Допрос подозреваемого и обвиняемого
При допросе лица в качестве подозреваемого[1] в каждом конкретном случае, как минимум, необходимо получить ответы на следующие вопросы:
где и кем (в какой должности) работал подозреваемый?
к какой компьютерной информации имеет доступ?
какие операции с информацией он имеет право проводить?
какова его категория доступа к информации?
умеет ли работать подозреваемый на компьютере, владеет ли он определенным программным обеспечением, каков уровень его квалификации?
кто научил его работать с конкретным программным обеспечением?
какие идентификационные коды и пароли закреплены за ним (в том числе при работе в компьютерной сети)?
к каким видам программного обеспечения имеет доступ подозреваемый?
каков источник его происхождения?
обнаруживались ли программы, источник происхождения которых неизвестен?
какие виды операций с компьютерной информацией данное лицо выполняло в исследуемое время?
из какого источника или от кого конкретно подозреваемый узнал о содержании информации, к которой произвел неправомерный доступ?
какой способ использовал подозреваемый для совершения неправомерного доступа к компьютерной информации?
как подозреваемому удалось проникнуть в компьютерную систему (сеть)?
откуда подозреваемый мог узнать пароль (код) доступа к информации;
Наблюдались ли сбои в работе средств компьютерной техники и устройств защиты информации в период работы данного лица в определенное время;
обнаруживал ли он сбои в работе программ, компьютерные вирусы и другие нарушения в нормальном функционировании программного обеспечения?
обнаруживал ли подозреваемый случаи незаконного проникновения в свой компьютер, незаконного подключения к компьютерной сети?
имеет ли он ограничения на допуск в помещения, где установлена компьютерная техника и какие именно?
ознакомлен ли он с порядком работы с информацией, инструкциями о порядке проведения работ?
не было ли случаев нарушения подозреваемым распорядка дня, порядка проведения работ, порядка доступа к компьютерной информации?
не поступало ли к подозреваемому от других лиц предложений о передаче какой-либо компьютерной информации, программного обеспечения?
не звестны ли ему лица, проявлявшие интерес к получению идентификационных кодов и паролей?
Следует иметь в виду, что на первом допросе подозреваемый может попытаться объяснить факт неправомерного доступа к компьютерной информации некриминальными причинами (случайностью, стечением определенных обстоятельств, посторонним воздействием и т.п.). Может рассказывать о неправомерном доступе к компьютерной информации, как о факте, который совершился при отсутствии преступного умысла.
Для изобличения таких лиц хорошие результаты дает правильная реализация информации о преступной деятельности этого лица, полученной при проведении оперативно-розыскных мероприятий, а так же предъявление предметов и документов, принадлежащих подозреваемому и использовавшихся для неправомерного доступа к компьютерной информации[1]. Умелое использование указанных сведений оказывает определенное воздействие на допрашиваемого и позволяет получить правдивые показания на первом допросе.
Для успешного проведения допроса обвиняемого необходимо тщательно изучить все материалы дела, особенности личности обвиняемого, способы совершения преступления, доказательства, указывающие на виновность конкретного лица, и т.п. Ко времени привлечения лица в качестве обвиняемого следствие должно располагать двумя категориями доказательств. В первой из них предусматривается доказывание обстоятельств, свидетельствующих о том, что расследуемое событие (деяние) имело место, во второй - что это деяние совершено привлекаемым к уголовной ответственности лицом и оно соответствует составу преступления, предусмотренного соответствующей статьей УК РФ[1].
Допрос обвиняемого является одним из важнейших, наиболее сложных и зачастую конфликтных следственных действий[1]. Не преследуя цели рассмотрения тактики допроса обвиняемого в целом, отметим, что обвиняемые дают правдивые показания в тех случаях, когда убедятся, что расследованием установлен круг фактических данных. Поэтому обычно наиболее результативны приемы представления допрашиваемым собранных по делу доказательств и подробного изложения обстоятельств преступления без ссылки на источники[1].
Круг вопросов, подлежащих выяснению у обвиняемого, определяется конкретной следственной ситуацией, сложившейся по уголовному делу. Однако во всех случаях при допросе обвиняемого уточняется следующий комплекс обстоятельств:
каким образом произошло проникновение в помещение, где установлена компьютерная техника (в случае непосредственного доступа), или подключение к компьютерной сети?
от кого и каким образом получены сведения об информации, хранимой на компьютере?
от кого была получена информация об используемых мерах защиты компьютерной информации и способах ее преодоления?
каким образом была преодолена физическая, техническая и программная защита компьютерной информации?
каким образом осуществлялся неправомерный доступ к компьютерной информации?
какие технические и программные средства при этом использовались?
производилось ли незаконное копирование компьютерной информации?
какие носители информации при этом использовались?
кому и с какой целью были переданы сведения, полученные в результате неправомерного доступа к компьютерной информации?
как осуществлялось уничтожение следов неправомерного доступа к компьютерной информации?
как часто осуществлялся неправомерный доступ к компьютерной информации?
известны ли лица, занимающиеся подобной деятельностью, в каких отношениях находится с ними обвиняемый и что ему о них известно?
имеет ли он в силу своего служебного положения право доступа к вызванной информации?
осознает ли обвиняемый то обстоятельство, что вызванная им информация охраняется законом (ее использование было ограничено определенным кругом лиц)?
знал ли он о содержании информации, которую вызвал и уничтожил, заблокировал, модифицировал, скопировал?
какие преследовались цели при совершении подобного деяния?
кто знал (догадывался) о совершенном деянии?
знал ли обвиняемый, кто является законным собственником (владельцем) информации, к которой осуществлялся неправомерный доступ?
каким образом использовалась полученная информация?
кто и каким образом содействовал в совершении этого деяния?
кто являлся организатором совершения этого преступления, как были распределены роли, кто конкретно эти роли исполнял?
При допросе подозреваемого (обвиняемого) в совершении создания вредоносных программ для ЭВМ требуется установить уровень его профессиональной подготовленности как программиста, опыт работы по созданию программ конкретного класса на данном языке программирования, знание алгоритмов работы программ, подвергшихся воздействию.
При расследовании преступлений, связанных с распространением вредоносных программ, особенно компьютерных вирусов, требуется выяснить: соблюдались ли требования противовирусной защиты, каков уровень владения соответствующими программами, каким образом был нарушен режим использования программных средств.
Кроме этого, необходимо установить конкретные факты несоблюдения режима доступа на объект, доступа к средствам вычислительной техники и программным средствам, способы преодоления программных и аппаратных средств защиты информации и другие обстоятельства, способные облегчить совершение преступления.
При допросе обвиняемого требуется выяснить все обстоятельства подготовки и совершения преступления, алгоритм функционирования вредоносной программы, а также на какую информацию и как она воздействует, характер наступающих последствий, связанных с нарушением работы ЭВМ, их системы или сети и несанкционированным уничтожением, блокированием, модификацией или копированием информации и какие действия по их преодолению могут быть наиболее эффективны.
Следственный эксперимент
На последующем этапе расследования преступлений в сфере компьютерной информации в целях проверки и иллюстрации собранных по делу доказательств, проверки и оценки следственных версий, установления причин и условий, способствовавших совершению преступления, получения новых доказательств возникает необходимость проведения следственного эксперимента[1]. Как и другие следственные действия, проводящиеся при расследовании преступлений данной категории, следственный эксперимент имеет ряд специфических особенностей, определяющих его виды и специфику тактики.
Виды[1] следственного эксперимента, проводимого при расследовании неправомерного доступа к компьютерной информации, варьируются и зависят, прежде всего от способов совершения преступления (непосредственный или опосредованный доступ). В практике при расследовании анализируемого преступления проводятся следующие эксперименты:
по проверке возможности проникновения в помещение (через двери, окно, с отключением и без отключения сигнализации);
по проверке возможности подключения компьютерной техники и совершения непосредственного доступа к компьютерной информации;
по проверке возможности проникновения в закрытые зоны (путем подбора паролей, идентификационных кодов и установлению периода времени для данного подбора);
по проверке возможности подключения к компьютерной сети;
по проверке возможности электромагнитного перехвата;
по установлению периода времени, необходимого на подключение к компьютерной сети;
по установлению периода времени, необходимого на отключение технических средств защиты информации;
по установлению промежутка времени, необходимого для модификации, копирования компьютерной информации;
по проверке возможности совершения определенных операций[1] к компьютерной информацией в одиночку;
по проверке возможности совершения определенных операций с помощью конкретной компьютерной техники за определенный промежуток времени и др.
Общетактические положения, которые должны соблюдаться при проведении следственного эксперимента любого вида, криминалисты сводят к следующим[1]:
оптимальное ограничение количества участников следственного эксперимента;
максимальное сходство условий проведения следственного эксперимента с условиями, в которых происходило совершение преступления;
многократность проведения однородных опытов;
проведение опытных действий в изменяющихся по степени сложности условиях;
соответствие профессиональных навыков лица, осуществляющего опыты, профессиональным навыкам непосредственного участника исследуемого события;
обеспечение безопасности участников следственного действия.
При расследовании преступлений в сфере компьютерной информации эти тактические требования приобретают определенные особенности, на которых следует остановиться подробнее.
Оптимальное ограничение количества участников следственного эксперимента. Законодательная регламентация круга участников следственного эксперимента позволяет говорить об обязательных и необязательных - в процессуальном смысле слова - участниках этого следственного действия[1]. К числу обязательных участников относятся следователь или оперативный работник, которому поручено производство этого следственного действия, и понятые в количестве на менее двух. Как уже отмечалось, понятых следует приглашать из числа лиц, владеющих компьютерной техникой. К числу необязательных участников закон относит подозреваемого, обвиняемого, свидетеля, специалиста, переводчика, педагога, защитника.
Представляется, что присутствие специалиста в области компьютерной техники всякий раз необходимо при проведении рассматриваемого следственного действия по данной категории дел. В целях фиксации показаний с использованием видеосъемки, необходим специалист-оператор. В определенных случаях, необходимо так же участие специалиста-криминалиста[1].
Число участников следственного действия должно ограничиваться таким составом (при условии соблюдения уголовно-процессуального законодательства), без которого невозможно получить объективные результаты. Следует иметь в виду, что большое количество участников затрудняет проведение эксперимента, приводит к разглашению его результатов.
Максимальное сходство условий проведения следственного эксперимента с условиями, в которых происходило совершение преступления[1]. Обозначенное положение обеспечивается:
а) реконструкцией обстановки для производства опытов, т.е. расположением предметов на месте производства эксперимента[1] в том количестве и порядке, в каком они находились в момент совершения неправомерного доступа к компьютерной информации. Это позволяет достичь максимального сходства между опытной и реальной обстановкой совершения преступления. Данное требование особенно важно при проверке возможности непосредственного доступа к компьютерной информации, связанного с проникновением преступника в помещение, где установлены средства компьютерной техники;
б) использованием подлинных или сходных по техническим характеристикам (аналогичных) предметов компьютерной техники, программно- и технически совместимого периферийного оборудования, тех же версий программного обеспечения и т.п, о которых говорил обвиняемый[1];
в) учетом изменившихся и не поддающихся реконструкции условий;
г) воспроизведением (моделированием) субъективных, психофизиологических факторов[1].
Как показывает практика, внешние условия обстановки при совершении неправомерного доступа к компьютерной информации чаще всего не оказывают такого принципиального значения, как при совершении других преступлений (против собственности, против безопасности дорожного движения и др.). Поэтому при оценке результатов следственного действия необходимо учитывать в первую очередь степень совпадения и соответствия технических характеристик и параметров используемой компьютерной техники, состояния и версий программного обеспечения, типа операционной системы, общей конфигурации компьютера и пр. В то же время, погодные условия (дождь, снег, ветер и пр.) оказывают влияние на результаты опытов по проверке возможности осуществления перехвата информации. К примеру, сильный ветер влияет на распространение электромагнитных волн, создает помехи, препятствует устойчивому приему и др.
Так, если необходимо проверить возможность подключения к компьютерной сети банковского учреждения, состоявшейся в 11 часов, то следователю следует выяснить: сколько компьютеров и в каком режиме работали в это время в данном учреждении; какова в это время загруженность телефонной сети; сколько абонентов одновременно подключалось к данной сети и др.
Только после этого провести эксперимент в то же время и в тех же условиях.
При подготовке и проведении следственного эксперимента по проверке возможности электромагнитного перехвата компьютерной информации, распознавания перехваченной информации необходимо участников следственного действия разделить на две группы, в каждой из которых должно быть не менее двух понятых. Первая группа в составе следователя, лица, чьи показания проверяются, понятых, специалиста по средствам компьютерной техники и специалиста, осуществляющего фотосъемку или видеозапись, располагается в том помещении, из которого в свое время осуществлялся перехват.
Вторая группа, включающая оперативного работника, специалиста-криминалиста, понятых и лица, которое будет обрабатывать заранее согласованную со следователем и специалистом компьютерную информацию, размещается в помещении, где находится компьютерная техника. Руководители обеих групп перед опытом сверяют часы и обусловливают время начала и продолжительность проведения опытов. Информация выводится на экран неоднократно и в различной последовательности. После окончания опытов обе группы собираются вместе. Следователь оглашает полученные результаты и составляет протокол. В данном случае следственный эксперимент желательно проводить при таких же погодных и климатических условиях, в противном случае они могут повлиять на ход и результаты опытов.
Рассматриваемое следственное действие проводится в том же темпе и при той же продолжительности действий. Например, для проверки возможности копирования определенной информации за конкретный промежуток времени опытные действия необходимо проводить в том же темпе, который имел место при совершении преступления. При этом учитывается также и последовательность действий, составляющих содержание опыта. Например, при определении времени подключения к компьютерной сети, опытные действия должны проводиться в той же последовательности, как об этом говорили обвиняемые на допросе, без предварительной подготовки (включения компьютера, загрузки операционной системы, подключения периферийного оборудования и пр.).
Многократность проведения однородных опытов. В целях исключения случайных результатов, обеспечения достоверности и наглядности, опытные действия необходимо осуществлять неоднократно. Количество повторений определяется в зависимости от наступления стабильных, закономерных результатов, при этом не имеет значения, положительный или отрицательный результат будет получен.
Изменение условий проведения опытов. В тех случаях, когда следствие не располагает точными данными об условиях, каких-либо параметрах проверяемого события (например, длительность пребывания в компьютерной сети), то необходимо изменять условия проведения опытных действий. Следует иметь в виду, что опытные действия в измененных условиях также повторяются многократно.
Иногда опытные действия целесообразно проводить в измененных условиях, худших по сравнению с теми , что существовали на момент проверяемого события. Такие опытные действия проводятся после экспериментальных, осуществленных в условиях, максимально сходных с теми, что существовали на момент проверяемого события, результаты таких действий усиливают достоверность первых опытных действий.
Соответствие профессиональных навыков лица, осуществляющего опыты, профессиональным навыками непосредственного участника исследуемого события. Если непосредственный участник исследуемых событий не может принять участие в следственном эксперименте, то лицо, заменяющее его, должно подбираться из числа обладающих такими же профессиональными навыками[1].
Обеспечение безопасности участников следственного действия. Всякий раз, принимая решение о проведении следственного эксперимента, следователь должен обеспечить безопасность всех участвующих. Если есть информация о том, что обвиняемый или люди из его окружения могут оказать противодействие проведению эксперимента, расправиться с участниками следственно-оперативной группы, устранить свидетелей, то необходимо подготовить и проинструктировать соответствующим образом подготовленный личный состав следственной группы, предусмотреть применение средств защиты, оружия, специальных средств.
Представляют интерес рекомендации обеспечения безопасности участников уголовного процесса[1], высказанные С.Л.Марченко. Он выделяет три уровня обеспечения безопасности:
«1-й уровень: меры охранного характера: а) личная охрана, охрана жилища и имущества; б) использование технических средств контроля и прослушивания телефонных и иных переговоров; в) выдача оружия и специальных средств индивидуальной защиты и оповещения об опасности; г) замена номера телефона; д) замена номерных знаков авто-, мото-транспорта; е) временное помещение в места, обеспечивающие безопасность; ж) изменение внешности без хирургического вмешательства.
2-ой уровень: меры, предусматривающие: а) переселение на другое место жительства; б) изменение места работы или учебы; в) изменение фамилии.
3-й уровень: меры, предусматривающие: а) изменение анкетно-биографических данных, данных о родственниках и супругах; б) замена документов (паспорт, диплом об образовании, свидетельство о рождении, справки о получении специальности, водительское удостоверение и т.п.); в) изменение внешности, связанное с хирургическим вмешательством».[1]
При этом И.А.Бобраков предлагает три направления противодействия воздействию преступников на свидетелей и потерпевших: упреждение, выявление и преодоление воздействия[1].
Обеспечению реальной безопасности как активных (понятые, специалисты, лица, производящие опыты), так и вспомогательных (водитель, технические помощники) участников следственного эксперимента должно уделяться первостепенное значение. Особенно это относится к расследованию неправомерного доступа к компьютерной информации, совершенного организованной преступной группой. Следует сказать о том, что если есть реальная угроза жизни или здоровью участников следственного эксперимента или их близким и знакомым, унижению чести и достоинства, то нужно отказаться от самой идеи его проведения. Никакие результаты расследования не могут быть важнее здоровья и, тем более, жизни хотя бы одного участника эксперимента. Эта рекомендация в деятельности следователя, руководителя следственного подразделения должна быть стратегической.
На процессуальном уровне обеспечение реальной безопасности связано с реализацией требований о неразглашении данных предварительного следствия. Исходя из них, следователь предупреждает понятых, специалиста, переводчика и других лиц, присутствующих при производстве следственного действия, о недопустимости разглашения без его разрешения данных, полученных в процессе опытов[1].
Тактические рекомендации конкретизируются в зависимости от обстоятельств совершения неправомерного доступа к компьютерной информации (совершенного группой лиц по предварительному сговору, организованной группой), особенностей личностных свойств проверяемого лица, позиции других лиц, проходящих по делу и т.п. К числу наиболее распространенных рекомендаций можно отнести:
удаление с места проведения следственного действия посторонних граждан;
проведение следственного действия в такое время, когда исключено присутствие на этом месте посторонних лиц;
обеспечение охраны ( и не только лица, чьи показания проверяются);
обеспечение оцепления места проведения проверки показаний;
сокрытие от посторонних данных лица, чьи показания проверяются, и фабулы дела;
обеспечение приглашения участников следственного действия таким образом, чтобы исключалось их знакомство с лицом, чьи показания проверяются;
наличие резерва сил для быстрого и эффективного реагирования на экстремальную ситуацию, которая может сложиться при проведении следственного действия и т.п.[1]
Принимая решение о производстве следственного эксперимента, следователь обязан тщательно продумать ход его проведения, комплекс подготовительных мероприятий. Особое внимание необходимо уделить сохранности программного обеспечения и иной компьютерной информации, которая может являться доказательством по делу. Комплекс подготовительных мероприятий, как правило, осуществляется в два этапа: до выезда (выхода) на место проведения следственного эксперимента и по прибытии на него[1].
К подготовительным мероприятиям до выезда на место проведения следственного эксперимента относятся:
изучение и анализ материалов уголовного дела, а в необходимых случаях - ознакомление с оперативно-розыскными данными;
установление характера и содержания опытных действий;
определение места, времени, последовательности проведения опытных действий;
предварительный выезд (в необходимых случаях) на место проведения следственного эксперимента;
подготовка средств компьютерной техники, оборудования, программного обеспечения, вещественных доказательств, предметов, которые необходимы для осуществления;
предупреждение руководителя соответствующего предприятия, организации, учреждения, фирмы или компании, откуда произошел неправомерный доступ к компьютерной информации;
определение круга участников и принятие соответствующих мер по обеспечению их явки на место производства следственного эксперимента;
продумывание мероприятий, обеспечивающих охрану места прове-дения следственного действия;
подготовка транспортных средств;
подготовка научно-технических средств и средств связи;
продумывание мероприятий, обеспечивающих безопасность участников следственного эксперимента.
К подготовительным мероприятиям, осуществляемым по прибытии на место проведения следственного эксперимента, относятся:
осмотр места опытных действий, принятие мер по реконструкции обстановки (в случае ее нарушения);
определение места нахождения участников эксперимента, разъяснение способов и средств связи между ними;
фотографирование обстановки до реконструкции и после нее;
приглашение понятых, специалистов или других необходимых участников, если это не было сделано заранее;
разъяснение каждому участнику прав и обязанностей, предупреждение о неразглашении данных эксперимента;
организация охраны места проведения эксперимента;
осуществление мероприятий, направленных на реальное обеспечение безопасности участников следственного действия;
расположение участников в соответствии с планом проведения эксперимента.
Приведенные рекомендации по подготовке к производству следственного эксперимента при расследовании преступлений в сфере компьютерной информации носят общий характер и, в зависимости от конкретно эксперимента, должны уточняться. Так, например, очевидно, что при проверке экспериментальным путем возможности перехвата информации на определенном расстоянии важную роль играет выяснение метеоусловий. При подготовке к производству эксперимента по установлению возможности совершить непосредственный доступ к компьютерной информации, эти условия могут не иметь никакого значения и не требовать их выяснения. Что касается тактических особенностей проведения следственного эксперимента, то они также варьируются в зависимости от вида и целей следственного эксперимента.
Назначение экспертиз
При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические, экспертизы веществ и материалов, экономические и др. Назначение и проведение перечисленных экспертиз особых затруднений не вызывает[1], что касается собственно компьютерно-технических экспертиз, то они относятся к новому роду и представляют значительные сложности. Это объясняется отсутствием соответствующих специалистов а так же отработанных методик проведения отдельных ее видов.
Комплекс экспертиз, назначаемых при расследовании неправомерного доступа к компьютерной информации будет меняться и зависеть от способа совершения и механизма преступления.
Рассматривая компьютерно-техническую экспертизу как самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических, Е.Р.Россинская и А.И.Усов выделяет следующие ее виды: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; компьютерно-сетевая экспертиза[1]. Рассмотрим данные виды более подробно:
Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида судебной компьютерно-технической экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы - материальных носителей информации о факте или событии уголовного или гражданского дела.
Для проведения экспертного исследования программного обеспечения предназначен такой вид компьютерно-технической экспертизы, как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
Судебная информационно-компьютерная экспертиза (данных) является ключевым видом судебной компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Отдельный вид компьютерно-технической экспертизы - судебная компьютерно-сетевая экспертиза, в отличие от предыдущих основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в связи с тем, что лишь использование специальных познаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями.
Объект применения специальных познаний этой СКТЭ может быть разным - от компьютеров пользователей, подключенных к Internet, до различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.
Нам представляется, что можно выделить следующие виды компьютерно-технических экспертиз, необходимость назначения которых возникает при расследовании преступлений в сфере компьютерной информации компьютерной информации[1]:
техническая экспертиза компьютеров и периферийных устройств. Она назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования;
техническая экспертиза оборудования защиты компьютерной информации. Проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме;
экспертиза машинных данных и программного обеспечения ЭВМ. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации;
экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании.
С.А.Катков выделяет в качестве самостоятельного вида экспертизы по восстановлению содержания документов на магнитных носителях[1]. Нам представляется, что исходя из решаемых данным видом экспертного исследования вопросов, оно целиком относится к экспертизе машинных данных и программного обеспечения.
Как показывает практика[1], возможно так же назначение комплексной экспертизы, сочетающей в себе дактилоскопическую, компьютерно-техническую экспертизу, экспертизу веществ и материалов, технико-криминалистическую экспертизу документов, а так же иные виды экспертного исследования.
На разрешение технической экспертизы компьютеров ставятся следующие диагностические вопросы[1]:
какая модель компьютера представлена на исследование, каковы его технические характеристики, параметры периферийных устройств?
находится ли представленная компьютерная техника в исправном состоянии? Возможна ли ее эксплуатация? Если нет, то по каким причинам;
соответствует ли представленная документация данным техническим устройствам и периферийному оборудованию?
каковы условия сборки компьютера и его комплектующих: фирменная сборка, сборка из комплектующих в другой фирме или кустарная сборка? Имеются ли в наличии дополнительные устройства, не входящие в базовый комплект поставки (базовый комплект определяется из документации)?
имеет ли место наличие неисправностей отдельных устройств, магнитных носителей информации (выявляются различными тестовыми программами)?
не проводилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?
К идентификационным[1] можно отнести вопрос о наличии у комплектующих компьютера (например, печатных плат, магнитных носителей, дисководов и пр.) единого источника происхождения.
При технической экспертизе оборудования защиты ставятся следующие вопросы:
какие технические устройства используются для защиты компьютерной информации? Каковы их технические характеристики?
есть ли в наличии техническая документация на эти изделия? Соответствуют параметры устройств, изложенным в документации?
подвергались или нет средства защиты программной модификации или физическому воздействию? Используются или нет кустарные средства защиты информации?
При экспертизе данных и программного обеспечения могут решаться как диагностические, так и идентификационные задачи. В зависимости от конкретных обстоятельств при решении диагностических задач вопросы могут быть следующими:
каков тип операционной системы, используемой в компьютере? Какова ее версия?
какие программные продукты эксплуатируются на данном компьютере? Являются ли они лицензионными, или «пиратскими» копиями, или собственными оригинальными разработками? Когда производилась инсталляция (установка) данных программ?
каково назначение программных продуктов? Для решения каких прикладных задач они предназначены? Какие способы ввода и вывода информации используются? Соответствуют ли результаты выполнения программ требуемым действиям?
какие программные методы защиты информации используются (пароли, идентификационные коды, программы защиты и т.д.)? Не предпринимались ли попытки подбора паролей или иные попытки неправомерного доступа к компьютерной информации?
какая информация содержится в скрытых файлах?
имеются ли на представленном магнитном носителе стертые (удаленные) файлы? Если да, то каковы их имена, размеры и даты создания, давность удаления?
возможно ли восстановление ранее удаленных файлов и каково их содержание?
изменялось ли содержание файлов (указать, каких именно), если да, то в чем оно выразилось?
в каком виде хранится информация о результатах работы антивирусных программ, программ проверки контрольных сумм файлов? Каково содержание данной информации?
имеет ли место наличие сбоев в работе отдельных программ? Каковы причины этих сбоев?
в каком состоянии находятся и что содержат файлы на магнитных носителях? Когда производилась последняя корректировка этих файлов?
к каким именно файлам делала обращение программа (указать, какая именно), представленная на машинном носителе и какие информационные файлы она создавала?
При решении идентификационных задач могут быть поставлены следующие вопросы:
выполнена ли отдельная программа (или ее часть) определенным лицом[1]?
соответствуют ли используемые в программах пароли и идентификационные коды вводимым пользователем.
При экспертизе сетевого программного обеспечения и данных ставятся следующие вопросы:
какое программное обеспечение используется для функционирования компьютерной сети? Является ли оно лицензионным?
каким образом осуществляется соединение компьютеров сети? Имеется ли выход на глобальные компьютерные сети?
какие компьютеры являются серверами (главными компьютерами) сети?
каким образом осуществляется передача информации на данном предприятии, учреждении, организации, фирме или компании по узлам компьютерной сети?
используются ли для ограничения доступа к информации компьютерной сети пароли, идентификационные коды? В каком виде они используются?
имеются ли сбои в работе отдельных программ, отдельных компьютеров при функционировании их в составе сети? Каковы причины этих сбоев?
какая информация передается, обрабатывается и модифицируется с использованием компьютерной сети?
Необходимо отметить, что объектами компьютерно-технических экспертиз кроме компьютеров в привычном понимании, их отдельных блоков, периферийных устройств, технической документации к ним, а так же носителей компьютерной информации могут выступать и компьютеры в непривычном понимании: электронные записные книжки, пейджеры, сотовые телефоны, электронные кассовые аппараты, иные электронные носители текстовой или цифровой информации, документация к ним[1]. При этом на разрешения эксперта ставятся аналогичные вопросы.
Представляет интерес позиция В.В.Агафонова и А.Г.Филиппова, считающих, что в определенных случаях производство экспертизы можно заменить другим следственным действием, в частности, следственным осмотром или следственным экспериментом[1]. Не вдаваясь в дискуссию по данному вопросу, отметим, что в тех случаях, когда собственных познаний следователя достаточно, и ему не требуются привлечения специальных познаний (например, при установлении факта нахождения определенной информации на машинном носителе), экспертизу действительно можно не назначать, а зафиксировать факт нахождения данной информации путем следственного осмотра с участием специалиста.
В экспертно-криминалистическом центре МВД России в 1994 году разработана методика идентификации оператора компьютера по его клавиатурному «почерку»[1]. На основе проведения обширного эксперимента, использования аппарата математической статистики было установлено существование комплекса признаков, идентифицирующих конкретного оператора ЭВМ. К числу таких признаков относятся: темп работы (среднее количество нажатий на клавиши клавиатуры за единицу времени, характеризующее опыт и технику работы оператора на клавиатуре); время удержания отдельных клавиш в нажатом состоянии; время перехода от одной клавиши к другой; использование альтернативных клавиш (например, Shift, CapsLock и т.д.). На основе этого компьютерная программа производит фиксацию и анализ статистически значимых признаков индивидуального «почерка» работы оператора на клавиатуре.
Необходимо отметить, что в настоящее время, класс компьютеро-технических экспертиз находится еще в стадии разработки. Проведенное исследование показало, что следователи испытывают значительные сложности с назначением подобных экспертиз, поскольку не во всех экспертных учреждениях имеются соответствующие специалисты, большинство следователей не знают о возможностях компьютерно-технических экспертиз, какие вопросы ставятся на их разрешение и какие материалы предоставляются в распоряжение экспертов.