CC BY
67
Список литературы
1. Henkin Louis. The Age of Rights // New York: Columbia University Press., 1990.
2. Universal Declaration of Human Rights // General Assembly Resolution 217 A. № 3, 1948.
3. General Assembly Resolution 2200 (XXI) adopted during Its Twenty-First Session, 16 December, 1966.
4. Ramsbotham Oliver, Woodhouse Tom. Humanitarian Intervention in Contemporary Conflict. London: A Reconceptualization Polity Press., 1996. С. 12.
5. Humanitarian Intervention - Legal and Political Aspects. Copenhagen: Danish Instituite of International Affairs, 1999. С. 11.
6. Charter of The United Nations. [Электронный ресурс]. Режим доступа: http://www.icj cij. org/icj www/ibasicdocuments/ibasictext/ibasicunchhart. htm/ (дата обращения: 07.05.2018).
7. Cassese Antonio. A Follow-up: Forcible Humanitarian Countermeasures and Opinio Necessitatis // Humanitarian Intervention. № 1.
8. Franck Thomas, Rodley Nigel. Humanitarian Intervention and World Politics. Oxford: The Globalization of World Politics - An Introduction to Internal Relation, 2001. С. 474.
ПРОИЗВОДСТВО ОСМОТРА МЕСТА ПРОИСШЕСТВИЯ ПО ДЕЛАМ О НЕПРАВОМЕРНОМ ДОСТУПЕ К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Ленков О.В.
Ленков Олег Викторович - соискатель, кафедра криминалистики, Академия ФСБ России, г. Москва
Аннотация: в статье рассмотрены проблемы производства осмотра места происшествия при расследовании уголовных дел о неправомерном доступе к компьютерной информации. Даны методические рекомендации практическим работникам.
Ключевые слова: осмотр места происшествия, расследование, неправомерный доступ.
Осмотр места происшествия при расследовании неправомерного доступа к компьютерной информации имеет важнейшее значение для доказывания, выявления фактов, имеющих значение для уголовного дела. Косвенно это подтверждает тот факт, что по большинству уголовных дел исследуемой категории производилось названное следственное действие. Кроме того, ученые-криминалисты неоднократно исследовали проблематику организации и проведения осмотра места происшествия по компьютерным преступлениям, в том числе и по неправомерному доступу к компьютерной информации [1, с. 642-646].
Осмотр места происшествия по исследуемой категории уголовных дел требует тщательной подготовки, как организационной, так и технической. К основным задачам, которые стоят перед следователем, планирующим провести осмотр места происшествия, можно отнести следующие:
• Привлечение к участию в следственном действии специалистов в области компьютерных технологий. При этом очень важно найти действительно профессионального компьютерного специалиста, поскольку от его квалификации
может зависеть итог как первоначального этапа расследования, так и уголовного дела в целом. Ведь следователь, непосредственно проводящий осмотр места происшествия, не обладает достаточной квалификацией для эффективного поиска интересующей компьютерной и технической информации, документации, обхода средств защиты компьютерной техники и т.д. Более того, участие специалиста при изъятии магнитных носителей информации является требованием уголовно-процессуального закона. На практике следователи в связи с острой нехваткой специалистов в области компьютерной информации, зачастую «оформляют» в качестве такового одного из оперативных работников, прибывших на следственное действие. Представляется, что такие «специалисты» недопустимы при производстве осмотра места происшествия и прочих следственных действий по делам о неправомерном доступе к компьютерной информации.
• Обеспечение следственно-оперативной группы техническими и научными средствами поиска и фиксации электронно -цифровых следов. Эту задачу необходимо выполнять в тесном взаимодействии со специалистами и экспертами в области компьютерных технологий. Именно они могут сконфигурировать необходимый набор технических и научных средств сбора доказательств. В большинстве случаев в него входит портативный компьютер, набор соединительных кабелей, комплект программного оборудования для создания образов (копий) жестких дисков и копий магнитных носителей информации, а также быстрого поиска компьютерной информации по заданным критериям. При этом необходимо обеспечить сотрудников, выезжающих на место происшествия необходимым количеством ранее не использовавшихся магнитных носителей информации для производства копирования необходимых для расследования данных в электронном виде с необходимым объемом памяти.
• Инструктаж следственно-оперативной группы. В первую очередь участники расследования поучают указания относительно процессуально-грамотной фиксации в протоколе осмотра места происшествия процесса использования названных средств и изъятия электронно -цифровых следов, обнаруженных с их помощью. Применение высокотехнологичных средств и неграмотное оформление протокола может сделать результат осмотра места происшествия ничтожным в случае признания судом полученных с нарушением доказательств недопустимыми. Также руководителю следственно-оперативной группы следует обратить внимание сотрудников на тщательное соблюдение процессуальных требований к проведению осмотра места происшествия, а также на деликатное отношение к изымаемой компьютерной технике и магнитным носителям информации с целью недопущения утраты информации и повреждения названных предметов.
• Планирование порядка проведения осмотра места происшествия (во взаимодействии со специалистом в области компьютерных технологий). Эту задачу следователь может решить только при условии наличия сведений в отношении компьютерной техники и магнитных носителей информации, которые планируется изымать в ходе осмотра места происшествия. Специалист в большинстве случаев способен совместно со следователем выработать оптимальный алгоритм проведения рассматриваемого следственного действия, что позволяет максимально эффективно использовать привлеченные силы и средства и достичь необходимого результата -получения допустимых доказательств. Это особо ценно, поскольку возможности повторно провести осмотр места происшествия у следствия больше не будет.
Нужно учитывать, что по исследуемой категории дел место происшествия может быть не ограничено конкретной территорией (помещением или зданием). Предметы и документы, подлежащие осмотру по обнаружении неправомерного доступа к компьютерной информации, могут быть расположены в различных помещениях, зданиях, районах, городах и даже странах. В основном это места
непосредственного совершения преступных действий и места наступления криминалистически значимых последствий.
При таких особенностях дел о неправомерном доступе к компьютерной доступе осмотру следует подвергнуть такие места:
• в котором потерпевший постоянно хранил компьютерную информацию -предмет неправомерного доступа компьютерной информации;
• в котором преступник непосредственно применил компьютерную технику для осуществления неправомерного доступа компьютерной информации;
• в котором может быть обнаружена преступно скопированная компьютерная информация - предмет неправомерного доступа, хранящаяся на магнитных носителях или в запоминающих устройствах компьютерной техники;
• место наступления криминалистически значимых последствий - уничтожения, блокирования, модификации либо копирования компьютерной информации.
Решив обозначенные выше задачи, следователь принимает решение о выезде следственно-оперативной группы на место происшествия.
По прибытии руководителю бригады необходимо организовать его осмотр следующим образом:
1. Подробно отразить обстановку, сложившуюся на месте происшествия, в протоколе, в том числе при необходимости с применением видео- и (или) фототехнических устройств.
2. Не допускать какого-либо воздействия на осматриваемую компьютерную технику и магнитные носители информации со стороны участников следственного действия, а также лиц, его производящих.
3. В случае, если осматриваемая компьютерная техника объединена в локальную сеть, то необходимо в первую очередь выявить местонахождение главного компьютера - сервера, поскольку именно его жесткие диски содержат большую часть интересующей следствие компьютерной информации, а обращаться к ней могли операторы любого из компьютера, входящего в осматриваемую сеть.
4. В случае, если будет установлена возможность удаленного управления этим компьютером посредством другой компьютерной техники операторами, находящимися вне зоны контроля следственно-оперативной группы, следует предпринять меры, препятствующие такому воздействию. Для этого необходимо программным или физическим способом прекратить доступ осматриваемых компьютеров и их сети к интернету, маршрутизаторам и Wi-Fi-роутерам к другим сетям, кабелям и т.д. Полагаем, что эти действия необходимо поручить специалисту в области компьютерных технологий с целью исключения неосторожного уничтожения или изменения интересующей компьютерной информации, а также повреждения технических устройств.
5. Выявить, какое программное обеспечение активно на компьютерной технике в период осмотра места происшествия, и зафиксировать эти сведения в протоколе следственного действия. При этом следует иметь в виду, что часть программ может зашифровывать или уничтожать информацию в памяти компьютера, а это может выявить только специалист. С целью сохранения интересующей следствие компьютерной информации следует обеспечить первоочередной доступ к осматриваемой технике специалисту для прекращения работы таких программ, а потом - членам следственно-оперативной группы для фиксации хода осмотра.
6. Изъять для дальнейшего исследования дополнительные устройства защиты компьютерной техники от несанкционированного доступа к компьютерной информации. К ним относят микропроцессорные карточки (smart-card), различные устройства для идентификации личности по биометрической информации - по размерам кисти руки, отпечаткам пальцев рук, радужной оболочке глаз и т.д. В случае попыток неправомерного доступа такие устройства могут в автоматическом режиме зафиксировать отпечатки пальцев рук, голос, информацию с магнитных карт
неавторизованных пользователей и другие данные, которые следователь может использовать для установления личности преступника.
На рабочем этапе производства осмотра места происшествия членам следственно -оперативной группы следует выяснить, с какой именно разновидностью неправомерного доступа имеет дело следствие - уничтожение, блокирование, модификация или копирование компьютерной информации. С большой долей вероятности это может сделать на месте специалист, проанализировав характер активного программного обеспечения, содержание всевозможных реестров и баз данных. Кроме того, оперативные работники, не участвующие в осмотре места происшествия, могут параллельно с производством названного следственного действия, производить оперативно-разыскные мероприятия по горячим следам -опросы сотрудников предприятия-жертвы и иных лиц, осведомленных о произошедшем с компьютерной информацией.
Также необходимо уделить внимание осмотру документов на бумажных носителях, обнаруженных на месте происшествия. К ним относится техническая, бухгалтерская, распечатки с интересующих компьютеров и т.д. Перед изъятием таких документов необходимо посоветоваться со специалистом на предмет целесообразности приобщения к материалам уголовного дела. Решив изъять интересующие документы, следователь должен отразить в протоколе осмотра места происшествия данные о наименовании документов, их кратком содержании и количестве страниц, а также о конкретном месте их обнаружения.
По окончании осмотра составляется протокол осмотра места происшествия, в котором помимо требуемых уголовно-процессуальным законом необходимо отражать следующие сведения о ходе следственного действия:
• Перечень программного обеспечения, активного на момент начала производства осмотра происшествия;
• все действия, произведенные с активным программным обеспечением специалистом и следователем, а также результаты этих действий (копирование информации, остановка работы программ и т.д.);
• хронометраж копирования интересующей компьютерной информации, манипуляций с компьютерной техникой и периферийными устройствами (отключение, включение, отсоединение, присоединение и т.д.);
• порядок отключения ранее включенной компьютерной техники, подлежащей изъятию;
• подробное описание изымаемых предметов, их места обнаружения и взаимного расположения относительно окружающих предметов;
• подробное описание схемы подключения осматриваемой компьютерной техники и магнитных носителей информации с указанием особенностей соединения -количества, цвета, размеров, характеризующие признаки соединительных кабелей и разъемов, а также их спецификация (рекомендуется составление схем и фототаблиц с приложением к протоколу осмотра места происшествия);
• подробное описание архитектуры компьютерной сети, в которую объединена компьютерная техника, интересующая следствие;
• подробное описание процесса разделения элементов компьютерной сети, изъятия отдельных предметов компьютерной техники и магнитных носителей информации (соблюдение мер сохранения компьютерной информации, порядок разъединения элементов сети, способ опечатывания разъемов ввода и вывода электрических сигналов);
• способ упаковки изъятой техники (обязательно указывать содержимое упаковки для назначения компьютерно-технической экспертизы без ее вскрытия).
Анализ материалов уголовных дел, расследованных следственными подразделениями органов федеральной службы безопасности, позволяет сделать
вывод о том, что наиболее часто встречающимися ошибками при производстве осмотра места происшествия являются:
1. неаккуратное обращение с изымаемой компьютерной техникой и магнитными носителями информации при изъятии или транспортировке, вследствие чего часть из них пришла в нерабочее состояние;
2. невозможность копирования значимой компьютерной информации по причине отсутствия у членов следственно-оперативной группы необходимого количества магнитных носителей информации;
3. описание хода осмотра происшествия в протоколе «со слов» специалиста и, как следствие, использование профессиональной терминологии, зачастую без «расшифровки».
4. Избыточное количество изъятой компьютерной техники и магнитных носителей информации.
Список литературы
1. Вещественные доказательства: Информационные технологии процессуального
доказывания / под общ. ред. В.Я. Колдина. М., 2002. 768 с.
