных средств, подготовке  образцов, выбору экспертов;
предложения по оценке результатов аппаратно-компьютерной  экспертизы следователем и судом;
предложения по совершенствованию подготовки специалистов в  области САКЭ и проведения таможенного оформления и контроля компью  терных и радиоэлектронных средств в ГТК РФ.

Практическая значимость теоретических выводов, предложений и рекомендаций, содержащихся в работе, состоит в том, что полученные ре- зультаты могут быть применены в экспертной, а также следственной и опе- ративной практике, при планировании тактических операций и следственных действий в раскрытии и расследовании преступлений с использованием ком- пьютерных и радиоэлектронных средств, а также в ходе дальнейшей разработки проблем становления СКТЭ. Материалы исследования могут быть также использованы при подготовке специалистов в юридических вузах и на курсах повышения квалификации работников правоохранительных органов.

Апробация и внедрение в практику и учебный процесс результатов диссертационного исследования проводились на научно-практических кон- ференциях в г. Краснодаре «Всероссийский семинар по проблемам компью- терной преступности и современным экспертным технологиям» (2001г.); в Академии управления МВД России, г. Москва, «X Международная конфе-

10

ренция по информатизации правоохранительных систем» (2000г.); в ГТК РФ «Экспертные технологии в таможенных целях» г. Москва (2001г.), а также на научно-практических конференциях, проводимых ЮИ МВД России в гг. Рузе (2001 г.) и Брянске (2001 г.).

Основные положения диссертации опубликованы в 7 научных статьях, в отчете по НИР № 3.13 и методических рекомендациях, внедренных в практику работы ЭКУ Калининградской области, СКМ ОВД САО «Коптево» г. Москвы (прилагаются акты о внедрении), а также в учебном процессе Московского университета МВД России при разработке рабочей программы дисциплины «Основы судебной компьютерно-технической экспертизы» (прилагаются акты о внедрении и рабочая программа дисциплины).

Структура диссертационного исследования предопределена смыслом и логикой исследования. Работа состоит из введения, двух глав, заклю- чения, списка литературы и приложений.

11

Г л а в а 1. СУДЕБНАЯ АППАРАТНО-КОМПЫОТЕРНАЯ ЭКСПЕРТИЗА И ЕЕ ИСПОЛЬЗОВАНИЕ В РАСКРЫТИИ И РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ

§1. Родовая криминалистическая характеристика преступлений, совершаемых с применением средств вычислительной техники и радиоэлектронных устройств

Под криминалистической характеристикой понимается система сведений о типичных признаках определенной категории преступлений, анализ которых позволяет делать выводы об оптимальных путях их раскрытия и расследования1. Анализ практически всего спектра мнений по данной проблеме провел Р.С. Белкин, на основании которого им предложено определение состава криминалистической характеристики отдельного вида преступлений, включающей:

характеристику исходной информации;

систему данных о способе совершения и сокрытия преступления и ти- пичных последствиях его применения;

личность вероятностного преступника и вероятные мотивы и цели преступления;

личность вероятной жертвы преступления;

обстоятельства совершения преступления (место, время, обстановка)2.

В целом все ученые-криминалисты согласны с тем, что криминалисти- ческая характеристика - это научная абстракция, основанная на анализе следственной, экспертной, оперативно-розыскной, судебной практики и исполь-

1 Криминалистика / Под ред. А.Ф. Волынского.- М., 1999. С.33-35.

2 Белкин Р.С. Курс криминалистики в 3 томах. Т. 3: Криминалистические средства, приемы и рекомендации. - М., 1997. C.3J5.

12

зусмая этой практикой через методику расследования преступлений соответ- ствующего вида, исходной базой для разработки которой она (характеристика) является. По мнению В.Я. Колдина, в криминалистическую характеристику преступлений должна входить лишь та информация, значение которой

i

способствует расследованию преступлений, облегчая движение мысли сле- дователя от известного к неизвестному1.

В общей теории криминалистики элементы, образующие ее обобщенную структуру могут быть представлены следующим образом:

  1. Сведения о типичных способах преступлений данного вида и следах отражениях, возникающих в результате применения этого способа (в окру- жающей среде).
  2. Типовая характеристика лиц, совершающих преступления.
  3. Обстановка совершения преступлений этого вида.
  4. Наряду с криминалистической характеристикой отдельного вида пре- ступления, существует криминалистическая характеристика конкретного (отдельно взятого) преступления. Вместе с криминалистической характери- стикой отдельного вида и конкретного преступления существует и общая, родовая криминалистическая характеристика, отражающая закономерности преступления вообще.

Авторский коллектив под руководством Н.Г. Шурухнова, рассматривая состав преступлений, предусмотренный ст.272 УК РФ (неправомерный доступ к компьютерной информации), определил следующие составляющие криминалистической характеристики2:

-способы совершения преступления и механизм противоправного деяния;

1 Криминалистика социалистических стран / Под ред. В.Я. Колдина. - М.,1986. С.123.

2 Щурухнов Н.Г., Пушкин А.В. Расследование неправомерного доступа к компью терной информации. -М., 1999. С. 103.

13

-способы сокрытия неправомерного доступа к компьютерной информации;

-орудия (средства) совершения противоправного деяния;

-обстановка и место совершения преступления;

-следы преступления;

-предмет преступного посягательства;

  • лица, совершившие неправомерный доступ к компьютерной информации.

В криминалистической литературе указываются и такие возможные структурные элементы криминалистической характеристики, как описание механизма следообразования, мотив и цель совершения данного вида пре- ступлений1.

По мнению В.Б. Вехова, криминалистическая характеристика преступлений в сфере неправомерного доступа к компьютерной информации отличается от уже известных криминалистической науке преступных посягательств определенной спецификой. В первую очередь, в нее должны входить: крими- налистически значимые сведения о личности правонарушителя, мотивация и целеполагание его преступного поведения, типичные способы о предметах и местах посягательств, а также сведения о потерпевшей стороне2. Схожая по- зиция отмечается у А.С. Шаталова и А.П. Пархоменко, а также у Н.Н. Лысо-ва, но с включением в состав криминалистической характеристики следовой

Семенов Г.В. Криминалистическая характеристика неправомерного доступа к компьютерной информации в системе сотовой связи // Криминалистические средства и методы исследования преступлений - Воронеж, 1999. С. 38

2 Вехов Б.В. Компьютерные преступления: Способы совершения и раскрытия. -М., 1996. С.28.

14

картины и условий, способствующих совершению компьютерных преступлений’. По нашему мнению, при рассмотрении КХ, необходимо учитывать и его связь с другими преступлениями, т.к. судебная и следственная практика показывает, что часто наличествует их совокупность.*

В целом, по мнению В.А. Мещерякова, приведенные точки зрения на состав криминалистической характеристики преступлений в сфере неправомерного доступа к компьютерной информации, согласуются с общим представлением о данной криминалистической категории и достаточно верно учитывают специфику этого вида преступлений, однако, страдают рядом общих недостатков, обусловленных сложившимся стереотипом господствующих теоретических взглядов2. С учетом изложенного, можно уточнить и дополнить предложенные модели криминалистической характеристики особыми признаками для преступлений, совершаемых с применением средств ВТ и радиоэлектронных устройств. В обобщенном виде она охватывает следующие категории:

  • сведения о предмете преступного посягательства, его характеристики;
  • связь совершенного преступления с применением средств ВТ и ра- диоэлектронных устройств (РЭУ) с другими преступлениями;
  • целевое назначение информации, содержащейся в компьютерно- электронном оборудовании, компьютерной или схемотехнической информации, а также в информации, содержащейся в радиосигнале, против которой направлено преступление;

См. например: Лысое Н.Н. Содержание и значение криминалистической характеристики компьютерных преступлений // Проблемы криминалистики и методика ее преподавания (Тезисы выступлений участников семинара-совещания преподавателей кримина- листики).- М., 1994.; Шаталов А.С., Пархоменко А.П. Криминалистическая характеристика компьютерных преступлений // Вопросы квалификации и расследования преступлений в сфере экономики: Сб. научн. статей.- Саратов, 1999. С. 170-173.

2 Мещеряков В. А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, 2001. С.52.

15

  • используемые материальные носители для хранения и обработки этой информации;

-совокупность (характеристика) исходной информации о криминальном событии в начале расследования преступления;

i

-сведения о среде совершения преступления: вид и особенности аппа- ратного, программного и информационного обеспечения автоматизированной информационной системы (АИС) или радиотехнической системы (РТС), в которой совершено преступление. Установленный порядок его функционирования и технологическая схема обработки и защиты информации в соответствии с целевым назначением АИС или РТС;

-сведения о лицах, имеющих доступ (отношение) к информационным, аппаратным или программным объектам, подвергшихся нападению;

-сведения о круге лиц, которые могли бы произвести данные преступные действия, пол, возраст, образование, специальность и уровень квалифи- кации (профессиональная подготовка), типовой состав и схема взаимосвязей в преступной группе;

-типовая мотивация и целеполагание криминального поведения при со- вершении преступлений с применением средств вычислительной техники и радиоэлектронных устройств;

-описание типичных обстоятельств, препятствующих или способство- вавших совершению подобных преступлений; сведения о возможном или нанесенном ущербе и его статус (частный, муниципальный, государственный и т.д.);

-типичные способы подготовки и совершения преступления, способы его сокрытия; возможные типовые аппаратные (компьютерные, радиотехни- ческие) или программные средства, используемые при этом;

-сведения о типичных обстоятельствах совершения преступления: об- становка, место, время, выполняемые технологические операции при обработке радиосигнала или компьютерной (электронной) информации;

16

-сведения о возможных виртуальных, материальных и идеальных следах совершения преступления и типичных последствиях;

  • сведения о потерпевшей стороне и его статус.

Приведенные составляющие криминалистической характеристики, по нашему мнению, позволяют наиболее полно описать то множество крими- нальных аспектов, которые присущи охватываемой нами группе преступле- ний, хотя есть и определенная информационная «избыточность». Однако, учитывая латентность, скрытость протекания криминальных процессов, тех- нологическую сложность их реализации, такая «информационная избыточ- ность» сведений о преступлении представляется целесообразной с точки зре- ния раскрытия неопределенностей, что в итоге должно положительно ска- заться и при разработке частных криминалистических методик расследова- ния.

Касаясь категории «виртуальных следов», нужно отметить, что необ- ходимость выделения следов такого рода в самостоятельную группу, несмот- ря на ее внешнюю проблематичность, как отмечает В.А. Мещеряков, объек- тивно обусловлена целым рядом специфических свойств, определяющих перспективы их регистрации, извлечения и использования в качестве доказа- тельств при расследовании совершенного преступления. Виртуальные следы существуют объективно на материальном носителе, но недоступны непо- средственному восприятию без применения специального аппаратно- программного инструментария1.

Исследуемая нами группа противоправных проявлений, объединяемая в категорию преступлений с применением средств вычислительной техники (ВТ) и других электронных устройств, по своей природе значительно шире, чем категория преступлений, совершаемых только в сфере компьютерной информации. В качестве обоснования рассмотрим на конкретных примерах.

1 Мещеряков В. А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, 2001. С.74-75.

17

Бурное развитие компьютерных технологий, взаимопроникновение и сращивание электроники, радиотехники с оптоэлектроникой влечет за собой повсеместную компьютеризацию радиоэлектронных и оптических систем, применяемых для регулирования процессов управления сложными комплек- сами автоматов на производстве, в космосе, автоматизации банковской сфе- ры и сферы образования, прогнозировании различных процессов и т.д. «Моз- гом» любого радиоэлектронного автомата или устройства в настоящее время является микропроцессор. В зависимости от того, какие команды (уже пре- образованные микропроцессорным комплектом (МПК) в двоичном коде) поступают на его входы, он вырабатывает соответствующие отклики на них. С помощью специальной компилирующей программы производится транс- ляция с языка высокого уровня на язык Ассемблера, далее с помощью Ас- семблера - в машинные коды. Трансляторы позволяют этот процесс перево- дить в нужные формы представления данных, т. е. из двоичных кодов в фор- мы, удобные для аппаратного или человеческого восприятия.

Система команд микропроцессора - это полный перечень элементарных действий, которые может выполнить микропроцессор, однако с помощью этих команд можно запрограммировать любую сложную операцию. Так работает, например микропроцессор, получивший широкое распространение в 90-е годы, КР580 ВМ80.1 Описанное можно проиллюстрировать упрощен- ной схемой функционирования микро ЭВМ, изображенной на рис. 1. Прак- тически, это очень укрупненная структурная схема персонального компью- тера (ПК). Команды на входе процессора могут быть сформированы «мы- шью», клавиатурой, видеокамерой, компакт-диском, телефонным сигналом, микропроцессорной картой т.д.

Раков В.К., Гребенко Ю.А.. Лабораторный практикум, микропроцессоры.- М., 2000. С.5.

18

На выходе в качестве устройств приема и отработки команд, поступающих с процессора, могут быть: монитор, сканер, плоттер, банкомат, линии удаленного доступа при работе с компьютерными сетями и т.д.

Команды Управления,

(Клавиатур а

(“Мышь’

т р

А Н С Л Я

т о р

Системный блок компьютер а

^- Операционное устройство на микропроцессоре типа, Intel Motorolla, Рината, КР580ВМ80

T Р А Н С Л Я

т о р

Отработка команды

управлени я

””^(принтер)

?

(монитор)

Постоянное и оперативное запоминающее устройство (ПЗУ и ОЗУ)

РисЛ Упрощенно-структурная схема микро ЭВМ

Таким образом, можно обобщить, что практически любое современное автоматизированное (компьютеризированное) радиоэлектронное устройство включает в себя три основных компонента, обязательно присутствующих в нем в том или ином виде: 1. Микропроцессорная сборка (микросхема или полный микропроцессорный комплект). 2. Периферийные устройства, необ- ходимые для выработки управляющих команд (упрощенно, например: «мышь», клавиатура, пьезоэлемент, позволяющий преобразовать внешнее силовое воздействие в электрический сигнал, клавиатура кнопочного радио- телефона, позволяющая менять частоту модулирующего сигнала в зависимо- сти от номера нажатой кнопки, и т.д.). 3. Устройство потребления отзыва на управляющий ответ микропроцессора (например: монитор, принтер, элек- тромотор, радиолокационная система, наводящаяся на источник отраженных

19

от объекта волн, н т.д.). При этом на схеме блок процессора с памятью можно с определенной степенью приближения назвать системным блоком компьютера.

Повреждение периферийного устройства (умышленное или вследствие отказа технического узла), в качестве которого могут быть: электромеханическое устройство с сельсин-датчиком или электронным блоком преобразования аналогового сигнала в количество оборотов электромотора, например в радиолокационной станции (РЛС) выведет ее электромеханическую часть из штатного режима функционирования, что сведет на нет работу всей управляющей компьютерной системы. Следует отметить, что электродвигатель с блоком приводной электроники нельзя отнести к компьютерам - это аппаратное исполнительно-приводное средство. Для выяснения вопроса об отказе системы, необходимо назначить и провести исследование не только отказавшего электронного узла, но и систем РЛС. Это позволит определить, произошел отказ в следствие износа оборудования, технической неисправности или преступного умысла, что обеспечит правильную квалификацию данного происшествия.

Таким образом, родовой объект преступлений, совершаемых с при- менением средств вычислительной техники и электронных устройств, можно определить следующим образом. Родовым объектом преступлений, совершаемых с применением средств вычислительной техники и электронных устройств, являются общественные отношения, связанные с информационными процессами, протекающими в обществе, и использованием при этом ЭВМ, их систем и сетей (радиосетей), радиотехническими и радиоэлектронными устройствами или системами, а также созданными на их основе синтезированными комплексами.

Непосредственным объектом преступного посягательства во всех этих случаях, являются общественные отношения по обеспечению безопасности информационных систем компьютерной или радиоэлектронной информации,

20

базирующейся на использовании ЭВМ, систем ЭВМ, радиотехнических или радиоэлектронных устройств или систем, а также созданными на их основе синтезированными комплексами.

Дополнительный объект преступлений, совершаемых с применением средств вычислительной техники и электронных устройств, факультативен. Его наличие зависит от вида вреда, причиненного правам и законным интересам потерпевшего. В качестве дополнительного объекта может быть авторское право, право собственности, интересы государственной службы, внешняя безопасность Российской Федерации и т.д. Наличие дополнительного объекта повышает степень общественной опасности данного вида преступлений.

Классификация способов совершения преступлений с применением средств вычислительной техники и радиоэлектронных устройств

Следует заметить, что преступления, совершаемые с применением средств вычислительной техники и других электронных устройств, характеризуются высоким уровнем латентности, сложностями выявления на этапе подготовки и установления субъекта преступления, возможностью причинения значительного ущерба, своеобразием обнаружения, изъятия и закрепления следов преступной деятельности, интернационализацией преступности, специальным социальным портретом субъектов преступления. Так, по оценкам российских и международных экспертов, выявляется не более 10-15% преступлений указанной категорий1.

Скрытая преступность. Компьютерные преступления. - Вашингтон: Академия ФБР. 1998. СЮ.

21

Анализируя юридическую и техническую литературу по исследуемой проблеме , можно сделать вывод, что все способы совершения преступлений с использованием средств вычислительной техники (включая сюда и неправомерный доступ к компьютерной информации) и радиоэлектронных уст-ройств можно объединить в пять основных синтезированных групп. Приводимая нами классификация основана на синтезе следующих критериально-оценочных параметров: применяемые технические средства, размещение технических средств, используемых злоумышленником на месте (или вне места) совершения преступных действий и местонахождении предмета преступного посягательства.

  1. Использование ВТ или электронных устройств для организации, планирования, учета и контроля криминальной деятельности.
  2. Нарушение физической защиты, непосредственный несанкциониро- ванный доступ к электронному оборудованию.
  3. Способы удаленного доступа к ВТ для получения компьютерно- электронной информации.
  4. Синтезированные способы доступа к компьютерной технике или ра- диоэлектронным устройствам.
  5. Использование радиоэлектронной аппаратуры (РЭА) и радиотехни- ческих систем (РТС) и устройств в преступных целях.
  6. В отдельную, шестую группу, можно выделить факты краж и безли- цензионного изготовления и сборки электронной и компьютерной техники, а также некоторые таможенные правонарушения, объектами которых она является.

Батурин ЮМ., Жодзишский A.M. Компьютерная преступность и компьютерная безопасность. - М.,1991; Мещеряков В. А. Преступления в сфере компьютерной информа- ции: правовой и криминалистический аспект. - Воронеж, 2001. С.25; Шурухнов Н.Г., Пушкин А.В. Расследование неправомерного доступа к компьютерной информации. - М., 1999. С. 104.

22

Следует отметить, что пункты приведенной классификации имеют не жестко очерченные, а условные границы. Данная классификация наиболее полно рассматривает все возможные способы совершения исследуемых преступлений и не связана с анализом характеристик угроз информационной безопасности, представляющих собой отдельную проблему. Дадим краткую характеристику каждой группе.

Группа 1. К этой группе можно отнести случаи, когда вычислительная техника используется злоумышленниками в качестве информационной поддержки для принятия решений, контроля и планирования криминальной деятельности. Типичные примеры: создание баз данных о бланках и печатях фирм и компаний; информация о девушках, занимающихся проституцией; хранение информации о незаконных доходах и транзакциях и т.д1.

Группа 2. Непосредственный несанкционированный доступ может осуществляться как лицами, работающими непосредственно с компьютерной техникой или радиоэлектронной информацией, так и лицами, специально проникающими в охраняемые зоны и помещения. При этом злоумышленником могут применяться как похищенные средства идентификации и аутенти- фикации, так и осуществляться их подбор. К этой группе можно отнести, на- пример, широко известные методы маскировки как физической, так и элек- тронной.

Отдельно здесь можно выделить мошенничества с банковскими пластиковыми платежными карточками, исследования по которым проводились Т.И.Абдурагимовой2, и телефонными карточками, когда выявлены их дейст- вительные реквизиты, а также получившее в последнее время распростране-

Россинская Е.Р. Особенности расследования преступлений в сфере движения компьютерной информации // Криминалистика. Методика расследования преступлений новых видов, совершаемых организованными преступными сообществами. - М., 1999. С.269-279.

Абдурагилюва Т.И. Расследование изготовления, сбыта и использования поддельных пластиковых карт. - М., 2001. С.25.

23

ние «клонирование» пластиковых карточек для теледекодеров (например, телекомпании НТВ+).

При этом место совершения преступления и наступления преступных последствий совпадает или находится рядом.

Группа 3. К этой группе можно отнести разновидности способов получения или снятия информации, при которых лицо, совершающее несанкционированный доступ в ИС, непосредственно не осуществляет механический контакт с компьютерной или радиоэлектронной аппаратурой, в которой находится интересующая его информация, а производит указанные действия дистанционно, т.е. используя удаленные компьютерные или сотовые терми- налы. Атака на компьютерную систему может происходить как с одного тер- минала, так и при одновременной работе с нескольких.

Например, компьютерные преступления, при которых осуществляется удаленное проникновение в ИС через Интернет с использованием чужих па- ролей, с введением «троянов» с адресами для модемных соединений. Место совершения преступления и место наступления преступных последствий в данной группе не совпадают. Так, например, в октябре 1996г. был взломан сервер ЦРУ; 27 октября 1996 г. взломан сервер компании «РОСНЕТ», среди клиентов которой ЦБ РФ и ГТК РФ; 5 марта 1997 г. взломан сервер NASA в Центре управления космическими полетами и т.д1. По оценкам ЮСЕ (меж- дународная организация по компьютерным уликам), преступления, связанные с компьютерными взломами, занимают менее 5% от общего объема работы с компьютерными средствами (как вещественными доказательствами). Данные оценки, по нашему мнению, в значительной степени отражают ситуацию и в России.

Кротов И.Е. Управление информационной безопасностью в современных условиях // X конференция ИПС. - М., 2002. С.52-54.

24

Группа 4. Данная группа представляет синтез непосредственных и удаленных способов совершения преступления с применением компьютерных или радиоэлектронных технологий с целью несанкционированного доступа к компьютерной или радиоэлектронной информации.

Группу составляют смешанные способы, которые могут осуществляться как путем непосредственного, так и дистанционного (удаленного) доступа. Например, проникновение в компьютерную систему через ее уязвимые места - «лазейки» и «черные дыры», оставляемые разработчиками, а также применение специальных программ типа exploit (открывалка) для «вскрытия» системы. При этом злоумышленниками может осуществляться тайное введение в «чужую» программу таких команд, которые помогают ей осуществить новые, незапланированные функции при одновременном сохранении ее работоспособности. Примером могут служить так называемые «логические бомбы», которые должны сработать при создании определенных условий или через определенный интервал времени, а также «трояны», модифицирующие работу программ.

К этой группе можно отнести и «электронный перехват», например перехват электронного сигнала с экрана монитора или принтера. С массовым внедрением оптоволоконных технологий можно ожидать «оптоэлектронного перехвата данных».

Группа 5. К данной группе преступлений можно отнести способы, совершаемые посредством современных компьютеризированных радиоэлектронных устройств, обеспечивающих, как вариант «высокочастотное навязывание» и т.д., с целью получения неправомерного доступа к информации, содержащейся в радиосигнале. В нем, в частности, могут быть зашифрованы личная, коммерческая или государственная тайны.

Критерием, позволяющим осуществить определение принадлежности криминального события к данной группе, является применение злоумышлен- ником компьютеризированного радиоэлектронного устройства не в соответ-

25

ствии с его функциональным предназначением. Например, использование средств радиомониторинга в выявлении кодовых групп автосигнализаций, неправомерный перехват радиосигналов, несущих информацию того или иного рода, и другие, а также использование оборудования при выведении из режимов штатной работы радиоэлектронных устройств, например охранного назначения. Проиллюстрируем на конкретных примерах использование преступными элементами технических средств.

Выслеживание паролей с помощью программы «ищейки паролей» (снифера)1. Программы сервиса сниферов сортируют собранную информацию (имена пользователей, пароли) и осуществляют их маскировку. Появление подобных программ свидетельствует о намерениях «взломщиков» проникнуть в данную ИС. Подобной «атаке» могут подвергнуться как телефонные компьютерные системы, так и сетевые и сотовые провайдеры. Например, по оценке специалистов ФБР, в 1999 г. было зарегистрировано нападение сниферов не менее чем на 100 тыс. компьютерных узлов. Данный метод нападения можно отнести к четвертой группе.

Сканирование. Метод нападения, который можно отнести также к чет- вертой группе. Применяется обычно «взломщиками-новичками» с использованием , например, программ типа «Demon Dialers», «War Dialers» (программы, известные как средство опроса номеров). Генерируемые наборы информации - списки телефонных номеров, с фиксацией тех из них, на которые были получены модемные отклики.

Подмена IP-протокола (подмена WAP кода для GSM-систем). Метод нападения, осуществляемый в атаках через Интернет на ИС (а также через

Сниферы (эквивалентны также программам «анализаторы протоколов») - программы, собирающие первые 130 и более байтов при сетевом соединении (в сетях с протоколами ТСРЛР).

2 Internet Protokol (IP) - коммуникационный протокол, лежащий в основе функцио нирования сети Интернет.

3 W?P - беспроводный протокол доступа в сервер провайдера для работы в Интернет (для систем GSM).

26

сотовую сеть, обеспечивающую доступ в Интернет). Злоумышленником при данном виде нападения на ИС подделываются адреса в пакетах данных так, что они выглядят исходящими из «внутренней» сети, поэтому запроса на ввод пароля или другой информации о аутентификации ему не поступает. Фактически же, происходит проникновение в ИС извне. Данный способ на- падения можно отнести к третьей группе.

С ростом количества сотовых операторов, развитием сети GPRS1, расширением сети мобильных транзакций проблема телефонного мошенничества станет чрезвычайно актуальна в недалеком будущем и для России.

Мировые телекоммуникационные компании (iT-компании), несут ежегодно миллиардные убытки являющиеся последствиями разных мошенничеств в информационно-телекоммуникационных сетях (ИТКС). В развитых странах ущерб от подобных действий составляет 4-8 % от суммы прибыли (приемлемыми считаются 1-2%). Ущерб российских компаний в 2001 г. оце- нивается в 50 млн. рублей2. Отметим следующие формы мошенничеств в iT- сетях3: абонентское мошенничество (subscription fraud), мошенничество с предоставлением телефонных услуг (Call sell operations), мошенничество с предоставлением услуг удаленного доступа (remote access fraund), мошенни- чество с телефонными кредитными карточками (credit|callinq card fraund), мошенничество с подключением к телефонным линиям (Clip-on fraund), a также мошенничества разных форм, собранных под общим названием (social enqineerinq). Последняя форма используется как организованными преступ- ными группами, так и отдельными лицами с целью получения бесплатного, не контролируемого доступа к телекоммуникационным услугам. У каждого

1 GPRS - система пакетной радиопередачи данных.

2 Передача «Мегаполисе», третий телевизионный канал «ТВЦ», 27 сентября 2002 г.

3 Об этом подробнее: Лашин С. Мошенничества в международных телекоммуни кационных сетях // Интерпол. №23 - М., 1997 декабрь. С.29-31; Interpol Internanional Criminal Police Review. 1997. №464 // Schreiber R. Преступления с использованием компь ютера. С.9-15; Interpol Internanional Criminal Police Review. 1997. №464 // McGovern R. Мошеннические операции с телефонной связью.С.15-19.

вида телекоммуникационного мошенничества имеются. свои особенности, определяемые инструментальным оснащением.

Бесконтактное подключение к системе связи осуществляется в зоне ра- диоканала между «стационарным» и «переносным» блоком (трубка радиотелефона, мобильный сотовый терминал и т.д.) (см. рис.2) \

Зона радиоканала*

ATC(S-»(

I

s

К

л

s

X

I

Стацмоиарш»

йлок р/теяефона

жлейф

алеЯф

?лейф

ТелефояшШ

аппарат

^факс, модем)

Имитатор сигналов

АТС

Пиратски й

ТА

Рис. 2. Линии связи и каналы несанкционированного подключения.

При этом с помощью радиоэлектронного сканера злоумышленником распознается кодовая группа МИН и ЭСН, содержащаяся в посылке радиосигнала снятия трубки2, и в канал связи вместо владельца средства связи, включается несанкционированный аппарат запрограммированный на распознанную кодовую группу (двойник или «копия-клон»).

Следует отметить и нарастающую тенденцию проведения в среде Ин- тернет мошенничеств, связанных с созданием фиктивных
Интернет-

’ Бсишхничев И.Н. и др. Борьба с телефонным пиратством. - Минск, 1999. С iS.

2 Уголовное дело №161138 от 26.01. 2000г., ГУВД Свердловской области. На ис- следование представлен IBM-совместимый системный блок с НЖМД и 7 сотовых телефонов с двойными МИН и ЕСН. Эксп. закл №327 от10.04.2000.

28

магазинов, проведением незаконных транзакций, широким использованием фальсифицированных платежных пластиковых карт и средств их идентифи- кации, «информационных взломов» действующих Интернет-магазинов (Egghead com) с похищением информации о клиентах (например, о 2 млн. клиентов в системе STB-Card); создание Интернет-пирамид и т.д .

Как было отмечено ранее, к шестой группе можно отнести факты краж и безлицензионного изготовления и сборки электронной и компьютерной техники, а также некоторые таможенные правонарушения, объектами которых она является. Рассмотрим некоторые направления.

Одним из направлений электронной преступности является хищение аппаратов и их электронных узлов. По оценкам экспертов, на сегодня в России доля похищенных сотовых трубок может достигать до 30% от общего числа подключенных аппаратов, работающих в этой сети2. По другим экспертным оценкам, доля «серого аппаратного парка» в некоторых сотовых сетях составляет больше половины (включая сюда и контрабанду аппаратов)3. Кражи носимых компьютеров (ноутбуков) в США на 1999 г. составляли цифру 12 тыс. ед., а в целом количество краж компьютерной техники в 1999 г. составило 30% от зарегистрированных хищений (в 1997 г. - 25%) и имеют тенденции к росту4. При кражах компьютерной техники часто злоумышлен- никами производится ее разборка на комплектующие с последующим вклю- чением этих блоков в другие аппараты. В качестве примера здесь можно привести данные из материалов плановых ОРМ (128 о/м г. Москвы), прово- димых по факту кражи ПК на одном из столичных рынков. На радиорынке была осуществлена скупка украденного системного блока. Системный блок

Эриашвили Н. Из официальных источников. В сетях преступного мира // Закон и право. № 12. 2001.С.42.

2 Мобильные новости. Всемирный журнал. № 5 (16) 2001. С. 35; С. 86. (http // www Mobiltnevvs ru).

3 Russian mobile. Апрель. 2002. C.66. (http // www. revkom. ru).

4 X Международная научная конференция «Информатизация правоохранительных систем» // Пленарное заседание НТЦ АРБ. Скородумов Б.И. 22-23 мая 2001.

29

был сразу разобран на комплектующие, которые в дальнейшем вошли в со- став других собранных системных блоков и затем были реализованы.

Ввоз контрабандной электроники, а также безлицензионная электронно- механическая сборка из отдельных блоков-ЭВМ, ее периферии и другой «белой» техники являются другой составляющей рассматриваемой группы. Результатом такой сборки является аппарат, не отвечающий целому ряду сертифицированных параметров. При этом часто происходит использование торгового знака известных фирм. Приобретая такую продукцию, потребитель сталкивается с проблемой ее неудовлетворительной работы, плохой сопря- гаемостью электронных блоков, программно-аппаратных конфликтов и т.д. Практика борьбы с данными правонарушениями УБПСВТ МВД России по- казала возможность классифицировать состав рассматриваемого преступле- ния по ст. 171.1 * ,171.2 УК РФ (незаконное предпринимательство).

В целях ограждения потребителей радиоэлектронной продукции от подделок было введено в действие постановление Правительства РФ 2. Перечень продукции и дополнение к нему от 20 октября 1998г. №1223 содержали позицию под №3 «компьютерная техника». Сертификация продукции должна проводиться в соответствии с Законом РФ «О сертификации продукции и услуг» (ст.7). Обязанности по сертификации продукции возложены на Гос- стандарт РФ. Контроль за реализацией немаркированных товаров и продук- ции возложен на ФСНП (в том числе и возбуждение уголовных дел по ука- занным статьям). ИС оперативного учета маркированных товаров (ИСМТ), в том числе и изделий сферы радиоэлектроники, ведется на основе поступающей информации от территориальных управлений госторгинспекции (ведется в Министерстве торговли РФ). Учет движения маркированных товаров и

1 Дополнительная статья № 171.1 «Производство, приобретение, хранение, пере возка в целях сбыта или сбыт немаркированных товаров и продукции. Введена Федераль ным законом №158-ФЗ от 09. 07. 1999 г.

2 Постановление Правительства РФ «О маркировании товаров и продукции на тер ритории Российской Федерации знаками соответствия, защищенными от подделок» от 17 05 1997г. № 603(с изм. и доп. от 19.09.1997 № 1193).

30

продукции осуществляется по количеству, виду товаров и наименованию организации, осуществляющей реализацию этого товара1.

К шестой группе можно отнести и некоторые таможенные правонарушения. В частности, контрабанда (ст. 188 УК РФ), а также действия, направленные на неправомерное освобождение от таможенных платежей или их занижение (ст. 282 ТК РФ), недекларирование или недостоверное декларирование товаров или транспортных средств (ст. 279 ТК РФ) вследствие преднамеренного или «недостаточной специальной квалификации» товароведов таможен (постов) в соответствии с действующим ТЭН ВЭД и производящих классификацию аппаратных компонент2.

Приведем примеры. По постановлению ГУ по БК ГТК РФ с целью определения рыночной стоимости задержанного товара была проведена экспертиза аппаратуры и ее последующая классификация по ТН ВЭД (всего-1400 наименований аппаратных средств). После проведения аппаратно- экспертного исследования стоимость товара была определена в размере 183 млн. руб. (на 2000 г.). В ТТЛ ГТК по просьбе УБЭП ГУВД проводилась аппаратная экспертиза автомобильных усилителей и компакт-проигрывателей с целью определения рыночной стоимости товара. Стоимость аппаратных средств была оценена в размере 5 630 410 руб. Также проводятся аппаратные исследования носителей информации (компакт-диски, кассеты и т.д.) на кон-трафактность и проверяются компьютерные комплектующие и другие радиоэлектронные аппараты на соответствие ТН ВЭД3.

К преступлениям исследуемой группы (с применением средств ВТ и радиоэлектронных устройств) можно отнести и похищение бензина с автома- тизированных АЗС, когда каждая третья и т.д. заправка, или заправка, пре-

1 E-meil: auditevrika @ mail/ Admiral, ru.

2 Кротов И.Е., Васильев А.А. “Доклад и тезисы Первой научно-практической кон ференции ГТЛ ГТК «Экспертно-криминалистическая деятельность в таможенных целях». - М., 22-23 октября 2001.

Материалы Первой научно-практической конференции ГТЛ ГТК «Экспертно- криминалистическая деятельность в таможенных целях». - М.: 22-23 октября 2001.

31

вышающая, например, 20 л, осуществляется с уменьшением объема выдачи бензина при правильных показаниях электронного счетчика1.

Также к этой группе преступлений (с применением средств ВТ и ра- диоэлектронных устройств) можно отнести получившие в последнее время распространение среди террористических групп, случаи использования ра- диоустройств, например сотовых телефонов в качестве радиовзрывателей.

Данные о способах сокрытия преступлений, совершаемых

с применением средств вычислительной техники

и других электронных устройств

Способы сокрытия исследуемых видов преступлений в значительной степени детерминированы способами его совершения. При удаленном доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа. Это достигается при- менением чужих паролей, идентификационных средств доступа, например электронной подписи. При введении дополнительного парольного рубежа, базирующегося на проведении процессов аутентификации, возможности зло- умышленника резко уменьшаются.

При этом сами средства вычислительной и радиоэлектронной техники могут использоваться как для совершения преступления, так и для его сокрытия. Например, для нарушения работы системы теленаблюдения, осуществляющей контроль на уязвимом участке охраны, преступниками была нарушена штатная работа блока питания, вследствие чего система была повреждена. Злоумышленники в данном случае могли скрыть следы преступления, используя те обстоятельства, что блоки питания являются наиболее электро- нагруженным элементом системы и, следовательно, уязвимым с точки зрения

Мещеряков В.А. Компьютерно-техническая экспертиза и тактические рекомендации по ее назначению. - Воронеж. Изд. 2000.

32

вероятности отказа. Следовательно, выход из строя блока питания не вызовет беспокойства обслуживающего персонала и охраны.

Анализируя работу современных программ поиска, например ищеек паролей-«сниферов» в Интернете, можно отметить, что их работа, невиди- мость, обеспечивается дополнительными программами, скрывающими присутствие ищеек. Специалистами был осуществлен эксперимент, в котором проверке подверглись ряд объектов, подключенных к Интернет. Проверка заключалась в проникновении во внутреннюю сеть объектов с последующими «определенными» действиями. Итог эксперимента показал, что только 2% всех тестируемых объектов смогли обнаружить атаку и «выявить» проникновение. Исследования, проведенные Министерством обороны США, показали похожие оценки1.

В заключение, следует отметить, что способы сокрытия следов и уничтожение следовой картины преступления однозначно связаны с особенностями личности преступника, уровнем его технической подготовки, степенью владения информацией об объекте атаки. Все действия компьютерного преступника обычно отличаются изощренностью и квалифицированной маскировкой.

Данные о средствах (орудиях), применяемых при совершении

преступлений с использованием средств вычислительной техники

и других электронных устройств

Производя анализ литературы, уголовных дел и экспертных заключений, обобщая материалы научно-практических конференций в гт. Белгороде (2000) и Краснодаре (2001), Москве (ИПС 2000-2002), можно сделать
выводы, что средствами или орудиями, с помощью которых

1 См., напр.: Ликов Девид, Сейгер Карл, Фонстрох Уильям. Компьютерные преступления: Руководство по борьбе с компьютерными преступлениями. / Пер. с англ. - М., 1999; Журнал Computer world от 30 января 1995. С. 12; и др.

33

преступники реализуют свои замыслы при совершении исследуемых противоправных деяний, являются следующие группы объектов:

-аппаратные компьютерные и радиоэлектронные средства для совершения преступления;

-специальные программные средства для совершения несанкционированного доступа;

-каталоги и справочная, обеспечивающая и сопроводительная литература, в том числе и в электронном виде;

-электрорадиоизмерительные приборы и установочно-монтажное обо- рудование и аппаратура1.

Оборудование каждой из этих групп сегодня практически доступно. Единственное, что надо учесть при оценке инструментария, что в это оборудование преступниками вводится специфическое, возможно уникальное интеллектуальное наполнение, которое и определяет впоследствии набор технических средств.

Приведем примеры типичных объектов, относящихся к упомянутым группам. К орудиям непосредственного доступа можно отнести машинные носители информации, а также все средства преодоления защиты информации. Стоит заметить, что каждой категории защиты от несанкционированного доступа (организационно-тактические, программно- и аппаратно-технические) соответствует свой набор орудий неправомерного доступа в компьютерную систему. Например, для получения доступа к компьютеру, находящемуся под физической охраной, злоумышленникам необходимо

1 См., напр.: ГУ ЭКЦ МВД РФ. Научно-практический семинар «Применение спе- циальных познаний при раскрытии и расследовании преступлений, сопряженных с ис- пользованием компьютерных средств». Белгород. 28-31 мая 2000.; ГУ ЭКЦ МВД РФ. Всероссийский научно-практический семинар «Актуальные проблемы методического обеспечения и современные технологии экспертного исследования компьютерных средств».Краснодар. 19-21 июня 2001; Макклури Стюарт, Скембрей Джоел. Секреты хаккеров. - М., 2001; Левин М. Как стать хакером: Самоучител ь. М., 2001 г; Дымов В. «Ха-кинг и фрикинг. Хитрости, трюки и секреты». М., 2001.; Руководство для хакеров -2. Электронные корсары. М., 2001; Компакт-диск Супер Хакер, 2001.

34

произвести изготовление пропуска, выяснить PIN-код, подобрать электронный или механический ключ. Для того чтобы произвести доступ с удаленного терминала, необходимо воспользоваться сетевым оборудованием, выяснить пароли и идентификационные номера законных пользователей. Базисный набор самого сетевого оборудования относительно стандартен, и нет не- обходимости подробно останавливаться на его описании.

С реализацией на мобильных сотовых терминалах GSM технологий, поддерживающих WAP протоколы и GPRS, проблема несанкционированного доступа к компьютерной информации может выделиться в отдельную криминальную проблему.

При производстве печати фальшивых денежных знаков (полиграфии) преступникам необходимо иметь в своем ассортименте копировальную цвет- ную технику, ризографы, большой объем машинной памяти и т.д.

Программные средства, с помощью которых преступниками может осуществляться как непосредственный, так и удаленный доступ к компью- терным системам, очень разнообразны. На радиорынках можно приобрести наборы компакт-дисков с комплектом программ для взломщиков разного уровня подготовки. Поэтому изучение подобных инструментальных средств специалистом поможет точнее оценить потенциальные возможности зло- умышленника, а также его уровень профессионализма.

Обстоятельства, способствующие и препятствующие

совершению и сокрытию преступлений.

Данные об обстановке на месте преступления

Обстановка совершения преступлений данного вида характеризуется рядом факторов, которые зависят от ранее выделенной групповой принадлежности преступлений. Каждой из шести групп характерны наличие либо отсутствие жесткой взаимосвязи места совершения потивоправных действий и места наступления общественно опасных последствий, а также своя следо-

35

вая картина криминального события, определяемая механизмом совершения преступления, а именно: расположения места совершения преступных действий и местонахождение объекта преступного посягательства. Это предопределит и традиционные приемы по их исследованию.

Группа 1. Для данной группы преступных действий характерной особенностью является то обстоятельство, что место совершения непосред- ственно преступных действий, где материализуются их результаты, и место, где осуществляется концентрирование или сосредоточение преступниками криминалистически значимой информации, практически не совпадают и мо- гут находиться на значительном удалении друг от друга.

Так, например, компьютерная база данных, содержащая информацию о преступной деятельности группы, и данные на объекты преступного посяга- тельства будут храниться в Штабе.

Группа 2. Для данной группы преступных действий характерной осо- бенностью является то обстоятельство, что в подавляющем большинстве случаев место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, находятся рядом или совпадают.

Примером подобных ситуаций могут служить преступления, когда преступником осуществляется вход в персональный компьютер, используя чужой пароль, преступное использование магнитных или ЧИП-карт со сня- тием, например, денежной суммы с банкомата; непосредственное механиче- ское подключение к клеммам коробки АТС и др1.

Группа 3. Для нее характерно несовпадение места совершения проти- • воправных действий и места наступления общественно опасных последст- вий.

Балахничев И.Н. и др. Борьба с телефонным пиратством: методы, схемы, рекомендации. - Минск, 1999. С. 19.

36

Группа 4. Совершение противоправного деяния здесь носит комбини- рованный характер. Например, методы радиоэлектронного перехвата электромагнитного сигнала. Включение в банковскую сеть средств для перехвата (ON-Line перехвата) протоколов обмена между банкоматом и процессинго-вым центром, с целью изучения трафика, или формирования ложного электронного протокола обмена. Преступления данной группы, так же как и третьей, носят распределенный характер как во времени, так и в пространстве.

Группа 5. В зависимости от конкретного вида преступления может быть как локальная следовая картина, так и распределенная. Например, при- менение электронного сканера или системы радиомониторинга при исследовании эфира с целью идентификации действующих частот беспроводных радиотелефонов с последующей работой на этой радиочастоте. Наличествует несовпадение места нахождения объекта преступного посягательства и места совершения преступных действий.

Анализ практики показывает, что для обстановки, в которой возможно

совершение рассматриваемых преступлений, и в зависимости от уровня информационного риска (высокий, средний, низкий) наиболее свойственны следующие факторы1: отсутствие оценок информационных рисков и определения потенциальных сфер риска; плохая организация физической и эксплуатационной защиты; отсутствие защиты от некомптентных или случайных пользователей; низкая служебная ответственность за несанкционированный доступ к ПО или ВТ; отсутствие систем идентификации и аутентификации пользователя и контроля за доступом к сведениям; неиспользование средств кодирования, мониторинга межсетевых экранов, VPN2 сетей, систем обнаружения вторжений (IDS); отсутствие расследований по фактам несанкционированных вторжений, отсутствие анализа

См., напр.: Материалы конференции «Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти». - М., Март, 2002.

2 VPN сети - специализированные корпоративные сети, которые могут быть наложены на линии Интернет с последующей частотной развязкой.

37

посягательств на PIC; неиспользование стандартов по информационной безопасности (ИБ)1 и отсутствие штатных сотрудников по ИБ (например, ад- министратор безопасности), незнание правил и инструкций по работе с ПК; слабый подбор кадров и исполнительная дисциплина; отсутствие или плохая защита каналов связи. Эти пункты можно объединить в следующие категории: физические, эксплуатационно-технические и организационные способы обеспечения противодействия несанкционированному доступу к компьютер- ной информации. Так, например, ежегодные потери компаний Великобрита- нии вследствие нарушения работы компьютеров и связанных с ними инфор- мационных рисков составляют 2,5 млрд фунтов стерлингов. Среднегодовые потери американских компаний составляют 15 млрд долларов США2.

Особенности личности электронного преступника

Детальное изучение способов совершения КП, особенностей их тех- нологической подготовки и способа реализации позволяет с высокой степенью вероятности определить необходимые специализированные навыки, которыми должен обладать преступник, а также его принадлежность к определенной профессиональной группе. В частности, Ю.М. Батурин, А.Ф. Волынский, В.В.Крылов, Е.Р. Российская, Н.Г. Шурухнов и ряд других дают классификации личности компьютерного преступника-субъекта преступления. Исследователями в основном, приводится шестиуровневая классификация (хакеры, шпионы, террористы, вандалы, люди, болеющие компьютерными фобиями, корыстные преступники) . Однако в настоящее время, по мнению ряда практических работников, ясно наметилась классификация преступников и по углубленной технической специализации в той или иной области

1 См., напр.: Документы Гостехкомиссии при Президенте РФ, а также стандарты: ISO 17799, BSI, и др., посвященные информационной безопасности.

2 Кротов И.Е. Управление информационной безопасностью в современных усло виях: Десятая научно-практическая конференция ИПС. - М., 2002. С.52-54.

3 См., напр.: Крылов В.В. Расследование преступлений в сфере информации. - М., 1998.С.231-232.

38

применения компьютерного или радиоэлектронного оборудования1, что сле- дует также и из проведенных нами исследований структуры криминалисти- ческой характеристики (См. рис. 3).

Специализация в области Интернета

iN и iT- сетей. Мотив, творчество, любознательность, желание усовершенствовать программу, работу сети (Хакинг)

Специализация в области компь- ютерной РВХ и IP телефонии. Присутствует корыстный умы- сел (Фрикинг)

Преступность в сфере высоких технологий

Специализация в области радиомо- ниторинга, радио- электроники и ра- диосистем. Присутствует преступный умысел (Рундкрегинг)

Специализация в области взломов ПО, администрируемых PC и iT- систем. Присутствует пре- ступный умысел (Крегинг)

Специализируются области фальсифи- каций и операций с ПК, банкоматами. Присутствует пре- ступный умысел (Кардинг)

Рис. 3. Классификация преступников в зависимости от специализации.

Приведенные категории преступности в сфере высоких технологий различаются углубленной компьютерно-электронной специализацией, моти- вировкой, целями и психологическими установками в достижении преступ- ного результата.

1 См., напр.: Гудзь Е.Г. Актуальность проблемы ведения борьбы с преступлениями в сфере высоких технологий: В сб: Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. М.: ГУ ЭКЦ МВД России, 2000; Левин М. Хакинк и фрикинг: Методы, атаки, секреты, взлом и защита. М., 2001; Журнал i-business, ноябрь 2001г. статья Робингуды цифровой эпохи; Леонтьев Б. Хакеры, взломщики и другие информационные убийцы. - М., 2001; и др.

39

Существует условное деление преступников по возрасту: 11-15 лет -совершают кражи через кредитные карточки, телефонные номера, любознательны; 17-25 лет - устанавливают отношения в других странах, обмениваются информацией похищая ее из банков данных, познавательны; 30-45лет -умышленно совершают КП с целью извлечения материальной выгоды, уничтожая компьютерные сети (вандалы)1. Анализ уголовных дел о компьютерных преступлениях, оконченных следователями прокуратуры и других правоохранительных органов в 1997-1999 гг., показывает, что 2/3 лиц, их совершивших, имели высшее, незаконченное высшее образование, а также являлись учащимися высших и средних специальных учебных заведений. Свыше 90% из них имели постоянное место работы, причем 80% занимали инженерно-технические, административные, бухгалтерские должности. Каждый третий по роду службы правомерно пользовался служебной компьютерной техникой, и почти все имели к ней свободный доступ2.

Особую категорию компьютерных преступников составляют консультанты, которые получили доступ к фирменной информации и могут использовать полученные знания для совершения преступления.

Специалисты ФБР при расследовании компьютерных преступлений используют матрицу компьютерных преступников, в которой описываются типы злоумышленников, и для каждого из них матрица обобщает четыре ка- тегории характеристик: организационные, рабочие, поведенческие, ресурсные3. Как свидетельствует практика расследования компьютерных преступлений в России, данная классификация не нашла применения среди практических работников. По нашему мнению, использование в качестве базы клас-

Комиссаров А.Ю. Первая международная конференция Интерпола по компьютерной преступности // Интерпол. 1995. №14. С.24.

2 Андреев Б.В., Лак П.Н. и др. Расследование преступлений в сфере компьютерной информации.-М., 2001. С. 67.

3 АйковД,., Сейгер К.., Фонстрох У., Компьютерные преступления: Руководство по борьбе с компьютерными преступлениями / Перевод с английского. - М, 1999. С.132-176.

40

сификации, приводимой нами выше, позволит в перспективе создать систе- му расследования подобных преступлений, отвечающую насущным требованиям.

i Данные о следах, оставляемых при совершении преступлений с
применением средств вычислительной техники и радиоэлектронных устройств

В широком смысле слова следом в криминалистике называют любые последствия преступления, в том числе изменения объекта или вещественной обстановки, памяти человека, под воздействием криминального события. Следы, оставляемые преступниками при совершении преступлений с применением средств ВТ и радиоэлектронных устройств (РЭУ), в отличие от «тра-диционых» следов могут оставаться в «нетрадиционой» - виртуальной субстанции и на «нетрадиционных» - магнитных компьютерных носителях1, а также и в различных радиотехнических приборах и устройствах. Поэтому в исследуемом случае можно констатировать следующие составляющие следовой картины криминального события: следы материальные и следы идеальные - традиционные составляющие следовой картины. Следы виртуальные характеризуют нетрадиционную составляющую следовой картины и присущи преступлениям, совершенным с применением средств ВТ и РЭУ. Нами установлено, что при преступном использовании компьютерных средств, определяется следующая следовая картина2:

  • следы на компьютерных средствах (в том числе носителях компьютерной информации), посредством которых действовал преступник на своем рабочем месте (в файловой системе, в оперативной памяти, аппаратно-

Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, 2001. С.73-76.

2 Отчет о научно исследовательской работе: «Методы и средства решения задач компьютерно-технической экспертизы» (заключительный тема НИР 2001 г. Тема № 3.7) / Коллектив авторов. - М.: ЭКЦ МВД России, ЮИ МВД РФ, 2002. С.8.

41ГОСУЛ .^

БйБЛя..-. ’,-ш

программной конфигурации и пр.) и вне носителей информации (рукописные записи и распечатки с принтера - коды доступа, тексты программ, счета те- лефонных компаний и пр.);

  • следы на «транзитных» (коммуникационных) носителях информации, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися неправомерному доступу (следы в линиях электросвязи: документированная информация о трафике через оператора те- лематических услуг, результаты наблюдения в ходе проведения оперативно- розыскных мероприятий и следствия);
  • следы в компьютерной системе (в том числе на носителях компьютерной информации), в которую осуществлен неправомерный доступ, либо иные противоправные действия (изменения в файловой системе, оперативной памяти, аппаратно-программной конфигурации и пр.);
  • следы на компьютерных средствах, которые сопряжены с иными (не только в сфере компьютерной информации) преступлениями - криминалистически значимая информация в компьютерах, органайзерах, мобильных телефонах, смарт-картах и пр.;

  • традиционные следы - рук, ног, орудий, инструментов, память очевидцев и пр.

При совершении преступлений с применением средств ВТ и радиоэлектронных устройств могут оставаться виртуальные следы на НЖМД, CD, НГМД, смарт- модулях и смарт-картах, других съемных носителях информации. Частотные настройки на генераторах радиосигналов, сканеров в совокупности с наличием РЭУ также характеризуют следовую картину.

К материальным следам относятся, прежде всего, рукописные записи, свидетельствующие о приготовлении и совершении преступления, различные отпечатки, в том числе и пальцев рук не аппаратуре, микрочастиц на клавиатуре, принтере, сканере, изъятых НЖМД, и т.д. Необходимо уделять

42

внимание рабочим тетрадям и записям программистов, протоколам соединений модемов, тестовых и антивирусных программ.

Например, при плановых ОРМ, проводимых в мае 2000г., сотрудниками УБПСВТ МВД (Управление “К” МВД РФ) России в ЮАО г. Москвы была выявлена организованная группа телефонных мошенников, занимающихся телефонным пиратством, в системах сотовой связи с помощью создания так называемых копий-клонов. Улики в виде записей сотовых идентификационных номеров, выясненных с помощью радиосканера, были записаны частично как в его памяти, так и на листках, а также на системном блоке компьютера.

Виртуальные следы криминального события, например при работе с удаленным доступом и в сети Интернет, могут оставаться в IP-протоколе, КЭШ-памяти, WAP-браузере; в мобильных терминалах: сообщения SMS, MMS, а также сообщения почтового клиента (POP3/SMTP), работающие с Е- meil; после компьютерного сканирования телефонных номеров в ПК, в виде протоколов работы программы-сканера и т.д. При повреждении радиоэлек- тронных аппаратов, электрооборудования могут оставаться следы в виде на- гара на плате и деталях, крошки от радиоэлементов (такая следовая картина часто бывает либо при несоблюдении полярности питания, либо при резком скачке напряжения). При заменах радиокомпонент могут оставаться царапи- ны на электронных платах и блоках, следы от процесса пайки (канифоль, на- гар). При вскрытии корпуса радиоэлектронного аппарата могут остаться ца- рапины и микро-дефекты на винтах и корпусе, нарушение или отсутствие пломб, повреждения кабелей и проводов, изменения и несоответствия прин- ципиальной схеме и т.д. Описанные следы сведены в рис. 4.

43

Следы, образующиеся при совершения преступлений с применением средств ВТ и РЭУ.

Материальные т

  1. Само электронное оборудование (ПК и РЭУ). Следы при его сборке и технологическом обслуживании.
  2. Остаются на средствах ВТ и РЭУ:отпечатки пальцев, микрочастицы, царапины, де- фекты и т.д.
  3. З.Остаются на средствах компьютерной зашиты (электронные ключи доступа к ПК, устройства идентификации пользователя по отпечаткам пальцев, по голосу, почерку, геометрическим линиям руки), епциальные электронные кар- точки и т л.

4.0стающиеся на рабочем месте: записи, упаковка, распе- чатки, сопроводительная тех- ническая литература и т.д.). 5.Записи, где вносятся изменения в авторское ПО, схемы и т.д.

Виртуальные

1.Следы, указывающие на изменения в заданной файловой структуре. Изменение размеров памяти и содержимого файлов. Несанкционированное появление новых каталогов и файлов и пр. 2.Изменение в заданной ранее электронной конфигурации ПК и его настроек.Изменение порядка взаимодействия с периферией, появление новых и удаление прежних сетевых устройств и т.д.

  1. Записи, программ и их изме нения по сравнению с оригина лом на: НЖМД, HTMADVD, CD, PC, в SETYP ПК и т.д. 4.Неадекватная реакция
    на команды пользовател я,

появление на экране нештатных символов, отметки о действии вирусов (например, после воз- действия вируса digger образуется на экране «небольшой квадрат с кантом». При попытке вируса изменить программу на ПК, где установлена программа мониторинга вирусов, появится сообщение «программа сделала не- допустимую операцию и будет закрыта» и т.д.

5.Сообщения типа SMS,
EMS, MMS (POP3/SMTP), работающие с E-meil сотовых операторов. В Интернете IP-протокол;
память мобильных терминалов, данные ЧИП- карты, КЭШ-памяти и т.д. 6. Радиосигналы (излучение и распространение в эфире). Прием, перехват РТС. Следы в эфире от работы радиотехнических устройств и средств радиоэлек- тронного мониторинга.

Идеальные

Свидетельские показания о фактах совершения проти- воправных действий при:

  1. маскировке, исследовании мусора и т.д.
  2. программном, теле- коммуникационном мошенничестве, пиратстве и т д.
  3. преступления с исполь- зованием магнитных и ЧИП- карт, свидетельские показании о введении лицом PIN-кода и т.д..
  4. нанесении повреждений ПК, РЭУ.
  5. осуществление радио- технического, опто- электронного и элек- тронного перехвата и т.д.
  6. изменении конфигурации аппаратной системы.

Рнс.4. Следы, образующиеся при совершения преступлений с применением средств ВТ и РЭУ.

44

Данные о предмете преступного посягательства

Актуальность категории «Информация - как объект права» возникла несколько лет назад вместе с всеобщей компьютеризацией в России.

Федеральный закон «Об информации, информатизации и защите информации» определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления»1. Документированная информация это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

В криминалистике в качестве документов выступают разнообразные материальные объекты, содержащие информацию об обстоятельствах совер- шенного или готовящегося преступления. Эта информация имеет определенное смысловое содержание и может быть выражена печатными или рукописными буквами, цифрами, символами, кодами. В зависимости от способов фиксации информации в качестве документов могут выступать как рукописные и печатные документы, так и чертежи, рисунки, схемы, фото-, аудио-, кино- и видеоматериалы, лазерные и магнитные диски и т.п.2

Следует отметить, что при работе радиоэлектронных аппаратов и устройств конечным звеном их многофункционального действия всегда будут данные, несущие в себе информацию о том или ином событии. Так, например, при работе РЛС отраженный радиосигнал от объекта, через схему преобразований поступает на индикаторы локатора, информируя оператора о скорости, высоте, курсе объекта. Аналогична работа и других РТС, конечной целью которых будет содержащаяся в сигнале информация о пожаре, охраняемом объекте, влажности и т.д.

Федеральный закон «Об информации, информатизации и защите информации» от 20 февраля 1995г., № 24-ФЗ.

Российская Е.Р. Криминалистика: Вопросы и ответы. - М., 1999. С. 134.

45

Таким образом, можно сделать вывод, что предметом преступного по- сягательства в преступлениях связанных с применением средств ВТ и РЭУ (за исключением случаев незаконногр предпринимательства и хищений ап- паратов), является в широком смысле; этого слова информация. Технологиче- ские особенности, обеспечивающие оптимальные способы ее передачи и дос- тавки к потребителям, обуславливают и конкретную техническую оболочку, которая может быть разной (радиосигнал, электронный протокол и т.д.). Это в итоге и определяет механизм совершения преступления.

Обобщенные сведения о потерпевшей стороне

Анализ 148 уголовных дел, связанных с применением компьютерных технологий, показывает, что жертвой компьютерного преступления может стать практически каждый: частное или юридическое лицо, государственные органы управления и т.д. Производя анализ анкетирования более 21-го ЭКУ и учитывая классификацию преступлений, по которым производились экспертные исследования компьютерных средств, можно выявить, что потерпевшей стороной при совершении преступления становятся: частные лица; общественные и коммерческие организации; государственные (правительст- венные) органы; межгосударственные сообщества и организации. Обобщенные статистические данные, полученные на основании анализа уголовных дел и анкетирования ЭКУ (анкетирование проводилось в 1999 г.) приведены в табл.11.

Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» (промежуточный отчет НИР 2000г. Тема №3.13) / Коллектив авторов. ЭКЦ МВД России, ЮИ МВД РФ, 2000 С. 25-34; Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М., 2001. С.35.

46

Таблица 1 Объекты компьютерной преступности

(собственность, государственная власть, экономика)

Разделы УК РФ Главы УК РФ Назначения КТЭ 7. Преступления в сфере экономики 21. Преступления
против собственности 27 7. Преступления в сфере экономики 22. Преступления в
сфере экономической деятельности 89 10. Преступления против государственной власти 30. Преступления против государственной власти, интересов
государственной службы и службы в органах местного самоуправления 32 Статистическо-аналитическая обработка эмпирических данных позволила классифицировать и дать оценку статуса потерпевшей стороны:

преступления против собственности 18,2%;

преступления в сфере экономики 60,1%

преступления против государственной власти… 21,6% Стоит заметить, что ввиду наличия виртуальной составляющей в механизме преступления преступление может носить транснациональный характер, что является также характерным для преступлений повышенной общественной опасности.

Подводя итог рассмотрению первого параграфа, можно отметить, что сформулированная нами криминалистическая характеристика, ее гносеологические корни опираются на всестороннее изучение следственной, оперативно-розыскной, экспертной и судебной практики расследования подобных преступлений. Это позволяет в полном объеме учесть факторы «нетрадици-

47

онности» и «виртуальности» совершения преступлений данного вида, что находит свое отражение и в следовой картине криминального события. При- веденная нами родовая криминалистическая характеристика может являться базовой основой для формирования структуры частных криминалистических методик расследования преступлений данного вида.

§2. Предмет, объекты и задачи судебной аппаратно-компыотерной

экспертизы

Предметом САКЭ, как вида КТЭ, являются факты и обстоятельства, устанавливаемые на основе исследования закономерности разработки и экс- плуатации аппаратных средств компьютерных и радиоэлектронных систем, - материальных носителей информации о факте или событии уголовного либо гражданского дела1. Объектом исследования при производстве аппаратной экспертизы являются аппаратные компьютерные и радиоэлектронные сред- ства, связанные с событием преступления и могущие служить средствами к установлению фактических обстоятельств по уголовному делу.

Таким образом, сущность САКЭ заключается в проведении исследования технических (аппаратных) средств компьютерной или радиоэлектронной системы. Показательно, что предмет изучения СКТЭ, как показывает практи- ка, не замыкается непосредственно на компьютерах, а охватывает довольно широкий спектр компьютерных и радиоэлектронных устройств и систем, различных аппаратных решений на современных информационных техноло- гиях и всевозможных накопителей электронной информации. Например, со- товую связь (радиосеть) можно рассматривать как компьютерную, при этом сам сотовый аппарат является удаленным рабочим местом беспроводной се-

Усое А.И. Методы и средства решения задач компьютерно-технической экспертизы.: Учеб. Пособие. - М, 2002. -200с.

48

ти, а центральный контроллер - файловым и коммуникационным сервером1. Аналогично можно рассматривать и пейджинговую сеть, а пейджер - удаленным терминалом. Следует заметить, что техническая классификация систем связи, основанная на разных критериально-оценочных технических параметрах (например: телефонная связь, мобильная радиосвязь, радиотеле- фонная, сотовые сети (AMPS, D-AMPS, GSM 900/1800), системы персонального радиовызова, пейджинговая связь и т.д .), по нашему мнению, с позиций выявления обобщенных, не технических, а именно криминалистических аспектов обнаружения и изъятия следовой картины, нуждается в определенном укрупнении. В связи с чем, А.И. Усовым (ГУ ЭКЦ МВД России), О. В. Тушкановой (ЭКУ ГУВД Свердловской области) было введено название «нетипичные компьютерные средства», что является, по нашему мнению, правомерным3. В перспективе расширение системы аппа- ратных объектов должно произойти по мере появления новых миниатюрных интегрированных компьютерно-радиоэлектронных систем, совмещающих в себе компьютерно-радиоэлектронные функции (смартфоны, коммуникаторы). Система объектов САКЭ изображена на рис. 5.

В большинстве случаев целью исследований аппаратных средств является получение доступа к представленному компьютерному или радиоэлек- тронному оборудованию и (или) информации, хранящейся на нем. Как сви- детельствует экспертная практика, частыми объектами экспертизы интегри- рованных систем являются такие устройства, как электронные органайзеры, мобильные телефоны, магнитные и ЧИП-карты, и любая потребительская «электроника», содержащая информацию в электронном виде.

1 Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной инфор мации. - М., 2001. С.16.

2 См., напр.: Специальная техника и информационная безопасность./ Под ред. проф. В.И. Кирина. В.И. Т.1. - М., 2000. С. 127.

3 См., напр.: Старший эксперт ЭКУ ГУВД Свердловской области О.В. Тушканова. доклад «Практика производства экспертизы нетипичных компьютерных средств (органайзеры, мобильные телефоны, и пр.)». - Краснодар. 21 июня 2001.

49

Аппаратные объекты судебной аппаратно-компыотерной экспертизы.

Аппаратные средства проводной, радио, транкинговой и сотовой связи.

ZZL.

К с

о м

п ь ю

т е

Р н о е

б о Р У д о в а н и е

Автономное Компьютерно-аппаратное оборудование.

I

аппаратные электронные средства, входящие в состав локальной вычислительной сети (ЛВС).

Рабочие спишии к

серверы, с

переферняным сетевым

оборудованием,

связанным мосту собой

кабельной, разно или

инфракрасной евтаю.

аппаратные электронные средства, входящие в состав территориально- распределенных и глобальных вычислительных сетей.

/

Средства зашиты информации (встроенные, наложенные и.т.д.)

Х+ t

\

Аппаратные электронные компьютеризированные средства связи (типа РВХ)

П. К. и его периферия.

Электронные компоненты и комплектующие аппаратных устройств.ВТ и РЭУ,

являющиеся носителями памяти. I

Электронные компоненты и комплектующие аппаратных устройств.ВТ и РЭУ, не являющиеся носителями памяти.

РВХ-станции

Радиоэлектронные компоненты

АТС и периферийное оборудование.

Бытовая РЭА

Специальная РЭА

*\ Кабельная техника и телекоммуникации

Радиотехнические

и Радиоэлектронные аппаратные устройства и системы (РТС и РЭС)

Радиоэлектронное телекоммуникационное оборудование

Отдельные РЭА или РЭУ

РТС и РЭС

Рис.5. Объекты судебной аппаратной компьютерной экспертизы. Так, например, в мобильном телефоне GSM1 могут быть обнаружены виртуальные следы в памяти: телефонный список, последний набранный номер, продолжительность последнего запроса, оставшиеся без ответа запросы,

GSM (global system for mobile communications) - глобальная система подвижной связи.

50

SMS , EMS, MMS информация, данные с SIM-карты , записи на диктофоне и микровидеокамере. В криминалистическом аспекте наиболее важен подкласс запоминающих устройств и носителей данных. Этот подкласс включает в себя все известйые на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные и ЧИП-карты и т.д. Проводя анализ современных интегрированных и встраиваемых компьютерных систем, можно также отме- тить, что аппаратным множеством, которое объединяет эти системы, является наличие памяти (например, миниатюрные унифицированные карточки памяти - PC, CD-карты и т.д.).

За основу классификации задач САКЭ принимается конечная цель ис- следования, т.е. по решению диагностических и (или) идентификационных вопросов.

Идентификационные задачи САКЭ имеют своей целью установить факт индивидуально-конкретного тождества или общей групповой принадлежности представленных аппаратных объектов и соответственно выявление общих и частных признаков при проведении экспертного исследования4. Классификация задач, решаемых экспертизой, представлена на рис. 6.

1 SMS (smart messaging standard) - услуга для получения сообщений электронной почты на сотовый телефон. EMS отличается от SMS увеличенной электронной длинной сообщения.

2 MMS (Multimedia Message Service) - услуга для передачи видеоинформации на сотовый телефон и работы с E-meil.

3 SIM карта (subscriber identification module) - встраиваемая одна или несколько SIM-карт в сотовом телефоне, идентифицирующая телекоммуникационную сеть и пользо вателя.

4 Усов А.И. Задачи компьютерно-технической экспертизы: Сб. Экспертная практи ка. № 48. - М.: ГУ ЭКЦ МВД России, 2000. С.58-68.

SI

Задачи САКЭ

Идентификационные задачи САКЭ

Диагностические задачи САКЭ

Рис.6. Задачи САКЭ.

При производстве САКЭ специалистом или экспертом может проводиться установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам - общим и частным. На- пример, серийным номерам процессора, дискеты, чипсеты; форм- факторам корпуса: мидитауер, минитауер, десктоп и его особенностей; для накопителя емкости: структуре, средней скорости доступа к данным (для металла и для стекла), скорости передачи данных, способу и плотности магнитной записи и др.

При решении диагностических задач исследуется не только свойства и состояние объекта экспертизы, но и механизм, процессы и действия по ре- зультатам применения или использования аппаратно-компьютерного средства. Экспертом при этом могут решаться вопросы выяснения функциональных особенностей технического средства, выполнения недокументированных функций, функционального состояния объекта экспертизы и т.д.

С принятием в 2000 г. Доктрины информационной безопасности РФ1, которая обозначила пути эффективного противодействия и предупреждения преступлений в сфере неправомерного доступа к компьютерной информации, сформулированы и задачи, прямо или косвенно относящиеся к СКТЭ, и

1 Доктрина “Информационная безопасность РФ”. № ПР-1859. 9 сентября 2000.

52

в частности ее видовой составляющей САКЭ1. Безотносительно к приведенной выше классификации перечислим их:

-выявление и определение внедренных в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

-выявление внедренных электронных устройств для перехвата информации в технических средствах обработки, хранения и передачи информации по каналам связи;

-выявление фактов уничтожения, повреждения, разрушения или хищения машинных и других носителей информации;

-создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также выявление изменения штатных режимов функционирования систем и средств ин- форматизации и связи;

-выявление технических устройств (аппаратных - прим. автора) и … представляющих опасность для нормального функционирования информа- ционно-телекоммуникационных систем, обеспечение контроля за выполне- нием специальных требований по защите информации.

Достаточно широкие перспективы САКЭ как вида КТЭ открываются в случаях установления преступных фактов и обстоятельств, связанных с использованием территориально-распределенных глобальных вычислительных сетей, включающих в себя элементы удаленного доступа. Отдельно можно выделить среди аппаратных объектов радиоэлектронные аппараты и радиотехнические системы (РЭА и РТС). Поэтому в настоящее время очевидным

Васильев АЛ. Некоторые организационные и методические проблемы судебного экспертного исследования аппаратных средств при расследовании преступлений в сфере неправомерного доступа к компьютерной информации // Научн.-практич. конференция «Организационно-правовые проблемы совершенствования деятельности органов внутренних дел и профессиональной подготовки кадов». Руза. - М.: ЮИ МВД России, 2001. С.72.

53

является требования сертификации квалификации и специализации судебных экспертов для решения отмеченных задач.

Практика показывает необходимость и актуальность решения задач по проведению аппаратных экспертиз интеллектуальных смарт-карт (напомним, что в основе упомянутых карт расположена встроенная виртуальная микро- процессорная машина, например на процессоре КБ 50004 BE 1 (Россия), SLE 4442, ICC 4.1 (Германия)), смарт-модулей, штатных и нештатных исследова- ниях НЖМД и НГМД и т.д.

По нашему мнению, приведенная классификация аппаратных объектов САКЭ будет неполной, если в нее не добавить получившие широкое распространение сегодня аппаратные средства защиты информации (шифрования) и активно применяемые преступной средой. Так, по мнению Уильяма Бау, занимавшего высокий пост в ФБР, а ныне являющегося вице-президентом корпорации Science Applications International, существенную трудность для пра- воохранительных органов будут представлять использование преступниками современных технологий шифрования. По данным исследования, проведенного американскими экспертами, в мире ежегодно совершается по меньшей мере 500 преступлений с привлечением средств шифрования, причем их число растет с каждым годом на 50-100 %. В подготовленном по результатам ис- следований отчете говорится об использовании технологий шифрования при организации ряда международных преступлений, таких, как взрывы в Нью- Йорском и Токийском метро, шпионская деятельность Олдрича Эймса, взрыв в Международном центре торговли и т.д.1

Практически подобные устройства встречаются сотрудникам правоох- ранительных органов сегодня повсеместно. Аппаратные (в том числе аппа- ратно-программные, криптографические) средства защиты информации кон- структивно могут собой представлять как отдельные локальные аппаратные

1 Мещеряков В. А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, 2001. С.4-9.

54

реализации, так могут и встраиваться в аппаратно-компыотерные блоки. По своим функциональным характеристикам данные аппаратные средства защи ты информации, как показывает практика, можно классифицировать сле дующим образом1: ,

  1. Технические (аппаратно-программные) средства защиты на основе криптографического преобразования информации (наложенные и встроен- ные). Например, наложенные устройства типа «ФОРТ», «Торнадо 1.2.З.», встроенное «Вектор».
  2. Технические (аппаратные и аппаратно-программные) средства защиты на основе идентификации и аутентификации пользователей (наложенные и встроенные). Например, устройства типа Touch Memory (i-Button) (таблетка), Proximity (ЧИП-карта).
  3. Средства разграничения доступа к ресурсам и регистрации событий (наложенные и встроенные). Например, блокирующие устройства для пре- дотвращения снятия крышки корпуса ПК (устанавливается на винт корпуса), контроллеры типа ААМ-16 (США), автоматизированные комплексы управ- ления доступом типа «Менуэт 2000», «АРМор 201», «Полонез», «Соболь» и т.д.;
  4. Аппаратные системы и устройства «распределенной защиты» (средства защиты от утечки по техническим каналам и т.д.).
  5. Укрупненная схема объектов САКЭ приведена на рис. 7.

Подводя итог сказанному, следует заметить, что конкретные экспертные задачи и вопросы для САКЭ должны ставиться перед экспертом при производстве экспертизы конкретного аппаратного объекта, о чем будет ска- зано в главе 2.

См., напр: Каталог типовых решений «Комплексное оснащение объекта системами безопасности». - М: Конфидент, 2000.

55

Классификация объектов САКЭ

Типичные компьютерные средства (ком- пьютеры, серверы, принтеры, мониторы, клавиатура, мышь и т.д.)

Радиоэлектронные системы и устройства на основе микропроцессорной техники (средства радиомониторинга, радиосигнализации, охранные системы и т.д.)

iT-коммуникации, кабельное сильноточное и слаботочное а также согласующее оборудование компьютерных и электросетей т.д.

Аппаратно программные средства защиты информации

Нетипичные компьютерные средства (виды мобильной и пейджинговой связи с ПК, ор- ганайзеры, цифровые дневники, вычислители- банкоматы, копировальн. техника и т.д).

Радиоэлектронные и электротехнические устройства (дискретные аппаратные уст- ройства теле- и радиоприемники, телефонные аппараты без памяти, промышленная и бытовая электротехника, светотехника и оптоэлектроника и т.д.)

Радиотехнические устройства (антенная и фидерная техника и т.д.)

Рис. 7. Укрупненная схема объектов САКЭ

Следует заметить, что области исследования компьютерных и радио- электронных аппаратов, относящихся к спецсредствам и средствам защиты информации, относятся к областям, сопряженным с производством аппарат- но-компьютерных экспертиз, но должны проводиться в «иных» экспертных учреждениях.

В заключение параграфа, следует отметить, что произведенный нами анализ объектов аппаратных средств позволил уточнить ранее произведенные исследования в данной области1. Это нашло свое отражение в классификации аппаратных средств: типичных и нетипичных компьютерных средств, радиоэлектронных систем и их комплектующих, специальных уст-

Усов А.И. Методы и средства решения задач компьютерно-технической экспертизы.: Учеб. пособие. - М.: ГУ ЭКЦ МВД России, 2002; Зубаха B.C. Современные тенденции в производстве судебных экспертиз в сфере высоких технологий по опыту зарубежной экспертной практики. - М.: ГУ ЭКЦ МВД России, 2000. С. 15; и др.

56

ройств и устройств защиты информации. Нами проведено также уточнение понятий предмета и задач, которые решаются сейчас, и стоящих перед аппа ратной экспертизой в ближайшей перспективе, в свете Доктрины информа ционной безопасности РФ. i

§3. Использование специальных знаний при раскрытии и расследовании

преступлений, сопряженных с применением технических

(аппаратных) средств компьютерных систем

Современное состояние уголовных и гражданских дел в части, касающейся преступлений и правонарушений, сопряженных с применением современных компьютерных технологий, практика их совершения, сокрытия и расследования показывает, что собирание и исследование доказательств невозможно без использования специальных познаний в области аппаратно-программного устройства и оснащения современных компьютерных и радиоэлектронных систем и их комплексов. Практические потребности сотрудников правоохранительных и судебных органов, сталкивающихся практически повседневно и повсеместно в своей работе с огромным разнообразием ком- пьютерных и радиотехнических комплексов различного назначения, обусло- вили необходимость участия в этих действиях следователей и оперативных сотрудников, владеющих навыками работы в области компьютерных техно- логий, совместно со специалистами-экспертами в этих областях. Как показы- вает практика расследования разных видов преступлений, информация, хра- нящаяся в компьютере (криминальная информация), позволяет следственным или судебным органам в 52% случаях предъявить обвинение, в 35%-оказала ориентирующее значение в розыске преступников и позволила достоверно установить механизм совершения преступления1.

1 Российская Е.Р. Особенности расследования преступлений в сфере движения компьютерной информации // Криминалистика. Методика расследования преступлений новых видов, совершаемых организованными преступными сообществами. - М., 1999. С.269-279.

57

О необходимости качественного усиления специальной подготовки служащих правоохранительных органов, умения ими применять специальные знания на практике в-связи с взятием на вооружение современными преступными группировками новейших технологий в сочетании с условиями резко возросшей милитаризации преступного мира, говорится и в зарубежной пра- воохранительной литературе1. Так, в Академии ФБР (Квантико, шт. Вирджи- ния, США) и федеральном учебном центре (Глинко, шт. Джорджия, США) проводятся специальные учебные курсы по методам расследования преступ- лений, связанных с компьютерной информацией, а также собиранию и ис- следованию полученных при этом доказательств.

В 1998 г. Министерство юстиции США совместно с другими правоох- ранительными органами и Международной ассоциацией специалистов по расследованию компьютерных преступлений в Портленд (США, шт. Ориго- на) разработало национальную программу подготовки специалистов в облас- ти борьбы с компьютерной преступностью (NCTP). В этой связи, в учебном центре в Фермонте (США шт. Западная Вирджиния), разработаны учебные программы и курсы обеспечивающие подготовку специалистов в области вы- соких технологий и оперативных сотрудников прибывающих на место про- исшествия. Они имеют названия: «работа в компьютерной сети»; «место компьютерного преступления»; «восстановление данных и их анализ»; «под- готовка специалистов»; «изъятие компьютерной техники и анализ информа- ции, находящейся в ней».

Курсы обеспечивают единообразие действий сотрудников на месте происшествия, сочетают в себе изучение правовых вопросов и приобретения

1 См., напр.: International Police Review, Great Briyan, 1999, Issue №12, Mai/June. // Уолкер Г. Угроза США изнутри. С. 10-12; International Police Review, Great Briyan, 1999, Issue №12 Mai/June. // Уилсон П. Помощь Интернета в розыске и задержании опасных преступников. С 40-41; Journal of National Institute of Jusnice. USA. 1998, October. // Уоллер И. Уэлш Б. Снижение уровня преступности при помощи использования лучших достижений международной практики. С.26-23; Kriminalistik. BRD. 1999. №5.// Ф. Андерссон. Уголовно-правовые аспекты Интернет. С.685-688.

58

специальных навыков для работы и проведению расследований в области компьютерных и информационных технологий, а также собиранию и исследованию электронных вещественных доказательств1.

Специальные знания в сфере современных информационных технологий составляют следующие научные направления: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычисли-тельная техника (программирование) и автоматизация . Однако расследование преступлений, совершение которых связано с применением средств ВТ и РЭУ, вследствие его высокой латентности, недостаточной изученности и отсутствия наработанной методической базы представляет сегодня значительные трудности для следственных органов3. Использование специальных знаний при расследовании данного вида преступлений, определяется ст. 57, 58, 168 УПК РФ и др. и имеет своей целью расширение практических возможностей следователя. Деятельность специалиста может осуществляться в про- цессуальной и непроцессуальной (неофициальной, предварительной) форме.

Вызов специалиста и порядок его участия в уголовном судопроизводстве в этом случае определяеются ст. 168 и 270 УПК РФ. При этом на основании ст. 58 УПК РФ он вправе делать заявления и замечания, которые подлежат занесению в протокол, что на основании ст. 74.2 УПК РФ является доказательством для суда.

’. См., напр.: Преступления, связанные с компьютерной информацией. // Зарубежный опыт. Вып. № 5. -М.: ГИЦ МВД России. 2000. -12 с; The Police Chief (USA). №8. 1997; №2. 1999; Law Enforcement Technology (USA). №4 1997; Laf and Order (USA). №5. 1999.

2 Усов А.И. Концептуальные основы судебной КТЭ: Автореферат дисс.докт. юрид. наук.- М., 2002. С. 14.

3 Кушниренко СП. Использование специальных познаний при проведении следст венных действий по делам о компьютерных преступлениях: Сб. Применение спец. знаний при раскрытии и расследовании преступлений, сопряженных с использованием компью терных средств. - М.: ГУ ЭКЦ МВД России, 2000. С.66-75.

59

Процессуальные и непроцессуальные консультации

Непроцессуальные (неофициальные) консультации проводятся, как правило, до возбуждения уголовного дела. В этом случае проводимые консультации, можно назвать предварительными и касаются они получения общих сведений о возможностях использования средств ВТ и радиоэлектронных устройств. При этом с помощью специалистов осуществляется планирование следственных действий, определяются последовательность и технико-тактические особенности их осуществления, осуществляются анализ и оценка не только системы компьютерно-радиоэлектронных средств, но и специфики их размещения в помещениях. В материалах дела неофициальные консультации не отражаются. Если факты, полученные в результате консультации, могут иметь доказательственное значение, после возбуждения уголовного дела консультация может быть оформлена справкой или ответом на официальный запрос органа следствия, что на основании ст. 83 и 84 УПК РФ, есть источник доказательств. Специальные знания, реализованные в виде неофициальных консультаций, необходимы членам следственной группы и в дальнейшем для правильного выстраивания и анализа следственных версий, моделирования способа совершения преступления.

Перед началом следственного действия следователь должен удостоверить личность специалиста, наличие у него специального образования или подготовки, разъяснить права и обязанности, предупредить об ответственности за отказ или уклонение от выполнения своих обязанностей, проверить основания для его отвода согласно ст. 71 УПК РФ. Несоблюдение этих про- цессуальных требований влечет признание доказательств недопустимыми на основании ст.75 УПК РФ. При этом на основании ст. 71 УПК РФ предыдущее участие лица в производстве по уголовному делу в качестве специалиста не является поводом для его отвода. После этого следователь ставит перед ним конкретные задачи.

60

При производстве следственных действий специалистом согласно ст. 164.6 УПК РФ могут применяться технические средства (инструментарий - прим. автора) и способы обнаружения, фиксации и изъятия следов престу- пления и вещественных доказательств, что позволяет обнаруживать, фикси- ровать и изымать в том числе и виртуальные следы. Специалист может при- нимать участие в следственных действиях при: осмотре, обыске и выемке; наложении ареста на почтово-телеграфные отправления; следственном экс- перименте; получении образцов для сравнительного исследования; контроле и записи переговоров; проверке на месте; помощи при допросах. Основная задача специалиста при этом заключается в даче консультаций по правилам обращения с ВТ и радиоэлектронными системами (РЭС), выявлении и распо- ложении средств компьютерной техники, описании аппаратных устройств и программного обеспечения, поиска информации в них, оказании следователю помощи при изъятии аппаратных средств и электронных данных, подготовки их к транспортировке и хранению, моделировании ситуации с использованием аппаратно-программных средств. Специалисту следователем может быть предоставлена инициатива в поиске следов преступления и доказательств, но обязательно под контролем следователя.

Учитывая огромный ассортимент компьютерных и радиоэлектронных средств и компонент, квалифицированно провести следственное действие се- годня становится возможным только при обязательном участии высококва- лифицированного специалиста или группы специалистов, что зависит от того объединены ли компьютерные средства в сеть (Интранет, Экстранет, Интернет) или единичны (дискретны). Более оптимальный вариант, если в качестве таковых имеется возможность пригласить эксперта (в качестве специалиста), имеющего не только специальные знания, но и опыт обращения с такими системами, причем на уровне их исследования.

61

Характерный пример1. Важным фактом при проведении следственных действий и ОРМ является оценка целесообразности изъятия средств ВТ. В некоторых случаях изъятие электронного оборудования представляет значи- тельные трудности и практически невозможно. После возбуждения уголовного дела потребовалось проведение ревизии в одном из местных фондов. Бухгалтерская база данных велась на серверах и удаленных терминалах, ус- тановленных в специальных помещениях, и составляла более 500 Гб. Фонд распределял большие денежные средства по всей области с использованием сетевых технологий ежедневно, поэтому осуществить изъятие оборудования было практически невозможно, так как потребовался бы демонтаж компью- терной сети. Специалистам в этом случае пришлось работать непосредственно на местах.

Во втором эпизоде по уголовному делу, возбужденному по факту хищения денежных средств в особо крупных размерах, в 1998 г. специалистом совместно со следователем по особо важным делам прокуратуры Томской области был произведен осмотр компьютера, на котором предположительно были созданы финансовые документы в формате MS Word, проходящие по делу. В процессе осмотра было установлено, что они были созданы на этом ПК и переписаны на дискету. После сопоставления даты и времени, установленном на системном блоке, с реальным была определена дата последней модификации файла, созданного в Word, что позволило определить и дату последнего обращения к дисководу. Данная информация позволила сформулировать розыскное задание оперативным работникам, которое было выполнено.

1 Ряшенцев И.В. Экспертная практика исследования компьютерных средств в ЭКУ УВД Томской области: Сб. Применение спецпознаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М.: ГУ ЭКЦ МВД России, 2000. С. 120-125.

62

Специалист имеет право, на основании ст. 58 УПК РФ делать заявления, подлежащие занесению в протокол, задавать вопросы участникам след- ственного действия с разрешения уполномоченного лица и подписывать протокол. На основании ст. 74.2 (5), 74.2 (6) УПК РФ протоколы следственных и судебных действий и иные документы (ст. 84 УПК РФ) также являются доказательствами. К сожалению, УПК РФ, так же как и УПК РСФСР, никак не регламентирует заключение специалиста, а следовательно, и не определяет его доказательственный статус. Поэтому исследование специалиста (оформленное в виде справки) по прежнему следует относить к предварительному исследованию, имеющему для следователя лишь ориентирующее значение. В связи с этим мы присоединяемся к точке зрения некоторых криминалистов (в частности, Майлис Н.П., Волынского А.Ф.), считающих, что необходимо придать доказательственное значение справке специалиста1.

Главной процессуальной формой использования специальных познаний является судебная экспертиза. Итог своего исследования формулируется экспертом в виде заключения (показания), которые на основании ст. 74.2 УПК РФ являются доказательствами, часто основными и решающими. При этом вывод эксперта о фактах не являющихся, как правило, очевидными и обнаруженных им, может быть единственной уликой при расследовании компьютерного преступления. Отличие его от выводов специалиста состоит в том, что специалист помогает обнаружить, зафиксировать факты и изъять объекты, в подавляющем большинстве случаев, доступные для восприятия и уяснения именно в ходе следственного действия. Экспертные же исследования позволяют придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение,

1 См., напр.:Майлис H.I7. Проблемы законодательного регулирования участия спе циалиста в уголовном судопроизводстве: Сб. Уголовно-процессуальный кодекс РФ, про блемы практической реализации. Сочи. -Краснодар, 2002. С. 96.

2 Кушниренко СП. Использование специальных познаний при проведении следст венных действий по делам о компьютерных преступлениях: Сб. Применение спец. позна нии при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М: ГУ ЭКЦ МВД России, 2000. С.71.

63

упрощая, также, следователю саму процедуру юридической оценки собранных по делу материалов. В таких условиях основными задачами следователя являются лишь поиск, фиксация, изъятие с помощью специалистов и •пред- ставление эксперту необходимых материальных1 объектов - носителей ин- формации. В качестве иллюстрации приведем пример.

В период с сентября по декабрь 1999 г. в РФЦСЭ Минюста России про- изводилась экспертиза изъятых в процессе следственных действий аппаратных компонент: 11 системных блоков и 129 дискет. Среди других вопросов, поставленных на разрешение экспертизы, было проведено исследование и по ответу на вопрос «имеются ли на жестких дисках 11 системных блоков и на 129 дискетах файлы, содержащие изображение оттиска круглой печати с надписью по окружности «МЫТНЯ» «БУГ» «183»?

В результате исследования было установлено, что на двух жестких дисках системных блоков было записано более 2 тысяч файлов, значительная часть которых к моменту проведения экспертизы была удалена. После экспертного восстановления стертых файлов было произведено их визуальное сравнение с изображениями, представленными в материалах дела. Среди исследованных изображений было обнаружено около 2 тысяч цветных изображений оттисков печатей и штампов различных российских государственных учреждений (таможни, Ростест, СЭС), белорусской и украинской таможен, коммерческих банков, фирм, торговых компаний многих стран мира. Библиотека этих изображений создавалась в исследованных компьютерах с 1997 г. В этой библиотеке и был обнаружен и один из искомых оттисков печати белорусской таможни (печать с текстом «МЫТНЯ» «БУГ» «183»)1.

Проверка обстоятельств, являющихся основанием для отвода эксперта, осуществляется следователем на основании ст. 70 УПК РФ, при этом стоит

1 Копытин А.В., Маршалко Б.Г., и др.. Судебная экспертиза ПЭВМ // Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М.: ГУ ЭКЦ МВД России, 2000. С. 102.

64

заметить, что в отличие от УПК РСФСР в новом УПК РФ предыдущее его участие в производстве по уголовному делу в качестве эксперта или специа- листа не является основанием для его отвода, что по нашему мнению должно положительно сказаться на расследовании дела, так как позволит следователю организовать постоянное сопровождение специалистом - экспертом всего хода расследования.

В соответствии со ст. 57 УПК РФ эксперт может участвовать с разрешения дознавателя, следователя, прокурора и суда в любом процессуальном действии. При этом результаты следственного действия, в котором он принимал участие, могут быть использованы им при подготовке заключения. Последнее имеет важное значение, особенно по делам о компьютерных преступлениях1. Таким образом, можно сделать вывод о том, что, участвуя в процессуальном действии, эксперт не только помогает следователю правильно поставить задачи и наиболее эффективным способом разрешить их, но и сам проводит исследование по поставленным перед ним вопросам. В связи с этим особо следует отметить назревшую необходимость проведения экспертизы по месту нахождения средств ВТ и РЭУ, то есть в учреждениях, офисах различных организаций, в квартирах и помещениях. В настоящее время такая практика распространена мало, но заслуживает внимания. В регионах, где до сих пор недостаточное количество профессионалов, которых можно было бы привлечь в качестве специалистов для участия в следственных действиях по осмотру и изъятию средств ВТ и РЭС, следует согласиться с предложениями осуществлять выезд экспертов для участия в ОМП, обысках (выемках) и с назначением экспертизы на месте2. Закон не предписывает определенного места проведения экспертизы. Основным условием для принятия следователем такого решения должно служить наличие у следствия оперативных дан-

1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.- М., 2001. С. 167.

2Там же

65

ных о наличии компьютерной и радиоэлектронной техники в месте плани- руемого следственного действия. В таком случае после обзорной стадии следственного действия и ознакомления эксперта с обстановкой выносится постановление о назначении экспертизы. Согласно ст. 176 УПК РФ в случаях, не терпящих отлагательства, осмотр (в том числе и компьютерно- радиоэлектронных средств. - Прим. автора) может быть произведен до возбуждения уголовного дела.

В случае неясностей, могущих возникнуть в процессе предварительного следствия (ст. 205 УПК РФ) или при оглашении экспертного заключения в суде (ст.282 УПК РФ), эксперт может быть допрошен (ст. 180 ГПК; ст. 123 АПК). На основании ст. 205, 282 УПК РФ с целью разъяснения выводов экспертного заключения, пояснения специальных аппаратных терминов и формулировок, уточнения компетенции и опыта эксперта, обоснования примененной методики исследования аппаратных средств, пояснения особенностей функционирования тех или иных аппаратных и программных средств судом может быть осуществлен допрос эксперта. Экспертом следователю или суду должно быть также объяснено, как выявленные диагностические и идентификационные, групповые или индивидуальные признаки позволили ему сделать представленные следствию или суду выводы. В какой степени они основаны на следственных материалах. Протокол допроса эксперта следователем оформляется в соответствии с приложением № 71 к УПК РФ.

В случае проведения комиссионной или комплексной экспертизы ап- паратных средств (ст. 200, 201 УПК РФ), должны быть выяснены и пояснены причины и обстоятельства, приведшие к разным экспертным выводам.

В ходе допроса эксперту могут быть заданы вопросы в отношении только тех объектов, которые были им исследованы и нашли отражение в его заключении, кроме того, ему могут предложить ответить на вопросы общего

66

характера из области компьютерных технологий (например, о функциональ- ных возможностях изъятых аппаратов). Показания эксперта при предвари- тельном следствии являются как бы продолжением заключения и поэтому согласно ст. 74,166,167, 205 УПК РФ, имеют доказательственное значение.

Допрос эксперта в суде (ст. 282 УПК РФ) в отношении аппаратных средств также должен рассматриваться как дополнения к проведенному им исследованию и сделанным выводам.

Использование специальных знаний имеет определенную специфику в процессе проведения таможенного оформления и таможенного контроля, по- этому требует специального рассмотрения1. Применение новейших компью- терных технологий в общественно-экономической жизни существенно рас- ширяет ассортимент товаров, применяемых в различных отраслях народного хозяйства. Это существенно усложняет процесс проведения таможенного оформления и таможенного контроля (ТК и ТО), а именно: проведение правильной классификации товаров в соответствии с ТН ВЭД (Товарная номенклатура внешней экономической деятельности), которая является основой применения тарифных и нетарифных мер регулирования. Правильная классификация товаров требует от товароведов ГТК РФ активного практического использования специальных познаний в таможенном деле.

Существующая ситуация такова, что участники ВЭД преднамеренно или случайно производят ввоз одних товаров под видом других (ст. ст. 277, 278 ТК РФ, ст. 188.1 УК РФ), используя при этом подлинные средства тамо- женной идентификации, но относящиеся к другим товарам (в соответствии

1 Кротов И.Е., Васильев А.А.. Доклад и тезисы Первой научно-практической кон- ференции ТТЛ ГТК РФ «Экспертно-криминалистическая деятельность в таможенных целях». - М., 2001.

67

со ст. 185 TK РФ средства таможенной идентификации могут меняться только таможенным органом). В отдельных случаях это приводит к занижению таможенных платежей (ст. 279 ТК РФ, ст. 194 УК РФ) и уходу от мер нета- рифного регулирования.

Бурное развитие технических средств и особенно компьютерной техники сделали ее и объектом, и инструментом нарушения таможенных правил (преступлений). Нередки случаи ввоза компьютерной техники под видом комплектующих изделий. В то же время перед сотрудниками таможенных органов стоит задача не допустить ввоза и вывоза из страны под видом ком- пьютерных комплектующих, шифровальных устройств, дешифраторов, сис- тем телеметрии и др., в том числе и специального назначения. Необходимо отметить, что компьютерная техника попадает в список товаров, подлежащих правовой экспертизе с целью выявления результатов интеллектуальной деятельности военного, специального и двойного назначения, права на которые принадлежат Российской Федерации.1

Современное состояние применения технических средств в совершении преступлений в таможенной сфере заставляет таможенную службу России акцентировать внимание на предотвращении и предупреждении нарушений таможенных правил и преступлений с использованием компьютерной техники (фальсификация платежных документов, совершение таможенных платежей с использованием фальсифицированных или похищенных элек- тронных платежных средств (таможенная карта) и др.).

Приказ Федерального агентства по правовой защите результатов интеллектуальной деятельности военного, специального и двойного назначения при Минюсте России от 21.08.2000 № 31 Об организации проведения правовой экспертизы товаров с целью выявления результатов интеллектуальной деятельности военного, специального и двойного назначения, права на которые принадлежат Российской Федерации.

68

Однако проведение таможенного оформления и контроля компьютерных средств работниками таможенных органов в настоящее время является довольно проблематичным, так как требует применения специальных знаний в компьютерной и радиоэлектронной технике. Применение специальных знаний должно способствовать в то же время и решению задач оперативного характера (в том числе определение кода товара, применение тарифных и не- тарифных мер), а также при необходимости подтверждать правомерность действий сотрудников таможенных органов в случае проведения предвари- тельного или судебного расследования. Методикам исследования в этих слу- чаях должно уделяться особенно серьезное внимание, поскольку вывод экс- перта может быть положен в основание приговора или решения суда.

Как отмечалось в материалах X Международной научно-практической конференции «информатизация правоохранительных систем» (2001), в неда- леком будущем прогнозируется рост числа преступлений в сфере торговли с помощью средств телекоммуникаций, что связано с развитием системы элек- тронных платежей (транзакций) в России1. Не теряет актуальности и проблема мошенничества и хищений, связанная с использованием магнитных или ЧИП-карт.

Так уровень мошенничества в России с кредитными карточками VISA в 4-5 раз превышает среднемировой. Для совершения данного вида преступлений необходимо организовать высокотехнологичное производство, базирующееся в основном на импортном оборудовании, которое позволяет обеспечивать технологические операции нанесения эмбоссированного слоя, магнитного поля и т.д.. Например, На черном рынке кусок «белого пластика» с «тиснением», т.е. заготовка, пригодная для изготовления магнитной карты

См., напр.: Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г. №1.

69

стоит 300-600 американских долларов1. В связи с этим возрастает роль та- моженных органов как «пограничных» правоохранительных органов испол- нительной власти.

В настоящее время процесс таможенного оформления и контроля в отношении компьютерных средств и программного обеспечения производится в общем порядке. Однако следует учесть, что ассортимент данного вида оборудования за последние годы существенно изменился и расширился. Несмотря на письма ГТК России по кодированию компьютерно-технических аппаратных средств и программного обеспечения в соответствии с ТН ВЭД России2, сотруднику таможенного органа, не имеющему специальных технических познаний, сложно отнести ввозимый товар к определенной категории аппаратно- технических и программных средств, что ставит вопрос о необходимости проведения специальной подготовки отдельных сотрудников таможенных органов, участвующих в ТО и ТК данного вида товаров. Учитывая значительную долю технических средств во внешнеторговом обороте России, возникает необходимость создания специализированных таможенных постов (отделов) в каждом федеральном округе или на первоначальном этапе наличие сотрудников, обладающих специальными знаниями, в штате отделов таможенного оформления и контроля. Подготовку специалистов данного профиля для правоохранительных органов в целом целесообразно проводить в едином учебном центре.

В настоящее время в ЭКЦ МВД России, РФЦ СЭ при Министерстве юстиции России уже имеется накопленный передовой опыт в области приме-

1 Абдурагимова Т.И. Раскрытие и расследование изготовления, сбыта и использо вание поддельных кредитных и расчетных пластиковых карт: Дис канд. юрид. наук.-

М., 2002.

а Письмо ГТК России от 18 мая 1998 г. № 01-15/10063 «Об идентификации товаров электробытовой техники и радиоэлектронной аппаратуры», Письмо ГТК России от 11 июля 1995 г. № 07-07/9731 «О классификации товаров», Письмо ГТК России от 8 июля 1992 г. № 07- 07/3539 «О классификации ряда товаров в соответствии с принципами и положениями ТН ВЭД».

70

нения специальных знаний. В ЭКЦ МВД России создана НИЛ (научно- исследовательская лаборатория), 18 отдел (проведение компьютерных экс- пертиз), где, в частности, осуществляются исследования и на контрафакт- ность. Учитывая все вышеизложенное, а также принимая во внимание эко- номический фактор, можно рекомендовать организовать практические курсы по обучению сотрудников таможенных органов специальным знаниям в об- ласти аппаратной и программной частей компьютерной техники на базе имеющихся территориальных отделов ЭКУ. Это не будет противоречить и территориальной организации постов и отделов таможенных органов. Инст- рументарий (технические средства таможенного контроля) должен включать в себя обеспечение сотрудника таможенного органа техническими средствами и специальной технической информацией, необходимой для принятия решения. Данная информация (справочники, классификаторы, каталоги тех- нических средств) может быть включена в базу нормативно-справочной ин- формации Единой автоматизированной информационной системы ГТК Рос- сии (ЕАИС), поэтому необходимо предоставить каждому инспектору весь спектр информации, накопленной в системе для информационной поддержки принятия решений1. Данная мера позволит обеспечить высокое качество ин- формационной поддержки операций, связанных с таможенным оформлением и контролем аппаратных и программных компьютерных средств, а также их комплектующих.

Таким образом, введение специализации на таможенных постах и отделах позволит снизить ошибки при классификации товаров, что положительно скажется на таможенных платежах по данной группе, уменьшит расхождения в таможенной статистике, будет способствовать профилактике недеклариро- вания или недостоверного декларирования, предотвращению обманного ис-

1 Ухлинов Л.М. Автоматизация таможенной деятельности, задачи и перспективы: Сборник трудов IX Международной научной конференции «Информатизация правоохранительных систем». - М.} 2000. С. 80.

71

пользования специализированных документов или средств таможенной идентификации. Позволит сосредоточить внимание других таможенных постов и отделов на иных группах товаров, что приведет к улучшению качества работы в целом. Успешное решение этой проблемы будет способствовать дальнейшему развитию таможенного дела в России.

Изложенное позволяет констатировать, что квалифицированное при- менение специальных познаний при производстве основных следственных действий, а также в процессе производства таможенного оформления и контроля позволит обеспечить получение процессуально корректных доказательств и избежать ошибок при «таможенной очистке» технических средств (ст. 277 - 279 ТК РФ, ст.188.1,194 УК РФ, ст. 151 УПК РФ).

Возможность вызова специалиста в суд определяется ст. 271.4 УПК РФ, однако в Кодексе не предусматривается самостоятельная, процессуально закрепленная форма фиксации его выводов. Специалист при проведении следственных действий (ст. 168 УПК РФ) в праве делать заявления и замечания, которые подлежат занесению в протокол следственного действия (ст. 58 УПК РФ).

В отличие от УПК РСФСР в новом УПК РФ на основании ст. 70 УПК РФ предыдущее участие эксперта в производстве по уголовному делу в ка- честве эксперта или специалиста не является основанием для его отвода, что, по нашему мнению, позволит следователю организовать постоянное сопровождение специалистом-экспертом всего хода расследования.

§ 4. Особенности тактики следственных действий,

сопряженных с собиранием криминалистически значимой информации

с технических (аппаратных) средств компьютерных систем

Несмотря на огромный ассортимент и разнообразие аппаратных средств и компонент, тактика обращения с ними сотрудников следственной

72

группы имеет много общего. Объясняется это прежде всего присутствием практически в любом современном радиоэлектронном устройстве элементов запоминающей среды - электронной памяти, имеющей в зависимости от вида электронного средства свою аппаратную реализацию, и наличия в своей ос- нове базовых логических элементов И-НЕ и ИЛИ-НЕ. Различия же обуслов- лены большим разнообразием существующих видов компьютерных и радио- электронных устройств, обладающих особенностями конструкции, принципа работы, технической реализации.

Знание этих особенностей следователем, оперативным работником - важнейшее условие успешного проведения таких следственных действий, как осмотр и обыск, обеспечивающих поиск и процессуально - грамотное за- крепление фактических данных, которые могут быть использованы в качест- ве доказательств. Сказанное можно проиллюстрировать следующими взаи- мопересекающимися множествами, изображенными на рис.8.

Рис. 8. Пересекающиеся множества характеристик аппаратных объектов и тактические особенности. К общим вопросам тактических особенностей обращения с компьютерно-электронными средствами (КЭС) относятся получение процессуально -пригодной доказательственной информации из памяти КЭС, с его форм-

73

факторов, и ее последующего отражения в протоколе следственного действия.

Оперативно-следственная практика показывает, что в настоящее время обыденностью стало использование преступниками компьютерных систем в качестве «записных книжек» криминальной информации, средств ее анализа и систематизации, передачи на расстояние (например, сотовые телефоны в местах лишения свободы). Следует заметить, что преступники нередко пред- принимают попытки уничтожить компьютерные дискеты и другие носители электронной памяти непосредственно при производстве следственных дейст- вий, которые как вариант могут содержать данные, например о фактах про- изводства фальшивых купюр и “черной” бухгалтерии.

Проиллюстрируем сказанное примером. 18 октября 1998 г. при совершении разбойного нападения на частного предпринимателя С.-гражданина республики Вьетнам - на трассе Владимир-Иваново, в районе г. Суздаля был задержан один из преступников. При осмотре места происшествия обнаружена и изъята электронная записная книжка, данные в которой оказались за- щищенные паролем. Задержанный гражданин Ф. какие либо показания да- вать отказался. В целях установления его возможных связей следователь на- значил компьютерно-техническую экспертизу электронного аппарата, в ре- зультате которой были получены данные, содержащие информацию о номе- рах телефонов, каналах связи задержанного, позволивших выявить органи- зованную преступную группу из 11 человек. В дальнейшем эти данные ока- зали неоценимую помощь в раскрытии и расследовании свыше 20 тяжких и особо тяжких преступлений, совершенных на территории Владимирской и Московских областей1.

Этим и объясняется то внимание, которое уделяется в криминалистике разработке научно обоснованных тактических рекомендаций по обнаруже-

1 Хитев П.А., Виноградова В.Н. Опыт производства КТЭ электронных записных книжек. Научно-практическая конференция. Белгород 28-31 мая 2000. - М, 2000. С. 136.

74

нию, фиксации и изъятию КЭС и данных, содержащихся на и в них. Однако, как показывают результаты изучения соответствующих уголовных дел, так- тически неграмотное, технически непрофессиональное обращение с аппарат- ными средствами этих систем, в частности, при проведении таких следствен- ных действий, как осмотр и обыск, чаще всего приводит к непоправимым ошибкам и невосполнимым утратам криминалистически значимой информации, что в последующем значительно усложняет расследование. В качестве иллюстрации приведем пример из следственной практики, который описывается А.Б. Нехорошевым и А.В. Гортинским1. Участвуя в следственных действиях в качестве специалистов авторы столкнулись со следующим противодействием следствию («аппаратное противодействие». - Прим. автора). Следственным отделом УВД г. Саратова, расследовалось дело о мошенничестве с использованием поддельных выписок из реестра акционеров. Изготовление поддельных документов производилось с использованием компьютера и принтера модели «EPSON LX 1050+». Противодействие заключалось в том, что преступники перед изготовлением поддельных документов производили модификацию принтера путем замены печатающей головки на новую, а после окончания печати, ставили старую. При этом старая печатающая головка имела неисправность в виде двух неработающих нижних игл.

Поскольку в распоряжении эксперта, сменной печатающей головки не было, на основании выявления идентифицирующих признаков (ошибки прямого и обратного хода печатающей головки, реального разрешения по горизонтали и вертикали, перекоса текста относительно среза листа бумаги) экспертом было дано условное заключение: текст документа мог быть отпечатан на данном принтере. На основании проведенного экспертного эксперимента было установлено, что сменить печатающую головку на данном принтере

1 Нехорошее А.Б., Гортинский А.В. Практика производства компьютерно-технических экспертиз в СЮИ. Научно-практическая конференция. Белгород. 28-31 мая 2000.-М., 2000. С. 185.

75

можно в течение 1-2 мин., поэтому экспертом было внесено предложение назначить комплексную экспертизу всего изъятого аппаратно-программного комплекса, на основании чего следователем было установлена причастность подозреваемого к совершению преступления.

Данный пример также свидетельствует о том, что следователю при осмотре, обыске (выемке), а также при выработке следственных версий необходимо учитывать, каким образом были использованы при совершении преступления компьютерные и радиоэлектронные средства, а также их комплектующие, производить ситуационный анализ взаимодействия аппаратных средств и моделирование виртуальной пространственно-временной схемы совершения преступления.

Анализ уголовных дел, проведенный нами, показывает, что сами ком- пьютерные или радиоэлектронные устройства, могут быть использованы злоумышленником (или группой злоумышленников) следующим образом:

  • компьютерные или радиоэлектронные устройства, могут сами являться непосредственным объектом преступного посягательства (случаи кражи системных блоков, принтеров, сканеров, сотовых телефонов, магнитол, теле- визоров и т.д., а также кражи с целью копирования, уничтожения информа- ции и ее модификации);
  • компьютерное или радиоэлектронное оборудование может быть орудием (средством) совершения преступления. Например, при совершении пре- ступлений против собственности, посредством компьютерных операций в кредитно-финансовой сфере, при непосредственном вторжении в конфиден- циальную информационную базу через компьютерные сети. Применение преступниками средств радиомониторинга, например для выяснения кодовых групп устройств автосигнализаций и т.д.;
  • компьютерные или радиоэлектронные устройства могут являться хранилищем доказательств совершенного преступления, его следов и инфор мации о фактических обстоятельствах содеянного. К этой группе прежде все-

76

го можно отнести огромный парк НЖМД, НГМД, компакт-дисков и мини компакт дисков, PC и CD -карты, смарт-карты, RAID-массивы, элементы па- мяти на платах в лазерных принтерах, цифровых видеокамерах, фотоаппара- тах, видеодомофонах, сотовых телефонах, настройки радиосканеров и средств радиомониторинга и т.д.

Следователю совместно со специалистом-экспертом согласно склады- вающейся следственной ситуации следует также выделять частные или груп- повые признаки, указывающие на связь конкретного аппаратного средства с расследуемым событием, для чего методически необходимо производить «умственное» моделирование возможности применения аппаратных средств в криминальном событии.

В качестве иллюстрации приведем пример. В мае 1999 г. в РФЦСЭ Минюста РФ была выполнена экспертиза, в которой объектами исследования были изъятые в процессе следственного действия в магазине: электронный кассовый аппарат со встроенным микропроцессором и самодельный прибор, также изготовленный с использованием микропроцессора.

В результате исследования было установлено, что подключение к разъемам «ЭВМ» и «Ш-К» контрольно-кассовой машины AN 1С 100Ф самодельного прибора открывает доступ к информации, влияет на те участки памяти контрольно-кассовой машины, в которых хранятся данные о дате и времени текущей смены, кассовых операциях. Подключение изъятого прибора может их изменять.

Методика исследования заключалась в сравнении результатов выполнения основных функций кассового аппарата, подробно описанных в инструкции по его эксплуатации, до и после подключения самодельного прибо-ра1.

1 Копытин А.В., Маршшко Б.Г., Федотов Е. Т. Судебная экспертиза ПЭВМ // При- менение специальных познаний при раскрытии и расследовании преступлений, сопря- женных с использованием компьютерных средств. - М.: ГУ ЭКЦ МВД России, 2000. С. 100

77

Таким образом, неизъятие с места происшествия самодельного блока следователем сделало бы невозможным доказать модификацию данных и производство мошеннических операций с кассовым аппаратом.

Для преступлений, связанных с использбванием компьютерных технологий, как правило, характерно несовпадение места совершения преступления и места происшествия. Поэтому во время проведения указанных следственных действий следует учитывать и возможное применение уже «виртуального противодействия» со стороны злоумышленника или организованной группы злоумышленников, например с систем удаленного доступа к компьютерной системе. При этом объектами и целевой задачей осмотра, обыска в зависимости от складывающейся следственной ситуации, может быть выяс- нение следующих фактических данных о: компьютерах пользователей (пра- вонарушителей), подключённых к Интернет (Интранет, Экстранет); различ- ные ресурсы поставщика сетевых услуг (провайдера) и предоставляемые им информационные услуги (электронная почта, служба электронных объявле- ний, телеконференции, WWW-сервис и пр.).

Практика работы оперативно-следственных подразделений в этой области показывает, что здесь решаются следующие задачи1: определение признаков аппаратного (например, телефонного или иного) подключения к Интернет по виду (типу) выявленного модема и его настройкам; установление факта наличия и свойств программного обеспечения для работы в Интернет (например, программы-броузеры, поисковые системы и т.п.); определение наиболее важных свойств, признаков и настроек удалённого доступа (уста- новки адаптера удалённого доступа, параметры протокола управления пере- дачей TCP/IP для контроллера удалённого доступа, телефонные номера, име- на соединений (адреса), типы сервера и пр.); выяснение и оценка свойств и

1 См., напр.: Гудзь Е.Г. Актуальность проблемы ведения борьбы с преступлениями в сфере высоких технологий. Научно-практ. семинар. Белгород. 28-31 мая 2000. -М., 2000. С.40; Усов А.И. Предмет, виды, объекты и задачи компьютерно-технической экспертизы. Научно-практ. семинар. Белгород 28-31 мая 2000.-М., 2000. С.63.; и др.

78

признаков исследуемого объекта (сегмента сети Интернет) с позиций сетевой семиуровневой модели протоколов передачи данных; определение установ- ленных прикладных протоколов, наличия зарегистрированных служб Интер- нет, регистрационных данных поставщика сетевых услуг (провайдера); выяв- ление обстоятельств, существенных для расследуемого события (например, наличие на клиентском компьютере программ для подбора IP-адресов; выяв- ление противоправного использования указанных выше информационных услуг Интернет с исследованием следовой картины на взломанных WEB- серверах; установление фактов и обстоятельств по составам преступлений в сфере компьютерной информации; проведение исследования онлайнового режима пользования сетью как с целью диагностики и идентификации тра- фика (характеристик потоков передаваемых данных), так и непосредственного анализа содержания передаваемых пакетов данных адресов.

В связи с этим желательно при наличии возможностей предварительно изучить схему расположения удаленных терминалов и сетей (радиосетей), связи между ними. Следователю, при планировании следственных действий необходимо также выяснить наличие электронных охранных средств в физи- ческой защите компании (например, коды доступа, пароли и ключи типа «Touch Memory» (i-Button)- электронная таблетка, «Pproximity» - ЧИП-карта, и т.д.).

Также необходимо учитывать и наличие у сотрудников компании (уч- реждения) миниатюрных компьютеров, смартфонов, коммуникаторов, сото- вых мобильных терминалов поддерживающих WAP-браузер, GPRS-сервис. При осмотре системного блока на месте происшествия необходимо проверить наличие устройств типа «Mobile Rack» и «Flexi Drive», позволяющих легко производить смену накопителей данных и мобильно перемещать (перевозить) их.

В связи с возможностью наличия в компьютерной системе вирусов и программ «бомб-ловушек» рекомендуется для их выявления и нейтрализации

79

на начальном этапе следственного действия на месте происшествия разместить пакеты антивирусных программ, а также программы для выявления бомбы- ловушки типа «booby-trap»1. Как вариант это могут быть пакеты анти- вирусных защит, например, локальные решения AVP лаборатррии Каспер- ского (для небольших предприятий), и на основе web-технолгий «Trend Virus Control System» (для крупных предприятий)и др.

Если ранее одним из эффективных приемов сохранения данных в ком- пьютерной системе считался метод прерывания подачи электроэнергии перед началом следственных действий, то с массовым внедрением в компьютерные системы бесперебойных источников питания это мероприятие может потерять свою эффективность.

При подготовке к производству следственных действий очень важно учесть возможности наличия в системе аппаратных и программных, наложенных и встроенных средств защиты информации, устройств мгновенного уничтожения информации типа «дегауссер». В настоящее время такие уст- ройства имеются в широкой продаже и доступны любому пользователю. Устройства типа «СТЕК-НС2К, НС2, НСА2, НС2М, НС1» (испытаны лабо- раторией ФСБ РФ) предназначены для экстренного уничтожения информа- ции на НЖМД, имеют высокие технические характеристики, могут срабаты- вать от радиосигнала, звуковой или программной команды. Имеют источник бесперебойного питания, встраиваются внутрь ПК. Проведение САКЭ по во- просам изучения и восстановления стертых файлов после применения по- добных мощных устройств может столкнуться с непреодолимыми трудно- стями.

В настоящее время получили широкое применение компьютерные сетевые радиокарты, позволяющие организовать беспроводную компьютерную

1 Преступления, связанные с компьютерной информацией // Зарубежный опыт. Вып. №5. - М.: ГИЦ МВД России, 2000. С.8.

2 Типовые решения по применению технологии централизованного управления ан тивирусной защитой предприятия.// Конфидент. - СПб, 2001. С.11.

80

сеть на радиочастоте (технологии soft Wi-Fi). Поэтому в целях нейтрализации подобных устройств необходимо проведение радиомониторинга с составлением карты радиочастот фирмы.

Проблема выявления и нейтрализации подобных устройств, как показывает практика оперативных подразделений Управления «К» (УБПСВТ) МВД России, стоит чрезвычайно остро. Противодействие применению подобных устройств должно базироваться в том числе и на проведении специальных оперативных мероприятий, перечисленных в ст.6 закона «Об ОРД», и в частности проведения зашифрованного разведопроса, осмотра, негласного наблюдения и оперативного внедрения.

Решение данной проблемы зачастую обусловливает необходимость проведения тактических операций (специальных операций), включающую скоординированные следственные действия и оперативно-розыскные меро- приятия2.

В любом случае следует детально изучить и проанализировать имеющуюся техническую информацию о компьютерной системе фирмы или учреждения. Предварительно по специально разработанному плану осуществить организационные и технические мероприятия, предшествующие следст- венным действиям. Возможные затраты при этом сил и времени, как правило, окупаются результатами следственных действий. Во всяком случае, сводится на нет возможное техническое (аппаратное или виртуальное. - Прим. автора), противодействие. Например, попадание в систему с удаленного сетевого компьютерного терминала, через системы GPRS-сервиса и ИТКС3, или модификации (изменения) аппаратного оборудования, а также его конфигурации.

Технологии soft Wi-Fi- Беспроводная технология компьютерных сетей компании Intel. В США количество пользователей достигает 1.4 млн. чел. Беспроводной доступ до 100 метров.

2 Российский СБ. Специальная операция как организационная форма проведения следственного действия. Научно-практическая конференция, г. Руза. 18-19 октября 2001.- М., 2002. С.55-60.

3 ИТКС (iT, IN- сети) - информационно-телекоммуникационные сети.

81

Касаясь роли оперативных работников в тактической операции, следует заметить, что она особенно важна при выявлении базисных мест сосредо- точения, представляющей интерес для следствия, информации (например, RAID-массивы1). Наличие таких оперативных данных позволяет скоордини- ровать и согласованно провести групповые следственные действия, за ис- ключением тех случаев, когда объекты компании рассредоточены по филиа- лам в других странах и регионах и связаны между собой ИТКС.

В таких случаях весьма полезным оказывается межведомственное взаимодействие соответствующих служб МВД, ФСБ, ФСНП, ГТК, ФР Рос- сийской Федерации, а также привлечение к сотрудничеству, в ряде случаев и ЧОП (частные охранные предприятия). Так, например, в 1996 г. совместными усилиями сотрудников МВД, ФСБ, и службы безопасности Сбербанка России, удалось разоблачить преступную группу мошенников, пытавшихся похитить 1,5 миллиарда неденоминированных рублей через банкоматы отделений Сбербанка в Перми, Москве и Санкт-Петербурге. Главные исполнители преступления были установлены и привлечены к уголовной ответственности2.

Осмотр места происшествия по делам, сопряженным с использованием компьютерных технологий (в программе NCTP (США) по борьбе с компьютерной преступностью подобный осмотр носит название: «осмотр места электронного преступления»3), как и в любом ином случае, относится к неотложным следственным действиям, направленным на установление, фиксацию, изъятие следов преступления и исследование обстановки места

1 RAID - массивы: массивы жестких дисков, в которых концентрируется инфор мация корпоративных пользователей. Технически реализуются, например, на станциях SILIKON-GRAFICS или SUN MICROSYSTEMS.

2 Волеводз А..Г. Противодействие компьютерным преступлениям: правовые осно вы международного сотрудничества. - М: 2002. С.31.

3 Курс, читаемый в учебном центре NCTP (Фермонт, шт. Западная Вирджиния, США). Его цель ознакомить сотрудников с компьютерно-равдиоэлектроными средствами, обучить их распознавать, изымать и сохранять электронные вещественные доказательства. Включает в себя как подготовку в области правовых дисциплин так и техническую подго товку. По матер.: Преступления, связанные с компьютерной информацией. // Зарубежный опыт. Вып. № 5. -М.: ГИЦ МВД России. 2000. С. 9; The Police Chief (USA). 1997. № 8; 1999. № 2.

82

происшествия. Однако применительно к рассматриваемому виду преступле- ний такие следы отображаются на «нетрадиционных» носителях и не в «тра- диционном» виде. Вот почему, по нашему мнению, в ряду уже существующих видов осмотра местности, жилища, предметов и документов (гл. 24 УПК РФ) следовало бы обозначить следственный осмотр компьютерно-электронных средств (КЭС). Это позволит отразить «виртуальность» объекта, учесть «нетрадиционность» хранения данных в электронном виде, что не характерно для уже существующих видов осмотра. Например, для НЖМД или НГМД эти особенности - организация его электронной структуры, файловой системы, объем занятой памяти и т.д.

Эти особенности осмотра КЭС нашли свое отражение в заполнении протокола осмотра компьютерно-электронных средств (см. приложение к диссертации). Такая форма, по нашему мнению, отразит организационные и процессуальные особенности фиксации информации, содержащейся в элек- тронной форме, хотя, конечно же, при этом учитываются и выполняются об- щие процессуальные требования и тактические рекомендации: ст. 166, 167, 180 УПК РФ.

При осмотре КЭС главными объектами внимания является компьютерное или радиоэлектронное оборудование, носители информации, в которых находятся компьютерные документы1. Например, таковыми могут быть распечатки рядов IP-адресов, данные КЭШ-памяти системного блока и т.д.

В процессе осмотра КЭС следователь, специалист, оперативный работник должны сосредоточить свои усилия на выявлении следов, которые впо- следствии станут объектами экспертного аппаратно-компьютерного или тра- диционно-криминалистического исследования. Например, проведение осмотра и последующего исследования содержания жесткого диска и компакт -диска (содержание корневого каталога) экспертами О. Тушкановой и О.

1 Ткакчев А.В. Правовой статус компьютерных документов. Основные характеристики. - М., 2000. С.10-18.

83

Макаровой (НЖМД), В. Поповым и О. Чередниченко (CD) и с фиксацией выявленной электронной информации, приведены на рис. 9 (а) и рис. 9 (б)’

В частности, на аппаратных средствах могут быть выявлены также и следы пальцев рук, что позволит доказать при необходимости факт нахождения оборудования у конкретного лица. Недопустимо проводить какие-либо действия в процессе следственного осмотра аппаратного средства, без на- глядного и доступного комментария, без гарантий сохранности следовой картины криминального события. Объяснено должно быть любое нажатие на клавишу клавиатуры, передвижение мыши. Это в дальнейшем позволит обезопасить добытые доказательства от негативной оценки их допустимости судом. Во всяком случае, понятые не будучи специалистами в области компьютерных технологий (что зачастую и бывает) должны понимать, что делается и каков результат произведенных действий.

Тактически, осмотр КЭС может производиться параллельно с другими видами следственных действий. Например, сотовые телефоны, смартфоны миниатюрные компьютеры, PC-карты, SIM- карты, электронные ключи и магнитные карты для электронных систем аутентификации и идентифика- ции, в которых в электронной форме содержатся данные, имеющие доказа- тельственное значение, зачастую находятся у сотрудников фирмы.

Поэтому возникает необходимость их личного обыска или досмотра (с учетом процессуального положения лица). Так, например, приведем некоторые особенности досмотра (осмотра, обыска) нетипичных компьютерных средств - мобильных терминалов. Надо помнить, что периферийные устройства мобильной связи могут иметь нештатные функции, позволяющие ис- пользовать данное оборудование, в том числе и для модификации данных (информации), находящейся в них.

1 Уголовное дело № 288901 СУ Ленинского РУВД г. Екатеринбурга; Эксп. закл.№ 2623 от 26.12. 2000; Уголовное дело № 981010327 С07 СО УВД г.Белгорода. Эксп. закл. №177 от 30. 04. 1999.

84

Hi диска Ем кость диска (ММ Кол-DO раздслоо Hi ряздсла на лиске Емкость

раздела

ГМЬ> Файловая система Занято (Mb) Свободн

о

(Mb) I 1624 1 1 . 1547.4 KTFS 561 • 986.4 2 , 1624 2 1 1301.3 FAT 98.3 1203.0

2 246.1 FAT 0.3 245.3

диска М

раздои на

диске Им* файла (•ключах путь) размер («байт») дата создания (последнего изменения) Примечание (иаимсноеани е

листа» t таблице .хМ /бор. Приложении 1. 1

WIXNT\Pn>ttlesVirina\Pa?o4Hfi ста* — —-Лмарт-иал. xb 5836S 01.04.2000 с 10.03 1-3

WIMNTVFrofiIa\irina\Pa&>4Kli етоМ \апоеяь-на.гхЬ 6J60S 29.04.2000 сОЗапр 4-7

WINNT\ProGIcs\irina\Pa6o4Hft «ол\ \май-нал.хЬ 69632 01.06.2000 с29апр Ml

WINNTJro61csVirina\Pa6o4Mft етоМ

\МЮНЬ-НаЛ.хЬ 76800 30.06.2000 Лист! 12-14

ЛнстЗ 15-16

WINNT\ProfiIeivirina\P»6o4Kfl «ол» — —Лиюл*-иал xb 332S0 29.07.2000 Лист1 17-11

WRWT\Profil*s\iriiuV?a6outit стоя\ ? ? \a»rvcT-Ha.T.rb ?пт 23.0S.2000 Лист! 19-22

3

Мок аокумектьЛСВОДНАЯ ЧШ маот-наахЬ 1029120 01.04.2000 с 10.03 23-3S

по менед 39-W

7

МокдокумогаАСВОДНАЯ Ч?3й апоель>нал.хЬ
/1 12S2360 29.04.2000 еОЗапо 4141

Й91?4«а	 «!-« Рис. 9 (а) Информация на НЖМД

Том в устройстве D имеет метку Серийный номер тома: CE82-7110

JC uai Размер Изменен AOTORUN ICO 1 078 01.11.98 2:00 AUTORUN.ICO AUTORUN INF

50 01.11.98 2:00 AUTORUN.INF ACROBAT

<ПАПКА> 10.02.99 11:12 Acrobat CODE <ПАПКА> 09.02.99 15:01 CODE COMMON <ПАПКА> 09.02.99 15:00 COMMON/ DATA <ПАПКА> 09.02.99 15:01 DATA FONTS <ПАПКА> 09.02.99 15:01 FONTS LESSONS <ПАПКА> 09.02.99 15:01 LESSONS • README TXT 461 11.02.99 17:27 Readme.txt SETUP DAT 4 000 000 01.11.98 2:00 SETUP.DAT SETUP EXE 416 256 01.11.98 2:00 SETUP.EXE SETUP SET 55 267 01.11/98 2:00 SETUP.SET UPDATE <ПАПКА> 09.02.99 14:56 UPDATE РУКОВ-32 TXT 57 404 11.02.99 17:18 руководство.txt 7 файлов 4 530 516 Сайт Рис 9.(6) Содержание корневого каталога компакт-диска. Поэтому в зависимости от складывающейся следственной ситуации возможно возникнет необходимость их экранировки. Источником информа- 85 ции для оперативно-следственной группы может являться сетевой (пейджин- говый) провайдер, который предоставляет данные услуги. В этом случае оп- рос провайдера на основании судебного решения в соответствии: со ст. 32 Ф.З. «О связи» № 15 от 16. 02. 1995 г.; ст.И Ф.З «Об информатизации, информации и защите информации» № 32 от 20. 02. 1995 г., или оперативного опроса согласно ст. 2, 6, 7 п. 4.2 закона «Об ОРД», позволит выяснить для сотового телефона, стандарта GSM: код доступа PIN, PUK, номера соединений; IMEI; голосовые позывные для каждого абонента и т.д. Данные об аппаратной базе сети - Eguipment Identitu Register (EIR), могут содержать информацию о серийных номерах аппаратов, для которых по каким-то причинам закрыт доступ в сеть (например, если аппарат украден). Проверить IMEI сотового телефона сотрудник следственной группы может и на месте происшествия. Программа «* # 06 #» работает даже без установки SIM-карты. Разблокировать PIN-код можно, например, набрав программу « **05*РиК*новый PIN1* новый PIN1#@ », где @-кнопка посыла вызова; и т.д. Подобные программы сотрудник ОВД может получить в «фирменных сервис- центрах» по обслуживанию сотовых телефонов. Поэтому методы расследования, основанные по опыту зарубежных стран, на идентификации IMEI номера мобильного терминала и исследовании списка EIR провайдера, как нам представляется, весьма перспективны. Особенности аппаратного устройства средства связи можно выяснить при изучении его паспорта и упаковочной тары (см. рис. 11). Источником информации для оперативно-следственной группы по пла- стиковым платежным и телефонным картам может являться банк-эмитент карты, банк-эквайр,1, процессинговый центр, компания-разработчик или про- изводитель аппаратного или программного оборудования и т.д. При этом можно выяснить следующую идентифицирующую информацию: имя держа- 1 Подробно см. Абдурагимова Т.Н. Расследование изготовления, сбыта и использования поддельных пластиковых карт. - М., 2001. С. 12. 86 теля карты, номер его счета, наименование банка эмитента и эквайра, прово- димые транзакции и т.д. Не следует при этом забывать и о показаниях сви- детелей, например, показания о введении PIN-кода при продавце в магазине, для произвбдства транзакций с похищенной пластиковой карты. Характерный пример. 18 ноября 1998 г. Нагатинским межмуниципальным районным судом г. Москвы был осужден и приговорен к пяти годам лишения свободы условно (по ч.З ст. 159 УК РФ) гр-н Ш., который похитил с помощью сети Интернет товаров на сумму более 11 тыс. долл. Используя программу генерации номеров кредитных карт для выявлении номеров реальных платежных средств, он произвел транзакцию с несущуствующей кредитной карты. Решающую роль в доказывании вины Ш. оказали свидетельские показания представителей ассоциации VISA, осуществивших проверку и заявивших о совершенном преступлении, и работников почтовой компании, доставлявших товар. Особую ценность для следователя может иметь информация, находящаяся в памяти «личного» электронного устройства. Приведем некоторые примеры. По ЧИП-карте можно установить информацию, идентифицирующую держателя карточки: фамилию и инициалы, номер его счета, PIN-кода, наименование банка и т.д. САКЭ ЧИП-карты может выявить подлинность карты, информацию на магнитной полосе и в памяти микропроцессора, ее несанкционированное изменение и др. Из памяти телефонной карточки могут быть получены телефонные номера и соединения которые были сделаны. По МК «Метрополитена», «Транспортной карте МПС» могут быть установлены станции и время. По «Социальной карте», «Медицинской карте» можно также произвести идентификацию лица и получить другую информацию для следствия. В сотовом телефоне это: продолжительность и оставшиеся без ответа запросы; SMS и MMS информация, данные с SIM-карты, информация на диктофоне и в видеопамяти; данные о WAP-браузере (протокол беспровод- ного доступа в Интернет), сообщения E-meil и другая специализированная 87 информация. При этом тактически правильно зафиксировать имеющиеся на них отпечатки пальцев рук и микрочастиц. Для. систем GPRS/UMTS в случаях работы с системами мобильных платежей и проведенными транзакциями может быть установлен MSISDN- (Международный ISDN номер подвижного абонента), его PIN-код, проведенные транзакции и т.д. Изымать необходимо также техническую документацию: техпаспорта, слипы, чеки, упаковочную тару, журналы эксплуатации. Анализ различных записей на сопутствующих предметах, аппаратных блоках и аксессуарах, клочках бумаги, может также иметь значение для успешного следственного осмотра. Некоторые конкретные методики по обращению с отдельными видами компьютерных средств с учетом установленного программного обеспечения при проведении следственных действий разработаны нами1. Применение данных методик позволит обеспечить процессуальную корректность получе- ния материальных и виртуальных доказательств при их обнаружении, фикса- ции и изъятии из радиоэлектронного аппарата. Введение в уголовное судопроизводство таких дополнительных следственных действий, как арест электронно-почтовой корреспонденции и локальной вычислительной сети, позволит качественно повысить эффективность собирания доказательств по рассматриваемым нами преступлениям. Мы поддерживаем предложения о конкретных редакционных дополнениях к уголовно-процессуальным нормам, закрепленным в гл. 25 ст. 185 УПК РФ2. Практика наложения ареста на локальные вычислительные сети (ЛВС) существует уже во многих странах (Голландии, Бельгии, США и др.). В УК этих стран имеются статьи или дополнения к ним, предусматривающие нака- 1 Отчет о научно-исследовательской работе. Т.№3.7 «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно- технических средств при расследовании преступлений в сфере компьютерной информа ции». / Коллектив авторов. ЭКЦ МВД России, ЮИ МВД РФ. - М., 2000. 2 Усов A.M. Концептуальные основы судебной КТЭ: Автореферат дисс... докт. юрид. наук. - М., 2002. С. 14. 83 зание за совершение традиционного преступления с использованием компь- ютера (компьютерной сети). Поэтому аресты сетей, предпринимаемые в этих странах, позволяют обеспечить сохранность виртуальной следовой картины криминального события, которая легко может быть модифицирована как умышленно, так и случайно. Например. Неосторожное выключение системного блока может исказить имеющуюся следовую картину на объекте осмотра. Технически это связано с особенностью функционирования наиболее распространенных ОС типа MS WINDOWS и прикладных программ, функционирующих под ее управлением. Так, при своей загрузке ОС MS WINDOWS создает специальный файл подкачки «свопинга» (виртуальной памяти), который создает резервные копии файлов реестра и вносит другие изменения на жесткий диск. Кроме того, некоторые программы, например текстовый редактор MS WORD создают специальные временные файлы для резервирования редактируемых документов1, т.е. на исследуемый (оригинал. - Прим. автора) диск при вклю- чении компьютера будут внесены изменения, что в соответствии с принципом судебной непосредственности в отношении представления вещественных доказательств в суде является недопустимым. По-видимому, следует в перспективе разработать дополнения к приложению № 37 УПК РФ (протокол обыска и выемки), касающиеся фиксации криминалистически значимой компьютерной информации, содержащейся в электронном виде. По нашему мнению, это можно сделать, если ввести пунк- ты, относящиеся к «процессуальной консервации электронной информации» содержащейся в запоминающей среде. Целевой задачей при проведении отмеченных следственных действий, как отмечалось ранее, являются обнаружение, фиксация и изъятие аппарат- Костин П.В.. Вопросы назначения и проведения КТЭ // Информатизация право- охранительных систем. - М., 2000. С.442-446. 89 ных объектов, которые могут иметь доказательственное значение при рас- следовании преступлений, совершаемых в сфере компьютерной информации или с использованием информационных технологий Поэтому следователю согласно ст.ст.166, 167 и приложения № 36 к УПК РФ необходимо в мотивированном постановлении на обыск или выемку подробно описать ту информацию, обнаружение которой является целью следственного действия, предположив, что разыскиваемая информация может существовать как в электронной, так и в письменной форме и содержаться в виде распечаток и записей на бумаге, а также во фрагментах документов, которые могут представлять собой обычные или скрытые файлы. Желатель- но, чтобы лицо, производящее следственные действия, указывало в поста- новлении на их проведение (см. приложение № 36 к УПК РФ - постановление о производстве обыска и выемки), также на те потенциальные (возможные) компьютерные или радиоэлектронные средства хранения данных, в которых и на которых они могут быть. Не следует применять в постановлении о следственном действии, например, такие выражения, как «носители ин- формации о совершенном преступлении», в протоколе: «изъят файл, инфор- мация», так как это не предмет для изъятия1. Анализ уголовных дел, связанных с использованием компьютерных или радиоэлектронных технологий (список уголовных дел см. стр. 183-189) показывает, что в качестве носителей данных, имеющих значение для пра- вильного разрешения уголовного дела, могут выступать следующие, процес- суально-корректно изъятые объекты: - комплексы вычислительных машин или их элементы с аппаратно- программными радио-, видео-, аудио-, телефонными средствами и различной запоминающей средой, накопитель на жестких магнитных дисках (НЖМД), Андреев Б.В., Пак П.Н., и др. Расследование преступлений в сфере компьютерной информации. - М., 2001. С.62. 90 накопитель на гибких магнитных дисках (НГМД), магнитооптические диски, ZIP, сменные блоки памяти и.т.д; -электронные сканеры, компьютеризированные средства радиомониторинга, декодеры и модуляторы радиосигналов, приемные или передающие устройства, имеющие индикаторы и шкалы настроек и т.д.; - смартфоны, коммуникаторы, аппаратура сотовой, радиотелефонной, компьютерной (РВХ) связи, различные сменные аксессуары для портативных компьютеров, радиотелефонии, принтерам, магнитные; -таможенные, банковские, железнодорожные (в том числе и метропо- литена) телефонные, социальные карты. Эти данные следует описать по возможности сжато и четко, исходя из имеющихся ориентирующих фактов и признаков (т.е. тех фактов, которые делают обоснованным данное следственное действие для уполномоченного лица). Учитывая и проблематичность изъятия огромного ассортимента ком- пьютерных средств, а также технических и организационных сложностей доставки и размещения их в экспертном учреждении, для проведения иссле- дований, по мнению авторов, будет правильно запланировать и подготовить- ся к проведению предварительного экспертного исследования непосредственно в учреждении, где проводится следственное действие. Особенное значение, как было отмечено выше, это приобретает при наличии в учреждении разветвленной локальной сети, и оригинального (авторского) «софта», не распространенного в массовом количестве. В случае неизъятия носителей информации, оригиналов на НЖМД и оставлении их на месте обыска это может привести к потере НЖМД как ве- щественных доказательств, что будет противоречить принципам относимо-сти и допустимости представленных доказательств в суде. Тактически правильно на завершающей стадии следственного действия, в соответствии со ст. 82 УПК РФ уполномоченному лицу обеспечить со- хранность изъятых аппаратно-электронных компонент. Для чего необходимо 91 произвести подготовку аппаратных компонент в соответствии с рекоменда- циями, разработанными ГУ ЭКЦ МВД России1. Проведение данных меро- приятий необходимо в целях предотвращения порчи образцов при перевозке, модельному воссозданию аппаратной системы в экспертном учреждении и предотвращению внесения искажений в данные. Однако следует отметить, что даже при квалифицированно и процессуально правильно проведенном осмотре места происшествия (ОМП) возможна ситуация, при которой НЖМД (НГМД) будет изъят в нештатном (нерабочем) состоянии. Примерная схема действий следователя при производстве таких следственных действий, как допрос, уточнение показаний на месте, предъявление для опознания, исследованы учеными Ю.В. Гаврилиным, А.В.Касаткиным, О.В. Селивановым, Н.Г Шурухновым и др.2 1 См. материалы НИР ГУ ЭКЦ МВД России и ЮИ МВД России / Коллектив авто ров-М.: 1999-2001. 2 Расследование преступлений повышенной общественной опасности: Пособие для следователя./ Под научн. ред. проф. Селиванова и кюн Дворкина. М.,1999;. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Дисс... канд. юрид. наук. -М., 2001; Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дисс... канд. юрид. наук. -М., 1997; Шу~ рухнов Н.Г., Пушкин А.В. Расследование неправомерного доступа к компьютерной инфор мации. - М.,1999. С.56. 92 Глава 2. ПРЕДВАРИТЕЛЬНОЕ И ЭКСПЕРТНОЕ ИССЛЕДОВАНИЕ ТЕХНИЧЕСКИХ (АППАРАТНЫХ) СРЕДСТВ КОМПЬЮТЕРНЫХ И РАДИОЭЛЕКТРОННЫХ СИСТЕМ §1. Особенности назначения судебной аппаратно - компьютерной экспертизы. Подготовка материалов на экспертизу В соответствии со ст. 19 Закона «О государственной судебно- экспертной деятельности», ст. 195-207, 269, 282, 283 УПК РФ, а также из ст. 78, 288, 74 ГПК, ст. 66 АПК, ст.26.4 КоАП экспертиза назначается, если при производстве следственных или судебных действий возникает необходимость решения вопросов, связанных с областями специальных знаний в науке, технике, искусстве или ремесле. Эти познания могут содержаться, например, в таких отраслях научного знания, как радиотехника, электроника, электротехника, вычислительная техника и т.д. Необходимость назначения судебной САКЭ (как видовой составляющей - СКТЭ) определяется следователем или судом в соответствии с УПК РФ, однако следует отметить, что данный род судебных экспертиз в соответ- ствии со ст. 196 УПК РФ не относится к числу обязательных экспертиз, пре- дусмотренных процессуальным законодательством Российской Федерации. Порядок назначения экспертизы определяется ст. 195 УПК РФ: Особо следует отметить, что доказательственная информация, полученная в результате проведения СКТЭ, не может появиться ни из какого другого источника1. Это справедливо в полной мере и для судебных аппаратно- экспертных исследований. Поскольку на этот вид доказательств распростра- няются требования относимости и допустимости при непосредственном 1 Российская Е.Р., Усов A.M. Судебная компьютерно-техническая экспертиза.- М., 2001. С. 69. 93 представлении доказательств (образцов) в суде, то эти требования должны быть соблюдены и на этапе подготовки материалов к проведению эксперти- зы. Анализ результатов анкетирования более чем 21 ЭКУ, в которых про- водились исследования компьютерных и радиоэлектронных компонент, по- казывает, что практические органы в настоящее время испытывают большие затруднения при назначении и производстве компьютерно-технических экс- пертиз1. Работники ОВД и ЭКУ, вставая перед проблемой определения клас- са и рода назначаемых и производимых экспертиз, в 25 случаях из 50 отно- сили их к классу криминалистических экспертиз. Так, из 50 исследованных экспертных заключений: в 9 отсутствует название экспертизы вообще, в 8 приводится название экспертиз, не существующих в настоящее время, в 25 указаны названия экспертиз, не занимающихся исследованиями в области компьютерной техники. В экспертных заключениях произвольно варьируются названия основной части компьютерного терминала-системного блока. Так, в 20 случаях из 50 он называется просто компьютер. Отмечен разнобой и в названиях основных аппаратных частей компьютера. Незнание терминологии, функционального назначения составляющих компьютерных систем приводит в итоге к грубым ошибкам при назначении экспертизы, разночтению поставленных задач. Одной из составляющих, приводящей к подобному роду ошибок при назначении САКЭ, неумению определить другие необходимые видовые экс- пертные исследования СКТЭ, по нашему мнению, является несоответствую- щая поставленной задаче квалификация эксперта или специалиста. Практика раскрытия и расследования преступлений и итоги анкетирования ЭКУ пока- 1 Отчет о научно-исследовательской работе « Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» (Тема № 4.2 плана 2000) / Коллектив авторов. - М., 2001. С. 25. 94 зывают, что взаимодействие следователя с экспертом при назначении экс- пертизы чаще всего осуществляется в форме консультацией следователя по следующим вопросам: -определение вида судебной компьютерно-технической экспертизы; i -выбор экспертного учреждения и эксперта по производству аппаратной экспертизы; -формулирование вопросов по имеющимся аппаратным образцам; -подготовка объектов для производства САКЭ, в том числе и подбор образцов для сравнительного исследования; -назначение дополнительной, повторной, комиссионной, комплексной экспертиз аппаратных образцов. Экспертные исследования технических (аппаратных) средств в условиях места происшествия и экспертного учреждения В соответствии со ст. 195, 196, 199 УПК РФ следователь как процессу- ально - самостоятельное лицо, производя следственное действие и используя информационную поддержку в специальных (аппаратных) познаниях специалиста-эксперта, признает необходимым производство САКЭ, о чем составляет постановление в соответствии с приложением № 62 к УПК РФ - о назначении судебной экспертизы, в котором указываются: - основания назначения экспертизы; - - фамилия, имя, отчество эксперта, его образование и квалификация, наименование судебно-экспертного учреждения; - - вопросы, на которые должен ответить эксперт (в части, касающейся судебных аппаратно-компьютерных экспертиз, см. приложение к диссертации); - - предоставляемые аппаратные образцы (получаемые на основании ст.202 УПК РФ и предоставляемые в распоряжение эксперта для проведения исследования в соответствии с приложениями № 66, 67 к УПК РФ); 95 - разъяснении прав и обязанностей в действиях эксперта и специалиста (в соответствии со ст. 57, 58 УПК РФ, 307 УК РФ). Следует заметить, что при проведении следственных мероприятий по преступлениям, связанным с применением компьютерных и радиоэлектронных технологий, первое, с чем сталкиваются оперативно-следственные группы по прибытии на место происшествия, это большой ассортимент аппаратного, компьютерно-электронного оборудования, охватывающего сферы вы- числительной техники, радиоэлектроники и связи, АСУ, кибернетических систем и т.д. При этом необходимо оперативно выяснить его предназначение и функциональные возможности, для чего во взаимодействии со специалистом- экспертом или группой экспертов (ст. 200 УПК РФ) необходимо произвести классификацию и выявить функционально-конструктивные особенности компьютерно-радиоэлектронных средств, размещенных в учреждении. Можно определить в качестве основных задач экспертного исследования в условиях места происшествия оценку имеющегося аппаратного ассортимента компьютерного и радиоэлектронного оборудования, его функциональных и конструктивных особенностей, выявление и распределение аппаратных компонент в учреждении. УПК РФ, ст. 10 Закона «О государственной судебно- экспертной деятельности» не предписывается определенного места проведения аппаратной экспертизы, поэтому исследования аппаратных средств специалистом-экспертом на месте происшествия подготовят также и базу для получения процессуально-корректных результатов и при проведении последующих комплексных судебных экспертиз, так как программное, сетевое и информационное обеспечение всегда установлено и функционирует на конкретной аппаратной базе. Проведение непроцессуальных, «оценочных» осмотров техники специалистом на месте происшествия до возбуждения уголовного дела представляется также необходимым мероприятием. 96 Естественно считать, что подготовка аппаратных образцов и материалов для экспертного исследования непосредственно в условиях «места происшествия», будет иметь и свои особенности. Основное, что должно быть обеспечено при и после проведения подобных исследований, это сохранение процессуально- пригодной базы для последующего экспертного исследования аппаратных средств. Изложенное можно проиллюстрировать следующей схемой на рис. 10. На практике соотношение этих подвидов САКЭ должно определяться техни- ческой реализацией и состоянием компьютерной системы, в которой сосре- доточена криминалистически значимая информация, и другими особенно- стями конкретной следственной ситуации. Так, для компьютера или радио- электронного средства, работающего вне сети, возможно применение как ис- следования в условиях места происшествия, так и в «стационарных» условиях, что определяется существующей оперативно-следственной обстановкой, видом аппарата, имеющимся экспертным инструментарием и квалификацией эксперта. При разветвленных компьютерных сетях и оригинальном программном обеспечении в учреждении, где происходит следственное действие, предварительные и экспертные исследования непосредственно на месте происшествия представляются эффективными и экономически обоснованными из-за отсутствия затрат на перевозку, инструментальное хранение, моделирования сегмента сети в экспертном учреждении, а в случае недосказанности события преступления-издержек на возврат оборудования. При этом следует заметить, что поправки к ст. 185 УПК РФ (о наложении ареста на почтово-телеграфные отправления), предложенные Е.Р.Россинской и А.И.Усовым, о обеспечении законодательного поля для проведения следственных действий с сайтами электронной почты совместно с таким следственным действием, как арест компьютерной сети, обеспечат получение неизменной доказательственной (виртуальной. - Прим. автора) базы. 97 Особенности назначения экспертизы аппаратных средств V ЛТ \ Постановление о иссле- довании в условиях места происшествия Подготовка аппаратных образцов для исследования в экспертном уч- реждении ( консервация,транспор- тировка). IT 4 Подготовка к исследованию аппа- ратных устройств на месте проис- шествия т v / Постановление об исследовании в условиях экспертного учреждения. и / / 1 г Исследование в условиях места происшествия 1 Экспертное исследование в условиях экспертного учреждения V УГ Получение процессуально - корректных доказательств i г Инструментальное хранение аппаратных образцов Рис.Ю.Особенности назначения аппаратных исследований. Таким образом, можно сделать вывод о том, что, участвуя в следственном действии, эксперт не только помогает следователю правильно классифицировать объект САКЭ и сформулировать задачу, но и обеспечить следствию ее наиболее эффективное разрешение. Одновременно с этим специалист-эксперт сам проводит исследование по поставленным перед ним вопросам. Е.Р. Российская и А.И. Усов в отношении сказанного предлагают после обзорной стадии следственного действия и ознакомления эксперта с обстановкой места происшествия, выносить постановление о назначении экспертизы и сразу проводить исследование1. Полагаем, что такая форма в рассмотрен- 1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М., 2001. С. 167. 98 ном случае особенно приемлема для экспертной деятельности в правоохра- нительных органах. Сказанное можно проиллюстрировать примером из практики ЭКУ УВД Томской области (эксперт И.В. Ряшенцев), приведенный нами ранее. Напомним, что данный пример ставит вопрос об оценке эффективности и це- лесообразности изъятия аппаратных средств, и их перемещении в экспертное учреждение. Поэтому исследования специалистами были произведены непо- средственно на месте происшествия. Отмеченный практический пример подтверждает изложенную нами позицию о особенностях назначения и проведения экспертных исследований, обусловленных конкретной следственной ситуацией. Инструментальное обеспечение в этих случаях, по мнению экспертов ГУ ЭКЦ МВД России, должно охватывать все аппаратные и программные средства для проведения экспертных исследований в условиях места происшествия, в экспертном уч- реждении и при моделировании сегмента сети \ Подготовка аппаратных образцов к экспертизе На экспертизу могут быть представлены образцы - виды аппаратных объектов, классификация которых была приведена на рис.5. К изъятым образцам, должны быть предъявлены следующие требования2: -все образцы изымаются одномоментно; -требование сохранности аппаратов - вещественных доказательств; Саенко Г.В. Современные возможности КТЭ и характеристика технологий экспертного исследования компьютерных средств // Актуальные проблемы методического обеспечения и современные технологии экспертного исследования компьютерных средств. Краснодар. 19-21 июня 2001. 2 Васильев А.А. Компьютерно-электронные системы как объекты следственного осмотра. Реальные проблемы и виртуальная информация // Закон и право. № 4. С. 53-57. 99 -возможность воспроизведения действий эксперта другими экспертами, а соответственно, оценка их результатов судом. Подготовка материалов для проведения экспертных исследований должна предусматривать мероприятия, обеспечивающие исключение доступа (удаленного и местного, физического или технического) к аппаратному обо- рудованию. В общем виде процесс подготовки материалов для аппаратной экспертизы включает в себя три условные последовательные стадии, позво- ляющие, по нашему мнению, обеспечить получение процессуально - кор- ректных доказательств. 1. Процессуально-корректное выключение аппаратуры, разборка конфигурации и подготовка к упаковке. В эту стадию включаются этап завершения работы аппаратного средства с соблюдением методических и процессуальных норм, сбор торговой и технической документации об аппаратном средстве. Приведем пример. При подготовке аппаратных средств к изъятию для проведения экспертизы необходимо: путем опроса персонала или в ходе допросов выяснить сетевые имена пользователей и их пароли; изъять все оборудование, находящееся на компьютерных столах. При работе ПК произ- вести его «парковку» (по методике)1. Изымается все оборудование независимо от того, работает оно или нет. Опечатать столы. Внимание следует уделять и упаковочной таре, на которой может быть информация, помогающая идентифицировать электронное устройство. На рис. 11 приведен фрагмент упаковочной коробки сотового телефона «PHILIPS» на которой находятся: серийный номер, модель и тип аппарата, номер IMEI, штрих - код. Отчет о научно-исследовательской работе « Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» (Т. № 4.2 плана 2000) / Коллектив авторов, ЭКЦ МВД России, ЮИ МВД России. -М., 2001. С. 72. 100 PHI UPS (ы$ 8" 7101Э1"6б9в45 Design : Fantome / Black Ozeo ^-^ GSCTT 900/1800 998111006329 Made In Franca C€168 <© ССЭ TCD988/GKRS2LP2 CN : VY130Q36C05596 CONTENTS IMEI: 449663502172970 Phona (Black) BatUry 670mAh Charger EURO Carry east Utar manual / Rutalan Рис. 11 Фрагмент упаковочной коробки сотового телефона «PHILIPS». При подготовке к изъятию и перед упаковкой компьютерных и радио- электронных средств должны быть установлены и зафиксированы: конфигурация компьютера; номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия; прочая информация, имеющаяся на фабричных ярлыках и коробках. Изымается сопутствующая техническая, торговая и упаковочная документация и тара, относящиеся к данному аппарату. Например, уникальный IMEI- номер (международный идентификатор мобильного оборудования), позволяющий идентифицировать мобильный терминал, наносится как на упаковке под штрих - кодом, так и в аккумуляторном отсеке аппарата. Все изъятые системные блоки должны быть опечатаны таким образом, чтобы исключить возможность их включения в сеть или разборки. К изъятым носителям информации необходимо приложить информацию о владельце и месте изъятия. При изъятии НЖМД необходимо произвести описание содержимого жесткого диска и побитовое (лучше двойное) ко- пирование НЖМД на «зеркальную» копию или чистый компакт-диск (640 Мб). Эти действия должны быть зафиксированы в протоколе. Технически такую операцию можно осуществить только для компьютеров с установленной файловой системой FAT16 или FAT32, не являющих- 101 ся выделенными серверами в сети. Эти файловые системы используются в следующих операционных системах (ОС): MS-DOS и его клоны (FAT 16); Windows и Windows for Workgroups (FAT 16); Windows 95,98 (FAT 16, FAT32); Windows 2000, NT, Windows NT Server (эта ОС может использовать две разновидности файловых систем FAT 16 и NTFS, поэтому описанная ниже процедура может быть произведена только на разделе FAT 16). Для описания содержимого жестких дисков специалист, участвующий в следственном действии, должен заранее подготовить загрузочную дискету, к примеру, от операционной системы Windows 95 OSR2 (русская версия), в которой в файле IOSYS отменен этап проверки жестких дисков. Лучше ис- пользовать эту версию ОС, так как она работает с двумя файловыми систе- мами (FAT 16 и FAT32) и с файлами и каталогами, имеющими длинные име- на и символы национального алфавита в наименовании. Затем при включе- нии компьютера (до того, как начался процесс загрузки ОС) необходимо выйти в BIOS Setup. BIOS Setup - это специальная программа, хранящаяся в энергонезависимой памяти компьютера, которая позволяет производить основные настройки компьютера и сохранять их. Обычно при загрузке персонального компьютера выводится надпись с указанием клавиши, которую необходимо нажать для выхода в BIOS. Часто в организациях инженеры устанавливают пароли на вход в Setup компьютеров. При допросах (опросе) персонала необходимо выяснить эти пароли. Если это не удалось, то пароль можно дезактивировать с помощью специальной перемычки, находящейся на системной плате компьютера, или отключением аккумулятора, питающего энергонезависимую память компьютера. Однако данную операцию во избежание порчи оборудования следует проводить только высококвалифицированным специалистам1. 1 Отчет о научно-исследовательской работе « Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» (Т. № 4.2 плана 2000) / Коллектив авторов. - М., 2001. С. 48. 102 Для опечатывания носителей информации (данных) необходимо: 1) упаковать их в жесткую коробку, опечатать ее; 2) 3) на листе бумаги сделать описание упакованных носителей (тип каждого из них, их количество); 4) 3) коробку с носителями и лист с описанием положить в полиэтиленовый пакет, который заклеить. При опечатывании носителей информации недопустимо производить какие- либо действия с ними. 2. Упаковка и консервация аппаратного средства для его транспортировки в экспертное учреждение. В эту стадию следует включить мероприятия по упаковке, перевозке и сдаче образцов в экспертное учреждение. В частности, опыт ФБР в области работы с доказательствами (группа CART) показывает, что вопросам транс- портировки изъятого оборудования уделяется очень серьезное внимание, так как некачественное выполнение этого мероприятия ведет к утрате вещест- венной доказательственной базы1. Перед транспортировкой образцов ВТ и РЭУ их следует упаковать, а упаковку опечатать. Для этого можно использовать промышленную тару, ко- робки, пенопласт в качестве уплотнителя, мешки или ткань. Для НЖМД можно применить устройства для безопасной перевозки носителей памяти типа «Mobile-Rack» и «Fleksi-Drive». Дискеты, компакт-диски, кассеты следует перевозить в оригинальной плексиглазовой упаковке. Аппаратуру необходимо плотно разместить в упаковочной таре, которую жестко закрепить в транспортном средстве. При транспортировке избегать: воздействия вибраций и взаимодействий с химически активными веществами; магнитных воздействий на компь- 1Айков Девид, Сейгер Карл, Фонстрох Уильям. Компьютерные преступления: Ру- ководство по борьбе с компьютерными преступлениями. - М., 1999. С. 81. Тушканова О.В. Опыт экспертной работы ФБР США по исследованию компьютерных средств. Научно-практический семинар.Белгород. 28-31 мая 2000. - М., 2000. С. 116-120. 103 ютеры и на магнитные носители информации, а также оградить изъятое от воздействия магнитосодержащнх средств и криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.)1. Перевозку и хранение радиоустройств необходимо осуществлять в экранированных зонах с целью предотвращения возможной модификации в них информации. Например, перевозка сотовых телефонов на экспертизу должна проводиться в экранированной таре (полностью метал- лических коробках с плотной крышкой). После транспортировки аппаратов в зимних условиях следует обеспечить их прогрев в течение двух часов при комнатной температуре. Если изъятые аппаратные средства оставлены на временное хранение на месте происшествия, необходимо организовать их охрану. 3. Хранение аппаратных образцов до производства экспертизы. В эту стадию включаются обеспечивающие мероприятия по инстру- ментальному хранению изъятых аппаратных образцов в соответствии со ст. 82 УПК РФ. Инструментальное хранение доставленных аппаратных средств необходимо обеспечить в соответствии с паспортными требованиями изгото- вителя. Аппаратные объекты представляются на экспертизу в неизмененном виде, соответствующем их фиксации и упаковке в ходе проведенного следст- венного действия. Получение аппаратных образцов и их выдача оформляют- ся в соответствии с приложениями № 66, 67 к УПК РФ постановление и про- токол о получении образцов для сравнительного исследования. См, напр.: Зубаха В.С, Усов А.И. Направление разработки методического обеспечения производства компьютерных экспертиз и исследований. Сб.: Экспертная практика. №48.- М., 1999. С.45-58; Зубаха B.C., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству КТЭ (методические рекомендации). М., 2001. С Л 5-29; и др. 104 Некоторые рекомендации по выбору и подготовке эксперта Согласно Закону «О государственной судебно -экспертной деятельности», ст. 57, 195 УПК РФ, ст. 74 ГПК, ст. 67 АПК экспертиза производится экспертами соответствующего учреждения либо иными специалистами, причем в качестве эксперта может быть вызвано любое (в том числе и частное) лицо, обладающее необходимыми познаниями для дачи заключения. Например частными экспертами, могут являться: пенсионеры, в прошлом сотрудники государственных экспертных учреждений; сотрудники неэкспертных и негосударственных экспертных предприятий и учреждений, являющиеся специалистами в необходимой области знания; частные эксперты- профессионалы, у которых эта деятельность является основной. Важной составляющей системы качества СКТЭ является профессиональная подготовка экспертов в области компьютерных технологий. Если вопросы определения уровня профессиональной подготовки экспертов рег- ламентируются положениями закона «О государственной судебно- экспертной деятельности», то вопросы определения компетентности эксперта СКТЭ и форм его подготовки находятся сегодня в нерешенном состоянии \ Квалификация группы частных экспертов обычно подтверждена свиде- тельствами на право производства СКТЭ, которые выдаются соответствую- щими ведомствами. Однако процессуальный закон пока этого не требует и возлагает задачу определения компетентности эксперта на субъекта, назна- чающего экспертизу, который, как показывает практика назначения экспер- тиз в ОВД, сталкивается с большими трудностями, поскольку не является специалистом в данной отрасли знания. Однако наличие специального обра- зования в области информационных технологий - это необходимое, но не- достаточное условие компетентности для эксперта СКТЭ. Как мы продемон- стрировали выше, экспертные задачи САКЭ весьма специфичны и для их 1 Усов А.И. Концептуальные основы судебной компьютерно-технической экспертизы: Автореферат дис.... докт. юрид. наук. -М., 2002. С. 36. 105 успешного решения разрабатываются специальные методики, знание кото- рых является обязательным условием компетентности. Поскольку судебная экспертиза <- это новая синтетическая отрасль знания, включающая в себя подготовку по юридическим и экспертным дисциплинам, соответственно этому должен быть определен и минимальный набор знаний судебного эксперта в области юриспруденции, информационных процессов, электроники, радиотехники, защиты информации, телекоммуникаций и т.д. Учитывая специфичность аппаратного исследования, огромную роль специальных знаний при его проведении, многогранность возможных экспертных образцов, разнообразность методов, применяемых экспертом в исследовании, можно сделать вывод о том, что лицо, проводящее данное экспертное исследование, должно обладать широким политехническим обра- зованием в областях радиоэлектронных и компьютерных технологий и уметь ориентироваться в принципах организации и структуры, техническом по- строении и функционировании различных компьютерно-электронных систем (КЭС). Как отмечает Е.Р. Российская проведение САКЭ должно осуществ- ляться либо лицами, имеющими высшее техническое образование и знания в области системотехники, радиоэлектроники, информационных технологий, которые прошли переподготовку (в том числе и получили знания в области юриспруденции), либо лицами, имеющими высшее экспертное образование по специальности эксперт инженерно-технической экспертизы (например, в МГТУ им. Н.Э. Баумана). Автором вносится также предложение о возмож- ности использования специалистов, подготовленных по специальности № 654200 (радиотехника), с последующей их юридической подготовкой. Российская Е.Р. Проблемы использования специальных познаний при раскрытии и расследовании преступлений в сфере компьютерной информации: Материалы IX меж- дународной конференции по информатизации правоохранительных систем. - М, 2000. С. 431. 106 Подготовка по этой специальности включает в себя изучение компью- терной и радиоэлектронной аппаратуры, микропроцессорной техники, современных сетевых информационных технологий, основ твердотельной электроники, ее физических основ, программирования. ' Только обладая специальными знаниями и юридической подготовкой, эксперт будет в состоянии высококвалифицированно решить вопрос, интересующий следствие или суд, связанный с исследованием аппаратных средств. § 2. Производство судебных экспертиз и предварительных исследований технических (аппаратных) средств компьютерной системы Система методов решения задач судебной аппаратно-компьютерной экспертизы Состав и содержание экспертных методов САКЭ определяются прежде всего целями и задачами рассматриваемого вида СКТЭ. Ранее было уста- новлено, что ее целями в общем случае являются: определение статуса объекта как компьютерного средства, выявление и изучение его следовой картины в расследуемом преступлении, а также получение доступа к информации на носителях данных с последующим ее исследованием. В зависимости от классификации задачи, поставленной перед экспертом, системы объектов, им будет осуществлен и выбор метода исследования. Представленный перечень задач и объектов САКЭ объективно обу- словливает широкий круг экспертных методов и средств, а также наличие узких специализаций для решения частных вопросов экспертизы. Известно, что определяющая роль в последующей положительной оценке результатов экс- 107 пертного исследования принадлежит правильному выбору экспертного (сер- тифицированного) инструментария. В настоящее время практические методы и приемы экспертного исследования, как и научные способы производст- i > ва САКЭ, находятся в процессе своего становления. Методологическим базисом исследования аппаратных средств являются основные положения общей теории криминалистики и общей теории су- дебной экспертизы, ориентированные на судебно-экспертную сущность ме- тодологического инструментария1. Экспертное исследование САКЭ может проводиться с применением методов диалектической и формальной логики, общенаучных и специальных методов. Методы диалектики и формальной логики включают: анализ и синтез, индукцию и дедукцию, гипотезу, аналогию. Общенаучные методы, используемые при проведении САКЭ, включают в себя: чувственно-рациональные методы (наблюдение, сравнение, описание, эксперимент); математические и кибернетические. Под специальными методами САКЭ понимают такие методы, сфера применения которых ограничена одной или несколькими науками. К специ- альным методам относятся также общеэкспертные и частноэкспертные. При диагностическом экспертном исследовании аппаратных средств важное место занимают методы морфологического анализа, изучающие внешнее строение объекта (например, в системном блоке компьютера, отдельных плат, микросхем), а также топографию образующих его структурных элементов (сумма электронных блоков, неоднородностей, деформаций, дефектов и т.п.), возникающих при изготовлении, функционировании и взаимодействии объектов. Например, для морфологического анализа при ис- 1 Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» (Т. № 3.13 Промежуточный отчет НИР. 2000) / Кол. авторов. - М., 2001. С. 11. 108 следованиях аппаратных объектов в некоторых случаях может использовать- ся рентгенография. При экспертизе интеллектуальных смарт-карт может производиться ее рентгенография для диагностики внутренних соединений встроенной виртуальной машины, взаиморасположения контактов, скрытых от визуального наблюдения верхним покрытием карты. Применяемые общеэкспертные методы могут в дальнейшем найти свое развитие благодаря качественному улучшению аппаратных характеристик - объектов САКЭ, а также специфики решаемых экспертных задач. Это обусловлено проникновением современных информационных технологий и компьютерных средств во все области научной и практической деятельности. К частноэкспертным методам САКЭ можно отнести используемые специальные методы следующих научных направлений: электронику, элек- тротехнику, радиотехнику, связь, ИТКС технологии и системы, вычисли- тельную технику и программирование и др. Частноэкспертные методы могут быть представлены по условиям их использования, по стадиям процесса экс- пертного исследования, по воздействию на объект экспертизы (например, разрушающие и неразрушающие методы). Например, при проведении прак- тических исследований аппарата, находящегося в нештатном состоянии, ак- туальной является классификация методов экспертного исследования, разра- ботанная Е.Р. Российской и адаптированная нами в процессе исследований, проведенных в ГУ ЭКЦ МВД России1. Данная классификация взята в качестве основы для разработки и классификации методов исследования КЭС в за- висимости от степени сохранности объекта . Следует заметить, что общеэкспертные методы аппаратных исследований также могут быть разрушающими или неразрушающими. Применение Отчет о научно исследовательской работе, «Методы и средства решения задач компьютерно- технической экспертизы» (заключительная тема НИР 2001 г. № 3.7) / Кол. авторов. -М, 2001. С. 17. 2Россинская Е.Р. Концептуальные основы теории неразрушающих экспертных методов исследования вещественных доказательств. Дис... докт. юрнд. наук. - М., 1993. С.53 109 того или иного метода не является самоцелью, а определяется складывающейся следственной ситуацией. Приведенные методы позволяют проанализировать и исследовать необходимую степень воздействия на аппаратный объект, например на жесткий диск (ЖД) при проведении разных этапов экспертного исследования, решить вопрос о корреляции следственной или экспертной ситуации выбором того или иного метода исследования объекта экспертизы. Все отмеченные методы экспертного исследования аппаратных компьютерно- электронных средств, по нашему мнению, целесообразно объединить в систему аппаратно-компьютерных экспертных методов. Основу функционирования любой компьютерно-электронной системы составляет базовый комплекс специальных методов из таких научных областей, как радиотехника и электроника. В свою очередь базовыми для этих областей являются такие области знания, как математическая физика (ряды Фурье, преобразование Лапласа, теория Графоф и т.д.), физика твердого тела, физические основы микроэлектроники и волновых процессов, радиотех- нических цепей и сигналов, теория построения систем радиоавтоматики, оп- тоэлектроники, радиоизмерений, теории построения автоматизированных микропроцессорных систем и т.д. что должно учитываться при моделировании и построении математических моделей исследуемых КЭС. Когда объектами аппаратного исследования являются средства подвижной связи (GSM, GPS, GPRS, PMR (транкинговой),1 в том числе и получившие в последнее время развитие на базе Интернет технологий VPN - сети2, основными методами исследования методы телекоммуникационных технологий являются: протоколирование; представление, дискретизация и квантование непрерывных сообщений, сигналов и помех; аналоговые и циф- PMR - системы (Professional Mobile Radio). В России эти системы эквивалентны транкинговым системам. 2 VPN-сети (Vittyal Private Netzcom). Виртуальные корпоративные сети. 110 ровые методы передачи сообщений; объединение, разделение и коммутация каналов (частотные, временные, кодовые); модуляция и демодуляция радио- и оптических сигналов; кодирование и декодирование сообщений; помехо- устойчивое кодирование; сжатие информации; защита информации в сетях и каналах связи и др. Эти методы могут найти широкое применение также при решении таких диагностических задач САКЭ, как анализ радиоэлектронных сигналов, их генерирование и формирование, прием и обработка, запись и воспроизве- дение. Они позволят эффективно решать экспертные задачи по установлению технических свойств аппаратных средств и их характеристик, установлению соответствия выявленных характеристик типовым, определению фак- тического состояния и исправности, наличия физических дефектов, установ- лению фактов несоблюдения эксплуатационных режимов, обстоятельств ис- пользования недокументированных сервисных возможностей и т.п. В целом, нами выдвигается обоснованное предположение, что указанные методы являются базовыми (определяющими) специальными методами экспертных исследований аппаратных объектов при проведении САКЭ. Основополагающим методом решения идентификационных задач ап- паратных экспертиз должен являться метод сравнения - одновременное изу- чение двух или нескольких объектов с целью установления множеств объе- динений и различий. Выбор того или иного метода аппаратного исследования, в зависимости от экспертной ситуации, должен не противоречить основным критериям судебно-экспертной деятельности, как - то законность, обоснованность, дос- товерность получаемых результатов, безопасность, эффективность, рента- бельность, экономичность, этичность, а также соответствовать такому спе- Ill цифическому критерию, как допустимость метода1. Требование допустимости является отличительным признаком судебного исследования аппаратных средств, отличного от «чистонаучного» или «чистопрактического» изучения. i Проведение экспертного исследования аппаратных средств, в зависимости от поставленной диагностической или идентификационной задачи. Основные задачи и вопросы экспертам сформулированы и представлены нами ранее исходя из анализа исследований типичных аппаратных объектов. При диагностических задачах исследованию подлежат не только свойства и состояние объекта аппаратной экспертизы, но и механизм, процессы и действия по результатам применения (использования) КЭС. Идентификационные задачи КТЭ имеют своей целью установить факт индивидуально-конкретного тождества или общей групповой принадлежно- сти представленных объектов аппаратной экспертизы. Диагностика аппаратных КЭС включает: определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик (например, для решения определённых функциональных задач), потребительских свойств; выявление в составе аппаратного средства объектов со статусом носителя данных, диагностирование на соответствие виду (типа, марки), диагностика на соответствие техническим характеристикам носителя, определение устройства доступа к выявленному носителю данных; определение фактического состояния и исправности аппаратного средства, наличия физических дефектов; установление возможности доступа к носителю данных и диагностирование технических причин его ограничения; определение структуры механизма и обстоятельства события по резуль- 1 Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» (Тема № 3.13 Промежуточный отчет НИР. 2000) / Кол. авторов. - М., 2001. С. 13. 112 татам использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы; установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения; определение условий (обстановки) применения аппаратных средств, восстановление хронологической последо- вательности их использования, места действия и функционирования.1 Сущность идентификационных исследований аппаратных средств за- ключается в материально фиксированной форме отражения общих и частных признаков, их объективном наличии и фиксации в аппаратных объектах экс- пертизы. На основании исследований, проведенных в ГУ ЭКЦ России и ЮИ МВД России для КТЭ, можно выделить четыре группы идентификации аппа- ратных объектов: 1) установление индивидуально-конкретного тождества; 2) 3) установление целого по его частям (фрагментам) (как разновидность индивидуального отождествления); 4) 5) установление групповой принадлежности; 6) 7) определение общего источника происхождения (как разновидность установления групповой принадлежности. 8) К первой группе можно отнести идентификацию электронного аппарата или компьютерной системы, например, по паспортной документации, договору на гарантийное обслуживание и т.п. Ко второй группе можно отнести установление факта взаимопринадлежности частей компьютерного средства единому целому. К третьей группе относится идентификация аппаратных средств, например, НЖМД персонального компьютера по выявленным общим и частным признакам (серийные номера, форм-факторы, емкость и структура на- 1 Усов А.И. Предмет, виды, объекты и задачи КТЭ // Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М., 2000. С.48-66. из копителя, среднее время доступа к данным, скорость передачи данных, способ и плотность трековой записи и др.) на предмет принадлежности к конкретной партии винчестеров. К четвертой группе можно отнести отождествление носителя информации (например, флоппи-дисков) и дисковода, осуществившего запись данных на диски. Технологические уровни аппаратно-экспертного исследования Производя анализ отечественной и зарубежной практики экспертных исследований КЭС, учитывая положения ст. 20 Закона «О государственной судебно-экспертной деятельности»,1 классификации, предложенные В.А. Мещеряковым и другими, нам представляется обоснованным выделение сле- дующих технологических уровней проведения судебных аппаратно- компьютерных экспертиз, различающихся между собой сложностью (углуб- ленностью) процесса исследования аппаратных компонент и местом прове- дения экспертизы: - исследования аппаратных средств в условиях места происшествия; - исследования аппаратных средств в экспертном учреждении; - - сложные (более углубленные) исследования аппаратных средств в экспертном учреждении. - Следует заметить, что данная технологическая схема реализует позицию В.А. Мещерякова о «обеспечении максимальной детализацией вопросов, выносимых на разрешение экспертов»2. Эта детализация вопросов воз- См. ст. 20 «Производство дополнительной и повторной судебных экспертиз» Закона « О государственной судебно-экспертной деятельности». 2 В США, как отмечает В.А. Мещеряков, при проведении экспертиз в сфере компьютерной информации выделяют три технологических уровня: 1) экспертиза низкой интенсивности; 2) стандартной степени интенсивности; 3) высокой интенсивности. См.: Мещеряков В. А. Компьютерно-техническая экспертиза и тактические рекомендации по ее назначению. - Воронеж. Изд. 2000. 114 можна при реализации перечисленных этапов, различающихся между собой степенью углубленности исследования аппаратного образца, при которых ре- зультаты экспертизы предыдущего уровня могут использоваться для конкре- тизации задач, формулируемых на следующем уровне. Каждому технологи- ческому уровню соответствует и определенный комплект экспертного инст- рументария. Основной задачей исследований аппаратных средств в условиях места происшествия являются: определение назначения и структуры аппаратного средства, или системы, особенностей ее функционирования на месте проис- шествия в момент совершения криминального события или в строго опреде- ленные временные границы, а также установление содержимого накопителей данных и используемого в вычислительной системе программного обеспече- ния. При этом осмотр осуществляется с использованием стандартных лицен- зионных инструментальных программных средств и мобильного аппаратного экспресс-инструментария (например, мобильный стенд для следственного осмотра компьютерных средств)1. Сроки проведения данных исследований обусловлены, на наш взгляд, временем следственного осмотра КЭС непо- средственно на месте происшествия или могут незначительно превышать его. Установлению таких достаточно жестких сроков способствуют ограниченные цели и весьма широкие возможности по автоматизации проведения работ в рамках следственного осмотра в условиях места происшествия. При проведении аппаратной экспертизы в экспертном учреждении типовые задачи, на наш взгляд, могут быть следующие: осуществить «вскрытие» системного пароля; отключить используемый криптоблок; нейтрализовать систему (программная, аппаратно-программная или аппаратная) защиты информации; установить особенности функционирования и конструкции ап- 1 Саенко Г.В. Современные возможности КТЭ и характеристика технологий экспертного исследования компьютерных средств // Актуальные проблемы методического обеспечения и современные технологии экспертного исследования компьютерных средств. Краснодар. 19-21 июня 2001. IIS паратных средств, режимы, предполагаемую конфигурацию; получить ин- формацию с носителя памяти, найденного в тайнике, и т.д. Данный техноло- гический уровень аппаратной экспертизы, на наш взгляд, должен проводить- ся на уровне ЭКУ УВД области, областной НИЛ судебной экспертизы. Сроки ее проведения в зависимости от «нетрадиционности» или «нестандартности» представленных аппаратных образцов, а также принимая во внимание сло- жившуюся практику проведения экспертных исследований компьютерных компонент в ГУ ЭКЦ МВД России, по нашему мнению, могут быть 1-2 меся- ца. В зависимости от поставленной задачи применяемых методов, требуемого инструментария, складывающейся следственной ситуации и состояния объекта экспертизы может потребоваться технологически более углубленное (сложное) экспертное исследование электронного аппарата. Например, при- менение разрушающих методов к НЖМД, находящегося в нештатном со- стоянии, в следствии полученного удара. Определяющими критериально-оценочными параметрами при назначении подобного экспертного исследования могут быть такие составляющие механизма преступления, как: объект преступления (преступления против государственной власти), размер причиненного ущерба, предполагаемое наказание за совершенное преступление и т.п., иными словами, криминаль- ные события, «адекватные» сложности и возможным предотвращенным по- следствиям. Для проведения сложного экспертного исследования следователь должен направить эксперту заключения предшествующих экспертиз, если таковые проводились с аппаратом ранее, а также все вещественные до- казательства, передававшиеся для предыдущих экспертиз. Не исключается и проведение сложного технологического уровня экспертизы без проведения упомянутых ранее технологических уровней, например в случае, если аппарат (носитель памяти) был подвергнут ударному воздействию. 116 Так как сложная САКЭ представляет собой наиболее углубленное тех- нологическое экспертное исследование аппаратного объекта, то ее целью яв- ляется гарантированное решение поставленных перед экспертом задач. Для проведения подобной экспертизы используются существующие в распоряжении правоохранительных органов техника и специальное технологическое оборудование. К подобному оборудованию можно отнести: гермозоны, ком- пьютерные томографы для изучения структуры полупроводникового кристалла (для выявления специфических участков, реализующих недокументи-рованные, вредоносные функции), высокочувствительные устройства считывания данных с магнитных носителей (обеспечивающие чтение информации по сигналограммам), рентгеноскопия (для просвечивания подложек) и т.д. Следует заметить, что сложная САКЭ это очень трудоемкий, наиболее технологически сложный уровень аппаратного исследования, поэтому она должна проводиться в высокоспециализированных научных учреждениях, обладающих высоким потенциалом и необходимым высокотехнологичным инструментальным обеспечением. Такие центры могут быть созданы как на базе экспертных институтов правоохранительных органов, так и на базе конверсии научно- исследовательских учреждений МО РФ. Учитывая уникальность экспертизы такого рода, минимальные сроки ее проведения должны определяться возможностями выбранного технологического режима. Серьезные требования предъявляются и к квалификации эксперта, проводящего подобное исследование. Содержание основных стадий экспертного исследования аппаратных объектов (последовательность действий эксперта). В общем виде экспертное исследование аппаратных средств также как и любое другое исследование в судебной экспертизе, имеет следующие основные стадии: подготовительную; проведения собственно экспертного ис- 117 следования, в том числе экспертного эксперимента; анализа результатов и составление экспертного заключения САКЭ. Подготовительный этап аппаратной экспертизы Он включает в себя осмотр экспертом объектов экспертизы еще на месте происшествия и далее в стационарных условиях. При этом эксперт уясняет взаимосвязь исследуемого аппарата с другими КЭС и на основании классификации использования преступниками аппаратных средств производит выдвижение экспертных гипотез (версий) о возможных путях решения вопросов в рамках судебной компьютерно-аппаратной экспертизы, и применяемых методах исследования. Продумывается составление плана экспертного исследования КЭС, планируются организационно-технические меры, необходимые для исследования. Приведем краткое содержание описанных категорий. Осмотр объектов САКЭ начинается с ознакомления с основаниями проведения экспертизы, предоставленными материалами следствия и аппа- ратными объектами и материалами, с которыми предстоит работать. Сле- дующим действием эксперта является непосредственный осмотр представ- ленных на экспертизу аппаратных объектов. При этом ему необходимо об- ратить внимание на целостность упаковки и печатей. При необходимости осуществляется предварительный просмотр данных, хранящейся на носите- лях. Экспертом должна учитываться, в соответствии с УПК РФ, возможность проведения повторного (ст. 207 УПК РФ) комплексного (ст.201 УПК РФ) или комиссионного (ст.200 УПК РФ) экспертного исследования. После этого эксперт осуществляет планирование (по шагам) и логическое моделирование предстоящего экспертного исследования, включающего описание используемого аппаратно-программного (лицензированного) инструментального обеспечения и его подключение, планируемые промежуточ - 118 ные и конечные результаты. При этом следует зафиксировать следующие моменты: - полный состав аппаратного обеспечения эксперта и режимы подключения всех плат (положения джемперов,1 используемые аппаратные настройки и т.п.); - - режимы подключения внешних носителей информации (на каком разъеме они установлены, как установлены джемперы и т.п.); - - полный состав общего (операционные системы, драйверы внешних устройств), общесистемного (системы управления базами данных, электрон- ные таблицы, командные оболочки и т.п.) и специального программного обеспечения, установленного на компьютере эксперта, основные параметры установки, последовательность запуска при начальной загрузке операцион- ной системы, а также степени соответствия, используемой при экспертизе конфигурации; - Значение такого подробного описания весьма велико, так как в ряде случаев из-за некорректного или нестандартного подключения исследуемых магнитных носителей данных (информации) могут быть получены неверные результаты или вообще поставлено под сомнение сама возможность прове- дения исследований. Опыт проведения КТЭ в ОВД показал необходимость выполнения ряда обязательных первоочередных исследований (практически независимо от особенностей поставленных перед экспертом вопросов)1, а именно: - проведение проверки на наличие программных вирусов и других вре- доносных программ с использованием последней версии рекомендуемых ан- тивирусных программ; Цит. по: Мещеряков В. А. Компьютерно-техническая экспертиза и тактические рекомендации по ее назначению. - Воронеж. Изд. 2000. 119 - определение системного времени, установленного на системной плате, а также соответствующих атрибутов файлов и директорий; - - определение используемого режима форматирования магнитного носителя, размера кластеров, количество дорожек и цилиндров. Выявление наличия поврежденных областей на НЖМД. - Данная информации в исследовательской части заключения эксперта даст возможность решить впоследствии и при необходимости вопрос о проведении экспертизы последующих уровней. По характеру выполняемых действий осмотр экспертом аппаратных объектов на месте происшествия или в экспертном учреждении можно разделить на: общий осмотр, осмотр вложений и внешний осмотр компьютерных средств (в частности, носителей данных (информации). При общем осмотре производятся следующие действия: изучение содержимого протоколов осмотра, обыска и др. (при их наличии) с целью учета в дальнейших исследованиях особенностей выполнявшихся ранее следственных действий; изучение оборудования и уяснение его связи с другими КЭС. В случае проведения экспертизы в экспертном учреждении - осмотр упаковки на целостность (коробок, пакетов, мешков и пр.), наличие и состояния печатей, подписей следователя и понятых, установление полного соответствия представленных материалов перечню приложения, сопроводительного письма и постановления о назначении экспертизы. Осмотр производится путем вскрытия упаковки и сверки содержимого вложений внутренней описи, составления описи объектов исследования по факту и фиксирования целостности упаковки, вложений и признаков меха- нических повреждений. Внешний осмотр КЭС и носителей информации производится: путем установления форм-факторов (фиксируются размеры корпуса, его особенно- сти, наличие устройств для работы с носителями информации, наличие и со- став разъемов, плат расширения, заглушек, наклеек, маркировок); конструк- 120 тивных особенностей и параметров принтеров, сканеров клавиатур, монито- ров, устройств-манипуляторов типа «мышь», шнуров питания и т.д.; опреде- ления типа носителей данных (информации) (НЖМД, ГМД, компакт-диск, стриммерная кассета, FLASH-карта, электронная записная книжка, магнито- оптический диск, ZIP-диск и др.). Фиксирование признаков механических повреждений компьютерной техники и носителей информации, затрудняю- щих работу с ними в обычном (штатном) режиме, позволит впоследствии эксперту выяснить необходимость исследования нештатного состояния ап- паратного средства, а также серийных и инвентарных номеров осматривае- мых объектов. Осмотр экспертом компьютерных или радиоэлектронных объектов должен заканчиваться подробным описанием признаков исследуемых объектов. Для аппаратных объектов этими признаками являются: тип (вид, модель); форм-фактор и геометрические размеры; цвет; наличие или отсутствие серийного номера, кода и т.п.; отличительные признаки и особенности с пол- ным их описанием и составом (кнопки, переключатели, наклейки, характер- ные надписи, повреждения) и т.д. Проведение осмотра объектов экспертом рекомендуется сопровождать фиксированием на цифровую видео- и фотока- меру. Полученные изображения оформляются в виде фототаблицы, распеча- тываются и прикладываются к заключению эксперта в части, касающейся описания объектов1. См., напр.: Экспертное заключение № 9287Э к Уголовному делу № 255230 от 5 июня 2000. 12! Выдвижение экспертных гипотез Экспертом выдвигается рабочая гипотеза (экспертная версия), в которой им формируется предположения о том, какими, по мнению эксперта, могут быть результат исследования и выводы, а также предполагаемые аппаратные методы, которые будут использованы для достижения предполагаемого результата. На основе этого предположения эксперт составляет план экспертного исследования. План экспертного исследования аппаратного объекта, - это логически проработанная последовательность действий, предпринимаемых экспертом с целью оптимального решения поставленной задачи. Логическая проработан- ность и обоснованность, с криминалистической точки зрения плана эксперт- ного исследования аппаратного объекта, и придают впоследствии заключе- нию статус доказательства. Проведение организационно—технических мер Эти экспертные действия необходимы для обеспечения технологической стороны исследований. Они включают: определение требуемого экспертного инструментария, который представляет собой аппаратное и программное обеспечение компьютеризированного рабочего места эксперта (КРМЭ) и организационно- методическое, в которое входят сертифицированные экспертные методики, рекомендации, справочное и каталоговое обеспечение, инструкции, техническая документация на аппараты и т.д. Эксперту необходимо также определить способ взаимодействия с другими экспертами в случае необходимости проведения комплексной комиссионной и дополнительной экспертизы. 122 Экспертное исследование некоторых типичных объектов аппаратно- компьютерной экспертизы Как показывает исследуемая нами практика проведения экспертных исследований аппаратных средств, здесь можно выделить несколько видов исследовательской деятельности. Раздельное и сравнительное исследование в основном применяется при решении идентификационных задач. В диагно- стических исследованиях в зависимости от того, является ли решаемая задача прямой или обратной, могут применяться методы аналогии или моделиро- вания (мысленное, физическое, математическое)1. При решении задач диагностики аппаратных объектов (изучении его свойств и состояний) аналитические исследования позволяют также решать задачи по прогнозированию функциональных возможностей компьютерных и радиоэлектронных систем. Экспертное исследование аппаратных объектов должно проводиться в полном соответствии с заданием следственных или судебных органов, опираясь на имеющиеся у эксперта специальные знания. Основу этих действий должны также составлять сертифицированные методики экспертного исследования. При этом, как отмечает А.И. Усов, все разрабатываемые и применяемые экспертные методики в сфере информационных технологий должны быть утверждены Федеральным межведомственным координационно- методическим советом по проблемам экспертной деятельности и соответст- вовать требованиями паспортизации судебно-экспертных методик . 1 См. напр.: Российская Е.Р. Криминалистика. - М, 1999. С. 39. 2 Усов А.И. Концептуальные основы судебной компьютерно-технической экспер тизы: Автореферат дис докт. юрид. наук.- М., 2002. С.35. 123 Типичные объекты экспертного расследования аппаратных средств Проведенные исследования показывают, что аппаратно-компьютерные компоненты, представленные ОВД на экспертизу в ЭКП, имеют распределе- ние, представленное на гистограмме рис.12 (а, б)1. Для текущего этапа становления аппаратных экспертиз данные иссле- дования являются особенно важными, так как выделение типичных аппаратных объектов: определенных компьютерных средств, составляющих наибольшую долю в общем перечне вещественных доказательств по делам рассматриваемых категорий, позволяет правильно оценить первоочередность разработки методик. Как видно, пики гистограмм соответствуют: IBM-совместимый системный блок персонального компьютера-57%, носитель памяти- несъемный жесткий магнитный диск НЖМД (ГОЕ)-29%, гибкий магнитный диск (ГМД)- 46%. Участниками Европейской рабочей группы по криминалистическим информационным технологиям - FIT (Forensic Information Technoloqy), созданной в сентябре 1998 г., была произведена оценка экспертной значимости аппаратных средств, в которых потенциально может содержаться криминалистически значимая информация, имеющая доказательственное значение, и которые были представлены на экспертизу (в процентах от участников группы). Гистограмма оценок приведена на рис. 132. Причем судебные экспертизы данных объектов выполняют в интересах (по постановлениям) полиции 85% участников FIT - рабочей группы в инте- ресах следствия - 58%, по постановлениям судов - 65% и в интересах других служб-19%. 1 Отчет о научно-исследовательской работе «Разработка методического обеспече ния производства криминалистических экспертиз и исследований программно- технических средств при расследовании преступлений в сфере компьютерной информа ции» (Т. № 4.2 плана 2000) / Кол. авторов. - М, 2001. С. 28. 2 С. напр.: УсовА.И., Зубаха B.C. и др. Современные тенденции и перспективы раз вития судебной экспертизы в сфере высоких технологий (по опыту зарубежной эксперт ной практики): Сб. Экспертная практика. № 49.- М., 2000. С. 115-134, и др. 124 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Сервер ЛШсШ^ IBM- ». совмес- тимый ? систем- ный ^г блок \ Прин тер Сканер Иное Рис.12 (а). Аппаратные компоненты представленные в ОВД на экспер- тизу. йШ'-* нжмд (IDE) Иное RAID 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Рис.12 (б). Исследованные носители данных, представленные в ОВД на экспертизу. 125 Повсеместно отмечается рост числа преступлений с использованием аппаратных компонент, корелирующих с производством компьютерных экс- пертиз. Оценки, основанные на опыте судебной практики исследования ком- пьютерных вещественных доказательств чешскими экспертами, свидетельст- вуют, что около 75% общего объема объектов экспертизы составляют IBM PC-совместимые компьютеры на основе CISK технологий (частоты процес- соров порядка 1-2 ГГц) и их носители информации. Около 10% составляют другие типы компьютеров, в том числе на основе RISC-технологий (частоты процессоров порядка десятков ГГц) со своими носителями информации. 80% ^шзш?' жзш^ Персо 60% 60% наль- ный Креди Компь 50% компь таые ютер- 43% ютер юр- ные Элек- мо- точки сети троя- биль- ные теле- ные запис- ные фоны книж ки Другие .';-_? .:, объек- '\:'>:- ТЫ Рис.13. Оценки криминалистической значимости аппаратных компонент группой FIT. "Следует отметить, что в настоящее время наиболее мощные корпоративные системы (сети) базируются на рабочих станциях фирм «SILIKON-GRAFICS» или «SUN MICROSYSTEMS» на процессорах «ALPHA» (RISK) технологии. Оставшаяся часть экспертной работы (15%) посвящена изучению других аппаратных устройств компьютерных систем. Вот почему разработка и 126 внедрение сертифицированных экспертных методик исследования типичных аппаратных объектов приобретают сегодня первоочередное значение. Как было отмечено ранее, в судебно-экспертном аспекте важным в плане очередности выявления объектов экспертизы при собирании кримина- листически значимой информации СКМ являются именно накопители дан- ных на жестких (НЖМД) и гибких (НГМД) магнитных дисках. По отношению к самому компьютеру накопители могут быть внешними и встраиваемыми (внутренними). Внешние имеют собственный корпус и источник питания. Встраиваемые накопители крепятся в специальных мон- тажных отсеках (drive bays) и позволяют создавать компактные системы, ко- торые совмещают в системном блоке все необходимые устройства. Сам на- копитель можно рассматривать как совокупность носителя и соответствую- щего привода. В связи с этим различают накопители со сменным и несменным носителями. В общем случае накопителями могут быть все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты и ЧИП-карты, флеш - память мобильных терминалов (Intel Wireless Flash, 64 MB), микросхемы памяти в домофонах, флэш-карты и т.п. Важнейшей характеристикой аппаратных объектов, при решении задач диагностирования является интерфейс, посредством которого накопители данных и другие электронные компоненты (блоки, платы расширения) согла- суются с компьютерной системой. Проведение экспертных исследований аппаратных средств представляет собой сложную, многофакторную проблему, поэтому авторы не претендуют на полноту изложения всех вопросов. Многие из них были рассмотрены в других источниках (см. литературу). Некоторые методические аспекты экспертного исследования нетипичных компьютерных средств - сотовых телефонов и SIM - карт (стандарта 127 GSM 11.11/14), в том числе в условиях места происшествия, а также орга- найзеров, пластиковых платежных и кредитных средств (стандарта ISO 7811, 7812, 7816-4,9001)1, системного IBM-совместимого блока, ноутбука, НЖМД, компакт-диска - приведены в приложении № 4, № 5 к диссертации. Среди большого количества частных экспертных задач, подлежащих разрешению в ходе производства САКЭ, особо выделяются задачи исследо- вания информации, хранящейся на жестких и гибких магнитных дисках2. Эксперт прежде всего должен проверить, исправен ли представленный на экспертизу носитель информации, возможен ли доступ к информации типич- ными экспертными средствами. А затем уже проводится весь комплекс ис- следований, связанный с выявлением криминалистически значимой инфор- мации на представленных объектах. Пример исследования неисправного но- сителя информации - жесткого диска приведен в приложении к диссертации. Специальные методы позволяют проанализировать и исследовать не- обходимую степень воздействия на объект при проведении разных этапов экспертного исследования (возможно ли в данной следственной и экспертной ситуации применение неразрушающих методов к объекту экспертизы или это невозможно). При этом в зависимости от нештатного состояния диска возможно применение деструктивных методов экспертного исследования, классификация которых была дана Е.Р. Российской3 и адаптирована нами для исследования диска, находящегося в нештатном состоянии. Эта классификация, по нашему мнению, применима для любого аппаратно- экспертного ис- 'ISO International Standarts Organization - Международный стандарт качества для пластиковых карт, например, ISO 7816, ISO 9001 (телефонные ЧИП - карты), ISO 7811 (магнитаьге карты (МК)), ISO 7812 (карты метрополитена, «Банк Москвы» и др.), ISO 7816-4 (микроконтроллер кб 50004ве1, ОС типа «Оскар», криптография ГОСТ 28147-89, тех паспорт на транспорт, студенческие удостоверения, дотационные карты и т.д. произ- водство фирмы «АНГСТРЕМ» с 2001-2002 гг. 2Отчет о научно-исследовательской работе «Методы и средства решения задач КТЭ (заключительный № 3.7.2001). / Кол. авторов. - М., 2001. С. 17. ^Российская Е.Р. Концептуальные основы теории неразрушающих экспертных методов исследования вещественных доказательств: Дис. докт. юрид. наук. - М., 1993. С.53. 128 следования и отвечает требованиям ст. 10 Закона «О государственной судебно- экспертной деятельности в РФ». В частности, к таким методам относятся: 1. Методы восстановления, не разрушающие жесткий диск, но меняющие его отдельные нештатные аппаратно-физические или аппаратно- логические характеристики на штатные и приводящие НЖМД в штатное со- стояние. 2. 3. Методы ремонтно-восстановительные, также не разрушающие жесткий диск, но меняющие его отдельные нештатные аппаратно-физические или аппаратно-логические характеристики на штатные путем замены структур- ных элементов устройства аналогами, и приводящие его в штатное состояние. 4. 5. Деструктивные методы, т.е. полностью разрушающие НЖМД как электронное устройство, но восстанавливающие криминалистически значи- мую информацию, зафиксированную в виде магнитных сигналограмм на магнитных дисках (МД) НЖМД и требующие применения «сложных» тех- нологических уровней аппаратной экспертизы. 6. В последнем случае штатное состояние НЖМД как электронного устройства не восстанавливается, однако криминалистически значимая информация, зафиксированная на МД может быть восстановлена по магнитным сигналограммам. (см. рис. 15а, приложение №4). При этом с определенной степенью вероятности можно предположить, что сами МД не повреждены и применение деструктивного метода по отношению к НЖМД, как электрон- ному блоку, не ведет к потере криминалистически значимой информации, содержащейся на МД. Следует отметить, что технологическая реализация исследуемого объекта в основе своей определяет требования к системе применяемого инструментария и экспертных средств, включающих определенные требования к помещению, где проводится экспертиза (в нашем случае это обязательно 129 стандартная гермозона, то есть зона особой чистоты, стендовое оборудование, приборы, инструменты и материалы и т.д.). Рассмотренные в настоящем исследовании, а также другие достаточно известные, специальные методы и средства могут быть положены в основу формирования аппаратных частноэкспертных методов САКЭ. Следует заметить, что проведенное исследование носит универсальный характер и может быть принято за основу при исследовании практически любого аппаратного объекта, находящегося в нештатном состоянии. Экспертный эксперимент по установлению факта взаимопринадлежности функциональных узлов и блоков исследуемому IBM-совместимому системному блоку (вторая задача аппаратной идентификации) Приведем пример решения модельной (типовой) задачи идентификации экспертом по установлению факта взаимопринадлежности системной платы, блока питания компьютера, НЖМД, устройства для чтения компакт-дисков (CD-ROM), гибких магнитных дисков (ГМД) размером 3,5 и 5,5 дюйма к IBM- совместимому системному блоку «CLR Entrada», серийный номер C5S0788 PD0P2S204R26, модель NO: PD 6-TLX, DATE 02.98, Assembled in USA, CompuLink.Research. Inc. На первой стадии экспертом производятся проверка печатей на упаковке, извлечение из упаковочной тары и внешний осмотр системного блока. Осуществляется проверка пломб, их сверка с контрольным отпечатком. Затем следует описание форм факторов, системного блока, наличие кнопок и выводов устройств считывания информации (их типа) на лицевой панели, дефектов. Проверятся наличие и комплектность винтов крепления кожуха корпуса к основанию. Представленный системный блок собран в корпусе типа «десктоп» с размерами 105x400x395мм. На лицевой стороне расположены: устройства 130 для чтения гибких магнитных дисков (ГМД) размером 3,5 и 5.5 дюйма; уст- ройства для чтения компакт-дисков (CD-ROM) с надписью: 24х MTRP тм; гнездо для подключения наушников с регулятором громкости; светодиодным индикатором и двумя кнопками управления (CD-ROM). На фалыипанели- надпись «CLR Entrada» два горизонтально расположенных светодиодных ин- дикатора включения. С правого бока корпуса круглая кнопка включения компьютера и рядом с ней в углублении винт. На тыльной стороне компьютера размещены разъемы интерфейсных устройств в количестве шести штук, гнезда подключения сетевых шнуров для монитора и системного блока, наклейки с номером C5S0788 PD0P2S204R26, с надписью: Model NO:PD 6-TLX, DATE 02.98, Assembled in USA, CompuLink.Research. Inc, стикер с штрихкодом и номером C5S0788 PD0P2S204R26, радиальные дуговые отверстия принудительного охлаждения. Винты креплений в количестве четырех штук. Визуально повреждений корпуса не обнаружено. Далее экспертом производится вскрытие системного блока, и подробно описываются составляющие и конфигурация системного блока. При визу- альном осмотре компьютера со снятой крышкой кожуха было обнаружено, что данный системный блок находится в собранном состоянии. В корпусе системного блока установлены четыре накопителя информации: накопитель на гибких магнитных дисках 3,5 дюйма, S\N 8A132044, фирму при внешнем осмотре определить не удалось, с наклеенным стикером с номером C5070S0788 и штрихкодом; накопитель на оптических дисках CD-ROM фирмы «MTRPTM.AOpen», модель CD-924E|AKU, S\N S09805897, с наклеенным стикером с номером C5070S0788 и штрихкодом; накопитель на жестких магнитных дисках фирмы Western Digital типа Caviar 22000 объемом 2000, ЗМб, SVN WM369, с наклеенным стикером с номером C5070S0788 и штрихкодом с интерфейсом типа EIDE; накопитель на гибких магнитных дисках 5,5 дюйма, фирмы ТЕАС-corp, модель TEAC-FD 55GFR U5, SVN 131 Z064448 с наклеенным стикером с номером C5070S0788 и штрихкодом, системная плата типа Р55ХВ2 AT с наклейкой CLR PC Series S0788 и слотом расширения типа ISA. Тип установленного процессора определить при визуальном осмотре не удалось ввиду нанесенного белого слоя на его поверхности; блок питания фирмы Seasonic, модель SSG200 (KSSG200) с наклеенным стикером с номером C5070S0788 и штрихкодом. Вывод. На основании проведенного исследования комплектующих блоков и плат, находившихся в представленном на экспертное исследование IBM-совместимом системном блоке: «CLR Entrada», серийный номер C5S0788 PDOP2S204R26, модель NO: PD 6-TLX, DATE 02.98, Assembled in USA, CompuLink.Research; сопоставления номеров и штрихкодов, указанных на гарантийных стикерах фирмы CompuLink.Research соответственно на блоках и платах, а также и номера (штрихкода) самого системного блока, можно утверждать, что данные блоки и платы были установлены при его изготовлении 02.98 г. и соответствуют комплектации фирмы «CompuLink.Research» (USA). Данный метод, сопоставления фирменных номеров и гарантийных ста- керов, которые расположены на платах и блоках, шасси и корпусе — исследуемых аппаратов, при их несовпадении требует дополнительного экспертного исследования и информации из журнала конфигурирования оборудования который ведется (в том или ином виде) во всех фирмах- изготовителях компьютерной техники. Фирма - изготовитель, как правило, ведет учет серий поступающих комплектующих, который также можно использовать при проведении разных видов аппаратной идентификации. Эти учетные журналы содержат информацию о установленной конфигурации, номерах комплектов переферии и прочие особенности технологической оснастки. С помощью подобного метода можно классифицировать фирменную компьютерную аппаратуру от ее «двойников». Следует заметить, что для качественного проведения аппаратного исследования эксперту необходимо 132 иметь коллекцию штрихкодов и гарантийных стикеров фирм, производителей компьютерной техники, а также иметь доступ к справочной литературе и каталогам фирм-производителей. В настоящее время у фирм - производителей единой стандартизации нет. ' Работа в Интернете по указанным web-страницам ведущих производителей электронной техники может дать немало информации о новинках, мар- кировке, штрихкодах, применимых драйверах, особенностях эксплуатаци- онного режима, особенностях компьютерного оборудования (см.приложение к диссертации). Применение приведенных в приложении к диссертации экспертных приемов при судебном аппаратно-экспертном исследовании нетипичных и типичных компьютерных средств позволит получить следствию доказательства, отвечающие принципам относимости, допустимости и достоверности при их непосредственном представлении в суде. Анализ результатов исследования и формулирование выводов Необходимо отметить, что ст.25 Закона «О государственной судебно- экспертной деятельности»1, ст. 204 УПК РФ указывают основания и принципы изложения экспертного заключения в самых общих чертах. Исходя из специфичности судебного аппаратно-компьютерного исследования, на основании вышеуказанных источников можно в целях систематизации и методических требований к изложению полученного экспертного материала предложить трехуровневую «условную» структуру заключения: вводный, исследовательский и заключительный разделы. В вводном разделе в соответствии со ст. 204 УПК РФ указываются формальные данные эксперта и его квалификация и экспертного учреждения, основания проведения экспертизы, вопросы, поставленные перед экспертом, 1 См. Ст. 25 «Заключение эксперта или комиссии экспертов и его содержание» Закона «О государственной судебно-экспертной деятельности». 133 предоставленные эксперту аппаратные объекты и материалы, отмечаются лица, присутствующие при экспертизе (см. ст. 204 УПК РФ). В исследовательском разделе также отмечаются лица, присутствую- щие при экспертизе, дается обоснование применяемым методикам исследо- вания, их характеристикам. Производятся само исследование аппаратного объекта, содержание и результаты исследования. В заключительном разделе даются выводы по поставленным перед экспертом вопросам и их обоснование с подборкой иллюстративного материала. При экспертном исследовании аппаратного средства, в ходе которого решается задача его идентификации, подводится итоговая оценка совпадаю- щих и различающихся признаков сравниваемых объектов, констатируется, что совпадающие признаки являются или не являются устойчивыми, суще- ственными и образуют или не образуют индивидуальную, неповторимую их совокупность. Например, номер материнской платы совпадает с паспортными данными, указанными в техпаспорте на ПК; номер IMEI для мобильного терминала сотовой связи совпадает с номером на представленной коробке; выявленный номер кредитной ЧИП-карты соответствует PIN - коду назван- ному лицом, держателем карты, и т.д.). При исследовании аппаратного средства или КЭС, в ходе которого решается задача по его диагностике, выполняется итоговая оценка выявленных диагностических признаков, например, аппаратная конфигурация компью- терной системы и установленное на нем ПО позволяют выполнить распечатку представленного денежного знака; с исследуемой кредитной карты был прокатан данный слип; и т.д. Констатируются устойчивость, существенность и неповторимость установленной функциональной совокупности примени- тельно к исследуемому аппаратному объекту (системе). Несколько слов о комплексном и комиссионном экспертном .исследовании. В случае назначения комплексной или комиссионной экспертизы (см. 134 приложение № 64, 65 к УПК РФ) представленного технического средства, а это является в настоящее время типичной экспертной ситуацией, анализ ре- зультатов исследования производится в его «синтезирующей части». В ней находят свое отражение, например, последовательные исследования не- скольких специалистов-экспертов соответственно в аппаратных, программ- ных, сетевых, информационных ТКЭД областях экспертиз. Наличие же син- тезирующей части с «составлением общего вывода» - в случае отсутствия разногласий или «составление каждым экспертом своего заключения» - в случае наличия разногласий1 обусловлено потребностью выработки общей суммарной оценки результатов экспертного исследования или обоснования выводов, к которым пришел каждый эксперт (эксперты). Так как вывод является квинтэссенцией экспертного исследования и именно он определяет его доказательственное значение, то должен содержать общедоступную и понятную для любого лица (не обладающего такими знаниями) формулировку. По содержанию выводы эксперта можно разделить на идентификационные и диагностические. Для идентификационных исследований характерны два вида выводов - об индивидуальной принадлежности и о родовой (групповой) принадлежности. Последний дается, когда индивидуальное тождество оказалось по каким-либо причинам недостижимым. В ходе проведения диагностики может быть сформулировано несколько видов выводов, и они могут иметь различную логическую форму. Так, например, при проведении классификации, т.е. установлении принадлежности объекта к какому-то классу объектов САКЭ, формулируется классификационный вывод. Компьютерный или радиоэлектронный аппарат при этом ис- 1 См. Ст. 22, 23 «О комиссии экспертов одной или разных специальностей» Закона «О государственной судебно-экспертной деятельности». 135 следуется в единственном числе без сравнения с другими, и отнесение или не отнесение его к какому - либо классу является конечной целью исследования имеющее самостоятельное доказательственное значение. Например, при от- несении аппаратного объекта САКЭ к конкретному виду носителей данных - CD или PC - карты и т.д. При общем диагностическом исследовании компь- ютерных или радиоэлектронных средств определяются также свойства и со- стояние объекта, соответствие или несоответствие их стандартным (паспор- тизированным) параметрам. При ситуалогических исследованиях КЭС анализу подвергаются, например, события, возникшее в результате эксплуатации КЭС, и т.д., даются выводы о механизме события или его отдельных фрагментах, условиях и об- стоятельствах (месте, времени, условиях, последовательности, совпадениях или несовпадениях режимов и т.п.). По определенности вывода эксперта (категорические и вероятные) -выводы, содержащие научно обоснованное предположение эксперта об установленном факте. Вероятностные выводы, в отличие от выводов о действительности констатируют факт необъективной действительности, а лишь возможность совершения какого-либо события, явления. Например: наличие установок в средствах удаленного доступа, предоставляют возможности для работы в сети Интернет. Выводы эксперта САКЭ могут быть также положительные (утвердительные) и отрицательные. Отрицательный вывод констатирует отсутствие устанавливаемого факта, свойства. Например, в представленном системном блоке не найден модем. Положительный вывод может быть сформулирован по установлению какого-либо факта. Например, в данном НЖМД установле- ны джемпера в таком-то (определенном) положении. 136 Выводы эксперта могут быть и альтернативные. Например, для вывода документов на печать к системному блоку может быть подключен один из трех принтеров - HP LaserJet6L, Cannon LBP4, Xerox 4505. Однозначный, категоричный вывод. Например, для сканирощания к данному системному блоку подключался сканер HP ScanJet 5s. На практике также возможны ситуации, при которых выводы эксперта могут носить формулировку «не представляется возможным установить». (см., например, экспертное заключение в приложении к диссертации). В любом случае экспертное заключение, построенное на процессуально доброкачественных объектах исследования и достоверной информации, предоставленной судом или следствием, является дополнительным фактом в исследуемой следовой картине криминального события, который для следст- вия или суда до проведения экспертизы был не очевиден ввиду своей вирту- альной природы Динамика потребностей ОВД в производстве СКТЭ Экспертная практика проведения СКТЭ в ГУ ЭКЦ МВД России и ЭКУ позволяет сформировать массивы эмпирических данных о: общем количестве произведенных экспертиз компьютерной техники в ГУ ЭКЦ МВД России за 1996-2000 годы; количестве обращений ОВД в ЭКУ регионов и ГУ ЭКЦ МВД России о производстве экспертиз компьютерной техники за 1996-2000 годы'. Данные ГИЦ МВД России о количестве преступлений в сфере непра- вомерного доступа к компьютерной информации за 1996-2000 годы позво- См., напр. данные в докладах: Саенко Г.В. Современные возможности КТЭ и ха- рактеристика технологий экспертного исследования компьютерных средств // Всероссийский научно-практический семинар «Актуальные проблемы методического обеспечения и современные технологии экспертного исследования компьютерных средств. Краснодар, 2001; Дильдин ЮМ. Компьютерные экспертизы как новое направление деятельности ЭКП ОВД РФ: Материалы. Научно-практич. семинара «Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств», Белгород.- М., 2000. С. 9-11. 137 ляют сформировать эмпирический массив обобщенных данных об отмеченных сторонах экспертной и криминалистической деятельности ОВД. Получаемые таким образом обобщенные эмпирические массивы можно уже подвергнуть обработке методами математической статистики и произвести математическое моделирование процесса. На основании вычисленных математических моделей (функций-полиномов), описывающих динамику криминологических процессов, можно произвести вероятностный расчет и на его основе оценку изменений динамики этих процессов (на основе вычисления полинома, расчета графической зависимости, математического ожидания, дисперсии в каждой точке модели). В качестве программы для обработки данных и вычисления математической модели нами была применена известная компьютеризированная программа V-STAT «СТАТ-ЭКСПЕРТ», широко используемая в прогнозировании различных процессов. Полученные при этом графические зависимости криминологических процессов приведены на рис. 14 (а, б, в) (приложения 3 к диссертации). На рис.14 (а) приложения показан график изменения динамики роста преступлений, совершаемых в сфере неправомерного доступа к компьютерной информации. Математическая модель процесса выражена функцией: Y=10,732 + 0255 Т **5. В таблицах приведены оптимальные значения математического ожидания и дисперсии в каждой точке расчета. На рис. 14 (б) приложения 3 приведен график динамики роста производства СКТЭ. Математическая модель процесса выражена функцией: Y=5, 529 + 10,316 Т **2. В таблицах указаны оптимальные значения математического ожидания и дисперсии в каждой точке расчета. На рис. 14 (в) приложения 3 приведен график динамики роста обращений ОВД в ЭКУ для производства КТЭ. Математическая модель выражена функцией: Y=5,382 + 14, 329 Т **2. В таблицах указаны оптимальные значения математического ожидания и дисперсии в каждой точке расчета. 138 Увеличение количества преступлений, совершаемых в сфере неправо- мерного доступа к компьютерной информации, согласно рассчитанным зависимостям можно объяснить активным проникновением информационных технологий во все сферы жизни общества, распространением Интернет, появлением Интернет-магазинов и электронных платежей, активным проникновением во все сферы экономики пластиковых платежных средств и связанными с ними транзакциями1. Как следствие увеличения числа преступлений, происходит рост числа обращений ОВД для производства экспертиз компьютерной техники. При этом прогноз количества обращений в конце 2003 г. практически в полтора раза превышает возможности ЭКУ, что объясняется как неразработанностью экспертных методик СКТЭ, так и их большой сложностью и трудоемкостью. Исходя их динамики графиков, можно констатировать, что темпы роста преступности (пятая степень полинома) существенно опережают темпы становления аппарата СКТЭ (вторая степень полинома) и аппарата расследований компьютерных преступлений (вторая степень полинома). Для выравнивания темпов необходимо активнее осуществлять мероприятия по повышению квалификации и получению специальных знаний сотрудниками следственных и оперативных аппаратов ОВД, обеспечивать создание качественной методической базы для подготовки экспертов СКТЭ, увеличивать количество и качество подготавливаемых специалистов и ускорять процессы наработки методического и инструментального обеспечения ЭКУ и СКТЭ. Транзакция - технологическая операция, в основе которой лежат идентификация платежного средства (авторизация), оформление слипа (счета) и перезаписи данных на карте. 139 3. Оценка заключения судебной аппаратно-компьютерной экспертизы следователем и судом Так как в настоящее время типичной следственной ситуацией при рас- следовании преступлений, связанных с применением компьютерных техно- логий, является совокупность составов преступлений или их взаимосвязь, то в этом параграфе мы не будем отдельно рассматривать уголовную квалифи- кацию каждого их них (это должно учитываться при составлении отдельных методик расследования)1. Сегодня типичной для следствия является ситуация, при которой осуществление неправомерного доступа к компьютерной информации рассматривается в качестве способа совершения преступлений, предусмотренных ст. УК РФ, например: мошенничество, кража, злоупотреб- ление властью или служебным положением, должностной подлог, нарушение авторских прав, присвоение вверенного имущества, терроризм и т.д. Сами аппаратные средства при этом могут являться орудиями совершения престу- пления, которые несут (на себе и в себе) следовую картину, соответствующую криминальному событию, которая и выявляется при аппаратной экспертизе. Целью исследования, проводимого в данном параграфе, является выявление степени корреллируемости между: следами, которые отображаются на и в аппаратном средстве при совершении преступления и которые выявлены экспертизой и оценкой их доказательственной силы следователем или судом. Общая схема оценки заключения судебной экспертизы, разработанная в криминалистической литературе, включает в себя последовательный анализ следователем или судом следующих составляющих: допустимости заключе- ния; допустимости объектов экспертизы; определение достоверности заклю- чения; обоснованности полученных результатов; определение силы доказа- 1 Расследование преступлений повышенной общественной опасности: Пособие для следователя / Под науч. ред. проф. Селиванова и к.ю.н. Дворкина. - М., 1999. С. 402. 140 тельственного значения экспертного заключения, его непротиворечивости другим доказательствам. При оценке экспертного заключения судом, во-первых должен быть проверен процессуальный порядок назначения и производства САКЭ как вида КТЭ. На предварительном следствии эта процедура включает ознакомление обвиняемого (подозреваемого) с постановлением о назначении САКЭ (ст. 195 УПК РФ) и разъяснением ему прав, которыми он обладает при про- изводстве экспертизы (ст. 198 УПК РФ). После окончания экспертизы обви- няемый должен быть ознакомлен с заключением эксперта. На практике эти требования закона не всегда соблюдаются, особенно когда экспертиза прово- дится до привлечения лица в качестве обвиняемого (например, в случае вы- яснения фактов и обстоятельств нарушения правил эксплуатации ЭВМ). В общих чертах доказательственное значение экспертного заключения, которое представлено следователю или суду, может быть различным. Это определяется, в частности, и тем, какие обстоятельства им устанавливаются, входят ли они в предмет доказывания по делу, являются ли обстоятельствами, подлежащими доказыванию (ст. 73 УПК РФ). Названные обстоятельства, их совокупность и могут иметь решающее значение и от них может зависеть исход дела. В качестве примера можно привести, например: обнаружение пар номеров МИН и ЭСН в памяти ПК, что позволило выявить причастность его владельца к факту клонирования (производству двойников) сотовых трубок (уголовное дело № 16138 ГУВД Свердловской области); информация, защищенная паролем в органайзере, вскрытие которого было осуществлено экспертом, позволила обнаружить записную книжку адресов и телефонов злоумышленников и их жертв (уголовное дело № 256007 ГУВД Свердлов- ской области); исследование подключения самодельного прибора- приставки к электронно-кассовому аппарату позволило выявить факт мо- шенничества (с кассовыми отчетами) (экспертиза РФЦСЭ, проведенная в 141 Минюсте РФ 1999г.); восстановление уничтоженных файлов, в которых со- держались сканированные документы, позволило выяснить обстоятельства преступления (Уголовное дело № 041071298 УВД Тульской области) и т.д. Решающую роль в приговоре, вынесенными районными судами г. Владимира поч.1ст. 273 УК РФ, обеспечила оценка судом экспертного заключения по исследованию компьютерных носителей информации - ком- пакт-дисков1. Заключение эксперта в этих случаях приобретает чрезвычайно важное значение, так как результатом экспертизы является вывод эксперта о фактах, не являющихся очевидными для следователя или суда до начала проведения экспертного исследования, и поэтому выводы эксперта подлежат особо тща- тельной оценке и проверке на соответствие и непровотиворечивость с другими доказательствами. Если же устанавливаемые экспертом факты не входят в предмет доказывания, то они являются косвенными доказательствами или источниками ориентирующей информации для следствия. В качестве примера можно привести уголовное дело № 471 Следственного управления Московской транспортной прокуратуры, где следователем выяснялось, могли ли на дан- ном компьютере быть подготовлены представленные образцы текстовых до- кументов. В этих случаях заключения эксперта являются косвенными дока- зательствами и могут быть положены в основу приговора только в совокуп- ности с другими доказательствами. Анализ уголовных дел показывает, что подобные косвенные доказательства, содержащиеся в выводах экспертного исследования, часто используются лишь на первоначальном этапе расследо- вания в качестве ориентирующих для следователя данных, позволяющих подтвердить или опровергнуть выдвинутую версию, определить или уточнить дальнейший ход расследования, произвести планирование розыскных 1 Приговоры вынесены Фрунзенским и Ленинским районными судами г. Владимира 03 апреля 2000г. и 21 марта 2000г. per. 1 -94/2000. 142 мероприятий. Впоследствии, когда в ходе расследования получены прямые доказательства, они утрачивают свою ценность, однако их значимость недооценивать нельзя. Полученные доказательства, содержащиеся в экспертном заключении, оценивают судьи с точки зрения относимости, допустимости, достоверности, в совокупности с другими доказательствами (ст. 88 УПК РФ) и сообразуясь со своими внутренними убеждениями. Поэтому их сила и качественная оценка зависят и от того, какое аппаратное оборудование было исследовано экспертом, принадлежало ли данное аппаратное средство лично обвиняемому, являлось ли электронным персональным инструментом, было ли найдено при проведении следственных действий в его жилище, не пытался ли обвиняемый его скрыть, являлось ли оно его личной собственностью, и т.д. Анализ эмпирической базы диссертационного исследования, который составил массив из более чем 100 уголовных дел и экспертных заключений, в которых проводились исследования различных компьютерно-электронных средств, позволяет сделать обоснованное утверждение о том, что степень концентрации криминалистически значимой информации, имеющей важное доказательственное значение для дела в средствах «личной» малогабаритной носимой электронной аппаратуры, таких, как: сотовый телефон, органайзер, ноутбук, смартфон, дискеты, компакт диски, железнодорожные, банковские, телефонные ЧИП- карты и т.д. очень высока. Как было отмечено ранее, именно на обнаружение и выявление указанного личного электронного оснащения злоумышленника должны быть сегодня ориентированы следственные действия. Несколько типичных примеров нами были приведены ранее. В приложении к диссертации приводятся характерные экспертные заключения по исследованию сотового телефона с SIM-картой, цифрового дневника, ноутбука, а также приговоры суда. Практический опыт проведения экспертиз в ГУ ЭКЦ МВД России и ЭКУ г. Москвы, приведенные нами примеры показывают, что аппаратные, 143 программные, информационные и другие виды СКТЭ при производстве большинства экспертных исследований применяются последовательно. Ис- следование поставленных вопросов в этих случаях осуществляется в рамках комплексной экспертизы, т.е. экспертизы, в производстве которой участвуют несколько экспертов различных специальностей или узких специализаций (ст.201 УПК РФ и приложение № 64 к УПК РФ). Практика проведения экс- пертиз показывает что, как правило, изучение начинается с аппаратных средств, далее - программных, и в заключение - работа с информационными массивами. В результате именно такого комплексного характера исследова- ний в родовых рамках КТЭ сегодня происходит решение наиболее сущест- венных экспертных задач - поиск, обнаружение, анализ и оценка криминали- стически значимой компьютерной информации. В целом возможности подобных экспертиз в процессе получения криминалистически значимой доказательственной или ориентирующей ин- формации для следствия могут проиллюстрировать следующие примеры. На исследование в ЭКУ УВД Тульской области был представлен пер- сональный компьютер, изъятый после проведения обыска сотрудниками Ще- кинского РУВД у граждан «Р.» и «П.», подозревавшихся в изготовлении и сбыте поддельных денег. Данные, хранимые на жестком диске изъятого при обыске системного блока, были стерты. В результате проведения экспертизы они были частично восстановлены, что имело решающее значение в доказы- вании обстоятельств совершенного преступления1. Во втором случае в процессе ОРМ сотрудниками УВД Томской области был задержан гр. «Н.» по подозрению в факте изготовления фальшивых денежных купюр, у которого на квартире изъят компьютер. За час до прихо- 1 Кузовлев В.Ю. «Типичные вопросы, которые решались при производстве экспертиз компьютерной техники и программного обеспечения в ЭКУ УВД Тульской области»: Сборник докладов ГУ ЭКЦ МВД России. Белгород. 28-31 мая 2000. С. 166. 144 да милиции он произвел стирание папки с файлами с НЖМД, которая содер- жала изображения купюр. После проведения экспертного исследования НЖМД и восстановлению стертых файлов были получены более,пяти файлов, содержащих изображения. Принтер, на котором производилась распечатка файлов, был также поврежден (сожжен) его владельцем в ванной комнате. Экспертам в дальнейшем пришлось решать аппаратную задачу подбора аналогичной (идентичной) модели принтера для печати восстановленных графических файлов. Таким образом, был выяснен ряд обстоятельств, сопутствующих данному преступлению. Особое внимание следователем должно уделяться допустимости переданных на экспертное исследование аппаратных объектов. Если изучаемые компьютерные средства будут признаны недопустимыми, то автоматически теряет это свойство и заключение, что ведет к потере его доказательственного значения и для судебной оценки. Поэтому следователь всегда должен обеспечивать правильное, процессуально-корректное изъятие аппаратных компонент, а судом должна быть проверена их процессуальная доброкачест- венность. На сегодня ведущее место (в долевом представлении) занимает технико- криминалистическая экспертиза документов (ТКЭД). Именно с необхо- димостью исследования поддельных документов, ценных бумаг и денежных знаков, оттисков печатей, изготовленных с применением современных ин- формационных технологий, и связан первый опыт проведения комплексных экспертиз в рассматриваемой сфере. Сегодня комплексная СКТЭ и ТКЭД представляют собой исследование, проводимое для решения вопросов диаг- ностики и идентификации документов, выполненных с использованием раз- личных компьютерных средств. В качестве объектов при этом может высту- пать интегрированные с компьютерными средствами принтеры, плоттеры, факсы, копировальные аппараты и т.д. 145 Так, например, в экспертной практике часто встречаются такие вопросы, имеются ли на носителе информации файлы (либо фрагменты файлов), в том числе среди удалённых, содержание которых полностью или частично идентично представленным на экспертизу объектам, документам; имеется ли на представленном компьютере в компьютерной форме такой-то документ (например, договор № 000)?. Проиллюстрируем сказанное примером реализованного уголовного дела, окончившегося судебным приговором, производство которого проводилось в УВД Владимирской области. 20 октября 1998 г. при попытке сбыта поддельного денежного билета Государственного банка России достоинством 100 руб. в одном из магазинов г. Мурома Владимирской области была задержана гражданка В. По данному факту было возбуждено уголовное дело по признакам ч.1 ст. 186 УК России. В ходе последующих оперативно-розыскных мероприятий и следственных действий было установлено, что данные билеты были изготовлены гражда- нином Ш., который использовал в нерабочее время для этого ПЭВМ фирмы «ФЕБ» с процессором «Pentium-2MMX 266», струйный принтер «Epson Stylus Color 600», планшетный сканер «Mustek Skan Express 12000P». В процессе обыска в помещении этой фирмы системный блок и периферийные устройства были изъяты с соблюдением требований процессуального закона и в соответствии с методическими рекомендациями ГУ ЭКЦ МВД России. При проведении аппаратного экспертного исследования IBM- совместимого системного блока было выяснено, что на одном из его НЖМД установлены программы «PhotoShop 5.0», «CorelDraw 6.0» и «Live Pix 1.1», обеспечивающие полное совмещение при обоюдосторонней печати. На НЖМД также были найдены шесть файлов (100Pl.tif, 100P2.tif, 50Pl.tif, 50P2.tif, 500Pl.tif, 500P2.tif), содержащих графические образы лицевых и оборотных сторон билетов банка России образца 1997 г. достоинством 50, 146 100 и 500 руб. Просмотр файлов осуществлялся с помощью вышеназванных программ, при этом они работали устойчиво. Данные файлы были распеча- таны с помощью программы «Live Pix 1.1» на капельно-струйном принтере. В результате исследования полученных изображений было установлено ка- чество печати 360 точек на 1 дюйм. Также в процессе проведения экспертного исследования было установлено, что поддельные денежные билеты, изъятые у гражданки В., были изготовлены на представленном принтере с ис- пользованием бумаги, обнаруженной в офисе фирмы. Данное дело было рассмотрено в судебном заседании и вынесен обви- нительный приговор гражданам В. и Ш. (лишение свободы на срок 2 года с испытательным сроком 1 год). Несмотря на остроту данной проблемы, сегодня многие уголовные дела, где в качестве средств совершения преступления используются современные компьютерные технологии, прекращаются на стадии предварительного расследования. Так, в 1999 г. в рамках дела оперативного учета сотрудника- ми отдела проводилась разработка Белгородской фирмы «COMPR. LAB», владелец которой гражданин Н. осуществлял реализацию вредоносных про- грамм для ЭВМ, а также лазерных компакт-дисков с контрафактными экзем- плярами программ. Проведение совместных с ОПУ и УОТМ УВД - ОРМ способствовали установлению мест изготовления лазерных компакт-дисков, наличию обору- дования, предназначенного для записи различных программ на лазерные компакт-диски, с последующим нанесением на них покрытия и полиграфии. 31 марта 1999 г. УВД Белгородской области было возбуждено уголовное дело по ст. 273 УК РФ в отношении Н., которое впоследствии было прекращено на основании по ст. 6 УПК РСФСР в связи с изменением обстановки1, а фактически вследствие отсутствия судебной практики и следствен- 1 Гудзь Е. Г. Актуальность проблемы ведения борьбы с преступлениями в сфере высоких технологии // Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М.: ГУ ЭКЦ МВД России, 2000. С. 46. 147 ного опыта производства подобных дел на стадии предварительного следст- вия. Сказанное подтверждается и исследованиями, проведенными Т.И. Аб- дурагимовой при анализе преступлений, связанных с изготовлением, сбытом и использованием поддельных пластиковых карт. Ей, в частности, также от- мечается, что в подавляющем большинстве случаев уголовные дела, возбу- жденные до 1997 г. и связанные с современными ИС, прекращались по п.З ст. 195 УПК РСФСР. В настоящее время, как показывает следственная и экспертная практика, наметилась тенденция, когда эксперту СКТЭ ставятся вопросы не только по поиску текстовой или графической информации, а поиску информации, «касающейся в целом» материалов уголовного дела, которые могут быть получены экспертом при исследовании изъятых компьютерных средств. В 2000 г. в ГУВД Свердловской области было проведено более пяти экспертиз компьютерной техники. При этом эксперту следователем ставились вопросы именно таким образом либо указывалась конкретная проблема, информацию о которой следовало найти в процессе исследования. По мнению старшего эксперта О.В. Тушкановой, именно такая постановка во- просов себя оправдала. Иллюстрацией может служить одна из таких экспер- тиз, произведенных в ЭКУ ГУВД Свердловской области. На исследование был представлен компьютер и дискеты, изъятые при обыске рабочего места убитого молодого человека. Следователя интересовала любая информация, которая могла пролить свет на причины убийства владельца компьютера. При производстве экспертизы пришлось решать одновременно несколько задач: от оценки необходимости той или иной информации до чисто технических методов ее извлечения и распечатки (часть файлов была закрыта паролями). Пользователь активно пользовался Интернетом (Е-meil, интернет-пейджером ICQ). В результате проведения экспертного иссле- дования представленных аппаратов была выявлена следующая информация: 148 - рабочая документация - договоры, касающиеся юридической стороны деятельности различных фирм, политических организаций на территории Свердловской области и за ее пределами; - - записная книжка (телефоны, адреса) в MS, Access (под паролем); - - база данных на криминальных авторитетов; - - собщения E-mei и переговоры по ICQ. - Данное исследование позволило следователю получить ориентирующую криминалистичски значимую информацию, позволившую наметить следственные версии, выработать план расследования, определить необхо- димые ОРМ. Анализ уголовных дел, в которых проводились экспертные исследования КЭС (IBM-совместимые системные блоки, принтеры, сотовые телефоны, органайзеры, НГМД, НЖМД, интеллектуальные смарт-карты, самодельные электронные аппараты-приставки, копировальная техника и т.д.), позволяет выявить характерные, интересующие следствие направления, в рамках кото- рых были сформулированы вопросы экспертам, и провести их статистиче- скую обработку, иными словами, провести статистическую обработку вы- борки уголовных дел. Для обобщения полученных эмпирических результатов воспользуемся методами статистического исследования. Методы статистики находят свое применение в основных стадиях статистического исследования1. Первая стадия статистического исследования - это массовое статистическое наблюдение. На этой стадии нами были произведены наблюдения и набор эмпирического массива, состоящего из уголовных дел (более 100) из разных регионов России (за 1998-2001 г.г.), где произведено исследование компьютерно-электронных объектов. Одновременно с этим нами произво- дилось изучение передового практического опыта на научно-практических 1 Володарский Л.М., Статистика рассказывает. - М., 1982. С. 70. 149 конференциях по компьютерной преступности и исследованию доказательств, проходивших в Белгороде (2000), Краснодаре (2001); материалов экспертиз компьютерной техники, проведенных в ГУ ЭКЦ МВД России и ЭКУ; изучались результаты анкетирования 21 ЭКУ по проблемам проведения СКТЭ. Вторая стадия-группировка, отбор и сортировка эмпирических данных, полученных в результате массового статистического наблюдения. Именно для реализации этой стадии нами был произведен тщательный отбор эмпирического материала с проведением репрезентативной выборки из 86 уголовных дел и экспертных заключений, в которых производились исследования КЭС. Третья стадия- математическое вычисление и анализ обобщенных по- казателей. В процессе проведения диссертационного исследования нами была сформулирована целевая функция, заключающаяся в выявлении уровня корреляции между процессом получения доказательств при исследовании аппаратных компонент и реализацией следователем дел, в которых это экспертное исследование производилось, а также оценки судом этих доказательств в зависимости от вида исследованных аппаратных компонент. Это позволило сформировать организационный план проведения описанного выше статистического исследования и произвести его реализацию. На основании исследования уголовных дел и экспертных заключений приведем характерные направления, которые интересовали следствие и были сформулированы в вопросах к эксперту (см. прил. к дис. №2). Нами отмечена только не повторяющаяся последовательность вопросов. Постановка вопросов сохранена в том контексте, в каком она имеется в уголовных делах, хотя авторы согласны не со всеми выдвинутыми формулировками, но ввиду отсутствия в настоящее время устоявшегося общепринятого методического аппарата по исследованию аппаратных КЭС считаем это допустимым. ISO Обработка данных, которые содержались в экспертных выводах по ис- следованию аппаратных компонент изученных уголовных дел, их коррели- руемость со следственными версиям или фактами, связанными с обстоятель- ствами расследуемого дела, позволяют выявить следующую информацион- ную картину о значимости экспертных исследований аппаратных средств: В 59 % экспертные выводы по исследованию аппаратных компонент содержали фактический материал, позволяющий подтвердить следственную версию, и явились источником ориентирующей информации. Например, со- держали уличающую информацию в виде программ генерации номеров пла- стиковых карточек, коллекции печатей и бланков, сведения о деятельности фирмы, программы для несанкционированного проникновения в сеть и т.д. В 27 % (из 59%) экспертное заключение содержало выводы, касающиеся предмета доказывания (изображение банковских билетов с номерами в IBM- ссовместимом блоке, информация в котором была стерта подозреваемыми и восстановлена при проведении экспертного исследования аппаратных средств; протоколы соединения модемов с конкретными адресами и номерами телефонов; талон на техническое обслуживание автомобиля; удостоверение личности налогового инспектора; конфиденциальная информация о фирме на дискета, скопированная с установленного системного блока, данные на дискете о владельцах и номерах пластиковых карт; в органайзере хранились связи преступника и т.д.). В 34% экспертные выводы содержали отрицательный ответ на вопрос следователя. Например, при восстановлении стертых файлов информации о деятельности предприятия обнаружено не было; данная аппаратная конфигу- рация не позволяет производить сканирование денежных знаков; на данном аппаратном оборудовании изготовить представленные бланки документов нельзя; печать была произведена не на представленном принтере; данных, перечисленных следователем, на представленных носителях информации не обнаружено и т.д. 151 Остальные 7% экспертных заключений не несли в себе определенной информационной составляющей. Производя оценку полученных нами статистических данных, можно отметить, чтс) они не противоречат ранее полученным практическим оценкам Е.Р.Россинской о криминалистической значимости информации, хранящейся в компьютере1, что свидетельствует о единой гносеологической природе до- казательственной информации, получаемой при экспертизе компьютерных средств. Приведем пример. Статистическая обработка материалов уголовных дел связанных с расследованием хищений совершаемых работниками банков с использованием служебного положения и назначенные при этом экспертизы, заключающиеся в исследовании технических (аппаратных) средств ком- пьютерных систем и программного обеспечения показывают, что подобные исследования проводятся в 5% от общего количества всех проводимых экс- пертиз2. Однако, количество проведенных комплексных экспертиз, в которых проводились исследования компьютерных средств, оценивается в 25% (со- вместно с судебно-экономическими , традиционными криминалистическими экспертизами, в т.ч. ТКЭД и др.). Изучение следственной практики показало, что объектами обыска при расследовании преступлений исследуемой группы являлись: в 65% служебное помещение банка; жилище работника банка в 40% случаев, рабочее место служащего в 30 %, личный обыск работника банка производился в 60% случаев. При этом отмечаются факты использования компьютерной техники при изготовлении, модификации, уничтожении электронных документов и их копий, которые содержали следы совершения хищений. 1 Оценка криминалистической значимости информации, хранящейся в компьюте ре: см. гл. 1,С. 56. 2 Белов М.В. Основы расследования хищений, совершаемых работниками банков с использованием служебного положения: Автореф. дис... канд. юрид. наук. - Саратов, 2000. С. 15. 132 Следует уточнить, что степень технического оснащения работников банков электронной техникой очень высока, поэтому в будущем, с совер- шенствованием методик и тактических рекомендаций по проведению следст- венных действий и ОРМ следует прогнозировать и рост потребностей в про- ведении компьютерной экспертизы, и в частности ее аппаратной составляю- щей. Возрастет также и ее роль в доказывании обстоятельств совершенного преступления. Характерный пример. Исследование преступлений с использованием кредитных и расчетных платежных карт в 2000 г. показывает, что только около 7-10% уголовных дел доходят до суда,1 что также можно объяснить практической неразработанностью аппаратных экспертных методик по полу- чению доказательственной базы в этом виде преступлений . Анализ имеющихся эмпирических материалов позволяет свести в несколько обобщенных групп приведенные выше фактические данные из уголовных дел, и выразившихся в вопросах к экспертам по исследованию аппаратных средств: - проведение идентификации аппаратного средства. Выявление его ин- дивидуальных и групповых признаков; - - диагностирование свойств и состояния аппаратного средства по его отображению (например, в отношении пользователя - выявление уровня профессиональных навыков по использованию определённых аппаратных средств); - - определение причин и условий изменения свойств аппаратного средства (например, причин износа и его степени, соблюдения (или несоблюде- ния) эксплуатационных режимов, появления дополнительных функций); 1 См., напр.: Смагоринский П.Б. Криминалистическая характеристика хищения чужого имущества, совершенного с использованием пластиковых карт и ее применение в следственной практике: Автореф. дис... канд. юрид. наук. - Волгоград, 2000. С. 4. 153 - определение установленных в аппарате идентифицирующих парольных защит и защит информации; - - определение обстановки применения аппаратных средств; установление причинной связи между использованием конкретных возможностей ап- паратных средств и результатами их применения; - - восстановление хронологической последовательности использования технических средств, места действия и функционирования, установление причинности (например, причины неисправности, сбоя аппаратного средства); - - установление причинной связи между использованием конкретных аппаратных средств и результатами их применения; - - установление уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области компьютерной техники и электроники. - В заключение данного пункта следует заметить, что в условиях совершения преступлений, связанных с использованием ВТ и РЭУ, когда значение экспертного (научного) исследования о выявлении фактов (доказа- тельств) преступления приобретает чрезвычайно важное значение, роль вы- водов в экспертном исследовании становится как бы квинтэссенцией всего проведенного следственного и экспертного производства, могущего длиться не один месяц. В этих условиях их роль, как доказательств, особенно важна. Отвод следователем или судом экспертного заключения Ст.74 УПК РФ, ст.26.4 КоАП устанавливают, что заключения и показания эксперта являются доказательствами, а ст. 88 УПК РФ устанавливает правила его оценки с точки зрения относимости, допустимости, достоверности, а вместе с другими собранными доказательствами-достаточностью. Однако выводы, содержащиеся в заключении эксперта, могут оказаться сомнительными (или неправильными) по следующим причинам. Во - первых, эксперту для проведения исследования могут быть пред- 154 ставлены неточные исходные данные или неподлинные аппаратные объекты. Во - вторых, может оказаться ненадежной примененная им методика. Это возможно из-за погрешностей метода исследования, неточностями в применении прецизионного экспертного инструментария (возможно вследст- вие малого опыта проведения исследований), неточного моделирования экс- пертной ситуации в компьютерных технологических установках, имеющих объективные различия с реальной эксплуатацией оборудования (например, в случаях моделирования сетей, анализе сигналов при несогласованном импе- дансе волновых сопротивлений и т.д.). В - третьих, при оценке выводов нужно иметь в виду, что по установленному в экспертных учреждениях порядку экспертные приемы, прежде чем они допускается к использованию в экспертной практике, должны пройти процедуру апробации и утверждения. Данные об этом экспертом должны быть отражены в заключении экспертизы, что обеспечивает возможность проверки надежности инструментальных средств САКЭ по формальным признакам - кем и когда создано инструментальное средство или методика, рекомендации и практика применения. Невыполнение этих требований может послужить основанием для оспаривания экспертного заключения. В связи с этим представляется достаточно перспективным наметившийся в последнее время порядок представления утверждения экспертных методик в Федеральном межведомственном координационно-методическом совете по проблемам экспертных исследований (создан в 1998 г. по инициативе ГУ ЭКЦ МВД России и РФЦСЭ при Минюсте России). В - четвертых, эксперт, производящий САКЭ, не застрахован от практических ошибок, которые встречаются в экспертной практике, и особенно в период становления новых методов исследования и апробации методик проведения судебных КТЭ. Экспертные ошибки могут возникнуть и вследствие недостаточной полноты проведенного исследования (недооценки важности того или иного фактора, например, на были восстановлены после уничтоже- 155 пия на НЖМД все файлы, не была изъята при обыске съемная печатающая головка к принтеру и т.д.), а также потому, что не были применены новейшие методы анализа компьютерных технологий. Оценки, проведенные специалистами по СКТЭ ГУ ЭКЦ МВД России (18 отдел ГУ ЭКЦ МВД России, НИЛ ГУ ЭКЦ МВД России), ряда ЭКУ, основанные на эмпирических данных представления следствию или суду экс- пертных заключений, показывают, что решающее значение в вынесении при- говора они имеют приблизительно в 5-10% дел исследуемой категории. 156 ЗАКЛЮЧЕНИЕ (выводы и предложения) Проведенное нами исследование уточняет и развивает правовые, орга- низационные и методические положения, ранее сформулированные о судебной аппаратно-компьютерной экспертизе, и обосновывает необходимость дальнейшей теоретической и практической разработки вопросов ее станов- ления. Особое внимание диссертантом в проведенном исследовании уделяется теоретическим и практическим аспектам экспертного исследования ком- пьютерных и радиоэлектронных средств, выявлению особенностей родовой криминалистической характеристики преступлений как основы для создания частных криминалистических методик расследования преступлений, а также тактике оперативно-следственных действий при расследовании преступлений, совершаемых с применением компьютерных технологий. Ведь только квалифицированно проведенная стадия оперативно-следственных мероприя- тий позволяет собрать процессуально-корректные материалы для дальнейше- го экспертного исследования, отвечающие принципам относимости, допус- тимости и достоверности. Таким образом, работа позволяет.-обоснованно сделать целый ряд выводов и рекомендаций, часть из которых нашли свое отражение в соответ- ствующих главах и параграфах настоящего исследования, а в обобщенном изложении выглядят следующим образом. 1. Проведенное диссертационное исследование позволило сформулировать основные положения родовой криминалистической характеристики преступлений с применением средств вычислительной техники и радиоэлек- тронных устройств, использование положений которой в дальнейшем позво- лит обеспечить формирование частных криминалистических методик рас- следования отдельных видов преступлений данной группы. На основе анализа следственной и оперативной практики диссертантом была предложена классификация преступных элементов осуществляющих противоправную 157 деятельность в области высоких технологий, основой которой является их специализация в области компьютерных или радиоэлектронных средств. 2. Материалы научно-практических семинаров, посвященных компьютерной преступности, оперативная, следственная и экспертная практика, а также проведенный анализ родового, непосредственного и дополнительного объекта правонарушений совершаемых с применением средств вычислительной техники и радиоэлектронных устройств показывает, что данная группа преступлений характеризуется повышенной степенью опасности как для ча- стных и юридических лиц, так и для государственной сферы. Именно эти об- стоятельства обуславливают необходимость скорейшего становления теоре- тических и методических основ СКТЭ, в том числе и аппаратных экспертиз, часто как единственного источника выявления виртуальных следов крими- нального события. Поэтому данную группу вопросов можно отнести к фак- торам существенно влияющим на раскрываемость преступлений не только в сфере неправомерного доступа к компьютерной информации. Решение их позволит существенно повысить эффективность расследования преступлений подразделениями СКМ и ЭКП ОВД. 3. 4. На основе изучения и анализа материалов Доктрины информационной безопасности РФ диссертантом были так же уточнены ранее сформули- рованные задачи, которые должны ставиться и решаться судебной аппарат- но-компьютерной экспертизой, и решение которых должно произойти в ее ближайшей перспективе. 5. 4. Гносеология судебной аппаратно-компьютерной экспертизы, как са мостоятельного рода в системе судебных компьютерно-технических экспер тиз заключена в физической природе электронной техники, которая предпо лагает существование двух принципиально разных логических основ. С од ной стороны, это жесткая логика, которую можно охарактеризовать как про граммный продукт «впрессованный» в электронный элемент и являющийся неперепрограммируемой его частью, а с другой, гибкая логика - программ- 158 ный продукт, надстройка над «жесткой логикой» (программа ЭВМ) объеди- няющая электронные элементы в компьютерную конфигурацию, которую может корректировать программист. Этим и обусловлены те обстоятельства, что программисту владеющему программным обеспечением которое может быть установлено на различное аппаратное оборудование, будет затруднительно изучить еще и устройство аппарата на который устанавливается программа. Это устройство может знать только специально подготовленный эксперт по аппаратным средствам, изучивший основы электронных аппаратов, принципы их построения и рабо- ты. Эти утверждения базируются также и на личном практическом опыте диссертанта по исследованию компьютерных и радиоэлектронных средств и компонент, в том числе и в ЭКЦ МВД России. 5. На основе изучения и отбора материалов из уголовных дел и приго воров суда, по которым проводились экспертные исследования аппаратных средств, автором было проведено статистическое исследование эмпирическо го материала с целью выявления уровня корреляции между экспертным ис следованием аппаратных средств и получением доказательственной базы для следствия и суда. Полученные оценки убедительно свидетельствуют о необ ходимости проведения аппаратно-экспертного исследования, в том числе и при проведении комплексной экспертизы, с целью выявления доказательст венной базы, которая имеется на аппаратных и в аппаратных средствах, а также при выработке и уточнении следственных или оперативных версий. 6. Повысить эффективность расследования ОВД «компьютерных пре ступлений», как следует из диссертационного исследования, можно путем комплексного применения специальных тактических операций и экспертной практики исследования компьютерных и радиоэлектронных средств. При этом применение таких новых видов следственных действий, как арест ком пьютерной сети и введение перспективных дополнений к ст. 185 УПК РФ об изъятии сообщений электронной почты, обоснованные Е.Р. Российской и 159 А.И. Усовым, позволит качественно повысить эффективность тактических операций и сохранить легко изменяемую виртуальную следовую картину криминального события без изменений. Немаловажное значение в тактической операции, как следует из проведенного исследования, приобретают оперативная установка и разработка, в том числе и потенциальных объектов «компьютерных преступлений», основанные на ст. 6 закона «Об ОРД», что по мнению диссертанта, также целесообразно исходя из существующих криминогенных реалий в России. Такая позиция в настоящее время является экономически целесообразной. Опыт борьбы с компьютерными преступлениями ФБР США, в этой связи требующий мощной технико-финансовой платформы на сегодняшний день в ОВД трудно реализуем, в том числе и вследствие его «дороговизны». 7. В связи с этим диссертантом было осуществлено изучение передово го российского и зарубежного опыта по проведению следственных действий и экспертиз компьютерных (технических) и радиоэлектронных средств. По лученные данные подтверждают особую значимость отмеченных следствен ных действий при сборе информации с носителей электронных данных, а также особое криминалистическое значение информации, находящейся в па мяти таких «личных» компьютеризированных средств, как сотовые телефоны и органайзеры, миниатюрные персональные компьютеры, микропринтеры, интеллектуальные смарт-карты и т.д. Причем их изъятие и исследование должны проводиться в обязательном порядке и при совершении преступле ний, не относящихся к «компьютерным», что позволит в этих случаях полу чить наиболее полную информационную следовую картину криминального события. 8. Этим объясняется то особое внимание, которое уделено в диссерта ционном исследовании тактике проведения следственных действий в услови ях нового УПК РФ, а также применения злоумышленниками средств новей шего технического противодействия, таких как, устройства мгновенного 160 уничтожения информации, радиосети, средства радиомониторинга, защиты информации и т.д. Их обнаружение и своевременная блокировка при подго- товке и проведении следственных действий позволят обеспечить сохранность криминалистически значимой информации. 9. Разработанная диссертантом в процессе участия в НИР 3.13; 3.7 методика восстановления данных с носителей информации находящихся в нештатном состоянии (в частности, с НЖМД и НГМД), позволяет восстанавливать утраченную информацию в автоматическом и ручном режиме восстановления. В диссертации приводится классификация нештатных состояний аппаратных средств. Следует отметить, что автоматизация экспертных исследований является особенно актуальной в условиях места происшествия. При этом обосновывается возможность применения^ качестве доказа- тельственной базы, функциональных комплектующих жестких дисков - маг- нитных дисков, на физических поверхностях которых содержится кримина- листически значимая информация в виде магнитных сигналограмм. Обосно- вывается применение при этом соответствующего перспективного экспертного инструментария в том числе и для обеспечения хранения. Приведенные исследования прошли обсуждение на Всероссийском семинаре по экспертным технологиям в г. Краснодаре (2001) и в творческой научно- практической группе ГУ ЭКЦ МВД России и ЮИ МВД России. Следует отметить, что полученный в результате исследования экспертный методологический аппарат следует рассматривать шире и возможно применить к любому аппарату или их системе, находящейся в нештатном со- стоянии. Отмечаются также и перспективные методы восстановления, которые в настоящее время применить сложно из-за их высокой себестоимости. Эти методы относятся к сложному технологическому уровню аппаратно- экспертного исследования. В работе приводятся также практические наработки по проведению ап- паратно-экспертного исследования нетипичных аппаратных компьютерных 161 средств: сотовых телефонов, органайзеров, а также IBM-совместимого ком- пьютерного блока. 10. Диссертантом вносится предложение на основании проведенных исследований осуществить разработку учебных» лабораторных (практиче- ских) работ по восстановлению данных на НГМД и НЖМД, основанных на приведенном в материалах НИР 3.7 и диссертационном исследовании про- граммном и аппаратном экспертном инструментарии и использовать их при подготовке экспертов-криминалистов в рамках специальности «судебная экспертиза» (350600) в Московском университете МВД России. 11. 12. Тактические рекомендации, приведенные в диссертации, по упаковке и транспортировке аппаратных средств в ходе следственных действий позволят исключить дополнительные повреждения аппаратных средств и сохранить криминалистически значимую информацию без внесения в нее искажений. 13. 14. В исследовании на основе практического опыта деятельности под- разделений УБПСВТ МВД России уточняется необходимость проведения экспертного исследования компьютерной и радиоэлектронной аппаратуры непосредственно на месте происшествия, что определяется конкретной опе- ративно-следственной ситуацией и функциональным состоянием компью- терной или радиотехнической системы. Однако анализ практики свидетель- ствует также и о недостаточной методической подготовке и низком уровне специальных знаний сотрудников оперативно-следственных аппаратов, по- зволяющих им процессуально-корректно производить изъятие аппаратных средств и фиксировать виртуальную информацию, соответствующую требо- ваниям относимости, допустимости и достоверности при непосредственном ее представлении в суде. Учитывая эту проблему, диссертантом производится анализ существующих мнений по подготовке экспертов и получения спе- циальных знаний сотрудниками не только МВД России, но и ГТК РФ. 15. 162 Основные положения были изложены на первой научно-практической конференции ГТК ГТЛ РФ по экспертной деятельности (2001), где сформу- лированы предложения в целях совершенствования таможенного дела в Рос- сии, ввести специализированные таможенные посты (отделы) и осуществлять подготовку специалистов на базе территориальных ЭКУ. Подготовка специа- листов, обладающих специальными познаниями, возможна также на базе объединения нескольких вузов (межвузовские объединения), в которых име- ются как юридические факультеты, так и технические, со специализацией в областях информационных процессов, электроники, а также радиотехники (специальность 654200). 13. Экспертизы аппаратных средств, проводимые в экспертном учреждении, могут носить статус технологически сложных исследований, требующих применения особо точного прецизионного инструментария и наукоемкого оборудования, что определяется типом аппарата и его функциональным состоянием. Так, например, при сложном исследовании носителя информации, находящегося в нештатном состоянии, может потребоваться его разборка в гермозоне, тогда как в штатной ситуации обычно достаточно применения стандартного программного и аппаратного инструментария. Методы также различаются и по себестоимости. Себестоимость «сложного» аппаратного исследования, его наукоемкость очень высока, поэтому его назначение должно быть адекватно совершенному преступному деянию (например, преступления направленные против государственной власти и экономической безопасности), а также являться целесообразным и обоснованными (в т.ч. и экономически). Касаясь проведения самого экспертного исследования аппаратных средств, в диссертации обоснована, на основе общей теории судебной экспертизы, трехступенчатая модель процесса аппаратно-экспертного исследования. Полученные результаты были изложены в докладе на X Международной конференции по «Информатизации правоохранительных систем», про- 163 ходившей в Академии управления в г. Москве (2001), секции криминалистики и ОРД. В связи с относительной «нетрадиционностью» средств осмотра компьютерных средств и радиоэлектронных аппаратов^ которые хранят криминалистически значимую информацию в «нетрадиционном», «виртуальном» для обычного восприятия виде (например, в электронном виде или в виде магнитных сигналограмм), а также учитывая «нетрадиционность» носителей информации (НЖМД, НГМД, интеллектуальные смарт-карты, радиосигналы и т.д.), в диссертационном исследовании обосновывается необходимость введения нового вида следственного осмотра - осмотра компьютерно- электронных средств с составлением протокола (соответствующего ст. 166 УПК РФ) позволяющего учитывать виртуальность следовой информационной картины. Поэтому, при введении отмеченного вида следственного осмотра в нем найдет свое отражение новая черта - фактор виртуальности, который не учитывают существующие виды следственного осмотра, а следовательно, будет учтено и свойство экстерриториальности, свойственное всем преступлениям с применением средств вычислительной техники и радиоэлектронных устройств. Начало XXI века - века активного внедрения информационно- телекоммуникационных технологий в жизнь российского общества, основой которого является Федеральная целевая программа «Электронная Россия». С принятием Закона РФ «Об электронно-цифровой подписи», процессами рас- ширения интерактивного пространства стран СНГ будет происходить нарас- тание процессов электронного документооборота (ЭДО), электронных пла- тежей (ЭП) и контроля за ними. В этих условиях основные положения диссертационного исследования по получению доказательственной базы при аппаратном исследовании компьютерных и радиоэлектронных средств пред- ставляются более чем актуальными. 164 Эти и другие направления развития СКТЭ, применяемые комплексно, должны способствовать эффективному, высококвалифицированному рас- следованию преступлений с применением компьютерных технологий и обеспечить рациональное использование сил и средств СКМ и ЭКП ОВД. 165 СПИСОК ЛИТЕРАТУРЫ 1. Официальные документы и нормативные акты 1.1 Конституция Российской Федерации. - М.: Юрид. лит. 1993.-»64с. 1.2 1.3 Кодекс Российской Федерации об административных правонару- шениях. -М.: ВИТРЭМ, 2002. 1.4 1.5 Гражданский кодекс Российской Федерации. Ч. 1,2, 3. - М.:ИНФ ОМЕГА-Л, 2002.-416с. 1.6 1.7 Таможенный кодекс Российской Федерации. - М.: ГТК РФ, 1993. -212с. 1.8 1.5 Уголовный кодекс Российской Федерации. - М.:Юстиция, 1996.-198с. 1.6 1.7 Уголовно-процессуальный кодекс РФ. - М.:ЭКМОС, 2002. -480с. 1.8 1.7 Уголовно-процессуальный кодекс РСФСР.- СПб.: Герда, 1999. - 254с. 1.8 Доктрина Информационной безопасности РФ от 09.09.2000г. № ПР- 1859. 1.9 1.10 Федеральный закон «О государственной судебно-экспертной дея- тельности в Российской Федерации» от 31.05. 2001г. № 73-ФЗ. 1.11 1.10 Федеральный Закон «Об информации, информатизации и защите информации» от 20.02.1995г. № 24-ФЗ. 1.11 Федеральный закон «Об оперативно-розыскной деятельности» от 12.08.1995г. № 144-ФЗ (в ред. федеральных законов от 18.07.1997г. № 101-ФЗ, от 21.07.1998г. № 117-ФЗ, от 05.01.1999г. № 6-ФЗ, от 30.12.1999г. № 225-ФЗ). 1.12 1.13 Федеральный закон «Об Электронно-цифровой подписи» от 10. 01.2002г. №1-ФЗ. 1.14 1.15 Федеральный закон о внесении изменений и дополнений в УК РФ от 09.07.1999г. №158-ФЗ. 1.16 166 1.14 Федеральный закон «О сертификации продукции и услуг» от 10.06.1993г. №5151-1 (в ред. федеральных законов от 27.12.1995г. № 211-ФЗ; от 02.03.1998г. № 30-ФЗ; от 31.07.1998г. № 154-ФЗ). 1.15 Федеральный закон «О связи» от 16.02.1995г. Х°15-Ф3; 1.16 1.17 Федеральный закон «Об авторских и смежных правах». 1.18 1.19 Распоряжение правительства «Об усилении борьбы с преступлениями в сфере высоких технологий» от 22.10.1999г. № 1701 - р. 1.20 1.18 Постановление Правительства РФ «О маркировании товаров и продукции на территории Российской Федерации знаками соответствия, за щищенными от подделок» от 17.05.1997г. № 601 (с изменениями и дополне ниями от 19.09.1997г. № 1193). 1.19 Распоряжение Министра МВД РФ « О формировании и ведении в ЭКЦ МВД России Федерального учета поддельных пластиковых платежных карт и дорожных чеков» от 01.06.1999г. 1.20 1.21 Приказ Федерального агентства по правовой защите результатов интеллектуальной деятельности военного, специального и двойного назначения при Минюсте России «Об организации проведения правовой экспертизы товаров с целью выявления результатов интеллектуальной деятельности военного, специального и двойного назначения, права на которые принадлежат Российской Федерации» от 21.08. 2000г. № 31. 1.22 1.23 Письмо ГТК России «Об идентификации товаров электробытовой техники и радиоэлектронной аппаратуры» от 18.05.1998г. № 01- 15/10063. 1.24 1.25 Письмо ГТК России «О классификации товаров» от 11.07.1995г. № 07-07/9731. 1.26 1.23 Письмо ГТК России «О классификации ряда товаров в соответст вии с принципами и положениями ТН ВЭД» от 08. 07.1992г. № 07- 07/3539. 2. Книги, монографии, учебники и учебные пособия 2.24 Аверьянова Т.В. Интеграция и дифференциация научных знаний 167 как источники и основы новых методов судебной экспертизы. - М.: Академия МВД, 1994.-124с. 2.25 Аверьянова Т.В. Содержание и характеристика методов судебно- экспертных исследований. - Алма-Ата, 1991.-231с. 2.26 2.27 Абдурагимова Т.Н. Расследование изготовления, сбыта и исполь- зовния поддельных пластиковых карт. - М.: Право и закон, 2001.-129с. 2.28 2.29 Андреев Б.В, Пак П.Н. и др. Расследование преступлений в сфере компьютерной информации. - М.: Юрлитинформ, 2001.-152с. 2.30 2.28 Айков Д., Сейгер К., Фонсшорх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями / Пер. с англ. - М.: Мир, 1999.-351С. 2.29. Анин Б.Ю. Защита компьютерной информации. -СПб.: БХВ-Санкт- Питербург, -384с. 2.30 Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная безопасность. - М., 1991.-160с. 2.31. Балахничев.И. Ни др. Борьба с телефонным пиратством, методы, схемы, рекомендации. - Минск: Наш город, 1999.-128с 2.32 Белкин Р.С. Курс криминалистики. В 3-х томах. - М.: Юристь, 1997. Ч. 1 - 408с, Ч. 2 - 464с, Ч. 3 - 480с 2.33 Белкин Р.С. Криминалистическая энциклопедия. - М.: Мегатрон XXI, 2000.-334с 2.34 2.35 Белкин Р.С. Эксперимент в следственной и экспертной практике. -М.: Юрид. лит., 1964.-224с. 2.36 2.35 Борзенко A. IBM PC, устройство, ремонт, модернизация. - М.: Компьютер пресс, 1997.-342с 2.36. Варламов Р.Г. Современная домашняя вычислительная техника. - СПб.: Корона прит, 1999. -192с 2.37 Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. / Под ред. акад. Б.П. Смагоринского. - М.: Право и Закон, 1996.- 168 182с. 2.38 Володарский Л. Статистика рассказывает. - М.: Молодая гвардия, 1982.-191с. 2.39. Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. - М.: Юрлитинформ, 2002. -496с. 2.40 Гаврилин Ю.В. Расследование неправомерного доступа к компь- ютерной информации. Учеб. пос. / Под общ. ред. проф. Н.Г. Шурухнова. - М.: Книжный мир, 2001. -88с. 2.41 2.42 Головин А.Ю. Теоретические основы криминалистической клас- сификации. - Тула: ТГУ, 1999. -87с. 2.43 2.44 Гун М. Энциклопедия аппаратных средств IBM PC. - СПб.: ПИТЕР, 2000. -450с. 2.45 2.46 Евсеев Г. Реанимация, проверка, наладка ПК. - М.: Десском, 2001. - 288с. 2.47 2.48 Жаров А. Железо IBM PC 2001. - М.: Микро АРТ-1068, 2001. -401с. 2.49 2.50 Зубаха B.C., Усов А.К, Саенко Г.В. и др. Общие положения по на- значению и производству компьютерно-технической экспертизы (методические рекомендации). - М.: ГУ ЭКЦ МВД России, 2001 .-71с. 2.51 2.52 Корухов Ю.Г. Криминалистическая диагностика при расследовании преступлений. Научно-практическое пособие. - М.: ИНФРА*М-НОРМА, 1997. -285с. 2.53 2.54 Криминалистика: Учебник / Под ред. А.Ф. Волынского и А.Г. Фи- липпова. - М.: Спарк, 1998.-543с. 2.55 2.48 Криминалистика: Учебник / Под ред. А.Ф. Волынского. - М.: Закон и право, 1999. -615с. 2.49 2.50 Криминалистика: Учебник для вузов. / Под ред. А.Г. Филиппова. -М.: Спарк, 2000. -687с. 2.51 169 2.50 Криминалистика: Учебник для вузов. / Под ред. Р.С. Белкина. - М.: НОРМА-ИНФРА, 1999. -990с. 2.51 Колмаков В.П. Следственный осмотр. - М.: Юрид. лит., 1969.-196с. 2.52 КоАдин В.Я. Полевой Н.С. Информационные процессы и структуры в криминвлистике. Учеб. пос. - М: МГУ, 1985 .-132с. 2.53 2.54 Коврижных А.П., Васильев А.Г. Методические рекомендации по производству экспертных исследований пластиковых карт. - М.: ЭКЦ МВД России, 1997. 2.55 2.54 Крылов В.В. Информационные компьютерные преступления. - М.: ИНФРА*М НОРМА, 1997. -285с. 2.55 2.56 Крылов В.В. Расследование преступлений в сфере информации. -М.: Городец, 1998. -264с. 2.57 2.58 Кустов A.M. Теоретические основы криминалистического учения о механизме преступления. - М., 1997. -227с. 2.59 2.60 Кушниренко СП., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических пре- ступлениях. - СПб., 1998. -56с. 2.61 2.58 Любезное Л.Н., Фоменков Г.В. и др. Методы и средства обеспечения безопасности в сети Интернет. - М.: ИКСИ Академии ФСБ, 1998. -112с. 2.59 2.60 Лузгин КМ. Моделирование при расследовании преступлений. - М.: Юрид. лит., 1981. -186с. 2.61 2.60. Левин М. Хакинг и фрикинг: Методы, атаки, секреты, взлом и защита. - М.: МиК, 2001. -469с 2.61. 2.62. Майлис Н.П. Судебно-трасологическая экспертиза. Учебно- методическое пособие для экспертов. М.: Триада-Х, 2000. -58с. 2.63. 2.62 Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж: ВГУ, 2001.-161с. 2.63 2.64 Мещеряков В.А. КТЭ и тактические рекомендации по ее назначению. - Воронеж: ВГУ, 2000. 2.65 170 2.64 Минаси Ы. Модернизация и обслуживание ПК. - М: Энтроп, 1999.-1040с. 2.65 Нецпор К. Как построить свою экспертную систему. / Пер. с англ. - М.: Энергоатомиздат, 1991.-286с. 2.66 2.67 Орлов Ю.К. Производство экспертизы в уголовном процессе. - М.: ВЮЗИ, 1982. -80с. 2.68 2.69 Основы естественно-научных знаний для юристов: Учебник / Под ред. Е.Р. Российской. - М.: НОРМА-ИНФРА-М, 1999. 2.70 2.68 Основы судебной экспертизы: общая теория 4.1. - М.: РФЦСЭ, 1997. 2.69 Орлов Ю.К. Формы выводов в заключении эксперта. - М: ВНИИСЭ, 1981. 2.70 Патрик Геллъ. Магнитные карты и ПК. - М.: ДМК, 2001. -96с. 2.71 2.72 Практикум по криминалистической тактике и методике расследо- вания отдельных видов преступлений. / Под ред. проф. В.П. Лаврова. - М.: ЮИ МВД России, 2001.-176с. 2.73 2.74 Петровский А. Хакинг, крекинг, фрикинг. - М.: Салон-Р, 2001. 2.75 2.76 Раков В.К. Грабенко В.К. Лабораторный практикум, микропроцес- соры. - М/.МЭИ, 2000. -36с. 2.77 2.78 Расследование преступлений повышенной общественной опасности. Пособие для следователей. / Под ред проф. Н.А.Селиванова. - М.: Лига Разум, 1999. -508с. 2.79 2.75 Российская Е.Р., Усов A.M. Судебная компьютерно-техническая экспертиза. - М.:Право и закон, 2001. -416с. 2.76 2.77 Российская Е.Р. Криминалистика: Вопросы и ответы. - М.: Закон и право, 2000. -351с. 2.78 2.79 Российская Е.Р. Комментарий к Федеральному закону "О Госу- дарственной судебно-экспертной деятельности в Российской Федерации". - М.: 2002, Право и Закон, Юрайт-издат, 2002. - 384с. 2.80 171 2.78 Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М.: Право и Закон, 1996. -224с. 2.79 2.80 Российская Е.Р. Особенности расследования преступлений в сфере движения компьютерной информации // Криминалистика: Методика рас- следования преступлений новых видов, совершаемых организованными пре- ступными сообществами. - М.: МЮИ МВД, 1999. - С.269-279. 2.81 2.82 Скромников КС Расследование преступлений в сфере компьютерной информации. / Под ред. Н.А. Селиванова, В.А. Снеткова. - М., 1997. -732с. 2.83 2.84 Скрытая преступность. Компьютерные преступления. - Вашингтон: Академия ФБР США., 1998. -360с. 2.85 2.86 Современные возможности судебных экспертиз. - М.: РФЦСЭ при МЮ РФ, 2000. 2.87 2.88 Специальная техника и информационная безопасность. / Под ред. проф. В.И. Кирина. Том.1. - М.: Академия управления МВД РФ, 2000. -782с. 2.89 2.90 Ткачев А.В. Правовой статус компьютерных документов. Основные характеристики. - М.: Городец, 2000. -152с. 2.91 2.85 Тихонов А.И. Публикация данных в Интернет: Учеб. пос. - М.: МЭИ, 2000. -96с. 2.86 Усов А.И. Методические основы судебно-экспертного исследова ния компьютерных средств и систем. - М.: Право и закон, 2002. 2.87 Усов А.И. Методы и средства решения задач компьютерно- технической экспертизы: Учеб. пос. - М.: ГУ ЭКЦ МВД России, 2002. 2.88 Уголовный процесс и криминалистика на рубеже веков: Сб. науч. трудов. - М.: - Академия управления МВД РФ, 2000. -262с. 2.89 2.90 Шурухнов Н.Г., Пушкин А.В. Расследование неправомерного доступа к компьютерной информации. - М.: ЩИТ-М, 1999. -254с. 2.91 2.92 Черкасов В.Н. Компьютеризация и экономическая преступность. -М.: Академия МВД РФ, 1992. -156с. 2.93 172 2.91 Храмов Ю., Наумов В. Компьютерная информация на предвари- тельном расследовании. - М.,1998. -40с. 2.92 2.93 Энциклопедия судебной экспертизы. / Под ред. Т.В. Аверьяновой и Е.Р. Российской. - М.: Юристъ, 1999.- 552с. 2.94 3. Статьи и тезисы докладов 3.93 Васильев А. А. Основные требования к методике экспертного ис- следования аппаратных компьютерных средств: Тезисы Всероссийского на-учно-практич. семинара «Актуальные проблемы методического обеспечения и современные технологии экспертного исследования компьютерных средств» (19-21 июня2001г.). -Краснодар, 2001. 3.94 3.95 Васильев А.А. Компьютерно-электронные системы как объекты следственного осмотра. Реальные проблемы и виртуальная информация // Закон и право. 2002. № 4. С. 53-57. 3.96 3.97 Васильев А.А., Кротов И.Е. В целях развития таможенного дела в России. Применение специальных знаний в процессе проведения таможенного оформления и таможенного контроля // Закон и право. 2002. № 6. С.31-33. 3.98 3.99 Васильев А.А. Некоторые организационные и методические проблемы судебного экспертного исследования аппаратных средств при рассле- довании преступлений в сфере неправомерного доступа к компьютерной информации: Сб. материалов научно-практич. конференции «Организационно-правовые проблемы совершенствования деятельности ОВД и профессиональной подготовки кадров» (18-19 октября 2001, г. Руза). - М.: ЮИ МВД России, 2002. С.72-78. 3.100 3.97 Васильев А.А. Судебная аппаратно-компьютерная экспертиза как источник доказательств при расследовании преступлений, связанных с не правомерным доступом к компьютерной информации: Сб. материалов науч но-практич. конференции «Проблемы борьбы с преступностью в централь- 173 ном федеральном округе РФ» (28-29 ноября 2001, г. Брянск). - М.: ЮИ МВД России, 2002. - С.405. 3.98 Васильев А.А. Кротов И.Е. Применение специальных познаний при таможенном оформлении и таможенном контроле: Сб. тезисов первой научно-практической конференции ГТЛ ГТК РФ «Экспертно- криминалистическая деятельность в таможенных целях» (22-23 октября 2001). -М.: ГТК РФ 2001. 3.99 3.100 Васильев А.А. Некоторые организационные и методические аспекты проведения судебных компьютерно-технических экспертиз в свете Доктрины информационной безопасности РФ (доклад на секции криминалистики и ОРД): X Международная науч. конференция по информатизации правоох- ранительных систем. - М.: Академия управления МВД РФ, 2001. 3.101 3.100 Внедрение концепции электронного правительства. Стратегия корпорации Microsoft по автоматизации государственных служб: Материалы международной конференции «технологии и решения для электронной Рос сии» (4-6 декабря 2001). - М.: РАН, 2001 .-39с. 3.101 Гудзъ Е.Г. Актуальные проблемы ведения борьбы с преступле ниями в сфере высоких технологий: Сб. материалов научно-практич. семина ра «Применение специальных познаний при раскрытии и расследовании пре ступлений, сопряженных с использованием компьютерных средств». - М.: ГУ ЭКЦ МВД России, 2001. С.40-48. ЗЛ02Дилъдин Ю.М. Компьютерные экспертизы как новое направление деятельности ЭКП ОВД РФ: Сб. материалов научно-практич. семинара «Применение специальных познаний при раскрытии и расследовании пре- ступлений, сопряженных с использованием компьютерных средств». - М.: ГУ ЭКЦ МВД России, 2001. С.8-15. 3.103 Зарубежный опыт, обзорная информация. «Преступления, связанные с компьютерной информацией» Выпуск № 5. - М.: ГИЦ МВД России, 2000. - 12с. 174 3.104 Зубаха B.C., Усов A.M. и др. Современные тенденции и перспективы развития судебной экспертизы в сфере высоких технологий ( по опыту зарубежной экспертной практики): Сб. Экспертная практика. № 49. - М.: ГУ ЭКЦ МВД Россци, 2000. С. 15-40. 3.105 3.106 Интернет-порталы органов государственной власти, как ключевая составляющая «электронного правительства». Государство в XXI веке: Материалы международной конференции «технологии и решения для элек- тронной России» (4-6 декабря 2001). - М.: Президиум РАН, 2001. -41с. 3.107 3.106 Инструкция об организации производства комплексных экспер тиз в судебно-экспертных учреждениях СССР. М.: ВНИИСЭ, 1986. 3.107 Катков С.А., Собецкий И.В., Фёдоров А.Л. Подготовка и назначение программно-технической экспертизы // Информационный бюллетень Следственного комитета МВД России. - М., 1995, № 4. С.11. 3.108 3.109 Костин П.В. Вопросы назначения и проведения КТЭ: Сб. трудов IX международной научной конференции «Информатизация правоохрани- тельных систем». - М.: Академия Управления, 2000. С.442-446. 3.110 3.111 Комиссаров А.Ю. Первая международная конференция Интерпола по компьютерной преступности // Интерпол. 1995. № 14. С.24-28. 3.112 3.113 Кулаков Д.В., Пахомов А.В. Особенности назначения экспертизы (исследования) полиграфической упаковки аудиовизуальной продукции // Следователь. - М.: Юриздат, 2000. 3.114 3.111 Лашин С. Мошенничества в международных телекоммуникаци онных сетях // Интерпол. 1997. №23. С.29-31. 3.112 Лысое Н.Н. Содержание и значение криминалистической харак теристики компьютерных преступлений: Тезисы выступлений участников семинара-совещания преподавателей криминалистики «Проблемы кримина листики и методики ее преподавания». - М., 1994. С.54-55. 3.113 Ляпунов ЮЖ, Максимов СВ. Ответственность за компьютерные преступления//Законность. 1997. № 1. 175 3.114 Марченко А.П. Платежные карты и электронные персональные инструменты в автоматизированных системах взаимодействия государства с населением: Материалы международной конференции «Технологии и реше ния для электронной России» (4-6 декабря 2001) - М.: Президиум РАН, 2001. 3.115 Майлис Н.П. Проблемы законодательного регулирования участия специалиста в уголовном судопроизводстве: Сб. материалов научно- практич. конференции «Уголовно-процессуальный кодекс РФ, проблемы практической реализации» (11-12 октября 2002, г. Сочи). - Краснодар, 2002. С.96-97. 3.116 3.117 Мобильные новости (всемирный журнал). - М., 2001. № 5 (16). С.35; С.86. 3.118 3.119 Маршалко Б.Г., Копытин А.В., Федотов Е.Т. (РФЦСЭ Минюста РФ) «Судебная экспертиза ПЭВМ»: Сб. материалов научно-практич. семинара «Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств». - М.: ГУ ЭКЦ МВД России, 2001.С.95-116. 3.120 3.121 Нехорошее А.Б., Гортинский А.В. Практика производства КТЭ в СЮИ: Сб. материалов научно-практич. семинара «Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств». - М.: ГУ ЭКЦ МВД России, 2001. С.183-188. 3.122 3.119 Безопасность телекоммуникационных и информационных тех- нологий для взаимодействия граждан, бизнеса и органов государственной власти: Доклад Мур М. «Исследования в области информационной безопасности в России и СНГ». - М.: «Сетевой журнал» № 5,2002. С.8-9. 3.120 3.121 Панфилова Е.И. «Уголовно-процессуальные способы изъятия компьютерной информации»: Материалы Всероссийского научно- практического семинара, г. Белгород 28-31 мая 2000. - М.: ГУ ЭКЦ МВД России, 2000. С. 145-168 3.122 176 3.121 Попов В.И. Опыт производства компьютерных экспертиз в ЭКУ УВД Белгородской области: Материалы Всероссийского научно- практического семинара (28-31 мая, 2000). - Белгород, 2000. - М.: ГУ ЭЩ МВД России, 2000. С.75-89. 3.122 3.123 Робингуды цифровой эпохи // Журнал i-business (ноябрь). - М., 2001.С.8-10. 3.124 3.125 Российская Е.Р. Предмет и практические приложения компьютерно- технической экспертизы: Тезисы докладов на международной конфе- ренции «Информатизация правоохранительных систем». Ч.2.- М.: Академия управления МВД РФ, 1998. С.427-432. 3.126 3.127 Российская Е.Р. Специальные познания и их роль в современном судопроизводстве. «Правовые свободы и правовые ограничения»: Материалы Всероссийской межвузовской научно-практической конференции. - М.: РГТУ,2001.С.188-197. 3.128 3.129 Российская Е.Р. Общеэкспертные методы исследования вещест- венных доказательств и проблемы их систематизации. В кн.: 50 лет НИИ криминалистики: Сб. научных трудов ЭКЦ МВД РФ. - М., 1995. С.46-52. 3.130 3.126 Российская Е.Р. Проблемы криминалистических и судебно- экспертных методов исследования вещественных доказательств. «Проблемы совершенствования производства криминалистических экспертиз»: Материа лы научно-практич. конференции. - Саратов: СЮИ, 1998. С.5-14. 3.127 Российская Е.Р. Проблемы становления компьютерно- технической экспертизы как нового рода инженерно-технических экспертиз. «Криминалистика в XXI веке»: Материалы научно-практич. конференции.- М.: ГУ ЭКЦ МВД РФ, 2001. 3.128 Российская Е.Р. Применение специальных познаний в расследо вании преступлений, связанных с движением компьютерной информации. «Подготовка специалистов по раскрытию преступлений в области информа ционных технологий»: Материалы круглого стола (30 марта 2000 г.) - М.: 177 МГУ, 2000. С.39-47. 3.129 Российская Е.Р. Система криминалистической техники в свете современных представлений о природе криминалистики: Сб. трудов «Современные проблемы криминалистики». - М.: Академия управления МВД РФ, 1998.-153с. 3.130 3.131 Российская Е.Р. Современные проблемы использования специ- альных познаний в уголовном и гражданском судопроизводстве: Материалы научной конференции «Судебная реформа в России: проблемы обновления процессуального законодательства».- М.: Институт законодательства и сравнительного правоведения при Правительстве РФ,2001. С.48-58. 3.132 3.133 Российская Е.Р. Некоторые аспекты теории методов экспертного исследования. «Актуальные проблемы криминалистического обеспечения расследования преступлений». Материалы научно-практической конференции. - М.: Академия Управления МВД РФ, 1996. С.43-51. 3.134 3.132 Российская Е.Р. О доказательственном значении результатов комплексного исследования вещественных доказательств // Проблемы уго ловного процесса и криминалистики. - М., 1982. 3.133 Российская Е.Р., Усов А.И. Классификация компьютерно- технической экспертизы и ее задачи. «Уголовный процесс и криминалистика на рубеже веков». Материалы научно-практической конференции. - М.: Академия управления МВД РФ, 2000. 3.134 Российский СБ. Организационные аспекты производства обыска в современных условиях. «Общество и право в новом тысячелетии»: Мате риалы научно-теоретической конференции, посвященной 200-летию МВД России.- М.: изд. 2001. 3.135 Российский СБ. Специальная операция, как организационная форма проведения следственного действия: Научно-практическая конферен ция. 18-19 октября 2001. г. Руза. - М.: ЮИ МВД РФ, 2001. С.55-60. 3.136 Ряшенцев И.В. Экспертная практика исследования компьютер- 178 ных средств в ЭКУ УВД Томской области. «Применение специальных по- знаний при раскрытии и расследовании преступлений, сопряженных с ис- пользованием компьютерных средств». Материалы научно-практической конференции. - М.: ГУ ЭКЦ МВД России, 2000. С. 120-125. 3.137 Саенко Г.В. Современные возможности КТЭ и характеристика технологий экспертного исследования компьютерных средств. «Актуальные проблемы методического обеспечения и современные технологии экспертно го исследования компьютерных средств». 19-21 июня 2001. Краснодар, изд. 2001. 3.138 Семенов Г.В. Криминалистическая характеристика неправомерного доступа к компьютерной информации в системе сотовой связи. «Кри- миналистические средства и методы исследования преступлений». Материалы научно-практической конференции. - Воронеж: ВГУ, 1999. С.38-39. 3.139 3.140 Сюнтюренко О.В., Колачов Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности. «Правовое обеспечение информатизации России». Научно-техническая информация. Серия 1. Организация и методика информационной работы. - М., 1993. №8. 3.141 3.142 Тимофеев ИМ. и др. Проведение криминалистических исследований для определения признаков контрафактности компакт-дисков и компакт-кассет // Вестник МВД России. - М., 1998. №5. 3.143 3.144 Типовые решения по применению технологии централизованного управления антивирусной защитой предприятия. СПб.: Конфидент. 2001. -27с. 3.145 3.146 Тушканова О.В. Практика производства экспертизы нетипичных компьютерных средств (органайзеры, мобильные телефоны и пр.): Материа- лы Всероссийского научно-практического семинара "Актуальные проблемы методического обеспечения и современные технологии экспертного исследо- вания компьютерных средств». (19-21 июня 2001 г.) - Краснодар: Изд. 2001. 3.147 179 3.143 Тушканова О.В. Опыт экспертной работы ФБР США по исследо ванию компьютерных средств. «Применение специальных познаний при рас крытии и расследовании преступлений, сопряженных с использованием ком пьютерных средств»: Сборник материалов) научно-практического семинара. - М.: ГУ ЭКЦ МВД России, 2000. С.116-120. 3.144 Каталог типовых решений «Комплексное оснащение объекта системами безопасности». - М.: Конфидент, 03.2000. -82 с. 3.145 3.146 Усов А.И. Возможности судебной экспертизы в раскрытии и рас- следовании преступлений, сопряженных с использованием компьютерных средств: Сб. тезисов 2 научно-практической криминалистической конфе- ренции « Кримтехника-2000, - М.: ВВЦ, 2000. С.91-116. 3.147 3.146 Усов А.И. Видовая классификация компьютерно-технической экспертизы: Сб. Экспертная практика, № 48. - М.: ЭКЦ МВД России, 2000. С.91-98. 3.147 3.148 Усов А.И., Зубаха B.C. Направления разработки методического обеспечения производства компьютерных экспертиз и исследований: Сб. Экспертная практика, № 48. - М.: ЭКЦ МВД России, 1999. С.45-58. 3.149 3.150 Усов А.И. Задачи компьютерно-технической экспертизы: Сб. Экспертная практика, № 48. - М.: ЭКЦ МВД России, 2000. С.58-68. 3.151 3.149 Усов А.И., Волков Г.А. Зубаха B.C., Белый С.Л. Современные тен денции и перспективы развития судебной экспертизы в сфере высоких тех нологий: Сб. Экспертная практика, № 49. - М.: ЭКЦ МВД России, 1999. С.115-134. 3.150 Усов А.И. Проблемы комплексной экспертизы компьютерных средств: Сб. материалов всероссийского научно-практического семинара «Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств». - М.: ГУ ЭКЦ МВД России, 2000. СЛ 68-183. 3.151 3.152 Ухлинов Л.М. Автоматизация таможенной деятельности: задачи и 3.153 180 перспективы: Сб. трудов IX Международной научной конференции «Информатизация правоохранительных систем». - М.: Академия управления МВД РФ,2000.С.77-81. 3.152 Шаталов А.С., Пархоменко АЛ. Криминалистическая характери- стика компьютерных преступлений: Сб. научных статей «Вопросы квали- фикации и расследования преступлений в сфере экономики». - Саратов: СЮИ МВД России, 1999. С.160-173. 3.153 3.154 Хитев. П.А., Виноградов В.Н. Об опыте организации производства КТЭ в УВД Владимирской области. Опыт производства КТЭ электронных записных книжек: Материалы Всероссийского научно-практического семи- нара (28-31 мая, 2000 г.). - Белгород: Изд. 2000. С.129-137. 3.155 3.154 Чибисов В.Н., Маркилов И.А. Опыт проведения информационно- аналитических технических экспертиз и исследований: Материалы Всерос- сийского научно-практического семинара (28-31 мая, 2000.). Белгород: Изд. 2000.С.208-212. 3.155 3.156 Электронное правительство// Журнал "i-business", специальный выпуск. М., 2001. -160с. 3.157 3.158 Эриашвили Н. Д. В сетях преступного мира. Из официальных ис- точников // Закон и право 2001. № 12. С.42-48. 3.159 3.160 Russian mobile, Апрель. - М., 2002. С.66. 3.161 3.162 Computer world, Январь. - М., 1995. С.12. 3.163 3.164 «Единое интерактивное пространство Содружества. Электронная торговля как фактор усиления экономической интеграции в СНГ»: Материалы международной конференции. Москва, декабрь 2001: Изд. 2001. -418с. 3.165 4. Отчеты о научно-исследовательской работе 4.160 Отчет о научно-исследовательской работе « Разработка методи ческого обеспечения производства криминалистических экспертиз и иссле дований программно-технических средств при расследовании преступлений 181 в сфере компьютерной информации» // Тема НИР № 4.2. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ. 2000. -92с. 4.161 Отчет о научно-исследовательской работе «Выбор классифика- ционных признаков и обоснование системы структурных методов и средств производства КТЭ» // Промежуточный отчет. Тема НИР №3.13. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ.2001. -96с. 4.162 4.163 Отчет о научно исследовательской работе «Методы и средства решения задач компьютерно-технической экспертизы // Заключительный отчет, Тема НИР №3.7. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ, 2002. -83с. 4.164 5. Диссертации и авторефераты 5.163 Абдурагимова Т.Н. Раскрытие и расследование изготовления, сбыта и использование поддельных кредитных и расчетных пластиковых карт: Дисс. ... канд. юрид.. наук. - М., 2002. -201с. 5.164 Белов М.В. Основы расследования хищений совершаемых работ никами банков с использованием служебного положения: Автореф. дисс. ....канд. юрид. наук. - Саратов, 2000. -21с. 5.165 Волынский А.Ф. Концептуальные основы технико- криминалистического обеспечения раскрытия и расследования преступле ний: Дисс...док. юрид. наук. - М., 1999.-64с. 5.166 Гаврилин Ю.В. Расследование неправомерного доступа к компь- ютерной информации: Дисс. ... канд. юрид.. наук..- М., 2002. -180с. 5.167 5.168 Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дисс... канд. юрид. наук. - М., 1997.-215с. 5.169 5.168 Российская Е.Р. Комплексные криминалистические экспертизы с применением рентгеновских методов исследования материалов, веществ и изделий. .Дисс... канд. юрид. наук. - Москва, 1987. - 198с. 182 5.169 Российская Е.Р. Концептуальные основы теории неразрушаю-щих методов экспертного исследования вещественных доказательств: Дисс... докт. юрид. наук. -М.: ВЮЗШ, 1993. -53с. 5.170 5.171 Смагоринский П.Б. Криминалистическая характеристика хищения чужого имущества, совершенного с использованием пластиковых карт и ее применеие в следственной практике: Автореф. дисс. .. канд. юрид. наук. -Волгоград, 2000. -25с. 5.172 5.173 Усов А.К Концептуальные основы судебной компьютерно- технической экспертизы: Автореф. дисс.... докт. юрид. наук. -М., 2002.-41 с 5.174 5.175 Черкасов В.Н. Теория и практика решения организационно- методических проблем борьбы с экономической преступностью в условиях применения компьютерных технологий: Автореф. дисс. ...д-ра. эконом, наук.-М., 1995.-47с. 5.176 5.173 Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации. Дисс канд. юрид. наук. - Саратов, 2000. 6. Зарубежные источники 6.174 Уолкер Г. Угроза США изнутри // International Police Review, Great Briyan, Issue №12 Mai/June. 1999 С10-12. 6.175 Шрайбер. Р Преступления с использованием компьютера // Interpol Interaanional Criminal Police Review №464.1997. C.9-15. 6.176 6.177 Мак Говерн. Мошеннические операции с телефонной связью // Interpol Internanional Criminal Police Review №464. 1997. C.15-19. 6.178 6.177 Андерссон Ф. Уголовно-правовые аспекты Интернет // Kriminalistik. BRD №10.1998. C.685-688. 6.178. Уилсон П. Помощь Интернета в розыске и задержании опасных пресмтупников // International Police Review, Great Briyan, Issue №12 Mai/June. 1999. C.40-41. 183 6.179. Journal of National Institute of Justitce.USA. Oktober 1999. C.31-33. 6.180 Уоллер И, Уэлш Б. Снижение уровня преступности при помощи использования лучших достижений международной практики // Journal of National Institute of Jusnice USA. October. 1998. C.26-33. , 6.181. Мартин В. Использование электронной обработки данных в управлении//Kriminalistik. ВRD №5. 1999. 6.182 Laf and Order. USA №5.1999. 6.183 The Police Chief. USA №8. 1997; №2. 1999. 6.184 6.185 Law Enforcement Technology. USA №4. 1997. 6.186 7. Информационные ресурсы сети Интернет 7.185 http://www.securityworld.ru 7.186 7.187 http// www. orga.com..ru. 7.188 7.189 http// www. tenia., ru 7.190 7.191 httD://www. revkom. ru 7.192 7.193 http// www. zaoanna. ru 7.194 7.195 http// www. setewoi. ru 7.196 7.197 http // www Mobiltnews. ru 7.198 8. Список уголовных дел, экспертных заключений и приговоров суда 8.192 Уголовное дело № 562202 от 09.02. 2001., ГУВД Свердловской области. На исследование представлен IBM-совместимый системный блок с НЖМД. Эксп. закл. № 355, 357 от 22. 03. 2001. -Уголовное дело № 161138 от 26.01. 2000., ГУВД Свердловской области. На исследование представлен IBM-совместимый системный блок с НЖМД, 7 сотовых телефонов. Эксп. закл. № 327 от 10 04 2000. 184 -Уголовное дело № 186928, 2000., ГУВД г. Москва. На исследование представлен IBM-совместимый системный блок-2шт, ГМД., Эксп. закл. № 4344 от 14. 09.2000. -Уголовное дело № 041071298, УВД Тульской области. На исследование представлен IBM-совместимый системный блок с НЖМД, сканер, струй- ный принтер, НГМД. Уголовное дело № 7019, СЧ ГСУ ГУВД г.Москва. На исследование представлен IBM-совместимый системный блок. Эксп. закл. № 3448эот03.2001. -Уголовное дело № 687801 от 01.01. 1999., ГУВД Свердловской области. На исследование представлен IBM-совместимый системный блок с НЖМД, 34 ГМД. Эксп. закл № 3783 от 22. 12. 1999. -Уголовное дело № 256007 от 26.07 . 2000., ГУВД Свердловской области. На исследование представлен органайзер- 2шт, сотовый телефон. Эксп. закл. № 1627,№ 1625, от 20. 07. 2000.№ 1623 от 26. 07. 2000. -Уголовное дело № 16138 от 26.01. 2000., ГУВД Свердловской области. На исследование представлен ГОМ-совместимый системный блок с НЖМД, сотовый телефон. Эксп. закл № 327 от 10. 04. 2000. -Уголовное дело № 288901 от 30.11. 2000., ГУВД Свердловской области. На исследование представлен НЖМД-2шт., Эксп. закл № 2623, № 2625 от 26. 12. 2000. -Уголовное дело № 16138 от 26.01. 2000., ГУВД Свердловской области. На исследование представлен ГОМ-совместимый системный блок с НЖМД, сотовый телефон. Эксп. закл. № 327, №329 от 10. 04.2000. -Уголовное дело № 236911от 15.05. 1997., ГУВД Свердловской области. На исследование представлен комплект ПК со струйным принтером, 26 ГМД. Эксп. закл № 4685,4687, 4689 от 05. 12 .1997. -Уголовное дело № 981010327, 1999. С07 СО УВД г.Белгорода. На исследование представлен ГОМ-совместимый системный блок с НЖМД- 2шт, модем, НГМД- 82шт., компакт диск-5шт., Эксп. закл. №177 от 30. 04. 1999. 185 -Уголовное дело № 9233,1999. СК МВД России. На исследование представлен IBM-совместимый системный блок с НЖМД, 61 ГМД. Эксп. закл.б/н от 26 07.2000. -Уголовное дело № 144129, СК МВД РФ. На исследование представлен IBM-совместимый системный блок с НЖМД. Экп. закл №1289э, от 14. 03. 2000. -Уголовное дело № 117762, 1999.Щелковское УВД Московской обл. На исследование представлен IBM-совместимый системный блок с НЖМД и периферией- 3 шт. Эксп. закл. №1178э от 18. 03. 1997. -Уголовное дело Х° 22222, 1999. СУ УВД Саратовской обл. На иссле- дование представлен НЖМД, компакт-диск, ГМД. Эксп. закл. № 4774э от 17. 02. 1998. -Уголовное дело № 027002, 1998. УВД Тверской области. На исследо- вание представлен IBM-совместимый системный блок с НЖМД, сервер. Эксп. закл. № 4774 от 17.11. 1998. -Уголовное дело № 33/03/0322-97, СО ОВД MP "Печатники" ЮВАО г. Москвы. На исследование представлен IBM-совместимый системный блок с НЖМД, 31 ГМД, 29 компакт-дисков. Эксп. закл. № 1794э от 14.07.1998. -Уголовное дело № 54786. 1999. СО Кировского РОВД, г. Саратова. На исследование представлен IBM-совместимый системный блок с НЖМД, лазерный принтер. Эксп. закл. от 04.03. 1999. -Уголовное дело № 255230, СК МВД РФ. На исследование представлен ноутбук и блок питания. Эксп. закл. № 9287э от 05. 06. 2000. -Уголовное дело № 100542, 1998.СО СУ ГУВД г.Москвы. На исследо- вание представлен IBM-совместимый системный блок с НЖМД-2 шт., ска- нер, лазерный принтер. -Уголовное дело № 30609, 1998. СУ ГУВД Свердловской области. На исследование представлен IBM-совместимый системный блок с НЖМД и периферией, принтер. 186 -Уголовное дело № 41843, 2000. СЧ СУ при МВД РТ. На исследование представлен IBM-совместимый системный блок с НЖМД - 9 шт. с НЖМД, 15 ГМД. Эксп. закл.: № 26 от 01.2000; № 57 от 01.2000. -Уголовное дело № 20117, 2000. G4 СУ при МВД РТ. На исследование представлен IBM-совместимый системный блок с НЖМД. Эксп. закл. № 107 от 09. 02. 2000. -Уголовное дело № 992350206, 1999. СУ УВД Белгородской области. На исследование представлен компакт диск. Эксп. закл № 900 от 03.08 1999. -Уголовное дело № 33/04/0013, 1998г., Московская городская военная прокуратура. На исследование представлен IBM-совместимый системный блок с НЖМД - 5 шт, стример, магнитооптические диски-18 шт, НГМД «3,5» -57 шт., НГМД «5,25» -19шт, компакт-диски-7шт, картриджи стримера-7шт, привод стриммера. Эксп. закл: № 4369э от 29. 04. 1999; № 4068 от 15.03. 1999. -Уголовное дело № 35252, 1999.УРОП ГУВД МО. На исследование представлен кассовый аппарат, самодельный прибор к нему. Эксп. закл № 923/480 от 18.05. 1999. -Уголовное дело № 471, 1998. СГ СУ Московская транспортная про- куратура. На исследование представлен IBM-совместимый системный блок с НЖМД, принтер. Эксп. закл. № 1791э от 24. 04. 1998. -Уголовное дело № 972350029,1997. С09 СО УВД г. Белгорода. На ис- следование представлен IBM-совместимый системный блок с НЖМД. Эксп. закл. № 1877 от 30.09. 1997. -Уголовное дело № 992350206.1999. СУ УВД Белгородской обл.. На исследование представлен компакт-диск-Зшт. с НЖМД Эксп. закл. № 838 от 03 08. 1999. -Уголовное дело № 973340081. СО УФСНП РФ по Белгородской обл. На исследование представлен IBM-совместимый системный блок, принтер с НЖМД. Эксп. закл. № 794 от 05. 05. 1997. 187 -Уголовное дело № 98/989, 1998. УВД Томской области. На исследование представлен IBM-совместимый системный блок - 5шт. с НЖМД. Эксп. закл. № 2903 от 29.10.1998. -Уголовное дело № 02876, 1999. УВД Калининградской области. На исследование представлен комплект компьютерного оборудования. -Уголовное дело № 02467, 1999. УВД Калининградской области. На исследование представлен комплект компьютерного оборудования. -Уголовное дело № 97/1479. УВД Томской области. На исследование представлен IBM-совместимый системный блок, сканер, принтер, с НЖМД-36 шт. Эксп. закл.. № 1660 от15. 12. 1997. -Уголовное дело № 98/333. УВД Томской области. На исследование представлен IBM-совместимый системный блок, с НЖМД. Закл. спец. №2402 от 28.05.1998. -Уголовное дело № 162224, 1998. Прокуратура ЮЗ АО, г.Москвы. На исследование представлен IBM-совместимый системный блок, принтер цвет-ной-2шт, принтер ч/б. с НЖМД. Эксп. закл №3056э от 20.07.1998. -Уголовное дело № 41342. УРОПД ГУВД МО, г. Красногорск. На ис- следование представлен IBM-совместимый системный блок - Зшт, лазерный принтер, 68- НГМД 3.5", один НГМД 5.25". -Уголовное дело № 134144, 1998. ГУВД Свердловской области. На исследование представлен комплект ПК, 20 ГМД, цветной картридж. Эксп. закл. №3213.3211 от 30.11. 1998. -Уголовное дело № 211213, 1998. ГУВД Свердловской области. На ис- следование представлен комплект ПК, компакт-диск-12шт, 24 ГМД. Эксп закл № 1849 от 12. 05. 1999. -Уголовное дело № 05232, 2000. УВД Калининградской области. На исследование представлен комплект компьютерного оборудования. Эксп. закл: №1877,1879 от 13. 05. 1998; №1579, 1581 от 23. 04. 1998; №1711, 1713, от 12. 05. 1998; № 5367, 5369 от 09. 02. 1998. 188 -Уголовное дело № 30608, 1997. ГУВД Свердловской области. На ис- следование представлен комплект ПК, принтер ГМД-15 шт. -Уголовное дело № 01398. УВД Калининградской области. На иссле- дование представлен персональный компьютер с периферией. -Уголовное дело № 17/10 99. УВД Краснодарского края. На исследова- ние представлен комплект ПК, 15 ГМД. -Уголовное дело № 19/999. СО УВД ЦО г.Краснодара. На исследование представлен комплект ПК- 5 шт. -Уголовное дело № 44322, 1998. СО УВД г. Белореченска, Краснодар- ского края. На исследование представлен принтер, картридж. Эксп. закл,:№ 17/2160э от 10.06. 1998; № 17/2161э от 10. 06.1998. -Уголовное дело № 89557, 1998. СО УВД г. Казани. На исследование представлен IBM-совместимый системный блок с НЖМД. Эксп. закл. № 1410 от 09.12.1998. -Уголовное дело № 89544,1998. УРОПД при СУ МВД РТ. На исследо- вание представлен IBM-совместимый системный блок с НЖМД, принтер. Эксп. закл.: № 1334 от 12.11.1998.; № 1291 от 09. 11. 1998. -Уголовное дело № 97080345, СО УВД г. Рыбинска. На исследование представлен IBM-совместимый системный блок с НЖМД, принтер. Эксп. закл. №296 от 1997 г. -Уголовное дело № 9503149, 1995. СО УВД г. Рыбинска. На исследо- вание представлен 1 НГМД. Эксп. закл. № 2-1176 от 12.06.1995. —Заключение по результатам исследования (канд. техн. наук, специалист Московченко П.Г): 5 системных блоков ПК, установленного ПО от 15.03. 2001 (приложения к протоколу осмотра УБЭП КМ ГУВД Нижегородской области от 28.02 2001). -Уголовное дело № 107250418 от 17.07.1998 УВД Брянской области. На исследование представлены видеокассеты. 189 -Уголовное дело № 9233 СК при МВД России. На исследование пред- ставлен 61 ГМД IBM совместимый системный блок МД 2 шт. -Уголовное дело № 033542, 1998. СУ ГУВД г. Москвы. На исследование представлен сканер HPSckanJet, лазерный принтер HPLaserJet4M, 2 системных блока ПК с НЖМД. Эксп. закл. № 5414э от 04. 12.1998. -Уголовное дело № 20117, 2000. МВД РТ, Вахитовского РОВД г. Казани. На исследование представлен IBM совместимый системный блок. Эксп. закл. №107 от 09. 02.2000. -Справка эксперта № 17/1099э от 18.03. 1999. СО УВД Карасунского округа, г. Краснодара. ЭКЦ УВД г. Краснодара. На исследование представлен комплект ПК, 15 ГМД. -Справка эксперта № 17/909э от 15. 03. 1999. СО УВД Центрального округа г. Краснодара. ЭКЦ УВД г. Краснодара. На исследование представлен комплект ПК -5шт. 2 лазерных принтера. -Уголовное дело № 306087, 1998. На исследование представлен сис- темный блок, монитор, клавиатура, принтер, «мышь», 4 кабеля, 15 НГМД. Эксп. закл.: № 5367, 5369 от 09. 02. 1998. -Приговор Ленинского районного суда г. Владимира, № 1-57/2000 от 21.03.2000. -Приговор Фрунзенского районного суда г. Владимира. № 1-94/2000 от 03 04. 2000. 190 ПРИЛОЖЕНИЯ Приложение 1 Протокол осмотра компьютерно-электронных средств ( (в соответствии со ст. 166.167,180 УПК РФ) 3 декабря 2002 г. г. Москва. Осмотр начат: 15ч. 30 мин. Осмотр окончен: 16ч. 50мин. Следователем ЦАО г. Москвы, майором юстиции Румянцевым В.М, в помещении директора фирмы "КВАДРАТ", каб. № 14, расположенный по адресу г. Москва, ул. Колхозная, дом 43, в присутствии понятых, знакомых с работой компьютерной техники (перечисляются данные понятых), пользователя (владельца) аппаратного средства (перечисляются данные пользователя или владельца), с участием специалиста на основании ст. 168 УПК РФ (перечисляются данные специалиста, его образование, стаж работы по специальности), при смешанном освещении с соблюдением требований ст. 176, 177, 81, 83 УПК РФ произвели осмотр компьютерно-электронных средств, о чем в соответствии со ст. 166,167 и 180 УПК РФ составили настоящий протокол. Перед началом осмотра перечисленным лицам на основании ст. 166, 167 УПК РФ разъяснено их право присутствовать при всех действиях, прово- димых в процессе осмотра, и делать заявления, подлежащие занесению в протокол. Понятым, кроме того, в соответствии со ст. 60, 166, 170 УПК РФ разъ- яснена их обязанность удостоверить факт, содержание и результаты осмотра компьютерно-электронных средств. Подписи понятых: На основании ст. 177 УПК РФ в осмотре участвует представитель ор- ганизации, в помещении которого расположено данное КЭС. 191 Подпись представителя: Специалисту разъяснены его обязанности, предусмотренные ст. 58, 166, 168 УПК РФ. он предупрежден об ответственности за отказ или уклонение от выполнения обязанностей специалиста на основании ст. 307 УК РФ. Подпись специалиста: Осмотром установлено: В протоколе отмечается: - наименование КЭС или их комплекта: Комплект IBM-совместимого компьютера. - - комплектность (количество единиц, марка, модель, сер.номер, дата) -5 ед. аппаратно-компьютерного оборудования,, - 1.Системный блок ЮМ -совместимого компьютера, Pentium, модель РТ5- ЕАХ, серийный номер PC 556445565, дата 10.97. 2.Монитор марки Samsunq 15",серийный номер 76865436778, дата 04.98. 3.Принтер лазерный HP- 6JI, серийный номер Сх67548954, дата 05.98. 4.Клавиатура "Компьютерлинк", модель KB 6845K, серийный номер 7Р793103101. 5. «Мышь» "Компьютерлинк", номер 810802998. - наличие особенностей КЭС (особенности форм-фактора, пломбы, ин дивидуальные признаки, наличие инвентарных номеров, аппаратные соеди нения): Системный блок IBM -совместимого компьютера имеет прямоуголь ный корпус типа " Тауер"; на передней фальшпанели кнопка включения со светодиодом, панель для гибкого магнитного диска 3.5" с кнопкой; наклейка с надписью «Pentium»; наклейка на скоче "4"; надпись «СЛР» на фальшпане ли; наличие дефекта в виде сломанной решетки на фальшпанели; отсутствует один винт крепления корпуса к шасси, на винтах видны следы повреждения фасок. 192 Монитор марки «Samsunq" повреждений не имеет, опечатан пломбой «Samsunq лабораториез корпарейшн», на передней панели 5 кнопок, надпись «ТСО 1992». Принтер лазерный HP опечатан пломбой «HP». Клавиатура «Компьютерлинк» имеет надпись на тыльной стороне «ВКУ 1546». «Мышь» «Компьютерлинк» имеет надпись на тыльной стороне «ВКУ 1546». Аппаратно оборудование имеет соединения между собой согласно схеме, прилагаемой к протоколу. КЭС на момент осмотра находится во выключенном (или включенном) состоянии. - факт фиксации с помощью фотооборудования, изображения на мо- ниторе, состояние принтера (какая производится распечатка) и других аппаратных средств компьютерного комплекта. Производится фиксирование в протоколе данных событий, где отмечается, какой документ находился в задании на печать, какой печатался, какая программа на данный момент выполнялась и т.д. В случае включенного ПК уполномоченным лицом отмечается, что специалистом осуществлено корректное завершение работы программы (в соответствии с методикой, разработанной ЭКЦ МВД России и ЮИ МВД России). Специалистом при исследовании зеркальной копии осматриваемого НЖМД или другого устройства памяти отмечается аппаратная структура НЖМД (см. таблицу 2)1. Пример практической реализации см. экспертные заключения № 9287э; №2623 ( приложение. № 5). 1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М, 2001.С.347. 193 Таблица 2. Структура НЖМД в протоколе осмотра КЭС Емкость диска (Мб) Кол-во разделов № раздела на диске Емкость раздела (Мб) Файловая система i Занято (Мб) Свободно (Мб) 1624 2 1 1301,3 FAT 32 98,3 1203,0 2 246,1 FAT 32 0,3 245,8 - общие и частные идентификационные признаки, обнаруженные спе- циалистом при осмотре носителя памяти (например, его номер и т.д.), а так- же: файловая структура, организация папок и каталогов, скрытые, удаленные файлы, их количество, названия. - - копирование информации с НЖМД ПК пользователя или другого устройства памяти, обнаруженного у него на НЖМД ПК специалиста (указываются аппаратные характеристики оборудования-инструментария), или на CD-R, в соответствии с методикой и использованием лицензионных продуктов. Отмечается, что при копировании информации на зеркальную копию, модификация, удаление, повреждение на НЖМД пользователя не производилось. - - данные о выясненных аппаратных и частных идентификационных признаках сводятся в таблицу. - - в приложении к протоколу прилагается схема расположения и соединений КЭС в помещении. Указываются факты маркировки аппаратных средств при их изъятии и упаковки для транспортировки. Отмечается проведение в ходе следственного мероприятия факта звукозаписи и видеосъемки, а также указывается аппаратура, примененная следователем или специалистом. - 194 Лица, участвующие в следственном действии информируются о том, что в процессе следственного действия использовались технические серти- фицированные средства (ст. 166 УПК РФ). Уполномоченным лицом делается отметка о том, что протокол записан правильно, всеми участниками прочитан, а так же фиксируются заявления поступившие от понятых и владельца (пользователя), или если таковых не поступило. Подписи: понятых, пользователя (владельца), специалиста, представителя организации и уполномоченного лица, проводящего следственное действие. 195 Приложение 2 Типовые вопросы по экспертному исследованию аппаратных средств Список представленных вопросов следователя к эксперту составлен на основе имеющейся практики экспертного исследования типовых аппаратных объектов. На наш взгляд, он в достаточной мере охватывает как эмпирические, так и теоретические познания в рассматриваемой сфере. 1. Относится ли представленное устройство к аппаратным компью- терным средствам? 2. 3. Относится ли представленное устройство к аппаратным радио- электронным средствам? • 4. 5. К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры? 6. 7. Каково функциональное предназначение представленного аппа- ратного средства? 8. 9. Какова роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе? 10. 11. Какие носители данных имеются в представленном аппаратном средстве? 12. 13. Решаются ли с помощью представленного аппаратного средства определенные (указываются конкретно какие) функциональные (потреби- тельские) задачи? 14. 15. Реализована ли в аппаратном средстве какая-либо система защиты доступа к информации? Каковы возможности по ее преодолению? 16. 9. Относится ли данное аппаратное средство к представленной компьютерной системе? 196 10. Является ли объект экспертизы аппаратной компьютерной системой, либо представляет какую-либо его отдельную аппаратную компоненту? Если да, то каково ее функциональное предназначение? 11ц Используется ли данное аппаратное средство для решения конкретной функциональной задачи? 12. Имеются ли признаки (указывается интересуемый перечень конкретных признаков) нарушения правил эксплуатации аппаратного (компьютерного, электронного) средства? 13. 14. Какое аппаратное устройство предназначено для работы с пред- ставленным носителем данных? Имеется ли в составе представленной ком- пьютерной системы устройство, предназначенное для работы (чтение, запись) с указанным носителем данных? 15. 14. Фирма- изготовитель представленного аппаратного средства. 15. 16. Существуют ли в аппаратном средстве недокументированные (сервисные) возможности? Какие это возможности? 17. 18. Является ли конфигурция аппаратной (компьютерной, радио- электронной) системы типовой? Можно ли решить с помощью данной аппа- ратной системы конкретные (перечисляются какие) задачи? 19. 20. Какое первоначальное состояние (конфигурация, характеристики) имело представленное аппаратное средство? 21. 22. Каково фактическое состояние (исправен, неисправен) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты? 23. 24. Какие эксплуатационные режимы установлены на данном аппаратном средстве? 25. 26. Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации? 27. 28. Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства? 29. 197 22. Является ли представленное аппаратное средство носителем ин- формации? 23. 24. Какой вид (тип, модель, марка) имеет представленный носитель информации? 25. 26. Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носи- телем информации? 27. 28. Какие параметры имеет носитель информации? Какой метод хранения данных реализован на представленном носителе? 29. 26. Доступен ли для чтения представленный носитель информации? 27. 28. Каковы причины отсутствия доступа к носителю информации? 29. 29. Каковы параметры сигнала, синтезируемого изъятым устройством? 30. 31. Может ли радиосигнал оказывать влияние на работоспособность исследуемой компьютерно-радиоэлектронной системы, состоящей из таких-то (перечисляются типы представленных компьютерных и радиоэлектронных аппаратов) аппаратов? Если да, то как меняются ее функциональные харак- теристики? 32. 31. На какие области памяти компьютерно-радиоэлектронной системы оказывает влияние представленное устройство? 32. 33. Возможно ли восстановить утраченную информацию на представленном носителе данных?. Если да, то произвести восстановление. 34. О Q. * О иинэшлЛюэс Ш оа-иом Приложение 3 , г» Ir» « Г> «J *- S! fc !5 «8 V о 5SSOS8 р> I*.' ci t>i «с о 8<-Ol(«><-<-«>-QQWQIIQ r>r- _eoor-o>Of-orii— г-~Лто SO О Л 01 NiOf4 б--дев" on п о ** о in cvto oi <A«-•o ~- r- ?r — * потоп T^ V- ?- Ш 8 s SrFr Г <s! ^ Q i- • P • s; «* ? T z. ° « Y О Г^ >f $7 ?-?- 1 з - I ^?*? 5зЗз T-r R о С •"* 5 8 — * ~r •• •- И г. V -. ". *4 " A г*. О ip О О» 5s = i?' iS « ? | о G3 ш н- о . Зо о ь- ш ^ п S о о. СО о X о Q. \ ? о CD л ч ^ сгэ со s i ч "* f j. '" ГЦ со ?? \ <- : -*- % о о т— % -:-\ Ч '' <о •?> ч 1 с - • <••> ^- - ^-^о*-*-»-*-«-»-о f I .- О «- "" ZSSS-8 8 8S го о о «?> о о о о СЧ «- (О ю •- ч> ;888 , 'О О г •? ЮШ г 1/1 14 СО ^ О"» .к S о 1 fSgf 200 го о о с* сч о о ш о s . х О о го Ю н о о о ю со 3 о а с те m н U с; о го о X и О а с \ V \ъ \ о о о о о с* ел 00 г- о о о о о о о о о о о О 00 CD xf CM иинэ*лв <Здо oa-иом CM CM О OO О CM Ю "3" 00 I4- CM CO CD CD CO CM о e c. c. Н5?ШШ522§В 1 • "Ч"' «Ч"' IO CO CO ГС П »». г- со r- ie> to <o 82S888SS Kl»rt Г- CO Й CO ll 8 о со о m «75 <n « о «- «о I. 2~ o^" 1 PfpiPPiHi " r r - 5 ?^ <N ?.« * . CM m о ? ! CO »J «о со ??§S 9 IN M . Son + ~a ^«5 c« o> rt *?•- К со л «л ?=• <o • « *: -г § w S3 ??-?I?? — —о — * r\j »^ ТГ a ««-> ? +.-,- >>>->>>->->->->->?>- *§3?Ш? s 3?s 888 3t2 'Ctfi ?$3 8 3333 да V «j о «л «л in <o I „ e ! i 201 Приложение 4 Практика аппаратно-экспертного исследования Экспертное исследование IBM-совместимого системного блока Практика; производства компьютерных экспертиз выработала ряд инст- рументальных подходов решения типичных экспертных задач. Приведем в качестве примера экспертную ситуацию по исследованию IBM- совместимого системного блока персонального компьютера Как отмечалось ранее методически эксперту необходимо проверить упаковку, печати, сверить содержимое вложений с описью. Следует подробно описать используемые экспертом аппаратное и лицензированное программное обеспечение На первой стадии эксперт производит внешний осмотр и описание сис- темного блока. Затем производится вскрытие кожуха и подробно описываются его составляющие и конфигурация. Приведем пример конкретной экспертной ситуации, решение которой производилось под руководством главного эксперта ГУ ЭКЦ МВД России Г.В. Волкова. Представленный системный блок собран в корпусе типа «тауэр» с раз- мерами 335x180x400 мм. На лицевой стороне расположены: устройство для чтения компакт-дисков (CD-ROM), устройство для чтения гибких магнитных дисков размером 3,5 дюйма, кнопка включения компьютера, кнопки «сброс» и включения режима «турбо», наклейка с эмблемой и надписью «КТ TECHNOLOGY pentium system», трехзначный цифровой индикатор и три светодиодных индикатора. На тыльной стороне компьютера размещены разъемы интерфейсных устройств. При визуальном осмотре компьютера со снятой крышкой кожуха было обнаружено, что данный системный блок находится в собранном состоянии. Системная плата собрана на VIA-чипсете. На ней интегрированы: контроллеры портов ввода-вывода (два последовательных порта и один параллельный), 202 двухканальный контроллер накопителей на жестких дисках EIDE, контрол- лер накопителей на гибких дисках. На плате в гнездо типа Socket 7 установлен процессор типа Pentium с тактовой частотой 150 МГц, в слоты для уста-новки памяти установлены два модуля памяти типа SIMM 72 pin no 8 Мб каждый. В слот расширения типа PCI вставлена плата видеоадаптера фирмы SiS модель 6215 PCI. В слоты расширения типа ISA вставлена звуковая карта типа ESS 1868. В корпусе системного блока установлены три накопителя: накопитель на оптических дисках CD-ROM фирмы Samsung, модель SCR-1231 и накопитель на жестких магнитных дисках фирмы Western Digital типа Caviar 11000 объемом 1000 Мб 3,5', серийный номер WD23487A с интерфейсом типа EIDE, накопитель на гибких магнитных дисках 3,5 дюйма (фирма не определена). После описания объектов исследования производится отключение жесткого диска, и системный блок (без жесткого диска!) включается в сеть для определения установок БИОС, уточнения конфигурации и определения рабо- тоспособности. Для экспертизы НЖМД необходимо использовать стендовый компьютер. На этапе исследования жесткого диска одной из главнейших задач является обеспечение процессуальной сохранности информации на исследуемом диске, т.е. при исследовании эксперт должен обеспечить условия, при которых на исследуемый диск не будет производиться запись. В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска на физическом уровне на такой же диск и в дальнейшем работать только с ним. Однако данный вариант, как показывает экспертная практика, в большинстве случаев невозможен. В этом случае эксперт подключает исследуемый диск в качестве дополнительного к стендо- вому компьютеру и производит загрузку ОС MS-DOS (или его аналога) без загрузки каких-либо драйверов и дополнительных программ. После опреде- 203 ляется тип файловой системы, используемой на исследуемом жестком диске (например, с помощью программы (fdisk).B случае классификации нештатного состояния НЖМД, в зависимости от его классификации, необходимо при- менить программу проверки диска - DiskEdit из пакета Norton Utilities с целью приведения НЖМД в штатное состояние. При анализе разделов типа FAT и его модификаций, на стендовом компьютере рекомендуется использовать ОС Windows 95 OSR2 (русскую версию). Перед подключением исследуемого жесткого диска необходимо отключить все резидентные программы, загружаемые в данной ОС и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютера. После отключается ис- следуемый диск и проводится исследование скопированных файлов. При этом желательно загрузить резидентную программу антивирус. Поиск среди удаленных файлов можно проводить с помощью про- граммы UnErase Wizard из пакета Norton Utilities. В случае, если можно оп- ределить какие-либо ключевые фразы, искомые на жестком диске, можно произвести поиск по диску с помощью программы Disk Edit из этого же пакета. При таком поиске могут быть обнаружены фрагменты удаленных файлов, которые не могут быть восстановлены с помощью UnErase Wizard. Следует заметить, что если в процессе проведения экспертного исследования проводится распечатка содержимого носителя информации, необходимо указывать модель принтера, какие программы и настройки экспертом при этом использовались. В заключение исследования (его синтезирующей части) даётся общая суммарная оценка результатов проведённого исследования компьютерных средств и обоснование выводов, к которым пришел эксперт. Выводы пред- ставляют собой ответы на поставленные перед экспертом вопросы и являются умозаключением, которое эксперт делает по результатам проведённых ис- 204 следований на основе выявленных или представленных ему данных об ис- следуемом объекте КТЭ и общего научного положения соответствующей от- расли знания - электроники, радиотехники, программирования и т.п. Укрупненная схема исследования штатного состояния НЖМД Проводится путем: 1) определения класса носителя (например, для компакт-дисков: CD-ROM, CD-R, CD-RW и др.); 2) 3) определения интерфейса, состояния перемычек и переключателей (для НЖМД); 4) 5) определения назначения носителя; 6) 7) подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного диска; 8) 5) определения основных технических параметров (номеров цилиндров, сторон (головок), секторов, количества и размеров секторов, емкости); 6) 7) выявления таблицы разделов диска с определением их основных ха- рактеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров); 8) 7) определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога); 8) 9) поиска признаков повреждения целостности структуры данных (не- соответствие заявленных параметров раздела фактическим, наличие сбой- ных, потерянных и других кластеров, отличие фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.). 10) 205 Укрупненная схема исследования состояния IBM-совместимого системного блока проводится путем: 1) визуального осмотра, внутренних аппаратных компонентов систем- ного блока; 2) 3) извлечения из системного блока жесткого диска; 4) 5) подключения к системному блоку монитора, клавиатуры и ручного манипулятора, прерывания его загрузки для определения установок программы SETUP BIOS; 6) 7) определения системной даты, времени компьютера, других конфи- гурационных установок в программе SETUP BIOS; 8) 5) загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппарат ных компонентов системного блока (все выполняется без жесткого диска) В случае проведения экспертизы других типов компьютеров (несо- вместимых с IBM PC), анализ данных проходит всегда сложнее и в каждом случае характеризуется своей индивидуальностью. Тем не менее, первым действием эксперта остается создание резервной копии данных. Это может быть сделано, например, извлечением жесткого диска из исследуемого компьютера и подсоединением его к технологическому экспертному компьютеру. Далее делается попытка создания физической копии исследуемых данных с помощью Norton DiscEdit. По мнению большинства экспертов, этот метод пригоден не только к винчестерам с интерфейсом IDE, но и имеющим интерфейс SCSI, а также применительно к жестким дискам компьютеров Apple и даже, в некоторых случаях, сетевым серверам. 206 Схема экспертного исследования состояния файлов на НЖМД проводится путем: 1) создания «зеркальной» копии всего содержимого носителя инфор мации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя - использование программы типа Diskedit (Symanec Norton Utilites); 2) определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дискам); 3) 4) определения основных статистических параметров и временных ат- рибутов каталогов и файлов; 5) 6) определения соответствия дат создания и редактирования файлов системному времени компьютера и общей ситуации проведения экспертизы; 7) 8) определения перечня программного обеспечения, содержащегося на магнитном носителе (уставленное программное обеспечение и дистрибутивы), с указанием назначения и названия программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, с графикой, со звуком, языки программиро- вания, работа со сканером и распознавание текста, программы переводчики, игры и т.д.); 9) 6) выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготов ки файлов); 7) определения общего объема файлов данных; 8) 9) выделения защищенной от несанкционированного доступа информации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.); 10) 9) поиска удаленных файлов и остаточной информации (с помощью программ Unerase, Diskedit (Symanec Norton Utilites) и т.п.); 10) выделения файлов, представляющих интерес для экспертизы; 207 11) определения содержимого и атрибутов файлов операционной системы, характеризующих работу пользователя в операционной системе, в ло- кальных и глобальных сетях. При невозможности создания вспомогательного носителя, перед под- ключением исследуемого жесткого диска к стендовому компьютеру, необхо- димо отключить все резидентные программы, загружаемые в ОС Windows 95,98 и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После от- ключается исследуемый диск и проводится исследование скопированных файлов на рабочем жестком диске стендового компьютера. Некоторые аспекты экспертного исследования жесткого диска, находящегося в нештатном состоянии Как показывает экспертная практика, типичный случай аппаратных исследований связан с исследованием жесткого диска персонального компь- ютера. Сам жесткий диск, как правило, конструктивно представляется на экспертизу в корпусе системного блока IBM-совместимого компьютера. Ис- следование содержимого жесткого диска с целью фиксации доказательст- венной информации в неизменном виде является ключевым моментом всей исследовательской деятельности эксперта. По сути, именно на жестком диске находится зафиксированная на материальном носителе информация с рекви- зитами, позволяющая ее идентифицировать, т.е. документированная ин- формация, могущая иметь решающее значение по делу. Следует отметить, что жесткий диск может быть представлен на экспертизу в двух состояниях: работающим, тогда применяются традиционные методы и средства доступа к данным на нем; неработающим (неисправным), тогда применяются специальные методы и средства его исследования. 208 Настоящее исследование посвящено изучению вопросов, связанных с винчестерами, находящимися в неработающем (неисправном), иначе не- штатном состоянии (например, из-за удара диска или его внезапного отказа). С учетом изложенных ранее вопросов, в данном исследовании рассмотрим лишь некоторые классификационные аспекты нетипичного экспертного ис- следования жестких дисков. Проведенные нами исследования показывают что, основными причинами технических неполадок и отказов жестких дисков, препятствующих проведению типичного исследования компьютерной информации, являются физические или логические дефекты. Анализ отказов и сбоев, представленных на экспертизу НЖМД (НГМД), позволяет предложить следующую клас- сификацию нештатных состояний жестких дисков: • сбой в работе в следствие физического дефекта; • • сбой в работе в следствие логического дефекта; • • сбой в работе в следствие физического и логического дефекта; • • отказ в работе в следствие физического дефекта; • • отказ в работе в следствие логического дефекта; • • отказ в работе в следствие физического и логического дефекта. • При дальнейшем анализе проблемы необходимо подробнее остано- виться на решаемых экспертом диагностических и идентификационных зада- чах САКЭ применительно к указанному виду аппаратных объектов. Предпо- сылкой к рассмотрению этих основных задач криминалистики применитель- но к указанным выше служит существование огромного парка накопителей информации - разных фирм-производителей и (как следствие) объектов экс- пертизы с различными критериально-оценочными параметрами и устойчи- выми диагностическими признаками. Именно эти диагностические и иден- тификационные признаки должны, безусловно, устанавливаться при при- менении того или иного экспертного инструментария. 209 Специальные методы позволяют проанализировать и исследовать не- обходимую степень воздействия на НЖМД при проведении разных этапов экспертного исследования (возможно ли в данной следственной и экспертной ситуации применение неразрушающих методов к объекту экспертизы или это невозможно). При этом в зависимости от нештатного состояния возможно применение деструктивных методов экспертного исследования, классификация которых была дана Е.Р. Российской1 и адаптирована нами для исследования жесткого диска, находящегося в нештатном состоянии. Эта классификация, по нашему мнению, применима для любого аппаратно-экспертного исследования и отвечает требованиям ст. 10 Закона «О государственной судебно-экспертной деятельности в РФ». В частности, к таким методам относятся: 1. Методы восстановления, не разрушающие жесткий диск, но меняю щие его отдельные нештатные аппаратно-физические или аппаратно- логические характеристики на штатные, и приводящие НЖМД в штатное со стояние. 2. Методы ремонтно-восстановительные, не разрушающие жесткий диск, но меняющие его отдельные нештатные аппаратно-физические или ап-паратно- логические характеристики на штатные путем замены структурных элементов устройства аналогами, и приводящие его в штатное состояние. 3. 4. Деструктивные методы т.е. полностью разрушающие НЖМД как электронное устройство, но восстанавливающие криминалистически значи- мую информацию, зафиксированную в виде магнитных сигналограмм на магнитных дисках (МД) НЖМД, и требующие для их восстановления приме- нения сложного технологического уровня аппаратной экспертизы. 5. 1 Российская Е.Р. Концептуальные основы теории неразрушающих экспертных методов исследования вещественных доказательств: Дисс. ... докт. юрид. наук.. - М., 1993 С.53. 210 В последнем случае штатное состояние НЖМД как электронного устройства не восстанавливается, однако криминалистически значимая информация, зафиксированная на МД, может быть восстановлена по магнитным сигналограммам.(см. рис. 15). При этом с определенной степенью вероятности можно предположить, что сами МД не повреждены и применение дест- руктивного метода по отношению к НЖМД как электронному блоку не ведет к потере криминалистически значимой информации, содержащейся на МД. Чтобы данные, находящиеся в виде сигналограмм на МД, могли иметь статус доказательств необходимо обеспечить их инструментальную сохранность в последствии, в соответствии с требованиями процессуального закона (ст. 82 УПК РФ). Вопросы хранения МД должны быть при этом методически и технически (инструментально) решены. Несоблюдение этих требований может привести к утрате криминалистически значимой информации и потере объектом статуса вещественного доказательства. В литературе предпочтение отдается применению неразрушающих экспертных методов, при применении которых соблюдается принцип судебной непосредственности. Вещественные доказательства — объекты исследования при этом представляются в суд в неизменном виде. Однако это не должно являться самоцелью. Соотношение разрушающих и неразрушающих методов в экспертном исследовании, в частности, может зависеть и от скла- дывающейся следственной ситуации. Практика показывает, что при проведе- нии исследования с использованием разрушающих методов вероятна утрата вещественной доказательственной базы, что входит в противоречие с судеб- ным принципом непосредственности. Так как проведение судебно-экспертных исследований накопителей есть многоступенчатый и поэтапный процесс, включающий в себя стадии: уяснения принципов работы, диагностики физической и логической структу- ры, установления технических характеристик, то проводить комплексное ап- 211 паратное исследование нештатного состояния жесткого диска в рамках обо- значенной проблемы целесообразно по определенной схеме. Суть этой схемы: от физических исследований к логической организации, далее от этой базы к практической реализации экспертного исследования и использования его выводов для судебных доказательств. Техническая и технологическая реализация исследуемого объекта в основе своей определяет требования к системе применяемого инструментария и экспертных средств, включающих в себя определенные требования к по- мещению, где проводится экспертиза, оно должно иметь стендовое оборудо- вание, приборы, инструменты и материалы, и т.д. Например, для решения задачи по восстановлению данных непосредственно с МД НЖМД (Conner CP3104H), по магнитным сигналограммам, эксперту необходимо минимально применить следующий экспертный инструментарий (исследование проводится в гермозоне): устройство визуализации магнитных сигналограмм с памятью (разрешающая способность устройства визуализации -3 МкМ, чувствительность - напряженость гарантированно ре- гистрируемого магнитного поля — не менее 80 А/м); оптический микроскоп; цифровой фотоаппарат. • При экспертном исследовании, например, воздействие устройства «СТЕК - НС 1»: на магнитные диски производилось воздействие от аппарата, длительностю импульса 0.1 сек. На рис. 15 (а) изображен фрагмент по- верхности магнитного диска (МД), до воздействия устройства (рис. 15 (б)), и после воздействия устройства (рис.15 в). После проведения воздействия сиг- налограммы были стерты электромагнитным импульсом, следовательно, произошла утрата данных. 212 Рис. 15 (а) Фрагмент МД 213 При проведении исследования экспертом расшифровываются штрих-коды и символьные обозначения, например, нанесенные на НЖМД (см. рис Л 6). В настоящее время компаниями и фирмами производителями электронной продукции не выработана единая унифицированная маркировка для жестких дисков. Поэтому расшифровка в каждом конкретном "фирменном" случае будет носить индивидуальный характер. На рис. 16 приведены примеры маркировки НЖМД наиболее известными компаниями1. Экспертом устанавливается используемый интерфейс изучаемого устройства. Эти данные могут содержать информацию по крими- налистической идентификации устройства. Western Digital. Фирма производите Western Digita WDAXXX ^7 J X X- -XXX TT —*• Емкость буфера S: 8кб. М: 32кб, \ \ Н: 128кб. F: 64кб. Примененный интерфейс. A-IDE S-SCSI C- PCMCIA-IOE / CCarvMr / <млн. P: Piranha _ ' / L: Life JtpJiHHeCTBt U: Ultralife диско* байт) I \ \ \ Передняя панель 0: нет \ 1: черная \ 2: серая \ Светодиодный индикатор 0: нет 1: красныП 2: зеленый Seagate Technology ST X ХХХХ X XX - О Фирма проюводктель Seagate Technology Paired Solution ( Комплект винчестера и контроллера) Размеры корпуса. Емкость Интерфейс: I-3.3" высотой 41 мм (млн байт) А-АТА(ШЕ) 2- 5.25"высотой 41мм 3- 4- 3.5" высотой 25мм 5- 4- 5.25* высотой 82мм 5- 6- 3.5" высотой 25мм 6-9" 7- 7- I.J- 9-2.5" высотой 19 мм AD- ATA с 50 контактным 1.3" разъемом ОС- дифференциальный SCSI Е- ESDI FC- оптоволоконный кабель С- система ташкты от ошибок К- IPI-2 N- SCSI дл» короткого кабели NC- SCSI с единственным разъемом NM- SCSI. совместимый с Мое NV- SCSI, совместимый с Netware Р- PCMCIA S- SCSlc поддержкой сиихроннзашш скорости вращении W- Wide SCSI WC- Wide SCSI с единственным разъемом WD-длфференииальный разъем Wide SCSI Рис. 16 Примеры маркировки НЖМД. Колесниченко О., Шишигин И. Аппаратные средства PC . Изд. 4. - М., 2001. С.320. 214 Компании производители дисков оказывают услуги в специальных сервисных центрах (MAYO) по восстановлению данных с «проблемных» же- стких дисков, осуществляя их полную разборку. Восстановленные данные выдаются заказчику записанными на дискетах или CD. Стоимость работ по- сле проведения диагностики оценивается от 1000$ до 20000 $!. Web-адреса компаний-производителей дисковых накопителей можно найти в Интернете на Web-сайте. Web-адреса компаний-производителей жестких дисков2. Фирма Адрес Фирма Адрес Western Digital www.wdc.com Fujitsu www.fujitsu.com Seaqate www.seaqate.com www.fujitsu.com.de Maxtor www.maxtor.com www.fujitsu-europe.com Quantum www.quantum.com IBM www.storage.ibm.com В технической части производства КТЭ осуществляется подбор иллю- стративного материала, составление заключения с описанием всего хода ис- следования. При решении задачи о нештатных способах исследования НЖМД теория о криминалистических признаках, лежащая в основе решения диагностических и идентификационных задач СКТЭ, приобретает конкретное практическое наполнение. Минаси М. Модернизация и обслуживание ПК, полное руководство. - Киев, 2000. 2 Рудометов Е., Рудометов В. Архитектура ПК, комплектующие, мультимедиа. — СПб, 2000. С. 102. 21S Некоторые аспекты аппаратно-экспертного исследования нетипичных компьютерных средств - сотовых телефонов и SIM карт (стандарта GSM 11.11/14) Анализ зарубежного опыта показывает, что специалистами в Чехии, Нидерландах и других странах активно разрабатываются методики проведе- ния экспертизы сотовых (мобильных) телефонов. Сегодня эксперты могут читать всю информацию, содержащуюся в их памяти и в SIM-картах. Следует учитывать, что при проведении экспертиз мобильных терминалов (МТ), временной интервал экспертного исследования часто бывает ограничен, так как некоторые данные могут самоуничтожаться (энергозависимая память). Так, например чешские специалисты (эксперты), в сотрудничестве с производителем коммерческого программного обеспечения, реализовали в своих инструментальных средствах ряд специальных функций. Это позволило открыть доступ к памяти SIM-карты посредством игнорирования неизвестного PIN-кода. Однако подобное сотрудничество с фирмами- производителями коммерческого программного обеспечения (в зависимости от страны) носит специфический характер и зависит от уровня технологиче- ского развития инструментальных средств, методического обеспечения экс- пертно-криминалистических подразделений и законодательной базы. Технологически каждый МТ, аппаратно идентифицируется двумя циф- ровыми номерами: МИН и ЭСН (IMEI). МИН (Мобильный Идентификационный Номер). Присваивается МТ оператором связи при продаже. МИН является полным телефонным номером абонента и состоит из кода города и местного телефонного номера. Он может быть изменен, например, при перерегистрации договора на обслуживание у оператора связи, и при смене номера телефона. Замену можно осуществить непосредственно с клавиатуры МТ. Процедура замены описывается в технологической документации на аппарат и зависит от модели МТ. 216 ЭСН (IMEI) электронный серийный номер (международный идентификатор мобильного оборудования). Присваивается МТ заводом изготовителем. Состоит из 8 шестнадцатеричных цифр и изменению не подлежит. Технически при наборе номера и нажати на клавишу «@-прозвон», МТ излучает в эфир радиосигнал, в котором радиочастотой модулирована пара МИН, ЭСН (IMEI) а также номер телефона адресата. Автоматикой сотового оператора радиосигнал детектирутся, расшифровывается и проверяется. В случае подтверждения, производится соединение с адресатом. Часто именно эта пара цифровых номеров МТ и служит предметом посягательства злоумышленников1. Стандарт GSM 11.11/14 используется очень широко. Его используют многие крупнейшие операторы не только в России, но и в СНГ. Некоторые из них: Мобильные Телесистемы (Москва); ГлобалТел (Моск- ва);Сибирские.Сотовые.системы-900; (Новосибирск);ТаифТелеком (Казань), СтавтелеСот (Ставрополь) и т.д. Функции, возложенные на SIM-карту определены стандартами GSM 11.11/14, 03.19, 03.48. SIM-карты являются картами открытых платформ. В основе функционирует встроенная миниатюрная виртуальная машина JVM версии 2.1.1. Программирование ведется на языке JawaCard. Объем памяти SIM-карт составляет соответственно: 8,16 и 32 Кбайт. В ближайшее время появяться новые 64/32 JavaSim-карты. Стандарт GSM 11.14 разрешает карте управлять сотовым телефоном, т.е быть активным устройством. Управление МТ ведется посредством программ (Application), установленных и хранимых в SIM карте. Новые функции получили название SAT (SIM Application ToolKit), соответственно объемом памяти составляют 16 и 32 Кбайт. Эти функции значительно расширяют возможности Сетевого Оператора. 1 См., напр. Прил. №5: экспертное заключение № 327 от 10. 04. 2000. Угол, дело № 161138 ГУВД Свердловской обл. 217 Как показывают экспертная практика, ЭКП ОВД, материалы Всероссийских конференций в Белгороде и Краснодаре стремительно нарастает потребность практических работников в получении, анализе, протоколировании криминалистически значимой информации, которая может содержаться в подобных аппаратных средствах и их памяти. В качестве экспертного инст- рументария при проведении экспертных исследований подобных аппаратных средств может быть применены программно-аппаратные комплексы, для ра- боты с МТ и SIM картой: Dr.SIM; SIM Editor; SIM Simulator; система ОРС и ряд зарубежных аппаратно-программных комплексов. Некоторый экспертный инструментарий для исследования сотовых телефонов и SIM- карт Аппаратно-программный комплекс TULP (Нидерланды) служит для проведения экспертиз различных типов сотовых телефонов. Инструментальное средство Cards4Labs позволяет в автоматическом режиме получать всю имеющуюся информацию на SIM- карте и генерировать по ней отчет. Устройство ZERT2 поддерживает аппаратную интеграцию с указанными техническими средствами, оно выполнено в металлическом корпусе, имеющем асинхронные и синхронные порты ввода-вывода, через которые осуществляется подсоединение аппаратных объектов экспертизы к ПК. Достоинством данного инструментария является: возможность осуществления доступа к GSM-телефонам, чтение большинства смарт-карт, наличие легкого в использовании графического интерфейса. Программное обеспечение ZERT2 работает в системах Windows 95, 98, NT 4.0 и генерирует отчеты на основе настраиваемых шаблонов1. Зубаха B.C. Современные тенденции в призводстве судебных экспертиз в сфере высоких технологий по опыту зарубежной экспертной практики // Материалы научно- практической конференции. Белгород 28-31 мая, 2000. М., 2000. С.32. 218 Программно-аппаратный комплекс (ПАК) Dr.SIM. позволяет копировать криминалистически значимую информацию с одной карты на другую, что может быть необходимо при экспертном исследовании SIM-карт. В ПАКе предусмотрена возможность распечатки данных, позволяющих произвести идентификацию владельца сотового телефона и SIM-карты. Предусмотрена возможность архивации. Подобный аппаратный комплекс позволяет автоматически отобразить IMSI-номер предъявленной карты, состояние и количество произведенных попыток набора PIN1 и PIN2, произвести процедуру разблокирования закрытых карт, их тестирования, а в случае надобности - редактирования файлов: ADN, FDN, SMS, PLMN, АоС и т.д. SIM Editor это узко специализированный инструментарий, работающий с картой на уровне команд и который позволяет проводить глубокий анализ карты. Встроенный протокол обмена предоставляет возможность просмотреть переданные и принятые SIM-картой информационные сообщения. С по- мощью данного инструментария обеспечивается максимальный уровень дос- тупа к памяти карты, можно производить коррекцию (помимо доступных пользователю) файлов и файлов служебного назначения. Тестирование телефонных трубок сотовой связи стандарта GSM можно осуществить с помощью оборудования SIM Simulator. В комплексе при тестировании ведется полный протокол обмена данными и результатами выполнения всех команд. Он позволяет производить действия с любыми файлами эмулированной карты. Возможно обеспечение полного контроля над протоколами обмена, а также измерение аппаратных характеристик исследуемого МТ. Система ОРС (ORGA Personalisation Center) представляет собой совокупность программных средств, работающих в среде UNIX. ОРС может осуществлять ведение баз данных как сформированных, так и выполненных заданий, формирование выходных и обработку входных файлов, распределение заданий по персонализационным машинам. 219 Знание особенностей программного обеспечения аппарата позволяет в некоторых случаях, оперативно без использования специального инструмен тария получить некоторую идентифицирующую информацию о изъятом ап парате. 1 Производство идентификации мобильного терминала на месте происшествия В настоящее время идентификацию телефонных трубок (МТ), стандарта GSM можно производить по IMEI-номеру (международный идентификатор мобильного оборудования). В Голландии данная операция используется полицией для выявления похищенных сотовых телефонов. Сегодня эта проблема актуальна и для России. Уникальный IMEI-номер представляет со- бой комбинацию из 15 цифр. Например, номер 465764-40-123456-0. Формат номера следующий: xxxxxx-yy-zzzzzz-n, где хххххх — код модели (причем первые две цифры — код страны производителя), уу — код завода (конечного производителя), — zzzzzz серийный номер, п — запасной идентификатор (обычно 0). Замена SIM-карты на него не влияет. При покупке МТ данный номер наносится на коробку под штрихкодом, и должен совпадать с номером ука- занным под аккумулятором. Для его вызова и с целью сличения на МТ необ- ходимо набрать программу: * # 06 #. Необходимо знать, что в одной сети не может быть двух МТ с одинаковым ГМЕ1. При перепрошивке контрабандных (серых) МТ часто устанавливается произвольный IMEI. «Клоны» таких МТ не смогут одновременно работать в одной сети, при этом фирменные сервис-центры производителей, обязательно проверяют IMEI и не обслуживают телефоны с измененными номерами. Например, для аппаратов компании Motorola существует способ одно- значного определения неофициально ввезенных телефонов. Нужно прове- 220 рить модельный номер, указанный как на упаковке, так и на аппарате под аккумуляторным отсеком. Модельный номер выглядит следующим образом: Sexxxxxxxxx, где х —»цифры и буквы. Предпоследний символ — самая важная его часть, поскольку характеризует регион, для которого данный аппарат был изготовлен, протестирован в сети и утвержден. Если это буква U, то трубка имеет все три российских сертификата соответствия (сертификат Ростеста, Госкомсвязи и гигиенический), предназначен для рынков России и стран СНГ и поставляется на наш рынок официально. Любая другая буква говорит о том, что аппарат ввезен неофициально, не локализован, не сертифицирован и является "серым" импортом. Гарантийные и послепродажные условия на этот телефон на территории стран СНГ не распространяются. Для МТ Motorola и Ericsson наличие букв SL и DL перед номером свидетельствует о том, что данный телефон был блокирован под опреде- ленного оператора. Проверка на блокированность терминала Siemens заключается в следующем: 1) Выключить аппарат, вынуть SIM-карту, включить его и произвести набор IMEI (код *#06#) - Высветится серийный номер. 2) 3) Нажать левую крайнюю кнопку меню (для более поздних версий прошивки — крайнюю правую) — появится пять строк текста. В корректном случае, появится: «БЛОКИР. ВЫКЛ.» или «Unbarred», при другой комбинации - телефон был ранее разблокирован. 4) Также одним из существующих способов проверки МТ Siemens, может быть проверка по номеру партии. Номера партий телефонов Siemens, специально произведенных для российского рынка (модель — номер партии): А35 - L36880-N4350-B202; А36 - L36880-N4300-B208; C35i - L36880-N4050-A402; M35i - L36880- N4250-А402; S35i - L36880-N4100-A402; SL45 -L36880-N4800-A100. Пример нанесения IMEI номера на упаковочной таре приведен на рис.11. 221 Получение криминалистически значимой информации с телефонных и банковских микропроцессорных и магнитных карт. Экспертный инструментарий Сегодня таксофонные карты получили повсеместное распространение. При личном обыске, обыске в помещении, выемке работникам оперативно- следственной группы необходимо обнаруживать, фиксировать и производить изъятие подобных носителей информации. На телефонных картах как и на любом другом носителе информации, может быть обнаружена ценнейшая доказательственная криминалистически-значимая информация, которая мо- жет быть получена экспертом при проведении САКЭ. Телефонные ЧИП- карты представляют собой предоплатные карты, основу которых составляют модули Kartensysteme GmbH с чипами SLE 4406, SLE54436, SLE5536- производства фирмы Sim ens и кристаллом Т-192 Российского производства (завод "Микрон"). Данные пластиковые смарт-карты производят работу в международном стандарте ISO 7816, ISO 9001. Наличие электрически- считываемого индивидуального для каждой ЧИП-карты номера, может позволить оператору отслеживать каждую телефонную карту в режиме online, производить ее идентификацию в ЦУТ (центр управления таксофонами). В настоящее время за рубежом достаточно проработанными являются методики по экспертному исследованию смарт-карт. Например, методика проведения экспертизы телефонной смарт-карты (с неограниченным ресурсом времени) включает в себя следующие шаги: чтение в обычном режиме доступных данных со смарт-карты; фотографическое документирование; рентгеноскопия смарт-карты; удаление с карты верхнего покрытия из фоль- ги; диагностика схемного решения по соединениям контактов; чтение и ин- терпретация программного обеспечения; проведение тестов на телефонном аппарате. В качестве экспертного инструментария, может быть использован, например, аппаратно-программный комплекс АТТК 1-2 (автономный тестер 222 телефонных карт). Комплекс позволяет в автономном режиме и в режиме связи с IBM-совместимым системным блоком читать и передавать в PC все содержимое карты в шестнадцатеричном виде, определять: код изготовления карты, код оператора связи, актив карты, тип кристалла. Возможно допол- нять перечень карт, распознаваемый устройством; позволяет проводить ди- агностику ЧИП-карт. Так, например, экспертные исследования платежных карт проводятся в Институте судебных экспертиз в Висбадене (подразделение KT-53-IT, Германия). Типичная топология платежной магнитной карты (МК) стандарта ISO1 7811 приведена на Рис. 182. Приведем некоторые типичные аппаратные характеристики платежной карты стандарта ISO 7812: тактовая частота (Мгц); емкость оперативного за- поминающего устройства (ОЗУ, Кбайт); постоянного запоминающего уст- ройства (ПЗУ, Кбайт); емкость перезаписываемой энергонезависимой памяти;- время производства типичной транзакции3 (менее 0,1 сек); среднее время производства типичной операции (t опер); время считывания карты-выбор карты (3 мсек); время операции аутентификации карты (2 мсек); для бесконтактных смарт-карт типа MIFARE, рабочее растояние (до 10 см); ОС в которой работает файловая система карты и тд. В настоящее время имеются различные аппаратно-программные читатели пластиковых карт типа Towitoko, Deutsche Telecom AG и др. Например, считыватель ЧИП-карт: THENIDC GB 2312 предназначен для проверки те- 1 ISO International Standarts Organization- Международный стандарт качества для пластиковых карт : Например ISO 7816, ISO 9001 (телефонные чип карты), ISO 7811(МК), ISO 7812(карты метрополитена, "Банк Москвы" и др.), ISO 7816-4 (микроконтроллер кб50004ве1, ОС типа"Оскар", криптография ГОСТ 28147-89, тех паспорт на транспорт, студенческие удостоверения, дотационные карты и т.д. производство фирма " АНГСТРЕМ" с 2001-2002 гг.. 2 Патрик Гелпь (инженер EFREI) Магнитные карты и ПК. - М., 2001 (в книге также приводится аппаратный и программный инструментарий для исследования МК). С.28. 3 Транзакция - технологическая операция, в основе которой лежит идентификация платежного средства (авторизация), оформление слипа (счета), и перезаписи данных на карте. 223 кущего актива ЧИП-карты, кода оператора и производителя карты. Кроме того, эксперты широко используют и другую технику из разных криминали- стических подразделений, например: химическую лабораторию для извлече- ния микросхем (decapsulating), рентгеновскую камеру, растровый сканирую- щий микроскоп и т.д. Экспертом в заключении должны отмечаться: тип и характеристики микропроцессора (PIC), первоначальные схемные контакты на карте (без микросхемы); анализируется работа электронных переключателей; устанав- ливается предназначение всех соединений и других контактов. Рис. 17.Типичная топология МК ISO 7811. К сожалению, в России, на сегодня практически не разработана методическая и инструментальная база аппаратных экспертных исследований пластиковых карт, которая, по мнению Т.И. Абдурагимовой нуждается в ее скорейшем становлении. Ей же обосновываются и рассматриваются неко- торые аспекты аппаратных исследований платежных пластиковых карт . 1 Абдурагшюва Т.И. Расследование изготовления, сбыта и использования поддельных пластиковых карт. - М., 2001. C.9S-107. 224 Некоторые характерные признаки карт American Express, VISA, MasterCard, приводятся и в работе сотрудников ЭКУ ГУВД г. Москвы1. По нашему мнению, создаваемый с 1 июля 1999 г в ЭКЦ МВД России экспериментальный массив поддельных пластиковых платежных карт и до- рожных чеков, создает практическую аппаратную базу для проведения ши- рокомасштабных исследований в этой области2. В заключении данного пункта следует отметить, что только проект «Москва», по внедрению систем пла- тежных пластиковых карт предусматривает их эмиссию в размере 1, 2 млн. карт3. Некоторые экспертные приемы по исследованию электронных органайзеров Исследования по разработке экспертных методов и инструментальных средств для изъятия информации из большинства моделей электронных органайзеров моделей Casio и Sharp проводятся экспертами Пражского института криминалистики. Ими создано специализированное программное обеспечение CasioTool, которое способно моделировать на персональном компьютере эксперта, органайзер такого же типа. Модель функционирует в инте- рактивном режиме и позволяет читать содержимое всей памяти исследуемого устройства, в том числе и его протоколы, а также производить анализ данных и отображать найденный пароль. После выявления пароля экспертом может быть использовано любое программное обеспечение для копирования информации с объекта эксперти- 1 Коврижных А.П., Васильев А.Г. Методические рекомендации по производству экспертных исследований пластиковых карт. - М, 1997. С.5. 2 Распоряжение Министра МВД РФ « О формировании и ведении в ЭКЦ МВД Рос сии Федерального учета поддельных пластиковых платежных карт и дорожных чеков от 1 июля 1999. 3 Марченко АЛ. Платежные карты и электронные персональные инструменты в ав томатизированных системах взаимодействия государства с населением // Президиум РАН Технологии и решения для электронной России. - М., 4-6 Декабря. 2001. 225 зы. Это позволяет выполнять последующие исследования на экспертном тех- нологическом компьютере. Экспертное заключение по исследованию органайзера, проводившееся при производстве уголовного дела № 256007 ГУВД Свердловской области, приведено в приложении к диссертации: уголовное дело № 256007 от 26.07. 2000, экспертное заключение №№ 1625, 1627 от 20. 07. 2000, № 1623 от 26. 07.2000. 226 Приложение 5 Экспертные заключения и приговоры суда МВД РОССИЙСКОЙ ФЕДЕРАЦИИ Главное Управление внутренних дел Свердловской области ЭКСПЕРТНО-КРИМИНЛЛИСТИЧЕСКОЕ УПРАВЛЕНИЕ г. Екатеринбург, пр. Ленина 17 т.58-84-65 ПОДПИСКА Мне, сотруднику экспертно-кримнналистического Управления ГУВД Свердловской области Тушкановой О. В., разъяснены в соответствии со ст. 187 УПК РСФСР права и обязанности эксперта, предусмотренные ст. 82 УПК РСФСР. Об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ предупреждена. 12-07,00 ЗАКЛЮЧЕНИЕЭКСПЕРТА №1623 от 26.07.2000 г. Эксперт-криминалист Тушканова О.В., имеющая высшее образование и стаж экспертной работы 7 лет, на основании постановления прокурора-криминалиста методико-криминалистического отдела прокуратуры Свердловской области советника юстиции Семушкина А.А. по уголовному делу Jfe 256007, возбужденного по факту причинения смертельного ранения генеральному директору ОАО "Уралмаш" Белонеко О.Д и его водителю Яворскому В.И., . провела экспертизу в сфере высоких технологий. Обстоятельства дела: Известны эксперту из постановления следователя о назначении экспертизы в объеме изложенного. На экспертизу представлен: Телефонный аппарат мобильной сотовой связи "Philips genie", изъятый у Белоненко О.Д. На разрешение экспертизы поставлен вопрос: Имеются ли в памяти мобильного сотового телефона данные о последних набранных номерах? Примечание: В соответствии со ст. 191 УПК РСФСР поставленныП вопрос эксперт понимает следующим образом: 1. Имеется ли в памяти мобильного сотового телефона "Philips genie", изъятого у Белоненко О.Д, информация о телефонных номерах, введенная пользователем сотового телефона, либо записанная самим сотовым телефоном? 2. Если имеется, то какая? Исследование: Объект представлен на исследование упакованным в цветной, комбинированный (из бумаги и полиэтилена) пакет, размерами 255x167 мм. На пакет с помощью прозрачного скотча прикреплены: бирка к вещественному доказательству Прокуратуры Свердловской области, на котором имеются рукописные надписи, выполненные красителем синего цвета: "256007", "сотовый телефон и две электронные записные книжки", "поуг. делу обуб-ве Белоненко ОД. и Яворского В. И. " Надписи заверены подписью прокурора- криминалиста; фрагмент листа белой бумаги, на котором нанесен оттиск круглой печати, выполненный красителем фиолетового цвета, "Для пакетов" Прокуратуры Свердловской области. При вскрытии из пакета были извлечены: —электронный органайзер "PalmV" (в постановлении о назначении экспертизы указан как записная электронная книжка "PalmV"); —электронная записная книжка CITIZEN RX-5000; —сотовый телефон "PHILIPS genie". Примечание: электронный органайзер "PalmV" и электронная записная книжка CITIZEN RX-5000 исследуются в заключениях эксперта №№ 1627 и 1625. Мобильный сотовый телефон "Philips genie" имеет размеры 110x54x20 мм (без учета выдвижной антенны). Внешний вид телефона представлен на Рис. 1. "Philips genie" относится к классу мобильных сотовых телефонов стандарта GSM-900. Для того чтобы телефон работал, в него должна быть вставлена SIM-карта, отвечающая за идентификацию абонента в сотовой сети GSM (при замене SIM-карты меняется и номер телефона данного абонента). Она приобретается у конкретного оператора сотовой сети. При вскрытии сотового телефона, представленного на экспертизу, в нем обнаружена SIM-карта "Уралтел" (см. Рис. 2,3). Размеры SIM-карты: 25x15 мм. Для определения номера телефона, записанного на данной SIM-картс, был сделан устный запрос в компанию 227 "Уралтсл". (Номер телефона имеется в базе данных оператора сотопой связи и однозначно определяется идентификационным номером этой SIM-карты. нанесенным на ее поверхность (см. Рис. 2)). Таким образом. установлено, что на данной SIM-карте записан номер телефона — 4819287. Сотовый телефон "Philips genie" имеет три отдельных списка, в которых могут храниться номера телефонов: ? список номеров телефонов и соответствующих им имен, вводимый пользователем данного телефона • "Записная книжка" (хранится на SIM-карте); список последних десяти номеров, по которым звонил пользователь этого телефона. Номера записываются в этот список ' даже тогда, когда ответа на эти звонки не было (хранится в памяти самого телефона); список последних десяти номеров абонентов, звонивших пользователю этого телефона. Номера записываются в этот 1 список даже тогда, когда пользователь телефона не отвечал на них (хранится в памяти самого телефона). Для ответа на поставленный вопрос, сотовый телефон был включен, и эти три списка были просмотрены (без внесения каких-либо изменений) на предмет наличия в них номеров телефонов. При этом установлено, что в них имеется следующая информация: Таблица 1 Содержимое записной книжки: Имя Телефон Holding 80957969005 Vera 095*9538818 Lera 8552*352810 Bod 4819287 Oleg 7630317 Kaha 8*095*2099660 (возможен голосовой набор) Kaha 809S7625624 Kostrov 377080 Kaha 80952099660 Vera 80959538818 Kostrov 824812165 Holding 80952099660 Kashin 80957625785 Kashin 80952076234 Trofim 80957634235 Имя (номер телефона) Дата Время Kostrov 7 июля 15:45 83432320252 7 июля 15:47 80952987855 7 июля 16:49 Kaha 7 июля 17:05 Kaha 8 июля 15.08 83432535463 8 июля 16:27 83432580639 8 июля 20:43 824816011 9 июля 21:23 Lera 9 июля 21:30 Vera 10 июля 11:25 Таблица 3. Список последних 10 номеров, абонентов, звонивших пользователю данного телефона. Имя (номер телефона) Дата Время Kostrov 7 июля 14:02 Kostrov 7 июля 15:26 Неизвестный 7 июля 17:09 83432535463 8 июля 08:52 83432535463 8 июля 08:52 83432535463 8 июля 08:56 83432535463 8 июля 14:22 83432535463 9 июля 22:04 83432777707 10 июля 11:12 Неизвестный 10 июля 11:17 228 ВЫВОДЫ: 1. В памяти мобильного сотового телефона "Philips genie", изъятого у Бслоненко О.Д., имеется информация о телефонных номерах как введенная пользователем сотового телефона, так и записанная самим сотовым телефоном. 2. 3. Информация, введенная пользователем, приведена в Таблице I исследовательской части заключения, информация, записанная самим сотовым телефоном, приведена в Таблице 2 и Таблице 3 исследовательской части заключения. I ' 4. Эксперт : О. Тушкан ова Рис.2 Рис.3 229 МВД РОССИЙСКОЙ ФЕДЕРАЦИИ Главное Управление внутре ix дел Свердловской области ЭКСПЕРТПО- КГИМШ1АЛИСТНЧЕСКОЕ УПРАВЛЕНИЕ г. Екатеринбург, пр. Ленина 17 т.58-84-65 ПОДПИСКА Мне. сотруднику жспсртно-криминалистичсского Управления ГУВД Свердловской области Тушкановой О.В. разъяснены в соответствии со ст. 187 УПК РСФСР права и обязанности эксперта, нрелусмотреннме ст. 82 УПК РСФСР. Об ответственности за дачу заведомо ложного заключения но статье 307 У К РФ предупреждена. 13 07.00 ' ЗАКЛЮЧЕНИЕЭКСПЕРТА №1625 от 20.07.2000 г. Эксперт-криминалист Тушканова О.В.. имеющая высшее образование и стаж экспертной работы 7 лет. на основании постановления прокурора-криминалиста методико-криминалистического отдела прокуратуры Свердловской области советника юстиции Семушкина А.А. по уголовному делу #г 256007, возбужденного по факту причинения смертельного ранения генеральному директору ОАО "Уралмаш" Белонеко ОД. и его водителю Яворскому В.И.. провела экспертизу в сфере высоких технологий. Обстоятельства дела: Известны эксперту из постановления следователя о назначении экспертизы в объеме изложенного. На экспертизу представлена: Записная электронная книжка "CITIZEN". Ня разрешение экспертизы поставлен вопрос: Какая информация имеется в электронной записной книжке? Примечание: В соответствии со ст. 191 УПК РСФСР поставленный вопрос эксперт понимает следующим образом: 1. Имеется ли • электронной записной книжке информация, введенная пользователем? 2. 3. Если имеется, то какая? 4. Исследование: Объект представлен на исследование упакованным в цветной, комбинированный (из бумаги и полиэтилена) пакет, размерами 255x167 мм. На пакет с помощью прозрачного скотча прикреплены: ярлык к вещественному доказательству Прокуратуры Свердловской области, на котором имеются рукописные надписи, выполненные красителем синего цвета: "256007 ". "сотовый телефон и две электронные записные книжки", "поуг. делу обуб-ве Беяоненко ОД. и Яворского В.И. " Надписи заверены подписью прокурора-криминалиста: фрагмент листа белой бумаги, на котором нанесен оттиск круглой печати, выполненный красителем фиолетового цвета. "Для пакетов" Прокуратуры Свердловской области. При вскрытии из пакета были извлечены: —электронная записная книжка CITIZEN RX-5000: —электронный органайзер "PalmV; —сотовый телефон PHILIPS genie. Примечание: элсктропныП opraiiafhcp "PalmV" н сотовый телефон PHILIPS genie исслсл>топя я включениях жеперта JfeAfe 1623 н 1627. 'Электронная записная книжка "CITIZEN RX-5000" расположена в черном пластиковом футляре размерами 138x80x15 мм. Внешний вил открытой записной книжки представлен на рис. I. В ней реализованы следующие функции : два телефонных справочника; блокнот. дневник: календарь: • часы; • • преобразования: будильник. • Дя» ответа на поставленный вопрос, электронная записная книжка "CTTIZIiN RX-5000" была включена и вес имеющиеся к ней функции просмотрены па предмет наличия информации, ранее введенной пользователем записной книжки. 11ри этом установлено, что такая информация содержится в следующих разделах: телефоны 1(1 запись) блокнот (5 записей); преобразования (3 записи). Содержание записей приведено в следующей таблице: 230 Таблица 4. Jfe ll/tl Наименование функции Jfe записи Содержание записи 1 Телефон 1 1 лсннщыдлкиишлПиычаппплгшлог 2 Блокнот 1 359 3 2 378635 дима378625 артсмаззз 1 4 3 вика 5 4 Диме осталось 16 дней 6 5 поставить Ди мс прививку 7 Преобразования 1 S 100 8 2 $ • J 0..5 0 9 3 162 0 ВЫВОДЫ: I. В представленной электронной записной книжке "CITIZEN RX-5000" имеется информация, введенная пользователем. 2. Информацня. введенная пользователем, содержится в разделах: - телефоны I (1 запись) блокнот (5 записей): преобразования (3 записи). Информация распечатана в таблице (см. исследовательскую часть заключения). Рис.1 Эксперт: О. Тушка нова 231 МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИИ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ЭКСПЕРТНО-КРИМИНАЛИСТИЧЕСКИЙ ЦЕНТР 125130, Москва, 3. и А. Космодемьянских, 5 тел. 156-79-65 ПОДПИСКА Мне, сотруднику ГУ ЭКЦ МВД России Белому Сергею Леонидовичу, в соответствии со ст. 187 УПК РСФСР разъяснены права и обязанности эксперта, предусмотренные ст. 82 УПК РСФСР. Об ответственности за дачу заведомо ложного заключения по статье 307 УК РФ предупрежден. 4 апреля 2000 г. Эксперт С.Л. Белый ЗАКЛЮЧЕНИЕ ЭКСПЕРТА № 9287Э от 5 июня 2000 г. Эксперт Белый С.Л., имеющий высшее техническое образование и стаж экспертной работы 5 лет, на основании постановления о назначении экспертизы, вынесенного следователем по особо важным делам Следственного комитета при МВД России подполковником юстиции Малышевой Е.И. по уголовному делу № 255230, произвел компьютерно-техническую экспертизу. Обстоятельства дела связаны с деятельностью международной преступной группы, осуществившей контрабандный вывоз с таможенной территории Российской Федерации бриллиантов. На экспертизу представлены: — персональный компьютер (нотебук) "Bell Latitude XP CD", модель PPS, заводской номер 53416 и блок питания к компьютеру; Исследование Нотебука "Bell Latitude XP CD" Представленный на экспертизу нотебук представляет собой коробку с откидывающейся крышкой черного цвета и габаритными размерами 60x225x276 мм (высота х глубина х ширина). Внешний вид нотебука с передней стороны представлен на рисунке 1. Внешний вид нотебука с открытой верхней крышкой представлен на рисунке 2. |1111|И!1|1Ш|11М| 0 Ь 10 " 15 20 рисунок J "Bell Latitude XP CD" представляет собой персональный компьютер фирмы DELL модель Latitude XPi CD типа "нотебук". С левой стороны нотебука имеются два разъема для установки карт расширения типа РСМС1, а также отсек, в который установлен жесткий диск. С правой ZJZ 59 стороны расположен отсек с установленными аккумуляторами. На передней панели расположено устройство для чтения компакт-дисков (CD-ROM). В нотебуке установлен жесткий диск фирмы IBM модель DMCA-21440 Revision A71A92, серийный номер С50С5262057, объемом 1440 Мб. С тыльной стороны нотебука расположены интерфейсные разъемы(рис.З). На нижней стороне имеется пластина с заводскими обозначениями (рис.4). \ II II \ \ \ \ I I I III I I I I I | О Г» 10 1!» Ж) рисунок 2 Эксперт СМ. Белый 60 рисунок 3 рисунок 4 При исследовании жесткого диска было установлено, что исследуемый винчестер разбит на 1 логический диск, в дальнейшем для удобства описания - диск С. На диске С содержатся файлы операционной системы Microsoft Windows 95 (русская версия), файлы прикладных программ, дистрибутивов и архивов, в том числе: — в каталоге «ARMS» и его подкаталогах содержатся файлы программы ARM версии 3.0 Commercial (автоматизированное рабочее место (АРМ) специалиста по управлению ресурсами алмазного сырья). Получить доступ к информации, хранящейся в данных файлах, не представляется возможным ввиду отсутствия дистрибутива программы и описания формата хранимых данных; — — в каталоге «PROGBRIL» и его подкаталогах содержатся файлы программы прогноза выпуска бриллиантов. Получить доступ к информации, хранящейся в данных файлах, не представляется возможным ввиду отсутствия дистрибутива программы и описания формата хранимых данных; — — в каталоге «MSOFFICE» и его подкаталогах содержатся файлы пакета программ Microsoft Office for Windows 95, а также следующие файлы, содержащие информацию о финансово-хозяйственной деятельности ООО "Диамант" и операциях с драгоценными камнями и драгоценными металлами: — Эксперт С.Л. Белый 61 - том числе в подкаталоге «MSOFFICE\MY DOCUMENTS»: Номер док-та <Имя файла="">. <расширение> Размер (байт) Дата создания Описание 1 shtyrov-l-99.doc 21504 28.01.99 Файл в формате программы Microsoft Word. Содержит текст письма президенту акцио- нерной компании "ЛАРОСА" о предоставлении возможности участвовать в траншах просмотра и отбора алмазного сырья на одном листе. — в том числе в подкаталоге «MSOFFICENMY DOCUMENTSWVORD»: Номер док-та <Имя файла="">. <распшрение> Размер (байт) Дата создания Описание 2 Proposal.doc 43 520 04.02.97 Файл в формате программы Microsoft Word. Содержиг текст письма о возможном со- трудничестве по поставкам алмазного сырья на трех листах. 3 Proposal-2.doc 28 160 17.09.98 Файл в формате программы Microsoft Word. Содержит текст, аналогичный по содержанию тексту в файле Proposal.doc и озаглавленный "Приложение 1", на трех листах. 4 Proposal- small.doc 17 920 12.10.98 Файл в формате программы Microsoft Word. Содержит сокращенный вариант текста, аналогичного тексту в фале Proposal.doc, на одном листе. {далее аналогично приводятся все найденные в подкаталоге «MSOFFICE\MY DOCUMENTSWVORD» файлы содержащие информацию о финансово-хозяйственной деятельности ООО "Диамант" и операциях с драгоценными камнями и драгоценными металлами }; — в том числе в подкаталоге «MSOFFICE\MY DOCUMENTSNXL»: Номер док-та <Имя файла="">. <расширение> Размер (байт) Дата создания Описание 15 Заявл..хЬ 21504 08.12.97 Файл в формате программы MS Excel содержит заявление на лицензию по продаже непромышл-х алмазов (бриллиантов) фирме "Share Ltd." Гибралтар на сумму 3 500,96 тысдолларов США на 1 листе. 16 заявл l.xls 22 016 08.12.97 Файл в формате программы Microsoft Excel. Содержит заявление на лицензию по продаже непромышленных алмазов (бриллиантов) фирме "Share Ltd." Гибралтар на сумму 4 490,00 тыс. американских долларов на одном листе. Эксперт С.Л. Белый 62 {далее аналогично приводятся найденные в подкаталоге «MSOFFICEXMY DOCU-MENTS\XL» файлы, содержащие информацию о финансово-хозяйственной деятельности ООО "Диамант" и операциях с драгоценными камнями и металлами} Определить даты последней модификации всех найденных файлов не представляется возможным, так как в соответствии с информацией, полученной в программах Microsoft Word и Microsoft Excel, они совпадают с датами создания файлов. Однако, в случае редактирования файла и последующего распечатывания отредактированного ^варианта дата модификации могла не измениться, если при закрытии файла пользователь не сохранял внесенные изменения или сохранял файл с другим именем. Всего на диске С в 302 каталогах находится 5 815 файлов, занимающих 635 000 705 байт. Среди удаленных файлов не обнаружено файлов, содержащих текст или фрагменты текста, идентичные представленным на исследование документам или их фрагментам. В установленной на исследуемом нотебуке ОС не предусмотрены какие-либо разграничения по доступу к файлам в зависимости от прав пользователей. Любой пользователь получает полный доступ ко всем файлам и программам, хранящимся на жестком диске. В данной ОС имена пользователей используются для настроек рабочего стола и меню (например, расположения иконок и цветовых настроек) или при работе данного компьютера в сети. В представленном на экспертизу нотебуке устройств для работы его в сети не обнаружено. В связи с вышеизложенным определить имена пользователей, их пароли и права доступа не представляется возможным. На жестком диске представленного на экспертизу нотебука в каталоге «MSOFFICE» и его подкаталогах обнаружено программное обеспечение Microsoft Office, служащее для создания текстовых документов и работы с таблицами. С помощью данного программного обеспечения могли быть подготовлены следующие представленные на экспертизу документы: — договора займа № 323/99 от 23.03.99 г. и № 0914/98 от 14.09.98 г. между компанией «Юпитер Стар» и ООО «Диамант»; — — контракт № 3/98 от 21 апреля 1998 г. между ООО «Диамант» и фирмой «Ardmore Industries»; — — контракт № 3/98 от 21 июля 1998 года между ООО «Диамант» (г. Москва) и ирландской фирмой «Ardmore Industries»; — — спецификация к партии бриллиантов (ОКПО 05912183) по контракту №3/98 от 21 апреля 1998 г. с фирмой «Ardmore Industries» на сумму 2950000 с машинописным текстом вверху листа «КОПИЯ С КОПИИ /6-й вариант/». — ВЫВОД 1. Определить имена пользователей, их пароли и права доступа не представляется возможным по причинам, изложенным в исследовательской части. 2. 3. На жестком диске представленного на экспертизу компьютера "Dell Latitude XP CD" обнаружено 18 файлов, имеющих отношение к финансово-хозяйственной деятельности ООО «Диамант» и операциям с драгоценными камнями и драгоценными металлами. Листы с распечаткой данных файлов приложены к заключению эксперта. 4. 5. На жестком диске представленного на экспертизу компьютера "Dell Latitude XP CD" обнаружены следующие файлы, содержание которых полностью или частично идентично представленным на экспертизу документам: 6. - содержание файла «Договор займа с Юпитер Стар от 22.01.98.doc» из каталога «MSOFFICE\MY DOCUMENTSVWORD» частично идентично представленным на экспертизу договорам займа № 323/99 от 23.03.99 г. и № 0914/98 от 14.09.98 г. между компанией «Юпитер Стар» и ООО «Диамант»; Эксперт С.Л. Белый 63 - содержание файла «Контракт 3-98 с Ireland - 2.doc» из каталога «MSOFFICEVMY DOCUMENTS(WORD» частично идентично представленному на экспертизу контракту №3/98 от 21 апреля 1998 года между ООО «Диамант» (г. Москва) и ирландской фирмой «Ириш Индастрис»; - - содержание файла «Контракт 3-98 с Ireland.doc» из каталога «MSOFFICE\MY - • DOCUMENTSWVORD» идентично представленному на экспертизу контракту № 3/98 от 21 июля 1998 г. между фирмой «Ardmore Industries» и ООО «Диамант» и его копи ям; i - содержание файла «Контракт 3-98.doc» из каталога «MSOFFICE\MY DOCUMENTSWVORD» идентично представленному на экспертизу контракту № 3/98 от 21 июля 1998 г. между фирмой «Ardmore Industries» и 000 «Диамант» и его копиям; - содержание части файла (одного листа из книги программы Microsoft Excel) «Заявле ние на лицензию l.xls» из каталога «MSOFFICEVMY DOCUMENTSVXL» частично идентично представленной на исследование спецификации к партии бриллиантов (ОКПО 069121732 по контракту №3/98 от 21 апреля 1998 г. с фирмой «Ardmore Industries» на сумму 2950000 на 1 листе с машинописным текстом вверху листа «КО ПИЯ С КОПИИ /б-й вариант/». 4. Даты создания файлов: • :.'-"; - «Договор займа с Юпитер Стар OT22.01.98.doc»-14.05.98; - «Контракт 3-98 с Ireland - 2.doc» - 15.05.98; - - «Контракт 3-98 с Ireland.doc» - 15.05.98; - - «Контракт 3-98.doc» - 22.04.98; - - «Заявление на лицензию l.xls» - 17.12.97. - Даты последней модификации данных файлов не установлены по причинам, указанным в исследовательской части. 5. На жестком диске представленного на экспертизу компьютера "Dell Latitude XP CD" в каталоге «MSOFFICE» и его подкаталогах обнаружены файлы пакета программ Microsoft Of fice for Windows 95, с помощью которого могли быть подготовлены: - договора займа № 323/99 от 23.03.99 г. и № 0914/98 от 14.09.98 г. между компанией «Юпитер Стар» и ООО «Диамант»; - - контракт № 3/98 от 21 апреля 1998 г. между ООО «Диамант» и фирмой «Ardmore Industries»; - - контракт № 3/98 от 21 июля 1998 года между ООО «Диамант» (г. Москва) и ирланд-ской фирмой «Ardmore Industries»; - ~~. - спецификация к партии бриллиантов (ОКПО 05912183) по контракту №3/98 от 21 апреля 1998 г. с фирмой «Ardmore Industries» на сумму 2950000 с машинописным текстом вверху листа «КОПИЯ С КОПИИ /б-й вариант/». Эксперт С.Л. Белый Экспер т С.Л. Белый 237 МВД РОССИЙСКОЙ ФЕДЕРАЦИИ Главное Управление внутренних дел Свердловской области ЭКСПЕРТНО- КРИМИНАЛИСТИЧЕСКОЕ УПРАВЛЕНИЕ г. Екатеринбург, пр. Ленина 17 т.38-84-65 ПОДПИСКА Нам, сотрудникам экспертно-криминалистического Управления ГУВД Свердловской области Тушкановой О.В. и Макаровой О.Н. разъяснены в соответствии со ст.187 УПК РСФСР права и обязанности эксперта, предусмотренные ст. 82 УПК РСФСР. I Об ответственности за дачу заведомо ложного заключения по статье 307 УК РФ предупрежаены. 3JLLLQ2. ЗАКЛЮЧЕНИЕЭКСПЕРТА № № 2623, 2625 от. 26.12.00г Эксперты: Тушканова О.В. имеющая высшее образование и стаж экспертной работы 8 лет и Макарова О.Н., имеющая высшее образование и стаж экспертной работы 10 лет на основании постановления следователя СУ Ленинского РУВД г. Екатеринбурга Бурлаковой О.Ю. от 30.11.00 г. по уголовному деду № 288901 проведи комплексную экспертизу. Обстоятельства дела: Известны экспертам из постановления следователя о назначении экспертизы в объеме изложенного. На экспертизу представлено: 1. Жесткий диск Caviar 21600 WD S/N: WM336 458 3963; 2. 3. Жесткий диск Caviar 21600 WD S/N: WM336 449 4955; 4. 5. Акт сверки 05.09.2000-06.09.2000 г.; 6. 7. Накладные в количестве 85 шт.; 8. 9. Контрольно-кассовые ленты за период с 10/03/2000 г. по 30/08/2000 г.; 10. 11. Декларация о личной материальной ответственности Спэрроу Е.В.; 12. 13. Протоколы допросов лиц, проходящих по делу. 14. На разрешение экспертизы поставлены вопросы: 1. Имеется ли на представленных жестких дисках информация по реализации товарно- материальных ценностей за период с марта по август 2000 года, если да, то соответствует ли эта информация, описанию, данному сетевым администратором магазина «Формоза» Комяковым Т.А.? 2. 3. Правилен ли вывод о сумме недостачи 206 136 рублей, отраженный в акте сверки от 05.09.2000 г.—06.09.2000 г. по менеджеру Спэрроу ЕЗ.? 4. 5. Каков механизм образования недостачи? 6. При производстве экспертизы присутствовала и давала пояснения директор магазина «Формоза» Лнсаневич Е.Ю. Исследование: По первому вопросу На исследование представлены два накопителя на жестких дисках Caviar 21600 WESTERN DIGITAL, имеющие следующие серийные номера: WM336 458 3963 (для удобства дальнейшего описания обозначим его № 1) и WM336 449 4955 Саля удобства дальнейшего описания обозначим его № 2). Для ответа на первый вопрос оба накопителя на жестком диске поочередно подключались в качестве slave-диска к стендовому компьютеру ЭКУ ГУВД Свердловской области (конфигурации PentiumlH 500MHz, 128 Mb RAM, видеокарта 32 Mb, 2*HDD 13 Gb, Windows 98). При этом установлено, что представленные диски имеют следующую структуру: 238 № диска Емкость диска (Mb) 1624 1624 Кол-во разделов 1 № раздела на диске I 1 Емкость раздела (Mb) 1547.4 1301.3 246.1 Файлова я система NTFS FAT FAT Занято (Mb) S61 98.3 JJ_ Таблиц а! ('wHNVd l It I Mb Ш После этого были сделаны полные копии представленных дисков на второй ^легкий диск стендового компьютера, диски отключены, а исследование информации проводилось на их полных копиях. Для удобства работы файловая система раздела № 1 диска № I (копии) была преобразована из формата NTFS в формат FAT32. Как пояснил Комяков Т.А., работающий сетевым администратором ИП «Формоза» (протокол допроса от 30/11/2000 г.), информация по реализации товарно-материальных ценностей представлена следующими реквизитами: «номер товарного чека, наименование товара, цена в долларах и рублях, количество, сумма по чеку, менеджер, дата»; лрэиится в сводных таблицах помесячно. Поэтому, все файлы, имеющиеся на представленных дисках, просматривались на предмет наличия в них вышеперечисленной информации за период с марта по август 2000 года. Результаты поиска представлены в Таблице 2, Приложении 1. ТиГшииа 2 иУп диска разделан а диске 1 Имя файл» (включая путь) WlNNT\Pr ofiles\irina\P a6o4Hit стол\ ?Умарт- нал-хЬ размер (> байтах) 58368 дата создания (последн его изменени я) 01.04.200 0 Примеча ние (наимено вание листов • таблице *.xls') с 10.03 J*.eip. » При/»Г*«н ии 1. 1-3 WDJNT\Profiles\irina\Pa6o4Hfl столУ •\апрель-ная.х1а WINNTAProfiles\irina\Pa6o4Hfi столУ —\маи-нал.хЬ WINNT\I>roffles\irina\Pa6o4Hli столУ —Уиюнь-нал.х1з WIN>3T\l,rofiIesWina\Pa6o4Hft столУ —\июль-нал.хЬ \VINNTM>rofilesMrina\Pa6o4He столУ —Уавгуст-нал-хЬ 68608 69632 76800 33280 79872 29.04.2000 01.06.2000 30.06.2000 29.07.2000 23.08.2000 сОЗапр с29апр Лист! Лист2 Лист! Лист! 4-7 S-11 I7-J8 19-22 с 10.03 Мои документыУСВОДН АЯ ЧЕКУ март-нал, xls 1029120 01.04.2000 м-40_ по менед 41-61 сОЗапр Мои документыУСВОДНАЯ ЧЕКУ апрель-нал. хЬ 1282560 29.04.2000 по менед <g-K5 с 29 апр Мои документыУСВОДНАЯ ЧЕКУ май-нал..\Ь 1306112 31.05.2000 J&2L по менед Jffciii Лист! Мои документыУСВОДНАЯ ЧЕКУ июнь-нал. xls 30.06.2000 1466368 Лист2 Jjii?7_ ю Лист! 11 31.07.2000 541696 J2&i2JL Лист2 J,}JLd63_ М " Мои документыУСВОДНАЯ ЧЕКУ июль-нал.хЬ Лист! 12 2236416 01.09.2000 i-169 Лнст2 2 (<|к1Илы 2 (файлы, Мои документыУСВОДНАЯ ЧЕКУ аягуст-нал.хЬ 1-6 Таблицы 7-12 Таблицы В в П.П. п.п. Произведено сравнение файлов, описанных расположенные на диске!), с файлами, описанными расположенные на диске 2). При этом установлено, что ~ файлы, имеющие одинаковые имена частично совпадают (вся информация, имеющаяся в файлах, расположенных на диске 1 имеется и в файлах, расположенных на диске 2); 7- в файлах, расположенных на диске 2, информация представлена более полно (имеются дополнительные реквизиты: «минус S», «оплата в $», заполнено большее количество строк- кажДый файл имеет по два листа с информацией); ~ файлы, расположенные на диске 2 находятся в каталоге «Мои докумснты\СВОДНАЯ ЧЕК\». указанном Комяковым Т.А., как каталог для хранения помесячной информации п0 ;._• . реализации товарно-материальных ценностей имеют все указанные им реквизиты. ".^ Следовательно, информация, содержащаяся в файлах, расположенных на диско 2 в ^логе «Мои докумснтьЛСВОДНАЯ ЧЕК\» и имеющих имена «март-нал..\1»>, «анрель-^ад-эщ», «ыай- нал.хк», «нюнь-нал.хк», «июль-нал.х1»>, «август-нал.х15», соотвстстпуст . лисанию, данному сетевым администратором Комяковым Т. А. h<. Наличие файлов, имеющих аналогичные имена и частично совпадающих П° ^. Держанию с вышеперечисленными файлами, но расположенных на другом диске, может быть ?•;.-•. снсно проведением какого-либо анализа реализации товарно-материальных ценностей. 3 По второму вопросу На исследование представлен акт сверки от 05/—06/09/2000 г., согласно которому: «прк сверке работы Спэрроу Е с 01/01/2000 г. по 21/08/2000 г. в магазине «Формоза» выявлено несоответствие в ведении бухгалтерской документации всего на сумму 206 136 рублей». Проведенным исследованием установлено следующее: Согласно приказу № 4 от 14/02/2000 по ИП Лисаневич Елена Юрьевна, Спэрроу Е.В. с 14/02/2000 г. переведена с должности секретаря на должность кассира-операциониста с окладом согласно штатному расписанию. Со Спэрроу Е.В. был заключен договор (декларация) о личной материальной ответственности, согласно которому «В целях обеспечения сохранности материальных ценностей во всех складских помещениях склада обязуется: 1. Бережно относится к материальным ценностям и принимать меры к предотвращению ущерба; 2. 3. Своевременно сообщать администрации, организации о всех обстоятельствах, угрожающих обеспечению сохранности вверенных мне материальных ценностей; 4. 5. В установленном внутренним распорядком порядке вести учет материальных ценностей, составлять отчеты о движении и остатках вверенных ценностей». 6. Учет в магазине «Формоза» был построен следующим образом: Как пояснила Спэрроу Е.В. (протокол допроса от 20/10/2000 г.) «Когда он (клиент) решил сделать покупку я набираю в компьютере наименование товара в товарном чеке, после этого я указываю цену товара в графе «цена», цену я смотрю в прайсе, после этого я отбиваю чек на указанную сумму в кассовом аппарате. После этого я прикалываю кассовый чек на товарный чек, ставлю печать в углу товарного чека, и на кассовом чеке, после этого расписывалась в графе «подпись продавца» в товарном чеке. Я получаю деньги от покупателя, кладу их в кассу, и отдаю товарный и кассовый чек покупателю. Фиксируется покупка в магазине так, остается копия товарного чека в компьютере и сумма на кассовой ленте». Пояснения Спэрроу Е.В. не противоречат пояснениям Комякова Т.А. На исследование представлены выборочно накладные на реализацию товарно- материальных ценностей за период с 11/03/2000 г. по 21/08/2000 г.; контрольно-кассовая лента за период с 10/03/2000 г. по 29/04/2000 г. с 03/05/2000 г. по 05/05/2000 г. с 13/05/2000 г. по 30/08/2000 г., информация о реализации и сумме выручки, поступившей в кассу магазина «Формоза», представленная в виде сводных ведомостей (таблиц) на жестком диске Caviar 21600 WD S/N: WM336 449 4955 за период с марта по август 2000 г. Исследование проводится по представленным документам и вещественным доказательствам. Период исследования определяется с 10/03/2000 г. по 21/08/2000 г. Исследование проводится методом восстановления движения товарно-материальных ценностей в суммовом выражении, согласно данным, отраженным в представленных накладных; восстановления движения денежных средств, согласно данным, отраженным в контрольно-кассовой ленте; восстановления движения денежных средств, согласно данным, отраженным в сводных таблицах; методом сопоставления полученных данных, с данными отраженными в сводных таблицах. ' На исследование представлены расходные накладные на реализацию товарно- материальных ценностей за период с 11/03/2000 г. по 21/08/2000 г., в которых отражены следующие реквизиты: № накладной, дата выписки; наименование товара, количество, цена в условных единицах; сумма в условных единицах, пена в рублях, всего с НДС в рублях, подпись от имени выдавшего и получившего лиц, также проставлена сумма всего к оплате. Производится восстановление движения товарно-материальных ценностей в суммовом выражении, согласно данным, отраженным в представленных накладных. Восстановлением установлено, что реализовано товарно-материальных ценностей, согласно данным, отраженным в накладных на сумму 6 080 631,00 рублей, (см. Приложение. №4) Также на исследование представлена контрольно-кассовая лента за исследуемый период, в которой отражены следующие данные: дата, № отдела, сумма. Как пояснила Лисаневич Е.Ю., № отделов, проставленные на контрольно-кассовой ленте совпадали с Кг менеджера, всего менеджеров было семь. Производится восстановление движения денежных средств, полученных от реализации товарно-материальных ценностей, согласно данным, отраженным на контрольно- кассовой ленте. Восстановлением установлено, что реализовано товарно-материальных ценностей за исследуемый период всего на сумму 280 505 195,10 рублей (см. Приложение № 5). Кроме того, на исследование представлены сводные таблицы за исследуемый период. Они созданы с помощью процессора электронных таблиц Microsoft Excel и расположены на 4 диске 2 в каталоге «Мои докумскты\СВОДНАЯ ЧЕК\» в файлах, имеющих имена «март- нал..\1»> (лист «с 10.03»), «апрель-нал.х15» (лист «с 03 апр»), «май-нал.х15» (лист «с 29 апр»), «inoHb-KajLxls» (лист «Лист1»), «июль-нал.хк» (лист «Лист1»), «август-нал.xls» (лист «Лист1»). Процессор электронных таблиц Microsoft Excel используется для обработки, хранения и анализа определенным образом организованных данных. Первичным документом Microsoft Excel является лист, который состоит из ячеек, организованных в виде строк и столбцов. Несколько листов образуют книгу (файл). Одновременно на нескольких листах данные можно вводить, править, производить с ними вычисления. Листы можно переименовывать, вставлять, удалять, перемещать или копировать в пределах одной книги или из одной книги в другую. Основным средством для анализа данных является формула, С помощью формул можно складывать, умножать и сравнивать данные, а также объединять значения. Ячейка или группа ячеек листа однозначно определяется ссылкой. С помощью ссыпок можно в формулах использовать данные, находящиеся в различных местах листа, на других листах книги или в другой книге, или на данные другого приложения. В ячейках листа могут содержаться данные двух типов: - константы - данные, которые вводятся непосредственно в ячейку в виде чисел, текста, даты или времени; - - формулы, которые могут использовать ссылки, как на ячейки данного листа, так и листов из других книг. На экране обычно отображаются не сами формулы (содержимое ячеек), а их значения (в виде чисел, текста, даты или времени). Всякий раз, когда необходимо, значения ячеек, содержащих формулы, обновляются (пересчет формулы). - Запись формулы всегда начинается со знака «=». Для констант значение ячейки совпадает с ее содержимым. В ячейках сводных таблиц, используемых для учета продукции, проданной в магазине «Формоза» за наличный расчет, хранятся как константы, так и формулы. В Приложении 1 на стр.23-38, 41-61, 66-85, 92-115, 118-127, 131-163 распечатаны сводные таблицы в том виде, в котором они отображаются на экране (значения ячеек). Общий цришщц размещения в этих таблицах констант н формул одинаков. Для примера распечатано содержимое ячеек первых 10 столбцов и строк №№ 2-102 листа «Лист1» файла «август-нал.х15». (см. Приложение № 2 стр. 1- 4). В результате осмотра содержимого ячеек всех сводных таблиц установлено, что, как правило, значения ячеех, интерпретируемые как «№ чека», «наименование товара», «кол-во», «цена $», «сумма (руб)», «менеджер», «S чека», «дата» устанавливаются равными значениям определенных ячеек, расположенных на первых листах файлов с именами «10TH_***.xls>> (знак «*» заменяет цифру 0-9). Местонахождение каждого такого файла, его имя, номер листа, адрес ячейки прописываются с помощью ссылок. Так как в расположении и содержании ссылок прослеживается закономерность, то можно сделать вывод о том, что они ссылаются на файлы, имеющие однотипную структуру. На представленных магнитных носителях был произведен поиск файлов, имеющих аналогичные имена. Результат поиска представлен в таблице 3: Таблица 3 п\п диска разделана диске Имя файла (включая пуп) размер (в байтах) дата создания (последнего изменения') Примечание №стр. в Приложении 3. 1 1 ' 1 WINNT\ProfJes\irina\P»6o4Hfi стол\ 10ТН OOO.xU 1674248 26.08.2OOO Состоит к» пяти листов 1.2 Изучение этого файла показало, что его структура аналогична структуре файлов с именами «10TH_***.xls», где вместо *** проставлены цифры, определяющие № товарного чека. На стр. 1 Приложения № 3 распечатан лист «Лист1» файла «10ТН_ооо.хЬ» в том виде, в котором он отображается на экране (дополнительно в правом столбце и второй строке введены наименования соответствующих строк н столбцов). Красным цветом обведены те ячейки, на которые имеются ссылки в сводных таблицах. На стр. 2 Приложения №3 распечатано содержимое ячеек листа «Лист1» этого файла. Как пояснил Комяков Т.А. - сетевой администратор (протокол допроса от 30/11/2000 г.) «Поясняю как работает менеджер. Открывается 2 файла - заготовка товарного чека и прайс- файл в котором отражены наименования товара, цены на действующий день. Менеджер копирует из прайс-листа необходимые ячейки, т.е. наименование и цену, и вставляет их в товарный чек. Так же в товарном чеке указывается имя менеджера, дата продажи. При заполнении товарного чека указывается порядковый № из общей папки. Номер товарного чека уникален. Вся эта информация отражается в ежемесячной таблице ежедневно, то есть при открытии сводной таблицы можно увидеть реализацию товарно-материальных ценностей за наличный расчет с начала периода до той даты, когда была открыта таблица». Это описание соответствует тому, как размещаются константы и (]юрмулы в сводных таблицах и на листе «Лист!» файла «юти_ооо..\Ы»(см. Приложение 3 стр. 2). Z4I 5 Производится восстановление движения товарно-материальных ценностей, реализованных в магазине «Формоза» за исследуемый период, согласно данным, отраженным в графе «сумма чек» сводных таблицах. Примечание: сводная таблица за июль месяц содержит данные, начиная с 22/07/2000 г. Восстановлением установлено, что реализовано товарно-материальных ценностей на сумму 24 910 825,78 рублей (См. Приложение № 6). Из пояснений Лисаневич Е.Ю. усматривается (протокол допроса от 22/09/2000 г.), что «Присваивала она (Сгорроу Е.В.) следующим образом: когда клиент выбирал товар, она заполняла на компьютере две формы: накладную на получение товара на складе и товарный чек, в которых указывала: в накладной в графе «Оплачено» имя продавца, отпустившего товар,' номер накладной и дату, наименование и количество товара, количество, цену, дату. После этого формы распечатывала на принтере и расписывалась в графах «Оплачено» и «Подпись продавца». Дальше ока принимала деньги от покупателя и отбивала кассовый чек, где занижала стоимость товара, а чтобы на чеке невозможно было рассмотреть стоимость, ставила поверх нее печать магазина. Накладную, товарный и кассовый чек она отдавала покупателю, который по данным документам получал товар на складе. В конце рабочего дня по кассовым чекам и даиотлм компьютера в магазине проводится подсчет проданного товара и выручки. Чтобы разница не обнаружилась, Сгорроу Е.В. по окончании работы с клиентом, заходила в компьютер, где изменяла наименование товара, количество и сумму проданного товара, таким образом, по окончании работы в магазине не обнаруживалась недостача. Сравнение проданного товара в магазине и отпущенного товара со склада не производилось». Из приведенных выше пояснений усматривается, что данные, отраженные в контрольно- кассовой ленте должны соответствовать тем даишлм которые отражены в сводных таблицах графе «сумма чек» и не соответствовать той сумме, которая проставлена в соответствующей накладной; во всех документах должка была быть проставлена одна и та же дата. Поэтому экспертами, для выведения суммы разницы проводится сопоставление данных, отраженных в контрольно-кассовой ленте, сводных таблицах в графе «сумма чех», представленных на исследование накладных с учетом дат. Проведенным сопоставлением установлено расхождение в сумме 57 491,00 рубль, (см. Приложение № 5) Кроме того, при сопоставлении установлены следующие несоответствия: — Согласно представленной на исследование накладной № 230 от 29/04/2000 года было отпущен следующий товар: ETHERNET CABLE UTP RJ-45 5-level BELDEN Щ/1583А, RJ-45- CONNEKTOR 5-leveL Обжим кабеля, Коврик для мыши VERBATIM на сумму 223,00 рубля, данная сумма значится на контрольно-кассовой ленте за 29/04/2000 по отделу № 7. Согласно датпплм сводной таблицы за апрель месяц по накладной № 230 от «II» апреля 2000 г. был отпущен следующий товар: Збб Celeron/Formoza 1810+SB+SVGA/64SDRAM/8,4GB FUJ/3"/, 15"Samsung 550S,Kb.Ms Nfitsumi/сет.адаптер PCI lOMbMOsp NEC, Kb TURBO/Ms Mitsumi (CASE AT), UPS_525 BACK POWERCOM всего на сумму 19 075 рубля; — — Как усматривается из накладной № 167 от 04/08/2000 г. было отпущено товара на сумму 1825,00 рублей, что соответствует данным контрольно-кассовой ленте за эту же дату по отделу № 4. Однако, согласно данным сводной таблицы за август месяц по строке данных накладной №167 от 04/08/2000 г. в графе «сумма в рублях» отражено значение «29,00», в графе « сумма чек» значение «2652,00», а по показаниям контрольно-кассовой ленты за 04/08/2000 усматривается, что также был реализован товар на сумму и 29,00 рублей по отделу №4; — — Из данных, отраженных в накладной № 280 от 07/08/2000 г., усматривается, что был отпущен товар на сумму 2195,00 рублей. Согласно данным сводной таблицы за август месяц по строке данных накладной № 280 от 07/08/2000 в графе «сумма в рублях» отражено значение «628,00», а в графе «сумма чек» значение «3164,00». Указанных значений (2195,00; 628,00; 3164,00) в контрольно-кассовой ленте за 07/08/2000 г. не отражено. — Аналогичные несоответствия имеются и в ряде других случаев (см. Приложение № 7). К тому же, из пояснений как Лисаневич Е.Ю., так и Комякова Т.А. усматривается, что: — в уже заполненные формы документов могли вноситься изменения как сразу же после распечатывания товарного чека и накладной, так и в последующие дни до удаления соответствующих файлов с диска. Данный принцип был изначально заложен при разработке методологии учета товарно-материальных ценностей при реализации за наличный расчет; — — изменения в эти формы могло вносить любое лицо, имеющее к ним доступ; — — учет реализации товарно-материальных ценностей за наличный расчет был построен таким образом, что при подведении итогов работы за месяц (до пятого числа следующего месяца) заполненные формы документов данного месяца (товарные чеки, накладные), содержащиеся в файлах с именами вида «l0TH_***..\Is», где вместо *** проставлены цифры, определяющие № товарного чека, удалялись. В последующем при необходимости работы со — 6 сводной таблицей предыдущих месяцев при открытии таблицы связи не обновлялись, изменения могли вноситься непосредственно в ячейки таблицы. Кроме того: 1. Не следует исключать возможность случайного либо намеренного создания файла, по заполнению товарного чека и накладной под номером, который в данном месяце уже был использован (смотри пример по накладной № 230 от 29/04/2000 г.) 2. 3. При исследовании сводных таблиц было установлено, что в ряде ячеек, в которых должны содержаться формулы (ссылки) проставлены текстовые и числовые константы; в одной строке таблицы могут содержаться формулы со ссылками на различные файлы с именами «10TH_***.xls» (см. Приложение № 2 стр. 1-4, ячейки обведены красным цветом). 4. Исходя из вышеизложенного, экспертами разница в сумме 57 491,00 рублей, не может бьпъ определена как недостача по подотчету Спэрроу Е.В. Расхождения с выводами акта сверки от 05/—06/09/2000 в сумме 148 645,00 (206 136,00-57 491,00) рублей, объясняются следующим образом: при выведении результата по подотчету Спэрроу Е.В. комиссия в составе: директора Лисаневич EJO., продавцов - кассиров Беспятых Г.Г., Теректьева И.О. производили сопоставление между данными, отраженными в накладных и данными, отраженными в сводных таблицах, тогда как из пояснений Лисаневич Е.Ю. усматривается, что данные, отраженные в контрольно-кассовой ленте должны соответствовать тем данным, которые отражены в сводных таблицах графе «сумма чек» и не соответствовать той сумме, которая проставлена в соответствующей накладной; во всех документах должна была быть проставлена одна и та же дата. Данное пояснение и было использовано экспертами при выведении суммы разницы. Таким образом, проведенным исследованием установлено следующее: при сопоставлении данных, отраженных в контрольно-кассовой ленте, сводных таблицах в графе «сумма чек» и, представленных на исследование накладных с учетом дат установлено расхождение в сумме рублей, данная разница не может быть определена как недостача по подотчету Спэрроу Е.В. По третьему вопросу Поскольку экспертами в результате исследования по второму разнила в сумме рублей не была определена как недостача по подотчету Спэрроу Е.В., то вопрос «Каков механизм образования недостачи?» трактуется следующим образом: «Несоблюдение каких нормативных документов бухгалтерского учета могло оказать влияние на образование разницы?» При ведении бухгалтерского учета реализации товарно-материальных ценностей за наличный расчет в магазине «Формоза» не соблюдался Федеральный Закон «О бухгалтерском учете» (Принят Государственной Думой 23 февраля 1996 года, в ред. Федерального закона от 23.07.98 N 123-ФЗ) согласно которому: — Ст. 1. п.1. Бухгалтерский учет представляет собой упорядоченную систему сбора, регистрации и обобщения информации в денежном выражении об имуществе, обязательствах организаций и их движении путем сплошного, непрерывного и документального учета всех хозяйственных операций. — — Ст. 8 п.4. Организация ведет бухгалтерский учет имущества, обязательств и хозяйственных операций путем двойной записи на взаимосвязанных счетах бухгалтерского учета, включенных в рабочий план счетов бухгалтерского учета. Данные аналитического учета должны соответствовать оборотам и остаткам по счетам синтетического учета. — Данные пункты статей не соблюдались в части: Как следует из исследования по второму вопросу» имеются различные расхождения и несоответствия между пру^пги отраженными в представленных на исследование документах. Из пояснений Лисаневич Е.Ю. усматривается (протокол допроса от 22/09/2000), что «Сравнение проданного товара в магазине и отпущенного товара со склада не производилось». — п.З. При хранении регистров бухгалтерского учета должна обеспечиваться их защита от несанкционированных исправлений. Согласно проведенному исследованию установлено, что: в уже заполненные формы документов могли вноситься изменения как сразу же после распечатывания товарного чека и накладной, так и в последующие дни до удаления соответствующих файлов с диска. Данный принцип был изначально заложен при разработке методологии учета товарно-материальных ценностей при реализации за наличный расчет, изменения в эти формы могло вносить любое лицо, имеющее к ним доступ; учет реализации товарно-материальных ценностей за наличный расчет был построен таким образом, что при подведении итогов работы за месяц (до пятого числа следующего месяца) заполненные формы документов данного месяца (товарные чеки, накладные), содержащиеся в файлах с именами вида «10TH_***.xls», где вместо *** проставлены цифры, определяющие ?№ товарного чека, удалялись. В последующем при 7 необходимости работы со сводной таблицей предыдущих месяцев при открытии таблицы связи не обновлялись, изменения могли вноситься непосредственно в ячейки таблицы. — Ст. 17.п. 1. Организации обязаны хранить первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет. Из пояснений Лисаневич Е.Ю. усматривается (протокол допроса от 22/09/2000), что «...когда клиент выбирал товар, она заполняла на компьютере две формы: накладную на получение товара на складе и товарный чек, в которых указывала: в накладной в графе «Оплачено» имя продавца,; отпустившего товар, номер накладной и дату, наименование и количество товара, количество, цену, дату. ...Накладную, товарный и кассовый чек она отдавала покупателю, который по данным документам получал товар на складе». Таким образом, накладная оформлялась в одном экземпляре, который хранился лишь на складе, а при подведении итогов работы за месяц (до пятого числа следующего месяца) заполненные формы документов данного месяца (товарные чеки, накладные), содержащиеся в файлах с именами вида «10TH_***.xls», где вместо *** проставлены цифры, определяющие № товарного чека, удалялись — Ст.б. п.1. Ответственность за организацию бухгалтерского учета в организациях, соблюдение законодательства при выполнении хозяйственных операций несут руководители организаций. Несоблюдение указанных нормативных документов могло оказать идщргае на образование разницы, установленной в результате исследования. Директором за исследуемый период работала Лисаневич Е.Ю., менеджером Сгорроу Е.В. ВЫВОДЫ: 1. На представленных жестких дисках имеется информация по реализации товарно-материальных ценностей за период с марта по август 2000 года. Она описана в Таблице 2 и распечатана в Приложении 1. Информация, содержащаяся в файлах, расположенных на диске 2 в каталоге «Мои документьАСВОДНАЯ ЧЕК\» и имеющих имена «март-нал-хк», «апрель-нал.х15», «мав-над.хЦ», «июнь-нал-хк», «июль-нал-хЪ), «август-над-хк», соответствует описанию, данному сетевым администратором Комяковым Т.А. 2. 3. При сопоставлении данных, отраженных в контрольно-кассовой ленте, сводных таблицах в графе «сумма чек» и, представленных на исследование накладных с учетом дат установлено расхождение в сумме 57 491,00 рублей, данная разница не может быть определена как недостача по подотчету Сгорроу ЕЛ. 4. 5. Несоблюдение указанных в исследовательской части нормативных документов могло оказать влияние на образование разницы, установленной в результате исследования. Директором за исследуемый период работала Лисаневич Е JO., менеджером Сгорроу ЕЛ. 6. Приложение: № 1 Информация по реализации товарно-материальных ценностей за период с марта по август 2000 г., обнаруженная на дисках, представленных на исследование (стр. 1-169); № 2 Содержимое ячеек первых 10 строк и столбцов №№ 2-102 листа «Лист1» файла Мои документьЛСВОДНАЯЧЕК\август-над.х15 (стр. 1-4); №3 Значения и содержимое ячеек листа «Лист1» файла WINNT\Profiles\irina\Pa6o4HU CTOJA10TH_000.X1S (стр. 1-2); № 4 Ведомость выведения итоговой суммы, согласно представленным накладным; №5 Ведомость выведения суммы разницы при сопоставлении данных, отраженных в накладных, сводных таблицах, контрольно-кассовой ленте; № б Ведомость выведения итоговых значений, согласно данным, отраженным в кассовой ленте, сводных ведомостях, накладных; №7 Ведомость приведения несоответствий, установленных при сопоставлении данных, отраженных в накладных, сводных таблицах, контрольно-кассовой ленте. Эксперты : О. Тушкано ва О. Макарова j.44 i' V gppl4rofyOT мМросси«<5кой Фе# Л ^ ' л Владимир а явствующего с; прокурора: Адвоката: при секретаре: V / аглаз еев Анто но Шиля р Басов ой С.К (ъ ^М рассмотрев в открытом судебном заседании дело по обвинению Тарасова Александра Юрьевича , 14 ноября 1972 года рождения, уроженца г. Владимира, русского, военнообязанного, холостого, не работающего, с незаконченным высшем образованием, не судимого, проживающего по адресу: г. Владимир, ул. Разина, д. 31, кв. 54, в совершении преступлений предусмотренных ст.ст. 146 ч.1, 273 ч.1 УК РФ. Исследовав материалы дела, суд установил: Тарасов А.Ю. незаконно использовал объекты авторских прав, причинившие крупный ущерб, а также распространял машинные носители с программами для ЭВМ, заведомо приводящими к несанкционированному уничтожению, блокированию, модификации и копированию информации, нарушению работы ЭВМ, системы ЭВМ и их сети. Преступления совершены при следующих обстоятельствах. В период времени с августа 1998 года по август 1999 года Тарасов А.Ю. приобретал на рынке «Митино», расположенном в г. Москве, у не установленных следствием лиц контрафактные компьютерные компакт-диски с программами для ЭВМ, являющиеся объектами авторских прав АОЗТ «1С» и компании «Майкрософт», в целях их последующей продажи. В промежуток времени с августа 1998 года по 24 августа 1999 года в магазине, расположенном по адресу: ул. Даргомыжского, д. 6, Тарасов А.Ю., нарушив ст. 30 Закона РФ «Об авторском праве и смежных правах» (в ред. ФЗ от 19.07.95 г. № 110- ФЗ), ст. 14 ч.1 Закона РФ «О правовой охране программ для ЭВМ и баз данных» (в ред. ФЗ от 23.09.92 г. № 3523-1), действуя умышленно, из корыстных побуждений, осознавая, что нарушает авторское право АОЗТ «1С» и компании «Майкрософт», осуществлял незаконное распространение (продажу) компьютерных компакт-дисков «Золотая бухгалтерия 2000» (2 компакт-диска); «Про- 245 граммное обеспечение WINDOWS NT том 2»; «Reanimator 99 Lite»; «Создай свой сайт в Internet-2»; «Офис 98 Загрузочный диск»; «Золотой офисный диск 2CD»; «Системный супер загрузочный 2000»; «Windows 98»; «Visual J ++ 6.0 Pro»; «Microsoft Visual Basic 6.0» с программами для ЭВМ, авторские права на которые, принадлежат АОЗТ «1С»: - «1С: Бухгалтерия 7.5 Базовая версия»; «1С: Бухгалтерия 7.5 Стандартная версия»; - - «1С: Бухгалтерия 7.7 Стандартная версия»; - - «1С: Бухгалтерия Профгдля Windows версия 6.0»; - - «1С: Бухгалтерия Проф для Windows 95 сетевая версия 6.0» (4 про- граммы); - - «1С: Деньги версия 2.5»; - - «1С: Зар'плата. Профессиональная поставка для DOS. Версия 2.0»; - - «1С: Налогоплательщик»; - - «1С: Платежные документы 7.5»; - - «1С: Предприятие 7.5 для SQL. Оперативный учет. Конфигурация. Торговля + Склад + Бухгалтерия» (4 программы); - - «1С: Предприятие 7.7 для SQL. Бухгалтерский учет. Типовая конфигурация»; - - «1С: Предприятие 7.7. Управление распределенными информационными базами» (8 программ); - - «1С: Предприятие для SQL. Расчет. Конфигурация зарплата и кадры» (4 программы); - - «1С: Предприятие. Бухгалтерский учет. Типовая конфигурация 7.5. Сетевая версия» (6 программ); - - «1С: Предприятие. Оперативный учет. Конфигурация Торговля и Склад 7.5 сетевая версия для трех пользователей»; - - «1С: Предприятие. Оперативный учет. Конфигурация Торговля и Склад 7.5 сетевая версия» (4 программы); - - «1С: Предприятие. Оперативный учет. Конфигурация Торговля и Склад 7.0 сетевая версия»; - - «1С: Предприятие. Расчет. Конфигурация зарплата и кадры 7.5. Сетевая версия» (6 программ); - - «1С: Торговля и склад 7.7 Проф», и компании «Майкрософт»: - - Microsoft Front Page 2000; - - Microsoft Visual Basic 6.0 Ent; - - MS Plus! 95; - - Office 97 (русская версия); - - Office 97 Pro (русская версия) (2 программы); - - Visual J++6.0 Pro; - - Windows 95 OSR 2 (русская версия) (З программы); - - Windows 98 (английская версия) (2 программы); - Назначая наказание, суд учитывает общественную опасность соде- янного, личность подсудимого, совершившего преступление впервые, раскаявшегося в содеянном, положительно характеризующегося, а также другие данные о личности, находит возможным назначить наказание не связанное с лишением свободы. Руководствуясь ст.ст. 300-303 УПК РСФСР, суд ПРИГОВОРИЛ: Тарасова Александра Юрьевича признать виновным по ч.1 ст. 146 и ч.1 ст. 273 УК РФ и назначить наказание: - по ст. 146 ч.1 к 1 году шести месяцам лишения свободы; - - по ст. 273 ч. 1 к 1 году лишения свободы. - В соответствии со ст. 69 ч.2 УК РФ путем поглощения менее строгого наказания более строгим окончательную меру определить в виде 1 (одного) года шести месяцев лишения свободы. Согласно ст. 73 УК РФ наказание считать условным с испытательным сроком шесть месяцев. Меру пресечения оставить прежней, подписку о невыезде - до вступле- ния приговора в законную силу. Вещественные доказательства - компьютерные компакт-диски - унич- тожить. Приговор может быть обжалован и опротестован но Владимирский областной суд через Ленинский^райсудыв^ течение 7 суток со дня его провозглашения. М.А. Заглазеев Судья подпись 1^илг^