ФОРМИРОВАНИЕ ДОПОЛНИТЕЛЬНЫХ КОМПЕТЕНЦИЙ ЭКСПЕРТОВ КРИМИНАЛИСТИЧЕСКИХ ЭКСПЕРТИЗ В СФЕРЕ ИССЛЕДОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ И КОМПЬЮТЕРНЫХ УСТРОЙСТВ

Мещеряков Владимир Алексеевич; Баркалов Юрий Михайлович.

В. А. Мещеряков,

доктор юридических наук, профессор, Центральный филиал Российского государственного университета правосудия

Ю. М. Баркалов

ФОРМИРОВАНИЕ ДОПОЛНИТЕЛЬНЫХ КОМПЕТЕНЦИИ ЭКСПЕРТОВ КРИМИНАЛИСТИЧЕСКИХ ЭКСПЕРТИЗ В СФЕРЕ ИССЛЕДОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ И КОМПЬЮТЕРНЫХ УСТРОЙСТВ

FORMING ADDITIONAL COMPETENCIES OF EXPERTS OF CRIMINALISTIC EXAMINATIONS IN THE FIELD OF RESEARCH OF INFORMATION SYSTEMS AND COMPUTER DEVICES

В статье рассматриваются особенности программы обучения судебных экспертов специализации «криминалистические экспертизы» вопросам проведения судебной компьютерной экспертизы, а также их подготовки к работе с информационными объектами, цифровыми носителями информации и средствами компьютерной техники и на месте происшествия.

The article discusses the features of the training program of forensic experts specialization «forensic expertise» issues of forensic computer expertise, as well as their training to work with information objects, digital media and computer equipment and at the place of incident.

В настоящее время в связи с активным внедрением во все области человеческой деятельности средств вычислительной техники и новых информационных технологий при расследовании преступлений правоохранительные органы все чаще и чаще сталкиваются с необходимостью использования специальных знаний.

Одной из основных процессуальных форм привлечения специальных знаний для формирования необходимой доказательственной базы является назначение и проведение судебной экспертизы. Причем в большинстве случаев при расследовании преступлений как в специфиче-

ской сфере компьютерной информации, так и «традиционных» преступлений, совершенных с использованием компьютерных технологий, от качества проведенной экспертизы зависит не только ход расследования, но и весь результат уголовного преследования.

В свою очередь, качество производства судебных экспертиз кардинальным образом определяется уровнем первоначальной подготовки судебных экспертов в образовательных организациях, постоянным повышением их квалификации и возможностью использования накопленного опыта коллег.

Первоначальная подготовка судебных экспертов в Российской Федерации осуществляется в соответствии с федеральным государственным образовательным стандартом высшего образования по специальности 40.05.03 Судебная экспертиза, которым предусмотрено обучение продолжительностью 5 лет (уровень специалитета), в рамках которого выделяется пять базовых специализаций [1]:

1. Криминалистические экспертизы.

2. Инженерно-технические экспертизы.

3. Экспертизы веществ, материалов и изделий.

4. Экономические экспертизы.

5. Речеведческие экспертизы.

Уже из приведенного перечня видно, насколько сильно должен различаться набор общей образовательной подготовки, специальных знаний и умений у выпускников различных специализаций. Вместе с тем этот же федеральный стандарт устанавливает, что выпускник, освоивший программу специалитета, должен быть готов к технико-криминалистической деятельности, в рамках которой:

• проводить исследование вещной обстановки мест происшествий в целях обнаружения, фиксации, изъятия материальных следов правонарушения, а также их предварительного исследования;

• участвовать в качестве специалиста в других процессуальных действиях;

• участвовать в качестве специалиста в оперативно-розыскных мероприятиях;

• участвовать в качестве специалиста в гражданском и арбитражном судопроизводстве и производстве по делам об административных правонарушениях.

При этом данные требования распространяются в полном объеме на выпускников всех специализаций специальности «Судебная экспертиза».

В результате, как показывает анализ практики деятельности правоохранительных органов (в первую очередь Министерства внутренних дел), выпускники всех специализаций (а специализации «Криминалистические экспертизы» особенно часто) уже с первых дней своей служебной деятельности начинают выезжать со следственно-оперативной группой на место происшествия. Участвуя в осмотре места происшествия, они непосредственно сталкиваются с необходимостью демонстрировать свои навыки по обращению со средствами хранения, обработки и передачи информации, а именно:

• владеть навыками безопасного (с точки зрения сохранности машинных носителей информации и информации, зафиксированной на них) обращения со средствами компьютерной техники;

• уметь изымать и правильно определять необходимость такого изъятия машинных носителей информации;

• уметь технически и процессуально грамотно зафиксировать информацию, расположенную на сетевых ресурсах (в том числе в сети Интернет);

• уметь изымать средства мобильных телекоммуникаций, навигационное оборудование, а также цифровые видео- и звукозаписывающие устройства, устройства Интернета вещей;

• владеть специальной «компьютерной» терминологией;

• знать особенности распространённых операционных систем и уметь использовать их основные возможности;

• иметь навыки использования основных программных продуктов, предназначенных для выявления и исследования средств вычислительной техники и компьютерной информации.

В связи с этим достаточно остро встает вопрос формирования адекватной учебной программы для первоначального обучения и повышения квалификации судебных экспертов специализации «Криминалистические экспертизы», обеспечивающей формирование перечисленных выше компетенций. Это непростая задача по целому ряду обстоятельств.

Во-первых, образовательные программы судебных экспертов по специализации «Криминалистические экспертизы» не предусматривают каких-либо базовых дисциплин, связанных с электроникой и архитектурой современных компьютеров, устройством операционных систем, систем передачи данных, программным обеспечением компьютерной техники и микроконтроллеров. При этом без знания данных дисциплин провести глубокое экспертное исследование объектов компьютерной техники и информационных систем представляется крайне затруднительным.

Во-вторых, количество часов, выделяемых образовательными программами учебных заведений для дисциплин, связанных с судебной компьютерной экспертизой или судебной экспертизой видео- и звукозаписи, сильно ограничено. Как правило, это количество не превышает 44 часов, из которых 16 часов выделяется на лекции, 10 — на семинарские занятия и 18 — на практические и лабораторные работы.

В-третьих, серьезные экспертные исследования информационных систем и компьютерной техники требуют наличия мощной лабораторной базы, специального компьютерного и коммуникационного оборудования и соответствующего программного обеспечения. Трудно представить себе процесс обучения исследованию крипто-

контейнеров, виртуальных машин или криптова-лют без мощных многопроцессорных компьютеров, а обучение исследованию пиринговых сетей или механизмов распространения компьютерных вирусов без наличия лабораторного стенда гетерогенной многоузловой и разветвленной компьютерной сети.

К сожалению, далеко не все образовательные организации, осуществляющие подготовку судебных экспертов (особенно по специализации «Криминалистические экспертизы»), могут похвастаться наличием такого оборудования и программного обеспечения.

По нашему мнению, структура учебной программы подготовки судебных экспертов должна включать основные компетенции специалиста в сфере цифровой криминалистики и содержать следующие направления обучения.

Лекционные занятия — 16 часов

1. Предмет, задачи и объекты судебной компьютерной экспертизы — 2 часа:

• место судебной компьютерной экспертизы в общей классификации судебных экспертиз;

• предмет судебной компьютерной экспертизы;

• понятие и общая характеристика объектов судебной компьютерной экспертизы и их видовое деление.

• классификация видов судебной компьютерной экспертизы;

• цели и задачи проведения исследования информационных объектов, компьютерных средств и информационных систем;

• диагностические и идентификационные задачи судебной компьютерной экспертизы;

• понятийный аппарат, используемый при производстве судебной компьютерной экспертизы.

2. Основы механизма следообразования в кибернетическом пространстве — 6 часов:

• принципы формирования следовой картины при электронно-цифровом отображении в условиях искусственной среды компьютерной системы.

• материальные, идеальные и виртуальные следы;

• криминалистические особенности цифровой фиксации звуковой информации;

• криминалистические особенности цифровой фиксации изображений;

• криминалистические особенности цифровой видеозаписи;

• криминалистические особенности передачи информации по цифровым сетям связи;

• специфика формирования следовой картины в виртуальном пространстве (виртуальные

машины, пиринговые сети, полиморфные преобразования компьютерных программ, конвергенция программного и аппаратного окружения, распределенное и децентрализованное хранение информации и криптографические методы преобразования информации).

3. Процессуальные основы использования специальных знаний в области информационно-телекоммуникационных технологий при расследовании преступлений — 2 часа:

• порядок и формы участия специалиста при проведении оперативно-розыскных мероприятий и следственных действий;

• участие лица, обладающего специальными познаниями в области информационных технологий, в следственных действиях в качестве эксперта;

• состав и основные задачи членов криминалистической группы по фиксации цифровых доказательств. Формирование группы на основе целей, задач и объектов мероприятия по фиксации доказательств;

• тактические особенности деятельности участников криминалистической группы, взаимодействие между ними и участниками следственно-оперативных групп;

• этапы деятельности криминалистической группы (подготовительный, поиск носителей цифровой информации, фиксация следовой картины, изъятие, упаковка и транспортировка носителей цифровой информации);

• требования, предъявляемые к изъятию, упаковке, транспортировке и хранению компьютерных средств и информационных объектов.

4. Судебно-экспертные методы и методики исследования объектов судебной компьютерной экспертизы — 2 часа:

• общенаучные, частнонаучные и специальные методы, используемые при производстве судебной компьютерной экспертизы;

• понятие и структура экспертной методики судебной компьютерной экспертизы;

• общая методика исследования компьютерной информации на цифровых носителях. Общая методика исследования признаков несанкционированного доступа к компьютерной информации;

• неразрушающие методы исследования информации: клонирование цифровых носителей, копирование файловой системы и ее элементов, использование технологии виртуальных машин и «песочниц» для веб-сервисов;

• автоматизированное рабочее место эксперта для проведения судебной компьютерной экспертизы: его состав и функциональные возможности.

5. Заключение эксперта судебной компьютерной экспертизы и его оценка — 2 часа:

• заключение эксперта или комиссии экспертов: его состав, структура и содержание; описание исходных объектов; исследовательская и синтезирующая части заключения; формулировка выводов; подготовка иллюстраций и приложений;

• особенности проведения повторных и дополнительных экспертиз и составления заключений по ним;

• комиссионная и комплексная экспертизы, особенности их проведения и подготовки заключения по ним. Роль ведущего эксперта в организации и проведении этих экспертиз. Сообщение о невозможности дать заключение;

• допрос эксперта;

• экспертные исследования, проводимые совместно с экспертами других специальностей: судебная компьютерная экспертиза и психолого-лингвистические исследования; судебная компьютерная экспертиза и исследование видео- и звукозаписей; судебная компьютерная экспертиза и судеб-но-техническая экспертиза документов; судебная компьютерная экспертиза и почерковедческие исследования.

6. Основы экспертного исследования объектов судебной компьютерной экспертизы — 2 часа:

• поиск информации в файловых системах; восстановление логической структуры файловой системы; восстановление удаленных файлов в различных файловых системах; утилиты восстановления информации; создание инструментария для исследования файловых систем; определение форматов файлов данных по их заголовкам, источникам происхождения и основным характеристикам файлов;

• меры, способы и средства защиты компьютерной информации, их классификация; методы выявления криптоконтейнеров, шифрованных или скрытых разделов, шифрованных файлов; методы преодоления парольной защиты различных объектов, радужные таблицы, использование графических процессоров;

• программные средства поиска информации; методы исключения из области поиска заведомо не содержащих искомую информацию данных; методы задания ключевых слов, регулярные выражения; особенности поиска ключевых слов на примере русского языка (окончания, суффиксы и т.д.); особенности поиска, связанные с одинаковым начертанием символов в разных алфавитах;

• исследование файлов, содержащих графические изображения; обзор основных форматов

графических файлов; структура файлов формата JPEG; методы определения неизменности файлов формата JPEG;

• исследование интернет-ресурсов и активности пользователей в сети Интернет: журналы, cookies, автозаполнение форм и т.п.; машина времени в сети Интернет.

Семинарские занятия — 10 часов.

1. Организационно-методические основы подготовки и выезда специалиста на место происшествия — 2 часа:

• роль специалиста в оперативно-следственной группе, его права и обязанности. Техническая группа и распределение функций в ней;

• оборудование, инструменты, средства документирования (принтер, сканер/фото) и упаковочные материалы для работы на месте происшествия;

• типичные ошибки, допускаемые специалистами при изъятии и осмотре машинных носителей информации и мобильных телефонов.

2. Неотложные действия специалиста на месте происшествия — 2 часа:

• исследование радиоэлектронной обстановки на месте происшествия:

а) определение работающих сетей мобильной связи (EDGE, GPRS, 3G/4G), определение базовых станций, обслуживающих место происшествия, и их идентифицирующих признаков (сектора, учетные имена, протоколы, уровни сигналов, временные режимы и т.п.);

б) беспроводные локальные вычислительные сети (WiFi, Bluetooth и т.п.), роутеры, протоколы, количество абонентов и т.п.;

в) Интернет вещей (смарт-телевизоры, холодильники и т.п.) и экзотические протоколы (ZigBee и т.п.);

• поиск и регистрация систем видеонаблюдения на путях подхода (отхода) к месту происшествия;

• порядок изъятия записей из систем видеонаблюдения и их приобщения к материалам уголовного дела.

3. Действия специалиста на месте происшествия — 2 часа:

• поиск и обнаружение компьютерной техники, носителей компьютерной информации (га-джеты — брелоки, часы, перстни, кулоны, игрушки и т.п.);

• выключение (изоляция) систем взаимодействия компьютерной техники;

• предотвращение уничтожения информации на машинных носителях;

• виды планов и схем, составляемых на месте происшествия; их назначение (план подхода (отхода) к месту происшествия, план места происшествия, структура компьютерных сетей и мест размещения (обнаружения) объектов);

• инструментальные средства построения планов и схем;

• порядок оформления планов и схем и их процессуального закрепления.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Копирование компьютерной информации на цифровые носители информации, предоставленные специалисту — 2 часа:

• процессуальные требования по порядку копирования информации;

• техническое обеспечение и порядок производства копирования информации с различных носителей;

• процессуальное оформление передачи копии информации.

5. Составление постановления о назначении судебной компьютерной экспертизы — 2 часа:

• вид и содержание постановления о назначении судебной компьютерной экспертизы;

• вопросы, выносимые на разрешение эксперта судебной компьютерной экспертизы.

Практические занятия и лабораторные работы — 18 часов.

1. Документирование обнаруженных персональных компьютеров и ноутбуков — 2 часа: