Способы получения доказательств и информации в связи с обнаружением (возможностью обнаружения) электронных носителей. Учебное пособие

Под ред. Гаврилова Б.Я.

Возрастное ограничение: 0+ Жанр: Юридическая Издательство: Проспект Дата размещения: 09.03.2017 ISBN: 9785392243242 Язык: Объем текста: 171 стр. Формат: epub

Оглавление

Введение

Глава 1. Теоретические и правовые аспекты получения доказательств и информации в связи с обнаружением (возможностью обнаружения) электронных носителей

Глава 2. Тактика следственных действий, направленных на обнаружение, фиксацию и изъятие электронных носителей и информации на них

Глава 3. Назначение и производство судебной компьютерной экспертизы

Глава 4. Тактические особенности проведения допроса в связи с обнаружением или возможностью обнаружения электронного носителя информации (на примере расследования неправомерного доступа к компьютерной информации)

Заключение

Для бесплатного чтения доступна только часть главы! Для чтения полной версии необходимо приобрести книгу

Глава 3.
Назначение и производство судебной компьютерной экспертизы

3.1. Назначение судебной компьютерной экспертизы

Потребность в проведении компьютерных экспертиз у правоохранительных органов возникла в середине 90-х гг. XX в. в связи с массовой компьютеризацией, начавшейся в России, которая способствовала активному развитию рынка компьютеров и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей организаций в совершенствовании технологий обработки цифровых данных.

Назначение (производство) судебной компьютерной экспертизы (далее также — СКЭ) входит в систему судебных экспертиз, проводимых по уголовным делам, основывается на общих закономерностях, равно как и имеет свои особенности (объекты, методы и т. д.). Следует также отметить, что при подготовке и назначении СКЭ нередко возникают затруднения — как в определении вида назначаемой экспертизы, формулировании выносимых на разрешение эксперта вопросов, так и в оформлении направляемых на экспертизу материалов.

В основу понимания СКЭ положены признаки судебной экспертизы: 1) исследовательский характер экспертизы; 2) проведение экспертизы специальным субъектом — экспертом, специалистом; 3) установленный законом порядок проведения экспертизы; 4) назначение экспертизы; 5) результат экспертизы — дача заключения.

Таким образом, судебная компьютерная экспертиза — это проводимое экспертом (специалистом) в установленном уголовно-процессуальным законодательством порядке самостоятельное исследование информации, зафиксированной в электронной форме, а также технических средств и программного обеспечения компьютерной системы в целях дачи заключения по фактам, имеющим значение для уголовного дела.

Судебная компьютерная экспертиза включена в общую классификацию судебных экспертиз. При этом в настоящий момент ее относят к классу инженерно-технических экспертиз (наряду со взрывотехнической, строительно-технической и другими экспертизами). Вывод не окончательный, ведь развитие технологий может привести к выделению нового, самостоятельного класса информационно-технологических судебных экспертиз; в данный класс может быть включена и СКЭ (вместе с экспертизой защиты данных, экспертизой телекоммуникаций и связи и др.).

Отдельно следует сказать о классификации СКЭ. Полагаем, что применение классификации позволяет распределить имеющиеся виды экспертных исследований по группам, что дает возможность уяснить место экспертизы в экспертном поле. В нашем случае это отграничит СКЭ от других экспертиз и обозначит возможные точки соприкосновения СКЭ и других экспертных исследований (например, при решении вопроса о назначении комплексной экспертизы). Дополнительно к этому отметим, что классификация СКЭ может помочь практическому работнику при принятии решения (например, определяя последовательность выполнения следственных действий, в совокупность которых входит СКЭ).

Классификация судебных экспертиз может проводиться по различным основаниям. Для нас представляет интерес деление экспертиз в зависимости от: 1) объема исследования; 2) последовательности проведения; 3) численности и состава экспертов; 4) характера специальных знаний, используемых в процессе исследования; 5) круга решаемых задач.

1. В зависимости от объема исследования выделяют такие экспертизы, как: основные (проводятся впервые в отношении определенного объекта) и дополнительные (проводятся дополнительно в отношении этого же объекта). Применительно к СКЭ следует отметить, что, как правило, назначаются именно основные экспертизы. В результате данных исследований происходит изучение информационного массива, содержащегося на электронных носителях. Цель — обнаружение файлов, в которых присутствуют ключевые слова и т. д.

Одновременно, по данным экспертов, иногда возникает ситуация, когда в рамках основной экспертизы была обнаружена большая совокупность файлов с заданными следователем параметрами, которая направлена следователю. Последний, изучив данную совокупность и выбрав отдельные файлы, направляет их с соблюдением установленного порядка эксперту для более детального исследования. В этом случае речь будет идти о дополнительной экспертизе.

2. В зависимости от последовательности проведения выделяют такие экспертизы, как: первичная (проводится в отношении определенного объекта впервые) и повторная (проводится при наличии сомнения следователя в заключении основной экспертизы в отношении этого же объекта по тем же вопросам). Нами не обнаружено ни одного факта проведения повторной СКЭ (полагаем, в силу характера используемых экспертом специальных знаний). Однако следователь должен осознавать, что сфера оборота электронных носителей и информации на них динамично развивается. Это повышает вероятность экспертной ошибки (положение усугубляется, например, недостаточным оснащением региональных экспертных подразделений МВД России). Значит, при выявлении признаков экспертной ошибки может быть назначена повторная экспертиза. Дополнительно заметим, что проведение повторной экспертизы в отношении информации, присутствующей на электронных носителях, может быть невозможно в силу того, что в экспертном подразделении первичный материал если и хранится, то недолго (не более двух недель), что связано с ограниченностью наличия у экспертов электронных носителей большого объема.

3. В зависимости от численности и состава экспертов выделяют такие экспертизы, как: единоличные (проводятся одним экспертом) и комиссионные (проводятся несколькими экспертами одной специальности), а также комплексные (проводятся несколькими экспертами разных специальностей). В отношении электронных носителей проводятся, как правило, единоличные экспертизы. Это продиктовано в основном несложным и типичным характером основной массы проводимых исследований.

Вместе с тем не следует забывать, что эксперт, сертифицированный на проведение компьютерной экспертизы, нередко выступает по уголовному делу в ходе проведения комплексной экспертизы. Например, по уголовному делу об изготовлении, хранении, перевозке или сбыте поддельных денег или ценных бумаг (ст. 186 УК РФ) специальные знания в области компьютерной техники применяются одновременно со знаниями в сфере криминалистического исследования документов (для установления факта изготовления определенных купюр с использованием обнаруженных файлов-макетов).

Кроме этого, следует разграничивать судебные экспертизы, носящие комплексный характер, и комплексные судебные экспертизы. Например, в рамках СКЭ применяются различные методы исследования в отношении различных объектов (программ, данных и т. д.). Все это говорит о комплексном характере экспертизы. Однако это не свидетельствует о том, что нужно назначать именно «комплексную СКЭ». Поэтому в названии назначаемой экспертизы достаточно указать «назначить судебную компьютерную экспертизу».

4. В зависимости от характера специальных знаний, используемых в процессе исследования, условно выделяют судебную информационно-компьютерную (в отношении информации, зафиксированной в электронной форме), судебную аппаратно-компьютерную (в отношении технических средств компьютерной системы), судебную программно-компьютерную (в отношении программного обеспечения компьютерной системы) и судебную компьютерно-сетевую экспертизы (в отношении компьютерных средств, реализующих сетевые информационные технологии, в том числе интернет). Данное разделение может помочь следователю уяснить возможности СКЭ и эффективно их использовать при назначении комплексной экспертизы.

5. В зависимости от круга решаемых задач выделяют судебные экспертизы, решающие идентификационные (установление тождества между объектами) и диагностические (установление признаков и свойств исследуемого объекта) экспертизы. СКЭ решает как идентификационные (например, отождествление оригинала программы и ее копии на носителях определенной компьютерной системы), так и диагностические (например, установление времени и хронологической последовательности воздействия на информацию) задачи.

В центре любого экспертного исследования (СКЭ не является исключением) находится его объект. Объект СКЭ понимается двояко:

— как источник сведений об устанавливаемых фактах, подвергающийся экспертному исследованию, — содержательный элемент, например, магнитооптический диск с файлами, содержащими информацию;

— как материалы уголовного дела, посредством изучения которых познается предмет экспертизы, устанавливаются обстоятельства дела, — правовой элемент, например, протокол осмотра места происшествия с приложением к нему электронного носителя.

Применительно к СКЭ можно выделить родовой (видовой) объект и конкретный объект.

Первый характеризует совокупность предметов, обладающих общими признаками (например, аппаратные объекты), и учитывается на этапе назначения экспертизы (выбор СКЭ из всей совокупности судебных экспертиз, общая формулировка вопросов для разрешения эксперта).

Второй характеризует отдельный предмет, обладающий признаками индивидуальности и неповторимости (например, жесткий диск, на котором отражены в электронной форме документы бухгалтерского учета конкретной коммерческой организации), и учитывается как на этапе назначения судебной экспертизы (конкретная формулировка вопроса для разрешения эксперта), так и на этапе исследования (применение конкретных методов).

Система родовых (видовых) объектов СКЭ представлена несколькими классами.

I класс. Аппаратные объекты:

а) настольные и портативные персональные компьютеры (которые, например, могли использоваться для неправомерного доступа к охраняемой законом компьютерной информации);

б) периферийные устройства (когда, например, принтер имеет слот для карты памяти, где могли храниться вредоносные программы для ЭВМ);

в) сетевые аппаратные средства (когда, например, сетевой кабель мог использоваться для неправомерного доступа к охраняемой законом компьютерной информации через интернет-технологии);

г) интегрированные системы (например, ЭВМ-органайзеры, которые могли применяться для хранения информации о времени незаконного распространения порнографических материалов);

д) пейджеры (например, могли использоваться для хранения информации о местах сбыта поддельных денег);

е) мобильные телефоны (могли использоваться для неправомерного доступа к охраняемой законом компьютерной информации);

ж) встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т. п.);

з) любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. п.).

Типичными аппаратными объектами СКЭ являются: системный блок (в 57% случаев представлялся на СКЭ); жесткий диск (29%), магнитооптический диск (20%); сервер; RAID-массивы (3%); принтер (29%, последний — в рамках комплексной экспертизы совместно с ТКЭД).

II класс. Программные объекты:

а) системное программное обеспечение:

— операционная система (когда она, например, является предметом неправомерного доступа);

— вспомогательные программы — утилиты (когда они, например, являются предметом неправомерного доступа);

б) прикладное программное обеспечение (общего назначения: текстовые редакторы и т. д.; специального назначения: для решения задач в определенной области науки).

Типичными программными объектами СКЭ являются: системные (OC MS DOS, Windows, Unix и др.) и прикладные (MS Office, PhotoShop и др.).

III класс. Информационные объекты:

а) текстовые и графические документы, изготовленные с использованием компьютерных средств (например, когда документы составлялись в процессе изготовления поддельных денег);

б) данные в формате мультимедиа (например, когда они являются предметом незаконного использования объектов авторского права);

в) информация в форматах баз данных и других приложений, имеющая прикладной характер (например, когда она является предметом создания вредоносных программ для ЭВМ).

Типичными информационными объектами СКЭ являются: файлы, подготовленные с использованием программных средств; расширение текстовых форматов (.txt,.doc), графических форматов (.bmp,.jpg,.tif,.cdr), форматов баз данных (.dbf,.mdb), электронных таблиц (.xls).

Отметим, что отдельное выделение класса объектов для судебной компьютерно-сетевой экспертизы нецелесообразно, так как данная экспертиза основывается прежде всего на функциональном предназначении выше перечисленных объектов. Условно сказать, здесь устанавливается причастность названных объектов к сетевым технологиям, как правило, интернет-технологиям. Например, установление места, роли и функционального предназначения исследуемого аппаратного средства в сети.

В соответствии с ч. 1 ст. 195 УПК РФ, следователь, признав необходимым назначение судебной экспертизы, выносит об этом постановление, в котором указываются: 1) основания назначения судебной экспертизы; 2) фамилия, имя и отчество эксперта или наименование экспертного учреждения, в котором должна быть произведена судебная экспертиза; 3) вопросы, поставленные перед экспертом; 4) материалы, предоставляемые в распоряжение эксперта. Согласно ч. 2 ст. 195 УПК РФ, производство судебной экспертизы может быть назначено как государственным судебным экспертам, так и иным экспертам из числа лиц, обладающих специальными знаниями.

Анализ положений УПК РФ дает возможность очертить четкий порядок назначения СКЭ. Следователь должен определить, есть ли необходимость назначения СКЭ (речь идет об основаниях). После чего необходимо выбрать вид подлежащей назначению экспертизы и данные специализированного судебно-экспертного учреждения или конкретного эксперта, имеющего соответствующие специальные знания. В дальнейшем следует составить перечень вопросов для их разрешения экспертом в рамках СКЭ и предоставить ему необходимые материалы.

Принимая решение о наличии оснований для производства СКЭ, следователь должен ответить на два вопроса: 1) требуются ли для решения вопроса специальные знания; 2) требуется ли для решения вопроса именно экспертиза?

Ответ на первый из поставленных вопросов проиллюстрируем на двух примерах.

В октябре 2010 г. М. договорился по телефону с Ч. об установке на офисный компьютер коммерческой организации ранее приобретенного М. контрафактного экземпляра программы «Система трехмерного твердотельного моделирования “КОМПАС — 3D V8”» за денежное вознаграждение в размере 400 руб. Реализуя преступный умысел, направленный на незаконный оборот объектов авторского права, М., находясь в офисе коммерческой организации, сбыл Ч. путем установки на компьютер контрафактного экземпляра программы: «Система трехмерного твердотельного моделирования “КОМПАС — 3D V8”». Одновременно, для обеспечения работы переданной программы, М. снял аппаратную защиту этой программы от нелицензионного использования путем установки на жесткий диск эмулятора ключа защиты типа HASP. В результате преступных действий был причинен ущерб правообладателю в крупном размере.

По данному факту было возбуждено уголовное дело по признакам ч. 2 ст. 146 и ч. 1 ст. 272 УК РФ. Следователь, принявший уголовное дело к своему производству, должен был определить, имеются ли на обнаруженных в ходе осмотра места происшествия электронных носителях программные продукты с заданными характеристиками (программа «Система трехмерного твердотельного моделирования “КОМПАС — 3D V8”»). Кроме этого, необходимо было решить вопрос о наличии на жестком диске офисного компьютера программ, которые позволяют пользователю нейтрализовать лицензионные средства защиты. В обоих случаях следователь столкнулся со специальными знаниями в области функционирования программных объектов и назначил СКЭ, поскольку в этом случае обязательно использование специальных знаний. Это позволило зафиксировать наличие на жестком диске эмулятора ключа защиты типа HASP. Дополнительно была установлена его принадлежность к программным продуктам и предназначение — снятие аппаратной защиты от нелицензионного использования, влекущей модификацию информации о наличии ключа аппаратной защиты, с помощью которой в обход технических средств защиты можно получить доступ к программному продукту.

Юридическая Под ред. Гаврилова Б.Я. Способы получения доказательств и информации в связи с обнаружением (возможностью обнаружения) электронных носителей. Учебное пособие

Юридическая Под ред. Гаврилова Б.Я. Способы получения доказательств и информации в связи с обнаружением (возможностью обнаружения) электронных носителей. Учебное пособие

В работе приводятся теоретические и правовые аспекты получения доказательств и информации в связи с обнаружением или возможностью обнаружения электронных носителей, в частности, кратко рассматриваются генезис и классификация электронных носителей, обозначаются проблемы законодательного урегулирования.<br /> В учебном пособии также рассматриваются вопросы, связанные с особенностями тактики отдельных следственных действий, а именно: подготовкой и производством осмотра электронных носителей (и информации на них) и мест их обнаружения, подготовкой и производством обыска и выемки в местах вероятного нахождения электронных носителей (и информации на них). Особое внимание уделено назначению и производству судебной компьютерной экспертизы, а именно: определению оснований, выбору экспертного учреждения или эксперта, подготовке материалов, постановке вопросов, основам деятельности экспертов на вводной, исследовательской и выводной стадиях экспертного исследования. На основе общих положений тактики допроса сформулированы положения, отражающие особенности подготовительного, рабочего и заключительного этапов допроса по делам о неправомерном доступе к компьютерной информации (уголовная ответственность предусмотрена ст. 272 УК РФ). Особое внимание уделено предмету допроса. Одновременно приводятся примеры использования отдельных тактических приемов допроса по делам о неправомерном доступе к компьютерной информации. Выводы и предложения, сформулированные в работе, основаны на результатах анализа актуальной правоохранительной практики.<br /> Законодательство приведено по состоянию на август 2016 г.<br /> Учебное пособие предназначено для сотрудников правоохранительных органов, преподавателей вузов, аспирантов (адъюнктов), слушателей и курсантов образовательных организаций юридического профиля, студентов юридических вузов.