CC BY
809
УДК 343.132.1
СПЕЦИФИКА ПРОВЕДЕНИЯ СЛЕДСТВЕННОГО ОСМОТРА ПО
ДЕЛАМ О ПРЕСТУПЛЕНИЯХ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ
У.А. Мусаева
Статья посвящена анализу особенностей производства следственного осмотра при расследовании преступлений в сфере компьютерной информации, определяются его задачи и объекты, предлагаются криминалистические рекомендации для повышения эффективности результатов его проведения, рассматриваются основные тактические приемы, которые могут быть применены.
Ключевые слова: преступления в сфере компьютерной информации, следственный осмотр, информационные объекты, тактические приемы.
В ходе расследования преступлений в сфере компьютерной информации одну из ключевых ролей в доказывании играет исследование таких доказательств как компьютерное оборудование и хранящаяся на нем ком -пьютерная информация.
Отметим, что в криминалистической литературе указывается на не -традиционность следов преступной деятельности и вещественных доказательств, с которыми сталкивается следователь при расследовании преступ-лений, совершенных с использованием компьютеров и иной электронной техники [1; С.106]. С этим утверждением нельзя не согласиться.
Специфичность расследования обусловливается, прежде всего, особой областью совершения преступлений - сферой высоких технологий. Недаром в некоторых научных публикациях последних лет говорится о компьютерной технике, а также информации, хранящейся в памяти компьютера или на внешних носителях (дисках, дискетах и т.п.), как о принципиально новом объекте криминалистического исследования [2]. Это обстоятельство оказывает существенное влияние на определение тактики проведения ряда следственных действий.
1. Следственный осмотр. Назовем несколько типичных ситуаций следственного осмотра, направленного на обнаружение и изъятие компьютерной информации:
осмотр места происшествия [3];
осмотр места, откуда был произведен неправомерный доступ (при совершении преступления путем удаленного доступа);
осмотр компьютерного оборудования, изъятого в ходе других следственных действий.
Вопросы тактики производства следственного осмотра по делам о компьютерных преступлениях уже неоднократно рассматривались в криминалистической литературе [4, С. 81-91; 5, С. 242; 6, С. 155-159; 7, С.29-35]
. В го же время, на наш взгляд, необходимо уточнить некоторые тактические аспекты его производства.
В процессе подготовки к проведению этого следственного действия обязательно следует учитывать особенности объектов розыска по рассматриваемой категории дел. В этой связи представляется обязательным выполнение следователем таких криминалистических рекомендаций как:
обеспечение участия специалистов в области компьютерной техники и технологий в производстве следственного осмотра;
обеспечение участия органов дознания, занимающихся борьбой с преступлениями в сфере высоких технологий (например, сотрудников уп-равлений (отделов) «Р» МВД РФ);
инструктаж членов следственно-оперативной группы; обеспечение участия понятых, обладающих познаниями в области компьютерной техники и технологий;
подготовка необходимых технических (компьютерных) средств. Обеспечение участия специалистов в области компьютерной техники и технологий в ходе следственного осмотра по делам о преступлениях в сфере компьютерной информации необходимо рассматривать как аксиому [8, С.56] . В необходимых случаях можно привлекать специалистов-инженеров по средствам связи или сетевому обслуживанию [9]. Если объектом осмотра выступают несколько ЭВМ (локальная сеть ЭВМ) целесообразно привлекать несколько специалистов в этой области.
Помощь специалистов активно используется при расследовании компьютерных преступлений за рубежом. Так, например, в своем отчете перед комитетом сената США по судебной власти директор бюро расследований компьютерных преступлений Луис Дж. Фрих указал на обязательность включения в состав следственных групп специалистов в области компьютерных технологий, обеспечения их всеми необходимыми техническими средствами [10]. Аналогичные рекомендации высказываются и другими зарубежными специалистами в области борьбы с компьютерными преступлениями [11].
Отметим, что необходимость участия указанных специалистов в рас -следовании компьютерных преступлений подтверждается и результатами проводимых в отечественной науке исследований. Так, А.В.Касаткин, ос -новываясь на результатах проведенного им опроса следователей, отмечал, что 56% респондентов ничего не знают о принципах работы ЭВМ. При этом 92% из числа опрошенных автором программистов отметили, что на современном уровне развития вычислительной техники без участия профессионала найти «спрятанную» в компьютере информацию без риска уничтожения сложно [2] . На сегодняшний день ситуация принципиально не изменилась. В ходе проведенного опроса следователей на вопрос «Сможете ли вы правильно изъять компьютерную технику или хранящуюся в памяти ЭВМ информацию без участия специалиста?» положительно ответили всего 17,3% респондентов. На вопрос «Считаете ли вы необходимым во всех случаях привлекать к осмотру места происшествия, обыску по делам о преступлениях в сфере компьютерной
информации специалиста по компьютерной техники и технологиям» положительно ответили 89,3% опрошенных.
Ю.В. Гаврилин высказал мнение, что следователю перед началом следственного действия, связанного с осмотром компьютерного оборудования всякий раз необходимо убедиться в компетентности специалиста [4]. Эта рекомендация представляется обоснованной. Более того, думается, что дабы избежать подобного непрофессионализма, в качестве специалистов следует приглашать штатных экспертов, занимающихся проведением компьютернотехнических экспертиз. Такие эксперты на сегодняшний день уже имеются в штатах многих криминалистических управлений региональных МВД, УВД.
В обязанности оперативного сотрудника подразделения, занимающегося борьбой с преступлениями в сфере высоких технологий, включенного в состав следственно - оперативной группы, входит оказание помощи следователю в производстве осмотра места происшествия, выполнение его поручений и проведение розыскных мероприятий. Им осуществляются:
опросы граждан с целью выявления свидетелей, получения иной информации важной для установления личности преступника, розыска по -хищенной информации;
задержание преступника по «горячим следам»; обеспечение безопасности следственно-оперативной группы, обнаруженной в процессе осмотра места происшествия доказательственной и иной криминалистически значимой информации;
координация действий следственно-оперативной группы и других оперативных сотрудников, параллельно осуществляющих оперативнорозыскные мероприятия.
В ходе инструктажа членов следственно-оперативной группы следователь напоминает основные задачи предстоящего следственного действия, особенности его производства по рассматриваемому виду преступлений, указывает на характер действий каждого лица. Целесообразна и консультация специалиста для других членов следственно-оперативной группы по вопросам обращения с компьютерным оборудованием на месте происшествия.
Другим важным подготовительным действием к осмотру места со -вершения компьютерного преступления или средств компьютерной техники выступает обеспечение участия понятых. В криминалистической литературе справедливо отмечается, что понятые должны обладать познаниями в области компьютерной техники и технологий [2]. Их легко можно найти среди персонала компьютерных фирм, клубов1. Думается, выполнение этой рекомендации явится важной гарантией достоверности получаемой в ходе следственных действий информации, однако на практике это происходит далеко не всегда. Лишь 24% опрошенных следователей согласились с необходимостью при производстве следственных действий, связанных с
1 Считаем, что в протоколах следственных действий, связанных с исследованием компьютерного оборудования, обязательно следует указывать факт обладания понятыми специальными познаниями в этой области (например, место работы и должность).
297
осмотром компьютерного оборудования, приглашения в качестве понятых лиц, имеющих познания в этой области, во всех случаях.
31,3% респондентов при решении этого вопроса будут действовать "по ситуации" и пренебрегут этой рекомендацией, если поиск подобных понятых а может повредить оперативности расследования. 14,7% опрошенных следователей считают, что понятые, обладающие познаниями в области компью-терной техники и технологий, должны привлекаться лишь при расследовании уголовных дел, получивших большой общественный резонанс. 30% рес-пондентов не считают необходимым привлечение в качестве понятых указанных лиц, мотивируя в большинстве случаев это тем, что подобные требования не предусмотрены уголовно-процессуальным законом.
В криминалистической литературе высказывается рекомендация о привлечении в качестве понятых служащих того предприятия, организации, учреждения, фирмы, компании, в которой проводится осмотр, при условии, что они не заинтересованы в исходе дела [12, С.129]. На наш взгляд, к реализации этой рекомендации на практике следует подходить весьма осторожно. Осмотр места происшествия чаще всего производится в ситуации информационной неопределенности, вследствие чего решение вопроса о характере заинтересованности тех или иных служащих организации представляется затруднительным. Среди этих лиц может оказаться и преступник, особенно если имел место непосредственный доступ к компьютерной информации или системе ЭВМ. В то же время, поскольку объектом осмотра выступает дорогостоящее оборудование осмотр места происшествия целесообразно производить в присутствии руководства предприятия, учреждения, организации, фирмы.
Компьютерно-технические средства, которые могут быть использованы при производстве следственного осмотра - это, прежде всего, технические носители, на которые может быть перенесена интересующая информация (программы или отдельные файлы). В криминалистической литературе в качестве таковых называются дискеты, лазерные диски, диски большой емкости (типа DVD) и даже переносные компьютеры (Notebookи т.п.). Кроме того, интересны рекомендации по осмотру (обыску) компьютерного оборудования, предлагаемые зарубежными специалистами в области борьбы с компьютерными преступлениями, согласно которых следователю также целесообразно иметь: набор сервисных программ (утилитов) для целевых компьютеров; дискеты с операционной системой; программы обнаружения вирусов; фото- и видеоаппаратуру для запечатления места обыска; большое количество липкой ленты (скотча) упаковки, опечатывания изымаемого оборудования, цветные самоклеющиеся ярлыки для маркировки изымаемых предметов, соединительных кабелей; запас бумаги для принтера [11, С.230].
С поисковой точки зрения следственный осмотр направлен на обнажения объектов, могущих выступать вещественными доказательствами по делу, особую сложность вызывает обнаружение и изъятие информации находящейся в электронном поле.
К числу особых свойств криминалистических объектов, составляющих электронное информационное поле, следует отнести:
1. Их существование на машинном носителе и невозможность восприятия таких объектов обычным путем без использования специальных технических средств и программного обеспечения. В криминалистической литературе выделяются несколько типов машинных носителей, на которых может находиться компьютерная информация [11, С. 180]. К ним относятся:
а) машинные носители, посредством которых действовал преступник на своем рабочем месте, а также машинные носители, оставленные (спря-танные) преступником на месте происшествия;
б) «транзитные» (коммуникационные) машинные носители, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению;
в) машинные носители информационной системы, в которую осуществлен неправомерный доступ.
2. Информационные объекты на машинных носителях лишены такой характеристики, как внешнее строение [14].
Они представляют собой не только информационные документы, но и следы, характеризующие изменения, произошедшие в информационном поле, указывающие на местонахождение искомой информации.
Следы указывают на факт нахождения на том или ином машинном (техническом) носителе искомой информации. Как справедливо отмечается в криминалистической литературе «при современном развитии вычислительной техники и информационных технологий компьютерные следы» [15] преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставшими традиционными следами [2].
Следует согласиться с мнением Т.Э.Кукарниковой, согласно которому следом компьютерного преступления является любое изменение среды (файловой системы), связанное с событием преступления. Поскольку файловая система представляет собой совокупность особых информационных единиц -файлов, специальных служебных таблиц (каталогов, таблицы разделов, загрузочных записей, таблиц размещения файлов) и кластеров, эти изменения могут выражаться в изменении местоположения и содержимого файлов, изменении формата и (или) характеристик файлов, создании или удалении файлов, изменении содержимого специальных служебных таблиц (каталогов, таблицы разделов, загрузочных записей, таблиц размещения файлов), изменении состояния кластеров. Воздействие одного информационного объекта на другой может быть обнаружено по наблюдаемому различию между двумя известными состояниями информационного объекта: по признакам изменения содержания, формата, характеристик файла и по изменению алгоритма работы программы. Эти фиксируемые изменения и будут следами-отображениями, характеризующими результат взаимодействия [16]. Поскольку состояние файла
полностью наблюдаемо, оценка полноты имеющегося следа-отображения практически малозначима. Благодаря детерминированности алгоритма, породившего след-отображение, в большинстве случаев возможно однозначное определение причины возникновения следа-отображения и программы, послужившей инструментом для создания наблюдаемых изменений.
Обобщая предлагаемые в научной литературе рекомендации по про -изводству следственного осмотра по делам о преступлениях в сфере ком -пьютерной информации, выделим основные тактические приемы, которые могут быть применены:
1. Не разрешать кому-либо из присутствующих лиц (кроме специалиста) прикасаться к компьютерному оборудованию, находящемуся в месте осмотра (включать или выключать, совершать любые иные манипуляции). Посторонние лица (например, служащие предприятия) должны быть удалены из помещения.
2. Не совершать операции с компьютерным оборудованием или информацией (включая копирование), если результат таких действий заранее не известен.
3. Определить характер программ, работающих на ЭВМ на момент осмотра. Если действует программа по уничтожению компьютерной информации, ее работу необходимо немедленно прервать.
4. Изучение обстановки на месте осмотра целесообразно начинать с исследования характера деятельности компьютерного оборудования: включены ли ЭВМ в локальную1 [8, С.54] или глобальную сеть, наличие дополнительного оборудования (сканеры, принтеры, модемы, стримеры и пр.), имеются ли устройства защиты информации и пр. Необходимо описать в протоколе характер соединения между техническими устройствами, отразить присутствие разъемов для подключения иной техники, нештатных технических устройств. Целесообразно составление схем размещения и соединения компьютерной техники.
5. Изучить характер работавших на момент осмотра на компьютере программ, изображения на экране и детальное описание его в протоколе. Отразить в протоколе результаты действия программ.
6. Копирование интересующей следствие информации должно осуществляться на заранее подготовленные технические носители. В тех случаях, когда такое перекопирование нежелательно по техническим причинам, следует изъять весь системный блок или иной машинный носитель информации.
7. Упаковать изъятые объекты следует способом, исключающим их повреждение. В процессе хранения изъятых объектов предпринимать все меры к сохранению изъятых объектов и находящейся на них информации (например, не располагать изъятые дискеты вблизи источника электромагнитного излучения, тепловых приборов). Отдельными авторами справедливо рекомендуется осуществлять изъятии компьютерных носителей информации и
1 Например, в криминалистической литературе предлагается, если компьютеры соединены в локальную сеть, начинать осмотр с сервера, затем осматривать работающие компьютеры, а потом остальную компьютерную технику и источники питания
300
их упаковку таким образом, чтобы аппаратуру можно было правильно и точно также, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов [17, С. 74].
Список литературы
1.Краснова Л.Б. "Обыск-осмотр" средств компьютерной техники // Воронежские криминалистические чтения.Вып. 1-Воронеж,2000.
2.Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. 1999, № 3.
3.Согласно ст. 176 УПК РФ, осмотр места происшествия может быть произведен и до возбуждения уголовного дела.
4.Гаврилин Ю.В. Расследование преступлений в сфере компьютерной информации.
5.Крылов В.В. расследование преступлений в сфере компьютерной информации.
6.Вехов Б.В. Компьютерные преступления.- М., 1996.
7.Кушниренко С.П., Панфилова Е.И. Уголовно -процессуальные способы изъятия компьютерной информации по делам об экономических преступлекниях.-СПб., 1998.
8.Участие специалистов в области компьютерной техники и технологий также обязательно при производстве обыска, выемки, следственного эксперимента, проверки и уточнения показаний на месте. Некоторыми авторами обосновывается целесообразность привлечения таких специалистов к участию в допросах, на которых выясняются технические аспекты совершенного преступления (См.: Цоколова О.И., Улейчик В В., Кузнецов А.В. Квалификация и доказывание преступных деяний, совершаемых в сфере компьютерной информации // Информационный бюллетень Следственного комитета МВД России. 1999, №2)
9.Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной иформации // Законность. 1999, №3.
10.Statement for the record of louis J.Freeh , Director of Bureau of Investigation on Cibercrime before the senate committee on Judiciary subcommittee for the technology, terrorism and government information Washington, D.C.
11.Айков Д., Сейгер К., Фонстрох У. Компьютерные преступления.-М.,1999; BloomBecker J.J. The investigation of Computer Clime. Columbus, 1992.
12.Расследование неправомерного доступа к компьютерной информации./Под ред. Н.Г.Шурухнова.
13. Крылов В В. Расследование преступлений в сфере компьютерной информации. -М, 1998.
14. Яковлев А Н. Теоретические и методические основы экспертного исследования документов на машинных носителях информации. Дисс. •канд. юрид. наук. -Саратов 2000.
15. Некоторыми учеными такие следы называются «виртуальными» (см.: Мещеряков В.А. Механизм следообразования при совершении преступлений в
сфере компьютерной информации // Известия ТулГУ. Серия: «Современные проблемы законодательства России, юридических наук и правоохранительной деятельности». Вып. 3 -Тула,200).
16. Кукарникова Т.Э. Проблема криминалистического исследования электронных документов // Известия ТулГУ. Серия: "Современные проблемы законодательства России, юридических наук и правоохранительной деятельности". Вып.3.-Тула,2000.
17.Крылов В. В. Информационные компьютерные престпуления.-М.,1997.
У.А. Мусаева, канд. юрид. наук, доцент, тел. +(99412)-440-15-79 (Азербайджан, Баку, Бакинский Славянский университет)
SPECIFICITY OF THE INVESTIGATION INSPECTION OF CASES OF CRIMES IN
COMPUTER INFORMATION U.A. Musaeva
This article analyzes the characteristics of investigative examination in the investigation of crimes in the sphere of computer information , defined its objectives and the facilities offered by forensic recommendations to enhance the results of the meeting are considered basic tactics that can be applied.
Keywords: computer crime information , the investigating inspection data objects tactics
U.A. Musaeva, PhD. jurid., Associate Professor, Tel. + (99412) -440-15-79 (Azerbaijan, Baku, Baku Slavic University)
УДК 34.096
ВОЗНИКНОВЕНИЕ И РАЗВИТИЕ СУДЕБНО-ПОЧЕРКОВЕДЧЕСКОЙ ДИАГНОСТИКИ АТРИБУЦИИ СВОЙСТВ ЛИЧНОСТИ ЗА РУБЕЖОМ И В РОССИИ
Н.С. Неретина
Рассмотрена история возникновения и развития судебно-почерковедческой диагностики. В настоящее время завершено формирование судебного почерковедения как современной и научно обоснованной области предметных судебно-экспертных знаний. Начинает складываться в самостоятельный подвид судебно-почерковедческой диагностики - учение об атрибуции свойств (характеристик) личности по почерку
Ключевые слова: судебно-почерковедческая диагностика, эмпирические исследования, почерк, свойства личности.
Интерес к почерку как к объекту диагностических исследований, согласно литературным источникам, относят как к древнему Китаю, так и к Римской империи, находя замечания и выявление особенностей почерка в
