ЭЛЕКТРОННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ КАК ОБЪЕКТЫ СУДЕБНО-ЭКСПЕРТНОГО ИССЛЕДОВАНИЯ Текст научной статьи по специальности «Право»

УДК 343.9 DOI: 10.24412/2071-6184-2022-4-57-66

ЭЛЕКТРОННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ КАК ОБЬЕКТЫ СУДЕБНО-ЭКСПЕРТНОГО ИССЛЕДОВАНИЯ

Е.Д. Берестенко, А.В. Ростовцев

Представлены понятие, виды и правовые основы работы с электронными носителями информации как источниками криминалистически значимой информации. Проанализированы взаимосвязанные признаки электронных носителей и размещенной на них информации. Приведена классификационная основа электронных носителей по назначению, техническим характеристикам, принципу действия и по ряду других оснований. Рассмотрено понятие цифровых следов как объектов исследования судебных экспертиз, а также их влияние на методологию и методику экспертного исследования, компетенцию судебных экспертов. Подвергнуты разбору законодательные поправки, внесенные в этой области, с учетом особенностей обработки цифровых следов преступлений, содержащихся на электронных носителях, и методов работы с ними.

В статье рассмотрены задачи, решаемые специалистом в области информационно-телекоммуникационных технологий, связанные с обнаружением и изъятием как самих электронных носителей информации, так и имеющейся на них информации. Проанализировано экспертное исследование электронных носителей информации как вид процессуального использования специальных знаний в области судебной компьютерно-технической экспертизы. Рассмотрено деление судебных компьютерно-технических экспертиз по видам, которое легло в основу специальных компетенций судебных компьютерно-технических экспертов. Приведен перечень научных знаний в области информационно-телекоммуникационных технологий для вышеуказанных специалистов.

Ключевые слова: электронные носители, цифровые следы, вещественное доказательство, компьютерно-техническая экспертиза, специальные знания, специалист.

В настоящее время информационно-телекоммуникационные технологии широко используются как в работе правоохранительных органов в борьбе с преступностью, так и в незаконной деятельности при совершении практически всех видов преступлений, что говорит об их тенденциях к «оцифровке». Особенно активно современные правонарушители используют ресурсы социальных сетей, сервисы электронной почты и мгновенных сообщений, средства анонимизации и удаленного доступа, возможности сотовой связи, SIP-телефонии и «теневого интернета», технологии создания и распространения неподтвержденных фактов и др. В результате большая часть доказательств по уголовным делам сегодня имеет цифровой вид, что обуславливает их сбор, хранение, обработку и анализ посредством использования электронных носителей [1, с. 11].

Понятие «электронный носитель» в настоящее время содержится в нормативно-технической документации, которая определяет данное средство как материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники [2]. Здесь необходимо отметить, что все основные термины и понятия, связанные с электронной информацией, электронно -

вычислительной техникой, ее конструктивными частями, возможностями и эксплуатацией определены во взаимосвязанных государственных стандартах [3], а также в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [4].

В связи с тем, что электронные носители в настоящее время играют важную роль при расследовании преступлений, научное криминалистическое сообщество также не осталось в стороне. Ряд авторов предложили свои трактовки данного понятия, аккумуляция которых позволяет определить, что электронный носитель - это техническое устройство, конструктивно предназначенное для записи, обработки, хранения, воспроизведения и передачи электронной информации, имеющей значение для расследования по уголовному делу.

Электронные носители, как отмечает М. М. Душенко, обладают рядом взаимосвязанных признаков, а именно:

1) функциональное предназначение - хранение электронной информации;

2) обеспечение идентичности оригинала неограниченному количеству создаваемых копий электронной информации;

3) способность аккумулировать значительный объем информации;

4) неразрывность связи между электронным носителем и внесенной на него информацией в силу того, что воспроизведение таких данных возможно лишь при ее размещении на электронном носителе [5, c. 15].

Электронные носители, которые могут быть источниками криминалистически значимой информации, Е.Р. Россинская разделяет на следующие категории [6, c. 62]:

- устройства для хранения информации;

- устройства для ввода/вывода информации;

- устройства обработки информации;

- устройства для передачи информации по каналам связи;

- информационные комплексы и системы.

Сейчас в науке, технологических процессах, повседневной жизни используется огромное количество электронных носителей информации, которые различаются по назначению, техническим характеристикам и принципу действия [7, c. 36]. Далее рассмотрим их классификацию по различным основаниям:

1. По конструктивному виду и способу записи электронной информации:

- оптические (лазерные) диски, на которые информация записывается и считывается с помощью сфокусированного лазерного луча (CD-R, CD-RW, CD-E, DVD-ROM, DVD-RAM, DVD-R);

- магнитные носители информации: 1) по геометрическому виду (в виде магнитной ленты); в виде магнитного диска (жесткие - «винчестеры» и мягкие - дискеты); 2) по виду записываемого сигнала (для прямой записи аналоговых сигналов, модуляционной и цифровой записи);

- интегральные (полупроводниковые) микроэлектронные носители информации представляет собой современные твердотельные

энергонезависимые немеханические запоминающие устройства ННО и SSD (переносные жесткие диски, USB-накопители, карты памяти микро SD и диски и т. д.);

- комбинированные носители информации совмещают в себе несколько запоминающих устройств (например, платежная карта с магнитной полосой и интегральной микросхемой, и т. д.);

- микрографические носители информации содержат одно или несколько микроизображений, выполненных на микроносителе в виде микрокопии или оригинала микродокумента (к ним относят микрофильмы, микрофиши и микрокарты).

2. По времени и связи с расследуемым событием электронные носители информации подразделяются на:

- первичные, не связанные непосредственно с событием преступления (например, официальная финансовая отчетность, хранящаяся в налоговых и иных контролирующих органах) и связанные непосредственно с событием преступления, то есть использовались в процессе подготовки, совершения или сокрытия преступления (например, сведения о движении денежных средств на расчетном счете обналичивающей организации);

- вторичные, имеющиеся в распоряжении следователя в процессе расследования, то есть. после совершения преступления, и полученные в установленном уголовно-процессуальным законом порядке (протоколы следственных и иных действий, приложений к ним, копии интересующей следствие информации и т. д.).

3. По месту нахождения и способу доступа к информации, содержащейся на электронных носителях:

- авторизованные носители, доступ к которым осуществляется путем непосредственного физического подключения к информационной среде или считывающему устройству (например, встроенная память ноутбуков, смартфонов, электронных книг и прочих устройств);

- дистанционные (сетевые) носители, доступ к информации на которых осуществляется путем опосредованного (дистанционного) соединения по каналам связи с «облачным» хранилищем (например, серверы, которые физически могут находиться в любой точке планеты)

4. По возможности перемещения в пространстве электронные носители подразделяются на:

- стационарные (офисные компьютеры, моноблоки, корпоративные серверы и т. д.);

- портативные (ноутбуки, нетбуки, планшеты, смартфоны, электронные книги);

- съемные (диски, дискеты, флэш-карты, и т. д.).

5. По типу устройства хранения информации:

- внутренние носители информации, являющиеся неотъемлемым компонентом информационной системы, без которых невозможно ее функционирование (микросхемы памяти, встроенные жесткие диски);

- внешние носители информации, являющиеся дополнительным (факультативным) компонентом информационной системы (съемные жесткие диски, флэш-накопители, диски, карты памяти микро ББ).

Электронные носители информации могут быть классифицированы и по ряду других оснований, но сегодня именно они определяют некоторые особенности при проведении судебно-экспертного исследования данных объектов и применении при этом технических средств. При доступе к запоминающему устройству и удалении с него криминалистически важной компьютерной информации наиболее важно определить процедуру хранения без изменения цифровых следов с учетом отнесения устройства к определенному типу в соответствии с описанной выше классификационной основой.

Информация, имеющаяся на электронных носителях, обладает свойствами материальных следов, поскольку с точки зрения физики представляет собой характеристику носителя информации (например, уровень намагниченности участка поверхности жесткого диска). С другой стороны, цифровая информация не может восприниматься субъектом познания (например, следователем) непосредственно: для ее обнаружения и исследования требуются технические средства. Таким образом, цифровая информация на электронных носителях, с точки зрения криминалистики, обладает свойствами двойственности.

Говоря об электронных носителях информации, следует уточнить, что к ним относятся технические устройства, обеспечивающие функционирование современных 1Т-технологий, а именно: персональные компьютеры, сетевые средства, серверы, коммуникационные средства (например, мобильные телефоны, смартфоны, планшеты, мобильные станции и др.), микропроцессорные устройства (например, умные холодильники, пылесосы, телевизоры, станки с программным управлением, транспондеры, круиз -контроллеры и др.), периферийное (вспомогательное) оборудование (например, принтеры, сканеры, плоттеры, мониторы, клавиатуры и др.). Все они являются носителями и производителями цифровых следов.

В научном сообществе ведется активное обсуждение вопроса, что следует понимать под цифровым следом. Кроме того, некоторые ученые предлагают рассматривать такую категорию следов, как виртуальные. К ним Ю. В. Гаврилин относит совокупность следов, позволяющих идентифицировать лицо, совершившее преступление с использованием информационно-телекоммуникационных технологии" [8, с. 72]. С точки зрения В. Ю. Агибалова, «виртуальные следы» являются промежуточными между идеальными и материальными [9, с. 13]. По мнению Е. П. Ищенко, следы от компьютеров, имеющих выход в Интернет, в различных информационных банках данных, относятся к электронным [10, с. 203]. По утверждению Б. В. Вехова, с точки зрения криминалистики, виртуальные следы относятся к материальным, так как зафиксированы на материальных носителях путем изменения своиств или состояния отдельных их элементов [11, с. 108].

Мы разделяем позицию профессора Е. Р. Россинской, которая под цифровым следом понимает «криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи» [12, с. 8].

В последние годы цифровые следы стали объектами исследования во многих родах (видах) судебных экспертиз, например, в фоноскопической, автороведческой, лингвистической, почерковедческой, фототехнической, видеотехнической, портретной, судебно-бухгалтерской, финансово-экономической, судебно-технической экспертизе документов и других, что не могло не породить целый ряд теоретических, правовых и организационных проблем, не оказать существенного влияния на методологию и методику экспертного исследования, компетенцию судебных экспертов.

В правоохранительных органах все больше создается специальных !Т-подразделений, в которых работают опытные эксперты по кибербезопасности. Они нарабатывают новые методики применения специальных познаний в области ^-технологий как в процессуальной, так и в непроцессуальной формах. На основе данных методик и способов работы с такими видами электронных следов и носителей информации разрабатываются рекомендации организационно-тактического характера по проведению следственных, процессуальных или иных мероприятий.

Уголовно-процессуальный кодекс Российской Федерации (далее - УПК РФ) предусматривает специальные механизмы работы с электронными носителями информации с учетом особенностей самих источников, цифровых следов, содержащихся в электронных носителях, и методов работы с ними. Многие законодательные поправки, внесенные в этой области, отражают стремление расширить возможности правоохранительных органов по обработке цифровых следов преступлений, дополнительно гарантируя их надежность и защиту прав участников соответствующих следственных действий.

Положения УПК РФ не относят электронные носители к отдельному виду вещественных доказательств, но определяют некоторые особенности их при

[13]:

- признании электронного носителя в качестве вещественного доказательства по уголовным делам о преступлениях в сфере экономики (это связано со спецификой расследования дел данной направленности, обусловленной условиями хозяйственной деятельности фигурантов дела) - ст. 81.1 УПК РФ;

- хранении и возврате электронного носителя - ст. 82 УПК РФ;

- изъятии электронных носителей - ст.ст. 164, 164.1 УПК РФ.

В случаях, когда информация о ходе следственного действия фиксируется на электронном носителе, то он подлежит приложению к соответствующему протоколу (ст. 166 УПК РФ). Все это обуславливает определенные трудности, с которыми сталкивается правоохранительная система при расследовании цифровых преступлений, что требует эффективного организационного, методического и правового обеспечения ее деятельности.

Для регламентации особенностей изъятия электронных носителей информации и копирования с них информации при производстве следственных действий была введена ст. 164.1 УПК РФ «Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий». Принципиальное отличие заключается в том, что процедура изъятия электронных носителей и копирования содержащейся на них информации стала одинаковой для всех следственных действий, включая осмотр места происшествия, а не только обыска и выемки.

В настоящее время изъятие электронных носителей информации в ходе следственных действий должно осуществляться в соответствии со следующими требованиями:

1) специалисты обязаны участвовать в изъятии электронных носителей информации;

2) следователь принимает решение о копировании информации с изъятого электронного носителя на электронный носитель данных, предоставленный законным владельцем. Такие копии должны быть сделаны в присутствии понятых спецалистами, участвующими в расследовании.

Специалист в области компьютерной техники является одним из ключевых участников следственных действий, связанных с обнаружением и изъятием разных электронных носителей информации. Это обусловлено тем, что последовательность и целесообразность применения тех или иных методов и технических средств определяет возможности и пределы дальнейшего экспертного исследования как основного вида использования специальных познаний, а также сохранность требуемой компьютерной (электронной) информации.

Как и любой участник следственного действия, специалист наделен специфическими задачами по применению своих специальных знаний. Наиболее часто специалист привлекается для отыскания и изъятия электронных следов и иной значимой компьютерной информации. При этом он решает следующие задачи:

- установление конфигурации компьютерной системы с четкой индивидуализацией всех имеющихся устройств посредством фиксации их вещественных (цвет, материал, габаритные размеры, информация, имеющаяся на фабричных ярлыках, физические повреждения и т. д.) и цифровых (серийные номера, инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия) признаков;

- обеспечение сохранения информации о состоянии работающих устройств (формирование списка запущенных на выполнение программ, прерывание текущих процессов удаления данных, снятие и сохранение дампа энергозависимой памяти);

- осуществление побайтового копирования содержимого памяти электронных носителей информации;

- определение наличия возможности управления компьютером с помощью устройств удаленного доступа к системе и принятие мер,

направленных на исключение возможности изменения или удаления информации как в ходе следственного действия, так и после него до момента производства соответствующей экспертизы;

- экспортирование электронной переписки (электронной почты) стандартным способом используемого приложения (например, Яндекс.Почта, Google и т. д.);

- содействие в поиске скрытых носителей информации или устройств с информационными объектами, преодоление защиты доступа к данным.

Экспертное исследование электронных носителей информации - еще один вид процессуального использования специальных знаний экспертом. Объекты исследования (электронные следы) в цифровом виде поступают на экспертное исследование во многих случаях не на отдельных носителях компьютерной информации, а находятся непосредственно в компьютерных средствах и системах, поэтому для их извлечения необходимы специальные знания в области судебной компьютерно-технической экспертизы.

Судебная компьютерно-техническая экспертиза (далее - СКТЭ) - это самостоятельный класс судебных экспертиз, проводимых в целях получения доступа к информации на электронных носителях с последующим ее всесторонним исследованием для определения статуса объекта как носителя информации, определения его состояния и назначения, выявления и изучения его роли в рассматриваемом уголовном деле.

Конкретный объект СКТЭ - определенный электронный носитель информации, исследуемый в процессе данной экспертизы, обладающий признаками индивидуальности и неповторимости, что и определяет специфику конкретного исследования. К объектам СКТЭ относятся электронные носители информации (персональные компьютеры, периферийные устройства, сетевые аппаратные средства-серверы, рабочие станции, активное оборудование); средства сотовой связи и нетипичные компьютерные средства; компьютерные программы и информация на них, охватываемые общим понятием - цифровые следы.

Профессоры Е. Р. Россинская и А. И. Усов рассмотрели и ввели классификацию СКТЭ, основанную на обеспечивающих компонентах компьютерного средства [14]. Так, были выделены следующие виды судебных экспертиз:

1) судебная аппаратно-компьютерная экспертиза (САКЭ) - исследование технических (аппаратных) средств компьютерной системы. Предметом данного вида экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы;

2) судебная программно-компьютерная экспертиза (СПКЭ) -исследование программного обеспечения;

3) судебная информационно-компьютерная экспертиза данных (СИКЭ), целью которой являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами;

4) судебная компьютерно-сетевая экспертиза (СКСЭ), которая, в отличие от предыдущих, основывается в первую очередь на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию.

Подобное деление судебных компьютерно -технических экспертиз поддерживалось требованиями, предъявляемыми к специальным знаниям, необходимым для их проведения, которые в дальнейшем легли в основу специальных компетенций судебных компьютерно -технических экспертов.

Для исследования информации на электронных носителях специалистам в области СКТЭ необходимо хорошо ориентироваться в достаточно большом перечне научных знаний в области 1Т-технологий, иначе говоря, обладать специальными знаниями в области электроники и электротехники, микроэлектроники, компьютерных сетей и средств телекоммуникаций, интернет-технологий, методов и средств защиты информации, основ алгоритмизации и программирования, создания и использования баз и банков данных, технологии функционирования периферийных устройств, схемотехники, методов и средств судебно-экспертного исследования компьютерных средств и мобильных устройств.

Итак, можно сделать вывод, что современные электронные носители информации - это, по сути, сложные многофункциональные физические устройства, способные хранить цифровые следы и быть объектом судебно-компьютерного исследования.

Они имеют двойственную природу, которая включает в себя информационно-цифровую и материальную составляющие. Поэтому экспертному исследованию подлежат как сам материальный носитель, так и его цифровая среда.

1Т-специалисты, которые проводят рассмотренные выше виды компьютерно-технических экспертиз, в рамках которых необходимы специальные знания для разрешения вопросов в отношении электронных носителей информации, а также самой информации, вредоносного программного обеспечения, помогают органам предварительного расследования и суду в установлении всех значимых обстоятельств при совершении известных видов преступной деятельности в интернете и в сфере телекоммуникационных технологий, а также противостоять растущему количеству киберугроз в экономической и социальной критической инфраструктуре.

Список литературы

1. Васюков В. Ф. Особенности изъятия электронных носителей информации при производстве следственных действий: новеллы законодательства и проблемы правоприменения // Криминалистика: вчера, сегодня, завтра. 2019. № 2. С. 8-14.

2. ГОСТ 2.051-2013. Межгосударственный стандарт. Единая система конструкторской документации. Электронные документы. Общие положения [Электронный ресурс] // URL https://ulgosexp.ru/files/documents/GOST-2.051-2013.pdf (дата обращения: 26.10.2022).

3. ГОСТ 15971-90. Государственный стандарт Союза ССР. Системы обработки информации. Термины и определения.; ГОСТ 25492-82. Устройства цифровых вычислительных машин запоминающие. Термины и определения.; ГОСТ 25868-91. Оборудование периферийное систем обработки информации. Термины и определения.; ГОСТ Р 512775-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения // Консорциум КОДЕКС: Электронный фонд правовой и нормативно-технической документации: сайт. Текст : электронный. URL: http://docs.cntd.ru/document/1200025597/ (дата обращения: 28.10.2022).

4. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 30.12.2021) «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ.2006. № 31 (1 ч.). Ст. 3448.

5. Душенко М. М., Науменко О.А. Особенности расследования преступлений, совершенных с использованием сети Интернет: учебно -практическое пособие. Краснодар: Краснодарский ун-т МВД России, 2020. С. 520.

6. Теория информационно-компьютерного обеспечения криминалистической деятельности: монография / под ред. Е. Р. Россинской. М.: Проспект, 2022. 256 с.

7. Кучин О. С. Виды носителей информации, изучаемые наукой криминалистикой // Электронные носители информации в криминалистике: материалы круглого стола. М.: МГУ, 2016. C. 33-43.

8. Гаврилин Ю. В. Основные направления развития криминалистических знаний в условиях информационного общества // Криминалистика в условиях развития информационного общества (59 ежегодные криминалистические чтения): сб. статей межд. науч.-практ. конф. М.: Академия управления МВД России. 2018. С. 65-72.

9. Агибалов В. Ю. Виртуальные следы в криминалистике и уголовном процессе: монография. М.: Юрлитинформ, 2012. 152 с.

10. Ищенко Е. П. Криминалистика: главные направления развития // Уголовно-процессуальные и криминалистические чтения: материалы Межд. науч.-практ. интернет-конф. (г. Иркутск, 16-30 апр. 2012). Иркутск: изд-во БГУЭП, 2012.

11. Вехов В. Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки. Волгоград: ВА МВД России. 2008. 404 c.

12. Россинская Е. Р., Рядовский И. А. Концепция цифровых следов в криминалистике // Аубакировские чтения: материалы Международной научно-практической конференции (19 февраля 2019 г.). Алматы, 2019. С. 6-9.

13. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ (ред. от 11.06.2022) // Собрание законодательства РФ. 2001. № 52 (ч. I). Ст. 4921.

14. Россинская Е. Р., Усов А. И. Классификация компьютерно-технической экпертизы // Уголовный процесс и криминалистика на рубеже веков. М. : Академия управления МВД России, 2000.

Берестенко Елена Дмитриевна, канд. мед. наук, доцент, доцент кафедры, elena-her amail. ru, Москва, Россия, Московский университет МВД России имени В.Я. Кикотя, Московский областной филиал,

Ростовцев Александр Васильевич, канд. юрид. наук, доцент, доцент кафедры, alex. mifistagmail. com, Москва, Россия, Московский университет МВД России имени В.Я. Кикотя, Московский областной филиал

ELECTRONIC INFORMA TION CARRIERS AS OBJECTS OF A FORENSIC EXPERT STUDY

E. D. Berestenko, А. V. Rostovtsev

The concept, types and legal bases of working with electronic media as sources of criminalistically significant information are presented. The interrelated features of electronic media and information placed on them are analyzed. The classification basis of electronic media hy purpose, technical characteristics, principle of operation and a number of other reasons is given. The concept of digital traces as objects of forensic examination research is considered, as well as their impact on the methodology and methodology of expert research, the competence of forensic experts. The legislative amendments introduced in this area have been analyzed, taking into account the peculiarities of processing digital traces of crimes contained on electronic media and methods of working with them.

The article considers the tasks solved by a specialist in the field of information and telecommunication technologies related to the detection and seizure of both electronic data carriers themselves and the information available on them. The expert study of electronic data carriers as a type of procedural use of special knowledge in the field offorensic computer-technical expertise is analyzed. The division of forensic computer-technical expertise by type, which formed the basis of the special competencies of forensic computer-technical experts, is considered. The list of scientific knowledge in the field of information and telecommunication technologies for the above-mentioned specialists is given.

Key words: electronic media, digital traces, physical evidence, computer-technical expertise. special knowledge, specialist.

Berestenko Elena Dmitrievna, Сand. of Med. Scie., Associate Professor, Associate Professor of the Department, elena-bergmail. ru, Moscow, Russia, Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot, Moscow regional branch,

Rostovtsev Alexandr Vasilievich, Сand. of Legal Scie., Associate Professor, Associate Professor of the Department, alex. mifistagmail. com, Moscow, Russia, Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot, Moscow regional branch