Компьютерная информация как объект криминалистического исследования

Что касается тактики и общих правил изъятия компьютерной техники при обыске, то их можно свести к следующим положениям:

· обыскиваемое помещение, в том числе электрощит, берется под контроль следователем и иными сотрудниками. Если местный персонал от техники отстранить не удается, то необходимо фиксировать все их действия в протоколе. В редких случаях, когда о проведении обыска стало известно сообщникам, находящимся вне контроля от следователя, например, в той же организации, но этажом выше, то необходимо, как можно быстрее, отключить сетевые соединения и модемы;

· все включенные устройства, в том числе периферийные, в момент проведения обыска не выключаются;

· далее фотографируется или снимается на видео компьютерная техника. Особое внимание уделяется кабелям, какой куда подключен. Для удобства фиксирования и протоколирования, необходимо снабдить их ярлычками;

· на компьютерах, которые находятся в рабочем состоянии, фиксируется изображение на мониторе, отмечаются, какие программы загружены в этот момент;

· обследование рабочих мест в поисках записок с паролями и иных данных, необходимых для поиска;

· если принтер что-то печатает, то необходимо дождаться окончания печати. Все, что находится на выходном лотке принтера, описывается и изымается;

· после проведенных выше действий компьютеры выключаются специалистом. Если специалиста нет по причине неотложности проведения обыска, то настольный компьютер выключается вытаскиванием шнура из блока питания системного блока. У ноутбука, помимо отключения от сети, извлекается аккумулятор без закрывания крышки. Изымается вся компьютерная техника и носители, находившиеся на момент проведения обыска независимо от их юридической принадлежности;

· всю изъятую технику необходимо упаковать: каждое техническое устройство в отдельный пакет с последующей нумерацией;

· поскольку компьютерная информация имеет свойство легко и быстро удаляться, то следователь должен опросить отдельно всех пользователей на предмет паролей и сетевых имен пользователей, не дожидаясь допроса. Пароли допустимо не вносить в протокол допроса или объяснение. Также на этом этапе надо составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других лиц, состоящих в трудовых отношениях с потерпевшей организацией, для последующего их допроса.

При проведении обыска следователь должен иметь представление о личности преступника, а также об уровне его познаний в сфере информационных технологий. Знание о личности преступника позволяет специалисту, например, принять правильное решение о выключение ЭВМ. Как известно, есть два метода выключения компьютера: «холодный» и по штатной команде. При применении первого (он происходит путем извлечения шнура из блока питания или розетки) пропадет информация, находящаяся в ОЗУ и иных местах, т.е. та, которая «живет» до выключения компьютера, и содержимое временных файлов, загруженных текущими процессами на ЭВМ. Если перед следователем подозреваемый - специалист среднего или высокого уровня, то надо учитывать, что на компьютере пользователя может находиться программа, срабатывание которой при выключении ПК штатным методом приведет к уничтожению информации на ЭВМ (обычно хакеры оснащают свои компьютеры «логической бомбой»). В любом случае применить тот или иной вариант специалист должен, исходя из обстоятельств дела: какая информация нужнее для следователя.

В продолжение темы выключения ЭВМ при проведении обыска, хотелось бы отметить следующее. Когда в ходе обыска дело доходит до изъятия компьютера, то иногда подозреваемый пытается всячески навязать следователю тот или иной метод выключения компьютера в надежде на то, что при использовании рекомендованного им метода произойдет автоматическое уничтожение информации (как, например, в ситуации с логической бомбой). Все эти действия необходимо фиксировать в протоколе. Если в дальнейшем, в ходе проведения КТЭ ЭВМ подозреваемого, выяснится, что способ, рекомендованный им, привел бы к уничтожению информации на компьютере, то это косвенно подтверждает вину лица в совершении преступления.

Если проведение обыска не терпит отлагательств, то в этом случае у следователя может не хватить времени для подбора специалиста, который будет участвовать в данном процессуальном действии. Поэтому излагаемая информация, касающаяся особенностей носителей компьютерной информации, ориентирована на ситуацию проведения обыска следователем без специалиста.

Иногда при обыске, в процессе копирования и снятия специалистом информации, полезными могут оказаться данные, которые существуют до момента выключения компьютера или завершения сеанса программы, но еще не сохраненные, например, содержимое ОЗУ. Такие данные специалист снимает на месте происшествия. Применительно к неправомерному доступу, предположительно осуществленному с исследуемого компьютера, следует собрать список процессов, информацию о текущих сетевых соединениях, образец трафика.

При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых (ст. 189-193 УПК КР) по уголовному делу, возбужденному по ст. 290 УК КР, следует учитывать обстоятельства совершенного преступления, субъект и субъективную сторону. Перед проведением допроса следователю необходимо проконсультироваться со специалистом, а при необходимости пригласить его для участия в допросе, а также составить детальный план допроса.

В начальной стадии допроса выясняются следующие обстоятельства общего характера Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998. - С. 289-291.:

· имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;

· место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения; какие операции с компьютерной информацией выполняет на рабочем месте;

· имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете; закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети; если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;

· каковы обстоятельства, предшествовавшие совершению преступления (когда возникло намерение совершить преступление, что повлияло на принятие такого решения, почему выбран данный объект посягательства, мотивы совершения преступления, его цель и т.д.).

При допросах подозреваемых (обвиняемых) очень важно детально уточнить технологию совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются или могли сохраниться, где можно обнаружить интересующую следствие информацию.

На последующей стадии допроса у подозреваемого (обвиняемого) выясняются конкретные обстоятельства НДКИ:

· место неправомерного проникновения в компьютерную систему, т.е. внутри потерпевшей организации или извне;

· каким образом произошло проникновение в помещение, где установлена компьютерная техника;

· как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты;

· от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;

· какие средства использованы при совершении преступления;

· способы сокрытия неправомерного доступа;

· количество фактов незаконного вторжения;

· использование для неправомерного доступа своего служебного положения В. Поливанюк. Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации // URL: http://www.crime-research.ru .

Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям. При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только преступления, предусмотренного ст. 290 УК КР, но и других преступлений, ради которых такой доступ осуществлялся.

§2. Особенности назначения компьютерной экспертизы (компьютерно-технологической и компьютерно-технической)

При расследовании преступлений по созданию и использованию вредоносных программ для ЭВМ должны проводиться как традиционные виды экспертиз, так специальные судебные экспертизы - компьютерно- технологическая и компьютерно-техническая.

Проведение компьютерных судебных экспертиз необходимо как для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей, так и отдельно взятых технических и иных средств обеспечения этих процессов.

Непосредственными объектами исследования компьютерно-технологической экспертизы могут быть проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации; документированная информация; материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов; приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей; схемы движения информации от источников к потребителю с указанием пунктов ее сбора и т.д.

Компьютерно-технологическая экспертиза назначается в тех случаях, когда для разрешения возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов. С помощью компьютерно-технологической экспертизы можно определить, например, соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть; конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии; надежность организационно-технологических мер защиты компьютерной информации; вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации; обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации и т.д.

При расследовании преступлений по ст. 290 УК КР надо учитывать то, что практически любое обращение с компьютерной информацией требует специальных познаний. Источником таких знаний выступают специалист и эксперт Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации // Тезисы доклада на ІХ Международной научно-практической конференции «Сomputer Forensics: Расследование компьютерных происшествий. Восстановление и уничтожение информации». - Украина, 2009.. Отсюда следует, что особая роль в ходе расследования принадлежит компьютерно-технической экспертизе (далее - КТЭ), поскольку установить факты, касающиеся компьютерной информации, можно только на основании экспертизы.

Объекты КТЭ - все орудия, с помощью которых осуществляется доступ к информационным ресурсам. Когда в качестве объекта исследования выступает носитель информации, то лучше проводить исследования с его копией, чтобы избежать повреждения оригинала. В УПК КР и Законе «О СЭД» Закон КР «О судебно-экспертной деятельности » от 24.06.2013 № 100 г.Бишкек «Эркин Тоо» от 2июля 2013г. № 55. нет нормы, которая запрещает проводить исследования с копией носителя. Эксперт может сделать копию на таком носителе, с которым ему будет удобнее и быстрее работать. Оригинал может потребоваться в дальнейшем: непосредственно в суде как вещественное доказательство или при проведении повторной или дополнительной экспертизы. Однако есть методы КТЭ, хотя они используются редко, которые при исследовании требуют применения оригинала. Соответственно, если специалист в ходе обыска изъял, например, копию диска сервера по причине невозможности изъятия сервера или его диска в натуре, а потом выясняется, что для ответа на поставленный в постановлении о назначении КТЭ вопрос, необходимо исследование оригинала, то следователь попадает «в неловкое положение». Поэтому многие исследователи предлагают такой выход, что специалист должен предположить, какие вопросы поставит следователь перед экспертом, и какие методы впоследствии будут применяться при исследовании.

К основным задачам КТЭ относятся определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему; техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия; восстановление содержания поврежденных информационных массивов, отдельных файлов на носителях; выявление технических причин сбойных ситуаций в работе компьютера; установление подлинности информации, записанной на машинных носителях и внесенных в них изменений; выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера; установление соответствия средств защиты информации от несанкционированного доступа и т.п.

При выборе организации (среди гражданских), которая будет проводить КТЭ, предпочтение отдается опыту работы представителей организации. Когда у следователя есть выбор между государственным и гражданским экспертным учреждением, то лучше принять решение в пользу второго.

В зависимости от объекта исследования можно выделить четыре вида КТЭ:

· аппаратно-техническая (предполагает проведение диагностического исследования технических (аппаратных) средств компьютерной системы, определение функциональных возможностей, фактического и начального состояния, технологии изготовления, эксплуатационных режимов и т.п.);

· программно-техническая (состоит в изучении функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, пользовательского (потребительского) состояния представленного на исследование системного, прикладного и авторского программного обеспечения компьютерной системы как видовых объектов экспертизы);

· информационно-техническая (предполагает разрешение диагностических и идентификационных вопросов, связанных с компьютерной информацией);

· компьютерно-сетевая (предполагает исследование функционального предназначения компьютерных средств, реализующих какую-либо сетевую информационную технологию) О возможностях и методах КТЭ см. Компьютерно-техническая экспертиза / Российский федеральный центр судебной экспертизы при Министерстве юстиции РФ // URL: http://www.sudexpert.ru/content/possib/comp.php (дата обращения - 13.02.2014)..

Сложность КТЭ состоит в ее понимании другими участниками процесса, поскольку лицо, проводившее экспертизу, порой затрудняется объяснить простыми словами механизм произошедшего преступления и сделанные им на основе исследования выводы. Иногда бывает сложно перевести тот или иной технический термин на язык, доступный обывателю, а тем более на юридический. Некоторые понятия вообще не объяснить, не используя технический словарь. В итоге, когда идет стадия судебного разбирательства, только два участника понимают, о чем идет речь на заседании: это специалист или эксперт и, конечно же, подсудимый.

Сложность КТЭ состоит и в неоднозначности ответов, которые получает следователь, судья, прокурор, адвокат на поставленные ими вопросы перед экспертом или специалистом на стадии судебного заседания. Например, на вопрос, идентифицирует ли IP-адрес компьютер в сети Интернет однозначным образом, можно получить два разных ответа. Можно ответить отрицательно, имея в виду абстрактный компьютер и любой IP-адрес, но можно ответить утвердительно применительно к конкретному компьютеру и конкретному адресу, если при этом ознакомиться с материалами дела. Таким образом, эксперты и специалисты теперь не только разъясняют вопросы, но и по сути делают выводы о виновности или невиновности лица.

Следователь должен четко представлять возможности КТЭ для того, чтобы корректно сформулировать вопросы и получить на них ожидаемые ответы. Как бы это ни звучало парадоксально, но чтобы правильно задать вопрос, надо знать на него большую часть ответа, а где-то и полный ответ. Одним словом, следователь должен иметь базовые знания по информационным технологиям. Понятно, что для формулировки вопросов для КТЭ лучше всегда привлекать специалиста или эксперта, который будет проводить исследование.

При формулировании вопросов следователю не стоит конкретизировать вид и содержание информации, которую необходимо найти, исследовать и приложить к делу, поскольку эксперт сам решит, какие сведения относятся к делу. Для этого его надо ознакомить с уголовным делом в той части, которая относится к предмету экспертизы либо фабулу дела можно изложить в постановлении о назначении КТЭ. При дефиците информации эксперт может ходатайствовать о предоставлении дополнительных материалов.

При поиске цифровых следов различного рода действий на компьютере, с которого предположительно был осуществлен неправомерный доступ, лучше формулировать вопросы не про следы, а про действия Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 256.. При этом надо помнить, что эксперт может определить, когда, каким образом осуществлялся неправомерный доступ, а вот кто его совершил, это возможно установить только в редких случаях, когда на исследуемом компьютере имеются некоторые сведения о пользователе.

При исследовании отдельных файлов, дисков и иных носителей следователю имеет смысл поставить вопрос касательно не только наличия на носителе того или иного содержимого, но и обнаружения и расшифрования скрытой, служебной и иной информации, предусмотренной соответствующим форматом файла (по обстоятельствам дела), а также восстановления стертых файлов, даже если при этом носитель информации был отформатирован несколько раз. При этом необходимо выяснить, каким путем информация оказалась на носителе. Когда файл невозможно восстановить, то можно доказать факт его присутствия в прошлом по информации об этом файле, которая может храниться в различных местах.

При исследовании программы, которая послужила инструментом для осуществления внедрения вредоносных программ, средством преодоления ТСЗАП ТСЗАП - техническое средство для преодоления защиты авторских прав. и иных технических средств, предназначенных для негласного получения информации, требуется иногда изучить не только ее свойства и функциональность, но и происхождение, процесс создания, сопоставление версий. В этом случае рекомендуется проводить в рамках программно-технической экспертизы две отдельные экспертизы: первая изучает содержимое компьютерных носителей, вторая - особенности обнаруженных программ.

При изучении архивов ЭП и ICQ надо иметь в виду, что в любом случае при получении или отправке сообщения информация о нем записывается на диск хотя бы раз. А это значит, что если не в явном, то в скрытом виде она может «всплыть» при экспертизе. В архиве на ЭВМ у пользователя может храниться большое количество сообщений, в том числе и их копий. Поэтому перед экспертом лучше поставить вопрос об обнаружении всей переписки, как в явном, так и в удаленном виде и, соответственно, не следует давать задание, найти и отпечатать всю переписку, либо сводить работу к обнаружению одного письма. Те сообщения, которые имеют отношение к делу, эксперт распечатает и приложит к заключению, остальные запишет на компакт-диск, потому что может потребоваться дополнительная экспертиза.

Вопрос об отнесении той или иной переписки к материалам уголовного дела лучше поручить эксперту. Для этого его нужно ознакомить с материалами уголовного дела. Кроме обнаружения архива надо поставить вопрос о том, принимались или отправлялись обнаруженные сообщения. Для этого надо знать, куда отправлялось сообщение, т.е. второго корреспондента. Если он не известен следователю, то надо поставить вопрос о том, где еще можно обнаружить копию данного сообщения или следы его пребывания Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 282-283..

При изучении печатных документов надо иметь в виду, что все распечатки рассматриваются наравне с электронными носителями, т.к. информация на них представлена в цифровом виде. На распечатках содержится не только информация, ориентированная на человека, но и машинная. Изготовители принтеров из США, например, закладывают в них печать на каждой странице скрытых данных о дате, времени и заводском номере принтера Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.. Кроме этих данных, у принтера есть свои индивидуальные особенности, присущие каждой модели. Поэтому экспертиза может не только «привязать» печатный документ к конкретному принтеру, но и установить, на принтере какой модели он был напечатан.

Изучение личности пользователя исследуемого компьютера проводится с учетом интенсивности использования компьютера человеком. Документы, фотографии, музыка, переписка, настройки, наличие программ и другое - все это индивидуализирует информационное содержимое компьютера, отражает интеллект, способности, наклонности пользователя. Поэтому для оценки личности пользователя исследуемого компьютера необходимо провести комплексную экспертизу, компьютерно-психологическую. При этом надо помнить, что для оценки квалификации личности, необходимо нахождение на ЭВМ пользователя результатов его интеллектуальной деятельности, т.е. программ, написанных им.

В литературе отмечается такая возможность КТЭ, как подтверждение или опровержение «цифрового алиби» подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, но для проверки алиби обязательно назначение КТЭ Иванов Н.А. Применение специальных познаний при проверке «цифрового алиби» // Информационное право. - 2006. - № 4 (7) // URL: http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise (дата обращения -13.02.2014)..

В общем виде перед экспертом, проводящим КТЭ, ставятся вопросы, касающиеся наличия на исследуемых объектах информации, относящейся к делу; о пригодности использования исследуемых объектов для определенных целей; о действиях, совершенных с использованием объектов, их времени и последовательности; об идентификации электронных документов, программ для ЭВМ; о свойствах программ для ЭВМ.

Исходя из вышесказанного, следует, что для проведения любого следственного действия, проводимого на первоначальном этапе расследования, потребуются специальные знания. Эти знания в первую очередь нужны для того, чтобы знать, где искать следы преступления, а впоследствии для правильного закрепления и оформления доказательств. Особо следует подчеркнуть роль КТЭ. Благодаря ее современным возможностям, она позволяет обнаружить фальсификацию лог-файлов, являющихся опорным пунктом для следствия в выявлении преступника.

§ 3 Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации

Одним из основных следственных действий при расследовании всех видов преступлений, а также, совершаемых с использованием компьютерной техники и новых информационных технологий является допрос.

Однако, для рассматриваемой категории преступлений характерно то, что в ходе проведения допроса должна быть получена информация, касающаяся предмета доказывания по уголовному делу, носящая специфический характер, в виду того, что дополнительным объектом преступлений, совершаемых с использованием компьютерной техники и информации, являются правоотношения по поводу владения, пользования и распоряжения компьютерной информацией.

По указанным выше причинам особое значение приобретает подготовка к допросам, в частности, такой ее этап как изучение личности допрашиваемого. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Тщательно проведенный поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию. Эти данные позволят сделать допрос более эффективным.

Для рассматриваемой категории преступлений также существенным является получение данных о наличии у допрашиваемого специальных и профессиональных навыков владения компьютерной техникой. Представление о квалификации подлежащих допросам обвиняемым способствует правильной оценке их показаний и, в дальнейшем решению вопроса о возможности совершения тех или иных действий с компьютерными объектами.

Для того, чтобы наиболее эффективно провести допрос, следователь должен четко определить, какую и от кого он может получить информацию. Однако, при расследовании преступлений, при совершении которых использовалась компьютерная техника большая часть информации, относящейся к предмету допроса, носит специальный характер, поэтому перед проведением допроса необходима подготовка, в ходе которой следователю необходимо уяснить для себя все непонятные вопросы, касающиеся общих принципов функционирования фигурирующих в деле компьютерных объектов. В этих целях наиболее эффективными будут консультации специалиста.

При расследовании преступлений, совершенных в сфере использования компьютерной информации допросы осуществляются с использованием тактических рекомендаций, разработанных в криминалистике Шепитько В.Ю. Теоретические проблемы систематизации тактических приёмов в криминалистике. - Х., 1995; . Основные тактические задачи допроса при расследовании дел рассматриваемой категории являются:

* выявление элементов состава преступления;

* установления обстоятельства, места и времени совершения значимых для расследования действий, способа и мотивов его совершения и сопутствующих обстоятельств, признаков внешности лиц, участвовавших в нём;

* определение предмета преступного посягательства;

* определение размера причиненного ущерба;

* установление иных свидетелей и лиц, причастных к совершению преступления . Криминалистика: Учебник /Отв. ред. Н.П. Яблоков. - М.: Юристъ, 2001. - С.629..

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерной информацией осуществляется, как правило, сотрудниками собственника информационной системы и её пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.

Особое значение здесь приобретает подготовка к допросам и всестороннее изучение личности допрашиваемого. Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нём с места жительства, учёбы, работы, досуга. Источниками сведений могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важные данные могут быть получены из личных дел по месту работы. При этом следует учесть, что свидетелями по данной категории дел чаще всего выступают лица с высшим образованием, обладающие высоким интеллектом, в совершенстве владеющие специальной терминологией, зачастую не вполне понятной следователю. В связи с этим следователю необходимо детализировать показания допрашиваемого постановкой уточняющих вопросов, раскрывающих содержание тех или иных терминов и определений, употребляемых допрашиваемым. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым к протоколу допроса Криминалистика: Учебник для вузов / А.Ф. Волынский, Т.В. Аверьянова, И.Л. Александрова и др.; Под ред. Проф. А.Ф. Волынского. - М.: Закон и право, ЮНИТИ-ДАНА, 1999. - С.604.. Для участия в допросе может быть приглашен специалист в области вычислительной техники (как минимум, необходимо предварительное согласование с ним формулировок задаваемых вопросов).

Для решения указанных задач в процессе допроса свидетелей необходимо выяснить:

* не проявлял ли кто-либо интереса к компьютерной информации, программному обеспечению, компьютерной технике данного предприятия, организации, учреждения, фирмы или компании;

* не появлялись ли в помещении, где расположена компьютерная техника, посторонние лица, не зафиксированы ли случаи работы сотрудников с информацией, не относящейся к их компетенции:

* не было ли сбоев в работе программ, хищений носителей информации и отдельных компьютерных устройств;

* зафиксированы ли сбои в работе компьютерного оборудования, электронных сетей, средств защиты компьютерной информации;

* как часто проверяются программы на наличие вирусов, каковы результаты последних проверок;

* как часто обновляется программное обеспечение, каким путем, где и кем оно приобретается;

* каким путем, где и кем приобретается компьютерная техника, как осуществляется ее ремонт и модернизация;

* каков на данном объекте порядок работы с информацией, как она поступает, обрабатывается и передается по каналам связи;

* кто еще является абонентом компьютерной сети, к которой подключены компьютеры данного предприятия, организации, учреждения или фирмы, каким образом осуществляется доступ в сеть, кто из пользователей имеет право на работу в сети, каковы их полномочия;

* как осуществляется защита компьютерной информации, применяемые средства и методы защиты и др.

* имели ли место случаи неправомерного доступа к компьютерной информации ранее, если да, то, как часто;

* могли ли возникшие последствия стать результатом неосторожного действия лица или неисправности работы ЭВМ, системы ЭВМ, сбоев программного обеспечения и т.п.;

* каков характер изменений информации;

* кто является собственником (владельцем или законным пользователем) скопированной (уничтоженной, модифицированной, блокированной) информации и др.

При расследовании неправомерного доступа к компьютерной информации на первоначальном этапе возникает необходимость допрашивать в качестве свидетелей граждан различных категорий (операторы ЭВМ; программисты; сотрудник, отвечающий за информационную безопасность или администратор; сотрудник, занимающийся техническим обслуживанием; начальник вычислительного центра или руководитель предприятия (организации), для каждой из которых существует свой предмет допроса Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. проф. Н.Г. Шурухнова. - М.: ЮИ МВД РФ, Книжный мир, 2001.- С.57..

При подготовке, планировании и в ходе проведения допросов подозреваемых, обвиняемых по уголовным делам о компьютерных преступлениях следует учитывать особенности составов данного вида преступлений и, прежде всего, субъективную сторону и криминалистическую характеристику личности предполагаемого преступника. Важной является подготовка к допросу, в процессе которой необходимо постараться хотя бы условно выбрать, к какой группе относится подозреваемый или обвиняемый, и на этом основывать тактику допроса. При первоначальном допросе необходимо, побуждая лицо к деятельному раскаянию, выяснить, какие изменения в работу компьютерных систем были внесены, какие вирусы использовались, если с точки зрения подозреваемого (обвиняемого) возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему. Какие сведения и кому передавались Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Россинская Е.Р. Криминалистика: Учебник для вузов. / Под ред. заслуженного деятеля науки Российской Федерации, профессора Р.С. Белкина. - М.: Издательство НОРМА (Издательская группа НОРМА-ИНФРА М), 2002. - С.960..

В начальной стадии допроса выясняются обстоятельства общего характера, интересующие следствие, касающиеся:

* навыков и опыта работы с компьютерной техникой и конкретным программным обеспечением;

* использования на компьютере по месту работы, правомерного доступа к компьютерной технике и конкретным видам программного обеспечения;

* конкретных операций с компьютерной информацией, которые подозреваемый (обвиняемый) выполняет на своем рабочем месте, либо (если не работает) на своем персональном компьютере или компьютерах своих знакомых;

* правомерного доступа к сети Интернет и работы в Интернете;

* закрепления за ним по месту работы идентификационных кодов и паролей для пользования компьютерной сетью и др.

Немаловажное значение имеет выяснение обстоятельств, предшествовавших совершению преступления:

* когда возникло намерение совершить преступление, кто или что повлияло на это решение;

* почему выбрал именно данный объект для преступного посягательства (организацию, структуру, где сам работал или стороннее учреждение, предприятие);

* каковы мотивы совершения преступления (подавляющее большинство - более 70% - совершаются по корыстным мотивам);

* какова цель совершения компьютерного преступления: только ли его совершение, либо компьютерная техника являлась лишь средством, способом совершения иных, традиционных преступлений: хищения, уклонения от уплаты налогов, промышленного шпионажа и т.д. На первоначальных допросах подозреваемые нередко называют «безобидные» цели: любопытство, проверить свои способности и т.п., чтобы смягчить свою вину, либо избежать уголовной ответственности за содеянное. Особенно, когда преступный замысел еще не доведен до конца (скопированная информация еще не продана, приготовленные к хищению деньги еще не получены и т.д.) Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. - М.: ООО Издательство “Юрлитинформ”, 2001. - С.70..

Преступления, которые носят серийный, многоэпизодный характер, совершают многократно, обязательно сопровождают действиями по сокрытию. Это обычно высококвалифицированные специалисты, входящие в организованные преступные группы и сообщества, прекрасно оснащенные технически (нередко специальной оперативной техникой).

С учетом имеющихся данных, что преступление совершено группой лиц, в ходе допроса необходимо выяснить:

* наличие сговора с другими лицами и кем являются эти лица;

* кто инициатор;

* время, место и иные детали состоявшейся преступной договоренности;

* распределение ролей между участниками преступления;

* каковы конкретные действия по подготовке преступления: предварительное изучение объекта преступного посягательства, подтверждение наличия интересующей соучастников информации, принятие мер для нелегального получения идентификационных кодов, паролей для доступа в сеть, открытие лжепредприятий, либо счетов в несуществующих банках, получение кредитных карточек (для перевода похищенных денежных средств и т.д.); и т.д.

Вторжения в компьютерные сети потерпевших организаций извне составляют половину компьютерных преступлений. Поэтому при допросах подозреваемых, обвиняемых очень важно уточнить «технологию» совершенного преступления, получить сведения, какие имеются или могли сохраниться электронные и материальные следы содеянного, где можно обнаружить интересующую следствие информацию.

При неправомерном доступе к компьютерной информации, подозреваемому (обвиняемому) необходимо задать следующие вопросы:

* о месте неправомерного проникновения в компьютерную систему (сеть): внутри потерпевшей организации (путем выдачи соответствующих команд с компьютера, на котором находится информация и т.д.) или извне;

* о способах проникновения в помещение, где установлена компьютерная техника (если не имел к ней доступа и не работал в данной организации) и осуществления неправомерного доступа и компьютерную систему, сеть;

* о приемах преодоления информационной защиты: подбор ключей и паролей (вход в систему, сеть под именем и паролем одного из легальных пользователей, присвоение имени другого пользователя с помощью программы, которая изменяет данные, и пользователь получает другое имя и т.д.); хищение ключей и паролей (визуальным перехватом информации, выводимой на экран дисплея или вводимой с клавиатуры, о паролях, идентификаторам и процедурах доступа; перехват паролей при подключении к каналу во время сеанса связи; электронный перехват в результате электромагнитного излучения; сбор и анализ использованных распечаток документов и других, содержащих сведения о паролях и процедурах доступа и т.д.); отключение средств защиты; разрушение средств защиты; использование несовершенства защиты;

* от кого подозреваемый (обвиняемый) получил данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;

* какие средства использованы при совершении преступления: технические, программные, носители информации, комбинированные (с использованием двух или трех из указанных выше);

* об иных технических уловках и ухищрениях, используемых для неправомерного доступа: считывание информации при подключении к кабелю локальной сети при приеме электромагнитного излучения сетевого адаптера; перехват электромагнитного излучения от дисплеев серверов или рабочих станций локальной сети для считывания и копирования информации; копирование данных с машинных носителей информации, оставленных без присмотра или похищенных из мест их хранения; считывание информации с жестких дисков и гибких дискет (в том числе остатков стертых и временных файлов), магнитных лент при копировании данных с оборудования потерпевшей организации; хищение портативного компьютера, машинных носителей с целью получения доступа к содержащейся в них информации и т.д.;

* о способах сокрытия неправомерного доступа (программных, указании ложных данных о лице, совершившем неправомерный доступ;

* о количестве фактов незаконного вторжения в информационные базы данных;

* об использовании для неправомерного доступа своего служебного, должностного положения и в чем это конкретно выразилось, и т.д. Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. - М.: ООО Издательство “Юрлитинформ”, 2001. - С.70.

Анализ уголовных дел показывает, что при расследовании незаконного вмешательства в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей в зависимости от того, насколько обвиняемый признает собственную вину, могут складываться следующие следственные ситуации Поливанюк В. Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации. - < http://nadzor.pk.ru/analit/show_a.php?id=662 >.:

1. Обвиняемый признает собственную вину и дает развернутые правдивые свидетельские показания.

2. Обвиняемый частично признает собственную вину, но отрицает участие в основных эпизодах преступной деятельности.

3. Обвиняемый признает собственную вину, но не установлены все эпизоды преступной деятельности.

4. Обвиняемые (при совершении преступления группой лиц по предварительному сговору либо организованной группой) отрицают свою причастность к преступлению, дают противоречивые свидетельские показания.

5. Обвиняемый признает собственную вину, но не называет соучастников преступления.

Для успешного проведения допроса обвиняемого следователю необходимо тщательно изучить все материалы дела, особенности личности обвиняемого, способы совершения преступления, доказательства, указывающие на виновность конкретного лица и т.д. На момент привлечения лица в качестве обвиняемого следствие должно иметь все категории доказательств. Первой из них предусматривается доказательство обстоятельств, свидетельствующих о том, что расследуемое происшествие (деяние) имело место; следующей - что данное деяние совершено лицом, которое привлекается к уголовной ответственности, и оно соответствует составу преступления, предусмотренного ст.290 УК Кыргызстана. В целом следует отметить, что правдивые свидетельские показания обвиняемые дают в тех случаях, если уверены, что следствием установлен круг фактических данных.

Конкретный способ несанкционированного доступа к информации можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ



Заключение

Оценивая современное состояние уголовной и криминалистической теории и учитывая потребности оперативно-следственной практики, надо признать, что в целом проблемы уголовно-правовой характеристики, совершенствования практики раскрытия, расследования и предупреждения компьютерных преступлений изучены явно недостаточно.

Необходимость всестороннего исследования обозначенных проблем диктуется как потребностью следственной практики, так и задачами дальнейшего совершенствования как уголовно-правовой, так и криминалистической теории, усиления их влияния на результативность борьбы с компьютерной преступностью.

Компьютеризация неизбежна. Но надо помнить, что принесет она не только благо. Мы еще не можем в полной мере оценить опасность, какую несут с собой наши "электронные братья по разуму", а потому стоит прислушаться к опытному в этих делах человеку. Директор ЦРУ Джон Дейч недавно сравнил электронную угрозу с ядерной, химической и бактериологической опасностью. Соединенные в единую сеть компьютеры становятся уязвимыми для разного рода хулиганов, террористов, преступников, а кроме того, дают возможность проведения электронных диверсий и войн.

Анализируя материал данной дипломной работы можно сделать вывод о необходимости внесения значительного массива дополнений и изменений в действующее законодательство Кыргызской Республики. Кроме того, требуется издание новых законов вносящих правовое регулирование в информационные отношения, обусловленные распространением на территории Кыргызстана глобальной сети Интернет.

Так же необходимо осуществить следующие организационные и правовые меры:

- по подбору в подразделения, занимающиеся расследованием преступлений в сфере компьютерной информации только специалистов имеющих исчерпывающие знания в данной области и дальнейшее постоянное и динамичное повышение их квалификации;

- закрепить, в рамках подведомственности, дела о компьютерных преступления только за этими подразделениями;

- разработать научные методики, программные средства и технические устройства для получения и закрепления доказательств совершения компьютерного преступления и т.д.



БИБЛИОГРАФИЯ

1. Конституция Кыргызской Республики. Бишкек 2011г.

2. Уголовно-процессуальный кодекс Кыргызской Республики. Бишкек 2011г.

3. Уголовный Кодекс Кыргызской Республики. Бишкек 2011г.

4. Закон Кыргызской Республики «Об органах внутренних дел Кыргызской Республики» от 11.01.1994г.

5. Закон Кыргызской Республики «Об оперативно-розыскной деятельности», 1998г.

6. Приказ МВД КР № 147 от 11.02.2011г. «Инструкция по организации формирования, ведения и использования экспертно-криминалистических учетов и коллекций ОВД КР».

7. Приказ МВД КР № 410 от 06.08.2007г. «Положение об Экспертно-криминалистическом Центре МВД КР».

8. Приказ № 300 от 30.03.2011 г. «Об организации следственной работы в ОВД КР».

9. Касымов Т., Фараджиев М., Фирсов О. Учебно-практическое пособие «Работа со следами в ходе следственных действий». Бишкек 2004г.

10. Исаева К.А., Конулькулов Э.Э., Сарчаев К.Н., Криминалистика. Новый цикл лекций по курсу « Криминалистика». Б.,2001 г.

11. Исаева К.А. Криминалистика. Курс лекций для слушателей юридических вузов и факультетов. Б., 2001 г.

12. Исаева К.А., Джумалиев Б.И. Криминалистика. Б., 2001 г.

13. Исаева К.А., Гольев А.Г., Адилов А.Н. Криминалистика (курс лекций). Б.,2001 г.

14. Исаева К.А.Криминалистика. Учебное пособие в схемах (часть 1

15. Айламазян А.К., Стась Е.В. Информатика и теория развития. М.: Наука, 1989.

16. Батурин Ю.М. Проблемы компьютерного права. М.: Юрид. лит., 1991.

17. Батурин Ю.М., Жодзишский А.М. Компьютерные преступления и компьютерная безопасность. М.: Юрид. лит., 1991.

18. Вехов Б.В. Компьютерные преступления: способы совершения, методика расследования. М.: Право и Закон, 1996.

19. Гудков П.Б. Компьютерные преступления в сфере экономики. М.: МИ МВД России, 1995.

20. Гульбин Ю. Преступления в сфере компьютерной информации.// Российская юстиция № 10, 1997. С.24-25.

21. Крупенина Я. Хакеру закон не писан. //Материалы Национальной службы новостей, 1997.

22. Ляпунов Ю, Максимов В. Ответственность за компьютерные преступления.//Законность №1, 1997. С .8-15.

23. Рачук Т. Компьютерные преступления - новое в уголовном законодательстве России.// Материалы Национальной службы новостей, 1997.

24. Храмов Ю., Наумов В. Компьютерная информация на предварительном расследовании. М.: СПАС, 1998.

25. Яблоков Н.П., Колдин В.Я. Криминалистика: Учебник. М.: МГУ, 1990.

26. Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. - Красноярск. 2002. Гл. 2, §4. [Электронный вариант].

27. Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002.

28. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. - М., 2001.

29. Гаврилин Ю.В., Головин А.Ю., Тишутина И.В. Криминалистика. Толкование понятий учебного курса: Учеб. пособие / Под ред. А. Ю. Головина. - М., 2005.

30. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000.

31. Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002.

32. Михайлов И.Ю. Носители цифровой информации (обнаружение, изъятие, назначение компьютерно-технической экспертизы). Методические рекомендации. - Курган: ЭКЦ при УВД Курганской области, 2003.

33. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2006.

34. Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006.

35. Скуратов Ю.И., Лебедев В.М. Комментарий к УК РФ. - М., 2001.

36. Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации // Тезисы доклада на ІХ Международной научно-практической конференции «Сomputer Forensics: Расследование компьютерных происшествий. Восстановление и уничтожение информации». - Украина, 2009.

37. Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007.

38. Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998.

39. Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники. // Великотский Е.В. Сборник научных трудов юридического факультета СевКав ГТУ, 2005.

40. Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации: Учебное пособие. - М.: Московский университет МВД, 2004.

41. Яблоков Н.П. Криминалистика. 3-е издание, переработанное и дополненное. - М.: Юристъ, 2005.

42. Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Барнаул, 2007.

43. Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Омск, 2008.

44. Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48.

45. Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.

46. Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под редакцией З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.

47. Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. - 1999. - № 3. - С. 12-13.

48. Копырюлин А. Квалификация преступлений в сфере компьютерной информации // Законность. - 2007. - № 6. - С. 40-41.

49. Лопатина Т.М. Отдельные вопросы характеристики уголовно-правовых признаков субъекта преступлений в сфере компьютерной информации // Российский судья. - 2006. - № 1. - С. 24-25.

50. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.

51. Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.

52. Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18.

53. Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.

54. Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - № 3. - С. 43.

55. Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11.

56. Середа С.А., Федотов Н.Н. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» // Закон. - 2007. - № 7

57. Хилюта В. Можно ли похитить информацию? // Законность. -2008. - № 5. - С. 48.

Размещено на Allbest.ur