lawbook.org.ua - Библиотека юриста




lawbook.org.ua - Библиотека юриста
March 19th, 2016

Крыгин, Сергей Владимирович. - Расследование преступлений, совершаемых в сфере компьютерной информации: Дис. ... канд. юрид. наук :. - Н. Новгород, 2002 200 с. РГБ ОД, 61:03-12/681-1

Posted in:

Нижегородская академия МВД России

На правах рукописи УДК 343.132.2

КРЫГИН Сергей Владимирович

РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ, СОВЕРШАЕМЫХ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Специальность: 12.00.09 - уголовный процесс; криминалистика и судебная экспертиза; оперативно-розыскная деятельность

ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук

Научный руководитель: доктор юридических наук, профессор

Лубин Александр Федорович

Нижний Новгород - 2002

2

ОГЛАВЛЕНИЕ

Введение 3

Глава I. Уголовно-правовая и криминологическая характеристика преступлений в сфере компьютерной информации

§ 1. Характеристика компьютерной информации 10

§ 2. Уголовно-правая характеристика преступлений в сфере ком пьютерной информации 19

§ 3. Криминологическая характеристика преступлений в сфере

компьютерной информации 35

Глава П. Криминалистическая характеристика преступлений в сфере

компьютерной информации § 1. Формирование модели преступления в сфере компьютерной

информации 59

§ 2. Исследование модели: построение типовых версий 104

Глава III. Проверка типичных версий при расследовании преступлений в сфере компьютерной информации

§ 1. Некоторые проблемы выявления преступлений в сфере

компьютерной информации 136

§ 2. Проверка версий при расследовании преступлений в сфере

компьютерной информации 148

§ 3. Особенности проведения отдельных следственных дейст вий и тактических операций 158

Заключение 177

Список литературы 179

Приложения 199

3

ВВЕДЕНИЕ

Актуальность темы исследования. Борьба с преступлениями в сфере компьютерной информации является одним из приоритетных направлений в реализации государственной политики в сфере информационной безопасности. Так, в Указе Президента РФ «О концепции национальной безопасности Российской Федерации» отмечается: «Национальные интересы России в ин- формационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа»1.

Стремительное развитие компьютерных и других информационных технологий поставило многочисленные проблемы, прежде всего, в области правового регулирования отношений, связанных с компьютеризацией общества. Суть в том, что новые технологии не лишены уязвимых мест, привлекающих внимание преступников. Наибольшую опасность представляют преступления в сфере компьютерной информации. Они, как терроризм, переросли национальные границы и стали международными, транснациональными, что, в свою очередь, затрудняет ведение борьбы с ними, а безнаказанность провоцирует к совершению других преступлений и росту криминального «мастерства» в этой области.

Эффективное противостояние преступлениям в сфере компьютерной информации, защита прав и законных интересов граждан, а также обеспечение информационной безопасности государства и юридических лиц возможно только на базе постоянно изменяемого комплекса всех мер защиты, включая и формирование криминалистических средств.

Степень разработанности проблемы. В изучении проблем преступлений, совершаемых с использованием компьютерных и информационных

1 Указ Президента РФ «О концепции национальной безопасности Российской Фе- дерации» от 10 января 2000 г. № 24// Собрание законодательства РФ. - 2000. - № 2. -Ст. 170.

4

технологий, можно выделить несколько направлений, по которым проводились научные исследования.

До принятия в 1996 году УК России, в котором появилась новая глава о преступлениях в сфере компьютерной информации, исследования теоретиков были направлены, в основном, на осознание как таковых новых явлений и процессов в сфере компьютерной информации (И.Н. Грязин, И.З. Карась, А.В. Литвинов, В.В. Толстошеее), приведших к появлению новых видов преступных деяний, необходимость криминализации которых достаточно широко обсуждалась в литературе (Ю.М. Батурин, A.M. Жодзишский).

После криминализации деяний в сфере компьютерной информации в юридической литературе на уровне монографических и диссертационных исследований обсуждались вопросы: в рамках уголовно-правового аспекта - методологические подходы, ограничивающиеся логико-семантическим анализом специальных понятий и терминов, используемых для юридической оценки деяния (В.В. Воробьев, Н.В. Карпов, И.Н. Смирнова, Н.Г. Шурухнов); в рамках криминалистического аспекта в большинстве работ наблюдался, в основном, эмпирико-описательный подход к рассматриваемой проблеме (В.Б. Вехов, А.Ю. Головин, В.В. Крылов, В.А. Мещеряков, В.Ю. Рогозин, Н.Г. Шурухнов), рассматривались проблемы проведения отдельных следственных действий: осмотр места происшествия, обыск, выемка, и проведение нового вида экспертиз (Т.В. Аверьянова, В.Б. Вехов, Е.Р. Российская, А.И. Усов).

Важным шагом при исследовании механизма преступной деятельности является применение современных математических методов (факторный и корреляционный анализ) при анализе взаимосвязей между элементами кри- миналистической характеристики. Первыми шагами в этой области были работы Л.Я. Драпкина, М.К. Каминского, СИ. Цветкова, Н.П. Яблокова (факторный анализ следственных ситуаций), З.И. Кирсанова, В.Я. Колдина, X. Користка, Н.С. Полевого (формирование и факторный анализ системы информационного обеспечения процесса расследования), Н.Б. Бобрынина,

5

СИ. Цветкова (разработка учебных и прикладных компьютерных экспертных систем). Отдельного внимания заслуживает новый подход к исследованию механизма преступной деятельности, представленный в работах А.Ф. Лубина.

Следует отметить, что разработка теоретических основ расследования преступлений в сфере компьютерной информации сложна и имеет много аспектов на стыке права, теории информатики, производства и эксплуатации аппаратных средств компьютерных систем, сетей и иного сопряженного оборудования. Однако до сих пор в криминалистике не существует разработанной методики расследования компьютерных преступлений, отвечающей практическим нуждам их расследования.

Объектом исследования является преступная деятельность, реализуемая в сфере компьютерной информации, а также деятельность по предотвращению и расследованию преступлений, совершаемых в сфере компьютерной информации в их взаимосвязи.

Предметом исследования являются закономерности механизма преступной деятельности, реализуемой в сфере компьютерной информации, закономерности обнаружения, фиксации, исследования, оценки и использования следов данного вида преступной деятельности.

Целью настоящего диссертационного исследования является выявление закономерностей механизма преступной деятельности, реализуемой при совершении преступлений в сфере компьютерной информации и разработка на этой основе соответствующей методики расследования. Цели исследования достигаются решением следующих частных задач:

  • определить уголовно-правовые и криминологические предпосылки формирования криминалистической характеристики преступлений в сфере компьютерной информации;
  • сформировать криминалистическую модель компьютерных преступлений;
  • разработать методику экспликации (построения) типовых версий;

6

  • дать характеристику каждого этапа криминалистической методики расследования преступлений в сфере компьютерной информации.

Методологическую основу исследования составляют диалектический метод познания; методы системного, исторического и нормативно-правового, логико- семантического анализа; методы исследования эмпирических данных, а также методы математического моделирования и статистики.

Теоретическую базу исследования составляют научные достижения теории государства и права, теории информатики, информационного права, криминалистики, уголовного процесса, уголовного права и криминологии, заложенные в работах отечественных ученых-правоведов: В.К. Бабаева, В.М. Баранова, Р.С. Белкина, И.Ф. Герасимова, П.С. Дагеля, Н.Д. Дурманова, А.В. Дулова, М.К. Каминского, Н.И. Коржанского, Б.А. Куринова, В.Н. Кудрявцева, Н.Ф. Кузнецовой, А.Ф. Лубина, В.В. Лунеева, Б.С. Никифорова, В.А. Образцова, Н.П. Яблокова и др. Кроме того, в диссертации использовались работы ученых, занимающихся исследованием преступлений в сфере компьютерной информации, и специалистов информатики и информационного права: Ю.М. Батурина, Ф.Л. Бауэра, А.Б. Венгерова, В.Б. Вехова, Н. Винера, В.В. Воробьева, О.А. Гаврилова, В.М. Глушкова, Г. Гооз, A.M. Жодзишского, И.З. Карася, В.А. Копылова, В.В. Крылова, М.Ю. Максимова, В.Ю. Рогозина и др.

Наконец, использовались результаты теоретических исследований в области нейронной информатики (А.Н. Горбань, В.Л. Дунин-Барковский, А.Н. Кирдин, Е.М. Миркес, А.Ю. Новоходько, Д.А. Россиев, М.Ю. Сена-шова, С.А. Терехов, В.Г. Царегородцев); математической статистики в области «извлечения знаний» (L. Breiman, J.H. Friedman, R.A. Olshen, D. Pregibon, B.D. Ripley, CJ. Stone).

Эмпирическую базу исследования составляют материалы 142 уголовных дел за период с 1998 по 2001 год, как рассмотренных судом, так и приостановленных; статистический материал ГИЦ МВД России по преступлениям в сфере компьютерной информации в целом по России; данные ста-

7

тистического учета ИЦ ГУВД Нижегородской области за 1997 - 2001 годы, материалы интервьюирования практических работников, занимающихся расследованием преступлений в сфере компьютерной информации, и спе- циалистов в области информатики (всего 105 чел.).

Научная новизна исследования заключается в том, что:

1) рассмотрены новые обстоятельства, условия и факторы преступлений в сфере компьютерной информации; 2) 3) разработана теоретико-криминалистическая модель компьютерных преступлений; 4) 5) разработан новый подход к формированию типовых версий; 6) 7) разработаны основы криминалистической методики расследования преступлений в сфере компьютерной информации. 8) Основные положения, выносимые на защиту:

  1. В качестве определения компьютерной информации как правовой категории предлагается следующая дефиниция: компьютерная информация - это информация, представленная в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящаяся на машинном носителе и имеющая собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения.
  2. Наряду с уголовной ответственностью за преступления в сфере компьютерной информации, должны быть предусмотрены иные виды ответственности, соразмерные последствиям, которые наступают в результате реализации преступниками своего замысла.
  3. Структура и содержание криминалистической модели преступной деятельности в сфере компьютерной информации должна быть обусловлена возможностью ее обработки математическими методами для выдвижения версий при расследовании дел данной категории.
  4. Метод «деревьев классификации» в структуре эмпирических данных позволяет выявлять устойчивые (закономерные) связи между проявлениями

8

в следовой картине ситуаций и способов совершения преступлений, что дает возможность построить систему типовых версий о субъекте.

  1. В методике экспликации типовых версий при расследовании престу плений в сфере компьютерной информации существует реальная возмож ность использования нейротехнологий, которые позволяют с максимальной эффективностью расследовать преступления в сфере компьютерной инфор мации.

  2. Создание ведомственных и межведомственных информационно- консультативных центров по информационной безопасности необходимо для подготовки и консультации сотрудников правоохранительных органов и других организаций по вопросам информационной безопасности, обнаружения и выявления признаков правонарушений в сфере компьютерной информации, разработки специальных методик защиты, внедрения их в практическую деятельность.
  3. Необходимо создать специализированные криминалистические учеты рассматриваемого вида преступлений, в которых должна храниться полная информация по субъектам, ситуациям, способам совершения преступлений и следам.
  4. Теоретическая и практическая значимость исследования. Теоретическая значимость диссертационного исследования состоит в анализе механизма преступной деятельности, реализуемой в сфере компьютерной информации, в определении функциональной зависимости следов преступной деятельности от иных элементов ее механизма; в обосновании теоретических предпосылок для построения методики расследования преступлений, совершаемых в сфере компьютерной информации с учетом основных тенденций их совершения в России и за рубежом. Материалы исследования могут быть использованы для дальнейших теоретических разработок, научных исследований.

Апробация результатов. Положения диссертационного исследования освещались в материалах международных научных конференций «Информа-

9

тизация правоохранительных систем» Академии управления МВД России в 1996, 1998, 2001 годах; используются в учебном процессе Нижегородской академии МВД России при преподавании курсов криминалистики и спецкурса «Использование ЭВМ в деятельности ОВД».

С использованием нейротехнологий изготовлена и апробирована компьютерная программа, представляющая собой экспертную систему по расследованию преступлений, совершаемых в сфере компьютерной информации.

Результаты научного исследования используются в практической деятельности отдела по борьбе с компьютерными преступлениями и незаконным оборотом радиоэлектронных и специальных технических средств управления специальных технических мероприятий ГУВД Нижегородской области и оперативно-сыскного отдела криминальной милиции ГУВД и филиала НЦБ Интерпола.

10

ГЛАВА I. УГОЛОВНО-ПРАВОВАЯ И КРИМИНОЛОГИЧЕСКАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ

ИНФОРМАЦИИ

§1. Характеристика компьютерной информации

Основной характеристикой современного периода развития общества и государства является то, что определяющая роль в нем принадлежит такому явлению, влияющему на развитие социума, как «информация». Информация как предмет внимания и обихода человека существует так же долго, как и сам человек, сопровождает все его действия и отношения. Это своеобразная среда существования, не менее важная, чем воздух и земля. Деятельность, связанная с информацией, существует в самых разных формах, известна давно и постепенно обретает такую определенность и влияние, которые дают основание в настоящее время ставить ее в ряд основных наравне с другими правовыми институтами.

Научные исследования последних лет характеризуются возросшим интересом к явлению «информация» и деятельности, связанной с информационной сферой, выделению ее в особый предмет рассмотрения социальных, экономических, правовых отношений. По своей значимости информационные ресурсы, наряду с природными, финансовыми, трудовыми и иными, составляют важнейший потенциал государства и общества. Во всем мире происходит совершенствование национальных законодательств, регулирующих отношения, которые возникают при формировании и использовании информационных ресурсов. Информация, таким образом, из национального ресурса с развитием коммуникационных и информационных технологий превращается в мировой ресурс. Американский специалист по обмену и использованию информации Т. Петере пишет: «Контроль правительства над информацией более невозможен. В наши дни информация межнациональна. По-

11

добно деньгам, это понятие не имеет родины»1. Однозначно ответить на вопрос: что такое информация, весьма затруднительно. Имеется множество различных точек зрения на сущность информации, структурные элементы, свойства и признаки, формы проявления и организации, роль в производстве и управлении, в общественной жизни и развитии общества. Об этом свиде-тельствуют и выводы ученых, изложенные в различных работах .

Классическое определение информации дается в Словаре русского языка СИ. Ожегова: «Информация - сведения об окружающем мире и протекающих в нем процессах, воспринимаемых человеком или специальными устройствами… Сообщения, осведомляющие о положении дел, о состоянии чего-нибудь» .

В научных публикациях имеется довольно много определений понятия информации. При этом наблюдается тенденция найти такие ее общие признаки, которые бы характеризовали информацию независимо от отрасли научного знания4. Информация, понимаемая как «сведения о …» представляет собой продукт человеческой деятельности. Таковой является социальная информация. Именно человек привносит в понятие информации смысл и ценность. Информация, наделенная определенными значимыми свойствами, постоянно обращается в социальной среде, удовлетворяя потребности личности, общества и государства. Это дает основание для вывода об обособлении нового вида общественных отношений, а именно - информационных5. Понятие информационных отношений дано в ст. 1 Закона РФ «Об информа-

1 Технология в преступном мире: Компьютерные телекоммуникационные техноло гии/ Авт.-сост. В.Н. Соколов. - Минск: Литература, 1998. - С. 42.

2 См., например: Тоффлер О. Смещение власти: знание, богатство и принуждение на пороге XXI века. - М.: Изд-во АН СССР, 1991. - С. 23; Мелюхин И.С. Информационно го общество: истоки, проблемы, тенденции развития. - М.: Изд-во Моск. ун-та, - 1999. - С. 56 - 57; Новая технократическая волна на Западе/ Под ред. П.С. Гуревича. - М.: Про гресс, 1986.-С. 52-53.

3 Ожегов СИ. Словарь русского языка. - М., 1988. - С. 205.

4 См.: Винер Н. Кибернетика и общество. - М., 1958. - С. 31; Глушков В.М. О ки бернетике как науке. Кибернетика, мышление, жизнь. - М., 1964. - С. 53; Черняк Ю.И. Информация и управление. - М., 1974. - С. 66 и многие другие.

См.: Право и информатика. Под ред. Е.А. Суханова. - М., 1998. - С.5; Тихомиров Ю.А. Публичное право. - М., 1995. - С. 198 и др.

12

ции…», из которого следует что они основаны на информационных процессах, т. е. процессах сбора, обработки, накопления, хранения, поиска и распространения информации. В этой связи ведутся дискуссии по поводу выделения объекта правового регулирования информационных отношений, и в частности, существования информации вне материального носителя. Так, одни авторы считают, что объектом информационных отношений выступают информация и информационные ресурсы, так как суть подобных отношений состоит в том, что «один субъект (физическое или юридическое лицо) вправе требовать от другого субъекта получения определенной информации, а второй обязан передать первому определенный вид информации1. Другие авторы полагают, что информация представляет собой категорию идеального, то есть она неосязаема, непотребляема. Потому, исходя из понятия информации как правовой категории, приведенного в ст. 2 ФЗ «Об информации…», информация не может быть объектом правоотношений безотносительно к ее материальным носителям: физическим объектам (отдельным документам и массивам документов в информационных системах), социальным и психологическим процессам. Делается вывод, что объектом правового регулирования могут быть только информационные ресурсы, информационные систе-мы, технологии и средства их обеспечения, а не информация как таковая .

На наш взгляд, информация может существовать вне материального носителя, однако с оговоркой: информация должна иметь вид, пригодный для ее восприятия и осуществления информационных процессов, т. е. процессов сбора, обработки, накопления, хранения и распространения. Следует поддержать мнение В.А. Копылова и О.А. Гаврилова, которые указывают, что информация должна иметь «вид, понятный для восприятия человеком» и представляться «в форме, пригодной для передачи и обработки» . Эта

1 Гаврилов О.А. Информатизация правовой системы России. Теоретические и прак тические проблемы- - М., 1998. - С. 52.

2 См.: Гаврилов О.А. Указ. работа. - С. 8 - 19; Северин В.А. Правовое регулирование информационных отношений // Юрист. - 2001. - № 7. - С. 2.

3 Копылов В-А. Информационное право. - М., 1997. - С. 23.

4 Гаврилов О.А. Указ. работа. - С. 2.

13

форма может быть различной: письменной, устной, волновой, визуально воспринимаемой и т. д. Предметом регулирования Закона РФ «Об информации…» является наиболее социализированная форма информации - документированная. В то же время все более значимый вес приобретает и такая форма информации как компьютерная информация.

Термин «компьютерная информация» - новый в уголовном законе. Этот термин не содержался ранее не только в уголовном праве, но и в законодательстве, регулирующем информационные отношения. Поскольку компьютерная информация является одной из форм, одним из состояний существования информации, для нас определенный интерес представляет данное понятие как правовая категория. В юридической литературе не так часто можно встретить мнения авторов о понятии «компьютерная информация», пригодном для использования в правоприменительной деятельности. В юридической практике нет единообразного употребления данного термина. Используется либо определение информации, которое содержится в Законе «Об информации…», либо определение компьютерной информации, заимствованное из теории информатики.

Изучение материалов уголовных дел показало, что наблюдается достаточно абсурдная ситуация. Следователи, расследуя преступления в сфере компьютерной информации, назначая компьютерно-техническую экспертизу, в число вопросов, выносимых на рассмотрение специалиста или эксперта, ставят вопрос об определении и толковании понятий «компьютерная информация», «ЭВМ», «неправомерный доступ», «вредоносная программа», «нарушение работы ЭВМ», «блокирование», «уничтожение» и т. д. Таким образом, получается, что эксперты дают толкование уголовно-правовой норме. Эксперты по существу решают вопрос права, а не факта . К сожалению, данная ситуация не единична: подобные вопросы были отмечены в 90 % изу-

Примером такого подхода является уголовное дело № 173 по обвинению Сюнина Г.В. и других по ст. 272 УК РФ. Неправомерный доступ к компьютерной информации. Архив суда Нижегородского района г. Н. Новгорода.

14

ченных нами постановлений о назначении компьютерно-технической экспертизы.

Сложность в подходе к определению компьютерной информации состоит в том, что его рассмотрение находится на стыке правовых аспектов и аспектов теории информатики. Представляется важным в этой ситуации корректно выразить правовыми средствами техническую сущность явления. Это позволит выделить в отдельную группу преступления, совершаемые в сфере компьютерной информации. Что же такое компьютерная информация, в чем состоит ее суть и каковы ее основные свойства, имеющие значение для законодательства? В различных источниках, посвященных компьютерным преступлениям можно встретить различные определения компьютерной информации (некоторые авторы называют ее еще машинной или электронной информацией).

В 80-х годах прошлого века И.З. Карась, говоря о правовом регулировании общественных отношений в сфере информатики, отмечал, что использование ЭВМ второго поколения привело к началу формирования машинной информации. Однако самого определения машинной информации он не дал, а лишь обозначил ее основные характерные черты. Автор утверждал, что машинная информация не может восприниматься органами чувств. По его мнению, средством материализации данного рода информации выступает вещественный компонент вычислительной системы. Вычислительной системой И.З. Карась называл обособленный искусственный материальный объект, включающий ЭВМ и определенным образом организованная информация (программа, база данных, база знаний и т. п.), зафиксированная в виде, доступном для ЭВМ. В свою очередь в состав ЭВМ входят технические средства, часть из которых - интегральные схемы, которые являются носителями информационной модели. Интеллект вычислительной системы сконцентрирован в машинной информации1. Говоря о свойствах машинной информации И.З. Карась также говорил, что она обретает характер товара, свое

15

общественное поле, которое вытесняет традиционные формы хранения ин- формации. Таким образом, у автора просматривается тенденция к выделению информации в самостоятельный объект.

А.В. Литвинов в своих работах не дает четкого определения компьютерной информации (он называет - «автоматизированная информация»), но приводит деление ее на три группы:

1) обеспечивающая - охватывает научные, организационные и технические решения, направленные на разработку и эффективное функционирование автоматической системы обработки информации; 2) 3) внутримашинная - объединяет всю функциональную информацию, находящуюся в машинной памяти (в оперативной, на внешних носителях и в архиве); 4) 5) внемашинная - информация, подготовленная к вводу в ЭВМ и полученную в результате обработки, т. е. входную и выходную. 6) Наряду с этим, автор выделяет такую характеристику компьютерной информации как ее ценность, которая является основным моментом при выборе мер и средств охраны. По мнению автора, главное в ценности компьютерной информации - это необходимый объем машинной памяти для выполнения заданной функции2.

На наш взгляд, с данной трактовкой трудно согласиться, так как объем машинной памяти, занимаемой определенной информацией, можно считать лишь частью себестоимости информации. При этом следует учитывать, что в отличие от другой продукции, информация несет и духовную ценность.

В.В. Толстошеев больше склоняется к выделению в отдельную отрасль права право на обработку информации с использованием ЭВМ, обосновывая это невозможностью игнорирования изменений в праве под воздействием компьютеризации. Особо не останавливается на определении компьютерной

Карась И.З. Правовое регулирование общественных отношений в сфере информатики // Советское государство и право. - 1987. - № 3. - С. 22.

Литвинов А.В. Правовые вопросы охраны компьютерной информации // Советское государство и право. - 1987. - № 8. - С. 84.

16

информации, он выделяет ее свойства: точность, последовательность, адрес- ность. Именно эти свойства, по его мнению, используются при характеристике правовых явлений1.

Ю.М. Батурин расценивает машинную информацию как самостоятельный объект уголовно-правовой охраны. Он определяет ее как информацию, циркулирующую в вычислительной среде и зафиксированную на физическом носителе в форме, доступной восприятию ЭВМ и передающуюся по телекоммуникационным каналам. В отличие от И.З. Карася, материализующего машинную информацию в вещественных компонентах вычислительной системы, Ю.М. Батурин не материализует информацию, а придает всем процессам, связанным с машинной информацией специфический характер, в силу чего, по его словам, они требуют особого обозначения, каковым является само понятие «информация» .

По определению В.Б. Вехова, машинная информация - это информация, циркулирующая в вычислительной среде, зафиксированная на физическом носителе в форме, доступной восприятию ЭВМ, и передающаяся по каналам электросвязи посредством электромагнитных сигналов из одной ЭВМ в другую, из ЭВМ на периферийное устройство, либо на управляющий датчик оборудования. Автор определяет вычислительную технику как инфор- мационную структуру и как материальный носитель информации в виде раз- нообразных карт, лент, дисков, микросхем, кристаллов и т. д. Другими словами, приведенное определение построено по схеме приема-передачи информации, и место циркулирования информации - вычислительная среда и телекоммуникационные каналы. Сама информация сосредоточена внутри средств вычислительной техники, а электромагнитные сигналы обеспечивают ее прием и передачу.

1 Толстошеее В. В. Компьютерная технология и право // Советское государство и право.- 1988.-№3.-С. 3.

2 Батурин Ю.М- Проблемы компьютерного права. - М.: Юрид. лит., 1991. - С. 13.

3 Вехов В.Б. Особенности расследований преступлений, совершаемых с использо ванием средств вычислительной техники: Учебно-методическое пособие. Изд. 2-е доп. и испр. - М: ЦИиНМОКП МВД России, 2000. - С. 6.

17

Некоторые авторы используют в определении компьютерной информации элемент права собственности на нее, которое имеет немаловажное значение при установлении лица, которому причиняется вред. Например, В.А. Мещеряков дает следующее определение: «компьютерная информация есть сведения, знания или набор команд для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, идентифицируемый элемент информационной системы, имеющей собственника, установившего правила ее использования»1.

В целом данное определение, на наш взгляд, достаточно полно отражает суть рассматриваемого явления, однако включение в определение компьютерной информации термина «идентифицируемый элемент информационной системы», по нашему мнению, является неоправданным. Идентификация компьютерной информации в рамках выявления и расследования преступлений в рассматриваемой сфере представляет собой самостоятельную и исключительно сложную задачу, которая в настоящее время не имеет решения. Идентификация компьютерной информации проводится на основе документированной.

В некоторых комментариях к УК РФ авторы используют понятие ин-формации, данное в законе . Думается, что использование в уголовно-правовой практике представления о компьютерной информации, изложенного в ФЗ РФ «Об информации…» не отражает полно специфики нового вида преступлений. СВ. Бородин предлагает использовать в практике определение, содержащееся в ст. 272 УК РФ3. На наш взгляд, данное определение требует определенной доработки. Другие авторы, осознавая возникшие противоречия в ФЗ РФ «Об информации…» и в УК РФ, предлагают собственное определение. Так, по мнению С.А. Пашина, компьютерная информация - это

1 Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический аспект. - Воронеж, ВГУ, - 2001. - С. 43.

2 Научно-практический комментарий к Уголовному кодексу Российской Федера ции: В 2 т. Т. 2. - Н. Новгород, 1996. - С. 234.

3 Комментарий к Уголовному кодексу Российской Федерации/ Отв. ред. д.ю.н., проф. А.В. Наумов. - М., 1996. - С. 663.

18

информация, зафиксированная на машинном носителе и передаваемая по те- лекоммуникационным каналам в форме, доступной восприятию ЭВМ1.

Нам представляется, что при обсуждении понятия компьютерной информации как правовой категории, имеют значение ряд моментов, влияющие на осознание сущности преступлений, совершаемых в данной сфере, и на определение предмета доказывания при расследовании компьютерных преступлений. Компьютерная информация должна быть представлена в виде, предназначенном и пригодном для ее обработки, хранения и передачи с использованием электронных технических средств, список которых не ограничивается исключительно компьютерами. При этом смысловое содержание информации уходит на второй план, так как в машинном виде оно всегда представлено одинаково - в виде, определяемом физической природой материального носителя информации.

Под машинным носителем компьютерной информации следует понимать материальные носители, на которых она находится. К ним относятся: магнитные диски, оптические и магнитооптические компакт-диски, пластиковые карты, интегральные микросхемы в виде оперативной памяти или постоянного запоминающего устройства (которые в том числе могут находиться в различных средствах вычислительной техники — персональных компьютерах, сотовых аппаратах связи, пейджерах и т. д.).

В настоящее время находят широкое распространение автоматизированные информационные системы, объединенные по радиоканалу, электрическому или оптоволоконному кабелю и т. п. Если посмотреть практику по компьютерным преступлениям, то можно увидеть преступления, связанные с

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть/ Под общ. ред. Генерального прокурора Российской Федерации проф. Ю.И. Скуратова и Председателя Верховного Суда Российской Федерации В.М. Лебедева. - М., 1996. -С. 634.

2 Так, по уголовному делу в отношении Н. установлено, что оригинальный автосканер позволяет перехватывать информацию из радиоэфира и выделять в ней личные и або- нентские коды клиентов одной из компаний сотовой телефонной связи. Полученные данные давали возможность Н. не только лично вести длительные телефонные переговоры за чужой счет, но и оказывать аналогичные платные услуги своим знакомым.

19

информационным обменом по радиоканалу, электрическому или оптоволо- конному кабелю и т. п. В отечественном законодательстве нет выделения в отдельную категорию компьютерных преступлений, совершенных с исполь- зованием электромагнитного сигнала, как это сделано, к примеру, в законо- дательстве Канады. Поэтому в понятие «машинный носитель» помимо мате- риального носителя следует включить и электромагнитный сигнал (о чем го- ворится, например, в Законах РФ «О государственной тайне», «О связи», где к носителям сведений относятся физические поля, в том числе, в виде сигналов).

Таким образом, компьютерная информация является одной из специфичных форм существования информации, обладающая рядом особенностей, являющихся основанием выделения в отдельную группу преступлений, совершенных в сфере информационных технологий, имеющих значение при выявлении преступлений в сфере компьютерной информации и определении способа совершения преступления. Исходя из вышеизложенного, полагаем необходимым сформулировать определение компьютерной информации следующим образом: компьютерная информация - это информация, представленная в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящаяся на машинном носителе и имеющая собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения.

§2. Уголовно-правовая характеристика преступлений в сфере компьютерной информации.

Криминальное использование вычислительной техники, естественно требует разработки мер защиты. Основным средством борьбы должна быть система соответствующих законодательных норм, в первую очередь - уголовно-правовых, поскольку именно уголовно-правовые средства будут способствовать возможности повышения эффективности борьбы с подобными деяниями. В передовых странах этот процесс идет уже не один десяток лет.

20

Например, законодательство США по борьбе с компьютерными правонару- шениями наиболее развито и состоит как из федеральных законов, так и законов штатов. Законы предусматривают уголовную ответственность за мошенничество по отношению к средствам доступа к компьютерам, за мошенничество при помощи проводных средств связи, радио и телевидения, за перехват и раскрытие проводной связи, электронных телекоммуникаций и речевых сообщений. В начале 90-х годов в США, например, действовали следующие законы: Федеральный закон «Об ответственности за преступления, связанные с компьютерами», «Закон о поддельных средствах доступа, компьютерном мошенничестве и злоупотреблении», «Закон о частной тайне»1.

Уголовные санкции, облегчающие борьбу с компьютерными преступлениями, были приняты более 20 лет назад и в ряде других стран: Дания, Австрия, Франция, Германия, Греция, Норвегия, Швейцария, Лихтенштейн. Первые нормативные акты характеризовались отражением применения компьютерной техники, как новой категории средств совершения преступлений, предоставляющих широкие возможности. С конца 80-х начала 90-х годов основной акцент делается на защиту информации, хранящейся в электронных информационных системах, т. е. отражается информационный характер деяний. Особое внимание уделялось сведениям, содержащим персональные данные, а также финансово-экономической информации. В связи с чем, например, в Великобритании, Австрии, США, принимаются законы о защите данных, в том числе компьютерных данных. В Чехии, Великобритании и ряде других стран компьютерные преступления включены в категорию экономических преступлений.

Преступления, которые могут быть совершены с использованием компьютерных технологий отражены и в УК Франции в книге II «О преступлениях и проступках человека» и в книге IX «О преступлениях и проступках против нации, государства и общественного порядка» . В УК Испании 1995

1 Айков Д., Сейгер К, Фонстрох У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями / Пер. с англ. - М.: Мир, 1999. - С. 103 - 105.

2 Le code penai de la Republigue la France // La revue Officielle. - 1992.

21

г. статьи о компьютерных преступлениях не выделены в какой-либо отдельный раздел, но ответственность за преступления, которые совершаются с ис- пользованием компьютера или против информации в компьютере можно найти в главе «Раскрытие и распространение тайных сведений» в отделе «О незаконном обмане, связанном с электричеством и другими элементами», в главе «Об ущербе» в отделе «О преступлениях, связанных с рынком и потребителями», а также в разделе «О фальсификациях» . Уголовная ответственность за преступления в сфере компьютерной информации предусмотрена и в УК ФРГ в разделе «Повреждение имущества» ; в УК Украины в главе «Преступления против порядка управления» ; в УК Казахстана - в главе «Преступления против собственности» и в УК некоторых других стран.

Деяния, основанные на применении компьютерной и телекоммуникационной техники, стали достаточно распространенными. Подобные действия зачастую характеризуются как общественно опасные и причиняющие значительный вред. В литературе можно встретить ряд мнений относительно выделения компьютерных преступлений в качестве самостоятельного вида - преступлений. Как указывает В.А. Мещеряков, условно точки зрения юристов можно разделить на три группы. К первой группе относятся авторы, рассматривающие использование компьютера в совершении преступлений, лишь как вещественный элемент отношений. Другая группа ученых полагает, что не следует данные преступлений выделять в самостоятельный вид, а следует рассматривать их лишь квалифицирующий признак обычных, «традиционных» преступлений. И, наконец, сторонники третьей точки зрения, которой придерживались и авторы действующего Уголовного кодекса России, полагают, что данные преступления представляют собой самостоятель-

1 Уголовный кодекс Испании / Под ред. Н.В. Кузнецовой, Ф.М. Решетникова. - М.: ЗЕРЦАЛО, 1998.

2 Уголовный кодекс ФРГ/ Пер. с нем. - М: ЗЕРЦАЛО, 2000.

3 Уголовный кодекс Украины (с изменениями и дополнениями по состоянию на 15 апреля 1997 года)- -Харьков: ООО «Неофит», 1997.

4 Уголовный кодекс Республики Казахстан // Преступления и наказание. - Алма- Ата. - 1997.

22

ный вид преступной деятельности. Во главу ставится не компьютер, а ин- формация, представленная в специальном виде.

Российские ученые в последние годы уделяют значительное внимание исследованию компьютерных преступлений. Однако обращает на себя внимание тот факт, что исследования осуществляются в формально-догматическом ключе, ограничиваясь анализом элементов составов преступлений в сфере компьютерной информации, обсуждая, в основном, вопросы терминологического характера, т. е. с позиций не методологии изучения преступления, а с позиций обсуждения терминологии и решения вопросов внутри совокупности терминов. Данный подход, важность которого для эффективного действия юридической нормы также нельзя принижать, сегодня, на наш взгляд, себя исчерпал. Представляется, что для решения задач уголовно-правовой квалификации, а также эффективного выявления и раскрытия компьютерных преступлений, с точки зрения организации и технологии деятельности преступников, можно выделить преступления, которые совершаются с помощью компьютерных технологий, компьютерных средств, и преступления, которые совершаются только в сфере компьютерной информации.

На наш взгляд, нецелесообразно приводить уголовно-правовую характеристику по элементам составов преступлений, предусмотренных в главе 28 УК РФ, поскольку данной проблеме посвящено достаточное количество работ многих авторов. Главное на чем хотелось бы сделать акцент - это необходимость существования уголовной ответственности за преступления в сфере компьютерной информации, в силу той общественной опасности, которой они характеризуются, посягая на охраняемые законом значимые общественные отношения и того вреда, который порой характеризуется как значительный. Преступления в сфере компьютерной информации могут причинять значительный ущерб собственнику этой информации. Диапазон данных, содержащихся в компьютерных системах, весьма широк и простирается от производственных секретов и планов до конфиденциальной информации

23

и списков клиентов, которые преступник может использовать для шантажа или в других преступных целях. Например, неправомерный доступ к компьютерной информации, а затем неправомерное ее использование может иметь различные последствия: от разглашения охраняемых законом данных до нанесения имущественных ущербов в виде прямых доходов и неполученных доходов и т. п. Информация имеет различную ценность для собственника и того лица, которое пытается ее получить. Если данные похищены или уничтожены (частично или полностью), убытки будут включать в себя неполученные доходы и услуги, стоимость восстановления информации, потери от взаимных ошибок и т. д.

Единственным объективным фактором, определяющем необходимость установления уголовно-правового запрета является общественная опасность деяния. Поэтому принятие решения об установлении уголовной ответственности за посягательства, совершаемые с использованием компьютерной техники, необходимо начать с изучения общественной опасности таких деяний, и ответа на вопрос - привело ли развитие компьютерных технологий к появлению ранее неизвестных преступлений, либо мы имеем дело с новыми способами совершения традиционных преступлений. При оценке общественной опасности должны приниматься во внимание: ценность объекта посягательства; причиняемый ущерб; обстоятельства характеризующие место, время, способ и обстановку совершения деяния и повышающие его общественную опасность; профессионализм лица, совершившего это деяние, относительная распространенность определенного рода деяний.

Общественные отношения, на которые посягают компьютерные преступления, являются особо значимыми для общества. Значимость определяется тем, что обработка информации с помощью компьютерных технологий настолько широко стала использоваться в жизни людей, что у человека постепенно начинает вырабатываться зависимость от них, которая все более прогрессирует. Совершение преступлений с использованием новых технологий порой ставит под угрозу как честь, достоинство, свободу, жизнь и здоро-

24

вье отдельного человека, так и безопасность общества в целом. Данные об- щественные отношения тесно связаны со многими другими, и в реальности нарушается, деформируется, разрывается их связь с другими общественными отношениями, сопровождаясь иногда тяжкими последствиями и принося значительный ущерб интересам собственника. Например, на Черкизовском мясоперерабатывающем заводе г. Москвы в 1998 году дежурный программист этого предприятия Ш., вступив в преступный сговор с водителем-экспедитором данного завода М, совершил присвоение имущества (ст. 160 УК РФ). Преступление было совершено при следующих обстоятельствах. М., получая колбасную продукцию с завода для доставки в торговые точки согласно разнарядке, фактически доставлял ее для реализации на «Новокосин-ский» рынок. В дальнейшем Ш., имея доступ к компьютерной сети завода, выборочно удалял записи по учету отправленной в торговлю продукции, согласно перечню торговых точек, сообщенных М.. В итоге было похищено продукции на сумму около 200 тыс. рублей.

Эффективность правового регулирования находится в прямой зависимости от степени соответствия представлений законодателя о предмете правового регулирования (общественных отношениях) действительности.

Статьи о компьютерных преступлениях помещены в раздел IX Уголовного кодекса РФ «Преступления против общественной безопасности и общественного порядка». Какие общественные отношения ставятся под угрозу в результате противоправного применения компьютерных технологий. Особенностью всех преступлений против общественной безопасности является то, что они объективно вредны для широкого круга общественных отношений (безопасности личности, нормальной деятельности предприятий, учреждений, организаций, безопасности государства и других социальных институтов). При совершении преступлений против общественной безопасности вред причиняется, преимущественно, интересам не конкретного человека, а

25

безопасным условиям жизни (жизнедеятельности) общества в целом1. Одним из важнейших интересов общества является информация и развитие инфор- мационных отношений, входящих в совокупность отношений, обеспечивающих информационную безопасность. Обеспечение информационной безопасности личности, государства, общества в целом на сегодняшний день приобретает особую актуальность, поскольку бурная эволюция программного обеспечения и компьютерной техники, встраиваясь в систему информационных отношений, обеспечивающих поддержание общественной безопасности, определенным образом воздействуют на них.

Под информационной безопасностью можно понимать состояние защищенности информационной среды общества, т. е. состояние защищенности информационных ресурсов и информационных отношений, связанных с процессом формирования, распространения и использования информации. Или, как указано в Законе РФ «Об участии в международном информационном обмене»: информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, ис- пользование и развитие в интересах граждан, организаций, государств.

Высказывания о том, что перед Россией из-за ее технической отсталости проблемы обеспечения информационной безопасности не будут стоять столь остро, а компьютерные преступления не смогут как-либо повлиять на общую картину преступности, сейчас потеряли свою актуальность. Информация в машинном представлении неуклонно вытесняет бумажный документооборот в государственных и частных организациях, заменяет традиционные средства массовой информации. Например, в банках данных ряда государственных структур - МВД, Государственной налоговой службы, Пенсионного фонда и др. - уже накоплены сведения персонального характера о значительной части населения России; введены в практику электронные расчеты между кредитными организациями, успешно действуют системы элек-

1 Уголовное право. Особенная часть: Учебник // Под ред. А.И. Рарога. - М.: «Триада, ЛТД», 1996.-С. 219.

26

тронных торгов. Замечаем мы это или нет, но компьютерная информация активно вторгается во все сферы жизни общества: экономическую, духовную, политическую, поэтому игнорировать опасность посягательств на нее, а также на процессы ее обработки сейчас уже нельзя.

Одной из многих широко обсуждаемых проблем в условиях повсеместного внедрения информационных технологий является расширенный доступ людей к базам персональных данных, что в свою очередь усиливает риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Информационные и телекоммуникационные технологии предельно обострили правовые проблемы, связанные с неправомерным доступом к базам персональных данных. На сегодняшний день ведется разработка правового обеспечения данной проблемы. В проекте находится Федеральный закон «Об информации персонального характера» . Сегодня, например, на некоторых московских рынках можно приобрести дискеты с базой данных Московской регистрационной палаты с названиями предприятий, их адресами, полными данными на хозяина, включая домашний телефон. Или другой пример, компания «Интегрум-Техно» занималась сбором баз данных (всего более 700, в которых содержалось больше 15 миллионов документов) и размещением их в сети Интернет, доступ к ним предоставлялся, естественно за деньги. Среди них имелись и закрытые базы данных, такие, как ГИБДД, ГУВД Москвы, зонального информационного центра милиции, таможни, Госкомстата2. Конечно же, у истоков подобного товара стоит либо сотрудник того или иного ведомства, либо хакер, получившие эти сведения в результате неправомерного доступа к компьютерной информации.

См.: Беляева Н.Г. Право на неприкосновенность частной жизни и доступ к персо- нальным данным // Правоведение. - 2001. - № 1. - С. 114; Соцков Е.А. Права человека и информационная безопасность/ Общество и право в новом тысячелетии: Материалы международной научно-теоретической конференции, посвященной 200-летию МВД России и 10-летию Тульского филиала ЮИ МВД РФ (4-5 октября 2000г.) В 2-х томах. Т. 1. - Москва - Тула: ЮИ МВД России, 2001. - С. 276 - 280 и др.

2 Козлова Н. Стеклянные люди // Российская газета. - 2001. - № 122. - 28 июня. -С. 4.

27

Концепция национальной безопасности указывает также на усиление внешних угроз в информационной сфере. Серьезную опасность представляют собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов. На сегодняшний день все шире используется такое понятие, требующее законодательного оформления, как информационный терроризм. Подобные преступления обычно связаны с информацией широко распространяющейся с помощью информационных технологий, содержащей призывы к пропаганде войны, подстрекательство к войне, пропаганда насилия, расовой ненависти, дискриминации, апартеида, геноцида и т. п. Например, на страницах Интернета можно встретить высказывания, которые могут охватываться составом публичных призывов к развязыванию агрессивной войны (ст. 354 УК РФ). Например, после начала бомбардировок территории Ирака вооруженными силами США и Англии в Интернете стали появляться призывы ко всему арабскому миру об объявлении войны Соединенными Штатами Америки и Великобритании. И как вполне справедливо отмечает А.В. Кубышкин, вопросы о правовом регулировании подобных деяний, т. е. правового регулирования в сфере обеспечения информационной безопасности, должны решаться не только в рамках национальных законодательств, но и в рамках международного сотрудничества, поскольку информационное пространство, по сути, не имеет границ .

Рассматривая уголовно-правовую характеристику преступлений в сфере компьютерной информации, хотелось бы отдельно выделить вопрос о предмете
данного рода преступлений, т. к. он представляет достаточно

1 Кубышкин А.В. Международно-правовые проблемы обеспечения информационной безопасности государства: Автореф. дис… канд. юрид. наук. - М., 2002. - С. 25.

28

большую сложность. Предмет преступных посягательств выступает в качестве своеобразного отличительного критерия, объединяющего преступления данного вида в единую главу Уголовного кодекса РФ и тесно связан с предметом доказывания.

Согласно общетеоретическим постулатам, предмет преступления выступает материальной вещественной стороной общественного отношения, т. е. предмет - это конкретная вещь. В связи с этим можно возразить: о какой конкретной вещи может идти речь при определении предмета преступления в ст. 272-274 УК РФ? Информации как некоей реалии не существует, все же процессы, связанные с ней, имеют чрезвычайно специфический характер. В силу специфических особенностей, информация рассматривается как самостоятельная категория, не приравненная ни к вещам, ни к предметам, ни к другим материальным объектам. Что подтверждается, например, Гражданским кодексом РФ, признающим информацию самостоятельным объектом гражданского права. Особая форма существования информации - компьютерная информация, также должна оцениваться в качестве самостоятельного вида предмета преступления наряду с материальными объектами. В частности, при совершении преступлений в сфере компьютерной информации компьютерная информация выступает в качестве предмета преступления, который определяет стороны, свойства общественных отношений и путем воздействия на который причиняется социально опасный вред в сфере этих общественных отношений. В некоторых случаях применяются составные термины такие как «хищение информации», «утечка информации» и т. п. Информации приписываются свойства вещи, материального предмета, который может быть изъят, похищен и т. д. Но если информация не материальный объект, что же означают данные понятия? На наш взгляд, это определенного рода конвенция. Компьютерная информация не обладает натуральными физическими параметрами (вещными свойствами). Компьютерная информация, не будучи чем- то предметным, не может быть передана от одного объекта к другому. Если даже рассматривать информацию как свойство материи, то и в

29

этом случае она не может передаваться, так как свойство нельзя передать от одного объекта к другому, свойство объекту можно лишь придать. Поэтому суть заключается не в том, что в процессе движения материальных тел передается информация, а в том, что такому процессу может быть придан информационный характер. Процесс посягательства на информацию именуется информационным, сам же процесс во всех своих аспектах рассматривается как сугубо материальный, что соответствует принципу материального единства мира .

В этой связи представляет интерес мнение Г. Клауса, который рассматривает информацию как отношение соответствия систем: «информация не является чем- то самостоятельным, не представляет собой нечто абсолютное, но имеет информационный характер только в отношении к системе, воспринимающей информацию» . Например, при употреблении термина «хранение информации» подразумевается сохранение формы «сигнал-знак», т. е. сохранением информации является сохранение соответствия между сигналом и механизмом реакции на него. Исчезновение или изменение одного из элементов данной информационной ситуации означает исчезновение соответствия между сигналом и реакцией и утрату «информационности», т. е. отношения соответствия некоторых состояний, образующих эту ситуацию вещей. То, что понимается под передачей информации, означает замыкание материальной связи между элементами информационной ситуации . К примеру, термин «хищение информации» означает обнаружение соответствия между отдельными состояниями вещей, действительные отношения между которыми не были известными и не должны были стать известными, что в свою очередь «качественно меняет квалификацию преступления» .

1 Сетров М.И. Информационные процессы в биологических системах. - Л., - 1975. -С. 115.

2 Клаус Г. Кибернетика и общество. - М., 1967. - С. 60.

3 Грязин И.Н. Информационно-компьютерное право: отрасль права или отрасль за конодательства? // Ученые записки Тартуского гос. ун-та. - Tartu riikliku ulikooli toimetised. 1989. Вып. 864. Труды по социальным проблемам кибернетики. - С. 6.

4 Карась И.З. Вопросы правового обеспечения информатики // Микропроцессорные средства и системы. - 1986. - № 1. - С. 7

30

При рассмотрении компьютерных преступлений, возникает вопрос: что подлежит регулированию - отношения, связанные с информацией и про- граммными средствами, или эти отношения плюс отношения, связанные с использованием самих ЭВМ?

В.Б. Вехов отмечает в этой связи, что одна часть исследователей относит к преступлениям в сфере компьютерной информации действия, в кото- рых компьютер является либо объектом, либо орудием посягательства. При этом, в частности, кража самих компьютеров рассматривается ими как один из способов совершения компьютерных преступлений. Другая часть исследователей считает объектом посягательства информацию, обрабатываемую в компьютерной системе, а компьютер является орудием посягательства1. Весьма спорной представляется позиция авторов, высказывающих мнения, что предметом любого преступления в сфере компьютерной информации следует признать компьютер как информационную систему, носитель ин-

формации , а также предмет компьютерного преступления - это машинная информация, компьютер, компьютерная система или компьютерная сеть3. На наш взгляд, подобные положения ведут не только к существенному расширению пределов уголовной ответственности, но и к значительным затруднениям при отграничении анализируемых преступлений от преступлений против собственности.

Мы полагаем, что ближе к истине является позиция ученых, опреде- ляющих предметом преступлений в сфере компьютерной информации толь-

Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия/ Под ред. Б.П. Смагоринского. - М., 1996. - С. 20.

2 Новое уголовное право России. Особенная часть: Учебное пособие. - М.: Зерцало, ТЕИС, 1996.-С. 273.

3 См., например: Вехов В.Б. Особенности расследования преступлений, совершае мых с использованием средств электронно-вычислительной техники: Учебно- методическое пособие. Изд. 2-е, доп. и испр. - М: ЦИиМОКП МВД России, 2000; Новое уголовное право России. Особенная часть: Учебное пособие. - М: Зерцало, ТЕИС, 1996; Уголовное право России. Особенная часть: Учебник/ Под ред Б.В. Здравомыслова. - М.: Юрист, 1996.

31

ко компьютерную информацию1. Именно компьютерная информация выступает в качестве нематериальных ценностей, на которые непосредственно воздействует виновный, посягая на общественные отношения по обеспечению доступа, сохранности и безопасности компьютерной информации. Предметом преступлений, указанных в ст. 272 и 274 УК РФ, является компьютерная информация, причем не любая информация, находящаяся в компьютерной форме, а только охраняемая законом. Охраняется она достаточно широким кругом законодательных актов: Конституцией Российской Федерации, Гражданским кодексом РФ, законами Российской Федерации «О государственной тайне», «О правовой охране программ для электронных вычислительных машин и баз данных», «Об информации, информатизации и защите информации», «О рекламе», «О банках и банковской деятельности» и др.. Охраняемая законом компьютерная информация может касаться различных аспектов жизнедеятельности личности, общества и государства. Только путем воздействия на охраняемую законом компьютерную информацию, а не на компьютер, причиняется вред объекту преступления - общественным отношениям, специфические свойства которых определяются самой компьютерной информацией. Общественно опасные и противоправные посягательства, предметом которых является электронно-вычислительная техника как аппаратная структура, объединяются в иную группу преступлений, нарушающих охраняемые уголовным законом отношения собственности. Предметом преступления, предусмотренного ст. 273 УК РФ, является информация неограниченного доступа.

В качестве примера можно привести достаточно распространенную ошибку определения объекта и предмета преступного посягательства. При изучении уголовных дел, достаточно часто наблюдалась ситуация уголовного преследования лиц, совершивших неправомерный доступ к компьютерной информации, находящейся в сети Интернет, с использованием чужого паро-

1 См., например: Уголовное право России. Особенная часть: Учебник/ Под ред. А.И. Рарога. - М.: Инст. межд. права и экон., 1996; Ляпунов Ю.И., Максимов В. Ответствен- ность за компьютерные преступления // Законность. - 1997. - № 1. - С. 8 - 13.

32

ля или логина. Подобные действия лиц, квалифицированных следователями по статье 272 УК РФ, составляют значимую долю в общем количестве заре- гистрированных преступлений. При квалификации следователи руково- дствуются, например, тем, что при вводе имени, программа, проверив наличие этого имени в списках пользователей, выдает приглашение ввести пароль. Таким образом, уже в момент ввода пароля происходит доступ к охраняемой законом информации, так как список паролей подпадает под разряд коммерческой тайны. При введении пароля, модифицируется компьютерная информация, находящая на сервере провайдера, где регистрируется вход пользователя. Также происходит блокирование информации, так как другой пользователь под этим же именем лишается возможности доступа1.

На наш взгляд, подобный подход к квалификации доступа к сети Интернет по ст. 272 УК РФ не полностью отражает юридическую суть содеянного и не способствует справедливому рассмотрению дела. Коммерческую тайну составляют лишь пароль, логин, с помощью которого совершается доступ к сети. Способов незаконного получения паролей и логинов множество. Они могут быть просто подсмотрены при наборе, получены в результате заражения компьютера пользователя «троянскими» программами, похищены в результате взлома компьютерной сети провайдера и т. п. Поэтому, по нашему мнению, по ст. 272 УК РФ в подобных случаях должны квалифицироваться лишь действия злоумышленника, направленные на получение реквизитов законных пользователей сети Интернет.

Так, например, гражданин Б., путем компьютерного взлома, присвоил себе полномочия администратора компьютерной сети провайдерской фирмы «SV Corporation» и, пользуясь данным обстоятельством, незаконно скопировал реквизиты (логины и пароли) законных пользователей Интернета. Используя эту информацию, гр. Б. получил неограниченный доступ к сети Интернет. Кроме того, он передал несколько паролей и логинов законных поль-

1 Об особенностях расследования отдельных видов преступлений в сфере компью- терной информации/ Методические рекомендации. Главное следственное управление при ГУВД Нижегородской области. - Н. Новгород, 2000. - СЮ.

33

зователей своим друзьям, которые также использовали их для бесплатного доступа в Интернет.

В отношении студентки Н. возбуждено уголовное дело по ч. 1 ст. 272 УК РФ. Гражданка Н. направила электронное письмо гражданину С. Как она указала, к письму был приложен файл с ее фотографией. На самом деле кроме фотографии была приложена «троянская» программа, которая собрала данные о реквизитах доступа к Интернет, имеющихся на компьютере гражданина С, и направила их по электронной почте гражданке Н. Используя полученные незаконным путем реквизиты, гр. Н. получила доступ в Интернет.

На этом действия виновных не заканчиваются, так как получение пароля и логина является лишь подготовительным этапом для достижения конечной цели - бесплатного и длительного подключения к Интернету за чужой счет. Злоумышленник, получивший каким-либо образом пароль и логин законного пользователя, может ими пользоваться в своих интересах, поскольку с точки зрения провайдера он и будет являться законным пользователем. Ущерб от данного преступления заключается в том, что законный пользователь оплачивает доступ в Интернет за виновного, работавшего под его именем и тем самым причинившего ему имущественный ущерб, т. е. виновное лицо незаконно пользуется услугами провайдера, и здесь нельзя говорить о неправомерном доступе к компьютерной информации. Во время пользования Интернетом с использованием незаконно полученных реквизитов действия злоумышленника ничем не отличаются от действий законного пользователя. Данную ситуацию, на наш взгляд, следует квалифицировать по ст. 165 УК РФ. Квалифицировать содеянное по ст. 272 УК РФ возможно в случае, если был совершен доступ к компьютерной информации с целью получения пользовательских паролей и логинов с последующим их копированием. Аналогичную нашей позицию по данному вопросу можно встретить и

1 у некоторых авторов .

1 См, например: Бытко СЮ. Квалификация незаконного доступа в Интернет / Об- щество. Культура. Преступность: Межвузовский сборник научных трудов. - Саратов: Изд-во Саратовского университета, 2002. - Вып. 4. - С. 82 - 86

34

Еще один момент, на который хотелось бы обратить внимание. Не всегда компьютерные правонарушения характеризуются той степенью общественной опасности и размерами причиняемого ущерба, «достойных» уголовного преследования. Обязательно должны учитываться: возможности противодействия негативным процессам иными, не уголовно-правовыми, средствами; целесообразность уголовно-правового воздействия (неизбежный вред, причиняемый назначением виновным лицам уголовного наказания должен быть значительно меньшим, чем вред предотвращаемый), возможность строгого доказывания вины, материальные и интеллектуальные ресурсы для расследования деяний, возможность формализованного описания признаков деяния. Целесообразнее предусмотреть иные виды ответственности. Например, вновь принятый и действующий Кодекс об административных правонарушениях содержит главу «Административные правонарушения в области связи и информации» . Однако в данной главе отсутствуют правонарушения, связанные с информацией, представленной в специальном виде, т. е. компьютерной информацией. И это, на наш взгляд, явная недоработка, поскольку существуют правонарушения в сфере деятельности с компьютерной информацией, которые по малозначительности причиняемого ущерба можно отнести к административным правонарушениям.

Например, уголовно наказуемым уничтожением компьютерной информации следует считать уничтожение без возможности дальнейшего восстановления информации. При возможности восстановления компьютерной информации целесообразнее предложить административную ответственность в силу меньшей общественной опасности.

Таким образом, поскольку общественная опасность и причиняемый ущерб от преступлений в сфере компьютерной информации все более возрастают, использование уголовно-правовых средств должно быть одним из наиболее эффективных способов борьбы с данным видом преступлений.

1 Кодекс об административных правонарушениях // Российская газета. - 2001. -31 декабря.

35

Существование уголовной ответственности за преступления в сфере компь- ютерной информации должна иметь не только карательную функцию, но и предупредительную. Помимо уголовной ответственности правонарушения в сфере компьютерной информации должны предусматривать иные виды от- ветственности, соразмерно тем последствиями и той общественной опасностью, которыми они характеризуются.

§3. Криминологическая характеристика преступлений в сфере компьютерной информации.

В настоящее время число компьютерных преступлений, предусмотренных статьями 272-274 УК РФ, на территории России стремительно возрастает. По данным ГИЦ МВД России, в 1997 году зарегистрировано 17 преступлений в сфере компьютерной информации, в 1998 году - 66, в 1999 году - 294, в 2000 году - 1426 , в 2001 году - 2075. По данным ИЦ ГУВД Нижегородской области о преступлениях в сфере компьютерной информации на территории Нижегородской области в 2000 году закончено расследованием 165 уголовных дел, из которых 28 направлено в суд; за 2001 год закончено 283 уголовных дела, а направлено в суд - 280. Размер причиненного материального ущерба преступлениями в сфере компьютерной информации на территории ГУВД Нижегородской области составил в 2000 году более 306 тыс. рублей, а по данным за 2001 год - более 220 тыс. рублей.

На основе изученных уголовных дел, по качественному составу преступлений в сфере компьютерной информации по Нижегородской области можно сказать, что большинство преступлений совершается в кредитно-финансовой сфере (52 %), второе место занимают подключения к сети Интернет с незаконным использованием чужих паролей и имен (32 %), значимую долю составляют преступления, совершенные с использованием мобильных телефонов-двойников (13 %) и иные (3 %).

Преобладание компьютерных преступлений, совершаемых в кредитно- финансовой и банковской сфере, является неблагоприятной тенденций на

36

протяжении нескольких лет. Одним из первых преступлений в России, где использовалась компьютерная техника для осуществления хищения денежных средств, было зарегистрировано в России в 1991 году. Преступная группа, имея доступ к компьютерным сетям Внешэкономбанка СССР, путем перечисления валютных средств на действующие счета граждан-клиентов банка, похитила 125,5 тысяч долларов США.

В 1993 - 1995 годах выявлено и пресечено более 300 попыток незаконного проникновения в компьютерную сеть ЦБ России для получения денежных средств. В июне 1993 года зафиксирован факт несанкционированного доступа в автоматизированную систему Главного управления ЦБ России одной из областей Российской Федерации, сопровождающийся уничтожением части информации о взаиморасчетах. Ежеквартально преступники внедряют в сети подразделений ЦБ России фиктивную информацию о платежах на десятки миллиардов рублей . Весной 1996 года преступники пытались внедрить в банковскую компьютерную систему Москвы поддельные векселя с реквизитами Московского сберегательного банка с тем, чтобы похитить 375 млрд. руб. и 80 млн. дол. США .

По приблизительной оценке экспертов, убытки от подобных деяний достигает 4 млрд. долларов в год. Так, в США Стэнли Рифкин, специалист по обслуживанию ЭВМ, расшифровал код, управляющий электронной системой банка в Лос- Анжелесе, и дал команду ЭВМ на перевод 10 млн. долларов на его текущий счет. В другом случае программист банка в Минеаполисе включил в программу АСУ этого банка команду, позволяющую ему брать из банка любую сумму. Его преступная деятельность оставалась незамеченной до тех пор, пока не вышла из строя ЭВМ.

Сегодня возрастает количество преступлений, совершаемых с использованием различного рода идентификаторов, в том числе и пластиковых

1 Аккуратное И., Батушенко А. Пираньи в компьютерных сетях // Эксперт. - 1996. - № 36. - 23 сентября. - С. 35.

2 Кочубей А. Скажи мне, какой у тебя банк… // Сегодня. - 1996. - 7 сентября.

37

карт, которые наносят ощутимый материальный ущерб. Например, в 2001 году сумма ущерба от подобных хищений составила 4 млн. рублей.

Следует также отметить, что в кредитно-финансовой и банковской сферах преобладает тенденция увеличение преступлений, совершенных при непосредственном участии самих служащих коммерческих банков, организаций, фирм и т. п.. Результаты исследований, проведенных с привлечением банковского персонала, показывают, что доля таких преступлений приближается к 70 % от общего количества преступлений в банковской сфере1. Например, по данным американской исследовательской фирмы Digital Research, опросившей 548 компаний, первое место занимают компьютерные преступления совершенные сотрудниками собственных фирм (57 %). Пользуясь практически неограниченными возможностями незаметно пользоваться компьютерами, эти люди наиболее эффективны в плане промышленного шпионажа. Вторыми «по вредности» являются также сотрудники фирм, но уже бывшие. Уволившиеся работники зачастую оставляют себе доступ к корпоративной сети. Хакеры, которых «рекламируют» как наиболее опасных преступников, заняли, по данным исследования, лишь третье место и составляют 21 %’.

Помимо «компьютерных преступлений» в мировой правовой практике различают так называемые «коммуникационные преступления». Подобное деление в нашем уголовном законодательстве отсутствует, а на практике возникают реальные уголовные дела, связанные с неправомерным доступом к компьютерной информации через радиоканал. Развитие телекоммуникаций - это еще одна проблема, которая имеет место на сегодняшний день и требует детального правового регулирования возникающих новых отношений, поскольку степень опасности данного вида преступности возрастает. Например, в последнее время от оперативных подразделений МВД и ФСБ поступает информация о том, что у организованных преступных групп становится популярным использование радиотелефонов-«двойников» при совершении

1 Алин Б. Защита компьютерной информации. - СПб.: БХВ-Петербург, 2000. С. 9.

38

преступлений, связанных с похищением людей, вымогательством, угрозой насилием или физического уничтожения, совершением мошеннических действий через подставные фирмы, организацией террористических актов, угонов автотранспорта и др., т. е. в тех случаях, когда преступники имеют надежную постоянную телефонную связь, как между собой, так и с объектом преступного посягательства, а местоположение их определить очень сложно. По оценкам экспертов из-за подобных преступных деяний отрасль мобильной связи во всем мире теряет ежегодно около 25 млрд. долл. По информации Акционерного общества «Московская городская телефонная связь» ущерб только в Москве оценивается в пределах 3-5 млрд. рублей в месяц2. В настоящее время законодательство Российской Федерации четко не определяет, распространяются ли статьи главы 28 УК РФ на информацию, находящуюся в сотовых и пейджинговых сетях? Этот вопрос, на наш взгляд, требует более тщательной правовой проработки, возможно, даже принятия отдельной статьи.

Другой тенденцией совершения преступлений в сфере компьютерной информации является увеличение преступлений с использованием возможностей, которые предоставляет своим пользователям сеть Интернет. По данным статистики Интернетом пользуется всего лишь 6 % населения планеты3. Все же ущерб, наносимый незаконными действиями преступников, очень велик. Порой он исчисляется миллионами долларов, если, например, речь об «электронной торговле», незаконном использовании электронных кредитных карт и т. п. Сеть Интернет не знает государственных границ, поэтому выявление и раскрытие подобных транснациональных преступлений сопровождается значительными трудностями.

1 Мытько И. Свои опаснее чужих // Комсомольская правда. - 2001. - 28 июня.

2 Пименов А.Н. Неправомерный доступ в телекоммуникационных сетях как посто янно развивающееся и многоликое явление // Информатизация правоохранительных сис тем. X Международная конференция. 22 - 23 мая 2001 года/ Сборник трудов. - Академия управления МВД России. Москва, 2001. - С. 263.

3 Вербов С Статистика знает все // Комсомольская правда. - 2001. - 21 июня.

39

Возможности, предоставляемые Интернетом, очень широки. Например, в 2001 году Всемирный банк решил радикально изменить место проведения третьей ежегодной Конференции по вопросам европейского экономического развития, перенеся ее из Барселоны в Интернет. На такой шаг Всемирный банк вынужден был пойти из-за постоянных угроз противников глобализации, устраивающих регулярно настоящие побоища и погромы. Но все же банк слишком понадеялся на безопасность Интернет: профессиональный хакер может взломать даже очень хорошо защищенную интернет-конференцию и полностью блокировать ее работу1.

Сеть Интернет можно рассматривать не только как инструмент совершения компьютерных преступлений, но и как среда для ведения разнообразной преступной деятельности. Однако наибольший интерес сеть Интернет представляет именно как орудие для совершения преступлений (обычно в сфере экономики и финансов). В самом простом варианте эти преступления связаны с нарушением авторских прав. К такого рода преступлениям, в первую очередь, относится незаконное копирование и продажа программ, находящихся на серверах компаний, которые являются владельцами этих программ.

Во вторую группу преступлений можно включить нелегальное получение товаров и услуг, в-частности, бесплатное пользование услугами,- предос- -тавляемыми за плату различными телефонными компаниями, за счет отличных знаний принципов функционирования и устройства современных автоматических телефонных станций. Другие способы незаконного пользования услугами основываются на модификации сведений о предоставлении этих услуг в базах данных компаний, которые их оказывают. Информация о предоставлении какой-то услуги в кредит может либо просто уничтожаться, либо изменяться для того, чтобы потребителем уже оплаченной кем-то услуги стал член преступного сообщества. Дело в том, что ввиду высокой трудоемкости оценки степени доверия к потенциальному получателю банковского

1 Гордова Е. Банкиры бегут в Сеть // Комсомольская правда. - 2001. - 26 июня.

40

кредита, в большинстве банков промышленно-развитых стран эта операция автоматизирована. В секрете держатся не только исходные данные для принятия подобных решений, но и сами алгоритмы их выработки. Нетрудно догадаться, какими могут быть последствия, если такие алгоритмы знают посторонние лица, которые могут оказаться в состоянии модифицировать их так, чтобы они вырабатывали благоприятные для этих лиц решения.

Дополнительная сфера компьютерных преступлений, совершаемых через Интернет, появилась с возникновением электронных банковских расчетов, т. е. с введением в обращение так называемой «электронной наличности». Есть разные способы ее хищения, но все они основываются на модификации информации, отображающей электронную наличность. Информация о наличности, имеющейся на счетах клиентов, переписывается на счета преступников. Изменения также могут быть внесены в сам алгоритм, определяющий правила функционирования системы обработки информации об электронных банковских расчетах. Например, меняется курс валют, чтобы для клиентов банка валюта пересчитывалась по заниженному курсу, а разница зачислялась на счета преступников.

Другая особенность сети Интернет, которая привлекает преступников — возможность осуществлять в глобальных масштабах информационно- психологическое воздействие на людей. Преступное сообщество весьма за- интересовано в распространении своих доктрин и учений, в формировании общественного мнения, благоприятного для укрепления позиций представителей преступного мира, и в дискредитации правоохранительных органов. Например, в последнее время появилось новое достаточно сложное понятие «информационная война». В него входят любые действия, направленные на завладение важной информацией, предоставлением противоборствующей стороне ложной информации, распространение слухов, дискредитирующей информации, информации, ставящей под сомнение идеологические и духовные принципы, распространение угроз и т. д. Сюда же входят действия, осу- ществляемые с целью нарушения нормального функционирования информа-

41

ционных систем, затруднения работы для санкционированных пользователей, разрушения банков и баз данных, незаконного проникновения в информационные сети, уничтожение информации, содержащейся в компьютерах и информационных сетях.

Например, китайские хакеры подвергли массированной атаке американские сайты в Интернете. Цель - месть за гибель китайского летчика при столкновении с разведывательным самолетом США. В ответ на это американские хакеры повредили в Китае около 1500 национальных вебсайтов, из которых 75 % принадлежало правительству и научным институтам1. Или, к примеру, Куба высказала намерение начать информационную войну против Америки и атаковать ее компьютерную сеть, разрушив систему управления войсками в этом регионе2.

Опасность преступлений в сфере компьютерной информации многократно увеличивается, когда преступник получает доступ к автоматизированным банкам данных, обслуживающим системы национальной обороны и атомной энергетики. Преступники, ставящие перед собой задачу несанкционированного проникновения в автоматизированные банки данных, как правило, склонны к манипулированию или уничтожению хранящейся в них информации. Яркая иллюстрация к этому - пример с группой хакеров «Банда 414», возглавляемой Нилом Патриком. После того, как ФБР напало на след этой группы «электронных диверсантов», оказалось, что ее члены обеспечили себе несанкционированный доступ более чем к 50 автоматизированным банкам данных, включая Лос- Аламосскую ядерную лабораторию, крупный раковый центр и другие жизненно важные объекты США.

Сегодня на многочисленных хакерских серверах и сайтах в Интернете открыто размещаются программы для «взлома» и компьютерных атак. Это провоцирует подростков и неуравновешенных лиц, асоциальных личностей

Лесков С. Кибервойна на байтах и битах // Комсомольская правда. - 2001. -23 июня.

2 Рейтаров И. Куба не хочет атаковать американские компьютеры // Комсомольская правда. - 2001. - 21 июня.

42

копировать такие программы и применять их, подчас лишь из хулиганских побуждений и озорства.

Результаты изучения уголовных дел по преступлениям в сфере компьютерной информации показывают, что возраст лиц, совершающих преступление, колеблется от 18 до 40 лет. Практически все преступные деяния были совершены мужчинами, руководствовавшимися в своих действиях, в основном, корыстными мотивами (95 %): бесплатно воспользоваться сотовой связью, либо быстро и много «заработать» денег, путем совершения финансовых махинаций и т. д. Следует отметить также, что основную долю преступников, совершающих компьютерные преступления в организациях и фирмах, составляют лица, являющиеся либо сотрудниками данных организаций, причем занимающих самые различные должности от главного бухгалтера до ночного сторожа (45 %), либо бывшими сотрудниками (23 %), которым при увольнении остаются известными, например, пароли и логины, закрепленные за фирмой при доступе к сети Интернет.

По данными эмпирического исследования, проведенного А.Ю. Головиным, возраст преступников колеблется от 15 до 45 лет, а положение в обществе — от школьника и студента до сотрудника, занимающего ответственную должность. Большинство лиц составляют молодые люди от 16 до 30 лет. В 78,4 % случаев совершения компьютерных преступления, преступниками являются мужчины. Среди субъектов преступления преобладают лица с высшим и неоконченным высшим техническим образованием - 52,9 %. А.Ю. Головин утверждает, что довольно часто эти преступники совершают свои деяния, не преследуя материальных выгод, руководствуясь желанием утвердить свое «я», отомстить, «пошутить» .

Следующей тенденцией, которая наблюдается за последние годы - это расширение круга лиц, совершенствование уровня их профессионализма. В

1 Головин А.Ю. Классификация и характеристика лиц, совершающих преступления в сфере компьютерной информации // Организованная преступность, миграция, политика/ Под ред. проф. А.И. Долговой. - М., Российская криминологическая ассоциация, 2002. -С. 110-111.

43

научных кругах обсуждается проблема, что среди увлеченных компьютерной техникой лиц все больше встречается молодежи, об этом говорили, например, А.В. Баженов, Д.Е. Проценко на одной из международных конференций по проблемам компьютерной преступности1. Уже в общеобразовательных школах школьники получают навыки работы с ЭВМ, работа с использованием ЭВМ на сегодняшний день характеризуется общедоступностью, появились возможности приобретения личного компьютера, дети более быстро адаптируются к ЭВМ, повышают свой уровень при работе с компьютерами, начиная от компьютерных игр и заканчивая азами программирования. Виртуальная легкость совершения ряда видов несанкционированного доступа, популярный ореол «хакера» прямо- таки провоцирует несовершеннолетних на совершение преступления.

Наблюдается более широкое общение между хакерами. Например, в России хакеры объединены в региональные группы, издают свои электронные средства массовой информации (газеты, журналы, электронные доски со срочными объявлениями), проводят электронные конференции, имеют свой жаргонный словарь, который постоянно пополняется и распространяется с помощью компьютерных бюллетеней, в которых также имеются все сведения необходимые для повышения мастерства начинающего - методики проникновения в конкретные системы и взлома систем защиты. Российские хакеры тесно контактируют с зарубежными, обмениваясь с ними опытом по глобальным телекоммуникационным каналам.

За последнее время намечается также тенденция к тому, что все большее количество преступлений в сфере компьютерной информации осуществляться преступными группировками. Более того, известны случаи, когда преступными группировками нанимались бригады из десятков хакеров, которым предоставлялось отдельное охраняемое помещение, оборудованное по последнему слову техники, для того чтобы они осуществляли хищение

1 Компьютерная преступность: состояние, уголовно-правовые аспекты борьбы и криминологические меры профилактики // Юридическое образование и наука. - 1999. -№ 1.- С. 40.

44

крупных денежных средств путем нелегального проникновения в компьютерные сети крупных коммерческих банков.

По данным криминологического исследования, проведенного американской целевой группой по изучению российской преступности (комиссия Вильяма Г. Вебстера), с переходом во второй половине 1996 года отечественной банковской системы на электронный способ взаиморасчетов и массовое внедрение в практику обслуживания населения банковских карточек, наблюдается быстрый рост криминальной активности в том числе и по неправомерному доступу к компьютерной информации1. Авторы прогнозируют, что усиление правоохранительной системы, противостоящей организованной преступности, будет стимулировать процесс развития коррумпированных связей организованных групп и сообществ в целях повышения безопасности от уголовного преследования. В 2005 году должна быть в основном завершена интеграция российской преступности в мировую, что предопределяет распространение в России различных видов организованной преступности, в том числе связанных с подделкой электронных государственных ценных бумаг, подделкой пластиковых карточек, являющихся платежными

2

средствами, компьютерным мошенничеством .

Надо признать, что достаточно большое количество преступлений в сфере компьютерной информации остается нераскрытым. Например, в США в 85 % случаев несанкционированного проникновения правонарушителей к информационно-вычислительным системам злоупотребления остаются не- раскрытыми. На это есть масса причин, начиная от специфики и трудности выявления преступления и заканчивая сложностью доказывания.

Не секрет, что в Российской Федерации в целом компьютерная преступность имеет высокую степень латентности в связи с общей криминогенной обстановкой и отсутствием до недавнего времени соответствующих

Преступность в России // Аналитические обозрения Центра Комплексных Социальных Исследований и Маркетинга. - М, 1997. - С. 43.

2 Российская организованная преступность // Доклад Центра Стратегических ис- следований. - М., 1997. - С. 21.

45

норм уголовного законодательства, а также специфичностью самой компьютерной сферы, требующей специальных познаний.

Хотелось бы отметить, что, на наш взгляд, к статистике о преступлениях в сфере компьютерной информации по России следует относиться осто- рожно. Дело в том, что долгое время в правоохранительных органах не было полной ясности относительно параметров и критериев, по которым следовало фиксировать совершенные компьютерные преступления, а также попытки их совершить. Российским правоохранительным органам становятся известны не более 5 - 10 % совершенных компьютерных преступлений. Их раскрываемость не превышает 1 - 5 %.

Латентность преступлений в сфере компьютерной информации может иметь несколько причин. Например, сложность в установлении самого события преступления. Хищение информации может долгое время оставаться незамеченным, поскольку зачастую данные просто копируются. Расследование может быть затруднено тем, что идентифицировать компьютер, с помощью которого были внесены изменения в информацию, хранящуюся в банке данных, практически невозможно. Да и сам поиск такого компьютера может привести к разрушению ряда других программ и причинению крупного ма- териального ущерба. Кроме этого, преступники, будучи высококвалифицированными специалистами, в случае необходимости могут применить эффективные меры для сокрытия следов проникновения в банк данных ЭВМ. В качестве примера можно рассмотреть следующую ситуацию. На Новокуйбышевском нефтеперерабатывающем заводе Самарской области на базе компьютеров действует программа «Сбыт». В соответствии с этой программой в нее закладывается вся информация о договорах и контингентах по поставке нефтепродуктов. При запросе оператора ЭВМ выдает данные о наличии договора, а в случае необходимости - документы (товарно-транспортные накладные, пропуска и т. д.). Использование подобной программы позволяет оптимизировать процесс оформления договора поставки. Однако нелояльный оператор может ввести в ЭВМ ложные сведения о несуществующем по-

46

лучателе продукции, и когда на складе запросят в банке данных подтверждение о получателе, то ЭВМ выдаст подтверждение и необходимую документацию. Впоследствии, после получения продукции, оператор удаляет из памяти ЭВМ сведения о получателе и, таким образом, ликвидирует следы ввода ложной информации.

Следующей причиной латентности может быть нежелание потерпевших сообщать о совершенных преступлениях. Жертвы предпочитают огра- ничиваться своими силами, поскольку убытки от расследования могут оказаться выше суммы причиненного ущерба (изъятие файлового сервера для проведения экспертизы может привести к остановке работы на срок до двух месяцев, что не приемлемо для организации), или руководители опасаются подрыва своего авторитета в деловых кругах и, в результате, потери большого числа клиентов, или неминуемого раскрытия в ходе судебного разбирательства системы безопасности организации, выявления собственной незаконной деятельности.

Следует также указать, что на практике у следователей зачастую воз- никают значительные затруднения при проведении следственных действий по обнаружению, изъятию, фиксации и исследованию компьютерной информации. Причиной этого является отсутствие системного подхода к исследованию информационных следов преступления, что приводит к необоснованному прекращению уголовных дел или отказу в возбуждении уголовного дела, неполному возмещению материального ущерба и невозможности привлечения к ответственности всех лиц, причастных к преступлению. Также нередко наблюдаются у следователей как практика расследования преступлений, совершаемых с использованием компьютерной техники, так и знаний самой техники.

Еще одной причиной латентности может быть то, что в силу сложности обнаружения следов преступления, потерпевшие о них не знают. Напри- мер, в результате исследований, проведенных различными обществами бухгалтеров, аудиторов, ревизоров и ассоциациями адвокатов в США, Велико-

47

британии, Германии, Австралии, были выявлены многочисленные случаи. На основании своих данных исследователи предположили, что один из каждых сорока компьютерных центров подвержен компьютерным преступлени-

1 ям .

У нас в стране проблема латентности в значительной степени связана с объективными возможностями правоохранительных органов обеспечить со- ответствующую реакцию на объем информации о реальной преступности. Чем более ограничены эти возможности, тем, соответственно, более значительную часть сигналов о преступлениях правоохранительные органы вынуждены от себя отталкивать, оставляя ту или иную часть преступности в «латентной тени». Так, например, резкий всплеск регистрируемой преступности в 1989-1992 годах повысил нагрузку на правоохранительные органы до таких пределов, что они вынуждены были начать ее регулировать, в основном за счет искусственной латентности, реагируя в первую очередь на наиболее опасные преступные проявления и «отсекая» из сферы своего воздействия менее опасные деяния2.

К обстоятельствам, существенно искажающим реальную и целостную картину преступности в стране, надо добавить и отсутствие системы единого учета преступлений: так, деяния, регистрируемые по линии Министерства обороны и ФСБ, не попадают в единую государственную статистику и остаются вне сферы общего анализа преступности.

На наш взгляд, никто в мире не знает полной картины компьютерной преступности. Имеющиеся сообщения о компьютерных преступлениях, со- вершенных как в России, так и за ее пределами отрывочны.

Представляется, что в ближайшие годы следует ожидать дальнейшего роста все более «хитроумных» преступлений. Проблемы, создаваемые данным видом преступлений, в будущем осложняться. Доступность в приобре-

Зибер У. Международный справочник по компьютерной преступности. - Фрайбургский Университет (ФРГ), 1986. - С. 234.

2 Преступность в России. Аналитические обозрения Центра Комплексных Социальных Исследований и Маркетинга. - С. 29.

48

тении модемов и терминалов, международная компьютерная сеть и все уве- личивающаяся увлеченность вычислительной техникой среди молодежи от- крывают большой группе лиц возможность совершения транснациональных компьютерных преступлений. Произойдут изменения и в характере жертв. Большое количество жертв, на наш взгляд, появится среди владельцев пер- сональных ЭВМ, состоящих в различного рода сетях.

Основной причиной совершения и распространения компьютерных преступлений, на наш взгляд, является повышенная ценность информации, которая на сегодняшний день является основой формирования новых информационных отношений, основой общественного развития, нового информационного общества, вхождения России в мировое информационное сообщество.

К основным условиям, способствующим совершению компьютерных преступлений, являются: широкое распространение компьютерных технологий (начиная от сферы промышленности и бизнеса и заканчивая использованием персональных домашних компьютеров); доступность ЭВМ не только организациям и фирмам, но и рядовым гражданам; широкомасштабное обучение населения навыкам программирования и использования компьютерной техники; развитие современных телекоммуникационных сетей, всеобщая доступность к глобальной сети Интернет.

Совершая преступления в сфере компьютерной информации, преступники преследуют различные цели. Наиболее типичными из них, на основе рассмотренных уголовных дел, можно выделить: подделка отчетов и платежных ведомостей; фальсификация данных о платежах; хищение из денежных фондов; перечисление денег на фиктивные счета; совершение покупок с фиктивной оплатой и т. д.

Причины, побудившие к совершению преступления в сфере компьютерной информации также разнообразны. Первое место среди них занимает корысть (72 %), заключающаяся в получении каких-либо материальных благ, использование возможности бесплатно воспользоваться сотовой связью и т.

49

п. На втором месте - месть (13 %). Обычно она исходит со стороны бывших сотрудников организации, которые не удовлетворены обстоятельствами своего ухода и таким образом пытаются отомстить. Третьей причиной являются хулиганские побуждения (8 %). Определенную часть причин составляет про- явление своих способностей, самовыражение (3 %), то есть желание преступника доказать свою состоятельность как профессионала, и 2 % совершенных преступлений составляют иные причины.

В юридической литературе выделяют следующие наиболее распространенные мотивы совершения компьютерных преступлений:

1) корыстные мотивы - 66 %; 2) 3) политические мотивы - 17 % (шпионаж; преступления, направленные на подрыв финансовой и денежно-кредитной политики правительства; на дезорганизацию валютной системы страны; компьютерный терроризм и 4) т. д.);

3) исследовательский интерес - 7 %; 4) 5) хулиганские побуждения, озорство - 5 %; 6) 7) месть-5%’. 8) Для обеспечения определенного уровня информационной безопасности личности, государства, общества должны быть разработаны и предприняты соответствующие меры предупредительного характера. Международный опыт борьбы с компьютерными преступлениями и уже имеющийся отечественный опыт свидетельствуют о том, что одним из приоритетных направлений решения задачи эффективного противодействия преступной деятельности является активное использование различных мер профилактического характера. Большинство специалистов прямо указывают на то, что предупредить компьютерное преступление всегда намного легче и проще, чем его раскрыть и расследовать.

Введение уголовной ответственности несомненно играет очень важную роль в предупреждении преступлений в сфере компьютерной информа-

50

ции. Но как показывают результаты опроса граждан, страх перед существованием уголовной ответственности за рассматриваемые деяния испытывают не все. Опрашиваемые объясняют это либо сложностью выявления, раскрытия и доказывания данного компьютерного преступления, либо профессионализмом преступников, тщательно скрывающих следы преступления, либо несовершенством юридической нормы, а также иными причинами. При изучении обвинительных заключений по ряду уголовных дел, прослеживалась картина явного искусственного «притягивания» деяний под квалификацию по статьям главы 28 УК РФ. Поскольку отсутствуют официальные руководящие разъяснения законодателя, следователю и оперативным работникам предоставляются широкое поле варьирования трактовки и квалификации деяний.

Таким образом, можно сказать, что юридические нормы, предусматривающие уголовную ответственность за совершение преступлений в сфере компьютерной информации, не выполняют предупредительной функции. В чем может состоять причина такой ситуации? В данном случае можно возразить и отказаться от введения уголовного преследования, в силу того, что нормы не работают. Но мы придерживаемся позиции, что основную проблему составляет разработка системы защиты информации, четкость уголовно-правовых норм и наличие соответствующих разъяснений законодателя.

Под системой защиты информации принято понимать организованную совокупность специальных органов, средств, методов и мероприятий, обес- печивающих защиту информации от внутренних и внешних угроз2.

Например, по данным аудиторской комиссии Великобритании почти 60 % организаций, зависящих от информационной технологии, не имеют вообще никаких систем безопасности, защищающих компьютеры. Большинство фирм не производит даже внутренней ревизии своей деятельности, хотя

См.: Проблемы борьбы с компьютерной преступностью // Борьба с преступностью за рубежом. - М.: НИИ МВД РФ. - 1988. - № 4. - С. 3 - 5.

2 Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов не- профильных вузов. - М: Международные отношения, 2000. - С. 8.

51

по оценкам экспертов 25 % компьютерных преступлений совершается именно внутри организации их собственными сотрудниками1.

В юридической литературе выделяется несколько групп профилактических мер по предупреждению компьютерной преступности - это правовые и организационно-технические меры. Данной классификации придерживаются В. Федоров, И.А. Климов, Г.Л. Борисов, Д.А. Литваковский, Н.В. Бу-гель и др . Они полагают, что в первую группу должны входить меры по усовершенствованию законодательства путем введения норм, устанавливающих уголовную и гражданско-правовую ответственность за совершение компьютерных преступлений. Ко второй группе авторы относят меры, обеспечивающие базовые принципы компьютерной безопасности (целостность, конфиденциальность, доступность), а, в частности, подбор программистов и операторов ЭВМ, организация охраны рабочих мест и помещений, в которых находятся компьютеры, разработка программных средств защиты и т. д.

Иную классификацию профилактических мероприятий приводят B.C. Пущин, Ю.М. Батурин, A.M. Жодзишский . Авторы разделяют меры на: правовые, организационные, технические. Подразумевая под каждым видом самостоятельные комплексы способов и методов их осуществления.

Мы также предлагаем выделять три основных группы мер предупреждения с небольшим уточнением: правовые, организационные и программно-технические. В комплексе данные меры определяют направления обеспечения информационной безопасности в целом на государственном уровне, на уровне предприятия и организации, а также на уровне отдельной личности.

В частности, к правовым мерам следует отнести специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе. Как указала И.Л. Бачило, развитие телеком-

1 International Security Review (Великобритания). - 1998. -November/December.

2 См.: Федоров В. Компьютерные преступления: выявление, расследование и про филактика // Законность. - 1994. - № 6. - С. 46; Климов И.А., Борисов Г.Л., Литваковский Д.А. Предупреждение, выявление и раскрытие хищений, совершаемых с использованием компьютерной информации: Лекция. - М.: Юрид. ин-т МВД РФ, 1988. - С. 19 и др.

52

муникационных и компьютерно-информационных технологий играет ключевую роль в обеспечении условий формирования информационного общества и здесь должна быть ясность в вопросах: какую роль играет право, в чем его возможности и какие имеются формы воздействия на упорядочение про-цесса . Данная деятельность включает в себя разработку норм, устанавливающих ответственность за компьютерные правонарушения, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. В частности, введение в Уголовный кодекс РФ статей, предусматривающих ответственность за преступления в сфере компьютерной информации, относится к превентивным мерам. Поскольку совершенствование уголовного законодательства играет не последнюю роль в системе предупреждения преступления. Как совершенно справедливо отметила Е.А. Рапопорт, воздержание от совершения преступления под воздействием уголовно-правового запрета есть проявление не только регулятивной, но и профилактической функции уголовного права. Профилактическая функция начинает осуществляться с момента закрепления в законе норм, определяющих, какие общественно опасные деяния являются преступными, и устанавливающих уголовную ответственность за их совершение с применением наказания .

Правовые акты в области защиты информации можно разделить на международные (договоры, конвенции, декларации, патенты и т. д.) и внут- ригосударственные. Внутригосударственные, в свою очередь, на государст- венные (конституция, законы (кодексы), указы, постановления) и ведомственные (приказы, руководства, положения, инструкции). Следует отметить, что современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его

1 См.: Пущин ВС. Указ. работа. - С. 6; Батурин Ю.М., Жодзишский A.M. Указ. ра бота.-С. 71.

2 Бачило И.Л. Потенциал законодательства в процессах становления информацион ного общества // Информационное общество. -М., 1999. - № 3. - С. 42.

3 Рапопорт Е.А. Уголовно-правовые основы предупреждения преступлений: Авто- реф. дис… канд. юрид. наук/ Ставропольский госуниверситет. - Ставрополь, 2001. - С. 13.

53

состава и содержания, соотнесения его со всей системой законов и правовых актов РФ. И в этой связи, как отмечают некоторые авторы (А.А. Стрельцов1, Т.А. Полякова ), немаловажным вопросом является обеспечение целостности информационно-правового пространства в нашей стране, поскольку он тесно связан с обеспечением информационной безопасности субъектов Российской Федерации. Как указывает Т.А. Полякова, современное состояние единого правового пространства РФ в целом и в области информационной безопасности в частности характеризуется дезинтеграцией правовой системы, дисбалансом отраслей и институтов права, наличием противоречий между нормативными предписаниями федерального законодательства и законодательства субъектов РФ.

К организационным мерам предупреждения преступлений в сфере компьютерной информации следует отнести деятельность по осуществлению мероприятий, исключающих и существенно затрудняющих совершение преступлений. К основным организационным мероприятиям можно отнести: организация режима и охраны; организация работы с сотрудниками; организация использования технических средств сбора, обработки, накопления и хранения информации; организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты; организацию работы по проведению систематического контроля за работой персонала с охраняемой информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Одним из важнейших организационных мероприятий является создание специальных

Стрельцов А.А. Направления совершенствования правового обеспечения инфор- мационной безопасности Российской Федерации // Информационное общество. - 2001. - №6.-С. 15-22.

54

штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Программно-технические меры включают в себя использование совокупности специальных программных и технических средств и мероприятий в целях защиты компьютерной информации. Данные меры защиты являются одними из надежных средств, необходимо постоянно быть в курсе всех новейших технологий программ-защит, поскольку преступники для проникновения к недоступной информации или в сеть также используют специальные программы. Например, каждые двадцать секунд в Соединенных Штатах происходит преступление по неправомерному доступу к информации с использованием программных средств. В более 80 % компьютерных преступлений, расследуемых ФБР «взломщики» проникают в атакуемую систему через глобальную сеть Интернет. Последние оценки потерь от хищения или повреждения компьютерных данных исчисляются в 100 млн. долларов за год.

Надо отметить, что любая система компьютерной защиты информации не является полностью безопасной. Всегда найдется лицо способное взломать защитные механизмы компьютера. Методы защиты компьютерной информации должны быть оптимальными, естественно, существенную роль при этом играет степень изолированности компьютера от внешнего мира. Конечно же, с одной стороны, средств обеспечения защиты никогда не бывает слишком много в том смысле, что защиту всегда можно тем или иным способом преодолеть (просто каждый раз, когда повышается уровень защиты, приходится придумывать более изощренный способ ее обхода). С другой стороны, чем сильнее защита, тем больше возникает неудобств и ограничений. Например, за счет жесткого контроля за доступом к компьютерной системе с помощью паролей, несомненно, снижается вероятность их подбора

’ Полякова Т.А. Правовые аспекты обеспечения информационной безопасности в субъектах Российской Федерации // Бюллетень Министерства юстиции Российской Федерации. - 2001 .-№ 7. - С. 60 - 61.

55

взломщиком, однако одновременно это заставляет рядовых пользователей прилагать значительно больше усилий для придумывания и запоминания па- ролей. А установка строгих ограничений на доступ к информации создает дополнительные трудности при совместной работе с этой информацией. Поэтому идеальной и универсальной системы защиты информации не существует.

Д.П. Зегжда, A.M. Ивашко указывают еще на один немаловажный фактор обеспечения защиты компьютерной информации - это знание истории нарушений безопасности вычислительных систем и понимание причин, по которым они были успешно осуществлены. По словам авторов, перспективным направлением исследований в этой области является анализ успешно реализовавшихся угроз безопасности (атак) с целью их обобщения, классификации и выявления причин и закономерностей их появления и существования. Проведение такого анализа позволит при разработке и создании защищенных систем сконцентрировать основные усилия именно на устранении этих причин путем исправления в механизмах защиты выявленных недостатков, что позволит эффективно противостоять угрозам безопасности1.

По данным некоторых исследователей, основной удельный вес форм защиты компьютерной информации приходится на правовые средства - 60 %, на криптографические - 20 %, на программные - 14 % и на аппаратные и иные физические - 2 %2.

Мы предлагаем понимать под предупреждением преступлений в сфере компьютерной информации комплекс правовых, организационных и технических мер, направленных на исключение либо затруднение доступа к содержанию информации, содержащейся на машинных носителях, имеющей собственника, установившего порядок ее создания (генерации), обработки,

Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - С. 121.

2 Литвинов А.В. Организационно-правовые вопросы охраны информации в вычис- лительных системах: Дис… канд. юрид. наук/ Институт государства и права АН СССР. - М, 1989.-С. 107.

56

передачи и уничтожения, с целью хищения, блокирования, модификации, копирования или уничтожения.

Надо отметить, что важной проблемой, затрудняющей борьбу с данным видом преступности, является подготовка кадров правоохранительных органов. В процессе расследования преступлений подобного рода возникает постоянная надобность в консультации специалистов в области компьютерных технологий. Но прежде всего сам следователь должен обладать определенными навыками (знать терминологию, составные части компьютера и их функции, уметь работать на компьютере и т. д.), поскольку без этого говорить об успешном расследовании очень трудно.

Необходимо создать и соответствующую материальную базу, для чего целесообразно подготовить программу по техническому дооснащению под- разделений правоохранительных органов современной компьютерной техникой, не уступающей той, которая имеется у преступников. Несмотря на значительные финансовые трудности, в настоящее время идет активный процесс компьютеризации следственного аппарата органов внутренних дел. Многие следственные управления МВД-УВД обладают высококлассными специалистами в области информатизации, часть которых имеет помимо технического юридическое образование.

Зарубежный опыт в этом плане имеет некоторые более позитивные тенденции. Например, в Академии ФБР в США уже несколько лет читается спецкурс о компьютерных преступлениях, а в каждом отделе ФБР есть специалист в этой области. В Канаде создана и успешно функционирует созданная в рамках специального отдела группа специалистов по компьютерным преступлениям, которая занимается их расследованием на территории всей страны. Примечательным является и опыт компании Microsoft. Сотрудники данной компании участвуют в выявлении и раскрытии компьютерных преступлений. В этой же компании существует и действует на постоянной основе программа подготовки кадров для работы в правоохранительных органах

57

по преступлениям в сфере компьютерной информации, как в рамках обучения, так и повышения квалификации.

В нашей стране также ведется работа по подготовке и обучению сотрудников следственных и оперативных подразделений раскрытию компьютерных преступлений. Еще в недавнем прошлом, например, в 1993 году на одном из семинаров по компьютерной преступности, участники семинара не одобряли мысли о том, чтобы вести подготовку специалистов по данному профилю в юридических учебных заведениях - их профили несовместимы. То сегодня разработаны специальные учебные курсы, программы. Так, в ноябре 2000 года на базе Волгоградского юридического института предусмотрено повышение квалификации следователей, специализирующихся на расследовании преступлений в сфере компьютерной информации. В Московском институте МВД России создана кафедра информационной безопасности, осуществившая в 1999 году второй выпуск слушателей. По данной тематике проводятся семинары, в которых помимо ведущих российских специалистов, участвуют сотрудники правоохранительных органов зарубежных стран.

Хотелось бы отметить, что помимо традиционных мер безопасности в технической сфере необходимо ставить в повестку дня проблему соответст- вующей подготовки сотрудников служб безопасности. Речь идет о подготовке специалистов в области компьютерной безопасности, основной функцией которых должно стать выявление, предупреждение и пресечение деятельности по нанесению информационного и финансового ущерба. В этой связи, например, можно предложить создание информационно-консультативных центров по информационной безопасности, которые бы занимались вопросами разработки специальных программ, внедрением этих программ, а также занимались бы консультацией сотрудников предприятий по вопросам компьютерной безопасности. В частности, в банках нашей страны в последнее время начали обращать внимание на вопросы переподготовки кадров в области информационной безопасности. Например, в приказе Центрального

58

банка РФ от 3 апреля 1997 года № 02-144 «О введении в действие временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации» сказано, что администратор информационной безопасности обязан проводить занятия с сотрудниками, обрабатывающими на средствах вычислительной техники электронные платежные документы, с целью повышения их профессиональной подготовки в области защиты информации.

59

ГЛАВА II. КРИМИНАЛИСТИЧЕСКАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ, СОВЕРШАЕМЫХ В СФЕРЕ КОМПЬЮТЕРНОЙ

ИНФОРМАЦИИ

§ 1. Формирование модели преступления, совершаемого в сфере компьютерной информации.

Для решения поисково-познавательных задач по выявлению и раскрытию преступления нужна криминалистическая модель минувшего события. Во- первых, модель - это материальный или мыслительный (идеальный) аналог, заместитель объекта, который в данный момент субъектом познания не- посредственно не ощущается1; во-вторых, модель (от французского слова - modele) - образец, дающий представление о каком-либо объекте и процессе наглядное представление .

Криминалистическая модель представляет собой искусственно созданную систему, воспроизводящую с определенной степенью сходства заменяемый ею объект, изучение и проверка которой позволяет получить новые знания об оригинале и использовать их для решения поисковых, познавательных, идентификационных, управленческих и иных задач в уголовном процессе, а также научных криминалистических исследованиях .

Криминалистические модели подразделяются на материальные и мыслительные.

В поисково-познавательной деятельности, как правило, используются мыслительные модели, которые дают представления о задачах, подлежащих выяснению, будущих действиях, дальнейших шагах по пути познания. Данные модели предстают перед мысленным взором субъектов поисково-познавательной деятельности в качестве суждений, образов, давая «зеленую улицу» творческому воображению и целенаправленной деятельности.

1 Образцов В.А. Криминалистика. Учебное пособие. - М: «Юрикон», 1994. - С. 68.

2 Словарь иностранных слов. ГИИИНС, 1995. - С. 31.

3 Образцов В.А. - Указ. работа. - С. 68.

60

Мыслительная модель, как и материальная, является системой и состоит из мыслительных компонентов. В познании она выполняет функцию отражения, интерпретации фактов, наглядного выражения представления о минувшем событии преступления. Мысленная модель может быть выражена материализовано в виде схемы, рисунка, формулы, чертежа и описания. Важной особенностью данной модели, как формы мышления, является ее свойство быть аналогом еще непознанных обстоятельств, скрытых связей, не выявленных отношений .

Криминалистическую модель минувшего события можно оценивать с того момента, с которого начнется выявление и раскрытие преступления или от исходного времени, когда зарождается преступная деятельность до ее развития и угасания.

В методологическом отношении диссертант стоит на позициях систем-но- деятельностного подхода, который трактует содержание минувшего события, как систему деятельности одного человека или группы людей, которые замыслили, подготовили, выполнили, скрыли преступление, а также организовывают и осуществляют противодействие расследованию. С этой позиции преступление всегда выступает как реально существующая деятельность по замышлению, подготовке, выполнению и сокрытию противоправного акта и такую деятельность можно назвать преступной.

Преступная деятельность является разновидностью человеческой деятельности. По существу она отличается от других видов деятельности человека в связи с тем, что протекает в условиях ограниченного времени и нервно-психического напряжения, связана с преодолением различных отрицательных эмоциональных состояний (волнение, страх, сомнение, стремление скрыться от ответственности). Преследуя цель остаться безнаказанными, продлить преступную деятельность и воспользоваться ее результатами, преступники тщательно маскируют свои следы, прибегают к созданию мнимого алиби, фабрикуют лжедоказательства и т. д.

1 Образцов В.А. - Указ. работа. - С. 70.

61

Во всяком волевом поведении, каким бы продолжаемом оно не было, можно выделить несколько этапов, связанных с тем, что прежде чем действовать, человек думает, каким путем, каким способом он может достигнуть своего результата. Это подготовительный этап, включающий определение целей, борьбу мотивов, оценку обстановки, выбор средств, планирование действий, связанных с завершением принятия решения. Затем следует этап исполнения принятого решения.

Таким образом, преступная деятельность характеризуется осознанностью, целенаправленностью, длительностью и плановостью. Она имеет две стороны: внешнюю и внутреннюю. Внешняя - это реальное поведение преступников, а внутренняя - психическая деятельность и механизмы, которые дают направление реальным действиям. С точки зрения уголовно-правовой оценки преступление может рассматриваться следующим образом:

  • преступным может быть вся деятельность в целом;
  • преступными могут оказаться лишь некоторые действия, осуществляющие в рамках деятельности;
  • преступными могут быть отдельные фрагменты в целом правомерной деятельности.
  • Безусловно, что разрешение этих противоречий должно происходить в области прикладных криминалистических разработок, а через них оказывать положительное влияние на практику, в которой эти противоречия проявляются и затрудняют решение практических задач выявления, раскрытия и доказывания преступлений.

Среди многих ученых-криминалистов, исследовавших проблему преступной деятельности, первое место принадлежит профессору Г.Г. Зуйкову1. Именно он впервые показал, что способ совершения преступления может быть адекватно понят и выражен абстрактно, как категория науки, исходя из анализа деятельности преступников. Ему же принадлежит заслуга обоснова-

1 См.: Зуйков Г.Г. Розыск преступников по признакам способа совершения преступ- ления. - М, ВШ МВД СССР, 1969.

62

ния закономерностей детерминации способов совершения, их вариативности и устойчивости.

Введение в это время в криминалистику понятия деятельности являлось только заделом, так как криминалистическая модель преступной дея- тельности еще не была разработана, она появилась в 70-90-х г.г. в работах М.К. Каминского, В.Я. Колдина, А.Ф. Лубина, В.А. Образцова и др.1.

К настоящему времени сложились два основных подхода к построению криминалистической модели преступной деятельности. Один из них связан с описанием элементов преступной деятельности и называется эле-ментным, другой - с описанием фаз преступной деятельности .

Применительно к компьютерным преступлениям в юридической лите- ратуре авторы приводят различные структурные элементы преступной деятельности.

В.В. Крылов включает в криминалистическую характеристику:

  • данные о механизме совершения преступления;
  • данные о способе совершения преступления;
  • данные об обстановке совершения преступления;
  • о свойствах личности лица, совершившего преступление3.
  • В.Б. Вехов выделяет следующие криминалистически значимые сведения:

См.: Каминский М.К. Криминалистические средства обнаружения и раскрытия посягательств на социалистическое имущество. - Горький, 1976; Он же. Криминалистическая характеристика деятельности по выявлению, раскрытию и расследованию преступлений // Правовые и общественно-экономические науки и борьба с хищениями социалистического имущества. - Горький, 1977. - С. 153 - 159; Колдин В.Я. Криминалистическое знание о преступной деятельности: функция моделирования // Советское государство и право. - 1987. - № 2. - С. 64 - 68; Лубин А.Ф. Механизм преступной деятельности. -Н. Новгород, 1997; Лысое КН. Криминалистическое учение о фиксации доказательственной информации в деятельности по выявлению и раскрытию преступлений // Автореферат диссертации на соискание ученой степени доктора юридических наук. - М., 1995; Образцов В.А. Криминалистическая классификация преступлений. - Красноярск, 1988 и др.

2 См.: Криминалистика: Расследование преступлений в сфере экономики. Учебник/ Под ред. проф. В.Д. Грабовского, доц. А.Ф. Лубина. - Н. Новгород: НВШ МВД РФ, 1995. - С. 52.

3 Крылов В.В. Расследование преступлений в сфере информации. - М.: Издательст во «Городец», 1998. - С. 224.

63

  • о личности правонарушителя;
  • о мотивах и целях его преступного поведения;
  • о типичных способах подготовки, совершения и сокрытия преступления;
  • о времени, месте и обстановке преступных посягательств1.
  • Мы предлагаем выделить следующие четыре элемента преступной деятельности с дальнейшим их раздельным рассмотрением и детализацией: 1) субъект преступлений; 2) ситуация совершения преступлений; 3) способ выполнения преступных действий; 4) следы (признаки) преступления.

При исследовании криминалистической характеристики личности субъектов преступлений в сфере компьютерной информации, кроме обобщения практики расследования, учитывались криминологические данные о различных группах лиц, совершавших различные деяния в сфере компьютерной информации. Следует иметь в виду, что исследование определенных групп таких лиц имеет два аспекта: изучение личности обвиняемого (подозреваемого) - криминалистический, направленный на использование полученных данных для подготовки к производству следственных действий (допрос, обыск и др.), и криминологический, связанный с изучением и исследованием условий, способствовавших совершению преступлений. Для целей настоящего исследования учитывались оба указанных аспекта.

В терминологии, которую применяют криминалисты, освещая рассматриваемый элемент криминалистической характеристики, на наш взгляд, нет достаточной ясности. Применяются различные термины: «лицо, виновное в преступлении», «лицо, совершившее преступление», «личность преступника», «обвиняемый» и обычно «преступник». Эти термины выражают лишь факт совершения преступления вообще либо определенным индивидуумом. Никакие иные данные об особенностях этого лица в содержание рассматриваемого термина на входят. На первый взгляд может показаться,

1 Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учебно-методическое пособие. Изд. 2-е, дп. и испр. - М: ЦИиНМОКП МВД России, 2000. - С. 9 - 10.

64

что эти понятия близки, так как во всех случаях речь идет о совокупности признаков, свойств, качеств, характеризующих одну и ту же социальную фигуру - лицо, совершившее преступление. Однако здесь нет совпадения, поскольку сама эта фигура берется в различных ракурсах под разным углом зрения: криминологическим, уголовно-правовым, уголовно-процессуальным. Поэтому объем и содержание того, что характеризует подобную фигуру в каждом из названных ее значений, различны.

Личность преступника включает в себя в числе прочих признаков, которые согласно закону, характеризуют субъект преступления: физическую сущность лица, как человеческого индивида, его возраст и психическую способность к вменению, а также некоторые признаки, например: должностное положение, пребывание на определенной службе, особые обязанности, особое положение по отношению к другим лицам, и т. д., в силу которого лицо может рассматриваться как специальный субъект. Кроме того, личность преступника охватывает многие другие признаки индивида, не связанные с его правовой характеристикой как субъекта преступления: положение в системе общественных отношений, больших и малых социальных групп, социальные связи и проявления, отношения к существующим социальным ценностям.

Применительно к криминалистической характеристике личности субъекта, совершившего компьютерное преступление, отмечается многоплановый, разносторонний характер данного элемента характеристики, при исследовании и разработке которого необходимо учитывать различные факторы (психологические, профессиональные, криминалистические, правовые и

т. д.), способствующие формированию и выявлению признаков преступле-

-1

НИИ .

Как отмечает Н.Т. Ведерников, в разработке криминалистической характеристики личности преступника весьма затруднительно выделить информацию, имеющую чисто криминалистическое значение, поскольку личность - единое целостное явление, все стороны которого взаимосвязаны и

65

взаимообусловлены, хотя в научном отношении вполне правомерно ставить вопрос о криминалистически значимых свойствах личности преступника, криминалистическом аспекте в изучении личности обвиняемого2.

Для разработки криминалистической характеристики лиц, совершивших преступления в сфере компьютерной информации, имеют значение криминологические данные, касающиеся структуры личности преступника:

  • социально-демографические особенности (возраст, образование, социальное положение и род занятий, семейное положение, принадлежность к городскому или сельскому населению, материальное положение, жилищные условия и т. д.);
  • уголовно-правовые признаки (это данные о характере совершенного преступления, его направленности и мотивации, единоличном или групповом характере преступной деятельности, рядовой или организаторской роли в ней, о прошлой судимости или фактическом рецидиве и т. д.);
  • нравственные свойства и психологические особенности, проявляющиеся в моральных и нравственных чертах и свойствах человека: взгляды, убеждения, оценки, жизненные ожидания и стремления, ценностные ориентации и т. п.
  • Применительно к криминалистической характеристике личности субъектов компьютерных преступлений приемлема также общая криминологическая типология по глубине, стойкости, злостной антисоциальной направленности личности и ее ценностных ориентациях.

Характеристика типичной для данного вида преступлений личности позволяет сузить круг лиц, среди которых может находиться преступник, выдвинуть версии о мотиве и цели преступления, о способе совершения и сокрытия преступления.

1 Личность преступника / Ред. кол.: Кудрявцев В.К, Миньковский Г.М., Саха ров А.Б. - М.: Юрид. литература, 1975. - С. 7 - 11.

2 См.: Васшьев А.Н. О криминалистической классификации преступлений // Мето дика расследования преступлений (общие положения). - М, 1976. - С. 25 - 26; Колесни- ченко А.Н. Научные и правовые основы расследования отдельных видов преступлений: Автореф. дис… доктора юрид. наук. - Харьков, 1967.

66

Каково же «лицо» современного компьютерного преступника? В отличие от обычных преступников компьютерные преступники в большинстве -мужчины (хотя доля женщин быстро увеличивается), не имеющие уголовного прошлого.

Анализ статистики компьютерных преступлений в США за 27 лет позволил сделать вывод о том, что большинство из них (почти 80 %) приходится на долю сотрудников компаний, имеющих доступ к ЭВМ1. Это программисты, операторы, менеджеры, клерки и др. Иными словами, практически каждое учреждение представляет собой своеобразный комплекс собственных (внутренних) угроз безопасности компьютеру со стороны персонала.

На основе этого же анализа была разработана характеристика такого сотрудника. Как правило, он работает в компании не менее четырех лет, первым приходит на работу и последним уходит, не пользуется или мало пользуется отпусками, делает все возможное для завоевания доверия администрации, восхищаясь ее работой, и, информируя об ошибках и проступках других сотрудников, хорошо знаком с работой систем защиты информации, имеет ключи от основных служебных помещений .

На жаргонном языке компьютерных правонарушителей называют:

  • хакерами - пользователь ЭВМ, занимающийся несанкционированным поиском способов получения неправомерного доступу к СВТ и охраняемой законом компьютерной информации;
  • крэкерами - пользователь ЭВМ, занимающийся «взломом» (модификацией, блокированием, уничтожением) программно-аппаратных средств защиты компьютерной информации;
  • Расширение масштабов компьютерной преступности // Проблемы преступности в капиталистических странах (По материалам зарубежной печати). - М.: ВНИИ МВД СССР, 1986.-№10. -С. 9.

2 Климов И.А., Борисов Г.Л., Литваковский Д.А. Предупреждение, выявление и рас- крытие хищений, совершаемых с использованием компьютерной информации. Лекция. -М: Юридический институт МВД РФ, 1988. - С. 16 - 17.

67

  • фрикерами - субъект, специализирующийся на совершении преступлений в области электросвязи с использованием конфиденциальной компьютерной информации.

Зарубежный и отечественный опыт свидетельствует о том, что субъекты компьютерных преступлений могут различаться как по уровню их про- фессиональной подготовки, так и по социальному положению. В литературе выделяют следующие типы компьютерных преступников:

а) нарушители правил пользования ЭВМ - они совершают преступле ния из-за недостаточно хорошего знания техники, желания ознакомиться с интересующей их информацией, похитить какую-либо программу или бес платно пользоваться услугами ЭВМ;

б) «белые воротнички» - так называемые респектабельные преступни ки: бухгалтеры, казначеи, управляющие финансами различных фирм, адво каты, вице-президенты компаний и т. п. (для них характерны такие действия, как использование компьютера в целях моделирования планируемых пре ступлений, компьютерный шпионаж конкурентов, мистификация и фальси фикация информации и т. д.);

в) компьютерные шпионы (они представляют собой хорошо подготов ленных в техническом и организационном отношении специалистов; их це лью является получение стратегически важных данных о противнике в эко номической, технической и других областях);

г) хакеры или одержимые программисты - эта категория лиц является наиболее технически и профессионально подготовленной, отлично разби рающейся в вычислительной технике и программировании .

В.В. Крылов предлагает следующую классификацию преступников, обеспечивающую выдвижение версий о лице в зависимости от способа и мо- тивации действий, выражающихся в следовой картине:

1 Компьютерные технологии в юридической деятельности/ Под ред. Н.Полевого, В. Крылова. - М., 1994 - С. 234.

68

а) хакеры - лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;

б) шпионы - лица, взламывающие компьютеры для получения инфор мации, которую можно использовать с политических, военных и экономиче ских целях;

в) террористы - лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях полити ческого воздействия;

г) корыстные преступники - лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных вы год;

д) вандалы - лица, взламывающие информационные системы для их разрушения;

е) психически больные лица, страдающие новым видом психических заболеваний (информационными болезнями и компьютерными фобиями)1.

А.В. Кузнецов говорит о том, что источником потенциальных преступников является рынок безработных, который пополняется за счет высококва- лифицированных специалистов, обслуживавших военно-промышленные комплексы, различные научно-исследовательские центры, лаборатории и ин- ституты, уволенных по разным причинам из силовых министерств, выпускников высших учебных заведений, не нашедших работу по специальности. Именно за счет этих лиц современная преступность не испытывает недостатка в кадрах, способных эффективно использовать новейшие электронные средства, технологические новшества, свои профессиональные знания и умения для подготовки, совершения, маскировки преступлений .

Крылов В.В. Расследование преступлений в сфере информации. - М.: Издательство «Городец», 1998. - С. 231 - 232.

2 Кузнецов А.В. Некоторые вопросы расследования преступления в сфере компью- терной информации // Информационный бюллетень Следственного комитета МВД Рос- сии. № 2 (95). - 1998. - С. 51.

69

В.Б. Вехов делит компьютерных преступников на три обособленные группы.

К первой группе относятся лица, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности. Эти субъекты воспринимают средства компьютерной техники как своеобразный вызов их творческим и профессиональным знаниям, умениям и навыкам.

Вторая группа включает лиц, которые страдают новым видом психических заболеваний - информационными или компьютерными фобиями. Компьютерные преступления, совершаемые ими, в основном связаны с преступными действиями, направленными на физическое уничтожение либо повреждение средств компьютерной техники без наличия преступного умысла, с частичной или полной потерей контроля над своими действиями.

Третью группу составляют профессиональные компьютерные преступники с ярко выраженными корыстными целями. Именно эта группа представляет собой основную угрозу для общества, является кадровым ядром компьютерной преступности как в качественном так и количественном отношении1.

Практически такую же классификацию лиц, совершивших компьютер-ные преступления, предлагает В.Е. Козлов .

В юридической литературе предлагаются и иные классификации. Например, В.Ю. Рогозин выделяет следующие пять групп лиц, могущих нести в себе потенциальную угрозу для компьютерной системы: 1) операторы ЭВМ данной организации, операторы периферийных систем, операторы, обслуживающие устройства связи; 2) программисты-системщики, программисты, разрабатывающие прикладные программы; 3) инженеры-системщики, инже-

Вехов В.Б. Компьютерные преступления. Способы совершения, методики рассле- дования. - М.: Право и закон, 1996. - С. 38.

2 Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. - М.: Горячая линия - Телеком, 2002. - С. 162.

70

неры, обеспечивающие функционирование терминальных устройств, инженеры и специалисты в области радио- и электропроводной связи, инженеры- электронщики; 4) правонарушения, связанные с фальсификацией входных или выходных данных, могут совершать лица, в чьем ведении находятся ор- ганизационные вопросы, а именно: управление компьютерной сетью, руководство операторами, управление базой данных, руководство по программному обеспечению; 5) группу лиц, не имеющих прямого отношения к конкретной компьютерной системе с профессиональной точки зрения, но обладающих правом доступа хотя бы к периферийным устройствам, с которых организуется вывод или ввод информации1.

В своих преступных деяниях компьютерные преступники руководствуются следующими основными мотивами:

  • выход из финансовых затруднений;
  • стремление получить от общества то, что оно якобы задолжало преступнику;
  • месть фирме и работодателю;
  • самовыражение, проявление своего «я»;
  • желание доказать свое превосходство над «черновыми» пользовате-
  • 2

лями компьютеров .

Как показали многочисленные социологические опросы, проводимые зарубежными и отечественными специалистами, для значительного большинства компьютерных преступлений характерны корыстные мотивы, интерес и самоутверждение, но в последние годы все больше стали проявляться политические и некоторые другие мотивы.

Также следует указать, что эти преступления совершаются в области профессиональной деятельности. Преступники, как правило, владеют не только специальными навыками в сфере управления ЭВМ и ее устройствами,

Рогозин В.Ю. Особенности расследования и предупреждения преступлений в сфере компьютерной информации: Автореф. дисс. канд. юрид .наук. - Волгоград, 1998. -С. 12-14.

2 Компьютерные преступления: Учебное пособие. - М., 1995. - С. 19.

71

но и специальными знаниями в области обработки информации в информа- ционных системах в целом.

При этом для корыстных преступлений, связанных с использованием информационных систем, необходимы специальные познания в соответствующих финансовых, банковских и подобных информационных технологиях.

Российские исследователи отмечают следующие особенности компьютерных преступлений в финансовой сфере:

— большинство злоумышленников - клерки, хотя высший персонал банка также может совершить преступление и нанести банку гораздо больший ущерб, однако такого рода случаи происходят намного реже; — — как правило, злоумышленники используют свои собственные счета, на которые переводят похищенные суммы; —

  • большинство преступников не знает, как «отмыть» похищенные деньги;
  • компьютерные преступления не всегда высокотехнологичны, ряд злоумышленных действий достаточно просто может быть совершен обслу- живающим персоналом1.
  • В зависимости от категории пользователей различна и степень угрозы на элементы компьютерной системы (см. таблицу 1). Обозначения:

I - внутренние данные;

II - внутренние прикладные программы;

III - внутренние системные модули; IV V — внешние данные; VI V - внешние системные модули

VI - элементы компьютерных систем и периферийное оборудование.

1 Гайкович В., Першин А. Безопасность электронных банковских систем. - М.: Еди ная Европа, 1993.-С. 170.

2 Гайкович В., Першин А. Там же. - С. 44.

72

Таблица 1.

Категории пользователей Виды ущерба

I II III IV V VI

ABC ABC ABC ABC ABC ABC Библиотекарь системных магнитных носителей

0 4 4 0 3 3 0 3 3 Библиотекарь магнитных носителей пользователей

02 2 0 1 1

Пользователь системы 2 2 2 0 1 1

2 2 2 0 1 1

Оператор системы 1 5 5 0 5 5 0 5 5 1 3 3

Оператор периферийного оборудования

0 3 3 0 4 4 0 1 1 Оператор заданий

0 3 3 0 4 4

Оператор ввода и подготовки данных 3 3 3 0 4 4 0 5 5 3 3 3

0 1 5 Менеджер обработки 1 5 5 0 5 5 0 5 5 1 3 3 0 4 4 0 1 5 Администратор баз данных 3 3 3

3 3 3

Системный программист 0 5 5 0 5 5 5 5 5

5 1 5 Прикладной программист 1 1 1 2 2 2

2 2 2

Менеджер программного обеспечения 1 1 1 4 4 4

4 4 4

Инженер/оператор связи 0 5 5

Инженер системы

2 2 2

Администратор безопасности 5 5 5 5 5 5 5 5 5 3 3 3 4 4 4 5 5 5 Системный администратор 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 Виды ущерба:

A - модификация;

В - разрушение;

С - компрометация (раскрытие) информации.

73

Степень угрозы:

0 - нет воздействия; 1 2 - до 20 %; 2-до 40%; 3

3 - до 60 %; 4 5 - до 80 %; 5-до 100%. 6 Приведенная типология не носит исчерпывающий характер вследствие массового совмещения одним лицом нескольких профессий.

С точки зрения уголовно-правовой квалификации компьютерных преступников можно разделить на следующие категории:

  • лица, осуществляющие неправомерный доступ к компьютерной информации;
  • лица, осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;
  • лица, осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;
  • лица, имеющие доступ к ЭВМ, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ЭВМ;
  • лица, создающие, использующие и распространяющие вредоносные программы.
  • Все выше приведенные классификации обладают важным, на наш взгляд, недостатком - они рассматривают субъект односторонне (мотив, профессиональная подготовка и т. п.), без учета тесной связи между этими характеристиками личности преступника.

Нами предлагается следующая типология субъектов преступлений в сфере компьютерной информации (см. рис. 1).

74

Субъекты

Мотив

Сфера деятель ности

Отноше ние к пред- мету

Организ ация

Корысть

Програм мист

Внутре нний

В одиночку

Шпиона ж

Электрон щик

Внешний , имеющи й связь

Группа по пред

варитель ному

сговору

Вандализ м

Пользоват ель

Внешний без связи

Организо ванная группа

Интерес и са- моутверждение

Обслуживаю- щий персонал

Террор

Управ ление

Сокрытие и маскировка

Слабо мотивированные

Рис. 1 Нами выделено четыре основные характеристики личности преступника в сфере компьютерной информации:

  • мотив;
  • сфера деятельности (не путать со специальностью);
  • отношение к предмету (важная характеристика для территориального поиска злоумышленника);
  • организация.

75

К основным мотивам компьютерных преступлений следует отнести:

• корысть - получение материальной выгоды; • • шпионаж - получение сведений экономической направленности, личной жизни и т. п.; • • вандализм - разрушение, уничтожение информационных систем из политических, религиозных и других целей; • • интерес и самоутверждение - совершение злоумышленных действий ради «спортивного» интереса, доказать себе и другим о возможности преодолеть защиту, создать вредоносную программу, взломать сайт в Интернете и т. п.; • • террор - уничтожение информационной системы конкурента, акции против предпринимателей и т. п.; • • сокрытие и маскировка — использование компьютерных преступлений для сокрытия следов другого преступления, списание на информационную систему собственных ошибок и т. п.; • • личные - недовольство руководством, месть и т. п.; • • слабо мотивированные - преступления, совершаемые лицами, страдающими информационными болезнями и компьютерными фобиями. • Следует отметить, что лицо, совершающее компьютерное преступление, может иметь не один, а несколько мотивов.

Второй характеристикой субъекта преступления является та сфера деятельности, которую использует злоумышленник. По нашему мнению, по данной категории можно выделить:

• программист - лицо, владеющее языками программирования, как правило высокой квалификации, способное создать новую программу, модифицировать старую, разобраться в программной системе защиты и т. п.; • • электронщик - лицо, имеющее знания и навыки в области радиоэлектроники, современных систем телекоммуникаций и связи, способное создать новое устройство, модифицировать существующее для реализации •

76

недокументированных функций, подключиться к каналу передачи данных и т. п.;

• пользователь - лицо, использующее компьютерную систему для выполнения поставленных по работе задач (различного рода операторы, клерки и т. п.); • • обслуживающий персонал - лица, занимающиеся обслуживанием компьютерной системы: программных компонентов, устройств и периферийного оборудования; • • управление - лицо, непосредственно не работающее с компьютерной системой, но осуществляющее руководство над той или иной стороной процесса обработки информации. • Следующей характеристикой субъектов компьютерных преступлений, на наш взгляд, является отношение к предмету преступления:

• внутренний - субъект, работающий на объекте хозяйствования, где находится непосредственный предмет преступления (для этих лиц характерны доминанта возможности доступа к компьютерной информации, осуществлять различные операции с ней, знание нормативных правил обращения информации, обладание важной информацией и т. п.; • • внешний со связью - субъект, непосредственно не работающий на объекте хозяйствования, но связанный трудовыми отношениями с объектом хозяйствования (сервисное обслуживание, ремонт систем). Эту группу лиц характеризует возможность доступа к компьютерной информации (хоть в меньшей мере, чем лиц первой группы), хорошее знание объекта (территория, охрана и т. д.); • • внешний без связи - субъект, не связанный трудовыми отношениями с объектом хозяйствования. Данную группу лиц, в отличие от представите лей первой и второй группы, характеризуют такие качества как изощрен ность и изобретательность в поиске способов совершения преступления в сфере компьютерной информации. Зачастую преступники хорошо осведом лены об используемых средствах защиты информации, им известен юриди-

77

ческий аспект их преступной деятельности, известны способы и методы дея- тельности правоохранительных органов, ответственность за совершенные деяния.

Четвертой характеристикой субъекта преступления является организационный признак. Можно выделить три вида субъектов:

• одиночка; • • группа по предварительному сговору; • • организованная группа. • Следующим элементом преступной деятельности рассмотрим обстановку совершения преступления.

Н.П. Яблоков обстановку совершения преступлений определяет как систему различного рода взаимодействующих между собой объектов, явлений и процессов, характеризующих условия места и времени, вещественные, природно- климатические, производственно-бытовые и иные условия окружающей среды, особенности поведения непрямых участников противоправного события, психологические связи между ними и другими обстоятельствами объективной реальности, сложившейся (независимо от воли участников) в момент преступления, влияющие на способ его совершения и механизм, проявляющиеся в различного рода следах, позволяющих судить об особенностях этой системы и содержании преступления . Очевидно, что такое определение носит широкий характер и может относиться к любым случаям, характеризующим обстановку преступлений.

Характер обстановки и условий совершения преступлений в сфере компьютерной информации является многоплановым и охватывает различные аспекты, связанные с определенной материальной обстановкой, в которой подготавливается, осуществляется, скрывается преступная деятельность, маскируются ее последствия - следы. С понятием обстановки в указанном смысле связано представление об условиях, в которых произошло преступ-

Яблоков Н.П. Обстановка совершения преступления. Его криминалистическая ха- рактеристика // Криминалистическая характеристика преступлений. - М., 1984. - С. 85.

78

ление, обусловивших или способствовавших его совершению. В этом плане можно проводить параллель с понятием, принятым в криминологии. Указанные понятия нередко отождествляются с понятием обстоятельства, охватывающим более широкий круг явлений: таких как предмет доказывания, определяющий обстоятельства, подлежащие доказыванию в уголовном деле.

Пользуясь понятием обстановки, обычно имеют в виду материальную среду, техническую оснащенность, технологию использования вычислительной техники, электронной связи и т. д.

Говоря об условиях в рассматриваемом плане, в большей степени подразумевают их экономические, социальные, законодательные аспекты, например, условия, складывающиеся в результате принятия определенных -нормативно-правовых актов, регулирующих правила и порядок работы с информацией и информационными ресурсами. Оптимальность обстановки и условий, содействуют нормальному функционированию различных государственных и общественных структур, применяющих современные компьютерные средства и технологии, что при соответствующем соблюдении установленных правил и процессов должно обеспечивать исключение криминальных нарушений. С появлением нового средства обработки информации компьютер и программное обеспечение могут быть предметом законных и незаконных сделок, а также предметом хищения как ценных объектов или противоправного использования. Они могут быть также инструментом преступной деятельности, например, средствами незаконного доступа к удаленным информационным ресурсам, инструментами разработки и запуска компьютерных вирусов, причиняющих существенный материальный ущерб и др.; хранилищем и инструментом обработки информации о преступной деятельности, например, данных о действительном состоянии учета и движения материальных ценностей, о партнерах по противоправным сделкам и их со-

79

держании; использованы как средство подготовки управленческих решений, которые повлекли негативные результаты1.

Обстановка преступлений в сфере компьютерной информации характеризуется рядом существенных факторов. В.В. Крылов о данном элементе криминалистической обстановки говорит очень обобщенно, указывая, в основном на то, что эти преступления совершаются в области профессиональной деятельности по обработке компьютерной информации2.

В.Б. Вехов выделяет следующие объективные условия деятельности потерпевших сторон:

  • вид деятельности или род занятия (сфера деятельности - хозяйственная, коммерческая, управленческая, производственная, информационная, по- средническая, финансовая, топливно-энергетическая, транспортная, услуг и т. п.);
  • форма собственности предприятия или физического лица, правовой режим отдельных видов имущества, в т.ч. информации и информационных ресурсов;
  • назначение и структура организации производственного процесса, характер потребляемых ресурсов и выпускаемой продукции (в т.ч. и интеллектуальной);
  • система учета и отчетности;
  • кадровое и материально-техническое обеспечение;
  • вид используемых СВТ, связи и телекоммуникаций, их тактико- технические данные и конструктивное несовершенство;

  • погодные условия;
  • наличие необходимых помещений и оборудования;
  • порядок отпуска и реализации продукции, ценностей;
  • наличие и техническое состояние средств учета, защиты информации, охраны и т. д.
  • 1 См.: Компьютерные технологии в юридической деятельности. - М., 1994. - С. 224; Криминалистика. Отв. ред. проф. Н.П. Яблоков. - С. 162 - 171.

2 Крылов В.В. Указ. работа. - С. 229 - 230.

80

К субъективным условиям автор относит такие факторы социально- психологического и организационно-управленческого характера как:

  • отступление от технологических режимов обработки информации; отсутствие, несовершенство или отступление от правил производства, проведения пусконаладочных, ремонтных, регламентных (техническое обслуживание) работ, эксплуатации СВТ, а также учета, хранения, распределения и расходования ценностей;
  • отсутствие или несовершенство средств защиты информации;
  • нарушение правил работы с охраняемой законом компьютерной информацией;
  • необоснованность использования СВТ в конкретных технологических процессах и операциях;
  • неудовлетворительная организация производственных процессов, наличие одновременно ручных и автоматизированных этапов обработки документов;
  • психологически неправильные межличностные взаимоотношения должностных лиц с подчиненными и другими работниками и т. д.

Субъективные факторы, по мнению автора, могут существенно влиять на обстановку совершения компьютерных преступлений и определенным образом формировать ее .

Обстановка и условия совершения компьютерных преступлений имеют общую и частные характеристики (в зависимости от особенностей механизма и способа деяния и соответствующей уголовно-правовой квалификации). Общее то, что эти преступления совершаются в сфере специфичной формы представления информации - компьютерной информации. Различный характер обстановки и условий совершения преступлений определяется тем, что деяние может быть совершено только в сфере компьютерной информации (ст. 272), с использованием компьютерных технологий (ст. 273), с использованием компьютерных средств (ст. 274).

1 Вехов В. Б. Указ. работа. - С. 9 - 11.

81

Кадровая расстановка, наличие помещений и оборудования также включаются в обстановку совершения преступления. Различные операции одного технологического процесса должны быть функционально разделены для работников их выполняющих, и которые должны находиться в разных помещениях. Например, в банковской сфере операции с вкладами, предос- тавлением кредита и т. п. технологически разделены с целью исключения возможности обслуживания их одним работником во избежании совершения противоправных деяний. Наличие необходимых помещений и оборудования, порядок отпуска и предоставления информации и информационных ресурсов влияют на условия процессов сбора, обработки, хранения, распространения информации. В местах где ослаблен контроль за порядком работы с ин- формацией, отсутствуют специальные средства организационной и технической защиты, свободен доступ в помещение и к СВТ существует большая вероятность и благоприятные условия для совершения незаконных действий, подобные уязвимые объекты должны в первую очередь исследоваться.

Мотивы совершения преступлений в сфере компьютерной информации могут самыми разнообразными - от корысти до самовыражения своей про- фессиональной состоятельности. Поэтому при расследовании преступлений следует особое внимание уделять субъективным условиям, психологическому настрою в организации, существующим взаимоотношениям. При работе с охраняемой информацией может быть необоснованное выполнение некоторых технологических процессов и операций, выполнение их несоответствующими работниками, что является нарушением правил работы с информацией. К данным условиям можно отнести и попустительство в организации производственных, хозяйственных, посреднических, экономических и т. д. процессов. Их нескоординированность, разрозненность и бесконтрольность благоприятствуют совершению деяния.

На наш взгляд, для построения системы рассматриваемого элемента криминалистической характеристики компьютерных преступлений целесо- образно воспользоваться указанными выше общими положениями, выделив

82

в ней следующие объективные факторы: 1) место совершения преступления; 2) время совершения преступления; 3) компьютеризация объекта хозяйствования; 4) система защиты компьютерной информации (см. рис. 2).

Ситуации

I

Место преступления

Время преступления

I

Компьютериз ация объекта

Защита информации

Непосредственно

Рабочее

— Отсутствие сети

Высокая

Локальная сеть

?—
Нерабочее

Локальная сеть

Средняя

*— Вне объекта

Глобальная сеть

Слабая

Рис.2

Рассмотрим данную классификацию более подробно. Основным объективным фактором совершения преступления является место.

Местом совершения компьютерных преступлений являются как конкретные точки и участки территории, так и те учреждения, организации, предприятия и системы, в которых используется то или иное средство электронно-вычислительной техники в каком-либо технологическом процессе. Следовательно, мест совершения преступных посягательств данной категории может быть несколько, в том числе значительно удаленных друг от друга и расположенных как в разных странах, так и на различных континентах. Последнее возможно по причине практически неограниченного радиуса действия и мобильности электронных средств связи и телекоммуникаций, неотъемлемой частью которых являются средства вычислительной техники.

В силу указанных пространственно-временных факторов возникает и сложная для решения проблема доказывания причинной связи между действием лица и наступившим результатом. Такая возможность предоставляется только в случаях точной работы с промежуточными доказательствами, получаемыми при отработке всех информационных систем, которые были задействованы преступником.

83

Мы рассматриваем место совершения преступления с точки зрения, где был расположен злоумышленник по отношению к предмету преступления и выделяем три вида мест:

  • непосредственно - преступление совершено непосредственно за ЭВМ, где хранилась информация - предмет преступного посягательства;
  • внутри объекта - преступление совершено внутри объекта хозяйствования (например, по локальной сети);
  • вне объекта - преступление совершено за пределами объекта хозяйствования (например, неправомерный доступ из Интернета, дистанционный перехват и т. д.)
  • Следующим важным фактором является время совершения деяния. Данный фактор может рассматриваться в двух аспектах. Во-первых, время совершения преступления может иметь типичную повторяемость. Факт совершения преступных действий может наблюдаться как в служебной, так и вне служебной обстановки, что, например, обусловливает необходимость отойти от определенного порядка совершения некоторых операций, проводимых в организациях, осуществляемых в сфере компьютерной информации.

Время может рассматриваться в широком смысле. Например, как период, в течение которого совершается деяние (в этом случае можно говорить о неоднократности, повторяемости продолжительности деяния), или пределы действия некоторых нормативных актов, регулирующих сферу обращения информации и информационных ресурсов (что имеет значение при расследовании деяний в кредитно-финансовой сфере, где, например, имеют место изменения сроков осуществления некоторых операций, влияющих на складывающиеся условия и т. д.).

Во-вторых, время совершения большинства преступлений рассматриваемой категории можно установить с точностью до часа, а иногда - до минут и секунд. Как правило, время совершения данных деяний исчисляется различными по продолжительности периодами, связанными с деятельностью определенных лиц или организаций. При этом, согласно ч. 2 ст. 9 УК РФ,

84

временем совершения каждого преступления признается время окончания общественно опасного деяния независимо от момента наступления последствий.

Для простоты использования мы выделяем два периода времени совершения преступления: рабочее; нерабочее.

Такое упрощение позволяет сузить круг лиц подозреваемых в совершении преступления и оптимизировать процесс расследования данного вида преступлений.

Из приведенных выше компонентов, составляющих обстановку и условия совершения компьютерных преступлений, также следует выделить тех- нологические аспекты компьютеризации объекта, знание и использование которых содействует выявлению и раскрытию рассматриваемых деяний.

Мы выделили три случая компьютеризации объекта:

  • отсутствие сети;
  • локальная сеть - компьютеры на объекты объединены в локальную сеть, связывающую ряд ЭВМ, находящихся в одной локальной зоне (кабинет, здание);
  • глобальная сеть - на объекте есть выход в глобальную вычислительную сеть, охватывающую большое географическое пространство (например, Интернет).
  • Немаловажное значение имеет вид, технические данные и конструктивное совершенство используемой вычислительной техники. Чем она совершеннее, тем большими техническими возможностями обладает, позволяющими сокрыть следы преступления.

Особое место занимает защита информации и информационных ресурсов. Защиту информации программными средствами считают наиболее эффективной. Но ее несовершенство или отсутствие относятся к условиям, способствующим преступному деянию. В связи с этим актуальными являются вопросы по ее оптимальному использованию, т. е. не должно быть навязчивой, излишней предосторожности, мешающей работе, но в то же время за-

85

щита обязана соответствовать предъявляемой степени защищенности охраняемой информации и находиться в постоянном совершенствовании в связи с развитием компьютерных и информационных технологий. Программно-аппаратные комплексы защиты более надежны и сложны для преодоления. Знание уровня защиты позволяет сузить круг подозреваемых лиц — чем более высокая степень защиты, тем более высокими профессиональными качествами должен обладать злоумышленник для ее преодоления.

Мы выделили три вида уровня защиты информации: 1) высокий; 2) средний; 3) слабый или отсутствует.

Анализ зарубежной и отечественной практики позволяет сделать вывод, что эффективное преступление в сфере компьютерной информации (особенно это касается неправомерного доступа) осуществляется только на основе слабостей системы защиты атакуемой компьютерной системы.

Способ совершения преступления является объектом изучения ряда наук уголовно-правового цикла: уголовного права, криминологии, уголовного процесса, криминалистики.

Уголовно-правовое понятие способа, разрабатываемое на основе уголовного закона, является базовым для других наук1.

В криминалистике, в соответствии с потребностями практики, придается большое значение исследованию способа преступления. При этом он рассматривается не только как способ совершения, но и как способ приготовления к преступлению и его сокрытия. Такой подход к пониманию способа преступления не нарушает смысла уголовно-правовой трактовки его и вводит в него элементы, наиболее полно отражающие механизм преступления. Некоторые авторы выделяют способ совершения преступления в системе элементов криминалистической характеристики как приоритетный, наиболее важный. Это, в основном, относится к преступлениям, связанным с посягательством на собственность, когда последствия преступления очевидны

1 Матусовский Г.А. Проблемы совершенствования методики расследования пре- ступлений/ Актуальные проблемы формирования правового государства. - Харьков: Юрид. институт, 1990. -С. 12.

86

и в значительной степени очевидна причастность определенных лиц к со- вершению преступления. Однако при этом недостаточно ясно, каким способом данное деяние было совершено, каков его механизм.

Анализ уголовных дел о преступлениях в сфере компьютерной информации показывает, что значительная их часть совершается способами, признаки которых не всегда очевидны, особенно на начальном этапе расследования. Поэтому их обнаружение и исследование требует, прежде всего, знания и использования технологий обработки информации.

Важность установления способа преступлений определяется задачами по его раскрытию, доказыванию в уголовном деле, правильной квалификации, выяснению отягчающих обстоятельств, когда применение способа связано с участием в преступлении организованной группы. Следует учитывать и то, что способ совершения преступления принимается во внимание судом и для индивидуализации наказания виновного, поскольку он характеризует не только само деяние, но и субъект преступления. Поэтому, как правильно отмечается в литературе, указанные обстоятельства обуславливают необходимость описания способа преступления в обвинительном заключении и мотивировочной части приговора.

В криминалистике под способом совершения преступления понимается объективно и субъективно обусловленная система поведения субъекта до, в момент и после совершения преступления, оставляющая различного рода характерные следы вовне, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления. Механизм совершения преступления понимается как система данных, описывающих временной и динамический порядок связи отдельных этапов, обстоятельств, факторов подготовки, совер-

87

шения и сокрытия следов преступления, позволяющих воссоздать картину процесса его совершения1.

Из приведенных определений следует, что именно обобщенные данные о способе совершения преступления содержат сведения о наиболее характерных следах преступления.

К способам совершения преступлений можно отнести:

  • различного рода перехват информации, содержащей пароли доступа (непосредственное подключение к сети компьютеров, перехват электромагнитных импульсов, поиск незащищенных данных в компьютере, поиск компьютерных распечаток и т. д.);
  • манипуляция компьютерной информацией (подмена данных, уничтожение исходной информации, введение в программу новых команд);
  • использование «вирусных» программ для уничтожения программной защиты, внесения сбоев в работу системы либо уничтожение следов преступления.
  • В криминалистической литературе описывается множество способов совершения компьютерных преступлений.

Так, Б.Х. Толеубекова приводит следующие:

  • компьютерные манипуляции;
  • компьютерный шпионаж и кража программ;
  • компьютерный саботаж;
  • компьютерные злоупотребления;
  • нанесение ущерба авторским правам .
  • ГИЦ МВД России, на основе анализа практики расследования преступлений в сфере компьютерной информации, сгруппировал их по наиболее характерным способам:

Криминалистика/ Отв. ред. проф. Н.П. Яблоков. - С. 48. 2 Толеубекова Б.Х. Компьютерная преступность: уголовно-правовые и процессуальные основы. - Караганда: КВШ МВД СССР, 1991. - С. 18.

88

  1. Преступления, совершаемые в отношении компьютерной информации, находящейся в глобальных компьютерных сетях или при обращении к ним.
  2. Преступления, направленные на получение доступа к информации, передаваемой при помощи пейджеров, сотовых телефонов, кассовых аппаратов и т. п.
  3. Создание или распространение вредоносных программ для ЭВМ (вирусы, программы-взломщики, имитаторы электронных ключей и т. п.).
  4. Сбор сведений, составляющих коммерческую тайну (о клиентах и финансово- хозяйственной деятельности компаний).
  5. Манипуляции с информацией в корыстных целях (подделка результатов электронного тотализатора, использование имитаторов пластиковых карт, создание фиктивных виртуальных магазинов и т. п.) ‘.
  6. Для преступлений в области компьютерной информации характерны три формы преступного поведения:

а) получение возможности знакомиться и осуществлять операции с чужой компьютерной информацией, находящейся на машинных носителях, т. е. направленные прежде всего на нарушение конфиденциальности инфор мации;

б) изготовление и распространение вредоносных программ, как таких, которые приводят к нарушению целостности, так и направленных на нару шение конфиденциальности информации;

в) действия, связанные с нарушением порядка использования техниче ских средств, повлекшие нарушение целостности и конфиденциальности информации.

Специалисты по защите информационных систем, изучающие каналы несанкционированного получения информации злоумышленниками, выделяют следующие возможные направления их действий:

Опыт расследования преступлений в сфере компьютерной информации // Экспресс- информация. ГИЦ МВД России. 2000. -№ 5. - С. 3.

89

  • хищение машинных носителей информации в виде блоков и элементов ЭВМ;
  • копирование машинных носителей информации;
  • копирование документов с исходными данными;
  • копирование с устройств отображения информации, выходных документов;
  • использование визуальных, оптических и акустических средств наблюдения за ЭВМ;
  • считывание и расшифровка различных электромагнитных излучений и «паразитных наводок» в ЭВМ и в обеспечивающих системах;
  • запоминание информации;
  • фотографирование информации в процессе ее обработки;
  • изготовление дубликатов входных и выходных документов;
  • копирование распечаток;
  • использование программных «ловушек»;
  • маскировка под зарегистрированного пользователя;
  • использование недостатков программного обеспечения и операционных систем;
  • использование поражения программного обеспечения «вирусами»;
  • подмена и хищение машинных носителей информации и документов;
  • подмена элементов программ и баз данных;
  • включение в программы блоков типа «троянский конь», «бомба» и т. п.;
  • чтение информации из ОЗУ;
  • несанкционированное подключение к основной и вспомогательной аппаратуре ЭВМ, внешним запоминающим устройствам, периферийным устройствам, линиям связи и др .
  • Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Кн. 1. - М., 1994. - С. 170 - 174.

90

Такое описание при всей его полноте выглядит сложным и затруднит использование в практической деятельности по расследованию преступлений в сфере компьютерной информации.

В.Б. Вехов, Ю.М. Батурин выделяют следующие общие группы способов подготовки, совершения и сокрытия компьютерных преступлений:

  1. Изъятие средств вычислительной техники. Здесь используются традиционные способы совершения преступлений, в которых действия преступника направлены на изъятие чужого имущества. Под чужим имуществом в данном случае понимается любое средство вычислительной техники.
  2. Перехват информации. К этой группе относятся способы, которые основаны на получении преступником компьютерной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности.
  3. Несанкционированный доступ к средствам вычислительной техники и компьютерной информации. К этой группе относятся способы, направленные на получение преступником несанкционированного доступа к СВТ, например, с использованием метода легендирования, а также путем несанкционированного подключения к системе передачи компьютерной информации и т. д.
  4. Манипуляция данными и управляющими командами — это действия преступника, связанные с использованием методов манипуляции входными - выходными данными и управляющими командами СВТ.
  5. Комплексные методы - это способы, основанные на применении преступником двух и более способов, а другие выполняют вспомогательные функции.

СЮ. Лужнев выделяет следующие способы совершения компьютерных преступлений:

— информационное мошенничество (манипулирование входными и выходными данными);

91

  • компьютерный подлог (изменение информации, хранимой в компьютере);
  • несанкционированный доступ (воздействие на систему защиты);
  • незаконное использование привилегией (использование штатного программного обеспечения, функционирующего в нештатном режиме)1.

Несколько запутанной выглядит на наш взгляд классификация способов совершения преступлений у В.Е. Козлова:

  • несанкционированный доступ (подключение, копирование, модификация, уничтожение);
  • злонамеренная вирусная модификация (установка вирусных закладных устройств, внедрение вирусных программ для уничтожения или модификации информации, внедрение вирусных программ для уничтожения средств обработки и передачи информации);
  • перехват информации (контактный и бесконтактный);
  • комбинированные способы .
  • Различные классификации способов совершения компьютерных преступлений предлагались зарубежными специалистами. Так рабочей группой Интерпола в 1991 г. разработан и встроен в автоматизированную поисковую информационную систему запросов следующий кодификатор компьютерных преступлений:

QA — несанкционированный доступ и перехват:

QAH — «компьютерный абордаж» (хакинг);

QAI - перехват;

QAT - кража времени;

QAZ - прочие виды несанкционированного доступа и перехвата.

QD - изменение компьютерных данных:

QDL - «логическая бомба»;

Нужнее СЮ. Виды компьютерных преступлений и способы их совершения // В сборнике «Вопросы криминологии, криминалистики и судебной экспертизы». - Минск, 1994.

2 Козлов В.Е. Указ. работа. - С. 129 - 139.

92

QDT - «троянский конь»;

QDV - компьютерный вирус;

QDW - компьютерный «червь»;

QDZ - прочие виды изменения данных.

QF - компьютерное мошенничество:

QFC - компьютерные мошенничества с банкоматами;

QFF - компьютерные подделки;

QFG - мошенничества с игровыми автоматами;

QFM - манипуляции с программами ввода-вывода;

QFP — компьютерные мошенничества с платежными средствами;

QFT - телефонное мошенничество;

QFZ - прочие мошенничества.

QR - незаконное копирование:

QRG - компьютерные игры;

QRS - прочее программное обеспечение;

QRT - типология полупроводниковых устройств;

QRZ - прочее незаконное копирование.

QS - компьютерный саботаж:

QSH - с аппаратным обеспечением (нарушение работы ЭВМ);

QSS - с программным обеспечением (уничтожение, блокирование информации);

QSZ — прочие виды саботажа.

QZ- Прочие компьютерные преступления:

QZB - с использованием компьютерных досок объявлений;

QZE — хищение информации, составляющей коммерческую тайну;

QZS - передача информации, подлежащей судебному рассмотрению;

QZZ — прочие компьютерные преступления.

Исходя из вышеизложенного и с учетом авторского понимания данной проблематики предлагаем следующую классификацию способов совершения преступлений в сфере компьютерной информации (см. рис. 3).

93

Способы

Неправомерный доступ

Прямой доступ

Манипуляции ввода-вывода

Компьютерный взлом

Перехват информации

Аппаратная модификация

Создание вредоносных программ

Написание программы

Клоны и модификации

Использование кострукторов

Распространение вредоносных программ

Машинными носителями

Через сеть

Человеком

Рис.3 Рассмотрим данную классификацию более подробно. Нами выделены следующие способы неправомерного доступа:

  • прямой доступ - способ, состоящий в получении доступа без преодоления системы защиты: не выключенный компьютер, хищение носителей информации, услышанный или увиденный пароль и т. д.;
  • манипуляции ввода-вывода - мошенничества и хищения посредством ввода и вывода в компьютерные системы или из них неверной информации;
  • компьютерный взлом - получение доступа к компьютерной информации посредством преодоления ресурсов системы защиты информационной системы. Использует слабости системы защиты: недостатки установленной политики безопасности, ошибки администрирования, недостатки алгоритмов защиты, ошибки реализации системы защиты;
  • перехват информации - получение разведывательной информации путем приема электромагнитной, аудиовизуальной и другой информации с

94

помощью программных или аппаратных средств съема информации. Как правило этот способ используется на стадии подготовки к совершению компьютерных преступлений, позволяет собрать информацию о объекте, системе защиты, информацию о пользователях информационной системы (имена, пароли и др.);

  • аппаратная модификация - модификация устройств для их неправо мерного использования: модификация мобильных телефонов, кредитных карточек, систем спутниковой связи, кассовых аппаратов и т. п.

При создании вредоносных программ используются следующие способы:

  • написание программы - злоумышленник, при помощи языка программирования создает вредоносную программу. При этом стоит учесть, что создать реально работающую, не обнаруживаемую антивирусными пакетами программу по силам только программистам очень высокой категории;
  • клоны и модификации - субъект, в отличие от первого случая, не создает новую оригинальную программу, а берет кем-то написанную (например, из Интернета) программу, или принцип которой описан в литературе1, модифицирует программу. Для иллюстрации можно привести следующий пример, 4 мая 2000 г. не установленное лицо распространило новый вирус-червь «ILOVEYOU» в Интернет. Наибольший ущерб вирус причинил крупным корпорациям, расположенным в странах Европы и Азии, при этом совокупный материальный ущерб, причиненный в результате распростране-ния вируса, составил около 10 миллиардов долларов США . В сентябре 2001 г. перед голландским судом предстал 20-летний Жан де Вит, создавший вирус AnnaKoumikova, который использовал тот же принцип, что и вирус
  • 1 В последнее время появилась литература, в которой под видом борьбы с вредо носными программами, описываются как создать такие программы, как сделать так, чтобы ее не определяли антивирусные программы и т. п. См., например: Козлов Д.А., Парапдов- ский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. - М.: СОЛОН-Р, 2001.457 с.

2 См.: Кибертеррор - пугало или реальность? - Эксперт. - Июнь - июль 2000. - № 6 -7.-С. 14.

95

«ILOVEYOU». Ущерб составил 166 000 долларов США1. Для создания клонов и модификации чужих программ не требуется столь высокая квалификация, как в первом случае, но все таки это по силам только программистам.

  • использование конструкторов - злоумышленник для создания вредо носной программы использует специальную утилиту — конструктор. Такие программы позволяют генерировать исходные тексты вирусов, объектные модули или непосредственно зараженные файлы. В настоящее время наибо лее известны следующие конструкторы: Virus Creation Laboratory, Phalcon- Skism Mass Produced Code Generator, Virus Creation 2000 и ряд других. Ис пользование таких программ не требует от лица глубоких знаний в програм мировании и ими может воспользоваться любой начинающий пользователь компьютера.

Под способами распространения мы будем понимать способ перемещения вредоносной программы от одного компьютера к другому:

  • машинные носители — вредоносная программа распространяется при помощи заражения файлов, которые затем пользователь копирует или запускает на своем компьютере, что приводит к дальнейшему распространению вредоносной программы;
  • через сеть - вредоносная программа, распространяется через компьютерные сети, используя различные механизмы (например, электронную почту). Типичными представителями вредоносных программ, распространяющихся таким способом, являются сетевые черви.
  • человеком - вредоносная программа устанавливается злоумышлен ником на компьютер жертвы.

Кроме самой классификации способов совершения преступления для построения модели важно выделить основные характеристики каждого способа (см. рис. 4).

1 См.: Известия. - 19 сентября 2001 г. - С. 7.

96

Характеристики способов

I

Предмет преступления

Данные

Программы

Аппаратура

*— Каналы связи

Принцип

Субъектный

Программный

Аппаратный

Последствия

Уничтожение

— Блокирование

Модификация

Копирование

1

Интеллектуаль ность

— Высокая

Средняя

1— Низкая

Рис.4

Данная типология требует некоторых пояснений. Под предметом посягательства в данном контексте понимается, на какой вид компьютерной информации и компьютерной системы, сети был направлен конкретный способ преступления.

Под принципом понимается с помощью какого средства, реализуется способ:

  • субъектный - выполняемый при постоянном участии человека;
  • программный - выполняемый посредством специально разработанных программ без непосредственного участия человека;
  • аппаратный — реализуется с помощью специальных устройств, техники.
  • Последствия выполнения способа не требует комментариев. Интеллектуальность способа характеризует новизну, сложность выполнения, оригинальность и т. п.

Рассмотрим следующий пример: на Каннском международном конгрессе по вопросам компьютерной безопасности в марте 1985 г. был впервые продемонстрирован дистанционный перехват компьютерной информации с монитора компьютера. Перехват производился из автомобиля, находящегося на улице, в отношении компьютера, установленного на восьмом этаже зда-

97

ния, расположенного в 100 м. от автомобиля1. Данный способ преступления относится к перехвату и характеризуется следующими особенностями: непо- средственным предметом этого «преступления» являются данные, отобра- жающиеся на мониторе компьютера; осуществлен посредством специальной аппаратуры; последствием перехвата является копирование информации; новизна способа, его сложность говорит о высокой интеллектуальности данного способа преступления.

Другой пример: сниффинг - один из хорошо известных методов получения данных в сети (паролей, имен пользователей, ключей и т. д.). Он состоит в использовании специальной программы, которая перехватывает дан-ные циркулирующие в сети . Такой способ, как и предыдущий, относится к перехвату, но имеет другие характеристики: осуществляется посредством специальной программы, имеет низкую интеллектуальность - использовать его может даже начинающий пользователь.

Анализ зарубежной и отечественной практики борьбы с компьютерными преступлениями дает нам основания утверждать, что, как правило совершение компьютерных преступлений осуществляется комплексным способом, который представляет собой сочетание двух и более вышеизложенных способов.

Следовая картина - важный элемент механизма преступной деятельности. Следовая картина отражает «особенности способа», а также признаки других элементов структуры преступной деятельности»3.

Каждый след преступления является источником информации, но таковым он становится лишь после того, как оперуполномоченный, а равным образом следователь поймут (расшифруют, «прочитают») его содержание.

Совещание по вопросам компьютерной преступности // Проблемы преступности в капиталистических странах. - М., ВИНИТИ, 1986. -№2. - С. 36.

2 См.: Леонтьев Б.К. Хакеры, взломщики и другие информационные убийцы. - М.: Майор, 2001.-С. 9-10.

3 Типовые модели и алгоритмы криминалистического исследования: Учебное по собие / Под ред. В.Я. Колдина. - М, 1989. - С. 28.

98

Следы преступления всегда являются результатом некоторых преобразований, которые отражают изменения:

  • состава и строения объекта (потенциального источника информации);
  • параметров объекта — технологической линии, прибора, физиологические и психические характеристики отдельного лица и др.;
  • информационных параметров - несоответствие записей в различных экземплярах одного и того же документа, расхождение данных в различных документах, отражающих одну и ту же хозяйственно-финансовую операцию и т. д.
  • Р.С. Белкин полагает, что описание способов совершения и сокрытия преступлений заключается не только в описании действий, с помощью которых достигаются цели преступного посягательства, но и в описании типичных последствий, применения того или иного способа, т. е. оставляемых следов его применения и мест, где эти следы вероятнее всего могут быть обнаружены. По мнению Р.С. Белкина: «голое» описание способа совершения преступления не достигает цели: описание надо производить либо от следов применения данного способа с тем, чтобы по ним раскрывать механизм преступления, либо к следам применения этого способа, чтобы, зная его, суметь обнаружить доказательства совершенного преступления и установить личность преступника» .

Важно не только определить следы по их виду и характеру образования, но и по месту их возможного нахождения.

Особенностью преступлений в сфере компьютерной информации является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются его результаты, могут находиться на значительном расстоянии друг от друга. Поэтому при компьютерных преступлениях следовая картина включает в себя:

Белкин Р.С. Криминалистика: Проблемы, тенденции, перспективы. От теории к практике. - М.: Юридическая литература, 1988. - С. 178.

99

а) следы на машинных носителях, посредством которых действовал преступник;

б) следы на «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергши мися нападению;

в) следы на машинных носителях информационной системы, в кото рую осуществлен неправомерный доступ1.

Следы преступной деятельности на машинных носителях, находящихся у преступника и вокруг его ЭВМ могут быть зафиксированы в ходе расследования.

В криминалистике принято определять типичность следов для того или иного вида преступлений (для убийств, естественно, это следы крови и другие следы, связанные с нанесением телесных повреждений; для преступлений, связанных с посягательствами на денежные средства путем использования документов - это, разумеется, следы в документах (материальные и идеальные).

Есть и другой подход, согласно которому следы преступления, возможно рассматривать как его признаки, т. е. из числа многочисленных изменений можно выделить те из них, которые указывают на криминальный характер действий, преступный способ. Иначе говоря, можно считать, что такие следы являются признаками преступления.

Данная концепция в общем виде выдвинута рядом криминалистов.

В.К. Кудрявцев выделяет четыре категории признаков: 1. Все признаки данного деяния (с учетом того, что совокупность признаков какого-либо события можно представить лишь теоретически); 2. Признаки, имеющие значение для расследования и разрешения уголовного дела; 3. Признаки, имею-

1 Крылов В.В. Расследование преступлений в сфере информации. - М.: Издательство «Городец», 1998.-С. 180.

100

щие уголовно-правовое значение; 4. Признаки, имеющие значение для ква- лификации преступления1.

Раскрывая содержание второй категории признаков, можно сказать, что они представляют собой следы преступления в широком смысле слова или «признаки, имеющие значение для расследования» (В.Н. Кудрявцев), или «криминалистические признаки преступления» (В.Г. Танасевич).

Анализируя данное положение, Г.А. Матусовский и А.Л. Дудников приходят к выводу о том, что криминалистический признак преступления -это факт, выступающий результатом преступного деяния (следы преступления в широком смысле слова), который с большей или меньшей степенью вероятности указывает на событие преступления, его обстоятельства.

Злоумышленники, стремящиеся проникнуть в информационные системы, осуществляют воздействие прежде всего на программно-технические устройства:

  • управления связью с другими пользователями;
  • управления устройствами ЭВМ;
  • управления файлами.
  • Именно устройства управления связью с другими пользователями являются «воротами», открыв которые можно получить доступ к компьютерной информации. Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создания специальной программы, автоматически подбирающей код вход в систему. Такая программа, перебирая возможные варианты, «дозванивается» до входа в систему.

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерами и информацией осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.

1 Кудрявцев В.Н. Общая теория квалификации преступлений. - М.: Юридическая литература, 1972. - С. 45.

101

Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:

а) изменение заданной в предпоследнем сеансе работы с ЭВМ структу ры файловой системы, в том числе:

переименование каталогов и файлов; изменения размеров и содержимого файлов; изменения стандартных реквизитов файлов; появление новых каталогов и файлов и т. п.

б) изменения в заданной ранее конфигурации компьютера, в том числе: изменение картинки и цвета экрана при включении; изменение порядка взаимодействия с периферийными устройст вами;

появление новых и удаление прежних сетевых устройств и др. i) необычные проявления в работе ЭВМ:

замедленная или неправильная загрузка операционной системы;

замедление реакции машины на ввод с клавиатуры;

замедление работы машины с дисковыми устройствами;

неадекватные реакции ЭВМ на команды пользователя;

появление на экране нестандартных символов и т. п. Признаки групп «а» и «б» могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или нарушении правил ее эксплуатации. Признаки группы «в» могут являться свидетельством о появлении в ЭВМ вредоносным программ - вирусов.

Помимо очевидных признаков, связанных с демонстрационным эффектом, характерным для конкретного вируса, на поражение программы могут указывать также следующие: изменение длины командного процессора; выдача сообщений об ошибках чтения (записи) при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и даты создания программы; программа выполняется медленнее, чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые

102

обращения к дискетам и файлам на защищенных дисках; потеря работоспо- собности некоторых резидентных программ и драйверов; аварийное завершение ранее нормально функционировавших программ: необъяснимое зависание или перезагрузка системы; уменьшением объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы1.

Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т. е. выключение и новое включение ЭВМ. При появлении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользования ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы.

Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности системы и устранения потерь информации, чем в фиксации признаков противоправных действий с ЭВМ.

Поэтому обстоятельства обнаружения первичных признаков компьютерных преступлений в дальнейшем, в ходе следствия, могут найти отражение лишь в свидетельских показаниях.

Вызываемые вирусами эффекты могут быть классифицированы по следующим основным категориям:

  • отказ компьютера от выполнения стандартной функции;
  • выполнение компьютером действий, не предусмотренных программой;
  • разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы;
  • 1 Безруков Н.Н. Компьютерная вирусология. Справочное руководство. — Киев, 1991. -С.31 -32.

103

  • выдача ложных, раздражающих, неприличных или отвлекающих со общений;

  • создание посторонних звуковых и визуальных эффектов;

  • инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или зависание программ или систем;
  • блокирование доступа к системным ресурсам;
  • имитация сбоев внутренних и периферийных аппаратных устройств;
  • ускорение износа оборудования или попытки его порчи.
  • При возникновении вирусных проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения вируса по сети, выявления и ликвидации этого вируса. Одновременно осуществляется поиск источника проникновения вируса в ЭВМ.

Наиболее частым случаем проникновения вируса в систему является работа пользователя с инфицированными дискетами. Поэтому адекватной реакцией администратора системы является физическое прекращение работы всех пользователей системы с дисководами и требование о проверке всех пользовательских дискет.

Учитывая, что с помощью специальных антивирусных программ вирусы идентифицируются, то есть устанавливается тип, а иногда и наименование вируса, в дальнейшем есть абстрактная возможность проследить шаг за шагом пути его «доставки» в конкретную ЭВМ.

При оценке следов не трудно обнаружить зависимость их от этапов выполнения преступных действий. Каждому этапу соответствуют свои следы, которые в определенной степени характеризуют действия преступника. Совокупность следов, появившихся в ходе развития криминальной ситуации, является базовым источником информации о способе совершения преступления. Сама информация «извлекается» в процессе исследования следов. Таким образом, появляется возможность, анализируя информацию, получен-

104

ную из следовой картины, установить каким образом действовал преступник и учитывать ее при планировании расследования преступлений.

§ 2. Исследование модели: построение типовых версий

Понятие тип (от греческого typos — отпечаток, форма, образец) определяется как форма, которая составляет основу ряда похожих или родственных индивидов, экземпляр или образец, который лучше всего представляет вид или род. Мышление, направленное на образование типов реализует стремление сознания к сжатому, краткому изложению мыслей, их ясности и связывает наглядность с общезначимостью. С точки зрения психологии типичное одинаково по смыслу с прегнантным (т. е. лаконичным, но содержательным, полным смысла) при помощи которого суть дела, по-видимому, выражается наиболее ясно. Однако важно иметь в виду, что чистых типов между реально существующими вещами не имеется. Среди них есть только смешанные типы.

Таким образом, типологическому способу рассмотрения свойственно объяснять отдельные предметы с точки зрения его существенных сторон, и таким образом способствовать их пониманию. Отсюда типовая версия связывает в рамках одного представления следовую картину преступления с некоторым предположением, к примеру, о мотивах субъекта, его специализации и т. д. Типовая версия, как экземпляр (образец), которая лучше всего представляет целый набора родственных версий, находиться нами в результате математического моделирования эмпирических данных, представляющих собой описание конкретного преступления в виде вектора качественных признаков ситуации, способа и субъекта преступления. Лучшая типовая версия здесь - лучшая в статистическом значении, например: коррелирующие или находящиеся ближе всего n-мерном пространстве признаки, предикативная (т. е. детерминированная правилами) связь между объясняющими переменными и переменной отклика. В этом исследовании, типовые версии

105

будут представлены и в виде своего рода аналоговой модели эмпирических данных - нейронной сети.

Для исследования эмпирических данных с целью экспликации типовых версий нами использовались относительно новые и пока практически не применяющиеся в криминалистических исследованиях аналитические методы известные как методы «Добыча данных».

Понятие «добыча данных» (Data Mining) определяется как процесс аналитического исследования больших массивов информации с целью выявления определенных закономерностей и систематических взаимосвязей между переменными, которые затем можно применить к новым совокупностям данных . Очень часто «добыча данных» трактуется как «смесь статистики, методов искусственного интеллекта и анализа баз данных», и до последнего времени она не признавалась полноценной областью интереса для специалистов по статистике, а порой ее даже называли «задворками статистики»2. Однако, благодаря своей большой практической значимости, эта проблематика ныне интенсивно разрабатывается и привлекает большой интерес, в том числе и в ее статистических аспектах.

Методы добычи данных приобретают все большую популярность в качестве инструмента для анализа «сырых» данных, особенно в тех случаях, когда предполагается, что из них можно будет извлечь полезные знания для принятия решений в условиях неопределенности. Применительно к целям нашего исследования этот аналитический метод используется здесь для выявления структуры и содержания типовых версий в расследовании преступлений в сфере компьютерной информации.

Системы добычи данных основываются на классических принципах разведочного анализа данных и построения моделей и используют те же подходы и методы3. Однако имеется важное отличие процедуры добычи

1 Pregibon D- Data Mining. Statistical Computing and Graphics, 7, 8. - 1997.

Там же. 3 См.: Айвазян С.А., Бухштабер В.М., Енюков И.С., Мешалкин Л.Д. Классификация и снижение размеренности. - М.: «Финансы и статистика», 1989.

106

данных от классического разведочного анализа данных: системы добычи данных ориентированы не на выяснение природы явления, а в большей степени на практическое приложение полученных результатов. Основное внимание уделяется поиску решений, на основе которых можно было бы строить достоверные прогнозы, правила, версии.

Таким образом, в области добычи данных принят такой подход к анализу данных и извлечению знаний, который иногда характеризуют словами «черный ящик». При этом используются не только классические приемы разведочного анализа данных, но и такие методы, как нейронные сети, которые позволяют строить достоверные прогнозы, не уточняя конкретный вид тех зависимостей, на которых такой прогноз основан.

Процесс добычи данных включает три основных этапа: исследование, построение модели (или структуры) и ее проверку. В идеальном случае, при достаточном количестве данных, можно организовать итеративную процедуру для построения устойчивой (робастной) модели. В то же время, в реальной ситуации на стадии анализа проверить математическую модель практически невозможно и поэтому начальные результаты носят характер эвристик, которые можно использовать в процессе принятия решения (например, «Если преступление совершено путем компьютерного взлома, то его мог совершить только программист»).

В отличие от традиционной проверки гипотез, предназначенной для проверки априорных предположений, касающихся связей между переменными (например: «Имеется положительная корреляция между возрастом человека и его нежеланием рисковать»), анализ исходной информации методами добычи данных осуществляется для нахождения связей между переменными в тех ситуациях, когда недостаточны или отсутствуют совсем априорные представления о природе этих связей.

Как правило, при этом виде анализа учитывается и сравнивается большое число переменных, а для поиска закономерностей используются самые

107

разные методы. В нашем исследовании мы использовали два метода добычи данных: «деревья классификации» и нейронные сети.

Сначала опишем нашу методику перехода от эмпирических данных к представляющей их абстрактной системе.

В большинстве случаев объекты обладают практически бесконечным числом свойств, любое из которых можно вполне осмысленно изучать и, как следствие, почти любой объект невозможно изучить полностью. Это означает, что необходимо отобрать ограниченное (и обычно довольно малое) число характеристик, наилучшим образом описывающих данный объект как явление . Концептуальное и методологическое обоснование выбора характеристик способа совершения преступлений в сфере компьютерной информации как объекта мы уже осуществили.

На интересующем нас объекте система будет задана тогда, когда набору определенных нами свойств будет назначена определенная переменная. Термин переменная используется нами в этом исследовании для обозначения абстрактного образа свойства. С каждым свойством связано множество его появлений (проявлений).

Итак, каждая переменная имеет определенное имя (метку), отличающее её от других рассматриваемых переменных, и связывается с определенным множеством величин, через которые она себя проявляет. Эти величины будем называть состояниями (значениями) переменной, а все множество -множество состояний.

При однократном наблюдении свойство имеет одно конкретное проявление. Для определения возможных изменений его проявлений требуется множество наблюдений этого свойства, различающихся друг от друга относительно некой базы. Базой представляющей системы будет выступать совокупность (группа) преступлений в сфере компьютерной информации. Данные получены из анализа уголовных дел в Нижегородской, Московской областей за период с 1998 по 2001 гг. Всего было проанализировано более 140

108

дел. При выборе мы старались охватить как можно больше различных способов совершения преступлений в сфере компьютерной информации.

Для исследования компьютерных преступлений было отобрано 12 свойств. Приведем их описания конкретных состояний и определим соответствующие им метки (потому, что проявления переменных носят качественный характер) обобщенных состояний (см. таблицу 2).

Таблица 2.

Переменная Конкретное проявление Обобщенное состояние Мотив Корысть 1

Шпионаж 2

Вандализм 3

Интерес и самоутверждение 4

Террор 5

Сокрытие и маскировка 6

Личные 7

Слабо мотивированные 8 Сфера деятельности Программист 1

Электронщик 2

Пользователь 3

Обслуживающий персонал 4

Управление 5 Отношение к предмету Внутренний 1

Внешний со связью 2

Внешний без связи 3 Организация Одиночка 1

Группа по предварительному сговору 2

Организованная группа 3 КлирДж. Системология. Автоматизация решения системных задач: Пер. с англ. -М: Радио и связь, 1990. - С. 234 .

109

Время Рабочее 1

Нерабочее 2 Место преступления Непосредственно 1

Внутри объекта 2

Вне объекта 3 Компьютеризация объекта Отсутствие сети 1

Локальная сеть 2

Глобальная сеть 3 Защита информации Высокая 1

Средняя 2

Слабая 3 Способ преступления Прямой доступ 1

Манипуляции ввода-вывода 2

Компьютерный взлом 3

Перехват информации 4

Аппаратная модификация 5 Предмет преступления Данные 1

Программы 2

Аппаратура 3

Каналы связи 4 Принцип Субъектный 1

Программный 2

Аппаратный 3 Последствия Уничтожение 1

Блокирование 2

Модификация 3

Копирование 4 Эта представляющая система имеет три существенных методологических отличия от других систем: а) все переменные определены на качествен-

по

ном множестве состояний; б) экземпляр данных относительно базы представляет собой отдельное преступление и, в) вектор (профиль) номинальных состояний многомерный.

Статистики качественных переменных разработаны достаточно хорошо. Однако вместе с тем они не применимы именно к многомерными данным, и вычисляют только характеристики табулированных (группированных) данных. В терминах постановки нашей задачи при группировке данных концептуальная и методологическая сущность базы разрушается. При этом связать в единую систему боле 2-х переменных (за исключением группировки) нельзя. А для построения типовых версий, нам необходимо одновременное проявление всех переменных следовой картины преступления. Именно это и послужило методологическим основанием выбора методов моделирования: деревьев классификации и нейронных сетей.

Построение деревьев классификации - один из наиболее важных методов, используемых при проведении «добычи данных». Это метод, позволяющий предсказывать принадлежность наблюдений или объектов к тому или иному классу категориальной зависимой переменной в зависимости от соответствующих значений одной или нескольких предикторных (от английского predict - предсказывать) независимых переменных. Цель построения деревьев классификации заключается в предсказании (или объяснении) значений категориальной зависимой переменной, и поэтому используемые методы тесно связаны с более традиционными методами дискриминантного и кластерного анализа, непараметрической статистики и нелинейного оценивания. Широкая сфера применимости деревьев классификации делает их весьма привлекательным инструментом анализа данных.

Изучение деревьев классификации не слишком распространено в вероятностно- статистическом распознавании образов1, однако они широко используются в таких прикладных областях, как медицина (диагностика), программирование (анализ структуры данных), ботаника (классификация) и

Ill

психология (теория принятия решений) . Деревья классификации идеально приспособлены для графического представления, и поэтому сделанные на их основе выводы гораздо легче интерпретировать, чем, если бы они были представлены только в числовой форме.

Другая отличительная черта метода деревьев классификации - это присущая ему гибкость. Статистическая сущность деревьев классификации последовательно объяснять эффект влияния отдельных переменных. Есть еще целый ряд причин, делающих деревья классификации более гибким средством, чем традиционные методы анализа. Способность деревьев классификации выполнять одномерное ветвление для анализа вклада отдельных переменных дает возможность работать с предикторными переменными различных типов: категориальными (номинальными), порядковыми (ранговыми), интервальными, непрерывными . А в классическом линейном дискри-минантном анализе требуется, чтобы предикторные переменные были измерены как минимум в интервальной шкале . В случае же деревьев классификации с одномерным ветвлением по переменным, измеренным в порядковой шкале, любое монотонное преобразование предикторной переменной (т. е. любое преобразование, сохраняющее порядок в значениях переменной) создаст ветвление на те же самые предсказываемые классы объектов (наблюдений). Поэтому дерево классификации на основе одномерного ветвления можно строить независимо от того, соответствует ли единичное изменение непрерывного предиктора единичному изменению лежащей в его основе величины или нет, достаточно, чтобы предикторы были
измерены в

Breiman, L., Friedman, J. К, Olshen, R. A., & Stone, C. J. Classification and regression trees. Monterey, CA: Wadsworth & Brooks/Cole Advanced Books & Software. - 1984.

2 См.: Браверман Э.М., Мучник И.Б. Структурные методы обработки эмпирических данных. - М.: Наука, 1983.

3 См.: Миркин Б.Г. Анализ качественных признаков и структур. - М, 1989.

4 См.: Айвазян С.А., Бухштабер В.М., Енюков И.С., Мешалкин Л.Д. Классификация и снижение размеренности. - М: «Финансы и статистика», 1989; Fisher R.A.The use of multiple measurements in taxonomic problems. Annals of Eugenics, 7, - 1936.; Fisher R.A. Sta tistical Methods for Research Workers (6th ed.). Edinburgh: Oliver and Boyd, 1936.

112

порядковой шкале. Иными словами, на способ измерения предикторной пе- ременной накладываются гораздо более слабые ограничения.

Для целей классификации нами строились деревья по алгоритму одномерного ветвления по методу «Classification And Regression Trees» - CART1. CART — это программа деревьев классификации, которая при построении дерева осуществляет полный перебор всех возможных вариантов одномерного ветвления.

У этого метода есть один незначительный недостаток. В случаях, когда имеется много предикторных переменных с большим числом уровней, поиск методом CART может оказаться довольно продолжительным. Кроме того, этот метод имеет склонность выбирать для ветвления те предикторные переменные, у которых больше уровней. Однако поскольку здесь производится полный перебор вариантов, есть гарантия, что будет найден вариант ветвления, дающий наилучшую классификацию (по отношению к обучающей выборке; вообще говоря, это необязательно будет так для кросс-проверочных выборок).

Все вычисления, представленные в этом разделе, а именно: построение деревьев классификации, вычисление критерия % К.Пирсона, были проведены в статистической системе Statistika 5.5А. Разделение классов проводились методом CART; со следующими параметрами: FACT-style direct stoping, Fraction of objects = 0,5; V-fold for cross-validation = 3, Seed =12.

Как понимать данные деревьев классификации? На рисунке №а представлена диаграмма дерева, отражающего правила, связывающие переменные способа совершения преступления с переменной, кодирующей сферу деятельности субъекта преступления по пяти категориям: (1) программисты, (2) электронщики, (3) пользователи, (4) обслуживающий персонал, (5) управление. На этой и других диаграммах, представляющих результаты это-

1 Breiman, L., Friedman, J. Н., Olshen, R. A., & Stone, C. J. Classification and regression trees. Monterey, CA: Wadsworth & Brooks/Cole Advanced Books & Software, 1984.

113

го исследования, метки (в этом случае цифры 1-5) номинальных категорий (классов) расположены в левом верхнем углу диаграммы.

Независимых переменных четыре. Первая представляет вид конкретного способа совершения неправомерного доступа. Она конкретизируется пятью номинальными проявлениями: (1) компьютерный взлом, (2) перехват, (3) прямой доступ, (4) аппаратная модификация, (5) манипуляции. В статистической программной системе она кодируется как WID. Вторая переменная отражает предмет преступления (PREDM); она конкретизирована следующими проявлениями: (1) данные, (2) программы, (3) аппаратура, (4) каналы связи. Третья переменная принцип совершения преступления (PRINZIP), конкретизирована на следующие проявления: (1) субъектный, (2) программный, (3) аппаратный. Четвертая переменная отражает характер последействий совершения преступлений (POSLEDST). Она конкретизирована на 4 проявления: (1) удаление, (2) блокирование, (3) модификация, (4) удаление.

Диаграмму дерева классификации удобно воспринимать зримо. Однако она не совсем удобно отражает гистограмму распределения экземпляров данных попавших в узел. Заметим, мы намеренно используем эту диаграмму для начала анализа так как получившееся дерево достаточно простое. Оно не глубокое (мало ветвей). При увеличении глубины дерева обозревать его наглядно не всегда бывает не только не удобно, но и практически невозможно. Поэтому некоторые глубокие классификации диаграммами не представлены вообще. Структура дерева представляется таблицами, подобными той, что приведена ниже (таблица 3).

В этой таблице столбцы для удобства обращения к ней пронумерованы.

Диаграммы деревьев классификации удобнее для анализа, если представляют дерево корнем вверх (см. рисунок 5). Фактически у дерева на диаграмме корня нет. Корнем называется вершина (узел) диаграммы, располо-

114

женный выше всех других узлов. С точки зрения данных этот узел весь их исходный набор. В таблице 3 это узел с номером 1.

Таблица 3.

Но мер узл а Номера узлов после деления Количество экземпляров в классе Пре дска занн ый клас с Раздел яющая переме нная Услови е раздел ения

по левой ветке по правой (1) Прог рамм ист (2) Элект ронщ ик (3) Поль зоват ель (4) Обслу живаю щий персон ал (5) Уп рав лен ие

1 2 3 4 5 6 7 8 9 10 И 1 2 3 64 29 23 21 8 1 WID 1 2 4 5 58 27 0 7 0 1 WID 1 3

6 2 23 14 8 3

4

51 1 0 3 0 1

5

7 26 0 4 0 2

На первом шаге находиться первое условие, разделяющее дерево на две ветви: левую и правую. На конце левой ветви образуется вершина (узел) с номером 2 (см. в таблице 3 пересечение строки 1 и столбца 2). Номера строк таблицы естественно представлены номерами узлов (столбец 1). На правой ветви появляется вершина с номером 3.

Отысканное условие формулируется следующим образом: если экземпляр данных по переменной вид (WID) принимает номинальное значение 1, 2 или 4, то он попадает в узел налево, т. е. в вершину 2; а если принимает значение 3 или 5 - направо, в терминальную (висячую, далее не разделяющуюся) вершину 3. Таким образом, экземпляры данных, удовлетворяющие условию, попадают в левый (новый) узел, а не удовлетворяющие условию (опять новый) в правый.

Терминальные вершины и выражают найденные правила связывающие предикторные (объясняющие) переменные с объясняемой переменной (переменной отклика). Найденное алгоритмом правило (терминальная вершина

115

3) формулируется следующим образом: «Если способ совершения преступления был совершен путем (3) прямого доступа или представлял собой (5) манипуляцию с данными или программами, то вероятнее (таблица 3) всего преступление совершил пользователь или обслуживающий персонал, имеющий прямой доступ к компьютеру». Таблица 4 представляет собой строку 3 таблицы 3 (отражающей структуру дерева классификации в целом) на пересечении столбцов №№ 4-8.

Как видно первая терминальная вершина не выделяет однозначно круг субъектов. Однако первое правило можно переформулировать несколько иначе: «Квалифицированные специалисты (программисты и электронщики) преступления путем (3) прямого доступа или (5) манипуляциями ввода-вывода с данными не совершают».

Оценим качество полученного правила. Другими словами, выясним насколько при таком распределении можно выделить ту или иное проявление (категорию) зависимой переменной - в этом случае тип субъекта. Для этого традиционно в отечественной математической статистике используют кри-

2 ТУ

терии определения расхождения или согласия распределении - это % К. Пирсона и X Колмогорова-Смирнова. Здесь мы воспользуемся % критерием К. Пирсона.

Classification Tree for PROFES Number of splits = 10; Number of terminal nodes = 11

1

•2 3 4

-5

Рис. 8

117

Распределение данных в терминальной вершине 3 из таблицы 3 строки 3 покажем для наглядности в отдельной таблице 4.

Таблица 4.

Субъект Абсолютное значение Относительный вес Номер класса Тип

1 Программист 6 0,11 2 Электронщик 2 0,04 3 Пользователь 23 0,43 4 Обсуживающий персонал 14 0,26 5 Управление 8 0,15 При данных (таблица №№3, 4), отражающих распределение частот, на уровне значимости а=0,001 при степени свободы v=4 критическое значение Х2=13,277, а вычисленный х2==25,208. Так как %2критическое < Х2> то однозначно можно утверждать, что полученное распределение отличается от равномерного распределения. Или другими словами, что вероятнее всего субъектом при первом условии классификации будет пользователь.

Насколько вероятно, что субъектом может оказаться и обслуживающий персонал. Для этого из распределения уберем частоту 23 - категория пользователя - и пересчитаем критерий К. Пирсона еще раз.

Без значения 23 (частота категории пользователь) а=0,05 при степени свободы v=3 критическое значение %2=7,815, а вычисленный х=Ю,000. Так как х2кРитическое < %2> то с достаточной степенью уверенности можно утверждать, что первое условие классификации допускает, что наряду с пользователем преступление может путем прямого доступа или манипуляцией с данными или программами и технический сотрудник. Распределение частот остальных категорий носит случайный характер.

Для классификации данных по второму условию (в узле №2; см. в таблице 3 строку 2 или метку и значение условие под узлом 2 на рисунке 5) используется та же самая переменная вид способа совершения преступления

118

(WID). После этого ветвления алгоритм свою работу закончил; вершины 4 и 5 терминальные. Найдены два фактически точных правила.

Первое правило (см. в таблице 3 строку 4) однозначно формулируется следующим образом: «Если преступление совершено путем (I) компьютерного взлома, то его мог совершить только (1) программист». Или чуть на естественном языке: «только программисты могут взламывать системы защиты информационных систем и базы данных».

Второе правило (см. в таблице 3 строку 5) выглядит следующим образом: «Если преступление совершено путем (2) перехвата или (4) используя аппаратную модификацию, то с очень большой долей уверенности можно утверждать, что его совершил (2) специалист по аппаратной части компьютера (электронщик)».

Построенное дерево классификации позволяет сделать вывод о том, что для построения типовой версии о сфере деятельности субъекта преступления по следам, характеризующим способ совершения достаточно выявить вид способа совершения. Характеристика способа по предмету преступления, принципу, характеру последствий принципиально новой информации не добавляет.

Более полную систему типовых версий по субъекту можно построить, если учитывать не только следовую картину способа, но и характеристики ситуации, которые представляют собой параметры положения субъекта (непосредственно за компьютером или доступ к рабочей станции осуществлен через сеть), время совершения преступления (в рабочее или не в рабочее), компьютеризация объекта (отсутствует сеть, локальная или глобальная), степень организационных, технический и программных мер защиты.

Соответствующая дереву классификации таблица 5. Поскольку дерево глубокое, то наглядно представить его в виде диаграммы в этом формате не представляется возможным.

119

Таблица 5.

Ном ер узл а Номера узлов после деления Количество экземпляров в классе Пред сказа нный класс Разделяющ ая переменная Усло вие разд елен ия

« н

0)

ш о

И D

ч о

с о

CD cd

Он

С

о

я н о

Я

S

2 а

& о

Он Я

В

Я

о

&

и (1) ч ь0

ч

m о

со

Ч О

С

со эк

я

В § §

оа к я
о

ft CL,

  • в

VO

О Я

я

ч со

03 Он

X

1 2 3 4 5 6 7 8 9 10 И 1 2 3 64 29 23 21 8 1 WID 1 2 4 5 51 1 0 3 0 1 КОМРОВ 2 3 6 7 13 28 23 18 8 2 WID 4 4

1 0 0 2 0 4

5 8 9 50 1 0 1 0 1 PRINZIP 2 6 10 11 7 26 0 4 0 2 PRINZIP 2 7 12 13 6 2 23 14 8 3 MESTO 2 8

50 0 0 1 0 1

9

0 1 0 0 0 2

10

5 1 0 0 0 1

11 14 15 2 25 0 4 0 2 POSLED 3 12 16 17 2 1 23 14 8 3 PREDM 1 13

4 1 0 0 0 1

По описанной выше подробно методике анализа деревьев классификации сформулируем следующие типовые версии:

Если сеть средней защищенности была взломана прямыми действиями субъекта или с использованием программных средств, то это совершил программист;

120

Если был осуществлен перехват или аппаратная модификация непо- средственными действиями субъекта или с использованием аппаратуры не преследовавшим цель их удаления, то это совершил специалист электронщик;

Если данные или программа (ы) были использованы или удалены непо- средственно с рабочей станции, прямым доступом или через локальную сеть, то это совершил пользователь;

Если был осуществлена аппаратная модификация аппаратуры или каналов связей,

Или данные путем непосредственного доступа были блокированы,

Или данные были модифицированы на компьютере с высокой степенью защиты,

То это совершил обслуживающий персонал.

Далее перейдем к построению типовых версий в отношении других ха- рактеристик субъекта преступления. Одной из важных его характеристик яв- ляется отношение к организации, где было совершено преступление. Это может быть работник этой организации, не работающий в организации, но реализующий действия через сотрудников или служащих организации, или, наконец, никакого прямого или косвенного отношения к организации не имеющий.

На рисунке 6 представлена диаграмма дерева, классифицирующего категории, отражающие признак отношения субъекта к организации, в которой было совершено преступление по признакам способа совершения преступления. Эти признаки нами были перечислены выше (при классификации субъекта по профессиональной принадлежности).

Фрагмент базы эмпирических данных для обработки методом деревьев классификации приведены в приложении №1.

Диаграмма будет понятнее, если дополнить её таблицей структуры узлов (см. таблицу 6).

121

Classification Tree for OTNOCH Number of splits = 6; Number of terminal nodes = 7

Рис.6

Первое правило тривиально (смотри, соответственно рисунок 6 и представление распределения в таблице 6: для третьего терминального узла): «Если способ совершении действий осуществлялся прямым доступом или манипуляциями ввода-вывода, с подавляющей уверенностью это совершил работник организации».

Второе правило для «висячей» (терминальной) вершины №7 характеризует типовую версию о субъекте, который никакого прямого или косвенного отношения не имеет: «Если был совершен компьютерный взлом, перехват или аппаратная модификация программным или аппаратным путем, то это совершил субъект прямого или косвенного отношения к работникам организации не имеющий».

Ветвление дерева в узле №6, образующее терминальную вершину №10 уточняет предыдущее (второе правило) для «субъекта без связи с организацией»: «Проникновение подобного субъекта, как правило, связано с целью удаления или блокирования данных или программ». Если для первых двух терминальных вершин №№3,7 статистическая значимость правила очевидна, то для распределения в узле №10 удостоверимся, что оно значимо отличает-

122

ся от равномерного. Действительно на уровне значимости а=0,001 при v=2 степенях свободы критическое значение % Критическое(9,210) < % (14,625), т. е. оно значимо отличается от равномерного.

Таблица 6.

Номе р узла Номера узлов после деления Количество экземп- ляров в классе Предск азанны й класс Разделяюща я переменная Услов ие разде ления

«и « н а»

CQ

3S О

СО

ч о

с 3S О

а

с

о

с к СО о о

5 2

а * я
S

И ° го

Ю

«

1 s

я °

m

1 2 3 65 20 60 1 WID 4 2 4 5 24 13 55 3 POSLEDST 3 3

41 7 0 1

4 6 7 13 6 48 3 PRINZIP 1 5 8 9 11 7 7 1 PREDM 2 6 10 11 10 3 15 3 POSLEDST 2 7

3 3 33 3

8

0 1 3 3

9 12 13 11 6 4 1 PREDM 1 10

6 1 13 3

11

4 2 2 1

12

11 5 4 1

13

0 1 0 2

Ветвление до терминальной вершины №12 уточняет признаки субъекта, который по всей видимости является сотрудником организации, если предметом его преступных действий была аппаратура или каналы связи. Правило значимо на уровне а=0,05 при v~2 степенях свободы критическое значение х2критическое(5,991) < %2 (6,375).

123

Classification Tree for OTNOCH Number of splits = 4; Number of terminal nodes = 5

1

2

3 [i T

Рис.7

На рисунке 7 представлена диаграмма дерева, классифицирующего категории, отражающие признак отношения субъекта к организации, в которой было совершено преступление по признакам ситуации совершения преступления (см. таблицу 7).

Первое правило на терминальной вершине №4 статистически незначимо.

Правило в терминальной вершине №6 хотя и чистое (категории не смешиваются) и высоко значимо (а=0,001), но в силу недостаточного количества примеров попавших в класс может считаться лишь пилотажным: «Если доступ был совершен в сильно защищенную локальную сеть, то это было предпринято «внешним субъектом» через сотрудника организации».

Правило в терминальной вершине №7 (а=0,001) уточняет, что «если сеть защищается в средней степени или слабо, то тогда для совершения преступных действий «внешний субъект» мало нуждается в каком-либо участии сотрудников организации».

124

Таблица 7.

Ном ер узла Номера узлов после деления Количество экземпляров в классе Предск азанны й класс Разделяю щая переменна я Услови е раздел ения

Н PQ

ад о ю

о

с О

m

ев

С

о

с я о, н ;»

я о о

«

э §

& ?3 я
g

PQ ° со

0>

VO

зЯ

Э «

Я ° СО

1 2 3 65 20 60 1 MESTO 2 2 4 5 61 15 0 1 КОМ_ОВ 3 3 6 7 4 5 60 3 ZACH 1 4

6 7 0 2

5 8 9 55 8 0 1 КОМ ОВ 2 6

0 3 0 2

7

4 2 60 3

8

6 7 0 2

9

49 1 0 1

Правило в терминальной вершине №9 тривиально: «Непосредственно к рабочей станции имеет доступ только сотрудник организации».

И, наконец, верифицируем нашу концептуальную модель преступлений в сфере компьютерной информации построением методом деревьев классификации типовых версий организованности субъекта.

125

Таблица 8.

Ном ер узла Номера узлов после деления Количество экземпля- ров в классе Предс казанн ый класс Разделяю щая переменна я Услови е раздел ения

« н

<D СО

« О DQ <D

О

я О

m

03

а

я

о

я О

Я

Я

о 03

Я

с

Он

U а

я я

03

СО t-i

я и

Я >~»

оЗ Р<

Он

О

СП

1 2 3 72 20 53 1 POSLED 3,2,1 2 4 5 50 18 22 1 КОМ ОВ 1 3 6 7 22 2 31 3 ZACH 2,1 4

22 0 3 1

5 8 9 28 18 19 1 PRINZIP 1 6

5 0 16 3

7 10 11 17 2 15 1 WID 3,2 8 12 13 14 2 9 1 PREDM 3 9 14 15 14 16 10 2 WID 3,2 10 16 17 9 1 14 3 MESTO 2 И

8 1 1 1

12

6 0 0 1

13 18 19 8 2 9 3 ZACH 2,1 14

0 2 4 3

15 20 21 14 14 6 1 WID 1 16

4 0 0 1

17 22 23 5 1 14 3 PREDM 1 18

0 0 3 3

19

8 2 6 1

20

9 13 4 2

21

5 1 2 1

22 24 25 4 1 14 3 КОМ ОВ 2 23

1 0 0 1

24

1 0 0 1

25

з 1 14 3

Итак, эксплицируем из дерева классификации составляющие компо- ненты типовых версий о действиях субъекта в одиночку. Таких версий несколько, это терминальные вершины (см. узлы в таблице 8 строки №№ 4, 11, 12, 16). Субъект действует в одиночку, если:

126

Отсутствует сети. Правило отнюдь не тривиально и не сводиться к выводу одна рабочая станция - один человек.

Доступом (изнутри или входя извне) через слабо защищенную сеть к удаленной рабочей станции путем взлома, аппаратной модификации или манипуляцией с данными (или программой) они были удалены;

Похищены, модифицированы аппаратные компоненты слабо защищенной сети (или сети без защиты вообще) или рабочих станций.

Типовые версии о группе, совершившей противоправные действия по предварительному сговору, могут иметь место быть, если следовая картина ситуации и способа характеризуются следующим образом (см. терминальные вершины, строки в таблице 8 с номерами №№ 6, 18, 25):

Данные или программы были удалены на объекте с сильно защищенной сетью;

Предметом действий стали аппаратные компоненты сильно защищенной сети.

Можно задать вопрос, почему терминальных вершин, классифицирующих распределение классов субъекта по признаку организованности, три, а правил всего два. Дело все в том, что алгоритм деревьев классификации построен таким образом, что он сначала пытается разбить весь набор данных на большие непересекающиеся классы. При этом какая-то часть данных не попадает «ни к умным» ни «к красивым». И только потом, разобравшись с ними, через «утешительную» систему условий она выходит, фактически, на те же условия, по которым выделила некоторый класс чуть выше. Ведь каждый раз она работает только с одной независимой переменной. Терминальные вершины в глубине с тем же условием, что и на вершине дерева, получаются после того, как алгоритм «убедиться» в не значимости проявления переменных. Однако это не видно с самого начала. Убедиться в этом можно, проследив по отсеиванию условий, что терминальные вершины №6 и №25 представляют одно и тоже правило.

127

Возможности построения (по этому дереву классификации) типовых версий о действиях совершенных группой без предварительного сговора не столь широки и чисты. Только терминальная вершина с №20 представляет условия для выдвижения подобной версии. На уровне значимости в а=0,001 (при v=2 степенях свободы), критическое значение х2критическое(9,210) < %2 (13,875) дает достаточно оснований считать распределение классов в этой терминальной вершине отличной от равномерного, а значит с уверенностью относить эти условия классификации к следовой картине выдвигаемой типовой версии. Типовая версия формулируется по следующим обстоятельствам: а) компьютерный взлом б) извне средне или слабо защищенной сети в) с ис- пользованием программных средств. Специалисту в области сетей сразу ста- новиться очевидным, что это условия массированной атаки неорганизованных между собой «хакеров», привлеченных возможностью использовать широко известный программный продукт или информацию с веб-узла.

Обладая уникальными возможностями для обработки больших многомерных массивов качественных данных, что было продемонстрировано в этом исследовании, деревья классификации обладают одним существенным недостатком. Они не могут выделять классы по отношению к многомерной зависимой переменной (отклика). Применительно к целям нашего исследования, деревья классификации не могут, схватывая следовую картину обстоятельств в целом, по одним и тем же следам и выдать версию о субъекте сразу по трем признакам: профессии, отношению к чему и степени организованности. При этом на практике имеющаяся следовая картина может быть неполна (или противоречива), и поэтому не подходить в целом ни к одной из типовых версий.

Преодолеть это существенный недостаток мы попытались в рамках нейросетевого подхода.

Нейросети - новый инструмент анализа данных . Они успешно применяются в самых различных областях - бизнесе, медицине, технике, геологии,

1 ZuradaJ. M. Introduction to artificial neural systems. PWS Publishing Company, 1992.

128

физике. Нейронные сети вошли в практику везде, где нужно решать задачи прогнозирования, классификации или управления.

Нейронные сети интуитивно просты в использовании. Цикл работы с сетью удачно выражается аналогией, передающей сущность обучения человека . Для обучения сети пользователь должен подготовить набор обучающих данных. Эти данные представляют собой примеры входных данных (независимых, объясняющих переменных) и соответствующих им выходов (зависимых переменных или переменных отклика). Настройка сети происходит путем обучения, т. е. она учится устанавливать связь между первыми и вторыми. Пользователь нейронной сети подбирает представительные данные, а затем запускает определенный алгоритм обучения, который определенным образом отражает в своей структуре структуру представленных данных (примеров). Имеющиеся данные используются для корректировки весов и пороговых значений сети таким образом, чтобы минимизировать ошибку прогноза на обучающем множестве. Если сеть обучена хорошо, она приобретает способность моделировать (неизвестную) функцию, связывающую значения входных и выходных переменных, и впоследствии такую сеть можно использовать для прогнозирования в ситуации, когда выходные значения неизвестны.

При обучении сети от пользователя, безусловно, требуется какой-то набор эвристических знаний о том, как следует отбирать и подготавливать данные, выбирать нужную архитектуру сети и интерпретировать результаты, однако их уровень, необходимый для успешного применения нейронных сетей, гораздо скромнее, чем, например, при использовании традиционных методов статистики.

Нейронные сети — исключительно мощный метод моделирования, по-зволяющий воспроизводить чрезвычайно сложные зависимости . В практи-

’ См.: Горбань А.Н. Обучение нейронных сетей. - М.: изд. СССР-США СП «Пара-Граф», 1990.; Горбань А.Н., Россиев Д.А. Нейронные сети на персональном компьютере. -Новосибирск: Наука (Сиб. отделение), 1996.

2 См.: Горбань АН., Россиев Д.А. Нейронные сети на персональном компьютере. - Новосибирск: Наука (Сибирское отделение), 1996.

129

ческом плане важно то, что лучше других им может воспользоваться специалист именно в своей предметной области. Основные трудности на пути широкого распространения нейротехнологий - в неумении широкого круга профессионалов в различных предметных областях (в т.ч. и криминалистов) формулировать свои проблемы в терминах, допускающих простое нейросе-тевое решение.

Приводимый нами метод экспликации типовых версий по расследованию преступлений, совершаемых в сфере компьютерной информации, призван как раз показать возможность постановки и решения этой задачи используя нейросетевой подход. Для этого, прежде всего, покажем основные гносеологические, методологические, экспериментальные и предпосылки релевантности парадигмы нейрокомпьютинга задачам и структуре собранных эмпирических данных.

Родовая черта этой парадигмы — нацеленность на обработку образов1. Она выражается аналогией в сравнении со способом функционирования головного мозга. И в самом деле, изначально нейронные сети привлекательны с интуитивной точки зрения, ибо они основаны на примитивной биологической модели нервных систем. Нейронные сети возникли из исследований в области искусственного интеллекта, а именно, из попыток воспроизвести способность биологических нервных систем обучаться и исправлять ошибки, моделируя низкоуровневую структуру мозга.

Основной областью исследований по искусственному интеллекту в 60-е - 80-е годы были экспертные системы. Такие системы основывались на высокоуровневом моделировании процесса мышления (в частности, на пред- ставлении, что процесс нашего мышления построен на манипуляциях с сим- волами), Скоро стало ясно, что подобные системы, хотя и могут принести пользу в некоторых областях, не ухватывают некоторые ключевые аспекты человеческого интеллекта. Согласно одной из точек зрения, причина этого состоит в том, что они не в состоянии воспроизвести структуру мозга. Чтобы

130

создать искусственный интеллект, необходимо построить систему с похожей архитектурой2.

Характерной особенностью нейросетей является их способность к обобщению, позволяющая обучать сеть на ничтожной доле всех возможных ситуаций, с которыми ей, может быть, придется столкнуться в процессе функционирования . В этом их разительное отличие от обычных вычислительных подходов, программа которых должна заранее предусматривать их поведение во всех возможных ситуациях, или же экспертных систем состоящих по сути из исчерпывающего набора детерминированных предикатов (правил) связывающих признаки обстоятельств с некоторым решением.

Типичный пример сети с прямой передачей сигнала показан на рисунке 8. Нейроны регулярным образом организованы в слои. Входной слой служит просто для ввода значений входных переменных. Каждый из скрытых и выходных нейронов соединен со всеми элементами предыдущего слоя.

При работе (использовании) сети во входные элементы подаются значения входных переменных, затем последовательно отрабатывают нейроны промежуточных и выходного слоев. Каждый из них вычисляет свое значение активации, беря взвешенную сумму выходов элементов предыдущего слоя и вычитая из нее пороговое значение. Затем значение активации преобразуются с помощью функции активации, и в результате получается выход нейрона. После того, как вся сеть отработает, выходные значения элементов выходного слоя принимаются за выход всей сети в целом.

1 См.: Дуда Р., Харт П. Распознавание образов и анализ сцен.- М.: Мир, 1976; Фор А. Восприятие и распознавание образов.- М: Машиностроение, 1989.

2 См.: Розенблатт Ф. Принципы нейродинамики. Персептрон и теория механизмов мозга. - М.: Мир, 1965; Минский М., Пайперт С. Персептроны. - М.: Мир, 1971; Ивахнен- ко А.Г. Персептроны. - Киев: Наукова думка, 1974; Hopfield J.J. Neural Networks and Physi cal systems with emergent collective computational abilities // Proc. Nat. Sci. USA. 1982. V.79. P. 2554-2558

3 См.: Итоги науки и техники.- Сер. «Физ. и матем. модели нейронных сетей» / Под ред. А.А. Веденова. - М.: Изд-во ВИНИТИ, 1990-92 - Т. 1; Судариков В.А. Исследование адаптивных нейросетевых алгоритмов решения задач линейной алгебры // Нейрокомпью тер. - 1992. - № 3,4. - С. 13 - 20.

131

Рис. 8

Итак, для обучения нейронной сети нами использовалась та же самая представляющая система, данных, которая была использована для построения деревьев классификации.

Первый этап нейросетевого анализа - предобработка данных. Хотя предобработка не связана непосредственно с нейросетями, она является одним из ключевых элементов этой информационной технологии. Успех обучения нейросети может решающим образом зависеть от того, в каком виде представлена информация для ее обучения.

Нейронная сеть с качественными данными нашей представляющей системы не работает. Поэтому первый этап работы с сетью заключался в подготовке данных и переводе их номинальной в числовую шкалу.

Номинальные переменные могут быть двузначными, например, пол (мужской или женский) или многозначными (т. е. принимать более двух значений или состояний). Двузначную номинальную переменную легко преобразовать в числовую, например мужской = 0, женский = 1. Вот, с многозначными номинальными переменными дело обстоит сложнее. Казалось бы, их тоже можно представить одним числовым значением, например (см. переменную, характеризующую способ совершения преступления, Предмет): программа = 0, аппаратура = 1, данные = 2. Однако при этом возникнет (возможно) ложное упорядочивание значений номинальной переменной. В рассмотренном примере аппаратура окажется чем-то средним (возможно по несущественному для задачи параметру) между программой и данными.

132

Существует более точный способ, известный как кодирование «1 из N», в котором одна номинальная переменная представляется несколькими числовыми переменными. Количество числовых переменных равно числу возможных значений номинальной переменной; при этом всякий раз ровно одна из N переменных принимает ненулевое значение, например: программист = {1,0,0}, пользователь = {0,1,0}, технический персонал = {0,0,1}.

К сожалению, номинальная переменная с большим числом возможных состояний потребует при кодировании методом 1-H3-N очень большого количества числовых переменных, а это приведет к росту размеров сети и создаст трудности при ее обучении. Статистически доказано, что желательно иметь выборку по числу данных в пять (еще надежнее) в десять раз превышающему количество переменных. Кодирование переменных нашей представляющей системы приводит (приложение №2) к 18 новым переменным, а число примеров 147, что дает 8-ми кратное превышение. Что можно признать удовлетворительным.

Для построения нейронной сети нами использовался программный комплекс NeuroShell 2.0 Release 4.0 компании Ward Systems Group.

Для решения задачи классификации нами применялась вероятностная нейронная (PNN) сеть. PNN-сети предназначены для решения задач классификации. PNN- сеть имеет, по меньшей мере, три слоя: входной, радиальный и выходной. Радиальные элементы берутся по одному на каждое обучающее наблюдение. Каждый из них представляет гауссову функцию с центром в этом наблюдении. Каждому классу соответствует один выходной элемент. Каждый такой элемент соединен со всеми радиальными элементами, относящимися к его классу, а со всеми остальными радиальными элементами он имеет нулевое соединение. Таким образом, выходной элемент просто складывает отклики всех элементов, принадлежащих к его классу. Значения выходных сигналов получаются пропорциональными ядерным оценкам вероятности принадлежности соответствующим классам, и отнор-

133

мировав их на единицу, мы получаем окончательные оценки вероятности принадлежности классам.

Успех нахождения устойчивой структуры данных PNN сети зависит от показателя сглаживания профиля данных. Для калибровки сетей и нахождения наилучшего показателя сглаживания нами использовался генетический алгоритм. Размер популяции устанавливался максимальный для этой системы в 300 «особей».

Наиболее важные преимущества PNN-сетей состоят в том, что выходное значение имеет вероятностный смысл (и поэтому его легче интерпретировать), и в том, что сеть быстро обучается. При обучении такой сети время тратится практически только на то, чтобы подавать ей на вход обучающие наблюдения, и сеть работает настолько быстро, насколько это вообще возможно. А существенным недостатком таких сетей является их объем. PNN-сеть фактически вмещает в себя все обучающие данные, поэтому она требует много памяти и может медленно работать.

На вход сети подавались значения независимых переменных, характеризующих ситуацию и способ совершения преступления. Классы классификации задавали характеристики субъекта: его профессиональная принадлежность, отношение к организации, степень организованности. Для улучшения качества обучения было обучены три разных сети соответственно трем разным параметрам субъекта.

Чтобы сеть трактовала значения единообразно, все входные и выходные величины должны быть приведены к единому - единичному - масштабу. Кроме того, для повышения скорости и качества обучения была проведена дополнительная предобработка данных, выравнивающая распределение значений еще до этапа обучения.

Приведение данных к единичному масштабу обеспечивается нормировкой каждой переменной на диапазон разброса ее значений. Нами использовалось линейное преобразование: (xf - xmin)/(xmax - xmin).

134

В рамках классической статистической парадигмы существенным недостатком нейронных сетей является то, что она работает по принципу «черного ящика». А структурная организация сети, построенной с применением генетических алгоритмов, как наша, какому-либо объяснению в детермина-ционном или вероятностном значении не поддается.

Однако парадигмы меняются. Сеть на данных, которые ничего не представляют, «сама по себе» закономерности не творит. С целью верификации правил «черного ящика» нейронной сети проведем их кросс-сравнение с результатами, полученными методами деревьев классификации.

Проверим на нейронной сети две версии. Первая выдвигается по следующей следовой картине по поводу профессиональной принадлежности субъекта (см. таблицу 5): «Если средняя защищенность сети была взломана прямыми действиями субъекта или с использованием программных средств, то это совершил программист».

В значениях предикторных переменных правило выражается следующим набором переменных: WID=1, KOMP_OB = {1,3}, PRINZ1P=2.

Правило (таблица 8) о характере организованности субъекта. Субъект действует в одиночку, если:

Отсутствует сети. Привило отнюдь не тривиально и не сводиться к выводу одна рабочая станция - один человек.

Доступом (изнутри или входя извне) через слабо защищенную сеть к удаленной рабочей станции путем взлома, аппаратной модификации или манипуляцией с данными (или программой)они были удалены;

Похищены, модифицированы аппаратные компоненты слабо защищенной сети (или сети без защиты вообще) или рабочих станций.

В значениях предикторных переменных правило выражается следующим набором переменных: a) POSLED - {2,3}, КОМРОВ = {2,3}, PRINZIP=1, PREDM=3, или б) POSLED = 1, ZACH - 3, WID = {1,4,5}.

135

В результате обучения нами были построены три сети. Тестирование сетей на новых данных, не участвовавших в её обучении точно воспроизводит не менее 95 % выборки.

Сеть отделяется от программной оболочки NeuroShell отдельным модулем. В нашем исследовании он представляет собой файл с заложенным алгоритмом обработки исходных данных. Он подключается к электронной таблице Excel в виде вызова динамической библиотеки (DLL). Модуль представлен в виде работающей компьютерной программы: экспертной системы.

Подводя итоги вышесказанному можно сделать следующие выводы:

Показана концептуальная, методологическая, методическая и прикладная возможность применения деревьев классификации для построения номенклатуры типовых версий.

Выявление в структуре эмпирических данных методом деревьев классификации устойчивых (закономерных) связей между проявлениями в следовой картине ситуаций и способов совершения преступлений, позволяет построить номенклатуру типовых версий о субъекте.

В сформулированных типовых версиях вскрыты конкретные составляющие их компоненты, позволяющие выдвигать на высоком статистическом уровне значимости предположения о профессиональной принадлежности, отношении и степени организованности субъекта, что позволить оптимизировать процесс расследования и заметно сократить время на поиски преступника.

С использованием нейротехнологий изготовлена и апробирована компьютерная программа, представляющая собой экспертную систему по расследованию преступлений в сфере компьютерной информации.

136

ГЛАВА III. ПРОВЕРКА ТИПИЧНЫХ ВЕРСИЙ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Некоторые проблемы выявления преступлений в сфере компьютерной информации.

По мнению ряда авторов, выявление преступлений представляет процесс, в результате которого скрытые (латентные) преступные деяния становятся известны правоохранительным органам, и с этого момента возникает законная обязанность рассмотреть материалы о наличии признаков преступления и достаточности оснований для возбуждения уголовного дела1.

Вопрос о выявлении преступлений в сфере компьютерной информации, с одной стороны, связан с общей проблемой латентности деяний в данной сфере, которая составляет около 90 %, и, с другой стороны, имеет свою специфику. Латентный характер этих преступлений определяется наличием специфических способов их сокрытия, осуществляемых в ходе приготовления, самого совершения и в последующем периоде.

В ходе обсуждения проблемы раскрытия преступлений предприняты попытки, наряду с процессуальным, дать криминалистическое понятие раскрытия преступления. По мнению Ф.Ю. Бердичевского, с точки зрения криминалистики, раскрытие преступлений рассматривается как «деятельность по расследованию преступления, осуществляемая в условиях отсутствия информации, делающей известной личность преступника, и заключающаяся в

Танасевич ВТ., Шрага И.П., Орлов Я.В. Проблемы выявления хищений социалистического имущества // Вопросы борьбы с преступностью. - Вып. 23. - М.: Юридическая литература, 1975. - С. 47 - 63.

137

отыскании такой информации и ее использовании для доказывания искомых фактов»1.

Не вызывает сомнения правильность положения о том, что раскрытие преступления осуществляется в процессе расследования. Качественное отличие криминалистического понятия раскрытия преступления от процессуального, как это вытекает из приведенного определения, состоит в том, что кри- миналистическое раскрытие преступлений по сравнению с процессуальным имеет ограниченную сферу применения: оно относится к преступлениям, по которым преступник не установлен. Таким образом, криминалистическая концепция раскрытия преступления исходит из того, что раскрываются только, так называемые, неочевидные преступления .

Л.Я. Драпкин пришел к выводу, что не всякое преступление сопряжено с раскрытием, и есть преступления, которые надо только расследовать, так как исходная информация содержит прямые указания на виновного. Раскрытию же подлежит лишь те преступления, по которым такой информации

3

нет .

Р.С. Белкин определяет раскрытие преступления, как деятельность по расследованию преступления, направленную на получение информации, дающей основание для выдвижения версий о совершении преступления определенным лицом .

Таким образом, несмотря на то, что проблеме раскрытия и расследования преступлений посвящено значительное количество работ, до сих пор отсутствует ее единая трактовка. Тем не менее, можно утверждать, что при расследовании любого («очевидного» либо «неочевидного») преступления

1 См., например: Танасевич ВТ. Криминалистическое понятие раскрытия преступ лений // Социалистическая законность. - 1975. - № 10.- С. 24; Бердичевский Ф.Ю. О предмете и о понятийном аппарате криминалистики // Вопросы борьбы с преступностью. - Вып. 24. - М, 1976. - С. 143 - 144.

2 Степанов В. В. - Указ. работа. - С. 24.

3 Драпкин Л.Я. Некоторые вопросы процесса раскрытия преступлений // Сб. аспир. работ. Вып. 10. - Свердловск, 1969. - С. 18.

4 Белкин Р.С Курс советской криминалистики. - М., Т. 3. 1979. - С. 251 - 252.

138

должно быть обеспечено раскрытие, т. е. выявление совершившего его лиц, и соответствующих обстоятельств преступного события в соответствии с тем, как этого требует уголовно-процессуальный закон.

Поводами и основаниями для проверочных действий о преступлениях в сфере компьютерной информации чаще всего служат:

  • заявления граждан (конкретных потерпевших);
  • сообщения с предприятий, учреждений, от организаций и должностных лиц (базирующихся, как правило, на материалах контрольно-ревизионных проверок и сообщений служб безопасности);
  • сведения, полученные в результате проведения оперативно-розыскных мероприятий;
  • статьи, заметки и письма, опубликованные в средствах массовой информации;
  • непосредственное обнаружение следователем, прокурором или судом признаков преступления.
  • Применительно к теме настоящей диссертации следует отметить, что первоначальный этап в большинстве случаев связан с установлением личности преступника, затем идет установление обстоятельств преступления, дающих основания для предъявления обвинения определенному лицу (лицам). Дальнейшее расследование охватывает этапы, связанные с проверкой полученных данных на первоначальном этапе, т. е. раскрытия преступления. Завершающий этап - рассматривается как окончание расследования и пред- полагает анализ всех собранных по делу доказательств для формирования обвинительного заключения.

Деятельность по выявлению, расследованию и раскрытию компьютерных преступлений имеет два аспекта: оперативно-розыскной и уголовно- процессуальный. В первом случае речь идет о рассмотрении оперативных материалов органами, осуществляющими оперативно-розыскные функции до возбуждения уголовного дела.

139

В.А. Азаров, в этой связи обращает внимание на то, что при сравнительном анализе задач уголовного судопроизводства и оперативно-розыскной деятельности позволяет заключить, что они совпадают в главном: быстрое и полное раскрытие преступлений, выявление, установление и изобличение виновных в их совершении . Однако на этапе реализации этой задачи, как следователь, так и оперативный работник сталкиваются с рядом вопросов, главные из которых: 1) взаимодействие различных служб, работающих над раскрытием конкретного преступления; 2) процедуры и тактика использования при расследовании уголовного дела результатов оперативно-розыскной деятельности. Последняя проблема в настоящее время привлекает пристальное внимание юристов .

Оперативные аспекты при выявлении и раскрытии компьютерных преступлений играют немаловажную роль и недооценивать их нельзя1. Можно выделить следующий блок оперативных вопросов, решаемых при выявлении и раскрытии преступления.

Прежде всего, необходимо выяснить, какие устройства и средства могут быть использованы для совершения неправомерных действий. Для этого нужно изучить фирмы, занимающиеся изготовлением и продажей таких устройств, узнать их ассортимент. Также надо оперативными методами выяснит, где еще могут быть приобретены подобные устройства и средства (фирмы, не имеющие лицензии на такой род деятельности, но занимающиеся им; радиорынки; охранные фирмы; правоохранительные органы). Важно учесть, что они могут быть привезены в единичном экземпляре, специально для ка-

1 Азаров В.А. Уголовно-процессуальные и оперативно-розыскные средства дости жения цели раскрытия преступлений. - Государство и право. - 1997. -№ 10. С. 46.

2 См., например: Шейфер С.А. Доказательственные аспекты Закона “Об оператив но-розыскной деятельности”. - Государство и право, - 1994. - № 1; Лупинская П. Основа ния и порядок принятия решений о недопустимости доказательств. - Российская юстиция, - 1994. - № 11; Чувилев А.А. Прокурорский надзор за исполнением законов органами, осуществляющими оперативно-розыскную деятельность. - М., 1995; Доля Е.А. Использо вание в доказывании результатов оперативно-розыскной деятельности. - М., 1996 и др.

140

ких-либо целей. Все это имеет значение при анализе устройств и средств, используемых при совершении преступлений в сфере компьютерной информации, их тактико-технических характеристик.

Следующим этапом необходимо выяснить, каким образом могут быть внедрены и установлены те или иные устройства или средства для несанк- ционированного съема информации. Оцениваются состояние охраны объекта; режимы использования и ремонта помещений, технических средств; состояние защитной техники (при наличии таковой); возможности внедрения “своих” людей на объект.

Перед специальной проверкой объекта следует провести оперативный осмотр окружения объекта. Во время осмотра определяют подходы к объекту, застройку вокруг объекта, вероятное место контрольного пункта, организуют контроль парковки автомашин возле объекта. Далее определяется тактика проведения специальной проверки, то есть выясняется будут ли некоторые этапы проверки осуществляться непосредственно на проверяемом объекте или из соседних объектов.

Розыскные мероприятия проводятся в случае обнаружения, например, устройств несанкционированного съема информации и решается вопрос о целесообразности снятия устройства. Затем следует выявить контролера, заказчика и получателя информации. Необходимо определить характер и объем утечки информации. Заключительный этап, это организация контрразведывательных действий и оборудование объекта системами защиты информации.

Например, В.Б. Вехов дает широкий перечень обстоятельств, подле- жащих обязательному установлению:

  1. Наличие преступления (либо это правонарушение иного рода); непо- средственная причина (причины) нарушения безопасности компьютерной

1 Щетилов А.А. Оперативные аспекты обеспечения информационной безопасности // Материалы международной конференции “Информатизация правоохранительных сис- тем”. Ч. 2. - М., 1997. - С. 44.

141

информации и орудий ее обработки; не является ли происшедшее следствием непреодолимых факторов.

  1. Объект преступного посягательства.
  2. Предмет преступного посягательства.
  3. Способ совершения преступления.
  4. Наименование и назначение объекта, где совершено преступление.
  5. Конкретное место совершения преступления в данном предприятии, учреждении, организации, на участке местности; наличие иных мест совершения преступления (было ли преступление совершено дистанционно, вне помещения - по каналам электросвязи и локальной вычислительной сети).
  6. Режим работы объекта.
  7. Средства вычислительной техники и компьютерной информации, с помощью которых совершено преступление (тип, вид, модификация, функциональное назначение, техническое состояние и другие характеристики). Конкретный терминал или участок сети.
  8. Режим работы вычислительной техники.
  9. Возможность утечки конфиденциальной информации.
  10. Период (дата, время) совершения преступления.
  11. Размер материального ущерба, из чего о складывается.
  12. Служебные действия и операции технологического процесса, с которыми связано преступление; перечень должностных лиц или работников, несущих ответственность и имеющих непосредственное отношение к данным действиям (операциям) в силу технологии производства или командно-административного управления.
  13. Мотив совершения преступления.
  14. Субъект преступления, его характеристика.
  15. Наличие причинной связи деяний с наступившими последствиями.

142

  1. Причины и условия, способствовавшие подготовке, совершению и сокрытию преступления1.

Следует отметить, что правоохранительные органы в ходе выявления и локализации компьютерного преступления сталкиваются с необходимостью преодоления ряда проблем. Мы разделяем точку зрения В.Ю. Рогозина, который выделяет следующие проблемы.

  1. Возможность полного сокрытия преступником следов своей преступной деятельности по некоторым видам компьютерных преступлений. Известно, что доступ к электронным средствам - компьютерам, кредитным карточкам и т. д. имеют лишь те, кто владеет основами компьютерной техники. Однако, грамотному пользователю легче скрыть следы своей деятельности и сложно бывает выявить таких высококвалифицированных специалистов, если они, используя знания и служебное положение, решают осуществить свои преступные замыслы, маскируя их при этом под попытки проникновения в компьютерную систему постороннего пользователя.
  2. Сложность классификации деструктивных событий, происходящих в компьютерной системе. Такая проблема, на наш взгляд, возникает из-за от- сутствия детального статистического учета всех имевших место правонарушений в данной области, а также тех случаев, когда не удалось определить, была ли предпринята попытка совершения компьютерного преступления или имел место технический сбой в работе системы. Речь идет о создании базы данных по имевшим место любым инцидентам.
  3. Проблемы организационного характера, возникающие ввиду:
  4. — отсутствия единого центра и его региональных представительств по координации усилий, направляемых на противодействие несанкционированному доступу к информационным массивам;

Вехов В. Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учебно-методическое пособие. Изд. 2-е, доп. и испр. - М: ЦИиНМОКП МВД России, 2000. - С. 15 - 17.

143

  • отсутствия должного взаимодействия подразделений МВД, государственных и общественных служб и организаций в вопросах собирания доказательственной информации в сфере компьютерных преступлений.
  1. Проблемы организационно-технического характера, возникающие в силу разнотипности телекоммуникационных систем. Эта разнотипность затрудняет выявление компьютерных преступлений. С одной стороны, резкое увеличение количества пользователей, подключенных к глобальным компьютерным сетям, а с другой — отсутствие единого подхода к защите корпоративных сетевых протоколов от несанкционированного проникновения извне - все это значительно осложняют работу правоохранительных органов и специалистов, а также создают угрозу бесконтрольного проникновения в системы государственной важности.
  2. Отсутствие единой, достаточно действенной методики по описанию имевших место событий, чему способствует отсутствие единой терминологии.
  3. Отсутствие действенной методики проведения первоначального этапа расследования по данному виду преступлений.
  4. Комплекс проблем, связанных с международной компьютерно- сетевой преступностью .

Как отмечает А.Л. Осипенко, общая организация борьбы с сетевой преступностью подразумевает информационно-аналитическую деятельность и криминологическое прогнозирование сетевой преступности, определение стратегии и программирование борьбы с негативными социальными откло- нениями в сетях, законотворчество в области борьбы с преступностью в сфере высоких технологий, реализацию разработанных программ, организацию

Рогозин В.Ю. Проблемы выявления преступлений в сфере компьютерной информации и первоначального этапа их расследования // IX Международная научная конференция “Информатизация правоохранительных систем”. Сборник трудов. - М, 2000. - С. 64-65.

144

и развитие научных исследований сетевой преступности и особенностей ор- ганизации и тактики борьбы с ней1.

Определяющее значение для повышения эффективности расследования, рассмотрения и разрешения каждого уголовного дела, связанного с сетевой преступностью, должна иметь оперативно-розыскная деятельность в глобальных компьютерных сетях в полном объеме. При этом роль оперативно-розыскной деятельности в борьбе с сетевой преступностью может быть существенно шире, чем просто как источник оснований для возбуждения уголовного дела и собирания доказательств. Встречающиеся в литературе предложения о выделении компьютерной разведки в особое направление деятельности органов внутренних дел должно предполагать и организацию комплексных оперативно-розыскных мероприятий в глобальных компьютерных сетях. Деятельность субъектов по борьбе с сетевой преступностью может быть организована на основе создания специализированных структур, как, например, в ряде западных государств эффективно действует полиция Интернет.

Таким образом, общей задачей предварительной проверки сообщений о преступлении является сбор дополнительных данных, необходимых для принятия обоснованного решения о возбуждении уголовного дела или отказе в этом. Необходимо учитывать различный характер проверочных действий в зависимости от того, проводили ли их правоохранительные органы (внутренних дел, Федеральной службы безопасности) путем оперативно-розыскных действий или они осуществлялись, когда о преступлении стало известно от граждан, должностных лиц, в результате проведенных различными контролирующими органами проверочных мероприятий и т. д.

Анализ отечественной и зарубежной специальной литературы, изучение уголовных дел, опросы работников оперативных служб и следователей

1 Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях // Ме- ждународная конференция “Информатизация правоохранительных систем”. Тезисы док- ладов. -М., 1999.-С. 244.

145

позволил выявить следующие основные проблемы, возникающие при выявлении преступлений в сфере компьютерной информации.

  1. Сложность в установлении (в случае совершения преступления с ис пользованием компьютерной техники) самого события преступления. Ана лиз выявленных преступлений, совершенных с использованием электронных средств доступа, показывает, что наиболее часто преступные посягательства направлены на локальные компьютерные сети и базы данных организаций, учреждений.

  2. Значительные затруднения у следователя при проведении следственных действий по обнаружению, изъятию, фиксации и исследованию компьютерной информации.
  3. Отсутствие у следователей практики расследования преступлений, совершаемых с использованием компьютерной техники, так и знаний самой техники.
  4. Расследование преступлений, совершаемых с использованием компьютерной техники, должно осуществляться по следующим основным направлениям:
  • собирание доказательств, свидетельствующих о совершении незаконных операций с использованием компьютерной техники;
  • проведение мероприятий, направленных на установлением причинной связи между действиями, образующими способ совершения преступления и наступившими последствиями путем детализации характера совершенных виновным действий;
  • определение размера ущерба, причиненного противоправными действиями;
  • собирание доказательств о причастности виновного лица к совершенным действиям и наступившим последствиям.
  • Каждое из этих направлений предполагает решение своих специфических задач. Однако общей задачей является сбор и фиксация компьютерной

146

информации. Именно компьютерная информация во многих случаях позволяет установить фактические обстоятельства дела, выявить круг лиц, причастных к совершению преступления, а также обнаружить следы преступления.

Учитывая бездокументность и обезличенность компьютерной информации, форму хранения, быстроту и легкость ее уничтожения, возникает ряд задач, без решения которых успешное выявление преступления будет невозможно.

Можно выделить три типичные ситуации, складывающиеся при выявлении компьютерных преступлений:

  1. Собственник или пользователь информационной системы собственными силами выявил факт противоправных действий, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
  2. Собственник или пользователь информационной системы собственными силами выявил факт противоправных действий, но не смог установить виновное лицо и заявил об этом в правоохранительные органы.
  3. Информация о противоправных действиях стала общеизвестна либо была установлена в ходе проведения оперативно-розыскных мероприятий или следственных действий по другому уголовному делу.
  4. Таким образом, первоначальной задачей следователя и оперативного работника является сбор и фиксация с помощью собственника информационной системы информации о факте совершения противоправных действий.

В современных информационных системах, как правило, программное обеспечение настраивается таким образом, чтобы максимально полно прото- колировать все события, происходящие в системе. Протоколируется, с какого компьютера произошло соединение, а если на компьютере установлена программа идентификации, то и имя пользователя, который запросил соединение и т. д.

147

Обеспечение сохранности электронных протоколов, указывающих на противоправные действия, является одной из задач следователя, поскольку такая информация, изъятая в ходе расследования уголовного дела с соблюдением уголовно-процессуальных требований, может служить доказательством по делу. По аналогичным соображениям необходимо обеспечить сохранность носителей компьютерной информации потерпевшего (дискеты, жесткий диск). Если уголовное дело возбуждено, то следователь может разрешить владельцу снять копию с жесткого диска, а сам диск направляется на экспертизу. Дальнейший анализ диска может позволить определить, что успел сделать злоумышленник, как он проник в систему и где находится компьютер, использовавшийся для проникновения в сеть.

Наибольшее распространение при проведении доследственной проверки получили объяснения, которые могут отбираться от граждан, очевидцев определенных событий, от работников различных контролирующих органов. В зависимости от содержания заявления о преступлении и оперативных ма- териалов, могут отбираться объяснения от очевидцев определенных событий, лиц, что-либо знающих о них, либо осведомленных о каких-либо об- стоятельствах, имеющих значение для решения вопроса о возбуждении уго- ловного дела. В этих случаях необходимо применять тактические приемы, рекомендуемые для производства допросов с целью получения правдивой и полной информации, особенно от лиц, заинтересованных в исходе дела.

Лицу, вызванному для дачи объяснений, разъясняются процессуальные основания и причины вызова, и предлагается рассказать об известных ему обстоятельствах, либо изложить письменно. Если обнаруживается нежелание лица способствовать установлению истины, давать объяснения то в предва- рительной беседе целесообразно установить психологический контакт с оп- рашиваемым и с учетом причин такого поведения, убедить его в неправильности занятой им позиции. После изложения объяснения лицом об известных ему обстоятельствах, по мере необходимости могут уточняться отдель-

148

ные обстоятельства, детали происшедшего, причины имеющихся противоречий и расхождений. Разумеется, что отобрание объяснений не может превращаться в допрос.

Во всех случаях должны быть выяснены источники осведомленности, без чего полученные сведения лишаются достоверности. Следует иметь в виду, что лицо, давшее объяснение, в случае возбуждения уголовного дела будет допрашиваться в качестве свидетеля. Поэтому при получении объяснения должны выясняться в основном вопросы, имеющие значение на данной стадии проверки, т. е. касающиеся признаков преступления.

§2. Проверка версий при расследовании преступлений в сфере компьютерной информации.

Криминалистическое учение о версиях и планировании является одной из весьма детально разработанных в системе научных исследований в области криминалистики. Типичность версий объясняется значительной степенью повторяемости сходных случаев следственных ситуаций, определяемой общностью вида преступления, применяемых криминальных способов, ме- ханизма преступления и других факторов, обуславливающих сходство кри- минальных явлений. Отсюда - необходимость и возможность проверки типичных версий, оперирование которыми способствовало эффективному раскрытию и расследованию преступлений.

Такие системы могут быть выражены в графической форме в виде схем типичных версий. Использование систем типичных версий вносит в расследование элемент полноты исследования, помогает следователю проанализировать известные ему аналогичные ситуации или отобрать наиболее подходящие под конкретный случай из методических источников. В таких схемах важна не только смысловая сторона, но также форма и наглядность. Типичные следственные версии представляют собой предположения, построенные

149

на основе имеющейся информации и анализа однотипных ситуаций общности определенных явлений и связей.

В.Б. Вехов выделяет следующие исходные следственные ситуации:

  • информация о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствует;
  • имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника;
  • известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства .
  • Недостатком данной классификации является отсутствие конкретики применительно к рассматриваемому виду преступлений. При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из двух и более человек, хотя не исключена возможность работы преступника одиночки. В таком случае, он сам или, если действует группа, один из ее членов, является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист работающий по контракту и т. д.), умеет работать с вычислительной техникой, хорошо представляет, как информация и где расположена в компьютере.

А.В. Остроушко в этой связи предлагает выдвигать следующие типовые версии о субъекте преступления:

  1. Преступление совершено сотрудником данного учреждения, либо лицом, имеющим свободный доступ к компьютерной технике.
  2. Преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.
  3. Преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения,
  4. 1 Вехов В.Б. Указ. работа. - С. 19.

150

либо лица имеющего свободный доступ к компьютерной технике и в совер- шенстве владеющего навыками работы с ней.

  1. Преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценности компьютерной информации1.

Данный перечень версий является общим и в зависимости от конкретной ситуации может быть изменен. Недостатком данной типологии, на наш взгляд, является односторонность подхода к версиям о субъекте преступления и отражает только отношение субъекта к объекту преступления.

В большинстве случаев дефицит информации требует сложной поисковой работы, оперирование следственными версиями. Определенную помощь в этом может оказать изучение основных этапов процесса раскрытия преступления.

Деятельность по выявлению компьютерным преступлениям целесообразно осуществлять по следующей схеме:

1) обнаружение первичной информации; 2) 3) формирование версий; 4) 5) разработка версий; 6) 7) планирование проверки версий; 8) 9) реализация плана проверки выдвинутых версий . 10) Пользуясь методом сравнения, аналогии и экстраполяции следователь «привязывает» с помощью систем типичных версий имеющиеся данные к конкретному случаю. Такую «привязку» делать нелегко, поскольку сведения об аналогичных случаях, интересующие следователя, излагаются в литературе в виде описания примеров из практики. Они недостаточно детализирова-

Остроушко А.В. Выдвижение версий при расследовании преступлений в сфере компьютерной информации // Международная конференция “Информатизация правоохранительных систем”. Тезисы докладов. Ч. 2. - М, 1997. - С. 48.

2 Лубин А. Ф. Криминалистическая характеристика преступной деятельности в сфере экономики: понятие, формирование, использование: Учебное пособие. - Н. Новгород, 1991.-С.23.

151

ны и мало систематизированы. Поэтому мы воспользуемся результатами нашего анализа, проведенного в главе 2 настоящей работы.

К числу типовых версий при выявлении и расследовании компьютерных преступлений относятся:

  1. Работник организации совершил преступление прямым доступом или манипуляциями ввода-вывода.

Такую ситуацию можно проиллюстрировать следующим примером: собственник банковской системы заявил о несоответствии данных о денежных суммах на счете одного юридического лица в компьютерной системе и бумажной документации1.

  1. Программист создал и распространил вредоносную программу, по влекшую модификацию или удаление данных.

Примером такой ситуации является уголовное дело, возбужденное в отношении Бронникова И.В. по признакам преступлений, предусмотренных ст. 273 ч. 1 УК РФ2.

Разумеется, этот перечень не является исчерпывающим. Однако для иллюстрации основных положений выявления и расследования компьютерных преступлений, названные версии вполне представительны.

Разработка первой типовой версии приводит нас к перечню частных версий- следствий, относительно конкретных действий субъекта преступления:

  • работник банка (пользователь или обслуживающий персонал) получил доступ к информационной системе банка;
  • открыл в другом банке счет;
  • Уголовное дело № 10364 по обвинению Киреева С.Д. и других по ст. ст. 158, 272 УК РФ. Неправомерный доступ к компьютерной информации. Архив суда Московского района г. Челябинска.

2 Уголовное дело № 613104 по обвинению Бронникова И.В. ст. 273 ч. 1 УК РФ: создание и распространение вредоносной программы. Архив суда Верх-Исетского района г. Екатеринбурга.

152

  • осуществил перевод денежной суммы со счета юридического лица на свой счет.

Если названные действия действительно были совершены, то типичными источниками следовой информации являются:

  • собственник банковской информационной системы (заявитель);
  • администратор информационной безопасности;
  • учетные записи системы защиты информации;
  • файлы - протоколы банковской информационной системы;
  • записи в журнале (записи системы видео-наблюдения) службы безопасности банка;
  • собственник банковской информационной системы, на счет которого были переведены денежные суммы.
  • Логика выявления и расследования компьютерных преступлений по первой типовой версии требует формулировки обстоятельств, подлежащих выяснению и доказыванию:

  • особенности компьютеризации объекта (наличие вычислительной се ти, с какого компьютерного места возможен доступ к банковской информа ции);

  • сумма несоответствия в бумажной документации и компьютерной системе;
  • если есть, то кто является лицом, отвечающим за информационную безопасность (администратор системы);
  • если установлена система защиты информации, то какой ее тип, уровень;
  • при наличии глобальной сети, возможен ли доступ к вкладу извне;
  • при ведении учетных записей системой защиты, с какого рабочего места и когда был осуществлен доступ к вкладу;
  • кто работал в данное время на данном рабочем месте;
  • куда (банк, счет) были переведены суммы;

153

  • кто владелец счета, на который были переведены деньги;
  • какая сумма на вкладе, как часто переводились на него деньги, откуда.
  • Разработка второй типовой версии приводит нас к следующему перечню частных версий-следствий, относительно действий субъекта преступления:

  • программист (лицо, владеющее навыками программирования) создал вредоносную программу;
  • распространил данную программу через Internet.
  • Если названные действия действительно были совершены, то типичными источниками следовой информации являются:

  • собственник информационной системы;
  • компьютерные носители информации;
  • файлы — протоколы информационной системы провайдера (организация, предоставляющая услуги подключения к Internet);
  • сведения телефонной компании;
  • компьютерные носители информации на компьютере подозреваемого;
  • документы (литература, описания) подозреваемого. Обстоятельства, подлежащие выяснению и доказыванию по второй ти повой версии, будут следующими:

  • особенности компьютеризации объекта (наличие вычислительной сети);
  • если объект имеет выход в Internet, подключен ли «пострадавший» компьютер к данной сети;
  • какая организация является провайдером;
  • если есть, то кто является лицом, отвечающим за информационную безопасность (администратор системы);

154

  • если установлена система защиты информации, то какой ее тип, уровень;
  • если информация модифицирована, то какой ущерб понес собственник от этого действия;
  • когда были модифицированы данные;
  • если информация была модифицирована вредоносной программой, то какой (результаты проверки компьютерных носителей информации антивирусным программным обеспечением);
  • если известно приблизительное время модификации то, с какого телефона было совершено подключение к информационной системе;
  • если известен номер телефона то, по какому адресу он установлен;
  • кто проживает по данному адресу;
  • кто из проживающих владеет навыками работы с компьютером;
  • наличие у подозреваемого аппаратуры подключения к Internet;
  • наличие у подозреваемого литературы по созданию, описаний, распечаток вредоносных программ;
  • наличие у подозреваемого необходимого для создания вредоносных программ программного обеспечения (систем программирования, программ вирус-мэйкеров);
  • наличие на компьютере у подозреваемого исходных текстов вредо носной программы.

Каждый вопрос, подлежащий выяснению, требует проведения соответствующей процедуры: либо оперативно-розыскного мероприятия (ст. 6 Закона об ОРД) либо следственного действия, предусмотренного УПК РФ.

Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

  • личный обыск;
  • допрос задержанного;

155

  • обыск по месту жительства задержанного.

К типичным следственным действия на данной стадии можно отнести:

  • осмотр информационной системы;
  • осмотр машинных носителей;
  • допросы лиц, обеспечивающих работу информационной системы;
  • допросы собственника системы или должностных лиц, его представляющих.
  • При решении вопроса о возбуждении уголовного дела следователю необходимо:

— получить четкое и полное представление о характере деятельности и структуре объекта, где возможно было совершено преступление;

— изучить конкретные условия деятельности объекта, существующий там порядок учета и отчетности, систему документооборота; — — изучить коммуникативные и иные тактико-технические характеристики используемой компьютерной техники; — - изучить организацию охраны информации;

— хорошо знать служебные обязанности лиц, имеющих прямые или косвенные отношения к информации, которая стала предметом правонару шения.

Проверка данных о совершении преступлений в сфере компьютерной информации должна быть направлена на получение следующих данных:

— способа нарушения целостности (конфиденциальности) информации;

  • порядок регламентации собственником работы информационной системы;

— круг лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли противоправные действия для определения свидетельской базы и выявления круга подозреваемых: — — данные о причинении собственнику информации ущербе. —

156

При наличии подозреваемого лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

— нарушения целостности (конфиденциальности) информации в системе; — — причинной связи между действиями, образующими способ нарушения и наступившими последствиями путем детализации способа нарушения целостности (конфиденциальности) информации в системе и характера со- вершенных виновным действий; — — отношения виновного лица к совершенным действиям и наступившим последствиям . — Известный (и в общем-то правильный) тезис в учении о следственных версиях о том, что версии должны быть проверены параллельно, требует определенного уточнения. Одновременная (с учетом фактора времени) проверка версии практически нереальна1. Это положение о параллельности и одновременности проверки всех выдвинутых версий должно пониматься как рекомендация «не оставлять без должного внимания все выдвинутые версии».

Исключительно важное значение при расследовании компьютерных преступлений имеют консультации со специалистами, в качестве которых могут выступать любые лица, обладающие необходимыми знаниями и опытом.

Тактика и последовательность проведения первоначальных следственных действий, оперативно-розыскных и организационных мероприятий зависят от сложившейся следственной ситуации.

Опрос следователей, расследовавших компьютерные преступления, а также изучение планов расследования по этим делам, показывают, что в большинстве случаев планирование расследования, выражающееся в составлении письменных планов, носит характер аналитической деятельности, це-

1 Крылов ВВ. Указ. работа. - С. 235.

157

лью которой является наиболее эффективная реализация выдвинутых версий и систематизация полученной информации о преступлении. Характерно, что в процессе такой деятельности находит отражение один из основных принципов планирования расследования - динамичности. По ряду дел изменения, вызванные полученной информацией, отражаются соответственно самой следственной ситуацией и трансформируются в письменном плане расследования.

При работе следственно-оперативной группы координация общего плана расследования обычно возлагается на одного из членов группы.

В ходе реализации плана расследования важное значение имеет решение вопроса о признании той или иной (из числа выдвинутых) версий подтвердившейся. Здесь применяется критерий полноты, всесторонности и объективности расследования всех обстоятельств, позволивших определить одну из версий как достоверную, а значит единственную.

В виду того, что при расследовании преступлений в сфере компьютерной информации важным фактором является установление точной хронологической картины совершения преступления, в систему планирования расследования целесообразно включить также разработку таблиц “путь-время”, разработанную в свое время немецкими криминалистами (А. Форкер). Данная таблица, представляющая собой отдельные отрезки масштабного изображения: по вертикали - путь, а по горизонтали - время, позволяет наглядно воспринимать и анализировать совпадения и различия показаний двух указанных параметров.

Планы отдельных следственных действий и оперативно-розыскных мероприятий составляются, как правило, в производной форме, с обязательным отражением в них: места, времени и участников действия (мероприятия); используемых научно- технических средств; вопросов и обстоятельств, которые необходимо будет установить (проверить) в ходе их проведения.

’ Лубин А.Ф. Механизм преступной деятельности. - Н. Новгород, 1997. - С. 39-43.

158

Организация расследования преступлений, как сложный вид деятельности, протекает в различных формах, в зависимости от складывающихся отношений между субъектами процесса расследования. В процессе организации расследования по сложным делам важно учитывать отношения субординации и координации между его участниками. Анализ практики показывает, что необходимость в проведении расследования преступлений в сфере компьютерной информации следственно-оперативной группой возникает по сложным делам при определенных обстоятельствах, к числу которых можно отнести:

а) необходимость проверки значительного числа версий о возможных обстоятельствах преступления и лиц, входящих в преступную группу;

б) наличие данных о нескольких взаимосвязанных эпизодах преступ ления, раздельное расследование которых нецелесообразно;

в) необходимость расследования одного или нескольких взаимосвязан ных преступлений, совершенных на ряде объектов, возможно на различных территориях, при отсутствии возможности выделить их в самостоятельные уголовные дела;

г) привлечение к уголовной ответственности нескольких обвиняемых, вместе совершивших одно или несколько взаимосвязанных преступлений .

§3. Особенности проведения отдельных следственных действий и

тактических операций

Уголовно-процессуальный кодекс РФ определяет виды и содержание различных процессуальных и следственных действий, осуществляемых лицом производящим предварительное расследование. Выделяются следственные действия, направленные на установление фактических данных: осмотр (со всеми его видами); освидетельствование; задержание; обыск; выемка;

1 Парфенков СВ. Обсуждение монографии по криминалистике // Радянське право. - 1987.-№11.-С. 35.

159

допрос; очная ставка; предъявление для опознания; воспроизведение обстановки и обстоятельств события (в двух его формах: следственный эксперимент и проверка показаний на месте); назначение экспертизы; получение образцов для экспертного исследования и др.

Некоторые авторы расширяют круг следственных действий, дополняя указанный перечень такими действиями как: возбуждение уголовного дела, привлечение в качестве обвиняемого, избрание меры пресечения, наложение ареста на имущество, наложение ареста и выемка почтово-телеграфной корреспонденции, ознакомление обвиняемого с постановлением о назначении экспертизы, приостановление следствия, окончание следствия и некоторые другие1.

К числу авторов, расширяющих перечень следственных действий, имеющих не только процессуальное, но и важное тактическое значение, относится И.Ф. Герасимов, который довел перечень следственных действий до сорока двух. Кроме того, он выделяет вспомогательные следственные действия, к числу которых относит: дачу отдельных поручений, вынесение постановления о приводе свидетеля или обвиняемого, вынесение постановления об отстранении от должности и некоторые другие. По его мнению, имеется также группа процессуальных действий, которая обеспечивает права физических и юридических лиц, понесших какой-либо ущерб от преступления, на: признание потерпевшего гражданским истцом, привлечение в качестве ответчика, ознакомление названных лиц с материалами дела и др.2

Анализ высказанных в литературе различных точек зрения по данному вопросу, позволяет прийти к выводу о том, что процессуальные действия следователя характеризуются обязательными признаками: 1) они предусмат-

См., например: Ведерников Н. Т. Личность преступника как элемент криминали- стической характеристики преступления // Криминалистическая характеристика преступления. - М, 1984; Методика расследования хищений социалистического имущества. -Вып. 3. - М.: Всесоюзный институт Прокуратуры СССР, 1979 и др.

2 См., например: Герасимов И.Ф. Некоторые проблемы раскрытия преступлений. - Свердловск: Средне-Уральское книжное изд-во, 1975.

160

риваются уголовно-процессуальным законом; 2) осуществляются только следователем, прокурором в пределах своей компетенции; 3) выполняются в ходе расследования; 4) направлены на выполнение задач уголовного судо- производства; 5) находят процессуальное отражение в постановлениях, про- токолах, поручениях, указаниях, представлениях и требованиях.

Такой широкий подход к пониманию системы следственных действий является предпочтительным в целом и в отношении дел о преступлениях в сфере компьютерной информации, поскольку благодаря ему можно более полно и детально разработать «тактический потенциал» каждого следственного действия и, что не менее важно, содействовать взаимосвязи этих действий.

Наряду со следственными действиями, применяется система организационных и оперативно-розыскных мер. Такие комплексы, составляющие содержание всего расследования по уголовному делу, могут быть классифицированы в зависимости от: 1) этапа расследования преступлений: первоначальные (иногда они носят характер неотложных), последующие и завершающие расследование следственные действия; 2) цели разрешить локальную тактическую задачу, либо общую задачу, условно именуемой стратегической.

В этом плане комплексы действий могут локализоваться в: пределах решения задач на определенном этапе расследования или пределах какого-либо отрезка того или иного этапа, и могут быть в виде тактической операции, то есть такого комплекса, который неограничен определенными этапами расследования, а имеет как бы сквозное значение и осуществляется как на первоначальном этапе, так и с продолжением на последующем, а иногда и на завершающем этапах расследования.

Выбор проводимых на этапе расследования следственных действий должен быть наиболее оптимальным, акцент должен быть на тех следственных действиях, которые могут нести в себе максимальную информативность,

161

с точки зрения получения наибольшего объема доказательственной информации, а также обладающими наиболее выраженными особенностями, пре- допределяемыми спецификой использования, накопления и хранения машинной информации на различного рода носителях.

Как отмечает В.Б. Вехов, раскрывать преступления, совершаемые с ис- пользованием компьютерных средств сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния много- численными объективными и субъективными причинами, которые действительно могут иметь место:

  1. Естественные: стихийные бедствия, природные явления (пожары, землетрясения, наводнения, ураганы и т. п.); самопроизвольное разрушение элементов, составляющих средства вычислительной техники.
  2. Обусловленные неумышленной деятельностью человека вследствие непреодолимых факторов: ошибки при создании (изготовлении) средств вы- числительной техники; ошибки в процессе работы (эксплуатации) средств
  3. 1 вычислительной техники .

Важными следственными действиями при расследовании компьютерных преступлений являются осмотр, обыск и выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к поиску рабочего места подозреваемого, откуда он осуществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Рабочее ме-

Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учебно-методическое пособие. Изд. 2-е, доп. и испр. - М: ЦИиНМОКП МВД России, 2000. - С. 19 - 21.

162

сто подозреваемого может находиться как у него на работе, так и дома, а также в иных местах, где установлена соответствующая аппаратура.

Если место установлено следует принять меры к фиксации его состояния.

При выполнении вышеуказанных задач следует учитывать особенности конкретного вида компьютерного преступления.

К основным следственным действиям, проводимым по делам о преступлениях в сфере компьютерной информации и отличающимся наибольшей спецификой, на наш взгляд относятся:

  • осмотр места происшествия;
  • осмотр средств вычислительной техники;
  • осмотр машинного носителя информации;
  • обыск в помещении, в том числе на средствах компьютерной техники;
  • выемка предметов, документов, носителей машинной информации, могущих иметь отношение к преступлению;
  • следственный эксперимент;
  • допрос: потерпевшего (или представителя потерпевшей стороны), подозреваемого, эксперта;
  • назначение экспертиз.
  • Полагаем, что прав В.Ю. Рогозин предлагающий к этому перечню добавить контроль и запись телефонных переговоров, перехват компьютерной почты, факсимильных и иных сообщений, как могущих оказать существенную помощь в раскрытии компьютерных преступлений .

Следует отметить, что в связи с развитием компьютерных и информационных технологий, особое значение при производстве следственных и су-

1 Рогозин В.Ю. Проблемы выявления преступлений в сфере компьютерной информации и первоначального этапа их расследования // IX Международная научная конференция “Информатизация правоохранительных систем”. Сборник трудов. - М., 2000. -С. 64-65.

163 дебных действий по компьютерным преступлениям приобретает использо- ванием помощи специалистов, специальной техники и специальных знаний.

На наш взгляд, необходимо остановиться на особенностях некоторых следственных действий. Стоит обратить особое внимание на то, что перед началом производства любых следственных действий, непосредственно свя- занных с ЭВМ, средствами и системами их защиты, необходимо в обязательном порядке получать и анализировать с участием специалистов информацию о технологических особенностях функционирования вышеприведенных технических устройств, уровня их соподчиненности и используемых средств связи и телекоммуникации во избежании их разрушения, нарушения заданного технологического ритма и режима функционирования, причинения крупного материального ущерба пользователям и собственникам, уничтожения доказательств.

Особенно следует указать на необходимость участия в следственных действиях собственника информационной системы, как лица наиболее заинтересованного в расследовании преступления.

Осмотр - это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию1. Осмотр по делам о компьютерных преступлениях подразделяется на: осмотр места происшествия; осмотр средства вычислительной техники; осмотр машинного носителя. Каждый из которых имеет свои специфические черты.

Опрос специалистов в области безопасности информации, проведенный во время работы III Международной конференции “Комплексная защита информации”, показал, что подавляющее большинство респондентов (90,48 %) считают, что наибольшие трудности у сотрудников правоохранительных органов при расследовании преступлений в сфере компьютерной информации могут возникнуть при осмотре места происшествия, включая

1 Криминалистика// Отв. ред. проф. Н.П. Яблоков. - М., 1990. - С. 390.

164

осмотр персональных компьютеров, серверов, сетей и носителей информации .

Опрос практических работников органов внутренних дел, проведенный нами, подтверждает эти данные — большинство опрошенных не смогли указать специфику осмотра места происшествия по делам о преступлениях, совершаемых в сфере компьютерной информации.

Осмотр места происшествия имеет своей целью установление конкретного средства вычислительной техники, выступающего в качестве предмета или орудия совершения преступления и имеющего следы преступной деятельности. При производстве следственного действия целесообразно использовать тактический прием “от центра - к периферии”, где центром (отправной точкой осмотра места происшествия) являются средства вычислительной техники, находящиеся на месте осмотра.

Осмотр места происшествия является необходимым и неотложным следственным действием при расследовании компьютерных преступлений. М.В. Гаврилов и А.Н. Иванов, например, отмечают, что существует пробле-ма определения места происшествия . При совершении одного преступления, например, неправомерного доступа к компьютерной информации, может быть несколько мест происшествия: рабочее место, рабочая станция -компьютерное место обработки информации, ставшей предметом преступного посягательства; место хранения или резервирования информации - сервер или стример; место использования технических средств неправомерного доступа к компьютерной информации; место использования может совпадать с рабочим местом, но может находиться вне организации; место подго-

1 Козлов В.Е. Указ. работа. - С. 179.

2 См.: Гаврилов М.В., Иванов А.Н. Следственный осмотр при расследовании пре ступлений в сфере компьютерной информации. - Законность. - 2001. - № 9. - С. 11; Гав- ршов М.В., Иванов А.Н. Особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российская юридическая доктрина в XXI веке: проблемы и пути их решения: Научно-практическая конференция/ Под ред. А.И. Демидова. - Саратов: СГАП, 2001. - С. 227.

165

товки преступления (разработки вирусов, программ взлома, перехвата) или место непосредственного использования информации (копирование, распространение, искажение), полученной в результате неправомерного доступа к данным, содержащимся в машинных носителях или в ЭВМ.

Местом происшествия может быть помещение, где установлен компьютер и хранится информация, ряд помещений, в т.ч. в разных зданиях, на различных территориях, либо местность, с которой выполнен дистанционный электромагнитный перехват.

Нами предлагается следующий порядок проведения осмотра места происшествия по делам о преступлениях в сфере компьютерной информации. Следователь, приступая к осмотру информационных систем, с учетом сложившейся следственной ситуации, должен оценить возможность изъятия средств вычислительной техники (целиком или отдельных компонентов) для дальнейшего экспертного исследования в лабораторных условиях. Вопрос об изъятии следует решать исходя из следующих соображений:

  • если средства вычислительной техники принадлежат подозреваемому, и их отключение не несет существенного ущерба производственным и иным задачам, то их следует изъять;
  • если есть основание полагать, что отключение средств вычислительной техники приведет к потере важной следовой информации, то их изымать не следует;
  • если средства вычислительной техники принадлежат потерпевшему, следует по возможности их не изымать - провести экспертное исследование на месте или снять точную копию с компьютерных носителей информации.
  • Что касается вопроса о полном или частичном изъятии компьютерной информационной системы, то по-нашему мнению, решать его надо следующим образом:

  • если система представляет собой стандартную комплектацию аппа ратных модулей (на этот вопрос может ответить специалист), то необходи-

166

мости изымать систему целиком нет - достаточно изъять компьютерные носители информации;

  • если система состоит из нестандартных модулей (установлено дополнительное оборудование, произведена аппаратная модификация стандартных), то изымать следует весь комплекс.

При осмотре места происшествия устанавливаются особенности расположения определенного помещения, расположенного в нем оборудования, например, технологического по осуществлению различных операций (Например, в банковских учреждениях расположение нескольких ЭВМ в одном зале при работе с клиентами и т. д.); особенности местности, связанные с установкой и эксплуатацией ЭВМ; расположение в одном помещении вместе с ЭВМ других электрических устройств и приборов; наличие или отсутствие технических средств соединения ЭВМ с каналами электросвязи и между собой; наличие следов преступления (следы взлома, повреждения, уничтожения или модификации охранных и сигнальных устройств, следы пальцев рук и т. д.) и т. п.

Осмотр средств вычислительной техники служит установлению ее технического состояния; выяснению обстановки происшествия для восстановления механизма совершения преступления; обнаружению следов, образовавшихся в результате происшествия или совершения преступления, и других вещественных доказательств для установления, кем, с какой целью и при каких обстоятельствах было совершено преступление.

При проведении данной следственного действия требуется непосредственное участие специалиста в связи со спецификой осматриваемого компьютерного средства. Необходимо соблюдать ряд технических правил во избежании уничтожения или повреждения следов преступления (отсутствие магнитосодержащих материалов, инструментов, приборов, направленных источников электромагнитного излучения и т. д.).

167

При осмотре средств вычислительной техники внимание уделяется типу устройства; отражается состояние на момент проведения осмотра; подключение к средству периферийного оборудования или к каналу связи; повреждения различного рода; возможно оставленные следы пальцев рук на клавиатуре или других частях; категория информации, находящейся в ЭВМ; наличие средств защиты; технические характеристики и т. д.

Осмотр машинного носителя информации может быть произведен в ходе осмотра места происшествия или как самостоятельное следственное действие. К машинным носителям относятся магнитные диски, компакт-диски, магнитные ленты, магнитные карты, пластиковые карты, интегральные микросхемы и т. д.

Осмотр машинного носителя информации производится с участием специалиста для выявления основных вопросов, имеющих значение для расследования преступления: тип, вид, назначение машинного носителя; его технические параметры; содержание; наличие защиты; индивидуальные признаки и т. д.

Осмотр места происшествия, средства вычислительной техники, машинного носителя необходимо проводить в строгой последовательности, уделяя особое внимание тем частям предметов, на которых имеются повреждения и следы, и с обязательным использованием фото- или видеозаписи. Важно сфотографировать или произвести видеозапись не только места происшествия, отдельных объектов ЭВМ или их соединений, но и все действия специалистов, участвующих в осмотре.

Обыск - это следственное действие, в процессе которого производятся поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка — следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в

168

тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Обыск по делам о преступлениях в сфере компьютерной информации в большинстве случаев является неотложным следственным действием. Обычно в случае необходимости изъятия определенных носителей информации, в том числе и электронных, имеющих значение для дела, и если точно известно, где и у кого она находится, следователь производит выемку ЭВМ. Если же нет точных данных о месте нахождения носителей электронной информации, то производится обыск ЭВМ. При проведении выемки и обыска электронных носителей информации важно, чтобы эти носители были зафиксированы и сохранены в том виде, в каком обнаруженное наблюдалось в момент выемки или обыска.

В юридической литературе обыск подразделяют на следующие стадии: подготовительный этап; обзорная стадия; стадия детального поиска; заклю- чительный этап. Каждому этапу соответствуют определенные мероприятия. Целесообразно уделить значительное внимание фиксации хода и результатов действий по осуществлению обыска и выемки и детально зафиксировать не только факт изъятия того или иного объекта, но и описать местонахождение этого объекта во взаимосвязи с другими найденными на месте обыска объектами. Предметом выемки в большинстве случаев являются: средства вычислительной техники; машинные носители, компьютерная информация; средства защиты информации; специальная аппаратура и т. д.

В ходе выемки или обыска электронных носителей информации нужно довольно четко представлять, что именно должно быть изъято. Если известно, где на диске хранится программа или нужный документ, то вопрос собственно решен. Если же такой информации нет, то возможен вариант поиска необходимой информации с помощью операционной системы, загружаемой с дискеты. Этот простейший способ имеет ряд недостатков. Во-первых, нет полной гарантии, что не начнет работу система защиты на аппаратном или

169

программном уровне изымаемого компьютера. Во-вторых, объем обнаруженной информации может оказаться гораздо больше, чем количество свободного места на дискете.

Другой, более надежный и более эффективный вариант, это снятие винчестера с исследуемого компьютера и установка его на стендовый компьютер в качестве дополнительного. Это не сложная процедура дает гарантию того, что ни одна программа, в том числе и вирусная, не будет каким-либо образом автоматически запущена с исследуемого винчестера, и любая найденная информация может быть быстро скопирована.

Существует комплекс программ, которые специально созданы для осмотра и исследования изъятых в ходе выемки и обыска электронных носителей информации. Такой комплекс, например, в настоящее время разработан и успешно применяется в Нижегородской академии МВД России1.

По делам компьютерных преступлений существует постоянная необходимость использования в процессе расследования специальных познаний в области новых информационных технологий. Анализ мировой и отечественной практики расследования компьютерных правонарушений показывает возрастающую роль в уголовно-процессуальных действиях экспертов, производящих судебные экспертизы компьютерных средств по уголовным делам различного характера, а не только по преступлениям в сфере компьютерной информации. Данные познания необходимы как для получения доказательств, так и для процессуального оформления документов, подготовленных средствами компьютерной техники, которые впоследствии могут играть роль доказательств.

При расследовании высокотехнологичных преступлений следователь все чаще сталкивается с необходимостью выявления и изъятия следов и вещественных доказательств, представленных в виде информации в компью-

1 Лубин А.Ф., Мурзин А.Г. Поиск и изъятие доказательственной информации в ходе выемки и обыска персонального компьютера // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М, 1999. - С. 47.

170

терной системе, а также на магнитном носителе. При этом для выявления и корректного использования имеющихся следов совершенного преступления следователю уже не хватает базовой юридической подготовки и специализации в области криминалистики. В этом случае возникает необходимость привлечения специальных знаний и навыков использования новых информационных технологий уже на этапе производства следственных действий (осмотр, обыск, выемка), т. е. особенности тактики производства следственных действий обуславливают участие в них специалиста в сфере компьютерной информации.

Применительно к преступлениям в сфере компьютерной информации исследователи замечают, что для успешного выявления, быстрого и полного расследования необходимы новые подходы, основанные на более полном использовании достижений науки и техники, при содействии сведущих лиц1.

Подавляющее большинство опрошенных нами следователей, оперативных работников и сотрудников экспертных подразделений органов внутренних дел (около 90 %) высказались за обязательное привлечение специалистов в области информационных технологий в процессе раскрытия и расследования дел рассматриваемой категории.

Следует согласиться с мнением исследователей, отмечающих, что понятия “специалист по компьютерной технике” не существует и можно говорить о специалисте, компетентном в отдельной области информационных технологий: конкретной операционной системе, прикладной программе, технике, телекоммуникациях2.

С начала 90-х годов в России появился новый вид криминалистических экспертиз, вызвавший целый комплекс проблем. Данные проблемы связаны прежде всего с отсутствием научно-проработанных и апробированных мето-

1 Махов В.Н. Теория и практика использования знаний сведущих лиц при расследо вании преступлений: Автореф. дис. … канд. юрид. наук: 12.00.09 / НИИ проблем укрепле ния законности и правопорядка. - М, 1999. - С. 23.

2 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безо пасность. - М.: Новый юрист, 1998. - С. 157.

171

дик проведения подобного рода экспертиз; определение задач исследования, объектов экспертизы, идентификационного поля, идентификационных признаков и т. д. Методическое обеспечение проведения данных экспертиз в настоящее время разработано достаточно слабо и практически каждая из них выполняется по уникальной методике, разработанной экспертом.

Разработка этих и других вопросов только начинает обсуждаться на уровне научных исследований, существуют различные точки зрения даже относительно названия новой экспертизы: программно-техническая или компьютерно- техническая .

Необходимо отметить, что объектами компьютерно-технических экспертиз, кроме компьютеров в привычном понимании, их отдельных блоков, периферийных устройств, технической документации к ним, а также носителей компьютерной информации, могут выступать и компьютеры в непривычном понимании: электронные записные книжки, пейджеры, сотовые телефоны, электронные кассовые аппараты, иные электронные носители текстовой или цифровой информации, документация к ним.

В литературе существуют различные представления о природе, содержании, задачах, объектах компьютерно-технической экспертизы.

А.Б. Нехорошее, основываясь на системном подходе и рассматривая компьютер как некую целостную систему состоящую из трех подсистем (аппаратная часть, программное обеспечение, информация) выделяет следующие виды экспертиз: аппаратно-программная, информационно-компьютер-

См., например: Катков С.А., Собецкий КВ., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. - 1995. - № 4; Российская Е.Р. Судебная экспертиза в уголовном, гражданском арбитражном процессе. М., 1996; Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Дис… канд. юрид. наук. М., 1997 и др.

172

ная, а вопросы связанные с экспертизой сетевых компьютерных систем, по мнению автора, целесообразно исследовать отдельно .

В.В. Агафонов и А.Г. Филиппов считают, что в определенных случаях производство экспертизы можно заменить другим следственным действием, в частности, следственным осмотром или следственным экспериментом. В этой связи, можно отметить, что в тех случаях, когда собственных познаний следователя достаточно и ему не требуется привлечения специальных познаний (например, при установлении факта нахождения определенной информации на машинном носителе), экспертизу действительно можно не назначать, а зафиксировать факт нахождения данной информации путем следственного осмотра с участием специалиста.

В. Комиссаров, М. Гаврилов, А. Иванов также выделяют два направления компьютерно-технических экспертиз: техническая экспертиза компьютеров, их отдельных устройств и комплектующих; техническая экспертиза компьютерных данных и программного обеспечения .

Е.Р. Российская, А.И. Усов обозначают несколько видов компьютерно- технической экспертизы, различая их по предмету исследования: аппаратно- компьютерная экспертиза; программно-компьютерная экспертиза; информа-

1 Нехорошее А. Б. Некоторые общетеоретические, процессуальные и методические проблемы судебной экспертизы компьютерной техники и компьютерной информации // IX Международная научная конференция “Информатизация правоохранительных систем”. Тезисы докладов. - М., 2000. - С. 45.

2 Комиссаров В., Гаврилов М, Иванов А. Назначение компьютерно-технических экспертиз // Законность. - 2000. - № 1. - С. 31.

173

ционно-компьютерная экспертиза; компьютерно-сетевая экспертиза Для каждого вида они определяет свой предмет и задачи1.

Ю.В. Гаврилин выделяет следующие виды компьютерно-технических экспертиз: техническая экспертиза компьютеров и периферийных устройств; техническая экспертиза оборудования защиты компьютерной информации; экспертиза машинных данных и программного обеспечения ЭВМ; экспертиза программного обеспечения и данных, используемых в компьютерной се-ти . С.А. Катков выделяет в качестве самостоятельного вида экспертизы по восстановлению содержания документов на магнитных носителях3. Но, по мнению Ю.В. Гаврилина, исходя из решаемых данным видом экспертного исследования вопросов, оно может относиться к экспертизе машинных данных и программного обеспечения.

С помощью компьютерно-технической экспертизы можно решать обширный круг задач. Например, В.В. Крылов выделяет три группы задач, решаемых путем экспертизы: 1) задачи диагностического характера, относящиеся главным образом к машинным носителям информации; 2) задачи диагностического и идентификационного характера, относящиеся главным образом к компьютерной и документированной информации; 3) задачи осуще-

См., например: Росинская Е.Р. Судебная экспертиза в уголовном гражданском и арбитражном процессе. - М: Право и Закон, 1996; Российская Е.Р, Предмет и практиче- ские приложения компьютерно-технической экспертизы // Международная конференция “Информатизация правоохранительных систем”. Тезисы докладов. Ч. 2. - М, 1998; Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М: Право и Закон, 2001; Российская Е.Р. Проблемы использования специальных познаний при раскрытии и расследовании преступлений в сфере компьютерной информации // IX Международная научная конференция “Информатизация правоохранительных систем”. Сборник трудов. - М., 2000; Усов А.И. Проблемы комплексной экспертизы компьютерных средств // IX Международная научная конференция “Информатизация правоохранительных систем”. Сборник трудов. - М., 2000.

2 Гаврилин Ю.В. Криминалистические средства и методы расследования преступ лений в сфере компьютерной информации // Общество и право: в новом тысячелетии. Ма териалы международной научно-практической конференции. Т. 1. - Москва-Тула: ЮИ МВД России, 2001. - С. 268.

3 Катков С.А. Назначение экспертизы по восстановлению содержания документов на магнитных носителях ЭВМ // Проблемы криминалистической теории и практики. - М., 1995.-С. 150.

174

ствления разнообразных вспомогательных действий по обнаружению, закре- плению и изъятию доказательств1.

Круг практических экспертных задач определяется не только видами совершенного преступления и соответствующими видами компьютерно- технической экспертиз, но и функциональными особенностями компьютерной техники. Компьютер одновременно является техническим изделием, носителем информации, средством коммуникации, органом управления, обладает функциями непосредственного взаимодействия с человеком. Одним из аспектов теоретических основ компьютерно-технической экспертизы является определение круга решаемых этой экспертизой задач.

Т.В. Аверьянова предлагает следующую классификацию видов и задач компьютерно-технических экспертиз:

  • экспертиза технического состояния компьютеров и их комплектующих (судебная диагностика). Здесь решаются задачи по определению технического состояния компьютерных средств и их частей, характера неисправностей, их причин и времени возникновения;
  • экспертиза программного и информационного обеспечения. К задачам можно отнести: исследование информации, хранящейся в компьютере на различных носителях;
  • экспертиза функционирования компьютера в составе сети (локальной и глобальной). Задачами этого вида экспертиз являются задачи по выявлению следов (последствий) воздействия исследуемого компьютера на программное и информационное обеспечение других абонентов сети (воровство программ, разрушение информации и программного обеспечения, манипуляции с информацией и т. п.);
  • экспертиза функционирования компьютера как системы управления объектом или технологическим процессом. Задачи - установление причинной связи между нарушениями функционирования объекта, хода технологи-
  • 1 Крылов В.В. Указ работа. - С. 221 - 223.

175

ческого процесса и неисправностью или несанкционированным воздействием исследуемого компьютера;

  • инженерно-психологическая экспертиза. Задачами данного вида экспертиз будут: установление влияния интерфейса на психическое состояние оператора, повлекшее расследование действий последнего1.

Предлагаемый вариант классификации видов компьютерно-технических экспертиз и решаемых в рамках этих видов задач, не является окончательным, но отличается от существующих полнотой охвата функциональных особенностей компьютерной техники.

По мнению B.C. Зубаха и А.И. Усова, с которым мы вполне согласны, становление и развитие компьютерно-технических экспертиз целесообразно осуществлять двумя путями. Первый путь связан с разработкой теоретических и нормативно-правовых вопросов нового рода судебных экспертиз. Здесь особенно важно четкое разъяснение методологических основ - класс, цель, задачи, предмет, объекты экспертизы. Второй путь связан с непосредственной деятельностью сотрудников экспертно-криминалистических подразделений. Первоочередное внимание здесь должно отводиться развитию средств и методов экспертного исследования разнородных компьютерных систем и присущих им идентификационных свойств1.

Изучение материалов уголовных дел показывает, что следователи в ходе расследования проводят взаимосвязанные комплексы следственных действий, однако не отражают их в отдельных планах.

Интервьюированием установлено, что следователи недостаточно знакомы с возможностью производства тактических операций в расследовании

1 См., например: Аверьянова Т.В. Задачи компьютерно-технической экспертизы // Международная конференция “Информатизация правоохранительных систем”. Тезисы докладов. Ч. 2. - М., 1998; Аверьянова Т.В. Еще раз о компьютерно-технической экспертизе // IX Международная научная конференция “Информатизация правоохранительных систем”. Сборник трудов. - М., 2000.

176

компьютерных преступлений. Только очень малая часть опрошенных ис- пользовали в своей практике знания о тактической операции для достижения целей расследования. Разработанные в криминалистике рекомендации по проведению тактических операций возможно использовать и при расследовании преступлений в сфере компьютерной информации.

Тактическая операция определяется А.В. Дуловым как совокупность следственных, оперативно-розыскных действий, разрабатываемых и проводимых в процессе расследования по единому плану под руководством следователя с целью реализации такой задачи, которая не может быть решена производством по делу отдельных следственных действий2. Последующими определениями тактической операции внесены дополнения относительно ситуационной ее сущности и направленности на решение тактической задачи как промежуточной цели расследования. Следует учитывать, что тактическая операция в ряде случаев может выходить за пределы отдельных этапов расследования.

Следует отметить, что проведение тактических операций требует разработки специальных планов, скоординированных с общим планом проведения комплекса первоначальных следственных организационных действий и оперативно-розыскных мероприятий.

1 Зубаха B.C., Усов А.И. Пути развития производства экспертиз компьютерных систем // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М, 1999. - С. 302.

Дулов А.В. Тактические операции при расследовании преступлений. - Минск, 1979.-С. 44.

177

ЗАКЛЮЧЕНИЕ

  1. Предлагаем взять за основу следующее определение компьютерной информации как правовой категории: компьютерная информация - это ин- формация, представленная в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящаяся на машинном носителе и имеющая собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения.
  2. Поскольку общественная опасность и причиняемый ущерб от преступлений в сфере компьютерной информации все более возрастают, использование уголовно-правовых средств должно быть одним из наиболее эффективных способов борьбы с данным видом преступлений. Существование уголовной ответственности за преступления в сфере компьютерной информации должна иметь не только карательную функцию, но и предупредительную. Помимо уголовной ответственности правонарушения в сфере компьютерной информации должны предусматривать иные виды ответственности, соразмерно тем последствиями и той общественной опасностью, которыми они характеризуются.
  3. Построена криминалистической модель преступной деятельности в сфере компьютерной информации, позволяющая применять для ее обработки современные методы математической статистики, моделирования.
  4. Выявление в структуре эмпирических данных методом деревьев клас- сификации устойчивых (закономерных) связей между проявлениями в следовой картине ситуаций и способов совершения преступлений, позволяет построить номенклатуру типовых версий о субъекте.
  5. В сформулированных типовых версиях вскрыты конкретные составляющие их компоненты, позволяющие выдвигать на высоком статистическом уровне значимости предположения о профессиональной принадлежности, отношении к объекту преступления и степени организованности субъекта, что позволить оптимизировать процесс расследования и заметно сократить время на поиски преступника.
  6. В силу специфики раскрытия и расследования преступлений в сфере компьютерной информации возникает необходимость часть исследований по обнаружению, фиксации и изъятию следовой информации проводить на месте происшествия. Это обусловлено невозможностью изъятия информационных систем для проведения исследований в лабораторных условиях:
  • если есть основание полагать, что отключение средств вычислительной техники приведет к потере важной следовой информации;
  • если средства вычислительной техники принадлежат потерпевшему, и их изъятие несет ущерб выполнению производственных и иных задач.
    1. В виду недостаточной подготовки сотрудников правоохранительных органов в области информационных технологий, требуется обязательное

178

привлечение специалистов в процесс раскрытия и расследования дел рассматриваемой категории.

  1. Существующие на данный момент криминалистические учеты не по- зволяют в полной мере регистрировать и отражать реальную картину преступной деятельности в сфере компьютерной информации, поэтому требуется создание специализированного учета данного вида преступлений, в котором должна храниться полная информация по субъектам, ситуации, способу совершения и следам.
  2. Важной проблемой, затрудняющей борьбу с преступностью в сфере компьютерной информации, является подготовка и повышение квалификации кадров правоохранительных органов. Предлагаем создать информационно-консультативные центры по информационной безопасности, которые занимались бы подготовкой и консультацией сотрудников по вопросам компьютерной преступности и информационной безопасности, а также занимались бы вопросами разработки специальных методик, программ, внедрением их в практическую деятельность.

179 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Нормативно-правовые акты и другие официальные документы

  1. Об оперативно-розыскной деятельности // Федеральный закон от 12.08.1995 г.
    • Собрание законодательства РФ. - 1995. - № 33 . - Ст. 3349.
  2. О безопасности: Закон РФ от 5 марта 1992 г.// Российская газета. -1992.-6 мая.
  3. Закон о правовой охране программ для электронных вычислительных машин и баз данных: Закон РФ от 23 сентября 1992 года № 3523-1// Ведомости СНД РФ и ВС РФ. - 1992. - № 42. - Ст. 2325.
  4. О государственной тайне: Закон РФ от 21 июля 1993 года № 5485-XII Российская газета. - 1993. - 21 сентября.
  5. О правовой охране программ для электронных вычислительных машин и баз данных: Закон РФ от 23.09.92 г. № 3523-1// Ведомости СНД РФ и ВС РФ. - 1992. - № 42. - Ст. 2325.
  6. О связи: Федеральный закон 1995 года// Собрание законодательства РФ. -
    • № 8. - Ст. 600.
  7. Об авторском и смежных правах: Закон РФ от 9 июля 1993 года № 5351-1 ( в ред. Федерального закона от 19 июля 1995 года № 110-ФЗ)// Ведомости СНД РФ и ВС РФ. - 1993. - № 32. - Ст. 1242.
  8. Об информации, информатизации и защите информации: Федеральный закон РФ от 25 января 1995 года// Собрание законодательства РФ. -1995.-№8. -Ст. 609.
  9. Об участии в международном информационном обмене: Федеральный закон РФ от 4 июля 1996 года № 85// Собрание законодательства РФ. -1996.-№28.-Ст. 3347.
  10. Уголовный кодекс Российской Федерации. - М., 2001.
  11. Уголовно-процессуальный кодекс Российской Федерации. - М.: Юрайт-М, 2002.
  12. Гражданский кодекс РФ: Часть первая от 30 ноября 1994 г. № 51-ФЗ // Российская газета. - 1994. - 8 декабря.
  13. Гражданский кодекс РФ: Часть вторая от 26 января 1996 г. № 14- ФЗ // Российская газета. - 1996. - 6, 7, 8 февраля.

180

  1. Кодекс об административных правонарушениях РФ// Российская газета. - 2001. - 31 декабря.

  2. Уголовный кодекс Испании / Под ред. Н.В. Кузнецовой, Ф.М. Решетникова. - М.: ЗЕРЦАЛО, 1998.
  3. Уголовный кодекс Республики Казахстан // Преступления и наказание. - Алма- Ата, 1997.
  4. Уголовный кодекс Украины (с изменениями и дополнениями по состоянию на 15 апреля 1997 года). - Харьков: ООО «Неофит», 1997.
  5. Уголовный кодекс ФРГ / Пер. с нем. - М.: ЗЕРЦАЛО, 2000.
  6. Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. д.ю.н., проф. А.В. Наумов. - М., 1996.
  7. Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под общ. ред. Генерального прокурора Российской Федерации проф. Ю.И. Скуратова и Председателя Верховного Суда Российской Федерации В.М. Лебедева. -М., 1996.
  8. Научно-практический комментарий к Уголовному кодексу Российской Федерации: В 2 т./ Под ред. проф. Панченко П.Н. - Н. Новгород, 1996.
  9. Указ Президента РФ от 10.01.2000 № 24 «О концепции национальной безопасности Российской Федерации» // Собрание законодательства РФ. - 2000. - № 2. - Ст. 170.
  10. Монографии и учебно-методические пособия

  11. Айвазян С.А., Бухштабер В.М., Енюков И.С., Мешалкин Л.Д. Классификация и снижение размеренности. - М.: «Финансы и статистика», -1989.
  12. Айков Д., Сейгер К., Фонстрох У. Компьютерные преступления: Руководство по борьбе с компьютерными преступлениями: Пер. с англ. - М., 1999.
  13. Алексеев С.С. Общая теория социалистического права. Вып. 2. -Свердловск, - М, 1964.
  14. Алексеев С.С. Общие теоретические системы советского уголовного права. - М., 1961.

181

  1. Анин Б. Защита компьютерной информации. - СПб.: БХВ-Петербург, 2000.
  2. Анохин П.К. Философские аспекты теории функциональной системы. -М., 1978.
  3. Афанасьев B.C., Сергеев Л.А. Рассмотрение сообщения о преступлениях. -М, 1972.
  4. Бабаев В.К., Баранов В.М. Общая теория права: Краткая энциклопедия. - Н. Новгород: Нижегородский юрид. ин-т МВД РФ, 1998.
  5. Баев О.Я. Тактика следственных действий: Учебное пособие. - Воронеж: Изд- во ВГУ, 1992.
  6. Батурин Ю.М. Проблемы компьютерного права. - М.: Юрид. лит., 1991.
  7. Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная безопасность. -М.: Юрид. лит., 1991.
  8. Бауэр Ф.Л., Гооз Г. Информатика. Вводный курс. 4.1. — М., 1990.
  9. Безлепкин Б. Т. Уголовный процесс России. Общая часть и досудебные стадии. Курс лекций. - М., 1998.
  10. Безруков Н.Н. Компьютерная вирусология. Справочное руководство. - Киев, 1991.
  11. Белецкий В.И. Методика расследования хищений денежных средств. Вып. 24. - Киев, 1991.
  12. Белкин Р.С. Криминалистика: Проблемы, тенденции, перспективы. От теории к практике. - М.: Юридическая литература, 1988.
  13. Белкин Р.С. Курс советской криминалистики. Т. 3. - М.,1979.
  14. Браверман Э.М., Мучник И.Б. Структурные методы обработки эмпирических данных. - М.: Наука, - 1983.
  15. Васильев А.Н., Яблоков Н.П. Предмет, система и теоретические основы криминалистики. - М.: МГУ, 1984.
  16. Вехов В.Б. Компьютерные преступления. Способы совершения, методики расследования. - М., 1996.

182

  1. Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учебно- методическое пособие. Изд. 2-е, доп. и испр. - М.: ЦИиНМОКП МВД России, 2000.
  2. Винер Н. Кибернетика и общество. - М., 1958.
  3. Возгрин И.А. Криминалистическая методика расследования преступлений. - Минск: Высшая школа, 1983.
  4. Гаерилов О.А. Информатизация правовой системы России. Теоретические и практические проблемы. - М., 1998.
  5. Гайкович В., Першин А. Безопасность электронных банковских систем. - М.: Единая Европа, 1993.
  6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Кн. 1. — М., 1994.
  7. Герасимов И. Ф. Некоторые проблемы раскрытия преступлений. -Свердловск: Средне-Уральское книжное изд-во, 1975.
  8. Глистин В.К. Проблема уголовно-правовой охраны общественных отношений (объект и квалификация преступлений). - Ленинград: Изд-во Ленинградского ун- та, 1979.
  9. Глушков В.М. О кибернетике как науке. Кибернетика, мышление, жизнь. -М., 1964.
  10. Голунский С.А., Шевер Б.М. Криминалистика. Методика расследования отдельных видов преступлений/ Учебник. - М., 1939.
  11. Горбань А.Н. Обучение нейронных сетей. М.: изд. СССР-США СП «Параграф»,-1990.
  12. Горбань А.Н., Россиев Д.А. Нейронные сети на персональном компьютере. Новосибирск: Наука (Сибирское отделение), - 1996.
  13. Гринберг М.С. Преступления против общественной безопасности. - Свердловск, 1974.
  14. Густое ГА. Раскрытие должностных хищений. Криминалистические формы. - Л.: Институт усовершенствования следственных работников, 1983.

183

  1. Дагель П.С. Субъективная сторона преступления и ее установление. -Воронеж, 1974.
  2. Доля Е.А. Использование в доказывании результатов оперативно-розыскной деятельности. - М., 1996.
  3. Дуда Р., Хорт П. Распознавание образов и анализ сцен.- М.: Мир, — 1976.
  4. Дулов А.В. Тактические операции при расследовании преступлений. -Минск, 1979.
  5. Заморин А.П., Марков А.С. Толковый словарь по вычислительной технике и программированию. - М., 1988.
  6. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000.
  7. Зуйков Г.Г. Розыск преступников по признакам способа совершения преступления. - М.: ВШ МВД СССР, 1969.
  8. Ивахненко А.Г. Персептроны. - Киев: Наукова думка, 1974.
  9. Истомин А.Ф. Общая часть уголовного права: Учеб. пособие (альбом схем). - М., 1997.
  10. Итоги науки и техники. Сер. «Физ. и матем. модели нейронных сетей» / Под ред. А.А. Веденова. - М.: Изд-во ВИНИТИ, 1990-92 - Т. 1 - 5.
  11. Каминский М.К. Криминалистические средства обнаружения и раскрытия посягательств на социалистическое имущество. - Горький: ГВШ МВД СССР, 1976.
  12. Каратаев О.Г. Криминалистическая информатика. - М.: Знание, 1991.
  13. Клаус Г. Кибернетика и общество. - М., 1967.
  14. Климов И.А., Борисов Г.Л., Литваковский Д.А. Предупреждение, выявление и раскрытие хищений, совершаемых с использованием компьютерной информации: Лекция. - М.: Юрид. ин-т МВД РФ, 1988.
  15. Клир Дж. Системология. Автоматизация решения системных задач: Пер. с англ. - М.: Радио и связь, 1990.
  16. Клир Дж. Системология. Автоматизация решения системных задач: Пер. с англ. - М.: Радио и связь, 1990.

184

  1. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. - М: Горячая линия - Телеком, 2002.
  2. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. - М.: СОЛОН-Р, 2001.
  3. Колдин В.Я. Идентификация при расследовании преступлений. -М.: Юрид. лит, 1978.
  4. Колдин В.Я., Полевой Н.С. Информационные процессы и структуры в криминалистике. - М.: Изд-во МГУ, 1985.
  5. Колесниченко А.Н., Коновалова В.Е. Криминалистическая характеристика преступлений. - Харьков: Изд-во Харьковского юридического института, 1985.
  6. Компьютерные преступления: Учебное пособие. -М., 1995.
  7. Компьютерные технологии в юридической деятельности / Под ред. Н. Полевого, В. Крылова. - М., 1994.
  8. Коржанский Н.И. Объект и предмет уголовно-правовой охраны. -М.: Академия МВД СССР, 1980.
  9. Корягина О.В. Спорные вопросы понятия объекта преступления / Под ред. проф. Э.С. Тенчова. - Иваново, 1997.
  10. Криминалистика/ Отв. ред. проф. Н.И Яблоков- М., 1990.
  11. Криминалистика: Расследование преступлений в сфере экономики. Учебник / Под ред. проф. В.Д. Грабовского, доц. А.Ф. Лубина. - Н. Новгород: НВШМВДРФ, 1995.
  12. Криминалистика: Учебник/ Под ред. Е.П. Ищенко. — М.: Юристъ, 2000.
  13. Криминалистики: Учебник/ Под ред. А.Ф.. Волынского. - М., 1999.
  14. Крылов ВВ. Расследование преступлений в сфере информации. -М.: Издательство «Городец», 1998.
  15. Крылов И.Ф. Криминалистическое учение о следах. - Л.: Изд-во ЛГУ, 1976.
  16. Кудрявцев В.И. Общая теория квалификации преступлений. - М.: Юридическая литература, 1972.

185

  1. Кудрявцев В.Н. Теоретические основы квалификации преступлений.-М., 1963.
  2. Курашвили Г.К. Изучение следователем личности обвиняемого. -М., 1982.
  3. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М.: Новый юрист, 1998.
  4. Кустов A.M. Теоретические основы криминалистического учения о механизме преступлений. - М., 1997.
  5. 1 . Кушниренко СП., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях: Учебное пособие. - СПб., 1997.

  6. Леонтьев Б.К. Хакеры, взломщики и другие информационные убийцы. - М.: Майор, 2001.
  7. Личность преступника / Ред. кол.: В.Н. Кудрявцев, Г.М. Миньков-ский, А.Б. Сахаров. - М: Юрид. литература, 1975.
  8. Лубин А.Ф. Криминалистическая характеристика преступной деятельности в сфере экономики: понятие, формирование, использование: Учебное пособие. - Н. Новгород, 1991.
  9. Лубин А.Ф. Механизм преступной деятельности. - Н. Новгород, 1997.

  10. Ляпунов Ю.И. Общественная опасность деяния как универсальная категория советского уголовного права: Учебное пособие. - М.: ВЮЗШ МВД СССР, 1989.
  11. Матусовский Г.А. Методика расследования хищений. - Киев: Выш. шк., 1988.
  12. Минский М., Пайперт С Персептроны. -М.: Мир, 1971.
  13. Миркин Б.Г. Анализ качественных признаков и структур. - М., 1989.
  14. Никифоров Б.С Объект преступления. - М., 1960.
  15. Новая технократическая волна на Западе / Под ред. П. С Гуревича. -М.: Прогресс, 1986.

186

  1. Новое уголовное право России. Особенная часть: Учебное пособие. - М.: Зерцало, ТЕИС, 1996.
  2. Об особенностях расследования отдельных видов преступлений в сфере компьютерной информации / Методические рекомендации. Главное следственное управление при ГУВД Нижегородской области. — Н. Новгород, 2000.
  3. Образцов В.А. Криминалистика. Учебное пособие. — М.: «Юрикон», 1994.
  4. Образцов В. А. Криминалистическая классификация преступлений. - Красноярск, 1988.
  5. Основания уголовно-правового запрета (криминализация и декри- минализация). -М.: Изд-во Наука, 1982.
  6. Панфилова Е.И., Попов А.С. Компьютерные преступления: Серия «Современные стандарты в уголовном праве и уголовном процессе» / Под ред. Б.В. Волженкина. - Спб.: Спб. юрид. ин-т Ген. прокуратуры, 1998
  7. Петров Ю.А. Культура мышления: Методологические проблемы научно- педагогической работы. - М.: Изд-во МГУ, 1990.
  8. Петров Ю.А. Теория познания: научно-практическое значение. -М.: Мысль, 1988.
  9. Право и информатика. Под ред. Е.А. Суханова. — М., 1998.
  10. Пущин B.C. Преступления в сфере компьютерной информации. -М., 2000.
  11. Расследование неправомерного доступа к компьютерной информации / Под ред. КГ. Шурухнова. - М.: Изд-во «Щит-М», 1999.
  12. Розенблатт Ф. Принципы нейродинамики. Персептрон и теория механизмов мозга. М.: Мир, 1965.
  13. Российское уголовное право. Общая часть: Учебник / Под ред. В.К Кудрявцева, А.В. Наумова. - М., 1996.
  14. Российская Е.Р. Судебная экспертиза в уголовном, гражданском арбитражном процессе. -М.: Право и Закон, 1996.
  15. Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и Закон, 2001.

187

  1. Серегин А.В. Административная ответственность за нарушения общественного порядка: Учебное пособие. - М.: НИИ ВШ МВД СССР, 1968.
  2. Сетров ММ. Информационные процессы в биологических системах.-Л., 1975.
  3. Таганцев Н.С. Русское уголовное право: Лекции. Том 1. Часть общая.-М., 1994.
  4. Теоретические проблемы советской криминалистики. — М.: Юридическая литература, 1973.
  5. Технология в преступном мире: Компьютерные телекоммуникационные технологии / Авт.-сост. В.Н. Соколов. -Минск: Литература, 1998.
  6. Типовые модели и алгоритмы криминалистического исследования: Учебное пособие / Под ред. В.Я. Колдина. - М., 1989.
  7. Тихомиров Ю.А. Публичное право. - М., 1995.
  8. Толеубекова Б.Х. Компьютерная преступность: уголовно-правовые и процессуальные основы. -Караганда: КВШ МВД СССР, 1991.
  9. Тоффлер О. Смещение власти: знание, богатство и принуждение на пороге XXI века. - М.: Изд-во АН СССР, 1991.
  10. Уголовное право России. Общая часть: Учебник / Под ред. докт. юрид. наук Б.В. Здравомыслова. - М. .: Юрист, 1996.
  11. Уголовное право России. Особенная часть: Учебник / Под ред. AM. Рарога. — М.: Инст. межд. права и экон., 1996.
  12. Уголовное право. Общая часть: Учебник / Под ред. В.Н. Петра-шева. - М.: Издательство ПРИОР, 1999.
  13. Фор А. Восприятие и распознавание образов. - М.: Машиностроение,-1989.
  14. Черняк Ю.И. Информация и управление. - М., 1974.
  15. Чувилев А.А. Прокурорский надзор за исполнением законов органами, осуществляющими оперативно-розыскную деятельность. - М., 1995.
  16. Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации. - М.: Щит, 1999.
  17. МЪ.Юдин Э.Г. Системный подход и принцип деятельности. - М., 1978.

188

  1. Яблоков Н.П. Криминалистическая методика расследования. - М.: Изд-во МГУ, 1985.
  2. Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов непрофильных вузов. - М.: Международные отношения, 2000.
  3. Статьи

  4. Аверьянова Т.В. Еще раз о компьютерно-технической экспертизе // IX Международная научная конференция «Информатизация правоохранительных систем». Сборник трудов. - М., 2000.
  5. Аверьянова Т.В. Задачи компьютерно-технической экспертизы // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. Ч. 2. - М., 1998.
  6. Азаров В.А. Уголовно-процессуальные и оперативно-розыскные средства достижения цели раскрытия преступлений. - Государство и право. -1997.-№10.
  7. Аккуратпов И., Батушенко А. Пираньи в компьютерных сетях // Эксперт. -
  8. -№ 36. - 23 сентября.
  9. Бачило И.Л. Потенциал законодательства в процессах становления информационного общества // Информационное общество. - 1999. - № 3.
  10. Беляева Н.Г. Право на неприкосновенность частной жизни и доступ к персональным данным // Правоведение. - 2001. - № 1.
  11. Бердичевский Ф.Ю. О предмете и о понятийном аппарате криминалистики // Вопросы борьбы с преступностью. - Вып. 24. - М., 1976.
  12. Бытко СЮ. Квалификация незаконного доступа в Интернет / Общество. Культура. Преступность: Межвузовский сборник научных трудов. Вып. 4. - Саратов: Изд-во Саратовского университета, 2002.
  13. Васильев А.Н. О криминалистической классификации преступлений // Методика расследования преступлений (общие положения). - М., 1976.
  14. Ведерников Н. Т. Личность преступника как элемент криминалистической характеристики преступления // Криминалистическая характеристика преступления. - М., 1984.
  15. Вербов С. Статистика знает все // Комсомольская правда. - 2001. -21 июня.

189 М.Гаврилин Ю.В. Криминалистические средства и методы расследования преступлений в сфере компьютерной информации // Общество и право: в новом тысячелетии. Материалы международной научно-практической конференции. Т. 1. - Москва-Тула: ЮИ МВД России, 2001.

  1. Гаврилов М.В., Иванов А.И. Следственный осмотр при расследовании преступлений в сфере компьютерной информации. - Законность. - 2001. -№9.
  2. Гаврилов М.В., Иванов А.Н. Особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российская юридическая доктрина в XXI веке: проблемы и пути их решения: Научно- практическая конференция / Под ред. А.И. Демидова. - Саратов: СГАП,2001.
  3. Герасимов И.Ф. Следственная ситуация на предварительном этапе расследования преступлений// Социалистическая законность. - 1977. — № 7.
  4. Головин А.Ю. Классификация и характеристика лиц, совершающих преступления в сфере компьютерной информации // Организованная пре- ступность, миграция, политика / Под ред. проф. А.И. Долговой. - М., Российская криминологическая ассоциация, 2002.
  5. Голубев В.В. Компьютеризация и уголовное право// Законодательство.- 1999.- № 8.
  6. Гончаренко В.И., Кушнир ГА., Подпалый В.Л. Понятие криминалистической характеристики преступлений// Криминалистика и судебная экспертиза. Вып. 33. - Киев, 1986.
  7. Гордова Е. Банкиры бегут в Сеть // Комсомольская правда. - 2001. - 26 июня.
  8. Грабовский В.Д., Каминский М.К. Взаимодействие, отражение, информация// Теория криминалистической идентификации, дифференциации и дидактические вопросы специальной подготовки сотрудника аппарата БХСС. - Горький, 1980.

190 2.Грязин И.Н. Информационно-компьютерное право: отрасль права или отрасль законодательства? // Ученые записки Тартуского гос. ун-та. -Tartu riikliku ulikooli toimetised. Вып. 864. Труды по социальным проблемам кибернетики. - 1989.

  1. Густое Г.А. Моделирование - эффективный метод следственной практики и криминалистики// Актуальные проблемы советской криминалистики.-М., 1980.
  2. Дворецкий М.Ю. Преступления в сфере компьютерной информации // Проблемы теории, законодательства и практики правоохранительных органов по стабилизации и снижению роста преступности в России (материалы научно- практической конференции). - Тамбов: ТФЮИ МВД РФ, 2000.
  3. Драпкин Л.Я. Некоторые вопросы процесса раскрытия преступлений // Сб. аспир. работ. Вып. 10. - Свердловск, 1969.
  4. Домбровский Р.Г. Следы преступления и информация// Правоведение. - 1988.- № 3.
  5. Зубаха B.C., Усов А.И. Пути развития производства экспертиз компьютерных систем // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М., 1999.
  6. Ксшржанов Е.К. Интересы трудящихся и уголовный закон// Сб.: Проблемы объекта преступления. - Алма-Ата: «Казахстан», 1973.
  7. Каминский М.К. Криминалистическая характеристика деятельности по выявлению, раскрытию и расследованию преступлений // Правовые и об- щественно-экономические науки и борьба с хищениями социалистического имущества. - Горький, 1977.
  8. Каминский М.К. Криминалистическая категория «след преступления» и ее содержание// Специальные знания в сфере борьбы с посягательствами на социалистическую собственность. - Горький.: ГВЩ МВД СССР, 1984.
  9. Каминский М.К Криминалистическая модель «компьютерных преступлений» // Вестник Удм. ун-та. - Ижевск, 1996.
  10. Карась ИЗ. Вопросы правового обеспечения информатики // Мик- ропроцессорные средства и системы. - 1986. - № 1.

191

  1. Карась ИЗ. Правовое регулирование общественных отношений в сфере информатики // Советское государство и право. - 1987. - № 3.
  2. Катков С.А. Назначение экспертизы по восстановлению содержания документов на магнитных носителях ЭВМ // Проблемы криминалистической теории и практики. -М., 1995.
  3. Катков С.А., Собецкий И.В., Федоров А.Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. - 1995. - № 4.
  4. Кибертеррор - пугало или реальность? // Эксперт. - 2000. - № 6 - 7.
  5. Козлова Н. Стеклянные люди // Российская газета. - 2001. - № 122. - 28 июня.
  6. Колдин В.Я. Криминалистическое знание о преступной деятельности: функция моделирования // Советское государство и право. - 1987. -№2.
  7. Колдин В.Я. К вопросу о перспективе создания универсальной кри- миналистической информационной системы и возможность ее использования при раскрытии и расследовании преступлений// Повышение эффективности использования криминалистической методики и средств расследования преступлений. - М., 1986.
  8. Комиссаров В., Гаврилов М., Иванов А. Назначение компьютерно- технических экспертиз // Законность. - 2000. - № 1.
  9. Компьютерная преступность: состояние, уголовно-правовые аспекты борьбы и криминологические меры профилактики // Юридическое образование и наука.
        • № 1.
  10. Компьютерная преступность: уголовно-правовые и криминологические проблемы (Международная научно-практическая конференция) // Государство и право. - 2000. - № 9.
  11. Коржанский Н.И. Основания и критерии выбора объектов уголовно- правовой охраны // Наука и техника на службе предварительного следствия. - Волгоград, 1976.
  12. Кочои С, Савельев Д. Ответственность за неправомерный доступ к компьютерной информации// Российская юстиция. - 1999. - № 1.

192

  1. Кочубей А. Скажи мне, какой у тебя банк… // Сегодня. - 1996. -7 сентября.
  2. Крыгин С. В. Автоматизированная обработка региональных банков данных // Международная конференция «Информатизация правоохранительных систем» (2- 3 июля 1996 г. Москва). Тезисы докладов. Ч. 1. - М.: Акад. МВД России, 1996.
  3. Крыгин С. В. Автоматизация работы библиотеки // Международная конференция «Информатизация правоохранительных систем» (30 июня -1 июля 1998 г. Москва). Тезисы докладов. Ч. 1. М.: Акад. МВД России, 1998.
  4. Крыгин С. В. Особенности предмета доказывания при расследовании компьютерных преступлений. // Проблемы юридической науки и практики в исследованиях адъюнктов и соискателей: Сборник научных трудов. Выпуск 6 - Н. Новгород: Нижегородская академия МВД РФ, 2000.
  5. Крыгин С. В. Проблемы автоматизированной оценки оперативной обстановки. // Проблемы юридической науки и практики в исследованиях адъюнктов и соискателей: Сборник научных трудов. Выпуск 3 -Н. Новгород: Нижегородский юридический институт МВД РФ, 1997.
  6. Кудрявцев В.Н. Природа преступного поведения и его механизм // Механизм преступного поведения. - М., 1981.
  7. Кузнецов А.В. Некоторые вопросы расследования преступления в сфере компьютерной информации // Информационный бюллетень Следственного комитета МВД России. № 2(95). - М., 1998.
  8. Лесков С. Кибервойна на байтах и битах // Комсомольская правда. -2001.-23 июня.
  9. Литвинов А.В. Правовые вопросы охраны компьютерной информации // Советское государство и право. - 1987. — № 8.
  10. Лубин А.Ф., Мурзин А.Г. Поиск и изъятие доказательственной информации в ходе выемки и обыска персонального компьютера // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М., 1999.

193

  1. Нужнее СЮ. Виды компьютерных преступлений и способы их совершения // В сборнике «Вопросы криминологии, криминалистики и судебной экспертизы». - Минск, 1994.
  2. Лупинская П. Основания и порядок принятия решений о недопустимости доказательств. - Российская юстиция. - 1994. - № 11.
  3. Ляпунов Ю.И., Максимов В. Ответственность за компьютерные преступления // Законность. - 1997. - № 1.
  4. Матусовский Г. А. О криминалистической характеристике хищений государственного и общественного имущества// Криминалистическая харак- теристика преступлений. - М., 1984.
  5. Матусовский Г. А. Проблемы совершенствования методики расследования преступлений / Актуальные проблемы формирования правового государства. - Харьков: Юрид. институт, 1990.
  6. Мытько И. Свои опаснее чужих // Комсомольская правда. - 2001. -28 июня.
  7. Нехорошее А.Б. Некоторые общетеоретические, процессуальные и методические проблемы судебной экспертизы компьютерной техники и компьютерной информации // IX Международная научная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М., 2000.
  8. Опыт расследования преступлений в сфере компьютерной информации // Экспресс-информация. ГИЦ МВД России. - 2000. - № 5.
  9. Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. - М., 1999.
  10. Остроушко А.В. Выдвижение версий при расследовании преступлений в сфере компьютерной информации // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. Ч. 2. -М., 1997.
  11. Парфенков СВ. Обсуждение монографии по криминалистике // Ра-дянське право. - 1987. - № 11.

194

  1. Пименов А.Н. Неправомерный доступ в телекоммуникационных сетях как постоянно развивающееся и многоликое явление // Информатизация правоохранительных систем. X Международная конференция. 22 - 23 мая 2001 года / Сборник трудов. - Академия управления МВД России. М., 2001.
  2. Полякова Т.А. Правовые аспекты обеспечения информационной безопасности в субъектах Российской Федерации // Бюллетень Министерства юстиции Российской Федерации. - 2001. - № 7.
  3. Преступность в России // Аналитические обозрения Центра Комплексных Социальных Исследований и Маркетинга. - М., 1997.
  4. Предотвращение компьютерных преступлений // Проблемы преступности в капиталистических странах (По материалам зарубежной печати). - М.: ВНИИ МВД СССР, 1986. - № 4.
  5. Проблемы борьбы с компьютерной преступностью // Борьба с преступностью за рубежом. - М.: НИИ МВД РФ, 1988. - № 4.
  6. Расширение масштабов компьютерной преступности // Проблемы преступности в капиталистических странах (По материалам зарубежной печати). - М.: ВНИИ МВД СССР, 1986. - № 10.
  7. Рейтаров И. Куба не хочет атаковать американские компьютеры // Комсомольская правда. - 2001. - 21 июня.
  8. Рогозин В.Ю. Проблемы выявления преступлений в сфере компьютерной информации и первоначального этапа их расследования // IX Международная научная конференция «Информатизация правоохранительных систем». Сборник трудов. - М., 2000.
  9. Российская организованная преступность // Доклад Центра Стратегических исследований. -М., 1997.
  10. Российская Е.Р. Предмет и практические приложения компьютерно- технической экспертизы // Международная конференция «Информатизация правоохранительных систем». Тезисы докладов. Ч. 2. - М., 1998.
  11. Российская Е.Р. Проблемы использования специальных познаний при раскрытии и расследовании преступлений в сфере компьютерной информации // IX Международная научная конференция «Информатизация правоохранительных систем». Сборник трудов. - М., 2000.

195

  1. Салтееский М.В. Источники криминалистической информации// Специализированный курс криминалистики. - Киев, 1987.
  2. Северин В. А. Правовое регулирование информационных отношений // Юрист.
        • № 7.
  3. Сереброва СП. Использование компьютерной информации при расследовании преступлений в сфере экономики. // Российский следователь. - 2000. - № 4.
  4. Сетевые атаки и средства борьбы с ними// Computer Weekly. - 1998. -№14.
  5. Совещание по вопросам компьютерной преступности // Проблемы преступности в капиталистических странах. - М., ВИНИТИ, 1986. - № 2.
  6. Соцков Е.А. Права человека и информационная безопасность / Общество и право в новом тысячелетии: Материалы международной научно-теоретической конференции, посвященной 200-летию МВД России и 10-летию Тульского филиала ЮИ МВД РФ (4-5 октября 2000г.) В 2-х томах. Т. 1. - Москва-Тула: ЮИ МВД России, 2001.
  7. Степанов В.В. Выявление преступлений - начальный этап борьбы с преступностью // Проблемы оптимизации первоначального этапа расследования преступлений. - Свердловск, 1988.
  8. Стрельцов А.А. Направления совершенствования правового обеспечения информационной безопасности Российской Федерации // Информационное общество. - 2001. - № 6.
  9. Танасевич ВТ. Криминалистическое понятие раскрытия преступлений // Социалистическая законность. - 1975. - № 10.
  10. Танасевич В.Г., Шрага И.П., Орлов Я.В. Проблемы выявления хищений социалистического имущества // Вопросы борьбы с преступностью. -Вып. 23. - М.: Юридическая литература, 1975.
  11. Толстошеее В.В. Компьютерная технология и право // Советское государство и право. - 1988. - № 3.
  12. Усов А.И. Проблемы комплексной экспертизы компьютерных средств // IX Международная научная конференция «Информатизация правоохранительных систем». Сборник трудов. - М., 2000.

196

  1. Федоров В. Компьютерные преступления: выявление, расследование и профилактика // Законность. - 1994. - № 6.
  2. Фролов Е.А. Спорные вопросы учения об объекте преступления. Вып. 10. - Свердловск: Свердловский юрид. институт, 1969.
  3. Шейфер С.А. Доказательственные аспекты Закона «Об оперативно-розыскной деятельности». - Государство и право. - 1994.
  4. Шустов К А. Уголовно-правовая характеристика неправомерного доступа к компьютерной информации // Информатизация правоохранительных систем. X Международная конференция. 22-23 мая 2001 года / Сборник трудов. - Москва: Академия управления МВД России. - М., 2001.
  5. Щетилов А.А. Оперативные аспекты обеспечения информационной безопасности // Материалы международной конференции «Информатизация правоохранительных систем». Ч. 2. — М., 1997.
  6. Яблоков Н.П. Обстановка совершения преступления. Его криминалистическая характеристика // Криминалистическая характеристика преступлений.-М., 1984.
  7. Судариков В.А. Исследование адаптивных нейросетевых алгоритмов решения задач линейной алгебры // Нейрокомпьютер, №3,4.- 1992.
  8. Авторефераты

  9. Жбанков В.А. Концептуальные основы установления личности преступника в криминалистике: Автореф. дис. … доктора юрид. наук - М., 1995.
  10. Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Автореф. дис… канд. юрид. наук. -М, 1997.
  11. Колесниченко А.Н. Научные и правовые основы расследования отдельных видов преступлений: Автореф. дис. … канд. юрид. наук. — Харьков, 1967.
  12. Крылов ВВ. Основы криминалистической теории расследования преступлений в сфере информации: Автореф. дис. … доктора юрид. наук -М., 1998.

197

  1. Кубышкин А.В. Международно-правовые проблемы обеспечения информационной безопасности государства: Автореф. дис. … канд. юрид. наук. - М., 2002.
  2. Литейное А.В. Организационно-правовые вопросы охраны информации в вычислительных системах: Автореф. дис… канд. юрид. наук / Институт государства и права АН СССР. - М., 1989.
  3. Лубин А.Ф. Методология криминалистического исследования механизма преступной деятельности// Автореф. дис. … доктора юрид. наук - Н. Новгород, 1997.
  4. Лысое КН. Криминалистическое учение о фиксации доказательственной информации в деятельности по выявлению и раскрытию преступлений // Автореф. дис. … доктора юрид. наук. -М., 1995.
  5. Махов В.Н. Теория и практика использования знаний сведущих лиц при расследовании преступлений: Автореф. дис. … канд. юрид. наук / НИИ проблем укрепления законности и правопорядка. - М., 1999.
  6. Рапопорт Е.А. Уголовно-правовые основы предупреждения преступлений: Автореф. дис. … канд. юрид. наук / Ставропольский госуниверситет. - Ставрополь, 2001.
  7. Рогозин В.Ю. Особенности расследования и предупреждения пре ступлений в сфере компьютерной информации: Автореф. дис. … канд. юрид. наук. - Волгоград, 1998.

Словари, справочники

  1. Зибер У. Международный справочник по компьютерной преступности. - Фрайбургский Университет (ФРГ), 1986.
  2. Ожегов СИ. Словарь русского языка. - М., 1988.
  3. Словарь иностранных слов. - М., ГИИИНС, 1995.
  4. Криминалистический словарь. - М.: Юрид. лит., 1993.

198

Зарубежная литература

  1. Breiman, L., Friedman, J.H., Olshen, R.A., Stone, C.J. Classification and regression trees. Monterey, CA: Wadsworth & Brooks / Cole Advanced Books & Software, 1984.
  2. Fisher R.A. Statistical Methods for Research Workers (6th ed.). Edinburgh: Oliver and Boyd, 1936.
  3. Fisher R.A. The use of multiple measurements in taxonomic problems. Annals of Eugenics, 7, 1936.
  4. Hopfield J.J. Neural Networks and Physical systems with emergent collective computational abilities // Proc. Nat. Sci. USA. V. 79, 1982.
  5. International Security Review. - November / December, 1998.
  6. Le code penai de la Republigue la France// La revue Officielle, 1992.
  7. Pregibon D. Data Mining. Statistical Computing and Graphics, 7, 8., 1997.
  8. Zurada J. M. Introduction to artificial neural systems. PWS Publishing Company, 1992.

199

Приложение 1

Таблица 1. Фрагмент базы эмпирических данных для обработки методом де-

ревьев классификации

Субъекты Ситуация Способы Мотив я

о

ев О

CL X OI -0

-е- ч и S

се

(U i

о

а

о

X

н О 5

я (в ю S X ев

U

о.

о о н о

2 0!

Щ

о. 0Q о с. .

1) ев

Н Е-

g « 3 <°

с

о ев

S-

Я

3

ев го S

со S

ч

и

а.

С с

S

я

X S

а.

С к

S са ь о f=t

D Ч О

о С

1 1 3 1

1 1 1 1 1 2

1 1 2 3

3 3 2 1 2 4

1 2 3 3 2 3 1 1 1 1 3

1 3 2 3

3 3 1 2 2 1

5 1 1 1

1 2 3 1 1 4

5 1 3 1

1 3 5 1 2 3 2 1 1 3 1

1 2 1 1 1 4 2 1 2 3 3

3 3 2 1 1 4 2 1 3 3 3

3 3 3 1 2 4 2 2 1 3 1

1 3 2 1 3 4 2 4 2 3 2

2 2 1 1 2 4 2 5 1 3 1

1 2 3 1 1 4 3 1 3 2 3

3 2 1 1 2 1 3 1 3 2 3

3 3 1 2 2 1 4 1 1 1 1

1 2 1 1 2 4 4 2 2 1 2

2 2 4 3 1 2 4 2 3 1 3

3 3 4 3 1 3 4 3 1 1 1

1 3 3 1 1 1 4 4 1 1 1

1 2 3 1 1 2 4 4 2 1 1

3 3 5 2 1 1 4 5 1 1 1

1 2 3 1 1 2 5 1 3 3 3

3 3 2 1 2 2 5 1 3 1 3

3 3 1 2 2 2 5 1 3 2 3

3 3 1 1 2 1 5 2 3 3 3

3 3 2 4 1 2 6 1 1 1 1

1 3 1 1 1 1 6 1 3 1 3

3 2 1 2 2 1 6 4 1 1 1

1 3 3 1 1 1 6 4 1 1 1

1 3 5 1 2 1 6 5 1 1 1

1 2 3 1 1 3 8 1 3 1 3 2 3 2 1 1 2 2 8 2 3 1 3 2 3 3 4 4 3 3 8 2 1 1 1

1 2 4 3 3 3 8 3 1 1 1

1 3 3 1 1 2 8 4 1 1 1

1 3 5 1 1 3

200

Приложение 2

Таблица 2. Фрагмент базы эмпирических данных для обработки методом

нейронных сетей.

Mes l с/1

S Ti me Co mpl Co mp 2 Za chl Zac h2 Vid l Vid 2 Vid 3 Pre dl Pre d2 -a a. Pri nc 1 Prin c2 Pos ll Pos l2 Pos l3 Pro fl о

CL Pro f3 Pro f4 о a. 0

0 0

0

0 0

0 0 1

0 1 0 0

0 0 0 0 0

0 0

0 0

0 0 1

0 1 0 0

0 0 0 0

0

0 1 0 0 0 1

0 1 0 0

0 0 0 0

1

0 0

0 0 1

0 0 1 1

0 0 0 0

1

0 0

0 1 0

0 1 0 0

0 0 0 0

0

0 0

0 1 0

0 0 0 1

0 0 0 0

0

0 0

0 0 1

0 0 1 0

0 0 0 0

1

0 0 0

0 1 0

0 0 1 0

0 0 0 0

1

0 0

0 1 0

0 0 0 1

0 0 0 0

1

0 0 0

0 0 1

0 1 0 0

0 0 0 0

1

0 0

0 0 1

0 0 1 1

0 0 0 0

0

0 1 0 0 0 1 0

0 1 1 0

0 0 0

0

1 0 0 0 1 t

0 1 1 0

0 0 0

1

0 1 0 0 1 1

0 1 1 0

0 0 0

1

0 1 0 1 0 0

0 1 1 0

0 0 0

0

0 0 1 1 0 0

0 1 1 0

0 0 0

1

1 0 0 0 0 1 0

0 1 0 0

0 0 0

1

1 0 0 0 1 1 1

0 1 1 0

0 0 0 0

0

1 0

0 0 1 0

1 0 0 0 0 0 1 0 0

0

0 1

0 0 1 0

1 0 0 0 0 0 0 1 0

0

0 1

0 0 1 0

1 0 0 0 0 0 0 1 0

0

0 1

0 0 1 0

1 0 0 0 0 0 0 1 0

0

1 0

0 0 1

0 0 1 1 0 0 0 0 1 1

0

0 1

0 0 1

0 1 0 0

0 0 0 0 1

1

0 0

0 0 1 0 1 1 0 0

0 0 0 0 1

1

0 1

0 0 1

0 1 0 0

0 0 0 0 1

1

0 0

0 0 1

0 0 0 1

0 0 0 0 1

1

0 0

0 1 0

0 0 0 1

0 0 0 0 0

0 0

0 0 0

0 0 1

0 1 0 0

0 0 0 0 0

0 0

0 0

0 0 1

0 1 0 0

0 0 0 0 1

1

0 0

0 0 1

0 0 0 1

0 0 0 0 1

1

0 0

0 0 1 0 1 0 1 0

0 0 0 0 0

0 0

0 1 0 0 0 1 1 0 1 0 1 1 0 1 0 0 0 0

0 0

1 0 0 0 1 1 1 1 0 1 1 0 1 0 0 0 1

0 1

1 1 о 0 0 1 1 0 1 о 1 1 0 1 0 0 0