ПРАВОВОЕ РЕГУЛИРОВАНИЕ СБОРА ЦИФРОВОЙ ИНФОРМАЦИИ С ЦЕЛЬЮ ЕЕ ПРЕДСТАВЛЕНИЯ КАК ДОКАЗАТЕЛЬСТВА В РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

Правовое регулирование сбора цифровой информации с целью ее представления как доказательства в расследовании преступлений

Шушеначев Алексей Викторович,

аспирант Сибирского федерального университета E-mail: [email protected]

В статье рассматриваются способы сбора цифровой информации доказательственного характера в процессе расследования уголовного дела - изъятие компьютерных средств и копирование электронной информации, правила их реализации, а также дается сравнительный анализ их преимуществ и недостатков. Цифровые следы в процессе расследования преобразуются в электронные доказательства, особого рода доказательства уголовно-процессуального характера, отвечающие тому же требованию, что и другие типы доказательств. Процесс трансформации цифровой информации в электронные доказательства уголовно-процессуального характера определяется типом носителя информации. Это могут быть - стационарные компьютеры с их комплектующими, сервера, разнообразные мобильные устройства, а также Интернет-ресурсы. Мы должны констатировать, что оба способа сбора цифровой информации доказательственного характера, - копирование информации и изъятие компьютерных средств с последующим изучением содержащейся на них информации - имеют как специфические преимущества, так и определенные недостатки. Исходя из этого, каждый из рассмотренных выше способов должен применяться в зависимости от возникающих в ходе расследования задач, а также профессиональных навыков исполнителей.

Ключевые слова: цифровые данные, электронная информация, уголовно-процессуальные действия, расследование, компьютерные средства, носитель информации.

S2

со см о см

Одной их важнейших задач как следственных, так и судебных органов, занимающихся расследованием преступлений, является сбор доказательств, свидетельствующих о виновности того или иного лица. Источник такого рода доказательств - информация, получаемая в порядке, предусмотренном законом. Информация (ее кластер), так или иначе связанная с событием преступления, рассматривается субъектом расследования в виде следа (т.н. следовая информация). Цифровые следы в процессе расследования преобразуются в электронные доказательства, особого рода доказательства уголовно-процессуального характера, отвечающие тому же требованию, что и другие типы доказательств, т.е. достаточности (складывающейся из ее достоверности, относимо-сти и допустимости).

Как утверждают Б.В. Вехов и С.В. Зуев, «...цифровая следовая информация на момент ее обнаружения может находиться в электронно-цифровой форме, в таком виде она и должна быть представлена суду на соответствующем материальном носителе. Этот носитель может быть подлинным (исходным либо же иным, на который цифровая информация была скопирована (перезаписана). Основным способом получения такой информации служит производство следственных и иных процессуальных действий» [8, С. 240].

Выделим признаки цифровой информации, представляющиеся существенными в процессе ее трансформации в доказательства электронного типа:

1. Наличие материального носителя (опосредо-ванность);

2. Возможность полноценного копирования без утраты содержания и объема информации;

3. Возможность получения и одновременного использования нескольких равноценных копий различными субъектами расследования;

4. Преобразуемость цифровой информации в иные формы;

5. Разнообразие носителей информации;

6. Невозможность восприятия и оперирования цифровой информации без соответствующих технических средств;

7. Многоуровневый характер цифровых следов, способных располагаться одновременно в различных компонентах ОС и ПО;

8. Обезличенность информации (в ряде случаев), связанная с необходимостью установления личности автора информации.

Как и следственные действия, оперативно-розыскная деятельность в современную эпоху со-

пряжена со сбором цифровой информации доказательного характера. В соответствии с законодательством (ст. 6 ФЗ об оперативно-розыскной деятельности), ОРД включает в такие мероприятия, как наблюдение, опрос, исследование предметов и документов, прослушивание, снятие компьютерной информации и проч.

При этом необходимо подчеркнуть, что лишь процессуально зафиксированная информация (в т.ч. цифровая) предполагает применимость критерия ее достоверности, тогда как информация, полученная в ходе ОРД, имеет (до соответствующей ее перепроверки) лишь поисково-ориентирующий характер и, соответственно, может рассматриваться как доказательственная не более чем условно.

Международной организацией по компьютерным доказательствам (ЮСЕ) установлены следующие «...принципы операций с компьютерной информацией, являющейся доказательством:

1) при работе с доказательственной информацией, содержащейся на цифровом носителе, должны соблюдаться процессуальные и криминалистические требования;

2) при операциях с доказательственной информацией на цифровых носителях недопустимо внесение изменений в эту информацию;

3) все операции по обнаружению, изъятию, хранению и перемещению доказательственной информации на цифровых носителях должны быть зафиксированы в документальной форме, защищенной от несанкционированного изменения и пригодной для исследования;

4) лицо, осуществляющее операции с доказа-тельственнойинформацией на цифровых носителях, несет ответственность за ее сохранение, пока имеет доступ к этой информации;

5) любая организация, осуществляющая обнаружение, изъятие, хранение и перемещение доказательственной информации на цифровых носителях, должна следовать указанным принципам» [2].

Что представляется необходимым в процессе сбора цифровой информации, способной быть трансформированной в электронные доказательства?

По мнению А.А. Корчагина, необходимо соблюдать следующие требования:

1) В составляемом протоколе должны быть буквально отражены все операции с цифровой информацией. При этом должны быть сохранены не только электронный носитель информации, но и распечатки логов, скриншоты, выдержки из статистики по сайту и внешней аналитики, и т.п.

2) Протокол должен содержать точные данные об использованных программном обеспечении

и технических средствах. Это необходимо для того, чтобы можно было воспроизвести в том же порядке действия с информацией цифрового характера.

3) Связь между событием преступления (или личностью подозреваемого) и полученной электронной информацией должна быть установле-

на. При этом необходимо определить лиц, имеющих доступ к носителю информации и/или устройству, его содержащему [3]. Процесс трансформации цифровой информации в электронные доказательства уголовно-процессуального характера определяется типом носителя информации. Это могут быть - стационарные компьютеры с их комплектующими, сервера, разнообразные мобильные устройства, а также Интернет-ресурсы.

Можно выделить два познавательных приема в процессе обращения с информацией цифрового характера при производстве процессуальных (в т.ч. следственных) действий: изъятие носителей информации и ее копирование. Выбор того или иного приема определяется конкретной ситуацией, сложившейся в ходе процессуальных действий. Как пролагают Вехов и Зуев, «Исходя из смысла ст. 164.1 УПК РФ, изъятие носителей цифровой информации становится возможным в случаях, когда:

1) в отношении их вынесено постановление о назначении судебной экспертизы (в первую очередь компьютерно-технической).

2) их производство осуществляется на основании судебного решения, которое обязательно для всех случаев, когда ограничиваются конституционные права граждан в порядке ч. 2 ст. 29 УПК РФ. Судебный контроль в ходе досудебного производства является важной гарантией обеспечения законности;

3) на носителях содержится цифровая информация, полномочиями на хранение и использование которой их владелец не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение» [8, С. 246-247].

Указанные действия предполагают участие достаточно квалифицированного, подготовленного к решению поставленных задач, специалиста, прошедшего необходимый инструктаж касательно его прав и обязанностей, порядка проведения процессуальных действий и его функций в этом процессе.

Соблюдение строгого порядка изъятия носителей цифровой информации необходимо с целью соблюдения режима законности в аспекте защиты интересов граждан и организаций, вовлеченных в указанные процессуальные действия, и недопущения необоснованного прекращения их деятельности.

Если же вышеуказанные требования не соблюдены, то следует копировать необходимую следствию электронную информацию.

Особенное внимание в процессе подготовки р к изъятию носителей информации необходимо Д уделить их техническим и прочим характеристи- Ч

т

кам. В частности, необходимо учитывать тип и ко- К личество носителей, наличие сети Интернет (ли- ё бо локальных сетей), наличие иных компьютерных у устройств в исследуемом помещении и степень их А

интеграции. Представляет интерес уровень компетентности (компьютерной грамотности) их пользователя или владельца. Кроме того, необходимо обратить внимание на возможное наличие в указанном помещении средств блокирования следственных действий, в частности: охранная сигнализация и иные системы допуска, системы блокировки или удаления электронной информации, а также резервного копирования и т.п. Возможность повреждения или удаления электронной информации, имеющей доказательственное значение в ходе ее копирования или при изъятии носителей, а также повреждения самих носителей при изъятии и транспортировке должна быть исключена.

Современной криминалистикой разработан специальный метод копирования цифровой информации, используемый в случае невозможности или нецелесообразности изъятия ее носителей информации:

«...копирование электронной информации в данном случае может рассматриваться как познавательный тактический прием, выполняемый в рамках проведения обыска, выемки или осмотра. При этом... происходит ее перемещение на иной цифровой носитель, представляющий устройство долговременного хранения информации, например, внешний жесткий диск, флеш-накопитель или оптический диск. Оптимальным вариантом копирования представляется создание образа логического диска, на котором расположена интересующая следствие информация. В таком варианте не происходит нарушения файловой системы, образ может быть неоднократно скопирован и исследован в рамках отдельных следственных действий либо в ходе судебной экспертизы. Для создания образа может быть использован стендовый компьютер, используемый специалистами МВД, ФСБ и Следственного комитета России» [1].

Важно помнить, что ряд принципиально важных сведений (в частности, относительно пар «логин -пароль») может содержаться не на постоянных накопителях, подобных жестким или 550-дискам, а в оперативной памяти компьютерного устройства (ОЗУ), и, соответственно, может копироваться. Поскольку повторный запуск компьютера сопряжен с перезаписью содержимого оперативной, работать с ней необходимо крайне оперативно. Как утверждает Д.В. Овсянников, «...копирование электронной информации становится возможным и даже необходимым в случаях, когда:

1) существуют технические сложности изъятия всех средств компьютерной техники или такое изъятие нецелесообразно;

2) владелец электронного носителя информации (потерпевший или свидетель) не заинтересован или категорически возражает относительно изъятия у него видео регистратора, видеокамеры и других электронных средств личного пользования;

3) носитель цифровой информации был изъят, и владелец

ходатайствует о его возращении;

4) имеется необходимость сохранения данных оперативной памяти компьютера, создания рабочих копий документов, сайтов и страниц сети Интернет, видеозаписей и стоп-кадров их ключевых моментов для проведения дальнейших следственных действий и оперативно-розыскных мероприятий;

5) решается задача по клонированию информации на жесткий диск стендового компьютера в ходе проведения судебной компьютерной экспертизы» [4].

Выделим условия копирования электронно-цифровой информации доказательственного характера:

- доступность информации и отсутствие препятствий для ее копирования;

- наличие оборудования для копирования и, прежде всего, свободного носителя с необходимым объемом памяти;

- участие в процессе копирования специалиста, а также понятых;

- соблюдение установленных законом правил процедуры копирования и составления соответствующего протокола.

Подчеркнем, что выделенные условия соответствуют вышеуказанным принципам работы с цифровой информацией.

В соответствии с п. 3 ч. 1 ст. 164.1 УПК РФ копирование цифровой информации не допускается, « .если на электронных носителях информации содержится информация, полномочиями на хранение и использование которой владелец электронного носителя информации не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение» [7].

Указанная норма может распространяться на все случаи копирования цифровой информации в процессе производства следственных действий.

Лицо, ведущее следствие, должно исключить возможность потери или трансформирования копируемой информации, обеспечив ее сохранность в первоначальном виде на соответствующем носителе. В течение всего процессуального действия информация доказательственного характера должна остаться неизменной. При этом необходимо ограничить доступ к устройствам ввода данных лиц, не принимающих участие в расследовании. По мнению А.Л. Осипенко, «.в случае малейшей угрозы сохранности информации следователь должен исключить возможность производства копирования. Информация может быть изменена в части или полностью. На это может указать специалист. Его заявление в таком случае заносится в протокол. Но даже в отсутствие такого заявления следователь по собственному усмотрению может отказаться от копирования цифровой информации, если не будет уверен в ее сохранности. Кроме того, следователь должен отказать в удовлетворении ходатайства законного

владельца носителей цифровой информации (обладателя содержащейся на них информации) о копировании информации, если такое действие может исказить или уничтожить информацию, если информация может быть использована для фальсификации доказательств, лжесвидетельствования и т.п.» [5]

Перед началом копирования понятым должен быть продемонстрирован свободный от электронной информации носитель, его внешний вид и содержание (для подтверждения отсутствия на нем ранее записанной информации). После окончания копирования, производимого открыто для присутствующих, понятые должны убедиться в наличии на данном носителе скопированной информации.

Указанный процесс, его ход и результаты, в соответствии со статьей 166 УПК, отражаются в протоколе, где указывается место, условия и обстоятельства обнаружения данных, основания и порядок их копирования, те или иные особенности носителя информации. К протоколу могут быть приложены сами носители скопированной информации, а также фонограммы и фотоснимки.

Как уже отмечалось выше, следователь или иное лицо, производящее копирование цифровой информации, должен обратить особое внимание на то, чтобы при этом не были преданы огласке сведения, касающиеся частной жизни (часть 7 статьи 182 УПК): соответственно, перед началом данного процессуального действия от участников может быть отобрана подписка о неразглашении такого рода сведений.

Технические средства, с помощью которых осуществлялось копирование, а также соответствующее программное обеспечение, реквизиты скопированной информации и иные необходимые сведения также указываются в протоколе. Затем необходимо упаковать и опечатать сам носитель электронной информации: все вышеуказанные действия фиксируются посредством видеозаписи для последующей демонстрации понятым.

Электронные носители информации приобщаются в качестве вещественных доказательств по уголовным делам (пункт 5 части 1 статьи 82 УПК). В этом случае они хранятся в опечатанном виде, обеспечивающем их сохранность и полностью исключающем несанкционированный доступ. В случае их непригодности в таковом качестве они подлежат возврату законным владельцам или пользователям (часть 4 статьи 81 УПК).

Как изъятие носителей цифровой информации доказательственного характера, так и копирование такого рода информации, имеют специфически присущие этим способам сбора данных преимущества и недостатки.

Изъятие всех компьютерных средств ускоряет процесс расследования, обеспечивая возможность переориентации сил на поиск материальных следов иного характера, связанных с преступлением. Этот метод не требует высокой квалификации привлекаемых к изъятию специалистов. Кроме того, при наличии в распоряжении следствия изъятых

средств компьютерной техники представляется возможным дальнейшее его исследование, что -при адекватной его организации - исключает вероятность не обнаружить даже профессионально скрытые данные.

Тем не менее, указанный способ сбора информации часто сопряжен с рядом проблем технического характера. Например, в ряде ситуаций изымаемая техника представляет собой часть какой-либо сети, имеет место использование облачных технологий, существует возможность утраты информации при ее отключении и т.п. Иногда ее изъятие просто не целесообразно.

В частности, как указывают Вехов и Зуев, «...изъятие физических модулей оперативной памяти с целью изучения находящейся на них цифровой информации вполне возможно, но может потребовать замораживание платы, что не всегда реализуемо» [8, С. 253].

В подобных случаях изъятие компьютерной техники может нанести существенный ущерб работе предприятия (учреждения), что, в свою очередь, сопряжен с дезорганизацией их деятельности и существенным убыткам. Поэтому в ряде случаев изъятие компьютерных средств должно производиться непосредственно в процессе обыска или осмотра. В этом случае трудно обойтись без копирования цифровой информации с помощью соответствующих технических средств.

Президент РФ В.В. Путин предложил «.исключить применение в интересах следствия мер, приводящих к приостановлению деятельности предприятий, включая изъятие жестких дисков с рабочих компьютеров и серверов» [6]. Как полагает глава государства, в тех ситуациях, когда нет необходимости проводить полномасштабный осмотр, обыск или выемку, необходимо ограничиться копированием необходимой следствию электронно-цифровой информации.

Если к моменту начала следственного действия компьютер подключен к сети, его выключение может привести к утрате информации о действиях и операциях, а также работающих программах. В подобной ситуации должно быть осуществлено копирование содержимого оперативной памяти исследуемого компьютера в память компьютера, находящегося в распоряжении следствия (т.н. кэширование). Копирование имеет место и при получения данных, содержащихся в Интернете.

При производстве судебной экспертизы компьютерной информации также должно осуществляться ее копирование: при этом происходит клонирование исследуемой информации с ее записью на жесткий диск стендовой ПЭВМ, что исключает утрату или изменение данных, имеющихся на исследуемом носителе. р В заключение мы должны констатировать, что Д оба способа сбора цифровой информации доказа- Ч

т

тельственного характера, - копирование инфор- К мации и изъятие компьютерных средств с после- ё дующим изучением содержащейся на них инфор- у мации - имеют как специфические преимущества, А

так и определенные недостатки. Исходя из этого, каждый из рассмотренных выше способов должен применяться в зависимости от возникающих в ходе расследования задач, а также профессиональных навыков исполнителей. Профессиональная компетенция сотрудника современного правоохранительного органа предусматривает умение правильно организовать и провести такого рода следственные действия с целью обеспечения процессуальной корректности в процессе формирования всей совокупности доказательств по расследуемому уголовному делу.

Литература

1. Зуев С.В., Овсянников Д.В. Копирование электронной информации в теории и практике уголовного процесса // Вестник СамГУ. - 2014. -№ 11/2. - С. 171.

2. Компьютерная криминалистика и сбор доказательств. Электронный ресурс / URL: https:// dorlov.blogspot.com/2010/12/issp-08-7.html Дата доступа: 13.11.2022.

3. Корчагин А.А. Обнаружение, фиксация и изъятие файлов и их фрагментов на электронных устройствах, их доказательственное значение // Электронные носители информации в криминалистике / И.Ф. Александров [и др.]; под ред. О.С. Кучина. - М.: Юрлитинформ. -2017.

4. Овсянников Д.В. Копирование электронной информации как средство уголовно-процессуального доказывания: автореф. дис. ... канд. юрид. наук. - Челябинск. - 2015. -С. 8.

5. Осипенко А.Л. Особенности расследования сетевых компьютерных преступлений // Российский юридический журнал. - 2010. - № 2. -С. 123.

6. Путин В.В.: Надо запретить следствию изымать серверы и жесткие диски предприятий. Электронный

LEGAL REGULATION OF THE COLLECTION OF DIGITAL INFORMATION IN ORDER TO PRESENT IT AS EVIDENCE IN THE INVESTIGATION OF CRIMES

Shushenachev A.V.

Siberian Federal University

The paper is focused upon the methods of gathering the digital data of the evidentiary nature in the process of criminal investigation, such as seizure of computer equipment and copying electronic information.

The rules of their implementation, as well as the comparative analysis of their strengths and weaknesses, are specified. Digital traces in the process of investigation are transformed into electronic evidence, a special kind of evidence of a criminal procedural nature that meets the same requirement as other types of evidence. The type of information carrier determines the process of transformation of digital information into electronic evidence of a criminal procedural nature. These can be stationary computers with their components, servers, various mobile devices, as well as Internet resources.

We must state that both methods of collecting evidentiary digital information - copying information and removing computer tools with subsequent study of the information contained on them - have both specific advantages and certain disadvantages. Based on this, each of the methods discussed above should be applied depending on the tasks arising during the investigation, as well as the professional skills of the performers.

Keywords: digital data, electronic information, criminal procedure, investigation, computer equipment, data carrier.

References

1. Zuev S.V., Ovsyannikov D.V. Copying of electronic information in the theory and practice of criminal procedure // Bulletin of the Samara State University. - 2014. - No. 11/2. - p. 171.

2. Computer forensics and evidence collection. Electronic resource / URL: https://dorlov.blogspot.com/2010/12/issp-08-7. html Access date: 13.11.2022.

3. Korchagin A.A. Detection, fixation and seizure of files and their fragments on electronic devices, their evidentiary value // Electronic media in criminalistics / I.F. Alexandrov [et al.]; edited by O.S. Kuchin. - M.: Yurlitinform. - 2017.

4. Ovsyannikov D.V. Copying electronic information as a means of criminal procedural proof: abstract. dis. ... cand. jurid. sciences'. - Chelyabinsk. - 2015. - P. 8

5. Osipenko A. L. Features of the investigation of network computer crimes // Russian Law Journal. - 2010. - No. 2. - p. 123.

6. Putin V.V.: It is necessary to prohibit the investigation to seize servers and hard drives of enterprises. Electronic

S2

CO