lawbook.org.ua - Библиотека юриста




lawbook.org.ua - Библиотека юриста
March 19th, 2016

Усов, Александр Иванович. - Концептуальные основы судебной компьютерно- технической экспертизы: Дис. ... д-ра юрид. наук :. - Москва, 2002 402 с. РГБ ОД, 71:03-12/31- 6

Posted in:

МОСКОВСКИЙ ИНСТИТУТ МВД РОССИИ

На правах рукописи

Усов Алек санд р Иван ович

КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ СУДЕБНОЙ КОМПЬЮТЕРНО- ТЕХНИЧЕСКОЙ

ЭКСПЕРТИЗЫ

»:

Спец иаль ност ь: 12.0 0.09 - угол овны й проц есс, крим инал исти ка и суде бная экспе ртиза ; опер атив но- розы скна я деяте льно сть

Диссертация на соискание ученой степени доктора юридических наук

Научный консультант

._) лрдшкто р

заслуженный деятель науки РФ,

юридических наук, профессор

Российская Е.Р.

^ззидиум БАК Минобразования России

Пр

J ?00j x.wllpfa

(ргшенис от.2/

решил выдать диплом ДОКТОРА юридических наук

Начальник отдела ВАК Минобразования России_

Москва, 2Ц02

2

СОДЕРЖАНИЕ

Введение 6

Глава 1. Уголовно-правовые и процессуальные основы использования специальных познаний при раскрытии и расследовании преступлений,

сопряженных с применением компьютерных средств 17

§1.1. Уголовно-правовая характеристика и особенности юридической квалификации преступлений, сопряженных с
применением

компьютерных средств 17

§1.2. Родовая криминалистическая характеристика компьютерных

преступлений 35

§1.3. Особенности собирания криминалистически значимой

компьютерной информации 44

§1.4. Формы использования в уголовном и гражданском судопроизводстве специальных познаний в сфере современных

информационных технологий 64

Глава 2. Частная теория судебной компьютерно- технической

экспертизы 83

§2.1. Цели экспертного исследования компьютерных средств,

предмет познаний и обоснование родовой принадлежности 83

§2.2. Классификация судебной компьютерно-технической

экспертизы и задачи экспертной деятельности 88

§2.3. Определение объектов судебной экспертизы, их свойств и

признаков 95

§2.4. Комплексный характер СКТЭ и ее связь с другими родами и

видами судебных экспертиз 116

Глава 3. Основы назначения и производства судебной компьютерно- технической экспертизы 131

§3.1. Типичные следственные ситуации и экспертные пути их разрешения 131

3

§3.2.Особенности назначения СКТЭ 135

§3.3.Производство СКТЭ в экспертном учреждении и вне

экспертного учреждения 139

§3.4. Производство СКТЭ и допрос эксперта в суде 162

§3.5. Оценка и использование результатов судебной компьютерно- технической экспертизы следователем и судом 170

Глава 4. Методические основы судебной компьютерно-технической

экспертизы 190

§4.1. Основные требования, предъявляемые к методическому

обеспечению СКТЭ 190

§4.2. Система экспертных методов и средств СКТЭ 198

§4.3. Методы диалектической и формальной логики, применяемые в

СКТЭ 205

§4.4. Общенаучные методы, применяемые в СКТЭ 209

§4.5. Специальные методы СКТЭ 215

§4.6. Экспертные средства СКТЭ 223

Глава 5. Судебно-экспертные методики исследования компьютерных

средств и систем 230

§5.1. Структура комплекса экспертных методик СКТЭ 230

§5.2. Сущность родовой экспертной методики по исследованию

объектов СКТЭ 238

§5.3. Типовые методики экспертной диагностики аппаратных

компьютерных средств 244

§5.4. Экспертные методики по исследованию программ 253

§5.5. Методические приемы и способы судебно-экспертного

исследования информационных объектов СКТЭ 269

§5.6. Методика судебно-экспертного исследования компьютерной информации, сопряженной с работой в сети Интернет 279

4

§5.7. Методические особенности судебно-экспертной диагностики

защищенной компьютерной информации 285

§5.8. Методические подходы к экспертизе информационно- программной продукции на признаки контрафактности 288

Глава 6. Организационные проблемы формирования инфраструктуры экспертной деятельности в сфере современных
информационных

технологий 301

§6.1. Современные проблемы и тенденции в организации

производства СКТЭ судебно-экспертными учреждениями 301

§6.2. Пути повышения качества экспертной деятельности в области

СКТЭ 306

§6.3. Компетенция эксперта и формы подготовки экспертов СКТЭ312 §6.4. Экспертная профилактика преступлений,
сопряженных с

использованием компьютерных средств 323

Заключение 338

Список использованных источников 351

  1. Нормативные акты 351
  2. Книги 353
  3. Статьи 361
  4. Диссертации 367
  5. Приложения 369

  6. Задачи видов СКТЭ 370
  7. Экспертные пути разрешения следственных ситуаций по делам, сопряженным с использованием компьютерных средств 383
  8. Перечень типичных вопросов, решаемых СКТЭ 397
  9. Вариант состава рабочего места эксперта СКТЭ 399
  10. Примерный паспорт типовой методики СКТЭ 401

5

СПИСОК СОКРАЩЕНИЙ

АРМ - автоматизированное рабочее место

ЛВС - локальная вычислительная сеть

НЖМД - накопитель на жестком магнитном диске

ОС - операционная система

ОЗУ - оперативное запоминающее устройство

ОВД - органы внутренних дел

СКТЭ - судебная компьютерно-техническая экспертиза

СЭУ - судебно-экспертные учреждения

УК РФ - уголовный кодекс Российской федерации

УПК РФ - уголовно-процессуальный кодекс Российской федерации

ФЗ РФ - Федеральный закон Российской Федерации

ФСНП - Федеральная служба налоговой полиции

ЭВМ - электронно-вычислительная машина

ЭКП - экспертно-криминалистические подразделения

6

ВВЕДЕНИЕ

Современное состояние мирового сообщества характеризуется все- объемлющим проникновением современных информационных технологий в различные области человеческой деятельности: экономическую, социальную, управленческую и другие. Рубеж второго и третьего тысячелетия, наступление эры господства информации во всех странах планеты повсеместно характеризуются резким ростом преступлений в сфере компьютерной информации, а также преступлений, где компьютерные средства1 используются как элементы способа их совершения и сокрытия.

Стремительная криминализация информационных процессов в Рос- сии вызвала необходимость законодательной регламентации правовых отношений и установления уголовной ответственности за совершение преступлений в сфере компьютерной информации. Это нашло своё прямое отражение в ряде Федеральных Законов РФ, а также УК РФ (глава 28). Развитие норм законодательного регулирования информационных правоотношений неизбежно повлекло за собой необходимость всесторонней проработки всех процессуальных механизмов их реализации, что обусловило актуальность темы настоящего исследования.

Раскрытие и расследование преступлений, сопряженных с приме- нением компьютерных средств, в настоящее время не может быть осуществлено без использования специальных познаний в области современных информационных технологий. Важным аспектом здесь является то, что следователь, обладая специальными познаниями и соответст-

Компьютерные средства - современные средства обеспечения автоматизи- рованных информационных систем и информационных технологий - программные, технические, информационные и пр., используемые или создаваемые при проектировании информационных систем и обеспечивающих их эксплуатацию (ФЗ № 24 «Об информации…»).

7

вующими научно-техническими средствами, в принципе, может успешно организовать расследование, но не сможет обойтись без помощи специалиста при собирании и исследовании доказательств. Особенности выявления и исследования криминалистически значимой компьютерной информации связаны, прежде всего, с тем, что данная область специальных познаний включает в себя ряд достаточно разнородных наукоемких направлений (электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в т.ч. про- граммирование) и автоматизация). Преступления рассматриваемых категорий носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательственной информации в связи с широким применением средств удаленного доступа, защиты данных и пр.

Основной процессуальной формой использования специальных по- знаний по указанным делам является судебная экспертиза. Именно экспертные исследования обеспечивают получение результатов, имеющих наибольшее доказательственное значение при исследовании аппаратных средств, программного обеспечения и компьютерной информации. Анализ следственной и экспертной практики показал, что, начиная с 1995-96 г.г., ЭКП ОВД фактически уже приступили к производству экспертиз и исследований различных компьютерных средств. В то же время, был обозначен целый комплекс проблем, вызванных недостаточным ресурсным обеспечением (финансовым, кадровым, материально - техническим, методическим) экспертных учреждений, что не позволяет в полном объеме удовлетворять потребности правоохранительных органов и судов Российской Федерации в проведении экспертиз. Так, объем проведенных в 2001 году экспертных исследований в России в сфере современных информационных технологий составил 10-15% от необходимого.

8

Отсутствие методологических основ, не проработанность теоретических и прикладных аспектов судебно-экспертного исследования компьютерных средств не только негативно влияет на развитие нового направления в деятельности правоохранительных органов, но и ставят под угрозу эффективность всех мер в государстве, направленных на противодействие преступности в сфере современных информационных технологий.

Начало поиска путей решения указанных проблем совпало с вы- полнением «Плана мероприятий по реализации Коммюнике и Плана действий министров юстиции и внутренних дел стран «восьмёрки» от 10.12.1997 г. об усилении борьбы с преступностью в сфере высоких технологий». Здесь впервые прозвучала необходимость создания и всестороннего обеспечения экспертных подразделений для производства компьютерных экспертиз.

Последующие руководящие документы МВД России - директивы и решения коллегий по итогам оперативно-служебной деятельности ОВД и служебно-боевой деятельности внутренних войск МВД России в 1998 -2001 гг., и соответственно задачах на предстоящие года, также проект Решения коллегии МВД России «О состоянии и мерах по повышению эффективности использования экспертно- криминалистических средств и методов в борьбе с преступностью», непосредственно указывали о повышении роли экспертно- криминалистической службы в выявлении преступлений и уделении первоочередного внимания освоению и проведению компьютерных экспертиз. Распоряжением Правительства РФ от 22 октября 1999 года № 1701-Р МВД России, ФСБ России, Министерству юстиции России, прямо предписывалось изучить вопрос о состоянии судебных экспертиз и исследований в сфере информационных технологий и выработать соответствующие предложения.

9

Таким образом, современное состояние вопроса характеризуется с одной стороны его недостаточной научной разработанностью, а с другой - большой реальной значимостью для практики борьбы с преступностью. Учитывая важность поднятой проблемы, которая нашла также отражение в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ 9.09.2000 г., отсутствие скоординированного подхода государственных экспертных учреждений к экспертным исследованиям в сфере информационных технологий, представляется актуальной тема настоящего исследования по разработке концептуальных основ судебной компьютерно-технической экспертизы.

Судебная компьютерно-техническая экспертиза, находясь в стадии становления, является формирующимся родом судебной экспертизы. До настоящего времени в диссертационных исследованиях, монографиях и других работах тема впрямую практически не рассматривались. Находили свое косвенное отражение лишь некоторые частные аспекты становления и развития СКТЭ как новой экспертной области.

В то же время, сегодня уже широко известны криминалистические изыскания, проводимые в области информационных правоотношений. Так, ряд уголовно-правовых и криминалистических вопросов раскрытия и расследования преступлений, совершенных с помощью ЭВМ, были ранее рассмотрены в работах Ю.М. Батурина (1987), A.M. Жодзишского (1991), Н.С. Полевого(1993), В.Б.Вехова (1996), Б.Х. Толеубековой (1994,1998).

Вступление в действие в 1997г. нового Уголовного Кодекса РФ активизировало исследование криминалистических аспектов составов преступлений в сфере компьютерной информации (гл.28), нашедшие свое отражение в диссертационных работах А.В. Макиенко (1997), В.Ю. Рогозина (1998), А.В. Касаткина (1998), В.В. Крылова (1999), Ю.В. Гав-

10

рилина (2000). Некоторые вопросы использования специальных познаний в сфере компьютерной информации были рассмотрены в диссертационных работах А.В. Гортинского (2000), А.Н. Яковлева (2000), В.А. Мещерякова (2001), Т.Н. Абдурагимовой (2002).

Методологические основы судебной компьютерно-технической экспертизы как самостоятельного рода класса инженерно- технических экспертиз были впервые обозначены Е.Р. Российской (1996), в последствие (1997-2001 гг.) ею же были определены главные компоненты (предмет, задачи, объекты) экспертной деятельности в рассматриваемой области. Ряд положений, связанных с классификацией КТЭ, были высказаны Т.В. Аверьяновой (1999- 2001 гг.).

Однако, несмотря на бесспорно теоретическую и практическую значимость всех указанных выше и ряда других исследований и работ следует констатировать, что проблема выработки единой концепции для формирования новой области научных знаний - СКТЭ и ее общетеоретических и практических основ до сих пор остается неразрешенной. Правовые, процессуальные, методические и организационные основы судебной экспертизы в сфере современных информационных технологий не были пока предметом комплексного монографического исследования.

Кроме того, в соответствии с Федеральным законом «О государст- венной судебно-экспертной деятельности в Российской Федерации», урегулировавшим основы организации производства судебных экспертиз в экспертных учреждениях, при проведении СКТЭ, также как и экспертиз других родов и видов, требуется реализация принципов независимости, объективности, всесторонности и полноты исследований. Учитывая также процессуальные изменения, нашедшие свое отражение в УПК РФ (2001 г.), представляется, что существующие потребности во

11

всестороннем развитии судебно-экспертных исследований компьютерных средств практически могут быть реализованы лишь в концептуальных рамках единого методологического подхода к формированию основ СКТЭ.

Настоящее диссертационное исследование призвано в определенной мере восполнить указанный пробел в судебной экспертизе.

Предмет исследования представляют закономерности формирования и функционирования системы научно-технических и правовых знаний, синтез которых составляет научную и практическую основу судебной компьютерно-технической экспертизы.

Объектом исследования является судебно-экспертная деятельность по исследованию компьютерных средств и систем современных информационных технологий.

Общей целью исследования является разработка теоретических, процессуальных, методических и организационных основ СКТЭ. Данная цель стимулирует оформление в стройную систему знаний имеющегося эмпирического опыта по изучению современных информационных технологий и формирование на его основе методологии, определяющей закономерности судебно-экспертного исследования компьютерных средств и систем для получения доказательств по уголовным и гражданским делам.

В процессе подготовки настоящей работы были разрешены следую- щие задачи исследования:

® определены теоретические основы и особенности использования специальных познаний при раскрытии и расследовании преступ- лений, сопряженных с применением компьютерных средств;

12

о выделены признаки нового рода судебной экспертизы - СКТЭ, разработана ее классификация и определены ключевые категории (предмет, задачи, объекты);

® систематизированы методологические и регулятивные принципы назначения и производства судебно-экспертных исследований в сфере современных информационных технологий; ф о сформирована система экспертных методов и средств решения за-

дач СКТЭ и определена сущность технологии экспертного исследования компьютерных средств и систем;

® разработан комплекс методических приемов и способов судебно-экспертного исследования компьютерных средств и систем;

© проанализированы организационные проблемы формирования инфраструктуры экспертной деятельности в сфере информационных технологий и выработаны пути их разрешения;

© предложен комплекс экспертно-профилактических мероприятий по предупреждению преступлений, сопряженных с использованием компьютерных средств.

Методологической и теоретической основой диссертационного исследования являлась система знаний, определяющая основные требования к научным теориям, а также к сущности, структуре и сфере применения различных методов познания. Эту основу составляют труды по философии, фундаментальные положения криминалистики и общей тео-рии судебной экспертизы, правовых и технических наук, относящиеся к теме диссертации.

Для решения поставленных задач использовался широкий круг методов научного исследования: общенаучные методы, собственные методы криминалистики и специальные методы других наук.

13

Диссертационное исследование выполнено в рамках действующих законодательных, подзаконных и ведомственных актов, регламенти- рующие работу следственных, экспертных и судебных учреждений.

Теоретической базой, позволившей получить результативные выводы исследования, являлись основополагающие концепции кримина- листики и общей теорией судебной экспертизы, отраженные в работах: Т.В. Аверьяновой, Р.С.Белкина, А.И.Винберга, Г.Л. Грановского, A.M. Зинина, В.Я. Колдина, Ю.Г.Корухова, Н.П.Майлис, В.С.Митричева, Ю.К. Орлова, В.Ф. Орловой, Е.Р. Российской, Н.А.Селиванова, А.Р.Шляхова, Л.Г. Эджубова и многих других ученых.

Эмпирическую базу исследования составили результаты обобщения современного состояния исследуемых проблем в криминалистической литературе; результаты анализа эмпирического материала: следст- венной и экспертной, судебной практики по раскрытию и расследова- нию преступлений, сопряженных с использованием компьютерных средств. Так, в ходе исследования в период с 1998 по 2001 гг. было изучено более 500 материалов уголовных и гражданских дел по которым проводилась судебная экспертиза компьютерных средств и систем в 86 ЭКП ОВД РФ, экспертно-судебных учреждений (СЭУ) Министерства юстиции РФ и экспертных подразделений ФСБ РФ. Использован также собственный опыт работы в качестве эксперта и ведущего научного сотрудника по проблемам становления СКТЭ, а также опыт обучения и повышения квалификации экспертов в ГУ ЭКЦ МВД России и ряда ЭКП ОВД РФ.

В соответствии с поставленной целью и задачами исследования разработана структура диссертации. Она состоит из введения, шести глав, включающих тридцать один параграф, заключения, списка литературы, приложений. Общий объем диссертации 402 страницы; из них: ос-

14

новного текста - 347 страниц (исключая рисунки, таблицы, графики, список литературы и приложения).

Научная новизна диссертационного исследования определяется неразработанностью концептуальных основ СКТЭ, а также необходимостью систематизации ее понятий и базовых категорий. В связи с начальным своим зарождением теоретические проблемы этого рода экспертиз до настоящего времени не выступали в качестве предмета целевых диссертационных исследований. Комплексное рассмотрение теоретических, процессуальных, методических, а также организационно-технических аспектов нового самостоятельного рода судебной экспертизы - СКТЭ позволило определить приоритетные направления формирования инфраструктуры судебно-экспертной деятельности в сфере современных информационных технологий, сформулировать научно обоснованные концептуальные положения, отражающие оптимальные пути ее дальнейшего развития, а также подготовку специалистов в области юриспруденции и судебной экспертизы.

На защиту выносятся следующие основные положения, отвечающие критериям научной новизны и теоретической значимости:

  1. уголовно-правовые и процессуальные основы использования специальных познаний в сфере современных информационных технологий, применяемых в уголовном и гражданском судо- производстве;
  2. основные положения частной теории судебной компьютерно- технической экспертизы и определения ее ключевых категорий: предмета экспертизы, объектов, экспертных задач и субъектов экспертной деятельности;
  3. теоретические и практические основы назначения и производ ства судебной компьютерно-технической экспертизы;

15

  1. система методов и средств решения родовых и видовых задач судебной компьютерно-технической экспертизы;
  2. комплекс методических подходов к судебно-экспертному ис- следованию типичных объектов судебной компьютерно-технической экспертизы;
  3. пути повышения качества судебно-экспертной деятельности по исследованию компьютерных средств и систем;
  4. формы и способы подготовки экспертов в области судебной компьютерно-технической экспертизы;
  5. предложения по экспертной профилактике преступлений, со- пряженных с использованием компьютерных средств.
  6. Выводы и рекомендации диссертационного исследования по ста- новлению СКТЭ как одного из процессуальных действий использова- ния достижений науки и техники сферы информационных технологий в уголовном и гражданском процессе имеют исключительно важное практическое значение. Это выражается прежде всего в расширении доказательной базы путем установления ранее не учитываемых фактических данных на основе исследования компьютерных средств - материальных носителей информации о факте или событии. Дальнейшее совершенствование СКТЭ по путям, предложенным в диссертационном исследовании, позволят поднять ее на новый качественный уровень и, несомненно, будет способствовать повышению доказательственной ценности выводов судебных экспертов и эффективному решению задач правосудия.

Апробация результатов диссертационного исследования осуще- ствлена в ходе плановых НИР, проводимых в период с 1999 г. по на- стоящее время в ГУ ЭКЦ МВД России, Юридическом институте МВД

16

России, Московском институте МВД России, Саратовском юридическом институте МВД России, Санкт-Петербургском юридическом институте Генеральной прокуратуры РФ, РФЦСЭ при Минюсте России, НИИИТ ФСБ России, а также практической работе ГУ ЭКЦ МВД России, ЭКП ГУВД Краснодарского края, Свердловской области, УВД Белгородской, Калининградской области и Государственного экспертно-криминалистического центра МВД Республики Беларусь.

Основные положения диссертации доложены на международных (Прага, 1998 г.; Будапешт, 2001 г.) и всероссийских научных конференциях (Москва, 1998-2002 гг.), научно-практических семинарах по актуальным проблемам развития криминалистики и судебной экспертизы (Белгород, 2000 г.; Краснодар, г. Екатеринбург, 2001 г.; Москва, 1999-2001 гг.). Результаты исследования внедрены в экспертную практику ГУ ЭКЦ МВД России и ряда ЭКП ОВД РФ, практику производства экспертиз и исследований компьютерных средств в судебно-экспертных учреждениях (СЭУ) Министерства юстиции, ФСБ, ГТК, ФСНП России, а также образовательный процесс. Внедрение результатов диссертации в практику ЭКП ОВД РФ, СЭУ Минюста России и образовательный процесс оформлено соответствующими актами.

Основные результаты научных исследований отражены в 26 пе- чатных работах (в том числе монография, учебные пособия, методические рекомендации, статьи и т.д.), использованы в проектах решения Коллегии МВД России «О состоянии и мерах по повышению эффективности использования экспертно- криминалистических средств и методов в борьбе с преступностью» (2002 г.), подготовке материалов во исполнение распоряжением Правительства РФ от 22.10. 1999 года № 1701-Р.

17

ГЛАВА 1. УГОЛОВНО-ПРАВОВЫЕ И ПРОЦЕССУАЛЬНЫЕ

ОСНОВЫ ИСПОЛЬЗОВАНИЯ СПЕЦИАЛЬНЫХ ПОЗНАНИЙ

ПРИ РАСКРЫТИИ И РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ,

СОПРЯЖЕННЫХ С ПРИМЕНЕНИЕМ КОМПЬЮТЕРНЫХ

СРЕДСТВ

§1.1. Уголовно-правовая характеристика и особенности юридической квалификации преступлений, сопряженных с применением компью-

терных средств

Уголовно-правовые аспекты преступлений, сопряженных с при- менением компьютерных средств

Стремительное развитие микропроцессорной техники и телеком- муникаций, а также обусловленное ими повсеместное внедрение современных информационных технологий во все жизненные сферы человека, в частности, породило новую форму криминальной деятельности. Как справедливо заметила Б.Х. Толеубекова «… признание компьютеризации как социально значимого явления неизбежно привело к признанию его криминального проявления как социально значимого. А это, в свою очередь, ставит перед исследователем задачу выявления индикаторов, указывающих на социальную обусловленность компьютерной преступности»1.

В настоящее время проблема «компьютерной» преступности во всех странах мира, независимо от их географического положения, вызы- вает необходимость привлечения все большего внимания и сил правоох-ранительных органов для организации борьбы с данным видом преступлений.

Толеубекова Б.Х. Социология компьютерной преступности. Учебное пособие. - Караганда, 1992.

18

До недавнего времени в России вообще отсутствовали какие-либо серьезные разработки, касающиеся юридической оценки исследуемой проблемы. Хотя первая информация о совершении хищения денежных средств с применением средств электронно- вычислительной техники относится еще к 1979 году, когда в Вильнюсе было похищено 78584 рубля путем манипуляции на входе ЭВМ1. Новый скачек в развитии информационных технологий еще с большей степенью активизировал действия преступников в рассматриваемой сфере. Своеобразный «отсчет» компьютерных преступлений в России был начат с преступления, совершенного с использованием компьютерной технике в 1991 г., когда было похищено 125,5 тысяч долларов США во Внешэкономбанке СССР. Приведенный эпизод стал в юридической литературе уже классическим примером того, как можно проникнуть в систему электронных платежей и организовать хищение денежных средств путем перечисления их с одного счета на другой2.

Рассмотрим динамику этих преступлений за последние годы. Так, по данным ГИЦ МВД РФ3 в 1997 году было зарегистрировано 7 престу- плений в сфере компьютерной информации, в том числе возбуждено уголовных дел по ст. 272 - 6 дел, а по 273 - 1 дело. В 1998 году зарегистрировано 66 преступлений в сфере компьютерной информации. Из них по ст. 272 уже 53, по ст. 273 - 12, а по ст. 274 - 1 дело. За 1999 год было зарегистрировано 294 преступления в сфере компьютерной информации. Из них по ст. 272 - 209, по ст. 273 - 85. Направлено в суд по ст. 272-151, по ст. 273-42.

1 Батурин Ю.М. Проблемы компьютерного права. - М.: Юрид. лит., 1991, с. 126.

2 По материалам сайта http://www.securityworld.ni/.

Егоров Г.А., Кузнецов А.В. Практика расследования уголовных дел, совер- шаемых с использованием компьютерной информации (материалы СК при МВД

19

Общее количество преступлений, совершенных в сфере высоких технологий за 2000 год составило 1463. В 2001 г. только за первое полугодие (январь-июнь) количество указанных преступлений составило 1370. Ежегодный прирост данного вида преступлений, начиная с 1997 г., составляет 300 % (рис. 1.1). Меняется и качественный состав преступлений. Так, если до недавнего времени самыми распространенными уголовными делами по ст. 272 УК РФ было использование мобильных телефонов - «двойников», то сегодня - это подключение к сети Интернет с незаконным использованием чужих имен и паролей.

Приведенные статистические данные конечно же не полны, так как кроме МВД России, предварительное следствие по преступлениям в сфере компьютерной информации могут проводить следственные подразделения прокуратуры, ФСНП и ФСБ РФ. Тем не менее, они прямым образом характеризуют потребности в проведении судебно- экспертных исследований по указанным преступлениям. Кроме того, на самом деле преступлений с использованием компьютерных средств совершается значительно больше, чем отражено в приведенной статистике.

По оценкам отечественных и зарубежных исследователей уровень латентности компьютерных преступлений составляет около 90%. Из оставшихся 10% выявленных компьютерных преступлений, раскрывается только 1%\ Анализ практики расследования других видов преступлений показывает, что компьютерная информация позволила в 52% случаев предъявить обвинение, в 35% — оказала существенную помощь в розыске преступников и позволила установить механизм совершение преступления.

России)//Актуальные проблемы экспертного исследования компьютерных средств.-М.:ГУЭКЦ, 2001.

Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. - М.: Мир, 1999.

20

Диаграмма роста количества преступлений в сфер© высо:::::; технологии

количество совершенных преступлений

2500 2000 1500 1000 500 0

У

? Ш

”$?

1

ЛЛ

1

1997 г

4 5

2000 г 2001 г

Рис. 1.1. Динамика роста количества преступлений в сфере высоких технологий

21

Большинство рассматриваемых преступлений совершается в кре- дитно-финансовой сфере. Эта уголовно-правовая категория далеко не охватывает всего спектра применения компьютерных средств в преступных целях. Более того, есть все основания предполагать, что только в 10 % случаев пострадавшие организации обращаются в правоохранительные органы .

Анализ собственной практики, а также информационных материа- лов показал, что негативно на принятие решения потерпевшей стороной об обращении в правоохранительные органы по факту совершения преступления в рассматриваем случае влияют следующие факторы:

© неверие в компетентность сотрудников правоохранительных органов в вопросе установления самого факта совершения преступления, не говоря уже о процессе его раскрытия и расследования. Это утверждение в равной мере относится к сотрудникам как российских, так и зарубежных правоохранительных органов;

о боязнь подрыва собственного авторитета в деловых кругах и как результат этого - потеря значительного числа клиентов. Это обстоя- тельство особенно характерно для банков и крупных финансово- промышленных организаций, занимающихся широкой автоматизацией своих производственных процессов;

о неминуемое раскрытие в ходе судебного разбирательства системы безопасности организации, создание этой системы вновь сопряжено часто с большими затратами, чем ущерб, нанесенный преступлением;

© боязнь возможности выявления в ходе расследования пре- ступления собственного незаконного механизма осуществления отдель-

1 Айков Д., Сейгер К., Фонсторх У. Указ. работа.

2 По материалам сайта http://www.securityworld.ni

22

ных видов деятельности и проведения финансово-экономических операций (например, сокрытия части прибыли и т. п.);

© выявление в ходе расследования компьютерного преступления причин, способствующих его совершению, может поставить под со- мнение профессиональную пригодность (компетентность) отдельных должностных лиц, что в конечном итоге приведет к негативным для них последствиям;

© правовая неграмотность подавляющего большинства должностных лиц в рассматриваемых вопросах нами, часто весьма далекое представление о реальной ценности информации, содержащейся в их компьютерных системах.

Современное состояние компьютерной преступности и следственной практики требует акцентировать внимание не только на преступле- ниях в сфере компьютерной информации, но и на расследовании таких «традиционных» преступлений, как: присвоение, мошенничество (наблюдается резкий скачек в сфере электронной торговли и развлечений), фальшивомонетничество, лжепредпринимательство и др. Здесь компьютерные средства задействуются для фальсификации платежных документов; хищения наличных и безналичных денежных средств (путем перечисления на фиктивные счета); «отмывания» денег; вторичного получения уже произведенных выплат; совершения покупок с использованием фальсифицированных или похищенных электронных платежных средств (кредитных карт) и пр.

В уголовно-правовом аспекте многие исследователи вышеозна- ченных вопросов до сих пор видят основную проблему понятия, классификации и криминалистической характеристики «компьютерных» преступлений в сложности и неоднозначность объектов посягательства.

23

Вполне справедливым представляется указание В.А. Мещерякова1, разделяющего условно точки зрения юристов на три группы. К первой группе относится расширительное толкование дефиниции «компьютерное преступление» , в соответствии с которым к ним относятся посягательства: на связи и отношения людей, обусловленные использованием компьютерных средств; на вещественный элемент отношений компьютерной безопасности; на жизнь гражданского населения при использовании компьютерных систем и пр.

Другая группа ученых полагает, что компьютерных преступлений как самостоятельного вида не существует, и их следует рассматривать лишь как квалифицирующий признак обычных, «традиционных» преступлений. Так, например, Ю.М. Батурин считает, что «многие традиционные виды преступлений модифицировались из-за вовлечения в них вычислительной техники, и поэтому правильнее было бы говорить лишь о компьютерных аспектах преступлений, не выделяя их в обособленную группу» А.К. Караханьян под компьютерными преступлениями понимает противозаконные действия, объектом или орудием совершения ко- торых являются электронно-вычислительные машины4. С данной точкой зрения согласен В.Б. Вехов, который предложил под компьютерными преступлениями с (криминалистической точки зрения) понимать предусмотренные уголовным законом общественно-опасные действия, совер-

1 Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, ВГУ, 2001.

См.: Сюнтюренко О.В., Колочов Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности //Правовое обеспечение инфор- матизации России. Научно-техническая информация серия 1. Организация и методика информационной работы. 1993. №8.

3 Батурин Ю.М. Указанная работа, с. 129. Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого-М.: Юрид. лит., 1993, с.243.

24

шенные с использованием средств электронно-вычислительной техни- ки1.

Наконец, сторонники третьей точки зрения, которой придерживались и авторы действующего УК РФ, полагают, что компьютерные пре- ступления представляют собой самостоятельный вид преступной дея- тельности, который может и должен квалифицироваться отдельными составами преступлений.

В.А. Мещеряков предлагает «при квалификации компьютерных преступлений во главу угла ставить не компьютер, который выступает как орудие преступления (о чем справедливо замечает Ю.М. Батурин), а информацию, представленную в специальном виде (пригодном для автоматизированного хранения, обработки, передачи и воспроизведения), а также последствия, которые наступили в результате неправомерного завладения ею, уничтожения или генерации со специальными заданными свойствами. Ведь именно информация, представленная в особом (машинном) виде, является объектом преступления, а различную «окраску» преступления приобретает в зависимости от того, в какой сфере человеческой деятельности эта машинная информация использовалась».2

Ранее нами уже конкретизировалось свое понимание компьютерной (вычислительной) системы, как совокупности взаимосвязанных компьютерных средств (обеспечивающих компонент), взаимодейст- вующих для решения задач обработки информации и других функциональных задач3. Близкое к этому определение дает В.А. Мещеряков, полагающий, что под компьютером следует понимать не только электрон-

Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П. Смагоринского - М.: Право и Закон, 1996, с.24.

2 Мещеряков В.А. Указан, работа, с. 15.

3 Например, см. Российская Е.Р., Усов А.И. Возможности судебной эксперти зы в раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств// Труды науч.практич.конф «Кримтехника-2000».-М.,2000.

25

но-вычислительную машину, но и спецвычислитель или вообще техническое устройство, способное выполнять действия по хранению, записи, обработке, воспроизведению или передаче информации.

С вступлением в силу Уголовного Кодекса РФ (1997 г.) дилемма, стоявшая перед учеными в оценке негативных последствий феномена компьютеризации, - признать компьютерные преступления как само- стоятельную уголовно-правовую категорию со всеми вытекающими отсюда последствиями или не выделять компьютерные преступления в качестве категории, а рассматривать применение компьютеров в преступных целях только как средство совершения преступлений - частично разрешилась в пользу первой позиции. Сегодня Уголовный кодекс Российской Федерации определяет эти преступления как:

о неправомерный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272);

© создание программ для ЭВМ или внесение изменений в сущест- вующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами (ст. 273);

® нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред (ст. 274).

26

Однако, как было уже показано, преступления в сфере компьютерной информации не исчерпывают всего круга преступлений, которые зачастую называют - «компьютерные преступления»1. Вообще дефиниция «компьютерные преступления» представляется нам неточной, хотя в современной юридической литературе высказывается мнение, что в предмете любого компьютерного преступления следует признать ком-

пьютер как информационную систему, носитель информации .
Как

з справедливо замечают сторонники противоположной точки зрения , такая позиция ведет к значительным затруднениям в квалификации деяния, в отграничении этих преступлений от иных, например, от преступлений против собственности.

В то же время следует согласится с мнением ряда авторов4, что другого термина, столь же кратко и емко отражающего суть рассматриваемого явления, в настоящее время в юридической литературе не предложено. Более того, несмотря на сравнительно недавнее возникновение, термин «компьютерные преступления» успел стать общепринятым как в России, так и за рубежом (computer crimes)5.

См., например, Селиванов Н.А. Проблемы борьбы с компьютерной преступ- ностью, 1993, № 8; Ляпунов Ю.И.. Максимов СВ. Ответственность за компьютер- ные преступления // Законность 1997 № 1; Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М.: Новый Юрист 1998 и др.

Новое уголовное право России, особенная часть. Учебное пособие. - М.: Зерцало ТЕИС, 1996, с.273-274.

Расследование неправомерного доступа к компьютерной информации. Научно- практическое пособие. Под. ред. Н.Г. Шурухнова. - М.: Щит-М, 1999, с.54-55. 4 См., например, Курушин В.Д., Минаев В.А. Указ. работа; Быстряков Е.Н., Иванов А.Н., Климов В.А. Расследование компьютерных преступлений. - Саратов: СГАП, 2000; Мещеряков В.А. Преступления в сфере компьютерной информации. -Воронеж, 2001 и др.

Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. - М.: Мир, 1999.

27

В.В. Крылов1 и В.Н. Черкасов2 называют такие преступления ин формационными, однако этот термин представляется нам слишком ши роким, поскольку объектом таких преступлений является не только ком пьютерная, но и любая другая документированная информация. Так, Федеральный Закон «Об информации…»3 определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах ~ независимо от формы их представления»; «документированная инфор-

мация - зафиксированная на материальном носителе информация с рек- визитами, позволяющими ее идентифицировать».

В свою очередь в криминалистике под криминалистически значимой понимается информация - совокупность знаний о совершенном преступлении4. Поэтому, компьютерная информация применительно к процессу доказывания может быть определена как фактические данные, обработанные компьютерной системой и (или) передающиеся по телекоммуникационным каналам, а также доступные для восприятия, и на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного или гражданского дела5.

В.А. Мещеряков предлагает собственное определение компьютер ных преступлений, которые, по его мнению, представляют собой само стоятельный вид преступной деятельности (что не вызывает возраже ний): «Под компьютерным преступлением следует понимать предусмот рит ‘ Крылов В.В. Информационные компьютерные преступления.- М.: Юрин- фор, 1997.

Черкасов В.Н. Борьба с экономической преступностью в условиях применения компьютерных технологий. - Саратов, 1995.

3 Федеральный Закон «Об информации, информатизации и защите информа ции» от 20.02.1995 г., № 24-ФЗ.

4 Криминалистика. Учебник для вузов/ Под. ред. проф. Р.С. Белкина. - М.: Изд. группа НОРМА-ИНФРА-М, 1999.

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.-М: Право и закон, 2001.

28

ренное уголовным законом общественно опасное деяние (действие или бездействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного государством или ее собственником порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба законному владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается и уничтожается, или повлекло иные опасные последствия» . Представляется, что если в этом определении заменить термин компьютерное преступление на преступление в сфере компьютерной информации суть его останется прежней.

По нашему мнению дефиниция «компьютерное преступление» должна употребляться не в уголовно-правовом аспекте, где это только затрудняет квалификацию деяния, а в криминалистическом, поскольку связана не с квалификацией, а именно со способом совершения и сокрытия преступления и, соответственно, с методикой его раскрытия и расследования. В таком значении можно полностью поддержать эту дефиницию. В криминалистической методике имеются и другие обобщенные наименования групп преступлений, обладающих с уголовно-правовой точки зрения разными квалифицирующими признаками, но объединенные для выработки общих подходов их раскрытия и расследования. Это, в частности, экономические преступления, дорожно-транспортные пре-

Мещеряков В.А. Преступления в сфере компьютерной информа- ции:правовой и криминалистический характер. - Воронеж, 2001.

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.- М.:Право и закон, 2001.

29

ступления, криминальные взрывы и пожары, преступления несовершеннолетних1 и др.

С целью аргументации обозначенной позиции далее рассмотрим особенности квалификации компьютерных преступлений, обуславли- вающих в дальнейшем потребности формирования доказательственной базы (в т.ч. путем производства судебной экспертизы).

Особенности квалификации преступлений и административных правонарушений, сопряженных с применением компьютерных средств

Современная практика раскрытия и расследования преступлений характеризуется ростом преступлений в сфере компьютерной информации (ст.ст. 272, 273, 274 УК РФ), т.е. преступлений, сопряженных с использованием ЭВМ, систем ЭВМ или их сети, а также преступлений, где компьютерные средства используются как элементы способа их совершения и сокрытия. Необходимо отметить, что помимо предусмотренных уголовным законом самостоятельных составов преступлений гл.28 «Преступления в сфере компьютерной информации», еще целый ряд уголовно наказуемых деяний по своему составу вплотную сопрягаются с указанной сферой. С позиций дифференциации обстоятельств, подлежащих установлению и доказыванию, здесь могут быть выделены следующие группы:

© первая группа, объединяет преступления, предметом которых яв- ляются компьютерные средства;

® вторая группа - компьютерные средства выступают одновременно как предмет и средство совершения преступления;

См., например, Криминалистика. Учебник для вузов под ред. А.Г. Филиппова. -М: Спарк, 2000.

30

о третья группа охватывает преступления, где компьютерные сред- ства выступают как средства совершения и (или) сокрытия преступле- ния;

• четвертая группа - преступления, в которых компьютерные сред- ства выступают как источник криминалистически значимой информа- ции.

Для всех указанных групп преступлений характерны следующие особенности: использование современных информационных технологий и средств их реализации, высокий уровень латентности; сложность своевременного выявления преступления и установление виновного, трудности собирания доказательств и пр.

Практика расследования преступлений, сопряженных с использо- ванием компьютерных средств, свидетельствует о значительном преобладании количества уголовных дел по другим статьям УК РФ над делами, относящихся по своему составу к главе 28 УК РФ. К ним относятся преступления, предусмотренные:

ст. 146 - нарушение авторских и смежных прав (в части защиты авторских прав на программы для ЭВМ и баз данных);

ст. 159 - мошенничество;

ст. 165 - причинение имущественного ущерба путем обмана или злоупотребления доверием;

ст. 187 - изготовление и сбыт поддельных кредитных либо расчетных карт и иных платежных документов;

ст.292 - служебный подлог;

ст. 174 - легализация (отмывание) денежных средств или иного имущества, приобретенного незаконным путем (в случае, если преступник перевел деньги со счета зарубежного банка на свой счет в российском банке и получает по этому вкладу начисляемые проценты);

31

ст. 183 - незаконное получение или разглашение сведений, со- ставляющих коммерческую или банковскую тайну (здесь под категорию коммерческой тайны подпадает список пользователей компьютерной системы с их паролями);

ст. 129 - клевета (в случае размещения в сети Интернет заведомо ложных сведений, порочащих честь и достоинство определенного лица);

ст. 137 - нарушение неприкосновенности частной жизни (при раз- мещение информации, которая относиться к категории личной или се- мейной тайны);

ст. 138 - нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (здесь речь идет об уго- ловной ответственности за чтение чужих электронных писем).

Проведение следственных действий по ряду статей УК РФ сопряжено с защитой безопасности интересов государства. Это, в первую оче- редь, ст. 207 - заведомо ложное сообщение об акте терроризма (например, в случае ложного сообщения о заминированных объектах посредством сети Интернет), затем ст. 276 - шпионаж. Примером может являться проникновение в одну из компьютерных сетей Министерства обороны РФ1. Ст. 283 - разглашение государственной тайны, устанавливает ответственность за предание огласке или распространение с нарушением установленного порядка (правил) сведений, составляющих государственную тайну, вследствие чего они становятся известны другим лицам (например, неограниченному числу пользователей Интернет).

Означенная проблема была изучена с позиций анализа экспертной практики, т.е. уяснения обстоятельств уголовных дел, по которым ОВД или прокуратуры назначались и были произведены экспертизы компью-

1 http://www.securityworld.ru/.

32

терных средств ЭКП ОВД за период 1998-2001 г.г. . Некоторая статистика (без учета преступлений по ст. 272-274 УК РФ) по этому вопросу представлена в таблице. 1.1.

В то же время, представляется, что в построении базовой концепции теоретических основ уголовно-правовых категорий рассматривае- мых преступлений следует опираться, прежде всего, на ст. 272, ст. 273, ст.274 УК РФ, так как именно они определяют правовые нормы в сравнительно новой для законодателя сфере. Главным их признаком являются определенные правоотношения, а именно - информационные отношения, складывающиеся в процессе создания, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной информации2, а кроме того создания и использования современных информационных технологий, средств их обеспечения и защиты охраняемой законом информации.

Общим объектом преступлений, указанных в главе 28 УК РФ, яв- ляются общественные отношения, возникающие в процессе компьютерной обработки информации. К непосредственным предметам преступного посягательства относят: конкретную компьютерную информацию, базы данных определенных компьютерных систем и сетей, их отдельные файлы, а также специальные технологии и программные средства их обеспечения, включая средства защиты компьютерной информации . Денежные средства, другие материальные (например, контрафактная информационно-программная продукция и пр.) и нематериальные (на-

1 Отчет о НИР Отчет о НИР «Разработка методического обеспечения произ водства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации”. - М.:ЭКЦ МВД России, ЮИ МВД РФ, 2000.

2 Федеральный Закон «Об информации, информатизации и защите информа ции» от 20.02.1995 г., № 24-ФЗ.

Расследование преступлений повышенной общественной опасности. Пособие для следователей - М.: Лига Разум, 1999.

#

33

прим ер, разгл ашен ие госуд арств енной тайн ы и т.п.) ценно сти явля ются пред мета ми прест упног о посяг атель ства иных прест уплен ий, пред у- смот ренн ых в УК РФ поми мо гл.28. Так, если в резул ьтате непра воме р- ного досту па к комп ьюте рной инфо рмац ии было совер шено прест упле- ние, связа нное с незак онны м полу чение м и разгл ашен ием сведе ний, со- ставл яющи х комм ерчес кую или банко вску ю тайну , винов ные в их со- верш ении долж ны нести уголо вную ответ ствен ность по совок упнос ти прест уплен ий, пред усмот ренн ым друг ими стать ями УК (в прим ере - стать и 272 и 183 УК РФ).

След овате льно, рассм атрив аемы е комп ьюте рные прест уплен ия имею т общу ю родо вую крим инал истич еску ю харак терис тику1, вклю- чающ ую сведе ния о спосо бах прест уплен ий, лица х, совер шив ших их, сведе ния о потер певш ей сторо не и обсто ятель ствах спосо бству ющи х и препя тству ющи х данн ым прест уплен иям 2.

Крими налист ика.Уч еб.для вузов под ред. Р.С.Бе лкина. - М.: НОРМ А-М, 1999.

Росси йская Е.Р. Метод ика рассле дован ия престу плени й в сфере компь ютер- ной инфор мации. В кн.: Крими налист ика. Метод ика рассле дован ия престу плени й новых видов, совер шаемы х органи зованн ыми престу пными сообщ ествам и. - М.: МИ МВД РФ, 1999.

34

Таблица 1.1 Квалификация преступлений, по которым производились экспертные исследования компьютерных средств

Название раздела Название гла- вы УК РФ Номер и название статьи Число постановлений о назначении СКТЭ % Раздел VII. Преступлени я в сфере экономики Глава 21 Пре- ступления против собст- венности Ст. 159. Мошенничество 23

Ст. 162. Разбой 4

Глава 22. Преступления в сфере эко- номической деятельности Ст. 172. Незаконная банковская деятельность 18

Ст. 173. Лжепредпринимательство 4

Ст. 180. Незаконное использование товарного знака 8 Раздел VII. Преступлени я в сфере экономики Глава 22. Преступления в сфере эко- номической деятельности Ст. 186. Изготовление или сбыт поддельных денег или ценных бумаг. 30

Ст. 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных под- дельных платежных документов. 10

Ст. 194. Уклонение от уплаты таможенных платежей. 8

Ст. 199. Уклонение от уплаты налогов с орга- низаций. 11 Раздел X.
Преступлени я против государствен ной власти Глава 30. Преступления против госу- дарственной власти, инте- ресов госу- дарственной службы и службы в ор- ганах местно- го само- управления Ст. 285. Злоупотребление должностными пол- номочиями 23

Ст. 292. Служебный подлог 9

35

§1.2. Родовая криминалистическая характеристика компьютерных

преступлений

Структура родовой криминалистической характеристики пре- ступлений в сфере компьютерной информации

Под криминалистической характеристикой понимается система типичных признаков преступления того или иного вида, рода . Структура криминалистической характеристики различными авторами определяется по разному. Однако, в целом ученые- криминалисты согласны с тем, что криминалистическая характеристика - это научная абстракция, основанная на анализе следственной, экспертной, оперативно-розыскной, судебной практики и используемая этой практикой через методику расследования преступлений соответствующего вида, исходной базой для разработки которой она (характеристика) является. В общей теории криминалистики элементы, образующие ее структуру, таковы:

0 сведения о типичных способах преступлений данного вида и следах отражениях, возникающих в результате применения этого спосо ба (в окружающей среде);

© типовая характеристика лиц, совершающих преступления;

© обстановка совершения преступлений этого вида;

Преступления в сфере компьютерной информации могут иметь различные последствия: от разглашения охраняемых законом данных до нанесения имущественных ущербов в виде прямых доходов и неполученных доходов и т.п. В связи с этим, преступления рассматриваемого вида помещены законодателем в раздел «Преступления против общественной безопасности и общественного порядка». Таким образом, можно отметить, что родовым объектом преступления являются общественная

1 Криминалистика/под ред. Р.С. Белкина - М: Норма-Инфра, 1999, стр 687.

36

безопасность и общественный порядок. Видовым объектом преступления является совокупность общественных отношений по правомерному и безопасному использованию компьютерной информации, а непосредственный объект составляют все то, что указано в диспозициях соответствующих статей УК.1

Объективная сторона рассматриваемых преступлений характери- зуется тем, что большинство из них сформулированы как материальные, т.е. предполагают не только совершение общественно опасного деяния, но и наступление общественно опасных последствий, а также установление причинной связи между этими двумя признаками. Согласно ч.2. ст.9 УК РФ временем совершения каждого из этих преступлений должно признаваться время окончания именно деяния - вне зависимости от времени наступления последствия. Сами же общественно опасные деяния чаще всего выступают здесь в форме действий и иногда, как бездействие (ст.274 УК РФ). В одном случае такой признак объективной стороны состава преступления, как способ совершения, сформулирован в качестве обязательного признака основного и квалификационного составов (п.1 ст.272 и ст.273).

Диспозиции статей 28-й главы УК РФ описательные и зачастую являются бланкетными. Для применения ряда диспозиций необходимо обращаться к специальным нормативным правовым актам, относящимся к сфере информатизации, правилам эксплуатации ЭВМ, ГОСТ и т.п. В рассматриваемом случае, закон защищает три группы информации: сведения, отнесенные к государственной тайне; сведения, отнесенные к служебной и коммерческой тайне; сведения имеющие статус персональных.

Комментарий к УК РФ/ Под ред. Ю.И. Скуратова и В.М.Лебедева.- М.:Инфра-Норма, 1997.

37

Субъективная сторона преступлений в сфере компьютерной ин- формации законодателем прямо не определена. Однако, исходя из смысла ст. 24 УК РФ, можно сделать вывод, что эти преступления могут быть совершены как умышленно , так и по неосторожности. В то же время, совершенно очевидно, что неправомерный доступ к компьютерной информации может быть совершен только умышленно.

Мотивы этих преступлений принципиального значения для ква- лификации не имеют, т.к. они могут учитываться при назначении наказания. Ими чаще всего бывают корысть либо хулиганские побуждения. Но они могут быть совершены, побуждаемые интересом либо чувством мести. Не исключено также их совершение с целью сокрытия другого преступления.

Субъект нескольких составов являются специальным. Так, п.2. ст.272 и ст.274 УК РФ предусматривают в качестве специальных субъектов лиц, имеющих в силу своего служебного положения доступ к ЭВМ, системы ЭВМ или их сети. В остальных же случаях им может стать, в принципе, любой человек с 16 лет (согласно ст. 20 УК РФ), об- ладающий даже начальными умениями в использовании компьютерных средств.

Таким образом, исходя из рассмотренных выше подходов к харак- теристике преступлений, сопряженных с использованием компьютерных средств, можно заключить, что уголовная ответственность за совершение рассматриваемых преступлений должна наступать по правилам идеальной совокупности преступлений, ибо каждое из них характеризуется единым деянием, причинно обусловливающим наступление разнородных или нескольких последствий, что причиняет ущерб различным объектам, охраняемым разными статьями УК РФ.

38

Поскольку видов преступлений, которые могут входить в сово- купность с преступлениями в сфере компьютерной информации слиш- ком много, представляется целесообразным в данном исследовании ограничиться рассмотрением их уголовно-правовой характеристики в рамках общих признаков. Однако, это ограничение никоим образом не должно исключать из практической работы детальное рассмотрение всех особенностей уголовно-правовой характеристики преступлений, сопряженных с использованием компьютерных средств. Именно эти особенности имеют важнейшее значение для разработки соответствующей методики расследования данных преступлений.

Часто противоправное деяние, совершаемое с использованием компьютерных средств, может в зависимости от тяжести последствий быть квалифицировано либо как уголовное преступление, либо как административное правонарушение. В первую очередь, это касается нарушения авторских и смежных прав, регулируемых в случаях, если эти деяния повлекли за собой крупный ущерб ст. 146 УК РФ. Характерные ситуации, иллюстрирующие данный аспект, подробно разобраны в ряде наших работ1.

Для примера, рассмотрим родовую криминалистическую характе- ристику неправомерного доступа к компьютерной информации. Под указанной характеристикой подразумевается система обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других-существенных чертах, свойствах и осо-бенностях -преступления и преступления и сопутствующих ему обстоятельствах, способствующая оптимизации расследования и практическо-

Например, см. Российская Е.Р., Усов А.И. Судебная компьютерно- техническая экспертиза.- М.:Право и закон, 2001, с.39.

39

му применению средств, приемов и методов криминалистики в раскрытии и расследовании преступлений1 .

Итак, родовая криминалистическую характеристику неправомерного доступа к компьютерной информации составляют следующие основные данные о:

о способах совершения преступления и механизме противоправного ф деяния;

® способах сокрытия неправомерного доступа к компьютерной информации;

® орудиях и средствах совершения противоправного деяния;

© обстановке и месте совершения преступления;

© следах преступления;

о предмете преступного посягательства;

о лицах, совершивших неправомерный доступ к компьютерной ин-формации.

Применительно к теме настоящего исследования данные о следах преступления имеют чрезвычайно важное значение, так как фактически определяют исходные данные для проведения судебно-экспертного исследования компьютерных средств и систем. Поэтому среди прочих, не менее значимых компонентах рассматриваемой родовой криминалистической характеристики, более подробно остановимся на механизме сле-дообразования.

Шурухнов Н.Г., Пушкин А.В. “Расследование неправомерного доступа к компьютерной информации”, Издательство ЩИТ-М.: 1999г стр.103

40

Механизм следообразования в компьютерных средствах и системах

В криминалистике под механизмом следообразования понимается «специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования - следообра-зующий, следовоспринимающии и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования»1.

Для преступлений, сопряженных с использованием компьютерных средств, одной из первых, представляющих практический интерес, была предложена следующая следовая картина1:

© следы на компьютерных средствах (в т.ч. носителях компьютерной информации), посредством которых действовал преступник на своем рабочем месте (в файловой системе, в ОЗУ, аппаратно-программная конфигурация и пр.) и вне носителей информации (рукописные записи и распечатки с принтера - коды доступа, тексты программ, телефонные счета и пр.);

© следы на «транзитных» (коммуникационных) носителях информа- ции, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися неправомерному доступу (следы в линиях электросвязи: документированная информация о трафике через оператора телематических услуг, результаты наблюдения в ходе проведения ОРМ и следствия);

© следы в компьютерной системе (в т.ч. на носителях информации компьютерной) системы, в которую осуществлен неправомерный дос-

1 Белкин Р.С. Курс криминалистики в 3-х томах. -М.:Юристъ, 1997.-т.2,с.61.

41 РОССИЙСКАЯ

ГОСУДАРСТСЕМН БИБЛИОТЕКА

туп, либо иные противоправные действия (изменения в файловой систе- ме, ОЗУ, аппаратно-программной конфигурации и пр.);

© следы на компьютерных средствах, которые сопряжены с иными (не только в сфере компьютерной информации) преступлениями - кри- миналистически значимая информация в компьютерах, органайзерах, мобильных телефонах, смарт-картах и пр.

Дальнейшие теоретические разработки отдельных положений криминалистического учения о механизме следообразования системати- зировали первичный практический опыт применительно к сфере компь- ютерной информации и привели к выделению особой группы следов, так называемых «виртуальных» следов . Под «виртуальным» следом В.А. Мещеряков предлагает понимать «любое криминалистически значимое (уголовно-релевантное) изменение состояния автоматизированной информационной системы (образованного ее «кибернетического пространства»), связанное с событием преступления и зафиксированное в виде компьютерной информации(т.е. информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе и на электромагнитном поле» .

Собственная практика доказывает, что с данным определением «виртуального» следа, а также предложенными В.А. Мещеряковым тре- мя группами основных следов (материальных, «виртуальных», идеаль- ных) можно вполне согласиться. Данное определение не отрицает тра- диционного понимания следа, а уточняет эту криминалистическую кате- горию, дополняя ее учетом возможностей электромагнитного взаимо-

1 Расследование преступлений в сфере компьютерной информации/ Под общ. ред. А.Н. Родионова.-М., 1998.

2 См. Яковлев А.Н. Теоретические и методические основы экспертного иссле дования документов на машинных носителях информации. Дисс. канд.юрид. наук. Саратов, 2000; Мещеряков В.А. преступления в сфере компьютерной информации: правовой и криминалистический анализ.-Воронеж, ВГУ, 2001.

42

действия между следообразующим и следовоспринимающим объектом, а также таким возможным носителем следа-отображения, как электромагнитное поле.

В то же время предложенное расширение понятия следа необосно- ванно учитывает лишь одну, электромагнитную, форму взаимодействия между следообразующим и следовоспринимающим объектом. Это не вполне согласуется со всеми реализованными в современных информационных технологиях принципами отображения информации (например, магнитооптическими, оптическими и пр.). Кроме того, некоторые из инновационных технологий (например, биокомпьютерьт) могут коренным образом модифицировать указанные механизмы следообразования в сфере компьютерной информации. В связи с вышеуказанным, пред- ставляется целесообразным более простое толкование дефиниции «виртуальный след», не связанное с физическими (или иными) принципами отображения данных, но объективно обусловленное существованием компьютерной информации, разъяснение которой применительно к процессу доказывания было дано выше. Одним из таких определений может быть следующее: виртуальный след - это любая зафиксированная криминалистически значимая компьютерная информация, в т.ч. данные об ее изменении.

Следует отметить, что сложность и многогранность рассматриваемого «нетрадиционного» типа следов в условиях отсутствия достаточно разработанного методологического аппарата накладывают особые требования к использованию специальных познаний при раскрытии и расследовании компьютерных преступлений.

Мещеряков В. А. Указ соч.

43

Современная практика судопроизводства доказала, что раскрытие и расследование преступлений, в которых современные информацион- ные технологии используются как средство совершения и сокрытия преступлений, невозможно без использования познаний, как в области современных информационных технологий, так и в сфере уголовного права, уголовного процесса и криминалистики. Поэтому успешно решать задачи борьбы с этими проявлениями преступности могут только всесторонне подготовленные специалисты. Существует сложившееся мнение: специалисты в области высоких технологий (инженеры-электронщики, программисты, математики и пр.), якобы, могут разрешить все специальные задачи по собиранию и исследованию криминалистически значимой информации, как в аппаратных, так и программных объектах исследования. Однако общая теория криминалистики и судебной экспертизы, а также практическая работа давно доказали, что все далеко не так просто. Выявлению особенностей и специфики использования специальных познаний в сфере компьютерных технологий посвящен следующий параграф.

Например, см. Егоров Г.А., Кузнецов А.В. Практика расследования уголовных дел, совершаемых с использованием компьютерной информации//Актуальные проблемы экспертного исследования компьютерных средств.- М.:ГУ ЭКЦ, 2001.

44

§1.3. Особенности собирания криминалистически значимой компьютерной информации

Обнаружение и фиксация компьютерных средств

Преступления, сопряженные с использованием компьютерных средств, носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательственной информации в связи со сложностью объектов - носителей этой информации, широким применением средств удаленного доступа и рядом других причин. При расследовании по делам указанной категории участие специалиста в сфере разработки и использования современных информационных технологий необходимо, поскольку, даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.

Отмеченные уже ранее новые положения УПК РФ (ст.70), не пре- пятствующие производства судебной экспертизы специалистом, участвующем в проведении следственного действия, имеют большое значение для собирания доказательств по делам, сопряженным с использованием компьютерных средств.

Практика показывает, что наиболее полезно участие специалиста в следственном осмотре, обыске и выемке. Собирание доказательств из автономных компьютерных систем, компьютеров, входящих в вычислительную сеть, а также других компьютерных средств в процессе следственного осмотра состоит в следующем.

Объектами осмотра по делам, связанным с компьютерными пре- ступлениями, являются место происшествия и его обстановки, отдель-

Собирание доказательств в процессе обыска (выемки) производится по ана- логичным правилам.

45

ные компьютерные средства и комплектующие, иные предметы, доку- менты. При расследовании компьютерных преступлений производятся, как правило, следующие виды следственного осмотра:

• осмотр места происшествия или помещений, не являющихся местом преступления (офис или производственное помещение организации любой из форм собственности, квартира, частный дом, компьютерный класс учебного заведения, Интернет-кафе и пр.);

® осмотр предметов (компьютеров, органайзеров, мобильных теле- фонов, их комплектующих, носителей компьютерной информации и пр.);

© осмотр документов (описаний к компьютерным системам, произ- водственно-эксплуатационной документации, документов финансовой отчетности, телефонных счетов и др.).

Осмотр места происшествия по делам, сопряженным с использо- ванием компьютерных технологий - неотложное следственное действие, направленное на установление, фиксацию и исследование обстановки места происшествия, следов преступления и преступника, отобразившихся в компьютерном устройстве или вычислительной сети и иных фактических данных, позволяющих в совокупности с другими доказательствами сделать вывод о механизме компьютерного преступления и иных обстоятельствах расследуемого события.

Известно, что место происшествия (в пределах которого обнаружены следы совершенного преступления) может не совпадать с местом преступления. Это особенно характерно для преступлений в сфере компьютерной информации, например, когда вредоносная программа заносится в компьютерную сеть в одном городе, а преступный результат наступает в другом или даже в другой стране.

46

Осмотр предметов - компьютерных средств - позволяет устанав- ливать состояние предмета, наименование и назначение, выявить индивидуальные признаки компьютера, дискеты или носителя данных, его дефекты и особенно признаки, свидетельствующие о том, по какому назначению он использовался и как интенсивно, а также признаки, указывающие на связь предмета, с расследуемым событием. В процессе осмотра компьютерных средств необходимо сосредоточить свои усилия на выявлении тех следов и признаке в, которые впоследствии станут объектами экспертного исследования, и строго соблюдать правила обращения с этими объектами, чтобы обеспечить их сохранность и доказательственную силу. Все это возможно только при участии специалиста.

Осмотр документов - источников и носителей криминалистически значимой компьютерной информации - имеет своей целью выявление и фиксацию таких их признаков, которые придают документам зна- чение вещественных доказательств, а также установление удостоверенных документами или изложенных в них обстоятельств и фактов, имеющих значение для дела. Тщательный осмотр документации, распечаток с принтеров, листингов программ, различных записей, даже на клочках бумаги, может иметь значение для успешного достижения цели. Сделать это необходимо и потому, что программисты часто не надеются на свою память и оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы, комментариях к используемым идентификаторам и пр.

С целью обнаружения и осуществления фиксации следов преступ- лений, сопряженных с использованием компьютерных средств, реко- мендуется наличие комплекта средств, включающего в себя как специ-

47

альные аппаратно-программные средсгиа, так и традиционные средства видеозаписи (фотографирования) и упаковочный материал .

Участие специалиста в осмотре или обыске (выемке) в помещени ях, где находится много компьютерных устройств, работает множество людей сопряжено со значительными трудностями. Важнейшими усло виями успеха в обнаружении криминалистически значимой компьютер- т ной информации является установление следующих данных:

® количество установленных компьютеров и их типы (сервера, рабочие станции и т.п.);

® места расположения компьютерных средств (в т.ч. периферийных устройств);

© схема организации электропитания и наличия автономных источников питания;

о перечень используемых носителей компьютерных данных;

© наличие локальной сети и выхода в другие сети с помощью модели

ма, радиомодема или выделенных линий;

© используемое системное и прикладное программное обеспечение;

© наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации;

© уровень квалификации пользователей, а также особенности взаи моотношений среди сотрудников, обслуживающих вычислительную ^ технику.

Выявление указанных данных позволит не только в минимальные сроки обнаружить и зафиксировать всю криминалистически значимую информацию, хранящуюся в компьютерных системах и средствах, но и

Зубаха B.C., Усов А.И., Г.В. Саенко и др. Общие положения по назначению и производству компьютерно-технической экспертизы. -М.:ГУ ЭКЦ, 2001.

48

максимально повысить ее доказательственное значение. Для специали- ста также являются важными любые данные, которые могут быть получены при допросе администратора системы (системного администратора).

Помимо специалистов в области компьютерных технологий к участию в следственных действиях обычно привлекается специалист- криминалист, поскольку на компьютерных средствах зачастую оказы- ваются следы рук, металлообрабатывающих инструментов, ручной пайки различных элементов аппаратных средств, а также обнаруживаются рукописные и печатные документы. Поэтому, во избежание потерь криминалистически значимой информации и нанесения материального ущерба должны строго выполняться соответствующие предупреждающие правила1.

Рабочий этап следственного действия обычно включает обзорную и детальную стадии. На обзорной стадии специалист, помимо предвари- тельного выявления мест расположения компьютерных средств, должен особо обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в ЛВС, использующие витую пару). В этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения следственною действия могут находиться в другом месте или быть спрятаны.

На детальной стадии осуществляются непосредственный поиск, обнаружение, фиксация и изъятие компьютерных средств (в т.ч. криминалистически значимой компьютерной информации). Может быть использован как последовательный, так и выборочный методы обследова-

1 См. указ работу.

49

ния . Первый заключается в том, что поиск осуществляется в избранном направлении и обследуются смежные участки и предметы, переходя последовательно от одного к другому. При втором очередность определяется не территориальным расположением, а иными соображениями, в том числе оперативно- тактическими.

В случае обнаружения компьютерных средств, фиксации могут подлежать:

® аппаратная конфигурация компьютерного средства;

® выявленные носители комиьютерной информации;

® установленное системное и прикладное программное обеспечение;

® файлы с данными;

© специализированные компьютерные программы, предназначенных для осуществления несанкционированного доступа (программы для подбора пароля, программы тесгирования программного обеспечения для поиска «слабых» мест в его защите и т.п.);

© список паролей для осуществления санкционированного и несанк- ционированного входа в различные компьютерные системы;

© электронная переписка;

© файлы протоколов работы компьютера (лог-файлы) и др.

Тактика поиска и обнаружения компьютерной информации должна избираться исходя из степени защищенности данных, функциональ- ного состояния компьютерного средства на момент проведения следст- венного действия. Тактические особенности собирания доказательств

Кушниренко СП., Панфилова К.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам обэкономических преступлениях.-СП6..2001.

50

зависят от того, насколько сложно организована защита компьютерной системы от несанкционированного доступа1.

Если компьютер на момегп начала осмотра оказался включен, не- обходимо оценить информацию, изображенную на экране монитора и определить, какая программа исполпясгся на данный момент. В случае работы стандартного программного обеспечения (например, на экране изображены стандартные окна операционных оболочек Norton Commander или Windows) нельзя прист упать к каким-либо манипуляциям без предварительного визуального осмотра аппаратных средств.

С помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, положение переключателей, кнопок, места подключения различных шнуров и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в следственном протоколе.

По возможности следует отключить все телефонные линии и коак- сиальные кабели, подключенные к компьютеру (если таковые соедине- ния имеются). В исключительных случаях, если это признано целесообразным, вскрывается кожух системного блока и визуально определяют конфигурацию компьютера, описывают месторасположение электронных плат. Данная рекомендация выполняется только тогда, когда есть реальная угроза повреждения или уничтожения как аппаратных средств, так и информационной базы различно!-о рода специальными устройствами. Такими устройствами могут быть электронные ключи, радиозакладки и др.

После фиксации первично! о содержания экрана монитора компьютер может быть либо выключен корректным способом и подготовлен к изъятию, либо использован специалистом для поиска криминалистиче-

1 Поробнее см. Российская 1г.Р., Усов А.И. Судебная компьютерно-

51

ски значимой информации. Если для поиска компьютерной информации задействуются программное обеспечение, не находящееся в обнаруженном компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой - нагляден. Максимально активное участие понятых при поиске компьютерной информации важно еще и потому, что результатом выполнения искомой программы может явиться не текстовый или графический документ, а аудио- или видео ряд. Такой итог работы программы будет уникальным (неповторимым) и зафиксировать эту информацию можно только запротоколировав ее, а также и:пользовав фото- или видеоаппаратуру.

В ходе следственного действия может быть принято решение о фиксации содержимого жесткого диска обнаруженного компьютера. По нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных технологий, эту процедуру необходимо проводить только в ходе производства судебной экспертизы в лабораторных условиях. Однако, если этого требуют обстоятельства, данная процедура фиксации может быть выполнена во время проведения следственного действия. Следует учитывать, что такую операцию специалист может осуществить только для компьютеров с установленной файловой системой FAT16 или FAT32, не являющихся выделенными серверами в сети. Действия специалиста в данной ситуации имеют ряд особенностей и обусловлены степенью предварительной подготовки специальных аппаратно-программных средств для фиксации компьютерной информации1.

техническая экспертиза. - М.: Право и закон, 2001.

1 Зубаха B.C., Усов А.И., Саенко Г.В, is др. Общие положения по назначению и производству компьютерно-технической экспертизы (методические рекомендации) - М, ГУ ЭКЦ МВД России, 2001.

_•)

При обнаружении и фиксации следов преступления на компьютерных средствах, находящихся в помещении и соединенных в ЛВС, их осмотр целесообразно начать с сервера. Как правило, под помещение с сервером выделена специальная комната, вход в которую ограничен. Однако помимо центральной серверной комнаты могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов (в случае, когда кабель спрятан в специальный короб). Во всех обнаруженных компьютерах фиксируется наличие устройств удаленного доступа к системе и определяется их состояние (подключение к локальной сети посредством сетевой карты, наличие модема).

Особого внимания требует определение наличия у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестере), на дискетах, устройствах типа ZIP, магнитооптике и пр., наличия виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы). Все эти установленные данные отражаются в следственном протоколе.

В завершении своей работы по поиску криминалистически значимой информации специалист (перед выключением питания) должен корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, располагаемых на средствах фиксации. В протоколе необходимо указать имена этих файлов, вид сохраняемой информации, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера), а также все изменения в файловой

53

системе, происшедшие в результате выполнения определенных действий специалиста.

После выключения компьютера следует промаркировать всю систему подсоединения проводов, идущих к его корпусу. Маркировке под- лежат все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. После проведенной маркировки внешний вид, а также схема расположения компьютерной системы и ее составляющих компонент должны быть зафиксированы с помощью видео- и фототехники (рис. 1.2).

Особого внимания требуют места хранения носителей компьютерной информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в учреждениях (фирмах, компаниях) с развитой ЛВС, как правило, производится регулярное архивирование иттформацми на какой- либо носитель. Поэтому очень важно выявить данное место хранения данных копий. При осмотре документов следует обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли, коды доступа и прочие вспомогательные данные.

Только после выполнения указанных выше мероприятий, специалист, участвующий в следственном действии, может произвести изъятие компьютерных средств (в т.ч. носителей информации).

54

/

щ

W

Рис. 1.2. Прим еры фикса ции и марк иров ки комп ьюте рных средс тв

55

Изъятие, транспортировка и хранение компьютерных средств

Все компьютерные средства, обнаруженные в ходе следственного действия и имеющие значение для дела, должны быть изъяты в строгом соответствии с требованиями закона (ст. ст. 164, 165, 177, 182, 183 УПК РФ), чтобы впоследствии они могли быть признаны доказательствами.

Типичными изымаемыми объектами являются системные блоки и все обнаруженные носители компьютерной информации. Однако, спе- циалист в каждом конкретном случае, исходя из сложившихся обстоя- тельств, должен помочь определить перечень изымаемых объектов, в т.ч. периферийных устройств (мониторы, принтеры, факс-модемы и пр.), устройств для доступа к обнаруженным носителям, сетевого оборудования, кабелей и пр. Данный выбор должен быть сделан с позиций всестороннего обеспечения производства судебной экспертизы, которая будет впоследствии назначена следователем.

В протоколе следственного действия описываются место и время изъятия компьютерных средств, основные физические характеристики изымаемых устройств, их видимые индивидуальные признаки, конфигурация компьютерных средств (их комплектацию); номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации; иную информацию, имеющуюся на фабричных ярлыках фирмы-изготовителя.

В отдельных, исключительных, случаях специалистом может быть выполнено изъятие непосредственно компьютерной информации путем ее копирования компьютерной информации на заранее приготовленные носители. Это могут быть дискеты; однако при большом объеме изымаемой информации рекомендуется использовать такие носители данных как дополнительный жесткий диск, магнитооптические диски или

56

диски Бернулли. Носители, на которые была скопирована компьютерная информация, должны быть упакованы в пластиковые коробки и опечатаны. Если изымается жесткий диск, то его необходимо упаковать в антистатический (т.е. исключающий воздействие статического заряда) пакет, предотвратить его свободное перемещение в упаковке при транспортировке) и опечатать.

Все изъятые системные блоки компьютеров и другие устройства (в т.ч. носители) должны быть упакованы и опечатаны. Причем, это должно быть выполнено таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки. Системные блоки компью- теров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все действия должны быть зафикси-рованы в протоколе.

Описания некоторых быстрых и эффективных способов изъятия и опечатывания компьютерных средств широко известны из соответст- вующей литературы1. Следует учесть, что при невозможности или нецелесообразности изъятия компьютерных средств требуется принять следующие меры к исключению доступа к ним заинтересованных лиц:

о отсоединить от корпуса устройства шнуры питания, сетевые шнуры и кабели, места их подключения опломбировать (заклеить листом бумаги с подписями следователя и понятых). Если отсоединить шнур от корпуса не представляется возможным, необходимо аккуратно свернуть его в кольцо, начиная с сетевого разъема и перетянуть ниткой или проволокой, чтобы не допустить разматывания. Полученный таким образом

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М. :Право и закон, 2001.

57

жгут помещается в полиэтиленовый пакет, горловина которого затягивается как можно ближе к месту выхода шнура из устройства. Сверху затяжка заклеивается листом бумаги с подписями следователя и понятых;

• все панели корпуса компьютерного средства, имеющие кнопки управления, дисководы, а также места стыковок частей корпуса закла дываются листами бумаги и оклеиваются бумажными лентами с подпи- ф сями следователя и понятых, таким образом, чтобы не допустить вклю-

чение компьютера или проникновения внутрь устройства без их повреждения.

Также изъятию по решению следователя могут подлежать:

© материалы об информатизации учреждения (предприятии, фирмы);

о журналы передачи смен, журналы аварийных и сбойных ситуаций, журналы регистрации использования информационных ресурсов в компьютерной системе;

о копий программного обеспечения, применяемого в вычислительной технике учреждения (предприятия, фирмы);

© литература по тематике: телекоммуникации, компьютерные сис темы, персональные компьютеры, устройства передачи данных (моде мы), аппаратное и программное обеспечение, телефония, системы и средства компьютерной безопасности, криптография, компьютерные ви русы и т.п.; ф © специальные приспособления для возможного осуществления не-

санкционированного доступа к компьютерной информации (портативные компьютеры; телефонные шнуры с переходниками к модему на одном конце и зажимами типа “крокодил” для подсоединения к телефонным каналам на другом; специализированные наборы инструментов и пр.).

58

При транспортировке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически ак- тивными веществами. Следует экранировать от воздействий магнитных полей как компьютерные устройства, так и на магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размагничивания. Поскольку компьютерные средства попадают на исследование в экспертные учреждения, особое внимание следует обратить на ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.). При размещении изъятых объектов на хранение (рис. 1.3.) соблюдать установленные правила хранения и складирования электронных технических средств1.

Предложения по совершенствованию уголовно-процессуаль-ного законодательства с учетом особенностей предварительного расследования преступлений в сфере компьютерной информации

В связи со специфичностью компьютерной информации в УК РФ обособлена отдельная уголовно-правовая норма (ст.272, ст.273, ст.274). Основную сложность при расследовании и судебном рассмотрении преступлений в сфере компьютерной информации, а также других преступлений, совершенных с использованием компьютерных средств, составляет производство следственных действий в помещениях, где установлены локальные сети ЭВМ (в частности, локальные вычислительные сети (ЛВС).

1 Подробнее см. Зубаха B.C., Усов А.И., Саенко Г.В, и др. Общие положения по назначению и производству компьютерно-технической экспертизы (методические рекомендации) - М.:ГУ ЭКЦ МВД России, 2001.

59

т

В

Рис. 1.3. Прим ер прав ильн ого разме щени я изъят ых комп ьюте рных средс тв

#

60

При проведении осмотра и других следственных действий не ис- ключена возможность модификации, либо уничтожения интересующей следствие компьютерной информации, путем удаленного доступа к ней с какого-либо компьютера ЛВС. Ситуация осложняется наличием распределенных сетей, когда, например, информация, имеющая значение для дела, в считанные секунды пересылается или модифицируется, удаляется удаленным компьютером в ином помещении или городе. Поэтому, с целью обеспечения минимального изменения состояния информационных ресурсов ЛВС, а также предупреждения несанкционированного доступа при производстве предварительного следствия, представляет- ся целесообразным введение такого следственного действия как нало- жение ареста на локальную вычислительную сеть.

Практика наложения ареста на локальные вычислительные сети существует уже во многих странах (Голландии, Бельгии, США и др.). Аресты сетей, предпринимаемые в этих странах, позволяют сохранить наибольшее количество следов преступления, которые легко уничтожаются как умышленно, так и случайно при манипулировании с вычислительной сетью и компьютерной информацией. Кроме того, подобное предложение уже не раз высказывалось ранее отечественными юристами-практиками1, однако конкретных формулировок постатейных норм уголовно- процессуального закона не предлагалось.

Итак, современный уголовно-процессуальный закон (УПК РФ) предусматривает: наложение ареста на имущество (ст. 115) и наложение ареста на почтово-телеграфную корреспонденции (ст. 174). Казалось бы, поскольку ЛВС представляют собой комплекс имущества и определен-

Например, см. Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации/ЛТрименение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств. - М.,2000.

61

ного объема компьютерной информации, можно было бы говорить о наложении ареста на имущество. Однако по смыслу действующего закона арест может быть наложен лишь на имущество подозреваемого, обвиняемого или лиц, несущих по закону материальную ответственность за их действия, либо на имущество, находящееся у других лиц, если есть достаточные основания полагать, что оно получено в результате преступных действий подозреваемого, обвиняемого. Это означает, что такое действие невозможно на начальном этапе расследования, когда нет по- дозреваемого лица и отсутствуют достаточные данные для предъявления обвинения. Поэтому введение дополнительных уголовно-процессуальных норм, определяющих арест локальных вычислительных сетей в виде иных мер процессуального принуждения (глава 14 УПК) не представляется возможным.

В то же время, УПК достаточно подробно определяет производство предварительного следствия с обособлением конкретных следствен- ных действий (раздел VIII). Однако, нормы, изложенные в Законе применительно к почтово-телеграфной корреспонденции не учитывают действий по отношению к электронно-почтовой корреспонденции, т.к. как операторы телекоммуникационных услуг (провайдеры) к почтово-телеграфным учреждениям не относятся1. Реалии же сегодняшнего дня таковы, что большая часть почтовых отправлений происходит именно с использованием электронной почты.

В связи с вышеизложенным предлагается ввести следующие ре- дакционные дополнения к уголовно-процессуальным нормам, закреп- ленным в главе 25 УПК РФ (курсивом выделены предлагаемые измене- ния и дополнения).

1 См. Федеральный закон «О связи» от 16.02.1995 г. № 15-ФЗ.

62

Глава 25. Обыск. Выемка. Наложение ареста на почтово-телеграфные и электронно-почтовые отправления, локальные вычислительные сети. Контроль и запись переговоров

Статья 185. Наложение ареста на почтово-телеграфные и электронно-почтовые отправления, локальные вычислительные сети, их осмотр и выемка

  1. При наличии достаточных оснований полагать, что предметы, документы или сведения, имеющие значение для уголовного дела, могут содержаться соответ- ственно в бандеролях, посылках или других почтово-телеграфных отправлениях ли- бо в телеграммах или радиограммах, либо в электронно-почтовых отправлениях или локальных вычислительных сетях (ЛВС) на них может быть наложен арест.
  2. Наложение ареста на почтово-телеграфные и электронно-почтовые от- правления, локальные вычислительные сети, их осмотр и выемка, соответственно, в учреждениях связи, либо предоставляющих телематические услуги, или помещениях установки ЛВС производятся только на основании судебного решения, прини- маемого в порядке, установленном статьей 165 настоящего Кодекса.
  3. В ходатайстве следователя о наложении ареста на почтово-телеграфные, либо электронно-почтовые отправления или ЛВС, производстве их осмотра и выемки указываются:

1) фамилия, имя, отчество и адрес лица, либо адрес электронной почты, со- ответственно, почтово-телеграфные, либо электронно-почтовые отправления ко- торого должны задерживаться; или наименование и адрес учреждения, на ЛВС ко- торой накладывается арест; 2) 3) основания наложения ареста, производства осмотра и выемки; 4) 5) виды почтово-телеграфных, либо электронно-почтовых отправлений, или состав и конфигурация ЛВС, подлежащих аресту; 6) 7) наименование учреждения связи, либо предоставляющего телематические услуги, на которое возлагается обязанность задерживать соответствующие почтово- телеграфные или электронно-почтовые отправления. 8) 4. В случае принятия судом решения о наложении ареста на почтово- телеграфные или электронно-почтовые отправления его копия направляется в соот ветствующее учреждение связи, либо предоставляющее телематические услуги, ко-

63

торому поручается задерживать почтово-телеграфные или электронно-почтовые отправления и незамедлительно уведомлять об этом следователя.

  1. Осмотр, выемка и снятие копий с задержанных почтово-телеграфных, либо электронно-почтовых отправлений производятся следователем в соответствующем учреждении связи, либо предоставляющем телематические услуги с участием поня- тых из числа работников данного учреждения. В необходимых случаях для участия в осмотре и выемке почтово-телеграфных, либо электронно-почтовых отправлений следователь вправе вызвать специалиста, а также переводчика. В каждом случае ос- мотра почтово-телеграфных, либо электронно-почтовых отправлении составляется протокол, в котором указывается, кем и какие почтово-телеграфные, либо электрон- но-почтовые отправления были подвергнуты осмотру, скопированы, отправлены адресату или задержаны.
  2. Арест на почтово-телеграфные, либо электронно-почтовые отправления или ЛВС отменяется следователем с обязательным уведомлением об этом суда, принявшего решение о наложении ареста, и прокурора, когда отпадает необходимость в этой мере, но не позднее окончания предварительного расследования по данному уголовному делу.
  3. В случае нахождения учреждения, предоставляющего телематические услуги, на территории иностранного государства, арест электронно-почтовых отправлений, их осмотр и выемка производятся в порядке, установленном статьями 453, 454 и 455 настоящего Кодекса.
  4. Осмотр и выемка ЛВС начинается с энергетического и информационного блокирования с участием спецначиста и производится в порядке, установленном статьями 176, 177, 182 и 183 настоящего Кодекса.
  5. Принимая во внимание все сложности, возникающие в связи с воз- можностью введения такого следственного действия, допускается воз- можность, когда сроки ареста могут специально оговариваться в зави- симости от размеров ЛВС и объема компьютерной информации, подлежащей изъятию. Тем не менее, даже минимальный срок ареста сети позволит следственной группе спокойно сориентироваться в сложившейся обстановке, оценить необходимый для изъятия объем информации и со-

64

став оборудования (аппаратных средств). Это позволит избежать столь дорогостоящего и трудоемкого мероприятия как демонтаж ЛВС с последующей доставкой ее в следственные или экспертные органы.

Проведению осмотра и выемки ЛВС, помимо указанных в редакции УПК действий по энергетическому и информационному блокированию, должны также предшествовать такие мероприятия как декомпозиция сети на фрагменты (по принципу пространственной однородности) и опечатывание всех технических средств ЛВС, всех типов носителей компьютерной информации и соответствующей документации.

С учетом вышеизложенного представляется возможным утверждать, что введение предложенных поправок к УПК позволит не только создать оптимальные условия для производства следственных действий по делам, сопряженным с использованием компьютерной информации, но и обеспечит соблюдение принципов относимости и допустимости собираемых доказательств.

§1.4. Формы использования в уголовном и гражданском судопроизводстве специальных познаний в сфере современных информационных

технологий

Понятие специальных познаний и основного их носителя в сфере современных информационных технологий

Производство по уголовным и гражданским делам, сопряженным с использованием компьютерных средств и информационных техноло- гий, представляет значительные трудности . Сам специфический способ совершения подобных деяний еще недостаточно изучен, а значит, имеются сложности не только в обнаружении криминалистически значимой

Российская Е.Р. Усов А.И. Судебная компьютерно-техническая экспертиза.-М. Право и зако, 2001.

65

информации, но и в ее фиксации, изъятии и последующем исследовании. Кроме того, по нашему мнению, следователи, прокуроры и судьи ни психологически, ни технически, ни профессионально не готовы к целенаправленному и эффективному противодействию рассматриваемым преступлениям, объективному и обоснованному разрешению дел, сопряженных с использование компьютерных технологий.

Залогом успешного раскрытия и расследования таких преступлений, судебного рассмотрения уголовных и гражданских дел является, в первую очередь, всестороннее выявление и исследование компьютерной информации, что невозможно без использования специальных познаний.

Закон не дает определения понятия «специальные познания». Тра- диционно в юридической литературе под этим термином понимают систему теоретических знаний и практических навыков в области конкретной науки, либо техники, искусства или ремесла, приобретаемых путем специальной подготовки или профессионального опыта и необходимых для решения вопросов, возникающих в процессе уголовного или гражданского судопроизводства1. Применительно к теме настоящего исследования специальные познания в сфере современных информационных технологий составляют следующие научные направления: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация.

Основной формой использования научно-технических достижений в уголовном, гражданском и арбитражном процессе, производстве по делам об административных правонарушениях является судебная экс-

1 См., например, Белкин Р.С. Криминалистическая энциклопедия. - М.: Мега-трон XXI, 2000; Додин Е.В. Доказывание и доказательства в правоприменительной деятельности органов советского государственного управления. - Киев - Одесса,

66

пертиза. Сущность судебной экспертизы состоит в анализе по заданию следователя, суда, органа, рассматривающего административное правонарушение, сведущим лицом - экспертом - предоставляемых в его распоряжение материальных объектов экспертизы (вещественных доказательств), а также различных документов (в том числе протоколов следственных действий), с целью установления фактических данных, имеющих значение для правильного разрешения дела. Судебную экспертизу от экспертиз, осуществляемых в иных сферах человеческой деятельности, в т.ч. сфере информационных технологий, отличают следующие признаки1:

® подготовка материалов на экспертизу, назначение и проведение ее с соблюдением специального правового регламента, определяющего (наряду с соответствующей процедурой) права и обязанности эксперта, субъекта, назначившего экспертизу, участников уголовного, гражданского и арбитражного процесса;

о проведение исследования, основанного на использовании специ- альных знаний в различных областях науки, техники, искусства или ремесла; дача заключения, имеющего статус доказательства.

В соответствии со ст. 74 УПК РФ, заключение и показания эксперта допускаются в качестве доказательств. Основания и порядок назначе- ния судебных экспертиз по уголовным и гражданским делам определяются соответствующими кодексами России (УПК, ГПК, АПК, КоАП) и Федеральным законом «О государственной судебно- экспертной дея-

Вища школа, 1976; Энциклопедия судебной экспертизы. Под ред. Т.В. Аверьяновой и Е.Р. Российской. -М.: Юристъ, 1999.

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе.- М.:Право и закон, 1996.

67

тельности в Российской Федерации» . В этих нормативных актах уста- навливаются права и обязанности лиц, принимающих участие в производстве судебной экспертизы, их правоотношения, содержание составляемых при этом основных процессуальных документов, регламентируются и другие вопросы, связанные с порядком назначения и производства экспертизы.

В соответствии с нормами процессуального законодательства Рос- сийской Федерации судебная компьютерно-техническая экспертиза может производиться как государственными судебными экспертами, так и иными экспертами из числа лиц, обладающих специальными знаниями (ст. 195 УПК). Правовая основа, принципы организации и основные направления государственной судебно-экспертной деятельности в РФ регламентированы соответствующим Федеральным законом 2.

Учитывая возрастающее вовлечение компьютерных систем в пре- ступную деятельность, сотрудники судебно-экспертных учреждений все чаще в последнее время сталкиваются с таким объектом экспертных исследований , как компьютерные средства. Результаты проведенного исследования выявили динамику потребности в проведении судебно-экспертных исследований компьютерных средств и систем ЭКП ОВД (рис.1.4.).

Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73-ФЗ.

Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73-ФЗ.

Отчет о НИР «Разработка методического обеспечения производства крими- налистических экспертиз и исследований программно-технических средств при рас- следовании преступлений в сфере компьютерной информации”. -М.:ЭКЦ МВД Рос- сии, ЮИ МВД РФ, 2000.

68

Динамика потребности производства СКТЭ

1999 20Ю) 2001

«количество обращений с целью производства СКТЭ

Dколичество произведенных СКТЭ

Рис. 1.4. Рост потребности производства СКТЭ

69

Диаграмма отражает только данные, полученные в ЭКП ОВД. Аналогичная ситуация складывается и в других министерствах и ведомствах, в которых проводятся судебно-экспертные исследования в сфере современных информационных технологий. Анализ данных о подобных экспертных исследованиях, свидетельствуют уже о фактически начавшейся работе в направлении становления нового рода судебных экспертиз - компьютерно-технической экспертизы и подтверждают актуальность всестороннего развития ее концептуальных основ.

Основным носителем специальных познаний (ст. 57 УПК, ст. 74 ГТЖ, ст. 66 АПК, ст. 252 КоАП) является эксперт. В качестве эксперта может быть вызвано любое лицо, обладающее необходимыми для дачи заключения познаниями.

Вопросы, поставленные на разрешение эксперта, не должны выхо- дить за пределы его специальных познаний. Однако в процессуальном законодательстве не конкретизируется, каким образом определяются пределы компетенции судебного эксперта, кому конкретно может быть поручено производство судебных экспертиз. Квалификацию эксперта обычно исследует субъект, назначивший экспертизу, при оценке заключения.

Статус судебного эксперта определяется кодифицированными за- конами (ст. 57 УПК; ст. 76 ГПК, ст.45 АПК; ст. 252 КоАП), которые предъявляют к эксперту серьезные требования. Эксперт обязан явиться по вызову суда (прокурора, следователя, лица, производящего дознание, органа, рассматривающего дело об административном правонарушении) и от своего имени дать объективное беспристрастное заключение по поставленным ему вопросам на основании исследования представленных материалов в соответствии со своими специальными знаниями.

70

Объективность заключения означает, что его дает лицо, не заинте- ресованное в исходе дела. Заключение эксперта должно основываться на положениях, дающих возможность проверить обоснованность и достоверность сделанных выводов на базе общепринятых научных и практических данных (ст.8 ФЗ).

Согласно ст. 12 Федерального закона РФ «О государственной су- дебно-экспертной деятельности в Российской Федерации» государст- венным судебным экспертом является аттестованный работник государственного судебно-экспертного учреждения, производящий судебную экспертизу в порядке исполнения своих должностных обязанностей. В указанном Федеральном законе указаны обязанности государственного эксперта, а также оговорены действия, которые он не вправе предпринимать (ст. 16).

Вместе с тем, эксперт обладает широкими полномочиями. Он может отказаться от дачи заключения, если представленные материалы не- достаточны или поставленный вопрос выходит за рамки его компетенции. О невозможности дать заключение эксперт сообщает назначившему экспертизу в письменной форме.

Поскольку это необходимо для дачи заключения, эксперт имеет право знакомиться с материалами дела, заявлять ходатайства о предоставлении ему дополнительных материалов, участвовать в следственных действиях и судебном разбирательстве.

Участвуя в судебном заседании, эксперт может задавать вопросы участникам процесса (подсудимому, потерпевшему, свидетелям, представителям сторон и другим) об обстоятельствах, имеющих значение для дачи заключения. Эксперт может указать в заключении на имеющие значение для дела обстоятельства, в отношении которых ему не были заданы вопросы (ст. 204 УПК, ст. 77 ГПК, ст. 68 АПК).

71

В соответствии со ст. 41 действия ФЗ «О государственной судебно- экспертной деятельности в Российской Федерации» на судебно- экспертную деятельность лиц, не являющихся государственными судебными экспертами распространяется большинство прав и обязанностей государственных экспертов1:

Специальные познания, которыми обладают судебные эксперты, хотя во многом близки к тем, которыми оперируют представители базовых наук, но в то же время, весьма специфичны. Для решения задач су- дебной экспертизы, большинство из которых составляют обратные задачи (например, от следствий - следов преступления - к причине - способу совершения и сокрытия), судебные эксперты пользуются специально разрабатываемыми методиками, незнакомыми специалистам из «большой науки»1. Поэтому судебно-экспертные исследования компьютерных средств и систем позволяют придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение.

Особенности использования специальных познаний при проведении следственных и судебных действий

Процессуальной формой использования специальных познаний в сфере информационных технологий является привлечение специалиста к производству следственных и судебных действий (ст.58, ст. 168 и 270 УПК РФ), где он использует свои специальные знания и навыки для содействия в обнаружении, закреплении и изъятии предметов и докумен-

1 Ст.2, 4, 6-8, 16, 17, (ч.2) 18, 24 и 25 Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73- ФЗ.

72

тов, применении технических средств в исследовании материалов уго- ловного дела, для постановки вопросов эксперту, а также для разъяснения сторонам и суду вопросов, входящих в его профессиональную компетенцию. Сведения о фактах, установленных специалистом путем непосредственного наблюдения, фиксируются в протоколе следственного или судебного действия, которые являются доказательствами (ст.74).

Ранее ГПК, АПК и КоАП не содержали статей, прямо описывающих участие специалиста в рассмотрении дел и назначение экспертизы. Последние же редакции указанных законов не только содержат косвенные указания на возможность такого участия, но и прямо устанавливают нормы участия специалистов, экспертов и производства эксперти-зы(ст.25, 26 КоАП). Кроме того, обуславливается применении технических средств и специальных знаний при производстве осмотров на месте (ст. 179 ГПК; ст.ст. 55, 64 АПК), представлении доказательств (ст.ст. 49, 50 ГПК; ст.ст. 52, 53, 54 АПК).

Следователь или судья, обладая специальными познаниями и со- ответствующими научно-техническими средствами, при производстве следственных действий могут обойтись без помощи специалиста. Слу- чаи обязательного его участия в следственном действии прямо указаны в законе. В то же время, судебная экспертиза назначается независимо от того, обладают ли следователь, судья, лицо, рассматривающее дело об административном правонарушении, специальными познаниями, поскольку фактические данные, полученные путем экспертного исследования не могут быть отражены ни в каком процессуальном документе кроме заключения эксперта.

Лицо, обладающее специальными познаниями в области компью- терных технологий может привлекаться к производству следственного

1 Криминалистика. Учебник для вузов. Под ред. Проф. Р.С.Белкина. -

73

действия для уяснения вопросов использования определенных компьютерных средств в конкретной следственной ситуации, а также для определения частных целей следственного действия и путей их достижения. Специалист может оказать помощь следователю в подборе понятых, в качестве которых рекомендуется привлекать квалифицированных пользователей ЭВМ1, поскольку только такие понятые смогут правильно воспринять производимые следователем и специалистом действия с компьютерными средствами.

Уголовно-процессуальным законом предусмотрен целый ряд си- туаций, в которых участие специалиста при проведении следственного действия обязательно(ст. 191, 178, 179 УПК), но они не касаются использования знаний в области компьютерных технологий. Следователь или лицо, производящее дознание единолично решает вопрос о том, необходима ли ему помощь специалиста при проведении следственного действия и какого именно. Другие участники процесса, например, подозреваемый, обвиняемый, защитник, также могут выразить пожелание о привлечении специалиста, но лишь в форме ходатайства, которое подлежит рассмотрению следователем.

Основное условие привлечения специалиста, имеющего соответ- ствующие познания и навыки - его незаинтересованность в исходе дела. Лицо не может принимать участие в расследовании компьютерных преступлений в качестве специалиста, если обнаруживает некомпетентность в сфере информационных технологий и компьютерных средств. Основания отвода специалиста регламентированы процессуальным законом (ст. 71 УПК), также как и основания отвода эксперта (ст.70 УПК). Однако, если ранее лицо уже участвовало в деле в качестве специалиста,

М.:Норма-Инфра-М, 1999.

Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений. Дис… канд. юрид. наук. - М, 1997.

74

это не является основанием для отвода, т.е. специалист может вызываться неоднократно.

Особенности действий специалиста в следственных действиях по делам, сопряженным с использованием компьютерных средств, уже были рассмотрены выше. Следует дополнить, что в ходе следственных действий специалисту может быть предоставлена инициатива в поиске следов преступления в широком смысле этого слова, сопряженных с использованием компьютерных средств, в т.ч. «виртуальных» следов, но обязательно в рамках общих задач расследования и под контролем следователя. По ходу следственного действия специалист в рамках своей компетенции может предоставлять следователю и другим участникам следственно- оперативной группы справочные сведения и давать разъяснения по вопросам, связанным с современными информационными тех- нологиями.

В регионах Российской Федерации, где до сих пор испытывается дефицит высокопрофессиональных кадров, которых можно было бы привлечь в качестве специалистов для участия в следственных действиях по осмотру и изъятию компьютерных средств и систем, можно предложить приглашение государственных экспертов ( или иных экспертов, обладающих специальными знаниями) для участия в осмотрах, обысках и выемках. Новый уголовно-процессуальный Закон (2001 г.) отменил действующее ранее ограничение применительно к специалисту на предмет дальнейшего его участия в судебной экспертизе изымаемых объектов. Теперь, предыдущее участие эксперта в производстве по уголовному делу в качестве эксперта или специалиста не является основанием для отвода (ст.70 УПК РФ). Для судебно-экспертного исследования компьютерных средств данное нововведение имеет важное значение, поскольку позволяет совместить двух участников уголовного судопро-

75

изводства в одном лице, сначала собирающем, а в дальнейшем иссле- дующем доказательства по преступлениям, сопряженным с использованием компьютерных средств.

Непроцессуалъные формы использования специальных познаний в сфере компьютерных технологий

Специальные познания могут использоваться не только в процес- суальной форме, когда результаты их применения имеют доказательственное значение, но и в непроцессуальной форме.

Непроцессуальной формой использования специальных познаний является также справочно-консультационная деятельность сведущего лица - специалиста не в процессуальном, а в более широком смысле этого слова. В этой форме специалист может оказывать помощь следователю, органу, рассматривающему делу об административном правонарушении, и суду в подготовке следственных действий и материалов для экспертизы, формировании вопросов эксперту и т.д.

Справочно-консультационная деятельность может осуществляться как до, так и в процессе производства по делу. Чаще всего она необходима следователю и суду до возбуждения уголовного дела (до начала производства по делу) или на начальном этапе и касается получения общих сведений о компьютерных средствах и системах. Если факты, полученные в результате консультации могут иметь доказательственное значение, то после начала официального производства по дела консультация может быть оформлена справкой или ответом на официальный запрос органа дознания, следствия, суда. Полученный в итоге документ рассматривается в качестве самостоятельного доказательств, предусмот-

76

ренного соответствующими статьями процессуального закона (ст.74 УПК, ст. 63 ГПК, 60 АПК, ст. 26 КоАП).

В практике борьбы с компьютерной преступностью широко ис- пользуется процедура исследования компьютерных средств с помощью специальных познаний, которая может осуществляться как до, так и после возбуждения уголовного дела. Специалисты в сфере информационных технологий в ряде случаев (например, при осуществлении проверки до возбуждения уголовного дела) также проводят исследования, но эти исследования называются предварительными и полученные результаты не имеют доказательственного значения. Речь идет о непроцессуальной форме исследования, когда специальные познания используются при изучении компьютерных средств, еще не имеющих статуса веществен- ных доказательств, но могущих таковыми стать при наступлении определенных процессуальных условий. Учитывая серьезное значение предварительных исследований для раскрытия компьютерных преступлений, целесообразно подробнее рассмотреть данный вопрос.

Поиски соответствующей процессуальной формы проведения ука- занных исследований имеют цель придать доказательственное значение результатам, которые по техническим причинам часто трудно продублировать впоследствии экспертизой. Анализ литературы показал, что существует следующие решения данной проблемы: во-первых, допустить производство судебной экспертизы до возбуждения уголовного дела; во-вторых, придать доказательственное значение предварительным исследованиям.

О возможности проведения экспертизы до возбуждения уголовного дела говорили многие авторы: Я.И. Нагнойный, Р.С. Белкин, Н.В.

77

Жогин, Х.А. Рооп, Е.Р. Российская и другие. При этом они проводили параллель с осмотром места происшествия, когда объектом экспертного исследования служат обстоятельства этого места, подлежащие изучению в своем первоначальном состоянии, не нарушенном действиями лиц, производящих осмотр места происшествия2. В настоящее время эти предложения поддерживаются большинством криминалистов и судебных экспертов.

Однако и ранее и теперь резко возражают многие ученые- процессуалисты: Ю.К. Орлов, В.И. Шиканов, В.П. Божьев, И.Н. Сороко-тягин 3 и другие. В качестве одного из основных аргументов высказывалось мнение, что производство экспертизы до возбуждения уголовного дела создает опасный прецедент и породит атмосферу бесконтрольности в применении мер, ограничивающих права и интересы личности. Несмотря на то, что данная дискуссия была начата тридцать лет назад, она актуальна и до сих пор.

Как было показано выше уровень латентности компьютерных пре- ступлений очень высок и это объясняется, в том числе, нежеланием по-

См., например, Нагнойный Я.П. О возможности назначения судебной экспертизы до возбуждения уголовного дела // Криминалистика и судебная экспертиза. Вып.4. - Киев, 1967; Белкин Р.С. Методологические основы предварительного следствия // Руководство для следователей. М, 1971; Рооп Х.А. О соотношении судебной экспертизы и возбуждения уголовного дела // Процессуальные и методические во- просы судебной экспертизы. - Таллинн, 1981; Российская Е.Р. О доказательственном значении результатов комплексного исследования вещественных доказательств // Проблемы уголовного процесса и криминалистики, М, 1982.

Комаринец Б.М. Участие экспертов-криминалистов в проведении следственных действий по особо опасным преступлениям против личности // Теория и практика судебной экспертизы, вып. 1 (11), М, 1964.

См., например, Савицкий В.М. Очерк теории прокурорского надзора. - М.: Наука, 1975. Орлов Ю.К. Производство экспертизы в уголовном процессе. - М.: ВЮЗИ, 1982. Шиканов В.И. Актуальные вопросы уголовного судопроизводства в криминалистике в условиях современного научно-технического прогресса. - Ир- кутск: Иркутский ГУ, 1978; Сорокотягин И.Н. Криминалистические проблемы ис- пользования специальных познаний в расследовании преступлений. Дисс. … докт. юр. наук. Екатеринбург, 1992.

78

терпевших заявлять о преступлении из-за боязни действий следователя, существенно затрагивающие интересы потерпевшей стороны. Уголовное дело, возбужденное необоснованно, даже при его прекращении, влечет большие убытки для потерпевших, связанные с нарушениями работы компьютерных систем, сменой паролей и т.д. Можно полностью согласиться с предложением, что в ряде случаев, исчерпывающий перечень которых мог бы быть приведен в законе, следовало бы допустить назначение экспертизы до возбуждения уголовного дела . Это в первую очередь касается экспертных исследований компьютерных систем, когда без использования специальных познаний практически невозможно ус- тановить признаки состава преступления и решить вопрос о возбуждении уголовного дела1.

Непроцессуальные формы использования специальных познаний в области компьютерных технологий используются при подготовке к рассмотрению гражданских дел. Этот вопрос актуален и для граждан, и для организаций и предприятий, т.к. связан с решением вопроса о целесообразности подачи искового заявления в суд. Прежде чем обратиться в суд для защиты своего права или охраняемого законом интереса, необходимо проанализировать те обстоятельства, на которые в процессе судебного рассмотрения предстоит ссылаться как на основания своих требований, поскольку, согласно ст. 50 ГПК и ст. 54 АПК, доказательства представляются лицами, участвующими в деле. Поэтому, если для выяснения фактов и обстоятельств, которые впоследствии могут быть признаны до- казательствами по делу, требуются специальные познания в области ин-

1 Российская ЕР. Современные проблемы использования специальных позна- ний в уголовном и гражданском судопроизводстве // Судебная реформа в России: проблемы обновления процессуального законодательства. Материалы научн. конф. Институт законодательства и сравнительного правоведения при Правительстве РФ, М, 2001.

79

формационных технологий, лучше по возможности заранее произвести предварительные исследования. Если собственные предположения не подтвердились, исковое заявление вообще не подается. В противном случае экспертиза, выполненное в суде, может дать неожиданные для истца результаты.

Поскольку в гражданском и арбитражном процессе отсутствует норма, запрещающая специалисту производить экспертизу, сторона может ходатайствовать о привлечении в качестве эксперта того лица, которое ранее выполняло исследование. Если ходатайство удовлетворено и на разрешение экспертизы поставлены именно те вопросы, которые были заданы ранее, эксперт предупреждается об ответственности по ст. 307 УК и оформляет заключение в соответствии с требованиями процессуального закона, не производя дополнительных исследований.

Частой причиной проведения предварительных исследований компьютерных систем является незаинтересованность фирмы или от- дельных граждан в огласке, конфиденциальность проблемы. Во многих случаях претензии сторон друг к другу могут быть сняты без судебного разбирательства только проведением специальных исследований, что наглядно продемонстрировано в ряде наших публикаций2.

Резюмируя вышеизложенное, можно сделать следующие выводы по первой главе.

  1. Фактическое наступление эры господства информации во всех странах планеты, в т.ч. в России, повсеместно характеризуются резким ростом преступлений в сфере компьютерной информации, а также преступлений, где компьютерные средства используются как элементы способа их совершения и сокрытия. Законодательная регламентации право-

1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.- М.:Право и закон, 2001. Там же.

80

вых отношений и установления уголовной ответственности за совершение преступлений в сфере компьютерной информации нашло своё прямое отражение в ряде Федеральных Законов РФ, а также УК РФ.

  1. Проведенный анализ норм уголовного права позволяет уточнить современные подходы к квалификации преступлений, сопряженных с использованием компьютерных средств, и рассматривать дефиницию «компьютерные преступления» в криминалистическом аспекте, как связанную со способом совершения и сокрытия преступления и, соответственно, с методикой его раскрытия и расследования. Развитие норм законодательного регулирования информационных правоотношений неизбежно повлекло за собой необходимость всесторонней проработки всех процессуальных механизмов их реализации.
  2. В системе типичных признаков компьютерных преступлений, от- ражаемых их родовой криминалистической характеристикой, среди прочих, не менее важных, элементов, особое внимания уделяется данным о следах преступления. Современные исследования отдельных положений криминалистического учения о механизме следообразования применительно к сфере компьютерной информации привели к выделению особой группы следов, так называемых «виртуальных» следов. В развитие этого предложено толкование дефиниции «виртуальный след», не связанное с физическими (или иными) принципами отображения данных, но объективно обусловленное существованием компьютерной информа- ции в компьютерных средствах и системах.
  3. Преступления, сопряженные с использованием компьютерных средств, носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательственной информации в связи со сложностью объектов - носителей этой информации, широким применением средств удаленного доступа и ря-

81

дом других причин. Разработанные теоретические и методические основы собирания криминалистически значимой компьютерной информации позволяют учитывать особенности обнаружения, фиксации и изъятия компьютерных средств при производстве следственных действий. Введение в уголовное судопроизводство дополнительных следственных действий (арест электронно-почтовой корреспонденции и локальной вычислительной сети) позволят значительно повысить эффективность собирания доказательств по рассматриваемым уголовным делам.

  1. Залогом успешного раскрытия и расследования компьютерных преступлений, судебного рассмотрения уголовных и гражданских дел является, в первую очередь, всестороннее выявление и исследование криминалистически значимой компьютерной информации, что невоз- можно без использования специальных познаний. Специальные познания в сфере современных информационных технологий составляют следующие научные направления: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация.
  2. При расследовании по делам указанной категории участие специа- листа в сфере разработки и использования современных информационных технологий необходимо, поскольку, даже малейшие неквалифицированные действия с компьютерными средствами и системами неизбежно заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.
  3. Среди ряда рассмотренных процессуальных и непроцессуальных форм использования специальных познаний в сфере современных ин- формационных технологий выделяется основная процессуальная форма - судебная экспертиза, позволяющая придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации дока-

82

зательственное значение. Анализ статистических данных экспертной практики свидетельствуют уже о фактически начавшейся работе в на- правлении становления нового рода судебных экспертиз - судебной экспертизы компьютерных средств и систем, что обуславливает потребность всестороннего развития ее концептуальных основ.

83

ГЛАВА 2. ЧАСТНАЯ ТЕОРИЯ СУДЕБНОЙ КОМПЬЮТЕРНО- ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ

§2.1. Цели экспертного исследования компьютерных средств, пред- мет познаний и обоснование родовой принадлежности

Появление судебно-экспертных исследований компьютерных средств и систем как одного из процессуальных действий использования достижений науки и техники сферы информационных технологий в уголовном и гражданском процессе имеет исключительно важное практическое значение для нынешней ситуации борьбы с преступностью. Это выражается прежде всего в расширении доказательной базы путем установления ранее не учитываемых фактических данных на основе исследования новых объектов судебной экспертизы - компьютерных средств как материальных носителей информации о факте или событии.

В связи с этим в настоящей главе приведено обоснование потреб- ностей формирования нового рода судебной экспертизы - судебной компьютерно-технической экспертизы. Посредством решения постав- ленной научной задачи по выделению признаков СКТЭ, разработки ее классификации и определения ключевых категории формируются основы частной теории судебной компьютерно-технической экспертизы.

Методологической основой излагаемых результатов исследований явилась общая теория судебной экспертизы как основополагающая часть науки о судебной экспертизе. Эта теория представляет собой систему мировоззренческих и праксиологических принципов, научно- обоснованных концепций, категориальных понятий, методов, связей, отношений, призванных отразить то общее, что свойственно всем су-

84

дебным экспертизам при всех их частных второстепенных различиях . Идея формирования общей теории была выдвинута А.Р. Шляховым А.И. Винбергом в 60-70-х г.г. В 1979 свой вариант концепции общей теории предложил А.И. Винберг и Н.Т. Малаховская , назвав эту теорию судебной эксперологией. Впоследствии к исследованию данных проблем обратились Ю.Г. Корухов, И.А. Алиев, Т.В. Аверьянова4, С.Ф. Бычкова5, Е.Р. Россиниская \

Современная структура общей теории включает: концептуальные основы этой теории (ее предмета, система, функции и др.); учение о судебной экспертизе как разновидности практической деятельности; о закономерностях формирования и развития судебных экспертиз; о предмете и задачах, объектах судебной экспертизы, их свойствах и признаках и пр., в т.ч. частные теории отдельных родов и видов судебной экспертизы. Таким образом, общая теория призвана упорядочить принятые в судебной экспертизе понятия, способствовать их систематизации и унификации.

Выявленные в ходе настоящего исследования закономерности оп- ределяют становление и дальнейшее развитие СКТЭ, способствуют возникновению ее новых видов, отображают динамику изменения свойств и признаков объектов СКТЭ, позволяют прогнозировать интеграционные процессы и границы комплексирования для судебных экспертиз в сфере современных информационных технологий.

Энциклопедия судебной экспертизы/ Под ред. Т.В. Аверьяновой, Е.Р. Рос- синиской.-М.:Юристь, 1999.

2 Шляхов А.Р. Судебная экспертиза. Организация и проведение. - М.,1979.

3 Винберг А.И., Малаховская Н.Т. Судебная экспертология,- Волгоград, 1979. Алиев И.А., Аверьянова Т.В. Концептуальные основы общей теории судеб ной экспертизы. -Баку, 1992.

Бычкова С.Ф. Становление и тенденции развития науки о судебной экспертизе. - Алма-Ата, 1994.

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. -М.,1996.

85

Содержание частной теории СКТЭ составляют обобщенные и сис- тематизированные сведения обо всех основных категориях экспертной деятельности в сфере компьютерной информации: общей методологии, учениях об объектах, субъектах, решаемых задачах СКТЭ, методах и методиках экспертного исследования компьютерных средств и систем, системно-функциональный анализ экспертной деятельности применительно к СКТЭ.

В соответствии с основами общей теорией судебной экспертизы1 частную теорию СКТЭ можно определить как междисциплинарную теорию, предметно связанную с науками уголовного процесса, криминалистикой, другими юридическими науками и базирующуюся на технических науках в сфере современных информационных технологий.

Судебно-экспертное исследование компьютерных средств и систем как род судебных экспертиз начал стихийно формироваться в середине 90-х годов, путем, как это обычно и бывает, производства отдельных уникальных экспертиз. В тот период не были еще сформулированы предмет и задачи данной экспертизы, ее терминологический аппарат, видовое деление. Не было единообразия даже в наименовании экспертизы.

Одной из первых публикаций в России по данному вопросу была статья С.А. Каткова, И.В. Собецкого и А.Л. Федорова, которые предложили называть эту экспертизу программно-технической2, однако такое название было слишком узким и не отвечало всему кругу решаемых этой экспертизой задач. Были и другие наименования судебной экспертизы этого рода: инженерно- компьютерная, судебно-техническая экс-

См., например, Основы судебной экспертизы. Ч 1. Общая теория. - М., 1997.

Катков С.А., Собецкий И.В., Фёдоров А.Л. Подготовка и назначение программно- технической экспертизы. // Информационный бюллетень Следственного комитета МВД России, 1995, № 4 (85).

86

пертиза информационно-вычислительных систем, судебно-

кибернетическая экспертиза и др.1 В 1996 году Е.Р. Российской было предложено называть этот род судебных экспертиз компьютерно- технической экспертизой и включить его в класс инженерно- технических экспертиз, поскольку своим рождением вычислительная (иначе, компьютерная техника) обязана именно инженерно- техническим наукам. Общепринятый термин «компьютерная техника», исторически включающий в себя все виды обеспечения автоматизированных систем управления (техническое, математическое, программное, лингвистическое, информационное и иные), фактически стал прародителем современного названия СКТЭ.

В настоящее время этот термин стал практически общепринятым и дискуссию о наименовании данного рода судебных экспертиз можно считать завершенной3. Предложения, разработанные в ходе настоящего исследования, были поданы в установленном порядке для отражения в проекте приказа МВД «О состоянии и мерах по повышению эффективности использования экспертно- криминалистических методов и средств в борьбе с преступностью» (2002 г.), который закрепляет одним из видов судебно-экспертной деятельности в ЭКП МВД России - «производство компьютерно- технической экспертизы».

См., например, Толеубекова Б.Х. Социология компьютерной преступности. Учебное пособие. - Караганда, 1992; Вехов В.Б. Компьютерные преступления. Спо- собы совершения методики расследования. -М.: Право и закон. 1996; Крылов В.В. Информационные компьютерные преступления.- М: Юринфор, 1997.

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М.: Право и Закон, 1996.

3 См., например, Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М: Новый Юрист 1998; Расследование неправо- мерного доступа к компьютерной информации. Научно-практическое пособие. Под. ред. Н.Г. Шурухнова. - М: Щит-М, 1999; Мещеряков В.А. Преступления в сфере компьютерной информации; правовой и криминалистический аспект. - Воронеж, ВГУ, 2001 и др.

87

Таким образом, судебная компьютерно-техническая экспертиза - самостоятельный род судебных экспертиз, относящийся к классу инженерно- технических. СКТЭ проводится в целях:

• определения статуса объекта как компьютерного средства;

о выявления и изучения его роли в расследуемом преступлении;

о получения доступа к данным на носителях компьютерной ин- <g формации с последующим всесторонним ее исследованием.

Специальные познания СКТЭ составляют электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация. Предметом научных основ СКТЭ, являются закономерности формирования и исследования компьютерных систем и движения компьютерной информации1.

Правильное понимание предмета экспертизы теоретически важно для классификации судебных экспертиз. Уяснение данной категории позволяет отграничить понятие предмета от тесно связанных с ним других категорий - объекта, задач судебной экспертизы, компетенции эксперта.

Общетеоретическое понятие предмета судебной экспертизы со ставляют фактические данные (факты и обстоятельства), устанавливае мые на основе специальных познаний и исследований материалов уго- ловного либо гражданского дела .Существуют и иные трактовки, ИСХО ДИ, дящие из общефилософского понятия предмета познаний. Например, предмет судебной экспертизы определяется как «… разрешение эксперт ных задач с целью установления фактических данных на основе иссле-

Россинская Е.Р. Предмет и практические приложения компьютерно-технической экспертизы// ИПС: Тезисы докл. межднар.конф.: ч.2. - М.,1998.

2 Белкин Р.С. Криминалистическая энциклопедия. - М.:Мегатрон XXI, 2000.

88

дования объектов - материальных носителей информации о факте или событии, с помощью специальных методов и методик» .

Проведенные исследования позволяют предложить следующее определение СКТЭ. Родовым предметом СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов , которые зафиксированы в материалах уголовного, гражданского дела, дела об административном правонарушении .

§2.2. Классификация судебной компьютерно-технической экспертизы и задачи экспертной деятельности

Классификация СКТЭ

В общей теории судебной экспертизы принято подразделять су- дебные экспертизы на классы, роды и виды. Представляется, что на данном этапе развития судебная компьютерно-техническая экспертиза - это новый формирующийся род судебных экспертиз. Причем существуют весомые предпосылки органического вхождения этого рода экспертиз в класс инженерно-технических экспертиз на основе того, что возникновение и дальнейшее развитие компьютерная техника неразрывно связаны с инженерно-техническими аспектами науки и практической деятельности. Базовыми для СКТЭ являются законы и открытия, сделанные именно в этой области научно- технических познаний.

Криминалистика.Учеб.для вузов./Под ред.Р.С.Белкина.-М.:Норма-Инфра, 1999.

Информационные процессы - это процессы сбора, обработки, хранения, поиска и распространения информации (Федеральный Закон «Об информации, инфор- матизации и защите информации»).

89

В то же время, рассматриваемая область специальных познаний характеризуется высокой динамикой развития, быстрым насыщением новыми направлениями, органическим комплексированием с рядом пограничных областей. Поэтому, абсолютно не исключено, что в процессе своего развития в будущем этот род выделится и станет отдельным классом судебных экспертиз. Например, это может быть класс судебной экспертизы в сфере современных информационных технологий, иначе -судебных информационно-технологических экспертиз (рис.2.1). Однако, это несомненно потребует достаточно серьезной теоретической и методической проработки развития направлений, которые могли бы составить родовое наполнение этого класса (например, в области защиты данных и информационной безопасности, цифровых изображений и распознавания образов и т.п.). Кроме того, в отдельные направления, в рамках такого перспективного класса, возможно сформируются и такие функциональные области как, например, электронный банкинг и торговля, управление производственными процессами и т.п.

Обусловленность создания нового судебно-экспертного направления в сфере информационных технологий, которое бы включало изучение как обеспечивающих средств, так и непосредственно функциональную составляющую любой компьютерной системы должна быть подго- товлена следственной и экспертной практикой.

Российская Е.Р., Усов А.И. Классификация компьютерно-технической экспертизы и ее задачи // Уголовный процесс и криминалистика на рубеже веков. -М., Академия управления МВД России, 2000.

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.-М: Право и закон, 2001.

90

Классы судебных экспертиз

КРИМИНАЛИСТИЧЕСКИЕ ЭКСПЕРТИЗЫ

Традиционные криминалистические экспертизы

Экспертизы веществ и материалов

Роды инженерно-технической экспертизы

МЕДИЦИНСКИЕ ЭКСПЕРТИЗЫ

Взрывотехническая экспертиза

БИОЛОГИЧЕСКИЕ ЭКСПЕРТИЗЫ

ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ ЭКСПЕРТИЗЫ

Пожарно-техническая экспертиза

ИНЖЕНЕРНО-ТРАНСПОРТНЫЕ ЭКСПЕРТИЗЫ

Строительно-техническая экспертиза

ИНЖЕНЕРНО- ТЕХНОЛОГИЧЕСКИЕ ЭКСПЕРТИЗЫ

Экспертиза по технике безопасности

Виды СКТЭ

ЭКОНОМИЧЕСКИЕ ЭКСПЕРТИЗЫ

ЭКОЛОГИЧЕСКИЕ ЭКСПЕРТИЗЫ

ИСКУССТВОВЕДЧЕСКИЕ

ЭКСПЕРТИЗЫ

Z

Судебная

ошмшьютгэрш]©-

техническая

экспертиза

Компьютерно-сетевая экспертиза

Аппаратно-

компьютерная

экспертиза

Программно-компьютерная экспертиза

Информационно-комп ьютерная экспертиза

СКТЭ

Информационно- технологические экспертизы (ИТЭ)

I

Экспертиза зашиты данных

i___ …

Экспертиза телекоммуникаций и связи

Экспертиза цифровых изображений и распознавания образов

Иные экспертизы ИТЭ !

• т ‘

Рис.2.1. Направления возможного развития СКТЭ

91

В нынешних же условиях, решение большинства задач может быть успешно организовано в рамках принятой в настоящее время классификации путем производства комплексных экспертиз.

В связи с выше указанными замечаниями, представляется целесо- образным видовую классификацию СКТЭ организовать на основе обеспечивающих компонент любого компьютерного средства (аппаратного (технического), программного и информационного обеспечения). Соответственно этому в СКТЭ выделяются: аппаратно- компьютерная экспертиза; программно-компьютерная экспертиза; информационно-компьютерная экспертиза (данных). Кроме того, достаточно оправданным представляется введение еще одного вида СКТЭ - компьютерно-сетевой экспертизы1. Такое деление на виды СКТЭ наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследования. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. В то же время такой подход к представлении. СКТЭ может быть эффективно использован при назначении комплексных экспертиз и решения большого перечня задач. Кратко рассмотрим каждый из видов СКТЭ.

Сущность судебной аппаратно-компъютерной экспертизы заклю- чается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы -

1 Российская Е.Р. Усов А.И. Классификация компьютерно-технической экспертизы и ее задачи // Уголовный процесс и криминалистика на рубеже веков.- М: Академия управления МВД РФ, 2000.

92

материальных носителей информации о факте или событии уголовного либо гражданского дела.

Для проведения экспертного исследования программного обеспе- чения предназначен такой вид СКТЭ как судебная программно- компьютерная экспертиза. Ее видовым предметом являются законо- мерности разработки (создания) и применения (использования) про- граммного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.

Судебная информационно-компьютерная экспертиза (данных) яв- ляется ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид СКТЭ - судебная компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функцио- нальном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому

93

делу составляют видовой предмет компьютерно-сетевой экспертизы. Выделена в отдельный вид в связи с тем, что лишь использование спе- циальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет- технологиями.

Объект применения специальных познаний этой СКТЭ может быть довольно разным - от компьютеров пользователей, подключенных к Интернет, до различных ресурсов поставщика сетевых услуг (провай- дера Интернет) и предоставляемых им информационных услуг (элек- тронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.

Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований приме- няются комплексно и, чаще всего, последовательно. Поэтому, в настоящее время, в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. «произвести судебную компьютерно-техническую экспертизу».

Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные познания и из других науч-

94

ных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований - криптографией и защитой информации.

Представляется, что приведенная классификация видов СКТЭ будет способствовать повышению объективности получения сведений о фактах дела и эффективности установления обстоятельств, значимых для расследования и судебного рассмотрения. В рамках представленной классификации рассмотрим задачи соответствующих видов СКТЭ.

Задачи судебной компьютерно-технической экспертизы Экспертные задачи, которые являются одной из ключевых категорий общей теории судебной экспертизы, принято дифференцированно рассматривать как задачи рода, вида, подвида судебной экспертизы и задачи конкретного экспертного исследования1. Применим данный подход к СКТЭ.

Родовые задачи СКТЭ обозначены выше в определении целей данного рода судебных экспертиз. Для достижения объективности получения сведений о фактах дела и установления обстоятельств в сфере современных информационных технологий, значимых для расследования и судебного рассмотрения, видовые задачи СКТЭ определяются в соответствии с видовыми предметами экспертиз. За основу классификации

1 См., например, Основы судебной экспертизы. Часть 1 (общая теория) -М.:РФЦСЭ, 1997; Энциклопедия судебной экспертизы. Под ред. Т.В. Аверьяновой и Е.Р. Российской. -М.: Юристъ, 1999.

95

задач СКТЭ примем конечную цель исследования по решению диагностических и идентификационных вопросов.

Известно, что среди основных задач, разрешаемых судебными экспертизами, можно выделить направленные на идентификацию объекта, т.е. отождествление объекта по его отображениям. Другая группа задач - диагностические - состоит в выявлении механизма события, времени, способа и последовательности действий, событий, явлений, причинных связей между ними, природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию, и т. д.

При определении диагностических задач исследуются не только свойства и состояние объекта СКТЭ, но и механизм, процессы и дейст- вия по результатам применения (использования) компьютерного средства при совершении преступления. А идентификационные задачи СКТЭ имеют своей целью установить факт индивидуально- конкретного тождества или общей групповой принадлежности представленных объектов экспертизы.

Задачи каждого из видов СКТЭ рассмотрены в приложении 1.

§2.3. Определение объектов судебной экспертизы, их свойств и признаков

Объекты СКТЭ и их классификация

Понятие объекта экспертизы является одним из основных в экс- пертной практики, поскольку с ним непосредственно связано разграничение отдельных видов экспертиз и определения пределов компетенции эксперта. Объекты, исследуемые экспертом СКТЭ, отличаются не только по своим природным и техническим характеристикам, функциональному назначению, но и по процессуальному положению, и для значи-

96

тельного их числа (компьютер - программа - данные) оно определено недостаточно четко и по разному в различных правовых актах.

Переходя к рассмотрению объектов СКТЭ, необходимо указать, что в общем случает под объектами судебной экспертизы в литературе подразумеваются в основном, вещественные доказательства. В принципе экспертному исследованию могут подвергаться не только конкретные предметы, но и различные процессы (события явления, действия), на основании изучения которых эксперт признает другие факты, являющиеся предметом экспертизы. Таким образом, объектом экспертизы являются те источники сведений об устанавливаемых фактах, те носители информации, которые подвергаются экспертному исследованию и посредством которых эксперт познает обстоятельства, относящиеся к предмету экспертизы.

Однако необходимо отметить, что помимо определения объекта судебной экспертизы, данного в информационном аспекте, в юридиче- ской литературе он рассматривается еще и в другом аспекте - процессуальном. В этом смысле объектом являются материалы дела, посредством изучения которых познается предмет экспертизы, в процессе решения задач устанавливаются обстоятельства дела. С ним связан правовой режим получения, хранения и исследования объектов экспертизы. В соответствии с выше изложенным, вслед за рядом авторов , отметим, что единство содержания и процессуальной формы наиболее точно отражают понятие объекта судебной экспертизы.

Объект экспертизы специфичен для каждого рода (вида) судебной экспертизы, и потому его своеобразие является важным признаком для различия экспертиз. В юридической литературе объект разделяется на

Мирский Д.Я., Ростов М.Н. Понятие объекта судебной экспертизы М, 1984; Винберг А.И., Малаховская Н.Т. О принципах классификации объектов судебно- экспертной объектологии - М., 1986.

i

97

родовой (видовой) и конкретный. Родовой (видовой) объект - какой либо класс, категория предметов, обладающих общими признаками. Конкретный объект - определенный предмет, исследуемый в процессе данной экспертизы. Любой конкретный объект индивидуален и неповторим, он определяет специфику определенного экспертного исследования1. Применительно СКТЭ можно сформулировать следующие определения.

Родовой (видовой) объект СКТЭ - определенная категория предметов, обладающих общими признаками и относящихся к компьютерным средствам. Одной из важных особенностей объекта СКТЭ является его составной характер.

Конкретный объект СКТЭ - определенное компьютерное средство, исследуемое в процессе данной экспертизы, обладающее признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования.

Система объектов СКТЭ по классификационному основанию видового деления выглядит следующим образом:

Класс аппаратные объекты, включающий в себя виды:

персональные компьютеры (настольные, портативные);

периферийные устройства;

сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.);

интегрированные системы (органайзеры; пейджеры; мобильные телефоны и т.п.);

встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);

любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.).

Основы судебной экспертизы. Часть 1 (общая теория) - М..РФЦСЭ, 1997.

98

Указанные виды могут охватывать различные сочетания подвидов. В криминалистическом аспекте наиболее важен подвид запоминающих устройств и носителей данных - включает все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты и карты и т.п.

Класс программные объекты, включающий в себя виды:

системное программное обеспечение ( подвид: операционная система; вспомогательные программы - утилиты; средства разработки и от- ладки программ; служебная системная информация);

прикладное программное обеспечение: подвид приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.) и подвид приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т.д.).

Класс информационные объекты (данные) включает в себя виды:

текстовые и графические документы, изготовленные с использованием компьютерных средств;

данные в форматах мультимедиа;

информация в форматах баз данных и других приложений, имеющая прикладной характер и пр.

Предложенная система объектов СКТЭ основана на видовом делении и включает целый ряд аппаратных, программных и информационных объектов. Кроме того, для текущего этапа становления СКТЭ, важ- ным является выделение типичных объектов - определенных компью- терных средств, составляющих наибольшую долю в общем перечне вещественных доказательств по делам рассматриваемых категорий.

99

Результаты собственных научных исследований, а также текущая экспертная практика показывают, что основной объем СКТЭ, связан с исследованием IBM-совместимых персональных компьютеров (рис.2.2). Для хранения программ и данных в указанных компьютерах используется различного рода накопители. По отношению к компьютеру накопители могут быть внешними и встраиваемыми (внутренними). В первом случае такие устройства имеют собственный корпус и источник питания, что экономит пространство внутри корпуса компьютера и уменьшает нагрузку на его блок питания. Встраиваемые накопители крепятся в специальных монтажных отсеках и позволяют создавать компактные системы, которые совмещают в системном блоке все необходимые устройства.

Выше было уже отмечено, что в судебно-экспертном аспекте наи- более важными в плане очередности выявления объектов экспертизы при собирании криминалистически значимой информации являются именно накопители данных (рис.2.3.). Сам накопитель можно рассматривать как совокупность носителя и соответствующего привода. В связи с этим, различают накопители со сменным и несменным носителями. Это обусловливает соответствующие требования как к участию специалиста в следственных действиях (например, по поиску, обнаружению и фиксации носителей данных), так и их исследованию при проведении СКТЭ.

100

Виды компьютерных средств, представленных на экспертизу

IBM-

совмест.системн

ый блок

57%

стриммер 1%

сканер 7%

модем
сетевой 1% г сервер

принтер 29%

Рис.2.2. Типичное распределение видов аппаратных объектов, представленных на СКТЭ

В

i и:>щы исследованные электронных !

носит елей данн ый >

магнитооптические диски 2% катриджы

стриммера

2% RAID-массив

/ 3% FDD (чЬлоппи-

s- ДИСКИ) /
46% CD-ROM 18%

HDD(DE) 29%

Рис.2.3. Типичное распределение видов представляемых на СКТЭ

носителей данных

101

Поэтому для эксперта СКТЭ представляют интерес все возможные, без исключения, носители данных представленной на исследование компьютерной системы. В общем случае, ими могут быть все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты и карты, флэш-карты и другие.

Общие понятия о признаках и классификация идентификационных признаков объектов СКТЭ

В основе решения любой из вышеперечисленных диагностических и идентификационных задач СКТЭ лежит криминалистическое учение о признаках. Рассмотрим кратко его основные положения применительно к нашему случаю, т.е. к объектам СКТЭ. Известно, что под признаком принято понимать выражение свойств предмета, его примету, способную характеризовать объект определенным образом .

Любой объект СКТЭ, как и каждый объект материального мира, обладает суммой многочисленных свойств. Однако для диагностики, либо идентификации объекта экспертизы может быть выделен лишь ограниченный комплекс признаков, дающих необходимое представление о нем. Поэтому, в соответствии с конечной целью решаемой задачи СКТЭ, целесообразно выделять идентификационные и диагностические признаки объекта. Хотя в настоящее время в экспертной практике исследования компьютерных средств, объем диагностических задач несоизмеримо больше чем идентификационных, классификацию и сущность признаковых категорий рассмотрим в традиционном для криминалистике порядке - вначале идентификационные аспекты, затем - диагностические.

102

В соответствии с основными положениями криминалистики и общей теории судебной экспертизы идентификационные признаки исполь- зуют, главным образом, для отождествления исследуемых объектов. Задачей эксперта СКТЭ является выявление как общих, так и частных признаков. К идентификационному признаку исследуемого объекта экспертизы обычно предъявляют ряд требований, главные из которых - его специфичность, оригинальность (т.е. его нетипичность, отклонение от средних норм), выраженность. К идентификационным признакам могут относиться и существенные признаки (т.е. те, без которых объект не мог бы функционировать). Так как при решении задач идентификации СКТЭ экспертам чаще всего приходиться иметь дело с анализом не самих признаков, а их отображений (например, с виртуальным представлением данных в электронной копии, инсталлированным программным обеспечением и пр.), то важным условием идентификационного признака в нашем случае является его выраженность, способность к систематическому адекватному отображению.

Другое важное условие, которому должен отвечать идентифика- ционный признак объекта СКТЭ - это его относительная устойчивость. В случае экспертного исследования компьютерных средств особое значение и смысловое наполнение приобретает достаточно известный в криминалистке термин «идентификационный период» . В общем случае, это период, прошедший от момента возникновения (отображения) следа до того момента, когда осуществляется идентификация объекта по его отображению. Объекты СКТЭ, а в особенности программные и информационные средства, имеют достаточно выраженную специфику в этом

1 Энциклопедия судебной экспертизы/Под ред. Т.В. Аверьяновой, Е.Р. Рос сийской. -М.: Юристъ, 1999.

2 Криминалистика. Учебник для вузов. Под ред. проф. Р.С. Белкина. - М.:НОРМА-ИНФРА-М, 1999.

103

смысле, которая обусловлена их электронным представлением и подлежит уточнению в последующих изысканиях.

Основой для идентификации в СКТЭ является установление, вы- деление уникальных, устойчивых и независимых признаков и свойств, позволяющих выделить один объект (компьютерное средство) из мно- жества ему подобных. Идентификационные признаки объектов СКТЭ могут быть классифицированы по различным основаниям. Традиционно, идентификационные признаки объектов экспертизы принято делить на общие (групповые) и частные.

В нашем случае, к общим признакам отнесем такие, которые свой- ственны (присущи) однородным объекта, т.е. выражают наиболее общие черты , свойства группы объектов СКТЭ. Это могут быть признаки модели компьютерного средства (например, рабочая станция HP Kayak XU800, либо операционная система Microsoft Windows 98 Second Edition Rus), некоторого класса объектов (жесткие диски HDD Ultra ATA), a также группы, сформированной по случайным признакам (износу, дефектам и пр.), например, версия определенного программного обеспечения с известной некорректной функцией (ошибкой, сбоем и т.п.).

К частным признакам относятся те, которые позволяют выделить объект из группы и индивидуализировать. Сам по себе частный признак не является индивидуальным, индивидуальной может быть только совокупность частных признаков (так называемая индивидуальная совокупность)1. Как известно, компьютерная информация может быть представлена по меньшей мере на четырех уровнях: физическом, логическом, синтаксическом и семантическом (смысловом). Соответственно, один и тот же объект идентификации в СКТЭ (например, файл данных на вин-

Криминалистика. Учебник для вузов. Под ред. проф. Р.С. Белкина. - М: НОРМА- ИНФРА-М, 1999.

104

честере персонального компьютера) может рассматриваться на одном или нескольких уровнях одновременно.

Физический уровень идентификации является базовым, первичным, поскольку только на физическом уровне следообразование как от- ражение свойств одного предмета на другом возможно в буквальном смысле слова. Ряд авторов1, мнение которых мы полностью разделяем, к частным признакам физического уровня предлагают относить:

® неоднородности, неровности, дефекты магнитного и оптического покрытия внешних дисковых накопителей, определяющие уровень остаточной намагниченности или отражающей способности;

® стабильность вращения дисков в процессе записи и считывания информации;

о временные характеристики поступательного движения блока маг- нитных головок или объектива оптической системы в нужную позицию записи-считывания;

© выбранный фактор чередования секторов магнитного носителя;

© резонансную частоту контура генераторов, обеспечивающих мо- дуляцию модемного сообщения;

© форму, полярность, амплитуду и иные параметры сигналов, пере- сылаемых между компьютерами, модемами, сетевыми адаптерами в компьютерной сети;

© точное значение тактовой частоты процессоров (как центрального процессора, так и процессоров устройств ввода-вывода);

® параметры записи (плотность записи, расстояние между дорожка- ми, общая длина дорожки) накопителя CD-ROM (CD-R) и другое.

Борьба с преступлениями в сфере информационной безопасности. Сб. материалов межведомственной конференции, Екатеринбург, 2000.

105

С предложенным перечнем признаков можно вполне согласиться. В то же время, следует отметить, что решение идентификационных за- дач СКТЭ на физическом уровне в настоящее время весьма трудоемко и зачастую нереализуемо из-за отсутствия соответствующего экспертного инструментария (аппаратного, программного, методического и т.п.). Однако только на этом уровне компьютерная информация запечатлевается достаточно прочно, и ее можно восстановить даже в самых сложных экспертных случаях.

Идентификация на логическом уровне представления компьютерной информации может производиться, например, на основе:

® сигнатуры как определенного сочетания и размещения байт (сим- волов) в выделенном фрагменте кода и (или) данных. Именно на основе сигнатуры традиционно осуществляется идентификация признаков вредоносного кода антивирусными программами- сканерами;

о формата файла (структура, элементы - байты, поля, записи, заго- ловки, блоки, метки и др.);

© параметров разметки дисков (количество и длина секторов, доро- жек, емкость кластера, элементы разметки дорожек, секторов и др.).

В качестве иных идентификационных признаков, имеющих отно- сительную устойчивость, можно назвать используемую кодировку символов, фиксированных адресов «точек входа» исполняемых программ в оперативной памяти, идентификаторы (handle) устройств, процессов, потоков, окон и их элементов в операционной системе и др.1

В частности, на логическом уровне возможна идентификация про- граммного обеспечения (программы) или электронного документа (на-

Бакланов В.В. О возможностях постановки и решения идентификационных задач при проведении КТЭ// Сб. материалов межведомственной конференции «Борьба с преступлениями в сфере информационной безопасности». - Екатеринбург, 2000.

106

пример, текстового) с определенной интегрированной средой разработки.

Идентификация на синтаксическом и семантическом уровнях име ет отношение к ТКЭД, разработанных с использованием компьютерных средств, и выходит за рамки предмета СКТЭ. Лишь в комплексном экс пертном исследовании СКТЭ и ТКЭД должны устанавливаться общие и ф частные признаки электронных и бумажных документов. Так, например,

к общим признакам следует отнести:

® значение параметров страницы (верхнее, нижнее, левое, правое поля);

® расстановку переносов,

о выравнивание;

о абзацные отступы;

о количество страниц и их содержание;

о текстовое содержание и шрифтовое оформление строк; построчное местоположение и т.д.

Некоторыми частным признакам являются:

© пропущенные буквы;

© отсутствие (наличие пробела);

о отсутствие (наличие) знаков препинания и т.п.

Более сложное идентификационное поле (как совокупность при знаков) формируется при исследовании графических объектов (напри те мер, денежных знаков и их компьютерных отображений в виде соответ ствующих файлов).

Идентификация в СКТЭ может производиться как по признакам состояния (статическим), так и по признакам действия. В частности, исследование вредоносных свойств компьютерной программы иногда чрезвычайно затруднительно проводить методом дизассемблирования с

107

анализом того, что эта программа могла бы делать. В ряде случаев необходимо просто промоделировать надлежащие условия и запустить программу на исполнение (в том числе под отладчиком). Однако, далеко не всегда следует запускать исследуемые программы в реальных условиях, например, запуск вредоносной программы в компьютерной сети может привести к несопоставимому ущербу. Для решения подобной задачи чаще всего прибегают к моделированию фрагмента компьютерной сети при исследовании «сетевых» вредоносных программ.

Следует подчеркнуть, что решение идентификационных задач СКТЭ основывается, прежде всего, на уяснении диалектической зависимости исследуемых компьютерных средств. Кроме того, многие иден- тификационные задачи СКТЭ неразрывно связаны с решением ряда диагностических вопросов и поэтому реализуются в ходе исполнения комплексного экспертного исследования. По мнению, высказываемому в научной литературе1, наиболее существенными, возникающими в по- добных комплексных исследованиях, являются следующие связи.

«Причина-следствие», например, компьютерной системе в результате определенного программного воздействия причинен ущерб. Является ли причиной ущерба запуск некой программы на представленном компьютере - рабочей станции? Остались ли на компьютере-»жертве» следы программного кода вредоносной программы? Можно ли идентифицировать причину и следствие? Соотносятся ли временные отметки создания, запуска программы с датой причинения ущерба (а программа может выполнить вредоносное действие с отсрочкой времени). Можно ли сказать, что данный файл скопирован на дискету с конкретного компьютера а не наоборот? Можно ли отследить по временным и иным отметкам «историю» разработки и перемещения отдельного документа?

Например, см. указ. сочинен.

108

«Часть-целое» (элемент-система): являются ли найденные на маг- нитном диске уцелевшие кластеры частью определенного файла? Принадлежит ли выделенный фрагмент кода к определенной вредоносной программе?

«Родитель-потомок»: разработан ли представленный документ на данном компьютере и с использованием текстового процессора кон- кретной версии? С использованием какой интегрированной среды от- компилирована данная программа? Являются ли найденные файлы модификациями одного и того же документа?

Таким образом, рассмотренные выше вопросы идентификационных исследований объектов СКТЭ лишь обозначили проблемы, тре- бующие достаточно серьезной проработки, научного обоснования и подкрепления необходимым экспертным инструментарием.

Совокупности диагностических признаков объектов судебной компьютерно-технической экспертизы

Предмет криминалистической диагностики, в общем случае, опре- деляется как исследование свойств и состояния объекта (ситуации) с целью установления происшедших в нем изменений, определение причины этих изменений и ее связи с совершенным преступлением1. При наличии общих целей идентификации и диагностики имеется немало различий в сущности решаемых при этом задач.

В первом случае это установление индивидуальности объекта, а во втором - определение конкретного ситуативного условия события. Оба процесса тесно связаны между собой. Структуру процесса криминалистической диагностики в общем виде можно представить так: определение цели, предварительное изучение объектов, анализ диагностических

109

признаков, сравнение по аналогии, оценка и корректирование полученных результатов, формулирование выводов.

Таким образом, целью диагностики является установление кон кретных, но не обязательных условий ситуации. Здесь метод сравнения используется для того, чтобы сопоставить ситуацию, изучаемую по ото бражениям, с ситуацией типичной, известной по закономерностям по- Ф вторяющихся событий.

Как известно, стержнем любой диагностики является сравнение по аналогии. С помощью приема аналогии выводят умозаключение, степень вероятности которого зависит от числа сходных признаков и от того, насколько они существенны. В общем случае, конкретность вывода, носящего диагностический характер, зависит от объема и характера информации об исследуемой ситуации, от меры конкретности данных о типичных ситуациях подобного рода, а при экспертизе - еще и степени детализации вопросов, поставленных эксперту .

Итак, диагностический признак в СКТЭ - признак, по которому можно судить о свойствах отобразившихся в следе объекта, их изменениях во времени, условиях в которых происходило изменение. Как было уже указано выше, наиболее типичным в настоящее время из объектов СКТЭ является системный блок IBM-совместимого персонального компьютера (рис.2.5, рис.2.6).

Корухов Ю.Г. Криминалистическая диагностика при расследовании преступлений. М: НОРМА-ИНФРА-М, 1998.

Криминалистика. Учебник для вузов. Под ред. проф. Р.С. Белкина. -М.:НОРМА-ИНФРА-М, 1999.

по

#

Рис.2.5. Внешний вид системного блока IBM-совместимого персонального компьютера

ф

mm m ж

Рис.2.6. Системный блок персонального компьютера (вид без кожуха)

Ill

В связи с этим, к диагностическим признакам системного блока персонального компьютера можно отнести:

© конструктивные размеры корпуса, кнопки и надписи на корпусе, перечень приводов (на передней стенке), порты ввода-вывода, се- рийный номер системного блока (при его наличии) - устанавливаются при внешнем осмотре закрытого корпуса системного блока;

© модель материнской платы, наименование набора микросхем (чипсет) на системной плате, тип процессора, модели плат расши- рения, признаки оперативной памяти (тип, модель), платы расширения, общие признаки жестких дисков (модель, тип интерфейса), признаки накопителей на гибких магнитных дисках (модель), признаки других сменных накопителей(модель) - устанавливаются в ходе исследования при открытом корпусе;

о установленная частота процессора, емкость оперативной памяти, емкость жестких дисков и других установленных накопителей - определяются при последующем запуске исследуемой компьютерной системы.

Одним из важных этапов работы - является выявление установок программы SETUP BIOS (в том числе наличие пароля).

При проведении исследования эксперт формирует соответствующие диагностические совокупности, позволяющие ему в дальнейшем решать поставленную задачу. Например, одной из диагностических совокупностей признаков системного блока является: тип корпуса, модель системной платы, процессор (модель, частота), емкость системной памяти, типы и количество шин расширения, количество и типы портов ввода-вывода, модель и емкость жесткого диска, модель накопителя DVD или CD-ROM, модель и объем памяти графической платы, модель зву-

112

ковой платы, модель внутреннего модема, модель сетевой интерфейсной платы, модель и емкость НГМД и других внутренних накопителей.

В ходе исследования жестких дисков компьютера экспертом могут быть определены следующие диагностические признаки: общие признаки (модель, тип интерфейса, емкость, количество цилиндров, количество дорожек), а также ряд частных признаков (серийный номер, состояние джамперов (переключателей) и т.п.). Также возможно установление следующих признаков: скорость вращения шпинделя, среднее время поиска, скорость передачи данных в непрерывном режиме и др.

Наиболее важным промежуточным и связующим звеном исследования признаков аппаратных средств и признаков программ и данных является изучение характеристик физического и логического размеще- ния информации на носителе данных. Так, для жесткого диска особый интерес представляют изучение типичных операционных систем MS- DOS и Windows 95,98 структуры и содержания таблицы размещения файлов (FAT), т.е. таблицы размещения дискового пространства под файлы. Таблица FAT определяет в дальнейшем всю экспертную работу с файловой системой исследуемого носителя данных.

Совокупность диагностических признаков размещения информации на жестком диске, в общем случае, может быть следующая: серийный номер жесткого диска, емкость НЖМД, номера цилиндров, номера сторон (головок), нумерация секторов на дорожке, количество секторов, тип раздела, признаки начала раздела и его конца, всего секторов, признаки логического раздела, тип файловой системы, номер раздела, метка тома, размер кластера, всего кластеров, объем раздела, объем памяти (всего/занято).

К диагностическим признакам размещения информации на жестком диске для DOS-разделов можно отнести номера цилиндров, сторон,

113

секторов, характеризующих логический раздел, загрузочную запись, FAT1, FAT2, корневой каталог, область данных.

При экспертном исследования гибких магнитных дисков (дискет) совокупность диагностических признаков данного типа носителей мо- жет выглядеть следующим образом: геометрические размеры дискеты (типоразмер), цвет полимерного материала корпуса дискеты, надпись на металлической шторке, наличие наклейки и надпись на ней, метка тома, плотность записи, емкость дискеты, занятая дисковая память, свободная дисковая память, количество видимых и скрытых файлов, наличие удаленных файлов и их общее количество.

Следующий уровень экспертного исследования - логический. Он начинается прежде всего с выявления структуры файловой системы персональных компьютеров, уяснения многоуровневой древовидной структуры каталогов на дисках, определения признаков сформированных групп файлов (каталогов) и изучения их характеристик. На данном уровне можно выделить как общие диагностические признаки (например, тип файловой системы, наличие файлов с определенными расширениями (типами) и др.), так и частные признаки.

Важнейшим частным диагностическим признаком является структура каталогов и файлов. В общем случае, структура каталогов и файлов исследуемого носителя данных может быть представлена совокупно- стью следующих диагностических признаков: характеристика носителя и раздела, место нахождения (путь в структуре каталогов), имя файла и его расширение, объем занимаемой памяти, дата и время его создания.

Таким образом, при производстве СКТЭ для отдельных файлов в зависимости от решаемой экспертной задачи может быть выделена совокупность признаков, включающая (либо исключающая) указанные выше признаки. Так, например, при проведении обшей диагностики

114

файловой системы в MS Windows выявляются признаки, обозначенные в указанной операционной системе как «общие свойства». К ним относятся: имя файла, место нахождения (путь), размер в байтах, дата создания, выставленные атрибуты (только для чтения, архивный, скрытый, системный). Кроме того, ряд информационных объектов СКТЭ (например, файлы подготовленные средствами MS Office) имеют ряд дополнительных частных диагностических признаков. Для указанного примера можно выделить следующие признаки:

® сводка (название, тема, автор, руководитель, организация, кате- гория, ключевые слова, заметки, шаблон);

® статистика (создан, изменен, напечатан, кем сохранен, редакция, общее время правки, параметры статистики: страницы, абзацы, строки, слова, символы);

о содержание - состав документа (название);

о особые признаки (имя, тип, значение, свойства).

В то же время, следует подчеркнуть, что определение полной со- вокупности диагностических признаков производится лишь при решении задач общего диагностирования объекта экспертизы. Наиболее приемлемым для эксперта (исходя из ограниченных сроков и большого объема исследовательской работы по изучению данных на носителе) представляется формирование совокупности диагностических признаков, необходимых и достаточных для решений определенной экспертной задачи.

Целый ряд подобных совокупностей признаков, дающих необхо- димое представление об исследуемом объекте экспертизы, исходя из потребностей решения конкретных экспертных задач подробно уже рас-

115

сматривались нами ранее . Например, при исследовании программного обеспечения и данных одной из типичных задач является установление перечня программ и их функциональное диагностирование. В основу решения этих задач могут быть положены следующие совокупности диагностических признаков: характеристика носителя, раздела и каталога данных, название программы, редакция (версия) программы, назначение программы и др.

Особого внимания заслуживают аспекты формирования совокупности признаков, позволяющей эксперту СКТЭ решить задачу по тема- тическому поиску информации на носителях данных (например, результатов коммерческой деятельности фирмы), а также задачи поиска данных с представленного на экспертизу документа (например, копии грузовых таможенных деклараций № ***) и последующего отождествления найденной компьютерной информации с данными на бумажном носителе - документе, т.е. решения задачи аутентификации. Следует отметить, что диагностической задачей является только установление факта нахождения на носителе информации с представленных на экспертизу документов (образцов), вида их представления: явный - удаленный, целостный - фрагментарный. Эти виды исследования в экспертизе обозначены соответственно как тематический и контекстный поиск.

Проведение идентификационного исследования, т.е. отождествления обнаруженных информационных объектов с представленными объ- ектами в бумажной форме, выходит за границы СКТЭ и должно осуществляться в ходе комплексной экспертизы с участием экспертов ТКЭД. Именно выявление и анализ разработанных и используемых в ТКЭД (применительно к бумажным документам) совокупностей идентификационных признаков должны быть положены в основу решения задачи

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.

116

последующего отождествления бумажных и обнаруженных электронных документов (файлов).

Предложенные подходы к определению совокупностей признаков, характеризующих объекты СКТЭ, позволяют:

о сформировать объективную базу для последующей мотивации принятия того или иного решения поставленного вопроса;

© сформулировать соответствующий вывод экспертного ис- следования и подготовить доброкачественное доказательство по уголовному либо гражданскому делу, сопряженному с использованием компьютерных средств.

§2.4. Комплексный характер СКТЭ и ее связь с другими родами и видами судебных экспертиз

Судебная компьютерно-техническая экспертиза как комплексное исследование компьютерных средств

Ключевым фактором разработки и применения любой современной информационной технологии является автоматизация. В указанном понимании любая компьютерная система, реализованная в виде некоторой автоматизированной системы управления, представляется совокупностью обеспечивающей и функциональной подсистем. Для современных вычислительных (иначе - компьютерных) систем выделяют техническое (аппаратное), программное, информационное, лингвистическое, правовое, организационное обеспечение. Поэтому, представляется достаточно логичным сделанный выше вывод о первичности включения именно обеспечивающих компонент в видовое деление СКТЭ. Базисными являются направления по исследованию аппаратных, программных и

-М.:Право и закон, 2001.

117

информационных средств. Экспертная деятельность зачастую связана с необходимостью исследования целостной компьютерной системы или ее части - персонального компьютера, электронного органайзера, пейджера, сотового телефона и т.д. При этом, как правило, изучение начинается с аппаратных средств, далее - программных, и в заключении -работа с данными. Именно информационно- компьютерная экспертиза позволяет в итоге построить целостное представление об исследуемом объекте, имеющее доказательственное значение. В результате такого комплекса исследований в родовых рамках СКТЭ с использование всего имеющегося родового экспертного инструментария достигается решение наиболее существенных экспертных задач - поиск, обнаружение, анализ и оценка криминалистически значимой компьютерной информации. Название такого комплексного исследования должно совпадать с родовым названием - судебная компьютерно-техническая экспертиза.

В литературе, посвященной вопросам судебной экспертизы, в на- стоящее время сформировались следующие понятия: комплекс экспертиз, комплексное исследование в рамках одной экспертизы, комплексная экспертиза . Эти понятия гносеологически однозначны и указывают на комплексный подход к предмету исследования. По одному уголовному или гражданскому делу, делу об административном правонарушении можно производить комплекс различных экспертиз, как в отношении одного и того же объекта, так и группы объектов. При этом экспертизы могут выполняться самостоятельно и каждая оформляется отдельным заключением. В рамках экспертизы одного вида может выполняться комплексное исследование одних и тех же вещественных доказательств с использованием различных методов, однако такое исследование не является комплексной экспертизой даже если оно выполнено комиссией

См., например, Основы судебной экспертизы. Ч. 1. Общая теория, М, 1997.

118

экспертов. Несмотря на то, что в постановлениях о назначении подоб- ных экспертиз часто фигурирует термин «комплексные» они, по нашему мнению, таковыми не являются и представляют собой экспертизы с использованием комплекса методов в пределах одного и того же рода (вида) судебной экспертизы1.

Комплексной, по определению Ю.Г. Корухова является такая экс- пертиза, при производстве которой решение вопроса невозможно без одновременного совместного участия специалистов в различных областях знания в формулирования одного общего вывода1. Следует подчеркнуть, что в значительной степени комплексная экспертиза - это понятие процессуальное. Выводы, сделанные экспертом самостоятельно без участия специалистов иных областей знания, подписываются им единолично. Выводы по общим вопросам, которых, как правило, немного в комплексной экспертизе, подписываются всеми участвовавшими в экспертизе экспертами. При этом предполагается, что каждый эксперт обладает не только узкой специализацией, но и знаниями в пограничных областях наук, которые использованы при даче заключения.

Можно считать, что вопрос о правомерности комплексной экспертизы решен положительно. Так, в ст.201 УТЖ РФ определено: «судебная экспертиза, в производстве которой участвуют эксперты разных специальностей, является комплексной». В ст.23 «Комиссия экспертов разных специальностей» уже упоминавшегося Федерального закона «О государственной экспертной деятельности» прямо указывается, что при производстве комиссионной судебной экспертизы экспертами разных специальностей - комплексной экспертизы - каждый из них проводит ис-

1 Российская Е.Р. Специальные методы исследования вещественных доказательств - М: ВЮЗШ МВД РФ, 1992,

119

следования в пределах своих специальных знаний. В заключении экс- пертов, участвующих в производстве комплексной экспертизы, указывается, какие исследования и в каком объеме провел каждый эксперт, какие факты он установил и к каким выводам пришел. Каждый эксперт, участвующий в производстве комплексной экспертизы, подписывает ту часть заключения, которая содержит описание проведенных им исследований, и несет за нее ответственность. Общий вывод делают эксперты, компетентные в оценке полученных результатов и формулировании данного вывода. Если основанием общего вывода являются факты, установленные одним или несколькими экспертами, это должно быть указано в заключении .

При производстве компьютерно-технической экспертизы устанав- ливаются факты и обстоятельства конкретного уголовного или гражданского дела, дела об административном правонарушении. Объективная интерпретация этих фактов зачастую связана с уяснением второй составляющей любой компьютерной системы - с ее функциональной подсистемой, т.е. ее функциональным применением в различных сферах жизнедеятельности человека. Именно здесь проявляется та специфичная особенность объектов СКТЭ, которая выражается в необходимости привлечения специальных познаний других научных областей для решения поставленных вопросов, что обусловлено широким применением компьютерных средств практически во всех сферах человеческой деятельности. Очевидно, что исследование поставленных пограничных вопросов должно осуществляться в рамках комплексной экспертизы, т.е. экспертизы в производстве которой участвуют несколько экспертов раз-

Корухов Ю.Г. Теоретический, методический и процессуальный аспекты комплексных экспертиз и комплексных исследований // Проблемы организации и проведения комплексных экспертных исследований. - М, 1985, с. 30-36.

120

личных специальностей или специализаций (профилей), в ходе которой решаются вопросы, как правило, смежные для различных родов судебных экспертиз.

Однако быстрое развитие компьютерных технологий, совершенст вование компьютерных средств позволяет прогнозировать формирова ние на основе вышеназванных видов СКТЭ - отдельных родов экспер- ф тиз, как это имело место в случае дорожно-транспортной экспертизы,

выделившейся не так давно в отдельный класс из класса инженерно-технических экспертиз . Кроме того, активное внедрение современных информационных технологий во все сферы жизнедеятельности объективно обуславливает необходимость рассмотрения вопросов комплексного производства СКТЭ и иных родов и видов судебной экспертизы.

Судебная компьютерно-техническая экспертиза и судебные экспертизы иных родов и видов

Анализ судебной экспертной практики позволяет наметить перспективы развития подобных комплексных экспертиз. Ведущее место в долевом представлении здесь занимает технико-криминалистическая экспертиза документов. Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, оттисков печатей, изготовленных с применением современных информационных технологий, связан первый опыт проведения комплексных экспертиз в рас-

сматриваемой сфере. Сегодня комплексная СКТЭ и ТКЭД представляет

W

собой исследование, проводимое для решения вопросов диагностики и идентификации документов, выполненных с использованием компью-

1 Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73-ФЗ.

121

терных средств. Объектами являются как часть объектов СКТЭ, предназначенных для создания, хранения и передачи информации, так и часть объектов ТКЭД - документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование, интегрированное с компьютерными средствами. Однако чаще всего на экспертизу направляются такие периферийные устройства вывода как принтеры, плоттеры, а также факсы, копировальные аппараты.

Другая пограничная область специальных познаний явно про- сматривается в экономической и кредитно-финансовой сфере. При производстве судебно-экономической экспертизы информация о действительном состоянии исследуемых объектов зачастую имеется лишь в компьютере, а документированные сведения на бумажных носителях представлены значительно изменёнными. Использование «двойной» бухгалтерии становится типичным правонарушением, устанавливаемым при расследовании порядка ведения финансовых дел на предприятиях, учреждениях, банках. Многообразное бухгалтерское программное обеспечение призвано обеспечивать автоматизацию разноплановых задач этой сферы. В общем случае, следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в учете и отчетности, устанавливаются судебной бухгалтерской экспертизой. При этом, значительная часть доказательств может быть получена путём исследования компьютерных средств, обеспечивающих изучае- мую бухгалтерскую технологию. В таких делах целесообразно назначение комплексной КТЭ и бухгалтерской экспертизы.

Другой род класса экономических экспертиз - товароведческая экспертиза, также стыкуется в определенных случаях с СКТЭ. Если при

См., например, Суворов Ю.Б. Судебная дорожно-транспортная экспертиза. Технико- юридический анализ причин дорожно-транспортных происшествий и причинно- действующих факторов (Учебное пособие). М: Прибор, 1998.

122

раскрытии и расследовании преступления речь заходит о технологии производства (изготовления) компьютерной техники, то налицо - необ- ходимость назначения комплексной товароведческой и судебной ком- пьютерно-технической экспертизы. В сути этого исследования лежит интеграция специальных познаний в технологии производства товара и компьютерных технологий. Ведь эксперты изучают тут не только сами товары - компьютерные средства, но и их потребительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные материалы, из которых изготовлено компьютерное средство, изучается тара и упаковка.

В последние годы широкое распространение получают мультиме- дийные технологии. Эти технологии основаны на представлении данных в формате видеоизображения с применением анимации и звукового сопровождения. Звуковые и видеофайлы в форматах мультимедиа на носителях данных, в т.ч. компакт-дисках с аудио- и видео продукцией могут фигурировать в деле в качестве объектов, несущих доказательственную информацию о фактах, событиях, людях. Для непосредственного исследования цифровых видеозаписей и звуковых записей должна быть назначена видеофоиоскопическая экспертиза. Только в ходе указанного исследования могут быть полностью разрешены вопросы относительно достоверности мультимедийной записи, а также выполнена ли она на конкретном устройстве. Пограничными здесь оказываются и вопросы, связанные с возможностью монтажа записи и т.д. В случае разрешения вопросов, касающихся исследования звуковой речевой информации, т.е. файлов со звуковыми форматами, требуется назначение комплексной СКТЭ совместно с (риноскопической экспертизой1. Эти вопросы часто

См.,например: Галяшина Е.И. Судебная фоноскопическая экспертиза.-М.,2001.

123

возникают в связи с широким распространением контрафактной продукции на компакт-дисках.

Применение специальных познаний пограничного характера тре бует раскрытие и расследование преступлений, связанных с всевозмож ными нарушениями авторских и смежных прав. Объектом правовой ох раны определены также и любые программы для ЭВМ, базы данных1. В ф то же время существует серьезная проблема производства судебных

экспертиз в данной предметной области. Так, например, несмотря на существование такой уже сложившейся судебной экспертизы как авто- роведческая экспертиза, практически не определены возможности её использования совместно с КТЭ. В то же время, автороведческая экспертиза, решая задачу установления автора документа на основе признаков письменной речи, имеет достаточно сформированный идентификационный инструментарий. Методики этой экспертизы при соответствующем развитии могут быть положены, например, в проведение иссле-дований по установлению сведений об авторе компьютерной информации.

Каковы же перспективы развития рассматриваемых вопросов? Правомерно замечание, что круг экспертных задач определяется не только видами совершённого преступления и соответствующими видами СКТЭ, но и тем, что компьютер одновременно является техническим изделием, носителем информации, средством коммуникации, органом управления, обладает функциями взаимодействия с человеком2. Это об-щеизвестное системотехническое положение лежит в основе реализации любой современной информационной технологии. При этом, изучая ин-

ФЗ «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.1992, №3523-1.

‘у

Аверьянова Т.В. Задачи КТЭ//Тезисы докладов международ, конференции ИПС, ч.2, М., 30 июня-1 июля 1998 г.

124

теграционные процессы информатизации в различных областях общественной жизни, в первую очередь, обращает на себя внимание такой класс объектов СКТЭ как встроенные системы.

В экспертной практике встроенные системы встречаются, в первую очередь, как компьютерные устройства, функционирующие в составе другого оборудования. Этим оборудованием могут быть банкоматы, контрольно-кассовые аппараты, контроллеры на бензозаправках, медицинское диагностическое оборудование, транспордер-системы, круиз-контроллеры, иммобилайзеры и т.д. Как пример, можно привести экспертное исследование автомобиля, оснащенного компьютерной навигационной системой. Основная функция подобных GPS-систем1 - это фиксирование пройденных маршрутов и блокирование всех важнейших функций автомобиля, в случае оставления им соответствующей географической области. Здесь очевидна комплексность исследования относительно основного объекта экспертизы - автомобиля. Это достигается назначением комплексной автотехнической экспертизы и СКТЭ, которая объективно может установить техническое состояния исследуемого автотранспорта, а также определить механизм дорожно-транспортных происшествий и другие вопросы.

В общем случае, применение встроенных систем сегодня распро- странено как в бытовой, так и в промышленной сферах. Практика судопроизводства стоит на пороге комплексного применения СКТЭ и инэ/се-перно-технологической экспертизы, одним из видов которой является взрыво-технологическая (или судебно-техногенная) экспертиза2. Эта экспертиза рассматривает промышленные взрывы как первопричину ка-

GPS-(geographical packet system)-CMCTeMa определения географических координат объекта.

Криминалистика. Учеб. для вузов. Под.ред.проф. Р.С.Белкина. - М.: Изд. группа НОРМА, 1999.

125

тастроф и аварий. Природа подобных аварий - различна. Это могут быть непрерывные технологические процессы (особенно в химической и атомной промышленности), постоянно таящие в себе угрозу взрыва. Большую опасность несёт ненадежная система защиты, а также нарушение технологических регламентов на транспорте, складах, трубопроводах. Так как в основе автоматизации любого технологического процесса всегда лежит какая-либо компьютерная система, её никогда нельзя исключать из источников аварийной угрозы. Масштабы последствий сбоев АСУ нефтеперерабатывающим комбинатом или электростанцией, либо системы управления воздушным (железнодорожным) движением, или производством металлургического гиганта вплотную зависят от степени автоматизации процессов и организации контуров безопасности.

Пути решения задачи установления причинной связи между на- рушениями технологического процесса и неисправностью компьютер- ной системы (по причине аппаратно-программного сбоя или в результате злоумышленного воздействия) лежат в назначении производства комплексной инженерно-технологической и СКТЭ. В такой совокупности применения специальных познаний устанавливаются не только причины аварии (взрыва), но и анализируются условия протекания аварии, выявляются причастные лица и т.д. Кроме того, продолжением взрыва, как правило, является пожар. Поэтому, чаще всего, в упомянутых делах последующая экспертиза - полсарио-техническая (ПТЭ). Актуальность развития вопросов совместного применения специальных познаний в области ПТЭ и СКТЭ обусловлена также использованием охранных и сигнализационных систем, систем доступа (кодовых замков), построенных на базе встраиваемых систем. Появление микропроцессорных контроллеров пожарной обстановки внутри зданий и помещений обуславливают развитие вопросов комплексности экспертного исследования.

126

Достаточно близко с рассматриваемым предметом исследования стоит электротехническая экспертиза, которая производится в целях изучения работы электросетей и электрооборудования, причин возникновения в них аварийных режимов и пр1. Аппаратные средства любой компьютерной системы, представлены, как правило, электрическими, электронными и механическими схемами, блоками, приборами и устройствами. Поэтому, в случаях, сопряженных с исследованием причин сбоев или неисправностей в обеспечении компьютерной системы электроэнергией, требуется назначение комплексной электротехнической экспертизы и СКТЭ. Объектом экспертизы здесь будут являться такие устройства как блоки питания, источники бесперебойного питания, сетевые фильтры и т.д. При этом абсолютно не важно - находится ли этот аппаратный блок внутри компьютерной системы (например, блок питания в системном блоке), либо расположен вне ее (например, источник бесперебойного питания). Главное - установление причинно-следственных процессов в обеспечении электроэнергией исследуемой компьютерной системы.

Кроме указанного уже ряда судебных экспертиз, назначение которых возможно совместно с СКТЭ, необходимо отметить ещё такой род судебных экспертиз как экспертиза по технике безопасности и труда. Ведь в конечном итоге при расследовании и раскрытии преступлений, сопряженных с использованием компьютерных средств в производственной деятельности, неизменно возникают вопросы установления причин и условий, способствующих возникновению несчастных случаев. Если же в управлении производственными процессами, либо обеспечении безопасных режимов были задействованы компьютерные средст-

Россинская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М.:Право и закон, 1996.

127

ва, то налицо необходимость назначения комплексной экспертизы - СКТЭ и экспертизы по технике безопасности.

Исследуя компьютерную систему, всегда необходимо уяснить её содержание и роль в конкретных условиях криминальной обстановки. В целом, эти системы предназначены для автоматизации определённых процессов деятельности человека и всегда функционируют при его участии. Поэтому правомерно ожидать появления судебных экспертиз, связанных с поведенческим участием и адекватностью взаимодействия человека, компьютерной системы и среды деятельности человека. Эта область применения специальных познаний в судебных разбирательствах, связана, прежде всего, с судебно-психо.погической экспертизой. В контексте рассмотрения системы «человек-компьютер», указанная экспертиза необходима в случаях, требующих определить причины поведения человека (оператора) в определенной ситуации (режиме) эксплуатации компьютерной системы. Широкое использование информационных технологий на основе «дружественных» интерфейсов взаимодействия, предъявляет фактически жесткие требования к пользователям. Зачастую действия людей, предопределенные в строгих правилах, закамуфлированных, под полную свободу выбора поступков. Прогнозируя развитие человеко-машинных систем, неизменно возникают проблемы обеспечения должной реакции человека или адекватного восприятия ситуации. Задача выявления фактов и обстоятельств негативного влияния интерфейса компьютерной системы на психическую деятельность и состояние пользователя, повлекшее расследование действий последнего, подлежит решению в ходе производства комплексной судебно-психологической экспертизы и СКТЭ. Заглядывая в будущее человечества, дальнейшее развитие информатизации неразрывно связано с системами виртуальной реальности. Областями применения этих систем

128

являются военные тренажеры, хирургические и другие медицинские комплексы, образование и т.п. Поэтому, комплексирование задач СКТЭ и судебно-психологической экспертизы станет, видимо, в будущем неотъемлемой составляющей раскрытия и расследования преступлений в сфере высоких технологий.

Практически во всех рассмотренных случаях СКТЭ важное место занимают так называемые «ситуалогические» (интеграционные) задачи . В общем случае, «человеко-машинная система» является сложным объектом судебного экспертного исследования. Поэтому объективное определение механизма и динамики преступного события возможно лишь при всестороннем уяснении предмета и четких границ специальных познаний СКТЭ, комплексном их использовании в совокупности со всеми представленными в данной главе областями судебно-экспертной деятельности.

Таким образом, можно сделать следующие выводы по второй главе.

  1. Возникновение СКТЭ обусловлено потребностями современного судопроизводства в расширении доказательной базы путем установ- ления ранее не учитываемых фактических данных на основе исследова- ния новых объектов судебной экспертизы в сфере компьютерных технологий. Посредством выделения признаков СКТЭ как самостоятельного рода в классе инженерно-технических экспертиз, разработки ее классификации и определения ключевых категории (предмета, задач, объектов) сформированы основы частной теории судебной компьютерно-технической экспертизы.
  2. Предложено целями СКТЭ считать: определение статуса объекта как компьютерного средства; выявление и изучение его роли в рас-
  3. 1 Белкин Р.С. Криминалистическая энциклопедия,- М.: Мегатрон XXI, 2000.

129

следуемом преступлении; получение доступа к данным на носителях компьютерной информации с последующим всесторонним ее исследо- ванием. Родовой предмет СКТЭ определен как факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного, гражданского дела, дела об административном правонарушении.

  1. Классификация видов СКТЭ организуется на основе обеспечи- вающих компонент любого компьютерного средства (аппаратного (технического), программного и информационного обеспечения). Соответственно этому в СКТЭ выделены: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; информационно- компьютерная экспертиза (данных). Обоснована необходимость введения дополнительного вида СКТЭ - компьютерно-сетевой экспертизы. Предложенное деление на виды СКТЭ наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы и позволяет дифференцированно подойти к разработке методов и методик экспертного исследования.
  2. Экспертные задачи, являющиеся одной из ключевых категорий частной теории СКТЭ, предложено рассматривать как задачи рода, вида, подвида СКТЭ и задачи конкретного экспертного исследования. Для каждого из видов СКТЭ соответственно сформулированы задачи по исследованию аппаратных, программных, информационных средств, а также задачи по экспертному исследованию вычислительной сети.
  3. Объекты СКТЭ, отличаются не только по своим природным и техническим характеристикам, функциональному назначению, но и по процессуальному положению; для значительного числа объектов это по-

130

ложение установлено недостаточно четко и по разному в различных правовых актах. Предложено родовым (видовым) объектом СКТЭ определить категорию предметов, обладающих общими признаками и относящихся к компьютерным средствам. Систему объектов составляют: класс аппаратных объектов, класс программных объектов и класс информационных объектов (данных).

  1. Для решения экспертных задач в объектах СКТЭ могут быть выделены ограниченные комплексы идентификационных и диагности- ческих признаков. Основой формирования совокупностей признаков, необходимых и достаточных для решения экспертной задачи, является многоуровневая система представления данных на носителях компьютерной информации на физическом, логическом, синтаксическом и семантическом (смысловом) уровнях.
  2. Экспертная деятельность в рассматриваемой сфере связана с необходимостью исследования целостной компьютерной системы или ее части. Комплексное исследование в родовых рамках СКТЭ, при котором изучение начинается с аппаратных средств, далее - программных, и в заключении - работа с данными, позволяет оптимально решать наиболее существенные экспертные задачи.
  3. Объективное определение механизма и динамики преступного события в сфере компьютерных технологий возможно лишь при всестороннем использовании специальных познаний СКТЭ в совокупности с иными областями судебно-экспертной деятельности. Выявлены условия назначения комплексных экспертиз для решения смежных вопросов и взаимосвязь СКТЭ с традиционными криминалистическими, судебно-экономическими, инженерно- техническими, судебными психологическими экспертизами.

131

ГЛАВА 3. ОСНОВЫ НАЗНАЧЕНИЯ И ПРОИЗВОДСТВА СУДЕБНОЙ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ

§3.1. Типичные следственные ситуации и экспертные пути их раз- решения

Одним из важнейших факторов, обеспечивающих успех судебно- правовой реформы в России, является неукоснительное исполнение требований Уголовно-процессуального закона Российской Федерации (2001 г.) и Федерального закона РФ «О государственной судебно- экспертной деятельности» (2001 г.) по реализации принципов независимости, объективности, всесторонности и полноты судебно- экспертных исследований.

Возникновение судебно-экспертной деятельности в сфере современных информационных технологий обусловило необходимость разработки системы действий и связанных с ними правоотношений, осуще- ствляемых в процессе судопроизводства уполномоченными на то орга- нами и лицами по назначению, организации и производству судебной компьютерно-технической экспертизы. В связи с этим, настоящая глава посвящена систематизации методологических и регулятивных принци- пов назначения и производства судебно-экспертных исследований в сфере современных информационных технологий в условиях современного законодательства.

С целью уяснения условий, обуславливающих применение специ- альных познаний СКТЭ, рассмотрим типичные следственные ситуации в практике раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств, а также экспертные пути их разрешения. Анализ практики раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств, показал, что типичные исходные следственные ситуации существенным образом зави-

132

сят от обстоятельств, подлежащих установлению и доказыванию. Вообще, под следственной ситуацией принято понимать совокупность условий, в которых в данный момент осуществляется расследование преступления. Формирование следственной ситуации происходит как под воздействием объективных, так и субъективных факторов. К объективным факторам, определяющим следственную ситуацию по рассматриваемым делам, относятся:

® наличие и характер доказательственной и ориентирующей инфор- мации, сопряженной с использованием компьютерных средств;

• наличие и устойчивость существования неиспользованных источ- ников доказательственной информации - носителей компьютерной ин- формации;

о интенсивность процессов исчезновения доказательств (например, имеющихся в оперативной памяти компьютерного устройства) и сила влияющих на эти процессы факторов (например, электромагнитное воздействие на носители информации);

© наличие необходимых сил, средств, времени и возможностей по поиску, обнаружению, фиксации и изъятии компьютерных средств (в т.ч. криминалистически значимой компьютерной информации);

© существующая уголовно-правовая оценка расследуемого компью- терного преступления.

Среди прочих субъективных факторов можно выделить:

® психологическое состояние следователя, уровень его знаний и умений в сфере компьютерных технологий;

® противодействие со стороны преступника путем уничтожения криминалистически значимой информации (например, с использованием средств удаленного доступа);

1 Белкин Р.С. Курс криминалистики (т.т.1-3).Т.З.- М., 1997.

133

о последствия ошибочных действий по отношению к компьютерным средствам (например, его некорректное выключение) и пр.

Руководствуясь выше обозначенными принципами, можно выделить следующие группы следственных ситуаций.

Первая группа, объединяет преступления, предметом которых яв- ляются компьютерные средства. Типичными экспертными задачами здесь является как комплексное диагностирование компьютерной системы, так и раздельное исследование аппаратного, программного и информационного обеспечения. Примерами служат установление ряда фактов и обстоятельств, сопровождающих:

® действия, связанные с неправомерным доступом к данным и со- вершаемые в отношении компьютерной информации, находящейся в автономных персональных компьютерах и компьютерных сетях;

о действия, совершаемые в отношении компьютерной информации во встроенных и интегрированных компьютерных средствах (кассовые аппараты, мобильные телефоны, кредитные карточки).

Вторая группа - здесь компьютерные средства выступают одно- временно как предмет и средство совершения преступления. В основном экспертными задачами являются:

о выявление и исследование функций программного обеспечения;

® диагностирование алгоритмов и фактического состояния про- грамм.

Примером служит выявление фактов и обстоятельств по действиям, связанным с изготовлением и распространением вредоносных про- грамм.

Третья группа - объединяет следственные ситуации, где компью- терные средства выступают как средства совершения и (или) сокрытия

134

преступления. Наиболее часто встречающимися экспертными задачами являются: диагностирование программного обеспечения; установление свойств и состояния информационного обеспечения (данных).

Характерные примеры экспертных исследований связаны с рас- крытием и расследованием преступлений, для совершения и сокрытия которых использовались компьютерные средства (мошенничество, фальшивомонетничество, лжепредпринимательство и др.).

Четвертая группа — следственные ситуации, где компьютерные средства выступают как источник криминалистически значимой инфор- мации. Основными экспертными задачами при этом являются:

® диагностирование компьютерной информации;

© изучение первоначального состояния информации;

о изучение хронологии воздействий на информацию.

Типичные примеры здесь связаны с установлением фактов и об- стоятельств по преступлениям, где компьютерные средства впрямую не использовались для их совершения, а выступают лишь как носители данных, несущие криминалистически значимую информацию по делу.

Получение полных фактических данных об обстоятельствах, под- лежащих установлению и доказыванию, реализация при этом принципов относимости и допустимости доказательств могут быть достигнуты в результате лишь всестороннего экспертного исследования компьютерных средств - аппаратных, программных и информационных объектов как комплексно в рамках представленной компьютерной системы, так и по отдельности. Судебной экспертизой, обеспечивающей решение указанных выше задач, организационное и методическое становление которой происходит в настоящее время, является СКТЭ. Пояснение экспертных путей разрешения упомянутых групп следственных ситуаций на примере типовых модельных ситуаций приведено в прил.2.

135

§3.2. Особенности назначения СКТЭ

Судебная экспертиза представляет собой устоявшийся институт процессуального права. Как следует из ст.ст. 57, 80, 283 УПК; ст. 74 ГПК; ст. 66 АПК; ст. 26.4 КоАП экспертиза назначается, если есть необходимость решения каких-либо вопросов с помощью специальных познаний в науке, технике, искусстве или ремесле. В нашем случае этими специальными познаниями являются познания в следующих научных областях: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в т.ч. программирование) и автоматизация.

Необходимым условием привлечения специальных познаний является неукоснительное следование требованиям процессуального зако- нодательства при назначении судебной компьютерно-технической экс- пертизы, включающем подготовку материалов на экспертизу, и ее производстве как в государственных или негосударственных экспертных учреждениях, так и вне экспертных учреждений, поскольку выводы эксперта в дальнейшем подлежат оценке на относимость и допустимость, как и прочие доказательства по делу.

Прежде всего это касается личности самого эксперта (ст. 57 УПК; ст. 76 ГПК, ст.45 АПК; ст. 25.9 КоАП). При назначении лица экспертом обязательно должны быть проверены основания отвода (ст.70 УПК РФ). Ими являются: отсутствие достаточной компетентности в сфере компьютерных технологий; заинтересованность в исходе дела; если лицо является потерпевшим, истцом или ответчиком, их законным представителем или родственником; стороной или ее представителем, лицом, в отношении которого составлен протокол об административном правона-

136

рушении, а также родственником вышеуказанных лиц; если лицо участвовало в деле в качестве следователя, защитника, адвоката, обвинителя, свидетеля, переводчика, либо иные обстоятельства, дающие основание полагать, что лицо прямо или косвенно заинтересовано в этом деле; нахождение лица в служебной или иной зависимости от обвиняемого, потерпевшего, истца или ответчика или иных заинтересованных в решении дела лиц.

Предыдущее участие эксперта в производстве по уголовному делу в качестве эксперта или специалиста не является основанием для отвода (ст.70 УПК РФ).Обязанность проверки этих обстоятельств лежит на следователе, но эксперт должен при наличии таких оснований сделать немедленное заявление.

Необходимость назначения судебной компьютерно-технической экспертизы определяется следователем или судом. Она не относится к числу обязательных экспертиз, предусмотренных процессуальным законодательством Российской Федерации (ст. 196 УПК РФ).

Для проведения исследования компьютерных средств эксперт СКТЭ вправе потребовать, кроме представленных следователем объектов, материалы уголовного дела, относящиеся к предмету экспертизы; заявлять ходатайства о предоставлении ему необходимых дополнительных материалов; присутствовать при производстве следственных действий. Последнее имеет важное значение особенно по делам о преступлениях в сфере компьютерной информации. В соответствии со ст.57 УПК РФ эксперт может участвовать с разрешения дознавателя, следователя, прокурора и суда в процессуальных действиях и задавать вопросы, относящиеся к предмету судебной экспертизы. При этом результаты следственного действия, в котором он принимал участие, могут быть использованы им при подготовке заключения.

137

Наиболее часто эксперты привлекаются к участию в допросах об- виняемых, потерпевших, свидетелей, в осмотрах, обысках, выемках, следственных экспериментах. В ходе следственного действия эксперт может непосредственно наблюдать результат, с разрешения следователя ставить вопросы допрашиваемым. Положительные результаты дает тактически правильно подготовленный перекрестный допрос обвиняемого по делам о компьютерных преступлениях.

Таким образом, можно сделать вывод, что участвуя в следственном действии, эксперт не только помогает следователю правильно по- ставить задачи и наиболее эффективным способом разрешить их, но и сам проводит исследование по поставленным перед ним вопросам. В связи с этим особо следует отметить назревшую необходимость прове- дения СКТЭ по месту нахождения компьютерных средств, то есть в уч- реждениях, офисах различных организаций, в квартирах и помещениях. В настоящее время такая практика распространена мало, но заслуживает внимания .

В регионах, где до сих пор недостаточное количество профессионалов в сфере компьютерных технологий, которых можно было бы привлечь в качестве специалистов для участия в следственных действиях по осмотру и изъятию компьютерной техники и информации, можно предложить приглашение экспертов с назначением экспертизы на месте. Закон не предписывает определенного места проведения экспертизы. Основным условием является наличие у следствия точных данных о том, что компьютерные средства действительно имеется в указанном месте, то есть объекты экспертизы реально существуют. В таком случае после обзорной стадии следственного действия и ознакомления эксперта с об-

Например, см. Кушниренко СП., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам обэкономических преступле- ниях. -Спб,.2001.

138

становкои выносится постановление о назначении экспертизы и эксперт приступает к исследованию.

Практика раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств, показывает, что взаимодействие следователя с экспертом при назначении экспертизы чаще всего осуществляется в форме обращения следователя за консультацией по следующим вопросам:

® определение рода (вида) экспертизы;

® выбор экспертного учреждения, эксперта;

® формулирование вопросов эксперту;

® подготовка материалов для экспертизы, в том числе и подбор образцов для сравнительного исследования;

решения вопроса о целесообразности назначение дополнительной, повторной, комиссионной, комплексной экспертиз.

Далее, признав необходимым производство судебной компьютерно- технической экспертизы, в соответствии со ст. 195 УПК следователь выносит мотивированное постановление, а суд или судья в соответствии со ст. 283 УПК- определение, в котором указываются основания назначения экспертизы, фамилия эксперта или наименование судебно-экспертного учреждения, вопросы, поставленные перед экспертом, и материалы, предоставляемые в его распоряжение.

В настоящее время круг вопросов СКТЭ, как нового развивающегося рода судебной экспертизы, находится в постоянном развитии и уточнении. Это объясняется как разнородностью задач СКТЭ, решаемых экспертом, уровнем методического и инструментального обеспечения исследования объектов СКТЭ, так и широкой и разноплановой классификацией самих объектов экспертизы. Поэтому в ходе научных изысканий были сформированы несколько перечней вопросов эксперту, свя-

139

занных с производством СКТЭ и отражающих ее современные и пер- спективные возможности.

Первый список, наиболее обширный, это в принципе перечень всех возможных вопросов, вытекающих из сущности предмета экспертизы и решаемых задач СКТЭ. Этот перечень, опубликованный нами ранее в литературе1, должен рассматриваться сегодня как перспективный с целью развития методов и средств экспертизы для всестороннего и объективного обеспечения самого исследования разнообразных объектов СКТЭ.

Второй список (прил.З) представляет собой перечень вопросов, рекомендуемый для формулировок в постановлениях (определениях) о назначении СКТЭ на настоящий момент. Он опирается на сложившуюся практику экспертного исследования типичных объектов СКТЭ, в достаточной мере обеспечен как эмпирическими, так и теоретическими познаниями в сфере современных информационных технологий.

§3.3. Производство СКТЭ в экспертном учреждении и вне экспертного учреждения

Особенности организации судебно-экспертной производственной деятельности

Производство СКТЭ, как и иных судебных экспертиз может осу- ществляться в экспертных учреждениях (государственных и негосударственных) и вне экспертных учреждений. В уголовном процессе производство экспертизы главой 27 УПК РФ. В ст. 195 УПК РФ указано «…судебная экспертиза производится государственными судебными экспертами и иными экспертами из числа лиц, обладающих специаль-

140

ными знаниями». Хотя в гражданском и арбитражном процессе такая статья отсутствует, в ст. 75 ГПК и ст. 67 АПК, посвященных порядку производства экспертизы, указывается, что экспертиза выполняется экспертами соответствующих учреждений. В ст 26.4 КоАП указано, что выносится «…определение о назначении экспертизы. Определение обязательно для исполнения экспертами или учреждениями, которым поручено проведение экспертизы».

Согласно Федеральному закону «О государственной экспертной деятельности», который составляет правовую основу, принципы организации и основные направления государственной судебно- экспертной деятельности в Российской Федерации (ст.1), эта деятельность осуществляется в процессе судопроизводства государственными судебно-экспертными учреждениями и государственными судебными экспертами и состоит в организации и производстве судебной экспертизы (ст.2) .

Государственные судебно-экспертные учреждения - это учреждения федеральных органов исполнительной власти, органов исполни- тельной власти субъектов Российской Федерации, созданные для обес- печения исполнения полномочий судов, судей, органов дознания, лиц, производящих дознание, следователей и прокуроров посредством организации и производства судебной экспертизы.

По получении постановления следователя или определения суда и материалов, необходимых для производства судебной компьютерно- технической экспертизы, руководитель экспертного учреждения изучает эти материалы. Если они недостаточны, оформлены ненадлежащим образом, учреждение не располагает необходимыми специалистами или

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001.

Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73-ФЗ.

141

аппаратурой, руководитель экспертного учреждения может принять решение о возвращении постановления (определения) без исполнения. Затем он выбирает экспертов (эксперта) в соответствии с их компетенцией и поручает им производство СКТЭ (ст. 14 ФЗ и ст. 199 УПК).

Руководитель экспертного учреждения разъясняет эксперту его права и обязанности в соответствии со ст. 57 УПК, ст. 76 ГПК или ст. 45 АПК и нормами Федерального закона . При производстве экспертиз по уголовным и гражданским делам руководитель экспертного учреждения предупреждает эксперта об ответственности за дачу заведомо ложного заключения по ст. 307 Уголовного кодекса РФ, о чем отбирает у эксперта подписку, которая либо включается во вводную часть заключения, либо оформляется отдельным документом.

Руководитель экспертного учреждения устанавливает ориентиро- вочные сроки производства судебной компьютерно-технической экспертизы (в случае необходимости срок может быть продлен по согласованию с органом, назначившим экспертизу). Он осуществляет предварительную проверку материалов, контроль за качеством экспертизы, оказывает экспертам научно-методическую помощь.

Руководитель обязан обеспечить условия, необходимые для про- ведения исследований: наличие стендового оборудования, приборов, материалов и специальных средств программного и информационного обеспечения; сохранность представленных объектов исследований и материалов дела. Он не вправе:

® истребовать без постановления или определения о назначении СКТЭ объекты исследований и материалы дела, необходимые для производства судебной экспертизы;

Здесь и далее в данном разделе имеются ввиду статьи Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. №73-Ф3

142

о самостоятельно без согласования с органом или лицом, назначив- шими СКТЭ, привлекать к ее производству лиц, не работающих в данном учреждении;

• давать эксперту указания, предрешающие содержание выводов по конкретной судебной компьютерно-технической экспертизе;

о отстранить эксперта от проведения начатого исследования или ан- нулировать заключение.

Свое особое мнение руководитель экспертного учреждения может изложить в сопроводительном письме. Другим вариантом решения спорной ситуации является создание (в соответствии со ст. (ст. 200 УПК, ст. 75 ГПК, ст. 67 АПК, ст. 21 Федерального закона) комиссии экспертов с включением в нее эксперта, давшего заключение.

Так, если по результатам комиссионной экспертизы (ст.200 УПК) мнения экспертов по поставленным вопросам совпадают, то ими составляется единое заключение. В случае возникновения разногласий каждый из экспертов, участвовавших в производстве судебной экспертизы, дает отдельное заключение по вопросам, вызвавшим разногласие.

Выше уже указывалось, что для объективного и полного исследо- вания объектов сферы современных информационных технологий важное значение приобретают комплексные экспертизы - СКТЭ и целого ряда иных родов и видов судебной экспертизы, в производстве которой участвуют эксперты разных специальностей. В соответствии со ст.201 УПК РФ «…в заключении экспертов, участвующих в производстве комплексной судебной экспертизы, указывается, какие исследования и в каком объеме провел каждый эксперт, какие факты он установил и к каким выводам пришел. Каждый эксперт, участвовавший в производстве комплексной судебной экспертизы, подписывает ту часть заключения, кото-

143

рая содержит описание проведенных им исследований, и несет за нее ответственность».

Ст. 199 УПК РФ и ст. 15 Федерального закона определяет действия руководителя государственного судебно-экспертного учреждения, который вправе:

о возвратить без исполнения постановление или определение о на- значении судебной компьютерно-технической экспертизы, представленные для ее производства объекты исследований и материалы дела, если в данном учреждении нет эксперта по этой специальности и необходимой материально-технической базы, указав мотивы, по которым производится возврат;

© ходатайствовать перед органом или лицом, назначившими су- дебную экспертизу, о включении в состав комиссии экспертов лиц, не работающих в данном учреждении, если их специальные знания необходимы для дачи заключения;

© организовывать производство судебной экспертизы с участием других учреждений, указанных в постановлении или определении о назначении судебной экспертизы.

В связи с тем, что СКТЭ - развивающийся род экспертизы и спе- циалисты подобного профиля имеются пока только в нескольких государственных экспертных учреждениях. Поэтому может возникнуть необходимость привлечения к производству этих экспертиз специалистов или приборной базы, стендового оборудования, специального программного обеспечения других учреждений и организаций.

Поскольку транспортировка и хранение компьютерных устройств и других объектов СКТЭ сопряжена с определенными трудностями, связанными с габаритами объектов, особыми условиями их перевозки и складирования, руководитель государственного экспертного учреждения

144

на основании ст. 15 Федерального закона вправе требовать от органа или лица, назначивших судебную экспертизу, возмещения расходов по:

© хранению компьютерных средств и других объектов исследований в транспортной организации, за исключением штрафов за несвоевре- менное их получение данным учреждением;

о хранению компьютерных средств и других объектов исследований в государственном судебно-экспертном учреждении после окончания производства судебной экспертизы сверх сроков, установленных нормативными правовыми актами соответствующих федеральных органов исполнительной власти;

® транспортировке компьютерных средств и других объектов иссле- дований после их исследования, за исключением почтовых расходов.

Государственные судебно-экспертные учреждения в обязательном порядке производят судебную экспертизу для органов дознания, органов предварительного следствия и судов, расположенных на территории, которая определяется соответствующими федеральными органами исполнительной власти. В случае невозможности производства судебной экспертизы в государственном судебно- экспертном учреждении, обслуживающем указанную территорию, в связи с отсутствием эксперта конкретной специальности, необходимой материально-технической базы либо специальных условий для проведения исследований судебная экспертиза для органов дознания, органов предварительного следствия и судов может быть произведена государственными судебно-экспертными учреждениями, обслуживающими другие территории (ст.11 ФЗ).

В соответствии с процессуальным законодательством судебные экспертизы, а следовательно, и СКТЭ, могут выполняться не только в государственных, но и в негосударственных экспертных учреждениях, т.е. «…иными экспертами из числа лиц, обладающих специальными

145

знаниями» (ст. 195 УПК РФ). Последнюю категорию лиц в юридической литературе также принято называть частными экспертами (негосудар ственными экспертами). Если судебная экспертиза производится вне экспертного учреждения (ст. 199 УПК РФ), то следователь вручает по становление и необходимые материалы эксперту и разъясняет ему права и ответственность, предусмотренные статьей 57 УПК РФ. Ф В процессуальном законе и Федеральном законе «О государствен-

ной судебно-экспертной деятельности» не закреплен тот факт, что судебно- экспертное учреждение должно обязательно быть государственным. В ряде регионов России существуют негосударственные экспертные учреждения, которые являются юридическими лицами. В уставе этих организаций, указано, что они созданы для производства различных экспертиз, как судебных, так и несудебных. Более подробно деятельность указанных организаций отражалась уже нами в литературе2.

т

Стадии экспертного исследования объектов СКТЭ Процесс экспертного исследования в СКТЭ, как и в любой другой судебной экспертизе состоит из нескольких основных стадий. В литературе, под стадиями экспертного исследования принято понимать составляющие его этапы. Каждая стадия выполняет определенные функции и обеспечивает решение промежуточных задач.3

На подготовительной стадии эксперт знакомится с постановлени-

^ ем о назначении экспертизы, другими исходными материалами, уясняет

задачи экспертизы, производит предварительный экспертный осмотр

1 Данный термин предложен в книге Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М.: Право и закон, 1996.

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.:Право и закон, 2001.

Энциклопедия судебной экспертизы/ Под ред. Т.В. Аверьяновой, Е.Р. Российской Е.Р.- М.:Юристъ,1999.

146

объектов СКТЭ и устанавливает их пригодность и достаточность для решения поставленных вопросов, выдвигает экспертные версии, намечает план экспертного исследования и выбор того или иного аппаратно-пограммного инструментария, необходимого для осуществления экспертизы.

В процессе детального исследования осуществляется сначала тща- тельное раздельное изучение объектов экспертизы, анализируются их общие и частные признаки и свойства объектов СКТЭ, необходимые для решения диагностических и идентификационных задач, производятся экспертные эксперименты. Затем, в случае решения идентификационной задачи, может проводится сравнительное исследование, когда выявляют совпадение или различие признаков сравниваемых объектов между собой, со сравнительными образцами или эталонами.

Третьей стадией является оценка результатов исследования, когда подводятся итоги и формулируются выводы СКТЭ, логически выте- кающие из проведенных исследований.

В качестве частного примера, отражающего сущность СКТЭ ряда типовых объектов, рассмотрим экспертное исследование, посвященное диагностированию системного блока персонального компьютера и по- иску файлов с криминалистически значимой информацией на жестком диске данного компьютера. Для исследования жестких дисков в настоящее время обычно используется стендовый компьютер, оснащенный и сконфигурированный специальным образом.

Вначале эксперт СКТЭ производит внешний осмотр и описание системного блока. Затем осуществляется его вскрытие осматриваются и подробно описываются его составляющие и конфигурация. Далее производиться отключение жесткого диска, и системный блок {без жестко-

147

го диска) включается в сеть для определения установок БИОС, уточнения конфигурации и определения работоспособности.

Следующий этап - исследование жесткого диска. На этом этапе, одной из главнейших задач является обеспечение полной сохранности информации на исследуемом диске. Это означает, что при исследовании эксперт должен обеспечить условия когда на анализируемый диск не будет производиться запись. В идеальном варианте эксперт должен с помощью специальных средств создать полную копию исследуемого жесткого диска на физическом уровне на такой же диск и в дальнейшем работать только с ним. Однако, данный вариант в большинстве случаев не возможен. В этом случае, эксперт подключает исследуемый диск в качестве дополнительного к стендовому компьютеру и производит загрузку операционной системы MS-DOS (или ее аналога) без загрузки каких-либо драйверов и дополнительных программ. Затем определяется тип файловой системы, используемой на исследуемом жестком диске (например, с помощью программы FDISK).

Исследуемый диск должен быть установлен в системе как допол- нительный съемный диск. Все файлы с изучаемого диска, в т.ч. скрытие, неявные и удаленные, копируются на диск стендового компьютер. После этого этот диск отключается, и осуществляется исследование скопированных файлов. При этом желательно загрузить резидентную программу-антивирус для выявления возможных признаков вредоносных программ. Поиск среди удаленных файлов производится с помощью программы UnErase Wizard из пакета Norton Utilities. В случае, если можно определить какие либо ключевые фразы искомые на жестком диске, поиск по диску осуществляется с помощью программы DiskEdit из этого же пакета.

148

При таком поиске могут быть обнаружены фрагменты удаленных файлов, которые нельзя восстановить с помощью UnErase Wizard.

Процесс производства судебной компьютерно-технической экс- пертизы заканчивается оформлением исследования в виде заключения эксперта.

Заключение эксперта СКТЭ

По форме и содержанию заключение судебной экспертизы в уго- ловном, гражданском и арбитражном процессе практически одинаково и обычно состоит из нескольких частей. Процессуальное законодательство регламентирует содержание заключения эксперта лишь в самых общих чертах (ст. 80, 204 УПК, ст. 77 ГПК и ст. 68 АПК). Указанные статьи уголовно-процессуального, гражданского процессуального и арбитражного процессуального законов весьма близки по содержанию. В них указывается, что заключение дается экспертом только в письменной форме, подписывается им и должно содержать подробное описание произведенных исследований, сделанные в результате их выводы и обоснованные ответы на поставленные следствием и судом вопросы. Если в процессе производства экспертизы экспертом будут установлены обстоя- тельства, имеющие значение для дела, по поводу которых ему не были поставлены вопросы, он вправе включить выводы об этих обстоятельствах в свое заключение.

Дополнительные требования к заключению эксперта содержатся в ст. 25 Федерального закона и гласят, что в заключении эксперта или ко- миссии экспертов должны быть отражены сведения об участниках процесса, присутствовавших при производстве судебной экспертизы. Материалы, иллюстрирующие заключение эксперта или комиссии экспертов, прилагаются к заключению и служат его составной частью. Документы,

149

фиксирующие ход, условия и результаты исследований, хранятся в судебно-экспертном учреждении. По требованию органа или лица, назначивших судебную экспертизу, указанные документы предоставляются для приобщения к делу.

Конкретизируем требования вышеуказанных нормативных актов для СКТЭ.

Во вводной части заключения судебной компьютерно-технической экспертизы содержатся: дата, время и место производства судебной экспертизы; номер и наименование дела, по которому она назначена, краткое описание обстоятельств дела, имеющих отношение к исследованию; сведения об органе и лице, назначившем экспертизу; правовых основаниях для назначения экспертизы (постановление или определение); наименование экспертного учреждения; исходные сведения о лице (или лицах), производившем экспертизу, - фамилия, имя, отчество, образование, экспертная квалификация, ученая степень, звание, стаж экспертной работы; сведения о предупреждении эксперта об ответственности за дачу заведомо ложного заключения; наименование СКТЭ; перечисляются вопросы, вынесенные на разрешение эксперта; вопросы, разрешаемые экспертом по собственной инициативе, также приводятся во вводной части заключения; описываются поступившие на экспертизу объекты исследования и материалы, способ доставки, вид упаковки, ее целостность, реквизиты.

кроме этого, указываются данные о лицах, присутствовавших при производстве судебной экспертизы (ст.197, ст.198, ст.204 УПК РФ).

Если экспертиза комиссионная, комплексная, дополнительная или повторная, это указывается во вводной части заключения, где также излагается, когда и кем проводились предшествующие экспертизы, к ка-

150

ким выводам пришли эксперты и каковы основания назначения повторной или дополнительной экспертизы.

Вопросы, выносимые на разрешение эксперта, приводятся во вводной части без каких-либо изменений их формулировки. Если эксперт считает, что некоторые из них выходят (частично или полностью) за пределы его специальных познаний или для ответа на эти вопросы специальные познания не требуются, он отмечает это в заключении. Если формулировка вопроса не соответствует общепринятым рекомендациям, но смысл вопроса понятен эксперту, последний вправе дать вопрос в собственной редакции, в соответствии со своими специальными познаниями или обратиться к следователю или суду с просьбой внести уточнения.

Процессуальным законодательством предусмотрено право эксперта устанавливать обстоятельства, по поводу которых ему не были по- ставлены вопросы (ст.57, ст.204 УПК; ст.77 ГПК; ст.68 АПК). Вопросы, решаемые по инициативе эксперта, должны относиться к области его специальных познаний и иметь значение для дела, по которому проводиться экспертиза.

Анализ практики проведения СКТЭ подтверждает факты многочисленного проявления экспертами инициативы. Необходимость в реализации экспертом своего права на инициативу при установлении тех или иных обстоятельств дела обусловливается, как правило, затруднениями следователей и судей в формулировании вопросов, выносимых на разрешение СКТЭ, недостаточно четким представлением о возможностях этого нового рода судебной экспертизы.

Инициатива экспертом может быть реализована при проведении дополнительных исследований компьютерных средств и установлении в более конкретной форме фактов, по поводу которых следователем или

151

судом вопрос поставлен в общей форме. Например, при постановке на разрешение экспертизы вопросов, направленные только на выявление факта наличия (отсутствия) на представленном компьютере файлов с изображением билетов Центробанка Российской Федерации, эксперт может определить механизм, технологию и условия, изготовления с помощью компьютерных средств поддельных денежных знаков или документов таможенного контроля. В большинстве случаев по имеющейся графической информации на носителе данных или ее копиям удается установить отдельные этапы (стадии) технологии изготовления поддельных документов; выявить файлы, полученные в результате сканирования денежных знаков, печатей и пр.; диагностировать последующую об- работку графической информации средствами, например, пакета Adobe Photoshop1.

Экспертная инициатива может реализовываться также в случаях выявления экспертом не предусмотренных в соответствующем вопросе аспектов, о возможности установления которых стало ясно только в процессе исследования. Так, при решении вопроса о наличии на представленном системном блоке информации о номерах и других реквизитах держателей кредитных карт иностранных банков эксперт, в большинстве случаев, проводит дополнительную проверку всего содержимого носителя данных на наличие признаков вредоносных программ.

В ходе такой проверки может выясниться наличие среди прочих программ - программной закладки (троянской программы), представляющей возможность несанкционированного доступа по сети к данным чужих компьютеров и скрытного копирования с них учетных данных доступа к сети Интернет.

См. Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М: Право и закон, 2001.

152

Как известно, несанкционированный доступ к охраняемой законом информации и создание, использование, распространение вредоносных программ являются в соответствии с УК РФ уголовно наказуемым деянием (ст.272, ст. 273 УК РФ). В приведенном примере является очевидным факт установления экспертом обстоятельства, имеющие значение для дела, сопряженным с преступным использованием ресурсов Интернет, и по поводу которых ему не были поставлены вопросы. Поэтому эксперт в соответствии со ст. 191 УПК вправе указать на наличие выявленных «троянских» программ и признаков их применения.

В исследовательской части заключения подробно описывается состояние представленных на СКТЭ аппаратных и программных средств и других объектов и образцов для сравнительного исследования, излагается процесс исследования с описанием его методики, условий применения тех или иных методов, дается научное объяснение выявленных диагностических и идентификационных признаков, причем это описание должно быть логически обоснованным и подводить к окончательным выводам. Если в экспертизе проводиться распечатка каких либо файлов найденных на исследуемом жестком диске, необходимо указать модель принтера на которой производилась распечатка, из какой программы и какие параметры при этом использовались.

Анализ результатов экспертного исследования объектов СКТЭ яв- ляется заключительной частью исследовательского этапа. В том случае, когда СКТЭ производилась комплексно с экспертизами других родов или классов или в ходе нее выполнялись комплексные исследования (что является в настоящее время типичной экспертной ситуацией для СКТЭ), исследовательская часть завершается так называемой синтезирующей частью, где эксперты, являющиеся специалистами в разных родах или методах экспертизы, обобщают раздельно полученную инфор-

153

мацию для формулирования общего ответа на поставленный вопрос. Наличие синтезирующей части обусловлено, прежде всего, потребно- стью выработки общей суммарной оценки результатов проведенного исследования и обоснования выводов, к которым пришел эксперт. Важнейшим моментом анализа результатов является определении значимости обнаруженных диагностических и (или) идентификационных признаков (в зависимости от решаемой задачи).

Так, при идентификационном исследовании подводится итоговая оценка совпадающих и различающихся признаков сравниваемых объектов, констатируется, что совпадающие признаки являются (либо не являются) устойчивыми, существенными и образуют (либо не образуют) индивидуальную, неповторимую совокупностью. При диагностическом исследовании выполняется итоговая оценка выявленных диагностических признаков, где также констатируется устойчивость, существенность и неповторимость установленной совокупности применительно к исследуемому объекту . Указанный порядок анализа результатов и последующей мотивировки принятия того, или иного решения поставленного вопроса СКТЭ позволяет достичь положительной оценки заключения эксперта.

В последней части заключения СКТЭ излагаются выводы, то есть даются ответы на вопросы, поставленные на разрешение экспертизы следователем или судом, в которых сообщаются установленные экспертом фактические данные. При невозможности решения какого- либо вопроса эксперт должен в исследовательской части заключения указать причины отказа. Выводы об обстоятельствах, ко которым следователем не были поставлены вопросы и которые эксперт приводит в рамках экспертной инициативы, излагаются в конце заключения. Вывод является

154

квинтэссенцией экспертного исследования. Именно он определяет его

2

доказательственное значение по делу .

Выводы эксперта СКТЭ

Выводы эксперта СКТЭ могут иметь различную логическую форму. Существует много таких форм. Поскольку от этого во многом зависит доказательственное значение заключения, рассмотрим основные из них.

В логическом аспекте вывод по экспертному исследованию ком- пьютерных средств - это умозаключение эксперта, сделанное по результатам проведенных исследований на основе выявленных или представленных ему данных об исследуемом объекте и общего научного положения соответствующей отрасли знания - сферы современных информационных технологий. Основными требованиями, предъявляемыми к выводу эксперта СКТЭ являются:

© определенность, т.е. недопустимость формулирования неопреде- ленных, двусмысленных выводов, позволяющих различное истолкование (например, выводы об «одинаковости» или «аналогичности» объектов - выявленных текстовых файлов, без указания на конкретные совпадающие признаки);

© доступность, т.е. в процессе доказывания могут быть использова- ны только такие выводы эксперта СКТЭ, которые не требуют для своей интерпретации специальных познаний, являются доступными для следователей, судей и других лиц. Не соответствуют данному принципу, например, выводы при диагностическом исследовании
вредоносных

1 Криминалистика. Учебник для вузов. Под ред. Проф. Р.С. Белкина. -М.:НОРМА- ИНФРА-М, 1999.

Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам. - М.: Юристь, 1995.

155

программ об эвристическом определении неясной сигнатуры полиморфного программного кода, поскольку следователь и суд, не обладая специальными познаниями, не в состоянии оценить доказательственное значение такого вывода. Итак, необходимо доводить цепь своих умозаключений до такого этапа, когда его вывод станет общедоступным и понятным для любого лица, не обладающего специальными познаниями.

По содержанию выводы эксперта можно разделить на идентифи- кационные и диагностические. Для идентификационных исследований характерны два вида выводов - об индивидуальной принадлежности и о родовой (групповой) принадлежности. Последний дается, когда индивидуальное тождество оказалось по каким-либо причинам недостижимым.

По результатам диагностических исследований может быть сфор- мулировано несколько типов выводов. Так, при проведении классифи- кации, т.е. установлении принадлежности объекта к какому-то классу (виду, типу) объектов СКТЭ, формулируется классификационный вывод. В отличие от идентификационных исследований здесь задача установления индивидуального тождества не ставится. Объект исследуется в единственном числе без сравнения с другими и отнесение его к какому-либо классу (виду, типу) является конечной целью исследования и обычно имеет самостоятельное доказательственное значение (например, при отнесении объекта СКТЭ к конкретному виду носителей данных -картриджи стримера персонального компьютера).

При решении простых диагностических задач определяются свойства и состояние компьютерных средств, соответствие или несоответствие их каким-то стандартам, нормативам, условиям (например, соответствие типа файла, описания его содержания и указанного в имени файла расширения).

156

При решении сложных диагностических задач объектов СКТЭ (когда анализу подвергается какое-то событие, информационный процесс) даются выводы о механизме события или его отдельных фрагментах, условиях и обстоятельствах, месте, времени, последовательности и т.п. (например, при определении действий, выполнявшихся с файлами на носителе данных, с выявлением количества, времени, условий их модификации).

Кроме приведенного деления выводов по их содержанию существуют и не менее важные для целей судебной компьютерно-технической экспертизы основания классификации выводов1.

По определенности (степени их подтвержденности) экспертные выводы СКТЭ подразделяются на:

о категорические - выводы, содержащие достоверные знания экс- перта СКТЭ о факте независимо от каких-либо условий его существования. Они могут быть положительными и отрицательными и даются тогда, когда результаты исследования полностью их подтверждают. Например, выявленные программные средства (указывается перечень файлов) обладает признаками вредоносности;

© вероятные - выводы, содержащие обоснованное предположение (гипотезу) эксперта об установленном факте. Обычно они отражают неполную внутреннюю психологическую убежденность в достоверности аргументов, среднестатистическую доказанность факта, невозможность достижения полного знания. Причинами вероятных выводов могут быть неправильное или неполное собирание объектов, подлежащих исследованию, утрата или отсутствие наиболее существенных, значимых признаков, недостаточное количество сравнительных материалов, неразра-

1 О форме экспертных выводов см., например, Орлов Ю.К. Формы выводов в заключении эксперта. - М.: ВНИИСЭ, 1981; Энциклопедия судебной экспертизы. Под ред. Т.В. Аверьяновой и Е.Р. Российской - М: Юристь, 1999 и др.

157

ботанность методики экспертного исследования объектов СКТЭ и дру- гие. Они допускают возможность существования факта, но не исключа- ют абсолютно другого (противоположного вывода).

В соответствии с существующей практикой судопроизводства в основание приговора или решения суда могут быть положены только категорические выводы. Следовательно, только они имеют и доказа- тельственное значение. Вероятное заключение не может быть таким ис- точником, а лишь позволяет получить ориентирующую, поисковую информацию Однако вероятные выводы ни в коем случае не должны игнорироваться, их необходимо использовать, но продуманно и осторожно, поскольку они не исключают существования альтернативных вариантов по делу. Вероятный вывод может быть использован как обосновывающее знание при разработке следственных версий, планировании оперативно-розыскных мероприятий и т.п.

Кроме того, необходимо отметить, что при получении общего ве- роятного вывода по судебной компьютерно-технической экспертизе, представляющей собой комплексное исследование, некоторые промежуточные выводы могут быть категорическими и иметь самостоятельное доказательственное значение.

В выводах о возможности, в отличие от выводов о действительности, констатируется не факт объективной действительности, а лишь возможность какого-либо события , явления (например, наличие установок средств удаленного доступа к сети свидетельствует о возможности работы в сети Интернет). Возможность не следует смешивать с вероятностью. Если вероятность - это характеристика нашего знания, которая может повышаться по мере его углубления, то возможность - это объективное состояние вещей. Возможность устанавливается достоверно и,

158

будучи установленной, не меняется от того, реализовалась она практически или нет.

Недопустима часто встречающаяся на практике подмена вероятных выводов выводами о возможности. Это может привести к путанице и ошибкам. Например, вывод типа «информация на исследуемой диске- те могла быть подготовлена и записана с помощью данного компьюте- ра» можно интерпретировать как то, что информация, вероятно, подготовлена и записана на этом компьютере, или как то, что информация на данной дискете (например, 3.5”) вообще может быть записана на представленном компьютере (т.к. там есть 3.5” флоппи- дисковод).

Поэтому выводы о возможности (типа «могло быть») должны формулироваться экспертом СКТЭ только в том случае, когда им решается вопрос не о факте действительности (с какого из представленных компьютеров осуществлялся доступ в сеть Интернет на конкретные web-сайты), а о фактической возможности какого-либо события, явления (например, о возможности копирования исследуемой информации).

По отношению к установленному факту выводы СКТЭ подразде- ляются на положительные (утвердительные) и отрицательные. Отрицательный вывод констатирует отсутствие устанавливаемого факта, свойства (например, на представленном компьютере не найдена информация с изображением денежных знаков и ценных векселей). Обычно категорический отрицательной вывод является оправдательным доказательством. От отрицательных выводов необходимо отличать отрицающие формулировки типа «не исключено», «не означает» и т.п. Употребление таких формулировок в выводах справедливо признается недопустимым. Так, вывод типа «не исключено, что данный документ был подготовлен на представленном компьютере» по существу равнозначен выводу о невозможности решения вопроса, поскольку последний тоже не

159

исключает такой возможности. Поэтому отрицающие формулировки не несут никакой дополнительной информации, а лишь затрудняют понимание вывода.

Вместе с тем они вполне допустимы не в самом выводе, а в пояс- нениях (комментариях), которые нередко выносятся в синтезирующую часть заключения эксперта и могут иметь большое значение для правильного понимания и оценки вывода (например, эксперт, установив, что исследуемые файлы относятся к файлам баз данных, что они были созданы и управляются одной СУБД, может указать, что это не означает их принадлежности к одной и той же базе данных, т.е. существования между ними функциональной взаимосвязи).

По характеру отношений между следствием и его основанием среди выводов СКТЭ выделяют:

о условные - признание факта в зависимости от определенных об- стоятельств, достоверности предыдущих знаний, доказательственного значения других фактов (если …, то …). Таким образом, истинность данного вывода ставится в зависимость от какого-либо условия (например, файл с искомыми данными имеет дату создания 14.06.2001, если настройки системной даты не подвергались модификации);

© безусловные - признание факта, не ограниченное никакими усло- виями (в базе данных почтового Интернет-приложения на данном компьютере зарегистрирован конкретный адрес электронной почты).

Выводы данного типа могут также высказываться в категорической и вероятностной форме.

По выбору оной из двух (или нескольких) исключающих друг друга возможностей различают:

© альтернативные (мпоговариантпые) - выводы, содержащие строго раздельное суждение, указывающее на возможность существования

160

любого из перечисленных в нем взаимоисключающих фактов и необходимость выбора следователем (судом) какого-либо одного из них и признание его имевшим место в действительности. Т.е. альтернативный вывод формулируется, когда эксперту не удалось прийти к единственному варианту решения и итогом исследования явилось несколько вариантов (для вывода документов на печать к данному компьютеру подключался один из трех принтеров - HP LaserJet-6L, Cannon-LBP4, Xerox-4505). Альтернативные выводы допустимы, когда названы все без исключения альтернативы, причем каждая из этих альтернатив должна исключать другую (и тогда от ложности одного можно логически перейти к истинности другого, от истинности первого к ложности второго);

© однозначный вывод дается, когда эксперт приходит к единствен- ному варианту решения (для сканирования к данному компьютеру подключался сканер HP ScanJet-5s).

Экспертное заключение может быть проиллюстрировано фото- снимками, оформленными в виде фототаблиц, схемами, диаграммами, чертежами и другими наглядными материалами, которые рассматриваются как составная часть заключения, «….материалы, иллюстрирующие заключение эксперта (фотографии, схемы, графики и т.п.), прилагаются к заключению и являются его составной частью» (ст.204 УПК РФ).

Приобщается также справка о расходах на экспертизу для включения их в судебные издержки. Текст заключения, выводы и иллюстратив- ные материалы (каждая страница) подписываются экспертом, выпол- нившим исследование.

При производстве комиссионных экспертиз, если члены комиссии экспертов пришли к общему выводу, то они составляют единое заклю- чение и подписывают его все. При разногласиях между экспертами каждый эксперт дает свое заключение (ст. 200 УПК, ст. 75 ГПК, ст. 67 АПК;

161

ст. 22, 23 Федерального закона). Как уже указывалось выше, при произ водстве комплексных экспертиз часть вопросов решается экспертом са мостоятельно, без участия специалистов в иных областях знаний. Соот ветственно эта часть заключения и основанный на ней вывод подписы ваются им единолично (ст.201 УПК). Выводы по пограничным вопро сам, находящимся на стыке нескольких родов или видов судебных экс- ® пертиз (таких вопросов, как правило, в комплексных экспертизах немно-

го), подписываются всеми участвовавшими в производстве экспертизы судебными экспертами.

Итак, рассмотренные выше аспекты предоставляют широкие возможности эксперту СКТЭ как по проведению самого экспертного исследования, интерпретации (трактовки) полученных результатов, так и по выработке содержания заключения экспертизы. Как уже отмечалось, процессуальное законодательство регламентирует содержание заключения эксперта лишь в самых общих чертах. Однако на практике вырабо-таны подробные реквизиты заключения эксперта и определена его структура, что закреплено в различных ведомственных положениях и инструкциях, регулирующих деятельность экспертных учреждений, а также отражено в бланках (образцах) заключения эксперта .

В заключении данного параграфа следует отметить такую процессуальную норму как «допрос эксперта», определенную в ст. 205 УПК РФ. Согласно этой статьи «..следователь вправе по собственной инициа-тиве либо по ходатайству лиц, указанных в части первой статьи 206 УПК, допросить эксперта для разъяснения данного им заключения». Указанными лицами являются подозреваемый, обвиняемый, его защитник, которым разъясняется при этом право ходатайствовать о назначе-

1 См.,например, Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.:Право и закон, 2001.; Зубаха B.C., Усов А.И., Саенко Г.В. Основные положения по назначению и производству КТЭ. - М.

162

нии дополнительной либо повторной судебной экспертизы. Законода- тель также определил, что эксперт не может быть допрошен по поводу сведений, ставших ему известными в связи с производством судебной экспертизы, если они не относятся к предмету данной судебной экспертизы (ст. 205 УПК РФ).

§3.4. Производство СКТЭ и допрос эксперта в суде

Особенности назначение судебной компьютерно-технической экспертизы в суде по уголовным делам

Назначение и производство СКТЭ в суде при рассмотрении уго- ловных дел регламентируется ст.ст. 266, 283 УПК, а также главой 27 УПК. Необходимость назначения судебной экспертизы в ходе производства по делу в суде существенным образом зависит от процессуальной ситуации, в условиях которой решается этот вопрос. Решение вопроса о вызове эксперта в суд для производства экспертизы производится в процессе назначения судебного заседания (ст. 231 УПК). Причем согласно Постановлению Пленума Верховного Суда СССР от 16.03.71 г. вызов эксперта целесообразен далеко не всегда, а только в необходимых случаях. Под необходимыми случаями, применительно к СКТЭ понимаются следующие1:

© заключение СКТЭ является особенно важным как доказательство по расследуемому делу (например, в случае выявления в электронной записной книжке подозреваемого в убийстве данных с адресом и теле- фоном убитого, знакомство с которым подозреваемый категорически отрицает);

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М:Право и закон, 2001.

163

© необходимо провести в судебном заседании дополнительную СКТЭ (например, выявление компьютерной информации посредством новой методики);

• заключение СКТЭ не обосновано, противоречит иным материалам дела, имеет иные недостатки, и возникают сомнения в его правильности (например, в результате осмотра в ходе следственных действий и позже, в результате экспертизы, выявлена разная компьютерная информация на одних и тех же носителях данных);

® в процессе предварительного расследования для установления од- ного и того же факта были проведены две СКТЭ, и эксперты пришли к противоположным выводам;

© между экспертами, производившими комиссионную или ком- плексную экспертизу, возникли разногласия и каждый из них составил свое заключение;

© заинтересованные участники процесса не согласны с выводами СКТЭ и возбудили ходатайство о вызове эксперта в суд (например, на компьютере обвиняемого обнаружены файлы с доказательствами по делу, подготовленные специализированным пакетом программ, в то время как обвиняемый заявляет о свой компьютерной неграмотности и возможного случайного появления этих данных на компьютере);

© заключение СКТЭ основано на исходных данных, взятых из пока- заний обвиняемого, потерпевшего, свидетеля, а есть основания полагать, что они могут быть изменены в судебном заседании;

® появились новые исходные данные либо есть основания полагать, что они появятся в судебном заседании (например, в ходе заседания один из его участников намерен предъявить носители компьютерной информации, полученные в свое время от обвиняемого на хранение) и т.п.

164

Могут быть и другие не столь типичные ситуации, когда необходим вызов эксперта СКТЭ в судебное заседание для дачи заключения. Однако неправомерен вызов эксперта в суд только для ответа на вопрос, подтверждает ли он свое заключение, данное на предварительном следствии, поскольку эксперт вызывается в судебное заседание не для подтверждения данного ранее заключения, а для производства экспертизы и дачи заключения по ее результатам .

Необходимо подчеркнуть, что, хотя основания, указанные в ряде перечисленных выше пунктов, по общему правилу влекут за собой на- значение дополнительной и повторной экспертиз, согласно Постановлению Пленума Верховного Суда СССР от 03.03.76 в суде при наличии этих оснований может быть назначена только первичная и основная СКТЭ.

Возможна ситуация, когда при осуществлении дознания и предва- рительного следствия экспертиза не проводилась, а установление ряда фактов и обстоятельств требует специальных познаний в области СКТЭ. В этом случае при подготовке судебного заседания решается вопрос о возможности осуществления СКТЭ во время судебного разбирательства или возвращении дело на дополнительное расследование

При производстве по уголовным делам, возбуждаемым судьей не иначе, как по жалобе потерпевшего, если для выяснения фактов и об- стоятельств требуются специальные знания в области СКТЭ, эта судеб- ная экспертиза назначается судьей при возбуждении дела. Об этом вы- носится соответствующее постановление. При этом должны быть со- блюдены права подозреваемого, обвиняемого, потерпевшего, свидетеля при назначении экспертизы, указанные в ст. 197 УПК.

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. -М.:Право и закон, 1996.

165

Проведение экспертизы в суде - самостоятельное процессуальное действие. В познавательном плане оно может быть продолжением проведенных ранее исследований компьютерных средств. «В случае назначения судебной экспертизы председательствующий предлагает сторонам представить в письменном виде вопросы эксперту. Поставленные вопросы должны быть оглашены и по ним заслушаны мнения участников судебного разбирательства. Рассмотрев указанные вопросы, суд своим определением или постановлением отклоняет те из них, которые не относятся к уголовному делу или компетенции эксперта, формулирует новые вопросы» (ст.283 УПК РФ).

Эксперт может заявить ходатайство об отклонении тех или иных вопросов с указанием причин этого отклонения, а также об изменении формулировки вопросов.

Согласно ст. 256 УПК, суд может вынести определение, в котором помимо вопросов, выносимых на разрешение СКТЭ, указывается, какие вопросы представленные участниками судебного разбирательства, судом были отклонены, и каковы мотивы отклонения. Определение о назначении экспертизы должно выноситься только в совещательной комнате и оформляться отдельным документом, копия которого выдается эксперту. Недопустимо вынесение определения о назначении в зале судебного заседания или постановка вопросов эксперту в устной форме. Содержание определения суда о назначении СКТЭ специально не рег- ламентировано, однако по общему смыслу процессуального закона оно аналогично содержанию постановления следователя о назначении экспертизы.

В зависимости от сложности поставленных вопросов, иных об- стоятельств экспертные исследования компьютерных средств могут проводится непосредственно в суде либо в другом месте (например, в

166

экспертном учреждении, специализирующимся в сфере информацион- ных технологий, либо информационно-вычислительном центре, либо сервисном центре компьютерной техники, либо по месту происшествия - в помещении информационной службы безопасности и пр.). Если же предстоят длительные экспертные исследования (например, в случае реставрации топологии вычислительной сети и установлении признаков несанкционированного доступа к компьютерной информации), слушание дела может быть отложено до получения письменного заключения эксперта.

Письменное заключение СКТЭ оглашается экспертом в суде и приобщается к делу вместе с определением суда о назначении экспертизы. По ходатайству эксперта его присутствие в судебном заседании может быть ограничено временем, необходимым для исследования доказательств, имеющих отношение к предмету СКТЭ. После дачи заключения экспертом, его допроса, заслушав мнения обвинителя, подсудимого, гражданского истца, гражданского ответчика и их представителей, суд может освободить эксперта от дальнейшего присутствия в суде.

Допрос эксперта СКТЭ в суде В соответствии со ст. 282 УПК РФ, суд вправе вызвать для допроса эксперта, давшего заключение в ходе предварительного расследования, для разъяснения или дополнения данного им заключения. Аналогичные нормы установлены в ГПК (ст. 180) и АПК (ст. 123).

Уголовно-процессуальный закон определяет, что после оглашения заключения эксперта ему могут быть заданы вопросы сторонами. При этом первой вопросы задает сторона, по инициативе которой была назначена экспертиза (ст. 282 УПК РФ). Если эксперту необходимо, то суд

167

может предоставить ему время для подготовки ответов на вопросы суда и сторон.

В общем случае, допрос эксперта преследует одни и те же цели в уголовном, гражданском и арбитражном процессе1. Он производится:

о во-первых, для уточнения компетенции эксперта и его отношения к данному делу;

© во-вторых, с целью разъяснения данного заключения, когда в своих показаниях эксперт:

объясняет сущность специальных терминов и формулировок;

обосновывает необходимость использования выбранной методики исследования, поясняет назначение и функции тех или иных аппаратных и программных средств;

объясняет, как выявленные диагностические и идентификационные признаки позволили ему сделать те или иные выводы, в какой мере выводы основаны на следственных материалах (например, в случае изложения установленного механизма действия вредоносной программы типа «троянский конь»).

Если члены комиссии экспертов пришли к разным выводам, в ходе допроса выясняются причины этих расхождений. Допрос эксперта производится только после дачи им заключения. Новый процессуальный закон рассматривает показания эксперта, данные им при допросе, в качестве самостоятельного вида доказательств (ст. 74, ст. 80 УПК). Под показаниями эксперта понимаются сведения, сообщенные им на допросе, проведенном после получения его заключения, в целях разъяснения или уточнения данного заключения (ст.80 УПК РФ).

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М.: Право и Закон, 1996.

168

Кратко рассмотрим особенности ведения допроса эксперта СКТЭ в уголовном и гражданском процессах.

При судебном разбирательстве уголовных дел вопросы сначала задают судьи, а затем стороны, причем первой вопросы задает сторона, по инициативе которой была назначена экспертиза (ст. 282 УПК РФ). Такой же порядок установлен в гражданском процессе, где первым вопросы задает лицо, по заявлению которого назначен эксперт, и его представитель. Только после этого вопросы задают другие лица, участвующие в деле, и их представители. Эксперту, назначенному по инициативе суда, первым предлагает вопросы истец. Судьи вправе задавать вопросы эксперту в любой момент его допроса (ст. 180 ГПК).

Вопросы у суда и участников процесса по вопросам в сфере ин- формационных технологий возникают чаще всего потому, что они не обладают специальными познаниями, необходимыми не только для выполнения экспертизы компьютерных средств, но и адекватного понимания заключения эксперта. Как показывает практика этот уровень, чаще всего, соответствует уровню начинающего пользователя и основывается на лишь на базовых понятиях информатики, а также бытового восприятия средств вычислительной техники.

Допрос эксперта не следует смешивать с дополнительной экспертизой, основания назначения которой совпадают с некоторыми из оснований производства допроса: недостаточная ясность или неполнота за- ключения эксперта (ст.207 УПК РФ). Однако, в соответствии с разъяс- нением Пленума Верховного Суда СССР от 16.03.71, дополнительная экспертиза назначается, «если недостаточную ясность или полноту за- ключения не представилось возможным устранить путем допроса экс- перта». Критерием разграничения оснований проведения допроса эксперта и назначения дополнительной экспертизы служит обычно необхо-

169

димость в проведении дополнительных исследований. Если для разъяснения выводов эксперта или уточнения содержания заключения не требуется таких исследований, проводится допрос эксперта. В противном случае - назначается дополнительная экспертиза .

По общему правилу, вопросы, задаваемые эксперту СКТЭ, на- правлены на разъяснение (дополнение) данного им заключения. Например, в случае установления признаков неправомерно доступа в сеть Интернет, могут быть заданы вопросы о механизме подобных преступлений с использованием средств удаленного доступа. В ходе допроса эксперту СКТЭ могут быть заданы вопросы в отношении только тех объектов, которые были им исследованы и нашли отражение в его заключении. Кроме того эксперта могут предложить ответить на вопросы общего характера из области компьютерных технологий (например, о функциональных возможностях изъятых IBM-персональных компьютерах, об информационной емкости представленных носителей компьютерной информации и пр.).

Эксперт СКТЭ вправе при допросе привести дополнительные ар- гументы в защиту своих выводов, например более подробно описать процесс исследования (например, дисассемблирования и трассировки программы, применения средств мониторинга процессов), обосновать свой выбор методов (например, наличием сертифицированных экспертных программ и стендового оборудования), дать более широкую интерпретацию формулировок своих ответов (например, показать место выявленных вредоносных программ в общей классификации программных вирусов и дать характеристику наносимых ими последствий).

Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. - М: Право и Закон, 1996.

170

Задаваемые эксперту вопросы могут касаться также фактов, не нашедших отражения при описании исследований (например, фактов, связанных с эксплуатацией других блоков компьютера, в то время как эксперт исследовал лишь наиболее криминалистически значимые - но- сители данных). В ходе судебного заседания может выясниться также, что эксперт СКТЭ не указал в заключении каких-либо из установленных им фактов, которые влияют или могут повлиять на выводы (например, эксперт рассматривал удаленную на винчестере информацию, только подлежащую восстановлению и просмотру обычными программными средствами).

В некоторых ситуациях неполнота заключения эксперта может по- служить основанием назначением дополнительной судебной эксперти- зы, производство которой поручается тому же или другому эксперту (ст. 207 УПК РФ). Если же у суда возникли сомнения в обоснованности заключения эксперта, а также были выявлены противоречия в выводах эксперта, то может быть назначена повторная экспертиза, производство которой поручается другому эксперту (ст. 207 УПК РФ).

В любом случае все вопросы, поставленные перед экспертом СКТЭ в ходе допроса, и его ответы на них должны быть занесены в протокол судебного заседания.

§3.5. Оценка и использование результатов судебной компьютерно- технической экспертизы следователем и судом

Уголовно-процессуальный закон РФ в ст.88 определяет, что «каждое доказательство подлежит оценке с точки зрения относимости, до- пустимости, достоверности, а все собранные доказательства в совокупности - достаточности для разрешения уголовного дела». Выше уже не

171

раз отмечалось, что заключение эксперта относится к доказательствам по уголовному делу (ст.74 УПК РФ). Поэтому, для рассмотрения данного вопроса может быть применена общая схема оценки заключения судебной экспертизы, разработанная в криминалистической литературе : допустимость заключения:

о соблюдение порядка назначения и проведения эксперти- • зы;

® соблюдение процедуры постановки вопросов эксперту на

судебном разбирательстве; ® подлежит ли эксперт отводу; ® правильность оформления заключения; допустимость объектов экспертизы:

т

о соблюден ли процессуальный порядок их получения; о соблюдены ли правила транспортировки и хранения; определение достоверности заключения:

© надежность примененной методики;

© правомерность применения методики в конкретном случае; ©
достаточность представленного эксперту исследовательского материала; ©
правильность представленных исходных данных; определение обоснованности полученных результатов:

® определение полноты проведенного экспертом исследования;

1 См., например, Лифшиц Е.М., Михайлов В.А. Назначение и производство экспертизы. - В.: ВСШ МВД РФ, 1977; Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе, М,: Право и закон, 1996.

172

о степень подтверждения вывода проведенным исследованием;

определение доказательственного значения заключения.

Остановимся на раскрытии указанной последовательности приме- нительно СКТЭ. В уголовном процессе не существует заранее заданных более сильных доказательств и превосходства одного над другим, хотя такие попытки в отечественном судопроизводстве делались. Например, в «Теории судебных доказательств» Вышинским А.Я отдавалось предпочтение показаниям свидетелей, а признательные показания обвиняемого предлагалось считать основополагающими, что и восприняла практика расследования и судебного рассмотрения в 1930-1940-х годах.

Хотя заключение СКТЭ не имеет каких-либо преимуществ перед другими доказательствами. Оно обладает, по сравнению с ними, существенной спецификой, поскольку представляет собой вывод, умозаключение, сделанное на основе исследования, проведенного с использованием специальных познаний. Оценка подобных доказательств часто представляет для лиц, не обладающих такими познаниями, немалую сложность1

Для начального периода уголовно-правовой практики, связанного с раскрытием и расследованием преступлений в сфере компьютерной информации, характерной чертой является чрезмерное доверие к заключению судебной компьютерно-технической экспертизы, завышенная оценка его доказательственного значения2. Причины этого кроются, прежде всего, в низком уровне познаний в области информатики и компьютерных технологий, которые даются при получении юридического

Ю.К. Орлов. Заключение эксперта и его оценка по уголовным делам. - М., Юристъ, 1995.

Подобная ситуация наблюдалась при возникновении многих новых родов судебных экспертиз, которые еще со времен Миттермайера и его теории «эксперта - научного судьи», поначалу всегда казались панацеей и возможностью решения всех проблем следствия.

173

образования. Даже, если рассматривать полученные в вузе знания как подготовку пользователей персональных компьютеров, то фактически подобная такая подготовка оставляет зачастую желать лучшего.

Между тем заключение эксперта, как и любое другое доказательство, может оказаться сомнительным или даже негодным по разным причинам и стать недопустимым доказательством (ст. 75 УПК РФ). Практика показывает, что основными ошибками при производстве экспертизы являются: исследование объектов с процессуальными пороками, использование недостаточно точных и научно- обоснованных методик, личные ошибки экспертов. Это вызывает необходимость проведения оценки заключения не только с точки зрения возможной ошибочности заключения, но и с позиции доказательственного значения экспертного заключения.

Так, эксперту СКТЭ могут быть представлены неверные исходные данные или неподлинные объекты - компьютерные средства. Может оказаться недостаточно надежной примененная им методика (например, по причине наличия в программном инструментарии некоторых логических «дыр», не объявленных фирмой- производителем данного «софта»).

Наконец, эксперт СКТЭ, как и все люди, тоже не застрахован от ошибок, которые иногда встречаются в экспертной практике и особенно в период становления нового рода судебной экспертизы. Поэтому в данном случае экспертное заключение, как и любое доказательство, должно проверяться тщательной, всесторонней проверке и критической оценке.

Весь предшествующий период правоприменительной практики уже выработал определенные подходы при решении данной проблемы. Эти подходы, реализуемые при оценке экспертного заключения, достаточно известны в юридической литературе и, в полной мере, могут быть рекомендованы при рассмотрении результатов работы эксперта СКТЭ.

174

Прежде всего должно быть проверено, соблюден ли процессуальный порядок назначения и производства судебной компьютерно- технической экспертизы. На предварительном следствии эта процедура включает в себя реализацию норм ст. 198 УПК РФ о правах подозреваемого, обвиняемого, потерпевшего, свидетеля при назначении и производстве судебной экспертизы.

После окончания экспертизы заключение эксперта предъявляется подозреваемому, обвиняемому, его защитнику, которым разъясняется при этом право ходатайствовать о назначении дополнительной либо повторной судебной экспертизы (ст.206 УПК РФ). На практике эти требования закона не всегда соблюдаются, особенно когда экспертиза проводится до привлечения лица в качестве обвиняемого (например, в случае выяснения фактов и обстоятельств нарушения правил эксплуатации ЭВМ).

В судебном разбирательстве при производстве СКТЭ должна быть соблюдена процедура постановки вопросов перед экспертом, преду- смотренная ст.283 УПК РФ. Подробно данная процедура уже рассматривалась нами в соответствующей литературе .

Как было уже отмечено выше, помимо соблюдения процессуального порядка и процессуальной формы экспертизы должно быть прове- рено также, не подлежит ли эксперт отводу. Это в основном относится лишь частным экспертам, данные о специальности и компетентности которых должен выяснить сам следователь (ст. 70 УПК РФ). При проведении экспертизы в государственном экспертном учреждении эксперта назначает руководитель этого учреждения, полностью осведомленный о

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.:Право и закон, 2001.

175

специализации своих работников . Поэтому практическим основанием для отвода таких экспертов СКТЭ может служить лишь выявившаяся их личная , прямая или косвенная, заинтересованы в исходе данного уголовного дела заинтересованность в исходе дела, сопряженного с использованием компьютерных средств (ст.61, ст.70 УПК РФ).

Наконец, оценивая допустимость заключения, необходимо проверить правильность его оформления, наличия всех необходимых реквизи- тов, указанных в законе (ст. 204 УПК РФ). Так, встречаются случаи, когда отсутствует вводная или исследовательская часть, нет подписи эксперта или заключение подписано не тем лицом, которое указано в вводной части. Если экспертиза была комплексной (например, с ТКЭД, либо судебно-бухгалтерской экспертизой), в заключении должно быть указано, какой эксперт, какие исследования проводил и каждая часть исследования подписывается только теми экспертами, которые ее осуществляли.

Особо следует остановиться на допустимости исследовавшихся объектов СКТЭ. Если изучаемые компьютерные средства будут признаны недопустимыми, то автоматически теряет это свойство и само заключение СКТЭ. Поэтому всегда должна быть проверена процессуальная доброкачественность объектов экспертного исследования. Для этого нужно, прежде всего, установить, был ли законным способ их получения. Анализ практики собирания доказательств показывает, что компьютерные средства могут быть изъяты в ходе какого-то следственного действия (осмотра, обыска, выемки) либо представлены кем-нибудь из участников процесса или посторонними лицами. Документы с компьютерной (либо иной, например, эксплуатационной) информацией могут

Ст. 14 Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации» от 31 мая 2001 г. № 73-ФЗ.

176

быть, кроме того, истребованы в учреждениях, предприятиях и у должностных лиц.

Следует иметь ввиду, что в любом случае должен быть соблюден процессуальный порядок получения следователем (судом) этих объектов. Особенно это относится к получению в ходе следственных действий, рассмотренных выше объектов - возможных вещественных доказательств (главы 24 и 25 УПК РФ). Если при этом были допущены существенные нарушения (например, изменена компьютерная информация на носителе данных), ставящие под сомнение достоверность результатов следственного действия (например, осмотра содержимого винчестера компьютера), то вещественные доказательства могут быть признаны недопустимыми. А это, в свою очередь, влечет недопустимость и заключения эксперта по исследованию объектов СКТЭ.

Из изученных материалов уголовных дел1 в большинстве случаев ставились защитой под сомнение выводы экспертизы именно в связи с исследованием недоброкачественных в процессуальном смысле объектов. Объяснение этой ситуации в следующем: следователи до настоящего времени не обладают навыками работы с компьютерной техникой и информацией, поэтому изъятие происходит с грубыми тактическими нарушениями. Изымаемые объекты подробно на месте не осматриваются и в протоколах никак не отражаются их индивидуальные признаки. Так, например, в Санкт-Петербурге по одному из дел о мошенничестве с использованием «виртуальной торговли» в квартире преступника при обыске изъяты три винчестера1. Из протокола обыска не ясно, в каком состоянии и где они обнаружены. Зато в кабинете следователя они ос-

Отчет о НИР «Методы и средства решения задач КТЭ» (промежуточный).-МТУ ЭКЦ МВД России, 2000.

177

мотрены в период с 17.05 до 17.15. и даже без участия специалиста. Дословно устанавливающая часть протокола сведена к следующему: «Накопитель на жестком магнитном диске «Винчестер» представляет из себя параллелепипед высотой 23 мм, шириной 101 мм и длиной 146 мм, выполненный из металло полимерного сплава. Марка: Cavar 312001. Объем: 1281,9 МБ, серийный №: WD S/N: WT 3021505698». Вопреки всем требованиям закона эти объекты были признаны вещественными доказательствами и без проверки и оценки включены в приговор как доказательства виновности.

На допустимость объекта СКТЭ влияет не только соблюдение правил его получения, но и надлежащее его хранение уже после изъятия (особенно это касается носителей компьютерной информации) (ст.82 УПК РФ). Оно должно исключать возможность преднамеренных или случайных изменений (подмены) объекта, так как сомнение в подлинности объекта экспертного исследования компьютерного средства также может повлечь недопустимость заключения эксперта СКТЭ.

Представляется, что эксперт, выполняющий СКТЭ, должен обращать внимание и на безупречность изъятия объектов, которое может осуществляться в рамках осмотра, обыска или выемки, и на правиль- ность упаковки, транспортировки, хранения. Последнее вызывает наибольшую тревогу, поскольку именно при хранении чаще всего следователи «компрометируют» будущие объекты исследований. Многие из них пытаются самостоятельно без соблюдения процессуальных требований осмотреть и исследовать информацию. Некоторые используют изъятые компьютерные средства в служебных или личных целях, что приводит к изменению или даже уничтожению информации, а также ставит

Кушниренко СП. Использования результатов КТЭ в процессе доказывания// В сб. Актуальные проблемы экспертных исследований компьютерных средств (ма- териалы семинара, г. Краснодар).- М.:ГУ ЭКЦ МВД России, 2001.

178

под сомнение неизменность изъятого объекта. Анализ практики показывает, что именно такая версия защиты (внесение изменений в компьютерную информацию после ее изъятия у пользователя) преобладает по делам, где проводилась СКТЭ.

Иногда судебно-экспертные исследования компьютерных средств проводятся при недостаточных материалах. Эксперты редко пользуются правом участия в следственных действиях, истребования дополнительных материалов уголовного дела, которые следователь обязан предоставить при необходимости для исследования (ст.57 УПК РФ). Они должны проверять правильность исходных данных, указываемых в постановлении следователя или определении суда о назначении экспертизы.

Следующей составляющей комплексной оценки заключения эксперта СКТЭ является определение его достоверности. После того, как заключение признано допустимым, нужно установить насколько оно соответствует действительности. Здесь прежде всего должно быть проверено, насколько обоснованы выводы эксперта, достаточно ли они аргументированы, подтверждены проведенными исследованиями компьютерных средств. Поэтому сначала нужно проанализировать само заключение эксперта СКТЭ (все связи его с другими доказательствами по делу), его содержание и структуру, внутреннюю логику.

В ходе подобного анализа важно уяснить, насколько надежна примененная экспертом методика по изучению того или иного компьютерного средства. Как правило, судебные эксперты проводят исследования по заранее разработанным методикам, соответствующим образом апробированным и утвержденным. Надежность таких методик обычно достаточно высока. В случае же судебно-экспертного исследования компьютерных средств, каждая СКТЭ представляет собой определенный

179

новый шаг в разработке методического обеспечения нового рода экс- пертной деятельности.

Новизна рассматриваемых вопросов, уникальность ряда технических подходов в изучении компьютерных средств, отсутствие стройной системы методов и средств экспертных исследований в сфере информационных технологий могут вызывать некоторую неясность. Это одно из наиболее уязвимых мест для СКТЭ при оценке ее результатов. Поскольку экспертиза находится в процессе становления, а методики разработаны недостаточно и внедрены не повсеместно в государственных экспертных учреждениях, поэтому первоочередной задачей остается решение вопросов стандартизации и паспортизации методик. Пока в судебной и следственной практике, связанной с расследованием компьютерных преступлений, нет случаев исключения из доказательств заключений экспертов в связи с применением неапробированных или недостаточно обоснованных методик. Но это связано не с их безупречностью, а с отсутствием опытных и сведущих в вопросах высоких технологий следователей, судей и защитников. Обвиняемые также пока не решаются опротестовывать заключения экспертиз, что можно объяснить особенностями психологии их личности (молодой возраст, недостаток жизненного и правового опыта, своеобразное признание исключительности их интеллектуальных возможностей и пр.).

Вышеперечисленные факторы не исключают, что научная обосно- ванность ряда экспертных методик либо обозначенных методических подходов по исследованию компьютерных может быть поставлена под сомнение кем-нибудь из участников процесса. Более того, скорее всего этот вопрос из области компьютерных технологий может стать предметом активного обсуждения в судебном заседании. Ведь большинство его участников являются в той или иной мере пользователями компьютеров,

180

соответственно имея сугубо свое понимание обсуждаемой проблемы. Вероятнее всего, такая дискуссия может возникнуть вокруг недавно созданных методик, не получивших еще всеобщего признания в области судебно-экспертных исследований компьютерных средств.

Возможна ситуация, когда в суде два эксперта с различными ме- тодическими установками обосновывают прямо противоположные вы- воды. Показательным является пример, в которой решался вопрос о причислении к ЭВМ контрольно-кассового аппарата (ККА), посредст- вом которого осуществлялся неправомерный доступ к охраняемой законом компьютерной информации фискального назначения . Один из экспертов, оперируя лишь эксплуатационной документацией, однозначно причислил контрольно-кассовый аппарат к ЭВМ. Другой эксперт, проведя комплексное изучение диагностических признаков, а также свойств и состояний объекта сообразно условиям и факторам криминальной ситуации поставил под вопрос отнесение ККА к ЭВМ. В подобных ситуациях оценка обоснованности заключения эксперта сводится по существу к определению обоснованности примененной методики.

Однако на практике при рассмотрении дел, сопряженных с ис- пользованием компьютерных средств, чаще всего, видимо, будет ста- виться под сомнение не научная обоснованность экспертной методики, а правомерность ее применения. СКТЭ проводится с использованием соответствующих экспертных методов и средств, которые в свою очередь реализованы посредством компьютерного инструментария. В зависимости от степени формализации исследования компьютерных средств роль специальных экспертных методов СКТЭ может быть различной - от вспомогательных, применяемых наряду с общесистемным программным обеспечением, до основных, когда всесторонне исследование кримина-

181

диетически значимой информации проходит на стендовом компьютерном комплексе эксперта.

В таких случаях правильность вывода зависит от надежности при- мененных аппаратных и программных экспертных средств. При оценке этого нужно иметь ввиду, что по установленному в экспертных учреждениях порядку любая компьютерная программа, прежде чем она допускается к использованию в экспертной практике, должна пройти процедуру апробации и утверждения. Причем данные об этом необходимо отражать в заключении СКТЭ. Поэтому имеется возможность проверки надежности инструментальных средств СКТЭ по формальным признакам - кем и когда создано программное обеспечение, рекомендовано ли к применению и т.п.

Программные средства эксперта, не отвечающая установленным формальным требованиям, могут быть поставлены под сомнение. Это, в свою очередь, может послужить основанием для оспаривания экспертного заключения СКТЭ. Поэтому представляется перспективным наметившийся в последнее время порядок представления утверждения экспертных методик в Федеральном межведомственном координационно-методическом совете по проблемам экспертных исследований (создан в1998 году по инициативе ГУ ЭКЦ МВД России и РФЦСЭ при Минюсте России).

Далее необходимо отметить, что помимо надежности примененной экспертом методики при оценке заключения эксперта учитывается также достаточность представленного исследовательского материала.

Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. -М.: Право и закон, 2001.

182

Это могут быть как непосредственно компьютерные средства (например, сравнительные образцы легитимных копий программных средств), так и дополнительное оборудование.

Показательным является упомянутый уже в настоящем исследова нии пример, когда для осуществления синхронизации данных между электронной записной книжкой и настольным компьютером необходим ф был специальный разъем - подставка, ранее входивший в комплект

электронной записной книжки.

Важным моментом, влияющим на обоснованность заключения эксперта, является правильность представленных эксперту исходных данных. Эти данные (в большинстве случаев - различные компьютерные средства) эксперт СКТЭ получает от следователя (суда) в качестве готовых посылок для выводов. Очевидно, если исходные данные не соответствуют действительности (например, накопители данных с несоответствующими им носителями информации), то и заключение эксперта будет недостоверным, даже если никаких ошибок в экспертной технологии допущено не было.

Оценка же достоверности таких заключений сводится к оценке правильности исходных данных. Однако, здесь нужно иметь в виду, что такая оценка не входит в компетенцию эксперта СКТЭ. Эти данные ус танавливаются следственным путем, обычно посредством производства различных следственных действий (допросов, осмотров, эксперимен- „ тов). Эксперт может только обратить внимание следствия (суда) на не-

состоятельность чьих-либо показаний с точки зрения информационных технологий (например, что такой программой невозможна обработка информации представленного типа; либо телекоммуникационную связь нельзя осуществлять представленным аппаратным устройством).

183

Следующим компонентом оценки обоснованности заключения эксперта СКТЭ является определение полноты проведенного исследования (например, все ли удаленные файлы были восстановлены и просмотрены экспертом). Экспертные ошибки допускаются иногда из-за того, что эксперт недостаточно полно провел исследование. В ряде случаев заключение СКТЭ ставится под сомнение потому, что эксперт не применил все современных методов анализа компьютерных технологий. Все эти обстоятельства являются основаниями для назначения повторной экспертизы.

При оценке обоснованности заключения эксперта СКТЭ необходимо проверить, насколько экспертный вывод подтверждается прове- денным им исследованием компьютерных средств. Это наиболее сложный аспект оценки СКТЭ, так как следователю без соответствующих специальных познаний в сфере современных информационных технологий весьма трудно оценить те данные, которыми оперировал эксперт.

Помимо обоснованности в оценку достоверности заключения эксперта СКТЭ входит определение его правильности. Сомнение в пра- вильности заключения эксперта, наряду с его необоснованностью, либо наличия противоречий в выводах эксперта является основанием назначения повторной экспертизы (ст. 207 УПК РФ). Правильность заключения эксперта, в отличии от обоснованности, оценивается путем сопоставления заключения по экспертизе компьютерных средств с другими собранными по делу доказательствами. Бывают случаи, когда заключение по своему содержанию не вызывает каких- либо сомнений, однако противоречит другим материалам дела (например, несоответствие интервалов подключения компьютера к Интернет и фактической работы подозреваемого на компьютере). Обычно в таких случаях назначается повторная экспертиза. Основанием назначения повторной экспертизы

184

может быть и несогласие с предъявленным заключением обвиняемому (ст.206 УПК РФ), особенно когда оно им активно оспаривается (напри- мер, в случае преднамеренного распространения вредоносных про- грамм).

Следует иметь в виду, что не устраненные противоречия заключения эксперта с другими материалами дела или между заключениями различных экспертов рассматриваются вышестоящими судами как не исследованность обстоятельств дела и могут повлечь за собой отмену приговора.

Последним элементом оценки заключения эксперта СКТЭ является определение его доказательственного значения, которое может быть различным. Это зависит от многих обстоятельств - от того, какие факты установлены экспертом, от характера дела, от конкретной следственной ситуации, в частности от имеющейся на данный момент совокупности доказательств, сопряженных с использованием компьютерных средств.

Прежде всего доказательственное значение заключения эксперта определятся тем, какие обстоятельства им устанавливаются, входят они в предмет доказывания по делу (ст. 73 УПК РФ) или являются доказа- тельственными фактами, уликами. Эти обстоятельства могут иметь ре- шающее значение, от них зависит судьба дела (например, в случае обнаружения на компьютере номеров кредитных карточек, по которым были проведены неправомерные транзакции в онлайновом магазине). Заключение эксперта СКТЭ в таких случаях приобретает чрезвычайно важное значение по делу и поэтому подлежит особо тщательной оценке.

В других случаях, когда устанавливаемые экспертом факты не входят в предмет доказывания, они являются косвенным доказательством (например, на данном компьютере могли быть подготовлены пред- ставленные текстовые документы). Выводы эксперта СКТЭ, являющие-

185

ся косвенными доказательствами, могут быть положены в основу приговора только в совокупности с другими доказательствами. Часто они используются лишь на первоначальном этапе расследования, для раскрытия преступления, а впоследствии, когда получены прямые доказательства, утрачивают свою ценность. Например, если обвиняемый дал подробные правдивые показания об изготовлении им фальшивых денежных знаков с использованием компьютерных средств, то следствие и суд будет уже мало интересовать вывод эксперта о наличии в удаленных файлах компьютера обвиняемого сканированных элементов изображений денежных знаков, хотя при раскрытии преступления они и сыграл немаловажную роль.

В то же время, если дело «построено» на косвенных доказательствах (на компьютере обнаружены следы активного использования графи- ческих пакетов), то каждая улика приобретает особую значимость. Кроме того, как было показано выше доказательственное значение СКТЭ зависит от формы экспертного вывода, поскольку приговор или решение суда могут базироваться только на категорических выводах. Заключение с категорическими выводами служит источником доказательств, а изложенные в нем фактические данные являются доказательствами.

Следует заметить, что в СКТЭ очень распространены вероятностные заключения, которые также могут быть успешно использованы в процессе доказывания. Ярким примером доказательственного значения результатов СКТЭ может служить дело о незаконном подключении «двойников» к сотовой связи, расследованное Главным следственным управлением при ГУВД Краснодарского края1. Группа студентов из Ливана и Палестины организовала подпольную телефонную станцию пу-

1 Кушниренко СП. Использования результатов КТЭ в процессе доказывания// В сб. Актуальные проблемы экспертных исследований компьютерных средств (ма- териалы семинара, г. Краснодар).- М.:ГУ ЭКЦ МВД России, 2001.

186

тем незаконного подключения «двойников» к сотовой связи по номерам фирмы «ИСТ». Звонки производились в 44 страны Европы, Азии, Ближнего Востока и Америки. В ходе расследования СКТЭ дала вероятностное заключение, установившее возможность кодировки изъятого телефонного аппарата (МТР) на номер сотового телефона фирмы «ИСТ» 4911130 и перекодировки этого аппарата по найденной у преступников схеме на любые известные им шифр-коды, в том числе и на изъятые у обвиняемых. Безусловно, оно имело доказательственное значение наряду с другими доказательствами: обнаружением в комнате общежития двух сотовых телефонов «НОКИЯ» и адаптеров к ним, а также записи, содержащие шифр- коды и схемы перекодировки телефонов; заключением судебно- почерковедческой экспертизы о выполнении этих записей членами преступной группы; показаниями свидетелей; опознанием пре- ступников лицами, пользовавшимися услугами подпольной станции, но ранее не встречавшимися.

Итак, проведенные исследования позволяют сделать следующие выводы по третьей главе.

  1. Необходимость разработки системы действий и связанных с ними правоотношений, осуществляемых в процессе судопроизводства уполномоченными на то органами и лицами по назначению, организации и производству судебной компьютерно-технической экспертизы обусловлена вступлением в силу Уголовно- процессуального кодекса РФ, а также требованиями Федерального закона РФ «О государственной судебно-экспертной деятельности» (2001 г.). Систематизация методологических и регулятивных принципов назначения и производства судебно-экспертных исследований в сфере современных информационных технологий в условиях современного законодательства обеспечивает

187

реализацию принципов независимости, объективности, всесторонности и полноты судебно-экспертных исследований компьютерных средств.

  1. Рассмотрены типичные следственные ситуации при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств, а также экспертные пути их разрешения. Первая группа, объединяет преступления, предметом которых являются компьютерные средства, и обуславливает комплексное диагностирование объектов СКТЭ. Во второй группе компьютерные средства выступают одновременно как предмет и средство совершения преступления; экспертными задачами, в основном, являются выявление и исследование функций программного обеспечения. Третья группа объединяет следственные ситуации, где компьютерные средства выступают как средства совершения и (или) сокрытия преступления, и обеспечивается экспертным диагностированием программного и информационного обеспечения. Четвертая группа — следственные ситуации, где компьютерные средства выступают как источник криминалистически значимой информации и обуславливают необходимость ее экспертного диагностирования, изучение первоначального состояния данных и хронологии воздействия на них.
  2. Установлено, что необходимым условием привлечения специ- альных познаний в сфере компьютерных технологий является неукоснительное следование требованиям законодательства при назначении СКТЭ, включающем подготовку материалов на экспертизу, и ее производстве как в государственных или негосударственных экспертных учреждениях, так и вне экспертных учреждений, поскольку выводы эксперта в дальнейшем подлежат оценке на относимость и допустимость, как и прочие доказательства по делу. Выявленные особенности назначения СКТЭ связаны со спецификой расследования компьютерных преступлений и
    возможностью участия эксперта в процессуальных

188

действиях с целью использования им результатов следственных дейст- вий при подготовке заключения.

  1. Уточнена организация судебно-экспертной производственной деятельности в области СКТЭ в экспертных учреждениях (государст венных и негосударственных) и вне экспертных учреждений. Уяснение стадий экспертного исследования компьютерных средств, уточнение по рядка составления заключения и формулирования выводов эксперта по зволили сформировать теоретические и практические основы производ- ртва СКТЭ.

  2. Всесторонне рассмотренные действия эксперта СКТЭ на под- <

.ютовительной стадии, в процессе детального исследования объектов

^спертизы, а также оценки результатов исследования позволяют эф- фективно провести исследование компьютерных средств и сформулировать выводы СКТЭ. Изученные требования к выводам СКТЭ (определенность, доступность) и их классификация (по степени подтвержденно-ити, по отношению к устанавливаемому факту, по отношению между следствием и его основанием) предоставляют широкие возможности эксперту по интерпретации и трактовке полученных результатов, стройному логическому оформлению своих умозаключений на основе выявленных или представленных ему данных об исследуемом объекте СКТЭ и общего научного положения соответствующей отрасли знания - сферы компьютерной информации.

  1. Выполнен анализ процессуальных ситуации, в условиях кото рых решается вопрос о производстве СКТЭ и допросе эксперта в суде. Т.к. проведение экспертизы в суде является самостоятельным процессу альным действием и для сферы компьютерной информации оно являет ся новым, подробно рассмотрен ее регламент применительно к судебно- экспертному исследованию компьютерных средств. Установлено, что в

189

зависимости от сложности поставленных вопросов, иных обстоятельств СКТЭ по определению суда может проводится непосредственно в суде либо в другом месте (например, в экспертном учреждении, на месте происшествия и пр.).

  1. Изучено право суда вызвать для допроса эксперта СКТЭ, давшего заключение в ходе предварительного расследования. Целями допроса эксперта СКТЭ в суде являются: уточнение компетенции эксперта и его отношения к данному делу; разъяснения или дополнения данного им заключения. Характерными вопросами к эксперту являются: объяснение сущность специальных терминов и формулировок области информационных технологий; обоснование использованной методики исследования, пояснение назначения и функций аппаратных и программных средств; объяснение своих умозаключений по формулированию выводов экспертизы и пр.
  2. Учет опыта предшествующего периода правоприменительной практики и современных условий позволил выработать определенные подходы при решении возникающих проблем оценки результатов СКТЭ, в т.ч. связанных с чрезмерным доверием к заключению СКТЭ. Поэтому оценка и использование результатов СКТЭ следователем и судом рассмотрены с точки зрения относимости, допустимости и достоверности доказательств. Повышение доказательственной ценности выводов СКТЭ неразрывно связано с дальнейшим совершенствованием ее методического обеспечения.

190

ГЛАВА 4. МЕТОДИЧЕСКИЕ ОСНОВЫ СУДЕБНОЙ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ

§4.1. Основные требования, предъявляемые к методическому обеспе- чению СКТЭ

Создание концепции СКТЭ потребовало проведения отдельного научного исследования, целью которого являлась разработка системы методов и средств СКТЭ . Настоящая глава отражает результаты формирования данной системы методов и средств и определяет сущность методологии экспертного исследования компьютерных средств и систем;

Решение научной задачи по созданию системы методов и средств СКТЭ было достигнуто посредством:

о анализа существующих и перспективных методов и средств ис- следования вещественных доказательств по делам (уголовным, гражданским, административным правонарушениям), сопряженным с применением компьютерных средств;

© выбора классификационных признаков и обоснования структуры системы экспертных методов и средств производства СКТЭ;

© определения содержания системы инструментальных аппаратно- программных методов и средств экспертного исследования компьютерных средств;

© выработки предложений по выбору существующего и созданию перспективного аппаратно-программного инструментария СКТЭ;

© разработки комплекса методических подходов по применению ос- новных экспертных методов и средств исследования объектов СКТЭ.

А.И. Усов. Методы и средства решения задач компьютерно-технической экспертизы. - М., ГУ ЭКЦ МВД России, 2002.

191

Состав и содержание экспертных методов и средств СКТЭ опре- деляются, прежде всего, целями и задачами рассматриваемого рода судебных экспертиз. Выше было установлено, что целями СКТЭ, в общем случае, являются: определение статуса объекта как компьютерного средства, выявление и изучение его следовой картины в расследуемом преступлении, а также получение доступа к информации на носителях данных с последующим всесторонним ее исследованием. Напомним, что к основным задачам СКТЭ отнесены следующие:

® диагностирование аппаратных средств компьютерной системы;

® определение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, состояния программного системного и прикладного обеспечения;

о поиск, обнаружение, анализ и оценка информации (данных), под- готовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Таким образом, формирование и развитие технико- криминалистического обеспечения производства СКТЭ неразрывно связано с необходимостью рассмотрения основных методов и средств экспертных исследований компьютерных средств. Всестороннее изучение состояния данной проблемы показало объективную необходимость создания и последующего использования комплексной системы экспертных методов и средств исследования различных компьютерных систем и устройств. Сущность этой инструментальной системы обусловлена этапами создания, особенностями эксплуатации и текущим уровнем научно- технического развития современных информационных технологий. В то же время, продолжающееся использование в криминальных целях достижений информатизации современного общества требует принятия адекватных мер и в области судебных экспертиз. Кроме того, первый

192

опыт экспертной практики, отраженный в настоящей главе, выявил потребность в наличии определенных типичных подходов ко многим аспектам СКТЭ и регулировании нормативно-правовой базы ее методического обеспечения.

Требования к методическому обеспечению СКТЭ базируются на основных процессуальных нормах, определенных УПК РФ примени- тельно к судебной экспертизе, а также положениях Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации»1, и должны предъявляться, прежде всего с позиций достижения положительной оценки заключения эксперта следователем и судом.

Современное отечественное судопроизводство выдвигает следующие требования к СКТЭ: законность, обоснованность, достоверность получаемых результатов, безопасность, эффективность, эконо- мичность, этичность, а также такой специфический критерий как допус-

•у

тимость . Именно требование допустимости является отличительным признаком судебного исследования компьютерных средств и систем от чисто научного (либо практического) изучения вычислительной техники, средств телекоммуникаций, защиты информации и пр.

Подробно сущность этих требований применительно к СКТЭ была рассмотрены нами ранее . Кратко же остановимся на принципиальных положениях данного вопроса.

При производстве судебной экспертизы законодательство не огра- ничивает эксперта в выборе методов исследования. Поэтому главное,

Федеральный Закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31.05.2001, № 73-ФЗ.

Российская Е.Р. Общеэкспертные методы исследования вещественных дока- зательств и проблемы их систематизации. В кн.:50 лет НИИ криминалистики. Сб. научн. Трудов ЭКЦМВД РФ.-М, 1995.

193

что определяет допустимость методов в СКТЭ, это их научная обоснованность, соответствие новейшим достижениям области современных научных технологий. Кроме того, допустимость методов СКТЭ определяется их безопасностью для эксперта, характером воздействия на аппаратный, программный или информационный объект исследования, временем получения результатов. Большое значение здесь приобретает научная специализация, профессиональный уровень и личный опыт эксперта СКТЭ.

Важным требованием, предъявляемым к экспертным методам, яв- ляется эффективность. Используемые экспертом СКТЭ методы должны позволять в оптимальные сроки с наибольшей продуктивностью решать поставленную задачу исследования объекта экспертизы. Методы также должны обладать свойством рентабельности, т.е. соизмеримости затраченных сил и средств с ценностью полученных результатов .

Современное процессуальное законодательство не ограничивает судебного эксперта в выборе методов исследования вещественных доказательств. Поэтому главное, что определяет допустимость методов в СКТЭ - это их научная обоснованность и соответствие новейшим достижениям в области компьютерных технологий. Допустимость методов и средств СКТЭ определяется также их безопасностью для эксперта, характером воздействия на объект судебно-экспертного исследования компьютерных средств и систем, временем и точностью получения результатов.

В связи с началом формирования методических основ СКТЭ и притоком новых специалистов в эту сферу большое значение приобрета-

Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М: Право и закон, 2001.

2 Криминалистика. Учебник для вузов. Под ред.. Р.С. Белкина. -М: НОРМА- ИНФРА-М, 1999.

194

ет научная специализация, профессиональный уровень и личный опыт эксперта СКТЭ. Нынешний перечень научных специализаций в сфере современных информационных технологий является достаточно обширным и подвержен постоянной модификации, связанной с быстрыми темпами развития средств информатизации.

Как известно из судебно-экспертной практики возможности методов исследования вещественных доказательств неодинаковы1. В целом, экспертные методы обладают различной чувствительностью и избира- тельностью. Они могут являться качественными и количественными, относительными, требующими паспортизованных стандартных образ- цов, и методами абсолютных измерений. При производстве СКТЭ в зависимости от задачи, стоящей перед экспертом, метод исследования компьютерного средства, зачастую, выбирается в каждом конкретном случае.

В то же время, следует постоянно помнить, что объектами СКТЭ являются вещественные доказательства, которые согласно принципу непосредственности, действующему при судебном разбирательстве, необходимо представить в суд неизмененными. Сохранность вещественных доказательств обусловливает также возможность назначения повторных и дополнительных экспертиз (ст.207 УПК РФ) . Поэтому обычно в методической литературе даются рекомендации применять в первую очередь неразрушающие (недеструктивные) методы .

Понятие разрушающего и неразрушающего методов не конкрети- зируется, хотя, применительно к объектам СКТЭ, оно далеко не одно- значно. При одной следственной ситуации вещественным доказательством является конкретное аппаратное средство (например, модем либо

Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р.Россинской.-М.:НОРМА-ИНФРА-М, 1999. 2Там же.

195

сетевая плата), а при другой - все данные на носителях компьютерной информации, т.е. каталоги и файлы.

Применение одинаковых методов к названным объектам в первом случае не ведет утрате вещественного доказательства, а во втором - значительно изменяют его свойства и состояния. Ведь даже простое включение персонального компьютера после его изъятия (без выполнения каких-либо действий) вносит существенные изменения в компьютерную информацию посредством автоматической модификации файлов реестра операционной системы. Кроме того, неясно, если объект СКТЭ можно многократно исследовать одним методом, но после первого из этих исследований данный объект будет уже непригоден для анализа другим методом, будет ли первый метод разрушающим. Возможен и обратный вариант: второй раз исследование данным методом повторить нельзя, но можно использовать вместо него множество других.

В научной литературе принято считать , что разрушающим является метод экспертного исследования, который при своей реализации приводит либо к разрушению объекта в целом (или исследуемого образца), либо к необратимым изменениям состава, структуры или отдельных свойств объекта при сохранении его формы и внешнего вида. По аналогии с принятой градацией методов экспертного исследования в зависимости от степени сохранности объекта в методическом обеспечении СКТЭ может быть использовано следующее разделение:

® методы исследования компьютерных средств и систем, никак не влияющие на объект СКТЭ и не требующие реализации процедур про-боподготовки;

Российская Е.Р. Общеэкспертные методы исследования вещественных дока- зательств и проблемы их систематизации// В кн. 50 лет НИИ криминалистики (сборник трудов ЭКЦ МВД РФ).-М., 1995.

196

о методы исследования компьютерных средств и систем, не разру- шающие объект СКТЭ, но изменяющие его состав, структуру или от- дельные свойства;

• методы исследования компьютерных средств и систем, не разру- шающие образец, но требующие для его изготовления разрушения или видоизменения объекта;

© методы исследования компьютерных средств и систем, полностью или частично разрушающие объект СКТЭ или образец.

Напомним, что под образцом для сравнительного исследования понимаются материальные объекты, представляемые эксперту для сравнения с идентифицируемыми или диагностируемыми объектами (как правило вещественными доказательствами). В отличие от вещественных доказательств, образцы не связаны с расследуемым событием и сами доказательствами не являются .

Следует особо подчеркнуть, что применение неразрушающих ме- тодов в СКТЭ не самоцель и может быть неэффективным в данном конкретном случае, когда полную информацию об объекте можно получить только при его разрушении, например, «взломав» парольную защиту. Выбор или разработка методики исследования компьютерных средств и систем иногда зависит не только от объекта, но и от сложившейся следственной ситуации. Использование только неразрушающих методов (при отсутствии необходимых аппаратно- программных средств) может привести к затягиванию сроков выполнения СКТЭ и иметь негативные последствия для расследования преступлений, сопряженных с использованием компьютерных средств, а также судебном рассмотрении уголовных и гражданских дел.

Энциклопедия судебной экспертизы/Под ред. Т.В.Аверьяновой, Е.Р. Росси-ниской.- М.:Юристь, 1999.

197

Одним из важных требований, предъявляемых к экспертным методам, и адекватно реагирующих на сложность подлежащей решению экспертной задачи является эффективность. Используемые в СКТЭ ме- тоды должны позволять в оптимальные сроки с наибольшей продуктивностью решать поставленную задачу исследования объекта экспертизы. Ввиду неординарности свойств объектов СКТЭ, низкого уровня оснащения экспертных учреждений требуемым инструментарием, отсутствием достаточно подготовленного класса экспертов СКТЭ, вопросы эффективности судебно-экспертного исследования компьютерных средств, видимо, еще долгое время будут решаться в компромиссных условиях «посильного» их проведения либо невозможности решения поставленных экспертных задач.

Кроме того, экспертные методы должны обладать свойством рен- табельности, т.е. соизмеримости затраченных сил и средств с ценностью полученных результатов1, что может быть достигнуто лишь посредством тесного взаимодействия со следственными (либо судебными) органами.

В общем случае, методическое обеспечение СКТЭ, как и в экспертизах других родов и видов, служит для реализации определенного про- цесса познания - движение от незнания или неполного знания о необходимых для доказывания фактах и обстоятельствах преступления, сопряженного с использованием компьютерных средств, к более полному знанию. Судебно-экспертная практика в сфере современных информационных технологий показывает, что методическое обеспечение СКТЭ включает в себя характерные черты одного или нескольких общенаучных методов исследования. Оно основано на интеграции в криминалистику и судебную экспертизу новых средств информатизации, использо-

1 Криминалистика. Учебник для вузов. Под ред.. Р.С. Белкина. -М: НОРМА- ИНФРА-М, 1999.

198

вании сложного стендового оборудования, специализированного про- граммного обеспечения.

§4.2. Система экспертных методов и средств СКТЭ

В виде основной рабочей гипотезы исследований, отраженных в настоящей главе, явилось предположение об объективном существовании целостной системы методов и средств решения задач судебной компьютерно-технической экспертизы. Эта система экспертных методов и средств направлена на создание всесторонних условий, позволяющих экспертам применять специальные познания и проводить объективное исследование объектов СКТЭ для получения достоверных и обоснованных выводов.

Методологическим базисом полученных результатов являются ос- новные положения общей теории криминалистики и общей теории су- дебной экспертизы. В соответствии с вышеуказанным рассматриваемая проблематика изучалась с применением: диалектической и формальной логики; общенаучных методов: чувственно-рациональных, математических и кибернетических.

В общем случае, под методами экспертного исследования (от греч. methodos - путь исследования, теория, учение) понимают путь движения от незнания к знанию, способ достижения цели деятельности, способ познания теорией своего предмета. Методы экспертной практической деятельности в области СКТЭ формируются и основываются на:

© соответствующих научных методах областей, определяющих специальные познания в сфере компьютерных технологий;

© характере и свойствах объекта деятельности - компьютерных средствах и системах;

199

о опыте решения типичных практических задач по исследованию аппаратных, программных и информационных средств, в том числе на алгоритмических правилах, разработанных самим экспертом СКТЭ.

Решение задач СКТЭ, как и в экспертизах других родов и видов, включает в себя процесс познания - движение от незнания или неполного знания о необходимых для доказывания фактах к более полному знанию.

В формирование учения о методах криминалистики и судебной экспертизы большой вклад был сделан Р.С. Белкиным, А.И. Винбергом, Н.А. Селивановым, А.Р. Шляховым и рядом других ученых. Так, Р.С. Белкин предложил дифференциацию методов на основе трехчленной системы: всеобщий диалектико- материалистический метод - об-щие(общенаучные) методы - специальные методы науки1. Серьезный вклад в разработку понятия метода криминалистики внес Н.А. Селиванов2. А.И. Винберг и А.Р. Шляхов разработали структуру методов научного и экспертного исследования, учитывая степень их общности и субординации: всеобщий диалектико-материалистический метод и методы логики; общие (общепознавательные методы); частные инструментальные и специальные методы3.

В развитии данного вопроса к настоящему времени выработан уже целый ряд возможных классификаций и структур методов криминали- стики и судебной экспертизы. Так, по классификации Т.В. Аверьяновой4 система методов экспертного исследования с точки зрения единого ос-

1 Белкин Р.С. Курс криминалистики. В 3-х томах. - М., 1997. Селиванов Н.А. Понятие метода криминалистики. Методологическая диалектика- общая методологическая основа советской криминалистики. - М, 1969.

Винберг А.И., Шляхов А.Р. Общая характеристика методов экспертного ис- следования. М, 1977.

Аверьянова Т.В. Содержание и характеристика методов судебно- экспертного исследования. - Алма-Ата, 1991.

200

нования классификации методов (степени их общности и сферы использования) представляется в следующем виде:

® всеобщий метод - материалистическая диалектика;

® общие методы;

о частнонаучные;

о специальные (монообъектные).

Под частнонаучными Т.В. Аверьянова понимает методы произ- водства судебных экспертиз одного рода (вида) или нескольких близких по характеру используемых познаний, под монообъектными - методы, разрабатываемые или приспосабливаемые для исследования конкретного, единичного объекта.

Проведенное исследование показало, что современные методы ис- следования вещественных доказательств, основанные на интеграции в криминалистику и судебную экспертизу новых технологий, использовании сложных приборных комплексов, компьютерной техники включают в себя характерные черты одного или нескольких общенаучных методов исследования. Однако их сочетание бывает настолько своеобразным, а реализация настолько опосредствована, что не позволяет отнести подобный метод к числу какого-то общенаучного.

Многие из этих методов, требующие использования сложного ана- литического оборудования, часто называют инструментальными, однако это представляется не совсем корректным, поскольку само по себе применение прибора не меняет гносеологической сущности метода: сравнение, например, всегда остается сравнением независимо от того, осуществляется ли оно визуально или с применением сравнительного микроскопа.

Ближе всего для обозначения «инструментальных» методов подходит термин «специальные», Но здесь возникает иное препятствие. От-

201

личие между общенаучными и специальными методами заключается в сфере применения - общей у общенаучных, ограниченной - у специаль ных. Между тем, методы, которым посвящено настоящее исследование, применяются или в принципе могут применяться практически во всех родах и видах судебных экспертиз, т.е. для судебно-экспертной практи ки они являются общими. Для терминологического отграничения их от 10 общенаучных методов, т.к. в операциональном плане они от них отлич-

ны: применяются не во всех науках и не во всех видах практической деятельности, такие методы были названы Е.Р. Российской общеэкспертными1.

В то же время некоторые методы, применяемые только в экспертизах данного рода или только для определенных объектов называют ча-стиоэкспертиыми. Однако их сочетание бывает настолько своеобразным, а реализация настолько опосредствована, что не позволяет отнести подобный метод к числу какого-то общенаучного.

По классификации Е.Р. Российской система методов может быть представлена следующим образом:

© методы диалектической и формальной логики;

© общенаучные методы в их экспертной реализации;

© общеэкспертные методы;

© частноэкспертные методы.

Общеэкспертные методы исследования вещественных доказа- % тельств по классификации Е.Р. Российской подразделяются на методы:

Российская Е.Р. Общеэкспертные методы исследования вещественных доказательств и проблемы их систематизации. В кн. .50 лет НИИ криминалистики. Сб. научн. Трудов ЭКЦ МВД РФ.-М., 1995; Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р. Российской. - М: НОРМА-ИНФРА-М, 1999.

Российская Е.Р. Специальные методы исследования вещественных доказательств. - М., ВЮЗШ, 1992; Российская Е.Р. Некоторые аспекты теории методов экспертного исследования // Актуальные проблемы криминалистического обеспечения расследования преступлений, М, Академия МВД РФ, 1996; Российская Е.Р.

202

о анализа изображений;

о исследования морфологии;

® исследования состава;

® исследования структуры;

о исследования различных свойств объектов.

При таком понимании общеэкспертных методов едва ли есть не- обходимость выделять в классификации методов экспертизы специаль- ные методы в том значении, как их понимает Т.В. Аверьянова. Они всегда будут представлять собой тот или иной комплекс общенаучных и общеэкспертных методов, а не какой-то самостоятельный, отличный от них метод того или иного рода или вида экспертизы. В сущности таким же комплексом будет являться и монообъектный, по терминологии того же автора, метод. Он просто будет еще более специфичен, чем специальный метод, будет отвечать уже особенностям не рода или вида экспертизы, а экспертного исследования конкретного объекта. Проблема формирования таких комплексов должна решаться в рамках экспертных методик, которые конечно же сами по себе не являются методами исследования, а содержат лишь рекомендации по их выбору и применению.

Довольно разнородный перечень задач и объектов СКТЭ объективно обусловливает широкий круг экспертных методов и средств. Из- вестно, что определяющая роль в последующей положительной оценке результатов экспертного исследования принадлежит правильному выбору инструментария производства экспертизы. В нашем случае, методы экспертного исследования как научные способы, приемы производства СКТЭ переживают пока период зарождения. Согласно общей теории судебной экспертизы все применяемые на сегодня методы исследования компьютерных средств основываются, прежде всего, на общенаучных методах и ориентированы на охват довольно широкого по номенклатуре

203

класса объектов СКТЭ. В то же время разрешение вопросов классификации экспертных методов уже на нынешнем этапе развития СКТЭ имеет большое значение, т.к. позволяет правильно наметить направления дальнейшего развития.

Для рассмотрения возможных методологических путей решения задач СКТЭ выберем классификацию, ориентированную на судебно- % экспертную сущность методологического инструментария и представ-

ляющую следующую систему:

® методы диалектической и формальной логики (анализ и синтез, индукция и дедукция, гипотеза, аналогия); © общенаучные методы: чувственно- рациональные методы (наблюдение, описание, сравнение, эксперимент); математические методы (измерение, вычисление, математическое моделирова- ние); кибернетические методы; о специальные методы: обще- и частноэкспертные методы. Рассмотрим применяемые сегодня и перспективные методы решения задач СКТЭ с позиции предложенной системы (рис.4.1).

т

204

1 Методы исслсда-‘ : вания- \ исходных ‘текстов;’ Методы изучения

алгоритмов , про-‘: грамм; >>’,’>**’ ?? Методы йсслело- ] ‘?’ < вания загрузоч- , - ных Модулей ‘ * : . ? (исполняемых , • кодов).,

МЕТОДЫ СТСТ]Э[

Метбды проектирования и ис-,(?, следованйя’цифровых устройств-и микропроцессоров; ‘ Методы анализ Сигналов, их < * < генерирование и формирование, прием й обработку, .запись и ,; воспроизведение; 1><,>’.’‘1>]>,’,’,] Оптические Методы;: .:•, ‘•, ?. ?, Методы обработки аудио- и . видеосигналов ‘и др, •?’

Методы поиска и доступа к дан* ‘ ным (например, метод контекст- , ншо поиска,’ метод конвертирования дапных); •’./-,’? /\ ‘? [’.,’..’,’’. ?? Методы манипуляции с Данными (копирование, перемещение, редактирование); ., -,:’,,’,/,’,_'’..’, ‘•, Методы восстановления данных .. (в т.ч. удаленной информации); . • Методы архивации, парольной ,’ защиты и пр

Рис.4.1. Система методов СКТЭ

205

§4.3. Методы диалектической и формальной логики, применяемые в

СКТЭ

Предыдущее развитие научной мысли и практика судебно-экспертной деятельности наглядно доказали правомерность диалектического подхода к выбору методологической базы зарождающихся родов судебной экспертизы. Ведь именно здесь фундаментальную роль играют положения диалектики о способности материи к отражению, о взаимосвязи и взаимообусловленности явлений. Например, в процессе расследования преступлений в сфере компьютерной информации (как впрочем и других видов преступлений), возможен анализ самых разных форм отражения, начиная от простейших, связанных с контактным взаимодействием двух объектов, и до психофизиологических, когда факты и обстоятельства запечатлеваются в сознании людей . Важнейшее значение диа- лектического метода для СКТЭ состоит в том, что он является базовым. На нем основаны и из него вытекают все другие методы, применяемые для овладения предмета данной экспертизы, изучения конкретных объектов СКТЭ.

Формально-логические методы познания (анализ и синтез, индукция и дедукция, гипотеза и аналогия и др.) не связаны с предметом ис- следования, однако их соблюдение обеспечивает правильность мышления по форме мыслительных операций. Таким образом, при условии истинности посылок формальная логика позволяет получить значение не только правильное по форме, но и новое по существу. Кратко остановимся на некоторых основных логических методах.

Анализ как метод исследования предполагает мысленное расчленение (разложение) целого, любого сложного явления на составные бо-

206

лее простые части, элементы. Посредством анализа эксперт выделяет и изучает отдельные, наиболее важные для решения поставленных перед ним вопросов, свойства, стороны и отношения исследуемого объекта. При этом теряется представление об объекте, явлении как едином целом (например, в несанкционированном доступе к компьютерной информации, при делении его на последовательные этапы и составляющие компоненты), что не позволяет до конца понять динамику возникновения и развития объекта.

Сущность синтеза как одного из основополагающих методов логики заключается в соединении, воспроизведении связей отдельных частей, элементов, сторон, компонентов сложного явления и достижения целого в его единстве . Анализ и синтез - два пути, две формы познания. Единство их можно показать на примере исследований эксперта СКТЭ, направленных на определение причин изменения свойств аппаратного средства ( в т.ч. причин износа и его степени). При натурном изучении сначала выделяются из общего числа присущие объекту (например, системному блоку персонального компьютера) признаки, отражающие его физическое состояние. После чего все множество их мысленно разделяется на признаки, соответствующие блокам и элементным компонентам (платы расширения, наборы микросхем и пр.) данного системного блока. Все обозначенные признаки соотносятся с имеющимся в специальной нормативно-справочной литературе описанием его абстрактного аналога. Далее производится поэтапная оценка каждого из выявленных признаков. Следующий этап исследований - это синтез отдельных результатов оценок всей совокупности найденных на предыдущих этапах при-

Криминалистика. Учебник для вузов. Под ред. проф. Р.С. Белкина. -М.:НОРМА- ИНФРА-М, 1999.

2 Винберг А.И., Малаховская Н.Т. Судебная экспертология - Волгоград, 1980.

207

знаков, позволяющих получить представление о степени износа ( в процентах) аппаратной части компьютерного средства.

Переход в процессе экспертного познания от анализа фактов к синтезу осуществляется с помощью взаимодополняющих друг друга ме тодов, одним из которых является индукция. В узком смысле под индук цией понимается метод перехода от знания отдельных фактов к знанию 0 общего, к эмпирическому обобщению и установлению общего положе-

ния1. Слабость индукции - в недостаточной обоснованности такого перехода: практически перечисление фактов никогда не может быть завершено и эксперт не может быть до конца уверен в том, что следующий факт не будет противоречить другим, установленным ранее. Так, при установлении факта обеспечения надлежащих условий эксплуатации ЭВМ в определенном учреждении в ходе СКТЭ, назначенной при расследовании обстоятельств уничтожения охраняемой законом информации в

ЭВМ, перечень проведенных организационных мероприятий (например, #

вводный инструктаж работающих, обустройство необходимых средств

защиты данных, обеспечение должных эргономических условий работы и т.п.) может быть прерван, если будет установлено, что имеющий доступ к ЭВМ сотрудник, просто не обладал квалификацией, соответствующей выполняемым работам.

Кроме того, из посылок индуктивного заключения неясно, насколько обобщаемые признаки (свойства) существенны для решаемой

задачи СКТЭ. Здесь наглядным примером является экспертная ситуация

9

с установлением возможности решения конкретной функциональной задачи (например, подготовка и распечатка доверенности с помощью редактора MS Word), в аппаратно-программной конфигурации исследуе-

1 Винберг А.И., Малаховская Н.Т. Указ. работа.

208

мой компьютерной системой (например, компьютер с лазерным принтером).

Следовательно, индукция перечисления обеспечивает получение вероятного, но не достоверного знания. В ходе исследования эксперт СКТЭ использует и другие методы обобщения эмпирического материала, с помощью которых получаемое общее знание приобретает вероятностный характер. Прежде всего это метод аналогии и гипотезы, которые различаются по степени обоснованности перехода от фактов к обобщениям.

Указанное выше свидетельствует, во-первых, о многообразии путей обобщения эмпирического материала, движения к теоретическому синтезу, во-вторых, о необходимости дополнения индуктивных методов дедуктивными. Под дедукцией понимают не только переход от общих суждений к частным, но и всякое необходимое следование от одних высказываний, рассматриваемых в качестве посылок, к другим высказываниям (заключениям) с помощью законов и правил логики. И если результатом индукции является вероятное знание, то дедукция при условии истинности посылок ведет эксперта к получению знания достоверного. Так, от общих суждений о том, что установленное программное обеспечение в компьютере позволяет осуществлять доступ в сеть Интернет, эксперт в ходе проводимых им исследований может установить эту возможность в отношении конкретного компьютера и с помощью выявления признаков аппаратного подключения к Интернет (модем, сетевой адаптер и пр.), настроек удаленного доступа, состава сетевых протоколов, конфигурации Интернет-сервисов и пр. определит имена и те- лефонные номера провайдеров, типы подключаемых серверов, входные реквизиты пользователя (login, password) и т.п. Все это позволит сделать

209

вывод о том, осуществлялся ли удаленный доступ с исследуемого ком- пьютера к интересуемым вычислительным ресурсам.

Рассматривая роль и место логических методов познания в СКТЭ, следует отметить, что именно опираясь на них, эксперт приходит к не- противоречивому выводу. Формальная логика определяет формальную правильность движения к истине, однако истинность результатов исследования обеспечивает только диалектическая логика . Лишь с помощью нее эксперт в состоянии разобраться во всем многообразии признаков и явлений, которые он должен изучить для решения задачи СКТЭ.

§4.4. Общенаучные методы, применяемые в СКТЭ

Общенаучные методы - это методы, используемые во всех (или многих) науках или сферах практической деятельности . Не отличаясь от них по существу, общие методы, применяемые в СКТЭ, имеют некоторые особенности, определяемые характером тех закономерностей, которые составляют предмет экспертных исследований компьютерных средств, диктуются целями и задачами данного рода судебной экспертизы. К числу общенаучных относятся в первую очередь чувственно-рациональные методы, сочетающие в себе и чувственное, и рациональное познание, поскольку воспринимается не просто сумма отдельных, изолированных друг от друга элементов, а их совокупность, систематизированная определенным образом. Остановимся подробнее на особенностях этих методов.

Российская Е.Р. Специальные методы исследования вещественных доказательств. - М, ВЮЗШ, 1992.

Российская Е.Р. Специальные методы исследования вещественных доказательств.

210

Чувственно-рациональные методы при решении задач СКТЭ

Чувственно-рациональные методы включают наблюдение, описание, сравнение, эксперимент, моделирование и другие. В общем случае наблюдение, производимое экспертом, имеет целевую направленность, связанную с решением определенной задачи, и планомерный, систематический характер; оно применяется в целях изучения предмета, явления. Визуальный осмотр объектов СКТЭ - неотъемлемая часть экспертного исследования компьютерных средств. Результаты непосредственного визуального восприятия объекта СКТЭ служат основой для его дальнейшего изучения.

Так, установление класса исследуемого аппаратного объекта, вы- явление в нем устройств, имеющих в своем составе носители компью- терной информации, осуществляется визуальным осмотром представ- ленной компьютерной системы. В процессе осмотра системного блока, визуального установления представленной аппаратной конфигурации (материнская плата, чипсет, процессор, платы расширения и т.п.), определения физических дефектов складывается общая картина состояния компьютера. На последующих этапах исследования с помощью тех или иных методов эксперт конкретизирует результаты непосредственного визуального восприятия и представляет их в общепринятой форме.

Метод описания позволяет зафиксировать полученные в результате наблюдения (либо другого метода) сведения, т.е. указать данные о признаках объекта. Описание считается методом познания, так как с его помощью информация обозначается и систематизируется.1 Так, систематизация сведений о локальной вычислительной сети может достигаться путем использования различных видов описаний, начиная с типовых (архитектура сети, количество и типы серверов, рабочих станций, состав

211

активного сетевого оборудования и пр.). Далее на основании типового описания обозначается исследуемое событие, например, несанкционированный доступ к данным. Причем здесь указываются не только типовые, но уже и индивидуальные признаки - характеристика сервера баз данных, признаки модификации (удаления, копирования) защищенных данных, свойства используемой системы информационной защиты и пр. Такой подход дает возможность в дальнейшем пополнить типовое описание новыми признаками.

Для сопоставления свойств или признаков двух или нескольких объектов служит метод сравнения. Важным условие сравнения является свойство сопоставимости сравниваемых объектов, т.е. обладание общими признаками. В СКТЭ объектами сравнения могут быть фактические данные и их источники (например, дискеты с копиями файлов, либо содержание файла и бумажного документа), мысленные образы, представления, понятия (например, алгоритм фрагмента программы, содержание ячейки электронной таблицы), выводы (например, ответ на запрос из базы данных), результаты действий (последствия от действия вредоносной программы).

Воспроизведение явления (события) с целью установления его природы (сущности) достигается методом эксперимента. Эксперимент в отличии от наблюдения характеризуется активным воздействием на предмет исследования с помощью различных приборов и эксперимен-тальных средств . В судебной компьютерно- технической экспертизе эксперимент проводится для установления возможности, последовательности, механизма, причин и условий события, происшедшего (мо-

Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р. Российской. -М: НОРМА-ИНФРА-М, 1999.

Белкин Р.С. Эксперимент в следственной и судебной практике. - М: Юрид. литература, 1964.

212

гущего произойти) и сопряженного с использованием компьютерной информации, и подлежащих изучению в ходе следственных действий. Посредством эксперимента исследуемое явление выделяется из много- образия других явлений и фактов и может изучаться изолированно от связанных с ним причин и следствий.

В качестве примера экспертного эксперимента в СКТЭ можно привести распечатку выявленного в ходе экспертизы файла с изображением оттисков печатей и штампов товарно- сопроводительных документов на принтере, входящем в состав представленной на экспертизу компьютерной системы. К экспериментам другого рода, подпадающим под предмет СКТЭ, относятся испытания вредоносных функций, например, программ- троянов. Путем непосредственного исполнения исследуемых программ-объектов в режиме мониторинга выполняемых операций может быть установлен алгоритм и результаты их воздействия на компьютерную систему.

Математические методы в СКТЭ

Математические методы экспертного исследования компьютерных средств относятся к группе общенаучных методов и включают: измерение, вычисление, математическое моделирование.

При измерении, путем сравнения исследуемой величины с однородной ей единицей измерения, устанавливают количественное соотношение известной и неизвестной величин. Метод измерения состоит из ряда различных по характеру и уровню систем приемов. Измерения по- зволяют свести до минимума субъективную сторону чувственного со- зерцания и, в конечном счете, добиться максимальной точности результатов, насколько позволяет природа измеряемых объектов и характер

213

применяемых средств . Объектами измерения в СКТЭ являются различные характеристики предметов, явлений, процессов, такие как: геометрические размеры, количественные характеристики, временные интервалы и пр. Кроме физических показателей могут измеряться и такие качественные характеристики как работоспособность программного модуля, тип исследуемых данных и другие. Примером прямого измерения является установление геометрических размеров (в мм) системного блока, флоппи-диска и т.п. Непрямым (опосредованным) путем осуществляется, например, измерение объемов памяти (в байтах), скорости передачи данных по каналу связи (в кбит/с), частота процессора (МГц), скорость вращения жесткого диска (об/мин).

Установление указанных выше параметров зачастую осуществляется методом вычисления. Например, так подсчитывается количество файлов в каталоге и объем памяти (в байтах), занимаемый ими. Путем статистических вычислений устанавливается обобщенный показатель при диагностическом тестировании аппаратных средств (например, материнских плат, жестких дисков и т.п.). Широко используются вычисления при моделировании различных процессов и явлений.

В общем случае, к моделированию, как одному из важных экспертных методов, обращаются в тех случаях, когда экспериментировать с объектом невозможно либо нецелесообразно, т.е. использовать его модель. «Под моделью понимается такая мысленно представляемая или материально реализованная система, которая, отображая или воспроизводя объект исследования, способна замещать его так, что ее изучение дает нам новую информацию об этом объекте» . С моделью производятся необходимые исследования, а результаты затем экстраполируются на

Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р. Российской. -М.: НОРМА-ИНФРА-М, 1999.

2 Штофф В.А. Моделирование и философия. - М, 1966.

214

оригинал. В судебной экспертизе известны несколько видов моделирования1. Так, мысленное моделирование эксперт СКТЭ может применить при выявлении недокументированных функций программного средства; физическая модель может быть построена для определения архитектуры и конфигурации по представленным фрагментам вычислительной сети.

В нашем случае, среди математических методов экспертного ис- следования компьютерных средств, особого внимания заслуживает математическое моделирование, как наиболее используемое в экспертной практике СКТЭ. Под математическим понимают моделирование условий протекания процессов и явлений с помощью соответствующих расчетов. Наглядным примером такого моделирования является алгоритмизация вычислительного процесса решения какой-либо функциональной задачи с помощью исследуемого компьютерного средства. Так, математическая модель решения конкретной вредоносной задачи позволит установить входные и выходные данные, ее алгоритм. Кроме того, путем моделирования можно определить требования, предъявляемые к аппаратно-программным средствам, для реализации исследуемой задачи в компьютерной системе.

Кибернетические методы в судебной компьютерно-технической экспертизе

Кибернетические методы, применяемые в СКТЭ, представляют собой совокупность способов познания действительности и достижения целей установления фактов и обстоятельств дела на основе широкого использования современных информационных технологий. Данные методы достаточно близки к предмету СКТЭ, поэтому представляют наибольший интерес для экспертов. При производстве экспертизы киберне-

1 Лузгин И.М. Моделирование при расследовании преступлений. - М.: Юрид.

215

тические методы не следует путать с математическими, поскольку вы- числения и математическое моделирование - это только часть задач, решаемых с помощью кибернетики1. Экспертные технологии, основанные на указанных методах, позволяют, например, автоматизировать поиск криминалистически значимой информации на носителях данных, осуществлять компьютерный мониторинг вредоносных программ и т.п.

Особое место в рассматриваемой группы занимает метод компью- терного моделирования. Так, эксперт, моделируя на своем компьютеризированном рабочем месте работу исследуемой вычислительной сети, может определить причины и условия изменения ее свойств (например. по организации уровней управления доступом), выявить условия противоправной модификации информационных ресурсов сети. Следующим наглядным примером компьютерного моделирования является разрешение задач преодоления парольной защиты для доступа к криминалистически значимой компьютерной информации. Так, в памяти стендового компьютера эксперта методом компьютерного моделирования воспроизводится функционирование исследуемого объекта (скажем, органайзера, мобильного телефона), либо его отдельных компонент. Дальнейшая экспертная работа, в т.ч. по преодолению установленных парольных защит, осуществляется на модели объекта экспертизы с помощью специальных программ.

§4.5. Специальные методы СКТЭ

При производстве СКТЭ помимо рассмотренных выше общенаучных методов важное место занимают специальные методы. Под cneifu-

литература, 1981.

Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р. Российской. -М.: НОРМА-ИНФРА-М, 1999.

216

алъными методами понимают такие методы, сфера применения которых ограничена одной или несколькими науками. В общем случае, сюда входят как методы, первоначально разработанные криминалистической и общей теорией судебной экспертизы, так и методы других наук, которые могут быть использованы без модификации или приспособлены для решения специфических экспертных задач. Эти методы, исходя из принципа общности, можно в свою очередь подразделить на общеэкспертные, используемые в большинстве родов и видов экспертных исследований, и частноэкспертные, характерные именно для данного рода экспертиз1. Кратко остановимся на их сущности и описании.

Общеэкспертные методы, используемые судебной компьютерно- технической экспертизой

Общеэкспертные методы СКТЭ - это научные приемы и способы производства экспертного исследования, разработанные наукой в общей теории судебной экспертизы и используемые во многих родах (видах) экспертизы. Так, для исследования компьютерных средств применяются следующие общеэкспертные: методы анализа изображений объектов экспертизы, методы исследования морфологии, состава, структуры, различных свойств представленных объектов2. В нашем случае, указанные методы имеют свое содержание и смысловое наполнение.

Методы анализа изображений используются для исследования таких традиционных криминалистических объектов как следы человека,

Российская Е.Р. Специальные методы исследования вещественных доказательств. - М., ВЮЗШ, 1992.

Российская Е.Р. Некоторые аспекты теории методов экспертного исследования // Актуальные проблемы криминалистического обеспечения расследования пре- ступлений, М, Академия МВД РФ, 1996; Российская Е.Р. Проблемы криминалисти- ческих и судебно-экспертных методов исследования вещественных доказательств // Проблемы совершенствования производства криминалистических экспертиз, Сара- тов, 1998.

217

орудий и инструментов, а также документов, кино-, фото- и видеоматериалов. При производстве СКТЭ, где основным способом отражения изучаемой компьютерной информации является представление ее на экране монитора компьютерной системы, анализ изображений является базовой компонентой исследования. Так, при экспертном исследовании информационных графических объектов СКТЭ, под анализом изображения понимается как визуальное изучение компьютерной информации в графическом формате, отображенное на мониторе компьютера эксперта, так и его программный анализ (например, на вложенность в графическую среду объекта текстовых сообщений, либо анализ графических данных с изображением оттисков печатей для рецептов на получение лекарственных препаратов).

При диагностировании аппаратных средств важное место занимают методы морфологического анализа, изучающие внешнее строение объекта (например, системного блока компьютера, платы расширения, отдельной микросхемы), а также топографию образующих его структурных элементов (частей целого, включений, деформаций, дефектов и т.п.), возникающих при изготовлении, функционировании и взаимодействии объектов1. Для морфологического анализа при исследованиях аппаратных объектов СКТЭ в некоторых случаях может использоваться рентгенография. Например, при экспертизе смарт-карт может производится ее рентгенография для диагностики внутренних соединений, рас- положения контактов, скрытых от визуального наблюдения верхним слоем покрытия смарт-карты. Методика рентгенографического исследования аналогична исследованию других объектов судебных экспертиз2.

. Основы естественно-научных знаний для юристов. Учебник. Под ред. Е.Р. Российской. -М: НОРМА-ИНФРА-М, 1999.

Российская Е.Р. Рентгеноструктурный анализ в криминалистике и судебной экспертизе. - Киев, КГУ, 1992.

218

Исследуя в ходе СКТЭ структуру данных, эксперт уясняет способ их объединения, взаимное расположение нескольких элементов данных, рассматриваемых как одно целое (например, файл базы данных). Осо- бенно наглядны методы анализа структуры при изучении системы организации файлов и каталогов, включающие в себя как анализ структуры каталогов и файлов, так и правила их создания и манипулирования ими.

Методы исследования отдельных свойств объектов СКТЭ могут быть также самими разными. Например, при определении свойств про- граммных объектов, по возможности, устанавливается алгоритм, определяются исходные данные, промежуточные и конечные результаты работы программы. Развитие методов изучения физических свойств носителей данных, позволяющих выполнять операции записи, хранения и считывания информации, представляют особый интерес для экспертов СКТЭ. Это объясняется тем, что объекты представляются на экспертизу не всегда в виде, доступном для обработки методами логического доступа к данным. Более того, следствие часто интересуют вопросы, неразрешимые сегодня традиционными инструментальными программными средствами (например, каково было содержание информации на жестком диске компьютера до его форматирования и последующего интенсивного использования).

Указанные общеэкспертные методы, в свою очередь, могут в дальнейшем найти свое развитие и дополнение благодаря определенным свойствам и признакам конкретных объектов СКТЭ и специфики решаемых экспертных задач. Это обусловлено прежде всего всеобъемлющим проникновением современных информационных технологий и компьютерных средств во все области научно-практической мысли.

219

Частноэкспертные методы СКТЭ

В общей системе методов решения задач СКТЭ частноэкспертные методы заслуживают особого внимания. Учитывая все вышеизло- женное, необходимо подчеркнуть, что суть решения конкретных экс- пертных задач СКТЭ связана с использованием именно специальных методов следующих научных направлений: электроника, электротехника, радиотехника, связь и телекоммуникации, информационные системы и процессы, вычислительная техника и программирование и др. В то же время, предмет СКТЭ связан с выявлением фактов и обстоятельств дела путем установления закономерностей разработки и эксплуатации компьютерных средств по обеспечению реализации каких-либо информационных процессов. Экспертиза в данном случае решает обратную задачу - от объектов исследования к механизму преступления и выявлению определенных закономерностей1.

Совершенно очевидно, что при таком рассмотрении существующие в настоящее время методы технических наук нуждаются в определенной трансформации в судебно-экспертные. Однако такое преобразование без утери связей с первичными областями знаний может произойти лишь в случае качественной проработки методов за счет интеграции технических и криминалистических знаний2. Поэтому появлению собственных судебно-экспертных методов СКТЭ должен предшествовать период серьезных научных изысканий и большой практической работы по экспертному исследованию широкой номенклатуры компьютерных средств, используемых в различных преступлениях.

1 Российская Е.Р. Проблемы становления компьютерно-технической экспертизы как нового рода инженерно-технических экспертиз // Криминалистика в ХХТ веке, М, ГУ ЭКЦ МВД РФ, 2001.

Российская Е.Р. Система криминалистической техники в свете современных представлений о природе криминалистики // Современные проблемы криминалистики. Сб. тр. Академии управления МВД РФ, 1998.

220

В общем случае, частноэкспертные методы могут быть классифи- цированы:

© по условиям их использования,

® по стадиям процесса экспертного исследования,

о по воздействию на объект экспертизы (например, неразрушаю-

щие методы). Однако на данном этапе развития СКТЭ целесообразно рассматривать систему методов по основным классам объектов экспертизы: методы исследования аппаратных средств, методы исследования программных средств и методы исследования информации (данных). Кратко остановимся на их примерном содержании.

В основе функционирования аппаратных средств любой компью- терной системы положен целый ряд комплексов специальных методов такой научной области как радиотехника, а также смежных с ней - ау- диовизуальной техники, радиоэлектронной аппаратуры, радиоэлектронных систем и др. Так, одним из таких комплексов являются методы проектирования и исследования цифровых устройств и микропроцессоров. К ним относятся:

© методы алгебры логики и методы переключательных функций; © методы функционирования асинхронных и синхронных автоматов; © методы синтеза цифровых узлов; © архитектурные методы микропроцессоров; ® методы построения больших интегральных схем; ® микропроцессорные методы проектирования и анализа микроконтроллеров и др.

Другие комплексы аппаратных методов, которые могут найти ши- рокое применение при решении диагностических задач СКТЭ, ориентированы на анализ сигналов, их генерирование и формирование, прием и

221

обработку, запись и воспроизведение т.п. Отдельными категориями выделяются следующие методы:

® схемотехнические методы аналоговых и цифровых электронных устройств;

о методы сверхвысоких частот;

о оптические методы;

® методы обработки аудио- и видеосигналов и другие.

С помощью указанных методов можно эффективно решать задачи по выявлению свойств аппаратных средств, их технических характери- стик, установлению соответствия выявленных характеристик типовым, определение фактического состояния и исправности, наличия физических дефектов, установлению фактов несоблюдения эксплуатационных режимов, обстоятельств использования недокументированных сервисных возможностей и т.п. В целом, представляется, что указанные методы являются базовыми (определяющими) специальными методами экспертных исследований аппаратных объектов СКТЭ.

Методы исследования программных средств могут быть класси- фицированы по виду представления объекта экспертизы:

© методы исследования исходных текстов;

© методы изучения алгоритмов программ;

© методы исследования загрузочных модулей (исполняемых кодов).

В свою очередь, экспертиза загрузочных программных модулей использует в своей практике такие основные методы как дисассембли- рование программ, их отладка и мониторинг, при котором отслеживаются все прерывания, вызываемые исследуемой программой. Каждый из названных методов может быть представлен группой методов частно-прикладного характера, свойственных именно типу решаемых эксперт-

222

ных задач. Например, в методах мониторинга, применяемых при решении задач исследования вредоносных программ, различают мониторинг оперативной памяти (проверка контрольных сумм), мониторинг дисковой памяти (анализ файловых сигнатур) и др.

В ходе экспертного исследования криминалистически значимой информации широко используются методы, реализованные в большинстве стандартных утилит и сервисных программ. По алгоритмам доступа и анализа информации эти методы могут быть классифицированы как:

® методы поиска и доступа к данным (например, метод контекстного поиска, метод конвертирования данных);

® методы манипуляции с данными (копирование, перемещение, редактирование);

о методы восстановления данных (в т.ч. удаленной информации);

о методы архивации, парольной защиты и пр.

Экспертные исследования фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, предопределяет развитие специальных методов данного вида СКТЭ. Так, в основе методологии экспертиз сетевых информационных технологий должны быть положены:

© методы распределенной обработки данных;

© методы иерархизации протоколов;

© топологические методы и методы доступа;

® методы коммутации и маршрутизации и др.

При решении задач СКТЭ, когда объектами исследования являются средства подвижной связи (сотовой связи, транковой связи, персо- нального радиовызова, мобильной спутниковой связи, беспроводного телефона), основными методами экспертно исследования являются ме-

223

тоды телекоммуникационных технологий. К ним сегодня можно отнести следующие:

® методы протоколирования;

• методы представления, дискретизации и квантования непрерывных сообщений, сигналов и помех;

о аналоговые и цифровые методы передачи сообщений, методы объединения, разделения и коммутации каналов;

® методы модуляции и демодуляции радио- и оптических сигналов;

® методы кодирования и декодирования сообщений;

© методы помехоустойчивого кодирования;

о методы сжатия информации;

о методы защиты информации в сетях и каналах связи и др.

§4.6. Экспертные средства СКТЭ

Разработка, апробация, внедрение и дальнейшее использование методов экспертизы в экспертных методиках во многом определяется средствами производства экспертизы, как нынешними, соответствую- щими современным требованиям, так и перспективными, нацеленными на будущее развитие инструментария и инфраструктуры экспертного исследования объектов СКТЭ. В общем случае, экспертные средства -это стендовое оборудование, приборы, инструменты, материалы и т.д. для собирания, исследования и использования судебных доказательств. Для экспертиз компьютерных средств они могут применяться как автономно, так и в комплексе, оформленном в компьютеризированное рабочее место (КРМ) эксперта по СКТЭ. Указанные КРМ в настоящее время

224

планируется ориентировать, в первую очередь на следующие типичные объекты экспертизы:

® системные блоки IBM совместимых компьютеров с жесткими дис ками HDD с интерфейсом ATA(IDE) или SCSI; другие накопители дан ных - флоппи-диски, CD-ROM, магнитооптические диски; серверы (на платформе Intel-процессоров, либо совместимых с ними) с RAID- Ф массивами;

® системное (прежде всего, операционные системы MS DOS, OS/2, Windows 3.X, 95, 98, 2000, NT, NetWare, Unix) и прикладное программное обеспечение указанных аппаратных средств;

® информационные объекты (данные) - файлы, подготовленные с использованием соответствующих прикладных программ.

В дальнейшем подобные КРМ должны постоянно модифициро ваться и по возможности охватывать весь перечень потенциальных объ- Ф ектов СКТЭ. В качестве базового комплекта может быть рекомендован

соответствующий состав аппаратно-программных средств КРМ (см. прил.4) . В целях систематизации все экспертные средства СКТЭ предлагается также классифицировать по видовому признаку:

© аппаратные средства - стендовые компьютеры с устройствами чтения (записи) разновидных носителей данных, широкий спектр периферийных устройств и т.д.;

© программные средства - программное обеспечение для диагности- •” ки, просмотра, восстановления данных различных форматов, работы с

архивами, дизассемблирования и отладки программ, антивирусные про- граммы;

© аппаратно-программные средства - специально сконфигурированные комплексы указанных выше компонент.

225

Отдельным классом выделяются аппаратно-программные системы по экспертному исследованию персональных органайзеров, GSM теле- фонов, пейджеров, смарт-карт и т.п.; инструментальные средства широкого назначения: микропроцессорные стенды (микропроберы); станции микропроцессорного программирования; осциллографы с цифровой памятью; логические анализаторы т.д.

Представленная выше система экспертных методов и средств СКТЭ в ходе дальнейших исследований подлежит дополнению, систе- матизации и всесторонней классификации. Формулируя выводы по четвертой главе, можно отметить следующие полученные результаты.

  1. Анализ существующих и перспективных экспертных методов и средств исследования вещественных доказательств по делам (уголов- ным, гражданским, административным правонарушениям), сопряженным с применением компьютерных средств, позволил сформировать основы методического обеспечения СКТЭ. Основными требования к методическому обеспечению СКТЭ, обусловленными законодательными актами, являются: законность, обоснованность, достоверность получаемых результатов, безопасность, эффективность, экономичность, этичность, а также такой специфический критерий как допустимость. Требование допустимости является отличительным признаком судебного исследования компьютерных средств и систем от чисто научного (либо практического) изучения вычислительной техники, средств телекоммуникаций, защиты информации и пр.
  2. Установлено, что объекты СКТЭ, согласно принципу непо- средственности, действующему при судебном разбирательстве, должны быть, по возможности, представлены в суд неизмененными. Сохранность вещественных доказательств обусловливает также возможность назначения повторных и дополнительных экспертиз. Поэтому рекомен-

226

довано для исследования компьютерных средств применять, в первую очередь, неразрушающие (недеструктивные) методы.

  1. Посредством уточнения классификационных признаков и обоснования структуры, разработана система методов и средств СКТЭ. Состав и содержание данной системы определяются целями и задачами рассматриваемого рода судебных экспертиз, а ее сущность обусловлена этапами создания, особенностями эксплуатации и текущим уровнем на учно-технического развития средств обеспечения современных инфор мационных технологий. Методы экспертной практической деятельности в области СКТЭ формируются и основываются на:

© соответствующих научных методах областей, определяющих спе- циальные познания в сфере компьютерных технологий;

о характере и свойствах объекта деятельности - компьютерных средствах и системах;

© опыте решения типичных практических задач по исследованию аппаратных, программных и информационных средств, в том числе на алгоритмических правилах, разработанных самим экспертом СКТЭ.

  1. Для разработки возможных методологических путей решения задач СКТЭ выбрана классификацию, ориентированную на судебно- экспертную сущность методологического инструментария и представ ляющую следующую систему: методы диалектической и формальной логики (анализ и синтез, индукция и дедукция, гипотеза, аналогия); об щенаучные методы (чувственно-рациональные методы, математические методы, кибернетические методы); специальные методы (общеэксперт ные методы; частноэкспертные методы).

  2. При производстве СКТЭ одно из важных мест занимают спе циальные методы, сфера применения которых ограничена одной или не сколькими науками. Для исследования объектов СКТЭ могут приме-

227

няться следующие общеэкспертные методы: анализа изображений объектов, исследования морфологии, состава, структуры, различных свойств представленных компьютерных средств и систем. Суть решения конкретных экспертных задач СКТЭ связана с использованием именно специальных методов следующих научных направлений: электроника, электротехника, радиотехника, связь и телекоммуникации, информационные системы и процессы, вычислительная техника и программирование и др.

  1. Существующие в настоящее время методы области компью терных технологий, частично используемые в качестве частноэксперт- ных методов СКТЭ, нуждаются в определенной трансформации в судеб но-экспертные. Однако такое преобразование без утери связей с первич ными областями знаний может произойти лишь в случае качественной проработки методов за счет интеграции технических и криминалистиче ских знаний. Предложено на данном этапе развития СКТЭ рассматри вать систему методов по основным классам объектов экспертизы: мето ды исследования аппаратных средств, методы исследования программ ных средств и методы исследования информации (данных).

  2. В основе экспертного исследования аппаратных объектов СКТЭ может быть положен целый ряд комплексов специальных методов такой научной области как радиотехника, а также смежных с ней - ау диовизуальной техники, радиоэлектронной аппаратуры, радиоэлектрон ных систем и др. Основным источником формирования частноэксперт- ных методов исследования указанных объектов являются методы проек тирования и исследования цифровых устройств и микропроцессоров. При решении экспертных задач СКТЭ также могут найти широкое при менение методы анализа сигналов, их генерирования и формирования, приема и обработки, записи и воспроизведения т.п. Отдельными катего-

228

риями выделяются следующие методы: схемотехнические методы ана- логовых и цифровых электронных устройств; методы сверхвысоких частот; оптические методы; методы обработки аудио- и видеосигналов и другие.

  1. Предложено методы исследования программных средств клас сифицировать по виду представления объекта экспертизы: методы ис следования исходных текстов; методы изучения алгоритмов программ; методы исследования загрузочных модулей (исполняемых кодов). В свою очередь, каждый из указанных методов, опирается но более спе циализированные методы. Так, экспертиза загрузочных программных модулей использует в своей практике такие основные методы как дисас семблирование программ, их отладка и мониторинг, при котором отсле живаются все прерывания, вызываемые исследуемой программой, и т.д.

  2. В ходе экспертного исследования криминалистически значимой информации (данных) широко используются методы, реализованные в большинстве стандартных утилит и сервисных программ. По ал- горитмам доступа и анализа информации эти методы могут быть классифицированы как методы поиска и доступа к данным, методы манипуляции с данными, методы восстановления, методы архивации, парольной защиты и пр.
  3. В основе методологии экспертиз сетевых информационных технологий должны быть положены методы распределенной обработки данных, методы иерархизации протоколов, топологические методы и методы доступа, методы коммутации и маршрутизации и др. При решении задач СКТЭ, когда объектами исследования являются средства подвижной связи, основными методами экспертно исследования являются методы телекоммуникационных технологий (методы протоколирования, методы представления, дискретизации и квантования непрерывных со-

229

общений, сигналов и помех, аналоговые и цифровые методы передачи сообщений, методы объединения, разделения и коммутации каналов и

пр.).

  1. Разработка и внедрение методов экспертизы в экспертных ме тодиках во многом определяется средствами производства экспертизы, как нынешними, соответствующими современным требованиям, так и 0 перспективными, нацеленными на будущее развитие инструментария и

инфраструктуры экспертного исследования объектов СКТЭ. Экспертные средства СКТЭ - это стендовое оборудование, аппаратные и программные средства, инструменты, материалы и т.д. для изучения компьютерных средств и систем, которые могут применяться как автономно, так и в комплексе, оформленном в компьютеризированное рабочее место. Предложено конфигурацию АРМ эксперта по производству СКТЭ, в первую очередь ориентировать на типичные объекты экспертизы.

230

ГЛАВА 5. СУДЕБНО-ЭКСПЕРТНЫЕ МЕТОДИКИ ИССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ СРЕДСТВ И СИСТЕМ

§5.1. Структура комплекса экспертных методик СКТЭ

Одним из важнейших блоков построения частной теории СКТЭ являются экспертные методики исследования компьютерных средств и систем. В связи с этим данная глава посвящена разработке комплекса судебно-экспертных методик СКТЭ и рассмотрению его в структуре экспертной деятельности в сфере современных информационных технологий. Целью создания указанного комплекса экспертных методик, а также последующего его наращивания новыми методическими подходами - является расширение объема представляемых следствию и суду фактических данных, основанных на возможности решения задач в сфере информационных технологий, как новой для судопроизводства области, исследования новых объектов - компьютерных средств и систем, сокращения сроков производства экспертиз, материальных и трудовых затрат, уменьшения количеств нерешенных вопросов СКТЭ, повышения научного уровня и полноты решения экспертных задач.

Выше уже отмечалось, что СКТЭ в общем случае представляет собой комплексное исследование основных обеспечивающих компонент любого компьютерного средства (аппаратного, программного и информационного обеспечения) с целью решения диагностических и идентификационных задач. Поэтому представляется целесообразным рассмотреть совокупность экспертных методик в комплексе их видового представления, а именно, в виде родовой, типовых и конкретных (частных) методик.

231

Практика испытывает большую потребность в разработке методи- ческого обеспечения экспертных исследований не только свойств и со- стояний объектов СКТЭ, но и изучения механизмов, процессов и действий по результатам применения (использования) компьютерного средства в том или ином преступлении. В то же время было установлено1, что именно диагностирование компьютерных средств и систем выходит сегодня на первый план в экспертной работе.

Первостепенное значение в решении поставленных вопросов при- обретают судебно-экспертные методики по исследованию аппаратных средств, программного обеспечения и информационных файлов применительно к типичным объектам СКТЭ - IBM PC - совместимым компьютерам. Стержнем создаваемого методического обеспечения СКТЭ выступают всевозможные типовые приемы и способы обеспечения доступа к данным на носителях информации (в первую очередь, жестким дискам), далее к программному обеспечению, а также тестовым и графическим данным. К частным экспертным методикам, разработанным в ходе настоящего исследования, могут быть отнесены: методика по судебно-экспертному исследованию компьютерной информации, сопряженной с работой в сети Интернет; методика по диагностированию защищенной компьютерной информации; методика по исследованию информационно- программной продукции на признаки котрафактности и

др.

Излагаемые в главе методических подходов к решению экспертных задач отличаются наукоемкостью и уникальностью ряда технических и криминалистических аспектов в исследовании объектов СКТЭ. Потребности практики предопределяют дальнейшее развитие эксперт-

Усов А.И. Методы и средства решения задач компьютерно-технической экспертизы. - М: ГУ ЭКЦ МВД России, 2002.

232

ных методик и расширению перечня решаемых частных (конкретных) методик, в т.ч. по исследованию нетипичных объектов СКТЭ.

Система методов и средств СКТЭ, рассмотренная в предыдущей главе, является, по своей сути лишь определенным инструментарием, которым может пользоваться эксперт при производстве экспертизы. Само же исследование определенного компьютерного средства строится по некому алгоритму, предписаниям, или программе, роль которых выполняет экспертная методика. При этом экспертная методика ориентирована не просто на исследование объектов СКТЭ, а на решение экспертной задачи СКТЭ, поскольку «..именно от задачи зависит содержание исследования (один и тот же объект может быть изучен с помощью разных экспертных методик)»1.

В научной литературе имеются различные определения экспертных методик, основанные на отличающихся подходах к условиям ис- пользования методов и средств экспертизы. Например, B.C. Митричев полагает, что методика - это «целенаправленное и системное использование совокупности приемов и методов, с наибольшей эффективностью приводящей га практике к решению вопросов определенного рода»2. Другое определение экспертной методики предложил Д.Я. Мирский, определив ее как «…детально регламентированная программа изучения лицом, обладающим специальными познаниями, свойств определенных объектов для установления обстоятельств, имеющих доказательственное значение, содержанием которого является применение в определенной

1 Основы судебной экспертизы. 41 (общая теория).- М.: РФЦСЭ, 1997.

2 Митричев B.C. Общие положения методики криминалистического иденти фикационного исследования материалов документов//Тр. ВНИИСЭ, вып.9.-М, 1974.-.

233

последовательности разработанной для этой цели системы методов ис- следования»1.

Дальнейшее развитие основных положений общей теории судебной экспертизы целым рядом ученых, а также реализация данных теоре- тических аспектов в экспертной практики привели к формулированию следующего определения: «экспертная методика - это система предпи- саний (категорических или альтернативных) по выбору и применению в определенной последовательности и в определенных существующих или создаваемых условия методов и средств решения экспертной задачи» .

Кратко остановимся на требованиях, предъявляемых к методикам СКТЭ, которые соответствуют рекомендациям по структурированию экспертных методик, принятых Федеральным межведомственным координационно-методическим советом по проблемам экспертных методик3. С этой целью введем ряд определений основных понятий применительно к методикам СКТЭ, соответствующих указанным рекомендациям:

© экспертная методика СКТЭ - научно-обоснованная последова- тельность действий для решения конкретной (типовой) экспертной задачи по исследованию компьютерных средств и систем;

© родовая методика СКТЭ - методика проведения СКТЭ; отличается от обычного описания стадий процесса экспертных исследований ком- пьютерных указанием специфики данных стадий, обусловленной спе- цификой предмета и объектов СКТЭ, и на применяемые методы и средства СКТЭ;

Мирский Д.Я. Понятие и структура методики экспертного исследования//Тр. ВНИИСЭ, вып.44. - М.,1980.

2 Энциклопедия судебной экспертизы/ Под ред. Т.В. Аверьяновой, Е.Р. Рос сийской.- М: Юристь, 1999.

3 Бюллютень №4, ч.2// Материалы Федерального межведомственного коорди национно-методического совета по проблемам экспертных методик.- М.: ГУ ЭКЦ МВД России, 1999.

234

© типовая экспертная методика СКТЭ - методика, в которой выражен обобщенный опыт решения типовой (часто встречающейся в прак- тике) экспертной задачи; также обычно разрабатывается для исследования типичных объектов определенного вида СКТЭ;

о конкретная, или частная методика СКТЭ - совокупность приемов и способов решения конкретной экспертной задачи СКТЭ; может ре- зультатом приспособления, изменения типовой экспертной методики СКТЭ либо плодом творческого подхода эксперта к решению нетривиальной задачи;

® содержание экспертной методики СКТЭ - совокупность основных данных об объектах исследования - компьютерных средствах, эксперт- ной задаче, аппаратно-программной конфигурации стендового оборудования, специальном программном обеспечении, приемах и способах решения экспертной задачи, представленных в определенной последовательности;

© структура экспертной методики СКТЭ - совокупность основных этапов реализации методики по исследованию компьютерных средств и систем, представленная в логической последовательности;

© реквизиты экспертной методики СКТЭ - совокупность данных, удостоверяющих данную методику.

С целью проведения стандартизации в оформлении судебно- экспертных методик СКТЭ и проведения регистрационной их паспортизации рекомендуется обязательно представлять следующие реквизиты: ® название методики; © автор (составитель) методики; ©
организация-разработчик методики; © библиографические данные опубликованной методики.

235

Структура экспертной методики СКТЭ в соответствиями с требо- ваниями разрабатываемого в настоящее время стандарта имеет сле- дующий вид:

® экспертная задача;

о объект исследования;

о сущность методики (принцип решения задачи);

© перечень подзадач (для сложной методики):

а) наименование конкретной подзадачи (каждой);

б) объект исследования для экспертной подзадачи (каждой);

в) принцип решения подзадачи (каждой).

© совокупность признаков, характеризующих объект;

о оборудование, материалы и реактивы (аппаратно-программный инструментарий);

о последовательность действий эксперта;

о формулирование выводов эксперта;

© основная использованная литература.

Рассмотрим подробнее каждый из перечисленных структурных элементов.

Название экспертной методики СКТЭ должно отражать сущность устанавливаемых экспертом фактических данных по результатам исследования, проведение которых требует специальных познаний в сфере современных информационных технологий.

Экспертная методика СКТЭ может представлять собой как авторскую разработку (в реквизитах указывается автор методики), так и ком- пиляцию работ других авторов, позволяющую получить в результате

В настоящее время в указанном Федеральном межведомственном координа- ционно-методическом совете по проблемам экспертных исследований разрабатывается отраслевой стандарт на типовую экспертную методику.

236

проведения экспертного исследования компьютерных средств и систем ответ на поставленную задачу.

Указывается организация, сотрудником которой является разра- ботчик методики.

Приводятся библиографические данные опубликованной методики СКТЭ.

Дается краткая формулировка конкретной экспертной задачи при- менительно к области судебно-экспертного исследования компьютерных средств и систем.

Указывается объект (группа объектов) СКТЭ, исследуемых экс- пертом, а также дополнительные сведения об объекте, необходимые для решения экспертной задачи (например, при решении ситуационной задачи).

Сущность методики СКТЭ должна отражать принципы установления и оценки комплекса признаков, необходимого для сравнения при- сущих и выявляемых экспертом признаков исследуемых объектов СКТЭ.

Сложный характер задачи исследования компьютерных средств и систем предопределяет в некоторых случаях необходимость ее разбиения на группу подзадач. При этом каждая из подзадач решается так, как и отдельная экспертная задача.

Совокупность признаков, устанавливаемая экспертом, должна ох- ватывать все те информативные признаки, которые присущи объекту исследования СКТЭ. Как правило, признаки перечисляются в порядке убывания их значимости. При этом необходимо указать тот минимум признаков, который составляет необходимый и достаточный комплекс для результативного решения, экспертной задачи (подзадачи) СКТЭ.

237

Перечень стендового оборудования, материалов, специальных ап- паратно-программных средств должен включать полное описание материально-технического обеспечения проводимых исследований компьютерных средств и систем.

Последовательность действий (собственно структура экспертной методики) описывается подробно для всех этапов работы, включая ос- мотр объектов СКТЭ, получение экспериментальных образцов и обсуждение получаемых в исследовании результатов.

Вывод по результатам исследования должен в сжатой форме давать однозначный и ясный ответ на поставленный вопрос.

В перечне литературы приводятся библиографические данные об источниках, в которых изложены основополагающие аспекты эксперт- ной методики СКТЭ, а также вспомогательные источники (например, информационные ресурсы сети Интернет), содержание которых необходимо для решения экспертной задачи. Примерный паспорт типовой методики по судебно-экспертному исследованию компьютерной информации, сопряженной с работой в сети Интернет, приведен в прил.5.

Требования, предъявляемые к экспертным методикам СКТЭ, сов- падают с вышерассмотренными общими требованиями к методов и средствам, т.е. ими являются: законность, обоснованность, достовер- ность получаемых результатов, безопасность, эффективность, эконо- мичность, этичность, допустимость. Среди прочих, не менее важных, отметим, что эффективность экспертной методики СКТЭ определяется возможностью получения максимального объема информации об объекте при минимальных временных, трудовых и материальных затратах. Получаемые при этом результаты должны характеризоваться точностью, наглядностью и надежностью1.

1 Основы судебной экспертизы. 41 (общая теория).- М: РФЦСЭ, 1997.

238

Таким образом, комплекс экспертных методик СКТЭ, представля ется совокупностью соответствующих типовых и частных экспертных методик по исследованию аппаратных, программных, информационных объектов СКТЭ с целью решения определенных задач СКТЭ. Методи кой, в целом отражающей предмет СКТЭ и специфику ее объектов, оп ределяющей сущность стадий экспертного исследования компьютерных Ф средств, является родовая методика СКТЭ. С уяснения сущности родо-

вой методики СКТЭ начнем рассмотрение предложенного комплекса судебно- экспертных методик по исследованию компьютерных средств и систем.

§5,2. Сущность родовой экспертной методики по исследованию объектов СКТЭ

Как было уже отмечено, под общей (родовой) экспертной методикой СКТЭ будем понимать научно-обоснованную последовательность действий для решения родовых задач СКТЭ. Настоящая последовательность действий эксперта по исследованию компьютерных средств и систем рассмотрена применительно к наиболее типичным объектам СКТЭ -IBM PC - совместимым компьютерам. Однако она отражает сущность подготовительного этапа экспертизы, непосредственно этапа исследования, а также анализ полученных в результате экспертизы данных, характерных и для других классов и видов объектов СКТЭ. Предлагаемый общий порядок производства СКТЭ, включая рассмотрение особенностей подготовительного этапа, более подробно был уже рассмотрен ранее1 и учитывает опыт производства подобных экспертиз в сфере компьютерных технологий ведущих экспертов-практиков ряда экспертных

239

учреждений2. Остановимся лишь на содержании исследовательского этапа СКТЭ, представляющего наибольший интерес в связи с неразработанностью данной проблемы.

Итак, диагностирование системного блока персонального компьютера проводится путем:

о визуального осмотра внутренних аппаратных компонентов сис- темного блока;

® извлечения из системного блока жесткого диска;

® подключения к системному блоку монитора, клавиатуры и мани- пулятора «мышь» и прерывания его загрузки для определения установок программы SETUP BIOS;

© определения системной даты, времени компьютера, других конфи- гурационных установок в программе SETUP BIOS;

© загрузки операционной системы с системной дискеты эксперта и диагностирования соответствующими программными средствами аппаратных компонентов системного блока (все выполняется без жесткого диска).

Экспертное исследование носителей компьютерной информации проводится путем:

© определения класса и вида носителя (например, для класса компакт- дисков - определение вида: CD-ROM, CD-R, CD-RW и др.);

© определения интерфейса, состояния перемычек и переключателей;

1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая эксперти зах}. - М.: Право и закон, 2001.

2 Чибисов В.Н., Маркилов И.А. Опыт проведения информационно- аналитических технических экспертиз и исследований // Сб. материал. Научно- практич. Семинара «Применение специальных познаний при раскрытии и расследо вании преступлений, сопряженных с использованием компьютерных средств, Белго род» - М., ГУ ЭКЦ МВД России, 2000.; Зубаха B.C., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству компьютерно-технической экс пертизы (методические рекомендации) - М: ГУ ЭКЦ МВД России, 2001.

240

о определения назначения носителя;

о подключения к стендовому компьютеру исследуемого жесткого диска в качестве дополнительного (съемного) диска;

• определения основных технических параметров жесткого диска (номеров цилиндров, сторон (головок), секторов, количества секторов, размеров секторов и емкости);

© выявления таблицы разделов диска с определением их основных характеристик (начало и конец раздела, тип файловой системы, идентификаторы и метки разделов, размер и количество кластеров);

® определения логической адресации системных областей разделов (загрузочной записи, таблиц FAT и корневого каталога);

о поиска признаков повреждения целостности структуры данных (несоответствие заявленных параметров раздела фактическим, наличие сбойных, потерянных и др. кластеров, отличия фактического размера файлов от размеров, записанных в каталоге, некорректно сохраненные имена каталогов и файлов и т.п.).

Диагностическое исследование файлов проводится путем:

© создания копии всего содержимого носителя информации на вспомогательном носителе (посекторное копирование с фиксацией технических параметров формата носителя);

© при невозможности создания вспомогательного носителя, перед подключением исследуемого жесткого диска к стендовому компьютеру, необходимо отключить все резидентные программы, загружаемые в ОС Windows 95,98 и производящие операции записи на диск. Исследуемый диск должен быть установлен в системе (сконфигурирован) как дополнительный съемный диск. Все файлы с исследуемого диска копируются на диск стендового компьютер. После отключается исследуемый диск, и

241

проводиться исследование скопированных файлов на рабочем жестком диске стендового компьютера;

© определения основных количественных параметров каталогов и файлов, содержащихся на носителе (с разбиением по логическим дис- кам);

о определения основных статистических параметров и временных атрибутов каталогов и файлов;

© определения соответствия дат создания и редактирования файлов системному времени исследуемого компьютера;

® определения перечня программного обеспечения (уставленное программное обеспечение и дистрибутивы), содержащегося на носителе информации, с указанием названия и назначения программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернет, работа с графикой, мультимедиа-средства, языки программирования, работа со сканером и распознавание текста, программы переводчики, игры и т.д.);

© выделения общедоступных и предположительно подготовленных пользователем файлов данных (с указанием каталогов и программ подготовки файлов);

© определения общего объема файлов данных;

© выделения защищенной от несанкционированного доступа ин- формации (зашифрованные диски и файлы, электронные сжатые диски, защищенные паролями архивы и др.);

® поиска удаленных файлов и остаточной информации;

® выделения файлов, содержащих криминалистически значимую информацию;

242

о определения содержимого и атрибутов файлов операционной сис- темы, характеризующих работу пользователя в операционной системе, в локальных и глобальных сетях;

• поиска программ (файлов), содержащих признаки заражения ком- пьютерными вирусами (с использованием программ AVP, Dr.Web и пр.). Поиск признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования производится путем:

® поиска программ, предназначенных для подбора (генерирования) паролей, и результатов их работы (файлов результатов и файлов настроек программ);

о поиска фактов работы в вычислительной среде с использованием чужих учетных записей или других системных ресурсов;

© установления содержимого текстовых файлов и электронной почты;

© поиска программ признаками вредоносных функций и их экспе- риментального исследования на стендах, моделирующих предполагаемые условия их функционирования;

© выявления текстовых файлов, содержащих ключевые слова;

© выявления пользовательских файлов (графических, текстовых, ис- полняемых модулей), имеющих отношение к обстоятельствам дела;

© уяснения диагностических параметров настройки программ (реги- страционные имя пользователя и название организации в программах подготовки документов Microsoft Office, системах программирования и иных пакетов прикладных программ);

© исследования защищенных паролями файлов;

© определения особенностей подготовки текстового файла с учетом среды подготовки, регистрационных параметров
использовавшегося

243

текстового редактора, времени создания документа, времени редактирования и количества редакций (в режиме автосохранения и по команде пользователя), внесенных изменений, наличия макрокоманд в тексте и пр.;

о выявления и определения назначения программ с минимальным пользовательским интерфейсом и не содержащих пояснительных указаний и комментариев (с установлением относящихся к этим программам файлов данных);

® сравнительного исследования нескольких версий программ, кон- фигурационных файлов (настроек) и файлов данных;

® изучения протоколов работы пользователя (или программ) и ин- терпретации их действий;

о определения работоспособности и уточнения фактически выпол- няемых функций программ с рекламируемыми и заявленными свойствами;

© выявления и уточнения назначения программ управления другими аппаратными средствами, подключаемыми и используемыми с пред- ставленным компьютером;

© уяснения настройки кодовых таблиц (или переустановки всей опе- рационной системы на стендовом компьютере) для исследования файлов на национальных языках.

Как видно из приведенной последовательности действий эксперта СКТЭ, общая методика включает в себя целый ряд частных экспертных методик, предназначенных для решения конкретных задач судебно-экспертного исследования компьютерных средств и систем.

В настоящее время доминирующей тенденцией в разработке инст- рументальных средств производства рассматриваемого рода судебной экспертизы является создание специальных аппаратно- программных

244

комплексов, а также пакетов прикладных программ, предназначенных для эффективного решения указанных частных экспертных методик. Однако подобные комплексы (например, система EnCase, комплекс Vo-gon Internationale, пакет ILOOK Investigator) нашли широкое распространение лишь в зарубежной экспертной практике правоохранительных органов и частных агентств1. Примечательным является стремление интегрировать совокупности разных методических подходов к изучению объектов экспертизы в рамках строго соблюдения требований закона к получению доказательств и последующего представления их при судебном разбирательстве.

§5.3. Типовые методики экспертной диагностики аппаратных компьютерных средств

Судебно-экспертная деятельность в сфере современных информа- ционных технологий направлена на комплексное исследование целост- ной компьютерной системы. Вещественными доказательствами, пред- ставляемые на СКТЭ, являются, прежде всего аппаратные объекты - персональные компьютеры или его части, блоки (в т.ч. носители информации), электронные органайзеры, сотовые телефоны, иные микропроцессорные устройства. Поэтому, как правило, изучение представленных объектов начинается с выявления свойств и признаков, присущих данным объектам как аппаратным компьютерным средствам. Далее же объекты экспертизы изучаются с позиций наличия в них программного обеспечения. В заключении проводится анализ данных и выявление криминалистически значимой компьютерной информации.

1 Подробнее см. Усов А.И. Основы методического обеспечения судебно- экспертного исследования компьютерных средств и систем. - М. Право и закон, 2002.

245

Анализ практики показывает, что первостепенное значение для решения вопросов СКТЭ имеют судебно-экспертные методики по ис- следованию аппаратных средств, разработанные применительно к IBM PC - совместимым компьютерам. Базисом создаваемого методического обеспечения СКТЭ выступают всевозможные типовые приемы и способы обеспечения всестороннего доступа к носителях компьютерной информации как одному из важных видов аппаратных объектов СКТЭ.

Одной из первых частных задач СКТЭ, решаемых экспертом при исследовании персональных компьютеров, является диагностирование установок базовой системы ввода-вывода (иначе, BIOS - basic input/output system). В персональном компьютере это набор инструкций, хранимых в постоянном запоминающем устройстве (ПЗУ), который позволяет компьютеру и операционной системе взаимодействовать с прикладными программами и периферийными устройствами, такими как жесткий диск, принтер или видеоадаптер. Эти инструкции хранятся в энергонезависимой памяти и всегда доступны по определенным адресам в памяти. Предложенная экспертная методика1 по диагностированию BIOS позволяет получить всесторонний доступ (в т.ч. в случае использования парольной защиты) к указанным настройкам, порой имеющих криминалистическое значение в рамках выполняемой экспертизы ком- пьютерной системы.

Среди большого количества экспертных задач, подлежащих раз- решению в ходе производства СКТЭ, особо выделяются задачи исследования информации, хранящейся на жестких и гибких магнитных дисках. Эксперт, прежде всего, должен проверить, исправен ли представленный на экспертизу носитель информации, возможен ли доступ к информации типичными экспертными средствами. А затем уже проводится весь ком-

Подробнее см. указ. литерат.

246

плекс исследований, связанный с выявлением криминалистически значимой информации на представленных объектах.

Как уже отмечалось ранее, типичный случай аппаратных исследо ваний связан с изучением жесткого диска (винчестера) персонального компьютера. Сам жесткий диск (рис.5.1), как правило, конструктивно представляется на экспертизу в корпусе системного блока IBM- is) совместимого компьютера. Исследование содержимого жесткого диска с целью фиксации доказательственной информации в неизменном виде является ключевым моментом всей исследовательской деятельности эксперта. По сути именно на жестком диске находится зафиксированная на материальном носителе информация с определенными реквизитами. Указанные свойства позволяют впоследствии представить найденные файлы представить как документированная информация, могущая иметь значение по расследуемому делу.

Следует отметить, что жесткий диск может быть представлен на

т

экспертизу в двух состояниях: работающем, тогда применяются традиционные методы и средства доступа к данным на нем; неработающем (неисправном), тогда применяются специальные методы и средства его исследования. Таким образом, среди методик исследования аппаратных средств в настоящее время различаются методики по экспертизе исправных и неисправных носителей информации.

Подробнее остановимся на вопросах, связанных с исследованием щ винчестеров, находящихся в неработающем (неисправном), иначе не-

штатном состоянии (например, из-за удара диска или его внезапного отказа, возникших при проведении следственных действий или транспортировки).

247

®

#

Рис.5 .1. Внеш ний вид жестк ого диска (HDD ) персо нальн ого ком- пьют ера

248

С учетом рассмотренных ранее вопросов , в данном параграфе отметим лишь некоторые классификационные аспекты нетипичного экспертного исследования жестких дисков.

Итак, основными причинами технических неполадок и отказов же стких дисков, препятствующих проведению типичного исследования компьютерной информации, являются причины физических или логи- # ческих дефектов. Проведенный анализ отказов и сбоев аппаратных объ-

ектов СКТЭ позволяет предложить следующую классификацию нештатных состояний жестких дисков:

® сбой в работе в следствие физического дефекта HDD; ® сбой в работе в следствие логического дефекта HDD; © сбой в работе в следствие физического и логического дефекта HDD;

о отказ в работе в следствие физического дефекта HDD; Ф ‘ © отказ в работе в следствие логического дефекта HDD;

© отказ в работе в следствие физического и логического дефекта HDD.

При дальнейшем анализе проблемы, необходимо уяснить сущ ность решаемых экспертом диагностических и идентификационных за- дач СКТЭ применительно к указанному виду аппаратных объектов . Это обусловлено существованием огромного парка накопителей инфор мации от разных фирм-производителей и, как следствие этого, объектов • экспертизы с различными критериально-оценочными параметрами
и

устойчивыми признаками. Именно эти признаки должны, безусловно,

Подробнее см. Усов А.И. Основы методического обеспечения судебно-экспертного исследования компьютерных средств и систем. - М. Право и закон, 2002.

2 См. там же.

249

устанавливаться при применении того или иного экспертного инстру- ментария.

Специальные методы позволяют проанализировать и исследовать необходимую степень воздействия на объект (HDD) при проведении разных этапов экспертного исследования (возможно ли в данной след- ственной и экспертной ситуации применение неразрушающих методов к объекту экспертизы, или это невозможно). Практика показывает, что при проведении исследования с использованием разрушающих методов может произойти утрата вещественной доказательственной базы, что противоречит судебному принципу непосредственности.

Так как проведение судебно-экспертных исследований накопителей есть многоступенчатый и поэтапный процесс, включающий в себя стадии: уяснения принципов работы, диагностики физической и логической структуры, установления технических характеристик, то проводить комплексное аппаратное исследование нештатного состояния жесткого диска в рамках обозначенной проблемы, целесообразно по определенной схеме. Суть этой схемы: от физических исследований к логической организации, далее от этой базы к практической реализации экспертного исследования, и использования его выводов как доказательство.

Техническая и технологическая реализация исследуемого объекта в определенной информационной технологии в основе своей определяет требования к системе применяемого инструментария и экспертных средств. Они включают в себя: требования к помещению, где проводится экспертиза; требования по составу и состоянию стендового оборудования, приборов, инструментов, материалов и т.д.

Таким образом, производство СКТЭ при проведении нетипичного исследования HDD, в сущности, должно иметь три стадии:

© подготовительная стадия;

250

о исследовательская стадия;

о завершающая стадия и техническая часть с составлением за- ключения.

На каждой стадии исследования экспертиза решает частные задачи и устанавливает признаки объекта исследования общего или частного вида.

Подготовительная стадия включает в себя: осмотр объекта, выяв ление технических связей с другими аппаратными блоками и устройст вами, выявление внешних неблагоприятных факторов эксплуатации (к примеру- вибрация, следы удара, влажности, перепада напряжения и пр.), неправильная консервация при изъятии HDD, транспортировка. Производится изучение сопутствующей или сопровождающей техниче ской документации, условий изъятия, и других факторов имеющих от ношение к объекту исследования. На этом этапе выдвигаются эксперт ные гипотезы о возможных путях решения вопросов экспертизы. На ос новании классификации аппаратного объекта, происходит предвари тельное выделение и оценка общих и частных диагностических и иден тификационных признаков. Это необходимо для правильного проведе ния организационно-технических мер и выбора аппаратно- программного инструментария. Составляется план экспертного исследо вания.

В исследовательской стадии происходит аналитическое и сравни- тельное исследование HDD, его физической и логической структуры. Происходит составление ряда общих и частных диагностических и идентификационных признаков. В зависимости от задания следствен- ных или судебных органов, в процессе исследования экспертом, могут решатся три вида криминалистических диагностических задач: простая, сложная и обратная. Диагностирование свойств и состояния объекта

251

(объект - неисправный жесткий диск) происходит по его отображению. В качестве конечного отображающего устройства, применяется стендовый компьютер.

При проведении исследования экспертом расшифровываются сим- вольные обозначения, например, штрих-коды, нанесенные на HDD. Устанавливается используемый интерфейс изучаемого устройства. Эти данные могут содержать информацию по криминалистической иденти- фикации устройства. Выявляется характер и возможная причина неис- правного состояния HDD.

На основании признаков нештатного состояния устанавливается, дефекты какого характера (физические или логические ) явились причиной этого состояния. Осуществляется классификация HDD, что может уточнить характер исследовательских работ, которые необходимо провести. Диагностические признаки могут дать информацию о фирме изготовителе HDD, модели, типе. Устанавливаются физические параметры накопителя: число головок, цилиндров, секторов на дорожку. Определяется информация о конфигурации жесткого диска- положении джемперов (возможно указана на корпусе для Master и Slave), а также технические характеристики накопителя : емкость, среднее время доступа, скорость передачи данных, скорость вращения шпинделя.

При наличии специального инструментарии для более тщательной проверки состояния HDD могут быть в соответствии с электрической схемой проверены сигналы и их значения на контактных разъемах интерфейса. Далее можно произвести их сопоставление с таблицами состояний интерфейса и выявить различия. Анализ различия сигналов или их модулей указывает на неисправную систему в электронной схе- ме. Произведя идентификацию неисправной системы жесткого диска, устанавливают неисправную электронную компоненту. Производят ее

252

диагностику (фирма, тип, релшмы работы, обозначение) в соответствии с каталогом электронных компонент данной фирмы. С помощью органи- зационно-технических мероприятий осуществляется поиск, подборка, доставка компоненты (блока) винчестера, а также фирменной справочной литературы и каталогов касающихся данного устройства. Устанавливается механическая взаимозаменяемость электромеханических ком-

понент.

Такого рода исследование дает возможность полной и тщательной диагностики HDD. Однако возможность проведения подобных исследований обусловлена наличием специальных экспертных средств, инструментария, требований к умениям и навыкам, которыми должен владеть эксперт СКТЭ, условиями производства экспертизы, наличием определенных коллекций и пр.

На завершающей стадии работы на основе практически проведенного исследования формулируются выводы эксперта о проведенном ис-следовании устройства, с описанием всех значимых признаков HDD, обнаруженных в процессе исследования, узловых моментах диагностики и идентификации конкретного HDD. Только на основе однозначного установления необходимой совокупности частных и общих признаков возможно решение поставленной задачи. В технической части производства СКТЭ осуществляется подбор иллюстративного материала, составление заключения с описанием всего хода исследования.

ф Среди преступлений, связанных с использованием компьютеров,

на сегодняшний день большую долю занимают те, объектом посягательства в которых являются авторские права. В настоящее время для распространения программных продуктов и другой компьютерной информации чаще всего используют компакт диски, так как они дешевы в изготовлении и позволяют хранить достаточно большой объем данных.

253

Разработанные экспертные методики по изучению CD ROM позволяю решить большинство диагностических и идентификационных задач, связанных с выявлением признаков контрафактности .

§5.4. Экспертные методики по исследованию программ

Особенности судебно-экспертного исследования программных объектов

Судебно-экспертное исследование программных средств является одним из сложных и трудоемких видов СКТЭ. Результативность производства экспертизы программ зависит не только от объема представленного на исследование программного кода и его свойств. Большое значение имеет как уровень профессиональной подготовки эксперта в области общей теории и практики алгоритмизации и программирования, так и знание им специализированных дисциплин разработки программного обеспечения для различных аппаратных платформ.

Однако анализ экспертной практики показывает, что лишь немногие эксперты решаются «вплотную» заняться освоением этого направле- ние. Главными причинами этой ситуации являются: отсутствие доста- точного практического опыта у начинающих специалистов, слабая ин- формированность о наличии и возможностях специальных инструментальных средств, ограниченный доступ к методическим разработкам «обратного программирования», отсутствие стендовых аппаратно-программных комплексов, позволяющих экспериментировать с исследуемым программным продуктом (рис.5.2) и др.

См. Меджевитдин П.О. Некоторые характеристики и специальные метки компакт- дисков //В сб. Экспертная практика, №54 - М: ГУ ЭКЦ МВД России, 2002).

254

xor

mov

mov

jmp

inc

mov

mov

emp

jne

call

or

jne

jmp

call

mov

mov

emp

1 cs 2 3 cs 4 5 cs 6 7 cs 8 9 cs 10 11 cs 12 13 cs 8cs 9cs 14 lOcs lies

12 cs 13 14 cs 15 16 cs 17 18 cs 19 20 cs 21 22 cs 23 :0A2A

0A2C

0A2F

О A3 5

:OA37

OA3B

:OA3F

0A44

0A49

0A4B

:0A5O

0A52

0A54

0A57

0A5C

OA5F

0A62

18 cs:0A64 19 20 cs:0A66 21 22 cs:0A68 23 24 cs:0A6A 25 26 cs:0A6F 27 28 cs:0A71 29 30 cs:0A74 31 32 cs:0A76 33 34 cs:0A79 35 36 CS.0A7B 37

ax,ax [0252],ax

word ptr [0256],000 1 0A3B

word ptr [0256]
обнуление ячеек памяти отвечающ ие di,[0256] за выбор игрока

byte ptr [di+0247],0 0 word ptr [0256] ,0008 0A37

ХХХХ:0308

al,al

0А57

0В34 ХХХХЮ31А

[0254],al

al,[0254]

al,31

’ нажималась ли клавиша

на клавиатур е переход, если была нажата переход на проверку ввода чтение клавиатур ы сохранени я кода нажатия

проверка на допустимы й код нажатия код 3 lh соответств ует клавише “1”

jb 0ACC emp
al,38

ja OACC emp
word ptr [0252],0003 jnb
0A85 mov
al,[0254] xor
ah,ah sub
ax,0030 mov
dl,al mov
ax,[0252]

переход если код меньше 3 lh проверка на допустимы й код нажатия.

Код 38h соответств ует клавише “8” переход если код больше проверка числа выбранны х игроков

переход если число игороков не меньше 3

код нажатия в AL

обнуление регистра АН

вычитание 30h

код нажатия в DL

число игроков в АХ

Рис.5.2. Фрагмент дизассемблированного кода программы, представленной на СКТЭ

255

В целях ликвидации части указанных «пробелов» в соответствующей литературе1 нами подробно был рассмотрен ряд методических под- ходов и программных средств для мониторинга вычислительных процессов в компьютерной системе. Представляется перспективным основу методического обеспечения экспертизы программ построить именно на данном «мониторинговом» базисе. В то же время, должное внимание при проведении настоящего исследования было уделено также общим инструментальным средства диагностирования программного обеспечения с целью установления их функций и изучения алгоритмов. В теоретическом и методическом аспектах представляет особый интерес технология «Reverse Engineering»2, позволяющая исследовать алгоритмы и тексты программ по программным кодам.

Особенностью данного вида СКТЭ является то, что все инстру- ментальные средства для исследования программ представляют собой также компьютерные программы. Их задача выявить признаки иссле- дуемой программы, которые могут послужить основанием для ряда выводов, гипотез или утверждений в рамках проводимой экспертизы.

Все средства можно условно поделить на средства, которые иссле- дуют динамические характеристики программы и статические характеристики. К статическим характеристикам программы относятся ее структура, используемые модули, интерфейсы, размер файла, в котором содержится код программы, дата его создания. К динамическим характеристикам относится время и скорость выполнения отдельных функций программы, используемые ресурсы операционной системы, генерируемые сообщения (для MS Windows), используемые программой функции операционной системы (для Windows - API функции), используемые

1 Усов А.И. Судебно-экспертное исследование компьютерных средств и сис тем. -М: Право и закон, 2002.

2 Поробнее см. указан, литер.

256

внешние устройства. Среди прочих, особо отметим экспертные средства, позволяющие выявлять статические характеристики программы.

OLE/COM Object View - этот программный продукт входит в ком- плект утилит, поставляемых компанией Microsoft с Visual Studio. Программный продукт предназначен для просмотра информации о всех OLE и СОМ - объектах1, установленных на компьютере. Каждый такой объект имеет собственный интерфейс, то есть правило по которым внешние программы могут его использовать. Программа позволяет просматривать информацию об интерфейсах, кроме этого программа позволяет определить GUTD компонента. Всю информацию программа выбирает из реестра ОС, но главное ее отличие от вышеупомянутой аналогичной regedit.exe является то, что она представляет все данные в более удобным способом.

Посредством этой программы эксперт СКТЭ может найти про- граммный компонент, а затем сделать предположения о его функцио- нальной начинке. Под программным компонентом понимается компьютерная программа, которая может загружаться в память и использоваться другими программами.

Программная компонента может быть выполнена в виде запускаемой программы (ехе - формата) и в виде библиотеки ( dll - формата). В случае, когда в распоряжение эксперта поступает отдельно взятая программа dll -формата, то для исследования ему потребуются средства, позволяющие ее исследовать. Одним из таких средств является поставляемая компанией Microsoft с пакетом программ Visual Studio программа ActiveX Control Test Container. С помощью этого средства можно протестировать работу любого СОМ - объекта. Программа позволяет загружать объект в память, активизировать его и просматривать работу его отдель-

257

ных функций. Особенно эта программа полезна при работе с программными компонентами, которые отображают информацию. Программный компонент показан в виде прямоугольного окна, в нем он изначально отображается исходя из настроек по умолчанию, затем с помощью средств Test Container можно изменять настройки, например, цвет фона, размер шрифта и т.д. Если компонент предназначен для осуществления диалога с пользователем, то после активизации его можно осуществить. При этом Test Container будет фиксировать все действия, производимые с компонентом в специальном окне.

Полезной для экспертной работы является программа Resource Scrutator, позволяющая определить статические характеристики объекта экспертизы. Каждая программа содержит в себе блок информации под названием «ресурсы». В это понятие входят иконки, рисунки, формы диалогов, а также информацию о версии программы. Под последним понимается информация о версии файла, версии программного продукта, ОС для которой спроектирована данная программа, название организации, торговая марка этой организации. Все эти данные идентифицируют владельца файла, а также могут быть использованы для идентификации двух программных продуктов.

Особенность этих данных заключается в том, что если в программе используется некий диалог, то его форма обязательно должна хра- нится в ресурсах файла. Есть ресурсы, например, иконки или рисунки, которые могут не присутствовать в файле программы, но в этом случае они обязательно должны быть размещены в одном из внешних файлов программы.

OLE и СОМ объекты представляют собой отдельные программные модули, которые могут использованы одной или несколькими программами.

258

Resource Scrutator может работать не только с исполняемыми фай- лами, но и с библиотеками.

Также кроме отображения информации о ресурсах файла, он может ее запоминать в файл.

Другая группа средств по исследованию программных объектов СКТЭ определяет динамические характеристики. К динамическим ха- рактеристикам относится:

® последовательность команд посылаемых процессору; ® функции операционной системы, используемые программой, а также последовательность их вызовов и значение передаваемых им па- раметров;

© сообщения посылаемые программой (для Windows); о данные посылаемые и принимаемые от различных периферийных устройств.

Характеристика основных программных инструментов экспертного исследования

Проведение экспертного исследования программных продуктов обязательно подразумевает наличие специальной соответствующей подготовки эксперта СКТЭ в области программирования, в т.ч. умение программировать как на машинно-ориентированном языке (например, языке ассемблера), так и на языках программирования высокого уровня (Си, Паскаль и др.). Это обусловлено тем, что исследование программных объектов проводиться только в машинных кодах и ассемблере.

Рассмотрим краткую характеристику программного инструментария, который может использовать в своей работе эксперт СКТЭ. Следует обратить внимание, что большинство указанных ниже программных средства были разработаны в «хакерских» целях. В данной ситуации

259

эксперт СКТЭ, деятельность которого протекает в рамках судопроизводства, должен обеспечивать реальное противодействие криминальным проявлением посредством реализации своих специальных познаний в области программирования. Поэтому представляется крайне необходимым всестороннее и постоянное изучение всевозможных инструментальных методов и средств, в т.ч. используемых в «хакерской» среде. Одним из источников подобных знаний являются информационные ресурсы сети Интернет . Только при такой постановке вопроса может быть в кратчайшие сроки сформированы основы методического обеспечения судебно- экспертного исследования программных объектов и намечены перспективы его развития в рамках соответствующих процессуальных норм.

Вспомогательные утилиты

К этим программа относятся утилиты-детекторы, позволяющие, прежде всего определить тип файла, в т.ч. в случае, когда файл был запакован. Некоторые из этих программ позволяют даже преодолеть установленную при этом защиту. Для анализа исполняемых файлов может быть рекомендована программа Exe Info (by Adam Lojewski). Также заслуживает внимания программа Compare2Unlimited. Это средство позволяет получить список измененных байтов при экспериментальной модификации исследуемой программы. Для создания *.хск файлов может быть использована программа XCKMaker 2.0.

HEX - редакторы

Наприер, см. Усов А.И. Основы методического обеспечения судебно-экспертного исследования компьютерных средств и систем. - М. Право и закон, 2002.

260

Программы -шестнадцетиричные редакторы являются одним из основных инструментов в экспертизе программных продуктов. Обычно эти программы совмещают в себе возможности просмотра- редактирования исследуемого файла в шеснадцетиричном/текстовом (ASCII) формате и некоторые дополнительные функции. Особенно ре- комендуется выбирать для экспертных исследований НЕХ-редактор, позволяющий декодировать байты файла в инструкции ассемблера, а также писать программные фрагменты на ассемблере и менять инструкции. Одним из рекомендуемых подобных инструментов является программа HIEW. Программа примечательна наличием большого числа возможностей, в т.ч. функций поиска инструкции по маске. Также заслуживают внимание следующие HEX- редакторы: Qview by ABC Product, HEX Workshop, UltraEdit, WinHex и др.

Отладчики

Многие из параметров и характеристик, интересуемых эксперта при исследовании программных объектов СКТЭ, могут выявлять и от- слеживать программы, называемые отладчиками. Отладчики предназначены для пошагового выполнения программы. После загрузки отладчик производит дизассемблирование исходного кода программы, а затем предоставляет интерфейс, с помощью которого пользователь может шаг за шагом выполнять команды программы, просматривая при этом все текущие параметры (содержание регистров процессора, памяти).

Одной из самых известных программ, работающих с отладчиками, является Soft-ICE. Программа Soft-TCE выпускается как для отладки в среде DOS, так и для среды Windows. Программа запускает DOS в виртуальной машине, то есть все команды, которые выполняет ОС проходят предварительную обработку Soft-ICE. Уже в такой среде запускается

261

программа-отладчик. Таким образом Soft-ICE - инструмент отладки программного обеспечения, который обеспечивает возможности отладки на аппаратном уровне для отладчиков PC DOS и MS DOS. Soft-ICE позволяет выполнять следующие функции:

© позволяет определить точки останова на чтение/запись в ОЗУ в режиме реального времени, на чтение/запись в порты и области памяти и на прерывания;

® определять историю выполнения команд для обратной трассиров- ки;

® показывает окно с функциями системы, всплывающее в любое время, которое может вызываться даже при отключенных прерываниях;

© работать в качестве автономного отладчика -эта возможность по- лезна при отладке загружаемых драйверов устройств, обработчиков прерываний, последовательностей команд, которые традиционные отладчики не могут пройти;

© использование мягкой перезагрузки, позволяющая отлаживать другие операционные системы или самозагружающиеся программы.

Следует иметь ввиду, если исследуемая программа хорошо защи- щена от работы других программ, и даже если DOS будет разрушена, то Soft-ICE все еще будет функционировать. Как уже было отмечено, Soft-ICE предназначена не только для работы в DOS. Различные версии программы позволяют работать с ОС Windows 9x и NT.

Дизассемблеры

Программы, преобразующие машинный или объектный код в ас- семблерный или близкий к нему (псевдоассемблерный) исходный текст, называются дизассемблеры. Дизассемблирование, как технологическая процедура, широко используется в экспертизе и реализуется рядом ин-

262

струментальных средств. В настоящее время различают одно- и много проходные дизассемблеры. Типичными применениями дизассемблера в экспертных целях являются разбор программ, изучение используемых алгоритмов, а также как элемент отладочного монитора или отладочной системы. Одним из рекомендуемых дизассемблеров для экспертной работы является программа IDA (Interactive Disassembler). Ее отличительной чертой является наличие возможности просматривать и помечать анализируемые участки программного кода именами, что значительно облегчает их последующий поиск в дальнейшей работе. Программа TDA позволяет в ходе исследования писать соответствующие комментарии, а также свои процедуры анализа на встроенном макроязыке. Обращает на себя внимание наличие набора специальных «плагинов» - для автоматического распознавания языка программирования. Например, на экспертное исследование представлен код программы, написанной на языке Borland C++ 5.0. После того, как программа IDA установит признаки компиляции исследуемой программы на этом языке, то автоматически подгрузится «плагин», способный распознать и обозначить стандартные функции C++. Указанная возможность IDA значительно может сократить время проведения экспертизы и наиболее эффективным способом получить искомый результат.

INT - мониторы

Программы для отслеживания и записи всех (или только указанных) прерываний, вызываемых исследуемой программой, называются INT- мониторы. Для проведения экспертных исследований в среде DOS могут быть рекомендованы такие программы как, например, INTController и INTIndikator (by M.Chirkov). Эти средства являются небольшими программами-резидентами, которые «висят» на нужных пре-

263

рываниях и следят за частотой их вызова. Для среды Windows (win32) можно вполне использовать программу APISPY32 (Y.Kaplan). Для отслеживания какой-либо API-функции, в этой программе в специальном файле необходимо прописать имя этой функции и тип ее аргументов.

Кроме непосредственно INT-мониторов, существует целый набор программный средств, позволяющих определить динамические свойства программы в ходе ее экспертного исследования.

Особого внимания экспертов СКТЭ заслуживают специальные программные средства мониторинга процессов Filemon и Regmon.

«Унпакеры-распаковщики»

Эти средства предназначены для снятия так называемых «навесных защит» с исполнимых программных файлов (ехе-файлов). В техно- логия разработки программного обеспечения широкое применение нашили так называемые программы-паковщики (packer’s). «Паковщик» упаковывает код программы и пишет свой «распаковщик» в начало, а потом дописывает все остальное в конец. Когда программа вызывается для исполнения, то сначала отработает «распаковщик» (unpacker), а затем уже будет выполняться запакованная программа. В результате, такую программу невозможно исследовать, не распаковывая.

В практике существуют «распаковщики» как универсальные (CUP386[DOS], ProcDump[WIN] ), так и разработанные под конкретный «паковщик». Из вторых можно рекомендовать для использования в экспертной деятельности - Universal Unpacker Package (сборник «унпаке-ров» для самых популярных «пакеров» + универсальный «унпакер»).

Итак, практически все перечисленные выше программы являются средствами, которые разработаны для разного рода исследований в области программного обеспечения информационных технологий.
Эти

264

средства при использовании их «впрямую» мало пригодны для проведения «цельного» и полного судебно-экспертного исследования компьютерных средств и систем. В настоящее время комплекс необходимых эксперту СКТЭ функции и процедур в основном разбросан по различным мелким программам и утилитам. Поэтому для эффективной работы необходимы специально разработанные программы, которые сконцентрируют (аккумулируют) в себе функции уже существующих общеизвестных программ, а также смогут выполнять особые специальные задачи, поставленные перед СКТЭ как основной процессуальной формой использования специальных познаний.

При этом важно четко сформулировать круг этих задач и исходя из этого излагать требования на разработку необходимых экспертных средств и методов. Также очень полезными для проведения СКТЭ являются методы и средства, работающие с аппаратными средствами компьютера. Код компьютерной программы в большинстве случаев хранится на носителях информации. Но не всегда эти носители поступают на экспертизу в рабочем состоянии. Они могут быть испорчены как преднамеренно, так и случайно. В этом случае перед экспертами СКТЭ будет стоять задача по восстановлению программ, хранящихся на представленных носителях информации. В некоторых случаях информацию можно легко обнаружить для экспертного исследования и воспользоваться одним из уже разработанных методических подходов. Однако всесторонняя и полная проработка методического обеспечения СКТЭ, включающая экспертные методики исследования не только IBM PC-совместимой вычислительной техники, потребует больших материальных и временных затрат. Поэтому сегодня очень важно осмысление любого приема и способа, даже незначительного опыта экспертной работы в области СКТЭ.

265

Сущность судебно-экспертного установления признаков вредо- носности в исследуемом программном обеспечении

Основные вопросы о вредоносных программах, которые обычно ставятся в постановлениях о назначении СКТЭ, следующие:

о имеются ли в представленных на экспертизу программах вредо- носные признаки? Имеются ли среди них программы, позволяющие несанкционированно получать пароли для входа в компьютерную сеть?

® имеются ли на представленных машинных носителях пароли для доступа в сеть Интернет? Если да, то какие?

® имеются ли на представленных машинных носителях протоколы соединений модема? Если да, то каково их содержание?

Особо отметим, что на вопрос «Имеются ли на представленных ма- шинных носителях ЭВМ вредоносные программы?» судебный эксперт не имеет права давать ответ. Это связано с тем, что оценка вредоносности программы является частью юридической квалификации состава преступления и должна даваться органами следствия, либо признаваться судом.

Итак, порядок производства экспертного исследования в среде опе- рационных систем MS DOS, W7N9X, Windows Millenium может быть следующий:

© обнаружение и восстановление удаленных файлов на носителях (например, с помощью программы для восстановления удаленных файлов «Recover 4 all. Version 1.03. Copyright © 1999 Advanced Utilities GmbH») (напомним, что если исследуется винчестер из исследуемого системного блока, то он устанавливается вторым на тестовый компьютер; при этом не лишней может быть проверка времени установки

266

Windows на исследуемый компьютер с целью уточнения - не была ли система переустановлена после совершения преступления); ®
проверка информации на машинных носителей (в т.ч. директории с восстановленными файлами) при помощи пакетов антивирусных про- грамм (желательно с последними обновлениями вирусных баз); о
определение признаков обнаруженных вирусов с помощью вирусных энциклопедий, а также путем поиска соответствующих данных в сети Интернет; далее на основе анализа свойств вирусов - выбор файлов для проведения экспертных экспериментов; ® подготовка стендового компьютера (одного или нескольких для изучения действия вирусов, позволяющих получать несанкционированный доступ к удаленным компьютерам) и проведение экспертного эксперимента с использованием программ мониторинга происходящих в системе процессов (с использованием программ типа “Filemon for Windows NT/2000/9x. Copyright (С) 1996-2000 Mark Russinovich and Bryce Cogswell”, “ADinf32 for Windows 95/98/NT”, “StatWin 5.0 beta 4 Standard (Windows 95/98/2000/NT)” и т.п.); © изучение результатов
экспертного эксперимента, формулирование выводов в отношении выявленных признаков проверяемых файлов. Рассмотрим приведенный порядок на случае из экспертной практики. Для определения - содержит ли один из исследуемых файлов -fprlselist.exe вредоносные признаки был проведен экспертный эксперимент, последовательность которого была следующая:

® предварительно подготовлен автономный стендовый компьютер с установленными операционной системой «Windows 98», антивирусной программой «Doctor Web for Windows 95/98/NT Version 4.17 Copyright (c) 1992-2000, Igor Daniloff. Anti-virus laboratory of Igor Daniloff, DialogueScience, Inc.», программой- ревизором файлов “ADinf32 for

267

Windows 95/98/NT version 0.06 beta. Copyright (c) 1991-99 Dmitry Mostovoy and Vitaly Ladygin. DialogueScience, Inc.”, а также програм- мой, контролирующая процессы, исполняющиеся в Windows - “StatWin 5.0 beta 4 Standard (Windows 95/98/2000/NT)”;

о все файлы, находящиеся на стендовом компьютере, были проверены на наличие вирусов, в результате чего инфицированных файлов на винчестере не обнаружено. Была также проверена работоспособность всех установленных программ;

® файл fpriselist. exe с исследуемого винчестера был скопирован во временный каталог на жестком диске стендового компьютера и запущен на исполнение;

© в момент запуска данной программы какие-либо сообщения на экран не выводились, но курсор манипулятора “mouse” в течение 2 минут путем изменения формы сигнализировал о том, что система занята и работать в данном окне нельзя;

© через три минуты после запуска файла fpriselist. exe при анализе информации программы-ревизора файлов “ADinf32 for Windows 95/98/NT version 0.06 beta. Copyright (c) 1991-99 Dmitry Mostovoy and Vitaly Ladygin. DialogueScience, Inc.” и программы, контролирующей процессы, исполняющиеся в Windows - “StatWin 5.0 beta 4 Standard (Windows 95/98/2000/NT)”, установлено, что в течение 2 минут 01 се- кунды после начала запуска вирус, содержащийся в данном файле, без санкции пользователя произвел следующие изменения в системе:

® удалил файлы C:\Windows\regedit.exe, C:\Windows\System\ msconfig.exe, а также удалил сам себя;

© создал новый файл C:\Windows\System\iexpand.exe (копия fpriselist.exe);

268

о изменил файлы C:\Windows/system.dat и C:\Windowsfuser.dat, то есть внес изменения в реестр Windows, записав туда информацию об ав- тозагрузке при каждом запуске операционной системы файла iexpand. exe;

о запустил новый процесс в оперативной памяти- iexpand, задача которого - прослеживать соединения компьютера с сетью Интернет и отправлять сообщения с похищенной информацией о паролях на сайт www.mail.ru. по адресу, который запрограммировал распространитель вируса;

® при повторной проверке всех файлов, находящиеся на стендовом компьютере на наличие вирусов, было установлено, что файл C:\Windows\System\iexpand.exe инфицирован вирусом Trojan.Platan;

о при просмотре содержимого файлов fpriselist.exe и iexpand.exe ус- тановлено, что в каждом из них содержится один и тот же адрес элек- тронной почты для отправки похищенной информации, а именно migl32000(a>),mail.ru.;

© _при исследовании информации, содержащейся в каталоге С: \ Windows/Applog (в котором содержатся накопительные протоколы сеансов работы процессов, запущенных в операционной системе), установлено, что имеющийся в данном каталоге файл lexpand.lgc, содержит информацию о том, что процесс IEXPAND (на самом деле под этим именем замаскирован вирус Trojan.Platan), использовал в своей работе такие модули и динамические библиотеки Windows, как WSOCK32.DLL, WS2_32.DLL, MSVCRT.DLL, WTNINET.DLL, SHLWAPI.DLL, MSWSOCK.DLL, TAPT32.DLL, MPR.DLL, RPCRT4.DLL, SVRAPI.DLL, MSNET32.DLL и MSVCRT20.DLL, предназначенные для установления связи, подготовки и передачи информации по сети Интернет.

269

Следовательно, можно констатировать, что вирус Trojan.Platan по- зволяет несанкционированно получать пароли для входа в компьютерную сеть. Таким образом, на основании проведенного эксперимента был сделан вывод о том, что файл fpriselistexe содержит компьютерный вирус Trojan.Platan, действие которого в среде операционной системы «Windows 9x» приводит к несанкционированному доступу к информации на жестком диске, её модификации и уничтожению, то есть обладает признаками является вредоносности.

Далее для некоторых видов троянских вирусов может проверяться возможность установления почтового адреса, по которому вирус от- правляет информацию с зараженного компьютера (такие зараженные файлы обычно маскируются под рабочие программы, расположенные в директориях Windows или Windows\System). Весьма полезно провести анализ входящих и отправленных сообщений электронной почты - таким образом можно установить путь внедрения троянского вируса на компьютер, а также узнать почтовый адрес, по которому вирус отправляет свои сообщения по системе электронной почты.

§5.5. Методические приемы и способы судебно-экспертного исследования информационных объектов СКТЭ

Основные положения по диагностированию информационных текстовых объектов

К информационным текстовым объектам файлам относятся обычно файлы, содержащие вводимую пользователем текстовую информа- цию. Как правило, такие файлы создаются с помощью одной из про- грамм (например, текстового редактора или иных программ) и имеют стандартное для данной программы расширение, по которому может

270

быть определен программный продукт, посредством которого был создан изучаемый файл .

Однако следует учесть, что пользователь сам может задать расши- рение сохраняемого файла. Таким образом, при экспертном исследовании информационных объектов вполне могут быть выявлены текстовые документы в виде файлов, например, с расширением исполняемой программы {command.com, либо start.exe). Кроме того, текстовая информация может содержаться и в графических объектах, например в файлах с расширением .tiff (или иными расширениями), полученных в результате сканирования текстовых документов.

В то же время, при производстве судебно-экспертного исследования текстовых файлов в первую очередь подлежат диагностике наиболее распространенные расширения файлов и типичные программные средства, создающие по умолчанию файлы со следующими расширениями:

doc - создается программами Microsoft Word (встречаются как от- дельные версии, так и в составе пакета Microsoft Office) и Lexicon (Лексикон);

dot - файл шаблона программы Microsoft Word;

txt - текстовый файл (как правило, в кодировке MS-DOS).

Важное значение при проведении экспертного исследования тек- стовых объектов СКТЭ является правильное уяснение диагностического признака. Напомним, что в под признаком принято считать2 выражение свойств объекта, позволяющее отличить один объект от другого либо группу (определенное множество) объектов от других групп (множеств)

О справочных данных по расширениям имен файлов операционных систем MS DOS и Windows см., например, Усов А.И. Судебно-экспертное исследование компьютерных средств и систем.-М.: Право и закон, 2002.

Энциклопедия судебной экспертизы/Под ред. Т.В.Аверьяновойи и Е.Р. Российской. -М.:Юристь, 1999.

271

объектов, а также судить об особенностях отображения свойств в сле- дах. В криминалистике принято разделять общие и частные признаки.

Применительно к диагностическому исследованию текстовых объектов СКТЭ могут быть использованы следующие признаки:

о общие признаки - файловая организация, FAT, расширение, тип файла;

© частные признаки - обозначены в системных характеристиках файла как «общие свойства»: имя файла;

место нахождения (путь); размер в байтах; дата создания; дата изменения.

атрибуты: только для чтения, архивный, скрытый, системный. Информационные объекты, подготовленные средствами пакета MS Office помимо общих свойств имеют следующие признаки:

© сводка (название, тема, автор, руководитель, организация, катего- рия, ключевые слова, заметки, шаблон);

© статистика (создан, изменен, напечатан, кем сохранен, редакция, общее время правки, параметры статистики: страницы, абзацы, строки, слова, символы);

© содержание - состав документа (название); ® особые (имя, тип, значение, свойства).

Более подробно особенности файлов, подготовленных с помощью офисных программ, рассматривались нами ранее в литературе1.

Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. -М: Право и закон, 2002.

272

Одной из наиболее значимых признаков информационного объекта СКТЭ является тип файла, отражающий его назначение и область применения, например, командный, текстовый, графический и т.п. В персональных IBM - совместимых компьютерах тип файла указывается в расширении имени файла. Расширение является необязательной ча- стью файла. Например, в операционной системе MS-DOS расширение имени файла записывается после имени и начинается с точки, за которой следуют от одного до трех символов.

Многие программы, создавая файлы, устанавливают расширение имени файла, по которому можно узнать какая программа создавала файл. Например, .exe, .com., .bat - расширения командных файлов (причем .ехе относится к программам, созданным компиляторами), .doc - до- кументы для редактора Word, .for, .pas., .с - программы на Фортране, Паскале, Си. Многие программы используют расширение .Ьак для копий файла, создаваемых перед его изменением.

Однако, как это уже было указано, пользователь, создавая файл, может указать свой расширение, например .let для писем. Поэтому при диагностировании типа файла важно правильно распознать назначение исследуемого файла. Практически все файлы состоят из двух частей: за- головок и данные. Хотя заголовки в разных типах файлов сильно отли- чаются друг от друга, но все же обычно первые два байта служат одной и той же цели - идентификации файла. Например, когда программа Adobe Photoshop читает файл .Ьтр она проверяет первые два байта. Если они равны «ВМ», значит это .Ьтр, а если нет, то файл имеет другой тип.

Таким образом, указанные первые два байта, именуемые сигнатурой данных, представляют собой идентификатор формата файла, который подтверждает, что он действительно относится к данному семейст-

273

ву файлов. Именно по сигнатуре эксперт может правильно провести диагностику типа файла.

С учетом вышеизложенного, методика диагностики типа файла может быть следующей. Исследуемый файл необходимо открыть одной из программных оболочек со средствами просмотра (например,Ыойоп Commander 5.0 или DOS Navigator 1.51) и просмотреть сигнатуру данных. Например, рассмотрим Jpg файл. Это наиболее сложный формат, потому что здесь сигнатура не постоянна, хотя в большинстве случаев это «яШ». Дополнительным идентификатором Jpg является «JFIF» начиная с 7 байта. Чуть дальше по тексту в данных можно увидеть название программы, с помощью которой был создан файл (например, Adobe Photoshop 4.0).

Вот несколько сигнатур со своими шестнадцатеричными значениями, указанными в скобках:

.bmp - “ВМ” (42 4D); .zip - “РК” (50 4В); .dll - “MZ” (4D 5А); jpg - “яШ” (FF D8). Этот список может быть продолжен в ходе экспертной практики и использован для решения задач диагностики данных. При этом, следует обращать внимание на регистр, в котором записана сигнатура, т.к. он имеет большое значение. Например, сигнатура “ОО” может быть не равна “оО”.

Все указанные выше сигнатуры даны в ANSI кодировке Windows. Если просматривать файл в другой кодировке, то эта же сигнатура будет выглядит по-другому. Чтобы избежать проблем с кодировкой, можно предварительно запомнить шестнадцатеричное значение и для поиска использовать шестнадцатеричный редактор или, например, указанные выше программные средства.

274

Содержание экспертных методик по исследованию графических файлов

Установление фактов и обстоятельств дела на основе исследования криминалистически значимой графической информации заслуживает особого внимания. Как отмечалось уже выше, графические объекты СКТЭ могут создаваться непосредственно пользователем или являться определенным результатом работы пользователя на компьютере в разных приложениях.

Одними из первых исследований графических объектов СКТЭ явились экспертизы, связанные с изготовлением поддельных денежных билетов. Типичной стала ситуация, когда в компьютерных системах, представленных на экспертизу, выявлялись изображения денежных билетов или их частей в том или ином графическом формате (в том числе и восстановленные после удаления). Причем, как правило, обнаруженные файлы являлись графическими изображениями со специальной компьютерной доработкой. Решая частный вопрос о причине возникновения подобных доработок, эксперты пришли к следующим выводам.

В расследуемых преступлениях при сканировании изображения денежного билета обычным сканером результирующим является файл, содержащий, как сканируемое изображение, так и изображение оборотной части. Далее прорисовка части изображения была вызвана также недостаточной четкостью, получаемой при сканировании изображений. При достаточном увеличении (масштабировании) размеров выявленного изображения на экране монитора обычно подобные модификации различных графических элементов хорошо просматриваются. Кроме того, зачастую преступниками предпринимается попытка имитации компьютерными средствами водяного знака (чтобы не наносить его иным способом). Важное значение в редактировании графического изображе-

275

ния имела необходимость смены номера и серии денежного билета для каждого печатаемого впоследствии образца.

Таким образом, результатом СКТЭ в рассматриваемом случае может является не только факт констатации наличия изображения денежных билетов или их частей на носителе компьютерной информации, но и установление следов источника происхождения как поддельных денежных билетов, так и компьютерных изображений денежных билетов (первоначальный оподленный денежный билет, последующие модификации компьютерного изображения, их копии и пр.).

На сегодняшний день можно констатировать, что процесс экс- пертного исследования графической информации, созданной пользователем, менее автоматизирован по сравнению с анализом текстовой информации. В связи с эти рассмотрим более подробно ряд свойств типичных графических объектов СКТЭ, выявленных в ходе первичной экспертной практики.

Поиск по контекстным ключам в массивах графической информации невозможен по причине особенностей хранения и кодирования (сжатия) информации в графических файлах. Файлы, содержащие криминалистически значимую графическую информацию, можно разделить на статические и динамические. Статические - содержат неподвижные изображения, а динамические - видео последовательности. Чаще всего эксперту СКТЭ приходится иметь дело со статическим графическими файлами. К примеру, эти файлы могут содержать логотипы интересующих следствие организаций (фирм), макеты поддельных денежных знаков и документов, макеты и заготовки печатей, фотографии и др.

276

Возможно присутствие в графических файлах и зашифрованной (стеганографической) информации1.

В графических объектах СКТЭ, содержащих видео информацию, как правило, представляет интерес видео ряд, что становится доступным при корректном определении способа записи и сжатия видеоинформа- ции.

Объединяет исследование графической информации как статической так и динамической, способ формирования вывода эксперта по- средством проведения визуального анализа изображения на экране монитора стендового компьютера, либо полученной распечатки. Анализ файлов, содержащих видео фрагменты, на данном этапе развития СКТЭ является чрезвычайно редким явлением, поэтому более подробно остановимся на исследовании статических графических файлов. Однако необходимо отметить, что некоторые графические форматы изначально являющиеся статическими, могут использоваться и для хранения видео ряда.

Обычно, необходимость экспертного исследования графических файлов бывает вызвана прямыми вопросами следствия о содержании на изъятых носителях информации тех или иных графических изображениях, их фрагментов или заготовок, послуживших для создания представленного конечного результата. В то же время, анализ графических файлов может быть выполнен и по инициативе самого эксперта при наличии исходной поисковой информации в виде бланков, оттисков печатей, логотипов, представленных на экспертизу совместно с компьютерными средствами.

Экспертное исследование графического файла начинается с анализа его расширения, которое указывает на формат содержащейся графи-

1 Усов А.И. Судебно-экспертное исследование компьютерных средств и сие-

277

ческой информации и способы сжатия данных. К широко известным и часто используемым графическим форматам файлов молшо отнести файлы с расширением bmp, tif, gif, jpg, cdr, dwg, dxf.

Как уже отмечалось, иногда расширение может не соответствовать содержимому файла. Это происходит обычно в случае преднамеренного воздействия пользователя или по его небрежности. В этой ситуации переименованный файл может быть автоматически исключен из просмотра и загрузки системами (средствами) просмотра графических файлов (изменение, искажение расширения графических файлов) или вызывать ошибку при загрузке в системы просмотра (присвоение графического расширения файлу, не содержащему графической информации). Подобные проблемы могут вызывать аппаратные ограничения стендового оборудования эксперта СКТЭ, в первую очередь - недостаточный объем оперативной памяти.

При необходимости установления формата неизвестного файла используется любая программа, позволяющая просмотреть содержимое файла в шестнадцатеричном представлении, что позволяет прочитать заголовок файла, содержащий описание типа файла. Заголовки большинства графических файлов, принципы их построения и структуру можно найти в специализированной литературе1.

При производстве СКТЭ для проведения быстрого поиска заданного изображения используются универсальные программы просмотра типа ACDSee, но некоторые типы файлов, имеющие векторно- градиентное представление графической информации (crd,cmx,dxf,dwg и т.п.) могут потребовать применение специализированных графических пакетов для их просмотра (CorelDraw, AUTOCad и др). Выявление при-

тем.-М: Право и закон, 2002.

1 Мюррей, И.Ван-Райпер. Энциклопедия графических форматов файлов”. -Киев: Киев-ВН1, 1997.

278

знаков совпадения с представленными на экспертизу материалами происходит по традиционным методикам с использованием контрольных распечаток обнаруженных изображений, содержащих аутентичные элементы или фрагменты изображения.

Кроме файлов, непосредственно выявляемыми файловыми ме- неджерами и файловыми подсистемами графических пакетов, на носи- телях информации могут быть обнаружены специальными методами файлы, удаленные системой из списка доступных, а также фрагменты ранее удаленных файлов. Информация, содержащаяся в описанных файлах и фрагментах так же может быть криминалистически значимой. В этом случае производится восстановление удаленных файлов и фрагментов удаленных файлов с последующим исследованием их содержимого.

При анализе восстановленных данных безошибочное прочтение возможно только в случае сохранения исходной внутренней структуры файла. Из-за особенностей хранения файлов на носителях при восстановлении информации возможно включение чужеродных блоков в состав файла. Это в последствии вызывает нарушение его внутренней структуры и не позволяет проводить экспертный анализ. Восстановленные фрагменты чаще всего имеют произвольную внутреннюю структуру. При этом только посредством вычленения заголовков графических файлов из информационного блока в совокупности с условием полноты и непрерывности тела файла внутри восстановленного фрагмента появляется вероятность прочтения восстановленной графической информации.

Таким образом, графическая информация в полностью восстанов- ленных файлах подлежит всестороннему исследованию, а в восстанов- ленных фрагментах шестнадцатеричных блоков - нет, в отличии от тек-

279

стовых фрагментов. Для обеспечения СКТЭ графических объектов может быть использован целый ряд средств, основные требования к которым были рассмотрены нами в соответствующей литературе .

§5.6. Методика судебно-экспертного исследования компьютерной информации, сопряженной с работой в сети Интернет

Наступление эры господства информации в России как и во всех странах характеризуется резким ростом преступлений в области Интернет-технологий, а также уголовных преступлений, гражданских и административных правонарушений, в которых ресурсы и возможности сети Интернет используются как элементы способа их совершения и сокрытия. Среди прочих источников доказательств требуют особого внимания предметы, сопряженные с работой в сети Интернет. Объектами применения специальных познаний здесь являются персональные компьютеры, подключенные к Интернет, различные ресурсы поставщика сетевых услуг (провайдера Интернет) и предоставляемые им информационные услуги (электронная почта, телеконференции, www-сервис и пр.).

Анализ практической экспертной деятельности по исследованию компьютерных средств позволяет выделить ряд специфических особенностей изучения криминалистически значимой компьютерной информации со следами работы в сети Интернет. Эти особенности позволяют сегодня говорить о данном судебно-экспертном исследовании как одном из видов судебной компьютерно-технической экспертизы. Предметом рассматриваемой экспертизы являются факты и обстоятельства, уста-

Усов А.И. Судебно-экспертное исследование компьютерных средств и систем.-М.: Право и закон, 2002.

2 См., например, Российская Е.Р., Усов А.И. Классификация компьютерно- технической экспертизы и ее задачи // Уголовный процесс и криминалистика на ру- беже веков. - М: Академия управления МВД РФ, 2000.

280

навливаемые на основе специальных знаний об Интернет-технологиях и средствах телекоммуникации и связи.

Типичными задачами судебной телематической экспертизы яв- ляются как комплексное диагностирование компьютерной системы (либо ее части, например, носителя данных), так и раздельное исследование аппаратного, программного и информационного обеспечения. К важным диагностическим задачам относятся:

® диагностирование свойств и состояния настроек по подключению к сети Интернет;

« определение структуры механизма и обстоятельства события, свя- занного с работой в Интернет, по его результатам (информационным следам);

© установление причинной связи между использованием конкретных компьютерных средств и результатами их применения при работе в Интернет.

Типичными объектами судебно-экспертного исследования компь- ютерной информации, сопряженной с работой в Интернет являются: компоненты операционной системы по организации удаленного доступа к сети, программы WWW-броузеров, почтовых Интернет- приложений, программы ICQ, IRQ, клиенты FTP и др. Кроме того, сюда можно отнести всю информацию, отраженную в базах данных, создаваемых указанными приложениями, различные папки с временными данными, протоколы соединений удаленного доступа и т.п.

Конкретные экспертные задачи при исследования компьютерной информации рассматриваемого вида подлежат обязательному уяснению как со стороны следователя, так и эксперта на стадии назначения СКТЭ, в ходе справочно-консультационной деятельности. К конкретным экспертным задачам относятся:

281

о выявление в системе установок удаленного доступа к сети (настроек протокола TCP/IP, конфигурации DNS), установление номеров телефонов провайдеров (параметров набора номера), определение login и password подключения к Интернет, установление наличия и анализ соответствующих скрипт-файлов (сценариев подключения);

о выявление и анализ имеющихся в компьютерной системе прото- колов соединений удаленного доступа к сети, установления вида его организации (с помощью модема (какого), proxi-сервера и т.п.);

® выявление следов использования www-броузеров для работы в сети Интернет (по анализу папок Temporary Internet Files, Cookies);

® установление содержимого папок «Избранное» и «Журнал» www- броузеров (типичный броузер - Internet Explorer 5);

о установление содержимого и атрибутов учетных записей, уста- новленных удостоверений почтовых Internet-приложений (выявление собственных адресов e-mail, используемых почтовых серверов, установленных password), выявление содержимого адресной книги и содержимого локальных папок, входящей, исходящей, отправленной и пр. (типичные почтовые клиенты - это MS Outlook и The BAT);

© установление и анализ данных по использованию Интернет- пейджеров (типичный пейджер - ICQ 99b, 2000 а, Ь); установление зарегистрированных номеров ICQ (UIN), password, выявление архива переговоров и анализ его содержания, выявление адресной книги).

Приведенные задачи отражают лишь незначительную долю всего объема экспертной работы, выполняемой в ходе изучения компьютерной информации, сопряженной с работой в Интернет. Здесь последовательность действий основана прежде всего на ряде особенностей работы Интернет-приложений под управлением MS Windows. Криминалистически значимой компьютерной информацией являются данные, отображаемые

282

в результате работы ряда программных средств. Так, например, наиболее часто встречаемый в экспертной практике www-броузер Microsoft Internet Explorer сохраняет в директории \Windows\Cookies\ - файлы Cookies, а в \Windows\Temporary Internet Files\ - информацию о сайтах (web-страницах), посещенных в сети Интернет.

В связи с этим, в обязательную последовательность действий эксперта должно быть включено изучение следующих папок и файлов опе- рационной системы Microsoft Windows 95,98:

© директория \Windows\History\, в которой хранятся все файлы ис- тории (хронология работы);

® файлы \Windows\name.pwl, в этих файлах Windows хранит имена, телефоны и пароли для соединения с Интернет, которые могут быть расшифрованы с помощью специальных программ;

о директория \Windows\Profiles\name\, где name - имя пользователя, хранит профили и все установки конкретных пользователей (это спра- ведливо и для Windows NT);

© директории \Application\Microsoft\Outlook Express\Mail\ и \Application\Microsoft\Outlook Express\News\ соответственно содержат данные о почте (файлы с расширениями .idx и .mbx) и новостях (файлы с расширением .nch);

© директории \Application\Microsoft\Address ВоокА - содержит ад- ресную книгу; \Cookies\ - содержит файлы Cookies; \Favorites\ - файлы закладок Интернет; \History\ - файлы истории Windows.

Указанные папки и файлы составляют только малую часть возможных источников криминалистически значимой информации. Эксперт СКТЭ при исследования должен учесть, что большинство других Интернет-программ (приложения: модемные, факсовые, FTP-клиенты, броузеры и т.д.) ведут различные лог-файлы (куда и когда осуществлял-

283

ся доступ в сеть, какие действия производились), кэши и т.д. Кроме того, практически все данные, связанные с подключением к сети, автоматическим дозвоном, использованием e-mail, ICQ (login, password) и т.п. отражаются в системном реестре Windows, просмотреть который можно с помощью утилиты regedit.exe из стандартного набора программ операционной системы. Фактически вся системная информация хранится в двух скрытых файлах в каталоге Windows: system.dat и user.dat. Также обязателен просмотр системных копии реестра, хранящиеся в файлах user.daO и system.daO.

Полученные выводы СКТЭ компьютерной информации, сопря- женной с работой в сети Интернет, отраженные в заключении эксперта, являются доказательством по делу. Зачастую эти данные впрямую служат установлению наличия или отсутствия состава преступления, виновности лица, совершившего это преступление. Кроме того, результаты рассматриваемой экспертизы могут инициировать проведение дополнительных следственных действий и комплекса оперативно-розыскных мероприятий. Например, при производстве судебной экспертизы были установлены атрибуты почтового ящика (e-mail) - адрес почтового сервера, имя (login) и пароль (password) пользователя. Вполне очевидно, что за время применения мер пресечения к подозреваемому лицу и проведения предварительного следствия на его e-mail могут продолжать прихо- дить электронные сообщения, содержание которых возможно имеет существенное значение и определит дальнейшее направление расследования. В связи с этим, по поручению следователя могут быть проведены следующие оперативно-розыскные мероприятия:

® контроль почтовых отправлений, телеграфных и иных сообщений;

© снятие информации с технических каналов связи;

284

0 оперативный эксперимент и оперативное внедрение .

В ходе этих мероприятий возможно производство не только под- ключения к Интернет и получение интересуемых сообщений e-mail, но и организация двухсторонней переписки с кругом знакомых подозреваемого лица. Подобное оперативное внедрение (либо эксперимент) осуществляется также и путем подключения к Интернет с помощью программы ICQ с использованием UTN (уникального номера) подозреваемого лица и его контактного списка, установленных в ходе судебно-экспертного исследования.

В результате подобного интерактивного общения могут быть ус- тановлены обстоятельства, имеющие значения для правильного разре- шения дела. Подобный прием подходит и к работе под установленным экспертизой nickname (именем) в Интернет-чатах, где было ранее заре- гистрировано и общалось подозреваемое лицо. Однако указанные оперативные данные могут быть использованы в доказывании только при соблюдении соответствующих процессуальных процедур.

Стремительные темпы электронной коммерции, активизация он- лайновых интернет-магазинов, бурное развитие деловых, профессио- нальных, культурно-развлекательных и прочих порталов в сети Интернет объективно обусловливают дальнейшую проработку проблем использования специальных познаний при раскрытии и расследовании преступлений в указанной сфере, несмотря на обширную практику применения в процессе уголовного производства различных форм использования специальных познаний, основной процессуальной формой является судебная экспертиза, именно экспертные исследования позволяют соблюсти принципы относимости и допустимости, придать изъятым

1 См. Федеральный Закон. «Об оперативно-розыскной деятельности» от 12 августа 1995 г. № 144-ФЗ (в ред. Федеральных законов от 18.07.1997 № 101-ФЗ, от 21.07.1998 № 117-ФЗ, от 05.01.1999 № б-ФЗ, от 30.12.1999 № 225-ФЗ).

285

компьютерным средствам доказательственное значение и получить положительную оценку следователя и суда.

§5.7. Методические особенности судебно-экспертной диагностики защищенной компьютерной информации

Анализ судебно-экспертной практики исследования компьютерных средств и систем показывает рост потребности привлечения специаль- ные познания из ряда научных областей, впрямую не входящих в об- ласть специальных познаний СКТЭ. Так, например, обстоит дело с получением доступа к защищенной компьютерной информации. Следует заметить, что частота возникновения подобных экспертные ситуации имеет тенденцию к росту сообразно росту профессиональной подготовки пользователей, компьютеры которых поступают на СКТЭ.

Частными экспертными задачами в указанных случаях являются: снятие парольной защиты, получение доступа к закодированным дан- ным (которые выявлены в ходе производства экспертизы), расшифровка информации с поврежденной структурой данных, диагностирование различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований - криптографией и защитой информации. Однако, в рамках комплексного построения основ методического обеспечения СКТЭ представляется целесообразным рассмотреть ряд наиболее важных вопросов из указанной области.

Ранее в литературе1 нами уже рассматривался достаточно подробно материал, необходимый для проведения правильной диагностики примененных средств защиты информации в исследуемом объекте СКТЭ и

1 Усов А.И. Основы методического обеспечения судебно-экспертного иссле- дования компьютерных средств и систем. - М: Право и закон, 2002.

286

определения путей формирования доказательственной базы по расследуемому преступлению. На сегодняшний день разработано несколько типов защиты данных: аппаратные, программные, аппаратно-программные и другие. В ходе производства экспертизы эксперт в принципе может встретиться с любой из указанных систем. В связи с этим в отразим лишь малую часть исследуемых вопросов, представляемых наибольшей интерес ввиду своей специфики.

Время и объемы производство СКТЭ объектов с различными видами ограничения доступа к криминалистически значимой компьютерной информации могут быть очень велики. Поэтому в подобных ситуациях большое значение приобретает задача диагностирования использованных средств защиты, а непосредственный доступ к выявленным зашифрованным данным может быть получен позже иными путями и способами. Здесь на первое место, опираясь на полученные выводы СКТЭ, могут выйти такие следственные действия как допрос обвиняемого, либо следственный эксперимент, могущие в последствии предоставить новые исходные данные для дополнительной СКТЭ.

Итак, судебный эксперт СКТЭ в своей деятельности может встре- титься со следами использования различных криптографических средств защиты компьютерной информации. Если на экспертизу поступил объект, информация на котором нуждалась в профессиональном качестве зашифровки, то скорее всего для этого был использован пакет PGP. Ну а если объектом экспертизы является компьютер Macintosh или компьютер с операционной системой UNIX, то альтернативы PGP там просто нет. Большой популярность из-за своей надежности пользуется средство BestCrypt NP. Но эта утилита не использует алгоритмы с открытым ключом. Поэтому эта защита может встречаться чаще всего у локальных пользователей, решающих свои задачи в индивидуальном порядке.

287

Если компьютер был изъят в каком-либо малом офисе и защита там нужно была только от коллег и посетителей, скорее всего в нем ис пользовалась программа CodedDrag. Это очень удобная программа и имеет много приверженцев среди офисных работников. Программа Secur-all 32 очень медленна, а международная версия SecurPC, слишком урезанная, поэтому вероятность обнаружения ее на исследуемом ком- # пьютере невысока.

Если в исследуемом компьютере в качестве ОС инсталлирована лишь MS DOS, то для защиты необходимых данных пользователь, скорее всего использовал программу Diskreet из комплекса Norton Utilites либо вариант PGP для DOS. Последний представляет собой командно-строчную программу с синтаксисом, похожим на архиватор ARJ. Недостаток PGP для DOS состоит в том, что пароли нужно вводить непосредственно в DOS-приглашении, в результате чего они выставляются на всеобщее обозрение. Этот факт может быть вполне использован при проведении дополнительных следственных действий с целью выявления паролей доступа к криминалистически значимой информации.

Основные методические рекомендации по диагностике программ но-защищенных объектов СКТЭ заключаются в проведении тщательно го анализа всего проинсталлированного в компьютере программного обеспечения (в первую очередь, по системному реестру). Цель анализа - выявлении признаков использования специальных средств криптогра- « фической защиты. Наличие среди системного либо прикладного про-

граммного обеспечения какого-либо из упомянутых, либо иных, крипто- графических программ должно послужить поводом для детального просмотра всей файловой системы и обнаружения файлов со специфическими расширениями. Только получение достаточной совокупности диагностических признаков позволит эксперту СКТЭ сформулировать ка-

288

тегорический вывод об использовании конкретного программного средства для защиты компьютерной информации на исследуемом объекте.

§5.8. Методические подходы к экспертизе информационно- программной продукции на признаки контрафактности

Проблемные вопросы СКТЭ информационно-программной продукции на признаки контрафактности

В условиях широкомасштабной информатизации общества совер- шенно очевидным оказался рост потребительского спроса на разнообразные информационно-программные продукты, иначе говоря, программное обеспечение. Это, в свою очередь, привело к появлению на рынке не только легальной, но и нелегальной - «пиратской» продукции такого рода. Возникший вид криминальных проявлений в таможенной сфере, связанных с нарушением интеллектуальной собственности, быстро превратился в новую форму организованной преступности. Широкое распространение нелегальных изделий остро обозначило проблемы их выявления, а также судебного преследования деяний, связанных с незаконным изготовлением и распространением информационно-программной продукции. Успешная борьба с рассматриваемой категорией преступлений требует от правоохранительных органов государства привлечения больших сил и средств, участия в раскрытии и расследовании преступлений высококвалифицированных специалистов.

Ранее нами уже проводился анализ нормативных актов, регламен- тирующих создание, правовую охрану и использование информационно-

289

программных продуктов . Отмечено, что, в первую очередь, к этим про-дуктам относятся программы и базы данных для ЭВМ .

Чаще всего, программное обеспечение, поступающее на судебно- экспертное исследование, представлено в виде пакетов системных про грамм и утилит, программ бухгалтерского назначения, компьютерных игр, мультимедийной продукции, деловой графики, обучающих систем, # различных энциклопедий и т.п.

Под термином «контрафактность» следует понимать нелегальность объектов (изделий, в том числе информационно-программных продуктов), полученных (произведенных, приобретенных, ввезенных в страну и т.п.) с нарушением действующего законодательства. Следовательно, признаки контрафактности объектов (изделий) можно определить как признаки (характеристики), свидетельствующие об их нелегальном изготовлении (рис.5.3).

т

1 Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001.

Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г. № 3523-1.

290

(.»

т

т

Рис.5 .3. Типи чный прим ер комп акт- диска с контр афакт ным про- грам мным обесп ечени ем

291

Для того чтобы отличить контрафактную продукцию от легальных изделий, необходимо определиться с признаками контрафактности, а также методиками их выявления в том или ином рассматриваемом объекте. Для полного объективного исследования такого рода совершенно очевидна необходимость использования специальных познаний из ряда областей науки и техники. В соответствии с законом в этих случаях должно назначаться экспертное исследование информационно-программных продуктов, т.е. судебная компьютерно- техническая экспертиза. Однако при назначении и проведении СКТЭ носителей информации (чаще всего компакт-дисков) сегодня возникают противоречия процессуального характера, вызванные различной оценкой полученных результатов.

Следует отметить, что в настоящее время большинство экспертиз информационно-программных продуктов назначается не по уголовным, а по гражданским делам и выполняется в негосударственных экспертных учреждениях и частными экспертами. Одной из таких организаций является «антипиратская» ассоциация АБКП («Ассоциация по борьбе с компьютерным пиратством»). Однако, приходится констатировать, что многие исследования, производимые в АБКП и иными, подобными ей организациями, весьма поверхностны, а результаты этих исследований необоснованны1. Используемая специалистами АБКП методика игнорирует известные положения частных криминалистических теорий: теории криминалистической идентификации, теории криминалистической диагностики, криминалистического учения о признаках. Выводы эксперта о том, что «..исследованные машинные носители типа CD-ROM являются контрафактными..» и «..компаниям- издателям нанесен материальный

Подробнее см. Российская Е.Р., Усов А.И. Судебная компьютерно- техническая экспертиза.- М.: Право и закон, 2001.

292

ущерб..», явно выходят за границы экспертной компетенции, поскольку содержат правовую оценку деяния.

Для получения обоснованных выводов экспертное исследование контрафактной информационно-программной продукции требует при менения специальных познаний в различных областях науки и техники и должно носить комплексный характер. При этом для получения объек- 0 тивного заключения эксперта в основу экспертной методики могут быть

положены следующие стадии:

® выявление внешних признаков контрафактных изделий; ® выявление признаков контрафактное™ в структуре, содержании, потребительских свойствах информационно-программных продуктов. Рассмотрим эти стадии подробнее.

Выявление внешних признаков контрафактности информационно- программных продуктов

«

На данной стадии исследования применяются специальные познания экспертов-товароведов, экспертов технико-криминалистической экспертизы документов и экспертов-трасологов. Прежде всего, выявление признаков контрафактности информационно-программной продукции требует проведения товароведческого исследования ее упаковки и внешнего вида (с целью установления их соответствия определенным стандартам, принятым фирмами-производителями), а также сопроводительной документации (на предмет установления ее комплектности и правильности оформления).

Особое внимание при этом следует уделять идентификационным признакам производителей компакт-дисков (в последнее время все большее распространение получает так называемая система идентифи-

293

кации места подготовки матриц компакт-дисков и места их производства - «SID Code»1), отсутствие которых может являться одним из признаков контрафактности изделий. Решить эти задачи, по нашему мнению, может именно эксперт-товаровед, специализирующийся в области исследования контрафактной продукции. Только в его компетенции находится установление соответствия (или несоответствия) сопроводительной документации на товар определенным требованиям, установление вида и способа изготовления товара, требований по его транспортировке, хранению и реализации, фактических товарных свойств изделий, качественных показателей и пр.

Определенная группа признаков, свидетельствующая о контра- фактности информационно-программных продуктов:

о нестандартное качество упаковки (например, низкое качество по- лиграфического оформления буклетов и инлеев, нестандартный внеш- ний вид самой упаковки, плохое качество используемой бумаги);

© наличие специальных «пиратских» фирменных знаков или невер- ное, нечеткое, с явно увеличенным или уменьшенным размером воспроизведение легальных товарных знаков;

© полное отсутствие или признаки копирования маркировочных обозначений изделий, используемых официальными производителями продукции;

© нестандартное отображение штрих-кодов;

® отсутствие каталожных номеров или их несоответствие наимено- ванию программных продуктов.

SID Code - Source Identification Code - код идентификации источника.

294

Все эти признаки выявляются и исследуется специалистами ТКЭД. В настоящее время имеются уже разработанные специальные методики экспертного исследования полиграфической продукции .

В выявлении признаков контрафактное™ информационно- программной продукции могут применяться специальные познания экспертов-трасологов, исследующих следы технологического оборудования на ее носителях. Так, например, об использовании иного оборудования для изготовления компакт-дисков могут свидетельствовать признаки от вырубного инструмента, следы которого локализуются вокруг центрального отверстия, а также признаки уничтожения (изменения) маркировочных обозначений на матрице компакт-диска, отображающиеся на его поверхности в специфическом виде . Данные признаки выявляются в ходе сравнительного исследования с легитимными образцами компакт- дисков, которые могут находиться в специализированной коллекции.

В отношении установления контрафактности аудио- и видео- продукции экспертными учреждениями МВД России проводится совместная работа с организациями по защите прав производителей этой продукции, например, Международной федерацией производителей фонограмм (IFPI), Российской антипиратской организацией (РАПО). Однако, в области исследования информационно-программной продукции такие связи пока еще не налажены, что является одной из проблем, которые

1 См., например, Методология проведения исследований и экспертиз аудиови зуальных произведений/Материалы семинара по Интеллектуальной Собственности для сотрудников МВД России. - М.: ЭКЦ МВД России, 1999; Злотя В.П. и др. Мето дические рекомендации по выявлению и раскрытию нарушений авторских и смеж ных прав на аудиовизуальные произведения. - М.: ВНИИ МВД России, 1999; Кула ков Д.В., Пахомов А.В. Особенности назначения экспертизы (исследования) поли графической упаковки аудиовизуальной продукции // Следователь. - М.: Юриздат, 2000.

2 Тимофеев И.Н. и др. Проведение криминалистических исследований для оп ределения признаков контрафактности компакт-дисков и компакт-кассет. - М.: Вестник МВД России, 1998. - №№ 5, 6.

295

встают перед экспертами при проведении соответствующих исследований. В связи с этим, представляется перспективным сотрудничество с Ассоциацией производителей программного обеспечения (BSA), одной из задач которой является защита интересов международной информационно-программной индустрии.

Выявление признаков контрафактности в информационно- программном продукте

На этой стадии должно проводиться аналитическое исследование содержания информационно-программного продукта, представленного как на компакт-дисках, магнитооптических или магнитных дискетах, так и на жестком диске самого компьютера. Характеристиками контрафактных информационно-программных продуктов могут быть:

о неполный программный пакет (по структуре и содержанию), сборник разнородных программных продуктов,

о наличие файлов с текстовым содержанием номера программного продукта или информацией о том, как его «вскрыть» для установки на компьютер,

© наличие номера в установленных программах, несоответствующе- го номерам, принятым производителем данного программного продукта и др.

Пока, система криминалистически значимых признаков контра- фактных изделий в этой области пока не разработана, поскольку СКТЭ, которая может и должна заниматься решением рассматриваемых задач, находится на этапе становления. В процессе экспертного исследования объектов неотъемлемым условием является выполнение процедуры просмотра содержания перезаписываемого носителя информации без какого-либо внесения изменений, которые могут произойти в результате ра-

296

боты сервисной или защитной программы, неправильного обращения с базами данных или иных действий, не учитывающих работу систем такого рода. В работе могут также возникать трудности, связанные с поиском нужной информации, а при необходимости и ее восстановлением.

Кроме того, требуется выполнение большого объема работ, свя- занных с выявлением и анализом совокупности диагностических и идентификационных признаков как уже инсталлированного контрафактного программного продукта, так и самой контрафактной инсталляционной копии, представленной в том или ином виде.

Одной из существенных причин, осложняющих проведение анали- тического исследования содержания информационно-программных продуктов, является недостаточно развитое взаимодействие экспертов с производителями той программной продукции, которая наиболее часто выпускается «пиратским» способом. Отсутствие данных о легальных информационно-программных продуктах затрудняет объективную оценку результатов экспертных исследований.

Представленные выше стадии характерны для методики экспертного исследования информационно-программной продукции, подозре- ваемой в контрафактности. Эта методика развивается в рамках СКТЭ, исходя из потребностей следственной и судебной практики в раскрытии и расследовании преступных посягательств на интеллектуальную собственность и разрешения гражданско-правовых споров.

Следует отметить, что в настоящее время при назначении экспертиз и исследований информационно-программной продукции перед экс- пертами СКТЭ часто ставятся вопросы, касающиеся установления правообладателя, авторские права которого нарушены, а также оценки размера ущерба, нанесенного ему противоправными деяниями. Очевидно,

297

решение этих вопросов явно не относится к компетенции судебных экспертов1.

В заключении пятой главы сформулируем следующие полученные результаты.

  1. Разработанный комплекс судебно-экспертных методик иссле дования компьютерных средств и систем является одним из блоков ча стной теории СКТЭ. Целью создания комплекса экспертных методик СКТЭ, а также последующего его наращивания новыми методическими подходами - является расширение объема представляемых следствию и суду фактических данных, основанных на возможности решения задач в сфере информационных технологий как новой для судопроизводства об ласти, исследования новых объектов - компьютерных средств и систем, сокращения сроков производства экспертиз, материальных и трудовых затрат, уменьшения количества нерешенных вопросов, повышения на учного уровня и полноты решения экспертных задач СКТЭ.

  2. Предложено рассматривать совокупность экспертных методик СКТЭ в комплексе их видового представления, а именно, в виде родо- вой, типовых и конкретных (частных) методик. С этой целью уточнены определений основных понятий применительно к методикам СКТЭ, а также определены требования к ним. Установлено, что практика испытывает большую потребность в разработке методического обеспечения экспертных исследований не только свойств и состояний аппаратных, программных и информационных объектов СКТЭ, но и изучения механизмов, процессов и действий по результатам применения (использования) компьютерного средства в том или ином преступлении.
  3. Судебно-экспертная деятельность в сфере современных ин- формационных технологий направлена на комплексное исследование
  4. 1 Подробнее см. Российская Е.Р., Усов А.И. Судебная компьютерно- техническая экспертиза.- М: Право и закон, 2001.

298

целостной компьютерной системы. Однако, первостепенное значение в решении поставленных вопросов приобретают судебно-экспертные методики по исследованию аппаратных средств, программного обеспечения и информационных файлов применительно к типичным объектам СКТЭ - IBM PC - совместимым компьютерам. На примере указанных объектов рассмотрена родовая методика СКТЭ, отражающая сущность подготовительного этапа экспертизы, общие действия на этапе исследования, а также анализ полученных в результате экспертизы данных, характерных и для других классов и видов объектов СКТЭ.

  1. Вещественными доказательствами, представляемые на СКТЭ, являются, прежде всего, аппаратные объекты - персональные компью теры или его части, блоки (в т.ч. носители информации), электронные органайзеры, сотовые телефоны, иные микропроцессорные устройства. Поэтому, предложено изучение представленных объектов начинать с выявления свойств и признаков, присущих данным объектам как аппа ратным компьютерным средствам. Рассмотрено содержание экспертных методик по диагностирование установок базовой системы ввода- вывода персонального компьютера, обеспечению доступа к неисправному жест кому диску. Уточнены экспертные методики по изучению компакт- дисков, позволяющие решать диагностические и идентификационные задачи, в т.ч. связанные с выявлением признаков контрафактности.

  2. Установлено, что судебно-экспертное исследование программ ных средств является одним из сложных и трудоемких видов СКТЭ. Ре зультативность производства экспертизы программ зависит не только от объема представленного на исследование программного кода и его свойств, но и уровень профессиональной подготовки эксперта в области теории и практики алгоритмизации и программирования для различных аппаратных платформ. Предложено за основу методического обеспече ния данного вида СКТЭ принять положения технологии обратного про-

299

граммирования. Экспертные средства классифицированы с позиций исследования динамических и статических характеристик программ, что позволяет эффективно решать многие задачи по экспертизе программ, в т.ч. по выявлению признаков их вредоносности.

  1. Разработаны методические способы и приемы судебно- экспертного исследования информационных объектов. В основных по ложениях по диагностированию информационных текстовых объектов рассмотрены совокупности общих и частных признаков, приведена по следовательность определения типа файла по его сигнатуре. Уточнены криминалистически значимые признаки информационных объектов, подготовленных средствами офисных программ. Для графических ин формационных объектов обосновано их разделение на статические и ди намические объекты, рассмотрены рекомендации по диагностике и вос становлению удаленных данных. Установлена возможность присутствия в графических файлах зашифрованной (стеганографической) информа ции, что обуславливает разработку дополнительных подходов к их ис следованию.

  2. К частным экспертным методикам, разработанным в ходе на стоящего исследования, отнесены: методика по судебно-экспертному исследованию компьютерной информации, сопряженной с работой в се ти Интернет; методика по диагностированию защищенной компьютер ной информации; методика по исследованию информационно- программной продукции на признаки котрафактности и др. Указанные частные методики представляют собой способы решения соостветствующих конкретных задач судебно-экспертного исследования компьютерной информации и программ.

  3. Потребности практики, новизна излагаемых методических подходов к решению экспертных задач, наукоемкость и уникальность ряда технических и криминалистических способов и приемов по изуче-

300

нию свойств и признаков объектов СКТЭ предопределяют конкретизацию настоящих исследований по изучению установленных классов объектов СКТЭ, в т.ч. нетипичных объектов, а также расширению перечня решаемых частных методик. Дальнейшее развитие и внедрение экспертных методик СКТЭ требует всестороннего решения организационный проблем судебно- экспертной деятельности в сфере информационных технологий.

301

ГЛАВА 6. ОРГАНИЗАЦИОННЫЕ ПРОБЛЕМЫ ФОРМИРОВАНИЯ

ИНФРАСТРУКТУРЫ ЭКСПЕРТНОЙ ДЕЯТЕЛЬНОСТИ В СФЕРЕ

СОВРЕМЕННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

§6.1. Современные проблемы и тенденции в организации производства СКТЭ судебно-экспертными учреждениями

В связи с тем, что частная теория судебной компьютерно- технической экспертизы является отражением экспертной деятельности в сфере современных информационных технологий, она может быть представлена в виде организованной системы. Компонентами, раскры вающими инфраструктуру данной системы, являются: субъекты СКТЭ, системные связи между ними, особенности экспертной деятельности по исследованию компьютерных средств и систем, профессиональные ка чества эксперта СКТЭ и пр. Согласно действующего законодательства Ф субъектами судебно-экспертной деятельности являются: лица и органы,

назначающие экспертизу, судебные эксперты и судебно-экспертные уч- реждения.

Инфраструктура СКТЭ находится в настоящее время в стадии сво его становления. Сегодня в практике судопроизводства по делам, со пряженным с использованием компьютерных средств, участвуют как различные категории судебных экспертов, осуществляющих экспертное исследование и дающих экспертное заключение, так и различные учре- ® ждения, организующие проведение экспертизы и обеспечивающих ее

производство. В то же время, известно, что отличительной особенностью деятельности государственных судебно-экспертных учреждений является то, что она осуществляется на условиях единого применения положений научно- методического руководства экспертной практикой, профессиональной подготовки и специализации экспертов, а также со-

302

гласованного развития материально-технической базы . Указанные условия и многолетний опыт работы обеспечили государственным судебно-экспертным учреждениям и их системам общепризнанные преимущества в становлении и развитии судебных экспертиз, что является характерным и для СКТЭ. Поэтому в настоящей главе посредством анализа организационных проблем судебно-экспертных исследований компьютерных средств и систем решается задача определения путей формирования и дальнейшего развития инфраструктуры экспертной деятельности в сфере информационных технологий.

Анализ современных потребностей в судебно-экспертной деятель- ности в сфере современных информационных технологий показывает, что поднятые в настоящем исследовании вышеизложенные проблемы СКТЭ требуют своего дальнейшего всестороннего развития, более тщательных подходов и высокого уровня своего разрешения в организационном плане. Это касается не только МВД России, но и всех заинтересованных в становлении нового рода судебно- экспертной деятельности министерств и ведомств. Поэтому во исполнение поручения Правительства Российской Федерации от 31 марта 2000 года № ХВ-ПЧ-09253 и в соответствии с п. 3 распоряжения Правительства Российской Федерации от 22 октября 1999 года № 1701-Р МВД России, ФСБ России, Минюстом России, совместно с Гостехкомиссией России был проведен анализ состояния судебных экспертиз и исследований в сфере информационных технологий, а также целесообразности создания региональных межве- домственных центров для проведения исследований и экспертиз элек- тронно-вычислительных машин, их систем и сетей.

Часть результатов настоящего исследования было положено в основу проводившейся работы в рамках указанных распоряжений Прави-

1 Основы судебной экспертизы. 4.1. Общая теория. - М: РФЦСЭ, 1997.

303

тельства. Так, нами, совместно с указанными ведомствами и министерствами, были подготовлены соответствующие материалы, сущность которых заключается в следующем.

По оценке МВД России ущерб от преступлений в сфере информа- ционных технологий в 1998 году составил 35 миллиардов рублей, а в 1999 году он превысил 105 миллиардов рублей. Рост данного вида преступлений вызвал резкое увеличение запросов следственных и оперативных аппаратов в экспертные учреждения МВД России, ФСБ России и Минюста России на производство соответствующих экспертиз и исследований. Комплекс проблем, вызванных недостаточным ресурсным обеспечением (финансовым, кадровым, материально - техническим, методическим) экспертных учреждений не позволяет в полном объеме удовлетворять потребности правоохранительных органов и судов Российской Федерации в проведении экспертиз. Так, объем проведенных в текущем году экспертных исследований в сфере высоких технологий составил 10- 15% от необходимого.

В данной ситуации, в настоящее время, представляется нецелесо- образным создание региональных межведомственных центров для проведения исследований и экспертиз электронно-вычислительных машин, их систем и сетей. Однако, учитывая крайнюю важность и актуальность указанной проблемы, которая нашла отражение в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации 9 сентября 2000 года, отсутствие скоординированного похода государственных экспертных учреждений к экспертным исследованиям в сфере информационных технологий, необходимо разработать Концепцию развития судебных экспертиз в сфере информационных технологий и Федеральную целевую программу развития экспертиз и исследований в сфере информационных технологий.

304

Для осуществления этой работы МВД России, ФСБ России и Минюсту России, совместно с Генеральной прокуратурой Российской Федерации, предложено организовать межведомственную рабочую группу из представителей экспертных и научных учреждений по подготовке проектов соответствующих документов. Учитывая опыт накопленный Научно - исследовательским институтом информационных технологий (НИИ ИТ) ФСБ России, Государственным учреждением “Экс-пертно-криминалистический центр МВД России”, Российским федеральным и Северо-Западным региональным Центрами судебных экспертиз Министерства юстиции России функции системного координатора по организации разработки программно - технических средств для экспертных исследований в сфере информационных технологий, предложено:

о возложить на НИИ ИТ ФСБ России проведение широкого спектра научно-исследовательских и опытно-конструкторских работ по созда- нию специализированного математического, программного и аппаратно-программного обеспечения судебно-экспертного исследования компьютерных средств и систем;

© функции по организации разработки научно - методического и нормативно - правового обеспечения возложить на Государственное учреждение “Экспертно - криминалистический центр МВД России” и Российский федеральный центр судебных экспертиз Минюста России соответственно.

Принимая во внимание то, что при реализации Доктрины инфор- мационной безопасности страны экспертные исследования в сфере ин- формационных технологий приобретают статус государственных задач, представляется необходимым рассмотрение вопроса материально - технического обеспечения судебных экспертиз и исследований в рамках

305

Государственного оборонного заказа. Поэтому, в связи с вышеизложенным, может быть предложена следующая схема координации задач по организации и развитию судебных экспертиз и исследований в сфере информационных технологий (рис.6.1.).

В связи с тем, что настоящее исследование проводилось в условиях реформирования экспертно-криминалистической службы МВД Рос- сии, было предложено учесть вопросы развития инфраструктуры СКТЭ в ОВД посредством подготовки ряда материалов к коллегии МВД России по вопросу «О состоянии и мерах по повышению эффективности использования экспертно-криминалистических средств и методов в борьбе с преступностью», запланированное в 2002 г. Целью данного мероприятия является максимально-полное и эффективное использование научно-технических достижений и специальных познаний в области криминалистики в борьбе с преступностью, потенциал которых сегодня позволяет отнести их к числу основных средств раскрытия и расследования преступлений. С учетом потребностей поиска новых форм и реализации иных подходов к формированию доказательственной базы предложено ввести новое направление судебно-экспертной деятельности ЭКП МВД России - «компьютерно-техническая экспертиза» и отразить это в следующих нормативных актах, регламентирующих деятельность ЭКП ОВД:

© Наставление по работе ЭКП ОВД;

® Положение о производстве экспертиз в ЭКП ОВД;

® Нормы введения должностей сотрудников ЭКП ОВД по видам специализации;

© Типовое положение об ЭКУ (ЭКО) МВД, ГУВД, УВД, УВДТ;

306

о Перечень базовых межрегиональных отделов (отделений) специальных видов экспертиз и исследований ЭКП ГУВД и обслужи- ваемых ими ОВД;

  • Положение о ЦЭКК (ЭКК);

о Положение о платных услугах и ряда других документов.

§6.2. Пути повышения качества экспертной деятельности в области СКТЭ

Анализ отечественной и зарубежной судебно-экспертной практики в области современных информационных технологий позволяет предложить следующую систему качества СКТЭ, компонентами кото- рой являются:

о аттестация судебно-экспертного учреждения и лицензирование судебно-экспертной деятельности;

о сертификация условий производства инструментального обеспе- чения СКТЭ (рабочих мест экспертов, стендов, приборов, программ, материалов и пр.);

© сертификация методического обеспечения СКТЭ;

© аттестация судебных экспертов. В связи с тем, что вопросы аттестации судебно-экспертного учреждения и лицензирования судебно-экспертной деятельности в области современных информационных технологий выходят за границы настоящего исследования и представляют собой направление дальнейших исследований, остановимся подробнее лишь на проблемах повышения качества методического обеспечения СКТЭ и профессионального уровня экспертов СКТЭ.

307

ПОТРЕБНОСТИ

ГУ ЭКЦ МВД России -

разработка научно- методического обеспечения судебной экспертизы в сфе-^| ps информационных rexno-\j

JSSVhPL

РФЦСЭ Минюста России - разработка нормативно-правового

НИИ ИТ ФСБ России - разработка инструментального (аппа-кратно-i фограммиого)

lainu-ujJuipuMMnuiu; л ч обеспечения судебной

т/Ъбеспечения судебной \^ ^экспертизы в сфере

«**?

информационных технологий

Производство судебной экспертизы информационных технологий подразделениями СЭУМинюста России

НАУЧНО-ПРАКТИЧЕСКИЕ ОСНОВЫ

СУДЕБШ-ЭЖШЕРТНЫХ ИССЛЕДОВАНткбЙПЬЮТЁРНЬГХ СРЕДСТВ И

СИСТЕМ

: Практика; прфиз-|: | : водсгва судф(й|фй: ‘• : ‘экспёргаШ;В;Сфёре ? : инффмафонаых ‘• : техкодагвй и Tip; j-: : разделениях :Г:ТП К\ : Рбс&й;::::::

: JTpaKtii»<a:<i’p6itJ-: j

^ci^pjiiJjJIulc^epic: : ‘идфрр!Цз(ОДНада:

nepjriijbjk цодраздё-:

-riCHJisia: Ф С:Н Ш::

зксНёр^йа’йфсфсрз! ? : ?ё*М6л№й:й ;Й;Й(ХЧ-; ;:

jviirtpiiCTtp«tp i\ №*

дометь! ?-\^:^:’:-:’

Рис.6.1. Организация взаимодействия министерств и ведомств Российской Федерации по развитию судебно-экспертной деятельности в сфере современных информационных технологий.

308

Кроме того, в ходе исследования установлено, что проблемы качест- ва экспертной деятельности в области СКТЭ неразрывно связаны с предупреждением экспертных ошибок при исследовании компьютерных средств и систем. Известно, что по своей природе экспертные ошибки неоднородны и могут быть разделены на три класса: 1) ошибки процессуального характера; 2) гносеологические ошибки; 3) деятельностные (операционные) ошибки1. Часть предложений по предупреждению ошибок СКТЭ было сформулировано уже выше, при рассмотрении основных положений оценки заключения эксперта СКТЭ. Поэтому в данном параграфе рассмотрим компоненты предложенной системы качества СКТЭ именно с позиций окончательного оформления целостной системы предупреждения экспертных ошибок и формирования всесторонних условий реализации данной системы в современных условиях.

Итак, вопросы повышения качества методического обеспечения СКТЭ являются в настоящее время актуальными и находятся постоянно в стадии обсуждения и научных дискуссий. Общеизвестно, что экспертная методика является основным документом, одновременно регулирующим, информационно обеспечивающим и регламентирующим процесс решения конкретной экспертной задачи в рамках производства су-

•у

дебной экспертизы . Применительно к СКТЭ сформулированные в методике регламентирующие условия при следовании им создают объективные предпосылки для получения достоверных и обоснованных выводов по проведенному исследованию компьютерных средств и систем.

Итогом развития теории и практики судебной экспертизы явилась разработка большого количества экспертных методик практически во

1 Основы судебной экспертизы. 4.1. Общая теория. - М.: РФЦСЭ, 1997. Энциклопедия судебной экспертизы/ Под ред. Т.В. Аверьяновой и Е.Р. Рос- сийской.-М.: Юристь, 1999.

309

всех областях судебно-экспертной деятельности. Установлено , что методики исследования даже одних и тех же объектов могут весьма существенно различается по уровню сложности и используемому техническому оснащению, по надежности и уровню идентификационной и диагностической значимости получаемых данных и т.д. При этом некоторые методики стали в определенной мере типовыми, наиболее часто используемыми в экспертной практике, позволяющими решать на приемлемом уровне большинство экспертных задач, которые возникают при расследовании уголовных дел той или иной категории.

Однако проведенный анализ показывает, что в Российском законо- дательстве даже на уровне подзаконных актов не предусмотрено положения, согласованного со всеми государственными экспертными учреждениями, в соответствии с которыми признавались бы научная обоснованность методик, формы их экспериментальной проверки и последующего утверждения. Данная проблема частично разрешена лишь в рамках отдельных ведомств. Так, в постановлении Пленума Верховного Суда РФ по делам о наркотиках № 11 от 21 декабря 1993 г. указано: “… суды при рассмотрении дел данной категории должны располагать экспертным заключением, полученным в соответствии с методика, утвержденными Постоянным комитетом по контролю наркотиков при Министерстве здравоохранения Российской Федерации”. Этот принцип был взят за основу при создании системы паспортизированных методик экспертного исследования самых различных объектов, которые могут являться

1 Статкус В.Ф., Зернов СИ. Регистрационная паспортизация экспертных ме- тодик/Л/Ш междунар.конф. «Информатизация правоохранительных систем» - М.,1999.

2 См. Постановление Пленума Верховного Суда РФ № 11 от 23.12.1993 г. «О судебной практике по делам о преступлениях, связанных с наркотическими средст вами, сильнодействующими и ядовитыми веществами» (пункт 2); также - Постанов ление Пленума Верховного Суда РФ от 27.05.1998 г. «О судебной практике по делам

310

вещественными доказательствами по уголовным делам. Располагая таким банком судебно-экспертных методик, эксперт получит возможность в каждом конкретном случае выбирать и использовать наиболее эффективную методику решения конкретной экспертной задачи, сообразуясь со своими возможностями.

В качестве основного информационного документа, содержащего краткую, но полную и точную характеристику каждой экспертной методики, был предложен1 регистрационный паспорт этой методики. В соответствии с совместным приказом ЭКЦ МВД России и РФЦСЭ при МЮ России с 1997 г. проводится подготовка таких паспортов на вновь создаваемые в этих организациях экспертные методики с использованием типовой формы паспорта и инструкции по его заполнению.

Работа по паспортизации экспертных методик осуществляется под эгидой вышеупомянутого, созданного на общественных началах в 1996 г., Федерального межведомственного координационно- методического совета по проблемам экспертной деятельности (г.Москва), который утверждает каталог регистрационных паспортов методик, представленных ведомствами, являющимися коллективными членами Совета. Было принято решение, что паспортизировать следует и те ранее разработанные методики, которые нашли всеобщее признание среди экспертов, прошли проверку временем.

В то же время при проведении указанной паспортизации был выявлен ряд экспертных методик, которые в силу различных обстоятельств следовало бы исключить из научного и практического оборота. В на- стоящее время указанный каталог паспортов экспертных методик включает 338 паспорта и доступен не только экспертам, но и следователям,

о преступлениях, связанных с наркотическими средствами, психотропными, сильнодействующими ядовитыми веществами» (п. 1). 1 Там же.

311

судьям и другим лицам, занятым в правоохранительной и правоприменительной деятельности. Каталог носит рекомендательный характер и по своему назначению должен облегчить работу эксперта, но не сковывать его инициативу при выборе методик исследования вещественных доказательств.

Резюмируя вышеизложенное, представляется целесообразным все разрабатываемые в настоящее время экспертные методики в сфере со- временных информационных технологий строго оформлять в соответствии с предъявляемыми требованиями и направлять в Федеральный межведомственный кординационно-методический совет по проблемам экспертной деятельности для прохождения необходимой регистрации и последующей сертификации. Сертификация методического обеспечения СКТЭ предполагает проведение соответствующего апробирования, подтверждения полноты и достоверности получаемых результатов при исследовании компьютерных средств и систем.

Выполнение указанной процедуры несомненно будет способствовать не только получению положительной оценки результатов судебно- экспертного исследования компьютерных средств и систем, но и апри- орно снимет многие вопросы по надежности и достоверности исполь- зуемых методов и средств СКТЭ.

Другой важной составляющей системы качества СКТЭ - являются аспекты, связанные с профессиональной подготовкой экспертов в области компьютерных технологий и ее оценкой. Если вопросы определения уровня профессиональной подготовки экспертов и предоставление им права самостоятельного производства судебной экспертизы регламентируются положениями Федерального Закона «О государственной судебно-экспертной деятельности» и осуществляются экспертно-квалификационными (аттестационными) комиссиями в порядке, уста-

312

новленном нормативными правовыми актами федеральных органов исполнительной власти (ст. 11 Указан. ФЗ). То вопросы определения компетенции эксперта СКТЭ и форм его подготовки находятся сегодня в нерешенном состоянии. В связи с этим представляется необходимым уделить данной проблеме большее внимание и рассмотреть ее применительно к условиям первичного становления и потребностей скорейшего насыщения судебно-экспертной отрасли высокопрофессиональными специалистами в сфере современных информационных технологий.

§6.3. Компетенция эксперта и формы подготовки экспертов СКТЭ

Состав основных знаний эксперта СКТЭ

Развитие СКТЭ и повышение качества экспертных исследований неразрывно связано с определением компетенции эксперта, а также решением вопроса о подготовке новых, специально обученных, кадров для осуществления судебно-экспертной деятельности в сфере современных информационных технологий. Выше уже упоминалось не раз, что специальные познания эксперта СКТЭ находятся в таких научных областях как электроника, электротехника, информационные системы и процессы, радиотехника, связь, вычислительная техника, включая программирование и др.

В то же время, судебная экспертиза - это новая синтетическая отрасль знания, поэтому подготовка эксперта безусловно должна включать юридические и экспертные дисциплины. Очевидно, что в силу специфики судебно-экспертной деятельности эксперт СКТЭ должен не только обладать познаниями в сфере современных информационных технологий, но и в сфере материального и процессуального права, в области криминалистики и судебной экспертизы.

313

Сложность вопроса заключаться в том, что специальность «судебная экспертиза» появилась в рамках вузовского образования только с 1996 года причем вузы России пока готовят только судебных экспертов в, так называемых, «традиционных» криминалистических экспертизах. До этого момента профессиональная подготовка экспертов различного профиля осуществлялась для лиц с высшим юридическим или техническим образованием:

® путем самостоятельной учебы под руководством непосредствен- ного начальника или наставника;

® на стажировках в экспертных учреждениях системы МВД и МЮ России;

© на учебных сборах и семинарах в экспертных учреждениях или учебных заведениях.

Обучение заканчивалось выдачей ведомственного квалификаци- онного свидетельства на право производства экспертиз данного рода или вида. Такая форма обучения частично практикуется и в настоящее время.

Для самостоятельной подготовки экспертов, не имеющих права производства экспертиз, составляется индивидуальный план, который утверждается руководителем судебно-экспертного учреждения, в соответствии с программой подготовки экспертов, утвержденной МВД или МЮ России. За сотрудником, не имеющим экспертной подготовки, закрепляется эксперт-наставник из числа наиболее опытных работников. Наставник составляет план индивидуального обучения молодого сотрудника, должен оказывать ему методическую помощь в освоении теоретического курса и приобретении практических навыков работы с криминалистической техникой, контролировать выполнение индивидуального плана подготовки, привлекает обучающегося к производству экс-

314

пертиз и исследований, участию в следственных действиях в качестве специалиста. Заключения эксперта подписывается наставником и обу- чающимся экспертом-стажером.

Необходимыми элементами обучения являются стажировки, которые проводятся в индивидуальном порядке в экспертно- криминалистических подразделениях МВД и в судебно-экспертных учреждениях МЮ России. За время стажировки стажер должен выполнить не менее пяти экспертиз по данному роду или виду, привлекается к участию в производстве следственных действий в качестве специалиста. По результатам стажировки стажер представляет отчет о проделанной работе и сдает экзамены в объеме соответствующего раздела программы самостоятельной подготовки. Решение вопроса о предоставлении права на производство экспертиз лицу, прошедшему стажировку и сдавшему экзамены принимается специальной Экспертной квалификационной (аттестационной) комиссией с учетом базового образования претендента, стажа его работы, количества выполненных экспертиз по данному виду (роду), наличия у него права на производство других экспертиз, а также анализирует тексты не менее пяти заключений эксперта по каждому виду экспертиз, на получение права производства которых эксперт претендует.

Безусловно подготовка экспертов-практиков путем курсов и ста- жировок дает неплохие результаты, однако она не может сравниться с систематическим образованием, получаемым в высшем учебном заведении.

Сравнительно недавно (до 1996 года) на факультете экспертов- криминалистов (ФЭК) Волгоградской академии МВД России выпускники получали диплом о высшем юридическом образовании и свидетельства на право производства судебных криминалистических экспертиз. В

315

настоящее время ситуация изменилась в связи с введением в государственный реестр специальностей новой специальности для специалистов с высшим образованием - судебной экспертизы (022400). Полностью поддерживая это начинание, можно констатировать, что судебного эксперта любой специализации нельзя в наше время готовить как юриста-правоведа, доучив его слегка методам и методикам судебной экспертизы.

С 1996 года ФЭК Волгоградской академии и Саратовский юриди- ческий институт, а с 1999 года в Московская академия МВД России начали готовить экспертов-криминалистов. Приоритет вузов МВД в подготовке судебных экспертов был признан Министерством общего и специального образования Российской Федерации, принявшем решение об организации на базе Саратовского юридического института МВД РФ Учебно-методического объединения образовательных учреждений профессионального образования в области судебной экспертизы1 (далее Учебно-методическое объединение, УМО). УМО создано с целью координации действий научно-педагогической общественности вузов и представителей учреждений и организаций по обеспечению качества и развития содержания профессионального образования, прогнозирования перспективных направлений и научно-методического обеспечения процесса подготовки специалистов в области судебной экспертизы.

Открытие новой специальности «судебная экспертиза» важно не только для подготовки экспертов-криминалистов. Существует весьма серьезная проблема, связанная с подготовкой судебных экспертов, специализирующихся в других классах судебных экспертиз, например, в судебной компьютерно-технической экспертизе. В России отсутствуют пока учебные заведения, которые готовят экспертов СКТЭ. В этой роли

316

выступают обычно выпускники факультетов и вузов, получившие спе- циальности:

® электронные вычислительные машины, комплексы, системы и сети;

о программное обеспечение ЭВМ и информационные технологии;

о информационные системы и процессы;

© системы обработки информации и управления;

© системы автоматического управления;

® информационная безопасность;

® системы автоматизированного проектирования;

® конструирование и технология производства электронной аппара- туры;

о интеллектуальные робототехнические системы и многие другие. Такой обширный перечень специальностей не позволяет унифици- ровать знания экспертов СКТЭ и требует определения соответствующих приоритетов. К тому же знаний в области технических наук недостаточно для выполнения функций судебного эксперта. ВУЗы, обучающие специалистов в области компьютерных технологий, не дают необходимых юридических и криминалистических познаний. Ни в одном высшем учебном заведении России пока не готовят судебных экспертов СКТЭ, хотя теперь это возможно в рамках новой специальности «судебная экс- пертиза».

В связи с вышеизложенным в ходе настоящего исследования была решена задача определения компетенции и возможных форм профес- сиональной подготовки эксперта СКТЭ. На результатах решениях этой задачи остановимся подробнее.

1 Создано приказом Министерства общего и профессионального образования Российской Федерации от 24.11 97 г. № 2344.

317

Анализ потребностей судопроизводства в применении специальных познаний в сфере компьютерной информации позволил определить следующий минимальный набор познаний судебного эксперта, проводящего СКТЭ:

© основы материального права (гражданского, административного и уголовного) в рамках, определяемых средним юридическим образованием;

® основы процессуального права (уголовного, гражданского, арбит- ражного);

® криминалистика и процессуальные основы судебной экспертизы;

® основы общей теории судебной экспертизы;

© основы частной теории судебной компьютерно-технической экс- пертизы;

© теория информации и информационные процессы;

© аппаратно-конструкционные особенности компьютеров и иных информационно-вычислительных платформ и систем;

© носители компьютерной информации;

© практическая алгоритмизация и программирование;

© характеристика современного программного обеспечения;

© типы данных и методы их обработки;

© основы телекоммуникаций и связи;

© основы защиты информации;

® основные методы и средства предварительного и экспертного ис- следования вещественных доказательств в СКТЭ;

Предложенный перечень познаний, безусловно, не является ис- черпывающим, а намечает только основные вехи высшего экспертного образования в области СКТЭ. В связи со стремительным развитием современных информационных технологий его можно назвать лишь необ-

318

ходимым минимумом, которым должен обладать специалист, собирающийся заниматься СКТЭ. В настоящее время в силу острой нехватки судебных экспертов СКТЭ весьма актуален вопрос форм и методов обучения указанных специалистов. Для решения этой проблемы были предложены несколько вариантов, на рассмотрении которых остановимся далее.

Особенности подготовки судебных экспертов СКТЭ

Перепрофилирование специалистов в области компьютерных тех- нологий заключается в привлечении к постоянной экспертной деятельности специалистов в области современных информационных технологий, с последующим обучением и повышением их квалификации в процессе работы.

Бесспорным для специалистов СКТЭ является условие наличия соответствующих высоких знаний, умений и навыков в области вычислительной техники и программирования. Именно, исходя из этого, подобный выбор подготовки персонала является достаточно обоснованным. Данные специалисты хорошо подготовлены в области естественных и технических наук, обладают навыками в обращении с компьютерной и иной техникой, имеющей в основе своей работы теорию образования и движения информационных процессов. Таким образом, данные специалисты, казалось бы, подходят в полной мере для проведения СКТЭ.

Однако необходимо учитывать специфику судебно-экспертной деятельности. Нельзя заниматься процессуальной деятельностью, а эксперт именно ею и занимается, и не иметь систематических правовых знаний, не представлять себе практики раскрытия и расследования пре-

319

ступлений, судебного рассмотрения уголовных и гражданских дел, как в судах общей юрисдикции, так и в арбитражных судах.

Выпускники технических вузов, которые приходят в судебную экспертизу с естественнонаучным или техническим образованием, не имеют криминалистических и вообще правовых знаний. Обычно они являются специалистами в узких областях, и полученные в вузах знания используются ими только на 20-30%, остальные знания остаются невостребованными. Стажировки и курсы, с помощью которых их обучают, не могут заменить систематического образования. Юридические знания (особенно в области криминалистики и уголовного процесса) и общая правовая культура, насущно необходимые судебным экспертам в повседневной деятельности, приобретаются ими только через несколько лет практической работы.

Выпускник технического вуза должен долго осваивать специфику исследования объектов - вещественных доказательств, чтобы умело сочетать разрушающие методы исследования с принципом непосредственности судопроизводства, изучать право, криминалистику и общую теорию судебной экспертизы. Конечно путем самообразования и стажировок можно добиться впоследствии неплохих результатов, но за это время велика вероятность возникновения серьезных экспертных ошибок.

Следует отметить, что иногда процессы дифференциации научного знания играют порой не только положительную, но и отрицательную роль. Многие эксперты СКТЭ государственных экспертных учреждений, имеющие инженерно-техническое образование, сами ни разу не бывали на месте происшествия, не участвовали ни в одном следственном действии или судебном заседании.

320

В нынешней ситуации острой нехватки экспертов СКТЭ как полумеру можно предложить повышение квалификации по следующим формам:

• базовая юридическая подготовка в юридических вузах (Змесяца);

о стажировки в экспертных учреждениях, проводящих СКТЭ (1 месяц);

© постоянное рецензирование экспертных заключений экспертов СКТЭ.

Кроме того, важной формой повышения квалификации является постоянное участие указанных специалистов в научно-практических семинарах и тематических конференциях по проблемам криминалистики и судебной экспертизы, вопросам раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств.

Однако это лишь временное, но не кардинальное решение кадровой проблемы СКТЭ. Принимая во внимание стремительный рост числа компьютерных преступлений и, соответственно, растущие потребности в проведении СКТЭ, не вызывает сомнения тот факт, что отвлечение судебных экспертов от производственного процесса для прохождения обучения - маловероятно. А обучение на собственных ошибках ведет к резкому снижению доказательственного выводов СКТЭ.

Альтернативным вариантом подготовки экспертов СКТЭ является получение ими высшего экспертного образования. Данный путь подготовки специалистов СКТЭ предполагает расширение перечня специализаций в рамках специальности «Судебная экспертиза» и открытие в юридических вузах системы МВД России, где уже обучают экспертов-криминалистов, специализации «Судебная компьютерно-техническая экспертиза».

321

В пользу этого решения проблемы подготовки кадров для СКТЭ говорит тот факт, что в вышеуказанных учебных заведениях уже более или менее отработана система обучения судебных экспертов. Профиль вузов, наличие базовых кафедр позволяют дать студентам знания в области юридических наук, криминалистики, общей теории судебной экспертизы. Однако студенты, выбравшие своей специальностью СКТЭ, должны изучить базовые естественно-научные и технические дисциплины, а также специализированные курсы, связанные с компьютерными технологиями, находящихся в постоянном развитии.

Несомненным плюсом данного способа подготовки специалистов является то обстоятельство, что их юридические познания будут гораздо шире и лучше, чем приведенный выше минимальный перечень. Но в юридическом вузе практически невозможно наладить образовательный процесс для экспертов СКТЭ, поскольку помимо специальных дисциплин необходимо организовать обучение естественным и общеинженерным наукам. Юридические вузы не имеют традиций преподавания этих предметов, не обладают никакой методической и технической базой, необходимой для подготовки специалистов СКТЭ.

Аналогичные трудности возникают при попытках организовать подготовку экспертов СКТЭ в технических вузах. Сегодня большое количество государственных высших технических учебных заведений имеют хорошо устоявшуюся за много лет теоретическую базу в технических областях науки, а так же грамотно поставленный и отработанный годами учебный процесс по всесторонним специализациям в области компьютерных технологий. Подобные ВУЗы также имеют неплохую научно-методическую и техническую базу, способную обеспечить всем необходимым студентов, обучающихся по этим специальностям. Но, к сожалению, у них есть один немаловажный недостаток - юридические

322

направления там практически не развиты, что и является несомненным минусом этого способа подготовки специалистов.

Выход из этой сложной ситуации, по нашему мнению, заключается в объединении возможностей нескольких вузов (межвузовские объе- динения) или, что предпочтительнее, факультетов университетов. Синтетическое, комплексное решение проблемы подготовки экспертов СКТЭ предопределяется интегральной сущностью самой судебной экспертизы. В государственных университетах имеются как юридические факультеты, так и факультеты систем управления, вычислительной техники и защиты информации. Во многих технических университетах открыты факультеты, выпускающие дипломированных юристов в рамках высшего или второго высшего образования.

Начало подготовки экспертов СКТЭ в таком учебном заведении должно быть положено созданием межфакультетской кафедры судебной компьютерно-технической экспертизы, которая взяла бы на себя роль организатора и координатора в подготовке экспертов. Разработанная на кафедре концепция подготовки экспертов СКТЭ могла бы послужить основой для создания программ подготовки судебных экспертов СКТЭ. Их обучение должно вестись по принципу примерно равного соотношения гуманитарных и естественнонаучных дисциплин и состоять их двух этапов базового и специального. Базовая подготовка предполагает получение основ правовых, естественно-научных и технических в объеме, необходимом для эксперта СКТЭ. Специальная подготовка заключается в овладении методами, средствами и конкретными методиками СКТЭ, навыками и приемами, необходимыми при участии в следственных и судебных действиях в качестве специалиста по делам, сопряженным с ис- пользованием компьютерных средств. Представляется, что именно при указанных условиях появляется возможность открыть специальность

323

СКТЭ и выпускать квалифицированные судебно-экспертные кадры в области современных информационных технологий.

§6.4. Экспертная профилактика преступлений, сопряженных с ис- пользованием компьютерных средств

В условиях проведения судебно-правовой реформы в России пре- дупреждение преступлении является одной из важнейших задач правосудия. Согласно нормам Уголовно-процессуального закона, органы дознания и предварительного следствия, установив в ходе досудебного производства по уголовному делу обстоятельства, способствовавшие совершению преступления, вправе внести в соответствующую организацию или соответствующему должностному лицу представление о принятии мер по устранению указанных обстоятельств или других нарушений закона (ст. 158 УПК РФ). Таким образом, профилактическая деятельность по преступлениям, сопряженным с использованием компьютерных средств, нашла свое отражение в законе, хотя и неполное, поскольку на практике ее формы и виды значительно многообразнее.

Участие в профилактической деятельности судебных экспертов СКТЭ прямо не предусмотрено. Тем не менее, возможность их участия в выявлении обстоятельств, способствовавших совершению преступле- ния, не исключается. Так, в ст. 204 УПК РФ указывается, что если при производстве судебной экспертизы эксперт установит обстоятельства, которые имеют значение для уголовного дела, но по поводу которых ему не были поставлены вопросы, то он вправе указать на них в своем заключении. Такими обстоятельствами, несомненно, могут быть и условия, способствовавшие совершению компьютерного преступления.

Кроме того, профилактическая деятельность сотрудников ЭКП МВД России имеет также нормативную основу в виде подзаконных ак-

324

тов, к которым относятся приказы МВД России. Вопросы участия со- трудников ЭКП в профилактической работе отражены в Наставлении по работе ЭКП ОВД (п. 1.3.9, глава 4), а также Положении о производстве экспертиз в ЭКП ОВД1, где в обязанности эксперта вменяется выявление по материалам экспертиз условий, способствовавших совершению преступлений и административных правонарушений, и представление в установленном порядке предложений по их устранению (п. 2.2.3).

Анализ экспертно-профилактической деятельности по уголовным преступлениям и административным правонарушениям, проведенный в рамках настоящего исследования, позволяет предложить следующую систему методов профилактики компьютерных преступлений. Так в процессе планирования профилактической деятельности используются следующие методы:

о составление планов (годовых, полугодовых, квартальных и др.), включающих вопросы профилактической деятельности по преступлениям, сопряженным с использованием компьютерных средств;

© разработка функциональных обязанностей сотрудников судебно- экспертного учреждения, выполняющих экспертные исследования компьютерных средств и систем, с учетом их участия в профилактической деятельности;

© разработка программ профилактических мероприятий по преду- преждению преступлений в сфере современных информационных тех- нологий.

В процессе выполнения мероприятий по организации профилакти- ческой деятельности используются такие методы:

© выявление обстоятельств, способствовавших совершению компь- ютерного преступления;

1 Введены в действие приказом МВД России № 261 от 01.06.1993 г.

325

о участие сотрудников судебно-экспертного учреждения в качестве специалистов в производстве следственных действий по делам, сопря- женным с использованием компьютерных средств и систем ;

• справочно-консультационная деятельность сотрудников судебно- экспертного учреждения по вопросам специальных познаний в сфере современных информационных технологий;

© участие экспертов СКТЭ в правовой пропаганде (выступления пе- ред населением непосредственно или с использованием средств массо- вой информации с демонстрацией возможностей науки и техники в раскрытии и предупреждении компьютерных преступлении);

® проведение теоретических и экспериментальных исследований в сфере современных информационных технологий по проблемам профилактики преступлений, сопряженным с использованием компьютерных средств;

© участие экспертов СКТЭ в профилактических мероприятиях, про- водимых правоохранительными органами (прокуратурой, судами, подразделениями ОВД, ФСБ и пр.), государственными органами, общественными и иными организациями;

© проведение занятий с должностными лицами соответствующих министерств и ведомств с целью обучения способам выявления крими- налистически значимой компьютерной информации, решения других задач СКТЭ (например, установления признаков неправомерного доступа к компьютерной информации, признаков использования вредоносных программ и пр.);

© внедрение в практическую деятельность научных основ взаимо- действия со следственными и оперативными службами по профилактике компьютерных преступлений, обеспечению всесторонности и полноты собирания криминалистически значимой компьютерной информации;

326

© разработка предложений по совершенствованию профилактической деятельности в сфере современных информационных технологий (например, по применению средств защиты компьютерной системы, предотвращению попыток несанкционированного доступа к компьютерной информации).

При осуществлении контроля за профилактической деятельностью по предотвращению компьютерных преступлений применяются следующие методы:

® обобщение и анализ судебно-экспертной практики исследования компьютерных средств и систем с целью выявления и устранения при- чин и условии, способствовавших совершению преступлений;

© анализ профилактической деятельности сотрудников судебно- экспертного учреждения по результатам участия в качестве специали- стов в следственных действиях по выявлению, фиксации и изъятию компьютерных систем и компьютерной информации;

© изучение и обобщение практики применения методов и средств исследования компьютерной информации по заданиям оперативных аппаратов в профилактических целях;

© наблюдение за соблюдением сроков и качеством выполнения про- филактических мероприятий;

© информирование руководителей следственных и оперативных ап- паратов о фактах неиспользования возможностей профилактической деятельности по делам, сопряженным с использованием компьютерных средств.

Профилактическая деятельность, также как и использование спе- циальных познаний в сфере современных информационных технологий, осуществляется в двух основных формах - процессуальной и непроцессуальной. Процессуальная форма предполагает участие сотрудников су-

327

дебно-экспертного учреждения в деятельности, прямо предусмотренной уголовно-процессуальным законом:

© выявление обстоятельств, способствовавших совершению престу- пления, в процессе участия в качестве специалиста в производстве следственных действий;

о выявление указанных обстоятельств при производстве СКТЭ как по заданию следователя (определению суда), так и в порядке экспертной инициативы.

Наиболее эффективной является профилактическая деятельность экспертов СКТЭ, осуществляемая в процессуальной форме. Так, сотрудник судебно-экспертного учреждения, принимая участие в качестве специалиста в производстве следственных действий (в частности, в осмотрах мест происшествий, где имеются компьютерные средства) в процессе расследования компьютерных преступлений, выявляет способствующие их совершению аналогичные обстоятельства (например, использование антивирусных пакетов программ с «устаревшей» базой данных); по результатам их анализа и обобщения он делает вывод о типичности данных обстоятельств для подобных преступлений (например, о типичности применения контрафактного программного обеспечения) и составляет справку с выводами и рекомендациями.

Обстоятельства, способствовавшие совершению компьютерного преступления, нередко выявляются в ходе следственного эксперимента, при проведении которого роль участвующего в нем специалиста в области компьютерных технологий оказывается не менее важной, чем при осмотре места происшествия (документов и пр.) и других следственных действиях. Так, например, при экспериментальном включении компьютерной системы может быть установлено отсутствие какой-либо пароль-

328

ной защиты и ограничения прав доступа к охраняемой законом компьютерной информации.

Обстоятельства, способствовавшие совершению компьютерного преступления и выявленные при производстве следственных действий, используются органом дознания и предварительного следствия при подготовке представления о принятии мер по их устранению. Если обстоятельства, способствовавшие совершению преступления (ряда аналогичных преступлений), выявляются по инициативе специалиста в области компьютерных технологий, он составляет справку, в которой излагает эти обстоятельства, их причины, а также рекомендует меры по их устранению. Далее справка передается начальнику следственного подразделения.

Обстоятельства, способствовавшие совершению преступления, могут быть также вскрыты экспертом СКТЭ непосредственно при произ- водстве судебной экспертизы. При назначении СКТЭ следователь (зачастую предварительно проконсультировавшись) определяет, посредством решения каких экспертных задач исследования компьютерных средств могут быть выявлены обстоятельства, способствовавшие совершению компьютерного преступления. При этом необходимо иметь в виду, что эти вопросы и заключение эксперта не могут выходить за пределы компетенции эксперта в сфере современных информационных технологий; в экспертном заключении не должно быть оценки правового содержания выявленных фактов (например, о вредоносности и контрафактное™ программ); эксперт СКТЭ лишь устанавливает факты, относящиеся к причинам и условиям; признание же выявленных фактов причиной преступления, являясь правовым вопросом, относится к компетенции следователя.

329

Соблюдение этого требования означает также, что эксперт СКТЭ может устанавливать лишь такие обстоятельства, для выявления кото- рых необходимы его специальные познания в области современных информационных технологий, а предлагаемые им меры по их устранению должны носить технический и организационно-правовой характер.

Некоторые особенности имеет профилактическая деятельность эксперта СКТЭ, в процессе которой обстоятельства, способствовавшие совершению конкретного компьютерного преступления, выявляются в ходе экспертного исследования по собственной инициативе на основании ст. 204 УПК РФ.

Если эксперт СКТЭ выясняет, что представленные ему для иссле- дования компьютерные средства позволяют решить вопросы профилактического характера, которые следователь перед ним не ставил, целесообразно об этом проинформировать следователя. Следователь же, согласившись с выводами эксперта, может представить ему при необходимости новые документы, сообщить дополнительные данные или внести в постановление о назначении экспертизы новые вопросы. Так, например, в ходе производства СКТЭ по восстановлению удаленной криминалистически значимой базы данных о деятельности одной коммерческой фирмы эксперт обнаружил признаки использования средств удаленного доступа. После назначения дополнительной СКТЭ с новыми вопросами были установлены условия уничтожения криминалистически значимой компьютерной информации и выявлен адрес пользователя в вычисли- тельной сети, выполнившего указанное удаление. Итак, выявленные в ходе экспертного исследования причины и условия, способствовавшие совершению компьютерного преступления, эксперт СКТЭ излагает в своем заключении.

330

Профилактические рекомендации, разработанные в процессе про- изводства СКТЭ, оцениваются органом (лицом), назначившим экспертизу, в совокупности с другими материалами дела.

Разработанные профилактические рекомендации должны отвечать следующим требованиям:

о основываться на фактическом материале, связанном с исследова- нием конкретных аппаратных, программных и информационных средств, а также комплексными исследованиями компьютерных систем;

® в случае необходимости подтверждаться экспериментальными ис- следованиями с использованием методов и средств СКТЭ;

® быть приемлемыми с экономической точки зрения, реально вы- полнимыми в конкретных условиях развития современных информационных технологий.

Одним из примеров экспертно-профилактической деятельности в сфере компьютерной информации, разработанных в ходе настоящего исследования, являются предложения об использовании в практической деятельности «системы компьютерного моделирования». Данное предложение было оформлено в виде полезной модели и зарегистрировано в Российском агентстве по патентам и товарным знакам.1 Анализ практики производства СКТЭ позволил сделать вывод о том, что текстовый документ на носителе компьютерной информации может интерпретироваться, как результат взаимодействия интеллектуального процесса в сознании человека и модели интеллектуального процесса. Последняя указанная модель реализуется соответствующим образом настроенным текстовым процессором, что, на наш взгляд, справедливо для любого

Свидетельство на полезную модель № 17638 «Система компьютерного мо- делирования информационного сообщения». Российское агенство по патентам и то- варным знакам, 14.12.2000 г. Обладатели: Зубаха B.C., Маркилов И.А., Маршалко Б.Г., Чибисов В.Н., Усов А.И.

331

продукта интеллектуального труда человека, в процессе которого ис- пользуется та или иная компьютерная программа. Данный вывод позволяет по новому взглянуть на проблему подлинности и авторства цифровых сообщений (документов, изображений и пр.). Следует согласиться с мнением ряда авторов1, что “при переносе информации в память компьютера неизбежно теряются индивидуальные особенности исходной природы данных - остаются только смыслы, стоящие за ними”. Но, вместе с тем, учитывая, что любое преобразование информации в компьютере осуществляется под управлением конкретной программы, реализующей модель определённого интеллектуального процесса, информация неизбежно приобретает другие особенности, т.е. признаки. Если преобразование осуществляется автоматически, то эти признаки определяются только программой, реализующей определённый алгоритм преобразования.

Таким образом, представляется, что указанные сведения могут содержаться в наборе реквизитов, являющихся неотъемлемой частью любого цифрового сообщения и позволяющих идентифицировать как автора сообщения, так и его “соавтора”. Этот набор реквизитов был назван в предложенной модели как строка идентификации программы или, точнее, строкой идентификации модели (СИМ- строкой), реализуемой с помощью той или иной программы.

Предложено, что в СИМ-строке должны содержаться следующие реквизиты:

® идентификатор владельца модели интеллектуального процесса (прикладной программы);

Расторгуев С. П., Чибисов В. Н. О поиске следов злоумышленника в ЭВМ и о вредоносных программных продуктах. Информационно-методический журнал “ЗАЩИТА ИНФОРМАЦИИ. КОНФИДЕНТ”, № 1-2 (25) январь-апрель 1999 г. Изд. ООО “Конфидент”.

332

© идентификатор средства моделирования (компьютера, на котором установлена прикладная программа);

® идентификатор модели интеллектуального процесса (прикладной программы);

© идентификатор цифрового сообщения, сформированного челове- ком с использованием той или иной модели интеллектуального процесса.

Практическое обеспечение возможности “привязки” этих реквизитов в виде СИМ-строки к каждому цифровому сообщению, может при- вести ко многим положительным изменениям в сфере современных информационных технологий, а именно:

© СИМ-строка обеспечит дополнительную защиту авторских прав производителей информационных продуктов и услуг в сфере оборота электронной информации;

© СИМ-строка существенно затруднит подделку цифровых сооб- щений;

© СИМ-строка обусловит пользователей отдавать предпочтение лицензированным программным продуктам и легально произведённому, сертифицированному аппаратному обеспечению.

Можно утверждать, что, если электронная подпись1 человека решает проблему аутентификации автора документа в виртуальном мире цифровых сообщений, то СИМ-строка должна решить проблему ау- тентификации модели интеллектуального процесса (конкретного экземпляра любой прикладной программы) как в сфере информатизации, так и в мире традиционных бумажных документов, изготовленных с применением компьютерных технологий.

1 См. Федеральный закон РФ «Об электронной цифровой подписи», №1-ФЗ от 10 января 2002 г.

333

В связи с периодом становления СКТЭ, представляется чрезвычайно важным обеспечение «обратной связи» при проведении эксперт-но- профилактических мероприятий. Независимо от формы профилакти- ческой деятельности в области компьютерных технологий, лицо, ответственное за проведение соответствующих мероприятий (следователь, оперативный работник и др.), обязано проинформировать эксперта СКТЭ о том, как использованы результаты его профилактических рекомендаций, насколько важными и действенными они оказались при расследовании компьютерных преступлений. Такая информация не только будет поощрять инициативу эксперта СКТЭ, но и будет способствовать дальнейшему развитию методического обеспечения судебно-экспертного исследования компьютерных средств и систем.

Таким образом, по результатам исследований, отраженных в шестой главе, можно отметить следующие выводы.

  1. Частная теория СКТЭ, являясь отражением экспертной дея- тельности в сфере современных информационных технологий, может быть представлена в виде организованной системы, иначе инфраструктуры. Ее компонентами являются: субъекты СКТЭ, системные связи между ними, особенности экспертной деятельности по исследованию компьютерных средств и систем, профессиональные качества эксперта СКТЭ и пр. Отличительной особенностью деятельности государственных судебно-экспертных учреждений в сфере компьютерной информации является то, что она осуществляется на условиях единого применения положений научно- методического руководства экспертной практикой, профессиональной подготовки и специализации экспертов, а также согласованного развития материально-технической базы.
  2. С целью разработки Концепции развития судебных экспертиз в сфере информационных технологий и подготовки Федеральной це-

334

левой программы развития экспертиз и исследований в сфере информационных технологий предложено МВД России, ФСБ России и Минюсту России, совместно с Генеральной прокуратурой Российской Федерации, организовать межведомственную рабочую группу по подготовке проектов соответствующих документов. Учитывая опыт, накопленный НИИ ИТ ФСБ России, ГУ ЭКЦ МВД России и РФЦСЭ Министерства юстиции России, функции системного координатора по организации разработки программно-технических средств для экспертных исследований в сфере информационных технологий возложить на НИИ ИТ ФСБ России. Функции по организации разработки научно-методического и нормативно- правового обеспечения возложить на Государственное учреждение “Экспертно-криминалистический центр МВД России” и Российский федеральный центр судебных экспертиз Минюста России соответственно.

  1. Во исполнение требований реформирования экспертно- криминалистической службы МВД России, обусловленных изменив- шимся законодательством РФ и обострением криминальной обстановки, подготовлены материалы по вопросу развития инфраструктуры СКТЭ в ОВД с целью включения их в проект решения коллегии МВД России по вопросу «О состоянии и мерах по повышению эффективности использования экспертно- криминалистических средств и методов в борьбе с преступностью». С учетом потребностей поиска новых форм и реализации иных подходов к формированию доказательственной базы предложено ввести новое направление судебно-экспертной деятельности ЭКП МВД России - «компьютерно-техническая экспертиза» и отразить это в следующих нормативных актах, регламентирующих деятельность ЭКП ОВД: Наставление по работе ЭКП ОВД; Положение о производстве экс-

335

пертиз в ЭКП ОВД; Положение о ЦЭКК (ЭКК) и ряде других документов.

  1. С целью повышения эффективности функционирования ин- фраструктуры СКТЭ разработана комплексная система качества СКТЭ, компонентами которой являются: аттестация судебно- экспертного учреждения и лицензирование судебно-экспертной деятельности; сертификация условий производства инструментального обеспечения СКТЭ (рабочих мест экспертов, стендов, приборов, программ, материалов и пр.); сертификация методического обеспечения СКТЭ; аттестация судебных экспертов. Выявленные составляющие системы качества СКТЭ рассмотрены с позиций окончательного оформления целостной системы предупреждения экспертных ошибок и формирования всесторонних условий реализации данной системы в современных условиях.
  2. Предложено за основу повышения качества методического обеспечения СКТЭ принять достижение положительной оценки результатов судебно-экспертного исследования компьютерных средств и систем. Представляется целесообразным все разрабатываемые экспертные методики в сфере современных информационных технологий строго оформлять в соответствии с предъявляемыми требованиями паспортизации судебно-экспертных методик и направлять в Федеральный межведомственный координационно-методический совет по проблемам экспертной деятельности для прохождения необходимой регистрации и по- следующей сертификации. Сертификация методического обеспечения СКТЭ предполагает проведение соответствующего апробирования, подтверждения полноты и достоверности получаемых результатов при исследовании компьютерных средств и систем.
  3. Важной составляющей системы качества СКТЭ является профессиональная подготовка экспертов в области компьютерных тех-

336

нологий. Если вопросы определения уровня профессиональной подготовки экспертов регламентируются положениями ФЗ «О государственной судебно-экспертной деятельности», то вопросы определения компетенции эксперта СКТЭ и форм его подготовки находятся сегодня в нерешенном состоянии. Так как, судебная экспертиза - это новая синтетическая отрасль знания, включающая в себя подготовку по юридическим и экспертным дисциплины, соответственно этому определен минимальный набор познаний судебного эксперта СКТЭ в области юриспруденции, информационных процессов, электроники, программировании, за- щиты данных, телекоммуникаций.

  1. В условиях острой нехватки экспертов СКТЭ первоочередными мерами по их подготовке является повышение квалификации по следующим формам: базовая юридическая подготовка в юридических вузах (Змесяца); стажировки в экспертных учреждениях, проводящих СКТЭ (1 месяц); постоянное рецензирование экспертных заключений экспертов СКТЭ; участие указанных специалистов в научно- практических семинарах и тематических конференциях по проблемам криминалистики и судебной экспертизы, вопросам раскрытия и расследования преступлений, сопряженных с использованием компьютерных средств. В дальнейшем представляется перспективным комплексное решение проблемы подготовки экспертов СКТЭ в рамках специальности судебная экспертиза (022400) на базе объединении возможностей нескольких вузов (межвузовские объединения) или факультетов университетов, в которых имеются как юридические факультета, так и факультеты систем управления, вычислительной техники и защиты информации. Начало подготовки экспертов СКТЭ в таком учебном заведении должно быть положено созданием межфакультетской кафедры СКТЭ, которая

337

взяла бы на себя роль организатора и координатора в подготовке судебных экспертов в сфере современных информационных технологий.

  1. Установлено, что в условиях проведения судебно-правовой реформы в России, а также роста количества компьютерных преступлений, предупреждение преступлении, сопряженных с использованием компьютерных средств, является одной из важнейших задач правосудия. В связи с этим уточнены принципы и методы организации профилактической судебно-экспертной деятельности в области современных информационных технологий. Определены особенности СКТЭ, позволяющие эффективно выявлять обстоятельства, способствовавшие совершению преступления, сопряженного с использованием компьютерных средств. Предложено в профилактических целях использовать разработанную полезную модель «система компьютерного моделирования», позволяющую обеспечить дополнительную защиту авторских прав производителей информационных продуктов, существенно затруднит подделку цифровых сообщений, обусловит пользователей отдавать предпочте- ние лицензированным программным продуктам и сертифицированному аппаратному обеспечению.

338

ЗАКЛЮЧЕНИЕ

  1. Стремительная информатизация во всех странах планеты, в т.ч. в России, повсеместно характеризуется резким ростом преступлений в сфере компьютерной информации, а также преступлений, где компью- терные средства используются как элементы способа их совершения и сокрытия. Законодательная регламентации правовых отношений и установления уголовной ответственности за совершение указанных преступлений нашло своё прямое отражение в ряде Федеральных Законов РФ, а также УК РФ. Развитие норм законодательного регулирования информационных правоотношений неизбежно повлекло за собой необходимость всесторонней проработки всех процессуальных механизмов их реализации.
  2. Преступления, сопряженные с использованием компьютерных средств, носят зачастую латентный характер, не оставляют видимых следов и сложны с точки зрения раскрытия и собирания доказательст- венной информации в связи со сложностью объектов - носителей этой информации, широким применением средств удаленного доступа и рядом других причин. Разработанные теоретические и методические основы собирания криминалистически значимой компьютерной информации позволяют учитывать особенности обнаружения, фиксации и изъятия компьютерных средств при производстве следственных действий. Введение в уголовное судопроизводство дополнительных следственных действий (арест электронно-почтовой корреспонденции и локальной вычислительной сети) может значительно повысить эффективность собирания доказательств.
  3. Залогом успешного раскрытия и расследования компьютерных преступлений, судебного рассмотрения уголовных и гражданских дел

339

является всестороннее выявление и исследование криминалистически значимой компьютерной информации, что невозможно без использования специальных познаний. В связи с этим определены теоретические основы и особенности использования специальных познаний при раскрытии и расследовании преступлений, сопряженных с применением компьютерных средств. Специальные познания в сфере современных информационных технологий составляют следующие научные направления: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация.

  1. Среди рассмотренных процессуальных и непроцессуальных форм использования специальных познаний в сфере современных ин- формационных технологий выделяется основная процессуальная форма - судебная экспертиза, позволяющая придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение. Возникновение СКТЭ обусловлено потребностями современного судопроизводства в расширении доказательной базы путем установления ранее не учитываемых фактических данных на основе исследования новых объектов судебной экспертизы в сфере компьютерных технологий. Посредством выделения признаков СКТЭ как самостоятельного рода в классе инженерно-технических экспертиз, разработки ее классификации и определения ключевых категории (предмета, задач, объектов) сформированы основы частной теории судебной компьютерно-технической экспертизы.
  2. Предложено целями СКТЭ считать: определение статуса объекта как компьютерного средства; выявление и изучение его роли в рас- следуемом преступлении; получение доступа к данным на носителях компьютерной информации с последующим всесторонним ее исследо-

340

ванием. Родовой предмет СКТЭ определен как факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного, гражданского дела, дела об административном правонарушении.

  1. Экспертные задачи, являющиеся одной из ключевых категорий частной теории СКТЭ, предложено рассматривать как задачи рода, вида, подвида СКТЭ и задачи конкретного экспертного исследования. Для каждого из видов СКТЭ соответственно сформулированы задачи по исследованию аппаратных, программных, информационных средств, а также задачи по экспертному исследованию вычислительной сети и ее компонент. Объекты СКТЭ, отличаются не только по своим природным и техническим характеристикам, функциональному назначению, но и по процессуальному положению; для значительного числа объектов это положение установлено недостаточно четко и по разному в различных правовых актах. Предложено родовым (видовым) объектом СКТЭ определить категорию предметов, обладающих общими признаками и относящихся к компьютерным средствам. Систему объектов со- ставляют: класс аппаратных объектов, класс программных объектов и класс информационных объектов (данных).
  2. Объективное определение механизма и динамики преступного события в сфере современных информационных технологий возможно лишь при всестороннем использовании специальных познаний СКТЭ в совокупности с иными областями судебно-экспертной деятельности. Выявлены условия назначения комплексных экспертиз для решения смежных вопросов и взаимосвязь СКТЭ с традиционными крими-

341

налистическими, судебно-экономическими, инженерно- техническими, судебными психологическими экспертизами.

  1. Разработана система действий и связанных с ними право- отношений, осуществляемых в процессе судопроизводства уполномо- ченными на то органами и лицами по назначению, организации и про- изводству судебной компьютерно-технической экспертизы, обусловленная вступлением в силу Уголовно-процессуального кодекса РФ, а также требованиями Федерального закона РФ «О государственной судебно-экспертной деятельности» (2001 г.). Систематизированы методологические и регулятивные принципы назначения и производства судебно-экспертных исследований в сфере современных информационных технологий, обеспечивающие в условиях современного законодательства реализацию принципов независимости, объективности, всесторонности и полноты судебно- экспертных исследований компьютерных средств.
  2. Всесторонне рассмотренные действия эксперта СКТЭ на подготовительной стадии, в процессе детального исследования объектов экспертизы, а также оценки результатов исследования позволяют эффективно провести исследование компьютерных средств и сформулировать выводы СКТЭ. Изученные требования к выводам СКТЭ и их классификация предоставляют широкие возможности эксперту по интерпретации и трактовке полученных результатов, стройному логическому оформлению своих умозаключений на основе выявленных или представленных ему данных об исследуемом объекте СКТЭ и общего научного положения соответствующей отрасли знания - сферы компьютерной информации.
  3. В связи с тем, что проведение экспертизы в суде является самостоятельным процессуальным действием и для сферы компьютер ной информации оно является новым, подробно рассмотрен ее регла-

342

мент применительно к судебно-экспертному исследованию компьютерных средств. Установлено, что в зависимости от сложности поставленных вопросов, иных обстоятельств СКТЭ по определению суда может проводится непосредственно в суде либо в другом месте (например, в экспертном учреждении, на месте происшествия и пр.).

  1. Опыт предшествующего периода правоприменительной практики и современных условий позволил выработать определенные подходы при решении возникающих проблем оценки результатов СКТЭ, в т.ч. связанных с чрезмерным доверием к заключению СКТЭ. Поэтому оценка и использование результатов СКТЭ следователем и судом рассмотрены с точки зрения относимости, допустимости и достоверности доказательств. Повышение доказательственной ценности выводов СКТЭ неразрывно связано с дальнейшим совершенствованием ее методического обеспечения.
  2. Анализ существующих и перспективных экспертных методов и средств исследования вещественных доказательств по делам (уго- ловным, гражданским, административным правонарушениям), сопря- женным с применением компьютерных средств, позволил сформировать основы методического обеспечения СКТЭ. Основными требования к методическому обеспечению СКТЭ, обусловленными законодательными актами, являются: законность, обоснованность, достоверность получаемых результатов, безопасность, эффективность, экономичность, этичность, а также такой специфический критерий как допустимость. Требование допустимости является отличительным признаком судебного исследования компьютерных средств и систем от чисто научного (либо практического) изучения вычислительной техники, средств телекоммуникаций, защиты информации и пр.

343

  1. Посредством уточнения классификационных признаков и обоснования структуры, сформирована система методов и средств СКТЭ и определена сущность технологии экспертного исследования компьютерных средств и систем. Состав и содержание данной системы определяются целями и задачами рассматриваемого рода судебных экспертиз, а ее сущность обусловлена этапами создания, особенностями эксплуатации и текущим уровнем научно- технического развития средств обеспечения современных информационных технологий. Для разработки возможных методологических путей решения задач СКТЭ выбрана классификацию, ориентированную на судебно-экспертную сущность методологического инструментария и представляющую следующую систему: методы диалектической и формальной логики (анализ и синтез, индукция и дедукция, гипотеза, аналогия); общенаучные методы (чувственно-рациональные методы, математические методы, кибернетические методы); специальные методы (общеэкспертные методы; частноэкс-пертные методы).
  2. Существующие в настоящее время методы области компью- терных технологий, частично используемые в качестве частноэксперт- ных методов СКТЭ, нуждаются в определенной трансформации в судебно-экспертные. Однако такое преобразование без утери связей с первичными областями знаний может произойти лишь в случае качественной проработки методов за счет интеграции технических и криминалистических знаний. Предложено на данном этапе развития СКТЭ рассматривать систему методов по основным классам объектов экспертизы: методы исследования аппаратных средств, методы исследования программных средств и методы исследования информации (данных).
  3. Разработка и внедрение методов экспертизы в экспертных методиках во многом определяется средствами производства эксперти-

344

зы, как нынешними, соответствующими современным требованиям, так и перспективными, нацеленными на будущее развитие инструментария и инфраструктуры экспертного исследования объектов СКТЭ. Экспертные средства СКТЭ - это стендовое оборудование, аппаратные и программные средства, инструменты, материалы и т.д. для изучения компьютерных средств и систем, которые могут применяться как автономно, так и в комплексе, оформленном в компьютеризированное рабочее место. Предложено конфигурацию АРМ эксперта по производству СКТЭ, в первую очередь ориентировать на типичные объекты экспертизы.

  1. Разработанный комплекс методических приемов и способов судебно-экспертного исследования компьютерных средств и систем является одним из блоков частной теории СКТЭ и представляет совокупность ряда экспертных методик. Целью создания комплекса экспертных методик СКТЭ, а также последующего его наращивания новыми методическими подходами - является расширение объема представляемых следствию и суду фактических данных, основанных на возможности решения задач в сфере информационных технологий как новой для судопроизводства области, исследования новых объектов - компьютерных средств и систем, сокращения сроков производства экспертиз, материальных и трудовых затрат, уменьшения количества нерешенных вопросов, повышения научного уровня и полноты решения экспертных задач СКТЭ.
  2. Судебно-экспертная деятельность в сфере современных ин- формационных технологий направлена на комплексное исследование целостной компьютерной системы. Однако, первостепенное значение в решении поставленных вопросов приобретают судебно-экспертные методики по исследованию аппаратных средств, программного обеспече-

345

ния и информационных файлов применительно к типичным объектам СКТЭ - IBM PC - совместимым компьютерам. На примере указанных объектов рассмотрена родовая методика СКТЭ, отражающая сущность подготовительного этапа экспертизы, общие действия на этапе исследования, а также анализ полученных в результате экспертизы данных, характерных и для других классов и видов объектов СКТЭ.

  1. К частным экспертным методикам, разработанным в ходе настоящего исследования, отнесены: методика по судебно- экспертному исследованию компьютерной информации, сопряженной с работой в сети Интернет; методика по диагностированию защищенной компьютерной информации; методика по исследованию информационно-программной продукции на признаки котрафактности и др. Указанные частные методики представляют собой способы решения соостветствующих конкретных задач судебно-экспертного исследования компьютерной информации и программ.
  2. Анализ организационных проблем формирования инфра- структуры экспертной деятельности в сфере информационных технологий позволил выработать пути их разрешения. Установлено, что частная теория СКТЭ, являясь отражением экспертной деятельности в сфере современных информационных технологий, может быть представлена в виде организованной системы, иначе инфраструктуры. Ее компонентами являются: субъекты СКТЭ, системные связи между ними, особенности экспертной деятельности по исследованию компьютерных средств и систем, профессиональные качества эксперта СКТЭ и пр. С целью разработки Концепции развития судебных экспертиз в сфере информационных технологий и подготовки Федеральной целевой программы развития экспертиз и исследований в сфере информационных технологий предложено МВД России, ФСБ России и Минюсту России,

346

совместно с Генеральной прокуратурой Российской Федерации, организовать межведомственную рабочую группу по подготовке проектов соответствующих документов, а также разделить функции по организации разработки программно-технических средств для экспертных исследований в сфере информационных технологий, а также разработки научно-методического и нормативно-правового обеспечения.

  1. Во исполнение требований реформирования экспертно- криминалистической службы МВД России, обусловленных изменив- шимся законодательством РФ и обострением криминальной обстановки, подготовлены материалы по вопросу развития инфраструктуры СКТЭ в ОВД. С учетом потребностей поиска новых форм и реализации иных подходов к формированию доказательственной базы предложено ввести новое направление судебно-экспертной деятельности ЭКП МВД России - «компьютерно- техническая экспертиза» и отразить это в ряде нормативных актах, регламентирующих деятельность ЭКП ОВД.
  2. С целью повышения эффективности функционирования ин- фраструктуры СКТЭ разработана комплексная система качества СКТЭ, компонентами которой являются: аттестация судебно- экспертного учреждения и лицензирование судебно-экспертной деятельности; сертификация условий производства инструментального обеспечения СКТЭ (рабочих мест экспертов, стендов, приборов, программ, материалов и пр.); сертификация методического обеспечения СКТЭ; аттестация судебных экспертов. Выявленные составляющие системы качества СКТЭ рассмотрены с позиций окончательного оформления целостной системы предупреждения экспертных ошибок и формирования всесторонних условий реализации данной системы в современных условиях.
  3. Предложено в целях повышения качества методического обеспечения СКТЭ все разрабатываемые экспертные методики в сфере

347

современных информационных технологий строго оформлять в соответствии с предъявляемыми требованиями паспортизации судебно-экспертных методик и